论文部分内容阅读
关键字:电子签名法/两周年/电子认证
《中华人民共和国电子签名法》(以下简称《电子签名法》)的颁布是我国信息化发展史上的重要里程碑。
《电子签名法》实施两年来,我国的电子政务、电子商务活动取得快速的发展,电子认证服务体系日趋完善,电子认证服务业监管、电子认证工程技术、电子认证服务应用等方面取得新的进展。
《中华人民共和国电子签名法》实施两年以来,我国的电子认证服务业得到快速发展。22家机构相继取得了电子认证服务经营许可证,数字证书发放量大幅增长,推动了电子认证服务的广泛应用,带动了相关产业的发展,电子认证应用服务市场逐步打开。
而另一个方面,作为我国第一部信息化法律的《电子签名法》,其颁布、实施本身在我国具有相当的开创性,在法律、技术和管理层面都不可避免地会遇到一些新的矛盾和新的问题。我国电子认证服务业还相当稚嫩,电子认证服务的推广仍是一项复杂而艰巨的任务,相关的监管、规范、标准体系等都还有待进一步完善。
为切实推进《电子签名法》和《电子认证服务管理办法》的理解和适用,健全我国电子认证服务业的监管体系,有必要对我国目前电子认证服务业监管中的一些问题展开更多的探讨。
关于电子认证、电子认证服务与电子认证服务业
电子认证是基于数据电文的收件人需要对收讫的数据电文发送人身份及数据电文的真实性、完整性进行核实而产生的。《电子签名法》所说的认证,全称应该叫“电子签名认证”,其含义是特指为配合电子签名的使用,以电子认证服务机构为中心,由其依照法律规定审验电子签名使用人的身份、资格等属性,确保电子签名人与签名使用人之间唯一对应关系的法律制度。根据《电子认证服务管理办法》第二条的规定,电子认证服务是指为电子签名相关各方提供真实性、可靠性验证的公众服务活动。
顾名思义,所谓电子认证服务业,即指由相关组织和个人组成,以从事电子认证服务为职业的一个行业。从行业属性讲,它是一个服务性行业;从行业特征讲,是专门从事电子认证服务的;从行业构成讲,它是以电子认证服务机构为中心,旁及其上下游相关企业,如发证机构、密钥提供机构等的一个完整的产业链条。
关于对电子认证服务机构监管的必要性
鉴于电子认证服务机构的重要作用,关于其设置、资格、行为规范等,始终是各国电子商务立法关注的重点。符合一定标准的电子认证服务机构,才能保证其运营符合信息化的需要。电子认证服务机构的运营受到切实有效的监督,才能更好地保护电子签名人和电子签名依赖方的利益。
从境外情况看,电子认证服务机构的市场准入有三种情况。
一是对电子认证服务机构实行强制性许可制度,即从事电子认证服务业务必须经过主管机关批准。如马来西亚数字签名法明确规定:“没有人可以作为认证机构开展业务或进行运营,或主张他自己可以进行认证业务的运营,除非该人持有根据本法发放的有效许可证。”日本电子签名与认证服务法规定:“欲从事或者已在从事认证服务者须获得相关大臣之许可。”韩国电子签名法规定:“信息通信部长官指定有能力安全可靠地执行认证业务的单位担任公认认证机关。”韩国电子商务基本法规定:“政府可以根据电子签名法指定一个被授权的认证机构以确保电子商务的安全和可靠,并促进电子商务交易的健康发展。”德国《信息与通信服务法》规定:“认证机构开展业务,须从主管机关取得许可证。许可证经申请即予颁发。但下列情况不予颁发许可证:如果有事实证明下述推定,即申请人不具备从事认证业务的可靠性,或者申请人没有提交具备从事认证业务所需专业知识的证明,或者有理由认为一旦开始业务活动,不能符合本法以及具有法律效力的法令规定的与认证机构开展业务有关的其他要求。”
二是对电子认证服务机构实行非强制性许可制度。例如,依照欧盟《电子签名指令》的规定:“成员国不得为证书服务规定任何事先授权。”但是,各成员国可以建立自愿的、非强制性的许可制度,经政府许可的认证机构享有比未经许可的认证机构更多的权利。奥地利《联邦电子签名法》规定,认证服务提供者无须取得特别许可即可开展业务,但须立即通知监管机关,并将有关文件材料向监管机关报送备案,包括其安全政策、认证政策、所提供的业务以及使用的技术手段和程序等。该法还规定了认证机关自愿认证的程序和认可认证机关的相关技术安全要求。新加坡《电子交易法》规定,设立电子认证机构并不一定都要取得许可,但经许可的认证机构发布证书时,可以在证书中载明一项供参考的标准依据限额,即可以享受法律规定的民事责任限制等优惠。
三是对电子认证机构的设立不实行许可制度,完全依赖市场调节,通过行业自律予以规范,例如美国。
从我国实际情况看,对电子认证服务业主要靠市场引导和行业自律的条件尚不具备,由政府部门实施适度监管是必要的。电子签名法规定了提供电子认证服务应当具备的条件,规定了对提供电子认证服务实施行政许可制度,规定了有违法行为的电子认证服务提供者应承担的法律责任。这些规定都是必要的、可行的。另外,由于我国的电子认证业务还处于发展起步阶段,政府部门对电子认证机构如何实施有效的、适度的监管,还需要在实践中进一步总结经验。为此,《电子签名法》授权信息产业部制定电子认证服务业管理的具体办法,并对电子认证服务提供者依法实施监督管理。
信息产业部正是按照《电子签名法》的规定,认真履行法律所赋予的各项职责,实施对我国电子认证服务提供者的监管。在这一过程,信息产业部首先组织制定并发布了《电子认证服务管理办法》,接着按照《电子签名法》和《电子认证服务管理办法》对从事电子认证服务的申请进行行政许可审查。去年年底,按照法律规定的要求,信息产业部组织了对《电子签名法》实施情况的年度检查。
关于对电子认证服务机构监管的具体内容
境外法律规定对电子认证机构进行监管的内容主要包括与证书发放有关记录的保存、发证、证书更新、中止和撤销、认证业务声明、安全准则和保密等。如新加坡《电子交易法》规定,为保证本法或其细则的需要,通过书面通知,监管人可以指示认证机构或其工作人员采取通知书中指定的行为,对于不遵守指示的,要追究相应的法律责任。马来西亚《数字签名法》规定,对于特许认证机构,应当每年进行一次检查,以评价其遵守本法案的情况。年度检查应由具有计算机方面专业知识、获得执照的职业会计师,或信誉良好的、从事计算机安全工作的专业人员进行。审查人员的资格条件及审查的工作程序由本法案的实施细则予以规定。监控人应在其提供并维持的有关特许认证机构信息的信息库里向公众公布审查的日期和结果。
我国的《电子认证服务管理办法》对电子认证服务机构则是分别从机构的设立、电子认证服务、电子认证服务的暂停与终止、电子签名认证证书等四个方面实施监管。具体内容如第五条规定:“电子认证服务机构,应当具备下列条件:(一)具有独立的企业法人资格;(二)从事电子认证服务的专业技术人员、运营管理人员、安全管理人员和客户服务人员不少于30名;(三)注册资金不低于人民币3000万元;(四)具有固定的经营场所和满足电子认证服务要求的物理环境;(五)具有符合国家有关安全标准的技术和设备;(六)具有国家密码管理机构同意使用密码的证明文件;(七)法律、行政法规规定的其他条件。”第十二条规定:“取得认证资格的电子认证服务机构,在提供电子认证服务之前,应当通过互联网公布下列信息:(一)机构名称和法定代表人;(二)机构住所和联系办法;(三)《电子认证服务许可证》编号;(四)发证机关和发证日期;(五)《电子认证服务许可证》有效期的起止时间。”第十五条规定:“电子认证服务机构应当按照信息产业部公布的《电子认证业务规则规范》的要求,制定本机构的电子认证业务规则,并在提供电子认证服务前予以公布,向信息产业部备案。电子认证业务规则发生变更的,电子认证服务机构应当予以公布,并自公布之日起30日内向信息产业部备案。”第十七条规定:“电子认证服务机构应当保证提供下列服务:(一)制作、签发、管理电子签名认证证书;(二)确认签发的电子签名认证证书的真实性;(三)提供电子签名认证证书目录信息查询服务;(四)提供电子签名认证证书状态信息查询服务。 ”第十八条规定:“电子认证服务机构应当履行下列义务:(一)保证电子签名认证证书内容在有效期内完整、准确;(二)保证电子签名依赖方能够证实或者了解电子签名认证证书所载内容及其他有关事项;(三)妥善保存与电子认证服务相关的信息。”等等。
这里需要指出的是,《电子签名法》中虽然只提出对“电子认证服务提供者”依法实施监督管理,但从实际情况看,监督管理的对象和内容应该有所延伸。从监管对象看,我认为,除了电子认证服务提供者(即机构)外,应该延伸到电子认证服务业全部产业链的各个环节。从监管内容看,除了电子认证服务机构自身设立与服务相关的内容外,还应包括电子认证服务业产业链各个环节的经营服务行为。因此,对《电子签名法》第二十五条,我的理解是,国务院信息产业主管部门应该承担有对电子认证服务业依法实施监督管理的职责。
关于监督管理的方式
首先要依法实施监管。《电子签名法》已经明确了对电子认证服务提供者实施监督管理的行为主体(即实施机关)是信息产业部。这就意味着,其他任何机构或者企事业单位都无权作为实施监管的行为主体。
信息产业部应该在法律授权范围内制定具体监管措施,并将程序和内容公开告示。具体方法上,可采取集中检查和平时监管相结合的方式。
由于《电子签名法》自身的特点,在其法律适用上还应遵奉其他相关法律的规定。因此,在实施监管时,信息产业部电子认证服务管理办公室严格依照《电子签名法》的授权范围,参照《行政许可法》、《合同法》、《公司法》的相关规定,依法行政,实施监管。在受理设立电子认证服务机构申请的审查中,将国家密码管理局同意使用密码的证明文件作为前置条件,在征求国务院商务主管部门意见后再决定许可与否;在电子认证服务机构的运营规范中,保持与电子认证服务机构、证书使用者和专家的密切沟通,及时发现问题并采取有力措施,实施动态化监管,帮助电子认证服务机构健康发展;在年检中,通过企业自检、检查、整改、总结四个阶段,采取上报材料、实地考察、专家评审等方式,重点检查电子认证服务机构的法律法规符合性、电子认证业务规则(CPS)的符合性、运营管理规范的符合性,促进了电子认证服务的规范。同时,各地区、各部门以及各电子认证服务机构对法律的认识得到提高并逐步达成共识,形成了依法行政、照章管理、合法经营的良好氛围。
通过去年底这次年检,我们也发现了一些不容忽视的问题:对《电子签名法》的认识还存在误区,某些部门和地方越权许可、越权管理、越权处罚的现象还不同程度地存在,电子认证服务市场还存在条块分割的现象;电子认证服务业标准规范体系建设滞后,电子认证服务标准规范不统一,交叉认证、境外证书核准、业务承接、安全责任等业务还缺乏操作细则,电子认证产业链尚未形成;少数电子认证服务机构有违反《电子签名法》和《行政许可法》有关规定的行为,如内部管理不规范、安全管理运营规章贯彻落实不到位,岗位设置和职能不清晰等;违规从事电子认证服务的现象仍然存在。当然,这些问题还是个别性问题,多数是发展中的问题,需要我们在实践中进一步总结经验,提高监管水平,保证电子认证服务业健康发展。随着相关法律法规、标准规范与监管措施的不断完善,许多问题都会迎刃而解。
总之,实践证明,贯彻落实《电子签名法》,必须大力发展电子认证服务业、完善电子认证服务体系,为国家信息化提供安全保障,逐步建立起网络信任体系。只有建立起以电子认证服务为基础的网络信任体系,坚持以安全保发展,在发展中求安全,实现信息化与信息安全的协调发展,才能让信息化发挥更大的经济效益和社会效益。
《中华人民共和国电子签名法》(以下简称《电子签名法》)的颁布是我国信息化发展史上的重要里程碑。
《电子签名法》实施两年来,我国的电子政务、电子商务活动取得快速的发展,电子认证服务体系日趋完善,电子认证服务业监管、电子认证工程技术、电子认证服务应用等方面取得新的进展。
《中华人民共和国电子签名法》实施两年以来,我国的电子认证服务业得到快速发展。22家机构相继取得了电子认证服务经营许可证,数字证书发放量大幅增长,推动了电子认证服务的广泛应用,带动了相关产业的发展,电子认证应用服务市场逐步打开。
而另一个方面,作为我国第一部信息化法律的《电子签名法》,其颁布、实施本身在我国具有相当的开创性,在法律、技术和管理层面都不可避免地会遇到一些新的矛盾和新的问题。我国电子认证服务业还相当稚嫩,电子认证服务的推广仍是一项复杂而艰巨的任务,相关的监管、规范、标准体系等都还有待进一步完善。
为切实推进《电子签名法》和《电子认证服务管理办法》的理解和适用,健全我国电子认证服务业的监管体系,有必要对我国目前电子认证服务业监管中的一些问题展开更多的探讨。
关于电子认证、电子认证服务与电子认证服务业
电子认证是基于数据电文的收件人需要对收讫的数据电文发送人身份及数据电文的真实性、完整性进行核实而产生的。《电子签名法》所说的认证,全称应该叫“电子签名认证”,其含义是特指为配合电子签名的使用,以电子认证服务机构为中心,由其依照法律规定审验电子签名使用人的身份、资格等属性,确保电子签名人与签名使用人之间唯一对应关系的法律制度。根据《电子认证服务管理办法》第二条的规定,电子认证服务是指为电子签名相关各方提供真实性、可靠性验证的公众服务活动。
顾名思义,所谓电子认证服务业,即指由相关组织和个人组成,以从事电子认证服务为职业的一个行业。从行业属性讲,它是一个服务性行业;从行业特征讲,是专门从事电子认证服务的;从行业构成讲,它是以电子认证服务机构为中心,旁及其上下游相关企业,如发证机构、密钥提供机构等的一个完整的产业链条。
关于对电子认证服务机构监管的必要性
鉴于电子认证服务机构的重要作用,关于其设置、资格、行为规范等,始终是各国电子商务立法关注的重点。符合一定标准的电子认证服务机构,才能保证其运营符合信息化的需要。电子认证服务机构的运营受到切实有效的监督,才能更好地保护电子签名人和电子签名依赖方的利益。
从境外情况看,电子认证服务机构的市场准入有三种情况。
一是对电子认证服务机构实行强制性许可制度,即从事电子认证服务业务必须经过主管机关批准。如马来西亚数字签名法明确规定:“没有人可以作为认证机构开展业务或进行运营,或主张他自己可以进行认证业务的运营,除非该人持有根据本法发放的有效许可证。”日本电子签名与认证服务法规定:“欲从事或者已在从事认证服务者须获得相关大臣之许可。”韩国电子签名法规定:“信息通信部长官指定有能力安全可靠地执行认证业务的单位担任公认认证机关。”韩国电子商务基本法规定:“政府可以根据电子签名法指定一个被授权的认证机构以确保电子商务的安全和可靠,并促进电子商务交易的健康发展。”德国《信息与通信服务法》规定:“认证机构开展业务,须从主管机关取得许可证。许可证经申请即予颁发。但下列情况不予颁发许可证:如果有事实证明下述推定,即申请人不具备从事认证业务的可靠性,或者申请人没有提交具备从事认证业务所需专业知识的证明,或者有理由认为一旦开始业务活动,不能符合本法以及具有法律效力的法令规定的与认证机构开展业务有关的其他要求。”
二是对电子认证服务机构实行非强制性许可制度。例如,依照欧盟《电子签名指令》的规定:“成员国不得为证书服务规定任何事先授权。”但是,各成员国可以建立自愿的、非强制性的许可制度,经政府许可的认证机构享有比未经许可的认证机构更多的权利。奥地利《联邦电子签名法》规定,认证服务提供者无须取得特别许可即可开展业务,但须立即通知监管机关,并将有关文件材料向监管机关报送备案,包括其安全政策、认证政策、所提供的业务以及使用的技术手段和程序等。该法还规定了认证机关自愿认证的程序和认可认证机关的相关技术安全要求。新加坡《电子交易法》规定,设立电子认证机构并不一定都要取得许可,但经许可的认证机构发布证书时,可以在证书中载明一项供参考的标准依据限额,即可以享受法律规定的民事责任限制等优惠。
三是对电子认证机构的设立不实行许可制度,完全依赖市场调节,通过行业自律予以规范,例如美国。
从我国实际情况看,对电子认证服务业主要靠市场引导和行业自律的条件尚不具备,由政府部门实施适度监管是必要的。电子签名法规定了提供电子认证服务应当具备的条件,规定了对提供电子认证服务实施行政许可制度,规定了有违法行为的电子认证服务提供者应承担的法律责任。这些规定都是必要的、可行的。另外,由于我国的电子认证业务还处于发展起步阶段,政府部门对电子认证机构如何实施有效的、适度的监管,还需要在实践中进一步总结经验。为此,《电子签名法》授权信息产业部制定电子认证服务业管理的具体办法,并对电子认证服务提供者依法实施监督管理。
信息产业部正是按照《电子签名法》的规定,认真履行法律所赋予的各项职责,实施对我国电子认证服务提供者的监管。在这一过程,信息产业部首先组织制定并发布了《电子认证服务管理办法》,接着按照《电子签名法》和《电子认证服务管理办法》对从事电子认证服务的申请进行行政许可审查。去年年底,按照法律规定的要求,信息产业部组织了对《电子签名法》实施情况的年度检查。
关于对电子认证服务机构监管的具体内容
境外法律规定对电子认证机构进行监管的内容主要包括与证书发放有关记录的保存、发证、证书更新、中止和撤销、认证业务声明、安全准则和保密等。如新加坡《电子交易法》规定,为保证本法或其细则的需要,通过书面通知,监管人可以指示认证机构或其工作人员采取通知书中指定的行为,对于不遵守指示的,要追究相应的法律责任。马来西亚《数字签名法》规定,对于特许认证机构,应当每年进行一次检查,以评价其遵守本法案的情况。年度检查应由具有计算机方面专业知识、获得执照的职业会计师,或信誉良好的、从事计算机安全工作的专业人员进行。审查人员的资格条件及审查的工作程序由本法案的实施细则予以规定。监控人应在其提供并维持的有关特许认证机构信息的信息库里向公众公布审查的日期和结果。
我国的《电子认证服务管理办法》对电子认证服务机构则是分别从机构的设立、电子认证服务、电子认证服务的暂停与终止、电子签名认证证书等四个方面实施监管。具体内容如第五条规定:“电子认证服务机构,应当具备下列条件:(一)具有独立的企业法人资格;(二)从事电子认证服务的专业技术人员、运营管理人员、安全管理人员和客户服务人员不少于30名;(三)注册资金不低于人民币3000万元;(四)具有固定的经营场所和满足电子认证服务要求的物理环境;(五)具有符合国家有关安全标准的技术和设备;(六)具有国家密码管理机构同意使用密码的证明文件;(七)法律、行政法规规定的其他条件。”第十二条规定:“取得认证资格的电子认证服务机构,在提供电子认证服务之前,应当通过互联网公布下列信息:(一)机构名称和法定代表人;(二)机构住所和联系办法;(三)《电子认证服务许可证》编号;(四)发证机关和发证日期;(五)《电子认证服务许可证》有效期的起止时间。”第十五条规定:“电子认证服务机构应当按照信息产业部公布的《电子认证业务规则规范》的要求,制定本机构的电子认证业务规则,并在提供电子认证服务前予以公布,向信息产业部备案。电子认证业务规则发生变更的,电子认证服务机构应当予以公布,并自公布之日起30日内向信息产业部备案。”第十七条规定:“电子认证服务机构应当保证提供下列服务:(一)制作、签发、管理电子签名认证证书;(二)确认签发的电子签名认证证书的真实性;(三)提供电子签名认证证书目录信息查询服务;(四)提供电子签名认证证书状态信息查询服务。 ”第十八条规定:“电子认证服务机构应当履行下列义务:(一)保证电子签名认证证书内容在有效期内完整、准确;(二)保证电子签名依赖方能够证实或者了解电子签名认证证书所载内容及其他有关事项;(三)妥善保存与电子认证服务相关的信息。”等等。
这里需要指出的是,《电子签名法》中虽然只提出对“电子认证服务提供者”依法实施监督管理,但从实际情况看,监督管理的对象和内容应该有所延伸。从监管对象看,我认为,除了电子认证服务提供者(即机构)外,应该延伸到电子认证服务业全部产业链的各个环节。从监管内容看,除了电子认证服务机构自身设立与服务相关的内容外,还应包括电子认证服务业产业链各个环节的经营服务行为。因此,对《电子签名法》第二十五条,我的理解是,国务院信息产业主管部门应该承担有对电子认证服务业依法实施监督管理的职责。
关于监督管理的方式
首先要依法实施监管。《电子签名法》已经明确了对电子认证服务提供者实施监督管理的行为主体(即实施机关)是信息产业部。这就意味着,其他任何机构或者企事业单位都无权作为实施监管的行为主体。
信息产业部应该在法律授权范围内制定具体监管措施,并将程序和内容公开告示。具体方法上,可采取集中检查和平时监管相结合的方式。
由于《电子签名法》自身的特点,在其法律适用上还应遵奉其他相关法律的规定。因此,在实施监管时,信息产业部电子认证服务管理办公室严格依照《电子签名法》的授权范围,参照《行政许可法》、《合同法》、《公司法》的相关规定,依法行政,实施监管。在受理设立电子认证服务机构申请的审查中,将国家密码管理局同意使用密码的证明文件作为前置条件,在征求国务院商务主管部门意见后再决定许可与否;在电子认证服务机构的运营规范中,保持与电子认证服务机构、证书使用者和专家的密切沟通,及时发现问题并采取有力措施,实施动态化监管,帮助电子认证服务机构健康发展;在年检中,通过企业自检、检查、整改、总结四个阶段,采取上报材料、实地考察、专家评审等方式,重点检查电子认证服务机构的法律法规符合性、电子认证业务规则(CPS)的符合性、运营管理规范的符合性,促进了电子认证服务的规范。同时,各地区、各部门以及各电子认证服务机构对法律的认识得到提高并逐步达成共识,形成了依法行政、照章管理、合法经营的良好氛围。
通过去年底这次年检,我们也发现了一些不容忽视的问题:对《电子签名法》的认识还存在误区,某些部门和地方越权许可、越权管理、越权处罚的现象还不同程度地存在,电子认证服务市场还存在条块分割的现象;电子认证服务业标准规范体系建设滞后,电子认证服务标准规范不统一,交叉认证、境外证书核准、业务承接、安全责任等业务还缺乏操作细则,电子认证产业链尚未形成;少数电子认证服务机构有违反《电子签名法》和《行政许可法》有关规定的行为,如内部管理不规范、安全管理运营规章贯彻落实不到位,岗位设置和职能不清晰等;违规从事电子认证服务的现象仍然存在。当然,这些问题还是个别性问题,多数是发展中的问题,需要我们在实践中进一步总结经验,提高监管水平,保证电子认证服务业健康发展。随着相关法律法规、标准规范与监管措施的不断完善,许多问题都会迎刃而解。
总之,实践证明,贯彻落实《电子签名法》,必须大力发展电子认证服务业、完善电子认证服务体系,为国家信息化提供安全保障,逐步建立起网络信任体系。只有建立起以电子认证服务为基础的网络信任体系,坚持以安全保发展,在发展中求安全,实现信息化与信息安全的协调发展,才能让信息化发挥更大的经济效益和社会效益。