认证机构监管缺位，《电子签名法》亟待细化

认证机构监管缺位，《电子签名法》亟待细化

9月25日，参与《电子签名法》起草、研讨、制定的多名专家表示，全国人大刚刚通过的《电子签名法》只是一个开始，要使其更具有可操作性，在明年4月1日《电子签名法》正式实施前出台以规范电子认证服务为核心的实施细则是重中之重。

 

在9月25日的名为“《电子签名法》高级培训班”上，几乎聚齐了《电子签名法》相关人士，全国人大副委员长蒋正华、国务院信息化工作办公室副主任杨学山、信息产业部原党组副书记、常务副部长吕新奎等官员出席会议，全国人大法工委、全国人大财经委、国家商用密码办等各方面的电子签名法的专家都从各自的角度阐述了《电子签名法》的意义和影响。

 

与会的专家表示，作为法律，《电子签名法》只是对电子认证服务管理做了框架性的规定。目前，国际上对电子认证服务的管理有“行业自律型”、“政府许可与行业自律相结合”、“政府主导型”。《电子签名法》明确规定我国将采用“政府主导型”。同日，此次会议的主办者电子商务协会公布了其起草的《电子认证服务管理方法的建议（讨论稿）》。但目前电子认证服务管理具体主管部门尚不清楚。政府将如何对国内存在的70多家电子认证服务机构和已发的上百万张数字证书进行平稳过渡管理？如何规定电子认证服务的法律责任？都是日后关注的焦点所在。

 

 

                      认证机构的管理三种模式

 

中国金融认证中心总经理李晓峰给记者描绘了在电子签名流程中认证机构（CA）的作用。在网络上，为了完成交易，交易双方的身份必须通过第三方得到确认，电子商务认证机构由此产生。CA相当于一个权威可信的中间人，它的职责是核实使用者的身份，负责电子证书的发放管理，及时公布无效的证书。如果CA机构不安全，或者发放的证书不具备权威性、公正性和可信赖性，那么网上交易的可信性就无从谈起。

 

据全国人大财经委经济法案室处长钟真真说，鉴于认证机构的重要作用，法律委在一审议《电子签名法》时，很多专家提出把认证机构单列一章，认为目前对认证机构的规范很薄弱。“今后电子商务能否很好的发展，认证机构是一个瓶颈。”

 

在电子签名法出台之前，国内已经有了70多家的电子认证服务机构及已发出去上百万数字证书，这些认证机构有行业的、区域的，也有完全市场化的；数字证书包括发给企业、个人和发给服务器的。电子签名法出台后，如何对待这些“既成事实”？如何规范和管理现有的70多家认证机构？是否应该抬高电子认证机构市场准入的门槛？在《电子签名法》中都没有具体的解决方案。

 

全国人大法工委经济法室处长刘左军介绍，对电子认证机构的管理，在审议过程当中有两种意见，一是根据发达国家的经验，发挥市场引导和行业自律，依靠市场竞争促使认证机构提高认证服务质量和信誉，政府不应过多的介入；第二种意见是为了认证机构的管理关系到整个电子交易的公正性和安全性，如果政府不管的话，会出乱子，应加强政府的主导作用。

 

刘左军说，审议时研究了国外的情况，大概分为三种模式，一是强制性许可制度。如韩国、日本、德国、马来西亚以及我国台湾和我国香港。这些国家和地区对认证机构的许可做出了规定，认证机构必须通过了许可才能开展业务。第二类是非强制性的许可制。经政府认证的认证机构，政府会给很多的优惠。如果不经过认证，没有优惠好处，但仍可以运营。如：奥地利、新加坡。第三种方式是对完全依靠市场调节，通过行业自律予以规范。如美国。

 

刘左军解释说，中国电子认证机构主要靠市场引导行业自律不太具备。最后《电子签名法》规定了采用强制性许可制度，并对电子认证服务应当具备的条件做出了规定。

               

同时，专家们认为，《电子签名法》仅仅是对电子认证仅仅是框架型的归省。“我国电子认证业务还处于发展起步阶段，政府部门如何就认证机构实施有效的监管还需要在实践中总结经验。如果现在在法律上都规定得很清楚很具体，暂时还做不到，因为没有经验，也没有可行的做法。” 刘左军说。

 

 

                        如何监管“认证机构”？

                      

 

在法律的审议过程中，有委员提出，“光许可，许可进来后如果不实行日常的监督，认证机构有违法行为怎么办？应当对其进行监督并追究法律责任。”

 

据介绍，针对此意见，《电子签名法》第25条规定，“国务院信息产业主管部门依照本法制定电子认证服务业的具体管理方法，对电子认证服务提供者依法实施监督管理。”这条规定实际上是把监督管理授权给了信息产业部。在9月25日的会议上，电子商务协会公布了其起草的《电子认证服务管理方法的建议（讨论稿）》。但是，具体由信息产业哪个部门来管理认证机构，目前还不清楚。

 

“电子签名法中虽然对第三方认证机构的准入条件做了要求，但是实践中还需要相关的一些法规和具体的实施细则，包括对CA的准入和具体办法，CA的管理评级审计等。” 中国金融认证中心（CFCA）总经理李晓峰说。

 

而另外一家较大的认证中心的天威诚信公司执行总裁张昌利认为，在签名法没有出台前，认证中心在运行过程中，信息产业部、公安部等都根据每个部门自身的管理责任管理范围对CA中心有过相应的管理。“但在新的法律环境下怎么办？我们盼望主管部门能够尽快出台一些可操作的细致的管理办法，建立一个公平公正

的市场服务秩序和有效的监督。我们将按照新的管理办法进行重新的资质申请。”

 

国内的认证机构从经营的范围来分为两种，行业性和地域性；按运营模式分商业性（如天威诚信）和非商业性（即缝合和企业或者行业和地方政府共建）。据介绍，目前电子商务认证机构存在的主要问题：一建设过热，有一定的盲目性，造成重复建设和资源浪费；二是对电子商务认证机构的作用认识不足；三是低估认证机构运行的难度，缺乏必要的规章制度；四是认证机构对自身的安全性认识不够，对承担风险认识不足；五是法律法规、行业规范亟待健全。

 

在电子商务协会起草的《电子认证服务管理方法的建议（讨论稿）》中，分别从认证机构的设立、运营、义务和电子认证证书、电子签名人的义务等各个方面作了具体的描述。但目前这个讨论稿仅仅停留在电子商务协会。目前尚不知道信息产业部具体哪个部门会接管。 

 

附文：各国对认证机构的管理

马来西亚：数字签名法采用了以公共密钥技术为基础并配套建立认证机制的技术模式。该法用大量篇幅对认证市场进行规范，认证机构的管理由马来西亚政府部长任命的官员或人士来负责，该法将其称为监控人。监控人可以根据工作的需要在部长的许可下组织自己的监控工作机构。该法还规定应根据有关法律成立全国性认证机构进行具体的认证工作。该法同时对认证工作进行了极为详细的规定，包括许可证的申请手续，生效与拒绝、撤消、遗失、有限期延长、放弃等问题。

德国：数字签名法则明确规定，验证服务营业无须批准，只要达到一定的从业标准，即可以经营该业务。政府并不组建或授权安全认证机构，有能力的组织都可以进入安全认证市场。

新加坡：《电子交易法》中反映出，政府并不组建或授权安全认证机构，有能力的组织都可以进入安全认证的市场（新加坡境外的安全认证机构要进入其市场则必须经新加坡政府管理机构的批准），凭借自己的市场竞争能力建立信用。但是，新加坡在安全认证市场管理方面还是非常严格的。首先，《电子交易法》规定，政府任命一个安全认证机构的管理机构，负责许可、证明、管理和监督安全认证机构的活动。其二，“电子商务法”规定了所有从事安全认证业务（例如签发电子凭证）的机构都必须遵循的统一标准。其三，安全认证机构可以自愿向管理机构申请许可，虽然管理机构的许可并不妨碍安全认证机构进入市场，但是得到许可的安全认证机构可以享受某种“优惠”，尤其是可以享受法律规定的责任限制。

欧盟：于99年末制定的《欧盟电子签名统一框架指令》结构紧凑，由15个条款和4个附件组成，主要用于指导和协调欧盟各国的电子签名立法。其中比较有特色的主要的四个方面：电子认证服务的市场准入、电子认证服务管理的国际协调、认证中的数据保护、电子认证书内容的规范。电子商务的本质决定了与电子商务相关的服务必然逐步显现国际化的趋势，电子认证服务也毫不例外，从长远的角度看，电子认证在国际范围内的统一和标准化是必然的趋势，在这一过程中，会产生不断的协调、互相渗透、交叉认证、竞争和兼并，这是电子商务自身的要求，也是市场竞争的要求和结果。所以，欧盟的电子签名统一框架指令在这方面可谓目光远大，分别在其第三条和第七条中，对电子认证服务的市场准入、电子认证服务管理的国际协调进行了规定。其第三条第一款明确规定"成员国不得为证书服务规定任何事先授权。"此外，该条其他款还规定了认证服务管理的客观透明、适当和非歧视的原则。以另一个方面，该条第七款也明确指出"成员国可以对电子签名在公用部门的使用而附加一些可能的附属要求，这些要求应该是合格、透明、客观和非歧视的"。而其第7条第一款则明确规定：“成员国应保证在第三国设立的认证机构配发的资格证书能和在联盟内设立的认证机构配发的证书一样在法律上被承认，如果：（A）该认证机构履行了在规定项下的要求并经设立在成员国境内的非官方认证机构认证；（B）认证机构在联盟内设立并履行了本指令项下的要求对证书进行担保；（C）该证书可认证机构根据联盟与第三国或国际组织的双边或多边协议而得到承认。”基于这样的准则，就可以基本上确保国际间认证服务的相互认可，从而为电子商务的国际化铺就通途，应该说，这些基本原则和技术处理应在世界范围内得到推广。我国的电子签字法中对国际间的电子签字证书的认证方面涉及不多，只是明确了有关原则。欧盟的经验必定会在这一方面产生积极的影响。

日本：2000年制定的《电子签名与认证服务法》主要的篇幅都用于规范认证服务，这一点与欧盟的电子签名统一框架指令十分类似。在其第二章、第三章和第四章中，以指定认证服务的许可，境外指定认证服务的许可、指定调查机构的调查、调查机构的成立批准等几个方面对认证服务进行了全面细致的规定，其中，对于认证服务的许可、境外认证服务的许可，与欧盟不同的是，日本采用了须经官方许可的做法，并且对许可的条件、不予许可的情形、许可资格的续殿、继承。变更、中止等都做了严格的规定，为了保证相关机制的运转，该法中还明确了指定调查机构的权利与义务，形成了一个很有特色的监管模式。

【认证机构监管缺位，《电子签名法》亟待细化】相关文章：

《电子签名法》诞生08-05

网上交易：监管亟待加强08-05

刍议我国政府采购法中的缺位08-05

能源管理机构亟待改革08-06

欧盟与美国的电子签名法述评08-05

《电子签名法》与我国电子商务发展08-05

证监会：机构自律监管可望加强08-05

电子政务标准专家王东临解读《电子签名法》08-05

电子政务信息资源亟待整治08-05