認(rèn)證機(jī)構(gòu)監(jiān)管缺位，《電子簽名法》亟待細(xì)化

9月25日，參與《電子簽名法》起草、研討、制定的多名專家表示，全國人大剛剛通過的《電子簽名法》只是一個(gè)開始，要使其更具有可操作性，在明年4月1日《電子簽名法》正式實(shí)施前出臺(tái)以規(guī)范電子認(rèn)證服務(wù)為核心的實(shí)施細(xì)則是重中之重。

 

在9月25日的名為“《電子簽名法》高級培訓(xùn)班”上，幾乎聚齊了《電子簽名法》相關(guān)人士，全國人大副委員長蔣正華、國務(wù)院信息化工作辦公室副主任楊學(xué)山、信息產(chǎn)業(yè)部原黨組副書記、常務(wù)副部長呂新奎等官員出席會(huì)議，全國人大法工委、全國人大財(cái)經(jīng)委、國家商用密碼辦等各方面的電子簽名法的專家都從各自的角度闡述了《電子簽名法》的意義和影響。

 

與會(huì)的專家表示，作為法律，《電子簽名法》只是對電子認(rèn)證服務(wù)管理做了框架性的規(guī)定。目前，國際上對電子認(rèn)證服務(wù)的管理有“行業(yè)自律型”、“政府許可與行業(yè)自律相結(jié)合”、“政府主導(dǎo)型”�！峨娮雍灻�法》明確規(guī)定我國將采用“政府主導(dǎo)型”。同日，此次會(huì)議的主辦者電子商務(wù)協(xié)會(huì)公布了其起草的《電子認(rèn)證服務(wù)管理方法的建議（討論稿）》。但目前電子認(rèn)證服務(wù)管理具體主管部門尚不清楚。政府將如何對國內(nèi)存在的70多家電子認(rèn)證服務(wù)機(jī)構(gòu)和已發(fā)的上百萬張數(shù)字證書進(jìn)行平穩(wěn)過渡管理？如何規(guī)定電子認(rèn)證服務(wù)的法律責(zé)任？都是日后關(guān)注的焦點(diǎn)所在。

 

 

                      認(rèn)證機(jī)構(gòu)的管理三種模式

 

中國金融認(rèn)證中心總經(jīng)理李曉峰給記者描繪了在電子簽名流程中認(rèn)證機(jī)構(gòu)（CA）的作用。在網(wǎng)絡(luò)上，為了完成交易，交易雙方的身份必須通過第三方得到確認(rèn)，電子商務(wù)認(rèn)證機(jī)構(gòu)由此產(chǎn)生。CA相當(dāng)于一個(gè)權(quán)威可信的中間人，它的職責(zé)是核實(shí)使用者的身份，負(fù)責(zé)電子證書的發(fā)放管理，及時(shí)公布無效的證書。如果CA機(jī)構(gòu)不安全，或者發(fā)放的證書不具備權(quán)威性、公正性和可信賴性，那么網(wǎng)上交易的可信性就無從談起。

 

據(jù)全國人大財(cái)經(jīng)委經(jīng)濟(jì)法案室處長鐘真真說，鑒于認(rèn)證機(jī)構(gòu)的重要作用，法律委在一審議《電子簽名法》時(shí)，很多專家提出把認(rèn)證機(jī)構(gòu)單列一章，認(rèn)為目前對認(rèn)證機(jī)構(gòu)的規(guī)范很薄弱�！敖窈箅娮由虅�(wù)能否很好的發(fā)展，認(rèn)證機(jī)構(gòu)是一個(gè)瓶頸�！�

 

在電子簽名法出臺(tái)之前，國內(nèi)已經(jīng)有了70多家的電子認(rèn)證服務(wù)機(jī)構(gòu)及已發(fā)出去上百萬數(shù)字證書，這些認(rèn)證機(jī)構(gòu)有行業(yè)的、區(qū)域的，也有完全市場化的；數(shù)字證書包括發(fā)給企業(yè)、個(gè)人和發(fā)給服務(wù)器的。電子簽名法出臺(tái)后，如何對待這些“既成事實(shí)”？如何規(guī)范和管理現(xiàn)有的70多家認(rèn)證機(jī)構(gòu)？是否應(yīng)該抬高電子認(rèn)證機(jī)構(gòu)市場準(zhǔn)入的門檻？在《電子簽名法》中都沒有具體的解決方案。

 

全國人大法工委經(jīng)濟(jì)法室處長劉左軍介紹，對電子認(rèn)證機(jī)構(gòu)的管理，在審議過程當(dāng)中有兩種意見，一是根據(jù)發(fā)達(dá)國家的經(jīng)驗(yàn)，發(fā)揮市場引導(dǎo)和行業(yè)自律，依靠市場競爭促使認(rèn)證機(jī)構(gòu)提高認(rèn)證服務(wù)質(zhì)量和信譽(yù)，政府不應(yīng)過多的介入；第二種意見是為了認(rèn)證機(jī)構(gòu)的管理關(guān)系到整個(gè)電子交易的公正性和安全性，如果政府不管的話，會(huì)出亂子，應(yīng)加強(qiáng)政府的主導(dǎo)作用。

 

劉左軍說，審議時(shí)研究了國外的情況，大概分為三種模式，一是強(qiáng)制性許可制度。如韓國、日本、德國、馬來西亞以及我國臺(tái)灣和我國香港。這些國家和地區(qū)對認(rèn)證機(jī)構(gòu)的許可做出了規(guī)定，認(rèn)證機(jī)構(gòu)必須通過了許可才能開展業(yè)務(wù)。第二類是非強(qiáng)制性的許可制。經(jīng)政府認(rèn)證的認(rèn)證機(jī)構(gòu)，政府會(huì)給很多的優(yōu)惠。如果不經(jīng)過認(rèn)證，沒有優(yōu)惠好處，但仍可以運(yùn)營。如：奧地利、新加坡。第三種方式是對完全依靠市場調(diào)節(jié)，通過行業(yè)自律予以規(guī)范。如美國。

 

劉左軍解釋說，中國電子認(rèn)證機(jī)構(gòu)主要靠市場引導(dǎo)行業(yè)自律不太具備。最后《電子簽名法》規(guī)定了采用強(qiáng)制性許可制度，并對電子認(rèn)證服務(wù)應(yīng)當(dāng)具備的條件做出了規(guī)定。

               

同時(shí)，專家們認(rèn)為，《電子簽名法》僅僅是對電子認(rèn)證僅僅是框架型的歸省。“我國電子認(rèn)證業(yè)務(wù)還處于發(fā)展起步階段，政府部門如何就認(rèn)證機(jī)構(gòu)實(shí)施有效的監(jiān)管還需要在實(shí)踐中總結(jié)經(jīng)驗(yàn)。如果現(xiàn)在在法律上都規(guī)定得很清楚很具體，暫時(shí)還做不到，因?yàn)闆]有經(jīng)驗(yàn)，也沒有可行的做法。” 劉左軍說。

 

 

                        如何監(jiān)管“認(rèn)證機(jī)構(gòu)”？

                      

 

在法律的審議過程中，有委員提出，“光許可，許可進(jìn)來后如果不實(shí)行日常的監(jiān)督，認(rèn)證機(jī)構(gòu)有違法行為怎么辦？應(yīng)當(dāng)對其進(jìn)行監(jiān)督并追究法律責(zé)任�！�

 

據(jù)介紹，針對此意見，《電子簽名法》第25條規(guī)定，“國務(wù)院信息產(chǎn)業(yè)主管部門依照本法制定電子認(rèn)證服務(wù)業(yè)的具體管理方法，對電子認(rèn)證服務(wù)提供者依法實(shí)施監(jiān)督管理。”這條規(guī)定實(shí)際上是把監(jiān)督管理授權(quán)給了信息產(chǎn)業(yè)部。在9月25日的會(huì)議上，電子商務(wù)協(xié)會(huì)公布了其起草的《電子認(rèn)證服務(wù)管理方法的建議（討論稿）》。但是，具體由信息產(chǎn)業(yè)哪個(gè)部門來管理認(rèn)證機(jī)構(gòu)，目前還不清楚。

 

“電子簽名法中雖然對第三方認(rèn)證機(jī)構(gòu)的準(zhǔn)入條件做了要求，但是實(shí)踐中還需要相關(guān)的一些法規(guī)和具體的實(shí)施細(xì)則，包括對CA的準(zhǔn)入和具體辦法，CA的管理評級審計(jì)等�！� 中國金融認(rèn)證中心（CFCA）總經(jīng)理李曉峰說。

 

而另外一家較大的認(rèn)證中心的天威誠信公司執(zhí)行總裁張昌利認(rèn)為，在簽名法沒有出臺(tái)前，認(rèn)證中心在運(yùn)行過程中，信息產(chǎn)業(yè)部、公安部等都根據(jù)每個(gè)部門自身的管理責(zé)任管理范圍對CA中心有過相應(yīng)的管理�！暗�在新的法律環(huán)境下怎么辦？我們盼望主管部門能夠盡快出臺(tái)一些可操作的細(xì)致的管理辦法，建立一個(gè)公平公正

的市場服務(wù)秩序和有效的監(jiān)督。我們將按照新的管理辦法進(jìn)行重新的資質(zhì)申請�！�

 

國內(nèi)的認(rèn)證機(jī)構(gòu)從經(jīng)營的范圍來分為兩種，行業(yè)性和地域性；按運(yùn)營模式分商業(yè)性（如天威誠信）和非商業(yè)性（即縫合和企業(yè)或者行業(yè)和地方政府共建）。據(jù)介紹，目前電子商務(wù)認(rèn)證機(jī)構(gòu)存在的主要問題：一建設(shè)過熱，有一定的盲目性，造成重復(fù)建設(shè)和資源浪費(fèi)；二是對電子商務(wù)認(rèn)證機(jī)構(gòu)的作用認(rèn)識(shí)不足；三是低估認(rèn)證機(jī)構(gòu)運(yùn)行的難度，缺乏必要的規(guī)章制度；四是認(rèn)證機(jī)構(gòu)對自身的安全性認(rèn)識(shí)不夠，對承擔(dān)風(fēng)險(xiǎn)認(rèn)識(shí)不足；五是法律法規(guī)、行業(yè)規(guī)范亟待健全。

 

在電子商務(wù)協(xié)會(huì)起草的《電子認(rèn)證服務(wù)管理方法的建議（討論稿）》中，分別從認(rèn)證機(jī)構(gòu)的設(shè)立、運(yùn)營、義務(wù)和電子認(rèn)證證書、電子簽名人的義務(wù)等各個(gè)方面作了具體的描述。但目前這個(gè)討論稿僅僅停留在電子商務(wù)協(xié)會(huì)。目前尚不知道信息產(chǎn)業(yè)部具體哪個(gè)部門會(huì)接管。 

 

附文：各國對認(rèn)證機(jī)構(gòu)的管理

馬來西亞：數(shù)字簽名法采用了以公共密鑰技術(shù)為基礎(chǔ)并配套建立認(rèn)證機(jī)制的技術(shù)模式。該法用大量篇幅對認(rèn)證市場進(jìn)行規(guī)范，認(rèn)證機(jī)構(gòu)的管理由馬來西亞政府部長任命的官員或人士來負(fù)責(zé)，該法將其稱為監(jiān)控人。監(jiān)控人可以根據(jù)工作的需要在部長的許可下組織自己的監(jiān)控工作機(jī)構(gòu)。該法還規(guī)定應(yīng)根據(jù)有關(guān)法律成立全國性認(rèn)證機(jī)構(gòu)進(jìn)行具體的認(rèn)證工作。該法同時(shí)對認(rèn)證工作進(jìn)行了極為詳細(xì)的規(guī)定，包括許可證的申請手續(xù)，生效與拒絕、撤消、遺失、有限期延長、放棄等問題。

德國：數(shù)字簽名法則明確規(guī)定，驗(yàn)證服務(wù)營業(yè)無須批準(zhǔn)，只要達(dá)到一定的從業(yè)標(biāo)準(zhǔn)，即可以經(jīng)營該業(yè)務(wù)。政府并不組建或授權(quán)安全認(rèn)證機(jī)構(gòu)，有能力的組織都可以進(jìn)入安全認(rèn)證市場。

新加坡：《電子交易法》中反映出，政府并不組建或授權(quán)安全認(rèn)證機(jī)構(gòu)，有能力的組織都可以進(jìn)入安全認(rèn)證的市場（新加坡境外的安全認(rèn)證機(jī)構(gòu)要進(jìn)入其市場則必須經(jīng)新加坡政府管理機(jī)構(gòu)的批準(zhǔn)），憑借自己的市場競爭能力建立信用。但是，新加坡在安全認(rèn)證市場管理方面還是非常嚴(yán)格的。首先，《電子交易法》規(guī)定，政府任命一個(gè)安全認(rèn)證機(jī)構(gòu)的管理機(jī)構(gòu)，負(fù)責(zé)許可、證明、管理和監(jiān)督安全認(rèn)證機(jī)構(gòu)的活動(dòng)。其二，“電子商務(wù)法”規(guī)定了所有從事安全認(rèn)證業(yè)務(wù)（例如簽發(fā)電子憑證）的機(jī)構(gòu)都必須遵循的統(tǒng)一標(biāo)準(zhǔn)。其三，安全認(rèn)證機(jī)構(gòu)可以自愿向管理機(jī)構(gòu)申請?jiān)S可，雖然管理機(jī)構(gòu)的許可并不妨礙安全認(rèn)證機(jī)構(gòu)進(jìn)入市場，但是得到許可的安全認(rèn)證機(jī)構(gòu)可以享受某種“優(yōu)惠”，尤其是可以享受法律規(guī)定的責(zé)任限制。

歐盟：于99年末制定的《歐盟電子簽名統(tǒng)一框架指令》結(jié)構(gòu)緊湊，由15個(gè)條款和4個(gè)附件組成，主要用于指導(dǎo)和協(xié)調(diào)歐盟各國的電子簽名立法。其中比較有特色的主要的四個(gè)方面：電子認(rèn)證服務(wù)的市場準(zhǔn)入、電子認(rèn)證服務(wù)管理的國際協(xié)調(diào)、認(rèn)證中的數(shù)據(jù)保護(hù)、電子認(rèn)證書內(nèi)容的規(guī)范。電子商務(wù)的本質(zhì)決定了與電子商務(wù)相關(guān)的服務(wù)必然逐步顯現(xiàn)國際化的趨勢，電子認(rèn)證服務(wù)也毫不例外，從長遠(yuǎn)的角度看，電子認(rèn)證在國際范圍內(nèi)的統(tǒng)一和標(biāo)準(zhǔn)化是必然的趨勢，在這一過程中，會(huì)產(chǎn)生不斷的協(xié)調(diào)、互相滲透、交叉認(rèn)證、競爭和兼并，這是電子商務(wù)自身的要求，也是市場競爭的要求和結(jié)果。所以，歐盟的電子簽名統(tǒng)一框架指令在這方面可謂目光遠(yuǎn)大，分別在其第三條和第七條中，對電子認(rèn)證服務(wù)的市場準(zhǔn)入、電子認(rèn)證服務(wù)管理的國際協(xié)調(diào)進(jìn)行了規(guī)定。其第三條第一款明確規(guī)定"成員國不得為證書服務(wù)規(guī)定任何事先授權(quán)。"此外，該條其他款還規(guī)定了認(rèn)證服務(wù)管理的客觀透明、適當(dāng)和非歧視的原則。以另一個(gè)方面，該條第七款也明確指出"成員國可以對電子簽名在公用部門的使用而附加一些可能的附屬要求，這些要求應(yīng)該是合格、透明、客觀和非歧視的"。而其第7條第一款則明確規(guī)定：“成員國應(yīng)保證在第三國設(shè)立的認(rèn)證機(jī)構(gòu)配發(fā)的資格證書能和在聯(lián)盟內(nèi)設(shè)立的認(rèn)證機(jī)構(gòu)配發(fā)的證書一樣在法律上被承認(rèn)，如果：（A）該認(rèn)證機(jī)構(gòu)履行了在規(guī)定項(xiàng)下的要求并經(jīng)設(shè)立在成員國境內(nèi)的非官方認(rèn)證機(jī)構(gòu)認(rèn)證；（B）認(rèn)證機(jī)構(gòu)在聯(lián)盟內(nèi)設(shè)立并履行了本指令項(xiàng)下的要求對證書進(jìn)行擔(dān)保；（C）該證書可認(rèn)證機(jī)構(gòu)根據(jù)聯(lián)盟與第三國或國際組織的雙邊或多邊協(xié)議而得到承認(rèn)。”基于這樣的準(zhǔn)則，就可以基本上確保國際間認(rèn)證服務(wù)的相互認(rèn)可，從而為電子商務(wù)的國際化鋪就通途，應(yīng)該說，這些基本原則和技術(shù)處理應(yīng)在世界范圍內(nèi)得到推廣。我國的電子簽字法中對國際間的電子簽字證書的認(rèn)證方面涉及不多，只是明確了有關(guān)原則。歐盟的經(jīng)驗(yàn)必定會(huì)在這一方面產(chǎn)生積極的影響。

日本：2000年制定的《電子簽名與認(rèn)證服務(wù)法》主要的篇幅都用于規(guī)范認(rèn)證服務(wù)，這一點(diǎn)與歐盟的電子簽名統(tǒng)一框架指令十分類似。在其第二章、第三章和第四章中，以指定認(rèn)證服務(wù)的許可，境外指定認(rèn)證服務(wù)的許可、指定調(diào)查機(jī)構(gòu)的調(diào)查、調(diào)查機(jī)構(gòu)的成立批準(zhǔn)等幾個(gè)方面對認(rèn)證服務(wù)進(jìn)行了全面細(xì)致的規(guī)定，其中，對于認(rèn)證服務(wù)的許可、境外認(rèn)證服務(wù)的許可，與歐盟不同的是，日本采用了須經(jīng)官方許可的做法，并且對許可的條件、不予許可的情形、許可資格的續(xù)殿、繼承。變更、中止等都做了嚴(yán)格的規(guī)定，為了保證相關(guān)機(jī)制的運(yùn)轉(zhuǎn)，該法中還明確了指定調(diào)查機(jī)構(gòu)的權(quán)利與義務(wù)，形成了一個(gè)很有特色的監(jiān)管模式。

【認(rèn)證機(jī)構(gòu)監(jiān)管缺位，《電子簽名法》亟待細(xì)化】相關(guān)文章：

《電子簽名法》誕生08-05

網(wǎng)上交易：監(jiān)管亟待加強(qiáng)08-05

芻議我國政府采購法中的缺位08-05

能源管理機(jī)構(gòu)亟待改革08-06

歐盟與美國的電子簽名法述評08-05

《電子簽名法》與我國電子商務(wù)發(fā)展08-05

證監(jiān)會(huì)：機(jī)構(gòu)自律監(jiān)管可望加強(qiáng)08-05

電子政務(wù)標(biāo)準(zhǔn)專家王東臨解讀《電子簽名法》08-05

電子政務(wù)信息資源亟待整治08-05