工信部：电子认证服务机构对信息保存至少为CA证书失效后五年

政府采购信息网（caigou2003.com）获悉，9月2日，工业和信息化部信息技术发展司公开征求对《电子认证服务管理办法（征求意见稿）》的意见，反馈截止时间2024年10月3日。

《电子认证服务管理办法》（以下简称《办法》）自2005年颁布实施以来，经2009年、2015年修订，为规范电子认证服务行政许可和监督管理提供了执法依据，对推动电子认证服务行业发展发挥重要保障作用，但也暴露出部分电子认证服务机构“持证不经营”、服务不合规等问题。因此再次进行修订。

修订的主要内容包括：1、明确行政监管范围。通过明确监管外延，界定监管的电子认证服务范围（第二条）。2、提升 CA 机构业务能力。一是调整CA机构申请条件（第五条、第六条）；二是完善行政许可审批程序（第七条、第八条、第九条）；三是明确许可条件变更相关要求（第十四条）。3、压实 CA 机构责任义务。一是明确CA机构义务范围（第二十条）；二是规定业务委托限制（第二十二条）；三是规定服务网点要求（第三十条）。4、完善行政监管机制。一是发挥信息技术监管效能（第二十九条）；二是形成部省联动监管体系（第三十三条、第三十八条）；三是建立健全投诉举报处理机制（第四十条至第四十六条）。5、规范行政处罚措施。一是新增未依法进行证书链备案和重大事项报告的处罚情形（第五十二条）；二是细化未依法开展业务的处罚情形（第五十三条）。6、合理设定退出机制。通过失信惩戒措施，依法依规实施从业限制或行业禁入（第五条、第三十九条）。7、明确证书跨境互认核准。通过规定境外电子签名认证证书互认核准程序，明确提交的材料以及互认程序（第四十七条、第四十八条、第四十九条）。

电子认证服务机构应当履行下列义务：（一）对申请人进行身份查验，清晰完整记录申请人申请、更新、变更、撤销电子签名认证证书等环节的意愿以及证书办理、接受过程；（二）保证电子签名认证证书内容在有效期内完整、准确；（三）保证电子签名依赖方能够证实或者了解电子签名认证证书所载内容及其他有关事项；（四）更新或者撤销电子签名认证证书时，应当予以公告；（五）妥善保存与电子认证服务相关的信息，信息保存期限至少为电子签名认证证书失效后五年；（六）建立投诉处理机制并予以公布，妥善处理与电子认证服务有关的投诉。

原文如下：

​电子认证服务管理办法（征求意见稿）

第一章 总则

第一条 为了规范电子认证服务行为，对电子认证服务提供者实施监督管理，根据《中华人民共和国电子签名法》等有关法律法规，制定本办法。

第二条 本办法所称电子认证服务，是指电子认证服务提供者为电子签名人签发电子签名认证证书，为电子签名相关各方提供真实性、可靠性验证的活动。仅用于识别证书持有人身份的活动不属于本办法管理范畴。本办法所称电子认证服务提供者，是指为需要第三方认证的电子签名提供认证服务的机构（以下称为“电子认证服务机构”）。向社会公众提供服务的电子认证服务机构应当依法设立。

第三条 在中华人民共和国境内设立电子认证服务机构和为电子签名提供电子认证服务，适用本办法。

第四条 中华人民共和国工业和信息化部（以下简称“工业和信息化部”）依法对电子认证服务机构和电子认证服务实施监督管理。第二章 资质认定

第五条 电子认证服务机构应当具备下列条件：

（一）具有独立的企业法人资格；

（二）具有与提供电子认证服务相适应的人员，从事电子认证服务的专业技术人员、运营管理人员、安全管理人员和客户服务人员不少于六十名，并符合相应岗位技能要求；

（三）注册资本不低于人民币七千万元；

（四）具有与提供电子认证服务相适应的办公场所、服务网点和机房物理环境，且需符合国家相关标准，及本法对电子认证服务机构做出的相关要求；

（五）具有符合国家有关安全标准的技术和设备；

（六）具有国家密码管理机构同意使用密码的证明文件；

（七）具有长期安全稳定提供电子认证服务的能力，包括持续保持运营资金充足、财务状况良好、设备设施稳定运行、运营人员队伍稳定；

（八）无重大违法记录或者不良信用记录。

第六条 申请电子认证服务许可的，应当向工业和信息化部提交下列材料：

（一）电子认证服务行政许可申请表，包括基本情况、人员情况、经营场所情况、股权结构情况等；

（二）机构章程；

（三）资金情况，包括注册资金及资本结构，运营资金、损害赔偿责任资金来源等；

（四）电子认证服务相关技术材料、管理制度及设备清单，包括电子认证业务规则，证书策略，安全管理制度，数据管理制度，内部审计制度，保密制度以及相关软件和设备清单等；

（五）电子认证服务业务发展规划报告，包括研发投入计划，业务应用场景，服务网点布局，预期经济效益分析，合规评估与风险管理，投诉处理方案，为用户提供长期服务和质量保障的说明及承诺等；

（六）资格证明材料，包括企业法人资格证明，与从事经营活动相适应的人员证明、经营场所证明和资金情况证明，国家有关认证检测机构出具的技术、设备、物理环境符合国家有关安全标准的凭证，国家企业信息信用公示系统的查询报告，国家密码管理机构同意使用密码的证明等。

第七条 工业和信息化部对提交的申请材料进行形式审查。申请材料齐全、符合法定形式的，应当向申请人出具受理通知书。申请材料不齐全或者不符合法定形式的，应当当4场或者在五个工作日内一次告知申请人需要补正的全部内容。不予受理的，应当出具不予受理通知书并说明理由。

第八条 工业和信息化部对决定受理的申请材料进行实质审查，指派两名以上工作人员实地进行核查。

第九条 工业和信息化部根据技术评审需要和专业要求，可以组织专家或者委托专业机构实施评审并出具评审意见。评审所需时间不计算在许可审批时限内。工业和信息化部应当将评审所需时间书面告知申请人。评审包括电子认证业务规则和证书策略符合性分析，业务发展规划可行性分析，系统安全性审查，运营场所和物理环境、设备设施、管理体系建设实地查勘，数据接入方案，专业人员能力考核等。专家或者专业机构应当独立、公正、科学、诚信地开展评审活动，对评审结论的真实性、符合性负责，并承担相应法律责任。

第十条 工业和信息化部对新增电子认证服务行政许可书面征求中华人民共和国商务部的意见。

第十一条 工业和信息化部应当自接到申请之日起四十五个工作日内作出准予许可或者不予许可的书面决定。不予许可的，应当书面通知申请人并说明理由；准予许可的，颁发《电子认证服务许可证》，并公布下列信息：《电子认证服务许可证》编号、电子认证服务机构名称、发证机关和发证日期。电子认证服务许可相关信息发生变更的，工业和信息化部应当及时公布。《电子认证服务许可证》的有效期为五年。

第十二条 电子认证服务机构不得倒卖、出租、出借、伪造、变造、冒用或者以其他形式非法转让《电子认证服务许可证》。

第十三条 取得认证资格的电子认证服务机构，应当通过互联网公布并及时更新下列信息：

（一）机构名称和法定代表人；

（二）机构住所、经营场所（含服务网点）的地址和联系方式；

（三）《电子认证服务许可证》编号、发证机关和发证日期、有效期的起止时间。

第十四条 有下列情形之一的，电子认证服务机构应当自变更之日起三十日内向工业和信息化部申请办理变更手续：

（一）机构名称、住所、法定代表人、服务网点布局发生变化的；

（二）机构注册资本、资本结构、股权结构、法人性质或者单位隶属关系发生变更的；

（三）电子认证服务系统等设备设施发生变化，影响或者可能影响电子认证服务系统安全性，或者新建、搬迁电子认证服务系统；

（四）依法需要办理变更的其他事项。电子认证服务机构发生变更的事项影响其符合资质认定条件和要求的，工业和信息化部根据申请人的实际情况，采取书面或者现场形式开展审查。需要进行专家评审的，依照本办法第九条规定对其开展评审。

第十五条 《电子认证服务许可证》的有效期届满需要延续的，电子认证服务机构应当在许可证有效期届满三十日前向工业和信息化部申请办理延续手续，并自办结之日起五日内按照本办法第十三条的规定公布相关信息。工业和信息化部应当依照本办法有关规定进行审查，作出是否准予许可延续的决定。

第三章 行为规范

第十六条 电子认证服务机构从事电子认证服务应当坚持以人民为中心，提升服务质量，依法经营、勤勉尽责、诚实守信，接受社会公众监督。工业和信息化部建立和完善守信激励与失信惩戒制度，倡导和褒扬诚实守信，依法对失信行为进行惩戒和约束。

第十七条 电子认证服务机构应当按照工业和信息化部公布的电子认证业务规则等要求，制定本机构的电子认证业务规则和相应的证书策略，在提供电子认证服务前予以公布，并向工业和信息化部备案。电子认证业务规则和证书策略发生变更的，电子认证服务机构应当予以公布，并自公布之日起三十日内向工业和信息化部备案。

第十八条 电子认证服务机构应当按照公布的电子认证业务规则提供电子认证服务。

第十九条 电子认证服务机构应当保证提供下列服务：

（一）制作、签发、管理电子签名认证证书；

（二）确认签发的电子签名认证证书的真实性；

（三）提供电子签名认证证书目录信息查询服务；

（四）提供电子签名认证证书状态信息查询服务。

第二十条 电子认证服务机构应当履行下列义务：

（一）对申请人进行身份查验，清晰完整记录申请人申请、更新、变更、撤销电子签名认证证书等环节的意愿以及证书办理、接受过程；

（二）保证电子签名认证证书内容在有效期内完整、准确；

（三）保证电子签名依赖方能够证实或者了解电子签名认证证书所载内容及其他有关事项；

（四）更新或者撤销电子签名认证证书时，应当予以公告；

（五）妥善保存与电子认证服务相关的信息，信息保存期限至少为电子签名认证证书失效后五年；

（六）建立投诉处理机制并予以公布，妥善处理与电子认证服务有关的投诉。

第二十一条 电子签名认证证书应当准确载明下列内容：

（一）签发电子签名认证证书的电子认证服务机构名称；

（二）证书持有人名称；

（三）证书序列号；

（四）证书有效期；

（五）证书持有人的电子签名验证数据；

（六）电子认证服务机构的电子签名；

（七）电子签名认证证书策略对象标识符；

（八）工业和信息化部规定的其他内容。

第二十二条 电子认证服务机构不得就证书申请的受理和查验，证书的签发和交付向外部机构或个人进行委托。

第二十三条 电子认证服务机构在受理电子签名认证证书申请前，应当向申请人告知下列事项：

（一）申请人的权利和义务；

（二）电子签名认证证书和电子签名的使用条件；

（三）服务收费的项目和标准；

（四）保存和使用证书持有人信息的权限和责任，数据备份至国家电子认证服务管理平台的情况；

（五）电子认证服务机构的责任范围；

（六）证书持有人的责任范围；

（七）其他需要事先告知的事项。

第二十四条 电子认证服务机构受理电子签名认证证书申请后，应当与证书申请人签订电子认证服务协议，明确双方的权利义务。

第二十五条 有下列情况之一的，电子认证服务机构可以撤销其签发的电子签名认证证书：

（一）证书持有人申请撤销证书；

（二）证书持有人提供的信息不真实；

（三）证书持有人没有履行双方服务协议规定的义务；

（四）证书的安全性不能得到保证；

（五）法律、行政法规规定的其他情况。

第二十六条 电子认证服务机构应当建立完善的安全管理和内部审计制度。

第二十七条 电子认证服务机构应当遵守国家的保密规定，建立完善的保密制度。电子认证服务机构对电子签名人和电子签名依赖方的资料，负有保密的义务。

第二十八条 电子认证服务机构应当确保电子签名认证证书及认证相关信息可追溯。

第二十九条 电子认证服务机构应当如实上报数据，并将数据接入至国家电子认证服务管理平台。电子认证服务机构应将证书链提交工业和信息化部备案，其电子认证服务应当纳入电子认证信任体系，遵循电子认证服务互信互认要求。

第三十条 电子认证服务机构应当在服务提供所在省、自治区、直辖市、计划单列市设置服务网点，合理安排服务时间，方便用户。

第三十一条 电子认证服务机构拟暂停或者终止电子认证服务的，应当在暂停或者终止电子认证服务九十日前，就业务承接及其他事项通知有关各方，做好通知证书持有人、移交与认证相关的数据等善后工作。电子认证服务机构应当在暂停或者终止电子认证服务六十日前向工业和信息化部报告，并与其他电子认证服务机构就业务承接进行协商，作出妥善安排。拟终止电子认证服务的，应申请办理《电子认证服务许可证》注销手续。未能就业务承接事项与其他电子认证服务机构达成协议的，应当申请工业和信息化部安排其他电子认证服务机构承接其业务。电子认证服务机构被依法吊销电子认证服务许可的，其业务承接事项按照工业和信息化部的规定处理。电子认证服务机构有根据工业和信息化部的安排承接其他机构开展的电子认证服务业务的义务。

第四章 监督管理

第三十二条 工业和信息化部对电子认证服务机构进行监督检查，内容包括法律法规符合性、安全运营管理、风险管理、投诉处理等。工业和信息化部对电子认证服务机构实行监督检查时，应当记录监督检查的情况和处理结果，由监督检查人员签字后归档。对电子认证服务机构实行监督检查，不得妨碍电子认证服务机构正常的生产经营活动，不得收取任何费用。

第三十三条 工业和信息化部根据监督管理工作的需要，可以委托有关省、自治区、直辖市工业和信息化主管部门承担具体的监督管理事项，包括配合工业和信息化部开展行政许可新申请检查、行政许可延续申请检查等监督检查，对行政区域管辖范围内的服务网点进行监督管理等有关事项。

第三十四条 取得电子认证服务许可的电子认证服务机构，在电子认证服务许可的有效期内不得降低其设立时所应具备的条件。

第三十五条 电子认证服务机构应当如实向工业和信息化部报送电子认证业务开展情况报告、国家企业信息信用公示系统的查询报告、财务会计报告等有关资料。

第三十六条 电子认证服务机构有下列情况之一的，应当自发生之日起十五日内向工业和信息化部报告：

（一）重大安全风险和安全事件；

（二）重要系统、关键设备事故；

（三）重大财产损失；

（四）关键岗位人员变动；

（五）重大法律诉讼。电子认证服务机构应当将上述情况向其董事会或股东会报告，涉及国家出资的，应当同时向其履行出资人职责的机构报告。

第三十七条 电子认证服务机构应当对其从业人员进行岗位培训。

第三十八条 电子认证服务机构应当每年至少进行一次合规性评估，对发现的问题及时整改，并向住所地省、自治区、直辖市工业和信息化主管部门报送合规性评估报告。地方工业和信息化主管部门将合规性评估情况报工业和信息化部。合规性评估报告应当包括许可资质、业务范围、业务规则符合性等相关内容。

第三十九条 电子认证服务机构一年内两次受到工业和信息化部行政处罚的，由工业和信息化部自作出第二次行政处罚决定之日起三十日内，将机构和主要经营管理人员列入电子认证服务失信名单。对失信机构在一定期限内限制从事电子认证服务，对失信人员在一定期限内实施行业禁入。列入电子认证服务失信名单后，限制期限内未再次受到工业和信息化部行政处罚的，由工业和信息化部移出失信名单。

第五章 投诉举报第

四十条 公民、法人或者其他组织（以下简称举报人）认为电子认证服务机构涉嫌违反电子认证服务相关法律规定，可通过邮寄至工业和信息化部指定的机构，或登录国家电子认证服务管理平台，提交以下材料：

（一）举报人真实身份信息、联系方式和相关证照；

（二）被举报人涉嫌违反电子认证服务相关法律规定的具体事实和证明该事实所必须的相关证据材料；

（三）举报人委托他人代为举报的，应当提供举报人和被委托人的真实姓名（名称）、有效联系方式、相关证照及相关委托授权材料。第

四十一条 举报人提交的材料符合下列条件，工业和信息化部应当受理：

（一）被举报行为涉嫌违反电子认证服务管理有关规定；

（二）属于本机关法定职责范围；

（三）举报材料符合本办法要求；

（四）已经向被举报机构投诉且对其处理结果不满意或者其未在十五日内答复。举报人就同一类事项提出多个举报，或者多个举报人就同一类事项提出多个举报的，工业和信息化部可以合并处理。

第四十二条 举报人提交的材料有下列情况之一的，工业和信息化部不予受理：

（一）不属于本机关法定职责的；

（二）没有明确的被举报人的；

​（三）没有具体的违法事实或者缺乏证明违法事实所必须的证据的；

（四）举报已由工业和信息化部受理或办结，举报人在无新证据的情况下以同一事实重复举报的；

（五）其他应当不予受理的情形。举报材料有前款第二项或者第三项规定情形的，工业和信息化部可以要求举报人在十五日内补充材料。举报人逾期未补充材料的，视为放弃举报。

第四十三条 工业和信息化部应当在收到举报材料之日起十五日内审查决定是否受理，不予受理的，应当书面告知实名举报人并说明理由；十五日内未告知实名举报人不予受理的，视为受理。

第四十四条 工业和信息化部可以通过电话、传真、书信以及实地调查等方式向举报人、被举报人或者相关人员调查，举报人、被举报人或者相关人员应当予以配合，如实回答询问、提供相关证据材料。

第四十五条 工业和信息化部应当自收到举报材料之日起六十日内作出如下处理，并以纸质形式或者电子信息形式答复举报人：

（一）未发现违法行为或者违法行为已过行政处罚时效的，终结调查；

（二）认定存在违法行为，符合行政处罚立案标准的，按照《中华人民共和国行政处罚法》有关规定及时立案；

（三）举报的问题在其他举报或者其他案件中已作处理或者已有处理定论，举报材料没有提供新情况和新证据的，将认定情况予以答复。工业和信息化部无法按照前款规定期限调查完毕或者作出上述处理的，经本机关负责人或者其授权的相关负责人批准，可以延期办理一次，但延长期限不得超过三十日，并告知实名举报人处理进度和延期情况。

第四十六条 工业和信息化部对符合立案标准的举报按照《中华人民共和国行政处罚法》有关规定进行处理后，应当将作出的相关决定情况及救济渠道书面告知实名举报人。

第六章 跨境互认

第四十七条 根据有关协议或者对等原则，经工业和信息化部核准，中华人民共和国境外的电子认证服务机构在境外签发的电子签名认证证书与依照本办法设立的电子认证服务机构签发的电子签名认证证书具有同等的法律效力。

第四十八条 跨境互认需求方提交申请材料报工业和信息化部核准。申请材料中应当明确境外电子认证服务机构名称和基本情况，需互认的电子签名认证证书的类型、技术规范、应用场景、互认方案以及安全风险评估报告。

第四十九条 工业和信息化部组织专家或者委托专业机构对跨境互认申请材料实施评审并出具评审意见。工业和信息化部结合评审意见作出核准或者不予核准的书面决定，并对互认情况进行公布。

第七章 法律责任

第五十条 电子认证服务机构向工业和信息化部隐瞒有关情况、提供虚假材料或者拒绝提供反映其活动的真实材料的，由工业和信息化部责令改正，给予警告或者处以五千元以上一万元以下罚款。

第五十一条 工业和信息化部与省、自治区、直辖市工业和信息化主管部门的工作人员，不依法履行监督管理职责的，由工业和信息化部或者省、自治区、直辖市工业和信息化主管部门依据职权视情节轻重，分别给予警告、记过、记大过、降级、撤职、开除的行政处分；构成犯罪的，依法追究刑事责任。

第五十二条 电子认证服务机构未依照本办法第十七条、第二十九条第二款、第三十六条进行备案或报告的，由工业和信息化部责令改正，给予警告；情节严重的，予以通报批评。

第五十三条 电子认证服务机构违反本办法第十四条、第十九条、第二十条、第二十一条、第二十二条、第二十三条、第二十四条开展业务的，由工业和信息化部责令限期改正，给予警告、通报批评；拒不改正或者情节严重的，可处一万元以上十万元以下罚款。

第五十四条 电子认证服务机构违反本办法第三十一条第五款履行业务承接义务的，由工业和信息化部责令限期改正；情节严重的，予以通报批评。第五十五条 电子认证服务机构违反本办法第三十四条的规定的，由工业和信息化部责令限期改正，处以三万元以下的罚款，并将上述情况向社会公告。第八章附则18第五十六条 

本办法自 20XX 年XX 月XX日起施行。