中華人民共和國工業和信息化部令
第 1 號
《電子認證服務管理辦法》已經2009年2月4日中華人民共和國工業和信息化部第6次部務會議審議通過,現予公佈,自2009年3月31日起施行。原中華人民共和國信息産業部2005年2月8日發佈的《電子認證服務管理辦法》(中華人民共和國信息産業部令第35號)同時廢止。
部 長 李毅中
二〇〇九年二月二十八日
電子認證服務管理辦法
第一章 總 則
第一條 為了規範電子認證服務行為,對電子認證服務提供者實施監督管理,根據《中華人民共和國電子簽名法》和其他法律、行政法規的規定,制定本辦法。
第二條 本辦法所稱電子認證服務,是指為電子簽名相關各方提供真實性、可靠性驗證的活動。
本辦法所稱電子認證服務提供者,是指為需要第三方認證的電子簽名提供認證服務的機構(以下稱為“電子認證服務機構”)。
向社會公眾提供服務的電子認證服務機構應當依法設立。
第三條 在中華人民共和國境內設立電子認證服務機構和為電子簽名提供電子認證服務,適用本辦法。
第四條 中華人民共和國工業和信息化部(以下簡稱“工業和信息化部”)依法對電子認證服務機構和電子認證服務實施監督管理。
第二章 電子認證服務機構
第五條 電子認證服務機構應當具備下列條件:
(一)具有獨立的企業法人資格。
(二)具有與提供電子認證服務相適應的人員。從事電子認證服務的專業技術人員、運營管理人員、安全管理人員和客戶服務人員不少於三十名,並且應當符合相應崗位技能要求。
(三)註冊資本不低於人民幣三千萬元。
(四)具有固定的經營場所和滿足電子認證服務要求的物理環境。
(五)具有符合國家有關安全標準的技術和設備。
(六)具有國家密碼管理機構同意使用密碼的證明文件。
(七)法律、行政法規規定的其他條件。
第六條 申請電子認證服務許可的,應當向工業和信息化部提交下列材料:
(一)書面申請。
(二)人員證明。
(三)資金證明(經依法審計的近三年的財務會計報告,新成立公司的驗資報告)。
(四)經營場所證明。
(五)國家有關認證檢測機構出具的技術、設備、物理環境符合國家有關安全標準的憑證。
(六)國家密碼管理機構同意使用密碼的證明文件。
第七條 工業和信息化部對提交的申請材料進行形式審查。申請材料齊全、符合法定形式的,應當向申請人出具受理通知書。申請材料不齊全或者不符合法定形式的,應噹噹場或者在五日內一次告知申請人需要補正的全部內容。
第八條 工業和信息化部對決定受理的申請材料進行實質審查。需要對有關內容進行核實的,指派兩名以上工作人員實地進行核查。
第九條 工業和信息化部對與申請人有關事項書面徵求中華人民共和國商務部等有關部門的意見。
第十條 工業和信息化部應當自接到申請之日起四十五日內作出准予許可或者不予許可的書面決定。不予許可的,應當書面通知申請人並説明理由;准予許可的,頒發《電子認證服務許可證》,並公佈下列信息:
(一)《電子認證服務許可證》編號。
(二)電子認證服務機構名稱。
(三)發證機關和發證日期。
電子認證服務許可相關信息發生變更的,工業和信息化部應當及時公佈。
《電子認證服務許可證》的有效期為五年。
第十一條 取得電子認證服務許可的,應當持《電子認證服務許可證》到工商行政管理機關辦理相關手續。
第十二條 取得認證資格的電子認證服務機構,在提供電子認證服務之前,應當通過互聯網公佈下列信息:
(一)機構名稱和法定代表人。
(二)機構住所和聯絡辦法。
(三)《電子認證服務許可證》編號。
(四)發證機關和發證日期。
(五)《電子認證服務許可證》有效期的起止時間。
第十三條 電子認證服務機構在《電子認證服務許可證》的有效期內擬變更公司名稱、住所、法定代表人、註冊資本、類型、股東以及股東的出資方式、出資額、出資時間等事項的,在向公司登記機關申請變更登記前應當報工業和信息化部同意。
第十四條 《電子認證服務許可證》的有效期屆滿需要延續的,電子認證服務機構應當在許可證有效期屆滿三十日前向工業和信息化部申請辦理延續手續,並自辦結之日起五日內按照本辦法第十二條的規定公佈相關信息。
第三章 電子認證服務
第十五條 電子認證服務機構應當按照工業和信息化部公佈的《電子認證業務規則規範》等要求,制定本機構的電子認證業務規則和相應的證書策略,在提供電子認證服務前予以公佈,並向工業和信息化部備案。
電子認證業務規則和證書策略發生變更的,電子認證服務機構應當予以公佈,並自公佈之日起三十日內向工業和信息化部備案。
第十六條 電子認證服務機構應當按照公佈的電子認證業務規則提供電子認證服務。
第十七條 電子認證服務機構應當保證提供下列服務:
(一)製作、簽發、管理電子簽名認證證書。
(二)確認簽發的電子簽名認證證書的真實性。
(三)提供電子簽名認證證書目錄信息查詢服務。
(四)提供電子簽名認證證書狀態信息查詢服務。
第十八條 電子認證服務機構應當履行下列義務:
(一)保證電子簽名認證證書內容在有效期內完整、準確。
(二)保證電子簽名依賴方能夠證實或者了解電子簽名認證證書所載內容及其他有關事項。
(三)妥善保存與電子認證服務相關的信息。
第十九條 電子認證服務機構應當建立完善的安全管理和內部審計制度。
第二十條 電子認證服務機構應當遵守國家的保密規定,建立完善的保密制度。
電子認證服務機構對電子簽名人和電子簽名依賴方的資料,負有保密的義務。
第二十一條 電子認證服務機構在受理電子簽名認證證書申請前,應當向申請人告知下列事項:
(一)電子簽名認證證書和電子簽名的使用條件。
(二)服務收費的項目和標準。
(三)保存和使用證書持有人信息的權限和責任。
(四)電子認證服務機構的責任範圍。
(五)證書持有人的責任範圍。
(六)其他需要事先告知的事項。
第二十二條 電子認證服務機構受理電子簽名認證申請後,應當與證書申請人簽訂合同,明確雙方的權利義務。
第四章 電子認證服務的暫停、終止
第二十三條 電子認證服務機構在《電子認證服務許可證》的有效期內擬終止電子認證服務的,應當在終止服務六十日前向工業和信息化部報告,並辦理《電子認證服務許可證》登出手續,持工業和信息化部的相關證明文件向工商行政管理機關申請辦理登出登記或者變更登記。
第二十四條 電子認證服務機構擬暫停或者終止電子認證服務的,應當在暫停或者終止電子認證服務九十日前,就業務承接及其他有關事項通知有關各方。
電子認證服務機構擬暫停或者終止電子認證服務的,應當在暫停或者終止電子認證服務六十日前向工業和信息化部報告,並與其他電子認證服務機構就業務承接進行協商,作出妥善安排。
第二十五條 電子認證服務機構擬暫停或者終止電子認證服務,未能就業務承接事項與其他電子認證服務機構達成協定的,應當申請工業和信息化部安排其他電子認證服務機構承接其業務。
第二十六條 電子認證服務機構被依法吊銷電子認證服務許可的,其業務承接事項按照工業和信息化部的規定處理。
第二十七條 電子認證服務機構有根據工業和信息化部的安排承接其他機構開展的電子認證服務業務的義務。
第五章 電子簽名認證證書
第二十八條 電子簽名認證證書應當準確載明下列內容:
(一)簽發電子簽名認證證書的電子認證服務機構名稱。
(二)證書持有人名稱。
(三)證書序列號。
(四)證書有效期。
(五)證書持有人的電子簽名驗證數據。
(六)電子認證服務機構的電子簽名。
(七)工業和信息化部規定的其他內容。
第二十九條 有下列情況之一的,電子認證服務機構可以撤銷其簽發的電子簽名認證證書:
(一)證書持有人申請撤銷證書。
(二)證書持有人提供的信息不真實。
(三)證書持有人沒有履行雙方合同規定的義務。
(四)證書的安全性不能得到保證。
(五)法律、行政法規規定的其他情況。
第三十條 有下列情況之一的,電子認證服務機構應當對申請人提供的證明身份的有關材料進行查驗,並對有關材料進行審查:
(一)申請人申請電子簽名認證證書。
(二)證書持有人申請更新證書。
(三)證書持有人申請撤銷證書。
第三十一條 電子認證服務機構更新或者撤銷電子簽名認證證書時,應當予以公告。
第六章 監督管理
第三十二條 工業和信息化部對電子認證服務機構進行定期、不定期的監督檢查,監督檢查的內容主要包括法律法規符合性、安全運營管理、風險管理等。
工業和信息化部對電子認證服務機構實行監督檢查時,應當記錄監督檢查的情況和處理結果,由監督檢查人員簽字後歸檔。公眾有權查閱監督檢查記錄。
工業和信息化部對電子認證服務機構實行監督檢查,不得妨礙電子認證服務機構正常的生産經營活動,不得收取任何費用。
第三十三條 取得電子認證服務許可的電子認證服務機構,在電子認證服務許可的有效期內不得降低其設立時所應具備的條件。
第三十四條 電子認證服務機構應當如實向工業和信息化部報送認證業務開展情況報告、財務會計報告等有關資料。
第三十五條 電子認證服務機構有下列情況之一的,應當及時向工業和信息化部報告:
(一)重大系統、關鍵設備事故。
(二)重大財産損失。
(三)重大法律訴訟。
(四)關鍵崗位人員變動。
第三十六條 電子認證服務機構應當對其從業人員進行崗位培訓。
第三十七條 工業和信息化部根據監督管理工作的需要,可以委託有關省、自治區和直轄市信息産業主管部門承擔具體的監督管理事項。
第七章 罰 則
第三十八條 電子認證服務機構向工業和信息化部隱瞞有關情況、提供虛假材料或者拒絕提供反映其活動的真實材料的,由工業和信息化部責令改正,給予警告或者處以5000元以上1萬元以下的罰款。
第三十九條 工業和信息化部與省、自治區、直轄市信息産業主管部門的工作人員,不依法履行監督管理職責的,由工業和信息化部或者省、自治區、直轄市信息産業主管部門依據職權視情節輕重,分別給予警告、記過、記大過、降級、撤職、開除的行政處分;構成犯罪的,依法追究刑事責任。
第四十條 電子認證服務機構違反本辦法第十三條、第十五條、第二十七條的規定的,由工業和信息化部依據職權責令限期改正,處以警告,可以並處1萬元以下的罰款。
第四十一條 電子認證服務機構違反本辦法第三十三條的規定的,由工業和信息化部依據職權責令限期改正,處以3萬元以下的罰款,並將上述情況向社會公告。
第八章 附 則
第四十二條 經工業和信息化部根據有關協議或者對等原則核準後,中華人民共和國境外的電子認證服務機構在境外簽發的電子簽名認證證書與依照本辦法設立的電子認證服務機構簽發的電子簽名認證證書具有同等的法律效力。
第四十三條 本辦法自2009年3月31日起施行。2005年2月8日發佈的《電子認證服務管理辦法》(中華人民共和國信息産業部令第35號)同時廢止。