河北省電子認證服務管理辦法（試行）

第一條 為規範全省電子政務、電子商務電子認證服務活動，保障信息安全，依據《中華人民共和國電子簽名法》、《商用密碼管理條例》、《電子認證服務管理辦法》、《電子政務電子認證服務管理辦法(試行))及中共河北省委辦公廳、河北省人民政府辦公廳《關於加強網路信任體系建設的意見》(冀辦發[2007]21號)的有關規定，制定本辦法。

第二條 本辦法所稱電子認證服務，是指電子認證服務機構採用密碼技術，通過數字證書，為電子簽名相關各方提供真實性、可靠性驗證的活動。

電子認證服務包括:面向政務部門的電子政務非涉密網電子認證服務和面向企事業單位、社會團體、社會公眾的電子政務電子認證服務，以及電子商務電子認證服務。

電子認證服務機構，是指全省為電子簽名人和電子簽名依賴方提供電子認證服務的、經國家主管部門批准的第三方認證機構。

數字證書，是指可證實電子簽名人與電子簽名製作數據具有關聯性的電子簽名認證證書。

第三條 我省行政區域內電子認證服務活動中的電子認證基礎設施、電子認證服務機構、數字證書的使用、電子認證服務套用等的管理，適用本辦法。

第四條 在省網路與信息安全協調小組的統一領導下，成立省電子認證管理委員會，負責全省電子認證服務的規劃、管理和協調工作。

第五條 全省各政務部門建立電子政務系統，進行下列政務管理、社會管理和公眾服務，需要解決身份認證、數據加密、授權管理、責任認定的，必須使用省電子認證管理委員會審核批准的數字證書:

(一)利用電子政務網路開展內部辦公或者協同辦公、公文流轉、公文交換、公文歸檔等活動;

(二)法律、法規授權的具有管理公共事務職能的組織利用網路開展的社會管理以及公共服務活動；

(三)網上政府採購、招投標等活動;

(四)網上申報、年檢、備案、審批、繳費、資質認定、統計等社會管理活動;

(五)利用網路向社會提供信息公開服務的活動;

(六)教育、醫療衛生、環保、社保、民政、國土、工商、稅務、質監、食品醫藥、供水、供電、供氣、供熱、公共運輸等領域，利用網路開展的社會公共服務活動;

(七)其他利用網路開展電子政務管理、社會管理及公共服務活動。

第六條 在全省區域內開展下列電子商務活動，需要解決身份認證、授權管理、責任認定的，應當按照國家和我省有關規定使用數字證書:

(一)設立各類網路交易平台、信息服務平台和娛樂平台的活動。

(二)利用網路簽訂電子契約、進行電子支付、交付數字產品的活動。

(三)電子商務活動中交易各方認為需要使用數字證書的活動。

(四)企業、個人利用網路傳輸商業秘密和不涉及國家秘密的敏感信息的活動。

(五)其他利用網路開展的電子商務活動。

第七條 電子政務信息系統採用電子認證服務，應當遵循國家密碼管理局制定的相關標準規範，電子認證套用方案需報經省密碼管理局審核備案。

第八條 政務部門使用數字證書，應向省電子認證管理委員會提出申請。各類社會組織、企業和公民使用數字證書，應向省電子認證管理委員會審核批准的電子認證服務機構提出申請。

省電子認證管理委員會於45日內確定是否通過審查。經審查同意的，套用部門與電子認證服務機構簽訂數字證書使用服務協定，由電子認證服務機構簽發數字證書。

數字證書申請人，應當按照認證業務規則依法提供真實、完整和準確的申請信息，並對其申請信息實質內容的真實性負責。

電子認證服務機構組織制訂並公布數字證書服務協定示範文本，供協定各方參照使用。電子認證服務機構提供的數字證書使用服務協定文本應當在省電子認證管理委員會備案。

第九條 數字證書的更新、掛失、撤銷等事項和各方的權利義務，由數字證書使用服務協定予以約定。

(一)數字證書持有人應在證書有效期滿之前向電子認證服務機構提出申請，辦理證書更新業務。

(二)發生下列情形之一的，數字證書持有人應當申請撤銷或者變更數字證書:

1.證書私鑰泄露;

2.證書中的信息發生重大變更;

3.認為自身不能實際履行雙方契約規定的義務;

4.辭職或調動工作崗位。

(三)發生下列情形之一的，電子認證服務機構可以撤銷數字證書:

1.證書的有效期屆滿且沒有繼續申請延期使用;

2.證書持有者申請廢除數字證書;

3.證書持有者喪失民事行為能力;

4.證書持有者嚴重違反雙方契約規定的義務;

5.證書的安全性不能得到保證;

6.法律、行政法規規定的其他情形。

第十條 數字證書持有人應當妥善保管數字證書及其密鑰，遵守電子認證服務機構的業務規則，不得轉借他人使用，對使用證書的行為負責。

第十一條 數字證書載體丟失或密鑰失控時，數字證書持有人應當立即向電子認證服務機構報告，由電子認證服務機構撤銷其數字證書。

第十二條 電子認證服務機構應當經國家、省主管部門批准，具有經國家主管部門批准的電子認證基礎設施，具有與從事認證服務相適應的專業技術、運行維護和管理服務人員，具有與認證服務相適應的運行服務、套用支持和安全保障等機制。

第十三條 電子認證服務機構實行屬地化管理。全省電子政務電子認證服務機構由省密碼管理局認定，並接受省密碼管理局的業務指導和監督檢查;電子商務電子認證服務機構(包括分中心、認證點和代理發行機構)，由省工業和信息化廳認定，並接受省工業和信息化廳的業務指導和監督檢查。電子認證服務活動中密碼配置、套用情況，接受省密碼管理局的業務指導和監督檢查。

第十四條 因特殊需要，經國家密碼管理局批准，中央和國家機關有關部委為本系統業務套用提供電子政務電子認證服務的，僅限於本系統內部使用。

未經省電子認證管理委員會批准，外省電子認證服務機構不得在我省開展電子政務電子認證服務活動。

第十五條 電子認證服務機構的系統建設應當符合《電子認證服務管理辦法》、《電子認證服務密碼管理辦法》等規定，滿足全省統一的電子認證服務體系建設要求，並通過國家主管部門組織的安全審查。

第十六條 電子認證服務機構應當承擔以下責任:

(一)制定本機構的電子認證服務業務規則，包括責任範圍、作業操作規範、安全保障措施等事項，並在服務範圍內予以發布;

(二)建立相應的服務隊伍，制定相應的服務規範，提供安全可信的認證服務;

(三)保障電子認證基礎設施的安全可靠運行;

(四)加強對從業人員的安全保密、職業道德和崗位技能培訓。

第十七條 電子認證服務機構應當提供以下服務內容:

(一)數字證書的申請、簽發、更新、延期、恢復、撤銷等證書生命周期管理服務;

(二)數字證書信息查詢服務及數字證書狀態信息查詢服務;

(三)為數字證書用戶提供使用支持服務;

(四)為用戶提供數字證書統計、查詢、下載等支持服務;

(五)為信息系統提供數字證書套用集成等支持服務;

(六)提供數字證書相關培訓。

第十八條 電子認證服務機構應當採用符合國家相關法律法規要求的載體，完整記錄、妥善保存與認證相關的信息，並承擔保密責任。面向企事業單位、社會團體、社會公眾的電子政務電子認證服務，信息保存期為證書失效後五年;面向政務部門的電子政務電子認證服務，信息保存期為證書失效後十年。

第十九條 電子認證服務機構應當建立電子認證基礎設施運行管理制度、軟體控制流程、內部審計機制、災難恢復和應急回響機制，制定相關資產、人員、物理環境等的安全策略，落實安全管理崗位和職責，並對安全策略的執行情況進行監督檢查，保障安全運行。

第二十條 電子認證服務機構應當建立業務連續性計畫，並定期開展業務風險評估，依據評估結果對本機構的電子政務電子認證服務業務規則及時進行修訂，並在服務範圍內予以發布。業務規則的修訂，不應當降低電子認證服務機構的服務能力和水平。

第二十一條 電子認證服務機構應當按照國家有關法律、法規規定，建立完善的保密制度，不得泄露數字證書持有人的身份信息和數字證書持有人委託認證機構保管的數字證書密鑰，並接受有關職能部門的監督檢查。

電子政務電子認證服務機構的工作人員須到省密碼管理局備案，接受保密教育，辦理上崗證。省密碼管理局定期對涉密人員進行安全審查。

第二十二條 省電子認證管理委員會統籌協調全省電子認證工作，推進數字證書在電子政務、電子商務中的套用。

省密碼管理局負責全省電子政務電子認證服務機構的資格認定、備案登記，對全省電子政務電子認證服務的套用情況進行監督、檢查，統籌規劃各設區市的電子政務電子認證工作。

省工業和信息化廳負責全省電子商務電子認證服務機構的資格認定、備案登記以及數字證書使用和電子認證服務活動的監督檢查，統籌規劃各設區市的電子商務電子認證工作。

省保密局負責對電子認證套用中保守國家秘密情況的監督檢查。

第二十三條 電子認證服務機構應當在每年1月31日前，向省電子認證管理委員會提交上一年度電子認證基礎設施運行管理和認證服務情況報告。

第二十四條 電子認證服務機構擬變更機構名稱、住所、法定代表人、企業股本結構或者事業單位隸屬關係，以及可能對電子認證服務產生較大影響事項的，在變更前應當將擬變更事項書面告知省電子認證管理委員會辦公室。

第二十五條 電子認證服務管理部門的相關工作人員，玩忽職守、濫用職權、徇私舞弊的，依法給予行政處分。

第二十六條 使用數字證書，數字證書持有者違反《中華人民共和國電子簽名法》、《商用密碼管理條 例》、《中華人民共和國保守國家秘密法》等法律法規的，依法予以處罰;構成犯罪的，依法追究刑事責任。

未經省電子認證管理委員會批准，違規開展電子認證服務活動的，電子認證服務管理部門有權責令其整改並給予必要的處罰。

第二十七條 本辦法由省工業和信息化廳、省密碼管理局、省保密局負責解釋。

第二十八條 面向各級政務部門內部辦公、管理、協調、監督和決策的電子政務涉密網電子認證管理辦法另行制定。

第二十九條 本辦法自頒布之日起施行。

2010年12月22日