電子政務電子認證服務管理辦法（征求意見稿）》

       為加強電子政務電子認證服務管理，規(guī)范電子政務電子認證服務行為，根據《中華人民共和國密碼法》和新修訂的《商用密碼管理條例》等有關法律法規(guī)，國家密碼管理局研究起草了《電子政務電子認證服務管理辦法（征求意見稿）》，現向社會公開征求意見。公眾可以在2023年11月17日前，通過以下途徑和方式提出意見： 

1．登錄“中華人民共和國司法部 中國政府法制信息網”（網址：www.moj.gov.cn、www.chinalaw.gov.cn），進入首頁“立法意見征集”欄目提出意見。

2．電子郵件：gmzcfg@sca.gov.cn。

3．通信地址：北京市豐臺區(qū)靛廠路7號國家密碼管理局政策法規(guī)室，郵政編碼100036，請在信封上注明“《電子政務電子認證服務管理辦法》反饋意見”字樣。

國家密碼管理局  

2023年10月17日

電子政務電子認證服務管理辦法（征求意見稿）

第一章  總 則

第一條【制定目的與依據】為了規(guī)范電子政務電子認證服務行為，對電子政務電子認證服務機構實施監(jiān)督管理，根據《中華人民共和國密碼法》、《中華人民共和國電子簽名法》和《商用密碼管理條例》等有關法律法規(guī)，制定本辦法。

第二條【適用范圍】在中華人民共和國境內設立電子政務電子認證服務機構、提供電子政務電子認證服務及其監(jiān)督管理，適用本辦法。

第三條【定義】本辦法所稱電子政務電子認證服務，是指采用商用密碼技術，為政務活動提供電子簽名認證服務，確保電子簽名的真實性和可靠性的活動。

第四條【服務資質】從事電子政務電子認證服務的機構，應當經國家密碼管理局認定，依法取得電子政務電子認證服務機構資質。

第五條【監(jiān)管主體】國家密碼管理局對全國電子政務電子認證服務活動實施監(jiān)督管理。

縣級以上地方各級密碼管理部門對本行政區(qū)域的電子政務電子認證服務活動實施監(jiān)督管理。

第二章  資質認定

第六條【資質認定條件】取得電子政務電子認證服務機構資質，應當符合下列條件：

（一）具有企業(yè)法人或者事業(yè)單位法人資格；

（二）具有與從事電子政務電子認證服務活動及其使用密碼相適應的資金；

（三）具有固定的運營場所和滿足電子政務電子認證服務要求的物理環(huán)境；

（四）具有在境內設置、符合國家密碼相關標準規(guī)范的電子認證服務系統(tǒng)等設備設施；

（五）具有與從事電子政務電子認證服務活動及其使用密碼相適應的專業(yè)技術人員、運營管理人員、安全管理人員和客戶服務人員等專業(yè)人員不少于30名，并符合相應崗位技能要求；

（六）具有為政務活動提供長期電子政務電子認證服務的能力，包括持續(xù)保持運營資金充足、財務狀況良好、設備設施穩(wěn)定運行、運營人員隊伍穩(wěn)定，沒有重大違法紀錄或者不良信用記錄等；

（七）具有保證電子政務電子認證服務活動及其使用密碼安全運行的管理體系。

第七條【申請材料】申請電子政務電子認證服務機構資質，應當向國家密碼管理局提出書面申請，并提交下列材料：

（一）電子政務電子認證服務機構資質申請表；

（二）法人資格證書；

（三）資金情況，包括注冊資金及資本結構，運營資金、損害賠償責任資金來源等；

（四）運營場所情況以及物理環(huán)境符合國家有關安全標準的情況；

（五）電子認證服務系統(tǒng)相關技術材料及相關設備清單，包括建設工作報告、技術工作報告、安全性設計報告、安全管理策略和規(guī)范、標準符合性自評估報告以及相關軟件、設備清單等；

（六）專業(yè)人員情況；

（七）為用戶提供長期服務和質量保障能力說明及承諾；

（八）電子政務電子認證服務及其使用密碼安全管理體系建立情況。

第八條【申請受理】國家密碼管理局自收到申請材料之日起5個工作日內，對申請材料進行形式審查，根據下列情況分別作出處理：申請材料齊全、符合規(guī)定形式的，應當受理行政許可申請并出具受理通知書；申請材料不齊全或者不符合規(guī)定形式的，應當當場或者在5個工作日內一次告知需要補正的全部內容；不予受理的，應當出具不予受理通知書并說明理由。

第九條【資質審查】國家密碼管理局應當自受理行政許可申請之日起20個工作日內，對申請進行審查，并依法作出是否許可的決定。準予許可的，頒發(fā)《電子政務電子認證服務機構資質證書》，并公布取得資質證書的電子政務電子認證服務機構名錄；不予許可的，應當出具不予行政許可決定書，說明理由并告知申請人相關權利。

需要對申請人進行技術評審的，技術評審所需時間不計算在本條規(guī)定的期限內。國家密碼管理局應當將所需時間書面告知申請人。

第十條【技術評審】國家密碼管理局根據技術評審需要和專業(yè)要求，可以組織專家或者委托專業(yè)機構實施技術評審。

技術評審包括電子認證服務系統(tǒng)安全性審查，運營場所和物理環(huán)境、設備設施、管理體系建設實地查勘，專業(yè)人員能力考核等。

專業(yè)機構應當獨立、公正、科學、誠信地開展技術評審活動，對技術評審結論的真實性、符合性負責，并承擔相應法律責任。

第十一條【外商投資安全審查】外商投資電子政務電子認證服務，影響或者可能影響國家安全的，應當依法進行外商投資安全審查。

第十二條【資質證書】《電子政務電子認證服務機構資質證書》有效期5年，內容包括：獲證機構名稱、統(tǒng)一社會信用代碼、住所地、證書編號、有效期限、服務范圍、發(fā)證機關和發(fā)證日期。

《電子政務電子認證服務機構資質證書》由正本和副本組成。正本、副本具有同等法律效力。

第十三條【資質信息公示】電子政務電子認證服務機構應當在其網站和運營場所公布其資質證書的機構名稱、證書編號、有效期限、服務范圍、發(fā)證機關和發(fā)證日期等內容。

第十四條【事項變更】有下列情形之一的，電子政務電子認證服務機構應當自變更之日起30日內向國家密碼管理局申請辦理變更手續(xù)：

（一）機構名稱、住所、法定代表人發(fā)生變更的；

（二）企業(yè)股權結構或者事業(yè)單位隸屬關系發(fā)生變更的；

（三）資質認定服務范圍發(fā)生變更的；

（四）電子認證服務系統(tǒng)等設備設施發(fā)生變更的；

（五）依法需要辦理變更的其他事項。電子政務電子認證服務機構發(fā)生變更的事項影響其符合資質認定條件和要求的，國家密碼管理局根據申請人的實際情況，采取書面或者現場形式開展審查。需要進行技術評審的，依照本辦法第十條規(guī)定對其開展技術評審。

第十五條【資質延續(xù)】電子政務電子認證服務機構資質有效期屆滿需要延續(xù)的，應當在有效期屆滿60日前向國家密碼管理局提出書面申請。國家密碼管理局應當依照本辦法有關規(guī)定進行審查，并在《電子政務電子認證服務機構資質證書》有效期屆滿前作出是否準予延續(xù)的決定。

第三章  行為規(guī)范

第十六條【服務范圍】電子政務電子認證服務機構應當按照法律、行政法規(guī)和電子政務電子認證服務技術規(guī)范、規(guī)則，在批準范圍內提供電子政務電子認證服務。

第十七條【業(yè)務規(guī)則】電子政務電子認證服務機構應當按照電子政務電子認證業(yè)務規(guī)則規(guī)范等要求，制定本機構的電子政務電子認證業(yè)務規(guī)則和相應的電子簽名認證證書策略，在提供電子政務電子認證服務前予以公布，并向住所地省、自治區(qū)、直轄市密碼管理部門備案。

本機構的電子政務電子認證業(yè)務規(guī)則和電子簽名認證證書策略發(fā)生變更的，電子政務電子認證服務機構應當予以公布，并自公布之日起30日內向住所地省、自治區(qū)、直轄市密碼管理部門辦理變更手續(xù)。

第十八條【服務內容】電子政務電子認證服務機構應當按照本機構的電子政務電子認證業(yè)務規(guī)則提供下列服務：

（一）電子簽名認證證書全生命周期管理服務；

（二）確認簽發(fā)的電子簽名認證證書的真實性；

（三）提供電子簽名認證證書目錄信息查詢服務；

（四）提供電子簽名認證證書狀態(tài)查詢服務；

（五）提供電子簽名認證證書使用支持服務。

第十九條【證書內容】電子政務電子認證服務機構簽發(fā)的電子簽名認證證書應當準確無誤，并載明下列內容：

（一）電子政務電子認證服務機構名稱；

（二）證書持有人名稱；

（三）證書序列號；

（四）證書有效期；

（五）與電子簽名制作數據相對應的電子簽名驗證數據；

（六）電子政務電子認證服務機構的電子簽名；

（七）國家密碼管理局規(guī)定的其他內容。

第二十條【證書內容與格式】電子政務電子認證服務機構應當保證電子簽名認證證書內容在有效期內完整、準確，證書格式符合相關規(guī)范，并保證電子簽名依賴方能夠證實或者了解證書所載內容及其他有關事項。電子簽名制作數據應當由通過檢測認證的商用密碼設備生成和使用。

第二十一條【證書申請審核】電子簽名人向電子政務電子認證服務機構申請電子簽名認證證書，應當提供真實、完整和準確的信息。

電子政務電子認證服務機構在受理電子簽名認證證書申請時，應當向證書申請人告知電子簽名認證證書和電子簽名的使用條件、電子簽名所產生的法律責任、保存和使用證書持有人信息的權限和責任、電子政務電子認證服務機構和證書持有人的責任范圍等事項。

電子政務電子認證服務機構收到電子簽名認證證書申請后，應當采用安全可靠的驗證方式對證書申請人的身份進行查驗，并對證書申請材料進行審查。

電子政務電子認證服務機構在受理電子簽名認證證書申請后，應當與證書申請人簽訂電子政務電子認證服務協(xié)議，明確雙方的權利義務。

第二十二條【密碼使用安全與互信互認】電子政務電子認證服務機構應當保障電子政務電子認證服務密碼使用安全，其電子政務電子認證服務應當納入統(tǒng)一的電子認證信任體系，遵循電子認證服務互信互認要求。

第二十三條【保密義務】電子政務電子認證服務機構應當建立完善的保密制度，對其在工作中知悉的國家秘密、商業(yè)秘密和個人隱私承擔保密義務。

第二十四條【信息保存】電子政務電子認證服務機構應當妥善保存與電子政務電子認證服務相關的信息。信息保存期限至少為電子簽名認證證書失效后5年。

第二十五條【證書注冊機構設立條件】電子政務電子認證服務機構可以設立電子簽名認證證書注冊機構開展電子簽名認證證書注冊業(yè)務。

電子簽名認證證書注冊機構應當具備與開展電子簽名認證證書注冊業(yè)務相適應的場所、設備設施、專業(yè)人員、專業(yè)能力和管理制度等條件。前款所稱電子簽名認證證書注冊機構，是指電子政務電子認證服務機構設立的受理電子簽名認證證書申請、注冊登記、下載交付、更新、恢復和注銷等業(yè)務的機構。

第二十六條【證書注冊備案】電子政務電子認證服務機構設立電子簽名認證證書注冊機構開展電子簽名認證證書注冊業(yè)務的，應當自設立之日起30日內將電子簽名認證證書注冊機構名稱、地址等信息予以公告，并向電子簽名認證證書注冊機構住所地省、自治區(qū)、直轄市密碼管理部門備案，備案內容為電子簽名認證證書注冊機構符合本辦法第二十五條規(guī)定條件的有關資料。備案內容發(fā)生變更的，應當自變更之日起30日內辦理變更手續(xù)。

第二十七條【注冊業(yè)務管理】電子政務電子認證服務機構應當對其設立的電子簽名認證證書注冊機構開展電子簽名認證證書注冊業(yè)務的行為實施有效監(jiān)督管理，并對該行為承擔法律責任。

電子簽名認證證書注冊機構在開展電子簽名認證證書注冊業(yè)務過程中，應當在電子簽名認證證書注冊服務場所明示設立該電子簽名認證證書注冊機構的電子政務電子認證服務機構名稱及相關關系，按照法律、行政法規(guī)和電子政務電子認證服務技術規(guī)范、規(guī)則以及合同約定開展電子簽名認證證書注冊業(yè)務，并接受電子政務電子認證服務機構的監(jiān)督。

電子簽名認證證書注冊機構應當以設立該電子簽名認證證書注冊機構的電子政務電子認證服務機構名義與證書申請人簽訂電子政務電子認證服務協(xié)議，不得以自身名義與證書申請人簽訂協(xié)議，不得委托其他機構開展電子簽名認證證書注冊業(yè)務。

第二十八條【合規(guī)性評估】電子政務電子認證服務機構應當每年至少進行一次電子政務電子認證服務合規(guī)性評估，對發(fā)現的問題及時整改，并及時向住所地省、自治區(qū)、直轄市密碼管理部門報送合規(guī)性評估報告。

第二十九條【投訴處理】電子政務電子認證服務機構應當建立投訴處理機制，公布投訴方式，及時受理并處理有關投訴事項。

第三十條【崗位培訓】電子政務電子認證服務機構應當對本單位及其設立的電子簽名認證證書注冊機構的從業(yè)人員進行崗位培訓，建立培訓制度，制定培訓計劃，加強考核并做好培訓記錄。

第三十一條【業(yè)務終止與承接】電子政務電子認證服務機構擬暫?；蛘呓K止電子政務電子認證服務的，應當在暫?；蛘呓K止服務60日前向國家密碼管理局報告，并與其他電子政務電子認證服務機構就業(yè)務承接進行協(xié)商，作出妥善安排。

電子政務電子認證服務機構未能就業(yè)務承接事項與其他電子政務電子認證服務機構達成協(xié)議的，應當申請國家密碼管理局安排其他電子政務電子認證服務機構承接其業(yè)務。

電子政務電子認證服務機構被依法吊銷電子政務電子認證服務資質的，其業(yè)務承接事項的處理按照國家密碼管理局的規(guī)定執(zhí)行。

電子政務電子認證服務機構有根據國家密碼管理局的安排承接其他機構開展的電子政務電子認證服務業(yè)務的義務。

第四章  監(jiān)督管理

第三十二條【監(jiān)督檢查】密碼管理部門依法對電子政務電子認證服務活動進行監(jiān)督檢查。監(jiān)督檢查可以采取書面檢查、實地核查、網絡監(jiān)測等方式，并可以組織專家或者委托專業(yè)機構開展有關檢測鑒定工作。

第三十三條【監(jiān)督檢查要求】密碼管理部門依法實施監(jiān)督檢查時，可以調查、了解有關情況，查閱、復制有關資料。電子政務電子認證服務機構及其設立的電子簽名認證證書注冊機構應當予以配合，如實提供相關材料和技術支持。

第三十四條【監(jiān)督檢查要求】密碼管理部門開展監(jiān)督檢查，不得妨礙電子政務電子認證服務機構及其設立的電子簽名認證證書注冊機構正常的經營和服務活動，不得收取任何費用，不得泄露在履行職責中所知悉的商業(yè)秘密和個人隱私。

第三十五條【年度報告】電子政務電子認證服務機構應當于每年1月15日前向住所地省、自治區(qū)、直轄市密碼管理部門報送上一年度工作報告，包括：

（一）持續(xù)符合資質認定條件和要求的情況；

（二）電子政務電子認證服務業(yè)務開展情況及相關統(tǒng)計數據；

（三）電子認證服務系統(tǒng)安全運行情況；

（四）電子政務電子認證服務及其使用密碼安全管理體系執(zhí)行情況。

第三十六條【重大事項報告】有下列情形之一的，電子政務電子認證服務機構應當自發(fā)生之日起15日內向住所地省、自治區(qū)、直轄市密碼管理部門報告：

（一）重大安全風險和安全事件；

（二）重要系統(tǒng)、關鍵設備事故；

（三）關鍵崗位人員變動；

（四）重大法律訴訟。

第三十七條【信用監(jiān)管】密碼管理部門應當建立電子政務電子認證服務機構、電子簽名認證證書注冊機構的信用記錄制度，并根據隨機抽查、日常監(jiān)督檢查和投訴舉報查處等情況，對其違法違規(guī)行為及處理決定記入信用記錄。

第三十八條【重點監(jiān)管】電子政務電子認證服務機構及其設立的電子簽名認證證書注冊機構有下列情形之一的，密碼管理部門應當進行重點監(jiān)督檢查：

（一）上一年度監(jiān)督檢查中發(fā)現存在嚴重問題；

（二）因違反有關法律法規(guī)受到行政處罰；

（三）有不良信用記錄；

（四）其他需要重點監(jiān)督檢查的情形。

第五章  法律責任

第三十九條【資質相關罰則】未經認定從事電子政務電子認證服務的，由密碼管理部門依據《中華人民共和國密碼法》和《商用密碼管理條例》有關規(guī)定進行處罰。

第四十條【相關罰則】電子政務電子認證服務機構違反《中華人民共和國密碼法》、《商用密碼管理條例》和本辦法有關規(guī)定，有下列情形之一的，由密碼管理部門責令改正或者停止違法行為，給予警告，沒收違法所得；違法所得30萬元以上的，可以并處違法所得1倍以上3倍以下罰款；沒有違法所得或者違法所得不足30萬元的，可以并處10萬元以上30萬元以下罰款；情節(jié)嚴重的，責令停業(yè)整頓，直至吊銷電子政務電子認證服務機構資質：

（一）超出批準范圍開展電子政務電子認證服務；

（二）拒不報送或者不如實報送年度報告、重大事項報告等實施情況；

（三）未履行保密義務；

（四）未按照電子政務電子認證服務技術規(guī)范、規(guī)則提供電子政務電子認證服務。

第四十一條【相關罰則】電子政務電子認證服務機構違反本辦法有關規(guī)定，有下列情形之一的，由密碼管理部門責令改正；逾期未改正或者改正后仍不符合要求的，處1萬元以上10萬元以下罰款：

（一）電子簽名認證證書內容和格式不符合規(guī)定要求；

（二）電子簽名制作數據未由通過檢測認證的商用密碼設備生成和使用；

（三）受理電子簽名認證證書申請時未履行有關告知義務，未查驗證書申請人身份，或者未對證書申請材料進行審查；

（四）未與證書申請人簽訂電子政務電子認證服務協(xié)議；

（五）未妥善保存與電子政務電子認證服務相關的信息。

第四十二條【相關罰則】電子政務電子認證服務機構違反本辦法有關規(guī)定，有下列情形之一的，由密碼管理部門責令改正；逾期未改正或者改正后仍不符合要求的，處5000元以上3萬元以下罰款：

（一）未按照要求進行資質證書信息公示；

（二）未按照要求辦理變更手續(xù)；

（三）未按照要求履行有關備案義務；

（四）未對電子政務電子認證服務每年至少進行一次合規(guī)性評估并對發(fā)現的問題及時整改，或者未及時向住所地省、自治區(qū)、直轄市密碼管理部門報送合規(guī)性評估報告；

（五）設立的電子簽名認證證書注冊機構未按照法律、行政法規(guī)和電子政務電子認證服務技術規(guī)范、規(guī)則開展電子簽名認證證書注冊業(yè)務；

（六）設立的電子簽名認證證書注冊機構以自身名義與證書申請人簽訂電子政務電子認證服務協(xié)議，或者委托其他機構開展電子簽名認證證書注冊業(yè)務；

（七）未建立投訴處理機制并公布投訴方式，或者未及時受理并處理有關投訴事項；

（八）未對從業(yè)人員進行崗位培訓；

（九）未按照要求報送暫?；蛘呓K止電子政務電子認證服務的情況。

第四十三條【監(jiān)管責任】從事電子政務電子認證服務監(jiān)督管理工作的人員濫用職權、玩忽職守、徇私舞弊，或者泄露、非法向他人提供在履行職責中知悉的商業(yè)秘密、個人隱私、舉報人信息的，依法給予處分。

第六章  附 則

第四十四條【施行時間】本辦法自××××年××月××日起施行。

來源：國家密碼管理局網站