中華人(rén)民共和(hé)國信息産業部令

第35号

《電(diàn)子認證服務管理(lǐ)辦法》已經2005年1月28日中華人(rén)民共和(hé)國信息産業部第十二次部務會(huì)議審議通(tōng)過，現予發布，自2005年4月1日起施行(xíng)．　

部長王旭東

二00五年二月八日

電(diàn)子認證服務管理(lǐ)辦法

第一章　總則

　　第一條　為(wèi)了規範電(diàn)子認證服務行(xíng)為(wèi)，對電(diàn)子認證服務提供者實施監督管理(lǐ)，依照《中華人(rén)民共和(hé)國電(diàn)子簽名法》和(hé)其他法律、行(xíng)政法規的規定，制(zhì)定本辦法。

　　第二條　本辦法所稱電(diàn)子認證服務，是指為(wèi)電(diàn)子簽名相關各方提供真實性、可(kě)靠性驗證的公衆服務活動。
　　本辦法所稱電(diàn)子認證服務提供者，是指為(wèi)電(diàn)子簽名人(rén)和(hé)電(diàn)子簽名依賴方提供電(diàn)子認證服務的第三方機構（以下稱為(wèi)“電(diàn)子認證服務機構”）。

　　第三條　在中華人(rén)民共和(hé)國境內(nèi)設立電(diàn)子認證服務機構和(hé)為(wèi)電(diàn)子簽名提供電(diàn)子認證服務，适用本辦法。

　　第四條　中華人(rén)民共和(hé)國信息産業部（以下簡稱“信息産業部”）依法對電(diàn)子認證服務機構和(hé)電(diàn)子認證服務實施監督管理(lǐ)。

第二章　電(diàn)子認證服務機構

　　第五條　電(diàn)子認證服務機構，應當具備下列條件：
　　（一）具有(yǒu)獨立的企業法人(rén)資格；
　　（二）從事電(diàn)子認證服務的專業技(jì)術(shù)人(rén)員、運營管理(lǐ)人(rén)員、安全管理(lǐ)人(rén)員和(hé)客戶服務人(rén)員不少(shǎo)于三十名；
　　（三）注冊資金不低(dī)于人(rén)民币三千萬元；
　　（四）具有(yǒu)固定的經營場(chǎng)所和(hé)滿足電(diàn)子認證服務要求的物理(lǐ)環境；
　　（五）具有(yǒu)符合國家(jiā)有(yǒu)關安全标準的技(jì)術(shù)和(hé)設備；
　　（六）具有(yǒu)國家(jiā)密碼管理(lǐ)機構同意使用密碼的證明(míng)文件；
　　（七）法律、行(xíng)政法規規定的其他條件。

　　第六條　申請(qǐng)電(diàn)子認證服務許可(kě)的，應當向信息産業部提交下列材料：
　　（一）書(shū)面申請(qǐng)；
　　（二）專業技(jì)術(shù)人(rén)員和(hé)管理(lǐ)人(rén)員證明(míng)；
　　（三）資金和(hé)經營場(chǎng)所證明(míng)；
　　（四）國家(jiā)有(yǒu)關認證檢測機構出具的技(jì)術(shù)設備、物理(lǐ)環境符合國家(jiā)有(yǒu)關安全标準的憑證；
　　（五）國家(jiā)密碼管理(lǐ)機構同意使用密碼的證明(míng)文件。

　　第七條　信息産業部對提交的申請(qǐng)材料進行(xíng)形式審查，依法作(zuò)出是否受理(lǐ)的決定。

　　第八條　信息産業部對決定受理(lǐ)的申請(qǐng)材料進行(xíng)實質審查。需要對有(yǒu)關內(nèi)容進行(xíng)核實的，指派兩名以上(shàng)工作(zuò)人(rén)員實地進行(xíng)核查。

　　第九條　信息産業部對與申請(qǐng)人(rén)有(yǒu)關事項書(shū)面征求中華人(rén)民共和(hé)國商務部等有(yǒu)關部門(mén)的意見。

　　第十條　信息産業部自接到申請(qǐng)之日起四十五日內(nèi)作(zuò)出許可(kě)或者不予許可(kě)的書(shū)面決定。不予許可(kě)的，說明(míng)理(lǐ)由并書(shū)面通(tōng)知申請(qǐng)人(rén)；準予許可(kě)的，頒發《電(diàn)子認證服務許可(kě)證》，并公布下列信息：
　　（一）《電(diàn)子認證服務許可(kě)證》編号；
　　（二）電(diàn)子認證服務機構名稱；
　　（三）發證機關和(hé)發證日期。
　　電(diàn)子認證服務許可(kě)相關信息發生(shēng)變更的，信息産業部應當及時(shí)公布。
　　《電(diàn)子認證服務許可(kě)證》的有(yǒu)效期為(wèi)五年。

　　第十一條　取得(de)電(diàn)子認證服務許可(kě)的，應當持《電(diàn)子認證服務許可(kě)證》到工商行(xíng)政管理(lǐ)機關辦理(lǐ)相關手續。

　　第十二條　取得(de)認證資格的電(diàn)子認證服務機構，在提供電(diàn)子認證服務之前，應當通(tōng)過互聯網公布下列信息：
　　（一）機構名稱和(hé)法定代表人(rén)；
　　（二）機構住所和(hé)聯系辦法；
　　（三）《電(diàn)子認證服務許可(kě)證》編号；
　　（四）發證機關和(hé)發證日期；
　　（五）《電(diàn)子認證服務許可(kě)證》有(yǒu)效期的起止時(shí)間(jiān)。

　　第十三條　電(diàn)子認證服務機構在《電(diàn)子認證服務許可(kě)證》的有(yǒu)效期內(nèi)變更法人(rén)名稱、住所、注冊資本、法定代表人(rén)的，應自完成相關變更手續之日起五日內(nèi)按照本辦法第十二條的規定公布變更後的信息，并自公布之日起十五日內(nèi)向信息産業部備案。

　　第十四條　《電(diàn)子認證服務許可(kě)證》的有(yǒu)效期屆滿要求續展的，電(diàn)子認證服務機構應在許可(kě)證有(yǒu)效期屆滿三十日前向信息産業部申請(qǐng)辦理(lǐ)續展手續，并自辦結之日起五日內(nèi)按照本辦法第十二條的規定公布相關信息。

第三章　電(diàn)子認證服務

　　第十五條　電(diàn)子認證服務機構應當按照信息産業部公布的《電(diàn)子認證業務規則規範》的要求，制(zhì)定本機構的電(diàn)子認證業務規則，并在提供電(diàn)子認證服務前予以公布，向信息産業部備案。
　　電(diàn)子認證業務規則發生(shēng)變更的，電(diàn)子認證服務機構應當予以公布，并自公布之日起三十日內(nèi)向信息産業部備案。

　　第十六條　電(diàn)子認證服務機構應當按照公布的電(diàn)子認證業務規則提供電(diàn)子認證服務。

　　第十七條　電(diàn)子認證服務機構應當保證提供下列服務：
　　（一）制(zhì)作(zuò)、簽發、管理(lǐ)電(diàn)子簽名認證證書(shū)；
　　（二）确認簽發的電(diàn)子簽名認證證書(shū)的真實性；
　　（三）提供電(diàn)子簽名認證證書(shū)目錄信息查詢服務；
　　（四）提供電(diàn)子簽名認證證書(shū)狀态信息查詢服務。

　　第十八條　電(diàn)子認證服務機構應當履行(xíng)下列義務：
　　（一）保證電(diàn)子簽名認證證書(shū)內(nèi)容在有(yǒu)效期內(nèi)完整、準确；
　　（二）保證電(diàn)子簽名依賴方能夠證實或者了解電(diàn)子簽名認證證書(shū)所載內(nèi)容及其他有(yǒu)關事項；
　　（三）妥善保存與電(diàn)子認證服務相關的信息。

　　第十九條　電(diàn)子認證服務機構應當建立完善的安全管理(lǐ)和(hé)內(nèi)部審計(jì)制(zhì)度，并接受信息産業部的監督管理(lǐ)。

　　第二十條　電(diàn)子認證服務機構應當遵守國家(jiā)的保密規定，建立完善的保密制(zhì)度。
　　電(diàn)子認證服務機構對電(diàn)子簽名人(rén)和(hé)電(diàn)子簽名依賴方的資料，負有(yǒu)保密的義務。

　　第二十一條　電(diàn)子認證服務機構在受理(lǐ)電(diàn)子簽名認證證書(shū)申請(qǐng)前，應當向申請(qǐng)人(rén)告知下列事項：
　　（一）電(diàn)子簽名認證證書(shū)和(hé)電(diàn)子簽名的使用條件；
　　（二）服務收費的項目和(hé)标準；
　　（三）保存和(hé)使用證書(shū)持有(yǒu)人(rén)信息的權限和(hé)責任；
　　（四）電(diàn)子認證服務機構的責任範圍；
　　（五）證書(shū)持有(yǒu)人(rén)的責任範圍；
　　（六）其他需要事先告知的事項。

　　第二十二條　電(diàn)子認證服務機構受理(lǐ)電(diàn)子簽名認證申請(qǐng)後，應當與證書(shū)申請(qǐng)人(rén)簽訂合同，明(míng)确雙方的權利義務。

第四章　電(diàn)子認證服務的暫停、終止

　　第二十三條　電(diàn)子認證服務機構在《電(diàn)子認證服務許可(kě)證》的有(yǒu)效期內(nèi)拟終止電(diàn)子認證服務的，應在終止服務六十日前向信息産業部報告，同時(shí)向信息産業部申請(qǐng)辦理(lǐ)證書(shū)注銷手續，并持信息産業部的相關證明(míng)文件向工商行(xíng)政管理(lǐ)機關申請(qǐng)辦理(lǐ)注銷登記或者變更登記。

　　第二十四條　電(diàn)子認證服務機構拟暫停或者終止電(diàn)子認證服務的，應在暫停或者終止電(diàn)子認證服務九十日前，就業務承接及其他有(yǒu)關事項通(tōng)知有(yǒu)關各方。
　　電(diàn)子認證服務機構拟暫停或者終止電(diàn)子認證服務的，應當在暫停或者終止電(diàn)子認證服務六十日前向信息産業部報告，并與其他電(diàn)子認證服務機構就業務承接進行(xíng)協商，作(zuò)出妥善安排。

　　第二十五條　電(diàn)子認證服務機構拟暫停或者終止電(diàn)子認證服務，未能就業務承接事項與其他電(diàn)子認證服務機構達成協議的，應當申請(qǐng)信息産業部安排其他電(diàn)子認證服務機構承接其業務。

　　第二十六條　電(diàn)子認證服務機構被依法吊銷電(diàn)子認證服務許可(kě)的，其業務承接事項的處理(lǐ)按照信息産業部的規定進行(xíng)。

　　第二十七條　電(diàn)子認證服務機構有(yǒu)根據信息産業部的安排承接其他機構開(kāi)展的電(diàn)子認證服務業務的義務。

第五章　電(diàn)子簽名認證證書(shū)

　　第二十八條　電(diàn)子簽名認證證書(shū)應當準确載明(míng)下列內(nèi)容：
　　（一）簽發電(diàn)子簽名認證證書(shū)的電(diàn)子認證服務機構名稱；
　　（二）證書(shū)持有(yǒu)人(rén)名稱；
　　（三）證書(shū)序列号；
　　（四）證書(shū)有(yǒu)效期；
　　（五）證書(shū)持有(yǒu)人(rén)的電(diàn)子簽名驗證數(shù)據；
　　（六）電(diàn)子認證服務機構的電(diàn)子簽名；
　　（七）信息産業部規定的其他內(nèi)容。

　　第二十九條　有(yǒu)下列情況之一的，電(diàn)子認證服務機構可(kě)以撤銷其簽發的電(diàn)子簽名認證證書(shū)：
　　（一）證書(shū)持有(yǒu)人(rén)申請(qǐng)撤銷證書(shū)；
　　（二）證書(shū)持有(yǒu)人(rén)提供的信息不真實；
　　（三）證書(shū)持有(yǒu)人(rén)沒有(yǒu)履行(xíng)雙方合同規定的義務；
　　（四）證書(shū)的安全性不能得(de)到保證；
　　（五）法律、行(xíng)政法規規定的其他情況。

　　第三十條　有(yǒu)下列情況之一的，電(diàn)子認證服務機構應當對申請(qǐng)人(rén)提供的證明(míng)身份的有(yǒu)關材料進行(xíng)查驗，并對有(yǒu)關材料進行(xíng)審查：
　　（一）申請(qǐng)人(rén)申請(qǐng)電(diàn)子簽名認證證書(shū)；
　　（二）證書(shū)持有(yǒu)人(rén)申請(qǐng)更新證書(shū)；
　　（三）證書(shū)持有(yǒu)人(rén)申請(qǐng)撤銷證書(shū)。

　　第三十一條　電(diàn)子認證服務機構更新或者撤銷電(diàn)子簽名認證證書(shū)時(shí)，應當予以公告。

第六章　監督管理(lǐ)

　　第三十二條　信息産業部對電(diàn)子認證服務機構進行(xíng)年度檢查并公布檢查結果。
　　年度檢查采取報告審查和(hé)現場(chǎng)核查相結合的方式。

　　第三十三條　取得(de)電(diàn)子認證服務許可(kě)的電(diàn)子認證服務機構，在電(diàn)子認證服務許可(kě)的有(yǒu)效期內(nèi)不得(de)降低(dī)其設立時(shí)所應具備的條件。

　　第三十四條　電(diàn)子認證服務機構應當按照信息産業部信息統計(jì)的要求，按時(shí)和(hé)如實報送認證業務開(kāi)展情況及有(yǒu)關資料。

　　第三十五條　電(diàn)子認證服務機構應當對其從業人(rén)員進行(xíng)崗位培訓。

　　第三十六條　信息産業部根據監督管理(lǐ)工作(zuò)的需要，可(kě)以委托有(yǒu)關省、自治區(qū)和(hé)直轄市的信息産業主管部門(mén)承擔具體(tǐ)的監督管理(lǐ)事項。

第七章　罰則

　　第三十七條　電(diàn)子認證服務機構向信息産業部隐瞞有(yǒu)關情況、提供虛假材料或者拒絕提供反映其活動的真實材料的，由信息産業部依據職權責令改正，并處警告或者五千元以上(shàng)一萬元以下罰款。

　　第三十八條　信息産業部和(hé)省、自治區(qū)和(hé)直轄市的信息産業主管部門(mén)的工作(zuò)人(rén)員，不依法履行(xíng)監督管理(lǐ)職責的，由信息産業部或者省、自治區(qū)和(hé)直轄市的信息産業主管部門(mén)依據職權視(shì)情節輕重，分别給予警告、記過、記大(dà)過、降級、撤職、開(kāi)除的行(xíng)政處分；構成犯罪的，依法追究刑事責任。

　　第三十九條　電(diàn)子認證服務機構違反本辦法第十六條、第二十七條的規定的，由信息産業部依據職權責令限期改正，并處警告或一萬元以下的罰款，或者同時(shí)處以以上(shàng)兩種處罰。

　　第四十條　電(diàn)子認證服務機構違反本辦法第三十三條的規定的，由信息産業部依據職權責令限期改正，并處三萬元以下罰款。

第八章　附則

　　第四十一條　本辦法施行(xíng)前已從事電(diàn)子認證服務的機構拟繼續從事電(diàn)子認證服務的，應在2005年9月30日前依照本辦法取得(de)電(diàn)子認證服務許可(kě)；拟終止電(diàn)子認證服務的，應當對終止業務的相關事項作(zuò)出妥善安排。自2005年10月1日起，未取得(de)電(diàn)子認證服務許可(kě)的，不得(de)繼續從事電(diàn)子認證服務。

　　第四十二條　經信息産業部根據有(yǒu)關協議或者對等原則核準後，中華人(rén)民共和(hé)國境外的電(diàn)子認證服務機構在境外簽發的電(diàn)子簽名認證證書(shū)與依照本辦法設立的電(diàn)子認證服務機構簽發的電(diàn)子簽名認證證書(shū)具有(yǒu)同等的法律效力。