【正文】 因此，必須從法律上加以界定。 SET 證書正是通過信任層次來逐級驗證的。用戶與 CA 交換公開密鑰后， CA 用其秘密密鑰對數(shù)據(jù)集 （包括 CA 名、用戶名、用戶的公開密鑰及其有效期等）進行數(shù)字簽字，并將該簽字附在上述數(shù)據(jù)集的后面，構(gòu)成用戶的證書，存放在用戶的目錄款項中。 1997 年 2 月 19 日， 由 MasterCard 和 Visa 發(fā)起成立 SETCO 公司，被授權(quán)作為 SET（ Secure ElectronicTransaction）根 CA。 41 機構(gòu)和第三方認證機構(gòu)。由于它是由 金融機構(gòu)以數(shù)字化形式簽發(fā)的 ， 因此不能隨意改變。 取得數(shù)字認證業(yè)務(wù)經(jīng)營許可證的認證機構(gòu)之間，互相承認對方的數(shù)字證書。為此，法律規(guī)范的最低規(guī)定是： 認證機構(gòu)應(yīng)當向社會公開披露 以下內(nèi)容，應(yīng)保證該內(nèi)容的準確完整：一是根證書；二是用戶的公鑰；三是認證業(yè)務(wù)說明（ CPS）；四是作廢名單（ CRL）；五是其他任何影響數(shù)字證書安全性能或者認證機構(gòu)服務(wù)能力的事實。申請人在申領(lǐng)數(shù)字證書時應(yīng)當提供合法真實的有效證件與證明材料，不得以他人名義冒領(lǐng)數(shù)字證書。 認證機構(gòu)停止經(jīng)營數(shù)字認證業(yè)務(wù)的，必須提前 90 日向信息化行政管理部門申請，信息化行政管理部門批準以后方可歇業(yè)。 申請經(jīng)營數(shù)字認證業(yè)務(wù)，應(yīng)當向信息化行政管理部門提出申請，并提相關(guān)文件。 3）國內(nèi)外認證機構(gòu)的成功運作，為立法提供了有益的經(jīng)驗 目前國際上已有 Verisign、 BankGate CA 等多家的提供認證的商業(yè)性機構(gòu)，加拿大和新加坡等國還建立了政府性安全認證中心 。上海市信息化辦公室在管理認證機構(gòu)方面也積累了大量經(jīng)驗。否則，無序的競爭不僅會導(dǎo)致各 CA 中心認證標準不統(tǒng)一，無法實現(xiàn)“互聯(lián)互通”，造成投資浪費，也無助于充分發(fā)揮各電子身份認證機構(gòu)（ CA）的功能作用，阻滯上海市電子商務(wù)和信息產(chǎn)業(yè)的有序發(fā)展。在目前條件下，我們認為此項立法工作可分步驟進行，即先以政府規(guī)章的形式對數(shù)字認證機構(gòu)管理作出規(guī)范，試驗、探索一段時間后，在 總結(jié)經(jīng)驗的基礎(chǔ)上，再上升為地方性法規(guī)。我國在電子商務(wù)的管理方面，已經(jīng)與世界先進國家有一定距離，起草《上海市數(shù)字認證管理辦法》，將會大大縮短這方面的差距。 在完成上述工作的基礎(chǔ)上，需要通過一定的程序確認認證系統(tǒng)的法律地位。這項工作可以由外貿(mào)部來做。我國開展企業(yè)資信等級的評定已有多年歷史，將這一工作計算機化，即可用于電子商務(wù)交易的認證。辨別參與交易的這個企業(yè)、這個人是干什么的。 3）機密性原則。 3. 電子商務(wù)認證機構(gòu)建設(shè)的基本原則 電子商務(wù)認證機構(gòu)的建設(shè)，應(yīng)當遵循以下原則： 1）權(quán)威性原則。銀行希望擁有 CA認證權(quán)力，它認為，金融認證中心是電子商務(wù)的一個核心環(huán)節(jié)，也是實現(xiàn)網(wǎng)上交易和網(wǎng)上支付的安全保障，因此，由人民銀行組織其他商業(yè)銀行共同興建金融認證中心勢所必然 4，這樣做，也有利于在今后的工作中能夠自由選 擇高服務(wù)質(zhì)量的 ISP；而電信部門同樣也希望擁有CA認證權(quán)力，這樣可以自由選擇銀行 5。 2. 電子商務(wù)認證機構(gòu)建設(shè)的不同思路 電子商務(wù) 認證機構(gòu)的建立，各國都非常重視，加拿大和新加坡等國已經(jīng)建立了政府性認證中心。從商業(yè)角度講，每一個電子合同的簽定，買賣雙方都需要對對方的身份情況、資信情況和經(jīng)營情況進行認證，否則，很難作出正確的決策。據(jù)了解， SHECA 從 1999 年上半年SET 證書系統(tǒng)和通用證書系統(tǒng)建設(shè)完成至今，正式對外發(fā)放數(shù)字證書超過 12 萬張，其中針對個人用戶的占絕大部分，約 10 萬左右，主要應(yīng)用于安全郵件和網(wǎng)上炒股；其余則發(fā)放給商家和網(wǎng)絡(luò)服務(wù)器。試想，如果一個股民在交易股票時發(fā)生了上千萬金額的安全問題，而證券公司既是這場交易的承辦者，又是安全見證者，處在一個雙重身份下，能夠保證完全公平地處 22 理問題嗎？這種狀況不由得讓人擔憂“既當裁判，又當運動員”的做法在國內(nèi)電子商務(wù)市場上故伎重演。 國內(nèi) CA 的機構(gòu)和公司對 CA有一個明顯的誤解就是，好像這是一個誰都隨便可以做的東西，而且只要做了就都可以發(fā)財?shù)?。同樣在北京等省市，地?CA 參與到網(wǎng)上銀行業(yè)務(wù)也很經(jīng)常。 在“中國協(xié)卡認證體系”網(wǎng)站上，北京站、上海站、天津站同而列之，共推“協(xié)卡” 這塊品牌。在保證系統(tǒng)安全可靠的基礎(chǔ)上，中國金融認證中心進一步完善了系統(tǒng)的各項功能，完成了密碼產(chǎn)品的本地化工作，并于 20xx 年 6月 20 日通過了由國家密碼管理委 員會和人民銀行支付科技司聯(lián)合主持 19 的密碼產(chǎn)品本地化工作的安全性審查。上海 CA 中心 1998 年經(jīng)國家密碼委員會批準，成為全國第一個 CA中心試點單位；于 1998 年 12 月 31日在市政府揭牌成立，由上海市信息投資股份有限公司、上海郵電、上海市銀行卡網(wǎng)絡(luò)服務(wù)中心聯(lián)合出資組建，經(jīng)上海市政府批準，從事數(shù)字證書制作、頒發(fā)和管理業(yè)務(wù)。此類認證機 構(gòu)的證書具有法律效力和較高的公信力。 因簽字認證技術(shù)的國際性使得各國法律的基本框架具有較大的相似性。這在歐盟擬訂《電子簽字共同框架指令》以及聯(lián)合國貿(mào)法會擬訂《電子簽字統(tǒng)一規(guī)則》中都有所體現(xiàn)。下面以對電子簽字的劃分為例說明各國在 14 立法時的相互借鑒。 1998 年后的立法已經(jīng)不大使用“數(shù)字簽字”作為標題。比如歐盟諸國出于經(jīng)濟、文化上的 考慮有意抵制美國的法律語言。 從電子商務(wù)立法國家的地域分布看來，北美、西歐和東亞成為三大電子商務(wù)立法密集區(qū)域，無論是數(shù)量還是質(zhì)量都遠遠領(lǐng)先與其他國家。美國在認證市場的準入和監(jiān)管方 面最為寬松，幾乎是“放手不管”，以市場導(dǎo)向和業(yè)者自律為原則。 電子簽字和認證的監(jiān)管方面，形成兩種不同的觀點。 。如果自動信息系統(tǒng)包含有能確認簽字身份的技術(shù)方案，那么，電子數(shù)字簽字也可以得到法律的承認（對電子數(shù)字簽字則沒有定義）。 1996 年日本成立了電子商務(wù)促進委員會，簡稱 ECOM，有 251 家公司或機構(gòu)參加了該組織。 第三，《指令》通過四個附件： 6 附件一、對合格證書的要求； 附件二、對發(fā)放合格證書的認證服 務(wù)提供人的要求； 附件三、對安全簽署簽字設(shè)備的要求； 附件四、對安全簽字確認的推薦，來達到對電子簽字與認證機構(gòu)的統(tǒng)一標準管理。另外，衣阿華州 1999 年 5 月 19 日通過了自己的《電子商務(wù)安全法 》，基本上也原文照搬了這部法律?！边@種直接依賴于數(shù)字簽字技術(shù)的立法模式深刻地影響了美國立法較早的州。 （一）聯(lián)合國 1996 年，聯(lián)合國國際貿(mào)易法委員會在第 29屆會議上決定將數(shù)字簽章和認證機構(gòu)的問題列入議程，并請電子商務(wù)工作組審查制定有關(guān)上述專題的統(tǒng)一規(guī)則的可取性 和可行性。用戶向認證機構(gòu)申請證書時 ， 可提交自己的駕駛執(zhí)照、身份證或護照 ， 經(jīng)認證機構(gòu)對申請者所提供的信息進行驗證，然后通過向電子商務(wù)各參與方簽發(fā)數(shù)字證書，證書包含了用戶的姓名等信息和他的公鑰，以此作為網(wǎng)上證明自己身份的依據(jù)，保證網(wǎng)上 支付的安全性。服務(wù)器和客戶端無需增加、修改任何軟件。數(shù)字認證也可稱為客戶認證。例如，在買賣雙方發(fā)生的日用品業(yè)務(wù)或交易，可能交易的具體內(nèi)容并不需要保密，但是交易雙方應(yīng)當能夠確認是對方發(fā)送或接收了這些信息，同時接收方還能確認 接收的信息是完整的，即在通信過程中沒有被修改或替換。 例如 ， 持卡人要與商家通信 ， 持卡人從公開媒體上獲得了商家的公開密鑰 ， 但持卡人無法確定商家不是冒充的 ， 于是持卡人請求認證機構(gòu)對商家認證 ， 在對商家進行調(diào)查、驗 證和鑒別后 ， 將包含商家公鑰（ Public Key）的證書傳給持卡人。歷時四年后，委員會仍未能就示范法的關(guān)鍵問題達成共識，于是決定以指南的形式將草案公之于眾。 1999 年 7 月 1 日 正式生效的伊利諾電子商務(wù)安全法（ Illinois Electronic Commerce Security Act）則糅合了各大派別的特色，將數(shù)字簽字與電子簽字兩套獨立的法律 技術(shù)語言符號熔于一爐，并通過較為技巧的法律處理使之形成有機的體系。 第一，《指令》對電子簽字的定義與分類處理符合主流觀點，其中的“高級電子簽字 ”（ advanced electronic signature）基本上維持傳統(tǒng)上對數(shù)字簽字的四要素定義法。 （四）新加坡 新加坡的所有電子商務(wù)活動都是由政府控制的，政府設(shè)立了一個項目“新加坡一號” (Singapore One)，目的是讓所有人都可能使用電子通信。 表 1 世界各國電子簽字立法一覽表 國 家 法 律 名 稱 通 過 時 間 8 俄羅斯 俄羅斯聯(lián)邦信息法 1 1995 年 1 月 25日 意大利 數(shù)字簽字法 1997 年 3 月 15日 德國 數(shù)字簽字法 1997 年 6 月 13日 德 國 數(shù)字簽字條例 1997 年 11 月 馬來西亞 數(shù)字簽字法 1997 年 新加坡 電子交易法 1998 年 6 月 29日 阿根廷 總統(tǒng)令：國家公共機構(gòu)的數(shù)字簽字設(shè)施 1998 年 4 月 16日 新加坡 電子交易認證機構(gòu)規(guī)定 1999 年 2 月 10日 澳大利亞 電子交易法 1999年 3 月 15日生效 韓國 電子商務(wù)基本法 1999 年 哥倫比亞 電子商務(wù)法 1999 年 8 月 21日 歐盟 電子簽字共同框架指令 1999 年 12 月 13日 芬蘭 電子服務(wù)管理法 20xx年 1月 1日生效 香港 電子交易條例 20xx 年 1 月 7 日 西班牙 電子簽字與記錄法令 20xx年 2 月 29日生效 日本 電子簽字與認證服務(wù)法 20xx 年 5 月 24日 英國 電子通訊法 20xx 年 5 月 25日 歐盟 電子商務(wù)指令 20xx 年 6 月 8 日 菲律賓 電子商務(wù)法 20xx 年 6 月 14日 加拿大 電子信息和文書法 20xx 年 6 月 21日 美國 全球和國家商務(wù)中的電子簽字法 20xx 年 6 月 30日 愛爾蘭 電子商務(wù)法 20xx 年 7 月 10日 （七）國際數(shù)字認證的特點 從世界電子簽字立法史來看，明顯可以分為三個階段。 這一階段，立法呈現(xiàn)出以下特點： 。電子簽字的技術(shù)不應(yīng)使對于使用者資料收集與分析變得更容易，對于選擇匿名性的自由也應(yīng)該有所保障。 因簽字認證技術(shù)的國際性使得各國法律的基本框架具有較大的相似性。此類認證機構(gòu)的證書具有法律效力和較高的公信力。這些同質(zhì)性內(nèi)容主要包括強調(diào)行業(yè)自我培育交易規(guī)則、對 CA 的自愿認證管理方案、對電子簽字的直接承認、對電子商務(wù)經(jīng)營主體的信息 12 披露與保密要求等等。盡管美國立法具有突出貢獻，電子簽字法在全球范圍內(nèi)的勃興還是融合了各國、各國際組織法律專家與技術(shù)專家的群體智慧。大體而言，一部比較完整的電子簽字法包括了電子記錄、電子合同、電子簽字一般規(guī)定、可靠電子簽字（數(shù)字簽字）的法律推定效力、合同成立、確認收訖、證據(jù)留存、自動交易（電子代理人）、數(shù)據(jù)傳輸錯誤時風(fēng)險責(zé)任的劃分、認證機構(gòu)資質(zhì)與許可管理、認證機構(gòu)基本義務(wù)、用戶基本義務(wù)、數(shù)字證書的申領(lǐng)發(fā)放、中止、撤銷程序、交叉認證（跨境認證）等等。在法律對高密級電子簽字（包括數(shù)字簽字）進行嚴格定義后，許多國家法律讓這種簽字享受一系列的法律推定待遇，比如簽字可以直接與簽字使用人掛鉤，視為經(jīng)過證書上所列名的人授權(quán)的行為等等。在 1998 年以前，只有美國等少數(shù)國家有類似的立法。而部分國家對簽字認證的管理略較嚴格，例如韓國，雖然在立法上以“低度管制”原則，但對于認證機構(gòu)的市場待遇和法律地位卻有不同的規(guī)定。 1998年，上海市電子商務(wù)安全證書管理中心有限公司開始創(chuàng)建，這是中國第一個 CA 認證中心， 1999年 2 月和 4 月該中心分別建設(shè)完成了 SET 證書系統(tǒng)和通用證書系統(tǒng)，形成具有自主知識產(chǎn)權(quán)的“中國協(xié)卡認證體系”，兩年多下來已經(jīng)發(fā)放數(shù)字 證書 12萬張。 CFCA 項目包括 SETCA 和 Non－ SETCA 兩套系統(tǒng)，在金融 CA 工程領(lǐng)導(dǎo)小組的組織下，以公開招標的形式組織建設(shè)。而且，后來者強有力地沖擊也使各地方性 CA 架出聯(lián)合行動的態(tài)勢，在表層上形成統(tǒng)一品牌推向全國的行動。所以，與銀行相關(guān)的業(yè)務(wù)，要從網(wǎng)上走的話，基本上需要經(jīng)過 CFCA 這個認證關(guān)口。 目前國內(nèi)對 CA 的認識尚屬初級階段，知者少，用者微。在某些情況下，“第三方”這一屬性顯得更為重要，然而恰恰相反它被用戶、商家、認證中心所忽視。 目前國內(nèi)認證機構(gòu)遠遠還沒到達贏利的平衡線，大家仍在做持續(xù)的投入來培育這塊在“不久的將來”會爆發(fā)的市場，而這個“不久”，再一次被國內(nèi)電子商務(wù)低迷 的氣氛所推遲。解決安全問題 的基本條件就是需要具有相應(yīng)的電子商務(wù)認證機構(gòu)，為買賣雙方提供值得信任的認證服務(wù)。 認證機構(gòu)的建立，目前已經(jīng)成為電子商務(wù)的一個熱點問題。 1）地區(qū)主管部門認為應(yīng)當以地區(qū)為中心建立認證中心 3。然后，按照統(tǒng)一規(guī) 劃、統(tǒng)