張瀅

電子簽名可以依賴于很多技術(shù)來實(shí)現(xiàn)，有些電子簽名可能并不需要認(rèn)證，例如一些以生物識(shí)別技術(shù)生成的電子簽名，其直接依據(jù)簽名人的生理特征就可以辨別電子簽名的真?zhèn)?。在目前，各?guó)電子商務(wù)或者電子簽名立法中確認(rèn)的需要認(rèn)證的電子簽名一般指的是數(shù)字簽名。數(shù)字簽名是指通過使用非對(duì)稱密碼加密系統(tǒng)對(duì)電子記錄進(jìn)行加密、解密變換來實(shí)現(xiàn)的一種電子簽名，目前它在各國(guó)的電子商務(wù)實(shí)踐中得到了廣泛的應(yīng)用。作為第三方的數(shù)字簽名認(rèn)證機(jī)構(gòu)通過給從事交易活動(dòng)的各方主體頒發(fā)數(shù)字證書、提供證書驗(yàn)證服務(wù)等手段來保證交易過程中各方主體電子簽名的真實(shí)性和可靠性。

一、電子認(rèn)證服務(wù)提供者應(yīng)當(dāng)具備的條件

電子認(rèn)證服務(wù)提供者，作為認(rèn)證服務(wù)機(jī)構(gòu)，應(yīng)該具備以下條件：

（1）電子認(rèn)證服務(wù)提供者應(yīng)當(dāng)具有與提供電子認(rèn)證服務(wù)相適應(yīng)的專業(yè)技術(shù)人員和管理人員。提供電子認(rèn)證服務(wù)是一項(xiàng)復(fù)雜的技術(shù)工程。僅從數(shù)字簽名技術(shù)的實(shí)現(xiàn)來看，它運(yùn)用了一系列復(fù)雜的加密算法。電子認(rèn)證服務(wù)提供者在提供電子認(rèn)證服務(wù)的過程中涉及多級(jí)認(rèn)證和交叉認(rèn)證等多種技術(shù)手段。這就需要有一批懂技術(shù)的專門人才從事電子認(rèn)證服務(wù)工作，才能保障電子認(rèn)證活動(dòng)的開展。同時(shí)，作為權(quán)威的第三方認(rèn)證機(jī)構(gòu)，不僅應(yīng)當(dāng)具備可靠的技術(shù)條件，更重要的是在策略、管理、運(yùn)營(yíng)等諸多方面具備良好的條件，具有合格的管理人員也是電子認(rèn)證服務(wù)提供者應(yīng)當(dāng)具備的一個(gè)重要條件。

（2）電子認(rèn)證服務(wù)提供者應(yīng)當(dāng)具有與提供電子認(rèn)證服務(wù)相適應(yīng)的資金和經(jīng)營(yíng)場(chǎng)所。具備必要的資金是電子認(rèn)證服務(wù)提供者開展業(yè)務(wù)的前提條件，也是電子認(rèn)證服務(wù)提供者承擔(dān)法律責(zé)任的重要保證。同時(shí)，由于提供電子認(rèn)證服務(wù)對(duì)于安全性、保密性的要求較高，電子認(rèn)證服務(wù)提供者相比較于一般企業(yè)，對(duì)經(jīng)營(yíng)場(chǎng)所的防火、防盜、防電磁輻射等方面的要求更高。電子認(rèn)證機(jī)構(gòu)對(duì)經(jīng)營(yíng)場(chǎng)所的安全條件一般都制定有嚴(yán)格的標(biāo)準(zhǔn)，以保障電子認(rèn)證服務(wù)的順利開展。

（3）電子認(rèn)證服務(wù)提供者應(yīng)當(dāng)具有符合國(guó)家安全標(biāo)準(zhǔn)的技術(shù)和設(shè)備。國(guó)家為了保障信息技術(shù)產(chǎn)品的安全性，先后制定了一系列的國(guó)家標(biāo)準(zhǔn)。電子認(rèn)證服務(wù)提供者在提供電子認(rèn)證服務(wù)過程中使用的技術(shù)和設(shè)備，應(yīng)當(dāng)符合國(guó)家已經(jīng)制定的安全標(biāo)準(zhǔn)。

（4）電子認(rèn)證服務(wù)提供者提供電子認(rèn)證服務(wù)應(yīng)當(dāng)具有國(guó)家密碼管理機(jī)構(gòu)同意使用密碼的證明文件。我國(guó)商用密碼條例規(guī)定，商用密碼技術(shù)屬于國(guó)家秘密。國(guó)家對(duì)商用密碼產(chǎn)品的科研、生產(chǎn)、銷售和使用實(shí)行?？毓芾?。任何單位或者個(gè)人只能使用經(jīng)國(guó)家密碼管理機(jī)構(gòu)認(rèn)可的商用密碼產(chǎn)品。由于電子認(rèn)證服務(wù)提供者在經(jīng)營(yíng)過程中必然要使用密碼技術(shù)和密碼產(chǎn)品，電子認(rèn)證服務(wù)提供者必須具有國(guó)家密碼管理機(jī)構(gòu)同意使用密碼的證明文件。

（5）法律、行政法規(guī)可以對(duì)電子認(rèn)證服務(wù)提供者應(yīng)當(dāng)具備的條件作出其他必要的規(guī)定。本法第二十五條還規(guī)定，國(guó)務(wù)院信息產(chǎn)業(yè)主管部門依照本法制定電子認(rèn)證服務(wù)業(yè)的具體管理辦法。因此，國(guó)務(wù)院信息產(chǎn)業(yè)主管部門在制定具體管理辦法時(shí)，可以就電子認(rèn)證服務(wù)提供者應(yīng)當(dāng)具備的條件作出進(jìn)一步具體和明確的規(guī)定。

二、電子簽名認(rèn)證證書的內(nèi)容

電子認(rèn)證服務(wù)提供者簽發(fā)的電子簽名認(rèn)證證書應(yīng)該包括以下幾個(gè)方面的內(nèi)容：

（1）電子簽名認(rèn)證證書是電子認(rèn)證服務(wù)提供者簽發(fā)的用以證明證書持有人的電子簽名、身份、資格及其他有關(guān)信息的電子文件，它是電子交易當(dāng)事人在互聯(lián)網(wǎng)上從事電子商務(wù)活動(dòng)的身份證和通行證。在電子商務(wù)交易中互不認(rèn)識(shí)的雙方當(dāng)事人用其證書證明各自簽名的真實(shí)性，可以在雙方之間建立相互信任的基礎(chǔ)。因此，電子簽名認(rèn)證證書不僅具有證明電子簽名的真實(shí)性與完整性的作用，還可以為交易當(dāng)事人提供身份及從事交易的資格、權(quán)限等方面的證明?；陔娮雍灻J(rèn)證證書的重要作用，電子認(rèn)證服務(wù)提供者簽發(fā)的電子簽名認(rèn)證證書應(yīng)當(dāng)準(zhǔn)確無誤，否則就可能產(chǎn)生損害電子認(rèn)證、電子交易的后果，影響電子簽名認(rèn)證證書的權(quán)威性和信任度。

（2）電子簽名認(rèn)證證書應(yīng)當(dāng)載明的內(nèi)容包括電子認(rèn)證服務(wù)提供者和證書持有人的名稱、證書序列號(hào)、證書有效期、證書持有人的電子簽名驗(yàn)證數(shù)據(jù)和電子認(rèn)證服務(wù)提供者的電子簽名，以及國(guó)務(wù)院信息產(chǎn)業(yè)主管部門規(guī)定的其他內(nèi)容。這是法律規(guī)定的電子簽名認(rèn)證證書應(yīng)當(dāng)載明的內(nèi)容。電子認(rèn)證服務(wù)提供者還可以根據(jù)實(shí)際需要載明其他內(nèi)容，如載明證書的種類與等級(jí)等信息。

（3）電子認(rèn)證服務(wù)提供者應(yīng)當(dāng)保證電子簽名認(rèn)證證書內(nèi)容在有效期內(nèi)完整、準(zhǔn)確，并保證電子簽名依賴方能夠證實(shí)或者了解電子簽名認(rèn)證證書所載內(nèi)容及其他有關(guān)事項(xiàng)。

三、電子認(rèn)證服務(wù)提供者的有關(guān)保證義務(wù)

（1）電子認(rèn)證服務(wù)提供者最重要的任務(wù)就是制作、發(fā)放和管理電子簽名認(rèn)證證書，所以其首要義務(wù)就是保證認(rèn)證證書的真實(shí)性、完整性和準(zhǔn)確性，即所發(fā)放認(rèn)證證書的公共密鑰同某個(gè)確定身份的人是一一對(duì)應(yīng)的，以保證發(fā)放的證書具有可靠的權(quán)威性和信任度。電子認(rèn)證服務(wù)提供者要使發(fā)布的認(rèn)證信息及時(shí)可靠，這其中還包括要讓有關(guān)當(dāng)事人能夠隨時(shí)證實(shí)證書申請(qǐng)人所擁有的身份證、許可證或者營(yíng)業(yè)執(zhí)照等關(guān)系該人行為能力的文書或者證件的效力。因此，電子認(rèn)證服務(wù)提供者的兩項(xiàng)保證義務(wù)：一是保證電子簽名認(rèn)證證書內(nèi)容在有效期內(nèi)完整、準(zhǔn)確；二是保證電子簽名依賴方能夠證實(shí)或者了解電子簽名認(rèn)證證書所載內(nèi)容及其他有關(guān)事項(xiàng)。

（2）聯(lián)合國(guó)貿(mào)法會(huì)電子簽名法示范法對(duì)電子認(rèn)證服務(wù)提供者的有關(guān)保證義務(wù)作出了更具體的規(guī)定，要求驗(yàn)證服務(wù)提供商應(yīng)當(dāng)采取合理謹(jǐn)慎措施，確保其作出的有關(guān)證書整個(gè)周期的或需要列入證書內(nèi)的所有重大表述均精確無誤和完整無缺。要提供合理可及的手段，使依賴方得以從證書中證實(shí)下列內(nèi)容：（1）驗(yàn)證服務(wù)提供商的身份；（2）證書中所指明的簽字人在簽發(fā)證書時(shí)擁有對(duì)簽字生成數(shù)據(jù)的控制；（3）在證書簽發(fā)之時(shí)或之前簽字生成數(shù)據(jù)有效。要提供合理可及的手段，使依賴方得以在適當(dāng)情況下從證書或其他方面證實(shí)下列內(nèi)容：（1）用以鑒別簽字人的方法；（2）對(duì)簽字生成數(shù)據(jù)或證書的可能用途或使用金額上的任何限制；（3）簽字生成數(shù)據(jù)有效和未發(fā)生失密；（4）對(duì)驗(yàn)證服務(wù)提供商規(guī)定的責(zé)任范圍或程度的任何限制；（5）是否存在簽字人發(fā)出通知的途徑；（6）是否提供了及時(shí)的撤消服務(wù)。要使用可信賴的系統(tǒng)、程序和人力資源提供其服務(wù)。驗(yàn)證服務(wù)提供商如未能滿足上述要求應(yīng)承擔(dān)相應(yīng)責(zé)任。美國(guó)猶他州數(shù)字簽名法規(guī)定：通過頒發(fā)證書，許可之認(rèn)證機(jī)構(gòu)向所有信賴證書里包含的信息的人證明，認(rèn)證機(jī)構(gòu)已遵守了頒發(fā)證書的所有有效的要求；通過發(fā)布證書，許可之認(rèn)證機(jī)構(gòu)向公告欄和所有信賴證書里包含的信息的人證明，認(rèn)證機(jī)構(gòu)已經(jīng)向用戶頒發(fā)了證書。該法還規(guī)定：通過接收許可之認(rèn)證機(jī)構(gòu)頒發(fā)的證書，證書上確定的用戶，向所有信賴證書里包含的信息的人證明：（1）每一個(gè)通過與證書上所列公開密鑰相對(duì)應(yīng)的私鑰而生成的電子簽名，除非證書中止、被認(rèn)證機(jī)構(gòu)撤消或者過期失效，對(duì)用戶來講都是法律上有效的簽名；（2）沒有未經(jīng)授權(quán)的人使用與證書上所列公開密鑰相對(duì)應(yīng)的私鑰；（3）用戶對(duì)認(rèn)證機(jī)構(gòu)作出的包含于證書的所有重要信息的陳述，都是真實(shí)的；（4）證書中包含的信息是真實(shí)的。新加坡和我國(guó)香港地區(qū)也有類似的規(guī)定。