欧美日国家电子认证的发展及启示

周鸣爱

随着信息通信网络和技术的快速发展，以网络和电子商务为特征的新经济正席卷全球，产品和服务已经可以实现在世界范围内的即时交易。随着科技的发展及人们便利性的需求，移动电子商务的发展异军突起，逐渐成为电子商务领域中不可忽视的一股中坚力量。尤其是移动支付的兴起和应用使得商业交易更加便利。而在这繁荣发展的背后，关于电子商务中身份认证，授权管理和责任确定的问题变得更加复杂。作为解决网络安全和信任问题的最重要手段，电子认证的安全问题在电子商务领域变得越来越重要。作为互联网技术起步较早的国家，欧美日等发达国家电子商务的发展居于世界前列，对于电子认证安全性这一问题他们也进行了许多深入的研究，值得我们借鉴与学习。

欧盟

发展历史：自20世纪90年代以来，随着互联网技术的迅速发展，电子政务、电子商务等网络服务逐渐在欧洲兴起。但是，当时大多数欧盟成员国都无法通过互联网提供跨境服务。为给欧盟范围内各国公民与企业的跨国活动及交易提供便利，欧盟各国建立数据分享平台。2018年9月29日，欧盟在2014年颁布的910/2014 Regulation正式生效，取代了欧洲电子签名规范的前一个版本eSignatures Directive1999

/93/EC。此次颁布的910/2014条例的全称是electronic IDentificationand Authentication Services，简称eIDAS。在eIDAS的支持下，欧盟公民现在可以使用他们的电子身份证（eID）进行一系列可信和纯粹的跨境在线活动。这一规定与2018年5月25日生效的《通用数据保护条例》（General Data ProtectionRegulation，简称 GDPR）条例呼应，eIDAS的实施进一步加强了GDPR法规的实施。但是，在电子认证服务快速发展的背后，还存在很大的安全隐患：2018年1月29日，荷兰的三家主要银行（荷兰银行，荷兰合作银行和ING银行）遭到DDoS的攻击，导致互联网业务瘫痪，顾客用于电子认证的ID及密码遭到泄露;2018年世界杯期间，俄罗斯遭到多起黑客攻击，黑客利用WiFi上松懈的安全控制，竊取信息，而许多球迷粉丝在购票时下载“假应用”，并输入了自己的ID及密码，这些ID及密码与其他平台电子认证（如网银、手机支付等）的ID及密码重合，造成了信息泄露。这些事件的发生无疑为我们如何安全的进行电子认证敲响了警钟。

发展环境：第一，建立健全的法律法规体系。自1999年起，欧盟先后颁布了《电子签名同意框架指令》《电子通信中个人数据处理和隐私保护条例》，以及《电子签名和电子身份证条例》等法律，在充分尊重隐私和保护数据安全的基础上，着眼于电子身份证和电子签名的两个基本要素，为创建无边界的欧盟数字单一市场提供可能性。此外，值得一提的是，2018年5月25日，欧盟《通用数据保护法》生效。作为保护欧盟公民隐私和数据的一套新法规，它的正式应用意味着欧盟对个人信息的保护和监督达到了前所未有的高度，从法律方面保障了电子认证服务的安全发展。

第二，重视技术创新，不断在数字签名、密码算法和身份认证等方面取得突破。2009年，欧盟最大的芯片研究项目启动，旨在开发在电子认证方面更安全和可操作的芯片。欧盟各国通过搭建公共平台及共享数据信息，企图构建大数据生命运行周期保障体系，并采用有效的检测方法对已收集及存储的相关数据进行安全性分析，避免发生安全隐患，确保数据安全。另外，通过欧盟各国之间行政部门的合作，共同探索研究各项新技术及新应用，为实现安全化的电子认证提供强有力的政府支持。

第三，建立了独立的标准体系。与美国不同，欧盟采用“双轨”模式的电子认证标准体系。首先，它确定了电子交易安全的最低要求，重点关注电子签名和认证服务提供商应具备的条件;其次，国家是电子商务发展的主导力量;再次，承认数字签名和其他形式的电子签名的法律效力，但其法律约束力取决于每个成员国的国内法规;最后，详细定义了认证服务提供商的责任，但没有对证书持有者的责任做出具体规定，也没有规定消费者对认证服务提供者的权利。该系统在欧盟内广泛使用，为安全开发电子认证服务提供了理论框架。

第四，建立和促进在线电子身份证（eID）的开发和应用。为了解决欧盟成员国之间网络应用中的身份认证，电子签名和数据保护等问题，2006年欧盟委员会发布了《2010年泛欧eID管理框架路线图》，开始启动eID计划。目前，eID在欧洲已经拥有非常高的普及率，并被广泛应用在电子商务、金融支付等领域，值得一提的是，在公共服务的电子政务领域也实现了跨境操作，例如欧洲旅行证件和欧洲的跨境银行业务，为欧盟成员国的公民的生活提供便利。当然，在发展的同时，欧盟各国也高度重视保护公民的隐私及信息安全，致力于打造安全的电子认证环境。

美国

发展历史：作为互联网技术的奠基者，美国也处于其电子认证服务发展的最前沿。美国关于电子认证的发展历史，最早可以追溯到1980年有关的电子交换合同中，对执行电子交换信息的规定。1995年，第一家网上银行安全第一网络银行（SFNB）诞生于美国。美国电子银行电子认证的安全性研究也越来越深入。除此之外，美国电子签证，即EVUS登记，也和我们的生活息息相关。就如比尔·盖茨在1990年的一次演讲上所描绘的那样，我们的今天是一个“弹指之间就能获取所需资讯”的年代。然而，在电子商务和电子政务的快速发展背后，电子认证的安全问题日益突出。为方便公民进行电子纳税申报，美国税务局只保留了身份验证码这一工具作为确认电子签名的方法，2016年2月，网络黑客通过不法途径获得了纳税人信息系统，通过电子申报身份验证码登录了10万多纳税人的个人账户，极大地冲击了人们对电子认证安全性的认识，为此美国税务局决定正式关闭电子申报身份验证工具，并且于当年6月初提高了个人在线使用“获得回单”功能的身份验证标准，此后，更是积极与政府其他行政部门、税务代理行业协会等加强合作，共同举办安全峰会，希望能够加强身份验证电子工具安全性，预防身份诈骗，加强对纳税人权益的保护。这起事件的发生，不禁令人们开始思考，在电子认证服务日益发展的年代，我们该如何保护数据安全性，保障我们授权的合理性。

发展环境：第一，不断完善法律法规，为电子认证的安全提供法律依据。1995年，美国犹他州颁布了第一个面向技术的犹他州数字签名法案，该法案使用加密技术促进电子交易中的安全通信;1999年，美国国家统一法国家委员会通过了《统一电子交易法》，以消除电子签名的法律障碍;2000年6月30日，克林顿政府通过了《全球和国家商业电子签名法》，为跨国和州际电子交易中的实际电子签名提供了法律依据。这一系列的法律法规为美国电子认证的安全发展提供了保障。

第二，建立信息科技监管与改革部门，保障政府关键基础设施部门的网络安全。2014年8月13日，白宫宣布美国政府已成立新的数字服务部门（USDS），负责美国健康保险等许多政府网站的安全认证服务。此前，美国政府提出“网络安全框架”项目，旨在加强电力、运输和电信等部门的网络安全，电子认证是其中非常重要的一个项目。而成立USDS，是在安全网络框架之下第一次为政府本身成立服务团队，从电子认证安全性方面来看，意义深远。

第三、建立完善的标准体系。作为在早期就将电子签名领域标准化的国家，美国已经形成了一个相对独立的标准框架体系。其建立的标准体系及相关规范标准，与美国的国情及一贯政策相符合，在美国范围内被广泛使用。该系统最重要的部分是私营部门和自我监管政策，即只为电子认证的安全性提供了法律框架。但由于自由化的市场导向，电子认证机构的资质良莠不齐，对电子认证安全性提出了较大的考验。

第四、“环大西洋运动”。由于欧盟和美国的电子签名法采用不同的监管模式，因此在电子签名的政策取向，电子认证的规定以及第三国认证的有效性存在显著差异。为了实现电子认证的法律效力和标准化，美国和欧盟已经达成了政府间合作，促进建立一个安全和统一的电子商务发展环境，即“环大西洋运动”。具体体现在，欧盟和美国在各自现有规则和政策的基础上共同努力，以最大限度地提高技术透明度，合规性，业务共享和不蔑视认证方法。实现电子认证方法的互操作性、创新性和竞争性，并尝试在这些条件下实现适合国际共识的统一标准，为电子认证的安全發展提供了有利条件。

日本

发展历史：二战后，日本经济迅速崛起，电器制造业成为日本经济的支柱产业之一，为提高国民生活质量，促进整个国家经济之健全发展，日本关于电子认证服务的思考不仅仅限于对个人信息的认证与授权，更加创造性地发展出了对产品及服务进行电子认证。例如，为减少潜在的笔误与耗时的文书作业，以降低船上及岸上人员工作量，2017年6月，日本船级社（NK）宣布于开始正式启用全球领先的电子证书服（ClassNKe-Certificate），可提供船级与公约相关电子证书，并让登记在此协会下的利比里亚籍船舶首先使用。为减轻企业的工作量，还具有简化海关手续的效果，日本商工会议所、经济产业省、农林水产省在2018年提出将在签发显示出口商品是“日本制造”的证书方面推进电子化。在日本，对于电子认证服务实行的是强制性许可制度，即认证机构必须通过许可才能开展业务，这为日本电子认证服务安全发展奠定了良好的基础。

发展环境：第一，启用在本国通用的法律。日本于2001年4月1日起正式实施《电子签名与认证服务法》，从法律的角度详细规定了关于认证服务的许可，如“欲获得前款许可的人，应按有关部门法律之规定，向相关大臣递交申请书及有关部门法规规定的其他文件;申请书须包括下列事项：（1）申请人之姓名、住所，如为组织则代表人之姓名;（2）所申请业务所必需的设备和业务开展方式的概述;这部法律从指定认证服务之许可、指定调查机构及其他、处罚等三个方面对电子认证服务做出了相关规定，保证了电子认证服务的安全进行。

第二，大力推进电子政建设，从政府层面为电子认证安全性进行把关。日本政府以2003年度为期限，实现所有行政手续都可以在网上办理。其中包括户籍登记、纳税申报等。为此，在政府部门引入电子认证系统、电子签名和高度安全的行政IC卡等网络安全措施，并不断完善其功能，确保安全性。例如，在办理电子政务申请时必须建立双向认证体系，即一方面政府部门需要通过电子签名确认申请人的身份，另一方面，申请人也需要对通过网络回馈信息的政府行政部门的电子签名加以确认。除此之外，日本政府还进行财政拨款，用于构筑网络安全体系，确保了电子认证服务的安全化进程。

第三，建设居民身份原始登记网络。日本政府斥资365亿日元，建成了一个覆盖全国的居民原始登记网络，每个国民的个人资料都被输入计算机系统，并有一个用11位数字构成的身份号码。根据国会通过的法律，政府开放了264项服务项目。例如，户籍本的复印件，过去只能在户口所在地的自治厅才能领取。在居民原始登记网络开通后，申请者只要用自己的IC识别卡，即便不在自己的户口所在地也可以从指定机构获取自己户籍本的复印件。同时，日本政府出台了与之配套的《个人信息保护法案》，切实保护公民的隐私权，解除了电子认证服务安全发展的后顾之忧。

第四，充分尊重和依靠专业人才。电子认证服务体系的建立是一项高科技工程，为避免专业人才缺失的现象出现，日本政府积极培养专业人才，国家级的认证机构配备网络专家，他们主要来自大学和民间企业，在有关电子认证的总体设计、开发、检测和管理中，都让懂行的专家做主。这些专家在技术领域进行不断革新，建立完整的电子认证技术体系，确保电子认证服务在安全的框架下向前发展。

对我国电子认证发展的启示

规划发展路线，引导我国电子认证服务业快速发展。为确保在电子认证服务领域长足发展，我们必须做好路线规划。如欧盟eID的发展，就是通过顶层设计方案《路线图》的实施，给出了明确且极具操作性的阶段发展计划。目前，我国的手机支付应用已经走到了世界前列，但关于电子认证的安全性问题也一直困扰着大众，在这样的情况下政府应当向欧盟学习，将网络身份管理纳入日常工作，协调相关部门做好顶层设计，建立技术路径和组织架构，更好地引导电子认证服务安全化发展。

完善法律法规，为电子认证服务业安全发展提供保障。相比欧美日等国，目前我国电子认证服务发展较为滞后，关于这一领域的法律、法规还在逐步发展之中。我国早在2005年就颁布了《中华人民共和国电子签名法》，其中在第十四条明确规定“可靠的电子签名与手写签名或盖章具有同等的法律效力”。《电子认证服务管理办法》于2009年2月18日以中华人民共和国工业和信息化部令第1号公布，根据2015年4月29日中华人民共和国工业和信息化部令第29号《工业和信息化部关于修改部分规章的决定》修订。此外，2015年《最高人民法院关于适用<中华人民共和国民事诉讼法>的解释》第一百一十六条中明确表明，“电子数据是指通过电子邮件、电子数据交换、网上聊天记录、博客、微博客、手机短信、电子签名、域名等形成或者存储在电子介质中的信息”。但这些法律可操作性不强，未能真正进入我们的生活。随着我国手机支付行业的兴起，电子认证服务面对的安全性考验日益复杂化，需要不断完善我们现有的法律法规，注重可操作性及与相关法律法规的衔接性和协调性，为电子认证安全的发展提供法律保障。

完善电子认证体系，促进我国电子认证服务全球化发展。我国规定对电子认证服务采用强制性的许可制度。认证机构必须以国家名义存在或由主管部门颁发经营许可认证，这样就确保了这些认证机构在我国的权威性。而且因为国家管控严格，这对电子认证服务的安全性有了极大的保障。但面对不同认证体系间的差异及矛盾，我们应当学习欧美，建立国家级认證中心，实现政府间的沟通，设立国际技术接轨的技术标准和服务标准，使得我国的电子认证效力能够获得其他国家的认可，推进电子认证服务的全球化发展，共同实现电子认证服务安全化的目标。

注重科技创新，提高我国电子认证服务业发展的技术支持。首先，不断拓展电子认证行业范畴，构建以PKI为基础的网络信任服务行业。其次，加大电子认证服务行业技术创新力度，从网络信任服务角度开展技术创新研究。研究区块链、手机盾、生物特征、网络行为分析等技术手段与电子认证结合的可行性，构建以PKI技术为核心的网络信任服务技术体系，为引入新技术手段提供技术支撑。最后，充分利用互联网高效配置资源，引领组织变革，激发创新潜能。通过不断在技术领域的创新与发展，为电子认证服务的安全发展提供技术支持。

加大专业人才培养，为我国电子认证服务业发展储备力量。互联网行业的发展日新月异，对专业技术人才的要求也不断提高，我国想要在未来的互联网战争中立于不败之地，就必须培养一批专业的电子信息技术人才，电子认证服务作为互联网的一个分支领域，也不外如是。具备良好的学习能力、实践能力、专业能力和一定的创新创业能力，身心健康，可从事电子信息及相关领域中系统、设备和器件的研究、设计、开发、制造、应用、维护、管理等工作的高素质专业人才是我们目前迫切需要的，只有拥有这样的专业人才，我们才能更好地在电子认证安全化道路上继续走下去。