認證機構的法律責任有
① 電子認證服務機構的主要權利和義務
(一)認證機構的權利
1.要求申請者提供真實資料的權利:對個人申請人,一般要求提供個人的姓名、身份證號、聯系電話、尋呼、通信地址、郵政編碼、電子郵箱等資料; 對單位申請人,除對具體的申請人要求提供上述個人資料外,還要求提供單位名稱、單位主頁地址、單位營業執照號、工商稅號、單位地址、單位電子郵箱、單位所屬行業類別、電話、傳真等資料;認證機構在遵循合法程序的條件下有權對上述內容進行調查、審核。
2.收取費用的權利:認證機構有權向簽署者收取費用。
(二)認證機構的義務
1.頒發證書的義務:塌尺認證機構應向符合條件的申請者頒發證書,並將證書內容公布於認證機構的存儲器內。認證機構在向申請人頒發證書前應確認下列情況:
(1)列於即將頒發的證書中的人就是未來的簽署者;
(2)將頒發證書中的信息是正確的;
(3)未來的簽署者合法擁有私密鑰,此私密鑰與證書中列的公開密鑰構成功能性密鑰對並且可以用來生成數字簽名;
(4)證書中所列的公開密鑰可以用來驗證由簽署者擁有的私密鑰生成的數字簽名;
(5)數字證書中所使用的公鑰演算法在現有技術條件下不會被攻破。
2.中止證書的義務:在證書的有效期間內,收到簽署者或其代理人的有關中止證書的申請後,認證機構應中止該證書,並在指定地點發布中止的通知。
3.撤銷證書的義務:在證書的有效期間內,在下列情況下,認證機構應撤銷證書:
(1)收到撤銷證書的申請,並證實申請是由簽署者或其授權代理人發出;
(2)收到證實簽署者已經死亡的證明復印件或其它有關證明;
(3)有證明簽署者已經解散或不復存在的有關證明;
(4)證書中陳述的重要事實有虛假;
(5)不符合頒發證書的要求;
(6)認證機構的私密鑰或可信賴系統存在嚴重影響證書可靠性的情況。在撤銷證書時,認證機構須在指定地點發布撤銷通知,一般都是在作廢證書表中列明。
需要指出的是,電子認證合同的內容不僅包括發放證書,還包括管理證書,如中止證書和撤銷證書,可以說,中止證書和撤銷證書的義務是基於確保證書內容真實、准確性的義務而派生出來的。
4.使用可信賴系統的義務:認證機構應該使團裂高用可信賴系統來完成上述證書的頒發、中止和撤銷等項操作。所謂可信賴系統是指計算機的硬體、軟體和程序,它們滿足以下要求:
(1)是相當安全的,可防止侵擾和濫用;
(2)具有較高的可用性和可靠性,並提供了正確的操作;
(3)非常適合執行它們的固有功能;
(4)符合通常公認的安全程序。
5.妥善保管自身私鑰的義務:認證機構自身的私鑰對於驗證該認證機構作為頒發數字證書的機構之身份具有不可或缺的作用,一旦丟失,該認證機構所發出的所有數字證書都將作廢,因此應妥善保管。
6.信息發布的義務:認證機構應及時公布有關的信息,例如自身的政策或認證業務聲明,證書的發布、中止及撤銷的信息等,發布的方式應是醒目的、易發現的。
7.制定及在特定情況下實施災難恢復計劃的義務:災難恢復計劃是指認證機構在遭到攻擊,發生通信網路資源毀壞,計算機設備系統不能提供正常服務,軟體被破壞,資料庫被篡改等現象或因不可抗力造成災難時,修復設備系統的計劃。由於實踐中黑客的活動十分猖獗,因此認證機構制定此災難恢復計劃是十分必要的。一旦出現上述災難,認證機構應積極有效地實施災難恢復計劃
法律依據
《電子簽名法》相關規定:
第十八條
從事電子認證服務,應當向國務院信息產業主管部門提出申請,並提交符合本法第十七條規定條件的相關材料。國務院信息產業主管部門接到申請後經依法審查,徵求國務院商務主管部門等有關部門的意見後,自接到申請之日起四十五日源啟內作出許可或者不予許可的決定。予以許可的,頒發電子認證許可證書;不予許可的,應當書面通知申請人並告知理由。
申請人應當持電子認證許可證書依法向工商行政管理部門辦理企業登記手續。
取得認證資格的電子認證服務提供者,應當按照國務院信息產業主管部門的規定在互聯網上公布其名稱、許可證號等信息。
第十九條
電子認證服務提供者應當制定、公布符合國家有關規定的電子認證業務規則,並向國務院信息產業主管部門備案。
電子認證業務規則應當包括責任范圍、作業操作規范、信息安全保障措施等事項。
第二十條
電子簽名人向電子認證服務提供者申請電子簽名認證證書,應當提供真實、完整和准確的信息。
電子認證服務提供者收到電子簽名認證證書申請後,應當對申請人的身份進行查驗,並對有關材料進行審查。
第二十一條
電子認證服務提供者簽發的電子簽名認證證書應當准確無誤,並應當載明下列內容:
(一)電子認證服務提供者名稱;
(二)證書持有人名稱;
(三)證書序列號;
(四)證書有效期;
(五)證書持有人的電子簽名驗證數據;
(六)電子認證服務提供者的電子簽名;
(七)國務院信息產業主管部門規定的其他內容。
第二十二條
電子認證服務提供者應當保證電子簽名認證證書內容在有效期內完整、准確,並保證電子簽名依賴方能夠證實或者了解電子簽名認證證書所載內容及其他有關事項。
第二十三條 電子認證服務提供者擬暫停或者終止電子認證服務的,應當在暫停或者終止服務九十日前,就業務承接及其他有關事項通知有關各方。
電子認證服務提供者擬暫停或者終止電子認證服務的,應當在暫停或者終止服務六十日前向國務院信息產業主管部門報告,並與其他電子認證服務提供者就業務承接進行協商,作出妥善安排。
電子認證服務提供者未能就業務承接事項與其他電子認證服務提供者達成協議的,應當申請國務院信息產業主管部門安排其他電子認證服務提供者承接其業務。
電子認證服務提供者被依法吊銷電子認證許可證書的,其業務承接事項的處理按照國務院信息產業主管部門的規定執行。
第二十四條
電子認證服務提供者應當妥善保存與認證相關的信息,信息保存期限至少為電子簽名認證證書失效後五年。