根据《国民经济和社会发展第十二个五年规划纲要》和《2006-2020年国家信息化发展战略》的精神,按照《“十二五”工业转型升级规划》和《国民经济和社会发展信息化“十二五”规划》的总体部署,制定《电子认证服务业“十二五”发展规划》。本规划侧重指导第三方电子签名认证服务,是推进行业发展、开展行业管理、组织实施重大工程的依据。
一、“十一五”回顾
(一)《电子签名法》配套政策法规逐步完善
《电子签名法》为电子认证服务奠定法律基础。2005年4月1日实施的《电子签名法》确立了电子签名的法律效力。《电子签名法》关于数据电文的书面形式效力、原件效力、证据效力以及数据电文的存档与收发时间、收发地点的规定和由依法设立的电子认证服务机构提供电子签名第三方认证的要求,为电子签名的应用以及相关认证服务奠定了坚实的法律基础。
《电子签名法》配套政策法规逐步完善。依据《电子签名法》,工业和信息化部制定并发布了《电子认证服务管理办法》,对电子认证服务机构的设立、许可、服务、暂停和终止、法律责任以及监督管理作出了规定。相关部门从电子认证服务机构的密码使用及管理要求、电子政务领域的认证服务应用、电子商务领域的认证服务应用等方面制定了《电子认证服务密码管理办法》、《电子政务电子认证服务管理办法》、《电子支付指引》、《电子银行业务管理办法》等相关政策文件。部分省市还出台了规范本地区电子认证服务市场,推进电子认证应用的规范性文件。
(二)电子认证服务市场规模不断扩大
“十一五”时期,电子认证软、硬件和服务市场规模增长明显。数字证书认证系统建设、硬件介质数字证书发放、电子认证相关应用系统集成及服务等领域得到快速发展。截至2010年底,电子认证服务业市场总规模超过20亿元,“十一五”期间年平均增长速度约为38%,2010年的增长率接近100%。
作为电子认证服务业的主体,电子认证服务机构得到长足发展。截至2010年底,获得工业和信息化部许可的电子认证服务机构共30家,分布在全国21个省、直辖市、自治区,总资产规模达到20.1亿元,销售收入达到13.2亿元,有效数字证书总量达到1530万张,其中机构证书、个人证书、设备证书分别约为730万张、790万张、1万张。
(三)电子认证应用范围日益广泛
电子认证在公共服务、电子商务等领域应用不断扩大。电子认证在网上报税、报关、工商年检、社保缴纳、公积金管理等公共服务领域获得广泛应用。在网上招投标、在线支付、在线合同等电子商务领域应用迅速增长,并逐步向知识产权保护、物流和供应链管理等领域扩展。
跨地区的电子认证应用稳步推进。2009年粤港两地电子签名证书互认应用试点工作正式启动,“基于粤港电子签名证书互认环境下的跨境电子报关支撑平台”试点项目的实施效果逐步显现。2010年,江苏、浙江、安徽、上海三省一市电子认证服务机构联合建设了“长三角数字证书应用互联互通平台”,在电子认证应用层面推进认证资源共建共享取得突破。
(四)电子认证技术稳步发展
电子认证基础技术日趋成熟。基于国产椭圆曲线公钥密码算法的数字证书认证系统研发成功,国产数字证书认证系统技术水平大大提高,数字证书介质不断丰富和完善。
电子认证应用技术快速发展。电子签章系统、电子签名服务器、身份认证网关和时间戳服务系统等一系列电子签名与应用类产品进入市场,为电子认证应用提供了基本保障。可信电子凭证、可信电子记录和可信电子合同等应用技术研究取得阶段性成果。
(五)电子认证标准规范体系初步形成
证书管理、时间戳、密码协议、系统检测等技术类标准基本完善。已制定数字证书格式、在线证书状态协议、公钥基础设施组件最小互作规范、证书策略与认证业务声明框架等22项技术类标准。
公钥基础设施系统互作性评估准则等相关的应用支撑类标准开始研究。《电子认证系统证书分级规范》、《电子签名验证通用指南》等6项电子认证应用支撑类标准起草工作基本完成,形成了征求意见稿。
电子认证服务机构运营管理、岗位设置、业务规则等管理规范框架基本形成。已制定《电子认证服务机构运营管理规范》、《电子认证服务机构服务规范》(试行)、《电子认证服务机构从业人员岗位技能规范》(试行)等7项电子认证服务管理类规范。
我们也要看到,电子认证服务业目前仍然处于发展的初级阶段,应用市场有待进一步培育,发展环境有待进一步完善,发展规律有待进一步探索。跨行业、跨地区电子认证服务存在阻力,信息化监管手段亟待建立,身份认证与签名应用有待规范,服务模式单一、能力不足,行业结构仍不够合理,人才队伍建设有待加强,宣传培训力度不够等等。
二、“十二五”面临形势
(一)电子认证服务作用更加凸显
构建可信网络空间的需求日益迫切。身份盗用、交易诈骗、网络钓鱼等各种安全事件频发,与蓬勃发展的网络应用矛盾日益突出。据统计,我国有近1.28亿互联网用户遭遇过上述安全事件影响,初步估计损失超过150亿元,严重打击网络用户的信心,阻碍网络应用的快速发展。构建可信网络空间的呼声越来越高,需求越来越迫切。电子认证服务通过保障网络身份真实、网络行为可溯和数据电文可,为维护权益、追究责任、履行义务提供法律保障和技术支持,是构建可信网络空间不可或缺的重要手段。随着网络应用的普及与快速发展,电子认证服务对构建可信网络空间的地位和作用更加凸显。
(一) 电子认证服务发展空间日益广阔
截至2010年底,我国有2.78亿个IP地址,866万个域名,191万个网站,网民数量已突破4.5亿,网络购物用户数量1.61亿,电子商务交易额4.5万亿元。据预测,“十二五”期间,网络应用在国民经济和社会各领域将进一步普及深化,到2015年,电子商务年交易额将突破18万亿元,电子认证服务市场潜力巨大。
社保、医疗、保险等诸多公共服务领域将逐步深化电子认证的应用,电子病历、电子保单等更多业务将得到广泛开展。随着社会对电子认证服务的认可程度进一步提高,网络购物用户数量将迅速增长,网上交易活动开展更为频繁,在线招投标、电子合同签署与电子订购等业务将蓬勃发展。
移动互联网的发展使得传统电子商务逐步向移动电子商务转变,手机支付的应用使得商务交易更加便捷,身份认证、授权管理和责任认定必将发挥更加重要的作用。云计算等新模式的产生使得云端数据的安全存储、访问授权、隐私保护问题逐渐凸显,为电子认证服务提供了更广阔的发展空间。物联网、三网融合等新技术新业务的出现势必为电子认证服务的应用和发展带来新的机遇。
(二) 电子认证服务资源亟待整合
数字证书互认与认证资源整合的需求迫切。跨地区、跨行业的网络应用需求旺盛,迫切需要实现数字证书互认。电子认证服务多样性的需求渐趋突出,市场竞争激烈程度日益提高,实施淘汰落后的退出机制条件逐渐成熟,对电子认证服务机构综合服务能力的要求越来越高,迫切需要采用多种形式整合认证资源,实现优势互补。
(三) 电子认证服务亟待创新与突破
服务方式亟待拓展,服务质量亟待提高,服务能力亟待加强。移动互联网、物联网、云计算等新的应用领域和应用场景不断涌现,对电子认证服务的需求日趋多样化、个性化,迫切需要以用户为中心,围绕用户需求,加强技术研发,创新服务模式,提高服务质量,改善用户体验,提升服务的便捷性和产品的易用性,保护用户隐私,在现有服务基础上,进一步开展电子签名和数据电文可性认证服务。
“十二五”时期是电子认证服务业发展的关键时期,要勇抓机遇,大胆创新,充分发挥促进经济和社会发展方式转变的基础性支撑作用。
一、指导思想与发展目标
(一) 指导思想
以《电子签名法》为依据,以推进国家网络信任体系建设和规范网络空间秩序为目的,以加速网络身份认证服务体系建设为重点,坚持统筹全局、规范发展,政府引导、市场运作,应用牵引、服务创新的原则,鼓励和引导第三方电子认证服务,推广可电子签名应用,为促进经济和社会发展方式的转变提供支撑。
——统筹全局、规范发展。综合运用技术、行政、法律等手段,统筹政产学研用各方力量,加强部门协调与沟通,优化行业结构与布局,整合资源,营造环境,贯彻落实电子认证服务相关法规与标准,加强监督管理,规范电子认证服务,推动电子认证服务业健康发展。
——政府引导、市场运作。率先在公共服务领域应用第三方电子认证服务和可电子签名,发挥政府部门带头作用。制定鼓励产业发展政策,大力发展电子认证服务在电子商务领域的应用。注重发挥市场机制的作用,提升企业服务能力和服务水平,形成满足需求、合理有序、公平竞争的电子认证服务业。
——应用牵引、服务创新。紧紧围绕公共服务、电子商务等领域对电子认证服务的需要,创新服务模式,健全服务体系,丰富服务内容,发展便捷、安全、可扩展、个性化的电子认证服务,不断满足市场需求,实现电子认证服务业可持续发展。
(二) 发展目标
到“十二五”末期,形成覆盖全国的网络身份认证服务体系,基本形成可电子签名认证体系,并在数据电文可性认证服务模式探索方面取得积极进展,电子认证服务市场规模突破80亿元。
——形成覆盖全国的网络身份认证服务体系
形成完善的网络身份证书策略,规范身份认证服务,满足多样化网络身份认证服务需求。依托合法电子认证服务机构,网络身份认证服务覆盖全国,网点覆盖所有省份、延伸到中东部地区80%的城镇和西部地区60%的城市,有效数字证书数量超过1亿张,网络身份认证服务在国家网络信任体系中的基础作用明显加强。
——基本形成可电子签名认证体系
可电子签名相关政策法规基本完善,可电子签名标准体系初步建立,建成技术精湛、职责清晰、配置合理的专业检测队伍,具备产品和系统的检测能力,基本形成可电子签名认证体系,满足社会对可电子签名的应用需求。
——初步建立数据电文可性认证服务模式
形成符合法律要求的数据电文检测和认定标准,在电子合同、电子凭证、电子记录等典型应用取得突破性进展,初步形成数据电文生成、传递、接收、保存、提取、鉴定等可性认证相关服务模式。
二、重点任务
(一) 健全政策法规,完善电子认证服务发展环境
完善政策法规,规范行业运营环境。根据信息化发展对身份认证、授权管理、责任认定等方面的需求,完善网络身份认证管理政策。研究制定电子签名和数据电文可性认定规则,为电子取证、司法鉴定和法律诉讼提供支持。进一步贯彻落实《电子签名法》,推动《电子签名法》与《票据法》、《合同法》、《档案法》等法律法规的衔接。促进电子认证服务在电子商务纠纷解决中的具体应用。鼓励采用依法设立的电子认证服务机构提供的服务,加大执法力度,促进第三方电子认证服务行业发展。
(二) 规范认证服务,突破重点领域电子认证服务瓶颈
根据数字证书标识对象不同和安全保障等级不同,针对个人、机构、设备、软件代码等分类分级制定证书策略,规范电子认证服务行为,为证书互认奠定基础。重点针对金融领域网站钓鱼、身份假冒和信息窃取等用户重大关切,培育并指导境内骨干认证服务企业,增强能力,取得网络服务器、移动智能终端、可信软件认证服务上的突破,占据网络设备等认证服务市场的主导地位。
(三) 拓展应用市场,发展壮大电子认证服务业
扩大证书服务市场,丰富认证服务内容,提高企业服务能力。巩固机构证书服务市场,大力发展个人证书服务市场,重点推进个人证书在电子商务领域、公共服务领域的使用。发展电子凭证、电子合同等数据电文可性认证服务市场。鼓励电子签名技术创新、产品开发和应用推广,推动形成电子签名应用中间件开发和经签名电子数据的证据保全、提取、举证等全流程服务。鼓励企业发挥资本和技术优势,通过联合、并购、重组等方式整合资源,提高服务质量,扩大服务规模,降低服务成本,提高市场开拓能力,打造龙头企业。
(四) 开展试点示范,推动电子认证服务创新发展
建设网络身份验证门户,选择招标投标、政府采购、跨境电子商务等典型应用,提供接口开放、标准统一、服务规范、安全可信的网络身份验证服务,开展数字证书交叉认证及应用试点。选择有影响力的电子商务交易平台,按《电子签名法》对可电子签名和数据电文的相关要求开展试点,探索形成可电子签名和数据电文的技术和应用规范。探索建立证书互认长效机制,推动全国范围内的电子认证跨区域互认。继续支持长三角地区的电子认证服务联盟试点,推进医院信息化、居民健康卡等领域的跨地区证书互认。总结粤港电子签名证书互认试点经验,探索建立跨境证书互认模式和机制。针对移动互联网、物联网应用的安全需要,选择用户基础好的移动电子商务和物联网相关领域,开展移动互联网、物联网领域认证服务试点示范。
(五) 完善标准规范,加强电子签名技术检测与认证服务监督
健全电子认证标准规范体系。加快完善电子认证服务机构从业人员、业务连续性、风险保障、运营管理等有关管理类规范。组织制定《可电子签名指南》,明确对不同格式数据电文进行签名的程序、流程和认定标准。加快制定数字证书分级分类管理、互作规范等应用支撑类标准。研究制定电子签名设备、系统检测等技术类标准,推动制定电子签名行业应用标准。培育和发展专业化机构,对含可电子签名模块相关系统和产品进行检测,对认证服务过程和质量进行监督。
(六) 开展合作交流,促进电子签名与认证跨境互认
加强电子签名与认证交流和合作。建立核准境外数字证书法律效力的机制,推动数字证书的跨境互认。总结粤港电子签名证书互认的合作模式和试点经验,积极推进海峡两岸经济合作框架协议(ECFA)下的电子签名互认,积极参与亚太经合组织(APEC)、上海合作组织、中澳自由贸易区、中日韩自由贸易区框架下的电子签名互认谈判。积极参与国际间电子签名与认证交流。
三、重大工程
(一) 数字证书交叉认证及应用试点工程
开发数字证书应用接口标准、证书类别和安全等级验证系统、平台综合管理系统等,建立数字证书交叉认证平台,为应用系统提供统一验证接口,为公众开放数字证书查询窗口,为实现各电子认证服务机构的证书在不同应用系统中使用奠定基础。建立境外证书验证系统、出境证书备份系统,响应境内外信赖方的数字证书验证请求,支持数字证书的跨境互认和应用。选择有证书交叉认证应用需求的领域或区域开展应用试点。
(二) 可电子签名与数据电文应用试点工程
为切实保障交易主体身份真实性、交易行为不可抵赖性和交易资金安全性,实施可电子签名与数据电文应用试点工程。建立可电子签名和数据电文服务平台。开发可电子签名和数据电文检测工具,搭建电子签名和数据电文可性认证服务平台,与有条件的电子商务网站对接,以电子合同应用为重点,围绕数据电文生成、传递、接收、保存、提取、鉴定等可性认证各环节开展试点,满足电子商务对可电子签名和数据电文的应用需求。
四、保障措施
(一) 改进行政管理模式
依据《电子签名法》和《电子认证服务管理办法》,指导地方工业和信息化主管部门建立规范电子认证服务、推进电子认证应用的工作机制。建设行业监管信息化平台,发挥专业化检测机构作用,提升监管水平。成立电子认证服务专家组,建立电子认证服务行业重大问题的决策咨询机制。成立行业组织,加强交流,推动行业自律,推广应用,促进行业发展。
(二) 加大资金保障力度
将有关《电子签名法》贯彻落实所需的行政资金纳入本级政府财政预算予以保障。争取国家高新技术产业化资金、国家科技成果转化资金以及电子信息产业发展基金、中小企业发展专项资金等对电子认证服务业的支持。鼓励风险投资、民营资本进入电子商务领域电子认证服务。鼓励和支持技术实力雄厚、产品应用前景好、服务和风险保障能力强的电子认证服务企业上市。
(三) 加快专业人才培养
编写电子认证专业教材,引导有条件的高等院校开设电子认证专业课程。加强岗位职业培训,开展《电子签名法》等相关政策和专业知识技能培训。明确关键岗位人员职业技能要求,提高电子认证服务机构专业技术和复合型人才比例。
(四) 营造良好社会氛围
加强电子认证服务的推广和宣传力度。利用广播、电视、网络、报纸等各类媒体,采取研讨会、论坛、讲座等多种形式宣传《电子签名法》等相关政策法规,进一步普及电子认证相关知识,提高公众利用可电子签名保障权益的意识和能力。开展电子签名应用典型案例调查,编辑电子签名优秀应用案例集,大力推广普及电子签名应用。
附件:
术 语 说 明
1.电子认证服务:为电子签名的真实性和可性提供证明的活动,包括签名人身份的真实性认证,电子签名过程的可性认证和数据电文的完整性认证三个部分,涉及数据电文的生成、传递、接收、保存、提取、鉴定各环节,涵盖电子认证专有设备提供、基础设施运营、技术产品研发、系统检测评估、专业队伍建设等各方面,是综合性高技术服务。
2.电子认证服务机构(CA):作为第三方向社会公众提供电子签名人身份真实性、电子签名可性证明的服务机构。
3.电子签名:是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。
4.可电子签名:根据《电子签名法》规定可电子签名必须满足四个条件:(1)电子签名制作数据用于电子签名时,属于电子签名人专有;(2)签署时电子签名制作数据仅由电子签名人控制;(3)签署后对电子签名的任何改动能够被发现;(4)签署后对数据电文内容和形式的任何改动能够被发现。
5.证书策略:是一组安全规则,描述了数字证书签发和管理过程中物理安全、网络安全、审计评估、赔偿和责任等方面的规范性要求,为应用方选择证书提供可参考的标准。
6.认证业务规则:电子认证服务机构声明的为满足证书策略中所列各项规范性要求所采取的具体措施。
7.公钥基础设施(PKI):是集机构、系统(硬件和软件)、人员、程序、策略和协议为一体,利用公钥概念和技术来实施和提供安全服务的、具有普适性的安全基础设施。PKI系统是通过颁发与管理公钥证书的方式为终端用户提供服务的系统,包括电子认证服务机构、注册机构、资料库等基本逻辑部件和在线证书状态协议服务等可选服务部件以及所依赖的运行环境。
8.椭圆曲线公钥密码算法:基于椭圆曲线在有限域上离散对数求解困难而建立的非对称密码算法。