现场观众：大家好！我是陕西CA的。我想提一个很关注的事，陕西CA把国家总局对我们地方CA和当地国税进行合作发证的事进行了通报，我们陕西CA做完技术准备以后，准备上线的，但又叫停了。类似行业要建CA，要向下延伸，要对当地的企业进行发证工作，而且还说是免费发证。我想这个事情的处理会有什么结果，而且对我们来说需要做哪些工作？谢谢！

季金奎：道理虽然是很简单，要从法律规定来讲，行业建立CA这是法律允许的，问题在于凡是依照《电子签名法》设立的电子认证服务机构，它的法律地步是平等。凡是说某一个单位，某一个系统，某一个部门建立CA，然后由这个部门用行政手段给它作出行为规范、政策、文件、指令，严格来说都不符合法律要求。现在要做的事，一是文件对电子认证服务机构的规范是无效的。二是作为已经依法设立的电子服务机构要多做宣传、解释、说服工作。作为电子认证管理部门，信息产业部电子认证服务审批部门，我们会严格按照《电子签名法》的要求，按照11号文件的规定，免费发证的做法都是没有法律依据的。

王宏：我觉得还是要看看，看他们到底做到了什么程度。从第三方的角度来说，从法律的角度来说，这个企业登记就不存在了这种性质。据我们了解，现在涉及到这些网络信任体系建设方面的问题，各个部门都在协调这个事情，并进行研究。总的来说，听是一方面，关键还是看它如何做。比如说他要发，根据什么发，证书在哪儿，有没有发出去。另一方面，从CA自己本身来说，市场还比较宽，国税是一个方面，我感觉咱们的CA实际上是第三方认证服务，从《电子签名法》和11号文件的角度来说，政务这个东西还是少数人的行为，而不是大多数人的行为，即使是纳税来讲，也只是企业和个人，数量不大，比起商用来说数比较小。当然现在的CA都靠这个来生存。说明第三方的这个身份还不纯，还需要当地政府往税务、工商这边推。但从咱们的角度来说，还是要立足于为商务，为企业服务。我看发改委也正积极的建设电子商务的发展，支持的项目都是第三方服务平台，这里面有大量的应用，所以有很多市场。我感觉这是一个方面，在受重视也正在协调。另一方面还是要放开一点，这个市场还是比较大的。

这只是一个说法，必须要拿到许可证。如果没有发，大家有责任和义务去建立、维护这样一个公平的合法的秩序，大家可以举报。现在有一些部门，甚至有一些机构说我要干什么，我免费发放，但现在这只是说法，我想还是从实际情况来看，并没有去执行。像陕西这种情况我们也有了解，辛辛苦苦几年，把这个业务突然给终止了，我也表示理解，但我觉得还是要跟用户讲清楚，这只是一种说法，没有正式的形成文件。

季金奎：《电子签名法》第29条里面有明文的规定，法律上都是有规定的。

现场观众：这两天我们正在省信息办和海关在谈，海关就提出我们已经有了，要求陕西的报关体系要统一的认证。我们说陕西CA有资格来进行当地的CA发放，但现在正在谈，在这种情况下按照咱们的法律规定来讲也是不合适的，我们应该采取怎样的行为，更有利于我们在这个上面的主动？

季金奎：这个问题都是哪壶不开提哪壶。关于海关电子口岸建设，国务院专门开过几次会议，而且发过文件。据我知道，最近要以国办名义下发一个文件。前几天跟有关部门征求意见，大的意见就是电子口岸参建部门，就是说海关电子口岸认证有它的特殊性，这也是一个事实。电子口岸参建部门在维持其基本格局，基本职能不变的情况下，由本着自愿的原则，联合申请组建第三方认证机构，然后征求各个有关部门的意见，我们也提了意见。这个话的本身来源是去年11月21号国务院在宁波开的一个电子口岸会议，吴仪副总理讲了“三统一”的问题，我们认为统一认证有两种实现途径，一个是统一一个认证机构，第二是可以统一技术标准。这两种方式哪个实现可行性大一些呢？我们认为是统一各个标准可行性大一些，比较好操作。因为统一一个认证机构就是文件原来写的本身也有矛盾，要维持这样几个基本职能格局不变，还要联合共同申请，我就找不到申请的主体是谁。所以我们也提了意见。这个事等国务院最后文件下来以后再说。

范世涛：现在认证过程中有一个普遍的问题，就是对第三方认证概念的理解。什么是第三方认证？可能有的人会说我这不是第三方认证，有没有非第三方的认证。我个人认为不可能存在第三方认证，所谓认证一定是第三方进行的概念，如果你是交易的任何一方，或者你是行政执法方，你要对自己的行为做一个认证。就是说你既当裁判员，又当运动员，这种认证是不成立。认证的概念是非常严格的，是指国家的专门机关进行的。不仅是当事人不可能做认证，而且是非具有特定资质的人和机关也不能做认证，只有具备了特定资质的非当事人才能做所谓的认证。所以我个人认为，是不存在非第三方认证，所有认证一定是第三方来进行的。今天我们这个法院的人也在这里，如果我是一个执法者或者是交易一方，我既做认证又执法，一旦出现问题以后，企业要告，我要提起民事诉讼，这个时候认证机关提供的证据，法院会不会认，你既是被告，还要作为第三方提供证据，这个问题怎么办？非常现实的一个问题。所以我认为所有认证一定是第三方的，不存在非第三方的，而且这个第三方一定是依法认证的。我是学法律的，认证是非常严格的概念。

《电子签名法》是由人大法制办起草，组织专门专家写的，是现在国内最权威的。电子签名发展第三方认证，这跟数字认证是两个概念，数字签名就是需要第三方。采用数字签名的技术就必须由依法设立的电子认证机构提供服务，这在司法解释里面说的非常清楚。有不需要第三方认证的，比如说生物识别等等，但数字签名就是一个第三方，是一种技术上概念，而跟法律上我们常常说的你我他，他做第三方的概念还不一样。大家在宣传和实践过程中一定要特别注意，就是法律有非常明确的解释。以前大家也谈，我是第三方，而且还给自己做认证，我个人认为这是非常错误的概念。因为《电子签名法》有非常明确的解释，不是常用的第三方主体的概念。为了保证数字签名、数字证书的可靠性，它的法律地位，提供电子认证服务就必须有依法设立的机构，如果不是依法设立的机构发放的证书，我们第一要进行查处，不得扩展业务。第二要具有法律效力。我们可以研究一下第16条的司法解释。

现场观众：各位领导、各位来宾，大家下午好！我来自于深圳。今天非常荣幸能够来参加这个研讨会，《电子签名法》的实施对我们行业的发展有非常重大的意义，之前我们公司提供的个人税务报告主要是在专网上面实现，现在《电子签名法》的实施就为我们在互联网上提供个人报告查询服务创造了一个很好的环境。因为我们地处深圳，需要查询个人税务的人可能是来自全国各地的，银行会通过银联这个平台，我不一定到提款机上才可以提到钱，我也可以到别的银行提到钱。我能不能通过一个CA的认证平台，不管是北京发放的CA证书，或者是广东发放的CA证书，都使CA证书有一个通用性。将来是否会有这样的一个平台，就是类似于银联的这样一个平台？因为现在证书都是各个省的CA中心来提供自己省的CA证书，它这个流通的问题怎么解决。谢谢！

福建CA：这个平台应该是建立在CA平台上，我想各地信用体系建设完的话，你这个问题也可以解决。我觉得，大而一统的信用体系不会实现，一个信任体系大于另外一个信任体系的模式也不会出现。我觉得应该是一个信誉登记的问题，比如说现在有身份证，但你不能来开会，是因为你没有会议证，你有工作证，不代表你有结婚证。所以在一个领域的应用，用到一个领域的证书，到另外一个领域或者是其他必要的应用来说，用到更高级的证书，这是可能的，而且现在的应用这么多，所有的证书应用于不同的领域应该是各位其道。如果说像国税发了证书，如果这方面做成信誉体系的最底层。虽然我觉得大家应该用开放的眼光看待这个问题，包括大家都在信用体系中有发展的机会，我还是要说在目前的阶段，我们福建CA也是比较反对国税建这个体系。并且在目前这个形势下，因为我们CA刚刚开始发展的阶段，利用部门的一些特质使我们多走弯路，或者是造成了一些混淆，不利于产业的发展。所以我想，主管机关也好，行业领域也好或者是第三方的独立事业也好，用这两种方式去处理问题，一个是尽快拓展我们的应用领域。第二个是通过法律的手段促进一下行业的健康发展。

今天是《电子签名法》实施一周年，从去年四月份开始颁布以后，六月份福建省就经贸委、信息产业厅、纪要局和省政府办公厅展开了电子签名法的宣贯会二十多场，印发小册子五万多册，在省政府、各大机关和企业、各地区进行了二十多场。希望从今天开始我们加大宣贯会的活动，还要从各个级别来宣传。尽管我们有这么大的力度，但还受到了一个共产党员的控诉，类似这种投诉非常之多。现在我们福建省也碰到了这样一个问题，刚刚我们讲法律的问题，CFCA讲到前年媒体对电子认证领域有一些不利的报道，我们想行业的发展由于诚信讲到法律的问题，当然还没有出现付诸公堂。我们福建出现了这样几个事情，一个是法律问题，一个是媒体，还有一个是投诉问题。我们投诉不是向福建CA投诉，而是向省长、省委书记投诉，就使我们的工作受到了很大的影响。所以我认为《电子签名法》的宣贯会，可能在新的一年里，还需要与主管部门多多交流。这样才会对我们的行业促进很多。

上海CA：我想说两个问题。首先是关于市场开放的问题。我们总是担心部委、银行建CA，这是应用单位，而不是发展机构。如果海关联合五部委成立一个第三方机关，海关是不是制定这样的CA作为它的唯一服务机构，是不是一个市场歧视的原则，如果是海关的一个企业，完全有权利选择任何一个CA，或者是制定任何一个CA作为它的服务机构。如果海关申请成立一个合法机构的话，如果海关只选择这一家作为服务机构的话，是否符合公平原则、非歧视原则呢。它排斥我们其他机构，是不是合理呢，就算海关成立了一个，我们是不是就不能提供服务了呢。现在上海海关是用我们上海CA的服务。我们可以呼吁一下，应该对所有的CA开放市场，这种也不符合《电子签名法》的规定，也不符合中国市场经济的建设原则。还有一个问题，有些CA可能是因为成立的原因，成立的比较早，也没有办法查处。还有一些CA是政府部门，建立了发展机构，他说我发的是企业身份证，而不是叫CA，或者说是某某证件或者是执照，这个能不能查处也是一个问题。

嘉宾：刚才前一位女士提出，有没有类似于像银联这样有一个统一的平台。国家根据法律批准的或者是授权的目前这17家CA，他们都是有权利和义务为第三方做认证服务。是不是选择哪一家，这应该是市场行为。在咱们国家最近11号文件里面已经讲了，“提倡适度竞争”，就是看怎么能够服务的更好。有一个技术问题，就是CA中心的互联互通，是不是能构成一个好的平台，这个技术问题可以说解决了，也可以说没有很好的解决。把国家授权的CA能不能很好的在某些应用中做到互联互通，一个是技术问题，一个是业务问题，目前来看还没有很成功的案例。刚才也有CA讲了，工作证不等于结婚证，还是行业应用问题，所以不同应用层的业务规则，可能发放的都是证书，但审批规程不同，业务应用限制不同，可能就会受到一些影响。刚才这位女士提的问题，就目前来看，我们国家电子认证的发展不是不能解决，因为刚才解释《电子签名法》的时候已经讲了，实际上批准的这17家CA中心有的是有一定的行业影响，或者是在行业里面应用比较多。有的是在某一个地区有影响，在某一个地区应用的比较多。但法律赋予他们的责任是，国家授权让他们没有地域限制。谁服务的好，可能就会有更多的选择。

还有一点，银监会和人民银行从来都没有发过一个什么文件，或者是让我们金融机构只能用电子认证，在中国人民银行电子支付指引里面和银监会的电子银行管理办法里面都说的很清楚，如果采用电子认证要选择符合国家法律法规的第三方认证机构。我们跟大家一样，都是在这个市场中去竞争，争取更多的客户，来更好的使用我们的证书。让我们证书来满足客户的特殊应用。这一点想跟大家做一个说明。银监会、人民银行都是这样明文规定的，大家可以看有关的材料。

现场观众：我是西部CA的赵军。现在咱们国家或者是季主任这儿，对CA的交叉认证或者是以前发改委管的CA体系，下一步有没有一些政策上的引导？我们的产品在国内很多省市都发放，包括江苏省、陕西、甘肃，在新疆还建了一个LA，以后CA的经营在各省都会有，对下一步的竞争会带来一些影响。下一步按照我们的发展策略，会通过包含数字证书的认证产品来进入市场，这样会跟很多CA都有瓜葛，我们还是想跟大家共同发展，这样市场才会更有趣，而且本地方的CA证书应用会更好一些。想问一下，在这方面有没有一些指导意见。谢谢！

季金奎：眼前还有很多问题，西部CA当务之急就是身份要确立起来，你们还没有获得许可证书，交叉认证不是你们的当务之急。

现场观众：这也是历史问题。咱们30号文件也是中间的时候才发出来的。我们公司也正在准备递交申请，来解决这个问题。

现场观众：我是国投安信的代表。我想请问一下天威诚信的李总。对于异地企业，您刚才已经谈到了，包括在您做联想电子商务的活动当中，对于异地的企业如何鉴别它的身份，这种鉴别是否需要当地的工商部门出具一个合法的文件材料？谢谢！

刘洪礼：我们第一次做这种非见面认证的工作，到现在已经四年了，没有出现过问题。具体的方式其实说起来很复杂。而且这种东西在一定程度上，我们是愿意跟大家共享的，包括我们现在也参与一些国家标准的制定，我相信这些以后通过查国标就可以查到。

季金奎：天津CA介绍一下情况。

天津CA：天津CA确实干的比较早，也取得了一些成绩，但任何事都有两面性，因为证书发放量在地税系统就接近了五万，马上在国税也要展开合作，所以前途比较光明。

季金奎：我不关心证书发放多少，而是关心你的身份如何取得，碰到了什么困难，有什么体会？

天津CA：我们在管理办法出台之后，就申报了所有的材料，除了工商执照，因为股东的一些意见上的不统一，所以至今还没有办下来。其他方面，包括硬件、软件、人员、资金都全部到位了。这个事也请领导帮我们协调和督促一下。

季金奎：资金有没有到位？

天津CA：已经到位了。现在都愿意往里面投更多的钱，毕竟有收益，这里也是想请各位领导帮我们协调和督促一下，我们也想积极的更快的去获得许可证，加入这个队伍当中。我今天过来就比较汗颜，跟领导没法交代，看着以前比我们走的晚一点的同行，都走在了我们的前面，所以有一点不好意思。

现场观众：我是北京市信息化工作办公室的，非常荣幸参加今天的会议。谈一下我们实际工作中的体会，也有一些痛苦。在《电子签名法》实施的一年里，我们也想在电子政务方面加强数字证书的应用。我们在去年跟信息办和密码管理办公室、保密局三家出了一个政府实行办法。同时从技术手段我们又出台了两个地方标准，这是我们为了配合这个法所实施的工作。在这一年期间，我是非常关心实施的，也在思考。我想有三个方面可以跟在座同仁交换一下意见。第一，交叉认证确实是一个很大的问题，在实际工作中很多用户就问我，北京到底选谁，能不能选其他的，这个真不好说，如果从法规来讲谁都可以，但从主管部门来讲这个就乱了。在去年底出台了北京市公共服务网络与信息系统安全管理规定，其中关于CA有一条，政府部门或者公共服务单位要通过政府采购的形式确定一家单位，认可市场竞争行为，但我们不想选多家。

第二个是关于证据的问题。从实践中，归入不同的种类，证据效力会不一样。这也是一件事，如果真打起官司来，这个问题还是很复杂的。

第三个是技术问题，咱们的数据证书很大程度是依托于Office软件来体现认证的，国家现在大力推国产化，市场上Office的比较多，主流的是微软Office，我们还在大力的推广WPS、中文2000等等，《电子签名法》专门有一条，不因格式的变化而否认。我参与过北京市地标的公文，有这样的问题，因为格式的差异，虽然签章有效但会产生一些问题，前一段时间有搞电子印章的，就是下游的供应商在做这方面的研究，当时有一个例子，比如说审批单请领导批示，比如说十万元干什么，我可以把其中的一个零变成白色，可能就是一万了，在另外一个平台上面我就用黑色的，可能就是十万了。这不是数据证书、数据认证的问题，而是因为载体不完善。我们今年还搞了一个数据证书应用指南，与微软进行的协调，就是你有很多技术问题是有漏洞的，我们专门为这个事情，向微软提出了九大问题，他们目前已经提起北京总部来解决这个技术漏洞。我想说，17家取得这个资质很荣幸，也祝贺你们，但也一定要注意这个问题。显示格式既是小事，也是大事。

北京CA：交叉认证我觉得不是技术问题，技术上有多种解决方式，就是说技术上可以解决这个问题。交叉认证的问题来源于业务上，或者说我是不是需要给你认证，这是一个应用的选择。比如说北京市选择北京CA作为提供商的时候，这是业务选择，如果你还想选择其他CA作为技术互通的话，你还可以选择另外一家。这是应用选择，而不是技术上非得有一个主管单位来建立一个大而一统的体系，比如说是一个交叉认证体系，或者是一个桥的体系，一个根的体系。全国企业都可以在这个应用上面用的时候，各种CA就可以产生交叉认证，而我们现在不是这样，各种应用是单一的，各家的体系可以支撑这样一个情况下的话，实际上讨论交叉认证或者是桥、根还是早。我觉得这是一个应用的选择。

刚才说到技术上的软件问题，确实有这种技术软件不太完善。作为北京CA来说也做了很多，比如说微软的变颜色，这是一个技术问题，我们会在后期的技术更新中间去解决。如果你构建在内部系统里面，确实会存在这种可能性。作为一个正式的文档来说，你做合同签章是一个图形表现。但我对文本进行一个签名，加一个零改一个零在技术上绝对可以分辨的出来，就是说可以区分出来，而且经过验证的话也是可以验证出来的。

夏君丽：电子签证我是一个外行，今天参加这个会议非常高兴，也觉得收获非常大。我觉得证据的问题，首先根据民事诉讼法的规定，并没有明确电子的形式，在现实的司法实践中并没有否定电子作为证据的效力。能不能作为定案依据来说，还是要根据现实来看，看对案件本身所起的作用，以及跟它的关联性来考虑。在法庭当中，你所提交的证据，如果对方当时不能认可的话，法庭也是可以认定的。我是知识产权方面的一个法官，对专业性的东西今天不太想多谈。刚才天威诚信的一个专家也谈到了，将来有一个虚拟的法律诉讼的问题，他分析了两个合同双方当事人之间形成的法律关系。根据《电子签名法》的规定，法律责任规定了五种主体，需要关注的是27条，电子签名人未履行法律义务造成他人损失的责任。现在关注的一方是两个合同主体之间，互相发生了一些违约责任，这时候我们认证机构的作用更侧重于对证据的提供，就是说我怎么证明他们当中哪一方面对的或者是错的，以及承担什么责任。如果确实是因为电子服务机构本身的过错，在涉案当中你就不是一个证人，可能是作为一个被告。所以这个诉讼定位还是要看争议的实质到底是什么。

电子认证机构是通过一种技术和程式的保障给网络上的交易提供一种安全的信息。从主体来讲，按照《电子签名法》，是企业要申请工商登记，在市场交易行为当中应该是平等的，所以一旦发生了纠纷，在这里面你有一个法定义务，同时还有一个合同义务。所以在管理上、技术服务上不要产生什么遗漏。我们作为认证机构，还是要通过管理、技术的完善，保证自己不被涉及。在法律适用上我们缺乏经验，但我们也确实不希望有这种纠纷的发生。技术的发展给我们带来的利益是非常可观的，我们只是希望扬长避短。

季金奎：实际上《电子签名法》也好，还是《电子认证服务管理办法》，对法律责任这一章，我们也是采取了一个粗略的表述，基本上没有加进其他的具体化的内容。原因在于，电子签名涉及司法方面的内容，我们还没有实践，也没有案例可以援引。因此当初对赔偿责任或者是叫赔偿条款，最早管理办法起草的时候，是想试图在这部分形成的具体一点，但专家讨论的结果是没办法继续下去，都是从个人理解或者是假设的情况下，这样就不太牢靠。在电子服务机构实施审查过程当中，各家CA在各自的电子认证赔偿机制的描述上面，我只能提出来，一要根据本机构的实际情况，二作出不违反《电子签名法》和其他行政法规的一些承诺。所以没有一个具体的赔偿机制的条款。

第二个问题，有没有办法规避赔偿的问题呢？比如说跟保险机构联手，我们不少机构也做了一些努力。但现在也有一个问题，保险业对于因电子认证服务而导致的赔付问题，他们还没有险种，所以还是在实验探索过程中。

现场观众：我对电子签名是一个外行，刚才北京CA的老总回答说，现在来看交叉认证这个问题有一些早。对我们来说，交叉认证的需求非常非常迫切，我们向社会提供个人信用报告查询服务的时候，基本说都是通过专网来解决这个问题。因为我们无法通过互联网来确定查询报告的这个人就是当事人本人，但有了电子签名以后就可以有效地解决身份确认的问题。个人信用报告涉及到个人隐私，我们现在的做法是每查询一份个人信用报告都必须通过当事人自己签名授权，我们才能去采集它的信息，然后把采集到的信息加工到个人信用报告之后，才能提供给他本人或者经过他授权的第三方，比如说银行。现在我们公司每年通过专网提供给银行、汽车金融公司、担保机构、典当行这样的一些金融机构的信用报告，每年多达一百多万份，我们现在没有办法大规模在互联网开展业务，就是受到了身份确认的限制。电子签名如果能实现交叉认证的话，也就是说当查询信用报告的人有可能是北京人，有可能是广东人，也有可能是陕西人，通过这个交叉认证之后就可以知道是谁。我没有不需要跟17家都签订一个协议，可以跟一个类似于银联这样的机构来签定协议，这样就是一个很方便的服务。

我们互联网要解决网上支付问题的时候，如果没有银联，或者是没有一个统一的平台的话，就需要跟每一个银行都签订一份协议，这对我们来说太困难了。我相信将来会有更多的CA中心成为国家承认的合法机构，如果这样的话，我岂不是要跟50家、100家中心都要去谈一个核心。这对我们来说就非常非常不方便。我在这里也呼吁一下，也请大家都能够关注一下交叉认证的问题。像阿里巴巴、淘宝这样的电子商务网站同样也有一个非常大的需求。谢谢大家！

这是一个应用的问题。就是说你不需要跟所有的这17家去签协议，只要你认可这17家就可以，不需要交叉认证就可以解决这个问题。比如说我们这个会议室，进这个会议室的人需要什么证件，是由你来决定的，你可以考察这些人，选择其中的几家，或者是向社会公布，只要是取得许可证CA都可以进来。在你的应用系统里面只要做这样一个工作就可以完全解决问题，而不需要所谓像银联的那样一个机构来中转。实际上这个问题很好解决。你也可以到我们管理办公室来，让我们这17家给你出一个解决方案，解决你这个应用的问题。

现场观众：我是浙江CA的。今天组织这样一个活动，也有不少企业进行了经验。早晨季主任讲到了一些深程度的问题，包括11号文件的背景和实施的内容。我觉得电子签名和数字认证两者之间的关联以及他们的含义，需要我们更进一步的理清。11号文件背景和内容，这些观点和理解对我们从事这些工作的人来讲非常重要。下午讲了《电子签名法》实施以后，我们在实施过程当中今后所需要面临的，也是亟待要解决的这些法律问题。今天很多企业也提了很好的思路和想法。我想有一个建议，通过我们认证服务管理办公室，有没有可能针对司法取证专题，全国各地CA会面临一个共性的问题，能够比较深入的专题的来研讨。因为我们浙江CA目前为止会接近17万，也是涉及了各类的证书，在这个过程当中，我们也不想出现法律纠纷。所以在这个问题上面，我们也想尽快的进入和深入的了解，至少有一个预防。

第二个问题，电子认证服务管理办公室要对全国范围进行年检。这个工作我们也觉得非常有必要，面临这项任务我们会积极准备，并按照电子认证服务感觉办公室的要求去做。但我们做认证服务过程当中所困惑的一个问题是，就是我们这十几家所发出的证书，和没有拿到资质的单位也在发证件。作为企业有一个想尽快覆盖市场的过程，我们浙江面临着属于17家的范围，也有不属于17家的范围，这是不是属于规范的范畴？这方面的问题，我们也想提出来，请大家进行探讨。谢谢各位！

关于文件证书的问题，在《电子签名法》第三章第13条说的很清楚，关于可靠的电子签名与手写盖章具有同等法律效力。作为文件证书很难满足可靠电子签名的条件，也就是说，它发布这个证书，将来在公堂里的时候没有法律效力，因为它很难满足可靠电子签名的原则。《电子签名法》第27条，大家考虑了很多，包括怎样去赚钱，怎样去发证，《电子签名法》很明确规定了电子认证机构的法律责任，而且规定的非常重，造成损失的话还要赔偿责任。这个赔偿责任，可能导致你倾家荡产。第一个就是发的证书的法律效力，第二还要承担赔偿责任。如果不能很好的尽义务的时候就要承担相应的责任。我建议各个CA更重点地去讨论一下，我们应当承担的法律责任和义务。大家研究透了之后会吓出一身冷汗，我也是经常看这个问题，现在大家都想怎样去扩展业务，其实应该看看我应该承担的法律责任是什么，这一点非常重要。但大家研究清楚了我们应该承担什么责任的时候，还有谁敢低价的去发放呢，没有人敢，因为他知道要承担责任。

浙江CA：对我们来说，我们是很想规范地来做。电子认证管理办公室是不是应该查处一下，否则的话会引起一个不公平的竞争。

王宏：司法取证的问题，我觉得《电子签名法》里对于CA就是两个责任，第一你不能认证错了，第二你要保护好申请人的申请材料。我现在有一个困惑，CA有没有必要掌握你的证书在业务应用系统里怎么用，CA是不是掌握这种信息？我不太清楚。比如说这个证书在地税里面用，它怎么用，它的用户或者是税务机关怎么来签名用，这个信息咱们CA掌握不掌握，还是由他们来记录？如果这个问题要搞清楚的话，可能有些司法问题就不是CA的举证范围之内了，我也不是太清楚。比如说发了证书以后，我还要跟踪证书的使用吗，比如说他签一个证书，我都要去跟踪？

上海CA：只要我给你的证书是安全可靠的抵达了申请证书的人了，而且保证合法性就够了，至于你这个证书怎么用，用在什么地方，CA是没有办法干涉的。因为这些都是商业机密。存储的形式不同，跟证书的法律有效性和可靠性是没有必然的联系，只要我一张证书是经过严格的审查手续，经过了合法的审查方式来发放证书的，这就是可靠的。我们发放的证书种类，包括企业证书、个人证书，还有邮件证书，证书的表现和存储形式不同，只要严格了审查手续，保证这个是通过安全、私密的渠道发放给了申请人，并且告诉申请人妥善的保管了，这就是可靠的。

说的很对。但在司法实践中怎样证明，或是当事人可以抵赖，比如说被黑客窃取了。因为计算机不是我来控制，当事人会进行一些抵赖，就是说这个东西不是可靠的电子签名，因为签署的时候可能会存在什么问题。从理论来讲，只要满足这些条件，就是对的。但在司法实践中和现实工作中会有这样一个问题。所以在具体的使用过程中，根据信息安全的强度不同，我们可以当成一项约定。

季金奎：当事人也可以选择使用符合其约定的可靠的。

对，可以约定。但跟司法实践不一样，我取证的时候可以否认，这个东西都是相对的。

现场观众：大家好，我是华南理工大学电子商务学院的。我有一个类似的问题，现在已经有17家CA了，这些CA产生的技术和对各行业所做的解决方案都会有一些稍微的不同，互联互通的问题是必然的，作为信息产业部来讲也是需要很好引导的，我想不要重蹈四大运营商短信互通的问题。我所关注的是，作为信息产业部在这个问题上是怎么考虑的？我们知道有技术上的问题，也有非技术上的问题，实际上更多的是非技术上的问题。我不知道信息化推进司是怎么考虑的？谢谢！

季金奎：提出一个努力方向。现在还没有专门就您所说的互联互通作出什么规定。前面几位专家已经讲了，目前存在的问题，恐怕对交叉认证或者是互认、互联互通的理解上面还有一些差异。我们眼前证书的应用好像更多还是集中在单项应用上，还需要进一步的研讨，今天的研讨是初步的。而且还有很多是属于制度上、管理上的问题，不光是技术问题。技术问题解决起来并不是很难的。中央文件、国家文件都讲到要促进电信网，有线电视网，计算机网三网融合，我们也开过相关的研讨会，所有的专家，包括实践专家，都认为技术上解决三网融合没有问题，但是到今天三网融合了没有？仍然还没有。所以有些问题不单纯是技术问题，我想电子签名认证也存在这个问题。有些是缺乏实践，也是我们电子认证服务业下一步需要关注问题之一了。

王宏：从目前来看，单项认证非常多，比如说纳税，只是纳税人和纳税机关之间发生的，不会是纳税人之间互相认证，这种业务相当多。换句话说，还有一种情况，公司集团内部可能会有交叉，但一个公司集团一般就选一个CA，不会选三个CA来用，这也是一种情况。还有一种极致情况，可能我是一个大的跨国公司或者是跨地区的公司，我选择不同的CA，这有可能产生互相认证的关系。这就牵扯到员工之间认证，还是总部的单项认证，这是需要注重的事了。从咱们国家的角度来说，CA也在上面做了互通的事情，大家也参与了，技术上的问题是没有的。我们证书在应用过程中，交叉的量和我们应用的量到底是多少。当然还有CA之间的安全等级问题和差异问题。从CA审批过程中，国家密码局有一个密码系统规范，所有的CA都是照着这个去做的，所以从技术的角度来说没有问题。但安全规范的水平确实不一样，17家CA里面，有些安全做的水平比较好，有些水平稍微不是很严谨。从我们办公室的角度来说，正在积极制定这方面的管理规范，用统一的规范要求大家，按照安全的规范、运营制度来逐渐把大家统一到一个相对比较安全一致的水平上，也为将来交叉认证打下一个统一的基础。

范世涛：大家非常关心CA的法律责任。我个人理解CA法律责任有三种，第一种是法律风险，第二种是管理风险，第三种是技术风险。首先看技术风险的法律责任，本身数字签名的安全性，从这个角度来说，我个人理解这个风险相对比较小，目前像山东大学王教授这样的黑客毕竟是极少数的，就是说技术风险比较小。第二种，就是法律风险所引发的责任，我个人认为主要是两块。一块是跟客户和用户的协议，违反《电子签名法》，电子认证服务管理办法以及我们国家合同法的相关规定，就是说这些条款和相当的规定相抵触的，这个时候会有法律的风险。一种是未经依法许可而颁布的。除了技术风险和法律风险以外，我个人认为目前CA面临的主要责任还是管理责任，也是两个方面。第一是审核的时候出现的问题，身份的真实性出现问题，可能是R发的，它是你的代理机构，你们两个之间是一个连带责任。除了这个之外，我们CA机构内部的管理人员，利用它的管理上面的便利，从事一些违法行为，侵害了用户的合法权利，这是第二种管理风险。主要是这两种管理风险。CA法律上的风险，技术上的风险和管理上的风险，总体来看重要的是管理风险，这方面会后可以具体探讨，以减少产生的责任。

现场观众：我们在座有很多第三方，从我了解的国家政策来讲，第三方的前景非常广阔，政府也会大力支持。我们在近几年的国家相关政策，比如说05年的关于加快电子商务发展意见，以及从今年开始做的中国电子商务五年发展规划当中，我们把电子认证这个行业的发展着重点是放在第三方，而且其他一些部门也在做这方面的支持我们第三方的工作。比如说我们发改委从05年开始，有电子商务的专项，我想今天在座的17家里面今年好像有两家申请了这个项目，一个是山东，好像还有陕西。通过今天的申报，山东和陕西都会获取一些经验教训。为了07年，国家发改委电子商务专项这一块，如果你去申报的话，包括CA行业怎样获得国家的支持，可能这是一个方向性的东西。这个专项是属于申请的，就是必须去争取当地的发改委或者是经贸委的支持，让它帮你推荐到国家，让国家来支持你。《电子签名法》除了在法律上确保我们法律地位之后，第二就是国家的相关政策，包括科技部和发改委都会把支持第三方服务作为重点。

第二点意见，在座的CA里面有很多用户确确实实是依靠工商、税务这种所谓行政权利来获得我们的初始用户。这样的一个市场实际上是靠所有行政资源，从国家要支持第三方的角度来说的话这不是一个方向。也就是说，你在重庆，即使把重庆300万家都作为你的企业用户，它明年还是300万家，作为企业来讲就不是这样的发展方向。我自己认为，包括起草电子商务的五年规划里面，我们还是希望在座CA机构更多的把眼光放在市场上。因为你们发的这些证书的企业，一个方向是推广CA，另一方面让很多人对你产生了很多不好的印象。CA要真正的走向市场，中介是指什么，如果仅仅是发一个证书，不能对使用你证书的人起到一定的作用的话，你的作用就会打打折扣。所以我们希望CA更多的关注商用市场，在座很多企业也有上下游的关系，怎么切入这个市场，应该有一个安排。未来三到五年当中，我们觉得CA的主战场应该是真正的走向电子商务的应用，而不仅仅是依附在原来的资源上面。

季金奎：今天开了一整天的会议，今天这个会议也是我们电子认证服务业从《电子签名法》实施以来，最大的一次会议，到的人员很全，而且截止到下午。上午有关领导讲话，专家发言，下午还有研讨，而且十几家CA机构向社会发起了诚信服务倡议书，我觉得这些内容通过我们的媒体会通过各种渠道向社会传播、介绍，会起到很好的作用。今天这个会，与《电子签名法》去年实施之前变化很大。在大家的发言和交流当中，感到对《电子签名法》，电子认证服务业的认识、理解程度都提高了。从你们发言当中也可以肯定，社会的认知度也提高了不少。第二，我们电子认证服务机构扩大了，人才队伍壮大了。第三，电子认证服务的应用领域在拓宽，应用的深度也在挖掘，而且应用效果越来越明显。第四，也反应出电子认证服务业在发展过程当中存在的问题还不少。下午的发言，大家都接触到的实际，都不是当初我们在电子商务发展国际论坛时的状态，那时基本上还是在提出概念，而现在是实际问题。不管是业内还是业外的人士发言，都是接触了实际。

有些问题是我们发展过程当中必然会出现的，而且还有一些没出现的问题，但是苦于缺乏这方面的实践，现在还没有找出一个准确的，完整的或者是有效的解决方案。我想这些问题存在有法律层面的，有政策层面的，有操作层面的，还有行政管理层面的，包括一些相关的制度安排。这些都说明《电子签名法》，电子认证服务业的发展是一个新兴事物。

我们回去以后还要做几件事，一个是对《电子签名法》、《电子认证服务管理办法》，电子认证服务业，继续通过多种渠道，多种方式向社会宣传、介绍、贯彻，使更多的人了解，更多的人理解，更多的人运用。第二，对相关的法律法规、标准、技术规范抓紧研究。当然这个研究也不是说战线拉的很长，找最急需的，当前最迫切解决的，需要有一个轻重缓急。第三，各个CA机构内部要加强管理。这是一个开放式的行业，以后还会有更多的CA机构，就是说依法设立的CA机构一定要加强管理。其中有一条就是带头遵法守法。大家也是对那些社会上存在的无证发证现象极为不满，一致要求政府主管部门要严惩，我想这个要求不过分，同时你们自己也要做到。纠正别人违法的同时，自己也要坐的正。然后扶持正气，打击邪气，扶持依法的，打击违法的。

第四，到会的除了CA机构以外还有相关部门，包括高校、研究机构和相关企业，我想我们共同的责任就是要发挥各自的优势，在电子认证服务业、电子认证技术、密码技术方面的技术研发、产品开发上面下工夫，作出贡献。大家从各自的角度出发，因为电子认证服务业不仅仅是电子认证服务机构，而是以服务机构为核心，但还有它的上游和下游，还有众多的单位、组织和个人，所以我想这需要全社会的共同努力。

在会议结束的时候，我要代表会议组织者，感谢所有参加会议的代表，因为CA机构的负责人还是很忙的，今天专门抽出一天的时间来参加会议。还要感谢支持会议的各个代表，包括司法界的、企业世界的，感谢社会到会新闻媒体，还有我们赛迪网从早到晚给我们做实况报道。感谢会议的承办单位，电子商务世界和电子商务法律网的同志们。感谢为会议提供了支持和赞助的企业，包括天威诚信、北京CA、CFCA，还有江苏CA等等。

我代表组织者，对以上人员统一表示感谢。最后祝各位五一劳动节快乐！