中華人民共和國信息産業部令
第35號
《電子認證服務管理辦法》已經2005年1月28日中華人民共和國信息産業部第十二次部務會議審議通過,現予發佈,自2005年4月1日起施行。
部 長:王旭東
二00五年二月八日
電子認證服務管理辦法
第一章 總 則
第一條 為了規範電子認證服務行為,對電子認證服務提供者實施監督管理,依照《中華人民共和國電子簽名法》和其他法律、行政法規的規定,制定本辦法。
第二條 本辦法所稱電子認證服務,是指為電子簽名相關各方提供真實性、可靠性驗證的公眾服務活動。
本辦法所稱電子認證服務提供者,是指為電子簽名人和電子簽名依賴方提供電子認證服務的第三方機構(以下稱為“電子認證服務機構”)。
第三條 在中華人民共和國境內設立電子認證服務機構和為電子簽名提供電子認證服務,適用本辦法。
第四條 中華人民共和國信息産業部(以下簡稱“信息産業部”)依法對電子認證服務機構和電子認證服務實施監督管理。
第二章 電子認證服務機構
第五條 電子認證服務機構,應當具備下列條件:
(一)具有獨立的企業法人資格;
(二)從事電子認證服務的專業技術人員、運營管理人員、安全管理人員和客戶服務人員不少於三十名;
(三)註冊資金不低於人民幣三千萬元;
(四)具有固定的經營場所和滿足電子認證服務要求的物理環境;
(五)具有符合國家有關安全標準的技術和設備;
(六)具有國家密碼管理機構同意使用密碼的證明文件;
(七)法律、行政法規規定的其他條件。
第六條 申請電子認證服務許可的,應當向信息産業部提交下列材料:
(一)書面申請;
(二)專業技術人員和管理人員證明;
(三)資金和經營場所證明;
(四)國家有關認證檢測機構出具的技術設備、物理環境符合國家有關安全標準的憑證;
(五)國家密碼管理機構同意使用密碼的證明文件。
第七條 信息産業部對提交的申請材料進行形式審查,依法作出是否受理的決定。
第八條 信息産業部對決定受理的申請材料進行實質審查。需要對有關內容進行核實的,指派兩名以上工作人員實地進行核查。
第九條 信息産業部對與申請人有關事項書面徵求中華人民共和國商務部等有關部門的意見。
第十條 信息産業部自接到申請之日起四十五日內作出許可或者不予許可的書面決定。不予許可的,説明理由並書面通知申請人;准予許可的,頒發《電子認證服務許可證》,並公佈下列信息:
(一)《電子認證服務許可證》編號;
(二)電子認證服務機構名稱;
(三)發證機關和發證日期。
電子認證服務許可相關信息發生變更的,信息産業部應當及時公佈。
《電子認證服務許可證》的有效期為五年。
第十一條 取得電子認證服務許可的,應當持《電子認證服務許可證》到工商行政管理機關辦理相關手續。
第十二條 取得認證資格的電子認證服務機構,在提供電子認證服務之前,應當通過互聯網公佈下列信息:
(一)機構名稱和法定代表人;
(二)機構住所和聯絡辦法;
(三)《電子認證服務許可證》編號;
(四)發證機關和發證日期;
(五)《電子認證服務許可證》有效期的起止時間。
第十三條 電子認證服務機構在《電子認證服務許可證》的有效期內變更法人名稱、住所、註冊資本、法定代表人的,應自完成相關變更手續之日起五日內按照本辦法第十二條的規定公佈變更後的信息,並自公佈之日起十五日內向信息産業部備案。
第十四條 《電子認證服務許可證》的有效期屆滿要求續展的,電子認證服務機構應在許可證有效期屆滿三十日前向信息産業部申請辦理續展手續,並自辦結之日起五日內按照本辦法第十二條的規定公佈相關信息。
第三章 電子認證服務
第十五條 電子認證服務機構應當按照信息産業部公佈的《電子認證業務規則規範》的要求,制定本機構的電子認證業務規則,並在提供電子認證服務前予以公佈,向信息産業部備案。
電子認證業務規則發生變更的,電子認證服務機構應當予以公佈,並自公佈之日起三十日內向信息産業部備案。
第十六條 電子認證服務機構應當按照公佈的電子認證業務規則提供電子認證服務。
第十七條 電子認證服務機構應當保證提供下列服務:
(一)製作、簽發、管理電子簽名認證證書;
(二)確認簽發的電子簽名認證證書的真實性;
(三)提供電子簽名認證證書目錄信息查詢服務;
(四)提供電子簽名認證證書狀態信息查詢服務。
第十八條 電子認證服務機構應當履行下列義務:
(一)保證電子簽名認證證書內容在有效期內完整、準確;
(二)保證電子簽名依賴方能夠證實或者了解電子簽名認證證書所載內容及其他有關事項;
(三)妥善保存與電子認證服務相關的信息。
第十九條 電子認證服務機構應當建立完善的安全管理和內部審計制度,並接受信息産業部的監督管理。
第二十條 電子認證服務機構應當遵守國家的保密規定,建立完善的保密制度。
電子認證服務機構對電子簽名人和電子簽名依賴方的資料,負有保密的義務。
第二十一條 電子認證服務機構在受理電子簽名認證證書申請前,應當向申請人告知下列事項:
(一)電子簽名認證證書和電子簽名的使用條件;
(二)服務收費的項目和標準;
(三)保存和使用證書持有人信息的權限和責任;
(四)電子認證服務機構的責任範圍;
(五)證書持有人的責任範圍;
(六)其他需要事先告知的事項。
第二十二條 電子認證服務機構受理電子簽名認證申請後,應當與證書申請人簽訂合同,明確雙方的權利義務。
第四章 電子認證服務的暫停、終止
第二十三條 電子認證服務機構在《電子認證服務許可證》的有效期內擬終止電子認證服務的,應在終止服務六十日前向信息産業部報告,同時向信息産業部申請辦理證書登出手續,並持信息産業部的相關證明文件向工商行政管理機關申請辦理登出登記或者變更登記。
第二十四條 電子認證服務機構擬暫停或者終止電子認證服務的,應在暫停或者終止電子認證服務九十日前,就業務承接及其他有關事項通知有關各方。
電子認證服務機構擬暫停或者終止電子認證服務的,應當在暫停或者終止電子認證服務六十日前向信息産業部報告,並與其他電子認證服務機構就業務承接進行協商,作出妥善安排。
第二十五條 電子認證服務機構擬暫停或者終止電子認證服務,未能就業務承接事項與其他電子認證服務機構達成協定的,應當申請信息産業部安排其他電子認證服務機構承接其業務。
第二十六條 電子認證服務機構被依法吊銷電子認證服務許可的,其業務承接事項的處理按照信息産業部的規定進行。
第二十七條 電子認證服務機構有根據信息産業部的安排承接其他機構開展的電子認證服務業務的義務。
第五章 電子簽名認證證書
第二十八條 電子簽名認證證書應當準確載明下列內容:
(一)簽發電子簽名認證證書的電子認證服務機構名稱;
(二)證書持有人名稱;
(三)證書序列號;
(四)證書有效期;
(五)證書持有人的電子簽名驗證數據;
(六)電子認證服務機構的電子簽名;
(七)信息産業部規定的其他內容。
第二十九條 有下列情況之一的,電子認證服務機構可以撤銷其簽發的電子簽名認證證書:
(一)證書持有人申請撤銷證書;
(二)證書持有人提供的信息不真實;
(三)證書持有人沒有履行雙方合同規定的義務;
(四)證書的安全性不能得到保證;
(五)法律、行政法規規定的其他情況。
第三十條 有下列情況之一的,電子認證服務機構應當對申請人提供的證明身份的有關材料進行查驗,並對有關材料進行審查:
(一)申請人申請電子簽名認證證書;
(二)證書持有人申請更新證書;
(三)證書持有人申請撤銷證書。
第三十一條 電子認證服務機構更新或者撤銷電子簽名認證證書時,應當予以公告。
第六章 監督管理
第三十二條 信息産業部對電子認證服務機構進行年度檢查並公佈檢查結果。
年度檢查採取報告審查和現場核查相結合的方式。
第三十三條 取得電子認證服務許可的電子認證服務機構,在電子認證服務許可的有效期內不得降低其設立時所應具備的條件。
第三十四條 電子認證服務機構應當按照信息産業部信息統計的要求,按時和如實報送認證業務開展情況及有關資料。
第三十五條 電子認證服務機構應當對其從業人員進行崗位培訓。
第三十六條 信息産業部根據監督管理工作的需要,可以委託有關省、自治區和直轄市的信息産業主管部門承擔具體的監督管理事項。
第七章 罰 則
第三十七條 電子認證服務機構向信息産業部隱瞞有關情況、提供虛假材料或者拒絕提供反映其活動的真實材料的,由信息産業部依據職權責令改正,並處警告或者五千元以上一萬元以下罰款。
第三十八條 信息産業部和省、自治區和直轄市的信息産業主管部門的工作人員,不依法履行監督管理職責的,由信息産業部或者省、自治區和直轄市的信息産業主管部門依據職權視情節輕重,分別給予警告、記過、記大過、降級、撤職、開除的行政處分;構成犯罪的,依法追究刑事責任。
第三十九條 電子認證服務機構違反本辦法第十六條、第二十七條的規定的,由信息産業部依據職權責令限期改正,並處警告或一萬元以下的罰款,或者同時處以以上兩種處罰。
第四十條 電子認證服務機構違反本辦法第三十三條的規定的,由信息産業部依據職權責令限期改正,並處三萬元以下罰款。
第八章 附 則
第四十一條 本辦法施行前已從事電子認證服務的機構擬繼續從事電子認證服務的,應在2005年9月30日前依照本辦法取得電子認證服務許可;擬終止電子認證服務的,應當對終止業務的相關事項作出妥善安排。自2005年10月1日起,未取得電子認證服務許可的,不得繼續從事電子認證服務。
第四十二條 經信息産業部根據有關協議或者對等原則核準後,中華人民共和國境外的電子認證服務機構在境外簽發的電子簽名認證證書與依照本辦法設立的電子認證服務機構簽發的電子簽名認證證書具有同等的法律效力。