《电子认证服务使用密码管理办法》解读

根据《中华人民共和国密码法》（以下简称《密码法》）、《中华人民共和国电子签名法》（以下简称《电子签名法》）和《商用密码管理条例》等法律法规，国家密码管理局研究修订发布了《电子认证服务使用密码管理办法》（国家密码管理局令第6号）（以下简称《办法》），现就《办法》的有关内容解读如下。

一、修订的必要性

2005年3月31日，国家密码管理局发布《电子认证服务密码管理办法》。2009年10月28日，国家密码管理局对2005年公布的《电子认证服务密码管理办法》进行了修订。2017年12月1日，根据《国家密码管理局关于废止和修改部分管理规定的决定》，国家密码管理局对《电子认证服务密码管理办法》进行了修正。2023年4月27日，国务院公布修订后的《商用密码管理条例》（国务院令第760号），对电子认证服务使用密码许可制度作了进一步细化和完善。为适应新时代商用密码事业发展需求，规范电子认证服务使用密码行为，保障电子认证服务使用密码安全，亟需对《电子认证服务密码管理办法》进行修订。

（一）修订发布《办法》是贯彻落实党中央、国务院关于商用密码管理决策部署的必然要求。《电子签名法》第十七条规定，提供电子认证服务，应当“具有国家密码管理机构同意使用密码的证明文件”。2023年修订的《商用密码管理条例》第二十二条规定：“采用商用密码技术提供电子认证服务，应当具有与使用密码相适应的场所、设备设施、专业人员、专业能力和管理体系，依法取得国家密码管理部门同意使用密码的证明文件。”为有效贯彻落实上位法规定，按照商用密码依法管理要求，有必要修订《电子认证服务密码管理办法》，细化电子认证服务使用密码管理要求。

（二）修订发布《办法》是深化行政审批制度改革、优化营商环境的重要举措。近年来，党中央、国务院围绕深化行政审批制度改革、优化营商环境作出了一系列重大决策部署，为严格落实行政审批制度改革要求，有必要修订《电子认证服务密码管理办法》，明确审批条件，优化审批流程，规范行政管理部门行为。同时，也为管理部门依法审批、依法监管提供了法治保障和政策支持。

（三）修订发布《办法》是规范电子认证服务使用密码行为的迫切需要。随着电子认证服务的广泛应用，部分单位存在盲目追求业务创新，忽视密码使用合规的行为，严重影响电子认证服务安全和行业秩序。《办法》坚持问题导向，根据管理实践，对电子认证服务使用密码提出明确管理要求，依法规范电子认证服务使用密码行为，对保障电子认证服务使用密码安全、护航电子认证服务高质量发展具有重要意义。

二、总体思路

（一）坚持依法管理。深入贯彻落实《电子签名法》、《密码法》和新修订的《商用密码管理条例》有关要求，明确密码管理部门职责权限，细化完善电子认证服务使用密码条件和批准程序，严格依法行政。

（二）坚持问题导向。准确把握新情况新问题，深入科学论证，有针对性地完善制度措施，强化规范管理，明确电子认证服务使用密码要求。

（三）创新监管机制。落实行政审批制度改革要求，科学设置准入条件和监督管理措施。加强事中事后监管，强化主管部门监管职能，保障电子认证服务使用密码安全。

三、修订的主要内容

《办法》共25条，主要修订内容如下：

（一）关于适用范围

《办法》明确，在中华人民共和国境内的电子认证服务使用密码及其监督管理，适用本办法（第二条）。

（二）关于管理体制

根据新修订的《商用密码管理条例》有关规定，《办法》明确国家密码管理局和地方各级密码管理部门对电子认证服务使用密码行为实施监督管理（第四条）。

（三）关于许可证办理

《办法》增设了电子认证服务使用密码许可证办理条件（第五条），规范了许可证办理的申请材料和申请受理程序（第六条、第七条），完善了审查审批程序、技术评审措施和许可证件内容（第八条至第十条），明确了许可事项变更和期满延续办理要求（第十一条、第十二条）。

（四）关于运行规范

根据国家有关加强事中事后监管要求和实际监管需求，《办法》对获得《电子认证服务使用密码许可证》的机构提出了安全管理、密钥服务、运行维护、合规性评估和人员培训等规范管理要求，以保障电子认证服务系统安全可靠运行和密码使用安全（第十三条至第十七条）。

（五）关于监督管理和法律责任

《办法》进一步明确了密码管理部门监管职责、监督检查方式、监督检查措施及相关实施要求（第十八条至第二十条），明确了违反有关要求所应承担的法律责任（第二十一条），以及对从事电子认证服务使用密码监督管理工作人员的监管责任（第二十二条）。

此外，《办法》还明确了与国务院工业和信息化主管部门在电子认证服务许可管理上的衔接（第二十三条），与法律、行政法规和国家有关规定等制度的衔接（第二十四条），以及本办法的施行时间（第二十五条）。