【正文】 國家級電子商務(wù)認證中心完全可以滿足電子商務(wù)交易的需要。第一，來自認證機構(gòu)的服務(wù)，真正能夠提供客戶值得信賴的信息的認證機構(gòu)，必然在其運做中逐步樹立自己的權(quán)威性 。嚴(yán)禁為客戶提供虛假信息。 4）快捷性原則。 4. 國家級電子商務(wù)認證機構(gòu)的設(shè)立 同傳統(tǒng)的交易一樣，電子商務(wù)交易主要涉及兩個方面的任務(wù)： 1）身份認證。目前我國企業(yè)在國家工商部門都有登記，只要通過認證機構(gòu)將這些資料匯總，即可開展企業(yè)身 份認證。資信等級是 AAA，還是 CCC，這一點，必須由銀行提供證明。企業(yè)稅收資料歷年積累完整，可以全面反映一個企業(yè)的整體經(jīng)營情況?？梢詫⑦@部分資料整理用于電子商務(wù)交易。這一根系統(tǒng)的建立，可以由國家有關(guān)部門牽頭，成立國家電子商務(wù)認證中心，通管職能認證系統(tǒng)。這些工作包括： 1）對職能認證系統(tǒng)和省市分認證中心進行政策指導(dǎo)和業(yè)務(wù)管理； 2）匯總職能認證中心和省市分認證中心的數(shù)據(jù)； 3）負責(zé)數(shù)字憑證的管理與簽發(fā)； 4）提供數(shù)字時間戳服務(wù)； 5）負責(zé)使用者密碼的產(chǎn)生與保管； 6）對交易糾紛提供證明資料等。它是為了從根本上保障電子商務(wù)交易活動順利進行的一項基礎(chǔ)性工作，主要是解決電子商務(wù)活動中交易參與各方身份、資信的認定，維護交易活動的安全。出臺一部符合上海實際情況的電子商務(wù)管理條例，將會有力地推動上海電子商務(wù)的開展，促進企業(yè)開展電子商務(wù)活動，為進入 WTO，與國際商務(wù)活動接軌打下良好的基礎(chǔ)。上海電子商務(wù)只有走規(guī)范發(fā)展的道路，才能與占有地利優(yōu)勢的北京相抗衡。但上海市可以充分發(fā)揮上海特殊的經(jīng)濟地位及特殊立法權(quán)優(yōu)勢，在上海范圍內(nèi)先行進行立法試驗，通過立法確定數(shù)字認證相關(guān)活動的法律效力，以推動上海電子商務(wù)的有序發(fā)展。但是由于數(shù)字認證（包括認證的行為、手段和結(jié)果）的法律有效性問題還未得到法律上確認，使得電子文件傳輸過程而產(chǎn)生的糾紛責(zé)任歸責(zé)問題難以得到界定，數(shù)字認證機構(gòu)（ CA）的功能作用發(fā)揮也得 不到法律保障。在鼓勵認證機構(gòu)（ CA）建設(shè)商業(yè)化、市場化運作模式的基礎(chǔ)上，鑒于認證機 31 構(gòu)在電子商務(wù)活動所起作用的特殊性 ，必須對電子身份認證機構(gòu)（ CA）進入市場的主體資格、行為準(zhǔn)則、認證機構(gòu)（ CA）的權(quán)利、義務(wù)、技術(shù)標(biāo)準(zhǔn)、密碼管理等方面作嚴(yán)格的法律規(guī)范。 另外，認證既為一種適應(yīng)網(wǎng)絡(luò)時代而產(chǎn)生的新興服務(wù)業(yè)，自然會有更多的企業(yè)會加入到這一服務(wù)行業(yè)，隨著我國將加入 WTO，外國的認證服務(wù)機構(gòu)也將逐漸地進入這一行業(yè)。國內(nèi)電子商務(wù)學(xué)者對于數(shù)字認證機構(gòu)的管理 32 也有了一定的研究。此外，最近，聯(lián)合國國際貿(mào)易會開始了重點在電子簽名和認證許可的法律制定工作；美國的許多州已經(jīng)通過了有關(guān)電子簽名和身份認證法律；歐盟于 1997 年 4 月提出《歐盟電子商務(wù)行動方案》，并于 1998 年起草了各種與電子商務(wù)有關(guān)的法律，規(guī)范電子商務(wù)市場。 2）電子技術(shù)的日益成熟增強了立法的可操作性 現(xiàn)有的電子技術(shù)條件已使數(shù)字簽名具有了唯一性、對電子文件被下 33 載篡改的行為具備了可鑒別性、且電子文件 加密技術(shù)也具備了不易破解性，這就使得在立法中有關(guān)對認證機構(gòu)（ CA）提出的安全標(biāo)準(zhǔn)和密碼管理等方面的規(guī)范內(nèi)容具備了實際的可操作性。 六、數(shù)字認證管理的主要內(nèi)容 國際社會對數(shù)字認證的法律管制已有了較多的探索，并建立了相應(yīng)的管制機制，這給我國數(shù)字認證的法律規(guī)范起到了很好的借鑒，然而，由于美國、歐盟等國家和地區(qū)的行政管理機制和理念的不同，管制的手段也有所側(cè)重。 經(jīng)營數(shù)字認證業(yè)務(wù)的機構(gòu)應(yīng)當(dāng)具備的條件：一是經(jīng)營者為依法成立的專門從事數(shù)字認證業(yè)務(wù)的公司；二是有可行性研究報告；三是經(jīng)過國家安全保密信息化行政管理部門的批準(zhǔn)；四是通過國家信息安全認證測評部門的認定；五是注冊資本不少于 1000 萬元；六是有與從事數(shù)字認證經(jīng)營活動相 適應(yīng)符合要求的工作人員及保密制度；七是有為用戶提供長期服務(wù)的信譽或者能力；八是法律規(guī)定的其他條件。 經(jīng)批準(zhǔn)經(jīng)營數(shù)字認證業(yè)務(wù)的，應(yīng)當(dāng)持依法取得的數(shù)字認證業(yè)務(wù)經(jīng)營許可證到相應(yīng)的工商行政管理部門辦理工 商登記手續(xù)。上述第一項審查由信息化行政管理部門委托第三方審計機構(gòu)進行。 （二） 數(shù)字證書申請和使用 數(shù)字證書的申請和使用是整個認證活動的中心，它反映了用戶、商家和支付網(wǎng)關(guān)等在電子商務(wù)活動中的權(quán)利和義務(wù)。 申請人持能證明身份的有效證件到認證機構(gòu)受理點申領(lǐng)數(shù)字證書 ，認證機構(gòu)對申請人的身份進行合理審查后發(fā)放數(shù)字證書。 認證機構(gòu)在收到撤銷數(shù)字證書的請求后，應(yīng)當(dāng)對請求人的身份進行合理審查，經(jīng)確認身份后撤銷該數(shù)字證書。 （三） 認證機構(gòu)義務(wù) 認證機構(gòu)在從事認證活動時，與認證服務(wù)對象相比處于主動狀態(tài)，因此，法律的作用就是要調(diào)整這種不平衡，以達到新的平衡。 除其他法律另有規(guī)定外，認證機構(gòu)不得對外披露以下信息：一是數(shù)字證書申請人向認證機構(gòu)披露的身份信息及有關(guān)信息；二是用戶委托認證機構(gòu)保管的私鑰。 任何數(shù)字證書被撤銷后的 5 年內(nèi)，認證機構(gòu)應(yīng)當(dāng)保存該數(shù)字證書的相關(guān)信息。 對有下列情形之一，信息化行政管理部門可以暫時中止認證機構(gòu)的經(jīng)營許可，責(zé)令認證機構(gòu)停業(yè)整頓：一是向社會公開披露的信息出現(xiàn)重大失實的；二是認證機構(gòu)的安全系統(tǒng)出現(xiàn)重大問題，足以影響對外提供認證業(yè)務(wù)的；三是認證機構(gòu)的經(jīng)營出現(xiàn)重大困難，難以繼續(xù)維持其基本業(yè)務(wù)的；四是信息化行政管理部門認為 應(yīng)當(dāng)停業(yè)整頓的其他情形。 持卡人證書實際上是支付卡的一種電子化的表示。它是由金融機構(gòu)簽發(fā)的 ， 不能被第三方改變。 ： 一級證書，最高級別的證書，由認證機構(gòu)受理審核和發(fā)放，一般應(yīng)用于支付網(wǎng)關(guān)證書、行業(yè)證書等； 二級證書，由認證機構(gòu)授權(quán)指定的業(yè)務(wù)受理點受理并審核，認證機構(gòu)進行二次審核后發(fā)放，如商家證書、服務(wù)器證書等； 三級證書，通過業(yè)務(wù)受理點或安 全網(wǎng)絡(luò)進行證書申請，審核由業(yè)務(wù)受理點完成，如個人用戶證書； 四級證書，采用瀏覽器方式直接通過網(wǎng)絡(luò)向認證機構(gòu)申請，如測試證書或安全級別要求不高的個人用戶證書。在此情況下 ， 客戶和商家都信任該銀行 ， 可由該銀行擔(dān)當(dāng) CA角色 ， 接收、處理他的卡客 戶證書和商家證書的驗證請求。 （二）電子商務(wù)的認證體系 1．電子商務(wù)認證體系技術(shù)標(biāo)準(zhǔn)的分類 電子商務(wù)認證體系根據(jù)所采用的技術(shù)標(biāo)準(zhǔn)的不同可分為兩大類 ，即符合 SET 標(biāo)準(zhǔn)的 SET CA 認證體系（又叫“金融 CA”體系）和基于 的 PKI CA 體系（又叫“非金融 CA”體系）。在證書中，利用 42 識別名來確定 SET交易中所涉及的各參與方。根據(jù) ， CA 為用戶的公開密鑰提供證書。當(dāng)兩個用戶分別由不同的CA服務(wù)時，不同的 CA 要為每個用戶建立一個證書（這種認證方式叫作“交叉認證”）。就可確信證書的有效性。例如 ， C 的證書是由名稱為 B 的 CA 簽發(fā)的 ， 而 B 的證書又是由名稱為 A 的 CA 簽發(fā)的 ， A 是權(quán)威的機構(gòu) ， 通常稱為根 （ Root）CA。而僅以合同的方式來確定認證機構(gòu)的權(quán)利義務(wù)尚不足以明確認證機構(gòu)在電子證書 認證機構(gòu) 根認證機構(gòu) A B C 44 商務(wù)中的地位與責(zé)任，也不利于交易的安全與秩序。 美國猶他州法第 203條規(guī)定，認證機構(gòu)披露記錄的內(nèi)容應(yīng)包括： a 認證機構(gòu)的名稱、地址和電話號碼； b 認證機構(gòu)的區(qū)別名稱、標(biāo)志； c 認證機構(gòu)現(xiàn)行的公開密鑰； d 根據(jù)最近對認證機構(gòu)活動的履行審計，所作的認證機構(gòu)的分類，及審計的日期； e 如果認證機構(gòu)的證書在許可之后被撤消了，撤消證書中包含的公開密鑰和撤消的理由； f 認證機構(gòu)的合適的保證金額； g 如果認證機構(gòu)的許可證被撤消，或正在被吊銷， 撤消或吊銷的日 45 期與理由； h 如果有的話，認證。 1）信息披露義務(wù) 鑒于認證機構(gòu)的公信力和其信用服務(wù)，認證機構(gòu)應(yīng)當(dāng)向全社會公開其從業(yè)資格，及其重要的業(yè)務(wù)記錄，以便受到公眾的監(jiān)督與協(xié)作。 圖 2 證書的樹形驗證結(jié)構(gòu) 在網(wǎng)上購物實踐中 ， 持卡人的證書與發(fā)卡機構(gòu)的證書關(guān)聯(lián) ， 而發(fā)卡機構(gòu)證書通過不同品牌卡的證書連接到 Root CA， 而 Root的公共簽名密鑰對所有的 SET 軟件都是已知的 ， 可以校驗每一個證書。每一個證書與數(shù)字化簽發(fā)證書的實體的簽字證書關(guān)聯(lián)。 PKI CA 增加網(wǎng)上交易各方明顯的信任，也為它們之間的可靠通信創(chuàng)造條件，并為“ B to B”及“ B to C”兩種電子商務(wù)模式提供兼容性服務(wù)。 提供了分層鑒別服務(wù)，在這種層次下，可以有多個層次的 CA（可信任的第三方認證系統(tǒng)），構(gòu)成樹狀的認證層次。但 SET 認證結(jié)構(gòu)適應(yīng)于卡支付，對其他支付方式是有所限制的。從 SET 協(xié)議中可以看出，由于采用公開密鑰加密算法，認證機構(gòu)（ CA）就成為整個系統(tǒng)的安全核心。 第三方認證機構(gòu)是指完全獨立于交易各方，與交易內(nèi)容沒有利益關(guān)系的認證機構(gòu)。 非獨立方認證機構(gòu)是指該認證機構(gòu)本身是交易當(dāng)事人或與交易密切相關(guān)的一方，典型的是金融認證機構(gòu)。 ，也可以將其分為個 人用戶證書、企業(yè)用戶證書、服務(wù)器證書及代碼證書；或分為發(fā)卡機構(gòu)證書、銀行證書和支付網(wǎng)關(guān)證書。持卡人證書并不包括帳號和終止日期信息 ， 取而代之的是用單向哈希算法根據(jù)帳號 ， 截止日期 40 生成的一個碼 ， 如果知道帳號、截止日期、密碼值即可導(dǎo)出這個碼值 ，反之不行。 對認證機構(gòu)從事認證活動中的過錯，造成用戶、商家和支付網(wǎng)關(guān)等服務(wù)對象損失的，認證機構(gòu)應(yīng)當(dāng)予以民事賠償。異地成立的認證機構(gòu)，如果取得規(guī)定的認證機構(gòu)的擔(dān)保，其發(fā)放的數(shù)字證書應(yīng)當(dāng)視同于上述認證機構(gòu)的數(shù)字證書。 認證機構(gòu)可以在認證業(yè)務(wù) 說明中設(shè)置賠償責(zé)任限額，但該限額不得低于相應(yīng)的數(shù)字證書費用的 100 倍。 認證機構(gòu)應(yīng)當(dāng)在業(yè)務(wù)運行的網(wǎng)站上公布認證業(yè)務(wù)說明（ CPS），認證業(yè)務(wù)說明包括以下內(nèi)容：一是對數(shù)字證書申請人身份審查內(nèi)容和程序；二是數(shù)字證書類別及申請、簽發(fā)、撤銷、續(xù)展等操作規(guī)程；三是保密制度；四是安全控制規(guī)程；五是用戶責(zé)任和義務(wù)；六是認證機構(gòu)的賠償責(zé)任及其限額；七是其他內(nèi)容。認證機構(gòu)的安全系統(tǒng)泄密導(dǎo)致用戶數(shù)字證書的安全性能無法保障 37 的，認證機構(gòu)應(yīng)撤銷該數(shù)字證書，并對該用戶作出補償。 用戶應(yīng)當(dāng)妥善保管用以生成數(shù)字簽字的私鑰。用戶通過數(shù)字證書所生成的數(shù)字簽字可以用于網(wǎng)上各類活動中的身份驗證，包括電子商務(wù)等網(wǎng)上經(jīng)營活動和電子政務(wù)、電子報稅等非經(jīng)營活動。認證機構(gòu)在取得有關(guān)停止經(jīng)營的批準(zhǔn)或行政決定之后，必須在正式停止經(jīng)營之前 30日通知尚未到期或撤銷的數(shù)字認證用戶，并將相關(guān)的證書記錄轉(zhuǎn)交給其他認證機構(gòu)。 35 認證機構(gòu)采用的關(guān)鍵性技術(shù)方案發(fā)生變更的，應(yīng)當(dāng)取得有關(guān)的批準(zhǔn)文件和安全檢測報告，并報信息化行政管理部門登記備案。信息化行政管理部門應(yīng)當(dāng)自受理申請之日起 90 日內(nèi)審查完畢，作出批準(zhǔn)或不予批準(zhǔn)的決定。值得探討的主要內(nèi)容有： （一） 認證機構(gòu)的市場準(zhǔn)入 對認證機構(gòu)的資質(zhì)審查是政府監(jiān)控認證活動的重要手段，只有具有較高經(jīng)營條件的組織才可承擔(dān)數(shù)字認證業(yè)務(wù)。 在國內(nèi)，中國人民銀行已聯(lián)合 12 商業(yè)銀行建立了金融認證中心（ Root CA），湖南、廣東、上海等省、市也已建立了相關(guān)認證機構(gòu)。新加坡 1998 年出臺的《 The Electronic Transation Act 1998》，對電子記錄、電子簽名、認證機構(gòu)及政府的使用等作了明確規(guī)定，我國的臺灣地區(qū)的《電子簽章法》（草案），目前正在審定之中，該法案對電子簽章的法律地位、認證機構(gòu)的設(shè)立及管理、認證標(biāo)準(zhǔn)等都作了相應(yīng)規(guī)范。這些都為《上海市數(shù)字認證管理辦法》的起草奠定了良好的條件。 上海市電子商務(wù)安全證書管理中心 1998 年經(jīng)國家密碼委員會批準(zhǔn)，成為全國第一個 CA 中心試點單位 ；現(xiàn)已運行了三年，積累了大量經(jīng)驗。 認證機構(gòu)所從事的認證服務(wù)不僅涉及到與用戶服務(wù)法律關(guān)系，而且還涉及到對信賴證書的人的義務(wù)，實際上這是認證機構(gòu)對整個社會的義務(wù)。 數(shù)字認證機構(gòu)（ CA）行為規(guī)則和涉及交互各方當(dāng)事人的權(quán)利、義務(wù)等，需要通過立法來規(guī)范。 （二）《上海市數(shù)字認證管理辦法》起草的必要性 數(shù)字認證（ CA）的法律效力需通過立法得到確認和保障。 目前，國際上對這一問題極為重視，聯(lián)合國和許多發(fā)達國家都有了 30 相應(yīng)的管理辦法。通過上海市進行試點，提出符合我國電子商務(wù)交易安全認證的管理辦法，對于電子商務(wù)的發(fā)展，保障交易雙方的權(quán)益都具有重要意義。盡快完善電子商務(wù)認證管 理辦法是發(fā)展電子商務(wù)的重要環(huán)節(jié)。第一步可以先通過行政法規(guī)加以 規(guī)定，通過一段時間后，在合同法實施細則中加以規(guī)定，最終在合同法，或者數(shù)字認證專門法中有所反映。 （參見圖 1）。 上述四個方面實際上形成了四個行業(yè)認證系統(tǒng)，可以把它們叫做“職能認證系統(tǒng)”，它們是為根認證發(fā)放認證證書提供依據(jù)的。這項認證可以由國家稅務(wù)總局來做。所以，這項認證可以由中國人民銀行來做。 2）資信認證。從