陈月华+++闫晓丽

【 摘 要 】 电子认证服务为网络经济发展提供基础安全支撑，在构建安全可信的网络环境中发挥着日趋重要的作用。我国台湾地区电子认证服务起步较早，且发展较快，在法律法规建设、应用推广等各方面都有不俗的成绩。本文全面研究了我国台湾地区电子认证服务发展情况，分析了台湾促进电子认证服务发展的主要做法，并提出了对我国电子认证服务发展的几点建议。

【 关键词 】 电子认证；电子政务；台湾电子认证

1 引言

网络经济已经成为一种新兴的经济形态，在这一新的经济环境下，如何实现网络的安全可信，是我国信息安全面临的一个重大挑战。电子认证服务作为信息安全服务的重要组成部分，为网络经济发展提供基础安全支撑，在构建安全可信的网络环境中发挥着日趋重要的作用。台湾地区电子认证服务起步较早，且发展较快，在法律法规建设、应用推广等各方面都有不俗的成绩，台湾地区为推动电子认证服务快速发展的一些做法中，不乏值得我们借鉴之处。本文全面研究了我国台湾地区电子认证服务发展情况，总结分析了台湾地区促进电子认证服务发展的主要做法，并提出了对我国电子认证服务发展的几点建议。

2 台湾地区电子认证服务发展现状

2.1 电子认证服务相关法律法规较为完备

台湾地区于2001年11月14日公布了《电子签章法》，2002年4月1日该法正式施行，成为台湾电子商务领域最重要的基础法律。《电子签章法》以技术中立、契约自由、市场导向为立法原则，明确了电子签名及电子文件的法律地位，对电子认证服务机构的运营管理提出规范要求，建立了电子认证服务机构的管理制度，界定了认证机构与使用者的权责。

为使《电子签章法》相关制度得以落实，台湾地区还制定了三部配套的制度规范，包括《电子签章法施行细则》、《国外认证机构许可办法》和《认证实务作业基准应载明事项准则》，主要内容有几方面。

一是《电子签章法施行细则》。该细则是依据《电子签章法》第16条规定制定的，旨在细化《电子签章法》的相关规定，并对法律条文模糊之处予以厘清。该细则的主要内容包括公钥及私钥的定义、证书签发者的判断、对外签发证书的认定、CPS送审或变更时应提交的文件以及终止服务应移交的档案记录等。

二是《国外认证机构许可办法》。该办法依据《电子签章法》第15条规定制定，该条授权主管部门制定外国认证机构许可办法。该办法明确了国外认证机构申请许可的程序，包括不予许可与废止许可的判定是由，以及是否基于国际互惠原则裁决予以许可等。

三是《认证实务作业基准应载明事项准则》。该准则依据《电子签章法》第11条规定而制定，该准则要求认证机构应制定CPS，并载明以下事项：足以影响认证数字证书及业务执行可靠性的重要信息；认证机构停止认证的事由；认证内容相关资料的留存规定；保护当事人个人资料的方法及程序；主管机关规定的其他重要事项等。

此外，除依据《电子签章法》外，各行政机构还可依据相关法律对于特定电子文件业务的特别规定，对电子认证服务机构加以管理。例如，《政府采购法》第 93条关于电子化采购的规定，行政院卫生署依据医疗法第69条的授权而制定的《医疗机构电子病历制作及管理办法》，财政部为推动电子发票应用而制定的《电子发票实施作业要点》等。

2.2 面向政府和商业应用形成了两类电子认证服务体系

面向政府应用和商业应用，台湾地区形成了两类严格分开的电子认证服务体系。

政府电子认证服务体系内各机构通过统一根实现了交叉互认。政府电子认证服务体系（以下简称GPKI），是为保障政府行政机关电子政务的安全而建立的，GPKI体系采用阶层式的管理机制，通过作为信赖核心的根CA实现了GPKI下各电子认证服务机构间的交互认证。

GPKI体系中主要的电子认证服务机构。

政府数字证书总管理中心（以下简称GRCA，2002年10月30日成立），是GPKI的信赖核心，负责向GPKI体系内第一层下属电子认证服务机构签发证书，并藉此实现各电子认证服务机构的交互认证。

行政院研究发展考核委员会（以下简称“行政院研考会”）下属的政府证书管理中心（以下简称GCA，2003年3月3日成立），其证书主要应用于G2G相关服务。

内政部下属的自然人证书管理中心（以下简称MOICA，2003年5月1日成立），其证书主要应用于G2C相关服务。

经济部下属的工商证书管理中心（以下简称MOEACA，2003年8月7日成立），其证书主要用于G2B相关服务。

行政院研考会下属的组织及团体证书管理中心（以下简称XCA，2004年3月17日成立），其证书主要应用在政府对组织团体的相关服务中。

卫生署下属的医疗证书管理中心（以下简称HCA，2008年8月18日成立），其证书主要签发给医疗机构人员，应用范围与医疗电子化相关。

主管部门对面向商业应用提供电子认证服务的机构实行“低门槛”策略，商业电子认证服务体系加快形成。为扶植电子认证服务产业发展，台湾地区依据《电子签章法》，对面向商业应用的电子认证服务采取“低度管理”的措施，旨在降低商业机构从事电子认证服务的门槛，实现商业应用领域电子认证服务的充分竞争。依据《电子签章法》，面向商业领域提供电子认证服务的，申请机构只需将其制定的CPS送交经济部核定后便可提供认证服务；同时，经济部仅以书面审查方式管理各认证机构，让其按市场规律充分竞争、自由发展。

目前获得核准的面向商业应用的电子认证服务机构主要有中华电信股份有限公司、台网国际股份有限公司、台网国际股份有限公司、台湾网路认证股份有限公司、网际威信股份有限公司等。

中华电信股份有限公司于1996年7月1日由当时的交通部电信总局营运部门改制成立，成立时资本额为新台币964.77亿元，主要业务涵盖固网通信、移动通信以及数据通信三大领域，提供语音服务、专线电路、网际网络、宽频上网、智慧型网络、虚拟网络、电子商务、企业整合服务以及各类价值服务，是台湾地区运营经验最丰富、规模最大的综合电信服务商，其使用的PKI技术由中华电信股份有限公司自行研发。endprint

台网国际股份有限公司于2000年宣布成立，主要业务包括台湾地区大型金融机构系统整合及各式网络通讯整合，其使用的PKI技术由RSA信息安全公司授权提供。

台湾网路认证股份有限公司于1999年由台湾证券交易所、台湾证券集中保管公司、财金咨询股份有限公司、关贸网路公司以及民间优秀咨询业者等股东筹资成立，目前跨越证券、银行、保险、企业等不同领域提供多种安全服务，其在金融和证券证书应用领域的市场占有率高达80%以上，是台湾地区最大的民间证书发行机构。

网际威信股份有限公司创立于1998年3月，提供电子商务安全服务，其使用PKI技术由美国VeriSign授权。

政府和商业电子认证服务体系虽严格区分，但相互之间具有某种联系。政府PKI体系内的电子认证服务机构和商业PKI体系内的电子认证服务机构各自运营，服务对象截然不同、严格区分。但是，由于商业电子认证服务机构较为专业，因此目前GPKI下的电子认证服务机构的运维都是采取外包服务，由商业电子认证服务机构承担，例如GRCA、GCA、XCA、MOICA、MOEACA由中华电信公司股份有限公司提供运维服务。

2.3 电子认证服务在政府和商业领域应用广泛

政府领域电子认证服务渗透率高。GPKI体系内各电子认证服务机构发放的数字证书应用领域包括电子公文交换、政府采购招投标、申报综合所得税、劳农保加退保、个人投保年资查询、劳退金专户资料查询、下载电子户籍或地籍誊本、公路监理机关行照补换发、变更地址以及查询有无被限制出境等电子政务应用，为公众提供更便捷的网络便民服务。

GCA签发的数字证书主要应用于电子公文交换、政府采购招投标、劳农保加退保、网络报税、证券期货市场公文电子交换系统、政府网站入口等。此外，GCA还规划发放“公务员电子识别证”，将公务员工作证与自然人证书结合，主要应用于公文线上签核、安全电子邮件、网络权限管理等方面。

MOICA建立了面向公民的应用系统174个，具有约1547项功能，面向机构内部的应用系统168个，具有约1700项功能。MOICA签发的自然人数字证书主要应用于网络报税、地政信息网络服务、户政网络登记、移民署个人限制出国查询、公路监理等，其中以网络报税应用最广，据统计约有130万人使用自然人证书进行网络报税，并且几乎所有的gov/ org网站都拥有自己的证书。未来自然人证书将向更多元化应用发展，台湾内政部将与各机关积极合作，加速开发相关网络便民系统，推广自然人证书的应用范围与便民服务项目。

MOEACA的工商证书主要应用于网上公司登记、政府电子采购招投标、G2B公文信息交易、电子发票等。企业应用工商证书作为企业网络身份证明，使用各项电子化政府G2B应用服务，节省作业成本，强化企业竞争力，同时建立企业网络交易公正信赖机制，创造商业价值。

XCA的数字证书主要应用于政府与组织团体间的电子公文交换、劳保及劳退网络申请等。组织与团体证书主要应用在公文电子交换、网络报税、政府采购领投标、证券期货市场公文电子交换系统、政府网站入口、安全电子邮件等方面。

HCA证书主要应用于健保IC卡、医疗院所电子病例、医疗电子公文交换等。自2005年卫生署协助医院建立电子病历系统开始，截至2009年底建立电子病历系统的医院已达100家。2010年台湾卫生署开始推动《加速医疗院所实施电子病例系统计划》，计划3-5年内台湾医疗院所全面实施电子病历与病例交换系统。医疗电子化将取代书面病历，整合病患分散于各医疗机构的病历资料，减少医疗资源的浪费，并提供病患连续性高品质的医疗服务。

商业电子认证服务广泛应用于金融、电子商务、物流、汽车、会计等领域。金融是商业电子认证服务证书应用最广的领域，数字证书在金融业主要应用在网络证券、网络银行、网络保险、信用卡支付等方面。商业PKI体系中最大的电子认证服务机构是台湾网路认证股份有限公司，其签发的证书主要应用于网上证券、网上银行和网上保险等金融领域，其中，超过一半以上证书应用于网上证券，客户单位有元大宝来、凯基、群益、富邦证等证券公司。

在商业领域，电子认证服务应用除金融业外，还涉及电子商务、物流、汽车、农产品、博弈产业、会计服务业等多个行业。在电子商务方面，PKI被广泛应用于B2B、B2C模式的电子商务应用中，应用效果较好。百货零售商通过使用在线的B2B电子商务平台，不仅提高了收入，还大幅降低了成本；物流业为整合供应链信息共享及管理系统，通过利用数字证书确保安全交易；汽车业有效整合上下游厂商产销及物流信息；农产品网络商城利用数字证书确保台湾农产品交易平台的安全性；博弈产业利用数字证书确保网络投注的安全；会计服务业推出了电子工资条，利用数字证书提升个人信息安全性的同时还低碳环保。

3 台湾地区促进电子认证服务发展的主要做法

3.1 完善政策法规环境推动电子认证服务发展和应用

政策法规是规范电子认证服务发展、推动电子认证服务应用的有力保障。为促进电子认证服务发展，台湾地区制定了一系列相关的法律法规和政策规范。早在1997年，台湾行政院就组成了“法制推动工作小组”，负责相关法规的研究。2001年11月14日正式公布《电子签章法》，并于2002年4月1日正式施行，成为电子认证服务领域最重要的基础法律。

随后，台湾地区又陆续公布了相关配套的制度规范，包括《电子签章法施行细则》（2002）、《国外认证机构许可办法》（2002）、《认证实务作业基准应载明事项准则》（2004）等。同时，为推动电子认证服务的应用，台湾地区还出台了《电子化与网络化政府中程推动计划》、《电子发票推动计划》等，不断完善电子认证服务政策环境。

3.2 高度重视电子认证服务安全保障工作

密码算法的发明或破解对于PKI技术发展具有重要的影响。全球PKI技术发展来看，随着计算机运算速度的提升，1024位RSA密钥已不足以提供应有的安全。美国NIST建议自2011年起应将RSA密码长度全面提升至2048位以上。endprint

在此大背景下，台湾地区政府PKI（GPKI）于2008年上半年开始开展整体密码安全强度的提升工作，同时也在各凭证机构的专门工作会议中持续执行此工作。政府证书管理中心（GCA）、组织及团体证书管理中心（XCA）和工商证书管理中心（MOEACA）等机构于2009年开始签发RSA2048位证书；“卫生署”医疗证书管理中心（HCA）在2010年底开始签发RSA2048位用户证书；“内政部”在2011年将自然人证书密钥长度更换为RSA2048位。此外，中华电信的ePKI系统在2010年9月开始改发行RSA2048位证书。

3.3 不断加强技术、应用和服务等方面的创新

以时间戳服务为例，通过不断创新，台湾地区已经成功推出方便、高效的时间戳服务。由于时间戳服务中心建设及运维所需的费用较高，台湾地区目前多使用的是集中式的时间戳服务。使用集中式时间戳服务时，在取得一个时间戳时，由于网络传送的延迟，可能至少需要3-5秒，这种延迟可能无法满足一些实际应用的需求，例如医生给病人建立电子病历时会耗费更多时间。效率较低在一定程度上制约了时间戳服务的应用。为此，政府证书总管理中心（GRCA）、中华电信等机构投入了大量人力、物力研发设计一种轻量型及分散式的服务架构，使时间戳服务可以更加安全快捷并且价格合理。

又如，在政府领域数字证书应用上，通过技术和应用创新实现了各认证机构数字证书的互认互通。在认证机构的交互认证方面，“卫生署”的医疗证书管理中心（简称HCA）在2008年加入了GPKI，并由政府证书总管理中心（GRCA）签发交互认证证书。

从技术上看，因为HCA使用Java卡，而GPKI各CA所使用的是Native卡，要在GPKI原有系统应用HCA卡时，需要使用另一套应用程序界面，于是，GPKI于2009年进行了证书应用程序的整合，使得应用系统可以应用不同机构签发的证书。至此，政府领域各认证机构的数字证书都实现了互认互通。

3.4 充分发挥行业协会在应用推广等方面的作用

台湾地区的行业协会历史较长，各种行业协会比较齐全，作用比较明显。具有39年历史的台北市电脑商业同业公会堪称是台湾地区行业协会的典型代表，致力于整合产、学、研的力量，反映产业心声及需求，并强化同类厂商的向心力及整合能力，建构上、中、下游产业体系，协助技术转移业务，协助开发新产品、新技术。

台北市电脑商业同业公会在推动电子认证服务应用方面做了大量卓有成效的工作，与各行业一会共同制定了电子认证行业应用标准规范，通过与电子认证机构合作，推动技术研发和应用模式创新。

此外，在推动电子认证应用方面，台湾地区银行公会早在前2011年就开始推动台湾地区金融数字证书应用互认，让金融客户可凭单一凭证跨服务及跨行使用，在2013年年初开放各凭证机构竞标最高凭证管理机构（Root CA；RCA），担任发放金融互通凭证给各个凭证机构（User CA；UCA）的管理单位，RCA每年可向UCA征收固定的管理费用。台湾网路认证公司取得RCA的角色。在台湾银行公会的推动下，台湾地区银行领域数字证书实现了全方位互认。

4 对我国电子认证服务发展的建议

4.1 完善电子认证相关法律法规和政策

充分借鉴台湾地区经验，加快电子认证相关法律、配套规章制度和政策的研究制定，创造良好的应用环境。首先，要完善与《电子签名法》配套的法律法规建设，加速研究和制定可靠电子签名、数据电文、电子签章等方面的规章制度，为电子取证、司法鉴定和法律诉讼提供支持；其次，加快开展《电子签名法》与其他法律、法规的衔接工作，特别是推动《电子签名法》与《票据法》、《合同法》、《档案法》等法律法规的衔接，对电子认证服务的应用给与充分的立法保障；最后，加强政策引导，制定促进行业发展的相关政策或指导意见，进一步规范、提高行业服务质量和水平。

4.2 进一步加大电子认证服务推广应用力度

借鉴台湾地区经验，我们也应进一步加强对电子认证行业的推动，拓宽电子认证应用领域和范围。当前，我国电子认证服务市场仍以电子政务为主，在电子商务等重点领域应用较少；证书种类比较单一，主要为企业、自然人证书，还基本没有发放服务器、代码签名等证书；业务范围仅限于网络身份认证，很多机构仍将证书发放作为主要赢利点，还没有开展电子签名应用。

随着网络空间安全威胁日益加大，国家对信息安全的重视程度逐步提高，广大网民的信息安全意识也得到大幅提升，网站可信认证、电子商务交易安全保障、智慧城市信息安全保障、国产服务器证书应用等将成为电子认证服务市场发展的重点。主管部门、行业联盟以及认证机构都应加大电子签名应用力度，加快构建网络信任体系。

4.3 加强电子认证技术、应用和服务创新

目前，我国电子认证服务主要以身份认证为主，并且使用电子签名工具成本较高，缺乏简单易用的电子签名产品，使得电子认证服务无法满足信息化深度应用的安全需求，阻碍了电子认证服务的进一步推广。

应深入研究各行业、领域对电子认证服务的应用需求，深入挖掘电子认证服务的潜在应用，加大研发投入，加强技术攻关和应用服务模式创新，努力攻克可靠电子签名、可信数据电文、数字证书的交叉认证等技术难关，积极探索网站可信认证、安全电子邮件、代码安全认证等新业务，大力拓展移动互联网、云计算、物联网等新兴领域中的电子认证服务应用，满足新技术新应用的安全需求，扩大应用市场，推进行业应用。

4.4 充分发挥行业联盟的作用

电子认证服务产业联盟已经开展了证书策略管理、网站可信认证、可靠电子签名及数据电文应用等一系列促进行业发展的工作，为电子认证行业发展做了了积极贡献，但在维护市场环境、提升服务能力、加强服务模式创新、促进国际交流等方面的作用还没有得到充分发挥，仍需进一步加强。

在经济体制改革和政府职能转变的大背景下，行业组织的重要性日益显著，我们借鉴台湾地区经验，应进一步挖掘电子认证服务产业联盟在主管部门、CA机构、互联网企业等各主体间的枢纽作用，进一步发挥其在行业协调、自律、服务企业等方面的功能，按照民间性、自律性和市场性原则，为企业提供技术开发、经营管理、投资决策、技术培训、法律服务、专利申报等全方位服务。

参考文献

[1] 台湾经济部.2008台湾PKI暨电子认证年鉴.2008年7月.

[2] 戴豪君.我国台湾地区Internet法制推动现状，网路VS法律.1999年2月.

[3] 林瑞珠.台湾电子商务发展现状与因应.研究所法学.2001年第4期.

作者简介：

陈月华（1983-），女，博士，工信部赛迪智库信息安全研究所工程师，主要从事信息安全领域战略、规划及产业、技术、标准等方面的研究。

闫晓丽（1977-），吉林大学民商法硕士，现任工信部赛迪智库信息安全研究所副所长，主要从事信息安全战略、规划、政策方面的研究。endprint