教学课件：第四章-电子签名与电子认证法律制度.ppt-淘文阁

资源描述

《教学课件：第四章-电子签名与电子认证法律制度.ppt》由会员分享，可在线阅读，更多相关《教学课件：第四章-电子签名与电子认证法律制度.ppt（59页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、电子签名与电子认证法律制度电子签名与电子认证法律制度现状第一节电子签名法律制度n(一)电子签名的概念和种类n1传统签名的概念和功能n2电子签名n（1）广义的电子签名所谓广义的电子签名，是指包括数字技术、生物特征技术、电子录音、电传等各种电子技术手段在内的电子签名。n（2）狭义的电子签名即数字签名。n（3）折中式概念可靠电子签名。n3电子签名与电子签章（二）电子签名的实现方法n手写签名或印章的模式识别n生物识别技术（1）指纹识别技术（2）视网膜识别技术（3）声音识别技术n密码、密码代号或个人识别码n基于量子力学的计算机n基于PKI的电子签名nPKI就是一种基础设施，其目标就是要充分利用公钥

2、密码学的理论基础，建立起一种普遍适用的基础设施，为各种网络应用提供全面的安全服务。完整的PKI系统必须具有权威认证机构(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口（API）等基本构成部分（三）电子签名相关技术n密钥技术n摘要技术（Hash函数）n电子认证（四）数字签名n认证n数字签名n原文保密的数字签名实现方法（五）电子签名法律制度n中华人民共和国电子签名法的基本内容（参见附录）n电子签名法中对电子签名的法律要求（1）适用范围（2）电子签名的基本要求（3）签名人的义务和责任第二节电子认证法律制度n党的十七大报告中提出党的十七大报告中提出“发展现代产业发展现代产业体系，大力

3、推进信息化与工业化融合体系，大力推进信息化与工业化融合”。国内外多年的实践表明，信息化建设离国内外多年的实践表明，信息化建设离不开网络信任环境这一重要基础，只有不开网络信任环境这一重要基础，只有建立起可信、可靠、可控的网络信任环建立起可信、可靠、可控的网络信任环境，人们才能够放心地、充分地利用信境，人们才能够放心地、充分地利用信息网络工作和生活，才能让信息化发挥息网络工作和生活，才能让信息化发挥更大的经济效益和社会效益。因此，推更大的经济效益和社会效益。因此，推进电子认证服务是建设网络信任环境的进电子认证服务是建设网络信任环境的必然选择。必然选择。1.电子认证概述n什么是电子认证？n电子认证是

4、一种电子认证是一种信用服务信用服务，指一个国家，指一个国家承认的认证机构通过颁发数字证书和管承认的认证机构通过颁发数字证书和管理公共密匙来检验带有电子签名的文件理公共密匙来检验带有电子签名的文件所有人及其内容的真实性的活动。所有人及其内容的真实性的活动。n请思考：该电子认证的定义属于广义还请思考：该电子认证的定义属于广义还是狭义？是狭义？n电子认证有什么作用？n（1）对外防止欺诈，防范交易当事人以）对外防止欺诈，防范交易当事人以外的人故意入侵而造成风险。外的人故意入侵而造成风险。（2）对内防止抵赖，针对交易当事人之）对内防止抵赖，针对交易当事人之间可能产生的误解或抵赖而设置的，以间可能产生的误

5、解或抵赖而设置的，以便在电子商务交易当事人之间预防纠纷。便在电子商务交易当事人之间预防纠纷。n电子签名与电子认证是什么关系？n电子签名主要是电子签名主要是从技术上从技术上保障数据电文保障数据电文的安全；电子认证主要是的安全；电子认证主要是从制度上从制度上保障保障电子商务交易主体的信用安全。二者是电子商务交易主体的信用安全。二者是相辅相成的关系。相辅相成的关系。n电子认证的方法n通过验证自称者（人或者事）的一个或通过验证自称者（人或者事）的一个或多个参数的真实性和有效性，来达到验多个参数的真实性和有效性，来达到验证自称者是否名副其实的目的。目前，证自称者是否名副其实的目的。目前，应用较广的还是以

6、密码为基础的认证技应用较广的还是以密码为基础的认证技术。术。n请思考：密码在电子签名中的作用是什请思考：密码在电子签名中的作用是什么么？n具有安全可靠性和经济实用性的电子签具有安全可靠性和经济实用性的电子签名实现技术的核心是密码技术。在电子名实现技术的核心是密码技术。在电子签名应用中，通常采用公开密钥的密码签名应用中，通常采用公开密钥的密码体制。在这种密码体制下，密钥由公开体制。在这种密码体制下，密钥由公开发布的公钥和保密的私钥组成。私钥和发布的公钥和保密的私钥组成。私钥和公钥是由密码算法生成的唯一对应的一公钥是由密码算法生成的唯一对应的一对数据，通过私钥不能推导出对应的公对数据，通过私钥不能

7、推导出对应的公钥，通过公钥也不能推导出对应的私钥。钥，通过公钥也不能推导出对应的私钥。在这里，私钥就相当于（在这里，私钥就相当于（），公钥就相），公钥就相对于（对于（）。）。n电子签名的基本实现过程是：电子签名人用只有电子签名的基本实现过程是：电子签名人用只有自己知道的私钥对特定数据进行加密生成电子签自己知道的私钥对特定数据进行加密生成电子签名，其他人用电子签名人公开发布的公钥对电子名，其他人用电子签名人公开发布的公钥对电子签名进行解密以确认电子签名人的身份。电子认签名进行解密以确认电子签名人的身份。电子认证服务提供者签发的电子签名认证证书中最为重证服务提供者签发的电子签名认证证书中最为重要的

8、一项内容就是电子签名人的公钥信息。要的一项内容就是电子签名人的公钥信息。正因为密码技术在电子签名中的重要作用，我国正因为密码技术在电子签名中的重要作用，我国电子签名法明确规定，开展电子认证服务必电子签名法明确规定，开展电子认证服务必须事先取得国家密码管理机构同意使用密码的证须事先取得国家密码管理机构同意使用密码的证明文件，实际上是为电子认证服务市场准入设置明文件，实际上是为电子认证服务市场准入设置了一项前置性行政许可。了一项前置性行政许可。n电子认证的分类n按照已有的功能和对象来分（1）站点认证（2）数据电文认证（3）身份认证n按照认证机构提供的等级来分（1）身份认证（2）授权认证（3）执行认

9、证（4）时间标识n电子认证与公证服务n（1）共同点：都向社会提供证明性服务（2）不同点：1）电子认证是在线信用服务，公证业务属于纸面证明活动。2）证明效力不同，公证效力强于电子认证。2.电子认证机构n什么是什么是“电子认证服务机构电子认证服务机构”？n电子认证服务机构是经电子认证服务机构是经国家信息产业主管国家信息产业主管部门部门批准许可的第三方认证机构。负责审批准许可的第三方认证机构。负责审核用户的身份，在确保用户身份真实的情核用户的身份，在确保用户身份真实的情况下，向用户发放电子签名认证证书，是况下，向用户发放电子签名认证证书，是发放和管理该证书的专业部门，为电子政发放和管理该证书的专业

10、部门，为电子政务、电子商务等应用提供网上身份认证、务、电子商务等应用提供网上身份认证、电子签名等证书认证安全服务。电子签名等证书认证安全服务。n电子签名安全认证机构的法律地位电子签名安全认证机构的法律地位 n电子签名安全认证机构在电子签名制度电子签名安全认证机构在电子签名制度中占据重要位置。从世界范围看，安全中占据重要位置。从世界范围看，安全电子商务认证中心的设置主要有两种途电子商务认证中心的设置主要有两种途径：一种是由政府组建的或者授权的机径：一种是由政府组建的或者授权的机构担任，以政府信用作为担保；另一种构担任，以政府信用作为担保；另一种则是通过市场的方式建立，在市场竞争则是通过市场的方式

11、建立，在市场竞争中建立信用。中建立信用。n为了保障我国电子商务的健康发展，由为了保障我国电子商务的健康发展，由政府组建的或者授权的机构担任电子签政府组建的或者授权的机构担任电子签名的安全认证中心还是必要的，例如广名的安全认证中心还是必要的，例如广东省电子商务认证中心（注册名为广东东省电子商务认证中心（注册名为广东省电子商务认证有限公司）、上海市电省电子商务认证有限公司）、上海市电子商务安全证书管理中心有限公司就是子商务安全证书管理中心有限公司就是在政府授权下组建的。在政府授权下组建的。认证机构成立的条件n根据电子认证服务管理办法第五条，电子认根据电子认证服务管理办法第五条，电子认证服务机构应当

12、具备下列条件：证服务机构应当具备下列条件：(一一)具有独立的企业法人资格具有独立的企业法人资格;(二二)从事电子认证服务的专业技术人员、运营管理从事电子认证服务的专业技术人员、运营管理人员、安全管理人员和客户服务人员不少于人员、安全管理人员和客户服务人员不少于30名名;(三三)注册资金不低于人民币注册资金不低于人民币3千万元千万元;(四四)具有固定的经营场所和满足电子认证服务要求具有固定的经营场所和满足电子认证服务要求的物理环境的物理环境;(五五)具有符合国家有关安全标准的技术和设备具有符合国家有关安全标准的技术和设备;(六六)具有国家密码管理机构同意使用密码的证明文具有国家密码管理机构同意使

13、用密码的证明文件件;(七七)法律、行政法规规定的其他条件。法律、行政法规规定的其他条件。我国认证机构的现状n我国目前的140余家电子签名认证服务机构中，仅17家拥有国家电子认证服务许可证，其余的120余家竟未经认证。随着电子商务和电子政务的迅猛发展，电子签名的应用范围也越来越广泛。电子商务企业要提高电子认证的质量和可信度，只有依靠电子商务企业与认证管理机构的共同努力才能实现。获得行政许可的认证机构名单 1山东省数字证书认证管理有限公司山东省数字证书认证管理有限公司山东山东 20052中金金融认证中心有限公司中金金融认证中心有限公司北京北京 20053北京天威诚信电子商务服务有限公司北京天威

14、诚信电子商务服务有限公司北京北京 20054陕西省数字证书认证中心有限责任公司陕西省数字证书认证中心有限责任公司陕西陕西 20055国投安信数字证书认证有限公司国投安信数字证书认证有限公司吉林吉林 20056广东省电子商务认证有限公司广东省电子商务认证有限公司广东广东 20057广东数字证书认证中心有限公司广东数字证书认证中心有限公司广东广东 20058上海市数字证书认证中心有限公司上海市数字证书认证中心有限公司上海上海 20059北京数字证书认证中心有限公司北京数字证书认证中心有限公司北京北京 200510辽宁数字证书认证管理有限公司辽宁数字证书认证管理有限公司辽宁辽宁 20

15、0511湖北省数字证书认证管理中心有限公司湖北省数字证书认证管理中心有限公司湖北湖北 200512颐信科技有限公司颐信科技有限公司北京北京 200513江苏省电子商务证书认证中心有限责任公司江苏省电子商务证书认证中心有限责任公司江苏江苏 200514重庆市数字证书认证中心有限公司重庆市数字证书认证中心有限公司重庆重庆 200515浙江省数字安全证书管理有限公司浙江省数字安全证书管理有限公司浙江浙江 200516福建省数字安全证书管理有限公司福建省数字安全证书管理有限公司福建福建 200617新疆数字证书认证中心新疆数字证书认证中心(有限公司有限公司)新疆新疆 200618河南省数字

16、证书有限责任公司河南省数字证书有限责任公司河南河南 200619北京国富安电子商务安全认证有限公司北京国富安电子商务安全认证有限公司北京北京 200620安徽省电子认证管理中心有限责任公司安徽省电子认证管理中心有限责任公司安徽安徽 200621河北省电子商务认证有限公司河北省电子商务认证有限公司河北河北 200622西部安全认证中心有限责任公司西部安全认证中心有限责任公司宁夏宁夏 200723天津远博网络有限公司天津远博网络有限公司天津天津 200724山西省数字证书认证中心山西省数字证书认证中心(有限公司有限公司)山西山西200725深圳市电子商务安全证书管理有限公司深圳市电子商

17、务安全证书管理有限公司广东广东 200726天津信息港电子商务有限公司天津天津信息港电子商务有限公司天津200727江西省数字证书有限公司江西江西省数字证书有限公司江西200828中网威信电子安全服务有限公司北京中网威信电子安全服务有限公司北京200729北京中认环宇技术开发有限公司北京北京中认环宇技术开发有限公司北京200730湖南省数字认证服务中心有限公司湖南湖南省数字认证服务中心有限公司湖南2008我国认证机构的民事法律责任 n认证机构的法律责任可能是侵权责任，也可能是违约认证机构的法律责任可能是侵权责任，也可能是违约责任，由于两者的性质不同，所以归责原则的选择上责任，由于两者的性质不

18、同，所以归责原则的选择上也会不同。也会不同。n(1)违约责任归责原则。电子认证机构根据证书申请违约责任归责原则。电子认证机构根据证书申请人的申请向其签发认证证书，那么，证书申请人就与人的申请向其签发认证证书，那么，证书申请人就与认证机构基于要约和承诺形成了法律上的合同关系。认证机构基于要约和承诺形成了法律上的合同关系。n(2)侵权责任的归责原则。各国法律几乎都有明确规侵权责任的归责原则。各国法律几乎都有明确规定，经批准合法成立的电子认证机构，在对证书上所定，经批准合法成立的电子认证机构，在对证书上所记载的申请人签发电子认证证书时必须保证：该认证记载的申请人签发电子认证证书时必须保证：该认证证书

19、无认证机构所知的虚假信息证书无认证机构所知的虚假信息;该证书合乎法律规该证书合乎法律规定的所有实质要件定的所有实质要件;该认证机构于签发此证书时无逾该认证机构于签发此证书时无逾越其许可的限制。越其许可的限制。民事赔偿责任限制制度n如果让提供电子认证服务的机构承担过如果让提供电子认证服务的机构承担过大的执业风险，将会挫伤认证机构的积大的执业风险，将会挫伤认证机构的积极性，从而不利于电子商务以及其他电极性，从而不利于电子商务以及其他电子交易的发展。子交易的发展。3.数字证书n数字证书是由权威机构数字证书是由权威机构CA证书授权证书授权（Certificate Authority）中心发行的，）中心

20、发行的，能提供在能提供在Internet上进行身份验证的一种上进行身份验证的一种权威性电子文档，人们可以在互联网交权威性电子文档，人们可以在互联网交往中用它来证明自己的身份和识别对方往中用它来证明自己的身份和识别对方的身份。的身份。数字证书的工作原理n数字证书里存有很多数字和英文，当使用数字数字证书里存有很多数字和英文，当使用数字证书进行身份认证时，它将随机生成证书进行身份认证时，它将随机生成128位的位的身份码，每份数字证书都能生成相应但每次都身份码，每份数字证书都能生成相应但每次都不可能相同的数码，从而保证数据传输的保密不可能相同的数码，从而保证数据传输的保密性，即相当于生成一个复杂的密码

21、。性，即相当于生成一个复杂的密码。n数字证书绑定了公钥及其持有者的真实身份，数字证书绑定了公钥及其持有者的真实身份，它类似于现实生活中的居民身份证，所不同的它类似于现实生活中的居民身份证，所不同的是数字证书不再是纸质的证照，而是一段含有是数字证书不再是纸质的证照，而是一段含有证书持有者身份信息并经过认证中心审核签发证书持有者身份信息并经过认证中心审核签发的电子数据，可以更加方便灵活地运用在电子的电子数据，可以更加方便灵活地运用在电子商务和电子政务中。商务和电子政务中。证书的分类n个人数字证书n企业数字证书n服务器身份证书n安全Web站点证书n安全电子邮件证书n代码签名证书第三节电子认证服务管

22、理办法电子认证服务管理办法 n电子认证服务管理办法电子认证服务管理办法已经2009年2月4日中华人民共和国工业和信息化部第6次部务会议审议通过，自2009年3月31日起施行。原中华人民共和国信息产业部2005年2月8日发布的电子认证服务管理办法（中华人民共和国信息产业部令第35号）同时废止。第一章总则 n第一条为了规范电子认证服务行为，对电子第一条为了规范电子认证服务行为，对电子认证服务提供者实施监督管理，根据认证服务提供者实施监督管理，根据中华人中华人民共和国电子签名法民共和国电子签名法和其他法律、行政法规和其他法律、行政法规的规定，制定本办法。的规定，制定本办法。n第二条本办法所称电子认证

23、服务，是指为电第二条本办法所称电子认证服务，是指为电子签名相关各方提供真实性、可靠性验证的活子签名相关各方提供真实性、可靠性验证的活动。本办法所称电子认证服务提供者，是指为动。本办法所称电子认证服务提供者，是指为需要第三方认证的电子签名提供认证服务的机需要第三方认证的电子签名提供认证服务的机构（以下称为构（以下称为“电子认证服务机构电子认证服务机构”）。向社）。向社会公众提供服务的电子认证服务机构应当依法会公众提供服务的电子认证服务机构应当依法设立。设立。n第三条在中华人民共和国境内设立电第三条在中华人民共和国境内设立电子认证服务机构和为电子签名提供电子子认证服务机构和为电子签名提供电子认证服

24、务，适用本办法。认证服务，适用本办法。n第四条中华人民共和国工业和信息化第四条中华人民共和国工业和信息化部（以下简称部（以下简称“工业和信息化部工业和信息化部”）依）依法对电子认证服务机构和电子认证服务法对电子认证服务机构和电子认证服务实施监督管理。实施监督管理。第二章电子认证服务机构 n第五条第五条电子认证服务机构应当具备下列条件：（一）具有独立的企业法人资格。（一）具有独立的企业法人资格。（二）具有与提供电子认证服务相适应的人员。从事电（二）具有与提供电子认证服务相适应的人员。从事电子认证服务的专业技术人员、运营管理人员、安全管子认证服务的专业技术人员、运营管理人员、安全管理人员和客户服务

25、人员不少于三十名，并且应当符合理人员和客户服务人员不少于三十名，并且应当符合相应岗位技能要求。相应岗位技能要求。（三）注册资本不低于人民币三千万元。（三）注册资本不低于人民币三千万元。（四）具有固定的经营场所和满足电子认证服务要求的（四）具有固定的经营场所和满足电子认证服务要求的物理环境。物理环境。（五）具有符合国家有关安全标准的技术和设备。（五）具有符合国家有关安全标准的技术和设备。（六）具有国家密码管理机构同意使用密码的证明文件。（六）具有国家密码管理机构同意使用密码的证明文件。（七）法律、行政法规规定的其他条件。（七）法律、行政法规规定的其他条件。n第六条第六条申请电子认证服务许可的，应

26、当向工业申请电子认证服务许可的，应当向工业和信息化部提交下列材料：和信息化部提交下列材料：（一）书面申请。（一）书面申请。（二）人员证明。（二）人员证明。（三）资金证明（经依法审计的近三年的财务会计（三）资金证明（经依法审计的近三年的财务会计报告，新成立公司的验资报告）。报告，新成立公司的验资报告）。（四）经营场所证明。（四）经营场所证明。（五）国家有关认证检测机构出具的技术、设备、（五）国家有关认证检测机构出具的技术、设备、物理环境符合国家有关安全标准的凭证。物理环境符合国家有关安全标准的凭证。（六）国家密码管理机构同意使用密码的证明文件。（六）国家密码管理机构同意使用密码的证明文件。n第七

27、条第七条工业和信息化部对提交的申请工业和信息化部对提交的申请材料进行形式审查。申请材料齐全、符材料进行形式审查。申请材料齐全、符合法定形式的，应当向申请人出具受理合法定形式的，应当向申请人出具受理通知书。申请材料不齐全或者不符合法通知书。申请材料不齐全或者不符合法定形式的，应当当场或者在定形式的，应当当场或者在五日内五日内一次一次告知申请人需要补正的全部内容。告知申请人需要补正的全部内容。n第八条第八条工业和信息化部对决定受理的工业和信息化部对决定受理的申请材料进行实质审查。需要对有关内申请材料进行实质审查。需要对有关内容进行核实的，指派容进行核实的，指派两名以上两名以上工作人员工作人员实地进

28、行核查。实地进行核查。n第九条工业和信息化部对与申请人有第九条工业和信息化部对与申请人有关事项书面征求中华人民共和国商务部关事项书面征求中华人民共和国商务部等有关部门的意见。等有关部门的意见。n第十条第十条工业和信息化部应当自接到申请之日工业和信息化部应当自接到申请之日起起四十五日内四十五日内作出准予许可或者不予许可的书作出准予许可或者不予许可的书面决定。不予许可的，应当书面通知申请人并面决定。不予许可的，应当书面通知申请人并说明理由；准予许可的，颁发电子认证服务说明理由；准予许可的，颁发电子认证服务许可证，并公布下列信息：许可证，并公布下列信息：（一）电子认证服务许可证编号。（一）电子认证服

29、务许可证编号。（二）电子认证服务机构名称。（二）电子认证服务机构名称。（三）发证机关和发证日期。（三）发证机关和发证日期。电子认证服务许可相关信息发生变更的，工业电子认证服务许可相关信息发生变更的，工业和信息化部应当及时公布。和信息化部应当及时公布。电子认证服务许可证的有效期为电子认证服务许可证的有效期为五年五年。n第十一条取得电子认证服务许可的，应当持第十一条取得电子认证服务许可的，应当持电子认证服务许可证到工商行政管理机关电子认证服务许可证到工商行政管理机关办理相关手续。办理相关手续。n第十二条取得认证资格的电子认证服务机构，第十二条取得认证资格的电子认证服务机构，在提供电子认证服务之前，

30、应当通过互联网公在提供电子认证服务之前，应当通过互联网公布下列信息：布下列信息：（一）机构名称和法定代表人。（一）机构名称和法定代表人。（二）机构住所和联系办法。（二）机构住所和联系办法。（三）电子认证服务许可证编号。（三）电子认证服务许可证编号。（四）发证机关和发证日期。（四）发证机关和发证日期。（五）电子认证服务许可证有效期的起止时间。（五）电子认证服务许可证有效期的起止时间。n第十三条电子认证服务机构在电子认证服第十三条电子认证服务机构在电子认证服务许可证的有效期内拟变更公司名称、住所、务许可证的有效期内拟变更公司名称、住所、法定代表人、注册资本、类型、股东以及股东法定代表人、注册资本、

31、类型、股东以及股东的出资方式、出资额、出资时间等事项的，在的出资方式、出资额、出资时间等事项的，在向公司登记机关申请变更登记前应当报工业和向公司登记机关申请变更登记前应当报工业和信息化部同意。信息化部同意。n第十四条电子认证服务许可证的有效期第十四条电子认证服务许可证的有效期届满需要延续的，电子认证服务机构应当在许届满需要延续的，电子认证服务机构应当在许可证有效期届满三十日前向工业和信息化部申可证有效期届满三十日前向工业和信息化部申请办理延续手续，并自办结之日起五日内按照请办理延续手续，并自办结之日起五日内按照本办法第十二条的规定公布相关信息。本办法第十二条的规定公布相关信息。n第十五条第十五

32、条电子认证服务机构应当按照电子认证服务机构应当按照工业和信息化部公布的电子认证业务工业和信息化部公布的电子认证业务规则规范等要求，制定本机构的电子规则规范等要求，制定本机构的电子认证业务规则和相应的证书策略，在提认证业务规则和相应的证书策略，在提供电子认证服务前予以公布，并向工业供电子认证服务前予以公布，并向工业和信息化部备案。和信息化部备案。n电子认证业务规则和证书策略发生变更电子认证业务规则和证书策略发生变更的，电子认证服务机构应当予以公布，的，电子认证服务机构应当予以公布，并自公布之日起并自公布之日起三十日内三十日内向工业和信息向工业和信息化部备案。化部备案。n第十六条第十六条电子认证服

33、务机构应当按照公布的电子认证服务机构应当按照公布的电子认证业务规则提供电子认证服务。电子认证业务规则提供电子认证服务。n第十七条电子认证服务机构应当保证提供下第十七条电子认证服务机构应当保证提供下列服务：列服务：（一）制作、签发、管理电子签名认证证书。（一）制作、签发、管理电子签名认证证书。（二）确认签发的电子签名认证证书的真实性。（二）确认签发的电子签名认证证书的真实性。（三）提供电子签名认证证书目录信息查询服务。（三）提供电子签名认证证书目录信息查询服务。（四）提供电子签名认证证书状态信息查询服务。（四）提供电子签名认证证书状态信息查询服务。n第十八条第十八条电子认证服务机构应当履行下列义

34、电子认证服务机构应当履行下列义务：务：（一）保证电子签名认证证书内容在有效期内完（一）保证电子签名认证证书内容在有效期内完整、准确。整、准确。（二）保证电子签名依赖方能够证实或者了解电（二）保证电子签名依赖方能够证实或者了解电子签名认证证书所载内容及其他有关事项。子签名认证证书所载内容及其他有关事项。（三）妥善保存与电子认证服务相关的信息。（三）妥善保存与电子认证服务相关的信息。n第十九条第十九条电子认证服务机构应当建立电子认证服务机构应当建立完善的安全管理和内部审计制度。完善的安全管理和内部审计制度。n第二十条电子认证服务机构应当遵守第二十条电子认证服务机构应当遵守国家的保密规定，建立完善的

35、保密制度。国家的保密规定，建立完善的保密制度。n电子认证服务机构对电子签名人和电子电子认证服务机构对电子签名人和电子签名依赖方的资料，负有保密的义务。签名依赖方的资料，负有保密的义务。n第二十一条第二十一条电子认证服务机构在受理电子签电子认证服务机构在受理电子签名认证证书申请前，应当向申请人告知下列事名认证证书申请前，应当向申请人告知下列事项：项：（一）电子签名认证证书和电子签名的使用条件。（一）电子签名认证证书和电子签名的使用条件。（二）服务收费的项目和标准。（二）服务收费的项目和标准。（三）保存和使用证书持有人信息的权限和责任。（三）保存和使用证书持有人信息的权限和责任。（四）电子认证服务

36、机构的责任范围。（四）电子认证服务机构的责任范围。（五）证书持有人的责任范围。（五）证书持有人的责任范围。（六）其他需要事先告知的事项。（六）其他需要事先告知的事项。n第二十二条第二十二条电子认证服务机构受理电子签名认证申请后，应当与证书申请人签订合同，明确双方的权利义务。第四章电子认证服务的暂停、终止 n第二十三条第二十三条电子认证服务机构在电电子认证服务机构在电子认证服务许可证的有效期内拟终止子认证服务许可证的有效期内拟终止电子认证服务的，应当在终止服务电子认证服务的，应当在终止服务六十六十日前日前向工业和信息化部报告，并办理向工业和信息化部报告，并办理电子认证服务许可证电子认证服务许可证

37、注销注销手续，持手续，持工业和信息化部的相关证明文件向工商工业和信息化部的相关证明文件向工商行政管理机关申请办理注销登记或者变行政管理机关申请办理注销登记或者变更登记。更登记。n第二十四条第二十四条电子认证服务机构拟暂停电子认证服务机构拟暂停或者终止电子认证服务的，应当在暂停或者终止电子认证服务的，应当在暂停或者终止电子认证服务或者终止电子认证服务九十日前九十日前，就业，就业务承接及其他有关事项通知有关各方。务承接及其他有关事项通知有关各方。n电子认证服务机构拟暂停或者终止电子电子认证服务机构拟暂停或者终止电子认证服务的，应当在暂停或者终止电子认证服务的，应当在暂停或者终止电子认证服务认证服务

38、六十日前六十日前向工业和信息化部报向工业和信息化部报告，并与其他电子认证服务机构就业务告，并与其他电子认证服务机构就业务承接进行协商，作出妥善安排。承接进行协商，作出妥善安排。n第二十五条第二十五条电子认证服务机构拟暂停电子认证服务机构拟暂停或者终止电子认证服务，未能就业务承或者终止电子认证服务，未能就业务承接事项与其他电子认证服务机构达成协接事项与其他电子认证服务机构达成协议的，应当申请工业和信息化部安排其议的，应当申请工业和信息化部安排其他电子认证服务机构承接其业务。他电子认证服务机构承接其业务。n第二十六条电子认证服务机构被依法第二十六条电子认证服务机构被依法吊销电子认证服务许可的，其业

39、务承接吊销电子认证服务许可的，其业务承接事项按照工业和信息化部的规定处理。事项按照工业和信息化部的规定处理。n第二十七条电子认证服务机构有根据第二十七条电子认证服务机构有根据工业和信息化部的安排承接其他机构开工业和信息化部的安排承接其他机构开展的电子认证服务业务的义务。展的电子认证服务业务的义务。第五章电子签名认证证书 n第二十八条第二十八条电子签名认证证书应当准确载明电子签名认证证书应当准确载明下列内容：下列内容：（一）签发电子签名认证证书的电子认证服务机（一）签发电子签名认证证书的电子认证服务机构名称。构名称。（二）证书持有人名称。（二）证书持有人名称。（三）证书序列号。（三）证书序列号。

40、（四）证书有效期。（四）证书有效期。（五）证书持有人的电子签名验证数据。（五）证书持有人的电子签名验证数据。（六）电子认证服务机构的电子签名。（六）电子认证服务机构的电子签名。（七）工业和信息化部规定的其他内容。（七）工业和信息化部规定的其他内容。n第二十九条第二十九条有下列情况之一的，电子认有下列情况之一的，电子认证服务机构可以撤销其签发的电子签名认证服务机构可以撤销其签发的电子签名认证证书：证证书：（一）证书持有人申请撤销证书。（一）证书持有人申请撤销证书。（二）证书持有人提供的信息不真实。（二）证书持有人提供的信息不真实。（三）证书持有人没有履行双方合同规定的（三）证书持有人没有履行双方

41、合同规定的义务。义务。（四）证书的安全性不能得到保证。（四）证书的安全性不能得到保证。（五）法律、行政法规规定的其他情况。（五）法律、行政法规规定的其他情况。n第三十条第三十条有下列情况之一的，电子认有下列情况之一的，电子认证服务机构应当对申请人提供的证明身证服务机构应当对申请人提供的证明身份的有关材料进行查验，并对有关材料份的有关材料进行查验，并对有关材料进行审查：进行审查：（一）申请人申请电子签名认证证书。（一）申请人申请电子签名认证证书。（二）证书持有人申请更新证书。（二）证书持有人申请更新证书。（三）证书持有人申请撤销证书。（三）证书持有人申请撤销证书。第三十一条电子认证服务机构更新或

42、第三十一条电子认证服务机构更新或者撤销电子签名认证证书时，应当予以者撤销电子签名认证证书时，应当予以公告。公告。第六章监督管理 n第三十二条第三十二条工业和信息化部对电子认证服务工业和信息化部对电子认证服务机构进行定期、不定期的监督检查，监督检查机构进行定期、不定期的监督检查，监督检查的内容主要包括法律法规符合性、安全运营管的内容主要包括法律法规符合性、安全运营管理、风险管理等。理、风险管理等。工业和信息化部对电子认证服务机构实行监督工业和信息化部对电子认证服务机构实行监督检查时，应当记录监督检查的情况和处理结果，检查时，应当记录监督检查的情况和处理结果，由监督检查人员签字后归档。公众有权查阅

43、监由监督检查人员签字后归档。公众有权查阅监督检查记录。督检查记录。工业和信息化部对电子认证服务机构实行监督工业和信息化部对电子认证服务机构实行监督检查，不得妨碍电子认证服务机构正常的生产检查，不得妨碍电子认证服务机构正常的生产经营活动，不得收取任何费用。经营活动，不得收取任何费用。n第三十三条第三十三条取得电子认证服务许可的取得电子认证服务许可的电子认证服务机构，在电子认证服务许电子认证服务机构，在电子认证服务许可的有效期内不得降低其设立时所应具可的有效期内不得降低其设立时所应具备的条件。备的条件。n第三十四条电子认证服务机构应当如第三十四条电子认证服务机构应当如实向工业和信息化部报送认证业务

44、开展实向工业和信息化部报送认证业务开展情况报告、财务会计报告等有关资料。情况报告、财务会计报告等有关资料。n第三十五条第三十五条电子认证服务机构有下列情况之电子认证服务机构有下列情况之一的，应当及时向工业和信息化部报告：一的，应当及时向工业和信息化部报告：（一）重大系统、关键设备事故。（一）重大系统、关键设备事故。（二）重大财产损失。（二）重大财产损失。（三）重大法律诉讼。（三）重大法律诉讼。（四）关键岗位人员变动。（四）关键岗位人员变动。n第三十六条电子认证服务机构应当对其从业第三十六条电子认证服务机构应当对其从业人员进行岗位培训。人员进行岗位培训。n第三十七条工业和信息化部根据监督管理工第

45、三十七条工业和信息化部根据监督管理工作的需要，可以委托有关省、自治区和直辖市作的需要，可以委托有关省、自治区和直辖市信息产业主管部门承担具体的监督管理事项。信息产业主管部门承担具体的监督管理事项。第七章罚则n第三十八条第三十八条电子认证服务机构向工业电子认证服务机构向工业和信息化部隐瞒有关情况、提供虚假材和信息化部隐瞒有关情况、提供虚假材料或者拒绝提供反映其活动的真实材料料或者拒绝提供反映其活动的真实材料的，由工业和信息化部责令改正，给予的，由工业和信息化部责令改正，给予警告或者处以警告或者处以5000元以上元以上1万元以下的罚万元以下的罚款。款。n第三十九条第三十九条工业和信息化部与省、自工

46、业和信息化部与省、自治区、直辖市信息产业主管部门的工作治区、直辖市信息产业主管部门的工作人员，不依法履行监督管理职责的，由人员，不依法履行监督管理职责的，由工业和信息化部或者省、自治区、直辖工业和信息化部或者省、自治区、直辖市信息产业主管部门依据职权视情节轻市信息产业主管部门依据职权视情节轻重，分别给予警告、记过、记大过、降重，分别给予警告、记过、记大过、降级、撤职、开除的行政处分；构成犯罪级、撤职、开除的行政处分；构成犯罪的，依法追究刑事责任。的，依法追究刑事责任。n第四十条第四十条电子认证服务机构违反本办电子认证服务机构违反本办法第十三条、第十五条、第二十七条的法第十三条、第十五条、第二十

47、七条的规定的，由工业和信息化部依据职权责规定的，由工业和信息化部依据职权责令限期改正，处以警告，可以并处令限期改正，处以警告，可以并处1万元万元以下的罚款。以下的罚款。n第四十一条电子认证服务机构违反本第四十一条电子认证服务机构违反本办法第三十三条的规定的，由工业和信办法第三十三条的规定的，由工业和信息化部依据职权责令限期改正，处以息化部依据职权责令限期改正，处以3万万元以下的罚款，并将上述情况向社会公元以下的罚款，并将上述情况向社会公告。告。第八章附则n第四十二条第四十二条经工业和信息化部根据有关协议经工业和信息化部根据有关协议或者对等原则核准后，中华人民共和国境外的或者对等原则核准后，中华人民共和国境外的电子认证服务机构在境外签发的电子签名认证电子认证服务机构在境外签发的电子签名认证证书与依照本办法设立的电子认证服务机构签证书与依照本办法设立的电子认证服务机构签发的电子签名认证证书具有同等的法律效力。发的电子签名认证证书具有同等的法律效力。n第四十三条本办法自第四十三条本办法自2009年年3月月31日起施行。日起施行。2005年年2月月8日发布的日发布的电子认证服务管理办法电子认证服务管理办法（中华人民共和国信息产业部令第（中华人民共和国信息产业部令第35号）同号）同时废止。时废止。

展开阅读全文