电子签名平台资质引发关注 专业人士带来深入解读

 随着电子签名服务被越来越多企业选择成为智慧升级的好帮手,电子签名的安全也成为企业主们关注的焦点,其中有关电子签名机构的资质问题更是成为热议的话题。

日前,媒体记者采访了业内从事《电子签名法》研究多年的律师专家。专家指出,按照相关法律规定,电子签名服务机构从未要求必须具备《商用密码型号证书》。专家还认为,电子签名服务商由其收购的电子认证机构签发证书可能存在一定的法律瑕疵,需谨慎使用。

电子签名服务机构从未要求具备《商用密码型号证书》

据了解,电子认证服务机构和电子签名服务机构是有很大区别的。

根据信息产业部电子认证服务管理办公室2005年4月发布的《电子认证业务规则规范(试行)》规定,电子认证服务机构是数字证书认证机构,是颁发数字证书的实体。

图片4.png

电子认证服务机构有一定的准入门槛。工业化和信息产业部《电子认证服务管理办法》规定,电子认证服务机构应当具备下列条件:(一)具有独立的企业法人资格;(二)从事电子认证服务的专业技术人员、运营管理人员、安全管理人员和客户服务人员不少于三十名;(三)注册资金不低于人民币三千万元;(四)具有固定的经营场所和满足电子认证服务要求的物理环境;(五)具有符合国家有关安全标准的技术和设备;(六)具有国家密码管理机构同意使用密码的证明文件;(七)法律、行政法规规定的其他条件。

而电子签名服务机构是指为企业提供电子签名服务的实体,根据《电子签名法》第十三条的规定,电子签名同时符合下列条件的,视为可靠的电子签名:(一)电子签名制作数据用于电子签名时,属于电子签名人专有;(二)签署时电子签名制作数据仅由电子签名人控制;(三)签署后对电子签名的任何改动能够被发现;(四)签署后对数据电文内容和形式的任何改动能够被发现。

显然交易各方当事人可以选择使用符合其约定的可靠条件的电子签名。相关法律从未规定电子签名服务机构必须要和电子认证服务机构具备一样的资质条件。

专家认为,目前市场上所谓电子签名服务机构必须具备《商用密码型号证书》的宣传,完全是虚假宣传,有不正当竞争嫌疑。

专家还指出,自2020年1月1日起施行起的《密码法》第二十五条规定,国家推进商用密码检测认证体系建设,制定商用密码检测认证技术规范、规则,鼓励商用密码从业单位自愿接受商用密码检测认证,提升市场竞争力。可以看到,在放管服政策趋势下,国家对商用密码检测认证是逐步放开的。

电子签名服务商由第三方电子认证机构为用户签发数字证书更公正

据律师专家表示,电子签名本身的认证问题,不是靠交易各方自己所能完成的,而需要由一个具有权威的、独立的、公正的第三方认证服务机构,以其专业能力和执业资格,使依赖方据以验证电子签名的真实性和完整性,从而为网上交易建立一种安全可靠的保护机制。

而目前国内的某些电子签名平台,收购实力较差的电子认证机构,在提供电子签名服务的同时,用自己的电子认证机构颁发数字证书,因为不是独立第三方提供服务,所以可能存在一定的法律瑕疵。

所以目前头部平台如上上签,一直坚持使用第三方电子认证机构提供数字证书。据了解,上上签目前已经和CFCA、北京CA、浙江CA等多家权威CA机构进行了深度合作。从司法判例结果来看,上上签是行业唯一一家司法判例成功率达到100%的电子签名平台。这与上上签一直坚持用更严谨的合规服务、第三方的数字认证服务都有密切关系。

电子签名资质认证三大行业标准被公认

电子签名服务机构应具备哪些权威资质认证呢?,

据第三方智库艾媒咨询发布的《2019中国电子签名安全专题研究报告》显示,目前与电子签名服务行业高度相关,有六项权威安全资质:

图片5.png

① ISO27001信息安全管理体系认证

ISO27001由英国标准协会(BSI)颁发,是国际上对信息安全风险管理的一项最普适的通用标准,可作为评判企业信息安全管控水准的基础参考指标。

②信息系统安全等级保护三级认证

信息系统安全等级保护认证由公安部颁发,是在我国《网络安全法》规定的信息安全等级保护制度下,运营者必须强制开展的合规工作。一般私营企业信息系统最高等级为三级。

③ ISO27018隐私数据保护认证

ISO27018由英国标准协会(BSI)颁发,是公有云领域的用户个人隐私保护标准。

④ ISO38505-1数据治理认证

ISO38505-1同样由英国标准协会(BSI)颁发,是一项高规格的国际数据治理标准认证。

⑤“可信云”服务认证

“可信云”由国家工信部旗下的中国信息通信研究院、数据中心联盟颁发,代表上上签云服务能力中的可靠性、安全性、服务质量均通过了评估体系的认可。

⑥云计算服务能力标准符合性三级认证

由工信部旗下中国电子工业标准化技术协会颁发,其评估结果将作为国家政府部门等机构云服务招标的重要参考指标之一。

在目前的电子签名行业中,上上签是唯一一家拥有上述6大资质认证的平台,并且其中各项标准都是由上上签行业首家获得,并引领成为行业标准。

2018年4月,中国互联网金融协会发布《P2P电子合同规范征求意见稿》,上上签也是该意见稿的编制单位之一。其中就规定:电子合同订立系统应具备公安部信息安全等级保护三级或者更高级别认证、应通过工业和信息化部的可信云服务认证、应具备 ﻪISO 27001认证。在此推动下,目前电子签名头部平台都建立了三大认证,成为公认的行业标准。