《《电子认证服务管理办法(征.docx》由会员分享,可在线阅读,更多相关《《电子认证服务管理办法(征.docx(19页珍藏版)》请在优知文库上搜索。
1、附件1电子认证服务管理办法(征求意见稿)第一章总则第一条为了规范电子认证服务行为,对电子认证服务提供者实施监督管理,根据中华人民共和国电子签名法等有关法律法规,制定本办法。第二条本办法所称电子认证服务,是指电子认证服务提供者为电子签名人签发电子签名认证证书,为电子签名相关各方提供真实性、可靠性验证的活动。仅用于识别证书持有人身份的活动不属于本办法管理范畴。本办法所称电子认证服务提供者,是指为需要第三方认证的电子签名提供认证服务的机构(以下称为“电子认证服务机构”)。向社会公众提供服务的电子认证服务机构应当依法设立。第三条在中华人民共和国境内设立电子认证服务机构和为电子签名提供电子认证服务,适用
2、本办法。第四条中华人民共和国工业和信息化部(以下简称“工业和信息化部”)依法对电子认证服务机构和电子认证服务实施监督管理。第二章资质认定第五条电子认证服务机构应当具备下列条件:(一)具有独立的企业法人资格;(二)具有与提供电子认证服务相适应的人员,从事电子认证服务的专业技术人员、运营管理人员、安全管理人员和客户服务人员不少于六十名,并符合相应岗位技能要求;(三)注册资本不低于人民币七千万元;(四)具有与提供电子认证服务相适应的办公场所、服务网点和机房物理环境,且需符合国家相关标准,及本法对电子认证服务机构做出的相关要求;(五)具有符合国家有关安全标准的技术和设备;(六)具有国家密码管理机构同意
3、使用密码的证明文件;(七)具有长期安全稳定提供电子认证服务的能力,包括持续保持运营资金充足、财务状况良好、设备设施稳定运行、运营人员队伍稳定;(八)无重大违法记录或者不良信用记录。第六条申请电子认证服务许可的,应当向工业和信息化部提交下列材料:(一)电子认证服务行政许可申请表,包括基本情况、人员情况、经营场所情况、股权结构情况等;(一)机构章程;(三)资金情况,包括注册资金及资本结构,运营资金、损害赔偿责任资金来源等;(四)电子认证服务相关技术材料、管理制度及设备清单,包括电子认证业务规则,证书策略,安全管理制度,数据管理制度,内部审计制度,保密制度以及相关软件和设备清单等;(五)电子认证服务
4、业务发展规划报告,包括研发投入计划,业务应用场景,服务网点布局,预期经济效益分析,合规评估与风险管理,投诉处理方案,为用户提供长期服务和质量保障的说明及承诺等;(六)资格证明材料,包括企业法人资格证明,与从事经营活动相适应的人员证明、经营场所证明和资金情况证明,国家有关认证检测机构出具的技术、设备、物理环境符合国家有关安全标准的凭证,国家企业信息信用公示系统的查询报告,国家密码管理机构同意使用密码的证明等。第七条工业和信息化部对提交的申请材料进行形式审杳。申请材料齐全、符合法定形式的,应当向申请人出具受理通知书。申请材料不齐全或者不符合法定形式的,应当当场或者在五个工作日内一次告知申请人需要补
5、正的全部内容。不予受理的,应当出具不予受理通知书并说明理由。第八条工业和信息化部对决定受理的申请材料进行实质审查,指派两名以上工作人员实地进行核查。第九条工业和信息化部根据技术评审需要和专业要求,可以组织专家或者委托专业机构实施评审并出具评审意见。评审所需时间不计算在许可审批时限内。工业和信息化部应当将评审所需时间书面告知申请人。评审包括电子认证业务规则和证书策略符合性分析,业务发展规划可行性分析,系统安全性审查,运营场所和物理环境、设备设施、管理体系建设实地查勘,数据接入方案,专业人员能力考核等。专家或者专业机构应当独立、公正、科学、诚信地开展评审活动,对评审结论的真实性、符合性负责,并承担
6、相应法律责任。第十条工业和信息化部对新增电子认证服务行政许可书面征求中华人民共和国商务部的意见。第H一条工业和信息化部应当自接到申请之日起四十五个工作日内作出准予许可或者不予许可的书面决定。不予许可的,应当书面通知申请人并说明理由;准予许可的,颁发电子认证服务许可证,并公布下列信息:电子认证服务许可证编号、电子认证服务机构名称、发证机关和发证日期。电子认证服务许可相关信息发生变更的,工业和信息化部应当及时公布。电子认证服务许可证的有效期为五年。第十二条电子认证服务机构不得倒卖、出租、出借、伪造、变造、冒用或者以其他形式非法转让电子认证服务许可证。第十三条取得认证资格的电子认证服务机构,应当通过
7、互联网公布并及时更新下列信息:(一)机构名称和法定代表人;(二)机构住所、经营场所(含服务网点)的地址和联系方式;(三)电子认证服务许可证编号、发证机关和发证日期、有效期的起止时间。第十四条有下列情形之一的,电子认证服务机构应当自变更之日起三十日内向工业和信息化部申请办理变更手续:(一)机构名称、住所、法定代表人、服务网点布局发生变化的;(二)机构注册资本、资本结构、股权结构、法人性质或者单位隶属关系发生变更的;(三)电子认证服务系统等设备设施发生变化,影响或者可能影响电子认证服务系统安全性,或者新建、搬迁电子认证服务系统;(四)依法需要办理变更的其他事项。电子认证服务机构发生变更的事项影响其
8、符合资质认定条件和要求的,工业和信息化部根据申请人的实际情况,采取书面或者现场形式开展审查。需要进行专家评审的,依照本办法第九条规定对其开展评审。第十五条电子认证服务许可证的有效期届满需要延续的,电子认证服务机构应当在许可证有效期届满三十日前向工业和信息化部申请办理延续手续,并自办结之日起五日内按照本办法第十三条的规定公布相关信息。工业和信息化部应当依照本办法有关规定进行审查,作出是否准予许可延续的决定。第三章行为规范第十六条电子认证服务机构从事电子认证服务应当坚持以人民为中心,提升服务质量,依法经营、勤勉尽责、诚实守信,接受社会公众监督。工业和信息化部建立和完善守信激励与失信惩戒制度,倡导和
9、褒扬诚实守信,依法对失信行为进行惩戒和约束。第十七条电子认证服务机构应当按照工业和信息化部公布的电子认证业务规则等要求,制定本机构的电子认证业务规则和相应的证书策略,在提供电子认证服务前予以公布,并向工业和信息化部备案。电子认证业务规则和证书策略发生变更的,电子认证服务机构应当予以公布,并自公布之日起三十日内向工业和信息化部备案。第十八条电子认证服务机构应当按照公布的电子认证业务规则提供电子认证服务。第十九条电子认证服务机构应当保证提供下列服务:(一)制作、签发、管理电子签名认证证书;(二)确认签发的电子签名认证证书的真实性;(三)提供电子签名认证证书目录信息查询服务;(四)提供电子签名认证证
10、书状态信息查询服务。第二十条电子认证服务机构应当履行下列义务:(一)对申请人进行身份查验,清晰完整记录申请人申请、更新、变更、撤销电子签名认证证书等环节的意愿以及证书办理、接受过程;(二)保证电子签名认证证书内容在有效期内完整、准确;(三)保证电子签名依赖方能够证实或者了解电子签名认证证书所载内容及其他有关事项;(四)更新或者撤销电子签名认证证书时,应当予以公告;(五)妥善保存与电子认证服务相关的信息,信息保存期限至少为电子签名认证证书失效后五年;(六)建立投诉处理机制并予以公布,妥善处理与电子认证服务有关的投诉。第二十一条电子签名认证证书应当准确载明下列内容:(一)签发电子签名认证证书的电子
11、认证服务机构名称;(二)证书持有人名称;(三)证书序列号;(四)证书有效期;(五)证书持有人的电子签名验证数据;(六)电子认证服务机构的电子签名;(七)电子签名认证证书策略对象标识符;(八)工业和信息化部规定的其他内容。第二十二条电子认证服务机构不得就证书申请的受理和查验,证书的签发和交付向外部机构或个人进行委托。第二十三条电子认证服务机构在受理电子签名认证证书申请前,应当向申请人告知下列事项:(一)申请人的权利和义务;(二)电子签名认证证书和电子签名的使用条件;(三)服务收费的项目和标准;(四)保存和使用证书持有人信息的权限和责任,数据备份至国家电子认证服务管理平台的情况;(五)电子认证服务
12、机构的责任范围;(六)证书持有人的责任范围;(七)其他需要事先告知的事项。第二十四条电子认证服务机构受理电子签名认证证书申请后,应当与证书申请人签订电子认证服务协议,明确双方的权利义务。第二十五条有下列情况之一的,电子认证服务机构可以撤销其签发的电子签名认证证书:(一)证书持有人申请撤销证书;(二)证书持有人提供的信息不真实;(三)证书持有人没有履行双方服务协议规定的义务;(四)证书的安全性不能得到保证;(五)法律、行政法规规定的其他情况。第二十六条电子认证服务机构应当建立完善的安全管理和内部审计制度。第二十七条电子认证服务机构应当遵守国家的保密规定,建立完善的保密制度。电子认证服务机构对电子
13、签名人和电子签名依赖方的资料,负有保密的义务。第二十八条电子认证服务机构应当确保电子签名认证证书及认证相关信息可追溯。第二十九条电子认证服务机构应当如实上报数据,并将数据接入至国家电子认证服务管理平台。电子认证服务机构应将证书链提交工业和信息化部备案,其电子认证服务应当纳入电子认证信任体系,遵循电子认证服务互信互认要求。第三十条电子认证服务机构应当在服务提供所在省、自治区、直辖市、计划单列市设置服务网点,合理安排服务时间,方便用户。第三十一条电子认证服务机构拟暂停或者终止电子认证服务的,应当在暂停或者终止电子认证服务九十日前,就业务承接及其他事项通知有关各方,做好通知证书持有人、移交与认证相关
14、的数据等善后工作。电子认证服务机构应当在暂停或者终止电子认证服务六十日前向工业和信息化部报告,并与其他电子认证服务机构就业务承接进行协商,作出妥善安排。拟终止电子认证服务的,应申请办理电子认证服务许可证注销手续。未能就业务承接事项与其他电子认证服务机构达成协议的,应当申请工业和信息化部安排其他电子认证服务机构承接其业务。电子认证服务机构被依法吊销电子认证服务许可的,其业务承接事项按照工业和信息化部的规定处理。电子认证服务机构有根据工业和信息化部的安排承接其他机构开展的电子认证服务业务的义务。第四章监督管理第三十二条工业和信息化部对电子认证服务机构进行监督检杳,内容包括法律法规符合性、安全运营管
15、理、风险管理、投诉处理等。工业和信息化部对电子认证服务机构实行监督检查时,应当记录监督检查的情况和处理结果,由监督检查人员签字后归档。对电子认证服务机构实行监督检查,不得妨碍电子认证服务机构正常的生产经营活动,不得收取任何费用。第三十三条工业和信息化部根据监督管理工作的需要,可以委托有关省、自治区、直辖市工业和信息化主管部门承担具体的监督管理事项,包括配合工业和信息化部开展行政许可新申请检查、行政许可延续申请检查等监督检查,对行政区域管辖范围内的服务网点进行监督管理等有关事项。第三十四条取得电子认证服务许可的电子认证服务机构,在电子认证服务许可的有效期内不得降低其设立时所应具备的条件。第三十五条电子认证服务机构应当如实向工业和信息化部报送电子认证业务开展情况报告、国家企业信息信用公示系统的查询报告、财务会计报告等有关资料。第三十六条电子认证服务机构有下列情况之一的,应当自发生之日起十五日内向工业和信息化部报告:(一)重大安全风险和安全事件;(二)重要系统、关键设备事故;(三)重大财产损失:(四)关键岗位人员变动;(五)重大法律诉讼。电子认证服务机构应当将上述情况向其董事会或股东会报告,涉及国家出资的,应当同时向其履行出资人职责的机构报告。第三十七条电子认证服务机构应当对其从业人员进
免费区 