《电子签名法》第二十五条 国务院信息产业主管部门依照本法制定电子认证服务业的具体管理办法,对电子认证服务提供者依法实施监督管理。
【释义】 本条是授权国务院信息产业主管部门制定电子认证服务业的具体管理办法并依法实施监管的规定。
一、电子认证是基于数据电文的收件人需要对收讫的数据电文发送人身份及数据电文的真实性、完整性进行核实而产生的。
电子认证通过电子认证机构颁发电子认证证书,据以确认数据电文发送人制作数字签名的密钥对与发送人的联系来实施认证确认活动。鉴于电子认证机构在电子交易中的重要作用,关于其设置、资格、行为规范等,始终是各国电子商务立法关注的重点。符合一定标准的电子认证机构,才能保证其运营符合电子商务的需要。电于认证机构的运营受到切实有效的监督,才能更好地保护电子签名人和电子签名依赖方的利益。从国外看,电子认证机构的市场准入有三种情况:一是,对电子认证机构实行强制性许可制度,即从事电子认证业务必须经过主管机关批准。如马来西亚数字签名法案明确规定,"没有人可以作为认证机构开展业务或进行运营,或主张他自己可以进行认证业务的运营,除非该人持有根据本法发放的有效许可证。"日本电于签名与认证服务法规定,"欲从事或者已在从事认证服务者须获得相关大臣之许可"。韩国电子署名法规定,"信息通信部长官指定有能力安全可靠地执行认证业务的单位担任公认认证机关"。电子商务基本法规定"政府可以根据电子署名法指定一个被授权的认证机构以确保电子商务的安全和可靠,并促进电子商务交易的健康发展"。德国《信息与通信服务法》规定,"证机构开展业务,须从主管机关取得许可证。许可证经申请即予颁发。"但下列情况不予颁发许可证:如果有事实证明下述推定,即申请人不具备从事认证业务的可靠性,或者申请人没有提交具备从事认证业务所需专业知识的证明,或者有理由认为一旦开始业务活动,不能符合本法以及具有法律效力的法令规定的与认证机构开展业务有关的其他要求。我国香港和台湾地区对于电子认证的市场准入也都实行强制性许可制度。二是,对电子认证机构实行非强制性许可制度。例如,依照欧盟《电子签名指令》的规定,"成员国不得为证书服务规定任何事先授权",但是,各成员国可以建立自愿的、非强制性的许可制度,经政府许可的认证机构享有比未经许可的认证机构更多的权利。奥地利《联邦电子签名法》规定,认证服务提供者无需取得特别许可即可开展业务,但须立即通知监管机关,并将有关文件材料向监管机关报送备案,包括其安全政策、认证政策、所提供的业务以及使用的技术手段和程序等。该法还规定了认证机关自愿认证的程序和认可认证机关的相关技术安全要求。新加坡《电子交易法》规定设立电子认证机构并不一定都要取得许可,但经许可的认证机构发布证书时,可以在证书中载明一项供参考的标准依据限额,即可以享受法律规定的民事责任限制等"优惠"。三是,对电子认证机构的设立不实行许可制度,完全依赖市场调节,通过行业自律予以规范。例如美国。
二、从国外看,对电子认证机构进行监管的内容主要包括与证书发放有关记录的保存、发证、证书更新、中止和撤销、认证业务声明、安全准则和保密等。如新加坡《电子交易法》规定,为保证本法或其细则的需要,通过书面通知,监管人可以指示认证机构或其工作人员采取通知书中指定的行为,对于不遵守指示的,要追究相应的法律责任。马来西亚《数字签名法》规定,对于特许认证机构,应当每年进行一次检查,以评价其遵守本法案的情况。年度检查应由具有计算机方面专业知识、获得执照的职业会计师,或信誉良好的、从事计算机安全工作的专业人员进行。审查人员的资格条件及审查的工作程序由本法案的实施细则予以规定。监控人应在其提供并维持的有关特许认证机构信息的信息库里向公众公布审查的日期和结果。我国香港地区《电子交易条例》规定,认可核证机关必须最少每十二个月向署长提交报告一次,而该报告必须载有对该机关是否已遵守本条例中就认可核证机关适用的条文的评
估,及在该期间是否已遵守业务守则的评估。根据德国《数字签章法》的规定,主管机关可以采取相应的行政措施处理认证机构的违法行为,具体包括:(1)主管机关可以禁止认证机构使用不适当的技术设备,并且可以暂时全部或者部分禁止其业务,如果认证机构采取非法手段误导他人相信其已获得某种许可,可以禁止其全部认证业务。(2)进行营业场所检查。(3)撤回、废止或者中止许可。如果认证机构没有依法履行义务,主管机关可以撤回、废止或者中止以前发出的许可。在撤销或者废止许可或者中止认证机构业务时,主管机关可以把该认证机构的业务交给其他认证机构或者确保该认证机构与有关密钥持有人之间的业务关系已经结束。(4)中止认证证书的效力。主管机关有足够证据认为,认证证书是伪造或者其安全性不足以防止伪造,或者所采用的技术设备显示安全上有欠缺,使得数字签章或者数字资料的伪造可能难以觉察时,可以中止认证证书的效力。
三、从我国实际情况看,对电子认证服务业主要靠市场引导和行业自律的条件尚不具备,由政府部门实施适度监管是必要的。本法规定了提供电于认证服务应当具备的条件,规定了对提供电于认证服务实施行政许可制度,规定了有违法行为的电子认证服务提供者应承担的法律责任,这些规定是必要的、可行的。另外,由于我国的电子认证业务还处于发展起步阶段,政府部门对电子认证机构如何实施有效的、适度的监管,还需要在实践中进一步总结经验。为此,本条授权国务院信息产业主管部门制定电子认证服务业管理的具体办法。
《电子签名法》第二十六条 经国务院信息产业主管部门根据有关协议或者对等原则核准后,中华人民共和国境外的电子认证服务提供者在境外签发的电子签名认证证书与依照本法设立的电子认证服务提供者签发的电子签名认证证书具有同等的法律效力。
【释义】 本条是关于我国境外的电子认证服务提供者在境外签发的电子签名认证证书的法律效力的规定。
一、在跨国境的电子商务中,最重要一个环节是对处于不同司法管辖范围内的交易人的身份进行认证。这就要涉及到电子证书的跨境认证。实现跨境认证有几种方式。第一,允许境外的认证机构在本地提供服务。第二,境内的认证机构出境提供认证服务。第三,不同司法管辖范围内的认证机构达成互认证协议。第一和第二种方式,都是服务贸易的延伸。一旦境内的认证机构出境或境外的认证机构进境,都可以被视为本地的认证机构,都应当受到本地法律的管辖。本条所称的境外的电子认证服务者是指不受本地法律管辖的电子认证服务提供者。在认证过程中出现争议时,会涉及到两种法律体系和两种司法制度协调。因此,不同国别的电子认证服务的相互认证必须由两国政府根据国际法原则协商确定解决。
二、本法规定的有关协议是指,根据两国政府间的协议,而对等原则是指别国政府或法律对中国境内的电子认证服务提供者提供的认证服务的态度。依据这两点,信息产业主管部门可以核准确认,哪些境外的认证机构签发的认证证书可以在我国境内使用。
扫描左边二维码手机访问 分享到微信 1. 打开微信,点击“发现”,调出“扫一扫”功能 2. 手机摄像头对准左边的二维码,打开文章 3. 点击右上角分享文章 |
京ICP120101号 |