電子政務(wù)電子認證服務(wù)管理辦法

第一章　總　則

第一條　為了規范電子政務(wù)電子認證服務(wù)行為，對電子政務(wù)電子認證服務(wù)機構實(shí)施監督管理，保障電子政務(wù)安全可靠，維護有關(guān)各方合法權益，根據《中華人民共和國密碼法》、《中華人民共和國電子簽名法》和《商用密碼管理條例》等有關(guān)法律法規，制定本辦法。

第二條　在中華人民共和國境內設立電子政務(wù)電子認證服務(wù)機構、提供電子政務(wù)電子認證服務(wù)及其監督管理，適用本辦法。

第三條　本辦法所稱(chēng)電子政務(wù)電子認證服務(wù)，是指采用商用密碼技術(shù)為政務(wù)活動(dòng)提供電子簽名認證服務(wù)，保證電子簽名的真實(shí)性和可靠性的活動(dòng)。

第四條　從事電子政務(wù)電子認證服務(wù)的機構，應當經(jīng)國家密碼管理局認定，依法取得電子政務(wù)電子認證服務(wù)機構資質(zhì)。

第五條　國家密碼管理局對全國電子政務(wù)電子認證服務(wù)活動(dòng)實(shí)施監督管理。

縣級以上地方各級密碼管理部門(mén)對本行政區域的電子政務(wù)電子認證服務(wù)活動(dòng)實(shí)施監督管理。

第二章　資質(zhì)認定

第六條　取得電子政務(wù)電子認證服務(wù)機構資質(zhì)，應當符合下列條件：

（一）具有企業(yè)法人或者事業(yè)單位法人資格；

（二）具有與從事電子政務(wù)電子認證服務(wù)活動(dòng)及其使用密碼相適應的資金；

（三）具有與從事電子政務(wù)電子認證服務(wù)活動(dòng)及其使用密碼相適應的運營(yíng)場(chǎng)所；

（四）具有在境內設置、符合國家有關(guān)密碼標準的電子認證服務(wù)系統等設備設施；

（五）具有30名以上與從事電子政務(wù)電子認證服務(wù)活動(dòng)及其使用密碼相適應的專(zhuān)業(yè)技術(shù)人員、運營(yíng)管理人員、安全管理人員和客戶(hù)服務(wù)人員等專(zhuān)業(yè)人員；

（六）具有為政務(wù)活動(dòng)提供長(cháng)期電子政務(wù)電子認證服務(wù)的能力，包括持續保持財務(wù)狀況良好、運營(yíng)資金充足、設備設施穩定運行、專(zhuān)業(yè)人員隊伍穩定，沒(méi)有重大違法記錄或者不良信用記錄等；

（七）具有保證電子政務(wù)電子認證服務(wù)活動(dòng)及其使用密碼安全運行的管理體系。

第七條　申請電子政務(wù)電子認證服務(wù)機構資質(zhì)，應當向國家密碼管理局提出書(shū)面申請，向國家密碼管理局委托進(jìn)行受理的省、自治區、直轄市密碼管理部門(mén)提交下列材料：

（一）電子政務(wù)電子認證服務(wù)機構資質(zhì)申請表；

（二）法人資格證書(shū)；

（三）資金情況，包括注冊資本、資本結構、股權結構、運營(yíng)資金保障等情況；

（四）運營(yíng)場(chǎng)所情況；

（五）電子認證服務(wù)系統相關(guān)技術(shù)材料及相關(guān)設備清單，包括電子認證服務(wù)系統建設工作報告、技術(shù)工作報告、安全性設計報告、安全管理策略和規范、標準符合性自評估報告，相關(guān)軟件、硬件清單及其符合國家有關(guān)安全標準的情況等；

（六）專(zhuān)業(yè)人員情況；

（七）為用戶(hù)提供長(cháng)期服務(wù)和質(zhì)量保障能力說(shuō)明及承諾；

（八）電子政務(wù)電子認證服務(wù)及其使用密碼安全管理體系建立情況，包括業(yè)務(wù)運營(yíng)管理、電子認證服務(wù)系統運行管理、人員管理、檔案管理、安全保密管理等管理體系建立情況。

第八條　受?chē)颐艽a管理局委托進(jìn)行受理的省、自治區、直轄市密碼管理部門(mén)自收到申請材料之日起5個(gè)工作日內，對申請材料進(jìn)行形式審查，根據下列情況分別作出處理：申請材料齊全、符合規定形式的，應當受理行政許可申請并出具受理通知書(shū)；申請材料不齊全或者不符合規定形式的，應當當場(chǎng)或者在5個(gè)工作日內一次告知需要補正的全部?jì)热?/span>；不予受理的，應當出具不予受理通知書(shū)并說(shuō)明理由。

第九條　國家密碼管理局應當自行政許可申請受理之日起20個(gè)工作日內，對行政許可申請進(jìn)行審查，并依法作出是否許可的決定。準予許可的，頒發(fā)《電子政務(wù)電子認證服務(wù)機構資質(zhì)證書(shū)》，并予以公開(kāi)；不予許可的，應當出具不予行政許可決定書(shū)，說(shuō)明理由并告知申請人相關(guān)權利。

需要對申請人進(jìn)行技術(shù)評審的，技術(shù)評審所需時(shí)間不計算在本條規定的期限內。國家密碼管理局應當將所需時(shí)間書(shū)面告知申請人。

第十條　國家密碼管理局根據技術(shù)評審需要和專(zhuān)業(yè)要求，可以委托專(zhuān)業(yè)機構或者組織專(zhuān)家實(shí)施技術(shù)評審。

技術(shù)評審包括電子認證服務(wù)系統安全性審查，運營(yíng)場(chǎng)所、設備設施、管理體系建設實(shí)地查勘，專(zhuān)業(yè)人員能力考核等。

專(zhuān)業(yè)機構和專(zhuān)家應當獨立、公正、科學(xué)、誠信地開(kāi)展技術(shù)評審活動(dòng)，對技術(shù)評審結論的真實(shí)性、符合性負責，并承擔相應法律責任。國家密碼管理局應當對技術(shù)評審活動(dòng)進(jìn)行監督，建立責任追究機制。

第十一條　外商投資電子政務(wù)電子認證服務(wù)，影響或者可能影響國家安全的，應當依法進(jìn)行外商投資安全審查。

第十二條　《電子政務(wù)電子認證服務(wù)機構資質(zhì)證書(shū)》有效期5年，內容包括：獲證機構名稱(chēng)、證書(shū)編號、有效期限、發(fā)證機關(guān)和發(fā)證日期等。

《電子政務(wù)電子認證服務(wù)機構資質(zhì)證書(shū)》由正本和副本組成，正本、副本具有同等法律效力。

禁止轉讓、出租、出借、偽造、變造、冒用、租借《電子政務(wù)電子認證服務(wù)機構資質(zhì)證書(shū)》。

第十三條　電子政務(wù)電子認證服務(wù)機構應當在其網(wǎng)站和運營(yíng)場(chǎng)所公布并及時(shí)更新其《電子政務(wù)電子認證服務(wù)機構資質(zhì)證書(shū)》的機構名稱(chēng)、證書(shū)編號、有效期限、發(fā)證機關(guān)和發(fā)證日期等內容。

第十四條　有下列情形之一的，電子政務(wù)電子認證服務(wù)機構應當自變更之日起30日內向國家密碼管理局辦理變更手續：

（一）機構名稱(chēng)、住所、法定代表人發(fā)生變更；

（二）機構注冊資本、資本結構、股權結構、法人性質(zhì)或者單位隸屬關(guān)系發(fā)生變更；

（三）電子認證服務(wù)系統等設備設施發(fā)生變化，影響或者可能影響電子政務(wù)電子認證服務(wù)使用密碼安全；

（四）新建、搬遷電子認證服務(wù)系統；

（五）依法需要辦理變更的其他事項。

電子政務(wù)電子認證服務(wù)機構發(fā)生變更的事項影響其符合資質(zhì)認定條件和要求的，國家密碼管理局根據申請人的實(shí)際情況，采取書(shū)面或者現場(chǎng)形式開(kāi)展審查。需要進(jìn)行技術(shù)評審的，依照本辦法第十條規定對其開(kāi)展技術(shù)評審。

第十五條　電子政務(wù)電子認證服務(wù)機構資質(zhì)有效期屆滿(mǎn)需要延續的，應當在有效期屆滿(mǎn)60日前向國家密碼管理局提出書(shū)面申請。國家密碼管理局根據申請人的實(shí)際情況，采取書(shū)面或者現場(chǎng)形式進(jìn)行審查，并在電子政務(wù)電子認證服務(wù)機構資質(zhì)有效期屆滿(mǎn)前作出是否準予延續的決定。

第三章　行為規范

第十六條　電子政務(wù)電子認證服務(wù)機構應當按照國家密碼管理局公布的電子政務(wù)電子認證業(yè)務(wù)規則規范等要求，制定本機構的電子政務(wù)電子認證業(yè)務(wù)規則和相應的電子簽名認證證書(shū)策略，在提供電子政務(wù)電子認證服務(wù)前予以公布，并向住所地省、自治區、直轄市密碼管理部門(mén)備案。

電子政務(wù)電子認證業(yè)務(wù)規則和電子簽名認證證書(shū)策略發(fā)生變更的，電子政務(wù)電子認證服務(wù)機構應當予以公布，并自公布之日起30日內向住所地省、自治區、直轄市密碼管理部門(mén)備案。

電子政務(wù)電子認證服務(wù)機構應當保持本機構已公布的電子政務(wù)電子認證業(yè)務(wù)規則和電子簽名認證證書(shū)策略的可訪(fǎng)問(wèn)性。

第十七條　電子政務(wù)電子認證服務(wù)機構應當按照本機構公布的電子政務(wù)電子認證業(yè)務(wù)規則提供電子政務(wù)電子認證服務(wù)。

第十八條　電子政務(wù)電子認證服務(wù)機構應當保證提供下列服務(wù)：

（一）電子簽名認證證書(shū)注冊、簽發(fā)、更新、撤銷(xiāo)等生命周期管理服務(wù)；

（二）電子簽名認證證書(shū)信息查詢(xún)服務(wù)；

（三）電子簽名認證證書(shū)狀態(tài)查詢(xún)服務(wù)；

（四）電子簽名認證證書(shū)使用支持服務(wù)；

（五）其他與電子簽名認證相關(guān)的服務(wù)。

第十九條　電子政務(wù)電子認證服務(wù)機構簽發(fā)的電子簽名認證證書(shū)應當載明下列內容：

（一）電子政務(wù)電子認證服務(wù)機構名稱(chēng)；

（二）電子簽名認證證書(shū)持有人名稱(chēng)；

（三）電子簽名認證證書(shū)序列號；

（四）電子簽名認證證書(shū)有效期；

（五）電子簽名認證證書(shū)對應的證書(shū)策略對象標識符；

（六）電子簽名制作數據對應的電子簽名驗證數據；

（七）電子政務(wù)電子認證服務(wù)機構的電子簽名；

（八）國家密碼管理局規定的其他內容。

第二十條　電子政務(wù)電子認證服務(wù)機構應當保證電子簽名認證證書(shū)內容在有效期內完整、準確，并保證電子簽名依賴(lài)方能夠證實(shí)或者了解電子簽名認證證書(shū)所載內容及其他有關(guān)事項。

第二十一條　電子簽名人向電子政務(wù)電子認證服務(wù)機構申請電子簽名認證證書(shū)，應當提供真實(shí)、完整和準確的信息。

電子政務(wù)電子認證服務(wù)機構受理電子簽名認證證書(shū)申請時(shí)，應當對申請人的身份進(jìn)行查驗，對有關(guān)申請材料進(jìn)行審查，并向申請人告知電子簽名認證證書(shū)和電子簽名的使用條件、電子簽名所產(chǎn)生的法律責任、保存和使用電子簽名認證證書(shū)持有人信息的權限和責任、電子政務(wù)電子認證服務(wù)機構和電子簽名認證證書(shū)持有人的責任范圍等事項。

電子政務(wù)電子認證服務(wù)機構受理電子簽名認證證書(shū)申請后，應當與申請人簽訂電子政務(wù)電子認證服務(wù)協(xié)議，明確雙方的權利義務(wù)。

第二十二條　電子政務(wù)電子認證服務(wù)機構應當遵守國家有關(guān)密碼管理要求，保障電子政務(wù)電子認證服務(wù)使用密碼安全。

電子政務(wù)電子認證服務(wù)機構提供的電子政務(wù)電子認證服務(wù)應當納入統一的電子認證信任體系，遵守電子認證服務(wù)互信互認要求。

第二十三條　電子政務(wù)電子認證服務(wù)機構應當建立完善的保密制度，對其在工作中知悉的國家秘密、商業(yè)秘密和個(gè)人隱私承擔保密義務(wù)，采取相應的技術(shù)措施和其他必要措施保護有關(guān)信息和數據安全。

第二十四條　電子政務(wù)電子認證服務(wù)機構應當完整記錄和保存與電子簽名認證相關(guān)的信息，保證認證過(guò)程和結果具有可追溯性，信息保存期限至少為電子簽名認證證書(shū)失效后5年。

第二十五條　電子政務(wù)電子認證服務(wù)機構委托其他機構開(kāi)展電子簽名認證證書(shū)注冊業(yè)務(wù)的，應當自委托協(xié)議簽訂之日起30日內將受委托開(kāi)展電子簽名認證證書(shū)注冊業(yè)務(wù)的機構（以下簡(jiǎn)稱(chēng)受委托機構）名稱(chēng)、負責人，電子簽名認證證書(shū)注冊業(yè)務(wù)辦理地址，委托事項等情況向受委托機構住所地省、自治區、直轄市密碼管理部門(mén)備案。備案內容發(fā)生變更的，電子政務(wù)電子認證服務(wù)機構應當自變更之日起30日內向受委托機構住所地省、自治區、直轄市密碼管理部門(mén)備案。

電子政務(wù)電子認證服務(wù)機構應當對受委托機構開(kāi)展電子簽名認證證書(shū)注冊業(yè)務(wù)的行為進(jìn)行監督，并對該行為的后果承擔法律責任。

受委托機構在委托范圍內，以委托其開(kāi)展電子簽名認證證書(shū)注冊業(yè)務(wù)的電子政務(wù)電子認證服務(wù)機構名義開(kāi)展電子簽名認證證書(shū)注冊業(yè)務(wù)，不得再委托其他機構或者個(gè)人開(kāi)展電子簽名認證證書(shū)注冊業(yè)務(wù)。

第二十六條　電子政務(wù)電子認證服務(wù)機構應當自行或者委托專(zhuān)業(yè)機構每年至少進(jìn)行一次電子政務(wù)電子認證服務(wù)合規性評估，對評估中發(fā)現的問(wèn)題及時(shí)進(jìn)行整改，并向住所地省、自治區、直轄市密碼管理部門(mén)報送合規性評估報告。

第二十七條　電子政務(wù)電子認證服務(wù)機構應當建立和完善投訴處理機制，公布投訴方式，暢通投訴渠道，及時(shí)受理并妥善處理有關(guān)投訴事項。

第二十八條　電子政務(wù)電子認證服務(wù)機構應當對本單位及受委托機構的從業(yè)人員進(jìn)行崗位培訓，建立培訓制度，制定培訓計劃，加強考核并做好培訓記錄。

第二十九條　電子政務(wù)電子認證服務(wù)機構擬暫?；蛘呓K止電子政務(wù)電子認證服務(wù)的，應當在暫?；蛘呓K止服務(wù)60日前向國家密碼管理局報告，并與其他電子政務(wù)電子認證服務(wù)機構就業(yè)務(wù)承接進(jìn)行協(xié)商，作出妥善安排。

電子政務(wù)電子認證服務(wù)機構未能就業(yè)務(wù)承接事項與其他電子政務(wù)電子認證服務(wù)機構達成協(xié)議的，應當申請國家密碼管理局安排其他電子政務(wù)電子認證服務(wù)機構承接其業(yè)務(wù)。

電子政務(wù)電子認證服務(wù)機構被依法吊銷(xiāo)電子政務(wù)電子認證服務(wù)機構資質(zhì)的，其業(yè)務(wù)承接事項的處理按照國家密碼管理局的規定執行。

電子政務(wù)電子認證服務(wù)機構有根據國家密碼管理局的安排承接其他機構開(kāi)展的電子政務(wù)電子認證服務(wù)業(yè)務(wù)的義務(wù)。

第四章　監督管理

第三十條　密碼管理部門(mén)依法對電子政務(wù)電子認證服務(wù)活動(dòng)進(jìn)行監督檢查。監督檢查可以采取書(shū)面檢查、實(shí)地核查、網(wǎng)絡(luò )監測等方式。

第三十一條　密碼管理部門(mén)依法實(shí)施監督檢查時(shí)，可以進(jìn)入電子政務(wù)電子認證服務(wù)活動(dòng)場(chǎng)所實(shí)施現場(chǎng)檢查，調查、了解有關(guān)情況，查閱、復制有關(guān)資料，并可以委托專(zhuān)業(yè)機構或者組織專(zhuān)家開(kāi)展有關(guān)檢測鑒定工作。

電子政務(wù)電子認證服務(wù)機構及受委托機構應當予以配合，并如實(shí)提供相關(guān)材料和技術(shù)支持。

第三十二條　密碼管理部門(mén)開(kāi)展監督檢查，不得妨礙電子政務(wù)電子認證服務(wù)機構及受委托機構的正常經(jīng)營(yíng)和服務(wù)活動(dòng)，不得收取任何費用，不得泄露或者非法向他人提供在履行職責中知悉的商業(yè)秘密和個(gè)人隱私。

第三十三條　電子政務(wù)電子認證服務(wù)機構有下列情形之一的，密碼管理部門(mén)應當進(jìn)行重點(diǎn)監督檢查：

（一）一年內在監督檢查中發(fā)現存在嚴重問(wèn)題；

（二）因違反有關(guān)法律法規受到行政處罰；

（三）其他需要進(jìn)行重點(diǎn)監督檢查的情形。

第三十四條　電子政務(wù)電子認證服務(wù)機構應當保證其基本條件和能力能夠持續符合資質(zhì)認定條件和要求。

第三十五條　電子政務(wù)電子認證服務(wù)機構應當于每年1月15日前向住所地省、自治區、直轄市密碼管理部門(mén)報送上一年度工作報告，包括：

（一）持續符合資質(zhì)認定條件和要求的情況；

（二）電子政務(wù)電子認證服務(wù)業(yè)務(wù)開(kāi)展情況及相關(guān)統計數據；

（三）行為規范執行情況；

（四）電子認證服務(wù)系統安全運行情況；

（五）電子政務(wù)電子認證服務(wù)及其使用密碼安全管理體系執行情況。

第三十六條　有下列情形之一的，電子政務(wù)電子認證服務(wù)機構應當自發(fā)生之日起15日內向住所地省、自治區、直轄市密碼管理部門(mén)報告：

（一）重大安全風(fēng)險和安全事件；

（二）重要系統、關(guān)鍵設備事故；

（三）關(guān)鍵崗位人員變動(dòng)；

（四）重大財產(chǎn)損失。

第五章　法律責任

第三十七條　未經(jīng)認定從事電子政務(wù)電子認證服務(wù)的，由密碼管理部門(mén)依據《中華人民共和國密碼法》和《商用密碼管理條例》有關(guān)規定進(jìn)行處罰。

第三十八條　電子政務(wù)電子認證服務(wù)機構違反《中華人民共和國密碼法》、《商用密碼管理條例》和本辦法有關(guān)規定，有下列情形之一的，由密碼管理部門(mén)責令改正或者停止違法行為，給予警告，沒(méi)收違法所得；違法所得30萬(wàn)元以上的，可以并處違法所得1倍以上3倍以下罰款；沒(méi)有違法所得或者違法所得不足30萬(wàn)元的，可以并處10萬(wàn)元以上30萬(wàn)元以下罰款；情節嚴重的，責令停業(yè)整頓，直至吊銷(xiāo)電子政務(wù)電子認證服務(wù)機構資質(zhì)：

（一）超出批準范圍開(kāi)展電子政務(wù)電子認證服務(wù)；

（二）轉讓、出租、出借、偽造、變造、冒用、租借《電子政務(wù)電子認證服務(wù)機構資質(zhì)證書(shū)》；

（三）未按照本機構公布的電子政務(wù)電子認證業(yè)務(wù)規則提供電子政務(wù)電子認證服務(wù)；

（四）電子簽名認證證書(shū)內容不符合規定要求；

（五）電子簽名認證證書(shū)申請受理未查驗申請人身份、未審查有關(guān)申請材料、未向申請人告知有關(guān)事項，或者未與申請人簽訂電子政務(wù)電子認證服務(wù)協(xié)議；

（六）泄露或者非法向他人提供在履行職責中知悉的商業(yè)秘密、個(gè)人隱私；

（七）未按照要求完整記錄、保存與電子簽名認證相關(guān)的信息；

（八）未履行監督義務(wù)，受委托機構以自身名義開(kāi)展電子簽名認證證書(shū)注冊業(yè)務(wù)，或者再委托其他機構、個(gè)人開(kāi)展電子簽名認證證書(shū)注冊業(yè)務(wù)；

（九）拒不報送或者不如實(shí)報送年度工作報告、重大事項報告等實(shí)施情況。

第三十九條　電子政務(wù)電子認證服務(wù)機構違反本辦法有關(guān)規定，有下列情形之一的，由密碼管理部門(mén)責令改正；逾期未改正或者改正后仍不符合要求的，處1萬(wàn)元以上10萬(wàn)元以下罰款：

（一）未按照本辦法第十四條規定辦理變更手續；

（二）未按照本辦法第十六條、第二十五條規定進(jìn)行備案；

（三）未按照要求進(jìn)行電子政務(wù)電子認證服務(wù)合規性評估，或者未對評估中發(fā)現的問(wèn)題及時(shí)進(jìn)行整改；

（四）未建立投訴處理機制、公布投訴方式，或者未及時(shí)受理、妥善處理有關(guān)投訴事項；

（五）未對本單位及受委托機構的從業(yè)人員進(jìn)行崗位培訓；

（六）未按照要求報告暫?；蛘呓K止電子政務(wù)電子認證服務(wù)的情況；

（七）未按照要求承接電子政務(wù)電子認證服務(wù)業(yè)務(wù)。

第四十條　電子簽名人或者電子簽名依賴(lài)方因依據電子政務(wù)電子認證服務(wù)機構提供的電子簽名認證服務(wù)在政務(wù)活動(dòng)中遭受損失，電子政務(wù)電子認證服務(wù)機構不能證明自己無(wú)過(guò)錯的，承擔賠償責任。

第四十一條　從事電子政務(wù)電子認證服務(wù)監督管理工作的人員濫用職權、玩忽職守、徇私舞弊，或者泄露、非法向他人提供在履行職責中知悉的商業(yè)秘密、個(gè)人隱私、舉報人信息的，依法給予處分。

第六章　附　則

第四十二條　本辦法自2024年11月1日起施行。 

附件：電子政務(wù)電子認證服務(wù)管理辦法（文字版）

           電子政務(wù)電子認證服務(wù)管理辦法（PDF版）