《电子签名法》实施后再追踪

4月1日，《中华人民共和国电子签名法》和《电子认证服务管理办法》正式实施，争论三年之久的种种观点由此尘埃落定。在中国人已延续了几千年的“白纸黑字”、“盖章压印”后，由于《电子签名法》的生效，中国企业习惯于使用书面形式的盖章和手写签名所进行的商务活动，能随之改变吗？

节约成本、提高效率，成为推动电子签章发展的最大诱惑。《电子签名法》由此就能获得普遍的认同吗？

据资料显示，美国三大汽车制造商联合在网上进行采购，每年网上采购额近3000亿美元，由此节约的成本高达100亿美元。业内人士分析认为，通过电子商务至少可以为企业节约超过10%的成本。比如思科网络公司（Cisco）成功地将所有的销售与定单签订都放在了网络中，并在过去的十年中为公司节约了几十亿美元的成本开支。

随着电子商务的发展，全球已有60多个国家就电子签名及其他电子商务活动进行了相关立法，而美国犹他州1995年出台的《电子签名法》则是全球最早的电子商务领域法律。

在中国，电子商务的迅猛发展同样推动了一系列相关的立法需求。记者在联想集团采访中了解到，在未采用电子签名之前，联想庞大的MIS系统中，一份合同的生效需要通过接收传真、确认、盖章、回函（传真或EMS快递），总耗时大概在两周左右，而采用电子签名系统之后，一份合同从提交到生效，整个过程可在半天内完成。

然而，从《电子签名法》生效1个月来看，电子签名的普及和应用并没有明显增长的趋势。除了许多人不了解电子签名外，更大的问题是，电子签名认证所采用的技术标准不止一个。在电子商务交易中，双方使用电子签名时，往往需要第三方对电子签名人的身份进行认证，向交易对方提供信誉保证，这个第三方一般称之为电子认证服务机构CA（Certificate Authority）。但目前大大小小的CA足有数百家，究竟哪些CA机构签发的电子签名才是安全的呢？虽然《电子签名法》规定了认证机构的资质条件和认证机构的责任，但仍然缺乏有效的监管细则。

如何说服企业采用电子签名？如何让网络变得诚信？如何让用户信任CA技术？这些问题使刚刚生效的《电子签名法》显得有些苍白。事实表明，一项法律的颁布并不等同于一个产业的蓬勃发展。

使用习惯、CA权威性、网络环境，诸多问题仍然成为电子签章发展的巨大阻力，来自传统行业的看似守旧的观点，使企业用户面对《电子签名法》及电子签章时谨慎又谨慎。记者发现，联想集团的电子签名，虽然能够迅速提升业务效率，并在成本节约上有所帮助，但是值得注意的是，在4月1日前，包括联想集团在内的所有采用电子签名的公司，其电子签名只能被作为公司自身的一种业务模式，其约束也是一种自我约束，究其原因，在于电子签名尚未获得法律认可的效用。

业内专家认为，在《电子签名法》出台之前，乃至出台之后的一段时间内，电子签章作为电子签名的形式之一，在使用上还很不规范。即使现在，《电子签名法》已正式实施，但仍然没有针对电子签章的明确规范，例如法律并没有明确规定电子签章应该保有几个，分别用于什么情况等等。记者认为，电子签章应尽量采用与现实商务活动使用的三个图章相接近，即财务章、公章和合同章，以减少用户使用习惯变更太大而带来的应用落差等。

值得特别关注的是，作为这一产业链上关键环节的CA认证机构的权威性、公信力，以及技术成熟度等问题，都已经成为电子签名是否能够获得企业用户认可的直接前提。在《电子签名法》实施之后，如何确保采用的相关产品能够为自身带来成本节约和效率提升的同时，规避掉互联网中有可能存在的多种风险，成为企业用户是否采用电子签名的最大矛盾和顾虑。一位企业负责人向记者坦言：“一旦出了问题，我们是否有这样的经验和精力去调查、取证，甚至对簿公堂？而这一切都因为我们提前依托于《电子签名法》，成为抢先吃‘电子签名’这个螃蟹的人？”

国内信用体系的缺失状态，以及《电子签名法》“不干涉企业继续选用现实签章或选择电子签章的自由”的条款，也将使大部分企业在面对电子签名时茫然不知所措。

在《签名法》出台之后，我们看到的，不是问题的解决，而是更多问题的延续。

一方面是法律已经生效，另一方面是各种条件还不够完备，无论是等待兴盛，还是相互妥协，CA中心成为电子签章发展最为关键的因素，也成为《电子签名法》和《管理办法》贯彻的主要执行者。CA中心的权威性无法得到用户的认可，成为电子签章发展的最大障碍。

据记者调查，虽然中国的电子商务市场远不能和欧美发达国家相比，甚至也不足以和日本、韩国、新加坡等互联网普及较进步的国家相比，但是中国的CA认证中心的数量已经相当之多。这其中不乏相当一部分将CA作为一种达到赢利的商业机会去对待的非理性思维的存在。

随着互联网快速渗透到社会的各个层面，以及各种企事业单位信息化进程的发展，如何建立一套权威、公正的第三方认证机构规范，建立一些真正能够做到无缝安全的CA认证中心及产品，将是通过互联网络进行电子签章的可信基础。很现实的问题是，当前绝大多数的CA中心实施认证的策略构建亟待加强，从人员安全、物理安全，乃至信息安全，各个层面都有可能存在较大问题。例如离线备份、在线备份、电源冗余备份、双路冗余备份、应急系统、内部失窃、内部人员管理办法、背景调查、离职/异动处理、关键人物的冗余备份等。

既然一些大的国际性CA中心和微软之间的矛盾还时不时地出现，又何谈小的软件开发商和不具权威的CA认证中心之间的鱼水关系？

在存在交叉认证的CA领域，如果发生纠纷之后，如何解决问题？尽管国际的管理是双方共同承担对等责任，“但是中国的CA机构在管理上尚且无序，和客户之间的资质很难达到平衡，交叉认证时资质不对等的CA怎样承担对等的责任呢？”对此疑问重重。一个简单的道理是，如果中国石化或者中国银行这样的“超级”企业，一旦发生安全性问题，任何国内CA中心都没有足够的“资本”和他们一道承担对等责任。

还有，无论是CA认证中心，还是采用CA认证的企业客户，都不会只甘心于将电子商务圈在国内地域。即使国内CA认证通过了，又如何提供境外服务？相关的申请和审批如何与国外相衔接？

上述问题至今都无答案！