为了规范数字认证工作的管理和应用,推进和保障全省电子政务及电子商务的健康发展,维护数字认证活动当事人权益,根据国家有关规定,结合本省实际,制定本办法。
第一条 本办法所称的数字认证,是指认证机构对电子政务、电子商务等网上业务活动的数字证书持有人身份及其数字签章进行认证的行为和相关活动。
本办法所称的认证机构,是指经营数字认证业务,提供数字证书制作、签发、管理和数字签章识别、认证服务的机构。
本办法所称的数字证书,是指认证机构签发的在一定期限内用以证明数字证书持有人身份和其他情况的电子数据;保证网上业务活动中信息源真实性、完整性和信息发送不可抵赖性的重要手段。
本办法所称的数字签章,是指依附于数据电文的用以确认数据电文签署人的身份和数据电文完整性的电子数据。
第二条 凡在本省行政区域内从事不涉及国家秘密的服务、商务、文化、娱乐等网上业务中有关数字认证的活动及管理,适用本办法。
第三条 在省信息化工作领导小组的统一领导下,省信息化主管部门负责全面规划、管理和协调全省行政区域内数字认证、电子签章等相关工作,省国家密码管理机构负责数字认证密码系统的规划、审批、建设和管理,省国家保密局(简称省保密局)负责数字认证工作中涉及国家秘密信息保密系统的界定和监管。
第二章 认证机构管理
第四条 本省数字认证业务实行政府授权经营管理制度。
在本省行政区域内的数字认证机构,须经省信息化主管部门和省国家密码管理机构审核,并经国家密码管理委员会办公室批准、验收后,方可从事数字认证业务。政府公众网上业务涉及国家秘密信息的数字认证需经省保密局界定。
第五条 认证机构应具备的条件:
(一)具有法人资格;
(二)具有经国家有关部门认证或检验合格的技术和设备;
(三)有完备的管理规章、制度;
(四)具有与认证业务活动相适应的专业技术和管理人员;
(五)具有必要的资金和经营场所,具备为用户提供认证服务和承担风险责任的能力;
(六)法律、法规规定的其他条件。
第六条 认证机构公布、变更认证业务声明,应当经过省信息化主管部门和省国家密码管理机构批准。
第七条 认证机构提供数字认证服务的信息系统发生重大变更的,应当经过省信息化主管部门和省国家密码管理机构的认定;提供其他服务的信息系统发生重大变更的,应当取得信息安全评测报告,并报省信息化主管部门和省国家密码管理机构备案。
第八条 省信息化主管部门和省国家密码管理机构对认证机构的下列情况进行监督管理:
(一)业务开展情况;
(二)信息公布与保密情况;
(三)信息系统运行情况;
(四)其他有关情况。
第九条 认证机构终止经营数字认证业务的,应当取得国家有关部门、省信息化主管部门和省国家密码管理机构的批准。
第三章 认证机构的义务
第十条 获准从事数字证书认证业务的机构须遵守以下规定:
(一)遵守国家的法律、法规、行政规章和技术标准;
(二)加强对系统设备的运行管理,保证认证质量,健全规章制度,为用户提供迅速、准确。安全、方便的服务。
(三)按照批准的业务种类和服务范围开展数字证书认证业务,并接受省信息化主管部门、省国家密码管理机构的行业管理和监督检查;
(四)遵守省信息化主管部门、省国家密码管理机构制定的统计制度,按时和如实报送业务服务情况及有关资料。
第十一条 认证机构的业务内容包括:
(一)制作、签发、管理数字证书;
(二)对签发的数字证书的真实性进行确认;
(三)提供电子文件认证服务;
(四)提供数字证书目录查询服务;
(五)其他经主管部门核准办理的业务。
第十二条 认证机构签发数字证书,应履行下列义务:
(一)认真核实数字证书申请者的真实身份,以及其他可能涉及影响数字证书可靠性的事实,查验数字证书所记载的事项,保证数字证书准确无误;
(二)采取必要的安全措施,防止签发的数字证书和提供的数字签名遭伪造、篡改或未经授权使用;
(三)将用户数字证书及相关信息放置于可供公众查阅的网络,供随时查证取用。
第十三条 认证机构要求数字证书用户申请者提供的信息,以足以辨识用户身份为限,但经申请者同意的除外。
第十四条 认证机构应当公布下列信息,并保证公布信息的准确完整:
(一)认证业务声明;
(二)废除的数字认证名单;
(三)影响认证机构服务能力的事实。
第十五条 除法律法规另有规定外,认证机构不得公布下列信息:
(一)数字认证申请人的身份信息及其他相关信息;
(二)数字认证用户委托认证机构保管的私钥。
第十六条 认证机构的信息系统应当符合下列要求:
(一)能够确认数据电文签署人的身份;
(二)能够保证数据电文在传递、接收和储存过程中的完整性;
(三)能够避免系统被侵入或者人为破坏以及数据电文被篡改;
(四)具有合理和可靠的安全程序。
第十七条 由于认证机构过错造成数字证书持有人损失时,认证机构应当承担赔偿责任。认证机构可以在认证业务声明中设置赔偿限额。
第十八条 数字证书废除后,认证机构应当继续保存与数字认证相关的信息。
第四章 数字证书管理
第十九条 政府机构面向公众服务的电子政务业务和参与网上电子商务及信息化应用企业、事业单位及组织、个人和设备应当使用数字证书。其他各类网上活动,鼓励使用数字证书。
第二十条 数字证书申领点受认证机构的委托,办理数字证书的申领发放。申请人持能够证明身份的有效证件到数字证书申领点申领数字证书,数字证书申领点核实申请人的身份后发放数字证书。
第二十一条 数字证书持有人应当妥善保管私钥。数字证书持有人发现本人私钥泄露的,应当立即通知认证机构,并申请废除数字证书。
第二十二条 发生下列情形之一的,认证机构应当废除数字证书:
(一)数字证书持有人不付存在或死亡;
(二)数字证书中的信息发生重大变更;
(三)数字证书持有人申请废除数字证书;
(四)数字证书持有人不能实际履行认证业务声明及其他协议内容或者违反法律法规的规定;
(五)由于认证机构过错造成数字证书的安全性得不到保证;
(六)数字证书的有效期届满;
(七)其他法律法规规定的情形。
第二十三条 本省行政区域以外的认证机构,符合国家法律法规相关规定,其签发的数字证书与本办法规定的授权认证机构签发的数字证书具有同等效力。
第二十四条 数字证书认证服务收费。数字证书认证机构应严格执行政府物价管理部门批准的收费项目和收费标准,并报省信息化主管部门、省国家密码管理机构备案。
第五章 数字签章管理
第二十五条 使用数据电文的当事人可以约定数字签章的效力。没有约定的,数据电文收受人可以根据数字签章确认数据电文签署人的身份和数据电文的完整性。
第六章 争议处理
第二十六条 违反本办法规定,擅自设立认证机构,经营数字认证业务,构成犯罪的,依法追究刑事责任;尚不构成犯罪的,由省信息化主管部门、省国家密码管理机构依据职权予以查处,并责令限期改正。
第二十七条 违反本办法规定,冒名申领、冒用数字证书,构成犯罪的,依法追究刑事责任;尚不构成犯罪的,由相关部门依据职权追究法律责任。认证机构应当废除冒领、冒用的数字证书。
第二十八条 认证机构违反本办法,构成犯罪的,依法追究刑事责任;尚不构成犯罪的,由相关部门依据职权予以查处,并责令限期改正。
第二十九条 因数字证书的申领、发放和使用发生争议的,数字证书持有人可以向省信息化主管部门、省国家密码管理机构提出申诉。
第七章 附则
第三十条 本办法由省信息化主管部门会同省国家密码管理机构、省国家保密局负责解释。
第三十一条 本办法自颁布之日起开始试行。
(责任编辑:adminadmin2008)
