电子认证服务管理办法

电子认证服务管理办法合同编号：__________甲方（电子认证服务提供方）：公司名称：____________________地址：_________________________联系方式：____________________乙方（电子认证服务使用方）：公司名称：____________________地址：_________________________联系方式：____________________第一章定义与术语1.1本办法中，电子认证服务是指依法取得电子认证服务许可，为用户提供身份验证、数据加密、数字签名等电子认证服务的活动。1.2电子认证服务机构是指依法设立，取得电子认证服务许可，从事电子认证服务的机构。1.3用户是指使用电子认证服务的单位或个人。第二章电子认证服务许可2.1从事电子认证服务的机构应当依法取得电子认证服务许可。2.2电子认证服务许可的申请应当符合以下条件：（1）具备开展电子认证服务的专业技术人员；（2）具备开展电子认证服务所必需的设施和设备；（3）具备完善的电子认证服务管理制度。2.3电子认证服务许可的申请应当向国家信息安全管理部门提出。2.4国家信息安全管理部门应当在收到申请之日起45日内作出许可或者不予许可的决定，并通知申请人。第三章电子认证服务的管理3.1电子认证服务机构应当建立健全以下管理制度：（1）电子认证服务安全管理制度；（2）电子认证服务质量管理；（3）电子认证服务风险控制制度。3.2电子认证服务机构应当对用户提供真实、准确、完整的电子认证服务。3.3电子认证服务机构应当采取以下措施保障用户信息安全：（1）对用户信息进行加密存储；（2）对用户信息进行分类管理；（3）对用户信息进行定期备份。第四章电子认证服务的使用4.1用户使用电子认证服务时，应当提供真实、准确、完整的身份信息。4.2用户应当妥善保管电子认证服务所提供的认证工具，防止泄露。4.3用户使用电子认证服务进行交易时，应当遵守相关法律法规，不得从事以下行为：（1）虚构交易事实；（2）冒用他人身份进行交易；（3）利用电子认证服务进行欺诈行为。第五章电子认证服务的法律责任5.1电子认证服务机构未取得许可擅自从事电子认证服务的，由国家信息安全管理部门责令停止违法行为，没收违法所得，并处以罚款。5.2电子认证服务机构违反本办法规定，有下列行为之一的，由国家信息安全管理部门责令改正，可以处以罚款：（1）未建立健全电子认证服务管理制度；（2）未采取安全措施保障用户信息安全；（3）提供虚假、不准确、不完整的电子认证服务。5.3用户违反本办法规定，有下列行为之一的，由国家信息安全管理部门责令改正，可以处以罚款：（1）提供虚假身份信息；（2）冒用他人身份进行交易；（3）利用电子认证服务进行欺诈行为。第六章电子认证服务的监督与检查6.1国家信息安全管理部门负责对电子认证服务进行监督与检查。6.2电子认证服务机构应当接受国家信息安全管理部门的监督与检查，如实提供有关情况和资料。6.3监督与检查主要包括以下内容：（1）电子认证服务许可的合法性；（2）电子认证服务机构的经营状况；（3）电子认证服务制度的建立健全情况；（4）用户信息安全管理情况。6.4国家信息安全管理部门进行监督与检查时，应当出示执法证件，电子认证服务机构应当予以配合。第七章电子认证服务的投诉与处理7.1用户对电子认证服务机构的服务有异议的，可以向电子认证服务机构提出投诉。7.2电子认证服务机构应当设立投诉处理机构，公开投诉渠道，对用户投诉应当在15日内作出答复。7.3用户对电子认证服务机构的答复不满意，或者电子认证服务机构未在规定期限内答复的，可以向国家信息安全管理部门投诉。7.4国家信息安全管理部门收到投诉后，应当在30日内调查处理完毕，并将处理结果告知投诉人。第八章电子认证服务的风险控制8.1电子认证服务机构应当建立风险控制制度，对可能出现的风险进行识别、评估和控制。8.2电子认证服务机构应当采取以下风险控制措施：（1）建立用户身份验证机制；（2）建立数据加密机制；（3）建立安全事件应急响应机制。8.3电子认证服务机构应当定期对风险控制措施进行评估，必要时进行调整。第九章电子认证服务的信息公开9.1电子认证服务机构应当通过其网站或者其他方式公开以下信息：（1）电子认证服务许可证明文件；（2）电子认证服务管理制度；（3）电子认证服务收费标准；（4）用户投诉处理情况。9.2电子认证服务机构应当在营业场所显著位置悬挂电子认证服务许可证明文件。9.3电子认证服务机构应当保证公开的信息真实、准确、完整。第十章电子认证服务的终止与退出10.1电子认证服务机构终止电子认证服务的，应当提前30日向国家信息安全管理部门报告，并妥善处理用户善后事宜。10.2电子认证服务机构终止电子认证服务时，应当采取以下措施：（1）通知用户终止服务的时间、原因；（2）协助用户迁移数据；（3）退还用户已支付的服务费用。10.3电子认证服务机构退出电子认证服务行业的，应当向国家信息安全管理部门办理退出手续，并提交以下材料：（1）退出电子认证服务行业的报告；（2）电子认证服务许可证明文件；（3）用户善后处理情况报告。第十一章电子认证服务的安全防护11.1电子认证服务机构应保证其系统的安全性，采取必要的技术措施保护用户数据和认证信息。11.2电子认证服务机构应至少每年进行一次信息安全审计，保证其安全防护措施的有效性。11.3电子认证服务机构应建立以下安全防护措施：（1）防火墙和入侵检测系统；（2）数据加密和完整性验证；（3）系统漏洞扫描和修补。11.4电子认证服务机构应制定并实施安全事件应急响应计划，以应对可能的安全攻击或系统故障。第十二章电子认证服务的用户培训与支持12.1电子认证服务机构应提供用户培训服务，保证用户能够正确使用电子认证服务。12.2用户培训应包括以下内容：（1）电子认证服务的基本概念；（2）电子认证服务的操作流程；（3）用户数据安全的保护措施。12.3电子认证服务机构应设立用户支持，为用户提供及时的技术支持和咨询服务。12.4电子认证服务机构应定期收集用户反馈，以改进服务质量。第十三章电子认证服务的合同管理13.1电子认证服务机构与用户之间的服务合同应明确双方的权利和义务。13.2服务合同应包括以下内容：（1）服务内容和服务期限；（2）服务费用和支付方式；（3）双方的责任和违约责任；（4）用户数据的处理和保密。13.3电子认证服务机构应妥善保管用户服务合同，保证合同的履行和用户的权益。13.4服务合同变更或终止时，电子认证服务机构应及时通知用户，并按照合同约定处理善后事宜。第十四章电子认证服务的法律责任与纠纷解决14.1电子认证服务机构违反法律法规和本办法规定的，应承担相应的法律责任。14.2电子认证服务机构与用户之间因服务产生的纠纷，应首先通过协商解决。14.3如果协商不成，双方可以选择调解、仲裁或诉讼等途径解决纠纷。14.4电子认证服务机构应遵守国家关于消费者权益保护的法律法规，保障用户的合法权益。第十五章附件与补充条款15.1本办法未尽事宜，由电子认证服务机构与用户协商补充。15.2本办法的附件包括但不限于以下内容：（1）电子认证服务许可证明文件；（2）用户身份验证流程；（3）用户数据安全保护措施。15.3本办法的修改