电子认证法律法规

4.4.3　电子认证法律法规

1.电子认证在电子商务中的运用

电子认证具有担保、防止欺诈、防止否认等功能，对于电子商务交易双方而言，通过中立的认证机构对签名人身份进行担保，能够使交易当事人相信交易的真实可靠性，这即是电子认证的担保功能；有了认证机构的认证，交易方可以通过在线查询证书状态，防止被欺诈，在发生纠纷时，电子认证使得交易双方对基于交易的数据电文无法否认，从而确保了电子商务交易的安全性。

简而言之，电子认证至少从三个层面上保障了电子商务的交易安全：一是身份认证，即通过对电子商务主体的网络身份进行认证，确保交易主体的真实性。身份认证可以基于技术信息，如用户掌握口令、账户或者包含信息的图章、磁卡等，也可以基于生物技术，如虹膜、指纹、DNA等；二是可靠的电子签名认证，电子签名法已经规定了可靠的电子签名应满足的条件，但是面临着具体操作标准的问题，建立可靠电子签名认证体系，使可靠的电子签名认证服务实现技术精湛、职责清晰，具备产品和系统检测能力，才能使得可靠的电子签名真正为电子商务广泛应用；三是数据电文可靠性的认证，即对电子商务中应用较多的电子合同、电子凭证、电子记录等进行认证，确保数据电文生成、传递、接收、保存、提取、鉴定的可靠性。在我国电子认证在电子商务中的运用更因为网络安全事件频发，以及电子商务规模化、多样性发展而面临机遇和挑战。

电子商务蓬勃发展带动电子认证走向更为广阔的发展空间。工信部于2011年11月中旬发布的《电子认证服务业“十二五”发展规划》中指出，截至2010年底，我国有2.78亿个IP地址，866万个域名，191万个网站，网民数量已突破4.5亿，网络购物用户数量1.61亿，电子商务交易额4.5万亿元。据预测，“十二五”期间，网络应用在国民经济和社会各领域将进一步普及深化，到2015年，电子商务年交易额将突破18万亿元，这意味这电子认证在我国电子商务领域中将发挥更为重要的作用。

近年来，随着移动互联网的发展，移动电子商务发展势头迅猛，移动电子商务虽然让电子商务变得更为便捷，但是手机所依赖的操作系统相对于电脑更容易被病毒入侵，智能手机的安全隐患更为突出。手机病毒的攻击除了对系统本身的破坏。还可能针对手机所特有的功能及组件进行恶意操作和破坏。如垃圾短信、窃听通话、获取个人密码隐私、电话诈骗等，这使得电子认证既面临挑战，也迎来了更为广阔的发展空间。

2.电子认证服务机构的设立与职权

目前调整和规范电子认证的相关法律规范主要有第十届全国人民代表大会常务委员会第十一次会议于2004年8月28日通过的《电子签名法》、工业和信息化部于2009年3月31日公布实施的《电子认证服务管理办法》以及国家密码管理局于2009年12月1日起颁布施行的《电子认证服务密码管理办法》。《电子签名法》规定了电子认证服务提供者的设立条件、程序、职责，电子认证各方的法律义务与责任，《电子认证服务管理办法》与《电子认证服务密码管理办法》是《电子签名法》的配套法规，在法律效力层级上属于部门规章，是电子认证监管部门颁布实施的监督管理电子认证的具体法律规范。

1）电子认证机构的设立条件

根据我国《电子签名法》第17条、《电子认证服务管理办法》第5条的规定，电子认证机构的设立条件包括：

（1）具备独立的企业法人资格；

（2）具有与提供电子认证服务相适应的专业技术人员、管理人员，并且专业技术人员、运营管理人员、安全管理及客户服务人员不少于30人；

（3）具有与提供电子认证服务相适应的资金和经营场所，其中注册资本不低于人民币三千万元；

（4）具有符合国家安全标准的技术和设备；

（5）具有国家密码管理机构同意使用密码的证明文件；

（6）法律、行政法规规定的其他条件。

2）电子认证机构的设立程序

《电子签名法》第18、19条、《电子认证服务管理办法》6～14条规定电子认证机构的设立程序。电子认证机构的申请程序具体如下：

第一步，提出申请。

从事电子认证服务，需要向国务院信息产业主管部门提出申请，即向国务院信息和工业化部申请，由工业和信息化部下属的信息安全协调司具体负责审查材料，做出相应的行政许可决定。

申请电子认证服务需要提交的材料有：

（1）电子认证服务行政许可申请表；

（2）企业法人资格证明（企业法人营业执照副本复印件）；

（3）人员证明（企业的专业技术人员、运营管理人员、安全管理人员和客户管理人员聘用合同复印件）；

（4）资金证明（经依法审计的近三年的企业财务会计报告复印件，或新成立企业的验资报告复印件）；

（5）经营场所证明（经营场所产权证明文件复印件或有效的房屋租赁协议复印件）；

（6）国家有关认证检测机构出具的技术、设备、物理环境符合国家有关安全标准的凭证。该凭证具体包括：①有关安全设备和认证系统在有效期内的经安全认证和准予销售的凭证复印件；②技术体系审查报告的复印件；③消防工程、核心屏蔽机房、运营机房经主管部门或国家认可的检测机构验收报告复印件；

（7）申请单位公司章程复印件；

（8）国家密码管理机构同意使用密码的证明文件复印件；

（9）申请单位拟实施的电子认证业务规则；

（10）申请单位认为有必要提供的其他材料。

第二步，受理机关审查。

申请人提交书面申请材料后，由工业和信息化部对材料进行审查，包括形式审查和实质审查，形式审查主要审查材料是否齐全、是否符合法定形式；实质审查需要对材料内容进行核实，需要由两名以上工作人员实地审查。

第三步，领取电子认证许可证。

工业和信息化部应当自接到申请之日起四十五日内作出准予许可或者不予许可的书面决定。不予许可的，应当书面通知申请人并说明理由；准予许可的，颁发《电子认证服务许可证》。

第四步，办理工商登记。

申请人领取电子认证许可证之后，应持有该许可证向工商行政管理部门申请办理企业登记手续。

第五步，公布信息。

取得认证资格的电子认证服务提供者，在提供电子认证服务之前应当按照国务院信息产业主管部门的规定在互联网上公布其名称、许可证号等信息。

第六步，制定业务规则并备案。

电子认证服务提供者应当制定、公布符合国家有关规定的电子认证业务规则，并向工业和信息化部备案。

需要指出的是电子认证服务许可证的有效期限是五年，电子认证机构如在有效期届满之后仍想继续使用电子认证许可证的，应当在许可证有效期届满三十日前向工业和信息化部申请办理延续手续。

3）电子认证机构的职权

电子认证机构的职权体现在认证机构对于电子签名认证证书的管理上，根据《电子签名法》、《电子认证服务管理办法》，电子认证机构的主要职权有：

（1）审核发放证书。

电子认证机构在受到电子签名人提供的电子签名认证证书申请之后，对申请人的身份进行查验，并审查有关材料，材料的真实、准确、完整性由申请人负责。认证机构经审查符合条件的，向申请人发放证书，证书上应包含电子认证服务提供者名称、证书持有人名称、证书序列号、证书有效期、证书持有人的电子签名验证数据、电子认证服务提供者的电子签名及国务院信息产业主管部门规定的其他内容。

（2）更新证书。

电子认证证书都有有效期限制，在有效期即将届满之时，证书持有人需要向颁发证书的电子认证机构申请一份新的证书，但是为了简化证书申请流程，方便证书使用人，电子认证机构一般会为即将到期的证书更换有效期或者更换密钥，这就是证书的更新。更新的初衷就是让PKI用户可以无间歇地持续使用PKI服务。根据《电子认证服务管理办法》的规定，申请人申请更新证书的，电子认证服务机构要对申请人的身份有关材料进行查验，并审查相关材料，认证机构更新电子认证证书的，应予以公告。

（3）撤销证书。

证书颁布以后，如果出现特定情况，如用户申请、用户私钥泄密等，证书可能会被撤销。我国《电子认证服务管理办法》第29条规定：“有下列情况之一的，电子认证服务机构可以撤销其签发的电子签名认证证书：（一）证书持有人申请撤销证书；（二）证书持有人提供的信息不真实；（三）证书持有人没有履行双方合同规定的义务；（四）证书的安全性不能得到保证；（五）法律、行政法规规定的其他情况。如果是证书持有人申请撤销证书，电子认证机构应当对申请人提供的证明身份的有关材料进行查验，并审查相关材料，撤销电子认证证书时，应予以公告。”

3.电子认证法律关系

电子认证中涉及多方当事人，包括电子认证证书申请人（通常是电子签名人）、证书信赖人（通常是电子签名依赖方）、电子认证服务提供者，同时相应的国家行政机关，主要是国务院信息产业部门要对电子认证机构及电子认证服务进行监管。电子认证的参与主体之间形成了多种法律关系，其中电子认证服务提供者与证书申请人之间是合同法律关系，根据《电子认证服务管理办法》第22条的规定：“电子认证服务机构受理电子签名认证申请后，应当与证书申请人签订合同，明确双方的权利义务。”电子认证服务机构与证书信赖人之间虽然不存在合同法律关系，但是通说认为认证机构与信赖方之间属于根据法律规定产生的信赖利益关系。而证书申请人与证书信赖人之间的法律关系要看双方的基础法律行为，如双方进行商品或者服务的交易，则成立买卖法律关系。

1）电子认证机构的法律义务

（1）保证义务。

根据《电子签名法》第22条，《电子认证服务管理办法》第18条，电子认证机构有两项义务：一是保证电子签名认证证书内容在有效期内完整、准确；二是保证电子签名依赖方能够证实或者了解电子签名认证证书所载内容及其他有关事项。

（2）保密义务。

电子认证机构应该遵守国家保密规定，建立保密制度，对电子认证过程中获取的证书申请人和证书信赖人的资料负有保密义务。

（3）公示和告知义务。

电子认证机构在开展电子认证服务前要在互联网上公示相关信息，包括机构名称和法定代表人、机构住所和联系办法、《电子认证服务许可证》编号、发证机关和发证日期、《电子认证服务许可证》有效期的起止时间。电子认证机构对证书更新或者撤销的，也要在互联网上予以公告。

电子认证机构在受理证书申请人的申请之前，要告知电子签名认证证书和电子签名的使用条件、服务收费的项目和标准、保存和使用证书持有人信息的权限和责任、电子认证服务机构的责任范围、证书持有人的责任范围等事项，这即是电子认证机构的告知义务。

（4）妥善保存与认证相关的信息义务。

根据《电子签名法》第24条的规定，认证机构信息保存期限至少为电子签名认证证书失效后五年。

（5）暂停、终止认证服务后的报告、交接义务。

认证机构暂停或者终止电子认证服务的，要在暂停或者终止服务60日前向国务院信息产业主管部门（工业和信息化部）报告，并与其他电子认证服务机构就业务承接进行协商，作出妥善安排，如双方无法达成承接协议，应当申请工业和信息化部安排其他电子认证服务机构承接其业务。认证机构终止服务的，要办理《电子认证服务许可证》注销手续，并且持工业和信息化部的相关证明文件向工商行政管理机关申请办理注销登记或者变更登记。认证机构应在暂停或者终止服务90日前将业务承接及其他事项告知证书申请人、证书信赖人等有关各方。

2）电子认证机构的法律责任

（1）民事责任。

我国《电子签名法》第23条的规定：“电子签名人或者电子签名依赖方因依据电子认证服务提供者提供的电子签名认证服务从事民事活动遭受损失，电子认证服务提供者不能证明自己无过错的，承担赔偿责任。”从法条可以看出《电子签名法》对于电子认证服务提供者规定的是过错推定责任，这是因为电子认证服务关系着电子商务交易主体的交易安全、个人隐私、商业机密等，这种行业特殊性质和业务风险，使得对认证机构的责任要求更为苛刻。

（2）行政责任。

电子认证机构未按照法律规定履行向国务院信息产业主管部门的报告义务、未妥善保存与认证有关信息、不遵守认证业务规则、申请许可认证提供虚假材料或者隐瞒真实情况或者其他违法行为的，要承担行政责任，承担行政责任的形式包括警告、罚款、没收违法所得等。

3）电子认证申请人的法律义务

电子签名人一般都会对其电子签名进行认证，所以《电子签名法》、《电子认证服务管理办法》只对电子签名人作为认证申请人规定了义务和责任。

（1）提供真实信息义务。

《电子签名法》第23条规定：“电子签名人向电子认证服务提供者申请电子签名认证证书，应当提供真实、完整和准确的信息。”这意味着申请人如果为自然人的，要提供有关其身份信息的证明；申请人是法人或者其他组织的，应提供企业法人营业执照、名称、地址、法定代表人等信息。

（2）妥善保管义务。

电子签名人在证书有效期间要妥善保管电子签名制作数据，防止其私钥被第三方知晓。

（3）通知义务。

通知义务指的是电子签名人知悉电子认证证书已经失密或者可能已经失密时，应当及时告知电子认证机构、证书信赖方等有关各方，并终止使用该证书，并申请认证机构撤销认证证书。

4）电子认证申请人的法律责任

《电子签名法》第27条规定了电子签名人的过错赔偿责任，即电子签名人在证书有效期内，如果违反其义务规定，在电子签名制作数据已经失密或者可能已经失密时，未及时告知有关各方并终止使用电子签名制作数据，未向电子认证服务提供者提供真实、完整和准确的信息，或者有其他过错，给电子签名依赖方、电子认证服务提供者造成损失的，承担赔偿责任。

5）证书信赖方的法律义务和责任

证书信赖方指的是基于对电子商务交易相对方的电子认证证书的信赖而从事有关活动的人。《电子签名法》和《电子认证服务管理办法》没有对证书信赖方的义务作明确规定，但是根据民法的基本精神，我们认为作为证书信赖方其有义务采取合理步骤确认签名的真实性，要遵守有关证书的限制，并且经过合理查证后，信赖方未发现签名或者证书是无效的，应对该签名或者证书予以接受。

4.电子认证目前存在的法律问题

1）认证机构庞杂，交叉互认尚无明确法律法规

根据工信部发布的《电子认证服务业“十二五”发展规划》指出：“截至2010年年底，获得工业和信息化部许可的电子认证服务机构共30家，分布在全国21个省区市，总资产规模达到20.1亿元，销售收入达到13.2亿元，有效数字证书总量达到1530万张，其中机构证书、个人证书、设备证书分别为730万张、790万张、1万张。”如此多的认证服务机构相互间并无统一的认证标准，彼此颁发的认证证书尚没有实现无阻碍互认。比如电子支付环节申请网上银行账户的，都要使用电子签名，而各银行都会提供自己的数字认证，并且对其他银行的认证排斥使用，这就导致了一个身份，需要好几个认证，这种重复认证无疑给电子商务主体带来了成本和管理上的负担，CA认证条块分割的局面必然会影响电子商务本身具有的高效性和便捷性。所以不同认证机构颁发的证书实现互通是必然要求，这就要求不同的认证机构的用户可以相互识别对方的证书，减少不必要的重复认证，实现不同机构办法证书的互通主要依靠交叉互认，虽然目前《电子签名法》、《电子认证服务管理办法》对认证服务做了相关规定，但是关于交叉互认尚无具体的法律规定。

2）电子认证缺乏统一标准，网络安全事件频发

2011年10月份淘宝网爆发了轰动一时的“被捐款”事件，大量的网民在论坛里发帖称“支付宝用户莫名其妙‘被捐款’”，很多支付宝用户的账户显示捐款给“绿化基金会”，捐款数额从几毛钱到几千块钱不等，引发了支付宝用户对网络支付的担忧。事件发生的一段时间后，支付宝就支付宝用户被捐款事件作出了回应，称将如数返还支付宝用户被捐的款项，并且梳理了几项安全支付须知，其中包括合理使用数字证书、支付盾、宝令等安全产品，呼吁用户提高安全意识。

该事件的直接凸显的是电子商务中支付环节存在的问题，但是其本质是电子认证现状令人堪忧。此次被捐款事件被怀疑是由木马、钓鱼网站等恶意攻击，导致的账户密码泄露。支付宝为了保障支付安全，设立了支付盾与支付宝账户关联，用户在电脑上插入与支付宝账户相匹配的支付盾才能对资金进行支付、转账等操作，否则只能进行查询。支付盾内设置了微型智能卡处理器，其中涵盖了与用户身份认证、账户安全息息相关的数字证书等内容。电子商务的发展带来了身份盗用、交易诈骗、钓鱼网站等安全问题，从本质上讲都涉及到电子认证，网络安全事件呼唤电子认证规范和标准的统一。目前我国还没有统一电子认证服务标准的具体法律法规，根据工信部《电子认证服务业“十二五”发展规划》的精神，下一步我国将加强电子认证服务标准法律规范体系建设，希望届时能够对目前法律没有规定的电子认证服务标准如何统一以及对电子认证服务机构怎样进行规范管理、其权利义务有哪些、法律责任有何限制等问题予以明确规范。