【正文】 一布局的原則，在各行業(yè)設(shè)立橫向的職能認(rèn)證機(jī)構(gòu)。 2）真實(shí)性原則。 5）經(jīng)濟(jì)性原則。 2）資信認(rèn)證。這項(xiàng)認(rèn)證可以由國(guó)家稅務(wù)總局來(lái)做。 （參見(jiàn)圖 1）。盡快完善電子商務(wù)認(rèn)證管 理辦法是發(fā)展電子商務(wù)的重要環(huán)節(jié)。 目前，國(guó)際上對(duì)這一問(wèn)題極為重視，聯(lián)合國(guó)和許多發(fā)達(dá)國(guó)家都有了 30 相應(yīng)的管理辦法。 數(shù)字認(rèn)證機(jī)構(gòu)（ CA）行為規(guī)則和涉及交互各方當(dāng)事人的權(quán)利、義務(wù)等，需要通過(guò)立法來(lái)規(guī)范。 上海市電子商務(wù)安全證書(shū)管理中心 1998 年經(jīng)國(guó)家密碼委員會(huì)批準(zhǔn)，成為全國(guó)第一個(gè) CA 中心試點(diǎn)單位 ；現(xiàn)已運(yùn)行了三年，積累了大量經(jīng)驗(yàn)。新加坡 1998 年出臺(tái)的《 The Electronic Transation Act 1998》，對(duì)電子記錄、電子簽名、認(rèn)證機(jī)構(gòu)及政府的使用等作了明確規(guī)定，我國(guó)的臺(tái)灣地區(qū)的《電子簽章法》（草案），目前正在審定之中，該法案對(duì)電子簽章的法律地位、認(rèn)證機(jī)構(gòu)的設(shè)立及管理、認(rèn)證標(biāo)準(zhǔn)等都作了相應(yīng)規(guī)范。值得探討的主要內(nèi)容有： （一） 認(rèn)證機(jī)構(gòu)的市場(chǎng)準(zhǔn)入 對(duì)認(rèn)證機(jī)構(gòu)的資質(zhì)審查是政府監(jiān)控認(rèn)證活動(dòng)的重要手段，只有具有較高經(jīng)營(yíng)條件的組織才可承擔(dān)數(shù)字認(rèn)證業(yè)務(wù)。 35 認(rèn)證機(jī)構(gòu)采用的關(guān)鍵性技術(shù)方案發(fā)生變更的，應(yīng)當(dāng)取得有關(guān)的批準(zhǔn)文件和安全檢測(cè)報(bào)告，并報(bào)信息化行政管理部門(mén)登記備案。用戶(hù)通過(guò)數(shù)字證書(shū)所生成的數(shù)字簽字可以用于網(wǎng)上各類(lèi)活動(dòng)中的身份驗(yàn)證，包括電子商務(wù)等網(wǎng)上經(jīng)營(yíng)活動(dòng)和電子政務(wù)、電子報(bào)稅等非經(jīng)營(yíng)活動(dòng)。認(rèn)證機(jī)構(gòu)的安全系統(tǒng)泄密導(dǎo)致用戶(hù)數(shù)字證書(shū)的安全性能無(wú)法保障 37 的，認(rèn)證機(jī)構(gòu)應(yīng)撤銷(xiāo)該數(shù)字證書(shū)，并對(duì)該用戶(hù)作出補(bǔ)償。 認(rèn)證機(jī)構(gòu)可以在認(rèn)證業(yè)務(wù) 說(shuō)明中設(shè)置賠償責(zé)任限額，但該限額不得低于相應(yīng)的數(shù)字證書(shū)費(fèi)用的 100 倍。 對(duì)認(rèn)證機(jī)構(gòu)從事認(rèn)證活動(dòng)中的過(guò)錯(cuò)，造成用戶(hù)、商家和支付網(wǎng)關(guān)等服務(wù)對(duì)象損失的，認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)予以民事賠償。 ，也可以將其分為個(gè) 人用戶(hù)證書(shū)、企業(yè)用戶(hù)證書(shū)、服務(wù)器證書(shū)及代碼證書(shū)；或分為發(fā)卡機(jī)構(gòu)證書(shū)、銀行證書(shū)和支付網(wǎng)關(guān)證書(shū)。 第三方認(rèn)證機(jī)構(gòu)是指完全獨(dú)立于交易各方，與交易內(nèi)容沒(méi)有利益關(guān)系的認(rèn)證機(jī)構(gòu)。但 SET 認(rèn)證結(jié)構(gòu)適應(yīng)于卡支付，對(duì)其他支付方式是有所限制的。 PKI CA 增加網(wǎng)上交易各方明顯的信任，也為它們之間的可靠通信創(chuàng)造條件，并為“ B to B”及“ B to C”兩種電子商務(wù)模式提供兼容性服務(wù)。 圖 2 證書(shū)的樹(shù)形驗(yàn)證結(jié)構(gòu) 在網(wǎng)上購(gòu)物實(shí)踐中 ， 持卡人的證書(shū)與發(fā)卡機(jī)構(gòu)的證書(shū)關(guān)聯(lián) ， 而發(fā)卡機(jī)構(gòu)證書(shū)通過(guò)不同品牌卡的證書(shū)連接到 Root CA， 而 Root的公共簽名密鑰對(duì)所有的 SET 軟件都是已知的 ， 可以校驗(yàn)每一個(gè)證書(shū)。 美國(guó)猶他州法第 203條規(guī)定，認(rèn)證機(jī)構(gòu)披露記錄的內(nèi)容應(yīng)包括： a 認(rèn)證機(jī)構(gòu)的名稱(chēng)、地址和電話(huà)號(hào)碼； b 認(rèn)證機(jī)構(gòu)的區(qū)別名稱(chēng)、標(biāo)志； c 認(rèn)證機(jī)構(gòu)現(xiàn)行的公開(kāi)密鑰； d 根據(jù)最近對(duì)認(rèn)證機(jī)構(gòu)活動(dòng)的履行審計(jì)，所作的認(rèn)證機(jī)構(gòu)的分類(lèi)，及審計(jì)的日期； e 如果認(rèn)證機(jī)構(gòu)的證書(shū)在許可之后被撤消了，撤消證書(shū)中包含的公開(kāi)密鑰和撤消的理由； f 認(rèn)證機(jī)構(gòu)的合適的保證金額； g 如果認(rèn)證機(jī)構(gòu)的許可證被撤消，或正在被吊銷(xiāo)， 撤消或吊銷(xiāo)的日 45 期與理由； h 如果有的話(huà)，認(rèn)證。例如 ， C 的證書(shū)是由名稱(chēng)為 B 的 CA 簽發(fā)的 ， 而 B 的證書(shū)又是由名稱(chēng)為 A 的 CA 簽發(fā)的 ， A 是權(quán)威的機(jī)構(gòu) ， 通常稱(chēng)為根 （ Root）CA。當(dāng)兩個(gè)用戶(hù)分別由不同的CA服務(wù)時(shí)，不同的 CA 要為每個(gè)用戶(hù)建立一個(gè)證書(shū)（這種認(rèn)證方式叫作“交叉認(rèn)證”）。在證書(shū)中，利用 42 識(shí)別名來(lái)確定 SET交易中所涉及的各參與方。在此情況下 ， 客戶(hù)和商家都信任該銀行 ， 可由該銀行擔(dān)當(dāng) CA角色 ， 接收、處理他的卡客 戶(hù)證書(shū)和商家證書(shū)的驗(yàn)證請(qǐng)求。它是由金融機(jī)構(gòu)簽發(fā)的 ， 不能被第三方改變。 對(duì)有下列情形之一，信息化行政管理部門(mén)可以暫時(shí)中止認(rèn)證機(jī)構(gòu)的經(jīng)營(yíng)許可，責(zé)令認(rèn)證機(jī)構(gòu)停業(yè)整頓：一是向社會(huì)公開(kāi)披露的信息出現(xiàn)重大失實(shí)的；二是認(rèn)證機(jī)構(gòu)的安全系統(tǒng)出現(xiàn)重大問(wèn)題，足以影響對(duì)外提供認(rèn)證業(yè)務(wù)的；三是認(rèn)證機(jī)構(gòu)的經(jīng)營(yíng)出現(xiàn)重大困難，難以繼續(xù)維持其基本業(yè)務(wù)的；四是信息化行政管理部門(mén)認(rèn)為 應(yīng)當(dāng)停業(yè)整頓的其他情形。 除其他法律另有規(guī)定外，認(rèn)證機(jī)構(gòu)不得對(duì)外披露以下信息：一是數(shù)字證書(shū)申請(qǐng)人向認(rèn)證機(jī)構(gòu)披露的身份信息及有關(guān)信息；二是用戶(hù)委托認(rèn)證機(jī)構(gòu)保管的私鑰。 認(rèn)證機(jī)構(gòu)在收到撤銷(xiāo)數(shù)字證書(shū)的請(qǐng)求后，應(yīng)當(dāng)對(duì)請(qǐng)求人的身份進(jìn)行合理審查，經(jīng)確認(rèn)身份后撤銷(xiāo)該數(shù)字證書(shū)。 （二） 數(shù)字證書(shū)申請(qǐng)和使用 數(shù)字證書(shū)的申請(qǐng)和使用是整個(gè)認(rèn)證活動(dòng)的中心，它反映了用戶(hù)、商家和支付網(wǎng)關(guān)等在電子商務(wù)活動(dòng)中的權(quán)利和義務(wù)。 經(jīng)批準(zhǔn)經(jīng)營(yíng)數(shù)字認(rèn)證業(yè)務(wù)的，應(yīng)當(dāng)持依法取得的數(shù)字認(rèn)證業(yè)務(wù)經(jīng)營(yíng)許可證到相應(yīng)的工商行政管理部門(mén)辦理工 商登記手續(xù)。 六、數(shù)字認(rèn)證管理的主要內(nèi)容 國(guó)際社會(huì)對(duì)數(shù)字認(rèn)證的法律管制已有了較多的探索，并建立了相應(yīng)的管制機(jī)制，這給我國(guó)數(shù)字認(rèn)證的法律規(guī)范起到了很好的借鑒，然而，由于美國(guó)、歐盟等國(guó)家和地區(qū)的行政管理機(jī)制和理念的不同，管制的手段也有所側(cè)重。此外，最近，聯(lián)合國(guó)國(guó)際貿(mào)易會(huì)開(kāi)始了重點(diǎn)在電子簽名和認(rèn)證許可的法律制定工作；美國(guó)的許多州已經(jīng)通過(guò)了有關(guān)電子簽名和身份認(rèn)證法律；歐盟于 1997 年 4 月提出《歐盟電子商務(wù)行動(dòng)方案》，并于 1998 年起草了各種與電子商務(wù)有關(guān)的法律，規(guī)范電子商務(wù)市場(chǎng)。 另外，認(rèn)證既為一種適應(yīng)網(wǎng)絡(luò)時(shí)代而產(chǎn)生的新興服務(wù)業(yè)，自然會(huì)有更多的企業(yè)會(huì)加入到這一服務(wù)行業(yè)，隨著我國(guó)將加入 WTO，外國(guó)的認(rèn)證服務(wù)機(jī)構(gòu)也將逐漸地進(jìn)入這一行業(yè)。但是由于數(shù)字認(rèn)證（包括認(rèn)證的行為、手段和結(jié)果）的法律有效性問(wèn)題還未得到法律上確認(rèn)，使得電子文件傳輸過(guò)程而產(chǎn)生的糾紛責(zé)任歸責(zé)問(wèn)題難以得到界定，數(shù)字認(rèn)證機(jī)構(gòu)（ CA）的功能作用發(fā)揮也得 不到法律保障。上海電子商務(wù)只有走規(guī)范發(fā)展的道路，才能與占有地利優(yōu)勢(shì)的北京相抗衡。它是為了從根本上保障電子商務(wù)交易活動(dòng)順利進(jìn)行的一項(xiàng)基礎(chǔ)性工作，主要是解決電子商務(wù)活動(dòng)中交易參與各方身份、資信的認(rèn)定，維護(hù)交易活動(dòng)的安全。這一根系統(tǒng)的建立，可以由國(guó)家有關(guān)部門(mén)牽頭，成立國(guó)家電子商務(wù)認(rèn)證中心，通管職能認(rèn)證系統(tǒng)。企業(yè)稅收資料歷年積累完整，可以全面反映一個(gè)企業(yè)的整體經(jīng)營(yíng)情況。目前我國(guó)企業(yè)在國(guó)家工商部門(mén)都有登記，只要通過(guò)認(rèn)證機(jī)構(gòu)將這些資料匯總，即可開(kāi)展企業(yè)身 份認(rèn)證。 4）快捷性原則。第一，來(lái)自認(rèn)證機(jī)構(gòu)的服務(wù)，真正能夠提供客戶(hù)值得信賴(lài)的信息的認(rèn)證機(jī)構(gòu)，必然在其運(yùn)做中逐步樹(shù)立自己的權(quán)威性 。 我們認(rèn)為，電子商務(wù)交易認(rèn)證不應(yīng)是單純的政府行為，而應(yīng)當(dāng)由政府授權(quán)，采用市場(chǎng)運(yùn)營(yíng)方式，發(fā)揮私人和行業(yè)的積極性，以便形成競(jìng)爭(zhēng)的局面。有鑒于此，我們應(yīng)吸取教訓(xùn)，盡快形成自己的電子商務(wù)認(rèn) 25 證機(jī)構(gòu)的建設(shè)方案。 近年來(lái)，國(guó)際組織為建立全球數(shù)字認(rèn)證中心制訂了一系列的標(biāo)準(zhǔn)與法規(guī)，如國(guó)際標(biāo)準(zhǔn)組織（ ISO）已頒布的密鑰鑒別架構(gòu)（ Authentication Framework）標(biāo)準(zhǔn) ISO 95948[2]、開(kāi)放系統(tǒng)連接安全架構(gòu)（ Security Frameworks in Open Systems ） 標(biāo) 準(zhǔn) ISO 10181[3] ， 存 證 （ Nonrepudiation）標(biāo)準(zhǔn) ISO 13888[4]也在草擬中。網(wǎng)絡(luò)和電子商務(wù)的向前發(fā)展的趨勢(shì)是不可逆轉(zhuǎn)的，經(jīng)營(yíng)有方的認(rèn)證機(jī)構(gòu)在 3 年內(nèi)達(dá)到收支平衡是可能的。而國(guó)內(nèi)情況大相徑庭，每個(gè)銀行都發(fā)自己的卡，造成多卡種、跨地域、跨行、流通困難的局面。這個(gè)責(zé)任要有幾個(gè)保障：首先是政府支持，然后是要有經(jīng)濟(jì)實(shí)力 ，出了問(wèn)題要賠得起，相應(yīng)的保險(xiǎn)要做足等等因素缺一不可。具體到數(shù)字認(rèn)證領(lǐng)域，覆蓋全局的跨國(guó)界、跨地區(qū)、跨行業(yè)之間的交叉認(rèn)證是癥結(jié)所在。 中國(guó)金融認(rèn)證中心早在 1999 年初組建領(lǐng)導(dǎo)小組時(shí)，就明確闡明了“統(tǒng)一規(guī)劃、聯(lián)合共建”的基本原則。各 CA機(jī)構(gòu)深諳其道，紛紛打出“國(guó)字號(hào)”招牌，以顯得神通廣大：“中國(guó)協(xié)卡認(rèn)證體系”在對(duì)外宣傳資料上赫然印著 8 個(gè)大字：“一證在手，走遍天下”，讓人對(duì)網(wǎng)上安全前景怦然心動(dòng)；中國(guó)金融認(rèn)證中心一開(kāi)始就打出“統(tǒng)一中國(guó)”的口號(hào)，氣勢(shì)高昂；同樣，南方幾家認(rèn)證聯(lián)盟已經(jīng)把觸角伸到西 南、西北，整體輪廓依稀可見(jiàn)。廣東省電子商務(wù)認(rèn)證中心是經(jīng)廣東省政府批準(zhǔn)成立的廣東省惟一一家政府認(rèn)可的 安全認(rèn)證權(quán)威機(jī)構(gòu)，前身是南方電子商務(wù)中心；湖北 CA 中心（簡(jiǎn)稱(chēng) HBECA）是經(jīng)湖北省政府批準(zhǔn)成立 ,由湖北省信息中心控股，在廣東南方通信集團(tuán)支持下組建的一家高科技有限責(zé)任公司，是代表湖北省政府惟一從事電子商務(wù)和電子政務(wù)安全證書(shū)管理的權(quán)威性機(jī)構(gòu)；海南省電子商務(wù)認(rèn)證中心，是經(jīng)海南省政府批準(zhǔn)，由海南省商貿(mào)信息服務(wù)中心和廣東南方通信集團(tuán)公司南方電子商務(wù)中心聯(lián)合出資組建，從事電子商務(wù)數(shù)字證書(shū)制作、頒發(fā)、管理和相關(guān)網(wǎng)絡(luò)加密的權(quán)威機(jī)構(gòu)。 上述立法態(tài)度的差異與其本國(guó)的文化和經(jīng)濟(jì)發(fā)展程度、電子商務(wù)的水平密切相關(guān)，從實(shí)際效果來(lái)看，美國(guó)是發(fā)達(dá) 國(guó)家中電子商務(wù)發(fā)展程度最高的國(guó)家，韓國(guó)可以說(shuō)是發(fā)展中國(guó)家電子商務(wù)水平最高的國(guó)家，因此，只要是符合簽字認(rèn)證的發(fā)展規(guī)律和本國(guó)國(guó)情的立法均能起到很好的效 17 果。美國(guó)在認(rèn)證市場(chǎng)的準(zhǔn)入和監(jiān)管方面最為寬松，幾乎是“放手不管”，以市場(chǎng)導(dǎo)向和業(yè)者自律為原則。截至到今日，一共有 57 個(gè)國(guó)家頒 布了數(shù)字認(rèn)證或相關(guān)的法律。盡管采用了不同的稱(chēng)謂，比如伊州法、新加坡法將高密級(jí)的電子簽字稱(chēng)為“可靠電子簽字”（ secure electronic signature），UNCITRAL《電子簽字統(tǒng)一規(guī)則》使用“強(qiáng)化電子簽字”（ enhanced electronic signature）；歐盟指令則稱(chēng)為“高級(jí)電子簽字”（ advanced electronic signature），但兩分法的立法處理是共通的。第四、強(qiáng)調(diào)消費(fèi)者 法律保護(hù)、知識(shí)產(chǎn)權(quán)保護(hù)與隱私權(quán)的保護(hù)。 三、 世界各國(guó)電子簽字與數(shù)字認(rèn)證政策 法律的互動(dòng)與趨同趨勢(shì) 電子簽字與數(shù)字認(rèn)證政策法律用以調(diào)整認(rèn)證機(jī)構(gòu)、證書(shū)用戶(hù)、國(guó)家行政機(jī)關(guān)與不特定的社會(huì)公眾之間在認(rèn)證電子交易過(guò)程中所發(fā)生的法律關(guān)系，調(diào)整對(duì)象主要包括平等主體之間民商事法律關(guān)系和非平等主體之間的行政法律關(guān)系。 從各國(guó)法制的同異性考察，電子商務(wù)法律有同質(zhì)性的內(nèi)容，尤其是在英美法系國(guó)家中這種現(xiàn)象更為明顯，美國(guó)挾其電子商務(wù)的綜合優(yōu)勢(shì)對(duì)前英殖民地國(guó)家的電 子商務(wù)立法活動(dòng)產(chǎn)生了重大影響，這些國(guó)家的法律從體例、用語(yǔ)到具體內(nèi)容存在著極大的近似性。一種是政府所核準(zhǔn)的認(rèn)證機(jī)構(gòu)，另一種是私人的認(rèn)證機(jī)構(gòu)。多數(shù)發(fā)展中國(guó)家倡導(dǎo)政府適度干預(yù)，積極監(jiān)管的立法政策，在有關(guān)立法上較多筆墨規(guī)范了簽字和認(rèn)證服務(wù)提供商的設(shè)立、行為等事宜。 。這一階段的立法以調(diào)整電子交易形式方面的電子商務(wù)法為主，獨(dú)立調(diào)整簽字認(rèn)證的法律較少，立法語(yǔ)言尚不成熟。 （六）韓國(guó) 韓國(guó)的信息與通信部正在起草一項(xiàng)使數(shù)字簽字合法化的法案，使已經(jīng)認(rèn)證的數(shù)字簽名的所有數(shù)字式商務(wù)文檔均與實(shí)際交易中使用的硬考貝 具有同等法律效力；韓國(guó)商業(yè)、工業(yè)和能源部打算今年頒布《電子商務(wù)基本法》，以便與國(guó)際上制定的全球 Inter 貿(mào)易標(biāo)準(zhǔn)相接軌。 第六，《指令》通過(guò)自愿認(rèn)可方案的認(rèn)可、取得歐盟內(nèi) CA 的擔(dān)保、以及訂立雙邊或多邊協(xié)議三種方式解決了與歐盟外認(rèn)證機(jī)構(gòu)的數(shù)字證書(shū)的交叉認(rèn)證問(wèn)題。根據(jù)該法案規(guī)定，在該法案確定的標(biāo)準(zhǔn)得到遵守的前提下，即可賦于電子簽字、電子合同和電子記錄以法律上的確定性。華州州法非常近似于猶他州法，于是此類(lèi)立法被通稱(chēng)為“猶他 /華盛頓 ”模式，該模式的特點(diǎn)在于法律直接鎖定某種具體技術(shù)，將大量的技術(shù)術(shù)語(yǔ)與技術(shù)標(biāo)準(zhǔn)直接納入法律規(guī)范，又被稱(chēng)為“指定式”（ prescriptive）立法。該法共 12 條，內(nèi)容涉及：適用范圍、定義、簽字技術(shù)的平等對(duì)待、符合簽字要求、簽字人的行為、驗(yàn)證服務(wù)提供商的行為、可信賴(lài)性、依賴(lài)方的行為、對(duì)外國(guó)證書(shū)和電子簽字的承認(rèn)。 認(rèn)證機(jī)構(gòu)在電子商務(wù)中具有特殊的地位。前者用于鑒別用戶(hù)身份，后者用于保證通信雙方的不可抵賴(lài)性和信息的完整性。 1 《上海市數(shù)字認(rèn)證管理辦法》立法調(diào)研報(bào)告 一、數(shù)字認(rèn)證、數(shù)字證書(shū)與認(rèn)證機(jī)構(gòu)的概念 數(shù)字認(rèn)證技術(shù)是保證電子商務(wù)交易安全的一項(xiàng)重要技術(shù)。 數(shù)字認(rèn)證主要包括身份認(rèn)證和信息認(rèn)證。 認(rèn)證機(jī)構(gòu)是指從事頒發(fā)為電子簽字的目的而使用的加密密鑰相關(guān)的證書(shū)的人。 20xx 年 3 月 23 日，聯(lián)合國(guó)國(guó)際貿(mào)易法委員會(huì)電子商務(wù)工作組第38屆會(huì)議通過(guò)了《電子簽字示范法》。緊步猶他州后塵的是《華盛頓電子認(rèn)證法》（ Washington Electronic Authenticate Act）。該項(xiàng)立法作為美國(guó)政府推動(dòng)電子商務(wù)的重要舉措，為電子簽字和電子記錄的法律地位的確定制定了重要的程序和規(guī)則。 第五，《指令》在為安全系統(tǒng)和電子簽字產(chǎn)品設(shè)置技術(shù)標(biāo)準(zhǔn)的同時(shí)，同時(shí)很重視市場(chǎng)準(zhǔn)入問(wèn)題。這個(gè)授權(quán)認(rèn)證規(guī)則得到了美國(guó)國(guó)家標(biāo)準(zhǔn)和技術(shù)研究院 (NIST)及 OECD 的高度評(píng)價(jià)，并被指定為共同的全球規(guī)劃的主要基礎(chǔ)?？紤]到其通過(guò)時(shí)間早在 1995 年 1 月 25 日，甚至早于 9