自考電子商務法概論第五章

電子認證法律制度主要知識點：電子認證、電子認證服務、站點認證、電子認證法、認證機構的含義，電子認證的主要類型，電子論證與電子簽名的關系，電子認證服務的監管模式，電子認證機構的主要服務內容、設立原則和條件，交叉認證的含義與法律規范，我國《電子簽名法》規定的電子簽名認證證書的概念和主要載明的內容，對數字證書的管理的相關規定，證書暫停的含義，數字證書和信賴方的義務，電子簽名依賴方的概念，認證機構與在線當事人之間的法律關系，認證機構在認證法律關系中的義務，認證機構的業務風險與過錯責任。

使用瀏覽器訪問Web頁面能夠輕松實現網上購物、網上炒股和網上銀行等作業，其中會通過網絡傳送一些敏感信息，包括合同、金融帳號、帳號密碼和支付信息等。TCP/IP在制定之初處于網絡技術的初級階段，并沒有考慮安全問題，數據流采用明文傳輸。因此，對于一些有保密要求的應用如電子商務、電子政務、網絡銀行等，首先考慮的是安全性。電子商務的主要安全隱患惡意中斷系統------破壞系統的有效性竊聽信息------------破壞系統的機密性篡改信息------------破壞系統的完整性假冒他人身份對貿易行為進行抵賴如何確保消費者資料的保密性？如何保證銷售方獲得合法的收益？如何使交易的完整性得到保護？等等………………

這一系列問題已成為電子商務發展的巨大障礙.

針對于此,就需要我們從安全技術與法律方面提供保證。因此國內CA認證機構應運而生。網絡信息安全的新需求1．身份認證和鑒別:對信息傳輸的雙方進行身份認證和鑒別，需要某種機制來證明雙方的真實身份。2．不可否認性:信息的發送方必須對自己的操作承擔責任，不可否認。3．數字簽名:日常生活中，通信雙方為了解決抵賴和欺騙的問題，會在文檔上進行手寫簽名，把這個原理用在網絡上就是數字簽名。數字簽名的目的：用于證明是作者的簽名、簽名日期和時間；在簽名的同時對內容的真偽進行鑒別；簽名能夠被公正、權威的第三方進行仲裁。

問題的提出：在電子商務交易過程中，素未見面的交易各方如何建立信任？如何防止不被他人假冒交易者的身份？如何防止不被交易的對方否認其交易身份？

第一節、電子認證概述一、電子認證的概念和性質（一）、電子認證的概念

認證是指權威的、中立的、沒有直接利害關系的第三人或機構、對當事人提出的包括文件、身份物品及其產地、品質等具有法律意義的事實與資格、經審查屬實后作出的證明。電子認證指一個國家承認的認證機構通過頒發數字證書和管理公共密匙來檢驗帶有電子簽名的文件所有人及其內容的真實性的一種行為。電子認證服務是指為電子簽名相關各方提供真實性，可靠性驗證的公眾服務活動p74。電子認證的特征：電子認證以其所具有的四大特征確立了在信息化應用中基礎性、關鍵性的作用。

（1）真實性。要確保交易雙方的真實身份、信息內容真實以其交易發生時間的真實性。

（2）完整性。確保雙方交易的信息是完整的、沒有被篡改過和偽造過。

（3）機密性。確保電子交易中數據電文、交換數據、信息的保密性，使之不被交易雙方以外的交易無關個體獲知。

（4）不可否認性。不可否認性確保了交易雙方不能對其參與過交易的事實進行抵賴，它為日后可能存在的交易糾紛提供了一個可信的證據。

電子簽名只是從技術手段上對簽名人身份做出辨認及能對簽署文件的發件人與發出電子文件所屬關系做出確認的方式。但如何解決上文提到判定公共密鑰的確定性以及私人密鑰持有者否認簽發文件的可能性等問題，則是電子簽名技術本身無法解決的問題。換言之，這里面有一個解決私人密鑰持有人信用度的問題。這里面包括兩種可能性。一是密鑰持有人主觀惡意，即有意識否認自己做出的行為；二是客觀原因，即發生密鑰丟失、被竊或被解密情況，使發件人或收件人很難解釋歸責問題。

事實上，相類似的問題在我們傳統商業交易活動中也存在，只不過我們有一套相對完整的解決方案罷了。當然這里包括相配套的法律規范及保護措施。在傳統的簽字（蓋章）使用中，為了防止簽字（蓋章）方提供偽造虛假或被篡改的簽字（蓋章）或者防止發送人以各種理由否認該簽字（蓋章）為其本人所為，一些國家或地區采取通過具有權威性公信力的授權機關對某印章提前做出備案，并可提供驗證證明的方式，防止抵賴或偽造等情形發生。例如，在我國臺灣省，對一些重要法律文件（如房地產買賣交易文件），對印章真實性認證就采取下述方式處理：為保證蓋過章的文件的真實性，印章持有人在蓋章之前需把印章送到具有權威性的戶政事務所登記備案，并申請印鑒證明，之后再把印鑒證明同蓋過章的文件一并送給收件方,收件方將印鑒證明同原件相比較，如完全一致，就可確認文件及其印章的真實性了。

在電子交易過程，同樣需要一個具有權威性公信力的第三者作為安全認證機關（CertificateAuthority）對公開密鑰行使辨別及認證等管理職能，以防止發件人抵賴或減少因密鑰丟失、被偷竊或被解密等風險。由此可見，電子簽名的安全使用必須配合安全認證機關體系的建立。事實上，西方很多國家（美國、加拿大、德國等）以及日本都已經或正在建立相配套的公共密鑰基礎設施（publickeyinfrastructure）。這樣，網絡上電子簽名與CA認證的相互結合就解決了前面闡述的由于電子簽名技術方面無法解決的信用度的問題。（二）、電子認證的分類

1、站點認證。交易中的商務信息都有保密的要求，如信用卡和賬號和用戶名被人知道，就有可能被盜用，訂貨和付款和信息被競爭對手獲悉，就可能失去機會，因此，在商務信息傳播中均有加密的要求，為了確保通訊安全，在正式傳送數據電文之前，應首先認證通訊是否是在意定的兩個站點間進行，這一過程稱為站點認證。2、數據電文認證經過站點認證后，收發雙方便可進行電子通信，而數據電文這種認證保證收方能夠確定：這個電訊是由確認方發出的，該電訊的內容有無篡改或發生錯誤；該電訊傳送給確定的收方，從而使每個通信者能夠驗證每份電訊的來源，內容、時間性和目的地的真實性3、電訊源的認證網絡交易必須保證發送者和接收者之間交換信息的保密性。電子商務作為一種子貿易手段，其信息直接代表著企業的商業機密。因此，要預防非法的信息存取和信息在傳輸過程中被非法竊取，確保只有合法用戶才能看到數據，防止信息泄密事件發生。實現電訊源的認證既可以收發雙方共享的數據加密密鑰，來認證電訊源，也可以收發雙方共享的保密的通行字為基礎，來認證電訊源。4、身份認證。商家主要考慮客戶端不能是騙子，而客戶也會擔心網上的商店不是一個有意欺詐的黑店，因此能方便而可靠地確認對方身份是交易的前提，其目的在于識別合法用戶和非法用戶，從而阻止非法用戶訪問系統。這對于確保系統和數據的安全保密是極其重要的。二.電子認證與電子簽名的關系P75電子簽名主要用于保證數據電訊本身的安全，使之不被否認或篡改，是一種技術上的手段保證，但在保證交易關系的信用安全方面、保證交易人的真實性和可靠性方面卻無能為力。而電子認證則側重于對交易人身份及信用度的考察，使之與實際上的數據電文的發、收人相一致。因此，如果說電子簽名是從技術手段上來保障電子商務的安全，則電子認證則是一種組織制度上的保證。電子簽名側重于解決身份辨別與文件歸屬問題，而電子認證解決的是密鑰及其持有人的可信度問題。由此可見，電子簽名的安全使用必須配合安全電子認證機構體系的建立。事實上，幾乎所有的電子簽名立法都比較詳細地規定了電子簽名的認證。而很多國家，比如美國、加拿大、日本等都建立了配套的公共密鑰基礎設施PKI。這樣，網絡上電子簽名與安全電子認證的相互結合就解決了由于電子簽名技術所無法解決的信用度的問題。在交易環境方面，電子簽名可以同時適用于封閉性和開放型的交易網絡，在封閉性交易網絡中(如EDI，交易的雙方或多方彼此比較容易確認對方的身份，只需要以電子簽名相互認證就可以，沒有必要依賴一個獨立的第三方來對其進行認證。而電子認證則主要運用于開放型的交易網絡，而開放性的網絡中，由于交易雙方素未謀面，無法確認對方的身份是否真實，因此，需要一個獨立的第三方來加以認證，確保交易對方真實存在。

電子認證服務是指為電子簽名相關各方提供真實性、可靠性驗證的公眾服務活動。電子認證服務提供者是指為電子簽名人和電子簽名依賴方提供電子認證服務的第三方機構。在我國，中華人民共和國信息產業部依法對電子認證服務機構和電子認證服務實施監督管理。

認證機構提供的認證服務活動是建立在PKI體系之上的，它為技術平臺，提供加密和數字簽名等密碼服務及所必須的密鑰和證書管理體系。完整的PKI系統包括認證機構、數字證書庫，密鑰備份及恢復系統，證書作廢系統，應用接口。PKI的核心是CA，CA是受用戶信任并提供用戶身份驗證的權威機構，進行密鑰管理和數字證書的簽發，從而證明公鑰主體的身份及其公鑰的匹配關系。Ca的主要職責：頒發、更新、查詢、作廢、歸檔具體包括：P76CA是多層次的分組結構。電子認證機構所提供的服務內容：1、制作、頒發、管理電子簽名認證證書2、確認簽發的電子簽名認證證書的真實性3、提供電子簽名認證證書目錄信息查詢服務4、提供電子簽名認證證書狀態信息查詢服務三、電子認證的基本功能

對電子簽名進行電子認證服務，主要有兩個方面的功能：首先，電子認證對外可以防止欺詐。其次，電子認證服務還具有防止否認的功能。防止欺詐，是防范交易當事人以外的其他人，故意入侵所造成的風險;防止否認，則是針對交易當事人之間可能產生的誤解或抵賴而采取的相應措施，以便在電子交易雙方當事人之間預防可能發生的商業糾紛。無論是對外防止欺詐，還是對內防止否認，其目的都是為了減少交易的風險。（1）防止欺詐防止欺詐是防止電子合同當事人以外的第三方冒充當事人一方的名義竊取其資金或其他財產的行為。在開放型的網絡環境下，交易雙方可能是跨越國境，素未謀面的當事人，相互之間不僅缺少封閉性社區交易群體的道德約束力，而且發生欺詐事件后的救濟方法也非常有限，即使有救濟的可能，其成本也往往超過損失的本身。因此，只有實現對各種欺詐予以全面的防范，才是最明智、最經濟的選擇。（2）防止否認電子商務中的不可否認性，既是一項技術要求，也是交易雙方當事人之間的行為規范，它是合同法中誠實信用原則在電子交易領域的具體反映。技術上的不可否認性是指一種通訊的屬性，以防止通訊一方對己經發生的通訊予以否認的情形。其具體形式包括:數據電訊的發送、接收，及其內容的不可否認。通過認證，則可以達到這種效果，其意義在于滿足法律上的和各種商務實踐的需要。而行為規范上的不可否認，是以一定的組織保障和法律責任為基礎的，其作用的全面實現，有賴于電子合同條款、技術手段或協議的支持，以及認證機構所提供的服務。防止否認的最終目的，在于避免數據通訊與商務交易的當事人之間發生糾紛，并在發生糾紛的情況出現時，提供有效的解決方法。發出與傳送的不得否認性從程序與規則上，為交易當事人提供了大量的預防性保護，減少了一方當事人試圖否認發出或收到某一數據電文而欺騙另一方當事人的可能性。一、認證機構概述

認證機構的英文為CertificationAuthority，簡稱CA，亦稱為認證中心、驗證機構或憑證管理中心等。為了保證電子簽名的真實性，保障交易安全，發件人在做電子簽名前，簽署者必須將他的公共密鑰送到經合法注冊、具有從事電子認證服務許可證的第三方，即電子認證機構(CA認證中心)、登記并由該認證中心簽發電子印鑒證明。第二節認證機構的設立與管理規范

國際上對電子認證服務的管理大概分為三種模式：78（一）強制性許可（二）非強制性許可（三）完全依靠市場調節

認證機構在電子商務中的地位和作用

在電子商務交易的撮合過程中，認證機構是提供交易雙方驗證的第三方機構，由一個或多個用戶信任的、具有權威性質的組織實體管理。它不僅要對進行電子商務交易的買賣雙方負責，還要對整個電子商務的交易秩序負責。因此，這是一個十分重要的機構，往往帶有半官方的性質。在實際運作中，認證機構也可由大家都信任的一方擔當。例如，在客戶、商家、銀行三角關系中，客戶使用的是由某個銀行發的信用卡或智能卡，而商家又與此銀行有業務關系(有賬號)。在此情況下，客戶和商家都信任該銀行，可由該銀行擔當認證機構的角色，接收、處理其所提供的客戶證書和商家證書的驗證請求。目前電子商子商務認證機構存在的主要問題：1、建設過熱，有一定的盲目性，造成重復建設和資源浪費。2、對電子商務認證機構的作用認識不足3、低估認證機構運行的難度，缺乏必要的規章制度4、認證機構自身的安全性認識不夠，對風險認識不足5、法律法規，行業規范亟待健全二、認證機構的設立原則一）、權威性原則二）、真實性原則三）、保密性原則四）、迅捷性原則五）、經濟性原則三、認證機構具備以下的條件：

1．認證機構必須是一個獨立的法律實體。

2．認證機構還必須是中立性的。3、必須是具有可靠性、權威性，不直接參與用戶與依賴方間的商事交易，不以營利為目的4、被交易的當事人所接受，在社會上具有相當的影響力和可信度。四、申請電子認證服務許可，應該向信息產業部提交下列材料1、書面的申請2、專業技術人員和管理人員的證明3、資金和經營場所的證明4、國家有關的認證檢測機構出具的技術設備、物理環境符合國家有關的安全標準的憑證5、國家密碼管理機構同意使用密碼的證明文件五、認證機構的設立條件

我國《電子簽名法》第17條對提供電子認證服務的機構應當具備下列條件：

1．依法成立的法人組織；

2．具有與認證服務相適應的專業技術人員和管理人員；

3．具有與提供認證服務相適應的資金和經營場所，具備為用戶提供認證服務和承擔風險、責任的能力；

4．具有符合國家安全標準的技術、設備；

5．法律、行政法規規定的其他條件。國家行政主管機關對認證機構的資質審查主要集中于認證機構的經營條件方面，從以下幾個方面進行審查：（1）、認證人員的資格（2）、資金和經營場所（3）、設備與系統安全性（4）、密碼使用資格（5）、內部管理實現不同認證機構頒發的數字證書的互通，實現跨國發展電子商務，最高效的方法是通過認證機構之間的交叉認證。交叉認證概念P82國際間對于外國認證證書的承認方式：831、通過國際條約或雙邊協定來處理2、行政核準方式3、認證擔保方式數字證書的PKI解決方案

PKI(PublicKeyInfrastructure公鑰結構)是利用公鑰加解密技術來實現信息安全的技術，代表了當今世界網絡安全技術的最高水平。PKI方案的核心就是數字證書。第三節、認證機構的證書業務規范一、證書的頒發與公布數字證書在Internet上從事一些需要保密的業務時必備的“個人身份證”，由權威機構發行，在網絡通信中標志通信各方身份（數字簽名與數字證書相當于現實生活中的自然人與身份證的關系）的一系列數據。網絡上通信各方向PKI的數字證書頒發機構申請數字證書，通過PKI系統建立的一套嚴密的身份認證系統來保證：1． 信息除發送方和接受方外不被其他人截取2． 信息在傳輸過程中不被篡改3． 發送方能夠通過數字證書來確認接受方的身份4． 發送方對于自己的信息不能抵賴簽名認證證書應當準確無誤，并應當載明下列內容：

（一）電子認證服務提供者名稱；

（二）證書持有人名稱；

（三）證書序列號；

（四）證書有效期；

（五）證書持有人的電子簽名驗證數據；

（六）電子認證服務提供者的電子簽名；

（七）國務院信息產業主管部門規定的其他內容。圖12-5數字證書的組成

數字證書的格式版本、序列號簽名算法頒發者使用者標識有效期電子簽名認證證書的類型根據證書的持有者不同，電子簽名認證證書可分為：（1）個人電子身份證書；（2）企業電子認證證書；（3）信用卡電子認證證書；（4）電子合同認證證書。電子證書的作用互聯網電子商務系統技術使在網上購物的顧客能夠極其方便地獲得商家和企業的信息，但同時也增加了某些敏感或有價值的數據被濫用的風險。買方和賣方都必須對在互聯網上進行的一切金融交易運作的真實可靠性以及顧客、商家和企業等交易各方的可靠性具有絕對的信心，因而互聯網電子商務系統必須保證具有十分可靠的安全保密技術，也就是說，必須保證網絡安全的四大要素，即信息傳輸的保密性、交易者身份的確定性、發送信息的不可否認性、數據交換的完整性。電子認證的具體操作程序為：A、發件人在做電子簽名前，簽署者必須將他的公共密鑰送到一個經合法注冊，具有從事電子認證服務許可證的第三方，即CA認證中心，登記并由該認證中心簽發電子印鑒證明(Certificate)。B、爾后，發件人將電子簽名文件同電子印鑒證明一并發送給對方，收件方經由電子印鑒佐證及電子簽名的驗證，即可確信電子簽名文件的真實性和可信性。由此可見，在電子文件環境中，CA認證中心扮演的角色與上述傳統書面文件簽字(蓋章)環境中的第三者(公證機關)的角色有異曲同工之妙。CA認證中心正起到一個行使具有權威性公證的第三人的作用。而經CA認證中心頒發的電子印鑒證明就是證明兩者之間的對應關系的一個電子資料，該資料指明及確認使用者名稱及其公共密鑰。使用者從公開地方取得證明后，只要查驗證明書內容確實是由CA認證中心所發，即可推斷證明書內的公開密鑰確實為該證明書內相對應的使用者本人所擁有。如此，該公共密鑰持有人無法否認與之相對應的該密鑰為他所有，進而亦無法否認經過該密鑰所驗證通過的電子簽名不為他所簽署。二、電子認證機構的服務內容（一）、制作、簽發、管理電子簽名認證證書（二）、確認簽發的電子證書的真實性（三）、提供電子簽名認證證書目錄信息查詢服務（四）、提供電子簽名認證證書狀態查詢服務三、認證機構對電子簽名認證的基本程序如下:（1）使用人(發件人)利用金鑰制作系統制作一組公、私鑰。（2）使用人(發件人)向認證機構提供身份資料及其私鑰，申請頒發認證證書。認證機構經核查后，依規定簽發證書給申請人。該證書亦是電子記錄的形式，上有認證機構的數字簽名。（3）當事人對其發出的要約用私鑰制作成電子簽名，連同經認證機構簽發的證書，一并發給受要約人(收件人)。（4）收件人利用認證機構提供的公鑰驗證證書及電子簽名的真實性。若在認證機構網絡中發現該證書在“證書廢止目錄”中，則可能該證書己無效，不足以證實簽名的效力。（5）經證實后，收件人可對要約做出回應。可見，經過以上程序，只要收件人信賴認證機構的證書效力，就可實現對發件人電子簽名的認證。若發件人私鑰被盜或丟失，也可通過申請證書廢止以確保避免他人的惡意使用。四、證書的管理第22條電子認證服務提供者應當保證電子簽名認證證書內容在有效期內完整、準確，并保證電子簽名依賴方能夠證實或者了解電子簽名認證證書所載內容及其他有關事項。第19條電子認證服務提供者應當制定、公布符合國家有關規定的電子認證業務規則，并向國務院信息產業主管部門備案。

電子認證業務規則應當包括責任范圍、作業操作規范、信息安全保障措施等事項。第25條國務院信息產業主管部門依照本法制定電子認證服務業的具體管理辦法，對電子認證服務提供者依法實施監督管理。四、證書的暫停、撤銷、終止與保存《電子認證服務管理辦法》第二十九條有下列情況之一的，電子認證服務機構可以撤銷其簽發的電子簽名認證證書：

（一）證書持有人申請撤銷證書。

（二）證書持有人提供的信息不真實。

（三）證書持有人沒有履行雙方合同規定的義務。

（四）證書的安全性不能得到保證。

（五）法律、行政法規規定的其他情況。

第三十一條電子認證服務機構更新或者撤銷電子簽名認證證書時，應當予以公告。

〈電子簽名法〉

第二十三條電子認證服務提供者擬暫停或者終止電子認證服務的，應當在暫停或者終止服務九十日前，就業務承接及其他有關事項通知有關各方。

電子認證服務提供者擬暫停或者終止電子認證服務的，應當在暫停或者終止服務六十日前向國務院信息產業主管部門報告，并與其他電子認證服務提供者就業務承接進行協商，作出妥善安排。

電子認證服務提供者未能就業務承接事項與其他電子認證服務提供者達成協議的，應當申請國務院信息產業主管部門安排其他電子認證服務提供者承接其業務。

電子認證服務提供者被依法吊銷電子認證許可證書的，其業務承接事項的處理按照國務院信息產業主管部門的規定執行。

第二十四條電子認證服務提供者應當妥善保存與認證相關的信息，信息保存期限至少為電子簽名認證證書失效后五年。第四節、認證機構的法律責任

一、認證服務機構與當事人之間的法律關系二、認證機構在認證法律關系中的義務三、認證機構的業務風險與過錯責任四、電子認證服務機構的免責條件

一般情況下，電子認證服務活動涉及三方主體：證書持有人、認證服務機構、證書信賴人。一、認證服務機構與當事人之間的法律關系

（1）認證服務機構與數字證書持有人之間的法律關系認證服務機構與其數字證書持有人之間是合同關系。當事人的合同關系表現在認證證書上。當事人在線或離線申請數字證書，認證服務機構允諾，合同即成立。合同的標的是認證機構的服務行為，雙方的權利義務載明在認證證書上。數字證書本身不是合同，但它是合同存在的證明。

（2）認證服務機構與證書信賴人之間的法律關系證書信賴人，是指相信電子簽名證書，并以該證書上所確定的證書持有人為交易對方，而進行交易的當事人。認證服務機構對于信賴證書的交易人，應承擔公正信息發布的義務，而不能因未接受其服務報酬，而偏袒與之建立了服務合同的證書持有人一方。

證書信賴人本身可能是，也可能不是認證服務機構的用戶，他與認證服務機構，要比用戶與認證服務機構之間的關系更為復雜。當證書信賴人不是認證服務機構的用戶時，他與認證服務機構之間并無服務合同存在。但是，當他利用證書而與證書持有人交易時，卻又成為了證書服務關系中的對象，并且，認證服務機構在特定情況下還要對此承擔法律責任。二、認證機構在法律關系中的義務（一）、電子認證服務機構的權利和義務：1、電子認證服務機構的權利（1）要求數字證書申請者提供真實信息的權利。（2）收取費用的權利。（3）及時獲得通知的權利。（4）單方撤銷或終止數字證書的權利。2、認證機構的義務1、審查義務2、提供的證書信息真實、準確、完整的義務3、正確及時發放的義務4、安全保密義務5、業務規則說明和告之的義務6、及時處理業務義務

1、證書持有人的權利：（1）獲得數字證書的權利。（2）中止數字證書的權利。（3）變更數字證書的權利。（4）撤銷數字證書的權利。（二）、證書擁有人的權利和義務三、認證機構的業務風險與過錯責任1、業務風險902、認證機構相關法律責任91四、電子認證服務機構的免責條件

認證服務機構滿足可免除責任的條件有以下三種情況：（1）不可抗力。（2）免責條款。（3）債權人過錯。五、我國電子商務認證機構的建設

1.我國電子商務認證機構建設的基本情況

自1998年5月17日我國第一家CA認證中心產生以來，目前已建成和在建中的CA認證中心已經超過100家。這些認證機構大致可以分為三類。第一類是行業主管部門建立的CA中心，如由中國人民銀行牽頭，組織國內12家商業銀行共同組建的中國金融CA認證中心(CFCA)，以及電信CA、海關CA等；第二類是地方政府部門建立的CA中心，如北京CA、上海CA等；第三類是民間資本建立的商業CA，大多和國際CA巨頭合作，如天威誠信。從整體上看，我國CA機構的規模還比較小，一般投資在1500萬到3000萬元人民幣之間；發放的證書也比較少。上海CA發放證書約60萬張，中國金融CA認證中心發放證書30萬張左右，天威誠信發放證書十余萬張。所有認證機構基本上都還沒有形成自己的盈利模式。

2.我國電子認證服務機構建設中存在的問題

(1)缺少行業整體規劃。從國內電子認證服務機構開始建設至今，國家政府部門一直沒有出臺一個指導國內電子認證服務機構建設的總體規劃，使得電子認證服務機構建設處于無序狀態。各行業、各地區、民間機構按照各自的需要建立認證機構，呈現出數量多、規模小、效益差的局面。

(2)對電子認證服務機構運營和推廣的復雜性和難度考慮不夠。一些認證機構本以為一旦運營并向外提供服務，即可獲得后續生存和發展的資金，而沒有考慮到目前市場需求不足，應用不成熟。有的電子認證機構因后續資金不充裕，已經陷入資金危機中，經營難以為繼。這些電子認證服務機構的失敗反過來又影響了電子認證服務機構的信譽和用戶的信心，使更多的用戶繼續觀望，從而影響了整個電子認證服務行業的發展。

(3)標準規范嚴重滯后。目前國內的電子認證服務機構頒發數字證書時所采用的標準和規范不一樣，證書的發放和運用范圍、審核方式也不盡相同，所涉及到的信息保存和披露的差別比較大。這種狀況對交叉認證的實現造成了很大困難。

(4)技術水平偏低，存在安全隱患。從整體上看，我國電子認證服務機構技術水平偏低，存在安全隱患。國內已建立的100多家電子認證中心中，相當一部分在籌建時就帶有一定的盲目性，系統建設時采用的PKI產品不夠完善，電子認證系統自身安全考慮不夠全面，安全強度弱，風險大，開展業務過程中又缺乏審計、監督機制促使其規范運營。

3.加強我國電子認證服務機構建設的基本思路

(1)加強對現有認證機構的整頓。我國《電子簽名法》已經明確，國務院信息產業主管部門是電子認證服務機構的監督管理部門。信息產業部《電子認證服務管理辦法》對認證服務提出了實際操作規范，規定了電子認證服務機構的人員編制、注冊資金、政府相關部門的批件等資質要求。各級主管部門要根據《電子簽名法》和《電子認證服務管理辦法》的要求，加強對現有認證機構的整頓，重新整合，進一步明確電子認證服務機構的法律責任。

(2)條塊協調，完善布局。針對我國電子認證機構的現狀，應統籌規劃，完善布局，構建全國性或分區構建跨地區、跨行業、跨領域的電子認證技術體系、運營體系和服務體系。加強各電子認證服務機構之間的互通合作，提高各不同機構間發放的證書的兼容性，提升產業集群水平，充分發揮市場的競爭機制和汰劣擇優功能，使電子認證服務機構為各個行業、各個地方的用戶提供更大的便利和專業性的服務。

(3)積極探索電子認證服務機構的盈利模式。我國電子認證服務機構盈利狀況不好，和國內電子簽名的應用不普及有著密切關系。電子認證服務機構和有關部門應從多方面考慮，積極拓展電子簽名的應用領域。例如，在電子合同、電子病歷、電子稅務等領域，都可以形成電子認證應用的廣闊領域。雖然有關法律效力的問題已經解決，但有關應用環境、應用手段和應用理念還存在諸多問題，必須下大力氣加以解決。

(4)加強電子認證服務標準建設。電子認證服務是可以選用的服務，而不是必須強制的服務。從這點考慮，電子認證標準的建設，應當從提高服務機構的競爭力考慮。通過電子認證標準的建設，使電子認證機構逐漸樹立其市場的權威性。目前需要建設的電子認證服務標準主要包括電子認證服務產品功能標準、服務流程標準、服務質量標準、服務權限標準、服務評價標準和互通互連標準。

(5)加強安全監控。PKI/CA是一種遵循標準的利用公鑰加密技術為網上通信提供一整套安全保障的基礎平臺，它自身是一個安全度要求很高的機構，比一般信息中心安全標準要求高得多。電子認證服務機構的認證系統安全性涉及到訪問控制、責任分割、識別和鑒別、密鑰管理、審計、可行路徑和數據保護、密碼安全、物理安全、人員安全等多個方面。應針對國內已建立的多家電子認證服務機構目前存在的安全問題，消除安全隱患，提高安全強度，建立保險制度，保證整個系統運作的安全性和穩定性。

(6)主動參與國際合作。電子商務的本質決定了與電子商務相關的服務必然逐步顯現國際化的趨勢。電子認證服務也毫不例外，從長遠的角度看，電子認證在國際范圍內的交叉認證、統一和標準化是必然的趨勢。近年來，國際組織為建立全球電子認證中心制定了一系列的標準與法規，如ISO已頒布的密鑰鑒別架構標準ISO9594-8、開放系統連接安全架構ISO10181等。隨著我國政府放松對服務業的經濟限制，加之信息網絡無邊界的特點，要求我們積極參與國際對話，通過必需的組織、規劃、政策和措施，建立一個覆蓋全國、連通世界并為國際社會所普遍接受的電子認證服務國際框架，維護我國電子認證服務應有的權屬利益和發展平臺。

4.國家級電子認證服務體系建設的構想

為改變我國認證機構存在的設置混亂問題，必須考慮國家級電子認證服務體系的建設。從經濟活動的角度出發，電子認證服務主要涉及下述幾個方面的任務：

(1)身份認證。從我國目前情況來看，面對成千上萬的網絡消費者，全面實施個人身份認證尚有困難。但對于企業與企業之間的交易，即B2B的交易，身份認證非常必要。目前我國企業在國家工商部門都有登記，只要通過認證機構將這些資料匯總，即可開展企業身份認證。這項認證可由工商管理部門來做。

(2)資信認證。資信等級是AAA級，還是CCC級，這一點必須由銀行提供證明。我國開展企業資信等級的評定已有多年歷史，將這一工作網絡化，即可用于電子商務交易的認證。這項認證可以由銀行來做。

(3)稅收認證。我國企業稅收資料歷年積累完整，可以全面反映一個企業的整體經營情況。所以，可以增加稅收認證機制，以衡量一個企業整體素質的高低。這項認證可以由稅務部門來做。

(4)外貿認證。對于外貿企業來說，由于其行業的特殊性，在信用證貿易和EDI貿易中已經實行了類似的認證