1、前海电子认证服务管理暂行办法 ( 征求意见稿 ) 第一章 总则 第一条 【目的依据】 为了规范前海深港现代服务业合作区 (以下简称“前海”)电子认证服务活动, 促进 前海 信息化业务 健康 、深入、融合发展 , 根据 中华人民共和国电子签名法、 电子认证服务管理办法( 工业和信息化部 令 2009 年第 1 号 )、电子政务电子认证服务管理办法(国密局发 2009 7 号) 、国务院关于前海深港现代服务业合作区总体发展规划的批复(国函 201086 号)和相关规定 , 结合前海实际, 制定本办法。 第二条 【适用范围】 在 前海区域内以及 前海 信息化业务中 提供、使用、 应用和管理 电子认证
2、服务的 相关 活动, 既应适用法律、行政规章,又应适用本办法 。 第三条 【术语定义】 本办法所称 前海信息化业务 是指前海各应用单位依托 有线、 无线 互联网 等各种通信网络开展的网上业务。 本办法所称 应用单位 是指在前海开展网上业务的前海各级党政机关以及在前海 依法设立、注册或者登记 的企事业单位 和 社会组织 。 本办法所称 用户 是指 在前海信息化业务中 办理业务的 国家机关、境外政府机构、 法人、自然人及其他社会组织。 本办法所称 电子 认证 服务 机构 是指提供数字证书服务的 境内外第三方电子认证服务机构 。 本办法所称 境内电子认证服务机构 ,是 指依据 中华人民共和国电子签名
3、法成立的第三方电子认证服务机构。 本办法所称 境外电子认证服务机构 ,是指香港特别行政区和澳门特别行政区(以下简称“港澳”) 所辖第三方电子认证服务机构以及境外其他国家所辖第三方电子认证服务机构。 第四条 【 管理 职责 】 前 海管理局 负责 前海电子认证服务 体系 的统筹规划 和监督管理。 第五条 【管理 职责】 前海 信息化主管部门 负责 前海电子认证 公共服务平台 的建设、运行和维护 , 依托 前海电子认证公共服务平台 为前海信息化业务提供基础安全服务。 第六条 【管理 职责】 前海信息化主管部门 依法 对 面向前海信息化业务及用户提供服务的电子认 证服务机构 服务质量进行日常监管。
4、第七条 【规范 制定 】 前海信息化主管部门 依据本办法, 结合 前海 实际,组织制定 前海电子认证互认技术规范 ,用于指导、规范 应用单位开展 前海 信息化业务 电子认证服务 应用建设 。 第八条 【 建设原则 】 坚持合法性 原则、应用导向原则、市场竞争原则、证书互认原则 ,依托 境内外电子认证服务机构,建设开放融合、互信互认、 服务高效、规范统一 的前海电子认证服务体系。 第二章 电子认证 服务机构 入驻 第九条 【入驻涵义 】 电子认证服务机构的入驻,是指面向前海信息化 业务提供电子认证服务的境内外电子认证服务机构,按照本办法规定,向 前海管理局提交入驻 申请材料,进行系统技术规范符合
5、性检测, 并接入前海电子认证公共服务平台 。 第十条 【 境内 机构 】 办理入驻的 境内 电子认证服务机构 应 取得国家工业和信息化部颁发的电子认证服务许可证 有效 资质 ; 在 前海电子政务 领域提供电子认证服务 的 机构 , 还应 当 具有国家密码 管理局颁发的电子政务电子认证服务机构资质 。 第十一条 【 港澳 机构 】 办理入驻的 香港特别行政区 所辖电子认 证服务机构 , 应 当 是依据香港特别行政区电子交易条例成立的认可核证 机关 ; 办理入驻的 澳门特别行政区所辖电子认证服务机构 ,应 当 是依据 澳门 特别行政区(第 5/2005 号法律)电子文件及电子签名法成立的电子认证服
6、务机构。 第十二条 【 入驻 申请 】 办理入驻的 电子认证服务 机构 , 应当向 前海 管理局 提交以下 入驻申请 材料: (一) 书面申请 ; (二) 服务承诺函; (三) 境内 电子认证服务机构应当 提交 组织机构代码证书、营业执照、电子认证服务许可证 以及 其他相关证明文件的复印件; (四) 港澳所辖 电子认证服务机构 应当 依据 港澳相关法律法规要求, 提供 符 合 本 办法 第 九 条要求的资格 证明文件以及机构身份证明文件 , 且 证明文件应当经(香港 或 澳门 )中国法律服务公司认(见)证 。 (五) 前海管理局规定的其他材料。 第十三条 【 审核 检测 】 前海管理局 应当对
7、电子认证服务机构提交的 入驻申请 材 料进行 审查 ,并在收到材料 之日起 三 个工作日 内向申请人告知审查结果。 审查通过的,按照前海电子认证互认技术规范要求,组织对电子认证服务机构进行系统技术规范符合性检测。 未通过审查的,书面通知申请人并说明理由。 第十四条 【入驻接入】 前海 管理局 应 当 将 通过 系统技术规范符合性 检测的 电子 认证 服务 机构 接入到 前海电子认证公共服务平台中 , 并 通过 政府公众网站向 社会公布 已 完成入驻 的 电子 认证 服务 机构名单 。 第十五条 【入驻服务】 入驻的电子认证服务机构可面向前海信息化业务及用户提供 电子认证服务,对于 入驻的港澳所
8、辖电子认证服务机构 , 可 通过 与其 合作的内地机构或 者 在前海设立 数字 证书服务网点开展服务。 鼓励入驻的电子认证服务机构在前海设立办 公场所。 第三章 电子认证服务机构服务 第十六条 【机构职责】 入驻的电子认证服务机构 应当履行 下列 职能 : (一) 制定并发布符合粤港电子签名证书互认证书策略 (以下简称互认证书策略) 的 电子认证业务规则 ,并 聘 请独立第三方机构进行审查; (二) 证书运营服务与电子认证业务规则一致,并聘请独立第三方机构进行审查; (三) 建立完善的安全管理和内部审计制度; (四) 建立完善的信息保护制度,对与电子认证相关的信息进行保护 , 信息保存期 至少
9、 为证书失效后 五 年 ; (五) 用于签发证书和证书状 态信息 的密钥对生成应符合 互认证书策略要求,用于生成密钥对的硬件设备应符合本地监管要求。 第十七条 【 服务内容 】 入驻的 电子认证服务机构 应当 以下列方式提供相应的服务 : (一) 数字证书的 申请、签发、更新、延期、恢复、 吊 销 等 服务 ; (二) 用户数字证书使用和管理的指引文件,明确办理手续、使用规则及管理制度; (三) 电子签名认定及数据电文有效性证明; (四) 境内电子认证服务机构应在前海设立数字证书服务网点,数字证书服务网点应为用户提供现场办理证书申请、更新、吊销、遗失 补办、证书介质解锁等证书业务服务; (五)
10、 建立 数字证书在线服务平台, 数字证书在线服务平台 为用户 提供的服务应 当 包括但不限于:网上业务办理、操作指引、业务咨询、业务投诉、软件下载、数字证书知识培训、常见问 题与解答、疑问留言、行业解决方案咨询、服务网点分布、联系方式等; (六) 为用户提供 有人值守 的 每日 24 小 时 电话 服务 ,接受用户对数字证书办理流程及使用的咨询,即时排除用户数字证书的使用故障,并即时受理用户的证书服务、相关投诉,并对用户意见进行及时回应。 (七) 电子 认证 服务 机构和应用单位约定的其它服务。 第十八条 【服务义务】 入驻的 电子认证服务机构应当履行 下列 义务: (一) 保证电子签名认证证
11、书内容在有效期内完整、准确。 (二) 保证电 子签名依赖方能够证实或者了解电子签名认证证书所载内容及其他有关事项。 (三) 保证为用户所签发的数字证书满足前海电子认证互认技术规范要求。 (四) 妥善保存与电子认证服务相关的信息。 第十九条 【 网点报备 】 入驻的电子认证服务机构 在前海设立证书服务网点的,应当 在 证书服务网点设立之 日起 三十 个工作日 内 向前海管理局进行备 案 。 第四章 电子认证 服务应用 第二十条 【 应用领域 】 涉及国家安全、社会稳定、公众利益等方面的 前海信息化业务 需要身份认证、授权管理、责任认定等信息安全保障机制的,应当使用 电子认证服务,包括 下列业务
12、: (一) 金融信息化业务 , 如网上银行、网上证券、网 上投保 、网上期货 、网上信托 等 ; (二) 政府信息化业务,如网上行政 审批 、网上采购、网上 办公等; (三) 电子商务业务,如网上购物、网上支付、电子合同 签署 、数字版权保护、网上 供销管理等; (四) 物流信息化业务,如企业物流管理、物流信息共享等。 鼓励各类前海信息化业务采用电子认证服务 解决身份认证、授权管理、责任认定等 信息 安全问题 。 第二十一条 【 应用 建设 】 应用单位在前海信息化业务中 采用电子认证服务的, 应 当 遵循 前海电子认证互认技术规范 ,确保实现境内外电子认证服务机构数字证书的互认使用,保障业务
13、 应用 安全。 鼓励 各 应用单位将其 信息化业务接入到前海电子 认证公共服务平台 中 , 依托前海电子认证公共服务平台提供的基础安全服务, 保障其 业务应用安全,降低 安全 应用 建设成本。 第二十二条 【 服务 应用 】 应用单位 和 用户 可 自主选择 按照本办法入驻 的 电子 认证 服务 机构 提供 的 电子认证服务 , 实现 数字证书 在前海信息化业务中“一证多 用 ,跨境使用 ”。 鼓励电子 认证服务机构 增强 服务品牌 意识 与 市场竞争力 , 面向应用单位和用户 可 提供满足 各类 业务 发展 需求的 且符合前海电子认证互认技术规范的数字证书 应用产品 , 以 提升 对前海信息
14、化业务的安全支撑能力 。 第二十三条 【 证书申领 】 用户在申领、变更、注销数字证书及注册使用数字证书时, 应当提 供合法、 真实、 有效的证件或 者 证明材料 ,不得弄虚作假。 第二十四条 【证书使用 】 用户 应当妥善保管数字证书及其密钥。数字证书载体丢失或密钥失控时, 用户 应 当 立即向 所签发的 电子认证服务机构报告,由电子认证服务机构撤销其数字证书。 第五章 电子认证服务 监督管理 第二十五条 【数据备案】 入驻的 电子认证服务机构应当在每月10 日前将上一月份 面向前海信息化业务 提供的数字证书发放、更新、注销等统计数据报前海 管理局 备案,发生影响 前海 电子认证服务重大事件
15、 时 , 应当 按照国家有关规定 ,及时通知应用单位和用户 ,并报有关主管部门备案。 第二十六条 【退出机制】 电子认证服务机构有 下列 情 形之一的,前海管理局应当停止其服务, 并 从 前海电子认证公共服务平台 中撤销,通过政府公众网站向社会公告: (一) 自行提出终止在前海服务的; (二) 电子认证服务许可资质失效的; (三) 未依照本办法开展电子认证服务并造成恶劣影响的; (四) 其他原因导致无法继续在前海正常开展服务的。 第二十七条 【 业务停止 】 电子认证服务机构暂停或者终止 在 前海 的 电子认证服务 业务 的 ,应当在暂停或者终止电子认证服务九十日前,就业务承接及其他有关事项通
16、知有关各方。 第二十八条 【业务承接】 电子认证服务机构暂停或者终止 在 前海 的 电子认证服务 业务 的 ,应当在暂停或者终止电子认证服务六十日前向 前 海管理局 报告,并与其他电子认证服务机构就业务承接进行协商,作出妥善安排 , 承接机构应当符合本办法规定 。 前海管理局应及时通过 政府 公众网站向社会公告 已暂停或终止在前海服务的电子认证服务机构名单 。 第二十九条 【纠纷仲裁】 应用单位与用户 采用本办法规定的电子认证服务后,在其各自的业务中发生纠纷时 ,审判机关、仲裁机构 、律师 、应用单位和用户均有权要求电子认证服务机构出具 使 用 数字证书 的数据电文有效性证明 。 第三十条 【
17、 责任 处罚 】 电 子 认证 服务 机构在 前海 开展 电子认证 服务过程中,违反 国家 、省、市 及前海 有关规定,损害应用单位和用户利益的, 前海管理局 依 据职责责令限期改正,依法予以警告 ;情节严重的,前海管理局 依据相关规定停止其服务 , 将其从 电子认证公共服务平台中 注销 ,并将上述情况 通过政府 公众网站 向社会公告。 第三十一条 【 责任 处罚 】 前海管理 局相关工作人员 不依法履行监督管理职责,玩忽职守、滥用职权、徇私舞弊的, 应当承担相应的行政责任、民事法律责任和刑事法律责任 。 第三十二条 【 责任 处罚 】 在使 用数字证书的过程中, 应用单位及用户违反有关法律、法规的, 应当承担相应的行政责任、民事法律责任和刑事法律责任 。 第六章 附则 第三十三条 【其他规定】 除 港澳 以外 的 其他境外国家或地区所辖电子认证服务机构 拟面向前海开展电子 认证服务的管理规定 另行制定。 第三十四条 【实施日期】 本办法自 XXXX 年 XX 月 XX 日起施行。
