第十六条 认证机构应当具备以下条件:
(一)具有法人资格;
(二)具有经国家密码管理机构批准设立的密钥管理中心;
(三)具有与认证业务相适应的专业技术和管理人员;
(四)具有经公安部门检验证明是安全、可靠的技术和设备;
(五)具有必要的资金和经营场所,具备为用户提供认证服务和承担风险责任的能力;
(六)法律、法规规定的其他条件。
第十七条 认证机构应当到省信息产业主管部门进行资格认定,并将认证业务操作规范和数字证书管理制度报送省信息产业主管部门备案,方可开展数字证书认证业务。省信息产业主管部门对认证机构的资格实行年审制。
认证机构资格认定和年审的标准、程序由省信息产业主管部门制定并向社会公布。
第十八条 认证机构应当履行以下职责:
(一)对数字证书申请者提交的有关材料和申请者身份的真实性进行审核,经审核确认身份后签发数字证书;
(二)将认证业务操作规范和数字证书管理制度向社会公布;
(三)保护数字证书单位用户的商业秘密和个人用户的隐私等非公开信息;
(四)建立认证系统的备份机制和应急事件处理程序,确保在人为破坏或者发生自然灾害时认证系统和数字证书使用的安全;
(五)当发生电子交易纠纷时,认证机构应当向有关当事人提供电子身份的证明,协助有关部门进行调查;
(六)将用户数字证书在网上公告,供公众查询。
第十九条 在认证系统的安全性受到威胁时,认证机构可临时中止数字证书的使用。数字证书用户要求中止使用证书的,认证机构应当中止,并予以公布。
第二十条 在数字证书的有效期内,有下列情形之一的,应当撤销数字证书:
(一)用户申请数字证书的重要事项不真实;
(二)用户数字证书已遭冒用、伪造、篡改;
(三)用户解散、终止的;
(四)个人用户死亡的;
(五)法律、行政法规规定的其他情形。
认证机构应当公布撤销的数字证书。除前款第(三)项和第(四)项规定的情形外,应当立即通知用户。
