臺灣地區電子認證服務發展現狀及啟示

陳月華+++閆曉麗

【 摘 要 】 電子認證服務為網絡經濟發展提供基礎安全支撐，在構建安全可信的網絡環境中發揮著日趨重要的作用。我國臺灣地區電子認證服務起步較早，且發展較快，在法律法規建設、應用推廣等各方面都有不俗的成績。本文全面研究了我國臺灣地區電子認證服務發展情況，分析了臺灣促進電子認證服務發展的主要做法，并提出了對我國電子認證服務發展的幾點建議。

【 關鍵詞 】 電子認證；電子政務；臺灣電子認證

1 引言

網絡經濟已經成為一種新興的經濟形態，在這一新的經濟環境下，如何實現網絡的安全可信，是我國信息安全面臨的一個重大挑戰。電子認證服務作為信息安全服務的重要組成部分，為網絡經濟發展提供基礎安全支撐，在構建安全可信的網絡環境中發揮著日趨重要的作用。臺灣地區電子認證服務起步較早，且發展較快，在法律法規建設、應用推廣等各方面都有不俗的成績，臺灣地區為推動電子認證服務快速發展的一些做法中，不乏值得我們借鑒之處。本文全面研究了我國臺灣地區電子認證服務發展情況，總結分析了臺灣地區促進電子認證服務發展的主要做法，并提出了對我國電子認證服務發展的幾點建議。

2 臺灣地區電子認證服務發展現狀

2.1 電子認證服務相關法律法規較為完備

臺灣地區于2001年11月14日公布了《電子簽章法》，2002年4月1日該法正式施行，成為臺灣電子商務領域最重要的基礎法律。《電子簽章法》以技術中立、契約自由、市場導向為立法原則，明確了電子簽名及電子文件的法律地位，對電子認證服務機構的運營管理提出規范要求，建立了電子認證服務機構的管理制度，界定了認證機構與使用者的權責。

為使《電子簽章法》相關制度得以落實，臺灣地區還制定了三部配套的制度規范，包括《電子簽章法施行細則》、《國外認證機構許可辦法》和《認證實務作業基準應載明事項準則》，主要內容有幾方面。

一是《電子簽章法施行細則》。該細則是依據《電子簽章法》第16條規定制定的，旨在細化《電子簽章法》的相關規定，并對法律條文模糊之處予以厘清。該細則的主要內容包括公鑰及私鑰的定義、證書簽發者的判斷、對外簽發證書的認定、CPS送審或變更時應提交的文件以及終止服務應移交的檔案記錄等。

二是《國外認證機構許可辦法》。該辦法依據《電子簽章法》第15條規定制定，該條授權主管部門制定外國認證機構許可辦法。該辦法明確了國外認證機構申請許可的程序，包括不予許可與廢止許可的判定是由，以及是否基于國際互惠原則裁決予以許可等。

三是《認證實務作業基準應載明事項準則》。該準則依據《電子簽章法》第11條規定而制定，該準則要求認證機構應制定CPS，并載明以下事項：足以影響認證數字證書及業務執行可靠性的重要信息；認證機構停止認證的事由；認證內容相關資料的留存規定；保護當事人個人資料的方法及程序；主管機關規定的其他重要事項等。

此外，除依據《電子簽章法》外，各行政機構還可依據相關法律對于特定電子文件業務的特別規定，對電子認證服務機構加以管理。例如，《政府采購法》第 93條關于電子化采購的規定，行政院衛生署依據醫療法第69條的授權而制定的《醫療機構電子病歷制作及管理辦法》，財政部為推動電子發票應用而制定的《電子發票實施作業要點》等。

2.2 面向政府和商業應用形成了兩類電子認證服務體系

面向政府應用和商業應用，臺灣地區形成了兩類嚴格分開的電子認證服務體系。

政府電子認證服務體系內各機構通過統一根實現了交叉互認。政府電子認證服務體系（以下簡稱GPKI），是為保障政府行政機關電子政務的安全而建立的，GPKI體系采用階層式的管理機制，通過作為信賴核心的根CA實現了GPKI下各電子認證服務機構間的交互認證。

GPKI體系中主要的電子認證服務機構。

政府數字證書總管理中心（以下簡稱GRCA，2002年10月30日成立），是GPKI的信賴核心，負責向GPKI體系內第一層下屬電子認證服務機構簽發證書，并藉此實現各電子認證服務機構的交互認證。

行政院研究發展考核委員會（以下簡稱“行政院研考會”）下屬的政府證書管理中心（以下簡稱GCA，2003年3月3日成立），其證書主要應用于G2G相關服務。

內政部下屬的自然人證書管理中心（以下簡稱MOICA，2003年5月1日成立），其證書主要應用于G2C相關服務。

經濟部下屬的工商證書管理中心（以下簡稱MOEACA，2003年8月7日成立），其證書主要用于G2B相關服務。

行政院研考會下屬的組織及團體證書管理中心（以下簡稱XCA，2004年3月17日成立），其證書主要應用在政府對組織團體的相關服務中。

衛生署下屬的醫療證書管理中心（以下簡稱HCA，2008年8月18日成立），其證書主要簽發給醫療機構人員，應用范圍與醫療電子化相關。

主管部門對面向商業應用提供電子認證服務的機構實行“低門檻”策略，商業電子認證服務體系加快形成。為扶植電子認證服務產業發展，臺灣地區依據《電子簽章法》，對面向商業應用的電子認證服務采取“低度管理”的措施，旨在降低商業機構從事電子認證服務的門檻，實現商業應用領域電子認證服務的充分競爭。依據《電子簽章法》，面向商業領域提供電子認證服務的，申請機構只需將其制定的CPS送交經濟部核定后便可提供認證服務；同時，經濟部僅以書面審查方式管理各認證機構，讓其按市場規律充分競爭、自由發展。

目前獲得核準的面向商業應用的電子認證服務機構主要有中華電信股份有限公司、臺網國際股份有限公司、臺網國際股份有限公司、臺灣網路認證股份有限公司、網際威信股份有限公司等。

中華電信股份有限公司于1996年7月1日由當時的交通部電信總局營運部門改制成立，成立時資本額為新臺幣964.77億元，主要業務涵蓋固網通信、移動通信以及數據通信三大領域，提供語音服務、專線電路、網際網絡、寬頻上網、智慧型網絡、虛擬網絡、電子商務、企業整合服務以及各類價值服務，是臺灣地區運營經驗最豐富、規模最大的綜合電信服務商，其使用的PKI技術由中華電信股份有限公司自行研發。endprint

臺網國際股份有限公司于2000年宣布成立，主要業務包括臺灣地區大型金融機構系統整合及各式網絡通訊整合，其使用的PKI技術由RSA信息安全公司授權提供。

臺灣網路認證股份有限公司于1999年由臺灣證券交易所、臺灣證券集中保管公司、財金咨詢股份有限公司、關貿網路公司以及民間優秀咨詢業者等股東籌資成立，目前跨越證券、銀行、保險、企業等不同領域提供多種安全服務，其在金融和證券證書應用領域的市場占有率高達80%以上，是臺灣地區最大的民間證書發行機構。

網際威信股份有限公司創立于1998年3月，提供電子商務安全服務，其使用PKI技術由美國VeriSign授權。

政府和商業電子認證服務體系雖嚴格區分，但相互之間具有某種聯系。政府PKI體系內的電子認證服務機構和商業PKI體系內的電子認證服務機構各自運營，服務對象截然不同、嚴格區分。但是，由于商業電子認證服務機構較為專業，因此目前GPKI下的電子認證服務機構的運維都是采取外包服務，由商業電子認證服務機構承擔，例如GRCA、GCA、XCA、MOICA、MOEACA由中華電信公司股份有限公司提供運維服務。

2.3 電子認證服務在政府和商業領域應用廣泛

政府領域電子認證服務滲透率高。GPKI體系內各電子認證服務機構發放的數字證書應用領域包括電子公文交換、政府采購招投標、申報綜合所得稅、勞農保加退保、個人投保年資查詢、勞退金專戶資料查詢、下載電子戶籍或地籍謄本、公路監理機關行照補換發、變更地址以及查詢有無被限制出境等電子政務應用，為公眾提供更便捷的網絡便民服務。

GCA簽發的數字證書主要應用于電子公文交換、政府采購招投標、勞農保加退保、網絡報稅、證券期貨市場公文電子交換系統、政府網站入口等。此外，GCA還規劃發放“公務員電子識別證”，將公務員工作證與自然人證書結合，主要應用于公文線上簽核、安全電子郵件、網絡權限管理等方面。

MOICA建立了面向公民的應用系統174個，具有約1547項功能，面向機構內部的應用系統168個，具有約1700項功能。MOICA簽發的自然人數字證書主要應用于網絡報稅、地政信息網絡服務、戶政網絡登記、移民署個人限制出國查詢、公路監理等，其中以網絡報稅應用最廣，據統計約有130萬人使用自然人證書進行網絡報稅，并且幾乎所有的gov/ org網站都擁有自己的證書。未來自然人證書將向更多元化應用發展，臺灣內政部將與各機關積極合作，加速開發相關網絡便民系統，推廣自然人證書的應用范圍與便民服務項目。

MOEACA的工商證書主要應用于網上公司登記、政府電子采購招投標、G2B公文信息交易、電子發票等。企業應用工商證書作為企業網絡身份證明，使用各項電子化政府G2B應用服務，節省作業成本，強化企業競爭力，同時建立企業網絡交易公正信賴機制，創造商業價值。

XCA的數字證書主要應用于政府與組織團體間的電子公文交換、勞保及勞退網絡申請等。組織與團體證書主要應用在公文電子交換、網絡報稅、政府采購領投標、證券期貨市場公文電子交換系統、政府網站入口、安全電子郵件等方面。

HCA證書主要應用于健保IC卡、醫療院所電子病例、醫療電子公文交換等。自2005年衛生署協助醫院建立電子病歷系統開始，截至2009年底建立電子病歷系統的醫院已達100家。2010年臺灣衛生署開始推動《加速醫療院所實施電子病例系統計劃》，計劃3-5年內臺灣醫療院所全面實施電子病歷與病例交換系統。醫療電子化將取代書面病歷，整合病患分散于各醫療機構的病歷資料，減少醫療資源的浪費，并提供病患連續性高品質的醫療服務。

商業電子認證服務廣泛應用于金融、電子商務、物流、汽車、會計等領域。金融是商業電子認證服務證書應用最廣的領域，數字證書在金融業主要應用在網絡證券、網絡銀行、網絡保險、信用卡支付等方面。商業PKI體系中最大的電子認證服務機構是臺灣網路認證股份有限公司，其簽發的證書主要應用于網上證券、網上銀行和網上保險等金融領域，其中，超過一半以上證書應用于網上證券，客戶單位有元大寶來、凱基、群益、富邦證等證券公司。

在商業領域，電子認證服務應用除金融業外，還涉及電子商務、物流、汽車、農產品、博弈產業、會計服務業等多個行業。在電子商務方面，PKI被廣泛應用于B2B、B2C模式的電子商務應用中，應用效果較好。百貨零售商通過使用在線的B2B電子商務平臺，不僅提高了收入，還大幅降低了成本；物流業為整合供應鏈信息共享及管理系統，通過利用數字證書確保安全交易；汽車業有效整合上下游廠商產銷及物流信息；農產品網絡商城利用數字證書確保臺灣農產品交易平臺的安全性；博弈產業利用數字證書確保網絡投注的安全；會計服務業推出了電子工資條，利用數字證書提升個人信息安全性的同時還低碳環保。

3 臺灣地區促進電子認證服務發展的主要做法

3.1 完善政策法規環境推動電子認證服務發展和應用

政策法規是規范電子認證服務發展、推動電子認證服務應用的有力保障。為促進電子認證服務發展，臺灣地區制定了一系列相關的法律法規和政策規范。早在1997年，臺灣行政院就組成了“法制推動工作小組”，負責相關法規的研究。2001年11月14日正式公布《電子簽章法》，并于2002年4月1日正式施行，成為電子認證服務領域最重要的基礎法律。

隨后，臺灣地區又陸續公布了相關配套的制度規范，包括《電子簽章法施行細則》（2002）、《國外認證機構許可辦法》（2002）、《認證實務作業基準應載明事項準則》（2004）等。同時，為推動電子認證服務的應用，臺灣地區還出臺了《電子化與網絡化政府中程推動計劃》、《電子發票推動計劃》等，不斷完善電子認證服務政策環境。

3.2 高度重視電子認證服務安全保障工作

密碼算法的發明或破解對于PKI技術發展具有重要的影響。全球PKI技術發展來看，隨著計算機運算速度的提升，1024位RSA密鑰已不足以提供應有的安全。美國NIST建議自2011年起應將RSA密碼長度全面提升至2048位以上。endprint

在此大背景下，臺灣地區政府PKI（GPKI）于2008年上半年開始開展整體密碼安全強度的提升工作，同時也在各憑證機構的專門工作會議中持續執行此工作。政府證書管理中心（GCA）、組織及團體證書管理中心（XCA）和工商證書管理中心（MOEACA）等機構于2009年開始簽發RSA2048位證書；“衛生署”醫療證書管理中心（HCA）在2010年底開始簽發RSA2048位用戶證書；“內政部”在2011年將自然人證書密鑰長度更換為RSA2048位。此外，中華電信的ePKI系統在2010年9月開始改發行RSA2048位證書。

3.3 不斷加強技術、應用和服務等方面的創新

以時間戳服務為例，通過不斷創新，臺灣地區已經成功推出方便、高效的時間戳服務。由于時間戳服務中心建設及運維所需的費用較高，臺灣地區目前多使用的是集中式的時間戳服務。使用集中式時間戳服務時，在取得一個時間戳時，由于網絡傳送的延遲，可能至少需要3-5秒，這種延遲可能無法滿足一些實際應用的需求，例如醫生給病人建立電子病歷時會耗費更多時間。效率較低在一定程度上制約了時間戳服務的應用。為此，政府證書總管理中心（GRCA）、中華電信等機構投入了大量人力、物力研發設計一種輕量型及分散式的服務架構，使時間戳服務可以更加安全快捷并且價格合理。

又如，在政府領域數字證書應用上，通過技術和應用創新實現了各認證機構數字證書的互認互通。在認證機構的交互認證方面，“衛生署”的醫療證書管理中心（簡稱HCA）在2008年加入了GPKI，并由政府證書總管理中心（GRCA）簽發交互認證證書。

從技術上看，因為HCA使用Java卡，而GPKI各CA所使用的是Native卡，要在GPKI原有系統應用HCA卡時，需要使用另一套應用程序界面，于是，GPKI于2009年進行了證書應用程序的整合，使得應用系統可以應用不同機構簽發的證書。至此，政府領域各認證機構的數字證書都實現了互認互通。

3.4 充分發揮行業協會在應用推廣等方面的作用

臺灣地區的行業協會歷史較長，各種行業協會比較齊全，作用比較明顯。具有39年歷史的臺北市電腦商業同業公會堪稱是臺灣地區行業協會的典型代表，致力于整合產、學、研的力量，反映產業心聲及需求，并強化同類廠商的向心力及整合能力，建構上、中、下游產業體系，協助技術轉移業務，協助開發新產品、新技術。

臺北市電腦商業同業公會在推動電子認證服務應用方面做了大量卓有成效的工作，與各行業一會共同制定了電子認證行業應用標準規范，通過與電子認證機構合作，推動技術研發和應用模式創新。

此外，在推動電子認證應用方面，臺灣地區銀行公會早在前2011年就開始推動臺灣地區金融數字證書應用互認，讓金融客戶可憑單一憑證跨服務及跨行使用，在2013年年初開放各憑證機構競標最高憑證管理機構（Root CA；RCA），擔任發放金融互通憑證給各個憑證機構（User CA；UCA）的管理單位，RCA每年可向UCA征收固定的管理費用。臺灣網路認證公司取得RCA的角色。在臺灣銀行公會的推動下，臺灣地區銀行領域數字證書實現了全方位互認。

4 對我國電子認證服務發展的建議

4.1 完善電子認證相關法律法規和政策

充分借鑒臺灣地區經驗，加快電子認證相關法律、配套規章制度和政策的研究制定，創造良好的應用環境。首先，要完善與《電子簽名法》配套的法律法規建設，加速研究和制定可靠電子簽名、數據電文、電子簽章等方面的規章制度，為電子取證、司法鑒定和法律訴訟提供支持；其次，加快開展《電子簽名法》與其他法律、法規的銜接工作，特別是推動《電子簽名法》與《票據法》、《合同法》、《檔案法》等法律法規的銜接，對電子認證服務的應用給與充分的立法保障；最后，加強政策引導，制定促進行業發展的相關政策或指導意見，進一步規范、提高行業服務質量和水平。

4.2 進一步加大電子認證服務推廣應用力度

借鑒臺灣地區經驗，我們也應進一步加強對電子認證行業的推動，拓寬電子認證應用領域和范圍。當前，我國電子認證服務市場仍以電子政務為主，在電子商務等重點領域應用較少；證書種類比較單一，主要為企業、自然人證書，還基本沒有發放服務器、代碼簽名等證書；業務范圍僅限于網絡身份認證，很多機構仍將證書發放作為主要贏利點，還沒有開展電子簽名應用。

隨著網絡空間安全威脅日益加大，國家對信息安全的重視程度逐步提高，廣大網民的信息安全意識也得到大幅提升，網站可信認證、電子商務交易安全保障、智慧城市信息安全保障、國產服務器證書應用等將成為電子認證服務市場發展的重點。主管部門、行業聯盟以及認證機構都應加大電子簽名應用力度，加快構建網絡信任體系。

4.3 加強電子認證技術、應用和服務創新

目前，我國電子認證服務主要以身份認證為主，并且使用電子簽名工具成本較高，缺乏簡單易用的電子簽名產品，使得電子認證服務無法滿足信息化深度應用的安全需求，阻礙了電子認證服務的進一步推廣。

應深入研究各行業、領域對電子認證服務的應用需求，深入挖掘電子認證服務的潛在應用，加大研發投入，加強技術攻關和應用服務模式創新，努力攻克可靠電子簽名、可信數據電文、數字證書的交叉認證等技術難關，積極探索網站可信認證、安全電子郵件、代碼安全認證等新業務，大力拓展移動互聯網、云計算、物聯網等新興領域中的電子認證服務應用，滿足新技術新應用的安全需求，擴大應用市場，推進行業應用。

4.4 充分發揮行業聯盟的作用

電子認證服務產業聯盟已經開展了證書策略管理、網站可信認證、可靠電子簽名及數據電文應用等一系列促進行業發展的工作，為電子認證行業發展做了了積極貢獻，但在維護市場環境、提升服務能力、加強服務模式創新、促進國際交流等方面的作用還沒有得到充分發揮，仍需進一步加強。

在經濟體制改革和政府職能轉變的大背景下，行業組織的重要性日益顯著，我們借鑒臺灣地區經驗，應進一步挖掘電子認證服務產業聯盟在主管部門、CA機構、互聯網企業等各主體間的樞紐作用，進一步發揮其在行業協調、自律、服務企業等方面的功能，按照民間性、自律性和市場性原則，為企業提供技術開發、經營管理、投資決策、技術培訓、法律服務、專利申報等全方位服務。

參考文獻

[1] 臺灣經濟部.2008臺灣PKI暨電子認證年鑒.2008年7月.

[2] 戴豪君.我國臺灣地區Internet法制推動現狀，網路VS法律.1999年2月.

[3] 林瑞珠.臺灣電子商務發展現狀與因應.研究所法學.2001年第4期.

作者簡介：

陳月華（1983-），女，博士，工信部賽迪智庫信息安全研究所工程師，主要從事信息安全領域戰略、規劃及產業、技術、標準等方面的研究。

閆曉麗（1977-），吉林大學民商法碩士，現任工信部賽迪智庫信息安全研究所副所長，主要從事信息安全戰略、規劃、政策方面的研究。endprint