電子政務電子認證服務管理辦法

　　為加強電子政務電子認證服務管理，規範電子政務電子認證服務行為，根據《中華人民共和國密碼法》和新修訂的《商用密碼管理條例》等有關法律法規，國家密碼管理局研究起草了《電子政務電子認證服務管理辦法（徵求意見稿）》，現向社會公開徵求意見。公眾可以在2023年11月17日前，通過以下途徑和方式提出意見：

　　1．登錄“中華人民共和國法務部 中國政府法制信息網”（參考連結），進入首頁“立法意見徵集”欄目提出意見。

　　2．電子郵件：參考連結。

　　3．通信地址：北京市豐臺區靛廠路7號國家密碼管理局政策法規室，郵政編碼100036，請在信封上註明“《電子政務電子認證服務管理辦法》反饋意見”字樣。

　　國家密碼管理局

　　2023年10月17日

（徵求意見稿）

第一章　總　則

第一條　為了規範電子政務電子認證服務行為，對電子政務電子認證服務機構實施監督管理，根據《中華人民共和國密碼法》、《中華人民共和國電子簽名法》和《商用密碼管理條例》等有關法律法規，制定本辦法。

第二條　在中華人民共和國境內設立電子政務電子認證服務機構、提供電子政務電子認證服務及其監督管理，適用本辦法。

第三條　本辦法所稱電子政務電子認證服務，是指採用商用密碼技術，為政務活動提供電子簽名認證服務，確保電子簽名的真實性和可靠性的活動。

第四條　從事電子政務電子認證服務的機構，應當經國家密碼管理局認定，依法取得電子政務電子認證服務機構資質。

第五條　國家密碼管理局對全國電子政務電子認證服務活動實施監督管理。

縣級以上地方各級密碼管理部門對本行政區域的電子政務電子認證服務活動實施監督管理。

第二章　資質認定

第六條　取得電子政務電子認證服務機構資質，應當符合下列條件：

（一）具有企業法人或者事業單位法人資格；

（二）具有與從事電子政務電子認證服務活動及其使用密碼相適應的資金；

（三）具有固定的運營場所和滿足電子政務電子認證服務要求的物理環境；

（四）具有在境內設定、符合國家密碼相關標準規範的電子認證服務系統等設備設施；

（五）具有與從事電子政務電子認證服務活動及其使用密碼相適應的專業技術人員、運營管理人員、安全管理人員和客戶服務人員等專業人員不少於30名，並符合相應崗位技能要求；

（六）具有為政務活動提供長期電子政務電子認證服務的能力，包括持續保持運營資金充足、財務狀況良好、設備設施穩定運行、運營人員隊伍穩定，沒有重大違法紀錄或者不良信用記錄等；

（七）具有保證電子政務電子認證服務活動及其使用密碼安全運行的管理體系。

第七條　申請電子政務電子認證服務機構資質，應當向國家密碼管理局提出書面申請，並提交下列材料：

（一）電子政務電子認證服務機構資質申請表；

（二）法人資格證書；

（三）資金情況，包括註冊資金及資本結構，運營資金、損害賠償責任資金來源等；

（四）運營場所情況以及物理環境符合國家有關安全標準的情況；

（五）電子認證服務系統相關技術材料及相關設備清單，包括建設工作報告、技術工作報告、安全性設計報告、安全管理策略和規範、標準符合性自評估報告以及相關軟體、設備清單等；

（六）專業人員情況；

（七）為用戶提供長期服務和質量保障能力說明及承諾；

（八）電子政務電子認證服務及其使用密碼安全管理體系建立情況。

第八條　國家密碼管理局自收到申請材料之日起5個工作日內，對申請材料進行形式審查，根據下列情況分別作出處理：申請材料齊全、符合規定形式的，應當受理行政許可申請並出具受理通知書；申請材料不齊全或者不符合規定形式的，應噹噹場或者在5個工作日內一次告知需要補正的全部內容；不予受理的，應當出具不予受理通知書並說明理由。

第九條　國家密碼管理局應當自受理行政許可申請之日起20個工作日內，對申請進行審查，並依法作出是否許可的決定。準予許可的，頒發《電子政務電子認證服務機構資質證書》，並公布取得資質證書的電子政務電子認證服務機構名錄；不予許可的，應當出具不予行政許可決定書，說明理由並告知申請人相關權利。

需要對申請人進行技術評審的，技術評審所需時間不計算在本條規定的期限內。國家密碼管理局應當將所需時間書面告知申請人。

第十條　國家密碼管理局根據技術評審需要和專業要求，可以組織專家或者委託專業機構實施技術評審。

技術評審包括電子認證服務系統安全性審查，運營場所和物理環境、設備設施、管理體系建設實地查勘，專業人員能力考核等。

專業機構應當獨立、公正、科學、誠信地開展技術評審活動，對技術評審結論的真實性、符合性負責，並承擔相應法律責任。

第十一條　外商投資電子政務電子認證服務，影響或者可能影響國家安全的，應當依法進行外商投資安全審查。

第十二條　《電子政務電子認證服務機構資質證書》有效期5年，內容包括：獲證機構名稱、統一社會信用代碼、住所地、證書編號、有效期限、服務範圍、發證機關和發證日期。

《電子政務電子認證服務機構資質證書》由正本和副本組成。正本、副本具有同等法律效力。

第十三條　電子政務電子認證服務機構應當在其網站和運營場所公布其資質證書的機構名稱、證書編號、有效期限、服務範圍、發證機關和發證日期等內容。

第十四條　有下列情形之一的，電子政務電子認證服務機構應當自變更之日起30日內向國家密碼管理局申請辦理變更手續：

（一）機構名稱、住所、法定代表人發生變更的；

（二）企業股權結構或者事業單位隸屬關係發生變更的；

（三）資質認定服務範圍發生變更的；

（四）電子認證服務系統等設備設施發生變更的；

（五）依法需要辦理變更的其他事項。

電子政務電子認證服務機構發生變更的事項影響其符合資質認定條件和要求的，國家密碼管理局根據申請人的實際情況，採取書面或者現場形式開展審查。需要進行技術評審的，依照本辦法第十條規定對其開展技術評審。

第十五條　電子政務電子認證服務機構資質有效期屆滿需要延續的，應當在有效期屆滿60日前向國家密碼管理局提出書面申請。國家密碼管理局應當依照本辦法有關規定進行審查，並在《電子政務電子認證服務機構資質證書》有效期屆滿前作出是否準予延續的決定。

第三章　行為規範

第十六條　電子政務電子認證服務機構應當按照法律、行政法規和電子政務電子認證服務技術規範、規則，在批准範圍內提供電子政務電子認證服務。

第十七條　電子政務電子認證服務機構應當按照電子政務電子認證業務規則規範等要求，制定本機構的電子政務電子認證業務規則和相應的電子簽名認證證書策略，在提供電子政務電子認證服務前予以公布，並向住所地省、自治區、直轄市密碼管理部門備案。

本機構的電子政務電子認證業務規則和電子簽名認證證書策略發生變更的，電子政務電子認證服務機構應當予以公布，並自公布之日起30日內向住所地省、自治區、直轄市密碼管理部門辦理變更手續。

第十八條　電子政務電子認證服務機構應當按照本機構的電子政務電子認證業務規則提供下列服務：

（一）電子簽名認證證書全生命周期管理服務；

（二）確認簽發的電子簽名認證證書的真實性；

（三）提供電子簽名認證證書目錄信息查詢服務；

（四）提供電子簽名認證證書狀態查詢服務；

（五）提供電子簽名認證證書使用支持服務。

第十九條　電子政務電子認證服務機構簽發的電子簽名認證證書應當準確無誤，並載明下列內容：

（一）電子政務電子認證服務機構名稱；

（二）證書持有人名稱；

（三）證書序列號；

（四）證書有效期；

（五）與電子簽名製作數據相對應的電子簽名驗證數據；

（六）電子政務電子認證服務機構的電子簽名；

（七）國家密碼管理局規定的其他內容。

第二十條　電子政務電子認證服務機構應當保證電子簽名認證證書內容在有效期內完整、準確，證書格式符合相關規範，並保證電子簽名依賴方能夠證實或者了解證書所載內容及其他有關事項。

電子簽名製作數據應當由通過檢測認證的商用密碼設備生成和使用。

第二十一條　電子簽名人向電子政務電子認證服務機構申請電子簽名認證證書，應當提供真實、完整和準確的信息。

電子政務電子認證服務機構在受理電子簽名認證證書申請時，應當向證書申請人告知電子簽名認證證書和電子簽名的使用條件、電子簽名所產生的法律責任、保存和使用證書持有人信息的許可權和責任、電子政務電子認證服務機構和證書持有人的責任範圍等事項。

電子政務電子認證服務機構收到電子簽名認證證書申請後，應當採用安全可靠的驗證方式對證書申請人的身份進行查驗，並對證書申請材料進行審查。

電子政務電子認證服務機構在受理電子簽名認證證書申請後，應當與證書申請人簽訂電子政務電子認證服務協定，明確雙方的權利義務。

第二十二條　電子政務電子認證服務機構應當保障電子政務電子認證服務密碼使用安全，其電子政務電子認證服務應當納入統一的電子認證信任體系，遵循電子認證服務互信互認要求。

第二十三條　電子政務電子認證服務機構應當建立完善的保密制度，對其在工作中知悉的國家秘密、商業秘密和個人隱私承擔保密義務。

第二十四條　電子政務電子認證服務機構應當妥善保存與電子政務電子認證服務相關的信息。信息保存期限至少為電子簽名認證證書失效後5年。

第二十五條　電子政務電子認證服務機構可以設立電子簽名認證證書註冊機構開展電子簽名認證證書註冊業務。電子簽名認證證書註冊機構應當具備與開展電子簽名認證證書註冊業務相適應的場所、設備設施、專業人員、專業能力和管理制度等條件。

前款所稱電子簽名認證證書註冊機構，是指電子政務電子認證服務機構設立的受理電子簽名認證證書申請、註冊登記、下載交付、更新、恢復和註銷等業務的機構。

第二十六條　電子政務電子認證服務機構設立電子簽名認證證書註冊機構開展電子簽名認證證書註冊業務的，應當自設立之日起30日內將電子簽名認證證書註冊機構名稱、地址等信息予以公告，並向電子簽名認證證書註冊機構住所地省、自治區、直轄市密碼管理部門備案，備案內容為電子簽名認證證書註冊機構符合本辦法第二十五條規定條件的有關資料。備案內容發生變更的，應當自變更之日起30日內辦理變更手續。

第二十七條　電子政務電子認證服務機構應當對其設立的電子簽名認證證書註冊機構開展電子簽名認證證書註冊業務的行為實施有效監督管理，並對該行為承擔法律責任。

電子簽名認證證書註冊機構在開展電子簽名認證證書註冊業務過程中，應當在電子簽名認證證書註冊服務場所明示設立該電子簽名認證證書註冊機構的電子政務電子認證服務機構名稱及相關關係，按照法律、行政法規和電子政務電子認證服務技術規範、規則以及契約約定開展電子簽名認證證書註冊業務，並接受電子政務電子認證服務機構的監督。

電子簽名認證證書註冊機構應當以設立該電子簽名認證證書註冊機構的電子政務電子認證服務機構名義與證書申請人簽訂電子政務電子認證服務協定，不得以自身名義與證書申請人簽訂協定，不得委託其他機構開展電子簽名認證證書註冊業務。

第二十八條　電子政務電子認證服務機構應當每年至少進行一次電子政務電子認證服務合規性評估，對發現的問題及時整改，並及時向住所地省、自治區、直轄市密碼管理部門報送合規性評估報告。

第二十九條　電子政務電子認證服務機構應當建立投訴處理機制，公布投訴方式，及時受理並處理有關投訴事項。

第三十條　電子政務電子認證服務機構應當對本單位及其設立的電子簽名認證證書註冊機構的從業人員進行崗位培訓，建立培訓制度，制定培訓計畫，加強考核並做好培訓記錄。

第三十一條　電子政務電子認證服務機構擬暫停或者終止電子政務電子認證服務的，應當在暫停或者終止服務60日前向國家密碼管理局報告，並與其他電子政務電子認證服務機構就業務承接進行協商，作出妥善安排。

電子政務電子認證服務機構未能就業務承接事項與其他電子政務電子認證服務機構達成協定的，應當申請國家密碼管理局安排其他電子政務電子認證服務機構承接其業務。

電子政務電子認證服務機構被依法吊銷電子政務電子認證服務資質的，其業務承接事項的處理按照國家密碼管理局的規定執行。

電子政務電子認證服務機構有根據國家密碼管理局的安排承接其他機構開展的電子政務電子認證服務業務的義務。

第四章　監督管理

第三十二條　密碼管理部門依法對電子政務電子認證服務活動進行監督檢查。

監督檢查可以採取書面檢查、實地核查、網路監測等方式，並可以組織專家或者委託專業機構開展有關檢測鑑定工作。

第三十三條　密碼管理部門依法實施監督檢查時，可以調查、了解有關情況，查閱、複製有關資料。電子政務電子認證服務機構及其設立的電子簽名認證證書註冊機構應當予以配合，如實提供相關材料和技術支持。

第三十四條　密碼管理部門開展監督檢查，不得妨礙電子政務電子認證服務機構及其設立的電子簽名認證證書註冊機構正常的經營和服務活動，不得收取任何費用，不得泄露在履行職責中所知悉的商業秘密和個人隱私。

第三十五條　電子政務電子認證服務機構應當於每年1月15日前向住所地省、自治區、直轄市密碼管理部門報送上一年度工作報告，包括：

（一）持續符合資質認定條件和要求的情況；

（二）電子政務電子認證服務業務開展情況及相關統計數據；

（三）電子認證服務系統安全運行情況；

（四）電子政務電子認證服務及其使用密碼安全管理體系執行情況。

第三十六條　有下列情形之一的，電子政務電子認證服務機構應當自發生之日起15日內向住所地省、自治區、直轄市密碼管理部門報告：

（一）重大安全風險和安全事件；

（二）重要系統、關鍵設備事故；

（三）關鍵崗位人員變動；

（四）重大法律訴訟。

第三十七條　密碼管理部門應當建立電子政務電子認證服務機構、電子簽名認證證書註冊機構的信用記錄製度，並根據隨機抽查、日常監督檢查和投訴舉報查處等情況，對其違法違規行為及處理決定記入信用記錄。

第三十八條　電子政務電子認證服務機構及其設立的電子簽名認證證書註冊機構有下列情形之一的，密碼管理部門應當進行重點監督檢查：

（一）上一年度監督檢查中發現存在嚴重問題；

（二）因違反有關法律法規受到行政處罰；

（三）有不良信用記錄；

（四）其他需要重點監督檢查的情形。

第五章　法律責任

第三十九條　未經認定從事電子政務電子認證服務的，由密碼管理部門依據《中華人民共和國密碼法》和《商用密碼管理條例》有關規定進行處罰。

第四十條　電子政務電子認證服務機構違反《中華人民共和國密碼法》、《商用密碼管理條例》和本辦法有關規定，有下列情形之一的，由密碼管理部門責令改正或者停止違法行為，給予警告，沒收違法所得；違法所得30萬元以上的，可以並處違法所得1倍以上3倍以下罰款；沒有違法所得或者違法所得不足30萬元的，可以並處10萬元以上30萬元以下罰款；情節嚴重的，責令停業整頓，直至吊銷電子政務電子認證服務機構資質：

（一）超出批准範圍開展電子政務電子認證服務；

（二）拒不報送或者不如實報送年度報告、重大事項報告等實施情況；

（三）未履行保密義務；

（四）未按照電子政務電子認證服務技術規範、規則提供電子政務電子認證服務。

第四十一條　電子政務電子認證服務機構違反本辦法有關規定，有下列情形之一的，由密碼管理部門責令改正；逾期未改正或者改正後仍不符合要求的，處1萬元以上10萬元以下罰款：

（一）電子簽名認證證書內容和格式不符合規定要求；

（二）電子簽名製作數據未由通過檢測認證的商用密碼設備生成和使用；

（三）受理電子簽名認證證書申請時未履行有關告知義務，未查驗證書申請人身份，或者未對證書申請材料進行審查；

（四）未與證書申請人簽訂電子政務電子認證服務協定；

（五）未妥善保存與電子政務電子認證服務相關的信息。

第四十二條　電子政務電子認證服務機構違反本辦法有關規定，有下列情形之一的，由密碼管理部門責令改正；逾期未改正或者改正後仍不符合要求的，處5000元以上3萬元以下罰款：

（一）未按照要求進行資質證書信息公示；

（二）未按照要求辦理變更手續；

（三）未按照要求履行有關備案義務；

（四）未對電子政務電子認證服務每年至少進行一次合規性評估並對發現的問題及時整改，或者未及時向住所地省、自治區、直轄市密碼管理部門報送合規性評估報告；

（五）設立的電子簽名認證證書註冊機構未按照法律、行政法規和電子政務電子認證服務技術規範、規則開展電子簽名認證證書註冊業務；

（六）設立的電子簽名認證證書註冊機構以自身名義與證書申請人簽訂電子政務電子認證服務協定，或者委託其他機構開展電子簽名認證證書註冊業務；

（七）未建立投訴處理機制並公布投訴方式，或者未及時受理並處理有關投訴事項；

（八）未對從業人員進行崗位培訓；

（九）未按照要求報送暫停或者終止電子政務電子認證服務的情況。

第四十三條　從事電子政務電子認證服務監督管理工作的人員濫用職權、玩忽職守、徇私舞弊，或者泄露、非法向他人提供在履行職責中知悉的商業秘密、個人隱私、舉報人信息的，依法給予處分。

第六章　附　則

第四十四條　本辦法自××××年××月××日起施行。