認證機構(gòu)監(jiān)管缺位，《電子簽名法》亟待細化

9月25日，參與《電子簽名法》起草、研討、制定的多名專家表示，全國人大剛剛通過的《電子簽名法》只是一個開始，要使其更具有可操作性，在明年4月1日《電子簽名法》正式實施前出臺以規(guī)范電子認證服務(wù)為核心的實施細則是重中之重。

 

在9月25日的名為“《電子簽名法》高級培訓(xùn)班”上，幾乎聚齊了《電子簽名法》相關(guān)人士，全國人大副委員長蔣正華、國務(wù)院信息化工作辦公室副主任楊學(xué)山、信息產(chǎn)業(yè)部原黨組副書記、常務(wù)副部長呂新奎等官員出席會議，全國人大法工委、全國人大財經(jīng)委、國家商用密碼辦等各方面的電子簽名法的專家都從各自的角度闡述了《電子簽名法》的意義和影響。

 

與會的專家表示，作為法律，《電子簽名法》只是對電子認證服務(wù)管理做了框架性的規(guī)定。目前，國際上對電子認證服務(wù)的管理有“行業(yè)自律型”、“政府許可與行業(yè)自律相結(jié)合”、“政府主導(dǎo)型”�！峨娮雍灻�法》明確規(guī)定我國將采用“政府主導(dǎo)型”。同日，此次會議的主辦者電子商務(wù)協(xié)會公布了其起草的《電子認證服務(wù)管理方法的建議（討論稿）》。但目前電子認證服務(wù)管理具體主管部門尚不清楚。政府將如何對國內(nèi)存在的70多家電子認證服務(wù)機構(gòu)和已發(fā)的上百萬張數(shù)字證書進行平穩(wěn)過渡管理？如何規(guī)定電子認證服務(wù)的法律責(zé)任？都是日后關(guān)注的焦點所在。

 

 

                      認證機構(gòu)的管理三種模式

 

中國金融認證中心總經(jīng)理李曉峰給記者描繪了在電子簽名流程中認證機構(gòu)（CA）的作用。在網(wǎng)絡(luò)上，為了完成交易，交易雙方的身份必須通過第三方得到確認，電子商務(wù)認證機構(gòu)由此產(chǎn)生。CA相當(dāng)于一個權(quán)威可信的中間人，它的職責(zé)是核實使用者的身份，負責(zé)電子證書的發(fā)放管理，及時公布無效的證書。如果CA機構(gòu)不安全，或者發(fā)放的證書不具備權(quán)威性、公正性和可信賴性，那么網(wǎng)上交易的可信性就無從談起。

 

據(jù)全國人大財經(jīng)委經(jīng)濟法案室處長鐘真真說，鑒于認證機構(gòu)的重要作用，法律委在一審議《電子簽名法》時，很多專家提出把認證機構(gòu)單列一章，認為目前對認證機構(gòu)的規(guī)范很薄弱�！敖窈箅娮由虅�(wù)能否很好的發(fā)展，認證機構(gòu)是一個瓶頸�！�

 

在電子簽名法出臺之前，國內(nèi)已經(jīng)有了70多家的電子認證服務(wù)機構(gòu)及已發(fā)出去上百萬數(shù)字證書，這些認證機構(gòu)有行業(yè)的、區(qū)域的，也有完全市場化的；數(shù)字證書包括發(fā)給企業(yè)、個人和發(fā)給服務(wù)器的。電子簽名法出臺后，如何對待這些“既成事實”？如何規(guī)范和管理現(xiàn)有的70多家認證機構(gòu)？是否應(yīng)該抬高電子認證機構(gòu)市場準入的門檻？在《電子簽名法》中都沒有具體的解決方案。

 

全國人大法工委經(jīng)濟法室處長劉左軍介紹，對電子認證機構(gòu)的管理，在審議過程當(dāng)中有兩種意見，一是根據(jù)發(fā)達國家的經(jīng)驗，發(fā)揮市場引導(dǎo)和行業(yè)自律，依靠市場競爭促使認證機構(gòu)提高認證服務(wù)質(zhì)量和信譽，政府不應(yīng)過多的介入；第二種意見是為了認證機構(gòu)的管理關(guān)系到整個電子交易的公正性和安全性，如果政府不管的話，會出亂子，應(yīng)加強政府的主導(dǎo)作用。

 

劉左軍說，審議時研究了國外的情況，大概分為三種模式，一是強制性許可制度。如韓國、日本、德國、馬來西亞以及我國臺灣和我國香港。這些國家和地區(qū)對認證機構(gòu)的許可做出了規(guī)定，認證機構(gòu)必須通過了許可才能開展業(yè)務(wù)。第二類是非強制性的許可制。經(jīng)政府認證的認證機構(gòu)，政府會給很多的優(yōu)惠。如果不經(jīng)過認證，沒有優(yōu)惠好處，但仍可以運營。如：奧地利、新加坡。第三種方式是對完全依靠市場調(diào)節(jié)，通過行業(yè)自律予以規(guī)范。如美國。

 

劉左軍解釋說，中國電子認證機構(gòu)主要靠市場引導(dǎo)行業(yè)自律不太具備。最后《電子簽名法》規(guī)定了采用強制性許可制度，并對電子認證服務(wù)應(yīng)當(dāng)具備的條件做出了規(guī)定。

               

同時，專家們認為，《電子簽名法》僅僅是對電子認證僅僅是框架型的歸省�！拔覈�電子認證業(yè)務(wù)還處于發(fā)展起步階段，政府部門如何就認證機構(gòu)實施有效的監(jiān)管還需要在實踐中總結(jié)經(jīng)驗。如果現(xiàn)在在法律上都規(guī)定得很清楚很具體，暫時還做不到，因為沒有經(jīng)驗，也沒有可行的做法。” 劉左軍說。

 

 

                        如何監(jiān)管“認證機構(gòu)”？

                      

 

在法律的審議過程中，有委員提出，“光許可，許可進來后如果不實行日常的監(jiān)督，認證機構(gòu)有違法行為怎么辦？應(yīng)當(dāng)對其進行監(jiān)督并追究法律責(zé)任�！�

 

據(jù)介紹，針對此意見，《電子簽名法》第25條規(guī)定，“國務(wù)院信息產(chǎn)業(yè)主管部門依照本法制定電子認證服務(wù)業(yè)的具體管理方法，對電子認證服務(wù)提供者依法實施監(jiān)督管理。”這條規(guī)定實際上是把監(jiān)督管理授權(quán)給了信息產(chǎn)業(yè)部。在9月25日的會議上，電子商務(wù)協(xié)會公布了其起草的《電子認證服務(wù)管理方法的建議（討論稿）》。但是，具體由信息產(chǎn)業(yè)哪個部門來管理認證機構(gòu)，目前還不清楚。

 

“電子簽名法中雖然對第三方認證機構(gòu)的準入條件做了要求，但是實踐中還需要相關(guān)的一些法規(guī)和具體的實施細則，包括對CA的準入和具體辦法，CA的管理評級審計等�！� 中國金融認證中心（CFCA）總經(jīng)理李曉峰說。

 

而另外一家較大的認證中心的天威誠信公司執(zhí)行總裁張昌利認為，在簽名法沒有出臺前，認證中心在運行過程中，信息產(chǎn)業(yè)部、公安部等都根據(jù)每個部門自身的管理責(zé)任管理范圍對CA中心有過相應(yīng)的管理�！暗�在新的法律環(huán)境下怎么辦？我們盼望主管部門能夠盡快出臺一些可操作的細致的管理辦法，建立一個公平公正

的市場服務(wù)秩序和有效的監(jiān)督。我們將按照新的管理辦法進行重新的資質(zhì)申請。”

 

國內(nèi)的認證機構(gòu)從經(jīng)營的范圍來分為兩種，行業(yè)性和地域性；按運營模式分商業(yè)性（如天威誠信）和非商業(yè)性（即縫合和企業(yè)或者行業(yè)和地方政府共建）。據(jù)介紹，目前電子商務(wù)認證機構(gòu)存在的主要問題：一建設(shè)過熱，有一定的盲目性，造成重復(fù)建設(shè)和資源浪費；二是對電子商務(wù)認證機構(gòu)的作用認識不足；三是低估認證機構(gòu)運行的難度，缺乏必要的規(guī)章制度；四是認證機構(gòu)對自身的安全性認識不夠，對承擔(dān)風(fēng)險認識不足；五是法律法規(guī)、行業(yè)規(guī)范亟待健全。

 

在電子商務(wù)協(xié)會起草的《電子認證服務(wù)管理方法的建議（討論稿）》中，分別從認證機構(gòu)的設(shè)立、運營、義務(wù)和電子認證證書、電子簽名人的義務(wù)等各個方面作了具體的描述。但目前這個討論稿僅僅停留在電子商務(wù)協(xié)會。目前尚不知道信息產(chǎn)業(yè)部具體哪個部門會接管。 

 

附文：各國對認證機構(gòu)的管理

馬來西亞：數(shù)字簽名法采用了以公共密鑰技術(shù)為基礎(chǔ)并配套建立認證機制的技術(shù)模式。該法用大量篇幅對認證市場進行規(guī)范，認證機構(gòu)的管理由馬來西亞政府部長任命的官員或人士來負責(zé)，該法將其稱為監(jiān)控人。監(jiān)控人可以根據(jù)工作的需要在部長的許可下組織自己的監(jiān)控工作機構(gòu)。該法還規(guī)定應(yīng)根據(jù)有關(guān)法律成立全國性認證機構(gòu)進行具體的認證工作。該法同時對認證工作進行了極為詳細的規(guī)定，包括許可證的申請手續(xù)，生效與拒絕、撤消、遺失、有限期延長、放棄等問題。

德國：數(shù)字簽名法則明確規(guī)定，驗證服務(wù)營業(yè)無須批準，只要達到一定的從業(yè)標(biāo)準，即可以經(jīng)營該業(yè)務(wù)。政府并不組建或授權(quán)安全認證機構(gòu)，有能力的組織都可以進入安全認證市場。

新加坡：《電子交易法》中反映出，政府并不組建或授權(quán)安全認證機構(gòu)，有能力的組織都可以進入安全認證的市場（新加坡境外的安全認證機構(gòu)要進入其市場則必須經(jīng)新加坡政府管理機構(gòu)的批準），憑借自己的市場競爭能力建立信用。但是，新加坡在安全認證市場管理方面還是非常嚴格的。首先，《電子交易法》規(guī)定，政府任命一個安全認證機構(gòu)的管理機構(gòu)，負責(zé)許可、證明、管理和監(jiān)督安全認證機構(gòu)的活動。其二，“電子商務(wù)法”規(guī)定了所有從事安全認證業(yè)務(wù)（例如簽發(fā)電子憑證）的機構(gòu)都必須遵循的統(tǒng)一標(biāo)準。其三，安全認證機構(gòu)可以自愿向管理機構(gòu)申請許可，雖然管理機構(gòu)的許可并不妨礙安全認證機構(gòu)進入市場，但是得到許可的安全認證機構(gòu)可以享受某種“優(yōu)惠”，尤其是可以享受法律規(guī)定的責(zé)任限制。

歐盟：于99年末制定的《歐盟電子簽名統(tǒng)一框架指令》結(jié)構(gòu)緊湊，由15個條款和4個附件組成，主要用于指導(dǎo)和協(xié)調(diào)歐盟各國的電子簽名立法。其中比較有特色的主要的四個方面：電子認證服務(wù)的市場準入、電子認證服務(wù)管理的國際協(xié)調(diào)、認證中的數(shù)據(jù)保護、電子認證書內(nèi)容的規(guī)范。電子商務(wù)的本質(zhì)決定了與電子商務(wù)相關(guān)的服務(wù)必然逐步顯現(xiàn)國際化的趨勢，電子認證服務(wù)也毫不例外，從長遠的角度看，電子認證在國際范圍內(nèi)的統(tǒng)一和標(biāo)準化是必然的趨勢，在這一過程中，會產(chǎn)生不斷的協(xié)調(diào)、互相滲透、交叉認證、競爭和兼并，這是電子商務(wù)自身的要求，也是市場競爭的要求和結(jié)果。所以，歐盟的電子簽名統(tǒng)一框架指令在這方面可謂目光遠大，分別在其第三條和第七條中，對電子認證服務(wù)的市場準入、電子認證服務(wù)管理的國際協(xié)調(diào)進行了規(guī)定。其第三條第一款明確規(guī)定"成員國不得為證書服務(wù)規(guī)定任何事先授權(quán)。"此外，該條其他款還規(guī)定了認證服務(wù)管理的客觀透明、適當(dāng)和非歧視的原則。以另一個方面，該條第七款也明確指出"成員國可以對電子簽名在公用部門的使用而附加一些可能的附屬要求，這些要求應(yīng)該是合格、透明、客觀和非歧視的"。而其第7條第一款則明確規(guī)定：“成員國應(yīng)保證在第三國設(shè)立的認證機構(gòu)配發(fā)的資格證書能和在聯(lián)盟內(nèi)設(shè)立的認證機構(gòu)配發(fā)的證書一樣在法律上被承認，如果：（A）該認證機構(gòu)履行了在規(guī)定項下的要求并經(jīng)設(shè)立在成員國境內(nèi)的非官方認證機構(gòu)認證；（B）認證機構(gòu)在聯(lián)盟內(nèi)設(shè)立并履行了本指令項下的要求對證書進行擔(dān)保；（C）該證書可認證機構(gòu)根據(jù)聯(lián)盟與第三國或國際組織的雙邊或多邊協(xié)議而得到承認�！被�于這樣的準則，就可以基本上確保國際間認證服務(wù)的相互認可，從而為電子商務(wù)的國際化鋪就通途，應(yīng)該說，這些基本原則和技術(shù)處理應(yīng)在世界范圍內(nèi)得到推廣。我國的電子簽字法中對國際間的電子簽字證書的認證方面涉及不多，只是明確了有關(guān)原則。歐盟的經(jīng)驗必定會在這一方面產(chǎn)生積極的影響。

日本：2000年制定的《電子簽名與認證服務(wù)法》主要的篇幅都用于規(guī)范認證服務(wù)，這一點與歐盟的電子簽名統(tǒng)一框架指令十分類似。在其第二章、第三章和第四章中，以指定認證服務(wù)的許可，境外指定認證服務(wù)的許可、指定調(diào)查機構(gòu)的調(diào)查、調(diào)查機構(gòu)的成立批準等幾個方面對認證服務(wù)進行了全面細致的規(guī)定，其中，對于認證服務(wù)的許可、境外認證服務(wù)的許可，與歐盟不同的是，日本采用了須經(jīng)官方許可的做法，并且對許可的條件、不予許可的情形、許可資格的續(xù)殿、繼承。變更、中止等都做了嚴格的規(guī)定，為了保證相關(guān)機制的運轉(zhuǎn)，該法中還明確了指定調(diào)查機構(gòu)的權(quán)利與義務(wù)，形成了一個很有特色的監(jiān)管模式。

【認證機構(gòu)監(jiān)管缺位，《電子簽名法》亟待細化】相關(guān)文章：

《電子簽名法》誕生08-05

網(wǎng)上交易：監(jiān)管亟待加強08-05

芻議我國政府采購法中的缺位08-05

能源管理機構(gòu)亟待改革08-06

歐盟與美國的電子簽名法述評08-05

《電子簽名法》與我國電子商務(wù)發(fā)展08-05

證監(jiān)會：機構(gòu)自律監(jiān)管可望加強08-05

電子政務(wù)標(biāo)準專家王東臨解讀《電子簽名法》08-05

電子政務(wù)信息資源亟待整治08-05