第十三條 電子簽名同時符合下列條件的，視為可靠的電子簽名：

　　(一)電子簽名制作數據用于電子簽名時，屬于電子簽名人專有;

　　(二)簽署時電子簽名制作數據僅由電子簽名人控制;

　　(三)簽署后對電子簽名的任何改動能夠被發現;

　　(四)簽署后對數據電文內容和形式的任何改動能夠被發現。

　　當事人也可以選擇使用符合其約定的可靠條件的電子簽名。

　　【釋義】 本條是關于可靠的電子簽名應當具備的條件的規定。

　　一、本條第一款規定了可靠的電子簽名應當具備以下法定條件：

　　1.電子簽名制作數據用于電子簽名時，屬于電子簽名人專有。電子簽名制作數據是指在電子簽名過程中使用的，將電子簽名與電子簽名人可靠地聯系起來的字符、編碼等數據。它是電子簽名人在簽名過程中掌握的核心數據。唯有通過電子簽名制作數據的歸屬判斷，才能確定電子簽名與電子簽名人之間的同一性和準確性。因此，一旦電于簽名制作數據被他人占有，則依賴于該電子簽名制作數據而生成的電子簽名有可能與電子簽名人的意愿不符，顯然不能視為可靠的電子簽名。

　　2.簽署時電子簽名制作數據僅由電子簽名人控制。這一項規定是對電子簽名過程中電子簽名制作數據歸誰控制的要求。這里所規定的控制是指一種實質上的控制，即基于電子簽名人的自由意志而對電子簽名制作數據的控制。在電子簽名人實施電子簽名行為的過程中，無論是電子簽名人自己實施簽名行為，還是委托他人代為實施簽名行為，只要電子簽名人擁有實質上的控制權，則其所實施的簽名行為，滿足本法此項規定的要求。

　　3.簽署后對電子簽名的任何改動能夠被發現。采用數字簽名技術的簽名人簽署后，對方當事人可以通過一定的技術手段來驗證其所收到的數據電文是否是發件人所發出，發件人的數字簽名有沒有被改動。倘若能夠發現發件人的數字簽名簽署后曾經被他人更改，則該項簽名不能滿足本法此項規定的要求，不能成為一項可靠的電子簽名。

　　4.簽署后對數據電文內容和形式的任何改動能夠被發現。電子簽名的一項重要功能在于表明簽名人認可數據電文的內容，而要實現這一功能，必須要求電子簽名在技術手段上能夠保證經簽名人簽署后的數據電文不能被他人篡改。否則，電子簽名人依據一定的技術手段實施電子簽名，簽署后的數據電文被他人篡改而卻不能夠被發現，此時出現的法律糾紛將無法依據本法予以解決。電子簽名人的合法權益難以得到有效的保護。因此，要符合本法規定的可靠的電子簽名的要求，必須保證電子簽名簽署后，對數據電文內容和形式的任何改動都能夠被發現。

　　一項電子簽名如果同時符合上述四項條件，可以視為可靠的電子簽名。

　　二、本條第二款規定當事人可以約定選擇可靠的電子簽名應當具備的條件和采用的技術方案。盡管本條第一款規定了可靠的電子簽名應當具備的法定條件，但并沒有對達成上述法定條件的電子簽名所需采取的技術作出統一規定。由于電子簽名技術手段的多樣性，當事人在從事電子商務或者其他活動中所約定采用的電子簽名技術如能夠滿足當事人對于保障交易安全性的需求，本法同樣承認其法律效力并予以保護。

　　第十四條 可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力。

　　【釋義】 本條是關于可靠的電子簽名法律效力的規定。

　　一、隨著現代科學技術的發展，越來越多的技術手段被運用于電子簽名領域。這些技術和手段主要包括計算機口令、眼虹膜網辨別技術以及數字簽名技術等。在電子商務交易中以何種技術生成的電子簽名才是安全可靠的，才具有法律效力，這是電子簽名法應當解決的問題。從世界各國的規定來看，主要有三種模式：一是采用技術特定化方案，即只承認數字簽名的法律效力;二是技術中立方案，即在法律上不規定某種技術方案，而將技術方案的選擇留給當事人各方約定;三是折中方案，即一方面規定了安全可靠的電子簽名應當具備的條件，另一方面則沒有限定采用何種技術的電子簽名才具有法律效力。采納這一模式的理由在于：隨著科技的發展，電子簽名技術也會不斷地發展。電子簽名技術手段的優劣，應由市場和用戶作出判斷，立法者只需要規定原則性標準;政府直接對具體技術作出選定，風險過大，并可能導致電子商務市場的萎縮。另一方面，目前數字簽名的技術已趨于成熟并且被廣泛運用于電子簽名領域，需要以法律手段加以推行，以利于電子商務市場的成長。#p#分頁標題#e#

　　二、本條的規定借鑒了聯合國貿易法委員會《電子商務示范法》以及一些國家電子商務、電子簽名立法的有關規定，并與本法第十三條規定相聯系，確認了可靠的電子簽名具有與手寫簽名或者蓋章同等的法律效力。

　　第十五條 電子簽名人應當妥善保管電子簽名制作數據。電子簽名人知悉電子簽名制作數據已經失密或者可能已經失密時，應當及時告知有關各方，并終止使用該電子簽名制作數據。

　　【釋義】 本條是關于電子簽名人法律義務的規定。

　　一、電子簽名制作數據是將電子簽名與電子簽名人可靠聯系起來的重要手段。電子簽名人應當妥善保管電子簽名制作數據，一旦電子簽名制作數據失密，他人有可能利用電子簽名人的電子簽名制作數據從事違法行為或者牟取非法利益，給電子簽名人和電子簽名依賴方造成損失。在實踐中，電子簽名制作數據的載體包括磁盤。光盤等，盡管這些載體在使用過程中需要加入電子簽名人的安全指令才能啟動，但是這些載體一旦丟失或者為他人竊取，則他人通過破解這些相對簡單的安全指令就可以在互聯網上以電子簽名人的名義從事交易活動。與傳統交易不同，網上交易過程中當事人之間往往并不見面，當事人之間主要憑借的是對方當事人的電子簽名來驗證和核實相互間的身份，電子簽名制作數據的

　　丟失會給不法分子提供可乘之機。因此，電子簽名人應當妥善保管電子簽名制作數據，防止丟失或者為他人所竊取，以免給自己和對方當事人造成不必要的損失。

　　二、即便電子簽名人盡到妥善保管的義務，電子簽名制作數據仍然存在泄密的可能。本條中的"知悉電子簽名制作數據已經失密或者可能已經失密"包含兩層意思：一是電子簽名人已經明確知道電子簽名制作數據已失密，例如電子簽名人發現未經自己允許，有人在互聯網上以電子簽名人的名義從事商業活動;二是電子簽名人知悉電子簽名制作數據有可能已經失密，例如電子簽名人發現自己存放電子簽名制作數據的磁盤丟失，在這種情況下，丟失的磁盤中的安全指令有可能被破譯，電子簽名制作數據有可能被他人用于非法活動。在這兩種情況下，依據本條的規定，電子簽名人應當做到：一是立即停止使用電子簽名制作數據。因為在電子簽名制作數據已經失密或者可能已經失密的情況下，電子簽名人繼續使用其電子簽名制作數據有可能使電子簽名依賴方更加難以確

　　從電子簽名的真偽，給交易安全帶來更多的不確定性。二是及時告知有關各方當事人，避免有關各方當事人因繼續信賴電子簽名人的簽名而造成損失或者損失的進一步擴大。

　　第十六條 電子簽名需要第三方認證的，由依法設立的電子認證服務提供者提供認證服務。

　　【釋義】 本條是關于電子簽名認證的規定。

　　一、電子簽名可以依賴于很多技術來實現，有些電子簽名可能并不需要認證，例如一些以生物識別技術生成的電子簽名，其直接依據簽名人的生理特征就可以辨別電子簽名的真偽。在目前，各國電子商務或者電子簽名立法中確認的需要認證的電子簽名一般指的是數字簽名。數字簽名是指通過使用非對稱密碼加密系統對電子記錄進行加密、解密變換來實現的一種電子簽名，目前它在各國的電子商務實踐中得到了廣泛的應用。作為第三方的數字簽名認證機構通過給從事交易活動的各方主體頒發數字證書、提供證書驗證服務等手段來保證交易過程中各方主體電子簽名的真實性和可靠性。

　　二、提供電子認證服務的機構必須是依法設立的，本法對電子認證服務提供者的設立條件、設立程序作出了明確規定。

　　第十七條 提供電子認證服務，應當具備下列條件：

　　(一)具有與提供電子認證服務相適應的專業技術人員和管理人員;

　　(二)具有與提供電子認證服務相適應的資金和經營場所;

　　(三)具有符合國家安全標準的技術和設備;#p#分頁標題#e#

　　(四)具有國家密碼管理機構同意使用密碼的證明文件;

　　(五)法律、行政法規規定的其他條件。

　　【釋義】 本條是關于電子認證服務提供者應當具備的條件的規定。

　　一、電子認證服務提供者應當具有與提供電子認證服務相適應的專業技術人員和管理人員。提供電子認證服務是一項復雜的技術工程。僅從數字簽名技術的實現來看，它運用了一系列復雜的加密算法。電子認證服務提供者在提供電子認證服務的過程中涉及多級認證和交叉認證等多種技術手段。這就需要有一批懂技術的專門人才從事電子認證服務工作，才能保障電子認證活動的開展。同時，作為權威的第三方認證機構，不僅應當具備可靠的技術條件，更重要的是在策略、管理、運營等諸多方面具備良好的條件，具有合格的管理人員也是電子認證服務提供者應當具備的一個重要條件。

　　二、電子認證服務提供者應當具有與提供電子認證服務相適應的資金和經營場所。具備必要的資金是電子認證服務提供者開展業務的前提條件，也是電子認證服務提供者承擔法律責任的重要保證。同時，由于提供電子認證服務對于安全性、保密性的要求較高，電子認證服務提供者相比較于一般企業，對經營場所的防火、防盜、防電磁輻射等方面的要求更高。電子認證機構對經營場所的安全條件一般都制定有嚴格的標準，以保障電子認證服務的順利開展。

　　三、電子認證服務提供者應當具有符合國家安全標準的技術和設備。國家為了保障信息技術產品的安全性，先后制定了一系列的國家標準。電子認證服務提供者在提供電子認證服務過程中使用的技術和設備，應當符合國家已經制定的安全標準。

　　四、電子認證服務提供者提供電子認證服務應當具有國家密碼管理機構同意使用密碼的證明文件。我國商用密碼條例規定，商用密碼技術屬于國家秘密。國家對商用密碼產品的科研、生產、銷售和使用實行專控管理。任何單位或者個人只能使用經國家密碼管理機構認可的商用密碼產品。由于電子認證服務提供者在經營過程中必然要使用密碼技術和密碼產品，電子認證服務提供者必須具有國家密碼管理機構同意使用密碼的證明文件。

　　五、法律、行政法規可以對電子認證服務提供者應當具備的條件作出其他必要的規定。本法第二十五條還規定，國務院信息產業主管部門依照本法制定電子認證服務業的具體管理辦法。因此，國務院信息產業主管部門在制定具體管理辦法時，可以就電子認證服務提供者應當具備的條件作出進一步具體和明確的規定。

　　第十八條 從事電子認證服務，應當向國務院信息產業主管部門提出申請，并提交符合本法第十七條規定條件的相關材料。國務院信息產業主管部門接到申請后經依法審查，征求國務院商務主管部門等有關部門的意見后，自接到申請之日起四十五日內作出許可或者不予許可的決定。予以許可的，頒發電子認證許可證書;不予許可的，應當書面通知申請人并告知理由。

　　申請人應當持電子認證許可證書依法向工商行政管理部門辦理企業登記手續。

　　取得認證資格的電子認證服務提供者，應當按照國務院信息產業主管部門的規定在互聯網上公布其名稱、許可證號等信息。

　　【釋義】 本條是關于從事電子認證服務活動的申請與受理及申請人相關義務的規定。

　　一、申請人提出申請，是行政許可的前提條件，是申請人從事某種特定行為之前必須履行的法定義務。行政許可是依申請而進行的行政行為，即申請程序因相對人行使其申請權而開始。申請權是一種程序上的權利，相對人有權通過合法的申請，要求行政機關作出合法的應答。無論申請人在實體法上是否符合獲得許可的條件，在程序上都享有這種權利。按照行政許可法第二十九條的規定，公民、法人或者其他組織從事特定活動，依法需要取得行政許可的，應當向行政機關提出申請。本條第一款依照行政許可法明確規定，從事電子認證服務，應當向國務院信息產業主管部門提出申請，并提交符合本法第十七條規定條件的相關材料。第十七條規定了提供電子認證服務應當具備的五個條件：一是具有與提供電子認證服務相適應的專業技術人員和管理人員;二是具有與提供電子認證服務相適應的資金和經營場所;三是具有符合國家安全標準的技術和設備;四是具有國家密碼管理機構同意使用密碼的證明文件;五是法律、行政法規規定的其他條件。申請人申請從事電子認證服務的，應當備齊符合上述條件的相關資料，以證實其具有從事電子認證服務活動的能力。依照行政許可法第三十一條的規定，申請人申請行政許可，應當如實向行政機關提交有關材料和反映真實情況，并對其申請材料實質內容的真實性負責。行政機關也不得要求申請人提交與其申請的行政許可事項無關的技術資料和其他材料。#p#分頁標題#e#

　　二、依照行政許可法的規定，行政許可符合以下條件，行政機關應當予以受理：一是申請事項屬于該機關行政職權范圍;二是申請資料齊全、符合法定形式。依照本條規定，國務院信息產業主管部門受理申請人從事電子認證服務活動的申請后，依法進行審查，即行政程序進人審查階段。國務院信息產業主管部門既審查申請材料是否齊全，是否符合法定形式，還要審查申請材料的實質內容是否符合法定條件。在審查階段，國務院信息產業主管部門還要征求國務院商務主管部門等有關部門的意見。依照行政許可法第四十二條的規定，行政許可采取統一辦理或者聯合辦理、集中辦理的，辦理的時間不得超過四十五日，四十五日內不能辦結的，經本級人民政府負責人批準，可以延長十五日，并應當將延長期限的理由告知申請人。本條第一款也規定國務院信息產業主管部門自接到申請之日起四十五日內作出許可或者不予許可的決定，在期限

　　上與行政許可法的規定相一致。予以許可的，頒發電子認證許可證書。不予許可的，應當書面通知申請人并告知理由。依照行政許可法第三十八條的規定，"申請人的申請符合法定條件、標準的，行政機關應當依法作出準予行政許可的書面決定。""行政機關依法作出不予行政許可的書面決定的，應當說明理由，并告知申請人享有依法申請行政復議或者提起行政訴訟的權利。"說明理由作為行政程序的一項制度十分必要。首先，行政機關將行政決定的理由明白、令人信服地向行政相對人說明，可以增強公眾對政府的信任感，避免對立。對于行政機關而言，通過說明理由，可以促使其事先充分考慮行政許可決定的事實根據和法律依據，慎重決定，促進行政機關的自我監督，從而保證行政決定的正確性。其次，行政機關作出行政決定，特別是對行政相對人作出不利處理后，要考慮到行政相對人可能會對行政決定不服。行政相對人了解行政機關作出該決定的理由，才能認真考慮請求行政救濟的可能性，確定是

　　否提起和如何提起行政復議或者行政訴訟。再次，對于行政復議的受理機關或者人民法院來講，通過行政決定的理由，可以了解行政機關作出該決定的動機和依據，便于對其進行審查。另外，在行政許可決定中說明理由，還可以使行政機關在以后處理同類案件時有據可循，促成平等保護。公眾也可以通過了解行政機關對特定事務在事實上和法律上的意見或者態度，提高預測性，對公眾的行為具有一定的引導作用、說明理由內容應當包括事實方面和法律方面以及自由裁量是否符合法定目的。說明理由應當以明文方式作出，敘述時應當簡潔、清楚。

　　三、依照本條第二款的規定，申請人應當持電子認證許可證書依法向工商行政管理部門辦理企業登記手續。申請人取得電子認證許可證書后，還需要到工商行政管理部門進行企業登記，依法辦理確定主體資格的事項，才可能開始電子認證服務活動。

　　四、依照本條第三款的規定，取得認證資格的電子認證服務提供者，應當按照國務院信息產業主管部門的規定在互聯網上公布其名稱、許可證號等信息。電子認證服務提供者應當遵守這一規定，公布相關信息。

　　第十九條 電子認證服務提供者應當制定、公布符合國家有關規定的電子認證業務規則，并向國務院信息產業主管部門備案。

　　電子認證業務規則應當包括責任范圍、作業操作規范、信息安全保障措施等事項。

　　【釋義】 本條是關于電子認證服務提供者應當制定電子認證業務規則的規定。

　　一、電子認證服務提供者應當制定、公布符合國家有關規定的電子認證業務規則，并向國務院信息產業主管部門備案。電子認證服務是專業性很強的活動，由電子認證服務提供者制定有關業務規則是合理的，也是符合實際的。當然，電子認證服務者不能制定損害電子簽名人和電子簽名依賴方利益的、不公平的"霸王條款"。為了防止這種情況出現，本條第一款規定了兩項要求：一是電子認證服務者制定的電子認證業務規則要符合國家有關規定，而且還要公布;二是電子認證業務規則要向國務院信息產業主管部門備案，以接受監督。有些國家和地區的電子簽名法也規定了電子認證服務提供者制定認證業務規則的義務。例如，韓國電子簽名法規定，認證機構應擬訂包括下列各項內容的認證業務通則，并應向信息通信部長官申報：認證業務種類、認證業務的執行方法#p#分頁標題#e#

　　及步驟、認證服務的利用條件及費用其他必需事項。信息通信部長官認為認證業務通則規定的內容有礙于確保認證業務的安全和可依賴性或損害用戶利益的，可命令認證機構改正。我國臺灣地區電子簽章法規定，認證機構應制定認證實務作業基準，認證實務作業基準應載明以下事項：足以影響認證機構所簽發認證的可靠性或其業務執行的重要資訊;認證機構徑行廢止認證的事由;驗證認證內容相關資料的留存;保護當事人個人資料的方法及程序;其他經主管機關訂定的重要事項。

　　二、電子認證業務規則主要包括以下事項：

　　1.責任范圍。電子認證服務提供者在提供認證服務過程中，由于未履行其應盡義務，尤其是保證其簽發證書的真實、可靠性的義務，既可能產生對電子簽名人的責任，也可能產生對電子簽名依賴方的責任。電子認證服務提供者與電子簽名人即電子簽名認證證書持有者是民事合同關系，電子認證服務提供者依照合同約定承擔責任。電子認證服務提供者對電子簽名依賴方的責任是基于法律規定而產生的，即兩者是法律上的信賴關系，電子認證服務提供者對電子簽名依賴方的法定義務是其承擔責任的基礎。同時也應當看到，電子認證服務是一個高風險的行業，既有內部風險又有外部風險，并且一旦發生風險往往會造成非常嚴重的后果。電子認證服務提供者在從事電子認證服務活動時當然應當盡合理的注意，承擔相應的義務，但在無過錯的情況下，不應承擔責任，而無過錯的舉證責任要由認證機構承擔。這是因為電子認證服務提供者

　　處于中立的第三方，其行為和信譽直接關系到電子簽名人與電子簽名依賴方的利益，且相對于電子簽名人及電子簽名依賴方又處于強勢地位，一些國家均規定了較為嚴格的責任制度，且設立了舉證責任倒置的制度，即電子認證服務提供者如能證明其對于責任事項無任何過錯方可免責。本法第二十八條也明確規定："電子簽名人或者電子簽名依賴方因依據電子認證服務者提供的電子簽名認證服務從事民事活動遭受損失，電子認證服務提供者不能證明自己無過錯的，承擔賠償責任。"

　　從實踐中看，電子簽名認證合同基本上屬于格式合同。格式合同，是指合同條款由當事人一方預先擬定，另一方當事人只能表示全部同意或者不同意的合同，也就是說一方當事人要么從整體上接受合同條件，要么不訂立合同。比如電子認證合同作為格式合同的特征有：一是數字證書的項目由電子認證服務提供者預定且不能改變;二是認證費用由電子認證服務提供者預定而不能討價還價;三是簽署者和電子認證服務提供者的責任條款由電子認證服務提供者單方制定并且不容進一步協商，而這正是電子認證合同中最關鍵的內容。目前在實踐中，此責任條款有的出現在認證業務聲明中，例如美國的Verisign公司就在其業務聲明中規定了免責條款;也可以直接以責任書的形式出現，如上海電子商務安

　　全證書管理中心有限公司就采取這種做法;還可以以電子認證中心數字證書章程的形式出現，如廣東省電子商務主認證中心就采取此種做法。對此責任條款只有"我接受"和"我拒絕"兩種選擇，選擇"我接受"則繼續證書申請的下一個步驟，選擇"我拒絕"則終止證書的申請。

　　另外，在電子認證合同中也有允許客戶選擇的內容，例如證書的信賴等級。Verisign公司已經建立了三種用戶等級：對于第一等級，用戶只能依賴它做網頁瀏覽和個人電子郵件，在這種環境下只是稍微增加了安全;第二等級是證書持有人使用更詳細的證明證書于"組織"內的電子郵件、小額、小風險的交易、個人之間的電子郵件、口令更改、軟件確認，以及在線訂購服務;第三等級是用于電子銀行、電子數據交換、軟件確認，以及基于會員的在線服務。另外，密鑰的位數也有512.1024及2048位等多種選擇，密鑰位數越大，加密后的文件的安全度越高。我國的幾家主要的電子認證服務提供者也都提供了不同種類的數字證書來滿足客戶的不同需要。#p#分頁標題#e#

　　2.作業操作規范。電子認證作業操作規范包括的內容非常廣泛。如對數字證書申請身份審查的內容、提供相應的身份有效證件和審查流程;數字證書類別及證書申請、簽發、撤銷、更新等新的操作流程;以及信息公開的要求，主要是發布相關認證信息，如證書生效、失效等公開信息。

　　3.信息安全保障措施。電子認證服務提供者是為Internet用戶提供身份認證服務的。由于其負責接受證書申請、審核申請人身份、簽發證書及管理證書等服務，與其他Internet服務提供商一樣，電子認證服務提供者所提供的服務也是通過Internet，也存在安全威脅，存在被攻擊的可能，如非法入侵、植入病毒、竊取密鑰等外部攻擊。另外，認證系統內部也存在威脅，如內部工作人員的管理，機房的安全管理，軟件的管理等。這些都需要制定具體的信息安全保障措施，防范風險。例如，電子認證服務提供者的機房是整個認證系統控制核心，機房的正常運作是所有電子商務活動的基礎，必須采取足夠的措施保證機房的安全。如必須設置獨立的機房用于安全認證管理，該機房必須受到嚴格的、高等級的安全保護，至少應該設置三層安全控制保護層。類似這樣的信息安全保障措施應當體現在電子認證業務規則中。

　　第二十條 電子簽名人向電子認證服務提供者申請電子簽名認證證書，應當提供真實、完整和準確的信息。

　　電子認證服務提供者收到電子簽名認證證書申請后，應當對申請人的身份進行查驗，并對有關材料進行審查。

　　【釋義】 本條是關于電子簽名認證證書申請過程中電子簽名人和電子認證服務提供者的有關義務的規定。

　　一、在電子認證關系中，電子簽名人是電子認證服務提供者的客戶，是接受電子認證服務的一方。電子簽名人除了應履行一般的支付費用義務外，還應當履行一些與電子認證服務關系的特性相應的義務。本條第一款規定的真實誠信義務就是其中的重要方面。電子簽名人申請電子簽名認證證書，要負擔起保證所提供的信息的真實性、準確性和完整性的義務。誠實信用義務最直接的表現是真實陳述的義務，即真實陳述電子認證服務提供者頒發證書時要求其提供的事項。這是電子簽名人在申請證書時所應當履行的基本義務，因為就其身份、地址、營業范圍、證書信賴等級的真實陳述，是證書可信賴性產生的前提，否則將構成對證書體系信賴性的損害，應承擔相應的法律責任。

　　二、本條第二款規定了電子認證服務提供者的謹慎審核義務。這要求電子認證服務提供者在收到電子簽名認證證書申請后，對申請者所提交的有關材料的真實性，應當謹慎地加以審核，因為證書的發布、信賴方的信賴都依賴于對這些材料真實性的審查。另外，還要嚴格查驗申請人的身份。這些都是為了保證其所發放的證書具有可靠的權威性和信任度。對個人電子簽名認證證書申請者，電子認證服務提供者一般要求其提供個人的姓名、個人身份證的原件以及復印件、身份證號、聯系電話、住址、通信地址、郵政編碼、電子郵箱等個人資料;對單位電子簽名認證證書申請者，除對具體的經辦人要求提供上述個人資料外，還要求提供申請單位資料：如單位名稱、單位所屬行業類別、單位地址、單位注冊號碼、單位組織機構代碼、單位電子郵箱、電話、傳真、單位有效證件的原件與復印件等資料。

　　第二十一條 電子認證服務提供者簽發的電子簽名認證證書應當準確無誤，并應當載明下列內容：

　　(一)電子認證服務提供者名稱;

　　(二)證書持有人名稱;

　　(三)證書序列號;

　　(四)證書有效期;

　　(五)證書持有人的電子簽名驗證數據;

　　(六)電子認證服務提供者的電子簽名;

　　(七)國務院信息產業主管部門規定的其他內容。

　　【釋義】 本條是關于電子認證服務提供者簽發的電于簽名認證證書內容的規定。#p#分頁標題#e#

　　一、電子簽名認證證書是電子認證服務提供者簽發的用以證明證書持有人的電子簽名、身份、資格及其他有關信息的電子文件，它是電子交易當事人在互聯網上從事電子商務活動的身份證和通行證。在電子商務交易中互不認識的雙方當事人用其證書證明各自簽名的真實性，可以在雙方之間建立相互信任的基礎。因此，電子簽名認證證書不僅具有證明電子簽名的真實性與完整性的作用，還可以為交易當事人提供身份及從事交易的資格、權限等方面的證明。基于電子簽名認證證書的重要作用，電子認證服務提供者簽發的電子簽名認證證書應當準確無誤，否則就可能產生損害電子認證、電子交易的后果，影響電子簽名認證證書的權威性和信任度。

　　二、依照本條規定，電子簽名認證證書應當載明的內容包括電子認證服務提供者和證書持有人的名稱、證書序列號、證書有效期、證書持有人的電子簽名驗證數據和電子認證服務提供者的電子簽名，以及國務院信息產業主管部門規定的其他內容。這是法律規定的電子簽名認證證書應當載明的內容。電子認證服務提供者還可以根據實際需要載明其他內容，如載明證書的種類與等級等信息。

　　第二十二條 電子認證服務提供者應當保證電子簽名認證證書內容在有效期內完整、準確，并保證電子簽名依賴方能夠證實或者了解電子簽名認證證書所載內容及其他有關事項。

　　【釋義】 本條是關于電子認證服務提供者有關保證義務的規定。

　　一、電子認證服務提供者最重要的任務就是制作、發放和管理電子簽名認證證書，所以其首要義務就是保證認證證書的真實性、完整性和準確性，即所發放認證證書的公共密鑰同某個確定身份的人是一一對應的，以保證發放的證書具有可靠的權威性和信任度。電子認證服務提供者要使發布的認證信息及時可靠，這其中還包括要讓有關當事人能夠隨時證實證書申請人所擁有的身份證、許可證或者營業執照等關系該人行為能力的文書或者證件的效力。因此，本條規定了電子認證服務提供者的兩項保證義務：一是保證電子簽名認證證書內容在有效期內完整、準確;二是保證電子簽名依賴方能夠證實或者了解電子簽名認證證書所載內容及其他有關事項。

　　二、聯合國貿法會電子簽名法示范法對本條規定的內容作出了更具體的規定，要求驗證服務提供商應當采取合理謹慎措施，確保其作出的有關證書整個周期的或需要列入證書內的所有重大表述均精確無誤和完整無缺。要提供合理可及的手段，使依賴方得以從證書中證實下列內容：(1)驗證服務提供商的身份;(2)證書中所指明的簽字人在簽發證書時擁有對簽字生成數據的控制;(3)在證書簽發之時或之前簽字生成數據有效。要提供合理可及的手段，使依賴方得以在適當情況下從證書或其他方面證實下列內容：(1)用以鑒別簽字人的方法;(2)對簽字生成數據或證書的可能用途或使用金額上的任何限制;(3)簽字生成數據有效和未發生失密;(4)對驗證服務提供商規定的責任范圍或程度的任何限制;(5)是否存在簽字人發出通知的途徑;(6)是否提供了及時的撤消服務。要使用可信賴的系統、程序和人力資源提供其服務。驗證服務提供商如未能滿足上述要求應承擔相應責任。美國猶他州數字簽名法規定：通過頒發證書，許可之認證機構向所有信賴證書里包含的信息的人證明，認證機構已遵守了頒發證書的所有有效的要求;通過發布證書，許可之認證機構向公告欄和所有信賴證書里包含的信息的人證明，認證機構已經向用戶頒發了證書。該法還規定：通過接收許可之認證機構頒發的證書，證書上確定的用戶，向所有信賴證書里包含的信息的人證明：(1)每一個通過與證書上所列公開密鑰相對應的私鑰而生成的電子簽名，除非證書中止、被認證機構撤消或者過期失效，對用戶來講都是法律上有效的簽名;(2)沒有未經授權的人使用與證書上所列公開密鑰相對應的私鑰;(3)用戶對認證機構作出的包含于證書的所有重要信息的陳述，都是真實的;(4)證書中包含的信息是真實的。新加坡和我國香港地區也有類似的規定。#p#分頁標題#e#

　　第二十三條 電子認證服務提供者擬暫停或者終止電子認證服務的，應當在暫停或者終止服務九十日前，就業務承接及其他有關事項通知有關各方。

　　電子認證服務提供者擬暫停或者終止電子認證服務的，應當在暫停或者終止服務六十日前向國務院信息產業主管部門報告，并與其他電子認證服務提供者就業務承接進行協商，作出妥善安排。

　　電子認證服務提供者未能就業務承接事項與其他電子認證服務提供者達成協議的，應當申請國務院信息產業主管部門安排其他電子認證服務提供者承接其業務。

　　電子認證服務提供者被依法吊銷電子認證許可證書的，其業務承接事項的處理按照國務院信息產業主管部門的規定執行。

　　【釋義】 本條是關于電子認證服務提供者的業務承接要求的規定。

　　一、電子簽名與電子認證都是電子商務的保障。電子簽名的目的是保護數據電文的安全，防止其內容的仿冒、更改或者否認。法律強調對電子簽名安全技術標準的認定。電子認證的目的是把電子簽名和交易聯系起來，確保對方得到的電子簽名不是其他人假冒的。為此，法律強調對電子認證機構的組織結構和權利、義務的分配，對認證機構的設立和監管，以及確立認證機構的歸責原則及其賠償責任。如果說電子簽名主要用于數據電文本身的安全，使之不被否認或者篡改，是一種技術手段上的保證，則電子認證是以特定的機構對電子簽名及其簽署者的真實性進行驗證服務，主要應用于交易安全方面，主要是一種組織制度上的保證。而電子商務交易活動具有連續性的特點，法律必須對電子認證服務提供者的業務事項的維持予以特別規定，才能有效地保護電子簽名人

　　和電子簽名依賴方的利益。

　　二、電子認證服務提供者擬暫停或者終止電子認證服務的，將會影響到相關方的利益，因此本條第一款規定，應當在暫停或者終止服務九十日前，就業務承接及其他有關事項通知有關各方。此外，電子認證服務提供者擬暫停或者終止電子認證服務的，還應當履行以下義務：

　　1.報告。電子認證服務提供者應當在暫停或者終止服務六十日前向國務院信息產業主管部門報告，使其了解情況。

　　2.協商承接。電子認證服務提供者除在法定期限內向國務院信息產業主管部門報告外，還要與其他電子認證服務提供者就業務承接進行協商，協商達成一致意見的，對業務承接事項作出妥善安排。

　　3.指定承接。電子認證服務提供者未能就業務承接事項與其他電子認證服務提供者達成協議的，應當申請國務院信息產業主管部門安排其他電子認證服務提供者承接其業務。

　　對于電子認證服務提供者被依法吊銷電子認證許可證書的，其業務承接事項的處理按照國務院信息產業主管部門的規定執行。

　　第二十四條 電子認證服務提供者應當妥善保存與認證相關的信息，信息保存期限至少為電子簽名認證證書失效后五年。

　　【釋義】 本條是關于電子認證服務提供者應當妥善保存與認證相關的信息及保存期限的規定。

　　依照本法第二十條的規定，電子簽名人向電子認證服務提供者申請電子簽名認證證書，應當提供真實、完整和準確的信息。這些信息涉及的面比較廣，既可能包括申請人的個人隱私，也可能涉及申請人的商業秘密，如果這些信息被泄露，可能會損害電子簽名人的利益，因此，本條規定了電子認證服務提供者妥善保存與認證相關的信息的義務，并規定信息保存期限至少為電子簽名認證證書失效后五年。如果電子認證服務提供者違反上述規定，依照本法第三十一條的規定，由國務院信息產業主管部門責令限期改正;逾期未改正的，吊銷電子認證許可證書，其直接負責的主管人員和其他直接責任人員十年內不得從事電子認證服務。

　　第二十五條 國務院信息產業主管部門依照本法制定電子認證服務業的具體管理辦法，對電子認證服務提供者依法實施監督管理。#p#分頁標題#e#

　　【釋義】 本條是授權國務院信息產業主管部門制定電子認證服務業的具體管理辦法并依法實施監管的規定。

　　一、電子認證是基于數據電文的收件人需要對收訖的數據電文發送人身份及數據電文的真實性、完整性進行核實而產生的。

　　電子認證通過電子認證機構頒發電子認證證書，據以確認數據電文發送人制作數字簽名的密鑰對與發送人的聯系來實施認證確認活動。鑒于電子認證機構在電子交易中的重要作用，關于其設置、資格、行為規范等，始終是各國電子商務立法關注的重點。符合一定標準的電子認證機構，才能保證其運營符合電子商務的需要。電于認證機構的運營受到切實有效的監督，才能更好地保護電子簽名人和電子簽名依賴方的利益。從國外看，電子認證機構的市場準入有三種情況：一是，對電子認證機構實行強制性許可制度，即從事電子認證業務必須經過主管機關批準。如馬來西亞數字簽名法案明確規定，"沒有人可以作為認證機構開展業務或進行運營，或主張他自己可以進行認證業務的運營，除非該人持有根據本法發放的有效許可證。"日本電于簽名與認證服務法規定，"欲從事或者已在從事認證服務者須獲得相關大臣之許可"。韓國電子署名法規定，"信息通信部長官指定有能力安全可靠地執行認證業務的單位擔任公認認證機關"。電子商務基本法規定"政府可以根據電子署名法指定一個被授權的認證機構以確保電子商務的安全和可靠，并促進電子商務交易的健康發展"。德國《信息與通信服務法》規定，"證機構開展業務，須從主管機關取得許可證。許可證經申請即予頒發。"但下列情況不予頒發許可證：如果有事實證明下述推定，即申請人不具備從事認證業務的可靠性，或者申請人沒有提交具備從事認證業務所需專業知識的證明，或者有理由認為一旦開始業務活動，不能符合本法以及具有法律效力的法令規定的與認證機構開展業務有關的其他要求。我國香港和臺灣地區對于電子認證的市場準入也都實行強制性許可制度。二是，對電子認證機構實行非強制性許可制度。例如，依照歐盟《電子簽名指令》的規定，"成員國不得為證書服務規定任何事先授權"，但是，各成員國可以建立自愿的、非強制性的許可制度，經政府許可的認證機構享有比未經許可的認證機構更多的權利。奧地利《聯邦電子簽名法》規定，認證服務提供者無需取得特別許可即可開展業務，但須立即通知監管機關，并將有關文件材料向監管機關報送備案，包括其安全政策、認證政策、所提供的業務以及使用的技術手段和程序等。該法還規定了認證機關自愿認證的程序和認可認證機關的相關技術安全要求。新加坡《電子交易法》規定設立電子認證機構并不一定都要取得許可，但經許可的認證機構發布證書時，可以在證書中載明一項供參考的標準依據限額，即可以享受法律規定的民事責任限制等"優惠"。三是，對電子認證機構的設立不實行許可制度，完全依賴市場調節，通過行業自律予以規范。例如美國。

　　二、從國外看，對電子認證機構進行監管的內容主要包括與證書發放有關記錄的保存、發證、證書更新、中止和撤銷、認證業務聲明、安全準則和保密等。如新加坡《電子交易法》規定，為保證本法或其細則的需要，通過書面通知，監管人可以指示認證機構或其工作人員采取通知書中指定的行為，對于不遵守指示的，要追究相應的法律責任。馬來西亞《數字簽名法》規定，對于特許認證機構，應當每年進行一次檢查，以評價其遵守本法案的情況。年度檢查應由具有計算機方面專業知識、獲得執照的職業會計師，或信譽良好的、從事計算機安全工作的專業人員進行。審查人員的資格條件及審查的工作程序由本法案的實施細則予以規定。監控人應在其提供并維持的有關特許認證機構信息的信息庫里向公眾公布審查的日期和結果。我國香港地區《電子交易條例》規定，認可核證機關必須最少每十二個月向署長提交報告一次，而該報告必須載有對該機關是否已遵守本條例中就認可核證機關適用的條文的評#p#分頁標題#e#

　　估，及在該期間是否已遵守業務守則的評估。根據德國《數字簽章法》的規定，主管機關可以采取相應的行政措施處理認證機構的違法行為，具體包括：(1)主管機關可以禁止認證機構使用不適當的技術設備，并且可以暫時全部或者部分禁止其業務，如果認證機構采取非法手段誤導他人相信其已獲得某種許可，可以禁止其全部認證業務。(2)進行營業場所檢查。(3)撤回、廢止或者中止許可。如果認證機構沒有依法履行義務，主管機關可以撤回、廢止或者中止以前發出的許可。在撤銷或者廢止許可或者中止認證機構業務時，主管機關可以把該認證機構的業務交給其他認證機構或者確保該認證機構與有關密鑰持有人之間的業務關系已經結束。(4)中止認證證書的效力。主管機關有足夠證據認為，認證證書是偽造或者其安全性不足以防止偽造，或者所采用的技術設備顯示安全上有欠缺，使得數字簽章或者數字資料的偽造可能難以覺察時，可以中止認證證書的效力。

　　三、從我國實際情況看，對電子認證服務業主要靠市場引導和行業自律的條件尚不具備，由政府部門實施適度監管是必要的。本法規定了提供電于認證服務應當具備的條件，規定了對提供電于認證服務實施行政許可制度，規定了有違法行為的電子認證服務提供者應承擔的法律責任，這些規定是必要的、可行的。另外，由于我國的電子認證業務還處于發展起步階段，政府部門對電子認證機構如何實施有效的、適度的監管，還需要在實踐中進一步總結經驗。為此，本條授權國務院信息產業主管部門制定電子認證服務業管理的具體辦法。

　　第二十六條 經國務院信息產業主管部門根據有關協議或者對等原則核準后，中華人民共和國境外的電子認證服務提供者在境外簽發的電子簽名認證證書與依照本法設立的電子認證服務提供者簽發的電子簽名認證證書具有同等的法律效力。

　　【釋義】 本條是關于我國境外的電子認證服務提供者在境外簽發的電子簽名認證證書的法律效力的規定。

　　一、在跨國境的電子商務中，最重要一個環節是對處于不同司法管轄范圍內的交易人的身份進行認證。這就要涉及到電子證書的跨境認證。實現跨境認證有幾種方式。第一，允許境外的認證機構在本地提供服務。第二，境內的認證機構出境提供認證服務。第三，不同司法管轄范圍內的認證機構達成互認證協議。第一和第二種方式，都是服務貿易的延伸。一旦境內的認證機構出境或境外的認證機構進境，都可以被視為本地的認證機構，都應當受到本地法律的管轄。本條所稱的境外的電子認證服務者是指不受本地法律管轄的電子認證服務提供者。在認證過程中出現爭議時，會涉及到兩種法律體系和兩種司法制度協調。因此，不同國別的電子認證服務的相互認證必須由兩國政府根據國際法原則協商確定解決。

　　二、本法規定的有關協議是指，根據兩國政府間的協議，而對等原則是指別國政府或法律對中國境內的電子認證服務提供者提供的認證服務的態度。依據這兩點，信息產業主管部門可以核準確認，哪些境外的認證機構簽發的認證證書可以在我國境內使用。