电子认证服务管理办法

　　根据中国电子学会《2004年中国电子认证服务业发展研究报告》，从1998年5月17日我国有了第一家电子认证服务机构开始，目前已超过100家，但有效发证的机构不超过50家;按照国家密码管理委员会办公室对CA中心使用密码审批的要求，2004年底，有22家被批准立项，10家通过技术鉴定;在资本来源上，其中35%为纯国有资本，5%为纯民营，多种成分占60%;它们的注册资金为：8000万到一亿有1家，其余的基本在2000万以下，建设资金基本在1500-3000万，多数在1500-2000万之间;其中盈利的电子认证机构占5%，不盈利的95%;各认证机构签发证书的数量不等，少的1000张，多的60万张;其中免费证书占22%，收费证书占78%，个人证书占24%;机构证书占75%，设备证书占1%，电子政务领域的证书占80%;各认证机构员工在30-55人之间，其中开发人员占26%，运营维护人员占14%，安全管理占11%，客户服务占12%，市场营销占24%，其他占13%。

　　从以上数据可以看出，经过几年的发展，我国已经有了一批的电子认证服务机构，它们正在我国电子政务、电子商务中扮演着越来越重要的角色，同时自身也在不断完善、得到发展壮大。但我们也必须看到，目前我国电子认证服务机构还是存在着一些问题，尤其在电子签名法和电子认证服务管理办法出台前，一些问题还比较突出，比如:在建设上有一定的盲目性，造成重复建设和资源浪费。我国电子商务还需要一个发展的过程，同时我国经济发展不平衡，沿海地区和中西部地区对电子商务需求不同，因而电子商务认证机构的所能发挥的作用就不一样。一些盲目设立电子商务认证机构的做法，不仅发挥不了作用，认证机构本身也难以维持;

　　对于电子认证服务，其在电子商务及信息化发展中起着非常关键的第三方认证和安全服务的作用，同时它又是一个崭新的行业，其准入条件、运营规范、权利义务、法律责任等都需要得到明确，需要有一系列详细的、可操作性强的条款的规定，而这些显然无法全部纳入一部简练的电子签名法之中。并且，由于关系到电子认证服务机构准入条件、运营规范、权利义务的规定会涉及很多行政管理的具体内容，也不便在一部法律中做出过细的规定。所以，一部紧紧围绕电子签名法的以全面规范电子认证服务为核心的实施细则的出台就成了电子签名法出台后我国电子商务立法的重中之重，或者说，只有在一部关于电子签名法的实施细则中将电子签名法未具体规定的内容予以明确，才能使这部电子签名法具备可操作性，在这样的情况下，依照《电子签名法》的授权，信息产业部于2005年2月8日颁布了《电子认证服务管理办法》(信息产业部部令35号)，《电子签名法》和与之配套的《电子认证服务管理办法》的实施，将对电子认证服务机构依法经营产生积极的促进作用。

　　《电子认证服务管理办法》以电子认证服务机构为主线，主要规定了电子认证服务许可证的发放和管理、电子认证服务行为规范、暂停或者终止电子认证服务的处置、电子签名认证证书的格式和安全保障措施、监督管理和对违法行为的处罚等内容，以解决电子认证服务行政许可的实施和电子认证服务机构的监督管理问题，从而保证《电子签名法》的顺利施行。《电子认证服务管理办法》共八章四十三条，包括总则、电子认证服务机构、电子认证服务、电子认证服务暂停和终止、电子签名认证证书、监督管理、罚则、附则。

　　总体来看，《电子认证服务管理办法》主要内容以落实电子签名法、规范电子认证服务机构的设立与运营，明确

电子签名中各方的基本义务，促进我国电子商务和信息化事业健康有序发展为根本目的。比如，在电子签名法的第十七条、第十八条、第十九条、第二十一条、第二十三条、第二十六条中，分别从提供电子认证服务应具备的条件、申请电子认证服务的程序、电子认证业务规则、电子认证证书的内容、电子认证服务暂停和终止的程序、境外电子认证证书的认可等方面作出了规定，但都没有穷尽，提供电子认证服务应具备的具体条件、申请电子认证服务的具体程序、电子认证业务规则的内容要求、电子认证证书的具体内容、电子认证服务暂停和终止的具体程序、境外电子认证证书认可的程序等都待于进一步明确，而这些就是《电子认证服务管理办法》的核心内容。

　　除落实电子签名法外，该《电子认证服务管理办法》所依据的基本原则还有：

　　强调安全保障的原则。电子签名除确认交易者身份外，另一个重要的功能就是保障交易及信息传递的安全，或者说其本身就是现代网络安全技术在电子商务及信息化领域应用的一个典范。同时，电子认证服务机构还掌握着大量的信息，承担着重要的第三方认证的功能，所以，在开展电子认证服务中首先强调电子认证服务机构自身的安全是非常重要的，只有安全的电子认证服务机构才能提供安全的电子认证服务，才能进一步保障电子商务和信息化的安全。而电子认证服务机构的安全包括物理的安全、技术与设备的安全、安全保障措施、管理系统的安全等多个方面，都需要在法律法规层面上提出具体的要求，只有在严格执行这些条款的基础上，才能充分发挥电子认证服务机构的作用。具体地说，该管理办法对认证机构的3000万元注册资金的要求就是强调其安全性的一个表现。

　　贯彻技术中立的原则。我们注意到，在电子签名法中，为了不使法律条文受制于具体的技术细节并防止固化的法律条文对技术发展的多样性造成阻碍，尽量回避了那些只在特定技术中才应用的术语，如公钥、私钥等，而以电子签名制作数据和电子签名验证数据取代之，应该说，这样的做法是比较科学且有利于法律的前瞻性的。在该管理办法中，也延续了这种精神，尽量回避了那些只在特定技术中才应用的术语，以确保不同的电子签名和电子认证都可以适用这部暂行办法的规定。