電子認(rèn)證服務(wù)相關(guān)準(zhǔn)入辦法芻議

1、【專題報(bào)道】2007.03X.509在線證書狀態(tài)查詢協(xié)議規(guī)范（GBT197132005）、PKI證書管理協(xié)議規(guī)范（GBT197142005）、屬性授權(quán)管理中心技術(shù)規(guī)范（報(bào)批）、CA認(rèn)證機(jī)構(gòu)建設(shè)、運(yùn)營(yíng)和管理技術(shù)規(guī)范（報(bào)批）、證書策略與認(rèn)證業(yè)務(wù)聲明框架（報(bào)批）、時(shí)間戳規(guī)范（報(bào)批）、XML加密語(yǔ)法與處理規(guī)范（報(bào)批）、輕型目錄訪問(wèn)服務(wù)協(xié)議規(guī)范（意見(jiàn)征求）、簡(jiǎn)明在線證書狀態(tài)查詢協(xié)議（意見(jiàn)征求）、PKI系統(tǒng)安全等級(jí)保護(hù)評(píng)估準(zhǔn)則（意見(jiàn)征求）、PKI系

2、統(tǒng)安全等級(jí)保護(hù)技術(shù)要求（意見(jiàn)征求）、電子簽名卡應(yīng)用接口（意見(jiàn)征求）、X509證書應(yīng)用接口規(guī)范（意見(jiàn)征求）、XML數(shù)字簽名語(yǔ)法與處理規(guī)范（意見(jiàn)征求）等。標(biāo)準(zhǔn)化研究工作指導(dǎo)工作組的工作方向，近幾年在研和已研的項(xiàng)目包括電子簽名技術(shù)支撐體系及相關(guān)標(biāo)準(zhǔn)規(guī)范研究、PKI系統(tǒng)安全協(xié)議研究、鑒別與授權(quán)標(biāo)準(zhǔn)體系研究等。在工作組的“十一五規(guī)劃”中，還將大力加強(qiáng)身份管理等標(biāo)識(shí)類標(biāo)準(zhǔn)、生物鑒別等鑒別類標(biāo)準(zhǔn)、基于角色的訪問(wèn)控制等授權(quán)類標(biāo)準(zhǔn)、電子簽名格式等電子簽名

3、類標(biāo)準(zhǔn)、可信計(jì)算中的鑒別與授權(quán)等特殊應(yīng)用類標(biāo)準(zhǔn)，全面完善我國(guó)電子認(rèn)證與授權(quán)管理標(biāo)準(zhǔn)體系。總的來(lái)看，目前基礎(chǔ)設(shè)施類標(biāo)準(zhǔn)已基本完善，標(biāo)識(shí)、鑒別、授權(quán)、電子簽名、特殊應(yīng)用等其他相關(guān)的安全服務(wù)標(biāo)準(zhǔn)和具體應(yīng)用規(guī)范都已正在進(jìn)行研究與制定或列入了編制和研究計(jì)劃，整個(gè)電子認(rèn)證與授權(quán)管理標(biāo)準(zhǔn)體系處于穩(wěn)步推進(jìn)中。（責(zé)編楊晨）相關(guān)準(zhǔn)入辦法芻議電子認(rèn)證服務(wù)《中華人民共和國(guó)電子簽名法》（以下簡(jiǎn)稱《電子簽名法》）和配套的《電子認(rèn)證服務(wù)管理辦法》（以下簡(jiǎn)稱《管理辦法

4、》）、《電子認(rèn)證服務(wù)密碼管理辦法》，自2005年4月1日起施行。這無(wú)疑是我國(guó)電子商務(wù)發(fā)展在法律方面的里程碑，因?yàn)椤峨娮雍灻ā泛蛢蓚€(gè)辦法的頒布和實(shí)施，賦予可靠的電子簽名與手寫簽名具有同等的法律效力，并明確了電子認(rèn)證服務(wù)的市場(chǎng)準(zhǔn)入制度和管理辦法，將極大地改善我國(guó)電子商務(wù)的法制環(huán)境，促進(jìn)安全可信的電子交易環(huán)境的建立，從而大力推動(dòng)我國(guó)電子商務(wù)的發(fā)展！根據(jù)《電子簽名法》第二十五條規(guī)定：“國(guó)務(wù)院信息產(chǎn)業(yè)主管部門依照本法制定電子認(rèn)證服務(wù)業(yè)的具體管理

5、辦法，對(duì)電子認(rèn)證服務(wù)提供者依法實(shí)施監(jiān)督管理。”我國(guó)信息產(chǎn)業(yè)部制定了《電子認(rèn)證服務(wù)管理辦法》。該辦法共8章43條，包括總則、電子認(rèn)證服務(wù)機(jī)構(gòu)、電子認(rèn)證服務(wù)、電子認(rèn)證服務(wù)的暫停和終止、電子簽名認(rèn)證證書、監(jiān)督管理、罰則、附則，主要規(guī)定了電子認(rèn)證服務(wù)許可證的發(fā)放和管理、電子認(rèn)證服務(wù)行為規(guī)范、暫停或者終止電子認(rèn)證服務(wù)的處置、電子簽名認(rèn)證證書的格式和安全保障措施、監(jiān)督管理和對(duì)違法行為的處罰等內(nèi)容。由于該辦法是由國(guó)家法律特別授權(quán)制定的，與《電子簽名法

6、》配套同步實(shí)施，具有重要的法律效力和作用，有別于一般的部門規(guī)章。從整體來(lái)看，《管理辦法》以落實(shí)電子簽名法、規(guī)范電子認(rèn)證服務(wù)、加強(qiáng)電子商務(wù)交易安全、促進(jìn)電子商務(wù)與信息化發(fā)展為宗旨，強(qiáng)調(diào)電子認(rèn)證服務(wù)機(jī)構(gòu)自身的安全性，在法律層面上對(duì)認(rèn)證服務(wù)機(jī)構(gòu)的物理安全、技術(shù)與設(shè)備的安全、安全保障措施、管理系統(tǒng)的安全等多個(gè)方面，都提出了具體的要求；貫徹“功能等同”、“技術(shù)中立”原則，回避了那些只在特定技術(shù)中才應(yīng)用的術(shù)語(yǔ)（如公鑰、私鑰等），使得法律條文不受制于

7、具體的技術(shù)細(xì)節(jié)，并防止固化的法律條文對(duì)技術(shù)發(fā)展的多樣性造成阻礙；堅(jiān)持對(duì)電子認(rèn)證機(jī)構(gòu)的強(qiáng)制性許可制度，以適應(yīng)我國(guó)目前市場(chǎng)經(jīng)濟(jì)體系不夠完善、有效的信用制度及第三方認(rèn)證體系尚未建立、電子商務(wù)與信息化發(fā)展很不均衡及安全性有待提高的這一具體國(guó)情。什么是電子認(rèn)證服務(wù)和電子認(rèn)證服務(wù)機(jī)構(gòu)，是電子認(rèn)證服務(wù)的市場(chǎng)準(zhǔn)入制度首先要明確的問(wèn)題?！豆芾磙k法》的第■武漢大學(xué)黎其武7【專題報(bào)道】2007.03二條做出了闡釋：“電子認(rèn)證服務(wù)，是指為電子簽名相關(guān)各方提供真

8、實(shí)性、可靠性驗(yàn)證的公眾服務(wù)活動(dòng)。電子認(rèn)證服務(wù)提供者，是指為電子簽名人和電子簽名依賴方提供電子認(rèn)證服務(wù)的第三方機(jī)構(gòu)。”其中，“真實(shí)性、可靠性驗(yàn)證”是指電子認(rèn)證服務(wù)機(jī)構(gòu)所提供的驗(yàn)證應(yīng)該是被交易雙方所公認(rèn)的，具有有效說(shuō)服力的。這就要求電子認(rèn)證服務(wù)機(jī)構(gòu)應(yīng)該是除交易雙方之外的獨(dú)立的一方，即具有第三方性的認(rèn)證機(jī)構(gòu)。因?yàn)椴徽撌菑姆ǖ慕嵌冗€是從理的角度來(lái)說(shuō)，參與交易的任何一方都不能夠成為電子認(rèn)證服務(wù)的提供者，他們不能既當(dāng)“運(yùn)動(dòng)員”，又當(dāng)“裁判員”，因?yàn)?/p>

9、這樣做破壞了“比賽”的規(guī)則。如果認(rèn)證機(jī)構(gòu)自身出了問(wèn)題，所發(fā)放的證書的權(quán)威性、公正性和可信賴性就會(huì)大打折扣，網(wǎng)上交易的可信性就無(wú)從談起。規(guī)定了認(rèn)證市場(chǎng)準(zhǔn)入的標(biāo)準(zhǔn)是電子認(rèn)證服務(wù)的市場(chǎng)準(zhǔn)入制度的核心。《管理辦法》第五條和第六條規(guī)定了電子認(rèn)證服務(wù)機(jī)構(gòu)的人員編制、注冊(cè)資金、政府相關(guān)部門的批件等資質(zhì)要求，這表明認(rèn)證市場(chǎng)的準(zhǔn)入門檻相當(dāng)之高。我們認(rèn)為電子認(rèn)證業(yè)務(wù)本身所具有的特殊性，要求開(kāi)展這項(xiàng)業(yè)務(wù)、參與市場(chǎng)競(jìng)爭(zhēng)的企業(yè)必須具備很強(qiáng)的實(shí)力?！豆芾磙k法》規(guī)定

10、的準(zhǔn)入標(biāo)準(zhǔn)，尤其是資金標(biāo)準(zhǔn)，是一個(gè)認(rèn)證機(jī)構(gòu)正常運(yùn)行的必備條件，是用戶接受認(rèn)證服務(wù)、信賴服務(wù)方的心理依靠，也是認(rèn)證機(jī)構(gòu)承擔(dān)相應(yīng)責(zé)任義務(wù)的物質(zhì)基礎(chǔ)。另外，目前我國(guó)電子認(rèn)證機(jī)構(gòu)存在兩方面的問(wèn)題，一方面是建設(shè)過(guò)熱，有一定的盲目性，造成重復(fù)建設(shè)和資源浪費(fèi)；另一方面是低估認(rèn)證機(jī)構(gòu)運(yùn)行的難度，對(duì)電子認(rèn)證機(jī)構(gòu)的作用、自身安全性認(rèn)識(shí)不夠，對(duì)所承擔(dān)的風(fēng)險(xiǎn)認(rèn)識(shí)不足。針對(duì)這種現(xiàn)狀，通過(guò)規(guī)定較高的準(zhǔn)入標(biāo)準(zhǔn)，淘汰一部分不“達(dá)標(biāo)”的認(rèn)證機(jī)構(gòu)，對(duì)于規(guī)范和管理認(rèn)證機(jī)構(gòu)，

11、促進(jìn)認(rèn)證機(jī)構(gòu)健康發(fā)展，保障電子認(rèn)證的權(quán)威性和安全性是非常必要的。當(dāng)然，該辦法也規(guī)定了一個(gè)認(rèn)證市場(chǎng)“洗牌”的過(guò)渡期，即對(duì)已從事電子認(rèn)證服務(wù)的機(jī)構(gòu)如在2005年9月30日前不能“達(dá)標(biāo)”，須對(duì)相關(guān)業(yè)務(wù)作出妥善安排，不得繼續(xù)從事電子認(rèn)證的服務(wù)。通過(guò)市場(chǎng)準(zhǔn)入的認(rèn)證機(jī)構(gòu)的職能要公開(kāi)化、透明化，服務(wù)項(xiàng)目須得到規(guī)范。為此《管理辦法》做出規(guī)定，認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)保證提供下列服務(wù)：1、制作、簽發(fā)、管理電子簽名認(rèn)證證書；2、確認(rèn)簽發(fā)的電子簽名認(rèn)證證書的真實(shí)性；3、

12、提供電子簽名認(rèn)證證書目錄信息查詢服務(wù)；4、提供電子簽名認(rèn)證證書狀態(tài)信息查詢服務(wù)。第十八條規(guī)定了認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)履行下列義務(wù)：1、保證電子簽名認(rèn)證證書內(nèi)容在有效期內(nèi)完整、準(zhǔn)確；2、保證電子簽名依賴方能夠證實(shí)或者了解電子簽名認(rèn)證證書所載內(nèi)容及其他有關(guān)事項(xiàng)；3、妥善保存與電子認(rèn)證服務(wù)相關(guān)的信息。第二十一條規(guī)定了認(rèn)證服務(wù)機(jī)構(gòu)在受理電子簽名認(rèn)證證書申請(qǐng)前，應(yīng)當(dāng)向申請(qǐng)人告知的相關(guān)事項(xiàng)，即有告知的義務(wù)。為了確保進(jìn)入市場(chǎng)的認(rèn)證服務(wù)機(jī)構(gòu)健康發(fā)展，防止其自身“

13、蛻化墮落”，對(duì)其運(yùn)行狀況和業(yè)務(wù)信息進(jìn)行監(jiān)督管理是十分必要的；同時(shí)，這也對(duì)建立有序的認(rèn)證服務(wù)市場(chǎng)，增強(qiáng)電子認(rèn)證證書的安全性，減少交易的風(fēng)險(xiǎn)而言是不可缺失的。對(duì)違規(guī)行為采取處罰是實(shí)現(xiàn)監(jiān)督檢查的基本保障。對(duì)認(rèn)證機(jī)構(gòu)違規(guī)行為和主管部門工作人員失職行為必須處罰，要從法律上明確監(jiān)管者和被監(jiān)管者各自的責(zé)任，保障認(rèn)證服務(wù)市場(chǎng)的健康、有序和高效的發(fā)展。此外，《管理辦法》還規(guī)定了電子認(rèn)證服務(wù)的暫停、終止，明確了電子簽名認(rèn)證證書應(yīng)當(dāng)載明的內(nèi)容，以及何種情況下

14、認(rèn)證服務(wù)機(jī)構(gòu)可以撤銷其簽發(fā)的電子簽名認(rèn)證證書，何種情況下認(rèn)證服務(wù)機(jī)構(gòu)應(yīng)當(dāng)對(duì)申請(qǐng)人提供的證明身份的有關(guān)材料進(jìn)行查驗(yàn)，等等。為了落實(shí)《電子簽名法》，國(guó)家密碼管理局根據(jù)《電子簽名法》和《商用密碼管理?xiàng)l例》制定了《電子認(rèn)證服務(wù)密碼管理辦法》。該辦法共十四條，主要規(guī)定了面向社會(huì)公眾提供電子認(rèn)證服務(wù)應(yīng)使用商用密碼，明確了電子認(rèn)證服務(wù)提供者申請(qǐng)《電子認(rèn)證服務(wù)使用密碼許可證》條件和程序，同時(shí)也對(duì)電子認(rèn)證服務(wù)系統(tǒng)的運(yùn)行和相關(guān)部門的職責(zé)等做出了相應(yīng)規(guī)定。其

15、中，該辦法規(guī)定電子認(rèn)證服務(wù)提供者不得擅自對(duì)電子認(rèn)證服務(wù)系統(tǒng)進(jìn)行技術(shù)改造，確實(shí)要進(jìn)行技術(shù)改造的，必須事先將具體方案報(bào)國(guó)家密碼管理局備案，事后向國(guó)家密碼管理局申請(qǐng)安全性審查，通過(guò)審查的方可投入運(yùn)行；否則，必須改正并接受處罰。我們認(rèn)為，這種對(duì)服務(wù)系統(tǒng)技術(shù)改造的強(qiáng)制性規(guī)定是合理的，因?yàn)檎J(rèn)證系統(tǒng)安全性，尤其是密碼的可靠性，很大程度依賴于系統(tǒng)技術(shù)。如果對(duì)系統(tǒng)技術(shù)缺乏監(jiān)管，那么認(rèn)證系統(tǒng)的安全性就難以得到保障，從而會(huì)損害電子簽名的真實(shí)性和有效性，使得電