一、相关法律法规
数字证书由电子认证服务机构(CA)颁发,为人员、机构、设备入网提供身份安全、访问控制、数据安全等是网络安全基础能力,广泛应用在公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域。《中华人民共和国密码法》?《商用密码管理条例》?《中华人民共和国电子签名法》《电子政务移动办公系统安全技术规范》等法律法规,均明确了电子认证服务机构提供服务的必要性。
《电子认证服务管理办法》第五条规定,电子认证服务机构应当具备下列条件:
(一)具有独立的企业法人资格。
(二)具有与提供电子认证服务相适应的人员。从事电子认证服务的专业技术人员、运营管理人员、安全管理人员和客户服务人员不少于三十名,并且应当符合相应岗位技能要求。
(三)注册资本不低于人民币三千万元。
(四)具有固定的经营场所和满足电子认证服务要求的物理环境。
(五)具有符合国家有关安全标准的技术和设备。
(六)具有国家密码管理机构同意使用密码的证明文件。
(七)法律、行政法规规定的其他条件。
《电子认证服务管理办法》第十七条规定,电子认证服务机构应当保证提供下列服务:
(一)制作、签发、管理电子签名认证证书。
(二)确认签发的电子签名认证证书的真实性。
(三)提供电子签名认证证书目录信息查询服务。
(四)提供电子签名认证证书状态信息查询服务。
二、以商用密码为中心的合规观点
2.1 《商用密码条例》与《电子签名法》衔接,确立电子认证商用密码管控要求
2023年7月生效的《商用密码条例》在《密码法》的基础上,对电子认证服务机构及电子政务电子认证服务机构应该遵循的要求分别作出了规定,具体对照内容如下:
? | 电子认证服务机构 | 电子政务电子认证服务机构 |
资质要求 | 依法取得国家密码管理部门同意使用密码的证明文件 | 依法取得电子政务电子认证服务机构资质 |
业务规范 | 应当按照法律、行政法规和电子认证服务密码使用技术规范、规则,使用密码提供电子认证服务,保证其电子认证服务密码使用持续符合要求。 | 应当按照法律、行政法规和电子政务电子认证服务技术规范、规则,在批准范围内提供电子政务电子认证服务,并定期向主要办事机构所在地省、自治区、直辖市密码管理部门报送服务实施情况。 |
技术关联 | 《信息安全技术电子政务移动办公系统安全技术规范》“终端基础环境安全通用配置应支持数字证书的安装和运行,采用的密码算法符合国家密码主管部门的规定;数字证书应存储在密码产品中,外置存储设备接口受限的移动终端可采用安全薄膜卡或虚拟硬件密码模块等方式。” | ? |
2.2 制度协同,明确电子认证合规必备性
《商用密码条例》规定,对于符合条件的商用密码产品应经过检测认证合格后方可销售、提供。对于列入“网络关键设备和网络安全专用产品目录”的商用密码产品以及使用网络关键设备和网络专用产品的商用密码服务,应该履行网络关键设备和网络专用产品的检测认证合规义务。《商用密码条例》规定,关键信息基础设施运营者如涉及在其所运营的关键信息基础设施上使用商用密码的情况,需承担商用密码应用安全性评估及检测认证的义务:
(1)安全性评估义务:应在关键信息基础设施投入运营前自行或者委托商用密码检测机构开展商用密码应用安全性评估;在投入运营后每年至少进行一次评估,评估情况按照国家有关规定报送国家密码管理部门或者关键信息基础设施所在地省、自治区、直辖市密码管理部门备案。
(2)检测认证合规义务:使用的商用密码产品、服务应当经检测认证合格;使用的密码算法、密码协议、密钥管理机制等商用密码技术应当通过国家密码管理部门审查鉴定。
此外,《网络安全法》第二十三条对上述合规义务做出了规定,《关于修改<中华人民共和国网络安全法>的决定(征求意见稿)》第一条明确了违反《网络安全法》第二十三条的法律责任。如《中华人民共和国网络安全法(修订征求意见稿)》最终生效,则对于提供未经检测认证的网络关键设备和网络专用产品的网络产品提供者而言,应核查自身业务是否涉及《网络关键设备和网络安全专用产品目录》,并对需要落实商用密码检测认证的业务进行合规性整改,使用商用密码保护网络安全,并根据监管要求接入具备资质的电子认证服务机构。