安全认证机构监管缺位 电子签名法亟待细化

　　杨霞清

　　9月25日，参与《电子签名法》起草、研讨、制定的多名专家表示，全国人大刚刚通过的《电子签名法》只是一个开始，要使其更具有可操作性，在明年4月1日《电子签名法》正式实施前出台以规范电子认证服务为核心的实施细则是重中之重。

　　在9月25日的名为“《电子签名法》高级培训班”上，几乎聚齐了《电子签名法》相关人士，全国人大常委会副委员长蒋正华、国务院信息化工作办公室副主任杨学山、信息产业部原党组副书记、常务副部长吕新奎等官员出席会议，全国人大法工委、全国人大财经委、国家商用密码办、国务院信息办政策规划组、国务院法制办工交司等各方面电子签名法的专家都从各自的角度阐述了《电子签名法》的意义和影响。

　　与会的专家表示，作为法律，《电子签名法》只是对电子认证服务管理做了框架性的规定。目前，国际上对电子认证服务的管理有“行业自律型”、“政府许可与行业自律相结合”、“政府主导型”。《电子签名法》明确规定我国将采用“政府主导型”。同日，此次会议的主办者电子商务协会公布了其起草的《电子认证服务管理方法的建议(讨论稿)》。但目前电子认证服务管理具体主管部门尚不清楚。政府将如何对国内存在的70多家电子认证服务机构和已发的上百万张数字证书进行平稳过渡管理？如何规定电子认证服务的法律责任？都是日后关注的焦点所在。

　　认证机构的管理三种模式

　　中国金融认证中心总经理李晓峰给记者描绘了在电子签名流程中认证机构(CA)的作用。在网络上，为了完成交易，交易双方的身份必须通过第三方得到确认，电子商务认证机构由此产生。CA相当于一个权威可信的中间人，它的职责是核实使用者的身份，负责电子证书的发放管理，及时公布无效的证书。如果CA机构不安全，或者发放的证书不具备权威性、公正性和可信赖性，那么网上交易的可信性就无从谈起。

　　据全国人大财经委经济法案室处长钟真真说，鉴于认证机构的重要作用，法律委在一审议《电子签名法》时，很多专家提出把认证机构单列一章，认为目前对认证机构的规范很薄弱。“今后电子商务能否很好的发展，认证机构是一个关键。”

　　在电子签名法出台之前，国内已经有了70多家的电子认证服务机构及已发出去上百万数字证书，这些认证机构有行业的、区域的，也有完全市场化的；数字证书包括发给企业、个人和发给服务器的。电子签名法出台后，如何对待这些“既成事实”？如何规范和管理现有的70多家认证机构？是否应该抬高电子认证机构市场准入的门槛？在《电子签名法》中都没有具体的解决方案。

　　全国人大法工委经济法室处长刘左军介绍，对电子认证机构的管理，在审议过程当中有两种意见，一是根据发达国家的经验，发挥市场引导和行业自律，依靠市场竞争促使认证机构提高认证服务质量和信誉，政府不应过多的介入；第二种意见是为了认证机构的管理关系到整个电子交易的公正性和安全性，如果政府不管的话，会出乱子，应加强政府的主导作用。

　　刘左军说，审议时研究了国外的情况，大概分为三种模式，一是强制性许可制度。如韩国、日本、德国、马来西亚以及我国台湾和我国香港。这些国家和地区对认证机构的许可做出了规定，认证机构必须通过了许可才能开展业务。第二类是非强制性的许可制。经政府认证的认证机构，政府会给很多的优惠。如果不经过认证，没有优惠好处，但仍可以运营。如：奥地利、新加坡。第三种方式是对完全依靠市场调节，通过行业自律予以规范。如美国。

　　刘左军解释说，中国电子认证机构主要靠市场引导行业自律不太具备。最后《电子签名法》规定了采用强制性许可制度，并对电子认证服务应当具备的条件做出了规定。

　　同时，专家们认为，《电子签名法》仅仅是对电子认证机构仅仅是框架型的规定。“我国电子认证业务还处于发展起步阶段，政府部门如何就认证机构实施有效的监管还需要在实践中总结经验。如果现在在法律上都规定得很清楚很具体，暂时还做不到，因为没有经验，也没有可行的做法。” 刘左军说。

　　如何监管“认证机构”？

　　在法律的审议过程中，有委员提出，“光许可，许可进来后如果不实行日常的监督，认证机构有违法行为怎么办？应当对其进行监督并追究法律责任。”

　　据介绍，针对此意见，《电子签名法》第25条规定，“国务院信息产业主管部门依照本法制定电子认证服务业的具体管理方法，对电子认证服务提供者依法实施监督管理。”这条规定实际上是把监督管理授权给了信息产业部。在9月25日的会议上，电子商务协会公布了其起草的《电子认证服务管理方法的建议(讨论稿)》。但是，具体由信息产业哪个部门来管理认证机构，目前还不清楚。

　　“电子签名法中虽然对第三方认证机构的准入条件做了要求，但是实践中还需要相关的一些法规和具体的实施细则，包括对CA的准入和具体办法，CA的管理评级审计等。” 中国金融认证中心(CFCA)总经理李晓峰说。

　　而另外一家较大的认证中心的天威诚信公司执行总裁张昌利认为，在签名法没有出台前，认证中心在运行过程中，信息产业部、公安部等都根据每个部门自身的管理责任管理范围对CA中心有过相应的管理。“但在新的法律环境下怎么办？我们盼望主管部门能够尽快出台一些可操作的细致的管理办法，建立一个公平公正的市场服务秩序和有效的监督。我们将按照新的管理办法进行重新的资质申请。”

　　国内的认证机构从经营的范围来分为两种，行业性和地域性；按运营模式分商业性(如天威诚信)和非商业性(即政府和企业或者行业和地方政府共建)。据介绍，目前电子商务认证机构存在的主要问题：一建设过热，有一定的盲目性，造成重复建设和资源浪费；二是对电子商务认证机构的作用认识不足；三是低估认证机构运行的难度，缺乏必要的规章制度；四是认证机构对自身的安全性认识不够，对承担风险认识不足；五是法律法规、行业规范亟待健全。

　　在电子商务协会起草的《电子认证服务管理方法的建议(讨论稿)》中，分别从认证机构的设立、运营、义务和电子认证证书、电子签名人的义务等各个方面作了具体的描述。但目前这个讨论稿仅仅停留在电子商务协会。目前尚不知道信息产业部具体哪个部门会接管。

　　    相关报道：国外如何管理数字签名认证机构

                  电子签名法出台 安全认证机构将迎来大清洗

　　              电子签名法：电子商务发展的里程碑

        相关专题：电子签名法