电子政务电子认证做事治理办法国家密码治理局令第4号

第 4 号

《电子政务电子认证做事管理办法》已经2024年8月26日国家密码管理局局务会议审议通过，现予公布，自2024年11月1日起施行。

局 长 刘东方

2024年9月4日

电子政务电子认证做事管理办法

第一条　为了规范电子政务电子认证做事行为，对电子政务电子认证做事机构履行监督管理，保障电子政务安全可靠，掩护有关各朴直当权柄，根据《中华公民共和国密码法》、《中华公民共和国电子署名法》和《商用密码管理条例》等有关法律法规，制订本办法。

第二条　在中华公民共和国境内设立电子政务电子认证做事机构、供应电子政务电子认证做事及其监督管理，适用本办法。

第三条　本办法所称电子政务电子认证做事，是指采取商用密码技能为政务活动供应电子署名认证做事，担保电子署名的真实性和可靠性的活动。

第四条　从事电子政务电子认证做事的机构，应该经国家密码管理局认定，依法取得电子政务电子认证做事机构资质。

第五条　国家密码管理局对全国电子政务电子认证做事活动履行监督管理。

县级以上地方各级密码管理部门对本行政区域的电子政务电子认证做事活动履行监督管理。

第六条　取得电子政务电子认证做事机构资质，应该符合下列条件：

（一）具有企业法人或者奇迹单位法人资格；

（二）具有与从事电子政务电子认证做事活动及其利用密码相适应的资金；

（三）具有与从事电子政务电子认证做事活动及其利用密码相适应的运营场所；

（四）具有在境内设置、符合国家有关密码标准的电子认证做事系统等设备举动步伐；

（五）具有30名以上与从事电子政务电子认证做事活动及其利用密码相适应的专业技能职员、运营管理职员、安全管理职员和客户做事职员等专业职员；

（六）具有为政务活动供应长期电子政务电子认证做事的能力，包括持续保持财务状况良好、运营资金充足、设备举动步伐稳定运行、专业职员军队稳定，没有重大违法记录或者不良信用记录等；

（七）具有担保电子政务电子认证做事活动及其利用密码安全运行的管理体系。

第七条　申请电子政务电子认证做事机构资质，应该向国家密码管理局提出书面申请，向国家密码管理局委托进行受理的省、自治区、直辖市密码管理部门提交下列材料：

（一）电子政务电子认证做事机构资质申请表；

（二）法人资格证书；

（三）资金情形，包括注书籍钱、成本构造、股权构造、运营资金保障等情形；

（四）运营场所情形；

（五）电子认证做事系统干系技能材料及干系设备清单，包括电子认证做事系统培植事情报告、技能事情报告、安全性设计报告、安全管理策略和规范、标准符合性自评估报告，干系软件、硬件清单及其符合国家有关安全标准的情形等；

（六）专业职员情形；

（七）为用户供应长期做事和质量保障能力解释及承诺；

（八）电子政务电子认证做事及其利用密码安全管理体系建立情形，包括业务运营管理、电子认证做事系统运行管理、职员管理、档案管理、安全保密管理等管理体系建立情形。

第八条　受国家密码管理局委托进行受理的省、自治区、直辖市密码管理部门自收到申请材料之日起5个事情日内，对申请材料进行形式审查，根据下列情形分别作出处理：申请材料完好、符合规定形式的，应该受理行政容许申请并出具受理关照书；申请材料不完好或者不符合规定形式的，应该当场或者在5个事情日内一次奉告须要补正的全部内容；不予受理的，应该出具不予受理关照书并解释情由。

第九条　国家密码管理局应该自行政容许申请受理之日起20个事情日内，对行政容许申请进行审查，并依法作出是否容许的决定。
准予容许的，颁发《电子政务电子认证做事机构资质证书》，并予以公开；不予容许的，应该出具不予行政容许决定书，解释情由并奉告申请人干系权利。

须要对申请人进行技能评审的，技能评审所需韶光不打算在本条规定的期限内。
国家密码管理局应该将所需韶光书面奉告申请人。

第十条　国家密码管理局根据技能评审须要和专业哀求，可以委托专业机构或者组织专家履行技能评审。

技能评审包括电子认证做事系统安全性审查，运营场所、设备举动步伐、管理体系培植实地查勘，专业职员能力考察等。

专业机构和专家应该独立、公道、科学、诚信地开展技能评审活动，对技能评审结论的真实性、符合性卖力，并承担相应法律任务。
国家密码管理局应该对技能评审活动进行监督，建立任务深究机制。

第十一条　外商投资电子政务电子认证做事，影响或者可能影响国家安全的，应该依法进行外商投资安全审查。

第十二条　《电子政务电子认证做事机构资质证书》有效期5年，内容包括：获证机构名称、证书编号、有效期限、发证机关和发证日期等。

《电子政务电子认证做事机构资质证书》由正本和副本组成，正本、副本具有同等法律效力。

禁止转让、出租、出借、假造、变造、冒用、租借《电子政务电子认证做事机构资质证书》。

第十三条　电子政务电子认证做事机构应该在其网站和运营场所公布并及时更新其《电子政务电子认证做事机构资质证书》的机构名称、证书编号、有效期限、发证机关和发证日期等内容。

第十四条　有下列环境之一的，电子政务电子认证做事机构应该自变更之日起30日内向国家密码管理局办理变更手续：

（一）机构名称、住所、法定代表人发生变更；

（二）机构注书籍钱、成本构造、股权构造、法人性质或者单位从属关系发生变更；

（三）电子认证做事系统等设备举动步伐发生变革，影响或者可能影响电子政务电子认证做事利用密码安全；

（四）新建、迁居电子认证做事系统；

（五）依法须要办理变更的其他事变。

电子政务电子认证做事机构发生变更的事变影响其符合资质认定条件和哀求的，国家密码管理局根据申请人的实际情形，采纳书面或者现场形式开展审查。
须要进行技能评审的，依照本办法第十条规定对其开展技能评审。

第十五条　电子政务电子认证做事机构资质有效期届满须要延续的，应该在有效期届满60日前向国家密码管理局提出书面申请。
国家密码管理局根据申请人的实际情形，采纳书面或者现场形式进行审查，并在电子政务电子认证做事机构资质有效期届满前作出是否准予延续的决定。

第十六条　电子政务电子认证做事机构应该按照国家密码管理局公布的电子政务电子认证业务规则规范等哀求，制订本机构的电子政务电子认证业务规则和相应的电子署名认证证书策略，在供应电子政务电子认证做事前予以公布，并向住所地省、自治区、直辖市密码管理部门备案。

电子政务电子认证业务规则和电子署名认证证书策略发生变更的，电子政务电子认证做事机构应该予以公布，并自公布之日起30日内向住所地省、自治区、直辖市密码管理部门备案。

电子政务电子认证做事机构应该保持本机构已公布的电子政务电子认证业务规则和电子署名认证证书策略的可访问性。

第十七条　电子政务电子认证做事机构应该按照本机构公布的电子政务电子认证业务规则供应电子政务电子认证做事。

第十八条　电子政务电子认证做事机构应该担保供应下列做事：

（一）电子署名认证证书注册、签发、更新、撤销等生命周期管理做事；

（二）电子署名认证证书信息查询做事；

（三）电子署名认证证书状态查询做事；

（四）电子署名认证证书利用支持做事；

（五）其他与电子署名认证干系的做事。

第十九条　电子政务电子认证做事机构签发的电子署名认证证书应该载明下列内容：

（一）电子政务电子认证做事机构名称；

（二）电子署名认证证书持有人名称；

（三）电子署名认证证书序列号；

（四）电子署名认证证书有效期；

（五）电子署名认证证书对应的证书策略工具标识符；

（六）电子署名制作数据对应的电子署名验证数据；

（七）电子政务电子认证做事机构的电子署名；

（八）国家密码管理局规定的其他内容。

第二十条　电子政务电子认证做事机构应该担保电子署名认证证书内容在有效期内完全、准确，并担保电子署名依赖方能够证明或者理解电子署名认证证书所载内容及其他有关事变。

第二十一条　电子署名人向电子政务电子认证做事机构申请电子署名认证证书，应该供应真实、完全和准确的信息。

电子政务电子认证做事机构受理电子署名认证证书申请时，应该对申请人的身份进行查验，对有关申请材料进行审查，并向申请人奉告电子署名认证证书和电子署名的利用条件、电子署名所产生的法律任务、保存和利用电子署名认证证书持有人信息的权限和任务、电子政务电子认证做事机构和电子署名认证证书持有人的任务范围等事变。

电子政务电子认证做事机构受理电子署名认证证书申请后，应该与申请人签订电子政务电子认证做事协议，明确双方的权利责任。

第二十二条　电子政务电子认证做事机构应该遵守国家有关密码管理哀求，保障电子政务电子认证做事利用密码安全。

电子政务电子认证做事机构供应的电子政务电子认证做事应该纳入统一的电子认证信赖体系，遵守电子认证做事互信互认哀求。

第二十三条　电子政务电子认证做事机构应该建立完善的保密制度，对其在事情中知悉的国家秘密、商业秘密和个人隐私承包管密责任，采纳相应的技能方法和其他必要方法保护有关信息和数据安全。

第二十四条　电子政务电子认证做事机构应该完全记录和保存与电子署名认证干系的信息，担保认证过程和结果具有可追溯性，信息保存期限至少为电子署名认证证书失落效后5年。

第二十五条　电子政务电子认证做事机构委托其他机构开展电子署名认证证书注册业务的，应该自委托协议签订之日起30日内将受委托开展电子署名认证证书注册业务的机构（以下简称受委托机构）名称、卖力人，电子署名认证证书注册业务办理地址，委托事变等情形向受委托机构住所地省、自治区、直辖市密码管理部门备案。
备案内容发生变更的，电子政务电子认证做事机构应该自变更之日起30日内向受委托机构住所地省、自治区、直辖市密码管理部门备案。

电子政务电子认证做事机构应该对受委托机构开展电子署名认证证书注册业务的行为进行监督，并对该行为的后果承担法律任务。

受委托机构在委托范围内，以委托其开展电子署名认证证书注册业务的电子政务电子认证做事机构名义开展电子署名认证证书注册业务，不得再委托其他机构或者个人开展电子署名认证证书注册业务。

第二十六条　电子政务电子认证做事机构应该自行或者委托专业机构每年至少进行一次电子政务电子认证做事合规性评估，对评估中创造的问题及时进行整改，并向住所地省、自治区、直辖市密码管理部门报送合规性评估报告。

第二十七条　电子政务电子认证做事机构应该建立和完善投诉处理机制，公布投诉办法，畅通投诉渠道，及时受理并妥善处理有关投诉事变。

第二十八条　电子政务电子认证做事机构应该对本单位及受委托机构的从业职员进行岗位培训，建立培训制度，制订培训操持，加强考察并做好培训记录。

第二十九条　电子政务电子认证做事机构拟停息或者终止电子政务电子认证做事的，应该在停息或者终止做事60日前向国家密码管理局报告，并与其他电子政务电子认证做事机构就业务承接进行协商，作出妥善安排。

电子政务电子认证做事机构未能就业务承接事变与其他电子政务电子认证做事机构达成协议的，应该申请国家密码管理局安排其他电子政务电子认证做事机构承接其业务。

电子政务电子认证做事机构被依法吊销电子政务电子认证做事机构资质的，其业务承接事变的处理按照国家密码管理局的规定实行。

电子政务电子认证做事机构有根据国家密码管理局的安排承接其他机构开展的电子政务电子认证做事业务的责任。

第三十条　密码管理部门依法对电子政务电子认证做事活动进行监督检讨。
监督检讨可以采纳书面检讨、实地核查、网络监测等办法。

第三十一条　密码管理部门依法履行监督检讨时，可以进入电子政务电子认证做事活动场所履行现场检讨，调查、理解有关情形，查阅、复制有关资料，并可以委托专业机构或者组织专家开展有关检测鉴定事情。

电子政务电子认证做事机构及受委托机构应该予以合营，并如实供应干系材料和技能支持。

第三十二条　密码管理部门开展监督检讨，不得妨碍电子政务电子认证做事机构及受委托机构的正常经营和做事活动，不得收取任何用度，不得透露或者造孽向他人供应在履行职责中知悉的商业秘密和个人隐私。

第三十三条　电子政务电子认证做事机构有下列环境之一的，密码管理部门应该进行重点监督检讨：

（一）一年内在监督检讨中创造存在严重问题；

（二）因违反有关法律法规受到行政惩罚；

（三）其他须要进行重点监督检讨的环境。

第三十四条　电子政务电子认证做事机构应该担保其基本条件和能力能够持续符合资质认定条件和哀求。

第三十五条　电子政务电子认证做事机构应该于每年1月15日前向住所地省、自治区、直辖市密码管理部门报送上一年度事情报告，包括：

（一）持续符合资质认定条件和哀求的情形；

（二）电子政务电子认证做事业务开展情形及干系统计数据；

（三）行为规范实行情形；

（四）电子认证做事系统安全运行情形；

（五）电子政务电子认证做事及其利用密码安全管理体系实行情形。

第三十六条　有下列环境之一的，电子政务电子认证做事机构应该自发生之日起15日内向住所地省、自治区、直辖市密码管理部门报告：

（一）重大安全风险和安全事宜；

（二）主要系统、关键设备事件；

（三）关键岗位职员变动；

（四）重大财产丢失。

第五章　法律任务

第三十七条　未经认定从事电子政务电子认证做事的，由密码管理部门依据《中华公民共和国密码法》和《商用密码管理条例》有关规定进行惩罚。

第三十八条　电子政务电子认证做事机构违反《中华公民共和国密码法》、《商用密码管理条例》和本办法有关规定，有下列环境之一的，由密码管理部门责令改正或者停滞违法行为，给予警告，没收违法所得；违法所得30万元以上的，可以并处违法所得1倍以上3倍以下罚款；没有违法所得或者违法所得不敷30万元的，可以并处10万元以上30万元以下罚款；情节严重的，责令停业整顿，直至吊销电子政务电子认证做事机构资质：

（一）超出批准范围开展电子政务电子认证做事；

（二）转让、出租、出借、假造、变造、冒用、租借《电子政务电子认证做事机构资质证书》；

（三）未按照本机构公布的电子政务电子认证业务规则供应电子政务电子认证做事；

（四）电子署名认证证书内容不符合规定哀求；

（五）电子署名认证证书申请受理未查验申请人身份、未审查有关申请材料、未向申请人奉告有关事变，或者未与申请人签订电子政务电子认证做事协议；

（六）透露或者造孽向他人供应在履行职责中知悉的商业秘密、个人隐私；

（七）未按照哀求完全记录、保存与电子署名认证干系的信息；

（八）未履行监督责任，受委托机构以自身名义开展电子署名认证证书注册业务，或者再委托其他机构、个人开展电子署名认证证书注册业务；

（九）拒不报送或者不如实报送年度事情报告、重大事变报告等履行情形。

第三十九条　电子政务电子认证做事机构违反本办法有关规定，有下列环境之一的，由密码管理部门责令改正；过时未改正或者改正后仍不符合哀求的，处1万元以上10万元以下罚款：

（一）未按照本办法第十四条规定办理变更手续；

（二）未按照本办法第十六条、第二十五条规定进行备案；

（三）未按照哀求进行电子政务电子认证做事合规性评估，或者未对评估中创造的问题及时进行整改；

（四）未建立投诉处理机制、公布投诉办法，或者未及时受理、妥善处理有关投诉事变；

（五）未对本单位及受委托机构的从业职员进行岗位培训；

（六）未按照哀求报告停息或者终止电子政务电子认证做事的情形；

（七）未按照哀求承接电子政务电子认证做事业务。

第四十条　电子署名人或者电子署名依赖方因依据电子政务电子认证做事机构供应的电子署名认证做事在政务活动中遭受丢失，电子政务电子认证做事机构不能证明自己无差错的，承担赔偿任务。

第四十一条　从事电子政务电子认证做事监督管理事情的职员滥用权益、玩忽职守、徇私舞弊，或者透露、造孽向他人供应在履行职责中知悉的商业秘密、个人隐私、举报人信息的，依法给予处罚。

第四十二条　本办法自2024年11月1日起施行。

来源：国家密码管理局