本文来自微信公众号“安全学习那些事儿”。
2023年10月17日,为加强电子政务电子认证服务管理,规范电子政务电子认证服务行为,根据《中华人民共和国密码法》和新修订的《商用密码管理条例》等有关法律法规,国家密码管理局研究起草了《电子政务电子认证服务管理办法(征求意见稿)》,现向社会公开征求意见。
电子政务电子认证服务管理办法(征求意见稿)
第一章 总则
第一条【制定目的与依据】为了规范电子政务电子认证服务行为,对电子政务电子认证服务机构实施监督管理,根据《中华人民共和国密码法》、《中华人民共和国电子签名法》和《商用密码管理条例》等有关法律法规,制定本办法。
第二条【适用范围】在中华人民共和国境内设立电子政务电子认证服务机构、提供电子政务电子认证服务及其监督管理,适用本办法。
第三条【定义】本办法所称电子政务电子认证服务,是指采用商用密码技术,为政务活动提供电子签名认证服务,确保电子签名的真实性和可靠性的活动。
第四条【服务资质】从事电子政务电子认证服务的机构,应当经国家密码管理局认定,依法取得电子政务电子认证服务机构资质。
第五条【监管主体】国家密码管理局对全国电子政务电子认证服务活动实施监督管理。
县级以上地方各级密码管理部门对本行政区域的电子政务电子认证服务活动实施监督管理。
第二章 资质认定
第六条【资质认定条件】取得电子政务电子认证服务机构资质,应当符合下列条件:
(一)具有企业法人或者事业单位法人资格;
(二)具有与从事电子政务电子认证服务活动及其使用密码相适应的资金;
(三)具有固定的运营场所和满足电子政务电子认证服务要求的物理环境;
(四)具有在境内设置、符合国家密码相关标准规范的电子认证服务系统等设备设施;
(五)具有与从事电子政务电子认证服务活动及其使用密码相适应的专业技术人员、运营管理人员、安全管理人员和客户服务人员等专业人员不少于30名,并符合相应岗位技能要求;
(六)具有为政务活动提供长期电子政务电子认证服务的能力,包括持续保持运营资金充足、财务状况良好、设备设施稳定运行、运营人员队伍稳定,没有重大违法纪录或者不良信用记录等;
(七)具有保证电子政务电子认证服务活动及其使用密码安全运行的管理体系。
第七条【申请材料】申请电子政务电子认证服务机构资质,应当向国家密码管理局提出书面申请,并提交下列材料:
(一)电子政务电子认证服务机构资质申请表;
(二)法人资格证书;
(三)资金情况,包括注册资金及资本结构,运营资金、损害赔偿责任资金来源等;
(四)运营场所情况以及物理环境符合国家有关安全标准的情况;
(五)电子认证服务系统相关技术材料及相关设备清单,包括建设工作报告、技术工作报告、安全性设计报告、安全管理策略和规范、标准符合性自评估报告以及相关软件、设备清单等;
(六)专业人员情况;
(七)为用户提供长期服务和质量保障能力说明及承诺;
(八)电子政务电子认证服务及其使用密码安全管理体系建立情况。
第八条【申请受理】国家密码管理局自收到申请材料之日起5个工作日内,对申请材料进行形式审查,根据下列情况分别作出处理:申请材料齐全、符合规定形式的,应当受理行政许可申请并出具受理通知书;申请材料不齐全或者不符合规定形式的,应当当场或者在5个工作日内一次告知需要补正的全部内容;不予受理的,应当出具不予受理通知书并说明理由。
第九条【资质审查】国家密码管理局应当自受理行政许可申请之日起20个工作日内,对申请进行审查,并依法作出是否许可的决定。准予许可的,颁发《电子政务电子认证服务机构资质证书》,并公布取得资质证书的电子政务电子认证服务机构名录;不予许可的,应当出具不予行政许可决定书,说明理由并告知申请人相关权利。
需要对申请人进行技术评审的,技术评审所需时间不计算在本条规定的期限内。国家密码管理局应当将所需时间书面告知申请人。
第十条【技术评审】国家密码管理局根据技术评审需要和专业要求,可以组织专家或者委托专业机构实施技术评审。
技术评审包括电子认证服务系统安全性审查,运营场所和物理环境、设备设施、管理体系建设实地查勘,专业人员能力考核等。
专业机构应当独立、公正、科学、诚信地开展技术评审活动,对技术评审结论的真实性、符合性负责,并承担相应法律责任。
第十一条【外商投资安全审查】外商投资电子政务电子认证服务,影响或者可能影响国家安全的,应当依法进行外商投资安全审查。
第十二条【资质证书】《电子政务电子认证服务机构资质证书》有效期5年,内容包括:获证机构名称、统一社会信用代码、住所地、证书编号、有效期限、服务范围、发证机关和发证日期。
《电子政务电子认证服务机构资质证书》由正本和副本组成。正本、副本具有同等法律效力。
第十三条【资质信息公示】电子政务电子认证服务机构应当在其网站和运营场所公布其资质证书的机构名称、证书编号、有效期限、服务范围、发证机关和发证日期等内容。
第十四条【事项变更】有下列情形之一的,电子政务电子认证服务机构应当自变更之日起30日内向国家密码管理局申请办理变更手续:
(一)机构名称、住所、法定代表人发生变更的;
(二)企业股权结构或者事业单位隶属关系发生变更的;
(三)资质认定服务范围发生变更的;
(四)电子认证服务系统等设备设施发生变更的;
(五)依法需要办理变更的其他事项。
电子政务电子认证服务机构发生变更的事项影响其符合资质认定条件和要求的,国家密码管理局根据申请人的实际情况,采取书面或者现场形式开展审查。需要进行技术评审的,依照本办法第十条规定对其开展技术评审。
第十五条【资质延续】电子政务电子认证服务机构资质有效期届满需要延续的,应当在有效期届满60日前向国家密码管理局提出书面申请。国家密码管理局应当依照本办法有关规定进行审查,并在《电子政务电子认证服务机构资质证书》有效期届满前作出是否准予延续的决定。
第三章 行为规范
第十六条【服务范围】电子政务电子认证服务机构应当按照法律、行政法规和电子政务电子认证服务技术规范、规则,在批准范围内提供电子政务电子认证服务。
第十七条【业务规则】电子政务电子认证服务机构应当按照电子政务电子认证业务规则规范等要求,制定本机构的电子政务电子认证业务规则和相应的电子签名认证证书策略,在提供电子政务电子认证服务前予以公布,并向住所地省、自治区、直辖市密码管理部门备案。
本机构的电子政务电子认证业务规则和电子签名认证证书策略发生变更的,电子政务电子认证服务机构应当予以公布,并自公布之日起30日内向住所地省、自治区、直辖市密码管理部门办理变更手续。
第十八条【服务内容】电子政务电子认证服务机构应当按照本机构的电子政务电子认证业务规则提供下列服务:
(一)电子签名认证证书全生命周期管理服务;
(二)确认签发的电子签名认证证书的真实性;
(三)提供电子签名认证证书目录信息查询服务;
(四)提供电子签名认证证书状态查询服务;
(五)提供电子签名认证证书使用支持服务。
第十九条【证书内容】电子政务电子认证服务机构签发的电子签名认证证书应当准确无误,并载明下列内容:
(一)电子政务电子认证服务机构名称;
(二)证书持有人名称;
(三)证书序列号;
(四)证书有效期;
(五)与电子签名制作数据相对应的电子签名验证数据;
(六)电子政务电子认证服务机构的电子签名;
(七)国家密码管理局规定的其他内容。
第二十条【证书内容与格式】电子政务电子认证服务机构应当保证电子签名认证证书内容在有效期内完整、准确,证书格式符合相关规范,并保证电子签名依赖方能够证实或者了解证书所载内容及其他有关事项。
电子签名制作数据应当由通过检测认证的商用密码设备生成和使用。
第二十一条【证书申请审核】电子签名人向电子政务电子认证服务机构申请电子签名认证证书,应当提供真实、完整和准确的信息。
电子政务电子认证服务机构在受理电子签名认证证书申请时,应当向证书申请人告知电子签名认证证书和电子签名的使用条件、电子签名所产生的法律责任、保存和使用证书持有人信息的权限和责任、电子政务电子认证服务机构和证书持有人的责任范围等事项。
电子政务电子认证服务机构收到电子签名认证证书申请后,应当采用安全可靠的验证方式对证书申请人的身份进行查验,并对证书申请材料进行审查。
电子政务电子认证服务机构在受理电子签名认证证书申请后,应当与证书申请人签订电子政务电子认证服务协议,明确双方的权利义务。
第二十二条【密码使用安全与互信互认】电子政务电子认证服务机构应当保障电子政务电子认证服务密码使用安全,其电子政务电子认证服务应当纳入统一的电子认证信任体系,遵循电子认证服务互信互认要求。
第二十三条【保密义务】电子政务电子认证服务机构应当建立完善的保密制度,对其在工作中知悉的国家秘密、商业秘密和个人隐私承担保密义务。
第二十四条【信息保存】电子政务电子认证服务机构应当妥善保存与电子政务电子认证服务相关的信息。信息保存期限至少为电子签名认证证书失效后5年。
第二十五条【证书注册机构设立条件】电子政务电子认证服务机构可以设立电子签名认证证书注册机构开展电子签名认证证书注册业务。电子签名认证证书注册机构应当具备与开展电子签名认证证书注册业务相适应的场所、设备设施、专业人员、专业能力和管理制度等条件。
前款所称电子签名认证证书注册机构,是指电子政务电子认证服务机构设立的受理电子签名认证证书申请、注册登记、下载交付、更新、恢复和注销等业务的机构。
第二十六条【证书注册备案】电子政务电子认证服务机构设立电子签名认证证书注册机构开展电子签名认证证书注册业务的,应当自设立之日起30日内将电子签名认证证书注册机构名称、地址等信息予以公告,并向电子签名认证证书注册机构住所地省、自治区、直辖市密码管理部门备案,备案内容为电子签名认证证书注册机构符合本办法第二十五条规定条件的有关资料。备案内容发生变更的,应当自变更之日起30日内办理变更手续。
第二十七条【注册业务管理】电子政务电子认证服务机构应当对其设立的电子签名认证证书注册机构开展电子签名认证证书注册业务的行为实施有效监督管理,并对该行为承担法律责任。
电子签名认证证书注册机构在开展电子签名认证证书注册业务过程中,应当在电子签名认证证书注册服务场所明示设立该电子签名认证证书注册机构的电子政务电子认证服务机构名称及相关关系,按照法律、行政法规和电子政务电子认证服务技术规范、规则以及合同约定开展电子签名认证证书注册业务,并接受电子政务电子认证服务机构的监督。
电子签名认证证书注册机构应当以设立该电子签名认证证书注册机构的电子政务电子认证服务机构名义与证书申请人签订电子政务电子认证服务协议,不得以自身名义与证书申请人签订协议,不得委托其他机构开展电子签名认证证书注册业务。
第二十八条【合规性评估】电子政务电子认证服务机构应当每年至少进行一次电子政务电子认证服务合规性评估,对发现的问题及时整改,并及时向住所地省、自治区、直辖市密码管理部门报送合规性评估报告。
第二十九条【投诉处理】电子政务电子认证服务机构应当建立投诉处理机制,公布投诉方式,及时受理并处理有关投诉事项。
第三十条【岗位培训】电子政务电子认证服务机构应当对本单位及其设立的电子签名认证证书注册机构的从业人员进行岗位培训,建立培训制度,制定培训计划,加强考核并做好培训记录。
第三十一条【业务终止与承接】电子政务电子认证服务机构拟暂停或者终止电子政务电子认证服务的,应当在暂停或者终止服务60日前向国家密码管理局报告,并与其他电子政务电子认证服务机构就业务承接进行协商,作出妥善安排。
电子政务电子认证服务机构未能就业务承接事项与其他电子政务电子认证服务机构达成协议的,应当申请国家密码管理局安排其他电子政务电子认证服务机构承接其业务。
电子政务电子认证服务机构被依法吊销电子政务电子认证服务资质的,其业务承接事项的处理按照国家密码管理局的规定执行。
电子政务电子认证服务机构有根据国家密码管理局的安排承接其他机构开展的电子政务电子认证服务业务的义务。
第四章 监督管理
第三十二条【监督检查】密码管理部门依法对电子政务电子认证服务活动进行监督检查。
监督检查可以采取书面检查、实地核查、网络监测等方式,并可以组织专家或者委托专业机构开展有关检测鉴定工作。
第三十三条【监督检查要求】密码管理部门依法实施监督检查时,可以调查、了解有关情况,查阅、复制有关资料。电子政务电子认证服务机构及其设立的电子签名认证证书注册机构应当予以配合,如实提供相关材料和技术支持。
第三十四条【监督检查要求】密码管理部门开展监督检查,不得妨碍电子政务电子认证服务机构及其设立的电子签名认证证书注册机构正常的经营和服务活动,不得收取任何费用,不得泄露在履行职责中所知悉的商业秘密和个人隐私。
第三十五条【年度报告】电子政务电子认证服务机构应当于每年1月15日前向住所地省、自治区、直辖市密码管理部门报送上一年度工作报告,包括:
(一)持续符合资质认定条件和要求的情况;
(二)电子政务电子认证服务业务开展情况及相关统计数据;
(三)电子认证服务系统安全运行情况;
(四)电子政务电子认证服务及其使用密码安全管理体系执行情况。
第三十六条【重大事项报告】有下列情形之一的,电子政务电子认证服务机构应当自发生之日起15日内向住所地省、自治区、直辖市密码管理部门报告:
(一)重大安全风险和安全事件;
(二)重要系统、关键设备事故;
(三)关键岗位人员变动;
(四)重大法律诉讼。
第三十七条【信用监管】密码管理部门应当建立电子政务电子认证服务机构、电子签名认证证书注册机构的信用记录制度,并根据随机抽查、日常监督检查和投诉举报查处等情况,对其违法违规行为及处理决定记入信用记录。
第三十八条【重点监管】电子政务电子认证服务机构及其设立的电子签名认证证书注册机构有下列情形之一的,密码管理部门应当进行重点监督检查:
(一)上一年度监督检查中发现存在严重问题;
(二)因违反有关法律法规受到行政处罚;
(三)有不良信用记录;
(四)其他需要重点监督检查的情形。
第五章 法律责任
第三十九条【资质相关罚则】未经认定从事电子政务电子认证服务的,由密码管理部门依据《中华人民共和国密码法》和《商用密码管理条例》有关规定进行处罚。
第四十条【相关罚则】电子政务电子认证服务机构违反《中华人民共和国密码法》、《商用密码管理条例》和本办法有关规定,有下列情形之一的,由密码管理部门责令改正或者停止违法行为,给予警告,没收违法所得;违法所得30万元以上的,可以并处违法所得1倍以上3倍以下罚款;没有违法所得或者违法所得不足30万元的,可以并处10万元以上30万元以下罚款;情节严重的,责令停业整顿,直至吊销电子政务电子认证服务机构资质:
(一)超出批准范围开展电子政务电子认证服务;
(二)拒不报送或者不如实报送年度报告、重大事项报告等实施情况;
(三)未履行保密义务;
(四)未按照电子政务电子认证服务技术规范、规则提供电子政务电子认证服务。
第四十一条【相关罚则】电子政务电子认证服务机构违反本办法有关规定,有下列情形之一的,由密码管理部门责令改正;逾期未改正或者改正后仍不符合要求的,处1万元以上10万元以下罚款:
(一)电子签名认证证书内容和格式不符合规定要求;
(二)电子签名制作数据未由通过检测认证的商用密码设备生成和使用;
(三)受理电子签名认证证书申请时未履行有关告知义务,未查验证书申请人身份,或者未对证书申请材料进行审查;
(四)未与证书申请人签订电子政务电子认证服务协议;
(五)未妥善保存与电子政务电子认证服务相关的信息。
第四十二条【相关罚则】电子政务电子认证服务机构违反本办法有关规定,有下列情形之一的,由密码管理部门责令改正;逾期未改正或者改正后仍不符合要求的,处5000元以上3万元以下罚款:
(一)未按照要求进行资质证书信息公示;
(二)未按照要求办理变更手续;
(三)未按照要求履行有关备案义务;
(四)未对电子政务电子认证服务每年至少进行一次合规性评估并对发现的问题及时整改,或者未及时向住所地省、自治区、直辖市密码管理部门报送合规性评估报告;
(五)设立的电子签名认证证书注册机构未按照法律、行政法规和电子政务电子认证服务技术规范、规则开展电子签名认证证书注册业务;
(六)设立的电子签名认证证书注册机构以自身名义与证书申请人签订电子政务电子认证服务协议,或者委托其他机构开展电子签名认证证书注册业务;
(七)未建立投诉处理机制并公布投诉方式,或者未及时受理并处理有关投诉事项;
(八)未对从业人员进行岗位培训;
(九)未按照要求报送暂停或者终止电子政务电子认证服务的情况。
第四十三条【监管责任】从事电子政务电子认证服务监督管理工作的人员滥用职权、玩忽职守、徇私舞弊,或者泄露、非法向他人提供在履行职责中知悉的商业秘密、个人隐私、举报人信息的,依法给予处分。
第六章 附则
第四十四条【施行时间】本办法自××××年××月××日起施行。