續(xù)征

電子認(rèn)證是以電子認(rèn)證證書（又稱數(shù)字證書）為核心技術(shù)的加密技術(shù)，它以PKI技術(shù)為基礎(chǔ)，對(duì)網(wǎng)絡(luò)上傳輸?shù)男畔⑦M(jìn)行加密、解密、數(shù)字簽名和數(shù)字驗(yàn)證。電子認(rèn)證是電子政務(wù)和電子商務(wù)中的核心環(huán)節(jié)，可以確保網(wǎng)上傳遞信息的保密性、完整性和不可否認(rèn)性，確保網(wǎng)絡(luò)應(yīng)用的安全。

電子認(rèn)證所應(yīng)遵循的規(guī)則，就是電子認(rèn)證業(yè)務(wù)規(guī)則。電子認(rèn)證業(yè)務(wù)規(guī)則應(yīng)當(dāng)包括責(zé)任范圍、作業(yè)操作規(guī)范、信息安全保障措施等事項(xiàng)。

一、電子認(rèn)證服務(wù)提供者應(yīng)當(dāng)制定、公布符合國家有關(guān)規(guī)定的電子認(rèn)證業(yè)務(wù)規(guī)則，并向國務(wù)院信息產(chǎn)業(yè)主管部門備案

電子認(rèn)證服務(wù)是專業(yè)性很強(qiáng)的活動(dòng)，由電子認(rèn)證服務(wù)提供者制定有關(guān)業(yè)務(wù)規(guī)則是合理的，也是符合實(shí)際的。當(dāng)然，電子認(rèn)證服務(wù)者不能制定損害電子簽名人和電子簽名依賴方利益的、不公平的"霸王條款"。為了防止這種情況出現(xiàn)，有兩項(xiàng)要求：一是電子認(rèn)證服務(wù)者制定的電子認(rèn)證業(yè)務(wù)規(guī)則要符合國家有關(guān)規(guī)定，而且還要公布；二是電子認(rèn)證業(yè)務(wù)規(guī)則要向國務(wù)院信息產(chǎn)業(yè)主管部門備案，以接受監(jiān)督。有些國家和地區(qū)的電子簽名法也規(guī)定了電子認(rèn)證服務(wù)提供者制定認(rèn)證業(yè)務(wù)規(guī)則的義務(wù)。例如，韓國電子簽名法規(guī)定，認(rèn)證機(jī)構(gòu)應(yīng)擬訂包括下列各項(xiàng)內(nèi)容的認(rèn)證業(yè)務(wù)通則，并應(yīng)向信息通信部長官申報(bào)：認(rèn)證業(yè)務(wù)種類、認(rèn)證業(yè)務(wù)的執(zhí)行方法及步驟、認(rèn)證服務(wù)的利用條件及費(fèi)用其他必需事項(xiàng)。信息通信部長官認(rèn)為認(rèn)證業(yè)務(wù)通則規(guī)定的內(nèi)容有礙于確保認(rèn)證業(yè)務(wù)的安全和可依賴性或損害用戶利益的，可命令認(rèn)證機(jī)構(gòu)改正。我國臺(tái)灣地區(qū)電子簽章法規(guī)定，認(rèn)證機(jī)構(gòu)應(yīng)制定認(rèn)證實(shí)務(wù)作業(yè)基準(zhǔn)，認(rèn)證實(shí)務(wù)作業(yè)基準(zhǔn)應(yīng)載明以下事項(xiàng)：足以影響認(rèn)證機(jī)構(gòu)所簽發(fā)認(rèn)證的可靠性或其業(yè)務(wù)執(zhí)行的重要資訊；認(rèn)證機(jī)構(gòu)徑行廢止認(rèn)證的事由；驗(yàn)證認(rèn)證內(nèi)容相關(guān)資料的留存；保護(hù)當(dāng)事人個(gè)人資料的方法及程序；其他經(jīng)主管機(jī)關(guān)訂定的重要事項(xiàng)。

二、電子認(rèn)證業(yè)務(wù)規(guī)則主要包括以下事項(xiàng)

1. 責(zé)任范圍

電子認(rèn)證服務(wù)提供者在提供認(rèn)證服務(wù)過程中，由于未履行其應(yīng)盡義務(wù)，尤其是保證其簽發(fā)證書的真實(shí)、可靠性的義務(wù)，既可能產(chǎn)生對(duì)電子簽名人的責(zé)任，也可能產(chǎn)生對(duì)電子簽名依賴方的責(zé)任。電子認(rèn)證服務(wù)提供者與電子簽名人即電子簽名認(rèn)證證書持有者是民事合同關(guān)系，電子認(rèn)證服務(wù)提供者依照合同約定承擔(dān)責(zé)任。電子認(rèn)證服務(wù)提供者對(duì)電子簽名依賴方的責(zé)任是基于法律規(guī)定而產(chǎn)生的，即兩者是法律上的信賴關(guān)系，電子認(rèn)證服務(wù)提供者對(duì)電子簽名依賴方的法定義務(wù)是其承擔(dān)責(zé)任的基礎(chǔ)。同時(shí)也應(yīng)當(dāng)看到，電子認(rèn)證服務(wù)是一個(gè)高風(fēng)險(xiǎn)的行業(yè)，既有內(nèi)部風(fēng)險(xiǎn)又有外部風(fēng)險(xiǎn)，并且一旦發(fā)生風(fēng)險(xiǎn)往往會(huì)造成非常嚴(yán)重的后果。電子認(rèn)證服務(wù)提供者在從事電子認(rèn)證服務(wù)活動(dòng)時(shí)當(dāng)然應(yīng)當(dāng)盡合理的注意，承擔(dān)相應(yīng)的義務(wù)，但在無過錯(cuò)的情況下，不應(yīng)承擔(dān)責(zé)任，而無過錯(cuò)的舉證責(zé)任要由認(rèn)證機(jī)構(gòu)承擔(dān)。這是因?yàn)殡娮诱J(rèn)證服務(wù)提供者處于中立的第三方，其行為和信譽(yù)直接關(guān)系到電子簽名人與電子簽名依賴方的利益，且相對(duì)于電子簽名人及電子簽名依賴方又處于強(qiáng)勢地位，一些國家均規(guī)定了較為嚴(yán)格的責(zé)任制度，且設(shè)立了舉證責(zé)任倒置的制度，即電子認(rèn)證服務(wù)提供者如能證明其對(duì)于責(zé)任事項(xiàng)無任何過錯(cuò)方可免責(zé)。電子簽名人或者電子簽名依賴方因依據(jù)電子認(rèn)證服務(wù)者提供的電子簽名認(rèn)證服務(wù)從事民事活動(dòng)遭受損失，電子認(rèn)證服務(wù)提供者不能證明自己無過錯(cuò)的，承擔(dān)賠償責(zé)任。

從實(shí)踐中看，電子簽名認(rèn)證合同基本上屬于格式合同。格式合同，是指合同條款由當(dāng)事人一方預(yù)先擬定，另一方當(dāng)事人只能表示全部同意或者不同意的合同，也就是說一方當(dāng)事人要么從整體上接受合同條件，要么不訂立合同。比如電子認(rèn)證合同作為格式合同的特征有：一是數(shù)字證書的項(xiàng)目由電子認(rèn)證服務(wù)提供者預(yù)定且不能改變；二是認(rèn)證費(fèi)用由電子認(rèn)證服務(wù)提供者預(yù)定而不能討價(jià)還價(jià)；三是簽署者和電子認(rèn)證服務(wù)提供者的責(zé)任條款由電子認(rèn)證服務(wù)提供者單方制定并且不容進(jìn)一步協(xié)商，而這正是電子認(rèn)證合同中最關(guān)鍵的內(nèi)容。目前在實(shí)踐中，此責(zé)任條款有的出現(xiàn)在認(rèn)證業(yè)務(wù)聲明中，例如美國的Verisign公司就在其業(yè)務(wù)聲明中規(guī)定了免責(zé)條款；也可以直接以責(zé)任書的形式出現(xiàn)，如上海電子商務(wù)安全證書管理中心有限公司就采取這種做法；還可以以電子認(rèn)證中心數(shù)字證書章程的形式出現(xiàn)，如廣東省電子商務(wù)主認(rèn)證中心就采取此種做法。對(duì)此責(zé)任條款只有“我接受”和“我拒絕”兩種選擇，選擇“我接受”則繼續(xù)證書申請(qǐng)的下一個(gè)步驟，選擇“我拒絕”則終止證書的申請(qǐng)。

另外，在電子認(rèn)證合同中也有允許客戶選擇的內(nèi)容，例如證書的信賴等級(jí)。Verisign公司已經(jīng)建立了三種用戶等級(jí)：對(duì)于第一等級(jí)，用戶只能依賴它做網(wǎng)頁瀏覽和個(gè)人電子郵件，在這種環(huán)境下只是稍微增加了安全；第二等級(jí)是證書持有人使用更詳細(xì)的證明證書于"組織"內(nèi)的電子郵件、小額、小風(fēng)險(xiǎn)的交易、個(gè)人之間的電子郵件、口令更改、軟件確認(rèn)，以及在線訂購服務(wù)；第三等級(jí)是用于電子銀行、電子數(shù)據(jù)交換、軟件確認(rèn)，以及基于會(huì)員的在線服務(wù)。另外，密鑰的位數(shù)也有512. 1024及2048位等多種選擇，密鑰位數(shù)越大，加密后的文件的安全度越高。我國的幾家主要的電子認(rèn)證服務(wù)提供者也都提供了不同種類的數(shù)字證書來滿足客戶的不同需要。

2. 作業(yè)操作規(guī)范

電子認(rèn)證作業(yè)操作規(guī)范包括的內(nèi)容非常廣泛。如對(duì)數(shù)字證書申請(qǐng)身份審查的內(nèi)容、提供相應(yīng)的身份有效證件和審查流程；數(shù)字證書類別及證書申請(qǐng)、簽發(fā)、撤銷、更新等新的操作流程；以及信息公開的要求，主要是發(fā)布相關(guān)認(rèn)證信息，如證書生效、失效等公開信息。

3. 信息安全保障措施

電子認(rèn)證服務(wù)提供者是為Internet用戶提供身份認(rèn)證服務(wù)的。由于其負(fù)責(zé)接受證書申請(qǐng)、審核申請(qǐng)人身份、簽發(fā)證書及管理證書等服務(wù)，與其他Internet服務(wù)提供商一樣，電子認(rèn)證服務(wù)提供者所提供的服務(wù)也是通過Internet，也存在安全威脅，存在被攻擊的可能，如非法入侵、植入病毒、竊取密鑰等外部攻擊。另外，認(rèn)證系統(tǒng)內(nèi)部也存在威脅，如內(nèi)部工作人員的管理，機(jī)房的安全管理，軟件的管理等。這些都需要制定具體的信息安全保障措施，防范風(fēng)險(xiǎn)。例如，電子認(rèn)證服務(wù)提供者的機(jī)房是整個(gè)認(rèn)證系統(tǒng)控制核心，機(jī)房的正常運(yùn)作是所有電子商務(wù)活動(dòng)的基礎(chǔ)，必須采取足夠的措施保證機(jī)房的安全。如必須設(shè)置獨(dú)立的機(jī)房用于安全認(rèn)證管理，該機(jī)房必須受到嚴(yán)格的、高等級(jí)的安全保護(hù)，至少應(yīng)該設(shè)置三層安全控制保護(hù)層。類似這樣的信息安全保障措施應(yīng)當(dāng)體現(xiàn)在電子認(rèn)證業(yè)務(wù)規(guī)則中。

參考文獻(xiàn)：

[1]劉穎.孫志煜.論電子認(rèn)證機(jī)構(gòu)民事責(zé)任的歸責(zé)原則[J].暨南學(xué)報(bào)（哲學(xué)社會(huì)科學(xué)版），2007（06）.

[2]蘆艷榮.落實(shí)電子簽名法完善電子認(rèn)證服務(wù)體系[J].信息網(wǎng)絡(luò)安全，2007（05）.

[3]嚴(yán)霄鳳.電子認(rèn)證令牌安全研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2013（02）.

[4]劉顯鵬.論電子證據(jù)的認(rèn)證規(guī)則體系——以《民事訴訟法》修訂為背景[J].大連理工大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版），2013（02）.

[5]岑榮偉.王勇.郭紅.李新友.吳亞非.基于國家電子政務(wù)外網(wǎng)電子認(rèn)證服務(wù)體系的國家標(biāo)準(zhǔn)應(yīng)用案例研究[J].保密科學(xué)技術(shù)，2012（08）.