电子认证机构的设立与管理

第二节　电子认证机构的设立与管理

一、认证机构的定义

认证机构(CA)是能够签发数字证书，并确认用户身份，由交易双方信赖的，居于第三方地位的中介机构，在电子商务中具有特殊的地位。它是为了从根本上保障电子商务活动顺利进行而设立的，主要解决电子商务活动中参与各方的身份认定，维护交易安全。

关于认证机构的法律定义，联合国贸法会在其《统一电子签名法规则》第一条中规定:“认证机构，是指任何人或实体，在其营业中从事以电子签名为目的，而颁发与加密密钥相关的身份证书。”新加坡在其《电子交易法案》第二条中规定:“认证机构是指颁发数字证书的人或组织。”德国《多媒体法》中的第3章《数字签名法》对认证机构的定义为:“本法所称认证机构，为一能证明公开金钥与一自然人间之配属关系，并持有第4条规定之许可之自然人或法人。”美国犹他州《数字签名法》对其定义则为“可签发证书的自然人或任何组织，而无论系法律或事实上足以签署文件者。”日本《认证机构指南》将之定义为“验证申请人公开金钥、签发证书及寄送证书、登记及管理申请人公钥、制作及管理认证机构本身金钥、登记及管理证书废止、实行交互认证及与其他认证机构联系之自然人或组织”。

我国《电子认证管理办法》第二条规定:“本办法所称电子认证服务提供者，是指为电子签名人和电子签名依赖方提供电子认证服务的第三方机构”。

二、认证机构的特点

作为提供信用服务的认证机构，在电子商务中的具有特殊地位，应当具备如下特点:

1.中立性与可靠性

认证机构独立于交易双方，在交易过程中，不代表任何一方的利益，它仅以中立机构的身份提供信用服务。中立性与可靠性，是认证机构参与并促成电子商务交易的重要保证。

2.权威性

权威性是一个认证机构所必须的，否则其签发的电子认证证书就无公信力，该认证机构就失去了存在的意义。权威性主要来自于两方面，其一来自认证机构本身的服务，依靠给用户提供值得信赖的信息，逐步提高自己的权威性。其二来自认证机构的地位，政府机关或主管机关核准设立的认证机构，权威性更易于实现。

3.真实性

认证机构提供的认证服务是进行电子交易所必需的前提条件，因此它所提供的各种信息必须真实、完整、准确，严禁为客户提供虚假信息。

4.安全性和机密性

认证机构的安全性是人们信赖它的主要原因之一。为保证其安全性，认证机构须采用相当程度的安全技术及配套设备，有效地防范黑客对认证系统及资料的非法存取或入侵。

同时，认证机构掌握了大量的电子签名人的个人信息和隐私资料，其工作人员应当具有良好的职业道德，保证信息不会泄露给任何非授权个人或实体。

三、认证机构的设立与终止

鉴于认证机构在电子认证服务活动中所占据的核心地位，它的设立是电子认证制度中的重要一环，各国法律大都对此进行了相应的规定。

(一)认证机构的设立方式

对认证机构的设立各国依据其不同国情采取了不同的方式，总体来看主要有特许制、批准制及备案制。

特许制也称强制许可制度，属政府主导型，是最严格的设立方式。由政府相关的审批机构制定要件，并在申请者提出申请后，进行严格审查，决定是否核准其成立。多数发展中国家，由于市场发展不完善，加之技术资金等方面的限制，采取政府干预方式，以促进和保障本国电子认证体系的建立。韩国、日本在认证机构的设立上也采用了此种方式。

批准制，属政府引导型，是一种弱限制方式。审批机构可依据国家政策和当前需要制定一系列要件，提出申请者如符合要件要求，便可批准其成立。采用这种方式管理认证机构的国家大多规定了自愿认可制度，认证机构并不一定要取得许可，但经政府许可的认证机构可享受责任限额等优惠条件。政府对认证机构管理只实行有限介入，不进行全面干预。例如，新加坡《电子交易法》规定，只要认证机构的电子证书载明标准并符合一般认证原则，均可承认。但安全认证机构可以自愿向管理机构申请许可，虽然管理机构的许可并不妨碍安全认证机构进入市场，但是得到许可的安全认证机构可以享受某种“优惠”，尤其是可以享受法律规定的责任限制。

备案制，属主管机关权限最弱的方式。从业者只需向审批机构履行备案手续即可。该方式奉行政府不介入，不干预，让认证机构通过行业自律，在市场竞争中建立信用。这是市场自由、技术中立原则的充分体现。采用这种模式的国家主要是欧盟各国，欧盟《电子签名指令》第3条规定:“成员国不得为证书服务规定任何事先授权。成员国可以为提高证书服务引进或维持一套自愿认可的方案，……”

我国《电子签名法》第十八条规定:“从事电子认证服务，应向国务院信息产业主管部门提出申请，并提交符合本法第十七条规定条件的相关材料。国务院信息产业主管部门接到申请后经依法审查，征求国务院商务主管部门等有关部门的意见后，自接到申请之日起四十五日内作出许可或不予许可的决定。予以许可的，颁发电子认证许可证书;不予许可的，应当书面通知申请人并告知理由。”

由此可见我国现阶段认证机构的设立方式采取的是政府主导的强制许可制.采纳强制许可制的主要理由是:当前我国市场经济体系不够完善，第三方认证体系尚未完全建立，社会信用制度不健全，电子商务与信息化发展不均衡，其安全性还有待提高，在这种大环境下，为保障电子商务的健康发展，采取行政许可模式是与我国目前基本国情相适应的，有利于电子认证行业的市场培育和发展。但事实上，就电子认证制度来说关键之处在于怎样在电子认证机构设立之后，提供其认证服务的质量、信誉，从而为电子商务市场的有序发展提供安全保障，强制许可制在提高电子认证机构进入电子认证市场的同时，并未就后续的认识服务法律制度进行全方位的规范。这种只提高进入门槛而不注重日常服务规范、管理、监督和后续法律责任细化的做法，并不能够从根本上提高电子认证机构的服务信誉，相反，它极有可能造成大量的许可寻租，从而导致在电子认证服务市场中“劣币驱逐良币”的效应。

(二)认证机构设立的条件

认证机构从事电子认证服务应具备实质要件和形式要件两方面的条件，我们以实质要件为主加以讨论。

1.实质要件

认证机构申请从事电子认证服务时，需要满足一定的审批条件，政府主管部门需要从主体资格、从业人员、设备、场所、资金等方面进行审查。

(1)主体资格

认证机构需要具有从事信用服务的素质和资格，又要承担因认证业务而产生的财产责任，因此对其发起人应有一定要求。各国和地区根据自身情况进行相关规定，大部分国家的法律只允许法人机构作为认证机构的发起人;而有些国家和地区的法律则规定，无论法人或个人，均可成为认证机构的发起人.如美国犹他州规定，自然人与法人，均可成为认证机构的发起人，不过作为发起人的自然人，仅限于从事律师及公证业务的专业人员，并非无任何限制。

从我国目前情况看，自然人不适宜作为认证机构的发起人，因为自然人承担财产责任的能力，一般不如法人机构，另外，自然人的生老病死，都会影响到业务的稳定。虽然《电子签名法》中对此项未做明确规定，但《电子认证服务管理办法》第五条规定“电子认证服务机构应当具有独立的企业法人资格”，可见我国目前设立的认证机构都是独立的法人机构，不允许自然人作为认证机构的发起人。

(2)从业人员

认证机构所从事的业务是一项具有高技术含量的工作，要求从业的技术人员应当具备认证工作所必须的技术水平和素质。同时，由于认证工作涉及审查客户资料，并签发证书，关系贸易活动的安全，要求从业人员具有良好的品质。对从业人员的要求是认证机构安全运作的必要条件，法律一般对从业人员规定严格的技术条件和素质条件，有些国家还设立了从业禁止条件，防止因内部从业人员的行为危害电子商务活动的安全。例如美国犹他州电子签名法中规定从业人员不得有重大犯罪的前科或犯有其他欺诈、虚伪陈述或欺骗等罪行。

我国《电子签名法》第17条中规定，提供电子认证服务，应具有与提供电子认证服务相适应的专业技术人员和管理人员。

(3)设备要求

认证机构所需设备包括硬件和软件两个方面。认证工作对专业技术的要求很高，为了满足需要，认证机构所使用的设备必须是质量合格并合法使用。信息产业发展迅速，技术与产品都在不断更新升级，因此不宜以法律形式对其做具体规定，其标准应由主管部门根据技术发展现状作出要求。认证系统的软件须经相应的政府安全机构检验。

我国《电子签名法》第十七条中规定，提供电子认证服务，应具有符合国家安全标准的技术与设备，应具有国家密码管理机构同意使用密码的证明文件。

(4)场所和资金

认证机构的营业场所，通常与其业务进行地是一致的。认证机构是一种在线信息服务，其场所可不在业务开展地，但政府部门为了便于对其行使管辖权，一般会要求营业场所固定存在。我国目前所设立的认证机构，都存在固定的营业场所。

认证机构可能会由于认证活动的失误等给当事人造成损失，而这种损失的数额可能是相当大，这就需要认证机构有一定规模的资金，能够承担相应的责任。

我国《电子签名法》第17条中规定，提供电子认证服务，应具有与提供电子认证相适应的资金和营业场所。在资金方面，《电子认证服务管理办法》更明确规定:“注册资金不低于人民币三千万元。”

2.形式要件

形式要件是提供认证服务之前必须履行的有关程序，我国《电子签名法》主要规定，申请人向国务院信息产业主管部门提交申请，提交符合第十七条规定的有关文件，信息产业部依法审查并作出许可后，向申请人颁发电子认证许可证书;申请人持许可证向工商行政管理部门办理企业登记手续;最后，获得认证资格的机构在互联网公布其名称、许可证号等信息。

(三)认证机构的终止

认证机构是一个营业性实体，它所从事的信用服务，是一般交易的基础条件，涉及商业交易的通畅与安全。认证机构一旦终止其业务，它过去签发的证书的有效性就无法再由其给予证明，这将会给证书持有气和证书依赖方带来不便或损害。因此，认证机构的不间断运作与社会公众的利益密切相关，其业务终止，不像一般营利性企业一样，在清算之后完全结束，而应作出必要的预先安排和相应程序，建立使其营业持续进行的机制。一般应包括:(1)事前通知。在终止认证机构之前，必须通知用户和潜在依赖方;同时报告主管机关。(2)安排业务承接。为了提供不间断的认证机构服务，终止的认证机构可与其他认证机构就业务承接进行协商，妥善安排。

对认证机构终止作出相关规定，可以为认证机构客户的利益提供确实保障，是十分必要的。许多国家对此都进行了严格的规定。日本《电子签章与认证服务法》第10条规定:“认证机构终止其经许可之认证服务时，应依主管机关之行政命令，事先向主管机关申报，而主管机关应将该认证机构申报之事实公告周知。”①德国《信息与通信服务法》第11条规定:“(1)认证机构一旦停止业务，即应在尽早时间内通知主管机关，并确保在停止业务时有效的证书由另一认证机构接手或被撤销;(2)应将有关文件移交给接收的认证机构或提交给主管机关;(3)如申请破产或中断，应毫不迟延地通知主管机构。”。

我国《电子签名法》第二十三条对该问题也进行了规定，电子认证服务提供者拟暂停或终止电子认证服务的，应当在暂停或终止服务九十日前，就业务承接及其他有关事项通知有关各方;应当在暂停或终止服务六十日前向国务院信息产业主管部门报告，并与其他电子认证服务提供者就业务承接进行协商，作出妥善安排。认证服务提供者未能就业务承接事项与其他电子认证服务提供者达成协议的，应当申请国务院信息产业主管部门安排其他电子认证服务提供者承接其业务。

四、认证机构的监督管理

认证机构提供的信息服务不同于单纯的商事交易，它在电子交易中起着重要作用，为了维护认证机构安全运营，应对其进行必要的监管。“一般来说，各个国家都由某部门统一负责认证机构的监管，目的在于确保认证机构能够维持足够的能力来履行其义务和承担责任。”^[5]这种监督和管理主要体现在制定规范、业务监管和自身风险防范三个方面。

(一)制定规范

认证机构的业务开展有赖于采用的技术和服务标准，如果各认证机构各自为政，自我发展，在技术上没有统一的标准，很难实现其兼容性，从而使电子认证变得无法实施。政府主管部门可规定统一的技术方案，并规范不同级别的认证机构的电子认证标准及程序。

我国信息产业部电子认证服务管理办公室，为了规范电子认证业务规则的基本框架、主要内容和编写格式，根据当前电子认证系统大多采用基于非对称密钥的PKI技术的现状，参考国家标准化部门的相关标准，于2005年4月编制了《电子认证业务规则规范(试行)》。要求电子认证服务机构应参照该规范，结合电子认证业务的具体情况，编制电子认证业务规则。

(二)业务监管

监管机构应定期对认证机构进行检查，并被允许在营业时间进入认证机构的工作地点进行现场核查;应及时统计认证机构的相关信息;对认证机构不遵守认证业务准则或有其他违法行为的，监管机构有权按照法律法规的规定对认证机构予以行政处罚，直至吊销其从事认证活动的营业执照。

我国《电子签名法》规定:“国务院信息产业主管部门依照本法制定电子认证服务业的具体管理办法，对电子认证提供者依法实施监督管理。”

(三)风险防范

认证机构是颁发电子认证证书的实体，它是防御电子交易风险的产物，但其本身也出于风险之中。电子认证机构所面临的交易风险主要有:(1)运用技术过失导致数字记录的丢失，致使需求方所得到的信息不完整或者不真实;(2)对信息未作严格审查进而导致信息含有虚假车数，第三人信赖其陈述，并给予该被信赖的信息展开交易，其后果将导致对认证机构的信任度降低;(3)未经合理适当的辨别就终止或撤销证书;(4)由于服务器的故障或周期性离线修正而导致认证服务中断;(5)内部人员即认证机构有权访问认证证书数据库的人员制作虚假证书或涂改证书记录;(6)外部人员使用各种侵入方法非法修改认证机构的通用协议;(7)作为网络服务机构的认证机构，随着技术的更新，其服务难以长期维持，而某些长期证书的管理却需要其必须一直坚持下去，不能中断，等等。

防范认证机构自身在认证服务过程中出现的各种风险，不仅仅需要参与认证各方的多方参与和努力，更为重要的是，认证机构自身应当建构起一个有效的融合技术判断、制度建构于一体的风险防范体系，而不是被动地听任认证风险的发生，充当消防员的角色，这就意味着除了认证机构以及相关参与方的努力之外，国家有义务就与电子认证所产生的风险及其分配、各种责任主体及其责任承担机制，确保电子认证安全的信息基础设施的改进和提高等问题上，制定相应的法律规范，确保电子认证机构在提供认证服务的过程中，尽到最大善意，注意义务，采取有力措施，防范各种风险的发生;确保电子认证信赖方因信赖电子认证而发生不利于己的风险降到最低。