周鳴愛

隨著信息通信網(wǎng)絡和技術的快速發(fā)展，以網(wǎng)絡和電子商務為特征的新經(jīng)濟正席卷全球，產(chǎn)品和服務已經(jīng)可以實現(xiàn)在世界范圍內(nèi)的即時交易。隨著科技的發(fā)展及人們便利性的需求，移動電子商務的發(fā)展異軍突起，逐漸成為電子商務領域中不可忽視的一股中堅力量。尤其是移動支付的興起和應用使得商業(yè)交易更加便利。而在這繁榮發(fā)展的背后，關于電子商務中身份認證，授權管理和責任確定的問題變得更加復雜。作為解決網(wǎng)絡安全和信任問題的最重要手段，電子認證的安全問題在電子商務領域變得越來越重要。作為互聯(lián)網(wǎng)技術起步較早的國家，歐美日等發(fā)達國家電子商務的發(fā)展居于世界前列，對于電子認證安全性這一問題他們也進行了許多深入的研究，值得我們借鑒與學習。

歐盟

發(fā)展歷史：自20世紀90年代以來，隨著互聯(lián)網(wǎng)技術的迅速發(fā)展，電子政務、電子商務等網(wǎng)絡服務逐漸在歐洲興起。但是，當時大多數(shù)歐盟成員國都無法通過互聯(lián)網(wǎng)提供跨境服務。為給歐盟范圍內(nèi)各國公民與企業(yè)的跨國活動及交易提供便利，歐盟各國建立數(shù)據(jù)分享平臺。2018年9月29日，歐盟在2014年頒布的910/2014 Regulation正式生效，取代了歐洲電子簽名規(guī)范的前一個版本eSignatures Directive1999

/93/EC。此次頒布的910/2014條例的全稱是electronic IDentificationand Authentication Services，簡稱eIDAS。在eIDAS的支持下，歐盟公民現(xiàn)在可以使用他們的電子身份證（eID）進行一系列可信和純粹的跨境在線活動。這一規(guī)定與2018年5月25日生效的《通用數(shù)據(jù)保護條例》（General Data ProtectionRegulation，簡稱 GDPR）條例呼應，eIDAS的實施進一步加強了GDPR法規(guī)的實施。但是，在電子認證服務快速發(fā)展的背后，還存在很大的安全隱患：2018年1月29日，荷蘭的三家主要銀行（荷蘭銀行，荷蘭合作銀行和ING銀行）遭到DDoS的攻擊，導致互聯(lián)網(wǎng)業(yè)務癱瘓，顧客用于電子認證的ID及密碼遭到泄露;2018年世界杯期間，俄羅斯遭到多起黑客攻擊，黑客利用WiFi上松懈的安全控制，竊取信息，而許多球迷粉絲在購票時下載“假應用”，并輸入了自己的ID及密碼，這些ID及密碼與其他平臺電子認證（如網(wǎng)銀、手機支付等）的ID及密碼重合，造成了信息泄露。這些事件的發(fā)生無疑為我們?nèi)绾伟踩倪M行電子認證敲響了警鐘。

發(fā)展環(huán)境：第一，建立健全的法律法規(guī)體系。自1999年起，歐盟先后頒布了《電子簽名同意框架指令》《電子通信中個人數(shù)據(jù)處理和隱私保護條例》，以及《電子簽名和電子身份證條例》等法律，在充分尊重隱私和保護數(shù)據(jù)安全的基礎上，著眼于電子身份證和電子簽名的兩個基本要素，為創(chuàng)建無邊界的歐盟數(shù)字單一市場提供可能性。此外，值得一提的是，2018年5月25日，歐盟《通用數(shù)據(jù)保護法》生效。作為保護歐盟公民隱私和數(shù)據(jù)的一套新法規(guī)，它的正式應用意味著歐盟對個人信息的保護和監(jiān)督達到了前所未有的高度，從法律方面保障了電子認證服務的安全發(fā)展。

第二，重視技術創(chuàng)新，不斷在數(shù)字簽名、密碼算法和身份認證等方面取得突破。2009年，歐盟最大的芯片研究項目啟動，旨在開發(fā)在電子認證方面更安全和可操作的芯片。歐盟各國通過搭建公共平臺及共享數(shù)據(jù)信息，企圖構建大數(shù)據(jù)生命運行周期保障體系，并采用有效的檢測方法對已收集及存儲的相關數(shù)據(jù)進行安全性分析，避免發(fā)生安全隱患，確保數(shù)據(jù)安全。另外，通過歐盟各國之間行政部門的合作，共同探索研究各項新技術及新應用，為實現(xiàn)安全化的電子認證提供強有力的政府支持。

第三，建立了獨立的標準體系。與美國不同，歐盟采用“雙軌”模式的電子認證標準體系。首先，它確定了電子交易安全的最低要求，重點關注電子簽名和認證服務提供商應具備的條件;其次，國家是電子商務發(fā)展的主導力量;再次，承認數(shù)字簽名和其他形式的電子簽名的法律效力，但其法律約束力取決于每個成員國的國內(nèi)法規(guī);最后，詳細定義了認證服務提供商的責任，但沒有對證書持有者的責任做出具體規(guī)定，也沒有規(guī)定消費者對認證服務提供者的權利。該系統(tǒng)在歐盟內(nèi)廣泛使用，為安全開發(fā)電子認證服務提供了理論框架。

第四，建立和促進在線電子身份證（eID）的開發(fā)和應用。為了解決歐盟成員國之間網(wǎng)絡應用中的身份認證，電子簽名和數(shù)據(jù)保護等問題，2006年歐盟委員會發(fā)布了《2010年泛歐eID管理框架路線圖》，開始啟動eID計劃。目前，eID在歐洲已經(jīng)擁有非常高的普及率，并被廣泛應用在電子商務、金融支付等領域，值得一提的是，在公共服務的電子政務領域也實現(xiàn)了跨境操作，例如歐洲旅行證件和歐洲的跨境銀行業(yè)務，為歐盟成員國的公民的生活提供便利。當然，在發(fā)展的同時，歐盟各國也高度重視保護公民的隱私及信息安全，致力于打造安全的電子認證環(huán)境。

美國

發(fā)展歷史：作為互聯(lián)網(wǎng)技術的奠基者，美國也處于其電子認證服務發(fā)展的最前沿。美國關于電子認證的發(fā)展歷史，最早可以追溯到1980年有關的電子交換合同中，對執(zhí)行電子交換信息的規(guī)定。1995年，第一家網(wǎng)上銀行安全第一網(wǎng)絡銀行（SFNB）誕生于美國。美國電子銀行電子認證的安全性研究也越來越深入。除此之外，美國電子簽證，即EVUS登記，也和我們的生活息息相關。就如比爾·蓋茨在1990年的一次演講上所描繪的那樣，我們的今天是一個“彈指之間就能獲取所需資訊”的年代。然而，在電子商務和電子政務的快速發(fā)展背后，電子認證的安全問題日益突出。為方便公民進行電子納稅申報，美國稅務局只保留了身份驗證碼這一工具作為確認電子簽名的方法，2016年2月，網(wǎng)絡黑客通過不法途徑獲得了納稅人信息系統(tǒng)，通過電子申報身份驗證碼登錄了10萬多納稅人的個人賬戶，極大地沖擊了人們對電子認證安全性的認識，為此美國稅務局決定正式關閉電子申報身份驗證工具，并且于當年6月初提高了個人在線使用“獲得回單”功能的身份驗證標準，此后，更是積極與政府其他行政部門、稅務代理行業(yè)協(xié)會等加強合作，共同舉辦安全峰會，希望能夠加強身份驗證電子工具安全性，預防身份詐騙，加強對納稅人權益的保護。這起事件的發(fā)生，不禁令人們開始思考，在電子認證服務日益發(fā)展的年代，我們該如何保護數(shù)據(jù)安全性，保障我們授權的合理性。

發(fā)展環(huán)境：第一，不斷完善法律法規(guī)，為電子認證的安全提供法律依據(jù)。1995年，美國猶他州頒布了第一個面向技術的猶他州數(shù)字簽名法案，該法案使用加密技術促進電子交易中的安全通信;1999年，美國國家統(tǒng)一法國家委員會通過了《統(tǒng)一電子交易法》，以消除電子簽名的法律障礙;2000年6月30日，克林頓政府通過了《全球和國家商業(yè)電子簽名法》，為跨國和州際電子交易中的實際電子簽名提供了法律依據(jù)。這一系列的法律法規(guī)為美國電子認證的安全發(fā)展提供了保障。

第二，建立信息科技監(jiān)管與改革部門，保障政府關鍵基礎設施部門的網(wǎng)絡安全。2014年8月13日，白宮宣布美國政府已成立新的數(shù)字服務部門（USDS），負責美國健康保險等許多政府網(wǎng)站的安全認證服務。此前，美國政府提出“網(wǎng)絡安全框架”項目，旨在加強電力、運輸和電信等部門的網(wǎng)絡安全，電子認證是其中非常重要的一個項目。而成立USDS，是在安全網(wǎng)絡框架之下第一次為政府本身成立服務團隊，從電子認證安全性方面來看，意義深遠。

第三、建立完善的標準體系。作為在早期就將電子簽名領域標準化的國家，美國已經(jīng)形成了一個相對獨立的標準框架體系。其建立的標準體系及相關規(guī)范標準，與美國的國情及一貫政策相符合，在美國范圍內(nèi)被廣泛使用。該系統(tǒng)最重要的部分是私營部門和自我監(jiān)管政策，即只為電子認證的安全性提供了法律框架。但由于自由化的市場導向，電子認證機構的資質良莠不齊，對電子認證安全性提出了較大的考驗。

第四、“環(huán)大西洋運動”。由于歐盟和美國的電子簽名法采用不同的監(jiān)管模式，因此在電子簽名的政策取向，電子認證的規(guī)定以及第三國認證的有效性存在顯著差異。為了實現(xiàn)電子認證的法律效力和標準化，美國和歐盟已經(jīng)達成了政府間合作，促進建立一個安全和統(tǒng)一的電子商務發(fā)展環(huán)境，即“環(huán)大西洋運動”。具體體現(xiàn)在，歐盟和美國在各自現(xiàn)有規(guī)則和政策的基礎上共同努力，以最大限度地提高技術透明度，合規(guī)性，業(yè)務共享和不蔑視認證方法。實現(xiàn)電子認證方法的互操作性、創(chuàng)新性和競爭性，并嘗試在這些條件下實現(xiàn)適合國際共識的統(tǒng)一標準，為電子認證的安全發(fā)展提供了有利條件。

日本

發(fā)展歷史：二戰(zhàn)后，日本經(jīng)濟迅速崛起，電器制造業(yè)成為日本經(jīng)濟的支柱產(chǎn)業(yè)之一，為提高國民生活質量，促進整個國家經(jīng)濟之健全發(fā)展，日本關于電子認證服務的思考不僅僅限于對個人信息的認證與授權，更加創(chuàng)造性地發(fā)展出了對產(chǎn)品及服務進行電子認證。例如，為減少潛在的筆誤與耗時的文書作業(yè)，以降低船上及岸上人員工作量，2017年6月，日本船級社（NK）宣布于開始正式啟用全球領先的電子證書服（ClassNKe-Certificate），可提供船級與公約相關電子證書，并讓登記在此協(xié)會下的利比里亞籍船舶首先使用。為減輕企業(yè)的工作量，還具有簡化海關手續(xù)的效果，日本商工會議所、經(jīng)濟產(chǎn)業(yè)省、農(nóng)林水產(chǎn)省在2018年提出將在簽發(fā)顯示出口商品是“日本制造”的證書方面推進電子化。在日本，對于電子認證服務實行的是強制性許可制度，即認證機構必須通過許可才能開展業(yè)務，這為日本電子認證服務安全發(fā)展奠定了良好的基礎。

發(fā)展環(huán)境：第一，啟用在本國通用的法律。日本于2001年4月1日起正式實施《電子簽名與認證服務法》，從法律的角度詳細規(guī)定了關于認證服務的許可，如“欲獲得前款許可的人，應按有關部門法律之規(guī)定，向相關大臣遞交申請書及有關部門法規(guī)規(guī)定的其他文件;申請書須包括下列事項：（1）申請人之姓名、住所，如為組織則代表人之姓名;（2）所申請業(yè)務所必需的設備和業(yè)務開展方式的概述;這部法律從指定認證服務之許可、指定調(diào)查機構及其他、處罰等三個方面對電子認證服務做出了相關規(guī)定，保證了電子認證服務的安全進行。

第二，大力推進電子政建設，從政府層面為電子認證安全性進行把關。日本政府以2003年度為期限，實現(xiàn)所有行政手續(xù)都可以在網(wǎng)上辦理。其中包括戶籍登記、納稅申報等。為此，在政府部門引入電子認證系統(tǒng)、電子簽名和高度安全的行政IC卡等網(wǎng)絡安全措施，并不斷完善其功能，確保安全性。例如，在辦理電子政務申請時必須建立雙向認證體系，即一方面政府部門需要通過電子簽名確認申請人的身份，另一方面，申請人也需要對通過網(wǎng)絡回饋信息的政府行政部門的電子簽名加以確認。除此之外，日本政府還進行財政撥款，用于構筑網(wǎng)絡安全體系，確保了電子認證服務的安全化進程。

第三，建設居民身份原始登記網(wǎng)絡。日本政府斥資365億日元，建成了一個覆蓋全國的居民原始登記網(wǎng)絡，每個國民的個人資料都被輸入計算機系統(tǒng)，并有一個用11位數(shù)字構成的身份號碼。根據(jù)國會通過的法律，政府開放了264項服務項目。例如，戶籍本的復印件，過去只能在戶口所在地的自治廳才能領取。在居民原始登記網(wǎng)絡開通后，申請者只要用自己的IC識別卡，即便不在自己的戶口所在地也可以從指定機構獲取自己戶籍本的復印件。同時，日本政府出臺了與之配套的《個人信息保護法案》，切實保護公民的隱私權，解除了電子認證服務安全發(fā)展的后顧之憂。

第四，充分尊重和依靠專業(yè)人才。電子認證服務體系的建立是一項高科技工程，為避免專業(yè)人才缺失的現(xiàn)象出現(xiàn)，日本政府積極培養(yǎng)專業(yè)人才，國家級的認證機構配備網(wǎng)絡專家，他們主要來自大學和民間企業(yè)，在有關電子認證的總體設計、開發(fā)、檢測和管理中，都讓懂行的專家做主。這些專家在技術領域進行不斷革新，建立完整的電子認證技術體系，確保電子認證服務在安全的框架下向前發(fā)展。

對我國電子認證發(fā)展的啟示

規(guī)劃發(fā)展路線，引導我國電子認證服務業(yè)快速發(fā)展。為確保在電子認證服務領域長足發(fā)展，我們必須做好路線規(guī)劃。如歐盟eID的發(fā)展，就是通過頂層設計方案《路線圖》的實施，給出了明確且極具操作性的階段發(fā)展計劃。目前，我國的手機支付應用已經(jīng)走到了世界前列，但關于電子認證的安全性問題也一直困擾著大眾，在這樣的情況下政府應當向歐盟學習，將網(wǎng)絡身份管理納入日常工作，協(xié)調(diào)相關部門做好頂層設計，建立技術路徑和組織架構，更好地引導電子認證服務安全化發(fā)展。

完善法律法規(guī)，為電子認證服務業(yè)安全發(fā)展提供保障。相比歐美日等國，目前我國電子認證服務發(fā)展較為滯后，關于這一領域的法律、法規(guī)還在逐步發(fā)展之中。我國早在2005年就頒布了《中華人民共和國電子簽名法》，其中在第十四條明確規(guī)定“可靠的電子簽名與手寫簽名或蓋章具有同等的法律效力”?！峨娮诱J證服務管理辦法》于2009年2月18日以中華人民共和國工業(yè)和信息化部令第1號公布，根據(jù)2015年4月29日中華人民共和國工業(yè)和信息化部令第29號《工業(yè)和信息化部關于修改部分規(guī)章的決定》修訂。此外，2015年《最高人民法院關于適用<中華人民共和國民事訴訟法>的解釋》第一百一十六條中明確表明，“電子數(shù)據(jù)是指通過電子郵件、電子數(shù)據(jù)交換、網(wǎng)上聊天記錄、博客、微博客、手機短信、電子簽名、域名等形成或者存儲在電子介質中的信息”。但這些法律可操作性不強，未能真正進入我們的生活。隨著我國手機支付行業(yè)的興起，電子認證服務面對的安全性考驗日益復雜化，需要不斷完善我們現(xiàn)有的法律法規(guī)，注重可操作性及與相關法律法規(guī)的銜接性和協(xié)調(diào)性，為電子認證安全的發(fā)展提供法律保障。

完善電子認證體系，促進我國電子認證服務全球化發(fā)展。我國規(guī)定對電子認證服務采用強制性的許可制度。認證機構必須以國家名義存在或由主管部門頒發(fā)經(jīng)營許可認證，這樣就確保了這些認證機構在我國的權威性。而且因為國家管控嚴格，這對電子認證服務的安全性有了極大的保障。但面對不同認證體系間的差異及矛盾，我們應當學習歐美，建立國家級認證中心，實現(xiàn)政府間的溝通，設立國際技術接軌的技術標準和服務標準，使得我國的電子認證效力能夠獲得其他國家的認可，推進電子認證服務的全球化發(fā)展，共同實現(xiàn)電子認證服務安全化的目標。

注重科技創(chuàng)新，提高我國電子認證服務業(yè)發(fā)展的技術支持。首先，不斷拓展電子認證行業(yè)范疇，構建以PKI為基礎的網(wǎng)絡信任服務行業(yè)。其次，加大電子認證服務行業(yè)技術創(chuàng)新力度，從網(wǎng)絡信任服務角度開展技術創(chuàng)新研究。研究區(qū)塊鏈、手機盾、生物特征、網(wǎng)絡行為分析等技術手段與電子認證結合的可行性，構建以PKI技術為核心的網(wǎng)絡信任服務技術體系，為引入新技術手段提供技術支撐。最后，充分利用互聯(lián)網(wǎng)高效配置資源，引領組織變革，激發(fā)創(chuàng)新潛能。通過不斷在技術領域的創(chuàng)新與發(fā)展，為電子認證服務的安全發(fā)展提供技術支持。

加大專業(yè)人才培養(yǎng)，為我國電子認證服務業(yè)發(fā)展儲備力量?；ヂ?lián)網(wǎng)行業(yè)的發(fā)展日新月異，對專業(yè)技術人才的要求也不斷提高，我國想要在未來的互聯(lián)網(wǎng)戰(zhàn)爭中立于不敗之地，就必須培養(yǎng)一批專業(yè)的電子信息技術人才，電子認證服務作為互聯(lián)網(wǎng)的一個分支領域，也不外如是。具備良好的學習能力、實踐能力、專業(yè)能力和一定的創(chuàng)新創(chuàng)業(yè)能力，身心健康，可從事電子信息及相關領域中系統(tǒng)、設備和器件的研究、設計、開發(fā)、制造、應用、維護、管理等工作的高素質專業(yè)人才是我們目前迫切需要的，只有擁有這樣的專業(yè)人才，我們才能更好地在電子認證安全化道路上繼續(xù)走下去。