详解新规|逐条分析《电子认证服务管理办法(征求意见稿)》修订重点
近日,工信部就《电子认证服务管理办法(征求意见稿)》公开征求意见。
《电子认证服务管理办法》(以下简称《办法》)于2009年2月18日由中华人民共和国工业和信息化部发布,并在2015年4月29日进行了修订。该《办法》包括总则、电子认证服务机构、电子认证服务、服务暂停和终止、电子签名认证证书、监督管理、罚则和附则共8章43条,自2009年3月31日起实施。
2024年9月2日,工业和信息化部信息技术发展司发布了《电子认证服务管理办法(征求意见稿)》(以下简称《征求意见稿》),征求意见截至2024年10月3日。
《征求意见稿》包括总则、资质认定、行为规范、监督管理、投诉举报、跨境互认、法律责任和附则共8章56条。
此次修订有哪些变化?对电子认证服务机构有什么影响?让我们条条对应,一探究竟——
第一章 总则
第二条(原第二条)
修订——本办法所称电子认证服务,是指电子认证服务提供者为电子签名人签发电子签名认证证书,为电子签名相关各方提供真实性、可靠性验证的活动。仅用于识别证书持有人身份的活动不属于本办法管理范畴。
本办法所称电子认证服务提供者,是指为需要第三方认证的电子签名提供认证服务的机构(以下称为“电子认证服务机构”)。
向社会公众提供服务的电子认证服务机构应当依法设立。
变化——明确行政监管范围
• 修订版本明确指出“电子认证服务提供者为电子签名人签发电子签名认证证书”,增加了对电子认证服务内容的具体描述。
• 新增了“仅用于识别证书持有人身份的活动不属于本办法管理范畴”的内容,明确了不在本办法管理范围内的活动。
第二章 资质认定
(原为:第二章 电子认证服务机构)
第五条(原第五条)
修订——电子认证服务机构应当具备下列条件:(一)具有独立的企业法人资格;(二)具有与提供电子认证服务相适应的人员,从事电子认证服务的专业技术人员、运营管理人员、安全管理人员和客户服务人员不少于六十名,并符合相应岗位技能要求;(三)注册资本不低于人民币七千万元;(四)具有与提供电子认证服务相适应的办公场所、服务网点和机房物理环境,且需符合国家相关标准,及本法对电子认证服务机构做出的相关要求;(五)具有符合国家有关安全标准的技术和设备;(六)具有国家密码管理机构同意使用密码的证明文件;(七)具有长期安全稳定提供电子认证服务的能力,包括持续保持运营资金充足、财务状况良好、设备设施稳定运行、运营人员队伍稳定;(八)无重大违法记录或者不良信用记录。
变化——调整CA机构申请条件
• 人员数量增加:从“不少于三十名”增加到“不少于六十名”。
•注册资本增加:从“三千万元”增加到“七千万元”。
•环境要求详细:修订版本要求“具有与提供电子认证服务相适应的办公场所、服务网点和机房物理环境”,并且需符合“国家相关标准”和本法要求。
•长期稳定能力:第七条去掉“法律、行政法规规定的其他条件”;新增了对长期稳定提供电子认证服务的能力的要求,包括运营资金、财务状况、设备设施、运营人员稳定。
•违法记录:新增了“无重大违法记录或者不良信用记录”的要求。
第六条(原第六条)
修订——申请电子认证服务许可的,应当向工业和信息化部提交下列材料:(一)电子认证服务行政许可申请表,包括基本情况、人员情况、经营场所情况、股权结构情况等;(二)机构章程;(三)资金情况,包括注册资金及资本结构,运营资金、损害赔偿责任资金来源等;(四)电子认证服务相关技术材料、管理制度及设备清单,包括电子认证业务规则,证书策略,安全管理制度,数据管理制度,内部审计制度,保密制度以及相关软件和设备清单等;(五)电子认证服务业务发展规划报告,包括研发投入计划,业务应用场景,服务网点布局,预期经济效益分析,合规评估与风险管理,投诉处理方案,为用户提供长期服务和质量保障的说明及承诺等;(六)资格证明材料,包括企业法人资格证明,与从事经营活动相适应的人员证明、经营场所证明和资金情况证明,国家有关认证检测机构出具的技术、设备、物理环境符合国家有关安全标准的凭证,国家企业信息信用公示系统的查询报告,国家密码管理机构同意使用密码的证明等。
变化——调整CA机构申请条件
•材料信息详细化:新增了“电子认证服务行政许可申请表”,要求提供更多详细信息如“基本情况、人员情况、经营场所情况、股权结构情况等”。
•新增材料:新增了“机构章程”,“资金情况”,“电子认证服务相关技术材料、管理制度及设备清单”,“电子认证服务业务发展规划报告”等材料要求。
第七条(原第七条)
修订——工业和信息化部对提交的申请材料进行形式审查。申请材料齐全、符合法定形式的,应当向申请人出具受理通知书。
申请材料不齐全或者不符合法定形式的,应当当场或者在五个工作日内一次告知申请人需要补正的全部内容。
不予受理的,应当出具不予受理通知书并说明理由。
变化——完善行政许可审批程序
•补充说明:新版增加了“不予受理的,应当出具不予受理通知书并说明理由”,增加了对不予受理情况的处理细则。
第八条(原第八条)
修订——工业和信息化部对决定受理的申请材料进行实质审查。指派两名以上工作人员实地进行核查。
变化——完善行政许可审批程序
• 去除审查条件:原为“工业和信息化部对决定受理的申请材料进行实质审查。需要对有关内容进行核实的,指派两名以上工作人员实地进行核查。”
第九条、第十条(原第九条细化而来)
修订——第九条:工业和信息化部根据技术评审需要和专业要求,可以组织专家或者委托专业机构实施评审并出具评审意见。评审所需时间不计算在许可审批时限内。工业和信息化部应当将评审所需时间书面告知申请人。
评审包括电子认证业务规则和证书策略符合性分析,业务发展规划可行性分析,系统安全性审查,运营场所和物理环境、设备设施、管理体系建设实地查勘,数据接入方案,专业人员能力考核等。
专家或者专业机构应当独立、公正、科学、诚信地开展评审活动,对评审结论的真实性、符合性负责,并承担相应法律责任。
第十条:工业和信息化部对新增电子认证服务行政许可书面征求中华人民共和国商务部的意见。
(原第九条 工业和信息化部对与申请人有关事项书面征求中华人民共和国商务部等有关部门的意见。)
变化——完善行政许可审批程序
•专家评审:新增了“根据技术评审需要和专业要求,可以组织专家或者委托专业机构实施评审并出具评审意见”。
•评审时间和内容:规定了“评审所需时间不计算在许可审批时限内”,并要求“将评审所需时间书面告知申请人”;详细列出了评审内容,包括“业务规则和证书策略符合性分析”等。
•专家责任:新增了专家和专业机构的责任说明,包括“独立、公正、科学、诚信地开展评审活动,对评审结论的真实性、符合性负责,并承担相应法律责任”。
第十一条(原第十条)
修订——工业和信息化部应当自接到申请之日起四十五个工作日内作出准予许可或者不予许可的书面决定。不予许可的,应当书面通知申请人并说明理由;准予许可的,颁发《电子认证服务许可证》,并公布下列信息:《电子认证5服务许可证》编号、电子认证服务机构名称、发证机关和发证日期。 电子认证服务许可相关信息发生变更的,工业和信息化部应当及时公布。 《电子认证服务许可证》的有效期为五年。
变化——完善行政许可审批程序
•工作日的明确化:明确规定了“自接到申请之日起四十五个工作日内”,相比旧版更加具体。
第十二条(原十一条)
修订——电子认证服务机构不得倒卖、出租、出借、伪造、变造、冒用或者以其他形式非法转让《电子认证服务许可证》。
变化——提高电子认证服务合规性
•新增违法行为:增加了“伪造、变造、冒用”这三种行为。
第十三条(原十二条)
修订——第十三条 取得认证资格的电子认证服务机构,应当通过互联网公布并及时更新下列信息:(一)机构名称和法定代表人;(二)机构住所、经营场所(含服务网点)的地址和联系方式;(三)《电子认证服务许可证》编号、发证机关和发证日期、有效期的起止时间。
变化——提高电子认证服务合规性
•信息要求增加:加强了信息公开的及时性要求,并且进一步细化了电子认证服务机构需要公布的经营场所和服务网点信息,增加了透明度和管理要求。
第十四条(原十三条)
修订——有下列情形之一的,电子认证服务机构应当自变更之日起三十日内向工业和信息化部申请办理变更手续:(一)机构名称、住所、法定代表人、服务网点布局发生变化的;(二)机构注册资本、资本结构、股权结构、法人性质或者单位隶属关系发生变更的;(三)电子认证服务系统等设备设施发生变化,影响或者可能影响电子认证服务系统安全性,或者新建、搬迁电子认证服务系统;(四)依法需要办理变更的其他事项。电子认证服务机构发生变更的事项影响其符合资质认定条件和要求的,工业和信息化部根据申请人的实际情况,采取书面或者现场形式开展审查。需要进行专家评审的,依照本办法第九条规定对其开展评审。
变化——明确许可条件变更相关要求
•变更事项的扩大和细化:在多个方面扩大了需要申请变更的事项范围,增加了资本结构、股权结构、法人性质、单位隶属关系和设备设施变更等新内容,并延长了申请变更的时限。
此外,还引入了工信部的审查程序和专家评审机制,进一步强化了对电子认证服务机构资质变更的监督和管理。
第十五条(原十四条)
修订——《电子认证服务许可证》的有效期届满需要延续的,电子认证服务机构应当在许可证有效期届满三十日前向工业和信息化部申请办理延续手续,并自办结之日起五日内按照本办法第十三条的规定公布相关信息。工业和信息化部应当依照本办法有关规定进行审查,作出是否准予许可延续的决定。
变化——提高电子认证服务合规性
•细化审查程序:修订版本增加了对工信部的责任说明,强调工信部在审查和做出决定时应依照相关规定操作,使得程序更加明确和规范。
第三章 行为规范
(原为:第三章 电子认证服务)
第十六条(新增条款)
修订——电子认证服务机构从事电子认证服务应当坚持以人民为中心,提升服务质量,依法经营、勤勉尽责、诚实守信,接受社会公众监督。工业和信息化部建立和完善守信激励与失信惩戒制度,倡导和褒扬诚实守信,依法对失信行为进行惩戒和约束。
变化——压实CA机构责任义务
修订进一步强调加强行业规范和诚信体系建设。
第十七条(原十五条)
修订——电子认证服务机构应当按照工业和信息化部公布的电子认证业务规则等要求,制定本机构的电子认证业务规则和相应的证书策略,在提供电子认证服务前予以公布,并向工业和信息化部备案。电子认证业务规则和证书策略发生变更的,电子认证服务机构应当予以公布,并自公布之日起三十日内向工业和信息化部备案。
变化——新增行为规范要求
•引用文件修改:修订规定对“电子认证业务规则规范”的引用更加宽泛,改为“电子认证业务规则等要求”,可能包括更多的规范或要求,要求机构关注更多的规范文件。
第二十条(原十八条)
修订——电子认证服务机构应当履行下列义务:(一)对申请人进行身份查验,清晰完整记录申请人申请、更新、变更、撤销电子签名认证证书等环节的意愿以及证书办理、接受过程;(二)保证电子签名认证证书内容在有效期内完整、准确;(三)保证电子签名依赖方能够证实或者了解电子签名认证证书所载内容及其他有关事项;(四)更新或者撤销电子签名认证证书时,应当予以公告;(五)妥善保存与电子认证服务相关的信息,信息保存期限至少为电子签名认证证书失效后五年;(六)建立投诉处理机制并予以公布,妥善处理与电子认证服务有关的投诉。
变化——明确CA机构义务范围
•强化电子认证服务机构义务:包括对申请人身份的查验和记录过程的完整性要求,增加了在更新或撤销证书时进行公告的规定,并延长了信息保存期限至证书失效后五年。
同时,新增了建立并公布投诉处理机制的要求。这些变化旨在提升管理透明度、信息保留和客户服务质量,增强用户信任。
第二十一条(原二十八条)
修订——电子签名认证证书应当准确载明下列内容:(一)签发电子签名认证证书的电子认证服务机构名称;(二)证书持有人名称;(三)证书序列号;(四)证书有效期;(五)证书持有人的电子签名验证数据;(六)电子认证服务机构的电子签名;(七)电子签名认证证书策略对象标识符;(八)工业和信息化部规定的其他内容。
变化——规范电子认证服务的标准
新增“电子签名认证证书策略对象标识符”。
第二十二条(新增条款)
修订——电子认证服务机构不得就证书申请的受理和查验,证书的签发和交付向外部机构或个人进行委托。
变化——规定业务委托限制
修订规定强化电子认证服务机构的管理和监督职责。
第二十三条(原二十一条)
修订——电子认证服务机构在受理电子签名认证证书申请前,应当向申请人告知下列事项:(一)申请人的权利和义务;(二)电子签名认证证书和电子签名的使用条件;(三)服务收费的项目和标准;(四)保存和使用证书持有人信息的权限和责任,数据备份至国家电子认证服务管理平台的情况;(五)电子认证服务机构的责任范围;(六)证书持有人的责任范围;(七)其他需要事先告知的事项。
变化——新增电子认证服务机构规范要求
•新增告知申请人权利和义务:补充了申请人自身在认证过程中需遵守的规定和应享有的权利。
•数据备份要求:增加了“数据备份至国家电子认证服务管理平台的情况”的告知要求。
第二十八条、二十九条、三十条、三十一条(新增条款)
修订——第二十八条 电子认证服务机构应当确保电子签名认证证书及认证相关信息可追溯。
第二十九条 电子认证服务机构应当如实上报数据,并将数据接入至国家电子认证服务管理平台。电子认证服务机构应将证书链提交工业和信息化部备案,其电子认证服务应当纳入电子认证信任体系,遵循电子认证服务互信互认要求。
第三十条 电子认证服务机构应当在服务提供所在省、自治区、直辖市、计划单列市设置服务网点,合理安排服务时间,方便用户。
第三十一条 电子认证服务机构拟暂停或者终止电子认证服务的,应当在暂停或者终止电子认证服务九十日前,就业务承接及其他事项通知有关各方,做好通知证书持有人、移交与认证相关的数据等善后工作。电子认证服务机构应当在暂停或者终止电子认证服务六十日前向工业和信息化部报告,并与其他电子认证服务机构就业务承接进行协商,作出妥善安排。拟终止电子认证服务的,应申请办理《电子认证服务许可证》注销手续。未能就业务承接事项与其他电子认证服务机构达成协议的,应当申请工业和信息化部安排其他电子认证服务机构承接其业务。电子认证服务机构被依法吊销电子认证服务许可的,其业务承接事项按照工业和信息化部的规定处理。电子认证服务机构有根据工业和信息化部的安排承接其他机构开展的电子认证服务业务的义务。
变化——强化电子认证服务机构运营管理,完善行政监管机制
•确保信息可追溯(第二十八条);
•发挥信息技术监管效能(第二十九条);
•规定服务网点要求(第三十条);
•服务暂停或终止的处理(第三十一条)。
第四章 监督管理
(原为:第六章 监督管理)
第三十三条、三十八条、三十九条(新增条款)
修订——第三十三条 工业和信息化部根据监督管理工作的需要,可以委托有关省、自治区、直辖市工业和信息化主管部门承担具体的监督管理事项,包括配合工业和信息化部开展行政许可新申请检查、行政许可延续申请检查等监督检查,对行政区域管辖范围内的服务网点进行监督管理等有关事项。
第三十八条 电子认证服务机构应当每年至少进行一次合规性评估,对发现的问题及时整改,并向住所地省、自治区、直辖市工业和信息化主管部门报送合规性评估报告。地方工业和信息化主管部门将合规性评估情况报工业和信息化部。合规性评估报告应当包括许可资质、业务范围、业务规则符合性等相关内容。
第三十九条 电子认证服务机构一年内两次受到工业和信息化部行政处罚的,由工业和信息化部自作出第二次行政处罚决定之日起三十日内,将机构和主要经营管理人员列入电子认证服务失信名单。对失信机构在一定期限内限制从事电子认证服务,对失信人员在一定期限内实施行业禁入。列入电子认证服务失信名单后,限制期限内未再次受到工业和信息化部行政处罚的,由工业和信息化部移出失信名单。
变化——完善行政监管机制、合理设定退出机制
•形成部省联动监管体系(第三十三条、第三十八条);
•合理设定退出机制(第三十九条)。
第三十五条(原三十四条)
修订——电子认证服务机构应当如实向工业和信息化部报送电子认证业务开展情况报告、国家企业信息信用公示系统的查询报告、财务会计报告等有关资料。
变化——加强对电子认证服务机构的全面监督
新增报告类型:“电子认证业务开展情况报告、国家企业信息信用公示系统的查询报告”。
第三十六条(原三十五条)
修订——电子认证服务机构有下列情况之一的,应当自发生之日起十五日内向工业和信息化部报告:(一)重大安全风险和安全事件;(二)重要系统、关键设备事故;(三)重大财产损失;(四)关键岗位人员变动;(五)重大法律诉讼。电子认证服务机构应当将上述情况向其董事会或股东会报告,涉及国家出资的,应当同时向其履行出资人职责的机构报告。
变化——增强对重大事件和风险的报告义务
•新增报告内容:新增对重大安全风险和安全事件的报告要求,以加强对安全隐患的监控。
•明确报告时间要求:规定了明确的报告时限,即自发生之日起十五日内。
•新增报告对象:要求电子认证服务机构将上述情况向其董事会或股东会报告,并涉及国家出资的情况下,还需向履行出资人职责的机构报告。
第五章 投诉举报
(新增章节)
第四十条至第四十六条(新增条款)
修订——第四十条 公民、法人或者其他组织(以下简称举报人)认为电子认证服务机构涉嫌违反电子认证服务相关法律规定,可通过邮寄至工业和信息化部指定的机构,或登录国家电子认证服务管理平台,提交以下材料:(一)举报人真实身份信息、联系方式和相关证照;(二)被举报人涉嫌违反电子认证服务相关法律规定的具体事实和证明该事实所必须的相关证据材料;(三)举报人委托他人代为举报的,应当提供举报人和被委托人的真实姓名(名称)、有效联系方式、相关证照及相关委托授权材料。
第四十一条 举报人提交的材料符合下列条件,工业和信息化部应当受理:(一)被举报行为涉嫌违反电子认证服务管理有关规定;(二)属于本机关法定职责范围;(三)举报材料符合本办法要求;(四)已经向被举报机构投诉且对其处理结果不满意或者其未在十五日内答复。举报人就同一类事项提出多个举报,或者多个举报人就同一类事项提出多个举报的,工业和信息化部可以合并处理。
第四十二条 举报人提交的材料有下列情况之一的,工业和信息化部不予受理:(一)不属于本机关法定职责的;(二)没有明确的被举报人的;(三)没有具体的违法事实或者缺乏证明违法事实所必须的证据的;(四)举报已由工业和信息化部受理或办结,举报人在无新证据的情况下以同一事实重复举报的;(五)其他应当不予受理的情形。举报材料有前款第二项或者第三项规定情形的,工业和信息化部可以要求举报人在十五日内补充材料。举报人逾期未补充材料的,视为放弃举报。
第四十三条 工业和信息化部应当在收到举报材料之日起十五日内审查决定是否受理,不予受理的,应当书面告知实名举报人并说明理由;十五日内未告知实名举报人不予受理的,视为受理。
第四十四条 工业和信息化部可以通过电话、传真、书信以及实地调查等方式向举报人、被举报人或者相关人员调查,举报人、被举报人或者相关人员应当予以配合,如实回答询问、提供相关证据材料。
第四十五条 工业和信息化部应当自收到举报材料之日起六十日内作出如下处理,并以纸质形式或者电子信息形式答复举报人:(一)未发现违法行为或者违法行为已过行政处罚时效的,终结调查;(二)认定存在违法行为,符合行政处罚立案标准的,按照《中华人民共和国行政处罚法》有关规定及时立案;(三)举报的问题在其他举报或者其他案件中已作处理或者已有处理定论,举报材料没有提供新情况和新证据的,将认定情况予以答复。工业和信息化部无法按照前款规定期限调查完毕或者作出上述处理的,经本机关负责人或者其授权的相关负责人批准,可以延期办理一次,但延长期限不得超过三十日,并告知实名举报人处理进度和延期情况。
第四十六条 工业和信息化部对符合立案标准的举报按照《中华人民共和国行政处罚法》有关规定进行处理后,应当将作出的相关决定情况及救济渠道书面告知实名举报人。
变化——建立健全投诉举报处理机制
规范电子认证服务机构举报处理的流程,确保举报人能够有效、透明地提交和跟踪举报内容。(第四十条至四十六条)。
第六章 跨境互认
(新增章节)
第四十七条至四十九条(新增条款)
修订——第四十七条 根据有关协议或者对等原则,经工业和信息化部核准,中华人民共和国境外的电子认证服务机构在境外签发的电子签名认证证书与依照本办法设立的电子认证服务机构签发的电子签名认证证书具有同等的法律效力。
第四十八条 跨境互认需求方提交申请材料报工业和信息化部核准。申请材料中应当明确境外电子认证服务机构名称和基本情况,需互认的电子签名认证证书的类型、技术规范、应用场景、互认方案以及安全风险评估报告。
第四十九条 工业和信息化部组织专家或者委托专业机构对跨境互认申请材料实施评审并出具评审意见。工业和信息化部结合评审意见作出核准或者不予核准的书面决定,并对互认情况进行公布。
变化——明确证书跨境互认核准
通过规定境外电子签名认证证书互认核准程序,明确提交的材料以及互认程序。(第四十七条至四十九条)。
第七章 法律责任
(原为:第七章 罚则)
第五十二条至五十四条(新增条款)
修订——第五十二条 电子认证服务机构未依照本办法第十七条、第二十九条第二款、第三十六条进行备案或报告的,由工业和信息化部责令改正,给予警告;情节严重的,予以通报批评。
第五十三条 电子认证服务机构违反本办法第十四条、第十九条、第二十条、第二十一条、第二十二条、第二十三条、第二十四条开展业务的,由工业和信息化部责令限期改正,给予警告、通报批评;拒不改正或者情节严重的,可处一万元以上十万元以下罚款。
第五十四条 电子认证服务机构违反本办法第三十一条第五款履行业务承接义务的,由工业和信息化部责令限期改正;情节严重的,予以通报批评。
变化——规范行政处罚措施
•新增未依法进行证书链备案和重大事项报告的处罚情形(第五十二条);
•细化未依法开展业务的处罚情形(第五十三条)
•规定了在业务承接义务方面的违约处理措施(第五十四条)