电子认证服务那些事

转载

mob604756e75222 2021-07-27 13:37:00

文章标签 PKI知识电子签名认证机构服务提供者数据 文章分类 代码人生

电子认证相关法律法规

2004年8月28日，《中华人民共和国电子签名法》（以下简称《电子签名法》）在十届全国人大常委会第十一次会议上表决通过；

2005年2月8日，《电子认证服务管理办法》（以下简称《管理办法》）由信息产业部正式颁布；

2005年3月16日，《电子签名法》和《管理办法》宣贯会在京召开，来自全国各地的大小CA认证机构与会参加；

2005年4月1日，《电子签名法》和《管理办法》正式实施；

2005年9月30日前，拟从事电子认证服务的机构，应依照《管理办法》取得“电子认证服务许可”。

《管理办法》第五条规定，电子认证服务机构应当具备下列条件：

1．具有独立的企业法人资格；

2．从事电子认证服务的专业技术人员、运营管理人员、安全管理人员和客户服务人员不少于三十名；

3．注册资金不低于人民币三千万元；

4．具有固定的经营场所和满足电子认证服务要求的物理环境；

5．具有符合国家有关安全标准的技术和设备；

6．具有国家密码管理机构同意使用密码的证明文件；

7．法律、行政法规规定的其他条件。

自2005年10月1日起，未取得电子认证服务许可的，不得继续从事电子认证服务。这一系列的举措让CA认证机构们几家欢喜几家愁？要想取得“经营执照”就要通过审核，资金雄厚设备完善的CA认证机构早就盼望有这一天，而那些缺乏财力但很想成就一番事业的CA公司则陷入了不小的困境，正多方告急。还有一些怀着投机心理想在这一领域狠捞一把的CA公司，则在考虑是要变成正规军，还是就此退出……

CA认证机构大洗牌已经悄悄开始。

门槛是否过高？

CA认证是顺应我国电子商务和电子政务的发展应运而生的。随着网上银行的普遍应用和在线支付手段的不断完善，网上交易已经变得越来越大众化，安全问题就显得日益重要。而网络间的身份认证成为追本溯源的根本。认证机构相当于一个权威可信的中间人，它的职责是核实交易各方的身份，负责电子证书的发放和管理。

理想化的状态是，上网的每一个企业或者个人，都要有一个自己的网络身份证作为唯一的识别。而这些网络身份证的发放、管理和认证就是一个复杂的过程，也就是所谓的CA（Certificate Authority）认证。同时这也是一个巨大的“金矿”。

注册资金3000万

巨大的市场商机必将引来众多的“掠食”者。全国共有多少家CA认证机构？估计没有人能够说得清楚，据不完全统计有上百家之多。这些机构大多是网络经济泡沫的产物，虽然至今盈利的没有几家，但看到未来的美好，他们都在各自的领域发展着。

从国内CA机构的发展路线来看，无非有两种类型。一种是依托各行业、省市政府部门建立的CA机构，他们偏重于电子政务领域，主要是为本行业、当地的政府部门和企业提供CA认证服务。另一类是企业运营模式的商业性第三方CA认证机构，偏重于电子商务领域，主要是为企业的电子交易提供CA认证服务。

由于当初法律的不完备，致使全国大大小小的CA们被人戏称为“三无企业”，无法律约束、无行为规范、无监管部门。如今，《管理办法》对CA认证机构的限制条款已是白纸黑字，其中醒目的一条就是3000万元的注册资金。

此条限制门槛儿是否过高，信息化推进司司长季金奎给出了解释。

CA机构的专用机房、环境建设、经营场所需要资金800万元；

系统设备、软件系统、CA系统需要500万元；

人员的成本，以30人，每人年薪10万，2年时间来算所需资金600万元；

2年时间公司运营设备维护费用为800万元；

还有风险基金300万元。合计3000万元，只有用这样的资金投入才能保证CA认证机构的权威性。

3月16日，在《电子签名法》和《管理办法》的宣贯会上记者见到了全国地方的众多CA代表们，与会的共有30多家CA机构。据他们向记者透露，能来参加宣贯会的都是有信心或者已经有能力通过审核的，很多小的CA机构都没有来，或许他们已经打算退出。

上海CA中心经理崔久强告诉笔者，法律的出台确实能够过滤掉一部分不够格的CA机构，对于规范整个电子认证服务市场的发展能起到比较好的作用。但是，目前整个电子认证服务市场还需要培育和扶

持，政府在实施相关管理办法时，应该注重引导和规范，为整个产业的发展提供一些帮助。对于那些无法取得运营资质的CA机构，应该允许他们采取某种方式，比如联合、股份合作等方式，继续为它的用户提供服务。当然，一些从管理、技术、运营服务和市场开展上差距实在太大的机构，应该退出这个行业，否则会影响整个市场的健康发展。

3000万的注册资金要求给不少CA机构以震撼。广西CA公司总经理杜文宏就表示：“我们地区经济并不富裕，3000万的注册资金确实不好达到，但我们那边确实需要这样的业务，回去还要继续想办法”。

河南省数字证书认证中心经理陈小龙告诉记者：“目前，我们的注册资金是2000万，再增加1000万并不难，4月1日前一定能够完成。”

对于国内到底存在多少家CA认证机构合理？是否每个省市自治区都要有CA机构？这些并无定论。

季司长表示，《电子签名法》和《管理办法》并没有限制地区CA机构的数量，不是说没有条件建CA机构也要创造条件建设，几个地区也可以被一家有实力的CA机构管理，同时，一个地区也可以有多家CA机构。

当然，注册资金只是一方面，人员数量也是一个条件。据说，目前很多CA机构都在招兵买马。

“营业执照”仅是开始

CA机构的权威性越来越受到社会各界的重视，通过审核达到标准获得了“电子认证服务许可证”仅仅是开始。同时，《电子签名法》对CA 机构有相应的罚则。不仅仅强调罚款，CA认证机构作为第三方服务机构，一旦发生纠纷，如果是第三方CA机构的责任，将承担赔偿责任。

可想而知，这么多CA机构存在于市场，竞争怎能不激烈。虽然也有不同的行业专攻，但也并没有明文规定限定行业，市场经济下，优胜劣汰是不变的市场准则。或许在不久的将来全国只剩下几家有实力的CA机构，那时市场才会真正的成熟规范起来。

CA认证，是必需吗？

可以说，第三方电子认证是一个新兴的服务行业，但是并不意味着它是一个利润丰厚的行业。电子交易双方为何要第三方介入，还要支付一定的费用？双方建立自己的约定机制不行吗？这是一个值得讨论的话题。

三方博弈

由于可能具有潜在的丰厚利润，或者避免较高的使用成本，企业们当然想建立自己的CA机构，但完全可以不称为CA机构，发放的证书也可以有另外一种说法，如“电子ID”之类。这种“电子ID”只给自己的用户或者合作伙伴发放，不需要第三方介入验证。

的确，在一些强势行业，例如银行、电信，他们拥有雄厚的资金和众多的客户群，在这种行业中，用户是没的选择的。

中国银行电子银行部主管王家业认为，还有一个不想用第三方认证机构的原因是，“怕他们逃避责任。在银行的交易中，涉及资金数额巨大，几千万上亿的交易一旦出了问题，第三方机构必定想逃避责任。到时候互相扯皮，公说公有理，婆说婆有理，但用户的损失是实实在在的。”

“从技术上来说，PKI技术已经是成熟的技术，技术是中立的，用第三方认证的意义不大。如果说银行可以伪造CA证书，那么第三方也有伪造的可能。”

天威诚信的执行总裁张昌利则持有不同观点。“使用第三方是可以规避用户的风险的，一旦发生经济纠纷，银行规避不了责任，在法律取证上也不好处理。银行如果是发证机关则完全可以伪造用户的证书进行交易。而如果有了第三方，伪造的证书是进不了银行系统的。”

还有一个观点认为，这是买电用，还是自建电厂的问题。但笔者认为在法律责任上不是用电那么简单。CA机构是一个三高企业，高投入、高风险、高技术，能建CA的企业并不多。

CA是一个信任中介服务商，它为交易的各方提供一种身份信任的传递和电子签名的可靠，而不仅仅是一个技术保障手段。那些双方约定的CA，通常是作为一种安全认证手段，而不是从法律意义上的电子签名来使用，因为这种签名，它的唯一性和可靠性缺乏保证。法律上对自建CA机构也没有过多的约束。

信息化推进司司长季金奎认为，企业自建CA自己使用是完全可以的，但不能扩大化，如果扩大到社会服务的范围，就要受到法律的约束，自建CA要做好承担更多责任的准备。

摸索中前行

新法律的颁布实施总有其不完善的地方，对于《电子签名法》和《管理办法》来说也不例外，何况又是针对中国新兴的电子商务行业。

如果认证机构不承认自己是CA认证，而具体做的业务却是CA认证，在法律上如何鉴定？

PKI技术到底需不需要第三方认证？在电子商务交易过程中如果没有第三方认证机构介入，产生纠纷将不受法律保护？等等诸如此类的问题，并没有得到妥善解决。

同时《管理办法》作为《电子签名法》的具体执行细则，在制定之初就留有很大的余地。

潜在问题

就认证服务机构的市场准入条件来说，包括电子认证服务机构的人员编制、注册资金、政府相关部门的批件等资质要求。3000万注册资金有人认为相当高，但有人却提出了异议。

浙江CA代表说，在浙江有钱的人太多了，温州大老板可以随便拿出几千万买套豪华别墅，就曾经有人向他们询问，不就是3000万吗，我拿出5000万，我也想做CA认证，可以吗？

这种情况让人无奈，由于第三方CA认证机构有很多是商业性运作的公司，与其他服务性公司没有本质区别，但却更注重权威性和可信度。大街上大大小小的烟摊都有营业执照，但卖假烟的也有很多，财大气粗的人开的CA机构，人们敢用吗？

看来，除了市场准入条件，后续的政府审核更是重要的一个环节。

开一个烟摊容易，想开就开想关门就关门，自负盈亏，烟摊提供的是一次性服务，而CA认证机构却不同。认证机构发出的电子签名要长期跟踪服务，用户拿着电子签名，但却找不到发证机关，这该如何是好？
可惜的是，认证机构终止服务后业务如何承接，目前还尚无先例。

《电子签名法》第二十三条中明确规定“（电子认证服务提供者拟暂停或者终止电子认证服务的）与其他电子认证服务提供者就业务承接进行协商，做出妥善安排。电子认证服务提供者未能就业务承接事项与其他电子认证服务提供者达成协议的，应当申请国务院信息产业主管部门安排其他电子认证服务提供者承接其业务。”

看来认证机构想关门也没那么容易。如果和其他企业谈妥了还好，如果谈不妥，没人愿意接手“烂摊子”，就要由“国务院信息产业主管部门安排其他电子认证服务提供者承接其业务”，这种情况信息产业部该如何处理？

《管理办法》第二十七条中明确规定“电子认证服务机构有根据信息产业部的安排承接其他机构开展的电子认证服务业务的义务”。

可见，在最后关头，信息产业部有权使用行政手段，把那些终止服务的认证机构的业务转给其他正在运营的认证服务机构。

目前的CA认证机构都有这种义务，谈不上主动还是被迫。但各机构之间的CA证书本来就不能互联互通，业务的衔接也是一大潜在问题。

完善需要时间

电子签名认证证书应包含什么具体内容？

在《管理办法》的第二十八条中有所体现，包括签发电子签名认证证书的电子认证服务机构名称、证书持有人名称、证书序列号、证书有效期、证书持有人的电子签名验证数据、电子认证服务机构的电子签名，还要包括“国务院信息产业主管部门规定的其他内容”。

而在《电子签名法》第二十一条中也明确提出电子签名认证证书应载明“国务院信息产业主管部门规定的其他内容”。

《管理办法》并没有对《电子签名法》进行细化。这个“其他内容”到底是什么，我们无从知晓。

或许我们都还不知道将来会发生什么情况，应该在电子签名认证证书补充上什么新的内容，我们只能等待实践的检验。

同样，我们在同境外CA机构如何协作方面也是空白。

《电子签名法》第二十六条规定境外的电子认证机构在境外签发的证书根据有关协议或者对等原则核准后，能与境内的证书具有同等法律效力。

在《管理办法》中，信产部并没有对于这“有关协议或者对等原则”的具体内容进行细化，也只是在第四十二条中提到“经信息产业部根据有关协议或者对等原则核准后，中华人民共和国境外的电子认证服务机构在境外签发的电子签名认证证书与依照本办法设立的电子认证服务机构签发的电子签名认证证书具有同等的法律效力”。

这个“有关协议或者对等原则”具体是什么？同样是一个复杂的问题，解决还需要时间。

虽然新的法律出台有许多地方不尽完善，但我们知道这是一个好的开始。《电子签名法》和《管理办法》对于规范CA认证市场和推动我国的电子商务市场发展起了巨大作用。法律约束只是一方面，市场的真正成熟还需要时间的检验。

信息化推进司司长季金奎：“我国电子认证业务还处于发展起步阶段，政府部门如何就认证机构实施有效的监管还需要在实践中总结经验。现在想在法律上都规定得很清楚很具体，暂时还做不到，因为没有经验，也没有可行的做法。”

官方博客	全部文章	热门标签	班级博客
了解我们	网站地图	意见反馈

鸿蒙开发者社区	51CTO学堂
51CTO	软考资讯