電子簽名法亟待細化研究論文

導語：電子簽名法亟待細化研究論文一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

9月25日，參與《電子簽名法》起草、研討、制定的多名專家表示，全國人大剛剛通過的《電子簽名法》只是一個開始，要使其更具有可操作性，在明年4月1日《電子簽名法》正式實施前出臺以規范電子認證服務為核心的實施細則是重中之重。

在9月25日的名為“《電子簽名法》高級培訓班”上，幾乎聚齊了《電子簽名法》相關人士，全國人大副委員長蔣正華、國務院信息化工作辦公室副主任楊學山、信息產業部原黨組副書記、常務副部長呂新奎等官員出席會議，全國人大法工委、全國人大財經委、國家商用密碼辦等各方面的電子簽名法的專家都從各自的角度闡述了《電子簽名法》的意義和影響。

與會的專家表示，作為法律，《電子簽名法》只是對電子認證服務管理做了框架性的規定。目前，國際上對電子認證服務的管理有“行業自律型”、“政府許可與行業自律相結合”、“政府主導型”。《電子簽名法》明確規定我國將采用“政府主導型”。同日，此次會議的主辦者電子商務協會公布了其起草的《電子認證服務管理方法的建議（討論稿）》。但目前電子認證服務管理具體主管部門尚不清楚。政府將如何對國內存在的70多家電子認證服務機構和已發的上百萬張數字證書進行平穩過渡管理？如何規定電子認證服務的法律責任？都是日后關注的焦點所在。

認證機構的管理三種模式

中國金融認證中心總經理李曉峰給記者描繪了在電子簽名流程中認證機構（CA）的作用。在網絡上，為了完成交易，交易雙方的身份必須通過第三方得到確認，電子商務認證機構由此產生。CA相當于一個權威可信的中間人，它的職責是核實使用者的身份，負責電子證書的發放管理，及時公布無效的證書。如果CA機構不安全，或者發放的證書不具備權威性、公正性和可信賴性，那么網上交易的可信性就無從談起。

據全國人大財經委經濟法案室處長鐘真真說，鑒于認證機構的重要作用，法律委在一審議《電子簽名法》時，很多專家提出把認證機構單列一章，認為目前對認證機構的規范很薄弱。“今后電子商務能否很好的發展，認證機構是一個瓶頸。”

在電子簽名法出臺之前，國內已經有了70多家的電子認證服務機構及已發出去上百萬數字證書，這些認證機構有行業的、區域的，也有完全市場化的；數字證書包括發給企業、個人和發給服務器的。電子簽名法出臺后，如何對待這些“既成事實”？如何規范和管理現有的70多家認證機構？是否應該抬高電子認證機構市場準入的門檻？在《電子簽名法》中都沒有具體的解決方案。

全國人大法工委經濟法室處長劉左軍介紹，對電子認證機構的管理，在審議過程當中有兩種意見，一是根據發達國家的經驗，發揮市場引導和行業自律，依靠市場競爭促使認證機構提高認證服務質量和信譽，政府不應過多的介入；第二種意見是為了認證機構的管理關系到整個電子交易的公正性和安全性，如果政府不管的話，會出亂子，應加強政府的主導作用。

劉左軍說，審議時研究了國外的情況，大概分為三種模式，一是強制性許可制度。如韓國、日本、德國、馬來西亞以及我國臺灣和我國香港。這些國家和地區對認證機構的許可做出了規定，認證機構必須通過了許可才能開展業務。第二類是非強制性的許可制。經政府認證的認證機構，政府會給很多的優惠。如果不經過認證，沒有優惠好處，但仍可以運營。如：奧地利、新加坡。第三種方式是對完全依靠市場調節，通過行業自律予以規范。如美國。

劉左軍解釋說，中國電子認證機構主要靠市場引導行業自律不太具備。最后《電子簽名法》規定了采用強制性許可制度，并對電子認證服務應當具備的條件做出了規定。

同時，專家們認為，《電子簽名法》僅僅是對電子認證僅僅是框架型的歸省。“我國電子認證業務還處于發展起步階段，政府部門如何就認證機構實施有效的監管還需要在實踐中總結經驗。如果現在在法律上都規定得很清楚很具體，暫時還做不到，因為沒有經驗，也沒有可行的做法。”劉左軍說。

如何監管“認證機構”？

在法律的審議過程中，有委員提出，“光許可，許可進來后如果不實行日常的監督，認證機構有違法行為怎么辦？應當對其進行監督并追究法律責任。”

據介紹，針對此意見，《電子簽名法》第25條規定，“國務院信息產業主管部門依照本法制定電子認證服務業的具體管理方法，對電子認證服務提供者依法實施監督管理。”這條規定實際上是把監督管理授權給了信息產業部。在9月25日的會議上，電子商務協會公布了其起草的《電子認證服務管理方法的建議（討論稿）》。但是，具體由信息產業哪個部門來管理認證機構，目前還不清楚。

“電子簽名法中雖然對第三方認證機構的準入條件做了要求，但是實踐中還需要相關的一些法規和具體的實施細則，包括對CA的準入和具體辦法，CA的管理評級審計等。”中國金融認證中心（CFCA）總經理李曉峰說。

而另外一家較大的認證中心的天威誠信公司執行總裁張昌利認為，在簽名法沒有出臺前，認證中心在運行過程中，信息產業部、公安部等都根據每個部門自身的管理責任管理范圍對CA中心有過相應的管理。“但在新的法律環境下怎么辦？我們盼望主管部門能夠盡快出臺一些可操作的細致的管理辦法，建立一個公平公正的市場服務秩序和有效的監督。我們將按照新的管理辦法進行重新的資質申請。”

國內的認證機構從經營的范圍來分為兩種，行業性和地域性；按運營模式分商業性（如天威誠信）和非商業性（即縫合和企業或者行業和地方政府共建）。據介紹，目前電子商務認證機構存在的主要問題：一建設過熱，有一定的盲目性，造成重復建設和資源浪費；二是對電子商務認證機構的作用認識不足；三是低估認證機構運行的難度，缺乏必要的規章制度；四是認證機構對自身的安全性認識不夠，對承擔風險認識不足；五是法律法規、行業規范亟待健全。

在電子商務協會起草的《電子認證服務管理方法的建議（討論稿）》中，分別從認證機構的設立、運營、義務和電子認證證書、電子簽名人的義務等各個方面作了具體的描述。但目前這個討論稿僅僅停留在電子商務協會。目前尚不知道信息產業部具體哪個部門會接管。

附文：各國對認證機構的管理

馬來西亞：數字簽名法采用了以公共密鑰技術為基礎并配套建立認證機制的技術模式。該法用大量篇幅對認證市場進行規范，認證機構的管理由馬來西亞政府部長任命的官員或人士來負責，該法將其稱為監控人。監控人可以根據工作的需要在部長的許可下組織自己的監控工作機構。該法還規定應根據有關法律成立全國性認證機構進行具體的認證工作。該法同時對認證工作進行了極為詳細的規定，包括許可證的申請手續，生效與拒絕、撤消、遺失、有限期延長、放棄等問題。

德國：數字簽名法則明確規定，驗證服務營業無須批準，只要達到一定的從業標準，即可以經營該業務。政府并不組建或授權安全認證機構，有能力的組織都可以進入安全認證市場。

新加坡：《電子交易法》中反映出，政府并不組建或授權安全認證機構，有能力的組織都可以進入安全認證的市場（新加坡境外的安全認證機構要進入其市場則必須經新加坡政府管理機構的批準），憑借自己的市場競爭能力建立信用。但是，新加坡在安全認證市場管理方面還是非常嚴格的。首先，《電子交易法》規定，政府任命一個安全認證機構的管理機構，負責許可、證明、管理和監督安全認證機構的活動。其二，“電子商務法”規定了所有從事安全認證業務（例如簽發電子憑證）的機構都必須遵循的統一標準。其三，安全認證機構可以自愿向管理機構申請許可，雖然管理機構的許可并不妨礙安全認證機構進入市場，但是得到許可的安全認證機構可以享受某種“優惠”，尤其是可以享受法律規定的責任限制。

歐盟：于99年末制定的《歐盟電子簽名統一框架指令》結構緊湊，由15個條款和4個附件組成，主要用于指導和協調歐盟各國的電子簽名立法。其中比較有特色的主要的四個方面：電子認證服務的市場準入、電子認證服務管理的國際協調、認證中的數據保護、電子認證書內容的規范。電子商務的本質決定了與電子商務相關的服務必然逐步顯現國際化的趨勢，電子認證服務也毫不例外，從長遠的角度看，電子認證在國際范圍內的統一和標準化是必然的趨勢，在這一過程中，會產生不斷的協調、互相滲透、交叉認證、競爭和兼并，這是電子商務自身的要求，也是市場競爭的要求和結果。所以，歐盟的電子簽名統一框架指令在這方面可謂目光遠大，分別在其第三條和第七條中，對電子認證服務的市場準入、電子認證服務管理的國際協調進行了規定。其第三條第一款明確規定"成員國不得為證書服務規定任何事先授權。"此外，該條其他款還規定了認證服務管理的客觀透明、適當和非歧視的原則。以另一個方面，該條第七款也明確指出"成員國可以對電子簽名在公用部門的使用而附加一些可能的附屬要求，這些要求應該是合格、透明、客觀和非歧視的"。而其第7條第一款則明確規定：“成員國應保證在第三國設立的認證機構配發的資格證書能和在聯盟內設立的認證機構配發的證書一樣在法律上被承認，如果：（A）該認證機構履行了在規定項下的要求并經設立在成員國境內的非官方認證機構認證；（B）認證機構在聯盟內設立并履行了本指令項下的要求對證書進行擔保；（C）該證書可認證機構根據聯盟與第三國或國際組織的雙邊或多邊協議而得到承認。”基于這樣的準則，就可以基本上確保國際間認證服務的相互認可，從而為電子商務的國際化鋪就通途，應該說，這些基本原則和技術處理應在世界范圍內得到推廣。我國的電子簽字法中對國際間的電子簽字證書的認證方面涉及不多，只是明確了有關原則。歐盟的經驗必定會在這一方面產生積極的影響。

日本：2000年制定的《電子簽名與認證服務法》主要的篇幅都用于規范認證服務，這一點與歐盟的電子簽名統一框架指令十分類似。在其第二章、第三章和第四章中，以指定認證服務的許可，境外指定認證服務的許可、指定調查機構的調查、調查機構的成立批準等幾個方面對認證服務進行了全面細致的規定，其中，對于認證服務的許可、境外認證服務的許可，與歐盟不同的是，日本采用了須經官方許可的做法，并且對許可的條件、不予許可的情形、許可資格的續殿、繼承。變更、中止等都做了嚴格的規定，為了保證相關機制的運轉，該法中還明確了指定調查機構的權利與義務，形成了一個很有特色的監管模式。