统筹考虑 加快发展

关键字：电子认证/服务业

实施电子认证强制认证的重点行业和领域

《电子签名法》实施两年来，《电子签名法》研究课题组在探索中总结经验，针对《电子签名法》实施过程中遇到的问题进行分析，这里选取其中几个相关课题与读者共同研究探讨。

电子认证是一个为信息技术用户提供第三方信息安全服务的业务，它以PKI技术为基础，较好地保障了信息传输的保密性、数据交换的完整性、发送信息的不可否认性、网络主体身份的确定性等要求。2005年《电子签名法》实施后，电子认证服务快速发展，正在成长为一个新兴的现代服务产业。同时，电子认证服务业发展中面临的基础性、共性问题也开始暴露出来，需要从发展战略上统筹考虑，合理规划，制定相应的鼓励政策和监管措施，促进电子认证服务业又好又快发展，充分满足信息化建设的需要。

我国电子认证服务业存在的五大问题

总体而言，我国电子认证服务业还属于新兴产业，存在一些共性问题：

1.应用市场狭窄，应用创新不足

在我国，电子认证主要还局限在电子政务、电子商务的部分领域，应用市场较为单一，电子认证潜能没有得到充分的挖掘。究其原因，一方面社会各界对电子认证还比较陌生，社会认知度较低，信息安全意识也不强；另一方面CA机构应用创新和应用开发不足，业务模式单一，与客户业务的结合不够紧密，难以满足用户的需求。

2.存在行业应用壁垒，服务市场条块分割

电子认证市场存在着一定的行业壁垒，一些行业过分强调行业的特殊性，自建CA机构，面向公众提供服务，人为地对应用市场进行分割，造成行业应用垄断。同时，一些地区CA依靠本地优势，垄断本地市场。

3.标准规范建设滞后，阻碍了互通互认的实现

目前我国电子认证标准规范滞后，没有统一的证书介质接口、证书管理政策、证书操作规范、证书和证书撤销列表、PKI操作和管理协议、交叉认证等技术标准，服务规范差异也很大。当然，难以互通互认还有CA机构的业务策略、合作利益机制等其他方面的原因。

4.电子产业链不完善，行业公共服务落后

电子认证产业链的上游是系统与设备供应商，上游的问题是创新能力不足，缺乏核心技术的知识产权；产业链中游的CA机构应用创新能力不足，应用开发不足，同时也缺乏公共服务机构；产业链下游是用户，存在的问题是应用意识不足。

5.存在一些低水平竞争，市场秩序未完全规范化

低水平竞争体现在三个方面：一是竞争集中在有限的应用领域，二是低价格竞争，甚至免费发放证书，三是一些CA自身运营不规范，为降低成本竟然忽视安全。少数机构还违规改变经营条件，如改变资本结构，变更企业法人代表，随意变更注册资金用途等等。

电子认证服务业发展的五个发展重点

结合我国电子认证服务业的发展现状，电子认证服务业发展战略的重点内容应包括：

1.推广电子认证应用，扩大电子认证市场

推广电子认证应用，首先要加强对信息安全的宣传，提高用户安全意识和对电子认证的认知，充分利用各种媒体，或者通过多角度、多层次的培训等方式，使社会各界充分认识电子认证的重要性。其次，要在信息化建设中引入电子认证应用，保障信息安全。再次，要设计合理的信息安全责任机制，引导用户将自身的系统安全外包给已经提供服务的第三方CA机构，增强用户信息安全外包意识。最后，规范CA机构运营，不断提高其服务质量和服务水平，在扩大经营规模的基础上，引导CA机构不断降低服务成本和证书价格。

2.打破条块分割，营建有序竞争、全国统一的大市场

电子认证应用必须打破条块分割，建立全国统一的大市场。既要承认某些应用的特殊性，更要引导和促进应用的通用性。应通过行业的合作与协调，消除行业壁垒和区域壁垒。尤其要加强电子签名法的执法检查，解决一些企业内部CA面向社会公众服务的问题。应当根据市场容量，对电子认证行业进行统筹规划，构建全国性跨地区、跨行业、跨领域的电子认证技术体系、运营体系和服务体系。

3.引导合作，实现电子认证服务的互信互认

从国际上看，互信互认的技术实现主要有交叉认证、桥CA、根CA等方式。在这方面，我国还需要加强研究，对电子认证互信互认的技术实现、统一的业务策略、法律责任的划分等深入分析，研究制定电子认证服务机构运营规范管理、证书注册机构规范管理、证书介质KEY的性能标准等标准规范。同时，要研究设计CA之间互利共赢的业务合作机制。

4.完善电子认证服务产业链，增强产业可持续发展能力

首先，要加强产业链上游的技术创新能力建设。对CA技术的研发进行合理的控制，在遵循国际标准的基础上，鼓励和支持我国企业开发拥有自主知识产权的CA技术产品。培育和支持CA技术自主研发企业的发展，形成几个具有自主产权的大型企业。其次，要引导CA机构加强应用开发，扩大应用市场。要引导电子认证机构加强业务开发，创新业务模式，攻克应用技术难关。要深入研究各行业的应用需求特点，开发出具有针对性的、客户方便易用的应用技术和业务模式，扎扎实实地渗透到一个又一个行业。再次，要发展行业公共服务，解决产业面临的共性问题。重点发展安全监测、技术支持、风险评估、责任鉴定、人员培训等公共服务，培育中介服务机构。

5.完善电子认证监管体系，促进市场有序有效竞争

要完善电子认证监管体系，应重点从以下方面着手：第一，建立健全电子认证监管的法律规范，制定电子认证服务的互通互认、业务承接、境外机构核准、CA机构安全管理等法律法规。第二，建设电子认证监管的技术设施。电子认证是一个复杂的高技术过程，监管者必须掌握一定的监管技术设施和手段，真正准确、适时地观测了解电子认证服务过程，才能实现有效监管。第三，完善市场准入和退出机制。针对行政许可中的细节问题，制定可操作的实施办法，进一步完善市场准入和市场退出机制，研究制定业务承接办法，保证CA机构作业连续性。第四，规范CA机构运营，制定安全运营的标准规范，约束经营风险，防止因过度竞争引起安全能力的削弱。

发展电子认证服务业的五点建议

上述内容均是长期策略。结合我国现阶段电子认证服务业的发展现状，提出近期措施和建议：

1.控制电子认证服务机构数量增长的步伐

电子认证的规模效应和保障安全的特性，决定了必须加强政府的宏观调控，控制CA机构数量增长的步伐。可以采取如下措施：一是审慎准入。对申请从事电子认证服务的机构，考虑国家安全、信息安全、电子认证应用市场需求和CA机构竞争等因素， 再决定是否许可其进入电子认证市场。可以根据上述因素，适时调整市场准入的门槛，如提高注册资金、人员素质、物理环境、设备设施等方面的要求。二是扶持大型CA机构发展。政府可以通过专项资金、在大型信息系统项目中招标采购电子认证服务等方式，择优扶持大型CA机构的发展，促进其做大做强，真正成为行业内的龙头。三是促进现有机构的合作、合并以及资本资源集中。

2.实施重点行业和领域的强制认证

一些行业和领域的信息安全关系到公共利益和国家安全。因此，必须提高这类信息系统的安全防护等级，强制要求电子认证应用。关系到国家信息安全、公众信息安全和经济安全的领域,在信息系统运行中应当强制采用电子认证应用。对电子政务以及国家投资的重大系统工程，也应提出电子认证应用的要求。

3.实施电子认证服务强制保险制度

电子认证是高风险行业，必须有一种有效的机制来分散法律风险。从国际上看，分散风险的机制主要有两种：一是通过立法，允许CA机构对证书的使用范围、责任限额作出规定。二是实行责任保险制度，提出电子认证服务机构就承担的民事赔偿责任进行投保。

参考国外的做法，我国电子认证服务赔付解决应当更多地依靠责任保险。许多国家都开展了网络保险业务，而我国还没有开设这样的险种。事实上，国内CA机构已经提出了责任保险的需求，且个别CA曾与保险机构签订过保险协议，说明保险的道路是可行的。建议在电子认证服务领域推行责任保险制度，设计和推行自愿保险是第一步，在此基础上，逐步推行强制保险制度。责任保险制度的推行，与保险行业的整体发展、业务推广密切相关，因此需要监管机构与保监会等部门加强协调，做好相关工作。

4.培育发展中介服务机构

要培育和发展一批中介服务机构，针对行业发展中的共性的、基础性问题，提供权威、可信的公共服务，减轻CA机构负担。中介服务的内容包括安全评级、风险评估、证书验证、安全监测、应用测试、责任鉴定、应用指导、人员培训和业务演示等。

5.积极开展国际互认合作

信息网络具有无国界的特性，为了确保国际间电子商务交易的顺利进行，必须在国际间建立并维持一种可以信任的环境和机制。这就使电子认证服务的国际互认成为必要。必须抓紧对境外证书法律效力核准的研究，制定具体的管理办法；同时积极参与有关国际条约、协定的协商，在保持开放和确保国家安全的前提下，签署有关条约、协定，促进我国与其他国家跨境贸易的发展。