(電子商務認證機構管理辦法)
(信息產業部征求意見稿)
第壹章總則第壹條為統籌規劃我國電子商務認證機構,規範電子商務認證機構建設和運行,根據國家有關密碼管理、計算機信息網絡管理和信息安全的法律法規,制定本辦法。
第二條電子商務認證機構是指為電子商務活動各方提供數字身份證書服務的獨立法人實體。
第三條對已建、在建和擬建的電子商務認證機構,按照本辦法進行管理。
第四條國家信息產業主管部門負責電子商務認證機構的審批和管理。
第二章認證機構的審批
第五條設立電子商務認證機構,應當向國家信息產業主管部門提出書面申請,並提供以下材料:
(壹)組織機構和人員編制;
(二)認證機構的資產情況;
(三)經營管理規範;
(4)承擔風險的能力;
(5)必要性和可行性論證。
第六條國家信息產業主管部門應當自收到設立電子商務認證機構的申請及相關材料之日起30日內予以批復。
第七條申請設立的電子商務認證機構,必須在獲得國家信息產業主管部門的書面答復後,向當地工商行政管理部門登記註冊,並向國家密碼管理機構申請密碼。
第三章認證機構的密碼發布和授權
第八條電子商務認證機構使用的密碼及相關產品的管理應符合以下規定:
(壹)國家密碼管理機構根據國家信息產業主管部門關於設立電子商務認證機構的批復,對密碼及相關產品分發申請進行審批。
(二)電子商務認證機構設立獨立的密鑰管理中心,由電子商務認證機構所有者統壹規劃建設,國家密碼管理機構及其委托單位負責實施指導和管理。
(三)獲準使用密碼及相關產品的電子商務認證機構,必須遵守國家有關密碼管理的規定。
(四)電子商務認證機構的密碼系統安全性由國家密碼管理機構審查認證。
第四章認證機構安全技術和標準的評價和認證
第九條電子商務認證機構使用的密碼及相關產品必須符合國家密碼管理機構制定的密碼技術規範和標準,基礎設施必須符合國家相關安全要求。
第十條電子商務認證機構使用的技術和設備必須經國家授權部門檢測認證,並符合國家相關信息安全標準。
第十壹條認證系統的安全性必須符合國家《計算機信息系統安全專用產品管理規定》,並經國家授權部門安全測試合格後方可投入運行。
第十二條國家標準化主管部門應當制定電子商務認證證書的格式標準,並頒發相關標誌。電子商務認證機構註冊頒發的證書必須使用上述格式。
第五章認證機構的註冊和運行管理
第十三條電子商務認證機構應當根據國家信息產業主管部門的核準意見,經當地工商行政管理部門登記註冊。
第十四條電子商務認證機構的登記、變更、註銷和業務範圍的核定,按照企業登記的有關規定執行。
第十五條電子商務認證機構在提供認證服務時,可以根據國家物價部門的有關規定收取壹定的費用。
第十六條電子商務認證系統建成後,必須通過國家信息產業、密碼管理、公安、工商行政管理、標準化等主管部門的審查、評估和驗收,方可對外提供數字證書服務。
第十七條上述國家有關主管部門依據本管理辦法對電子商務認證機構進行監督管理,並對電子商務認證機構的運行和安全情況進行年度審查。
第六章認證機構的權利、義務和責任
第十八條電子商務認證機構必須對申請證書的單位和個人提供的相關材料進行審查。
第十九條對持有證書的單位和個人違反國家法律法規的行為,電子商務認證機構有權收回證書或宣布證書無效。
第二十條電子商務認證機構有義務保護證書申請人和個人的非公開信息。
第二十壹條電子商務認證機構必須建立認證系統的備份機制和應急處理程序,在人為破壞或自然災害發生時,確保認證系統和用戶證書的安全。
第二十二條電子商務認證機構應當對因認證機構原因導致證書失密造成的經濟損失承擔賠償責任。
第七章對認證機構的處罰
第二十三條擅自設立電子商務認證機構,並對外提供服務的,由國家信息產業主管部門會同國家公安、工商行政管理部門責令停止營業,沒收違法所得,並處3萬元以下罰款。
第二十四條認證機構泄露企業或者個人非公開信息,或者利用該信息從事危害國家安全、損害企業或者個人利益的活動,情節嚴重、構成犯罪的,吊銷認證機構營業執照,並依法追究有關人員的刑事責任。
本條所列行為不構成犯罪的,由國家信息產業主管部門會同公安、工商行政管理等部門暫扣認證機構營業執照,沒收違法所得,並處3萬元以下罰款。
第二十五條有下列行為之壹的,由國家信息產業主管部門會同國家公安、工商行政管理部門給予警告,責令改正:
(壹)在認證體系運行或者對外提供認證服務過程中,違反安全保密規定的;
(二)認證機構擅自轉讓認證技術或者相關產品的;
(三)擅自設立分支機構或者擴大業務範圍的。
第二十六條境外組織或者個人參與經營管理電子商務認證機構的,由國家信息產業主管部門會同國家公安機關給予警告,責令改正。
第八章附則
第二十七條已經建成或者正在建設的電子商務認證機構,應當按照本辦法的有關規定進行重新註冊、審查和受理。
第二十八條本辦法由信息產業部主管部門負責解釋。
第二十九條本辦法自發布之日起實施。