【正文】 忠于職守，保證信息不被泄露給非授權人或實體。嚴禁為客戶提供虛假信息。 2）真實性原則。第一，來自認證機構的服務，真正能夠提供客戶值得信賴的信息的認證機構，必然在其運做中逐步樹立自己的權威性 。一個認證機構必須具有自己的權威性。根據目前因特網和計算機系統(tǒng)的運行速度，全國設立一個國家級電子商務認證中心完全可以滿足電子商務交易的需要。然后，按照統(tǒng)一規(guī) 劃、統(tǒng)一布局的原則，在各行業(yè)設立橫向的職能認證機構。 我們認為，電子商務交易認證不應是單純的政府行為，而應當由政府授權，采用市場運營方式，發(fā)揮私人和行業(yè)的積極性，以便形成競爭的局面。密碼管理部門也希望擁有這樣的權利。 2）行業(yè)主管部門認為應當以行業(yè)為中心建立認證中心。 1）地區(qū)主管部門認為應當以地區(qū)為中心建立認證中心 3。有鑒于此，我們應吸取教訓，盡快形成自己的電子商務認 25 證機構的建設方案。我國臺灣地區(qū)有這方面的前車之鑒。為了保證電子商務的健康發(fā)展，建立一個國家級的電子商務認證機構，使它能夠聯(lián)系政府部門的網絡安全認證中心以及各行各業(yè) 現存的認證機構，進而形成一個完整的體系，為參與網絡交易的各方提供法律認可的、具有權威性的商務認證，已經成為電子商務發(fā)展的迫切要求。 認證機構的建立，目前已經成為電子商務的一個熱點問題。 近年來，國際組織為建立全球數字認證中心制訂了一系列的標準與法規(guī)，如國際標準組織（ ISO）已頒布的密鑰鑒別架構（ Authentication Framework）標準 ISO 95948[2]、開放系統(tǒng)連接安全架構（ Security Frameworks in Open Systems ） 標 準 ISO 10181[3] ， 存 證 （ Nonrepudiation）標準 ISO 13888[4]也在草擬中。所以，通過認證機構來進行買賣雙方的全面認證，是保證網絡交易安全的重要措施。通過采用國際上最先進的安全保密技術對網絡上的數據發(fā)送方、接收方進行身份情況確認和資信情況確認，以保證交易各方信息的安全性、保密性和可靠性。解決安全問題 的基本條件就是需要具有相應的電子商務認證機構，為買賣雙方提供值得信任的認證服務。網絡和電子商務的向前發(fā)展的趨勢是不可逆轉的，經營有方的認證機構在 3 年內達到收支平衡是可能的。個人用戶的數字證書目前尚屬免費階段，即使用于網上炒股，只要券商不單獨對其收費， SHECA 也從中直接 得不到一分錢；發(fā)放給企業(yè)用于企業(yè)安全電子郵件、企業(yè)身份識別的證書以及服務器證書，一般每年年費在 1200 元左右，再加上相關產品與解決方案，每年收入不過百萬元。上海、北京、天津等組成的“中國協(xié)卡認證體系”在國內是首家信任服務和安全服務的提供商，起步至今已有 3 年的歷史。 目前國內認證機構遠遠還沒到達贏利的平衡線，大家仍在做持續(xù)的投入來培育這塊在“不久的將來”會爆發(fā)的市場，而這個“不久”，再一次被國內電子商務低迷 的氣氛所推遲。而國內情況大相徑庭，每個銀行都發(fā)自己的卡，造成多卡種、跨地域、跨行、流通困難的局面。 如此推斷下去，國內銀行涉足 CA 領域，看上去很好，屬于水到渠成的事情，其實未必，從“銀行卡” 這一業(yè)務即可以看出端倪。比如證券公司目前提出的交易安全、信息安全概念，主要做的是加解密這一塊工作，他們向股民承諾的是有了這個認證，你的資料、交易 不會被別人看到，但這只是停留在加解密層面上的安全，但真正的安全還包括身份的確認、整個交易記錄完整性的確認等方面，就像做公證一樣，有個“第三方”的特性，恰恰這個特性被忽略了。在某些情況下，“第三方”這一屬性顯得更為重要，然而恰恰相反它被用戶、商家、認證中心所忽視。這個責任要有幾個保障：首先是政府支持，然后是要有經濟實力 ，出了問題要賠得起，相應的保險要做足等等因素缺一不可。其實， CA 是一個要承擔很大責任的機構，和一般的贏利機構和公司是兩種概念。但電子商務概念的熱浪撲面而來，一度催生出各種類型和 CA 機構和公司，甚至在網上可以看到某個人網站在發(fā)送數字證書的景象。 目前國內對 CA 的認識尚屬初級階段，知者少，用者微。具體到數字認證領域，覆蓋全局的跨國界、跨地區(qū)、跨行業(yè)之間的交叉認證是癥結所在。 （二）我國數字認證機構發(fā)展中 存在的問題 各 CA 中心為使自家證書受用面更廣，廣開渠道、相互滲透、拓展市場在所難免，但對于最終用戶來說，仍存在一張證書只能 在一定地域或業(yè)務范圍內才能使用的尷尬局面。例如，在上海正式開通的電子商務網上支付系統(tǒng)中，當地的工行、農行、交行等商業(yè)銀行就已經成為 SHECA 數字證書審批受理點。所以，與銀行相關的業(yè)務，要從網上走的話，基本上需要經過 CFCA 這個認證關口。 中國金融認證中心早在 1999 年初組建領導小組時，就明確闡明了“統(tǒng)一規(guī)劃、聯(lián)合共建”的基本原則。這些認證網站經濟上完全獨立，應用開發(fā)和投入上各自去做，做出來的應用方案可以相互借鑒、通用，在技術標準、客戶服務標準、保險等方面則是完全統(tǒng)一，以保證市場品牌的統(tǒng)一性和用戶使用上的便捷。這條戰(zhàn)線結合傳統(tǒng)業(yè)務的 e 化流程，具有得天獨厚的政策優(yōu)勢和資源優(yōu)勢，雄心勃勃地勾勒出一統(tǒng)江山后的圖畫。而且，后來者強有力地沖擊也使各地方性 CA 架出聯(lián)合行動的態(tài)勢，在表層上形成統(tǒng)一品牌推向全國的行動。各 CA機構深諳其道，紛紛打出“國字號”招牌，以顯得神通廣大：“中國協(xié)卡認證體系”在對外宣傳資料上赫然印著 8 個大字：“一證在手，走遍天下”，讓人對網上安全前景怦然心動；中國金融認證中心一開始就打出“統(tǒng)一中國”的口號，氣勢高昂；同樣，南方幾家認證聯(lián)盟已經把觸角伸到西 南、西北，整體輪廓依稀可見。經過 9 個月的緊張實施，系統(tǒng)建設工程已全面完成，并已于 20xx 年 6 月 29日開始對社會各界提供證書服務，系統(tǒng)進入運行狀態(tài)。最終， IBM 公司中標 SET 系統(tǒng)，德達 /SUN/Entrust 集團中標 NON－ SET系統(tǒng)，并于 1999 年 8 月 30日正式簽約實施。 CFCA 項目包括 SETCA 和 Non－ SETCA 兩套系統(tǒng)，在金融 CA 工程領導小組的組織下，以公開招標的形式組織建設。廣東省電子商務認證中心是經廣東省政府批準成立的廣東省惟一一家政府認可的 安全認證權威機構，前身是南方電子商務中心；湖北 CA 中心（簡稱 HBECA）是經湖北省政府批準成立 ,由湖北省信息中心控股，在廣東南方通信集團支持下組建的一家高科技有限責任公司，是代表湖北省政府惟一從事電子商務和電子政務安全證書管理的權威性機構；海南省電子商務認證中心，是經海南省政府批準，由海南省商貿信息服務中心和廣東南方通信集團公司南方電子商務中心聯(lián)合出資組建，從事電子商務數字證書制作、頒發(fā)、管理和相關網絡加密的權威機構。上海市 CA 中心目前已經頒發(fā)系列完整的數字證 18 書，包括與信用卡綁定的 SET 證書，以及不與業(yè)務掛鉤的通用證書，發(fā)證對象包括個人、企事業(yè)單位、網站服務器、軟件代碼等。 “中國協(xié)卡認證體系（ SHECA）”由上海 CA 中心發(fā)起成立，目前包括上海、北京、天津三地 CA 中心。 1998年，上海市電子商務安全證書管理中心有限公司開始創(chuàng)建，這是中國第一個 CA 認證中心， 1999年 2 月和 4 月該中心分別建設完成了 SET 證書系統(tǒng)和通用證書系統(tǒng)，形成具有自主知識產權的“中國協(xié)卡認證體系”，兩年多下來已經發(fā)放數字 證書 12萬張。 上述立法態(tài)度的差異與其本國的文化和經濟發(fā)展程度、電子商務的水平密切相關，從實際效果來看，美國是發(fā)達 國家中電子商務發(fā)展程度最高的國家，韓國可以說是發(fā)展中國家電子商務水平最高的國家，因此，只要是符合簽字認證的發(fā)展規(guī)律和本國國情的立法均能起到很好的效 17 果。而私人的認證機構是由企業(yè)或外國認證機構設立的，無須負擔任何的法律限制與義務，但其發(fā)放的數字證書并沒有法律效力。政府所核準的認證機構根據電子簽字法設立，條件較高，如資本額需達 800 萬美元；需有 12 個以上具備認證實務管理經驗的工程師；要有能力辨認使用者的身份與注冊資料、管理數字簽字密鑰與證書、維護證書管理系統(tǒng)的安全、進行實體備份與資料備份。而部分國家對簽字認證的管理略較嚴格，例如韓國，雖然在立法上以“低度管制”原則，但對于認證機構的市場待遇和法律地位卻有不同的規(guī)定。美國在認證市場的準入和監(jiān)管方面最為寬松，幾乎是“放手不管”，以市場導向和業(yè)者自律為原則。其主要內容包括：定義；原則； 電子簽字的法律要件；電子簽字的法律效力；認證機構設立與管理；認證機構權 利義務；認證機構與證書持有人、信賴人之間的法律關系；數字證書的申請、發(fā)放、中止、撤銷；交叉認證等。 1998 年以后，特別是進入新千年以來，主要發(fā)達國家和新興發(fā)展中國家均已制定或正在制定數字認證法律。在 1998 年以前，只有美國等少數國家有類似的立法。截至到今日，一共有 57 個國家頒 布了數字認證或相關的法律。 世界上最早涉及到電子簽字的法律是俄國家杜馬通過的《俄羅斯聯(lián)邦信息法》，該法承認經電子簽字認證的自動信息和電信系統(tǒng)所儲存和傳輸的文件具有法律效力。少數較晚的國家如日本、英國等有意 采用不隨大流的立法語言以凸顯其法律的獨特 15 性，而國際組織或區(qū)域組織在本領域內進行法律統(tǒng)一時，基本上都另起爐灶，采用一套全新的法律語言，以求得統(tǒng)一的效果。在法律對高密級電子簽字（包括數字簽字）進行嚴格定義后，許多國家法律讓這種簽字享受一系列的法律推定待遇，比如簽字可以直接與簽字使用人掛鉤，視為經過證書上所列名的人授權的行為等等。盡管采用了不同的稱謂，比如伊州法、新加坡法將高密級的電子簽字稱為“可靠電子簽字”（ secure electronic signature），UNCITRAL《電子簽字統(tǒng)一規(guī)則》使用“強化電子簽字”（ enhanced electronic signature）；歐盟指令則稱為“高級電子簽字”（ advanced electronic signature），但兩分法的立法處理是共通的。 美國伊利諾州《電子商務安全法》將電子簽字分為高密級與一般電子簽字兩種， 同時將符合條件的數字簽字納入高密級的電子簽字中去，從而巧妙地使兩套體系得以銜接。各國認為，只要解決了這些法律問題，電子簽字法基本上就可以起到排除現有法律障礙的目的。大體而言，一部比較完整的電子簽字法包括了電子記錄、電子合同、電子簽字一般規(guī)定、可靠電子簽字（數字簽字）的法律推定效力、合同成立、確認收訖、證據留存、自動交易（電子代理人）、數據傳輸錯誤時風險責任的劃分、認證機構資質與許可管理、認證機構基本義務、用戶基本義務、數字證書的申領發(fā)放、中止、撤銷程序、交叉認證（跨境認證）等等。第四、強調消費者 法律保護、知識產權保護與隱私權的保護。第二、電子簽字法立法的出發(fā)點以排除法律障礙為主 。 立法思想的趨同集中表現在以下幾個方面，第一、“技術中立”的立法原則已被廣為接受，“電子簽字”作為法律概念，要比作為技術與法律雙重概念的“數字簽字”更受立法者的青睞。盡管美國立法具有突出貢獻，電子簽字法在全球范圍內的勃興還是融合了各國、各國際組織法律專家與技術專家的群體智慧。 三、 世界各國電子簽字與數字認證政策 法律的互動與趨同趨勢 電子簽字與數字認證政策法律用以調整認證機構、證書用戶、國家行政機關與不特定的社會公眾之間在認證電子交易過程中所發(fā)生的法律關系，調整對象主要包括平等主體之間民商事法律關系和非平等主體之間的行政法律關系。游戲規(guī)則的差異形成了各國規(guī)則的競爭態(tài)勢，我國在電子商務立法中要注意考察這些差異性，選取較易為漢語言體系所吸納的法律語言來表述立法。 當然，各國經濟發(fā)展水平差異巨大，信息網絡技術應用程度相去甚遠，電子商務立法內容中更多的是差異性。這些同質性內容主要包括強調行業(yè)自我培育交易規(guī)則、對 CA 的自愿認證管理方案、對電子簽字的直接承認、對電子商務經營主體的信息 12 披露與保密要求等等。 從各國法制的同異性考察，電子商務法律有同質性的內容，尤其是在英美法系國家中這種現象更為明顯，美國挾其電子商務的綜合優(yōu)勢對前英殖民地國家的電 子商務立法活動產生了重大影響，這些國家的法律從體例、用語到具體內容存在著極大的近似性。這與三大地塊的經濟水平與信息科技基礎較好，電子商務發(fā)展較快息息相關。不論是政府核準的認證機構還是私人的認證機構，要獲得營業(yè)執(zhí)照必須向信息通訊局申請，在收到申請文件后進行書面審查，若書面審查通過則由 韓國信息安全局 再 進行實質審查。此類認證機構的證書具有法律效力和較高的公信力。一種是政府所核準的認證機構，另一種是私人的認證機構。但是，美國對于涉及消費者保護、個人尤其是兒童的隱私保護有強制性規(guī)定；另外，美國政府較著力于 行政機關對電子簽字的接受與使用加以推廣，要求國務院對于外國或國際性組織使用與接受電子簽字產品與服務的情況定期向國會報告，以作為調整相關互惠規(guī)定的參考。 從主要國家和國際組織的相關法律來看，在簽字認證的定義、原則、法律要件、效力、認證機構法律責任等方面的規(guī)定幾乎相同，但在對待認證機構的市場準入、設立條件、監(jiān)督管理等方面有一些差異。 因簽字認證技術的國際性使得各國法律的基本框架具有較大的相似性。多數發(fā)展中國家倡導政府適度干預，積極監(jiān)管的立法政策，在有關立法上較多筆墨規(guī)范了簽字和認證服務提供商的設立、行為等事宜。 市場發(fā)育程度較