纵观一些国家在电子认证(CA)设定的形式一般有两大类。
第一类是直接由国家有关负责部门下属单位直接设立,从事电子认证服务工作。或者是由政府的相关部门扮演CA体系中最高一层的认证中心角色。
第二大类是由政府相关部门做出授权,规定严格的审批条件和程序签发认证证书(Certificate),同时行使监督权,以确保网络交易的安全性。无论是哪种形式,政府扮演的角色是至关重要的。
其原因有以下几点:
1)权威性。
只有经国家主管部门授权经营的电子认证服务公司或由主管部门批发经营许可证的CA认证机关签发的电子认证证书最有权威性。在一定意义上,这正如只有经公安部门发出的个人身份证具有绝对可靠的权威性一样。
同时,由于电子认证在网络中的应用具有跨越国界的特性,只有国家主管部门以国家名义出面介入,从而使得电子认证的效力的可靠性具有为他国承认的后果。
2)标准化。
政府主管部门可规定法律统一的技术方案以及规范不同级别的CA机关的电子认证标准及程序。同时,政府主管机关可担当最高一级的公共密钥认证中心的角色。这是美国各州及联邦政府以及德国等国公共密钥基础建设体系都普遍采用的一种形式。
3)可执行性
由于政府主管机关在CA认证中扮演国家的角色,因此在体系的建立,标准的设定,以及兼容跨国认证等方面具有绝对权威性及统一性的特点。因此,在实施电子认证服务过程中,其可操作性及可执行性的特点是显而易见的。这就避免可能由于不同标准(技术及服务两方面)的出现,从而使得电子认证变得无法实施,达不到消除网上交易缺乏安全性的顾虑的目的。
CA机构申请从事电子认证服务牌照时,需满足一定的审批条件。政府主管部门在审核及批发许可证时,除要审查申请人的硬件措施(如办公场所的选定)、软件条件(如公司中人员的技术专业知识),还要审查主体资格,承担损害赔偿的能力等多个方面。下面简单介绍一下美国犹他州电子签名法规定CA提供电子认证服务的条件。
(1) 主体资格:可为执业律师;在犹他州注册登记的信托机机能或保险机构;犹他州州长、州法院、市、郡等已经依法律或行政命令指定执行CA认证业务的公务人员并为该机构员工进行认证之组织;任何在犹他州取得营业许可的公司;
(2) 程序:CA本身必须申请公开金钥凭证且须存放在主管机关设置或承认的公开金钥凭证资料库中以供大众检视读取;
(3) 公证资格:须有公证人(a notary public)资格或至少聘雇一具有公证人资格之员工;
(4) 从业人员不得有严重犯罪前科:所雇用的员工中不得有重大犯罪之前科或是犯有其他诈欺、虚伪陈述或欺骗之罪行;
(5) 专业知识:所雇用员工必须具有执行认证业务之专业知识;
(6) 经营担保:除了政府官员或机关申请经营CA业务外,其他申请者必须提供营业担保;
(7) 软硬件设施:对于经营CA业务所需软硬件设施,必须对该设施拥有具有合法的权利;
(8) 营业场所:必须在犹他州设有营业处所或是指定代理人代为执行业务;
(9) 必须遵守主管机构的所有其他规定。
