《电子政务电子认证服务管理办法》(国家密码管理局令第4号)
国家密码管理局令
第 4 号
局 长 刘东方
电子政务电子认证服务管理办法
第一章 总 则
第二条 在中华人民共和国境内设立电子政务电子认证服务机构、提供电子政务电子认证服务及其监督管理,适用本办法。
第三条 本办法所称电子政务电子认证服务,是指采用商用密码技术为政务活动提供电子签名认证服务,保证电子签名的真实性和可靠性的活动。
第五条 国家密码管理局对全国电子政务电子认证服务活动实施监督管理。
第二章 资质认定
(一)具有企业法人或者事业单位法人资格;
(二)具有与从事电子政务电子认证服务活动及其使用密码相适应的资金;
(三)具有与从事电子政务电子认证服务活动及其使用密码相适应的运营场所;
(四)具有在境内设置、符合国家有关密码标准的电子认证服务系统等设备设施;
(五)具有30名以上与从事电子政务电子认证服务活动及其使用密码相适应的专业技术人员、运营管理人员、安全管理人员和客户服务人员等专业人员;
(六)具有为政务活动提供长期电子政务电子认证服务的能力,包括持续保持财务状况良好、运营资金充足、设备设施稳定运行、专业人员队伍稳定,没有重大违法记录或者不良信用记录等;
(七)具有保证电子政务电子认证服务活动及其使用密码安全运行的管理体系。
第七条 申请电子政务电子认证服务机构资质,应当向国家密码管理局提出书面申请,向国家密码管理局委托进行受理的省、自治区、直辖市密码管理部门提交下列材料:
(一)电子政务电子认证服务机构资质申请表;
(二)法人资格证书;
(三)资金情况,包括注册资本、资本结构、股权结构、运营资金保障等情况;
(四)运营场所情况;
(五)电子认证服务系统相关技术材料及相关设备清单,包括电子认证服务系统建设工作报告、技术工作报告、安全性设计报告、安全管理策略和规范、标准符合性自评估报告,相关软件、硬件清单及其符合国家有关安全标准的情况等;
(六)专业人员情况;
(七)为用户提供长期服务和质量保障能力说明及承诺;
(八)电子政务电子认证服务及其使用密码安全管理体系建立情况,包括业务运营管理、电子认证服务系统运行管理、人员管理、档案管理、安全保密管理等管理体系建立情况。
第八条 受国家密码管理局委托进行受理的省、自治区、直辖市密码管理部门自收到申请材料之日起5个工作日内,对申请材料进行形式审查,根据下列情况分别作出处理:申请材料齐全、符合规定形式的,应当受理行政许可申请并出具受理通知书;申请材料不齐全或者不符合规定形式的,应当当场或者在5个工作日内一次告知需要补正的全部内容;不予受理的,应当出具不予受理通知书并说明理由。
第九条 国家密码管理局应当自行政许可申请受理之日起20个工作日内,对行政许可申请进行审查,并依法作出是否许可的决定。准予许可的,颁发《电子政务电子认证服务机构资质证书》,并予以公开;不予许可的,应当出具不予行政许可决定书,说明理由并告知申请人相关权利。
需要对申请人进行技术评审的,技术评审所需时间不计算在本条规定的期限内。国家密码管理局应当将所需时间书面告知申请人。
技术评审包括电子认证服务系统安全性审查,运营场所、设备设施、管理体系建设实地查勘,专业人员能力考核等。
专业机构和专家应当独立、公正、科学、诚信地开展技术评审活动,对技术评审结论的真实性、符合性负责,并承担相应法律责任。国家密码管理局应当对技术评审活动进行监督,建立责任追究机制。
第十一条 外商投资电子政务电子认证服务,影响或者可能影响国家安全的,应当依法进行外商投资安全审查。
第十二条 《电子政务电子认证服务机构资质证书》有效期5年,内容包括:获证机构名称、证书编号、有效期限、发证机关和发证日期等。
《电子政务电子认证服务机构资质证书》由正本和副本组成,正本、副本具有同等法律效力。
禁止转让、出租、出借、伪造、变造、冒用、租借《电子政务电子认证服务机构资质证书》。
第十三条 电子政务电子认证服务机构应当在其网站和运营场所公布并及时更新其《电子政务电子认证服务机构资质证书》的机构名称、证书编号、有效期限、发证机关和发证日期等内容。
第十四条 有下列情形之一的,电子政务电子认证服务机构应当自变更之日起30日内向国家密码管理局办理变更手续:
(一)机构名称、住所、法定代表人发生变更;
(二)机构注册资本、资本结构、股权结构、法人性质或者单位隶属关系发生变更;
(三)电子认证服务系统等设备设施发生变化,影响或者可能影响电子政务电子认证服务使用密码安全;
(四)新建、搬迁电子认证服务系统;
(五)依法需要办理变更的其他事项。
电子政务电子认证服务机构发生变更的事项影响其符合资质认定条件和要求的,国家密码管理局根据申请人的实际情况,采取书面或者现场形式开展审查。需要进行技术评审的,依照本办法第十条规定对其开展技术评审。
第三章 行为规范
第十六条 电子政务电子认证服务机构应当按照国家密码管理局公布的电子政务电子认证业务规则规范等要求,制定本机构的电子政务电子认证业务规则和相应的电子签名认证证书策略,在提供电子政务电子认证服务前予以公布,并向住所地省、自治区、直辖市密码管理部门备案。
电子政务电子认证业务规则和电子签名认证证书策略发生变更的,电子政务电子认证服务机构应当予以公布,并自公布之日起30日内向住所地省、自治区、直辖市密码管理部门备案。
电子政务电子认证服务机构应当保持本机构已公布的电子政务电子认证业务规则和电子签名认证证书策略的可访问性。
第十七条 电子政务电子认证服务机构应当按照本机构公布的电子政务电子认证业务规则提供电子政务电子认证服务。
第十八条 电子政务电子认证服务机构应当保证提供下列服务:
(一)电子签名认证证书注册、签发、更新、撤销等生命周期管理服务;
(二)电子签名认证证书信息查询服务;
(三)电子签名认证证书状态查询服务;
(四)电子签名认证证书使用支持服务;
(五)其他与电子签名认证相关的服务。
第十九条 电子政务电子认证服务机构签发的电子签名认证证书应当载明下列内容:
(一)电子政务电子认证服务机构名称;
(二)电子签名认证证书持有人名称;
(三)电子签名认证证书序列号;
(四)电子签名认证证书有效期;
(五)电子签名认证证书对应的证书策略对象标识符;
(六)电子签名制作数据对应的电子签名验证数据;
(七)电子政务电子认证服务机构的电子签名;
(八)国家密码管理局规定的其他内容。
第二十条 电子政务电子认证服务机构应当保证电子签名认证证书内容在有效期内完整、准确,并保证电子签名依赖方能够证实或者了解电子签名认证证书所载内容及其他有关事项。
第二十一条 电子签名人向电子政务电子认证服务机构申请电子签名认证证书,应当提供真实、完整和准确的信息。
电子政务电子认证服务机构受理电子签名认证证书申请时,应当对申请人的身份进行查验,对有关申请材料进行审查,并向申请人告知电子签名认证证书和电子签名的使用条件、电子签名所产生的法律责任、保存和使用电子签名认证证书持有人信息的权限和责任、电子政务电子认证服务机构和电子签名认证证书持有人的责任范围等事项。
电子政务电子认证服务机构受理电子签名认证证书申请后,应当与申请人签订电子政务电子认证服务协议,明确双方的权利义务。
第二十二条 电子政务电子认证服务机构应当遵守国家有关密码管理要求,保障电子政务电子认证服务使用密码安全。
电子政务电子认证服务机构提供的电子政务电子认证服务应当纳入统一的电子认证信任体系,遵守电子认证服务互信互认要求。
第二十三条 电子政务电子认证服务机构应当建立完善的保密制度,对其在工作中知悉的国家秘密、商业秘密和个人隐私承担保密义务,采取相应的技术措施和其他必要措施保护有关信息和数据安全。
第二十四条 电子政务电子认证服务机构应当完整记录和保存与电子签名认证相关的信息,保证认证过程和结果具有可追溯性,信息保存期限至少为电子签名认证证书失效后5年。
第二十五条 电子政务电子认证服务机构委托其他机构开展电子签名认证证书注册业务的,应当自委托协议签订之日起30日内将受委托开展电子签名认证证书注册业务的机构(以下简称受委托机构)名称、负责人,电子签名认证证书注册业务办理地址,委托事项等情况向受委托机构住所地省、自治区、直辖市密码管理部门备案。备案内容发生变更的,电子政务电子认证服务机构应当自变更之日起30日内向受委托机构住所地省、自治区、直辖市密码管理部门备案。
电子政务电子认证服务机构应当对受委托机构开展电子签名认证证书注册业务的行为进行监督,并对该行为的后果承担法律责任。
受委托机构在委托范围内,以委托其开展电子签名认证证书注册业务的电子政务电子认证服务机构名义开展电子签名认证证书注册业务,不得再委托其他机构或者个人开展电子签名认证证书注册业务。
第二十六条 电子政务电子认证服务机构应当自行或者委托专业机构每年至少进行一次电子政务电子认证服务合规性评估,对评估中发现的问题及时进行整改,并向住所地省、自治区、直辖市密码管理部门报送合规性评估报告。
第二十七条 电子政务电子认证服务机构应当建立和完善投诉处理机制,公布投诉方式,畅通投诉渠道,及时受理并妥善处理有关投诉事项。
第二十八条 电子政务电子认证服务机构应当对本单位及受委托机构的从业人员进行岗位培训,建立培训制度,制定培训计划,加强考核并做好培训记录。
第二十九条 电子政务电子认证服务机构拟暂停或者终止电子政务电子认证服务的,应当在暂停或者终止服务60日前向国家密码管理局报告,并与其他电子政务电子认证服务机构就业务承接进行协商,作出妥善安排。
电子政务电子认证服务机构未能就业务承接事项与其他电子政务电子认证服务机构达成协议的,应当申请国家密码管理局安排其他电子政务电子认证服务机构承接其业务。
电子政务电子认证服务机构被依法吊销电子政务电子认证服务机构资质的,其业务承接事项的处理按照国家密码管理局的规定执行。
第四章 监督管理
(四)重大财产损失。
第五章 法律责任
第六章 附 则
声明:本文来自微信公众号“国家密码管理局”,版权归作者所有。文章内容仅代表作者独立观点,不代表量安科技立场,转载目的在于传递更多信息。