張瀅

電子簽名可以依賴于很多技術來實現(xiàn)，有些電子簽名可能并不需要認證，例如一些以生物識別技術生成的電子簽名，其直接依據(jù)簽名人的生理特征就可以辨別電子簽名的真?zhèn)巍Ｔ谀壳?，各國電子商務或者電子簽名立法中確認的需要認證的電子簽名一般指的是數(shù)字簽名。數(shù)字簽名是指通過使用非對稱密碼加密系統(tǒng)對電子記錄進行加密、解密變換來實現(xiàn)的一種電子簽名，目前它在各國的電子商務實踐中得到了廣泛的應用。作為第三方的數(shù)字簽名認證機構通過給從事交易活動的各方主體頒發(fā)數(shù)字證書、提供證書驗證服務等手段來保證交易過程中各方主體電子簽名的真實性和可靠性。

一、電子認證服務提供者應當具備的條件

電子認證服務提供者，作為認證服務機構，應該具備以下條件：

（1）電子認證服務提供者應當具有與提供電子認證服務相適應的專業(yè)技術人員和管理人員。提供電子認證服務是一項復雜的技術工程。僅從數(shù)字簽名技術的實現(xiàn)來看，它運用了一系列復雜的加密算法。電子認證服務提供者在提供電子認證服務的過程中涉及多級認證和交叉認證等多種技術手段。這就需要有一批懂技術的專門人才從事電子認證服務工作，才能保障電子認證活動的開展。同時，作為權威的第三方認證機構，不僅應當具備可靠的技術條件，更重要的是在策略、管理、運營等諸多方面具備良好的條件，具有合格的管理人員也是電子認證服務提供者應當具備的一個重要條件。

（2）電子認證服務提供者應當具有與提供電子認證服務相適應的資金和經(jīng)營場所。具備必要的資金是電子認證服務提供者開展業(yè)務的前提條件，也是電子認證服務提供者承擔法律責任的重要保證。同時，由于提供電子認證服務對于安全性、保密性的要求較高，電子認證服務提供者相比較于一般企業(yè)，對經(jīng)營場所的防火、防盜、防電磁輻射等方面的要求更高。電子認證機構對經(jīng)營場所的安全條件一般都制定有嚴格的標準，以保障電子認證服務的順利開展。

（3）電子認證服務提供者應當具有符合國家安全標準的技術和設備。國家為了保障信息技術產品的安全性，先后制定了一系列的國家標準。電子認證服務提供者在提供電子認證服務過程中使用的技術和設備，應當符合國家已經(jīng)制定的安全標準。

（4）電子認證服務提供者提供電子認證服務應當具有國家密碼管理機構同意使用密碼的證明文件。我國商用密碼條例規(guī)定，商用密碼技術屬于國家秘密。國家對商用密碼產品的科研、生產、銷售和使用實行專控管理。任何單位或者個人只能使用經(jīng)國家密碼管理機構認可的商用密碼產品。由于電子認證服務提供者在經(jīng)營過程中必然要使用密碼技術和密碼產品，電子認證服務提供者必須具有國家密碼管理機構同意使用密碼的證明文件。

（5）法律、行政法規(guī)可以對電子認證服務提供者應當具備的條件作出其他必要的規(guī)定。本法第二十五條還規(guī)定，國務院信息產業(yè)主管部門依照本法制定電子認證服務業(yè)的具體管理辦法。因此，國務院信息產業(yè)主管部門在制定具體管理辦法時，可以就電子認證服務提供者應當具備的條件作出進一步具體和明確的規(guī)定。

二、電子簽名認證證書的內容

電子認證服務提供者簽發(fā)的電子簽名認證證書應該包括以下幾個方面的內容：

（1）電子簽名認證證書是電子認證服務提供者簽發(fā)的用以證明證書持有人的電子簽名、身份、資格及其他有關信息的電子文件，它是電子交易當事人在互聯(lián)網(wǎng)上從事電子商務活動的身份證和通行證。在電子商務交易中互不認識的雙方當事人用其證書證明各自簽名的真實性，可以在雙方之間建立相互信任的基礎。因此，電子簽名認證證書不僅具有證明電子簽名的真實性與完整性的作用，還可以為交易當事人提供身份及從事交易的資格、權限等方面的證明?；陔娮雍灻J證證書的重要作用，電子認證服務提供者簽發(fā)的電子簽名認證證書應當準確無誤，否則就可能產生損害電子認證、電子交易的后果，影響電子簽名認證證書的權威性和信任度。

（2）電子簽名認證證書應當載明的內容包括電子認證服務提供者和證書持有人的名稱、證書序列號、證書有效期、證書持有人的電子簽名驗證數(shù)據(jù)和電子認證服務提供者的電子簽名，以及國務院信息產業(yè)主管部門規(guī)定的其他內容。這是法律規(guī)定的電子簽名認證證書應當載明的內容。電子認證服務提供者還可以根據(jù)實際需要載明其他內容，如載明證書的種類與等級等信息。

（3）電子認證服務提供者應當保證電子簽名認證證書內容在有效期內完整、準確，并保證電子簽名依賴方能夠證實或者了解電子簽名認證證書所載內容及其他有關事項。

三、電子認證服務提供者的有關保證義務

（1）電子認證服務提供者最重要的任務就是制作、發(fā)放和管理電子簽名認證證書，所以其首要義務就是保證認證證書的真實性、完整性和準確性，即所發(fā)放認證證書的公共密鑰同某個確定身份的人是一一對應的，以保證發(fā)放的證書具有可靠的權威性和信任度。電子認證服務提供者要使發(fā)布的認證信息及時可靠，這其中還包括要讓有關當事人能夠隨時證實證書申請人所擁有的身份證、許可證或者營業(yè)執(zhí)照等關系該人行為能力的文書或者證件的效力。因此，電子認證服務提供者的兩項保證義務：一是保證電子簽名認證證書內容在有效期內完整、準確；二是保證電子簽名依賴方能夠證實或者了解電子簽名認證證書所載內容及其他有關事項。

（2）聯(lián)合國貿法會電子簽名法示范法對電子認證服務提供者的有關保證義務作出了更具體的規(guī)定，要求驗證服務提供商應當采取合理謹慎措施，確保其作出的有關證書整個周期的或需要列入證書內的所有重大表述均精確無誤和完整無缺。要提供合理可及的手段，使依賴方得以從證書中證實下列內容：（1）驗證服務提供商的身份；（2）證書中所指明的簽字人在簽發(fā)證書時擁有對簽字生成數(shù)據(jù)的控制；（3）在證書簽發(fā)之時或之前簽字生成數(shù)據(jù)有效。要提供合理可及的手段，使依賴方得以在適當情況下從證書或其他方面證實下列內容：（1）用以鑒別簽字人的方法；（2）對簽字生成數(shù)據(jù)或證書的可能用途或使用金額上的任何限制；（3）簽字生成數(shù)據(jù)有效和未發(fā)生失密；（4）對驗證服務提供商規(guī)定的責任范圍或程度的任何限制；（5）是否存在簽字人發(fā)出通知的途徑；（6）是否提供了及時的撤消服務。要使用可信賴的系統(tǒng)、程序和人力資源提供其服務。驗證服務提供商如未能滿足上述要求應承擔相應責任。美國猶他州數(shù)字簽名法規(guī)定：通過頒發(fā)證書，許可之認證機構向所有信賴證書里包含的信息的人證明，認證機構已遵守了頒發(fā)證書的所有有效的要求；通過發(fā)布證書，許可之認證機構向公告欄和所有信賴證書里包含的信息的人證明，認證機構已經(jīng)向用戶頒發(fā)了證書。該法還規(guī)定：通過接收許可之認證機構頒發(fā)的證書，證書上確定的用戶，向所有信賴證書里包含的信息的人證明：（1）每一個通過與證書上所列公開密鑰相對應的私鑰而生成的電子簽名，除非證書中止、被認證機構撤消或者過期失效，對用戶來講都是法律上有效的簽名；（2）沒有未經(jīng)授權的人使用與證書上所列公開密鑰相對應的私鑰；（3）用戶對認證機構作出的包含于證書的所有重要信息的陳述，都是真實的；（4）證書中包含的信息是真實的。新加坡和我國香港地區(qū)也有類似的規(guī)定。