《电子认证服务管理办法》已经2009年2月4日中华人民共和国工业和信息化部第6次部务会议审议通过,现予公布,自2009年3月31日起施行。原中华人民共和国信息产业部2005年2月8日发布的《电子认证服务管理办法》(中华人民共和国信息产业部令第35号)同时废止。
部 长 李毅中
二〇〇九年二月十八日
电 子 认 证 服 务 管 理 办 法
第一章 总 则
第一条 为了规范电子认证服务行为,对电子认证服务提供者实施监督管理,根据《中华人民共和国电子签名法》和其他法律、行政法规的规定,制定本办法。
第二条 本办法所称电子认证服务,是指为电子签名相关各方提供真实性、可靠性验证的活动。
本办法所称电子认证服务提供者,是指为需要第三方认证的电子签名提供认证服务的机构(以下称为“电子认证服务机构”)。
向社会公众提供服务的电子认证服务机构应当依法设立。
第三条 在中华人民共和国境内设立电子认证服务机构和为电子签名提供电子认证服务,适用本办法。
第四条 中华人民共和国工业和信息化部(以下简称“工业和信息化部”)依法对电子认证服务机构和电子认证服务实施监督管理。
第二章 电子认证服务机构
第五条 电子认证服务机构应当具备下列条件:
(一)具有独立的企业法人资格。
(二)具有与提供电子认证服务相适应的人员。从事电子认证服务的专业技术人员、运营管理人员、安全管理人员和客户服务人员不少于30名,并且应当符合相应岗位技能要求。
(三)注册资本不低于人民币3000万元。
(四)具有固定的经营场所和满足电子认证服务要求的物理环境。
(五)具有符合国家有关安全标准的技术和设备。
(六)具有国家密码管理机构同意使用密码的证明文件。
(七)法律、行政法规规定的其他条件。
第六条 申请电子认证服务许可的,应当向工业和信息化部提交下列材料:
(一)书面申请。
(二)人员证明。
(三)资金证明(经依法审计的近3年的财务会计报告,新成立公司的验资报告)。
(四)经营场所证明。
(五)国家有关认证检测机构出具的技术、设备、物理环境符合国家有关安全标准的凭证。
(六)国家密码管理机构同意使用密码的证明文件。
第七条 工业和信息化部对提交的申请材料进行形式审查。申请材料齐全、符合法定形式的,应当向申请人出具受理通知书。申请材料不齐全或者不符合法定形式的,应当当场或者在5日内一次告知申请人需要补正的全部内容。
第八条 工业和信息化部对决定受理的申请材料进行实质审查。需要对有关内容进行核实的,指派两名以上工作人员实地进行核查。
第九条 工业和信息化部对与申请人有关事项书面征求中华人民共和国商务部等有关部门的意见。
第十条 工业和信息化部应当自接到申请之日起45日内作出准予许可或者不予许可的书面决定。不予许可的,应当书面通知申请人并说明理由;准予许可的,颁发《电子认证服务许可证》,并公布下列信息:
(一)《电子认证服务许可证》编号。
(二)电子认证服务机构名称。
(三)发证机关和发证日期。
电子认证服务许可相关信息发生变更的,工业和信息化部应当及时公布。
《电子认证服务许可证》的有效期为5年。
第十一条 取得电子认证服务许可的,应当持《电子认证服务许可证》到工商行政管理机关办理相关手续。
第十二条 取得认证资格的电子认证服务机构,在提供电子认证服务之前,应当通过互联网公布下列信息:
(一)机构名称和法定代表人。
(二)机构住所和联系办法。
(三)《电子认证服务许可证》编号。
(四)发证机关和发证日期。
(五)《电子认证服务许可证》有效期的起止时间。
第十三条 电子认证服务机构在《电子认证服务许可证》的有效期内拟变更公司名称、住所、法定代表人、注册资本、类型、股东以及股东的出资方式、出资额、出资时间等事项的,在向公司登记机关申请变更登记前应当报工业和信息化部同意。
第十四条 《电子认证服务许可证》的有效期届满需要延续的,电子认证服务机构应当在许可证有效期届满30日前向工业和信息化部申请办理延续手续,并自办结之日起5日内按照本办法第十二条的规定公布相关信息。
第三章 电子认证服务
第十五条 电子认证服务机构应当按照工业和信息化部公布的《电子认证业务规则规范》等要求,制定本机构的电子认证业务规则和相应的证书策略,在提供电子认证服务前予以公布,并向工业和信息化部备案。
电子认证业务规则和证书策略发生变更的,电子认证服务机构应当予以公布,并自公布之日起30日内向工业和信息化部备案。
第十六条 电子认证服务机构应当按照公布的电子认证业务规则提供电子认证服务。
第十七条 电子认证服务机构应当保证提供下列服务:
(一)制作、签发、管理电子签名认证证书。
(二)确认签发的电子签名认证证书的真实性。
(三)提供电子签名认证证书目录信息查询服务。
(四)提供电子签名认证证书状态信息查询服务。
第十八条 电子认证服务机构应当履行下列义务:
(一)保证电子签名认证证书内容在有效期内完整、准确。
(二)保证电子签名依赖方能够证实或者了解电子签名认证证书所载内容及其他有关事项。
(三)妥善保存与电子认证服务相关的信息。
第十九条 电子认证服务机构应当建立完善的安全管理和内部审计制度。
第二十条 电子认证服务机构应当遵守国家的保密规定,建立完善的保密制度。
电子认证服务机构对电子签名人和电子签名依赖方的资料,负有保密的义务。
第二十一条 电子认证服务机构在受理电子签名认证证书申请前,应当向申请人告知下列事项:
(一)电子签名认证证书和电子签名的使用条件。
(二)服务收费的项目和标准。
(三)保存和使用证书持有人信息的权限和责任。
(四)电子认证服务机构的责任范围。
(五)证书持有人的责任范围。
(六)其他需要事先告知的事项。
第二十二条 电子认证服务机构受理电子签名认证申请后,应当与证书申请人签订合同,明确双方的权利义务。
第四章 电子认证服务的暂停、终止
第二十三条 电子认证服务机构在《电子认证服务许可证》的有效期内拟终止电子认证服务的,应当在终止服务60日前向工业和信息化部报告,并办理《电子认证服务许可证》注销手续,持工业和信息化部的相关证明文件向工商行政管理机关申请办理注销登记或者变更登记。
第二十四条 电子认证服务机构拟暂停或者终止电子认证服务的,应当在暂停或者终止电子认证服务90日前,就业务承接及其他有关事项通知有关各方。
电子认证服务机构拟暂停或者终止电子认证服务的,应当在暂停或者终止电子认证服务60日前向工业和信息化部报告,并与其他电子认证服务机构就业务承接进行协商,作出妥善安排。
第二十五条 电子认证服务机构拟暂停或者终止电子认证服务,未能就业务承接事项与其他电子认证服务机构达成协议的,应当申请工业和信息化部安排其他电子认证服务机构承接其业务。
第二十六条 电子认证服务机构被依法吊销电子认证服务许可的,其业务承接事项按照工业和信息化部的规定处理。
第二十七条 电子认证服务机构有根据工业和信息化部的安排承接其他机构开展的电子认证服务业务的义务。
第五章 电子签名认证证书
第二十八条 电子签名认证证书应当准确载明下列内容:
(一)签发电子签名认证证书的电子认证服务机构名称。
(二)证书持有人名称。
(三)证书序列号。
(四)证书有效期。
(五)证书持有人的电子签名验证数据。
(六)电子认证服务机构的电子签名。
(七)工业和信息化部规定的其他内容。
第二十九条 有下列情况之一的,电子认证服务机构可以撤销其签发的电子签名认证证书:
(一)证书持有人申请撤销证书。
(二)证书持有人提供的信息不真实。
(三)证书持有人没有履行双方合同规定的义务。
(四)证书的安全性不能得到保证。
(五)法律、行政法规规定的其他情况。
第三十条 有下列情况之一的,电子认证服务机构应当对申请人提供的证明身份的有关材料进行查验,并对有关材料进行审查:
(一)申请人申请电子签名认证证书。
(二)证书持有人申请更新证书。
(三)证书持有人申请撤销证书。
第三十一条 电子认证服务机构更新或者撤销电子签名认证证书时,应当予以公告。
第六章 监督管理
第三十二条 工业和信息化部对电子认证服务机构进行定期、不定期的监督检查,监督检查的内容主要包括法律法规符合性、安全运营管理、风险管理等。
工业和信息化部对电子认证服务机构实行监督检查时,应当记录监督检查的情况和处理结果,由监督检查人员签字后归档。公众有权查阅监督检查记录。
工业和信息化部对电子认证服务机构实行监督检查,不得妨碍电子认证服务机构正常的生产经营活动,不得收取任何费用。
第三十三条 取得电子认证服务许可的电子认证服务机构,在电子认证服务许可的有效期内不得降低其设立时所应具备的条件。
第三十四条 电子认证服务机构应当如实向工业和信息化部报送认证业务开展情况报告、财务会计报告等有关资料。
第三十五条 电子认证服务机构有下列情况之一的,应当及时向工业和信息化部报告:
(一)重大系统、关键设备事故。
(二)重大财产损失。
(三)重大法律诉讼。
(四)关键岗位人员变动。
第三十六条 电子认证服务机构应当对其从业人员进行岗位培训。
第三十七条 工业和信息化部根据监督管理工作的需要,可以委托有关省、自治区和直辖市信息产业主管部门承担具体的监督管理事项。
第七章 罚 则
第三十八条 电子认证服务机构向工业和信息化部隐瞒有关情况、提供虚假材料或者拒绝提供反映其活动的真实材料的,由工业和信息化部责令改正,给予警告或者处以5000元以上1万元以下的罚款。
第三十九条 工业和信息化部与省、自治区、直辖市信息产业主管部门的工作人员,不依法履行监督管理职责的,由工业和信息化部或者省、自治区、直辖市信息产业主管部门依据职权视情节轻重,分别给予警告、记过、记大过、降级、撤职、开除的行政处分;构成犯罪的,依法追究刑事责任。
第四十条 电子认证服务机构违反本办法第十三条、第十五条、第二十七条的规定的,由工业和信息化部依据职权责令限期改正,处以警告,可以并处1万元以下的罚款。
第四十一条 电子认证服务机构违反本办法第三十三条的规定的,由工业和信息化部依据职权责令限期改正,处以3万元以下的罚款,并将上述情况向社会公告。
第八章 附 则
第四十二条 经工业和信息化部根据有关协议或者对等原则核准后,中华人民共和国境外的电子认证服务机构在境外签发的电子签名认证证书与依照本办法设立的电子认证服务机构签发的电子签名认证证书具有同等的法律效力。
第四十三条 本办法自2009年3月31日起施行。2005年2月8日发布的《电子认证服务管理办法》(中华人民共和国信息产业部令第35号)同时废止。