海南省数字证书认证管理试行办法

海南省人民政府令

第146号

《海南省数字证书认证管理试行办法》已经2001年4月9日海南省人民政府第98次会议通过，现予公布，自公布之日起施行。

省长 汪啸风

二00一年八月九日

　　第一条 为建立安全和可信赖的电子通信及交易环境，加强对我省数字证书认证的管理，规范数字证书认证机构的业务行为，维护数字证书认证机构和用户的合法权益，根据国家有关规定，结合本省实际，制定本办法。

　　第二条 本办法下列用语定义如下：

　　电子文件，是指以电子形式储存和处理的文字、声音、图形或图像等信息的数据。

　　电子信息活动，是指利用计算机网络进行相互通信与交易的活动。

　　数字签名，是指以电子形式存在，可依附在电子文件中用于辨识电子文件的签署者及表示对该电子文件内容负责所使用的电子数字标识。

　　数字证书，是指用于电子信息活动中电子文件行为主体的验证和证明，并可实现电子文件保密性和完整性的电子数据。它包含有行为主体信息和证书认证机构的数字签名。

　　数字证书认证机构(以下简称认证机构)，是指制作、签发、管理数字证书、对电子文件属主(即数字证书使用者)进行识别和公正确认的机构。

　　用户，是指通过认证机构取得数字证书的单位和个人。

　　第三条 凡在我省从事数字证书认证活动的单位和个人均应遵守本办法。

　　第四条 省信息产业行政管理部门是本省认证机构的行业管理和监督部门。

　　第五条 凡在我省从事数字证书认证业务活动的单位，须经省信息产业行政管理部门进行资格认定，方可开展数字证书认证业务。

　　第六条 认证机构应具备以下条件：

　　(一) 是依法设立的企业法人或事业法人;

　　(二) 具有经省信息产业行政管理部门和公安部门检验证明是先进、可行、可靠和安全的技术装备、技术手段;

　　(三) 有完备的管理规章、稽核制度;

　　(四) 有与认证业务活动相适应的专业技术和管理人员;

　　(五) 有足够的资金、服务设施与场地，能为用户提供长期服务。

　　第七条 申请认证机构资格认定，须向省信息产业行政管理部门提交以下书面材料：

　　(一) 申请报告;

　　(二) 从事数字证书认证业务的可行性研究报告，其主要内容包括：业务种类、服务范围、市场预测、发展规划、技术标准、预期服务质量和收费水平等;

　　(三) 认证业务流程说明书;

　　(四) 单位法定代表人和主要技术人员的身份证、简历和学历证明;

　　(五) 有关机关对其技术装备、技术手段的检验证明;

　　(六) 其它符合本办法第六条规定条件的有关证明材料。

　　第八条 省信息产业行政管理部门应根据省信息化发展的实际需要，对认证机构实行数量控制，并在条件成熟时，对认证机构实行资质等级管理。

　　省信息产业行政管理部门收到申请材料后，应在30日内进行审查，作出批准或不予批准的决定。予以批准的，由省信息产业行政管理部门发给资格证书，并向社会公布;不予批准的，书面通知申请人并说明理由。

　　资质证书有效期为3年。省信息产业行政管理部门对认证机构的资格实行年度检查制度，对年检不符合资格条件的，可注销其资格证书。

　　第九条 认证机构变更名称、地址、法定代表人的，应当在变更后的30日内向省信息产业行政管理部门办理更换证书手续。

　　第十条 认证机构终止业务的，应当在终止业务前30日内向省信息产业行政管理部门提出书面申请，经省信息产业行政管理部门批准并负责做好原有用户的善后处理工作后，再办理注销手续。

　　第十一条 获准从事数字证书认证业务的机构须遵守以下规定：

　　(一)遵守国家的法律、法规、行政规章和技术标准;

　　(二)按照批准的业务种类和服务范围开展数字证书认证业务，并接受省信息产业行政管理部门的行业管理和监督检查;

　　(三)执行省物价管理部门批准的收费项目和收费标准，并报省信息产业行政管理部门备案;

　　(四)遵守省信息产业行政管理部门制定的统计制度，按时和如实报送业务服务情况及有关资料;

　　(五)加强对系统设备的运行管理，保证认证质量，健全规章制度，为用户提供迅速、准确、安全、方便的服务。

　　第十二条 认证机构的业务内容包括：

　　(一) 制作、签发、管理数字证书;

　　(二) 对签发的数字证书的真实性进行确认;

　　(三) 提供电子文件认证服务;

　　(四) 提供数字证书目录查询服务;

　　(五) 其它经省信息产业行政管理部门核准办理的业务。

　　第十三条 认证机构签发数字证书，应履行下列义务：

　　(一) 认真核实数字证书申请者的真实身份，以及其他可能涉及影响数字证书可靠性的事实，查验数字证书所记载的事项，保证数字证书准确无误;

　　(二) 采取必要的安全措施，防止签发的数字证书和提供的数字签名遭伪造、篡改或未经授权使用;

　　(三) 将用户数字证书及相关信息放置于可供公众查阅的网络，供随时查证取用。

　　第十四条 认证机构要求数字证书用户申请者提供的信息，以足以辨识用户身份为限，但经申请者同意的除外。

　　第十五条 认证机构受理数字证书认证申请时，应向申请者告知下列事项：

　　(一) 数字证书和数字签名的使用条件;

　　(二) 服务收费标准;

　　(三) 认证机构使用及存储用户资料的权限;

　　(四) 认证机构的责任范围;

　　(五) 用户的责任范围;

　　(六) 其它数字证书应用事项。

　　第十六条 数字证书应包括以下信息：

　　(一) 用户名称;

　　(二) 数字签名使用的加密算法概要;

　　(三) 数字证书序号;

　　(四) 有效使用期限;

　　(五) 发证机构的名称;

　　(六) 数字证书的使用权限;

　　(七) 发证机构的数字签名;

　　(八) 其他经用户同意加入的信息。

　　第十七条 认证机构受理用户数字证书认证申请后，应和用户签订书面合同，明确双方的权利义务。

　　认证机构和用户在认证活动中使用的数据电文，可视为一种书面形式。

　　第十八条 数字证书应符合下列各项标准：

　　(一) 数字签名与用户的数字证书唯一对应。

　　(二) 可客观地辨识签署者的身份。

　　(三) 可由用户操作，并将数字签名附在电子文件内。

　　(四) 可判别经签署的电子文件内容是否遭受篡改。

　　第十九条 认证机构及其工作人员不得有下列行为：

　　(一) 伪造用户数字证书;

　　(二) 泄露用户的数字签名;

　　(三) 擅自修改认证结果;

　　(四) 改变存放在认证机构中用户数据信息的保密状态。

　　第二十条 认证机构收到用户申请中止或撤消数字证书的申请后，应对用户身份进行确认，再办理中止或撤消数字证书的手续，并进行公告。

　　第二十一条 用户数字证书有效期届满，认证机构须对到期证书进行废除处理并予以公告。 用户需继续申领的，认证机构按本办法规定程序及时予以核发新有效期的数字证书。

　　第二十二条 有下列情形之一的，认证机构可不经用户本人同意或向用户通知，废除用户的数字证书：

　　(一) 确知用户数字证书的部分事项不真实;

　　(二) 确知认证机构本身的系统遭冒用、破解、伪造，以致影响数字证书的可信赖性;

　　(三) 确知用户数字证书已遭冒用、伪造或篡改;

　　(四) 确知用户已死亡或终止。

　　认证机构废除用户数字证书后，除第(一)、(四)项外，应立即通知用户，并按本办法规定程序无偿为用户办理新的数字证书。

　　第二十三条 用户申请、使用数字证书，应履行以下义务：

　　(一) 如实提供认证机构按本办法要求提供的材料;

　　(二) 在数字证书有效期内，妥善保管和保护其私人电子密钥，防止未经授权使用;

　　(三) 已知其数字证书被冒用、被破解或被他人非法使用时，及时通知认证机构撤消其数字证书。

　　第二十四条 认证机构违反本办法第十一条第(一)、(三)、(四)项规定的，依照有关法律、法规、规章给予处罚;违反本办法第十一条第(二)项规定的，由省信息产业行政管理部门视其具体情节，处以警告、1万元以上3万元以下的罚款;给用户和其它经营单位造成经济损失的，应依法承担赔偿责任;构成犯罪的，依法追究刑事责任。

　　第二十五条 认证机构及其工作人员违反本办法第十九条规定的，由省信息产业主管部门视其具体情节，处以500元以上1000元以下的罚款;给用户和其它经营单位造成经济损失的，应依法承担赔偿责任;构成犯罪的，依法追究其刑事责任。

　　第二十六条 本办法具体应用中的问题由省信息产业行政管理部门负责解释。

　　第二十七条 本办法自公告之日起实施。