(2002年11月18日上海市信息化办公室、上海市国家密码管理委员会办公室、上海市国家保密局沪信息办法[2002]340号发布)

第一章 总 则

　　第一条 （目的和依据）
　　为了规范数字认证行为，加强数字认证管理，维护数字认证活动当事人权益，根据《上海市人民政府办公厅转发市信息办制订的上海电子商务近期发展目标和实施计划的通知》（沪府办发[1999]1号），结合本市实际，制定本办法。
　　第二条 （定义）
　　本办法所称的数字认证，是指认证机构对数字证书持有人身份及其数字签章进行认证的行为和相关活动。
　　本办法所称的认证机构，是指经营数字认证业务，提供数字证书制作、签发、管理和数字签章识别、认证服务的机构。
　　本办法所称的数字证书，是指认证机构签发的在一定期限内用以证明数字证书持有人身份和其他情况的电子数据。
　　本办法所称的数字签章，是指依附于数据电文的用以确认数据电文签署人的身份和数据电文完整性的电子数据。
　　本办法所称的公钥和私钥，是指通过使用非对称加密系统产生的密钥对，其中公钥用以制作数字证书和识别数字签章，私钥用以产生数字签章和解密公钥加密的信息。
　　第三条 （适用范围）
　　在本市行政区域内从事数字认证及其相关管理活动，适用本办法。
　　第四条 （管理部门）
　　在上海市国民经济和社会信息化领导小组的领导下，上海市信息化办公室（以下简称市信息办）负责本市认证机构的规划和管理，上海市国家密码管理委员会办公室（以下简称市国密办）负责认证机构密码系统的管理，上海市国家保密局（以下简称市国家保密局）负责认证机构涉及国家秘密的信息系统的管理。

第二章 认证机构管理

　　第五条 （授权经营）
　　本市数字认证业务实行政府授权经营制度。取得市信息办和市国密办授权的认证机构可以在本市范围内经营数字认证业务。
　　第六条 （认证业务声明）3
　　认证机构公布、变更认证业务声明，应当经过市信息办批准。
　　第七条 （变更备案）3
　　认证机构提供数字认证服务的信息系统发生重大变更的，应当经过市国密办的认定；提供其他服务的信息系统发生重大变更的，应当取得信息安全评测报告，并报市信息办备案。
　　第八条 （监督管理）
　　市信息办应当对认证机构的下列情况进行监督管理：
　　（一）第三方审计机构对其资产和财务状况的审计情况；
　　（二）业务开展情况；
　　（三）信息公布与保密情况；
　　（四）信息系统运行情况；
　　（五）其他有关情况。
　　第九条 （终止经营）
　　认证机构终止经营数字认证业务的，应当取得国家有关部门、市信息办和市国密办的批准。
　　第十条 （异地证书效力）
　　本市行政区域以外的认证机构，包括国外认证机构，符合国家法律法规相关规定和本办法要求的，其签发的数字证书与本办法规定的授权认证机构签发的数字证书具有同等效力。

第三章 数字证书申领和使用

　　第十一条 （证书使用）
　　政府机构之间，企业、个人及其他组织与政府机构之间，在网上活动中需要表明身份的，应当使用数字证书。其他各类网上活动，鼓励使用数字证书。
    使用数据电文的当事人可以约定数字签章的效力。没有约定的，数据电文收受人可以根据数字签章确认数据电文签署人的身份和数据电文的完整性。
　　第十二条 （证书申领）
　　数字证书申领点受认证机构的委托，办理数字证书的申领发放。
　　申请人持能够证明身份的有效证件到数字证书申领点申领数字证书，数字证书申领点核实申请人的身份后发放数字证书。
　　第十三条 （私钥保管）
　　数字证书持有人应当妥善保管私钥。
　　数字证书持有人发现本人私钥泄露的，应当立即通知认证机构，并申请废除数字证书。
　　第十四条 （证书废除）
　　发生下列情形之一的，认证机构应当废除数字证书：
　　（一） 数字证书持有人死亡或者解散；
　　（二） 数字证书中的信息发生重大变更；
　　（三） 数字证书持有人申请废除数字证书；
　　（四） 数字证书持有人不能实际履行认证业务声明及其他协议内容或者违反法律法规的规定；
　　（五） 由于认证机构过错造成数字证书的安全性得不到保证；
　　（六） 数字证书的有效期届满；
　　（七） 其他法律法规规定的情形。
　　第十五条 （证书费用）
　　数字证书的资费标准由市物价局会同市信息办另行制定。

第四章 认证机构义务

　　第十六条 （信息公布）
　　认证机构应当公布下列信息，并保证公布信息的准确完整：
　　（一）认证业务声明；
　　（二）废除的数字证书的名单；
　　（三）影响认证机构服务能力的事实。
　　第十七条 （信息保密）
　　除法律法规另有规定外，认证机构不得公布下列信息：
　　（一）数字证书申请人的身份信息及其他相关信息；
　　（二）数字证书持有人委托认证机构保管的私钥。
　　第十八条 （安全要求）
　　认证机构的信息系统应当符合下列要求：
　　（一）能够确认数据电文签署人的身份；
　　（二）能够保证数据电文在传递、接收和储存过程中的完整性；
　　（三）能够避免系统被侵入或者人为破坏以及数据电文被篡改；
　　（四）具有合理和可靠的安全程序。
　　第十九条 （赔偿责任）
　　由于认证机构过错造成数字证书持有人损失时，认证机构应当承担赔偿责任。
    认证机构可以在认证业务声明中设置赔偿限额，赔偿限额不得低于所收取的数字证书费用的100倍。
　　第二十条 （信息保存）
　　数字证书废除后的20年内，认证机构应当继续保存与数字证书相关的信息。

第五章 行政措施和争议处理

　　第二十一条 （对擅自经营的行政措施）
　　违反本办法第五条规定，擅自设立认证机构，经营数字认证业务，构成犯罪的，依法追究刑事责任；尚不构成犯罪的，由市信息办、市国密办依据职权予以通报批评，并责令限期改正。
　　第二十二条 （对冒领、冒用证书的行政措施）
　　违反本办法第十二条第二款规定，冒名申领、冒用数字证书，构成犯罪的，依法追究刑事责任；尚不构成犯罪的，由相关部门依据职权追究法律责任。认证机构应当废除冒领、冒用的数字证书。
　　第二十三条 （对认证机构的行政措施）
　　认证机构违反本办法第六条、第七条、第九条、第十六条、第十七条、第十八条、第十九条、第二十条规定，构成犯罪的，依法追究刑事责任；尚不构成犯罪的，由相关部门依据职权予以通报批评，并责令限期改正。
　　第二十四条 （对内部工作人员泄密的行政措施）
　　认证机构内部工作人员泄露秘密，构成犯罪的，依法追究刑事责任；尚不构成犯罪的，由相关部门视情节和后果，依据职权予以行政处分。
　　第二十五条 （争议处理）
　　因数字证书的申领、发放和使用发生争议的，数字证书持有人可以向市信息办提出申诉。
　　市信息办应当在收到申诉后的5日内作出是否受理申诉的决定，并在受理申诉后的30日内作出申诉处理。

第六章 附 则

　　第二十六条 （解释部门）
　　本办法由市信息办会同市国密办、市国家保密局负责解释。
　　第二十七条 （实施日期）
　　本办法自2003年1月1日起施行。