论文部分内容阅读
关键字:电子认证/服务业
实施电子认证强制认证的重点行业和领域
《电子签名法》实施两年来,《电子签名法》研究课题组在探索中总结经验,针对《电子签名法》实施过程中遇到的问题进行分析,这里选取其中几个相关课题与读者共同研究探讨。
电子认证是一个为信息技术用户提供第三方信息安全服务的业务,它以PKI技术为基础,较好地保障了信息传输的保密性、数据交换的完整性、发送信息的不可否认性、网络主体身份的确定性等要求。2005年《电子签名法》实施后,电子认证服务快速发展,正在成长为一个新兴的现代服务产业。同时,电子认证服务业发展中面临的基础性、共性问题也开始暴露出来,需要从发展战略上统筹考虑,合理规划,制定相应的鼓励政策和监管措施,促进电子认证服务业又好又快发展,充分满足信息化建设的需要。
我国电子认证服务业存在的五大问题
总体而言,我国电子认证服务业还属于新兴产业,存在一些共性问题:
1.应用市场狭窄,应用创新不足
在我国,电子认证主要还局限在电子政务、电子商务的部分领域,应用市场较为单一,电子认证潜能没有得到充分的挖掘。究其原因,一方面社会各界对电子认证还比较陌生,社会认知度较低,信息安全意识也不强;另一方面CA机构应用创新和应用开发不足,业务模式单一,与客户业务的结合不够紧密,难以满足用户的需求。
2.存在行业应用壁垒,服务市场条块分割
电子认证市场存在着一定的行业壁垒,一些行业过分强调行业的特殊性,自建CA机构,面向公众提供服务,人为地对应用市场进行分割,造成行业应用垄断。同时,一些地区CA依靠本地优势,垄断本地市场。
3.标准规范建设滞后,阻碍了互通互认的实现
目前我国电子认证标准规范滞后,没有统一的证书介质接口、证书管理政策、证书操作规范、证书和证书撤销列表、PKI操作和管理协议、交叉认证等技术标准,服务规范差异也很大。当然,难以互通互认还有CA机构的业务策略、合作利益机制等其他方面的原因。
4.电子产业链不完善,行业公共服务落后
电子认证产业链的上游是系统与设备供应商,上游的问题是创新能力不足,缺乏核心技术的知识产权;产业链中游的CA机构应用创新能力不足,应用开发不足,同时也缺乏公共服务机构;产业链下游是用户,存在的问题是应用意识不足。
5.存在一些低水平竞争,市场秩序未完全规范化
低水平竞争体现在三个方面:一是竞争集中在有限的应用领域,二是低价格竞争,甚至免费发放证书,三是一些CA自身运营不规范,为降低成本竟然忽视安全。少数机构还违规改变经营条件,如改变资本结构,变更企业法人代表,随意变更注册资金用途等等。
电子认证服务业发展的五个发展重点
结合我国电子认证服务业的发展现状,电子认证服务业发展战略的重点内容应包括:
1.推广电子认证应用,扩大电子认证市场
推广电子认证应用,首先要加强对信息安全的宣传,提高用户安全意识和对电子认证的认知,充分利用各种媒体,或者通过多角度、多层次的培训等方式,使社会各界充分认识电子认证的重要性。其次,要在信息化建设中引入电子认证应用,保障信息安全。再次,要设计合理的信息安全责任机制,引导用户将自身的系统安全外包给已经提供服务的第三方CA机构,增强用户信息安全外包意识。最后,规范CA机构运营,不断提高其服务质量和服务水平,在扩大经营规模的基础上,引导CA机构不断降低服务成本和证书价格。
2.打破条块分割,营建有序竞争、全国统一的大市场
电子认证应用必须打破条块分割,建立全国统一的大市场。既要承认某些应用的特殊性,更要引导和促进应用的通用性。应通过行业的合作与协调,消除行业壁垒和区域壁垒。尤其要加强电子签名法的执法检查,解决一些企业内部CA面向社会公众服务的问题。应当根据市场容量,对电子认证行业进行统筹规划,构建全国性跨地区、跨行业、跨领域的电子认证技术体系、运营体系和服务体系。
3.引导合作,实现电子认证服务的互信互认
从国际上看,互信互认的技术实现主要有交叉认证、桥CA、根CA等方式。在这方面,我国还需要加强研究,对电子认证互信互认的技术实现、统一的业务策略、法律责任的划分等深入分析,研究制定电子认证服务机构运营规范管理、证书注册机构规范管理、证书介质KEY的性能标准等标准规范。同时,要研究设计CA之间互利共赢的业务合作机制。
4.完善电子认证服务产业链,增强产业可持续发展能力
首先,要加强产业链上游的技术创新能力建设。对CA技术的研发进行合理的控制,在遵循国际标准的基础上,鼓励和支持我国企业开发拥有自主知识产权的CA技术产品。培育和支持CA技术自主研发企业的发展,形成几个具有自主产权的大型企业。其次,要引导CA机构加强应用开发,扩大应用市场。要引导电子认证机构加强业务开发,创新业务模式,攻克应用技术难关。要深入研究各行业的应用需求特点,开发出具有针对性的、客户方便易用的应用技术和业务模式,扎扎实实地渗透到一个又一个行业。再次,要发展行业公共服务,解决产业面临的共性问题。重点发展安全监测、技术支持、风险评估、责任鉴定、人员培训等公共服务,培育中介服务机构。
5.完善电子认证监管体系,促进市场有序有效竞争
要完善电子认证监管体系,应重点从以下方面着手:第一,建立健全电子认证监管的法律规范,制定电子认证服务的互通互认、业务承接、境外机构核准、CA机构安全管理等法律法规。第二,建设电子认证监管的技术设施。电子认证是一个复杂的高技术过程,监管者必须掌握一定的监管技术设施和手段,真正准确、适时地观测了解电子认证服务过程,才能实现有效监管。第三,完善市场准入和退出机制。针对行政许可中的细节问题,制定可操作的实施办法,进一步完善市场准入和市场退出机制,研究制定业务承接办法,保证CA机构作业连续性。第四,规范CA机构运营,制定安全运营的标准规范,约束经营风险,防止因过度竞争引起安全能力的削弱。
发展电子认证服务业的五点建议
上述内容均是长期策略。结合我国现阶段电子认证服务业的发展现状,提出近期措施和建议:
1.控制电子认证服务机构数量增长的步伐
电子认证的规模效应和保障安全的特性,决定了必须加强政府的宏观调控,控制CA机构数量增长的步伐。可以采取如下措施:一是审慎准入。对申请从事电子认证服务的机构,考虑国家安全、信息安全、电子认证应用市场需求和CA机构竞争等因素, 再决定是否许可其进入电子认证市场。可以根据上述因素,适时调整市场准入的门槛,如提高注册资金、人员素质、物理环境、设备设施等方面的要求。二是扶持大型CA机构发展。政府可以通过专项资金、在大型信息系统项目中招标采购电子认证服务等方式,择优扶持大型CA机构的发展,促进其做大做强,真正成为行业内的龙头。三是促进现有机构的合作、合并以及资本资源集中。
2.实施重点行业和领域的强制认证
一些行业和领域的信息安全关系到公共利益和国家安全。因此,必须提高这类信息系统的安全防护等级,强制要求电子认证应用。关系到国家信息安全、公众信息安全和经济安全的领域,在信息系统运行中应当强制采用电子认证应用。对电子政务以及国家投资的重大系统工程,也应提出电子认证应用的要求。
3.实施电子认证服务强制保险制度
电子认证是高风险行业,必须有一种有效的机制来分散法律风险。从国际上看,分散风险的机制主要有两种:一是通过立法,允许CA机构对证书的使用范围、责任限额作出规定。二是实行责任保险制度,提出电子认证服务机构就承担的民事赔偿责任进行投保。
参考国外的做法,我国电子认证服务赔付解决应当更多地依靠责任保险。许多国家都开展了网络保险业务,而我国还没有开设这样的险种。事实上,国内CA机构已经提出了责任保险的需求,且个别CA曾与保险机构签订过保险协议,说明保险的道路是可行的。建议在电子认证服务领域推行责任保险制度,设计和推行自愿保险是第一步,在此基础上,逐步推行强制保险制度。责任保险制度的推行,与保险行业的整体发展、业务推广密切相关,因此需要监管机构与保监会等部门加强协调,做好相关工作。
4.培育发展中介服务机构
要培育和发展一批中介服务机构,针对行业发展中的共性的、基础性问题,提供权威、可信的公共服务,减轻CA机构负担。中介服务的内容包括安全评级、风险评估、证书验证、安全监测、应用测试、责任鉴定、应用指导、人员培训和业务演示等。
5.积极开展国际互认合作
信息网络具有无国界的特性,为了确保国际间电子商务交易的顺利进行,必须在国际间建立并维持一种可以信任的环境和机制。这就使电子认证服务的国际互认成为必要。必须抓紧对境外证书法律效力核准的研究,制定具体的管理办法;同时积极参与有关国际条约、协定的协商,在保持开放和确保国家安全的前提下,签署有关条约、协定,促进我国与其他国家跨境贸易的发展。
实施电子认证强制认证的重点行业和领域
《电子签名法》实施两年来,《电子签名法》研究课题组在探索中总结经验,针对《电子签名法》实施过程中遇到的问题进行分析,这里选取其中几个相关课题与读者共同研究探讨。
电子认证是一个为信息技术用户提供第三方信息安全服务的业务,它以PKI技术为基础,较好地保障了信息传输的保密性、数据交换的完整性、发送信息的不可否认性、网络主体身份的确定性等要求。2005年《电子签名法》实施后,电子认证服务快速发展,正在成长为一个新兴的现代服务产业。同时,电子认证服务业发展中面临的基础性、共性问题也开始暴露出来,需要从发展战略上统筹考虑,合理规划,制定相应的鼓励政策和监管措施,促进电子认证服务业又好又快发展,充分满足信息化建设的需要。
我国电子认证服务业存在的五大问题
总体而言,我国电子认证服务业还属于新兴产业,存在一些共性问题:
1.应用市场狭窄,应用创新不足
在我国,电子认证主要还局限在电子政务、电子商务的部分领域,应用市场较为单一,电子认证潜能没有得到充分的挖掘。究其原因,一方面社会各界对电子认证还比较陌生,社会认知度较低,信息安全意识也不强;另一方面CA机构应用创新和应用开发不足,业务模式单一,与客户业务的结合不够紧密,难以满足用户的需求。
2.存在行业应用壁垒,服务市场条块分割
电子认证市场存在着一定的行业壁垒,一些行业过分强调行业的特殊性,自建CA机构,面向公众提供服务,人为地对应用市场进行分割,造成行业应用垄断。同时,一些地区CA依靠本地优势,垄断本地市场。
3.标准规范建设滞后,阻碍了互通互认的实现
目前我国电子认证标准规范滞后,没有统一的证书介质接口、证书管理政策、证书操作规范、证书和证书撤销列表、PKI操作和管理协议、交叉认证等技术标准,服务规范差异也很大。当然,难以互通互认还有CA机构的业务策略、合作利益机制等其他方面的原因。
4.电子产业链不完善,行业公共服务落后
电子认证产业链的上游是系统与设备供应商,上游的问题是创新能力不足,缺乏核心技术的知识产权;产业链中游的CA机构应用创新能力不足,应用开发不足,同时也缺乏公共服务机构;产业链下游是用户,存在的问题是应用意识不足。
5.存在一些低水平竞争,市场秩序未完全规范化
低水平竞争体现在三个方面:一是竞争集中在有限的应用领域,二是低价格竞争,甚至免费发放证书,三是一些CA自身运营不规范,为降低成本竟然忽视安全。少数机构还违规改变经营条件,如改变资本结构,变更企业法人代表,随意变更注册资金用途等等。
电子认证服务业发展的五个发展重点
结合我国电子认证服务业的发展现状,电子认证服务业发展战略的重点内容应包括:
1.推广电子认证应用,扩大电子认证市场
推广电子认证应用,首先要加强对信息安全的宣传,提高用户安全意识和对电子认证的认知,充分利用各种媒体,或者通过多角度、多层次的培训等方式,使社会各界充分认识电子认证的重要性。其次,要在信息化建设中引入电子认证应用,保障信息安全。再次,要设计合理的信息安全责任机制,引导用户将自身的系统安全外包给已经提供服务的第三方CA机构,增强用户信息安全外包意识。最后,规范CA机构运营,不断提高其服务质量和服务水平,在扩大经营规模的基础上,引导CA机构不断降低服务成本和证书价格。
2.打破条块分割,营建有序竞争、全国统一的大市场
电子认证应用必须打破条块分割,建立全国统一的大市场。既要承认某些应用的特殊性,更要引导和促进应用的通用性。应通过行业的合作与协调,消除行业壁垒和区域壁垒。尤其要加强电子签名法的执法检查,解决一些企业内部CA面向社会公众服务的问题。应当根据市场容量,对电子认证行业进行统筹规划,构建全国性跨地区、跨行业、跨领域的电子认证技术体系、运营体系和服务体系。
3.引导合作,实现电子认证服务的互信互认
从国际上看,互信互认的技术实现主要有交叉认证、桥CA、根CA等方式。在这方面,我国还需要加强研究,对电子认证互信互认的技术实现、统一的业务策略、法律责任的划分等深入分析,研究制定电子认证服务机构运营规范管理、证书注册机构规范管理、证书介质KEY的性能标准等标准规范。同时,要研究设计CA之间互利共赢的业务合作机制。
4.完善电子认证服务产业链,增强产业可持续发展能力
首先,要加强产业链上游的技术创新能力建设。对CA技术的研发进行合理的控制,在遵循国际标准的基础上,鼓励和支持我国企业开发拥有自主知识产权的CA技术产品。培育和支持CA技术自主研发企业的发展,形成几个具有自主产权的大型企业。其次,要引导CA机构加强应用开发,扩大应用市场。要引导电子认证机构加强业务开发,创新业务模式,攻克应用技术难关。要深入研究各行业的应用需求特点,开发出具有针对性的、客户方便易用的应用技术和业务模式,扎扎实实地渗透到一个又一个行业。再次,要发展行业公共服务,解决产业面临的共性问题。重点发展安全监测、技术支持、风险评估、责任鉴定、人员培训等公共服务,培育中介服务机构。
5.完善电子认证监管体系,促进市场有序有效竞争
要完善电子认证监管体系,应重点从以下方面着手:第一,建立健全电子认证监管的法律规范,制定电子认证服务的互通互认、业务承接、境外机构核准、CA机构安全管理等法律法规。第二,建设电子认证监管的技术设施。电子认证是一个复杂的高技术过程,监管者必须掌握一定的监管技术设施和手段,真正准确、适时地观测了解电子认证服务过程,才能实现有效监管。第三,完善市场准入和退出机制。针对行政许可中的细节问题,制定可操作的实施办法,进一步完善市场准入和市场退出机制,研究制定业务承接办法,保证CA机构作业连续性。第四,规范CA机构运营,制定安全运营的标准规范,约束经营风险,防止因过度竞争引起安全能力的削弱。
发展电子认证服务业的五点建议
上述内容均是长期策略。结合我国现阶段电子认证服务业的发展现状,提出近期措施和建议:
1.控制电子认证服务机构数量增长的步伐
电子认证的规模效应和保障安全的特性,决定了必须加强政府的宏观调控,控制CA机构数量增长的步伐。可以采取如下措施:一是审慎准入。对申请从事电子认证服务的机构,考虑国家安全、信息安全、电子认证应用市场需求和CA机构竞争等因素, 再决定是否许可其进入电子认证市场。可以根据上述因素,适时调整市场准入的门槛,如提高注册资金、人员素质、物理环境、设备设施等方面的要求。二是扶持大型CA机构发展。政府可以通过专项资金、在大型信息系统项目中招标采购电子认证服务等方式,择优扶持大型CA机构的发展,促进其做大做强,真正成为行业内的龙头。三是促进现有机构的合作、合并以及资本资源集中。
2.实施重点行业和领域的强制认证
一些行业和领域的信息安全关系到公共利益和国家安全。因此,必须提高这类信息系统的安全防护等级,强制要求电子认证应用。关系到国家信息安全、公众信息安全和经济安全的领域,在信息系统运行中应当强制采用电子认证应用。对电子政务以及国家投资的重大系统工程,也应提出电子认证应用的要求。
3.实施电子认证服务强制保险制度
电子认证是高风险行业,必须有一种有效的机制来分散法律风险。从国际上看,分散风险的机制主要有两种:一是通过立法,允许CA机构对证书的使用范围、责任限额作出规定。二是实行责任保险制度,提出电子认证服务机构就承担的民事赔偿责任进行投保。
参考国外的做法,我国电子认证服务赔付解决应当更多地依靠责任保险。许多国家都开展了网络保险业务,而我国还没有开设这样的险种。事实上,国内CA机构已经提出了责任保险的需求,且个别CA曾与保险机构签订过保险协议,说明保险的道路是可行的。建议在电子认证服务领域推行责任保险制度,设计和推行自愿保险是第一步,在此基础上,逐步推行强制保险制度。责任保险制度的推行,与保险行业的整体发展、业务推广密切相关,因此需要监管机构与保监会等部门加强协调,做好相关工作。
4.培育发展中介服务机构
要培育和发展一批中介服务机构,针对行业发展中的共性的、基础性问题,提供权威、可信的公共服务,减轻CA机构负担。中介服务的内容包括安全评级、风险评估、证书验证、安全监测、应用测试、责任鉴定、应用指导、人员培训和业务演示等。
5.积极开展国际互认合作
信息网络具有无国界的特性,为了确保国际间电子商务交易的顺利进行,必须在国际间建立并维持一种可以信任的环境和机制。这就使电子认证服务的国际互认成为必要。必须抓紧对境外证书法律效力核准的研究,制定具体的管理办法;同时积极参与有关国际条约、协定的协商,在保持开放和确保国家安全的前提下,签署有关条约、协定,促进我国与其他国家跨境贸易的发展。