《电子认证服务管理办法》(以下简称《办法》)自2009年3月31日起施行,至今已逾13载,《办法》主要对电子认证服务的准入条件、运营规范、权利义务、法律责任等作出了明确规定。

13年来,《办法》在规范电子认证服务行为,对电子认证服务提供者实施监督管理等方面发挥着不可替代的作用。今天,就让我们翻开历史的日历,重新审视这部在中国电子认证发展史上具有重大意义的法律文件。

明确服务规则

电子认证机构才能依法运营

《办法》第二条明确指出:电子认证服务,是指为电子签名相关各方提供真实性、可靠性验证的活动。

另外,《办法》强调,电子认证服务提供者,是指为需要第三方认证的电子签名提供认证服务的机构,向社会公众提供服务的电子认证服务机构应当依法设立。

依法设立,代表的是机构获得了国家认可,从经营场所、安全标准、技术、设备、人员、资本、管理等多方面严格符合国家的安全合规要求,接受定期、不定期检查,并且要承担相应的义务责任。

因此,各企业在选择电子签名提供者时,首先需要考虑的是对方是否具备国家授权,也就是该机构是否取得了由国家工信部所颁发的《电子认证服务许可证》,只有具备国家授权才能够有所保障。

此外,《办法》第五条第六项指出,需具有国家密码管理机构同意使用密码的证明文件,也就是由国家密码管理局颁发的《电子认证服务使用密码许可证》。

综上可知,《办法》以电子认证服务机构为主线,主要规定了提供电子认证服务应具备的具体条件、申请电子认证服务的具体程序、电子认证业务规则的内容要求、电子签名认证证书的格式和安全保障措施等,这也是《办法》的核心内容,其目的是为解决电子认证服务行政许可的实施和电子认证服务机构的监督管理问题,从而保证《电子签名法》的顺利施行。

权利与义务并行

企业客户才更有保障

电子认证服务机构在获得国家授权行使权利时,必须要履行相关义务,以此保障客户及社会数字经济体系安全、稳定、合规发展。

《办法》第十八条指出,电子认证服务机构应当履行下列义务:

(一)保证电子签名认证证书内容在有效期内完整、准确。

(二)保证电子签名依赖方能够证实或者了解电子签名认证证书所载内容及其他有关事项。

(三)妥善保存与电子认证服务相关的信息。

第十九条指出,电子认证服务机构应当建立完善的安全管理和内部审计制度。

第二十条指出,电子认证服务机构应当遵守国家的保密规定,建立完善的保密制度。电子认证服务机构对电子签名人和电子签名依赖方的资料,负有保密的义务。

电子签名认证证书(即数字证书)的真实性,直接决定了企业开展业务的安全性,互联网中业务开展依赖于交易双方的身份真实性。如果连身份都不能确定是否真实,那后续交易将无从开展。

从这方面来说,对电子认证服务机构进行安全管理,要求其履行保密义务,也都是为了维护接受服务客户的自身业务安全与利益。

此外,电子认证服务机构还需保障其所提供认证业务的连续性,以此确保客户业务不受影响。

《办法》第二十四条规定,电子认证服务机构拟暂停或者终止电子认证服务的,应当在暂停或者终止电子认证服务九十日前,就业务承接及其他有关事项通知有关各方。应当在暂停或者终止电子认证服务六十日前向工业和信息化部报告,并与其他电子认证服务机构就业务承接进行协商,做出妥善安排。

此外,《办法》还从多角度规定了电子认证服务及电子签名认证证书的内容细则,申明了强调安全保障、实现平稳过渡、政府许可与行业自律相结合等原则。

总体来看,《办法》主要内容以落实电子签名法、规范电子认证服务机构的设立与运营,明确电子签名中各方的基本义务,促进我国电子商务和信息化事业健康有序发展为根本目的。

如果说《中华人民共和国电子签名法》是我国电子商务和信息化领域的第一部专门的法律,那么《办法》则是一部紧紧围绕电子签名法的,以全面规范电子认证服务为核心的实施细则。

《办法》的颁布和实施,对电子认证服务机构依法经营产生了积极的促进作用,进一步保障了电子商务和信息化的安全,极大地改善了我国电子商务的法制环境,对我国电子认证服务业的发展起到了全面规范和促进的作用。