7月1日,电子认证行业迎来一部新规——国家密码管理局令第6号《电子认证服务使用密码管理办法》正式施行,2009年的旧版《办法》同步废止。
这是时隔17年后,电子认证服务使用密码管理制度的一次系统性升级。无论你是密评从业者、电子认证机构负责人,还是关注密码合规的普通读者,这篇文章都会用把新规讲清楚。
为什么要修订?旧规则跟不上新形势了
2005年首次发布、2009年修订、2017年微调——旧版《办法》已经运行了近20年。这期间,《密码法》《电子签名法》先后出台,2023年新修订的《商用密码管理条例》也对电子认证服务使用密码许可制度提出了更细的要求。
简单说,上位法升级了,配套细则也得跟上。同时,行业里也出现了一些机构"重业务创新、轻密码合规"的苗头,亟需立规矩、明底线。
新规改了什么?核心变化一图看懂
新版《办法》共25条,主要在五个方面动了"大手术":
1. 许可证办理更明确
新增了申请《电子认证服务使用密码许可证》的具体条件(第五条),规范了申请材料和受理流程,完善了审查审批、技术评审环节,也明确了许可证变更和到期延续的办理要求。简单理解:以后想申请这张"通行证",门槛和流程都写得更清楚了,少走弯路。
2. 日常运营要求更细
对已经拿到许可证的机构,新规在安全管理、密钥服务、运行维护、合规评估、人员培训五个方面提出了具体规范(第十三条至第十七条)。这意味着拿到证不是终点,持续合规才是常态。
3. 监管分级更清晰
国家密码管理局负责全国统筹,地方各级密码管理部门负责本行政区域监管(第四条),权责划分更明确,避免监管空白或重复检查。
4. 法律责任更具操作性
明确了违反规定应承担的法律责任(第二十一条),同时对监管人员自身的失职行为也设置了问责条款(第二十二条)——监管者也在被监管。
5. 制度衔接更顺畅
明确了与工信部在电子认证服务许可上的衔接(第二十三条),避免"两头跑、两头审"的情况。

对行业意味着什么?
对电子认证服务机构而言:申请门槛清晰了,但日常合规的"紧箍咒"也更紧了——安全管理、密钥服务、合规评估都要落到实处,不能只在申请时"临阵磨枪"。
对密评、检测、合规服务机构而言:新规带来了实打实的业务增量,技术评审、合规性评估等环节都需要专业第三方支持。
对普通用户和企业而言:电子签名、数字证书背后的密码安全保障机制更规范了,意味着你每天使用的电子合同、电子发票、政务服务背后的“信任底座"更牢固了。
写在最后
从2005年到2026年,电子认证服务使用密码的管理走过了四个版本。这次修订不是简单"打补丁",而是一次贯彻《密码法》《电子签名法》、对接新修订《商用密码管理条例》的系统升级,也是深化"放管服"改革、优化营商环境的具体落地。
7月1日起,新规正式生效。无论你身处行业的哪个环节,提前了解、提前对照、提前准备,才能从容应对。