各地级以上市人民政府,各县(市、区)人民政府,省政府各部门、各直属机构:
现将《粤港两地电子签名证书互认办法》印发给你们,请认真贯彻执行。执行中遇到的问题,请径向省经济和信息化委反映。
广东省人民政府
2012年7月20日
粤港两地电子签名证书互认办法
为推动粤港两地贸易投资便利化,促进两地电子交易快速发展并确保电子交易安全,推进两地电子签名证书互认工作,根据《<内地与香港关于建立更紧密经贸关系的安排>补充协议五》和《粤港两地电子签名证书互认的框架性意见》,制定本办法。
一、适用范围
依据《中华人民共和国电子签名法》获得电子认证服务许可并在广东省注册登记的第三方电子认证服务机构或依据香港特别行政区《电子交易条例》成立的认可核证机关签发,且应用于粤港跨境电子交易的电子签名证书或认可数码证书(以下统称证书)。
二、证书互认方式和发布
证书互认使用交叉识别方式,以信任列表发布。
广东省经济和信息化委员会(受工业和信息化部委托)(以下称广东省经济和信息化委)和香港特别行政区政府资讯科技总监办公室(以下简称香港资科办)应发布本地信任列表,同时发布对方的信任列表。
三、证书互认申请
申请证书互认的广东省电子认证服务机构,应向广东省经济和信息化委提交申请。申请证书互认的香港核证机关,应向香港资科办提交申请。
申请所需文件如下:
(一)证书互认申请书;
(二)符合《粤港电子签名证书互认证书策略》(以下简称《互认证书策略》)的《电子认证业务规则》;
(三)独立第三方机构出具的《电子认证业务规则》与《互认证书策略》的符合性审查报告;
(四)独立第三方机构出具的《电子认证业务规则》执行审查报告。
四、证书互认核准
广东省经济和信息化委对本地电子认证服务机构的申请进行初审并报工业和信息化部核准。香港资科办对本地核证机关的申请进行核准。
广东省经济和信息化委与香港资科办应相互通报核准结果。广东省经济和信息化委与香港资科办分别履行各自的法律程序后,发布信任列表。
五、证书互认暂停和终止
遇下列情况,广东省经济和信息化委或香港资科办应暂停或终止证书互认:
(一)广东省经济和信息化委或香港资科办收到本地参与证书互认的电子认证服务机构提出暂停或终止请求;
(二)参与证书互认的电子认证服务机构违反本办法的要求且拒不改正,或发生证书签发违法违规事件。
当暂停或终止证书互认时,广东省经济和信息化委与香港资科办应及时知会,并以书面形式向对方通报。广东省经济和信息化委与香港资科办应从信任列表中删除相应的证书类别及其电子认证服务机构,及时以书面形式相互通报并通知该电子认证服务机构结果。广东省经济和信息化委应及时向工业和信息化部信息安全协调司报备。
六、电子认证服务机构的职责
参与证书互认的电子认证服务机构应履行以下职责:
(一)通过年检/年度评估,并按照规定接受特别评估;
(二)《电子认证业务规则》符合《互认证书策略》,并按照规定聘请独立第三方机构进行审查;
(三)证书运营服务与《电子认证业务规则》一致,并聘请独立第三方机构进行审查;
(四)广东省电子认证服务机构应建立完善的安全管理和内部审计制度,香港核证机关应完善安全管理和监察职能;
(五)建立完善的信息保护制度,对与电子认证相关的信息进行保护;
(六)签发的互认证书准确载明下列内容:
1.证书签发机构名称;
2.证书持有人名称;
3.证书序列号;
4.证书有效期;
5.证书持有人的签名验证数据;
6.证书签发机构的签名;
7.证书策略对象标识符;
8.规定的其他内容。
(七)用于签发证书和证书状态信息的密钥对生成应符合《互认证书策略》要求,用于生成密钥对的硬件设备应符合本地监管要求。
广东省电子认证服务机构应及时将其新的电子认证服务机构证书报广东省经济和信息化委备案;广东省经济和信息化委应及时将新的电子认证服务机构证书向工业和信息化部信息安全协调司报备。香港核证机关应及时将其新的电子认证服务机构证书向香港资科办备案。
七、证书互认管理
(一)由工业和信息化部信息安全协调司、工业和信息化部国际合作司、广东省经济和信息化委、香港资科办组成的粤港电子签名证书互认试点工作组(以下简称工作组)负责《互认证书策略》的制订、发布、更新、解释等工作,制定本办法相关细则;
(二)工作组为符合《互认证书策略》的证书核配证书策略对象标识符;
(三)内地和香港依照各自的法律法规对本地参与互认的电子认证服务机构进行监管,以确保本地电子认证服务机构能有效履行所承担的责任;
(四)本办法所指的“独立第三方机构资格”由本地监管部门依本地法律法规确定。
八、发布和生效
本办法自发布之日起生效。
