一、制定电子认证服务管理办法的必要性

    2004年8月28日，十届全国人大常委会第十一次会议表决通过《中华人民共和国电子签名法》，首次赋予可靠的电子签名与手写签名或盖章具有同等的法律效力，并明确了电子认证服务的市场准入制度。《中华人民共和国电子签名法》是我国第一部真正意义的电子商务法，是我国电子商务发展的里程碑，它的颁布和实施必将极大地改善我国电子商务的法制环境，促进安全可信的电子交易环境的建立，从而大力推动我国电子商务的发展！

    当然，我们不能期待一部篇幅有限的电子签名法解决所有的电子商务法律问题，它还需要实施细则和配套法规、部门规章、地方法规规章乃至行业性规范的支撑，必要的时候，还需要其他电子商务法律的配合，以形成我国的电子商务法律体系。尤其是对于电子认证服务，其在电子商务及信息化发展中起着非常关键的第三方认证和安全服务的作用。同时，它又是一个崭新的行业。其准入条件、运营规范、权利义务、法律责任等都需要得到明确，需要有一系列详细的、可操作性强的条款的规定，而这些显然无法全部纳入一部简练的电子签名法之中。并且，由于关系到电子认证服务机构准入条件、运营规范、权利义务的规定会涉及很多行政管理的具体内容，也不便在一部法律中做出过细的规定。所以，一部紧紧围绕电子签名法的以全面规范电子认证服务为核心的实施细则的出台就成了电子签名法出台后我国电子商务立法的重中之重。或者说，只有在一部关于电子签名法的实施细则中将电子签名法未具体规定的内容予以明确，才能使这部电子签名法具备可操作性，而这也正是电子签名法第二十五条、第十八条、第二十一条、第二十三条、第二十六条的具体要求。

二、我国电子认证服务的现状

    根据中国电子学会《2004年中国电子认证服务业发展研究报告》，从1998年5月17日我国有了第一家电子认证服务机构开始，目前已超过100家。但有效发证的机构不超过50家；按照国家密码管理委员会办公室对CA中心使用密码审批的要求，2004年底，有22家被批准立项，10家通过技术鉴定；在资本来源上，其中35%为纯国有资本，5%为纯民营，多种成分占60%；它们的注册资金为：8000万到一亿有1家，其余的基本在2000万以下，建设资金基本在1500-3000万，多数在1500-2000万之间；其中盈利的电子认证机构占5%，不盈利的95%；各认证机构签发证书的数量不等，少的1000张，多的60万张；其中免费证书占22%，收费证书占78%，个人证书占24%；机构证书占75%，设备证书占1%，电子政务领域的证书占80%；各认证机构员工在30-55人之间，其中开发人员占26%，运营维护人员占14%，安全管理占11%，客户服务占12%，市场营销占24%，其他占13%。

    从以上数据可以看出，经过几年的发展，我国已经有了一批的电子认证服务机构，它们正在我国电子政务、电子商务中扮演着越来越重要的角色，同时自身也在不断完善、得到发展壮大。但我们也必须看到，目前我国电子认证服务机构还是存在着一些问题，尤其在电子签名法和电子认证服务管理办法出台前，一些问题还比较突出，比如:

    在建设上有一定的盲目性，造成重复建设和资源浪费。我国电子商务还需要一个发展的过程，同时我国经济发展不平衡，沿海地区和中西部地区对电子商务需求不同，因而电子商务认证机构的所能发挥的作用就不一样。一些盲目设立电子商务认证机构的做法，不仅发挥不了作用，认证机构本身也难以维持；
对电子商务认证机构的作用认识不足。电子商务需要身份认证，是由网络化带来的信任问题引起的。在网络上，为了完成交易，交易双方的身份必须通过第三方得到确认，电子商务认证机构便由此产生了。电子商务中的身份认证并不是政府部门行使行政管理的手段，而应由企业遵循政府的指导意见或政策性指南，按照市场需求和规范来运作。而一些机构不顾需求，将设立认证机构作为一种形象工程，按照事业性单位的方式管理，错误的认为认证机构可以执行某种行政职能，并能依此而产生经济效益；
低估电子商务认证机构运行的难度，缺乏必要的规章制度。电子商务认证机构要维持其运作，就要有相应的用户规模，用户要相信认证机构提供的数字身份证是可靠的，这就不仅要有相应的安全保证和严格的管理规章，还要有经济方面的支持，大量的资金投入才能保证认证机构的长期运行和其安全性。而国内很多电子商务认证机构投入资金有限，因而达不到需要的安全标准，且后续运营资金无保障，可信性和权威性也就打了折扣，还有的认证机构缺乏完善的内部管理规章制度和业务流程控制。

三、《电子认证服务管理办法》的基本原则

    依照《电子签名法》的授权，信息产业部于2005年2月8日颁布了《电子认证服务管理办法》（信息产业部部令35号），《电子签名法》和与之配套的《电子认证服务管理办法》的实施，将对电子认证服务机构依法经营产生积极的促进作用。

    《电子认证服务管理办法》以电子认证服务机构为主线，主要规定了电子认证服务许可证的发放和管理、电子认证服务行为规范、暂停或者终止电子认证服务的处置、电子签名认证证书的格式和安全保障措施、监督管理和对违法行为的处罚等内容，以解决电子认证服务行政许可的实施和电子认证服务机构的监督管理问题，从而保证《电子签名法》的顺利施行。《电子认证服务管理办法》共八章四十三条，包括总则、电子认证服务机构、电子认证服务、电子认证服务暂停和终止、电子签名认证证书、监督管理、罚则、附则。

    总体来看，《电子认证服务管理办法》主要内容以落实电子签名法、规范电子认证服务机构的设立与运营，明确电子签名中各方的基本义务，促进我国电子商务和信息化事业健康有序发展为根本目的。比如，在电子签名法的第十七条、第十八条、第十九条、第二十一条、第二十三条、第二十六条中，分别从提供电子认证服务应具备的条件、申请电子认证服务的程序、电子认证业务规则、电子认证证书的内容、电子认证服务暂停和终止的程序、境外电子认证证书的认可等方面做出了规定，但都没有穷尽。提供电子认证服务应具备的具体条件、申请电子认证服务的具体程序、电子认证业务规则的内容要求、电子认证证书的具体内容、电子认证服务暂停和终止的具体程序、境外电子认证证书认可的程序等都待于进一步明确，而这些就是《电子认证服务管理办法》的核心内容。

除落实电子签名法外，该《电子认证服务管理办法》所依据的基本原则还有：

     强调安全保障的原则。电子签名除确认交易者身份外，另一个重要的功能就是保障交易及信息传递的安全，或者说其本身就是现代网络安全技术在电子商务及信息化领域应用的一个典范。同时，电子认证服务机构还掌握着大量的信息，承担着重要的第三方认证的功能，所以，在开展电子认证服务中首先强调电子认证服务机构自身的安全是非常重要的，只有安全的电子认证服务机构才能提供安全的电子认证服务，才能进一步保障电子商务和信息化的安全。而电子认证服务机构的安全包括物理的安全、技术与设备的安全、安全保障措施、管理系统的安全等多个方面，都需要在法律法规层面上提出具体的要求，只有在严格执行这些条款的基础上，才能充分发挥电子认证服务机构的作用。具体地说，该管理办法对认证机构的3000万元注册资金的要求就是强调其安全性的一个表现。

     实现平稳过渡的原则。我国电子签名法的出台是在国内已经有了一百多家电子认证服务机构及已发出去几百万张数字证书之后的，这些认证机构有行业的、区域的，也有市场化的；这些数字证书有发给企业的、个人的，也有发给服务器的，那么我们的这部签名法如何面对这些“既成事实”就成了我们这部暂行办法要面对的另一个问题。在对待该问题上，我们认为应当遵循尽量实现平稳过渡、充分利用现有资源的原则，给予现有电子认证机构从2005年4月1日到9月30日的半年的“过渡期”，只要是符合电子签名法和电子认证服务管理办法规定的电子认证服务机构，应该可以很快得到相应的许可。而这部管理办法中为电子认证服务机构所设定的“门槛”对于一个正常经营的电子认证服务机构来说应该是不高的，是其正常运行所必需的。

    政府许可与行业自律相结合的原则。如果我们把目前国际上在对电子认证服务机构的管理上分为三种，即通过登记许可政府集中管理的模式、完全市场化运作的模式和行业自律的模式的话，那么我国依照电子签名法执行的应该是一种通过登记许可政府集中管理的模式，我们认为这是在目前我国市场经济体系不够完善、有效的信用制度及第三方认证体系尚未建立、电子商务与信息化发展很不均衡及安全性有待提高的大环境下做出的明智选择，是符合我国目前电子商务与信息化发展环境的。但从发展的角度看，在电子商务等高度市场化的领域中政府管制的程度会越来越低，电子商务的效率会越来越高，而大量的关系就需要市场和当事人自己去调节，所以，如何有机地把目前很现实的通过登记许可政府集中管理模式与将来更多的行业和市场自身调节的模式结合起来，就成了我们需要解决的另一个问题。这种结合，我们认为，按照电子签名法指引的方向可以通过充分发挥电子认证业务规则的作用来实现。因为电子认证业务规则对于电子认证服务机构来说是一个最为重要的规则，基本涵盖了电子认证服务各个方面的重要内容，是从事电子认证服务的指引，而在电子签名法乃至这部管理办法中，也只是对电子认证业务规则的内容做了原则性的要求，具体如何建立一整套完善的电子认证业务规则都要靠行业和企业的自律来实现。所以，在电子认证业务规则这一电子认证服务的关键点上，充分体现了政府许可与行业自律相结合的原则。

    贯彻技术中立的原则。我们注意到，在电子签名法中，为了不使法律条文受制于具体的技术细节并防止固化的法律条文对技术发展的多样性造成阻碍，尽量回避了那些只在特定技术中才应用的术语，如公钥、私钥等，而以电子签名制作数据和电子签名验证数据取代之，应该说，这样的做法是比较科学且有利于法律的前瞻性的。在该管理办法中，也延续了这种精神，尽量回避了那些只在特定技术中才应用的术语，以确保不同的电子签名和电子认证都可以适用这部暂行办法的规定。

    保障电子认证服务的有效性、有序性和连续性的原则。在该办法中，确保电子认证服务的有效性、有序性和连续性是其重要原则之一，也是该办法的核心目标。只有有效、有序、连续的认证服务才能确保电子商务和信息化的安全和健康发展，才能有助于建立全面的虚拟世界新秩序，尤其是电子认证服务的连续性，从长远来看，更是其发展的一个关键环节，关系到广大用户的合法权益和大量电子交易的安全。该管理办法的第四章可以说都是规范这一部分的内容的。

    最后，还有一点需要强调，就是根据我国电子签名法第二十五条：“国务院信息产业主管部门依照本办法制定电子认证服务业的具体管理办法”，而我们这里分析的只是“电子认证服务管理办法”，两者对比少了一个“业”字。据此我们可以看出今后可能还将有一些的相关办法出台，如境外电子认证服务机构颁发的证书的具体认可程序等，而这些办法将形成一个整体，全面规范、促进我国电子认证服务业的发展。