电子商务法律法规：《电子认证服务密码管理办法》解读

1.制定目的

为贯彻实施《电子签名法》，正确履行《电子签名法》赋予的密码管理职责，方便电子认证服务提供者申请同意使用密码的证明文件，规范电子认证服务提供者使用密码行为，特制定《电子认证服务密码管理办法》，对相关事项作出明确规定。

2.主要内容

《电子认证服务密码管理办法》共二十一条，主要规定了面向社会公众提供电子认证服务应使用商用密码，明确了电子认证服务提供者申请“国家密码管理机构同意使用密码的证明文件”的条件和程序，同时也对电子认证服务系统的运行和技术改造等进行了规定。

（1）使用商用密码

《商用密码管理条例》第二条规定，商用密码是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品。也就是说，对不涉及国家秘密内容的信息进行加密保护或者安全认证应当使用商用密码。电子认证服务提供者提供电子认证服务，其核心是采用密码技术。根据《电子签名法》，电子认证服务提供者面向社会公众提供服务，不涉及国家秘密信息，因此，《电子认证服务密码管理办法》规定提供电子认证服务使用商用密码。

（2）颁发密码许可证

《电子签名法》规定，提供电子认证服务，应事先取得“国家密码管理机构同意使用密码的证明文件”。

《电子认证服务密码管理办法》规定，“国家密码管理机构同意使用密码的证明文件”的具体形式为电子认证服务使用密码许可证。同意电子认证服务提供者使用密码的，国家密码管理局发给电子认证服务使用密码许可证。

（3）使用密码许可证的申请条件

申请电子认证服务使用密码许可证应具备六个条件：一是电子认证服务系统符合《基于SM2密码算法的证书认证系统密码及其相关安全技术规范》等标准规范要求；二是电子认证服务系统由具有商用密码产品生产资质的单位承建；三是电子认证服务系统采用的商用密码产品是国家密码管理局认可的产品；四是电子认证服务系统物理环境符合电磁屏蔽、消防安全有关要求；五是电子认证服务系统采用的信息安全产品是国家有关部门或机构认定的产品；六是电子认证服务系统通过国家密码管理局安全性审查和互联互通测试。

（4）使用密码许可证的申请程序

电子认证服务提供者应在其电子认证服务系统建设完成后，向所在地的省（市、区）密码管理机构提出使用密码的申请。

省（市、区）密码管理机构受理申请后将全部申请材料报国家密码管理局，由国家密码管理局做出是否许可的决定，并将结果及时告知申请人。

（5）申请使用密码许可证，需提交的材料

申请电子认证服务使用密码许可证应提交下列材料：①电子认证服务使用密码许可证申请表；②企业营业执照或者企业名称预先核准通知书的复印件；③电子认证服务系统安全性审查相关技术材料，包括建设工作总结报告、技术工作总结报告、安全性设计报告、安全管理策略和规范报告、用户手册和测试说明；④电子认证服务系统互联互通测试相关技术材料（包括互联互通CA证书申请数据文件、CA系统结构、签发的数字证书种类及格式、发布子系统结构及证书发布策略、CA系统所使用算法清单等）；⑤电子认证服务系统物理环境符合电磁屏蔽、消防安全有关要求的证明文件；⑥电子认证服务系统使用的信息安全产品符合有关法律规定的证明文件。

【思考】《电子认证服务密码管理办法》要求电子认证服务系统的建设和运行要符合哪些规范？

国家密码管理局根据国家密码管理政策法规和密码安全的技术要求组织制定的针对证书认证系统建设和运行的密码技术规范，经实践证明是科学可行的。遵循《基于SM2密码算法的证书认证系统密码及其相关安全技术规范》，有利于电子认证服务系统建设的科学化和规范化，有利于保障电子认证服务系统的安全运行，有利于实现电子认证服务系统的互相认证。《基于SM2密码算法的证书认证系统密码及其相关安全技术规范》也是对电子认证服务系统进行安全性审查的主要依据。

以案说法(www.xing528.com)

案例：甲工具制造有限公司诉乙电子商务有限公司违约案

【基本案情】

2003年7月19日，甲工具制造有限公司（以下简称甲公司）与乙电子商务有限公司（以下简称乙公司）签订电子商务服务合同1份，约定：乙公司为甲公司安装其拥有自主版权的IteMS 20001.0版国际贸易电子商务系统软件1套，在安装后1年之内最少为甲公司提供5个有效国际商务渠道。乙公司对甲公司利用其软件与商情获得的成交业务，按不同情形收取费用，最高不超过50万元。如果在1年之内，乙公司未能完成提供有效国际商务渠道的义务，则无条件退还甲公司首期付款5万元并支付违约金。合同签订后，乙公司在甲公司处安装了软件平台，并代甲公司操作该系统。2004年10月，甲公司以乙公司违约，未能提供有效国际商务渠道为由起诉至法院，要求解除合同，返还已付款项并支付违约金。乙公司在举证期限内提供了海外客户对甲公司产品询盘的4份电子邮件（打印文件），以此证明乙公司为甲公司建立的交易平台已取得业务进展，至于最终没有能够成交，是由于甲公司提供给外商的样品不符合要求。

一审法院认为，电子邮件的资料为只读文件，除网络服务提供商外，一般外人很难更改，遂认定了电子邮件证据的效力。甲公司不服判决并上诉。

二审法院认为，乙公司提供的电子邮件只是打印件，对乙公司将该电子邮件从计算机上提取的过程是否客观和真实无法确认，而乙公司又拒绝当庭用储存该电子邮件的计算机通过互联网现场演示，故否认了4份电子邮件的证据效力，并要求乙公司解除合同并支付违约金。

本案的争议焦点在于乙公司在合同约定的1年内是否为甲公司提供了有效国际商务渠道，甲公司与乙公司签订服务合同，合同规定乙公司为甲公司安装电子商务软件并在一年内为甲公司提供有效的国际商务渠道。甲公司就乙公司未能提供有效的国际商务渠道向法院提起诉讼，乙公司在举证期限内提供了海外客户对甲公司产品询盘的4份电子邮件（打印文件），以此证明乙公司为甲公司提供的国际商务渠道。法院的判决的主要依据是这四份电子邮件能否作为真实有效的电子证据，实际上就是认证这4份电子邮件是否能作为有效的法律证据。

【法官说法】

二审法院判断乙公司败诉是正确的。

电子证据是指储存在计算机及网络中的以电子、数字、磁、光学、电磁等形式来证明案件真实情况的信息资料，它包括电子数据、电子记录和电子记录的系统。电子证据具有高科技性、无形性、双重性、多媒体、隐蔽性的特点。

在分析电子证据认证规则中，首先必须对证据取证程序进行审查，需要审查电子证据资料的来源，包括时间、地点、制造过程等；审查电子证据的收集是否合法；审查电子证据与事实的联系；审查电子证据的内容是否真实，有无伪造、篡改情形；结合其他证据进行判断。

但被告（乙公司）只将邮件打印出来作为证据提交，其可信度较低。如果乙公司在应诉时能够通过公证机关取证，并制作出公证文书，或者申请法院进行证据保全，或是到互联网中心进行电子证据的原件下载，这样会大大有利于法官对电子邮件真实性审查。其次，在对电子证据合法性认定方面，除了其他法律明确规定的非法证据排除规则外，还应当注意，对于通过非法软件以及非核证软件所获取的电子证据应不予采纳。最后，应当强调的是对电子证据的审查认证在技术上具有复杂性，法官根据所掌握的知识很难做出正确判断，因此必须借助计算机专家对电子证据是否被修改、收集手段否正确以及电子证据的合法性提出权威意见，从而为法官全面审查证据提供有力帮助和科学依据。

本案例中，由于被告（乙公司）没有提供电子邮件证据真实性的可靠证明，又拒绝互联网中心的现场演示，故电子邮件不能作为具有法律效力的电子证据。

守护网络安全，从认识电子认证服务开始

2015年7月1日，新国家安全法施行，规定每年4月15日为全民国家安全教育日，并对我国政治安全、信息安全等11个领域的国家安全任务进行了明确。网络信息安全在国家安全中占据重要位置，全民国家安全教育日能统筹发展和安全，筑牢维护国家安全的密码防线。

依据《中华人民共和国密码法》，我国对密码实行分类管理，分为核心密码、普通密码和商用密码。其中商用密码是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品。一般用于行政机构、企业内部及公民个人的敏感数据信息传输加密、存储加密，例如政府各部门间政务数据传递共享、银行内部信息化安全管理、普通百姓网上安全支付。能够有效规避安全风险，保护网络信息安全。

电子认证服务以国产密码为基础，主要帮助用户建立互联网的信任环境，确保网上身份真实可靠，以及数据信息在产生和交互过程中的完整、保密及法律效力。例如，网上签合同，首先确认各方签署者真实身份，其次确认合同完整未被篡改，最后确保签署行为符合法律。除了电子合同，电子认证服务通常还以数字证书、电子签名、电子印章、电子证明、电子证照、电子病历、证据保全等体现。在《电子签名法》的有力保障下，运用电子认证服务，能够有效提升网络信息系统的安全防护能力。

大学生需警醒：“电商刷单引流”是违法犯罪行为

电子认证的概念、分类和作用；电子证据的法律效力；电子认证机构的设立条件及认证机构的职责；电子认证机构的特点和管理；电子认证机构的法律责任；电子签名人和电子签名依赖方的法律责任和义务；电子认证机构和电子签名人、电子签名依赖方的法律关系。