电子认证服务机构的主要权利和义务

(一)认证机构的权利

1.要求申请者提供真实资料的权利:对个人申请人,一般要求提供个人的姓名、身份证号、联系电话、寻呼、通信地址、邮政编码、电子邮箱等资料; 对单位申请人,除对具体的申请人要求提供上述个人资料外,还要求提供单位名称、单位主页地址、单位营业执照号、工商税号、单位地址、单位电子邮箱、单位所属行业类别、电话、传真等资料;认证机构在遵循合法程序的条件下有权对上述内容进行调查、审核。

2.收取费用的权利:认证机构有权向签署者收取费用。

(二)认证机构的义务

1.颁发证书的义务:认证机构应向符合条件的申请者颁发证书,并将证书内容公布于认证机构的存储器内。认证机构在向申请人颁发证书前应确认下列情况:

(1)列于即将颁发的证书中的人就是未来的签署者;

(2)将颁发证书中的信息是正确的;

(3)未来的签署者合法拥有私密钥,此私密钥与证书中列的公开密钥构成功能性密钥对并且可以用来生成数字签名;

(4)证书中所列的公开密钥可以用来验证由签署者拥有的私密钥生成的数字签名;

(5)数字证书中所使用的公钥算法在现有技术条件下不会被攻破。

2.中止证书的义务:在证书的有效期间内,收到签署者或其代理人的有关中止证书的申请后,认证机构应中止该证书,并在指定地点发布中止的通知。

3.撤销证书的义务:在证书的有效期间内,在下列情况下,认证机构应撤销证书:

(1)收到撤销证书的申请,并证实申请是由签署者或其授权代理人发出;

(2)收到证实签署者已经死亡的证明复印件或其它有关证明;

(3)有证明签署者已经解散或不复存在的有关证明;

(4)证书中陈述的重要事实有虚假;

(5)不符合颁发证书的要求;

(6)认证机构的私密钥或可信赖系统存在严重影响证书可靠性的情况。在撤销证书时,认证机构须在指定地点发布撤销通知,一般都是在作废证书表中列明。

需要指出的是,电子认证合同的内容不仅包括发放证书,还包括管理证书,如中止证书和撤销证书,可以说,中止证书和撤销证书的义务是基于确保证书内容真实、准确性的义务而派生出来的。

4.使用可信赖系统的义务:认证机构应该使用可信赖系统来完成上述证书的颁发、中止和撤销等项操作。所谓可信赖系统是指计算机的硬件、软件和程序,它们满足以下要求:

(1)是相当安全的,可防止侵扰和滥用;

(2)具有较高的可用性和可靠性,并提供了正确的操作;

(3)非常适合执行它们的固有功能;

(4)符合通常公认的安全程序。

5.妥善保管自身私钥的义务:认证机构自身的私钥对于验证该认证机构作为颁发数字证书的机构之身份具有不可或缺的作用,一旦丢失,该认证机构所发出的所有数字证书都将作废,因此应妥善保管。

6.信息发布的义务:认证机构应及时公布有关的信息,例如自身的政策或认证业务声明,证书的发布、中止及撤销的信息等,发布的方式应是醒目的、易发现的。

7.制定及在特定情况下实施灾难恢复计划的义务:灾难恢复计划是指认证机构在遭到攻击,发生通信网络资源毁坏,计算机设备系统不能提供正常服务,软件被破坏,数据库被篡改等现象或因不可抗力造成灾难时,修复设备系统的计划。由于实践中黑客的活动十分猖獗,因此认证机构制定此灾难恢复计划是十分必要的。一旦出现上述灾难,认证机构应积极有效地实施灾难恢复计划

法律依据

《电子签名法》相关规定:

 第十八条

从事电子认证服务,应当向国务院信息产业主管部门提出申请,并提交符合本法第十七条规定条件的相关材料。国务院信息产业主管部门接到申请后经依法审查,征求国务院商务主管部门等有关部门的意见后,自接到申请之日起四十五日内作出许可或者不予许可的决定。予以许可的,颁发电子认证许可证书;不予许可的,应当书面通知申请人并告知理由。

申请人应当持电子认证许可证书依法向工商行政管理部门办理企业登记手续。

取得认证资格的电子认证服务提供者,应当按照国务院信息产业主管部门的规定在互联网上公布其名称、许可证号等信息。

 第十九条

电子认证服务提供者应当制定、公布符合国家有关规定的电子认证业务规则,并向国务院信息产业主管部门备案。

电子认证业务规则应当包括责任范围、作业操作规范、信息安全保障措施等事项。

 第二十条

电子签名人向电子认证服务提供者申请电子签名认证证书,应当提供真实、完整和准确的信息。

电子认证服务提供者收到电子签名认证证书申请后,应当对申请人的身份进行查验,并对有关材料进行审查。

 第二十一条

电子认证服务提供者签发的电子签名认证证书应当准确无误,并应当载明下列内容:

(一)电子认证服务提供者名称;

(二)证书持有人名称;

(三)证书序列号;

(四)证书有效期;

(五)证书持有人的电子签名验证数据;

(六)电子认证服务提供者的电子签名;

(七)国务院信息产业主管部门规定的其他内容。

 第二十二条

电子认证服务提供者应当保证电子签名认证证书内容在有效期内完整、准确,并保证电子签名依赖方能够证实或者了解电子签名认证证书所载内容及其他有关事项。

 第二十三条 电子认证服务提供者拟暂停或者终止电子认证服务的,应当在暂停或者终止服务九十日前,就业务承接及其他有关事项通知有关各方。

电子认证服务提供者拟暂停或者终止电子认证服务的,应当在暂停或者终止服务六十日前向国务院信息产业主管部门报告,并与其他电子认证服务提供者就业务承接进行协商,作出妥善安排。

电子认证服务提供者未能就业务承接事项与其他电子认证服务提供者达成协议的,应当申请国务院信息产业主管部门安排其他电子认证服务提供者承接其业务。

电子认证服务提供者被依法吊销电子认证许可证书的,其业务承接事项的处理按照国务院信息产业主管部门的规定执行。

第二十四条

电子认证服务提供者应当妥善保存与认证相关的信息,信息保存期限至少为电子签名认证证书失效后五年。