第三方电子认证服务的定义和选择问题

第三方电子认证服务的定义和选择问题

电子签名法实施已超过八个月。在这八个月的时间里，十二家电子认证服务机构领到了信息产业部颁发的经营许可证，其电子签名证书的发放量也得到了成倍的增长;在电子签名法及电子支付指引的鼓励下，网上支付快速发展，第三方支付机构已从一年前的几家发展为五十余家;除网上支付外，电子签名在电子税收、电子海关、网上采购等领域的应用也得到了电子签名法的有力推动;由于电子签名法明确了数据电文的合法地位，一些关系到数据电文证据力的纠纷在法院得到了及时裁判。

当然，作为我国第一部信息化法律，电子签名法的实施推进绝非一项简单的工作，还需要得到来自普及法律、行政管理、司法、技术标准、规范操作、市场认可等各方面的支持。目前电子签名法的推进还是有很多不尽如人意的地方，存在消费者的认可度依然很低、电子认证的标准规则未全面建立、电子签名法的司法准备工作还未展开等诸多问题。而只有电子签名法实施推进的整体环境得到不断提高，我国电子商务与信息化才能真正走上法制化、规范化的发展道路。下面，我们就目前我国电子签名法实施中的一些主要问题展开分析，进一步探讨我国电子签名法具体规定在实践中的情况，希望能得到有关方面的重视，加强研究，有力推动，切实有效地推进电子签名法的实施工作。

关于电子认证：

二、第三方认证服务的定义和认证服务的选择问题

我国《电子签名法》第十六条规定：“电子签名需要第三方认证的，由依法设立的电子认证服务提供者提供认证服务。”结合这一条，在《电子认证服务管理办法》中，其第二条又规定：“本办法所称电子认证服务，是指为电子签名相关各方提供真实性、可靠性验证的公众服务活动。本办法所称电子认证服务提供者，是指为电子签名人和电子签名依赖方提供电子认证服务的第三方机构”。

而在目前我国电子认证服务的实际运行工作中，围绕前面这几条的规定，一个比较突出的问题是：什么是“第三方认证”那些未经过信息产业部等有关部门许可的电子认证服务提供者是否还可以继续开展业务

首先，我们认为，根据我国《电子签名法》第十六条规定，电子认证服务并不是所有电子签名所必须的，只是在需要第三方认证的情况下，由依法设立的电子认证服务提供者提供认证服务。密码、口令、生物识别技术等大多不需要第三方的认证。那么，这里的“需要”应作何解释，是当事人认为需要的“需要”还是电子签名技术本身需要认证的“需要”我个人认为，似乎作后一种解释更合理些，更符合这句话表述的逻辑，即如电子签名技术本身需要第三方认证才能完成的，应由依法设立的电子认证服务提供者提供认证服务。因为如是前一种解释，这句话完全可以直接写成“电子签名当事人认为需要第三方认证的”。由于数字签名本身是要通过第三方认证才能完成的，这样，我们就不妨进一步把这句话解释为：数字签名的第三方认证由依法设立的电子认证服务提供者提供认证服务。

第二，既然第十六条这样规定，我们不妨再进一步明确：需要第三方认证的电子签名应由依法设立的电子认证服务提供者提供认证服务。即电子签名的第三方认证只能由依照《电子签名法》及《电子认证服务管理办法》设立的电子认证服务提供者承担。未经《电子签名法》及《电子认证服务管理办法》规定程序设立的电子认证服务机构不得承担针对电子签名的第三方认证服务。

第三，对于究竟什么是“第三方认证”，是一个从《电子签名法》到《电子认证服务管理办法》一直没有明确的问题，也是到目前为止电子签名法实施中最为困惑的问题之一。根据《电子签名法》第十六条及《电子认证服务管理办法》第二条的描述，我们基本上可以这样来勾画第三方认证的轮廓：其一，这里的第三方一定是双方当事人之外的第三方，即电子签名人及电子签名依赖方之外的第三方，如果这种认证由电子签名人或电子签名依赖方自己来完成，那么这里面就只有两方，也就不存在所谓第三方的说法。另外，从“认证”这个词语本身的涵义看，这一定不是当事人双方自己可以完成的工作，否则这样的认证只能是不严肃的、不具备公正性的，认证本身只能由第三方完成。《现代汉语词典》将“认证”解释为：“公证机关对当事人提出的文件审查属实后给予证明”，即认证本身应是一种特指的由专门机关来完成的活动，是一种需要很强的公正性的活动。其二，《电子认证服务管理办法》所界定的电子认证服务一定是面向公众的，所谓公众，可以理解为不特定多数的人群，即不是一个特定范围内的人的概念。

这样层层分析下来，我们的结论就很清楚了：认证本身就是一种第三方的活动，不存在非第三方的认证，而且应由具有特殊资质的单位承担，这种特殊资质在数字签名领域，就是《电子签名法》和《电子认证服务管理办法》所规定的许可等要求。从技术实现的角度看，有些电子签名，如密码、口令、生物识别技术等，是不要第三方的认证就可以完成的，那就没必要再通过第三方认证。但有些电子签名，如数字签名等，其验证等一定是要通过第三方才能完成的，则应由依法设立的电子认证服务提供者提供认证服务。