自考电商商务法概论第五章电子认证法律制度课件

自考电子商务法概论第五章

电子认证法律制度主要知识点：电子认证、电子认证服务、站点认证、电子认证法、认证机构的含义，电子认证的主要类型，电子论证与电子签名的关系，电子认证服务的监管模式，电子认证机构的主要服务内容、设立原则和条件，交叉认证的含义与法律规范，我国《电子签名法》规定的电子签名认证证书的概念和主要载明的内容，对数字证书的管理的相关规定，证书暂停的含义，数字证书和信赖方的义务，电子签名依赖方的概念，认证机构与在线当事人之间的法律关系，认证机构在认证法律关系中的义务，认证机构的业务风险与过错责任。

使用浏览器访问Web页面能够轻松实现网上购物、网上炒股和网上银行等作业，其中会通过网络传送一些敏感信息，包括合同、金融帐号、帐号密码和支付信息等。TCP/IP在制定之初处于网络技术的初级阶段，并没有考虑安全问题，数据流采用明文传输。因此，对于一些有保密要求的应用如电子商务、电子政务、网络银行等，首先考虑的是安全性。电子商务的主要安全隐患恶意中断系统------破坏系统的有效性窃听信息------------破坏系统的机密性篡改信息------------破坏系统的完整性假冒他人身份对贸易行为进行抵赖如何确保消费者资料的保密性？如何保证销售方获得合法的收益？如何使交易的完整性得到保护？等等………………

这一系列问题已成为电子商务发展的巨大障碍.

针对于此,就需要我们从安全技术与法律方面提供保证。因此国内CA认证机构应运而生。网络信息安全的新需求1．身份认证和鉴别:对信息传输的双方进行身份认证和鉴别，需要某种机制来证明双方的真实身份。2．不可否认性:信息的发送方必须对自己的操作承担责任，不可否认。3．数字签名:日常生活中，通信双方为了解决抵赖和欺骗的问题，会在文档上进行手写签名，把这个原理用在网络上就是数字签名。数字签名的目的：用于证明是作者的签名、签名日期和时间；在签名的同时对内容的真伪进行鉴别；签名能够被公正、权威的第三方进行仲裁。

问题的提出：在电子商务交易过程中，素未见面的交易各方如何建立信任？如何防止不被他人假冒交易者的身份？如何防止不被交易的对方否认其交易身份？

第一节、电子认证概述一、电子认证的概念和性质（一）、电子认证的概念

认证是指权威的、中立的、没有直接利害关系的第三人或机构、对当事人提出的包括文件、身份物品及其产地、品质等具有法律意义的事实与资格、经审查属实后作出的证明。电子认证指一个国家承认的认证机构通过颁发数字证书和管理公共密匙来检验带有电子签名的文件所有人及其内容的真实性的一种行为。电子认证服务是指为电子签名相关各方提供真实性，可靠性验证的公众服务活动p74。电子认证的特征：电子认证以其所具有的四大特征确立了在信息化应用中基础性、关键性的作用。

（1）真实性。要确保交易双方的真实身份、信息内容真实以其交易发生时间的真实性。

（2）完整性。确保双方交易的信息是完整的、没有被篡改过和伪造过。

（3）机密性。确保电子交易中数据电文、交换数据、信息的保密性，使之不被交易双方以外的交易无关个体获知。

（4）不可否认性。不可否认性确保了交易双方不能对其参与过交易的事实进行抵赖，它为日后可能存在的交易纠纷提供了一个可信的证据。

电子签名只是从技术手段上对签名人身份做出辨认及能对签署文件的发件人与发出电子文件所属关系做出确认的方式。但如何解决上文提到判定公共密钥的确定性以及私人密钥持有者否认签发文件的可能性等问题，则是电子签名技术本身无法解决的问题。换言之，这里面有一个解决私人密钥持有人信用度的问题。这里面包括两种可能性。一是密钥持有人主观恶意，即有意识否认自己做出的行为；二是客观原因，即发生密钥丢失、被窃或被解密情况，使发件人或收件人很难解释归责问题。

事实上，相类似的问题在我们传统商业交易活动中也存在，只不过我们有一套相对完整的解决方案罢了。当然这里包括相配套的法律规范及保护措施。在传统的签字（盖章）使用中，为了防止签字（盖章）方提供伪造虚假或被篡改的签字（盖章）或者防止发送人以各种理由否认该签字（盖章）为其本人所为，一些国家或地区采取通过具有权威性公信力的授权机关对某印章提前做出备案，并可提供验证证明的方式，防止抵赖或伪造等情形发生。例如，在我国台湾省，对一些重要法律文件（如房地产买卖交易文件），对印章真实性认证就采取下述方式处理：为保证盖过章的文件的真实性，印章持有人在盖章之前需把印章送到具有权威性的户政事务所登记备案，并申请印鉴证明，之后再把印鉴证明同盖过章的文件一并送给收件方,收件方将印鉴证明同原件相比较，如完全一致，就可确认文件及其印章的真实性了。

在电子交易过程，同样需要一个具有权威性公信力的第三者作为安全认证机关（CertificateAuthority）对公开密钥行使辨别及认证等管理职能，以防止发件人抵赖或减少因密钥丢失、被偷窃或被解密等风险。由此可见，电子签名的安全使用必须配合安全认证机关体系的建立。事实上，西方很多国家（美国、加拿大、德国等）以及日本都已经或正在建立相配套的公共密钥基础设施（publickeyinfrastructure）。这样，网络上电子签名与CA认证的相互结合就解决了前面阐述的由于电子签名技术方面无法解决的信用度的问题。（二）、电子认证的分类

1、站点认证。交易中的商务信息都有保密的要求，如信用卡和账号和用户名被人知道，就有可能被盗用，订货和付款和信息被竞争对手获悉，就可能失去机会，因此，在商务信息传播中均有加密的要求，为了确保通讯安全，在正式传送数据电文之前，应首先认证通讯是否是在意定的两个站点间进行，这一过程称为站点认证。2、数据电文认证经过站点认证后，收发双方便可进行电子通信，而数据电文这种认证保证收方能够确定：这个电讯是由确认方发出的，该电讯的内容有无篡改或发生错误；该电讯传送给确定的收方，从而使每个通信者能够验证每份电讯的来源，内容、时间性和目的地的真实性3、电讯源的认证网络交易必须保证发送者和接收者之间交换信息的保密性。电子商务作为一种子贸易手段，其信息直接代表着企业的商业机密。因此，要预防非法的信息存取和信息在传输过程中被非法窃取，确保只有合法用户才能看到数据，防止信息泄密事件发生。实现电讯源的认证既可以收发双方共享的数据加密密钥，来认证电讯源，也可以收发双方共享的保密的通行字为基础，来认证电讯源。4、身份认证。商家主要考虑客户端不能是骗子，而客户也会担心网上的商店不是一个有意欺诈的黑店，因此能方便而可靠地确认对方身份是交易的前提，其目的在于识别合法用户和非法用户，从而阻止非法用户访问系统。这对于确保系统和数据的安全保密是极其重要的。二.电子认证与电子签名的关系P75电子签名主要用于保证数据电讯本身的安全，使之不被否认或篡改，是一种技术上的手段保证，但在保证交易关系的信用安全方面、保证交易人的真实性和可靠性方面却无能为力。而电子认证则侧重于对交易人身份及信用度的考察，使之与实际上的数据电文的发、收人相一致。因此，如果说电子签名是从技术手段上来保障电子商务的安全，则电子认证则是一种组织制度上的保证。电子签名侧重于解决身份辨别与文件归属问题，而电子认证解决的是密钥及其持有人的可信度问题。由此可见，电子签名的安全使用必须配合安全电子认证机构体系的建立。事实上，几乎所有的电子签名立法都比较详细地规定了电子签名的认证。而很多国家，比如美国、加拿大、日本等都建立了配套的公共密钥基础设施PKI。这样，网络上电子签名与安全电子认证的相互结合就解决了由于电子签名技术所无法解决的信用度的问题。在交易环境方面，电子签名可以同时适用于封闭性和开放型的交易网络，在封闭性交易网络中(如EDI，交易的双方或多方彼此比较容易确认对方的身份，只需要以电子签名相互认证就可以，没有必要依赖一个独立的第三方来对其进行认证。而电子认证则主要运用于开放型的交易网络，而开放性的网络中，由于交易双方素未谋面，无法确认对方的身份是否真实，因此，需要一个独立的第三方来加以认证，确保交易对方真实存在。

电子认证服务是指为电子签名相关各方提供真实性、可靠性验证的公众服务活动。电子认证服务提供者是指为电子签名人和电子签名依赖方提供电子认证服务的第三方机构。在我国，中华人民共和国信息产业部依法对电子认证服务机构和电子认证服务实施监督管理。

认证机构提供的认证服务活动是建立在PKI体系之上的，它为技术平台，提供加密和数字签名等密码服务及所必须的密钥和证书管理体系。完整的PKI系统包括认证机构、数字证书库，密钥备份及恢复系统，证书作废系统，应用接口。PKI的核心是CA，CA是受用户信任并提供用户身份验证的权威机构，进行密钥管理和数字证书的签发，从而证明公钥主体的身份及其公钥的匹配关系。Ca的主要职责：颁发、更新、查询、作废、归档具体包括：P76CA是多层次的分组结构。电子认证机构所提供的服务内容：1、制作、颁发、管理电子签名认证证书2、确认签发的电子签名认证证书的真实性3、提供电子签名认证证书目录信息查询服务4、提供电子签名认证证书状态信息查询服务三、电子认证的基本功能

对电子签名进行电子认证服务，主要有两个方面的功能：首先，电子认证对外可以防止欺诈。其次，电子认证服务还具有防止否认的功能。防止欺诈，是防范交易当事人以外的其他人，故意入侵所造成的风险;防止否认，则是针对交易当事人之间可能产生的误解或抵赖而采取的相应措施，以便在电子交易双方当事人之间预防可能发生的商业纠纷。无论是对外防止欺诈，还是对内防止否认，其目的都是为了减少交易的风险。（1）防止欺诈防止欺诈是防止电子合同当事人以外的第三方冒充当事人一方的名义窃取其资金或其他财产的行为。在开放型的网络环境下，交易双方可能是跨越国境，素未谋面的当事人，相互之间不仅缺少封闭性社区交易群体的道德约束力，而且发生欺诈事件后的救济方法也非常有限，即使有救济的可能，其成本也往往超过损失的本身。因此，只有实现对各种欺诈予以全面的防范，才是最明智、最经济的选择。（2）防止否认电子商务中的不可否认性，既是一项技术要求，也是交易双方当事人之间的行为规范，它是合同法中诚实信用原则在电子交易领域的具体反映。技术上的不可否认性是指一种通讯的属性，以防止通讯一方对己经发生的通讯予以否认的情形。其具体形式包括:数据电讯的发送、接收，及其内容的不可否认。通过认证，则可以达到这种效果，其意义在于满足法律上的和各种商务实践的需要。而行为规范上的不可否认，是以一定的组织保障和法律责任为基础的，其作用的全面实现，有赖于电子合同条款、技术手段或协议的支持，以及认证机构所提供的服务。防止否认的最终目的，在于避免数据通讯与商务交易的当事人之间发生纠纷，并在发生纠纷的情况出现时，提供有效的解决方法。发出与传送的不得否认性从程序与规则上，为交易当事人提供了大量的预防性保护，减少了一方当事人试图否认发出或收到某一数据电文而欺骗另一方当事人的可能性。一、认证机构概述

认证机构的英文为CertificationAuthority，简称CA，亦称为认证中心、验证机构或凭证管理中心等。为了保证电子签名的真实性，保障交易安全，发件人在做电子签名前，签署者必须将他的公共密钥送到经合法注册、具有从事电子认证服务许可证的第三方，即电子认证机构(CA认证中心)、登记并由该认证中心签发电子印鉴证明。第二节认证机构的设立与管理规范

国际上对电子认证服务的管理大概分为三种模式：78（一）强制性许可（二）非强制性许可（三）完全依靠市场调节

认证机构在电子商务中的地位和作用

在电子商务交易的撮合过程中，认证机构是提供交易双方验证的第三方机构，由一个或多个用户信任的、具有权威性质的组织实体管理。它不仅要对进行电子商务交易的买卖双方负责，还要对整个电子商务的交易秩序负责。因此，这是一个十分重要的机构，往往带有半官方的性质。在实际运作中，认证机构也可由大家都信任的一方担当。例如，在客户、商家、银行三角关系中，客户使用的是由某个银行发的信用卡或智能卡，而商家又与此银行有业务关系(有账号)。在此情况下，客户和商家都信任该银行，可由该银行担当认证机构的角色，接收、处理其所提供的客户证书和商家证书的验证请求。目前电子商子商务认证机构存在的主要问题：1、建设过热，有一定的盲目性，造成重复建设和资源浪费。2、对电子商务认证机构的作用认识不足3、低估认证机构运行的难度，缺乏必要的规章制度4、认证机构自身的安全性认识不够，对风险认识不足5、法律法规，行业规范亟待健全二、认证机构的设立原则一）、权威性原则二）、真实性原则三）、保密性原则四）、迅捷性原则五）、经济性原则三、认证机构具备以下的条件：

1．认证机构必须是一个独立的法律实体。

2．认证机构还必须是中立性的。3、必须是具有可靠性、权威性，不直接参与用户与依赖方间的商事交易，不以营利为目的4、被交易的当事人所接受，在社会上具有相当的影响力和可信度。四、申请电子认证服务许可，应该向信息产业部提交下列材料1、书面的申请2、专业技术人员和管理人员的证明3、资金和经营场所的证明4、国家有关的认证检测机构出具的技术设备、物理环境符合国家有关的安全标准的凭证5、国家密码管理机构同意使用密码的证明文件五、认证机构的设立条件

我国《电子签名法》第17条对提供电子认证服务的机构应当具备下列条件：

1．依法成立的法人组织；

2．具有与认证服务相适应的专业技术人员和管理人员；

3．具有与提供认证服务相适应的资金和经营场所，具备为用户提供认证服务和承担风险、责任的能力；

4．具有符合国家安全标准的技术、设备；

5．法律、行政法规规定的其他条件。国家行政主管机关对认证机构的资质审查主要集中于认证机构的经营条件方面，从以下几个方面进行审查：（1）、认证人员的资格（2）、资金和经营场所（3）、设备与系统安全性（4）、密码使用资格（5）、内部管理实现不同认证机构颁发的数字证书的互通，实现跨国发展电子商务，最高效的方法是通过认证机构之间的交叉认证。交叉认证概念P82国际间对于外国认证证书的承认方式：831、通过国际条约或双边协定来处理2、行政核准方式3、认证担保方式数字证书的PKI解决方案

PKI(PublicKeyInfrastructure公钥结构)是利用公钥加解密技术来实现信息安全的技术，代表了当今世界网络安全技术的最高水平。PKI方案的核心就是数字证书。第三节、认证机构的证书业务规范一、证书的颁发与公布数字证书在Internet上从事一些需要保密的业务时必备的“个人身份证”，由权威机构发行，在网络通信中标志通信各方身份（数字签名与数字证书相当于现实生活中的自然人与身份证的关系）的一系列数据。网络上通信各方向PKI的数字证书颁发机构申请数字证书，通过PKI系统建立的一套严密的身份认证系统来保证：1． 信息除发送方和接受方外不被其他人截取2． 信息在传输过程中不被篡改3． 发送方能够通过数字证书来确认接受方的身份4． 发送方对于自己的信息不能抵赖签名认证证书应当准确无误，并应当载明下列内容：

（一）电子认证服务提供者名称；

（二）证书持有人名称；

（三）证书序列号；

（四）证书有效期；

（五）证书持有人的电子签名验证数据；

（六）电子认证服务提供者的电子签名；

（七）国务院信息产业主管部门规定的其他内容。图12-5数字证书的组成

数字证书的格式版本、序列号签名算法颁发者使用者标识有效期电子签名认证证书的类型根据证书的持有者不同，电子签名认证证书可分为：（1）个人电子身份证书；（2）企业电子认证证书；（3）信用卡电子认证证书；（4）电子合同认证证书。电子证书的作用互联网电子商务系统技术使在网上购物的顾客能够极其方便地获得商家和企业的信息，但同时也增加了某些敏感或有价值的数据被滥用的风险。买方和卖方都必须对在互联网上进行的一切金融交易运作的真实可靠性以及顾客、商家和企业等交易各方的可靠性具有绝对的信心，因而互联网电子商务系统必须保证具有十分可靠的安全保密技术，也就是说，必须保证网络安全的四大要素，即信息传输的保密性、交易者身份的确定性、发送信息的不可否认性、数据交换的完整性。电子认证的具体操作程序为：A、发件人在做电子签名前，签署者必须将他的公共密钥送到一个经合法注册，具有从事电子认证服务许可证的第三方，即CA认证中心，登记并由该认证中心签发电子印鉴证明(Certificate)。B、尔后，发件人将电子签名文件同电子印鉴证明一并发送给对方，收件方经由电子印鉴佐证及电子签名的验证，即可确信电子签名文件的真实性和可信性。由此可见，在电子文件环境中，CA认证中心扮演的角色与上述传统书面文件签字(盖章)环境中的第三者(公证机关)的角色有异曲同工之妙。CA认证中心正起到一个行使具有权威性公证的第三人的作用。而经CA认证中心颁发的电子印鉴证明就是证明两者之间的对应关系的一个电子资料，该资料指明及确认使用者名称及其公共密钥。使用者从公开地方取得证明后，只要查验证明书内容确实是由CA认证中心所发，即可推断证明书内的公开密钥确实为该证明书内相对应的使用者本人所拥有。如此，该公共密钥持有人无法否认与之相对应的该密钥为他所有，进而亦无法否认经过该密钥所验证通过的电子签名不为他所签署。二、电子认证机构的服务内容（一）、制作、签发、管理电子签名认证证书（二）、确认签发的电子证书的真实性（三）、提供电子签名认证证书目录信息查询服务（四）、提供电子签名认证证书状态查询服务三、认证机构对电子签名认证的基本程序如下:（1）使用人(发件人)利用金钥制作系统制作一组公、私钥。（2）使用人(发件人)向认证机构提供身份资料及其私钥，申请颁发认证证书。认证机构经核查后，依规定签发证书给申请人。该证书亦是电子记录的形式，上有认证机构的数字签名。（3）当事人对其发出的要约用私钥制作成电子签名，连同经认证机构签发的证书，一并发给受要约人(收件人)。（4）收件人利用认证机构提供的公钥验证证书及电子签名的真实性。若在认证机构网络中发现该证书在“证书废止目录”中，则可能该证书己无效，不足以证实签名的效力。（5）经证实后，收件人可对要约做出回应。可见，经过以上程序，只要收件人信赖认证机构的证书效力，就可实现对发件人电子签名的认证。若发件人私钥被盗或丢失，也可通过申请证书废止以确保避免他人的恶意使用。四、证书的管理第22条电子认证服务提供者应当保证电子签名认证证书内容在有效期内完整、准确，并保证电子签名依赖方能够证实或者了解电子签名认证证书所载内容及其他有关事项。第19条电子认证服务提供者应当制定、公布符合国家有关规定的电子认证业务规则，并向国务院信息产业主管部门备案。

电子认证业务规则应当包括责任范围、作业操作规范、信息安全保障措施等事项。第25条国务院信息产业主管部门依照本法制定电子认证服务业的具体管理办法，对电子认证服务提供者依法实施监督管理。四、证书的暂停、撤销、终止与保存《电子认证服务管理办法》第二十九条有下列情况之一的，电子认证服务机构可以撤销其签发的电子签名认证证书：

（一）证书持有人申请撤销证书。

（二）证书持有人提供的信息不真实。

（三）证书持有人没有履行双方合同规定的义务。

（四）证书的安全性不能得到保证。

（五）法律、行政法规规定的其他情况。

第三十一条电子认证服务机构更新或者撤销电子签名认证证书时，应当予以公告。

〈电子签名法〉

第二十三条电子认证服务提供者拟暂停或者终止电子认证服务的，应当在暂停或者终止服务九十日前，就业务承接及其他有关事项通知有关各方。

电子认证服务提供者拟暂停或者终止电子认证服务的，应当在暂停或者终止服务六十日前向国务院信息产业主管部门报告，并与其他电子认证服务提供者就业务承接进行协商，作出妥善安排。

电子认证服务提供者未能就业务承接事项与其他电子认证服务提供者达成协议的，应当申请国务院信息产业主管部门安排其他电子认证服务提供者承接其业务。

电子认证服务提供者被依法吊销电子认证许可证书的，其业务承接事项的处理按照国务院信息产业主管部门的规定执行。

第二十四条电子认证服务提供者应当妥善保存与认证相关的信息，信息保存期限至少为电子签名认证证书失效后五年。第四节、认证机构的法律责任

一、认证服务机构与当事人之间的法律关系二、认证机构在认证法律关系中的义务三、认证机构的业务风险与过错责任四、电子认证服务机构的免责条件

一般情况下，电子认证服务活动涉及三方主体：证书持有人、认证服务机构、证书信赖人。一、认证服务机构与当事人之间的法律关系

（1）认证服务机构与数字证书持有人之间的法律关系认证服务机构与其数字证书持有人之间是合同关系。当事人的合同关系表现在认证证书上。当事人在线或离线申请数字证书，认证服务机构允诺，合同即成立。合同的标的是认证机构的服务行为，双方的权利义务载明在认证证书上。数字证书本身不是合同，但它是合同存在的证明。

（2）认证服务机构与证书信赖人之间的法律关系证书信赖人，是指相信电子签名证书，并以该证书上所确定的证书持有人为交易对方，而进行交易的当事人。认证服务机构对于信赖证书的交易人，应承担公正信息发布的义务，而不能因未接受其服务报酬，而偏袒与之建立了服务合同的证书持有人一方。

证书信赖人本身可能是，也可能不是认证服务机构的用户，他与认证服务机构，要比用户与认证服务机构之间的关系更为复杂。当证书信赖人不是认证服务机构的用户时，他与认证服务机构之间并无服务合同存在。但是，当他利用证书而与证书持有人交易时，却又成为了证书服务关系中的对象，并且，认证服务机构在特定情况下还要对此承担法律责任。二、认证机构在法律关系中的义务（一）、电子认证服务机构的权利和义务：1、电子认证服务机构的权利（1）要求数字证书申请者提供真实信息的权利。（2）收取费用的权利。（3）及时获得通知的权利。（4）单方撤销或终止数字证书的权利。2、认证机构的义务1、审查义务2、提供的证书信息真实、准确、完整的义务3、正确及时发放的义务4、安全保密义务5、业务规则说明和告之的义务6、及时处理业务义务

1、证书持有人的权利：（1）获得数字证书的权利。（2）中止数字证书的权利。（3）变更数字证书的权利。（4）撤销数字证书的权利。（二）、证书拥有人的权利和义务三、认证机构的业务风险与过错责任1、业务风险902、认证机构相关法律责任91四、电子认证服务机构的免责条件

认证服务机构满足可免除责任的条件有以下三种情况：（1）不可抗力。（2）免责条款。（3）债权人过错。五、我国电子商务认证机构的建设

1.我国电子商务认证机构建设的基本情况

自1998年5月17日我国第一家CA认证中心产生以来，目前已建成和在建中的CA认证中心已经超过100家。这些认证机构大致可以分为三类。第一类是行业主管部门建立的CA中心，如由中国人民银行牵头，组织国内12家商业银行共同组建的中国金融CA认证中心(CFCA)，以及电信CA、海关CA等；第二类是地方政府部门建立的CA中心，如北京CA、上海CA等；第三类是民间资本建立的商业CA，大多和国际CA巨头合作，如天威诚信。从整体上看，我国CA机构的规模还比较小，一般投资在1500万到3000万元人民币之间；发放的证书也比较少。上海CA发放证书约60万张，中国金融CA认证中心发放证书30万张左右，天威诚信发放证书十余万张。所有认证机构基本上都还没有形成自己的盈利模式。

2.我国电子认证服务机构建设中存在的问题

(1)缺少行业整体规划。从国内电子认证服务机构开始建设至今，国家政府部门一直没有出台一个指导国内电子认证服务机构建设的总体规划，使得电子认证服务机构建设处于无序状态。各行业、各地区、民间机构按照各自的需要建立认证机构，呈现出数量多、规模小、效益差的局面。

(2)对电子认证服务机构运营和推广的复杂性和难度考虑不够。一些认证机构本以为一旦运营并向外提供服务，即可获得后续生存和发展的资金，而没有考虑到目前市场需求不足，应用不成熟。有的电子认证机构因后续资金不充裕，已经陷入资金危机中，经营难以为继。这些电子认证服务机构的失败反过来又影响了电子认证服务机构的信誉和用户的信心，使更多的用户继续观望，从而影响了整个电子认证服务行业的发展。

(3)标准规范严重滞后。目前国内的电子认证服务机构颁发数字证书时所采用的标准和规范不一样，证书的发放和运用范围、审核方式也不尽相同，所涉及到的信息保存和披露的差别比较大。这种状况对交叉认证的实现造成了很大困难。

(4)技术水平偏低，存在安全隐患。从整体上看，我国电子认证服务机构技术水平偏低，存在安全隐患。国内已建立的100多家电子认证中心中，相当一部分在筹建时就带有一定的盲目性，系统建设时采用的PKI产品不够完善，电子认证系统自身安全考虑不够全面，安全强度弱，风险大，开展业务过程中又缺乏审计、监督机制促使其规范运营。

3.加强我国电子认证服务机构建设的基本思路

(1)加强对现有认证机构的整顿。我国《电子签名法》已经明确，国务院信息产业主管部门是电子认证服务机构的监督管理部门。信息产业部《电子认证服务管理办法》对认证服务提出了实际操作规范，规定了电子认证服务机构的人员编制、注册资金、政府相关部门的批件等资质要求。各级主管部门要根据《电子签名法》和《电子认证服务管理办法》的要求，加强对现有认证机构的整顿，重新整合，进一步明确电子认证服务机构的法律责任。

(2)条块协调，完善布局。针对我国电子认证机构的现状，应统筹规划，完善布局，构建全国性或分区构建跨地区、跨行业、跨领域的电子认证技术体系、运营体系和服务体系。加强各电子认证服务机构之间的互通合作，提高各不同机构间发放的证书的兼容性，提升产业集群水平，充分发挥市场的竞争机制和汰劣择优功能，使电子认证服务机构为各个行业、各个地方的用户提供更大的便利和专业性的服务。

(3)积极探索电子认证服务机构的盈利模式。我国电子认证服务机构盈利状况不好，和国内电子签名的应用不普及有着密切关系。电子认证服务机构和有关部门应从多方面考虑，积极拓展电子签名的应用领域。例如，在电子合同、电子病历、电子税务等领域，都可以形成电子认证应用的广阔领域。虽然有关法律效力的问题已经解决，但有关应用环境、应用手段和应用理念还存在诸多问题，必须下大力气加以解决。

(4)加强电子认证服务标准建设。电子认证服务是可以选用的服务，而不是必须强制的服务。从这点考虑，电子认证标准的建设，应当从提高服务机构的竞争力考虑。通过电子认证标准的建设，使电子认证机构逐渐树立其市场的权威性。目前需要建设的电子认证服务标准主要包括电子认证服务产品功能标准、服务流程标准、服务质量标准、服务权限标准、服务评价标准和互通互连标准。

(5)加强安全监控。PKI/CA是一种遵循标准的利用公钥加密技术为网上通信提供一整套安全保障的基础平台，它自身是一个安全度要求很高的机构，比一般信息中心安全标准要求高得多。电子认证服务机构的认证系统安全性涉及到访问控制、责任分割、识别和鉴别、密钥管理、审计、可行路径和数据保护、密码安全、物理安全、人员安全等多个方面。应针对国内已建立的多家电子认证服务机构目前存在的安全问题，消除安全隐患，提高安全强度，建立保险制度，保证整个系统运作的安全性和稳定性。

(6)主动参与国际合作。电子商务的本质决定了与电子商务相关的服务必然逐步显现国际化的趋势。电子认证服务也毫不例外，从长远的角度看，电子认证在国际范围内的交叉认证、统一和标准化是必然的趋势。近年来，国际组织为建立全球电子认证中心制定了一系列的标准与法规，如ISO已颁布的密钥鉴别架构标准ISO9594-8、开放系统连接安全架构ISO10181等。随着我国政府放松对服务业的经济限制，加之信息网络无边界的特点，要求我们积极参与国际对话，通过必需的组织、规划、政策和措施，建立一个覆盖全国、连通世界并为国际社会所普遍接受的电子认证服务国际框架，维护我国电子认证服务应有的权属利益和发展平台。

4.国家级电子认证服务体系建设的构想

为改变我国认证机构存在的设置混乱问题，必须考虑国家级电子认证服务体系的建设。从经济活动的角度出发，电子认证服务主要涉及下述几个方面的任务：

(1)身份认证。从我国目前情况来看，面对成千上万的网络消费者，全面实施个人身份认证尚有困难。但对于企业与企业之间的交易，即B2B的交易，身份认证非常必要。目前我国企业在国家工商部门都有登记，只要通过认证机构将这些资料汇总，即可开展企业身份认证。这项认证可由工商管理部门来做。

(2)资信认证。资信等级是AAA级，还是CCC级，这一点必须由银行提供证明。我国开展企业资信等级的评定已有多年历史，将这一工作网络化，即可用于电子商务交易的认证。这项认证可以由银行来做。

(3)税收认证。我国企业税收资料历年积累完整，可以全面反映一个企业的整体经营情况。所以，可以增加税收认证机制，以衡量一个企业整体素质的高低。这项认证可以由税务部门来做。

(4)外贸认证。对于外贸企业来说，由于其行业的特殊性，在信用证贸易和EDI贸易中已经实行了类似的认证