前海电子认证服务管理暂行办法.doc

前海电子认证服务管理暂行办法（征求意见稿）第一章 总则第一条 【目的依据】为了规范前海深港现代服务业合作区（以下简称“前海”）电子认证服务活动，促进前海信息化业务健康、深入、融合发展，根据中华人民共和国电子签名法、电子认证服务管理办法（工业和信息化部令2009年第1号）、电子政务电子认证服务管理办法（国密局发20097号）、国务院关于前海深港现代服务业合作区总体发展规划的批复（国函201086号）和相关规定，结合前海实际，制定本办法。第二条 【适用范围】在前海区域内以及前海信息化业务中提供、使用、应用和管理电子认证服务的相关活动，既应适用法律、行政规章，又应适用本办法。第三条 【术语定义】本办法所称前海信息化业务是指前海各应用单位依托有线、无线互联网等各种通信网络开展的网上业务。本办法所称应用单位是指在前海开展网上业务的前海各级党政机关以及在前海依法设立、注册或者登记的企事业单位和社会组织。本办法所称用户是指在前海信息化业务中办理业务的国家机关、境外政府机构、法人、自然人及其他社会组织。本办法所称电子认证服务机构是指提供数字证书服务的境内外第三方电子认证服务机构。本办法所称境内电子认证服务机构，是指依据中华人民共和国电子签名法成立的第三方电子认证服务机构。本办法所称境外电子认证服务机构，是指香港特别行政区和澳门特别行政区（以下简称“港澳”）所辖第三方电子认证服务机构以及境外其他国家所辖第三方电子认证服务机构。第四条 【管理职责】前海管理局负责前海电子认证服务体系的统筹规划和监督管理。第五条 【管理职责】前海信息化主管部门负责前海电子认证公共服务平台的建设、运行和维护，依托前海电子认证公共服务平台为前海信息化业务提供基础安全服务。第六条 【管理职责】前海信息化主管部门依法对面向前海信息化业务及用户提供服务的电子认证服务机构服务质量进行日常监管。第七条 【规范制定】前海信息化主管部门依据本办法，结合前海实际，组织制定前海电子认证互认技术规范，用于指导、规范应用单位开展前海信息化业务电子认证服务应用建设。第八条 【建设原则】坚持合法性原则、应用导向原则、市场竞争原则、证书互认原则，依托境内外电子认证服务机构，建设开放融合、互信互认、服务高效、规范统一的前海电子认证服务体系。第二章 电子认证服务机构入驻第九条 【入驻涵义】电子认证服务机构的入驻，是指面向前海信息化业务提供电子认证服务的境内外电子认证服务机构，按照本办法规定，向前海管理局提交入驻申请材料，进行系统技术规范符合性检测，并接入前海电子认证公共服务平台。第十条 【境内机构】办理入驻的境内电子认证服务机构应取得国家工业和信息化部颁发的电子认证服务许可证有效资质；在前海电子政务领域提供电子认证服务的机构，还应当具有国家密码管理局颁发的电子政务电子认证服务机构资质。第十一条 【港澳机构】办理入驻的香港特别行政区所辖电子认证服务机构，应当是依据香港特别行政区电子交易条例成立的认可核证机关；办理入驻的澳门特别行政区所辖电子认证服务机构，应当是依据澳门特别行政区（第5/2005号法律）电子文件及电子签名法成立的电子认证服务机构。第十二条 【入驻申请】办理入驻的电子认证服务机构，应当向前海管理局提交以下入驻申请材料：（一） 书面申请；（二） 服务承诺函；（三） 境内电子认证服务机构应当提交组织机构代码证书、营业执照、电子认证服务许可证以及其他相关证明文件的复印件；（四） 港澳所辖电子认证服务机构应当依据港澳相关法律法规要求，提供符合本办法第九条要求的资格证明文件以及机构身份证明文件，且证明文件应当经（香港或澳门）中国法律服务公司认（见）证。（五） 前海管理局规定的其他材料。第十三条 【审核检测】前海管理局应当对电子认证服务机构提交的入驻申请材料进行审查，并在收到材料之日起三个工作日内向申请人告知审查结果。审查通过的，按照前海电子认证互认技术规范要求，组织对电子认证服务机构进行系统技术规范符合性检测。未通过审查的，书面通知申请人并说明理由。第十四条 【入驻接入】前海管理局应当将通过系统技术规范符合性检测的电子认证服务机构接入到前海电子认证公共服务平台中，并通过政府公众网站向社会公布已完成入驻的电子认证服务机构名单。第十五条 【入驻服务】入驻的电子认证服务机构可面向前海信息化业务及用户提供电子认证服务，对于入驻的港澳所辖电子认证服务机构，可通过与其合作的内地机构或者在前海设立数字证书服务网点开展服务。鼓励入驻的电子认证服务机构在前海设立办公场所。第三章 电子认证服务机构服务第十六条 【机构职责】入驻的电子认证服务机构应当履行下列职能：（一） 制定并发布符合粤港电子签名证书互认证书策略（以下简称互认证书策略）的电子认证业务规则，并聘请独立第三方机构进行审查；（二） 证书运营服务与电子认证业务规则一致，并聘请独立第三方机构进行审查；（三） 建立完善的安全管理和内部审计制度；（四） 建立完善的信息保护制度，对与电子认证相关的信息进行保护，信息保存期至少为证书失效后五年；（五） 用于签发证书和证书状态信息的密钥对生成应符合互认证书策略要求，用于生成密钥对的硬件设备应符合本地监管要求。第十七条 【服务内容】入驻的电子认证服务机构应当以下列方式提供相应的服务：（一） 数字证书的申请、签发、更新、延期、恢复、吊销等服务；（二） 用户数字证书使用和管理的指引文件，明确办理手续、使用规则及管理制度；（三） 电子签名认定及数据电文有效性证明；（四） 境内电子认证服务机构应在前海设立数字证书服务网点，数字证书服务网点应为用户提供现场办理证书申请、更新、吊销、遗失补办、证书介质解锁等证书业务服务；（五） 建立数字证书在线服务平台，数字证书在线服务平台为用户提供的服务应当包括但不限于：网上业务办理、操作指引、业务咨询、业务投诉、软件下载、数字证书知识培训、常见问题与解答、疑问留言、行业解决方案咨询、服务网点分布、联系方式等；（六） 为用户提供有人值守的每日24小时电话服务，接受用户对数字证书办理流程及使用的咨询，即时排除用户数字证书的使用故障，并即时受理用户的证书服务、相关投诉，并对用户意见进行及时回应。（七） 电子认证服务机构和应用单位约定的其它服务。第十八条 【服务义务】入驻的电子认证服务机构应当履行下列义务： （一） 保证电子签名认证证书内容在有效期内完整、准确。 （二） 保证电子签名依赖方能够证实或者了解电子签名认证证书所载内容及其他有关事项。 （三） 保证为用户所签发的数字证书满足前海电子认证互认技术规范要求。（四） 妥善保存与电子认证服务相关的信息。第十九条 【网点报备】入驻的电子认证服务机构在前海设立证书服务网点的，应当在证书服务网点设立之日起三十个工作日内向前海管理局进行备案。第四章 电子认证服务应用第二十条 【应用领域】涉及国家安全、社会稳定、公众利益等方面的前海信息化业务需要身份认证、授权管理、责任认定等信息安全保障机制的，应当使用电子认证服务，包括下列业务：（一） 金融信息化业务，如网上银行、网上证券、网上投保、网上期货、网上信托等；（二） 政府信息化业务，如网上行政审批、网上采购、网上办公等；（三） 电子商务业务，如网上购物、网上支付、电子合同签署、数字版权保护、网上供销管理等；（四） 物流信息化业务，如企业物流管理、物流信息共享等。鼓励各类前海信息化业务采用电子认证服务解决身份认证、授权管理、责任认定等信息安全问题。第二十一条 【应用建设】应用单位在前海信息化业务中采用电子认证服务的，应当遵循前海电子认证互认技术规范，确保实现境内外电子认证服务机构数字证书的互认使用，保障业务应用安全。鼓励各应用单位将其信息化业务接入到前海电子认证公共服务平台中，依托前海电子认证公共服务平台提供的基础安全服务，保障其业务应用安全，降低安全应用建设成本。第二十二条 【服务应用】应用单位和用户可自主选择按照本办法入驻的电子认证服务机构提供的电子认证服务，实现数字证书在前海信息化业务中“一证多用，跨境使用”。鼓励电子认证服务机构增强服务品牌意识与市场竞争力，面向应用单位和用户可提供满足各类业务发展需求的且符合前海电子认证互认技术规范的数字证书应用产品，以提升对前海信息化业务的安全支撑能力。第二十三条 【证书申领】用户在申领、变更、注销数字证书及注册使用数字证书时，应当提供合法、真实、有效的证件或者证明材料，不得弄虚作假。第二十四条 【证书使用】用户应当妥善保管数字证书及其密钥。数字证书载体丢失或密钥失控时，用户应当立即向所签发的电子认证服务机构报告，由电子认证服务机构撤销其数字证书。第五章 电子认证服务监督管理第二十五条 【数据备案】入驻的电子认证服务机构应当在每月10日前将上一月份面向前海信息化业务提供的数字证书发放、更新、注销等统计数据报前海管理局备案，发生影响前海电子认证服务重大事件时，应当按照国家有关规定，及时通知应用单位和用户，并报有关主管部门备案。第二十六条 【退出机制】电子认证服务机构有下列情形之一的，前海管理局应当停止其服务，并从前海电子认证公共服务平台中撤销，通过政府公众网站向社会公告：（一） 自行提出终止在前海服务的；（二） 电子认证服务许可资质失效的；（三） 未依照本办法开展电子认证服务并造成恶劣影响的；（四） 其他原因导致无法继续在前海正常开展服务的。第二十七条 【业务停止】电子认证服务机构暂停或者终止在前海的电子认证服务业务的，应当在暂停或者终止电子认证服务九十日前，就业务承接及其他有关事项通知有关各方。 第二十八条 【业务承接】电子认证服务机构暂停或者终止在前海的电子认证服务业务的，应当在暂停或者终止电子认证服务六十日前向前海管理局报告，并与其他电子认证服务机构就业务承接进行协商，作出妥善安排，承接机构应当符合本办法规定。前海管理局应及时通过政府公众网站向社会公告已暂停或终止在前海服务的电子认证服务机构名单。第二十九条 【纠纷仲裁】应用单位与用户采用本办法规定的电子认证服务后，在其各自的业务中发生纠纷时，审判机关、仲裁机构、律师、应用单位和用户均有权要求电子认证服务机构出具使用数字证书的数据电文有效性证明。第三十条 【责任处罚】电子认证服务机构在前海开展电子认证服务过程中，违反国家、省、市及前海有关规定，损害应用单位和用户利益的，前海管理局依据职责责令限期改正，依法予以警告；情节严重的，前海管理局依据相关规定停止其服务，将其从电子认证公共服务平台中注销，并将上述情况通过政府公众网站向社会公告。第三十一条 【责任处罚】前