析電子認證規則

續征

電子認證是以電子認證證書（又稱數字證書）為核心技術的加密技術，它以PKI技術為基礎，對網絡上傳輸的信息進行加密、解密、數字簽名和數字驗證。電子認證是電子政務和電子商務中的核心環節，可以確保網上傳遞信息的保密性、完整性和不可否認性，確保網絡應用的安全。

電子認證所應遵循的規則，就是電子認證業務規則。電子認證業務規則應當包括責任范圍、作業操作規范、信息安全保障措施等事項。

一、電子認證服務提供者應當制定、公布符合國家有關規定的電子認證業務規則，并向國務院信息產業主管部門備案

電子認證服務是專業性很強的活動，由電子認證服務提供者制定有關業務規則是合理的，也是符合實際的。當然，電子認證服務者不能制定損害電子簽名人和電子簽名依賴方利益的、不公平的"霸王條款"。為了防止這種情況出現，有兩項要求：一是電子認證服務者制定的電子認證業務規則要符合國家有關規定，而且還要公布；二是電子認證業務規則要向國務院信息產業主管部門備案，以接受監督。有些國家和地區的電子簽名法也規定了電子認證服務提供者制定認證業務規則的義務。例如，韓國電子簽名法規定，認證機構應擬訂包括下列各項內容的認證業務通則，并應向信息通信部長官申報：認證業務種類、認證業務的執行方法及步驟、認證服務的利用條件及費用其他必需事項。信息通信部長官認為認證業務通則規定的內容有礙于確保認證業務的安全和可依賴性或損害用戶利益的，可命令認證機構改正。我國臺灣地區電子簽章法規定，認證機構應制定認證實務作業基準，認證實務作業基準應載明以下事項：足以影響認證機構所簽發認證的可靠性或其業務執行的重要資訊；認證機構徑行廢止認證的事由；驗證認證內容相關資料的留存；保護當事人個人資料的方法及程序；其他經主管機關訂定的重要事項。

二、電子認證業務規則主要包括以下事項

1. 責任范圍

電子認證服務提供者在提供認證服務過程中，由于未履行其應盡義務，尤其是保證其簽發證書的真實、可靠性的義務，既可能產生對電子簽名人的責任，也可能產生對電子簽名依賴方的責任。電子認證服務提供者與電子簽名人即電子簽名認證證書持有者是民事合同關系，電子認證服務提供者依照合同約定承擔責任。電子認證服務提供者對電子簽名依賴方的責任是基于法律規定而產生的，即兩者是法律上的信賴關系，電子認證服務提供者對電子簽名依賴方的法定義務是其承擔責任的基礎。同時也應當看到，電子認證服務是一個高風險的行業，既有內部風險又有外部風險，并且一旦發生風險往往會造成非常嚴重的后果。電子認證服務提供者在從事電子認證服務活動時當然應當盡合理的注意，承擔相應的義務，但在無過錯的情況下，不應承擔責任，而無過錯的舉證責任要由認證機構承擔。這是因為電子認證服務提供者處于中立的第三方，其行為和信譽直接關系到電子簽名人與電子簽名依賴方的利益，且相對于電子簽名人及電子簽名依賴方又處于強勢地位，一些國家均規定了較為嚴格的責任制度，且設立了舉證責任倒置的制度，即電子認證服務提供者如能證明其對于責任事項無任何過錯方可免責。電子簽名人或者電子簽名依賴方因依據電子認證服務者提供的電子簽名認證服務從事民事活動遭受損失，電子認證服務提供者不能證明自己無過錯的，承擔賠償責任。

從實踐中看，電子簽名認證合同基本上屬于格式合同。格式合同，是指合同條款由當事人一方預先擬定，另一方當事人只能表示全部同意或者不同意的合同，也就是說一方當事人要么從整體上接受合同條件，要么不訂立合同。比如電子認證合同作為格式合同的特征有：一是數字證書的項目由電子認證服務提供者預定且不能改變；二是認證費用由電子認證服務提供者預定而不能討價還價；三是簽署者和電子認證服務提供者的責任條款由電子認證服務提供者單方制定并且不容進一步協商，而這正是電子認證合同中最關鍵的內容。目前在實踐中，此責任條款有的出現在認證業務聲明中，例如美國的Verisign公司就在其業務聲明中規定了免責條款；也可以直接以責任書的形式出現，如上海電子商務安全證書管理中心有限公司就采取這種做法；還可以以電子認證中心數字證書章程的形式出現，如廣東省電子商務主認證中心就采取此種做法。對此責任條款只有“我接受”和“我拒絕”兩種選擇，選擇“我接受”則繼續證書申請的下一個步驟，選擇“我拒絕”則終止證書的申請。

另外，在電子認證合同中也有允許客戶選擇的內容，例如證書的信賴等級。Verisign公司已經建立了三種用戶等級：對于第一等級，用戶只能依賴它做網頁瀏覽和個人電子郵件，在這種環境下只是稍微增加了安全；第二等級是證書持有人使用更詳細的證明證書于"組織"內的電子郵件、小額、小風險的交易、個人之間的電子郵件、口令更改、軟件確認，以及在線訂購服務；第三等級是用于電子銀行、電子數據交換、軟件確認，以及基于會員的在線服務。另外，密鑰的位數也有512. 1024及2048位等多種選擇，密鑰位數越大，加密后的文件的安全度越高。我國的幾家主要的電子認證服務提供者也都提供了不同種類的數字證書來滿足客戶的不同需要。

2. 作業操作規范

電子認證作業操作規范包括的內容非常廣泛。如對數字證書申請身份審查的內容、提供相應的身份有效證件和審查流程；數字證書類別及證書申請、簽發、撤銷、更新等新的操作流程；以及信息公開的要求，主要是發布相關認證信息，如證書生效、失效等公開信息。

3. 信息安全保障措施

電子認證服務提供者是為Internet用戶提供身份認證服務的。由于其負責接受證書申請、審核申請人身份、簽發證書及管理證書等服務，與其他Internet服務提供商一樣，電子認證服務提供者所提供的服務也是通過Internet，也存在安全威脅，存在被攻擊的可能，如非法入侵、植入病毒、竊取密鑰等外部攻擊。另外，認證系統內部也存在威脅，如內部工作人員的管理，機房的安全管理，軟件的管理等。這些都需要制定具體的信息安全保障措施，防范風險。例如，電子認證服務提供者的機房是整個認證系統控制核心，機房的正常運作是所有電子商務活動的基礎，必須采取足夠的措施保證機房的安全。如必須設置獨立的機房用于安全認證管理，該機房必須受到嚴格的、高等級的安全保護，至少應該設置三層安全控制保護層。類似這樣的信息安全保障措施應當體現在電子認證業務規則中。

參考文獻：

[1]劉穎.孫志煜.論電子認證機構民事責任的歸責原則[J].暨南學報（哲學社會科學版），2007（06）.

[2]蘆艷榮.落實電子簽名法完善電子認證服務體系[J].信息網絡安全，2007（05）.

[3]嚴霄鳳.電子認證令牌安全研究[J].網絡安全技術與應用，2013（02）.

[4]劉顯鵬.論電子證據的認證規則體系——以《民事訴訟法》修訂為背景[J].大連理工大學學報（社會科學版），2013（02）.

[5]岑榮偉.王勇.郭紅.李新友.吳亞非.基于國家電子政務外網電子認證服務體系的國家標準應用案例研究[J].保密科學技術，2012（08）.