電子認證服務(wù)相關(guān)準入辦法芻議

1、【專題報道】2007.03X.509在線證書狀態(tài)查詢協(xié)議規(guī)范（GBT197132005）、PKI證書管理協(xié)議規(guī)范（GBT197142005）、屬性授權(quán)管理中心技術(shù)規(guī)范（報批）、CA認證機構(gòu)建設(shè)、運營和管理技術(shù)規(guī)范（報批）、證書策略與認證業(yè)務(wù)聲明框架（報批）、時間戳規(guī)范（報批）、XML加密語法與處理規(guī)范（報批）、輕型目錄訪問服務(wù)協(xié)議規(guī)范（意見征求）、簡明在線證書狀態(tài)查詢協(xié)議（意見征求）、PKI系統(tǒng)安全等級保護評估準則（意見征求）、PKI系

2、統(tǒng)安全等級保護技術(shù)要求（意見征求）、電子簽名卡應(yīng)用接口（意見征求）、X509證書應(yīng)用接口規(guī)范（意見征求）、XML數(shù)字簽名語法與處理規(guī)范（意見征求）等。標準化研究工作指導(dǎo)工作組的工作方向，近幾年在研和已研的項目包括電子簽名技術(shù)支撐體系及相關(guān)標準規(guī)范研究、PKI系統(tǒng)安全協(xié)議研究、鑒別與授權(quán)標準體系研究等。在工作組的“十一五規(guī)劃”中，還將大力加強身份管理等標識類標準、生物鑒別等鑒別類標準、基于角色的訪問控制等授權(quán)類標準、電子簽名格式等電子簽名

3、類標準、可信計算中的鑒別與授權(quán)等特殊應(yīng)用類標準，全面完善我國電子認證與授權(quán)管理標準體系?？偟膩砜矗壳盎A(chǔ)設(shè)施類標準已基本完善，標識、鑒別、授權(quán)、電子簽名、特殊應(yīng)用等其他相關(guān)的安全服務(wù)標準和具體應(yīng)用規(guī)范都已正在進行研究與制定或列入了編制和研究計劃，整個電子認證與授權(quán)管理標準體系處于穩(wěn)步推進中。（責編楊晨）相關(guān)準入辦法芻議電子認證服務(wù)《中華人民共和國電子簽名法》（以下簡稱《電子簽名法》）和配套的《電子認證服務(wù)管理辦法》（以下簡稱《管理辦法

4、》）、《電子認證服務(wù)密碼管理辦法》，自2005年4月1日起施行。這無疑是我國電子商務(wù)發(fā)展在法律方面的里程碑，因為《電子簽名法》和兩個辦法的頒布和實施，賦予可靠的電子簽名與手寫簽名具有同等的法律效力，并明確了電子認證服務(wù)的市場準入制度和管理辦法，將極大地改善我國電子商務(wù)的法制環(huán)境，促進安全可信的電子交易環(huán)境的建立，從而大力推動我國電子商務(wù)的發(fā)展！根據(jù)《電子簽名法》第二十五條規(guī)定：“國務(wù)院信息產(chǎn)業(yè)主管部門依照本法制定電子認證服務(wù)業(yè)的具體管理

5、辦法，對電子認證服務(wù)提供者依法實施監(jiān)督管理?！蔽覈畔a(chǎn)業(yè)部制定了《電子認證服務(wù)管理辦法》。該辦法共8章43條，包括總則、電子認證服務(wù)機構(gòu)、電子認證服務(wù)、電子認證服務(wù)的暫停和終止、電子簽名認證證書、監(jiān)督管理、罰則、附則，主要規(guī)定了電子認證服務(wù)許可證的發(fā)放和管理、電子認證服務(wù)行為規(guī)范、暫?；蛘呓K止電子認證服務(wù)的處置、電子簽名認證證書的格式和安全保障措施、監(jiān)督管理和對違法行為的處罰等內(nèi)容。由于該辦法是由國家法律特別授權(quán)制定的，與《電子簽名法

6、》配套同步實施，具有重要的法律效力和作用，有別于一般的部門規(guī)章。從整體來看，《管理辦法》以落實電子簽名法、規(guī)范電子認證服務(wù)、加強電子商務(wù)交易安全、促進電子商務(wù)與信息化發(fā)展為宗旨，強調(diào)電子認證服務(wù)機構(gòu)自身的安全性，在法律層面上對認證服務(wù)機構(gòu)的物理安全、技術(shù)與設(shè)備的安全、安全保障措施、管理系統(tǒng)的安全等多個方面，都提出了具體的要求；貫徹“功能等同”、“技術(shù)中立”原則，回避了那些只在特定技術(shù)中才應(yīng)用的術(shù)語（如公鑰、私鑰等），使得法律條文不受制于

7、具體的技術(shù)細節(jié)，并防止固化的法律條文對技術(shù)發(fā)展的多樣性造成阻礙；堅持對電子認證機構(gòu)的強制性許可制度，以適應(yīng)我國目前市場經(jīng)濟體系不夠完善、有效的信用制度及第三方認證體系尚未建立、電子商務(wù)與信息化發(fā)展很不均衡及安全性有待提高的這一具體國情。什么是電子認證服務(wù)和電子認證服務(wù)機構(gòu)，是電子認證服務(wù)的市場準入制度首先要明確的問題?！豆芾磙k法》的第■武漢大學黎其武7【專題報道】2007.03二條做出了闡釋：“電子認證服務(wù)，是指為電子簽名相關(guān)各方提供真

8、實性、可靠性驗證的公眾服務(wù)活動。電子認證服務(wù)提供者，是指為電子簽名人和電子簽名依賴方提供電子認證服務(wù)的第三方機構(gòu)?！逼渲校罢鎸嵭?、可靠性驗證”是指電子認證服務(wù)機構(gòu)所提供的驗證應(yīng)該是被交易雙方所公認的，具有有效說服力的。這就要求電子認證服務(wù)機構(gòu)應(yīng)該是除交易雙方之外的獨立的一方，即具有第三方性的認證機構(gòu)。因為不論是從法的角度還是從理的角度來說，參與交易的任何一方都不能夠成為電子認證服務(wù)的提供者，他們不能既當“運動員”，又當“裁判員”，因為

9、這樣做破壞了“比賽”的規(guī)則。如果認證機構(gòu)自身出了問題，所發(fā)放的證書的權(quán)威性、公正性和可信賴性就會大打折扣，網(wǎng)上交易的可信性就無從談起。規(guī)定了認證市場準入的標準是電子認證服務(wù)的市場準入制度的核心?！豆芾磙k法》第五條和第六條規(guī)定了電子認證服務(wù)機構(gòu)的人員編制、注冊資金、政府相關(guān)部門的批件等資質(zhì)要求，這表明認證市場的準入門檻相當之高。我們認為電子認證業(yè)務(wù)本身所具有的特殊性，要求開展這項業(yè)務(wù)、參與市場競爭的企業(yè)必須具備很強的實力?！豆芾磙k法》規(guī)定

10、的準入標準，尤其是資金標準，是一個認證機構(gòu)正常運行的必備條件，是用戶接受認證服務(wù)、信賴服務(wù)方的心理依靠，也是認證機構(gòu)承擔相應(yīng)責任義務(wù)的物質(zhì)基礎(chǔ)。另外，目前我國電子認證機構(gòu)存在兩方面的問題，一方面是建設(shè)過熱，有一定的盲目性，造成重復(fù)建設(shè)和資源浪費；另一方面是低估認證機構(gòu)運行的難度，對電子認證機構(gòu)的作用、自身安全性認識不夠，對所承擔的風險認識不足。針對這種現(xiàn)狀，通過規(guī)定較高的準入標準，淘汰一部分不“達標”的認證機構(gòu)，對于規(guī)范和管理認證機構(gòu)，

11、促進認證機構(gòu)健康發(fā)展，保障電子認證的權(quán)威性和安全性是非常必要的。當然，該辦法也規(guī)定了一個認證市場“洗牌”的過渡期，即對已從事電子認證服務(wù)的機構(gòu)如在2005年9月30日前不能“達標”，須對相關(guān)業(yè)務(wù)作出妥善安排，不得繼續(xù)從事電子認證的服務(wù)。通過市場準入的認證機構(gòu)的職能要公開化、透明化，服務(wù)項目須得到規(guī)范。為此《管理辦法》做出規(guī)定，認證機構(gòu)應(yīng)當保證提供下列服務(wù)：1、制作、簽發(fā)、管理電子簽名認證證書；2、確認簽發(fā)的電子簽名認證證書的真實性；3、

12、提供電子簽名認證證書目錄信息查詢服務(wù)；4、提供電子簽名認證證書狀態(tài)信息查詢服務(wù)。第十八條規(guī)定了認證機構(gòu)應(yīng)當履行下列義務(wù)：1、保證電子簽名認證證書內(nèi)容在有效期內(nèi)完整、準確；2、保證電子簽名依賴方能夠證實或者了解電子簽名認證證書所載內(nèi)容及其他有關(guān)事項；3、妥善保存與電子認證服務(wù)相關(guān)的信息。第二十一條規(guī)定了認證服務(wù)機構(gòu)在受理電子簽名認證證書申請前，應(yīng)當向申請人告知的相關(guān)事項，即有告知的義務(wù)。為了確保進入市場的認證服務(wù)機構(gòu)健康發(fā)展，防止其自身“

13、蛻化墮落”，對其運行狀況和業(yè)務(wù)信息進行監(jiān)督管理是十分必要的；同時，這也對建立有序的認證服務(wù)市場，增強電子認證證書的安全性，減少交易的風險而言是不可缺失的。對違規(guī)行為采取處罰是實現(xiàn)監(jiān)督檢查的基本保障。對認證機構(gòu)違規(guī)行為和主管部門工作人員失職行為必須處罰，要從法律上明確監(jiān)管者和被監(jiān)管者各自的責任，保障認證服務(wù)市場的健康、有序和高效的發(fā)展。此外，《管理辦法》還規(guī)定了電子認證服務(wù)的暫停、終止，明確了電子簽名認證證書應(yīng)當載明的內(nèi)容，以及何種情況下

14、認證服務(wù)機構(gòu)可以撤銷其簽發(fā)的電子簽名認證證書，何種情況下認證服務(wù)機構(gòu)應(yīng)當對申請人提供的證明身份的有關(guān)材料進行查驗，等等。為了落實《電子簽名法》，國家密碼管理局根據(jù)《電子簽名法》和《商用密碼管理條例》制定了《電子認證服務(wù)密碼管理辦法》。該辦法共十四條，主要規(guī)定了面向社會公眾提供電子認證服務(wù)應(yīng)使用商用密碼，明確了電子認證服務(wù)提供者申請《電子認證服務(wù)使用密碼許可證》條件和程序，同時也對電子認證服務(wù)系統(tǒng)的運行和相關(guān)部門的職責等做出了相應(yīng)規(guī)定。其

15、中，該辦法規(guī)定電子認證服務(wù)提供者不得擅自對電子認證服務(wù)系統(tǒng)進行技術(shù)改造，確實要進行技術(shù)改造的，必須事先將具體方案報國家密碼管理局備案，事后向國家密碼管理局申請安全性審查，通過審查的方可投入運行；否則，必須改正并接受處罰。我們認為，這種對服務(wù)系統(tǒng)技術(shù)改造的強制性規(guī)定是合理的，因為認證系統(tǒng)安全性，尤其是密碼的可靠性，很大程度依賴于系統(tǒng)技術(shù)。如果對系統(tǒng)技術(shù)缺乏監(jiān)管，那么認證系統(tǒng)的安全性就難以得到保障，從而會損害電子簽名的真實性和有效性，使得電