工信廳信發(fā)函〔2022〕183號
各省、自治區(qū)、直轄市工業(yè)和信息化主管部門,各電子認證服務(wù)機構(gòu):
近年來,電子認證服務(wù)在政務(wù)、金融、商貿(mào)、醫(yī)療等領(lǐng)域得到廣泛應(yīng)用。但部分電子認證服務(wù)機構(gòu)(以下簡稱CA機構(gòu))服務(wù)不規(guī)范等問題引發(fā)社會關(guān)注,影響人民群眾切身利益。為進一步規(guī)范電子認證服務(wù),切實維護群眾合法權(quán)益,依據(jù)《中華人民共和國電子簽名法》《電子認證服務(wù)管理辦法》,現(xiàn)組織開展電子認證服務(wù)合規(guī)性專項整治工作。有關(guān)事項通知如下:
一、整治問題
(一)證書申請流程不規(guī)范問題?!吨腥A人民共和國電子簽名法》第二十條規(guī)定,CA機構(gòu)收到電子簽名認證證書申請后,應(yīng)當對申請人的身份進行查驗,并對有關(guān)材料進行審查;《電子認證服務(wù)管理辦法》第三十條規(guī)定,有申請人申請電子簽名認證證書、證書持有人申請更新、撤銷證書的情況之一的,CA機構(gòu)應(yīng)當對申請人提供的證明身份的有關(guān)材料進行查驗,并對有關(guān)材料進行審查。CA機構(gòu)不得有以下行為:
1.對申請人的身份查驗流程不規(guī)范;
2.收到電子簽名認證證書申請后,未對有關(guān)材料進行審查;
3.在簽發(fā)數(shù)字證書過程中,存在申請主體、接受主體和證書載明主體不一致的情形;
4.電子簽名認證證書內(nèi)容沒有完整、準確載明;
5.未妥善保存與認證相關(guān)的信息。
(二)在受理證書申請前,向申請人告知有關(guān)事項不充分的問題。《電子認證服務(wù)管理辦法》第二十一條規(guī)定,CA機構(gòu)在受理電子簽名認證證書申請前,應(yīng)當向申請人告知下列事項:
1.電子簽名認證證書和電子簽名的使用條件;
2.服務(wù)收費的項目和標準;
3.保存和使用證書持有人信息的權(quán)限和責任;
4.電子認證服務(wù)機構(gòu)的責任范圍;
5.證書持有人的責任范圍。
此外,《電子認證服務(wù)管理辦法》第三十條規(guī)定,CA機構(gòu)更新或者撤銷電子簽名認證證書時,應(yīng)當予以公告。
(三)受理認證申請后,未與證書申請人簽訂合同明確雙方權(quán)利義務(wù)的問題?!峨娮诱J證服務(wù)管理辦法》第二十二條規(guī)定,CA機構(gòu)在受理電子簽名認證申請后,應(yīng)當與證書申請人簽訂合同,明確雙方的權(quán)利義務(wù)。CA機構(gòu)不得有以下行為:
1.未與證書申請人簽訂合同;
2.未就電子簽名認證與證書申請人明確雙方的權(quán)利義務(wù);
3.CA機構(gòu)與證書申請人約定的合同內(nèi)容中,存在違反其公布的電子認證業(yè)務(wù)規(guī)則的內(nèi)容。
二、整治對象和時間
(一)整治時間。通知印發(fā)之日起至2022年10月30日。
(二)整治對象。本次專項整治工作主要面向經(jīng)工業(yè)和信息化部許可的55家CA機構(gòu)(見附件1)自2017年7月起提供的電子認證服務(wù)。
三、整治工作安排
(一)開展自查自糾。各CA機構(gòu)對照需整治的問題,按照應(yīng)用領(lǐng)域開展合規(guī)性專項自查,針對發(fā)現(xiàn)的問題研究制定整改方案,完善投訴處理機制,加強合規(guī)體系建設(shè)。8月30日前將自查報告和整改方案報送本機構(gòu)注冊登記所在?。▍^(qū)、市)工業(yè)和信息化主管部門。
(二)督促監(jiān)督檢查。有關(guān)省(區(qū)、市)工業(yè)和信息化主管部門參照檢查記錄表(附件2)所列項,對轄區(qū)內(nèi)CA機構(gòu)的自查自糾情況進行監(jiān)督檢查。9月30日前將有關(guān)工作情況報工業(yè)和信息化部。
(三)隨機執(zhí)法抽查。工業(yè)和信息化部在CA機構(gòu)自查、地方工業(yè)和信息化主管部門監(jiān)督檢查基礎(chǔ)上,結(jié)合本年度“雙隨機、一公開”執(zhí)法檢查工作,對部分地區(qū)專項整治工作成效開展抽查,并對專項整治工作進行總結(jié)。
四、工作要求
(一)各單位要高度重視本次專項整治工作,切實加強組織領(lǐng)導,指定專人牽頭負責,結(jié)合實際制定實施方案,明確任務(wù)分工和進度,細化整治措施,確保整治工作取得實效。
(二)各CA機構(gòu)要切實落實主體責任,不斷規(guī)范電子認證服務(wù)流程,提高運營管理水平,建立完善的安全管理和內(nèi)部審計制度,維護有關(guān)各方合法權(quán)益,并及時報送整改落實情況。
(三)對于整改不力或拒不整改的CA機構(gòu),各?。▍^(qū)、市)工業(yè)和信息化主管部門要及時上報相關(guān)情況,工業(yè)和信息化部將依法依規(guī)進行處理。
附件:
1.工業(yè)和信息化部許可的55家CA機構(gòu)名單
2.檢查記錄表