吕尧

电子认证是密码的典型应用,其在信息化及信息安全保障方面发挥着重要作用。本研究报告重点梳理了我国电子认证服务业的现状,分析了存在的问题,并提出了电子认证服务业发展的对策建议。

2019年我国电子认证服务业发展现状

随着网络空间技术的发展以及云计算、物联网、移动互联网、区块链等新技术、新应用的不断涌现,网络社会提升到了一个新水平、新阶段。面对网络空间各领域参与主体的迅猛扩张,安全问题愈发凸显,电子认证服务作为确认网络主体及行为、保障用户权益、认定法律责任的重要手段,需求日益升温。经过多年的发展和市场培育,我国电子认证服务业初具规模,上下游产业链条不断完善,包括电子认证服务机构、电子签名应用产品和服务提供商、电子认证公共服务机构、应用单位和终端用户等主体。回顾2019年,电子认证服务业在各方面都取得了一定业绩。

1.产业总体规模持续上升。近年来,电子认证服务产业总体规模保持增长态势,但增长速度正在逐渐放缓,2019年,电子认证服务产业总体规模实现272.6亿元,同比增长10.7%。其中,电子认证软硬件市场规模218.3亿元,电子认证服务机构营业额54.3亿元。

2.电子认证软硬件市场增速有所放缓。电子认证软硬件产品主要包括USBkey、签名验签网关、SSLVPN网关、CA系统等。近年来,电子认证软硬件市场规模持续扩大,2019年实现218.3亿元,较2018年增长13.0%,与2018年的22.6%相比增速有所放缓。USBkey的销售量在电子认证软硬件市场规模中所占的比重较大,主要是由于第三方电子认证服务机构以及我国工商银行、建设银行、招商银行等几家大型商业银行依靠自建电子认证系统发放了大量数字证书,另外,电子保险单的信手书的广泛应用,增加了USBkey等相关产品的销量。同时,以新型SIM盾等微型安全载体为代表的手机盾等软硬件产品在2019年得到了一定发展,由此带动了电子认证硬件市场规模的增长。

3.电子认证服务市场营业额略有增加。电子认证服务机构是向社会公众签发数字证书,并提供签名人身份的真实性认证、电子签名过程的可靠性认证和数据电文的完整性认证服务的机构。电子认证服务机构除了能够直接解决应用方和用户的问题外,还是引导电子认证上下游技术和产品发展、拓展电子认证服务应用市场的关键。近年来,电子认证服务机构抓住网络化和信息化快速发展的契机,主动性、积极性迅速提升,不断拓展业务领域和范围,在新技术、新产品、新应用方面积极探索。传统的网上银行、网上证券等业务继续发展,移动互联网、医疗卫生、教育事业等新兴领域应用方兴未艾,经济效益日益显现。随着行业内企业数量不断增多、市场竞争加剧,并且由于国家大力推动“放管服”工作,深入优化营商环境,减少涉企收费,电子认证服务机构总营业额在2019年扭转了负增长的趋势,出现了略微的增加。2019年,电子认证服务机构的营业额为54.3亿元,增长率为2.3%。

4.电子认证服务机构利润水平趋于稳定。近年来,电子认证服务机构总利润水平趋于稳定,2019年,电子认证服务机构总利润实现6.3亿元,与2018年相比增长了4.8%,利润水平增长较前一年稍有增加。电子认证服务机构总利润趋于稳定的原因在于:一是电子认证服务机构除了巩固现有市场,还加大资金投入,开发新产品、开拓新市场,企业在努力开源的同时,也在努力降低经营成本、提高生产效率和管理水平;二是电子认证服务机构的主流用户以政府和大型企业为主,在购买服务的资金支付、知识产权上都有较好的保证;三是互联网上的安全威胁愈发难以应对,越来越多的行业和领域愿意购买电子认证服务来保障网络应用的安全。

5.行业内机构持续增长。截至2019年12月,经工业和信息化部批准,我国具有电子认证服务资质的企业共计48家。其中,2019年新增三家,分别为:江苏智慧数字认证有限公司、江苏省国信数字科技有限公司和大陆云盾电子认证服务有限公司。新增加的电子认证服务机构的业务方向各有侧重,但均是依托主要股东的市场或技术积累进行相关业务方向的发力。江苏智慧数字认证有限公司结合网络可信身份平台等技术优势,在线上身份识别电子签名服务平台进行业务拓展。江苏省国信数字科技有限公司主要开拓电子政府方面业务。大陆云盾电子认证服务有限公司结合股东科蓝股份的银行相关业务的积累,重点发力合规技术手段,协助银行开展身份风险控制,从而创造效益。

我国电子认证服务业发展特点

行业发展环境持续向好

法律政策完善,进一步促进行业发展。为深入落实国务院“放管服”改革要求,优化营商环境,推行政务服务一网通办,扩大在线政务服务范围。2019年4月23日,第十三届全国人民代表大会常务委员会第十次会议对《中华人民共和国电子签名法》作出修改,删去第三条第三款第二项;将第三项改为第二项,修改为:“(二)涉及停止供水、供热、供气等公用事业服务的”。现行使用的《中华人民共和国电子签名法》是2004年发布,2005年实施的,其中第3条第二款规定,涉及土地、房屋等不动产权益转让的,不适用“民事活动中的合同或者其他文件、单证等文书,当事人可以约定使用或者不使用电子签名、数据电文。”这意味着,涉及土地、房屋等不动产权益转让不适用“电子签名、数据电文”。而此次修正案改变了这一规定,意味着土地、房屋转移登记将允许使用电子文书,进而实现线上办理,大大缩短办理时间,为公众提供了极大便利,侧面扩大了电子认证服务的适用范围。

电子签名跨境互认持续推进

电子签名证书跨境互认持续推进,粤港澳大湾区电子签名互认工作组成立。2019年11月15日,由工业和信息化部牵头,粤港澳大湾区电子签名互认工作组在广东省深圳市正式成立,工作组由工业和信息化部信息化和软件服务业司、国际合作司,广东省工业和信息化厅、香港特区政府资讯科技总监办公室、澳门特区政府邮电局联合组成。工作组职能是,落实《粤港澳大湾区发展规划纲要》,加快推动互认证书在粤港澳三地的广泛应用,为建设世界一流湾区保驾护航。工作组的成立标志着电子签名证书跨境互认工作进入一个新阶段。

巨头企业逐步进入行业

随着互联网的发展,电子认证、电子签名在签订电子合同、保障用户权益方面的作用愈发凸显。继360收购沃通电子认证服务有限公司之后,又有互联网行业巨头、独角兽企业等开始关注电子认证服务领域,通过自建、收购等方式择机进入本行业。浙江蚂蚁小微金融服务集团股份有限公司(以下简称“蚂蚁金服”)已经着手组建自己的电子认证服务机构,国家密码管理局官网显示,蚂蚁金服已经获得“电子认证服务使用密码许可”,下一步将申请电子认证服务许可证。泰尔认证中心亦拿到了国家密码管理局颁发的“电子认证服务使用密码许可”。平安集团旗下壹账通金融科技有限公司,于2019年收购了深圳市电子商务安全证书管理有限公司。重量级企业开始进入行业,凸显了电子认证的重要作用。巨头的加入将壮大行业的规模,行业将面临洗牌。

国内服务器证书服务能力

大幅提升

服务器证书为不同网站提供身份鉴定并保证该站点拥有高强度加密安全。目前,服务器证书市场规则是由CA浏览器论坛制定。该论坛是国际性公共组织,由电子认证服务机构、操作系统、浏览器厂商联合成立,主要成员是微软、Mozill、Google、苹果等国际知名厂商。CA通过该论坛制定的webtrust审计标准,可签发操作系统、浏览器认可的服务器证书。目前,国内有5家CA机构通过了审计,分别是中金金融认证中心有限公司(CFCA)、北京天威诚信电子商务服务有限公司(天威诚信)、数安时代科技股份有限公司(GDCA)、上海市数字证书认证中心有限公司(上海CA)、沃通电子认证服务有限公司(深圳沃通),其中,CFCA、GDCA完成了所有入根检测。随着通过审计机构数量的增长,国内服务器证书服务能力大幅提升。

有效数字证书总量保持增长

2019年,我国电子认证服务行业仍以PKI技术为基础,以数字证书为载体面向用户提供服务,数字证书的数量是衡量行业发展情况的一个重要指标。经过多年发展,数字证书不仅在金融、电子政务、电子商务等领域应用不断扩大,同时在移动互联网、医疗卫生、教育等新兴领域也有了一定发展。自2014年开始,有效数字证书总量保持波动,2014年较2013年稍有回落,2015年重新呈现增长趋势,2016年至2018年继续保持增长。截至2019年12月,全国有效数字证书总量约达7.15亿张,较2018年增长38.0%。据了解,2019年,数字证书统计量增加的原因是政务服务市场中,伴随国家放管服的推进,越来越多的企业法人代表及自然人申请了电子政务的证书,从而更好地开展网上业务办理。

电子认证服务业发展中存在的问题

产业链中话语权较低

由于电子认证服务技术应用特性,其必须依赖于应用方,所以CA机构在产业链中相对受制,处于较低的地位,话语权不足。当应用方出现问题时,CA机构可能被牵扯其中。2019年,国务院第六次大督查通报部分地方和单位违规收费典型的问题,就涉及CA机构。2019年9月,国务院开展第六次大督查,16个国务院督查组分赴16个省(区、市)开展实地督查,发现了部分地方和单位违规收费、增加企业和群众负担的问题。某省督查发现,该省下属的某市住房公积金管理中心违反有关规定,采取停办窗口业务的方式,强制缴存单位通过网上服务平台办理缴存住房公积金等业务,必须购买由某数字证书认证中心提供的数字证书认证服务,给企业带来一定负担。国务院通报消息一出,给电子认证服务行业带来严重影响,全国上下普遍认为CA证书服务应该免费。客观分析,违规收费的情况,不属于CA的问题,是应用方要求,CA无权决定,证书只是收费的工具。CA机构的话语权较低,导致其无法主导应用,所以在应用方出问题时,受到牵连。

电子认证服务应用创新不足

电子认证服务仍停留在证书、电子签名产品和服务,对于用户的需求缺少深入挖掘。电子认证和电子签名服务是指基于数字证书的,提供身份认证、电子签名、信息加解密等应用功能的产品或服务,包括电子签章、电子合同、安全电子邮件、网络可信认证服务、时间戳等。目前,我国48家CA机构,业务同质化比较严重,大部分CA主要业务仍在电子政务领域,并以签发证书为主。当前,信息技术高速发展,大数据、云计算、移动互联网等新形态、新业务已经给电子认证服务打开了更大的市场空间,但多数CA机构在运营上有比较稳定的客

户,经营收入方面不存在后顾之忧,容易满足于现状,危机意识不足,缺乏对新应用、新模式的开拓动力,行业整体的技术创新、业务创新明显不足。与人脸识别、语音识别等生物识别技术相比,CA技术缺乏互联网基因以及互联网创新活力,其发展滞后于互联网应用的发展,很多实际应用中,短信密码、动态口令牌、手机令牌、智能卡以及生物识别等一系列认证技术实现了对CA技术的替代。

电子认证服务机构

管理存在缺失

部分电子认证服务机构运营管理存在漏洞。2019年,有部分CA机构被举报投诉,甚至被告上法院。CA机构作为第三方为用户和依赖方提供服务,用户在未被明确告知的情况下,依赖方拿用户信息向CA机构申请了数字证书,并办理了相关业务。当用户和依赖方就业务产生纠纷时,用户反映并未申请过数字证书,随即向法院起诉依赖方和CA机构。CA机构在运营管理方面存在缺失,将面临败诉风险,造成两类损失。一是金钱损失,根据电子签名法举证责任倒置的要求,如无法证明自己的过错,率先对用户进行赔付;二是时间损失,对应此事件,需花费公司大量时间、精力和用户、依赖方、法院、行业主管部门打交道,付出大量时间和人力成本。主要因CA机构运营管理的缺陷体现在两点,一是开展此类业务未制定《电子认证业务规则》(CPS)或未按照CPS执行,将面临电子签名法等法律的处罚;二是对于用户身份的认证以及申请证书用户真实意愿的确认缺少风控。法律层面允许通过注册代理机构等形式,将用户身份的认证、申请证书等工作委外,但是需要和委托机构明确责任,如果没有明确,CA将承担全部责任。

电子认证服务从业人员稀缺

电子认证服务行业从业人数较少。截至2019年12月,电子认证服务机构从业人员总量不到5200人,其中,专业技术人员所占的比例不足30%,总人数及技术人员数量较去年同期无明显增长。从统计情况看,2019年新获得电子认证服务许可证企业数量较少,公司规模较小,行业新增从业人员数量较少。2019年,存量企业从业人员有一定流失,补充人员无大幅增长,存量人员保持稳定。行业中既懂技术又懂管理的综合性人才稀缺,在人才供给端,密码、信息安全、网络安全等相关专业毕业生相对较少,电子认证服务行业规模相对较小,对毕业生吸引力不强;社会上对电子认证服务的理解和重视程度不够,缺少培训机构和培训教材,人才培养体系未建立;没有针对电子认证的岗位从业认证,从业资格认证机制不健全。目前,行业从业人员,不能满足行业发展及预进入行业企业的需求,制约了行业的发展。

CA机构运营能力下降

2019年,部分CA运营能力有所下降,具体体现在以下几方面:一是物理环境老化,部分企业已运营15年,机房门禁、空调、屏蔽机房已出现老化;二是网络安全设备升级不够,对网络安全防护重视程度不高,CA核心系统与外界逻辑隔离,网络安全设备老旧,不足以应对目前网络安全威胁,部分CA机构脆弱性评估流于形式,存在较大的网络安全隐患;三是CA核心系统未进行改造升级,密码机、LDAP服务等设备,不能满足互联网应用方的需求;四是人员流失,多家CA关键岗位人员离职,脱离电子认证服务行业,对企业、行业造成巨大损失;五是缺少个人信息保护意识,CA机构收集了大量用户个人信息和企业信息,目前对隐私信息保护的要求不断增强,CA机构所担负的责任曾大,目前缺少对CA机构隐私信息保护的要求或规定,CA机构自身缺少保护意识,一旦泄露隐私数据,将引发重大信息泄露事件,对整个电子认证服务行业造成影响。

我国电子认证服务业的发展趋势

1.法律政策将进一步明确电子签名的效力。随着我国信息化的不断发展,电子数据的法律效力愈发受到重视。2019年,我国在法律、政策等方面出台相关文件,明确电子签名的适用范围。在法律方面,2019年1月1日,《中华人民共和国电子商务法》正式实施,其中明确电子商务当事人订立和履行合同,适用《中华人民共和国电子签名法》的规定。在政策方面,2019年4月30日起施行的《国务院关于在线政务服务的若干规定》中明确“电子印章与实物印章具有同等法律效力,加盖电子印章的电子材料合法有效”。2019年8月,国务院办公厅印发《全面深化“放管服”改革优化营商环境电视电话会议重点任务分工方案的通知》,提出优化服务体系,加快电子印章推广应用。各领域为适应信息化发展,相应主管部门将出台相关政策以明确电子签名的法律效力。这将进一步拓展电子签名的适用范围,促进电子签名的应用。

2.电子认证服务行业面临监管深化。2019年10月26日,十三届全国人大常委会第十四次会议表决通过密码法,该法于2020年1月1日起施行,旨在规范密码应用和管理,促进密码事业发展,保障网络与信息安全。电子认证是密码的典型应用,其在信息化及信息安全保障方面发挥着重要作用,密码法在电子签名法的基础上,进一步明确了对从事电子政务电子认证服务的机构进行管理,突显了电子认证服务行业的重要性。明确政务领域的管理,意味着行业监管的深化,在一定程度上将给行业带来压力,一个企业需要拿到国家密码主管部门的电子认证服务使用密码许可证、国家信息化主管部门的电子认证服务许可证、国家密码主管部门的电子政务电子认证服务许可证,才能在全领域开展业务。

3.电子政务领域业务将大幅压缩。为进一步优化营商环境、降低企业负担,2018年,国务院出台了《关于加快推进全国一体化在线政务服务平台建设的指导意见》,推进各地区各部门政务服务平台规范化、标准化、集约化建设和互联互通,形成全国政务服务“一张网”,实现政务服务“只进一扇门”“最多跑一次”“不见面审批”。2019年,国家政务服务平台已上线试运行,平台完全建成后,将对CA机构原有电子政务业务造成巨大冲击。原来,电子政务服务处于条块分割状态,一个企业办理不同政务服务需要申请不同的数字证书,甚至办理一个业务要办理多张证书。一体化平台建成后,将实现一网通办,原有的单个领域、不同证书的模式将被打破。企业只需要注册一次,申请一张证书,就能办理全国范围内的电子政务服务。CA机构签发的机构证书将大幅减少,电子政务领域市场将大幅缩小,部分CA机构面临产业转型升级攻坚期。

4.电子认证服务将与区块链技术融合发展。电子认证和区块链技术在解决可信问题方面都有着各自的特点,从实际上看电子认证服务和区块链的发展,未来,区块链技术与电子认证技术必定会产生融合。CA作为具有电子认证资格的第三方可信任的服务机构,本身就具有账户托管优势,可以作为智能合约的托管中心,以认证单位为矿池展开的工作量证明机制的分布式记账权竞争,在降低工作量证明能耗的同时也实现了分布式记账。在联盟链中,电子认证联盟链可以联合国家密码管理局国产算法的优势,形成一个自主可控具有公信力的联盟区块链。同时也解决了电子认证服务中的单点依赖问题。预测区块链技术与电子认证一定会相互融合、相互补充,电子认证服务在区块链技术的推动下将会有更好的发展潜力和发展前景。

发展我国电子认证服务业的对策建议

1.加强政策法律衔接,优化行业发展环境。通过出台、修订相关配套管理办法,加强密码法、网络安全法、电子商务法、档案法与电子签名法的衔接。各行业、领域主管部门出台具体政策,明确电子签名在实际应用中的法律效力,和具体规定。进一步推动电子签名法修订完善,明确需要第三方认证的电子签名应用场景,清楚划定合法第三方电子认证服务机构界线,为强化行业管理提供依据,同时,细化和明确可靠电子签名条件,进一步强化电子签名的司法效力,扫除电子认证服务应用推广中的障碍。通过出台、完善相关政策法规,进一步优化电子认证服务行业发展环境,促进行业健康快速发展。

2.深化电子认证行业监管,提升行业整体服务水平。行业主管部门进一步落实电子签名法、电子认证服务管理办法和国务院审改办“双随机一公开”要求,深化行业监管。以电子认证业务规则(CPS)符合性评估为核心,通过信息公开手段,加强CA机构运营管理和服务的监管。同时,推进本领域信用体系建设,将检查与《关于在电子认证服务行业实施守信联合激励和失信联合惩戒的合作备忘录》信用评价工作相结合,推动开展行业信用评价。逐步建立第三方服务能力评估机制,制定符合我国法律和监管政策要求的评价标准,提升行业服务能力及企业信用。

3.推动电子签名证书跨境互认,拓展电子签名应用范围。持续推动电子签名证书跨境互认,根据电子签名法要求,加强对境外电子签名证书在国内应用的管理,支持国内电子签名证书走出国门,推动电子签名证书在跨境贸易等领域中的应用。一是根据电子签名法的要求,行业主管部门依据国内和国外互认双方对等协议,开展境外电子签名证书互认核准工作,消除证书跨境应用法律效力方面的障碍;二是继续推进粤港、粤澳电子签名跨境互认试点工作,同时,推进粤港澳大湾区证书互认,制定粤港澳大湾区电子签名证书互认证书策略,指导推进在粤港澳大湾区跨境服务贸易等领域开展应用试点;三是推动中国—东盟、中欧、中日韩等区域电子签名互认,在双边、多边自贸区协议案文中,加入电子签名证书互认条款,并鼓励国内CA机构开展跨境电子签名服务,拓展证书应用领域,促进对外贸易便利化。

4.开展创新应用试点,促进电子认证与新技术融合发展。通过开展试点等方式,鼓励CA机构和研究机构开展电子认证新技术和新应用研究。包括:研究手机证书应用模式的安全性,探索非面对面形式的身份鉴别手段;研究生物特征、网络行为分析、FIDO(线上快速身份验证)、区块链等新兴技术手段在电子认证服务中的应用前景,探索新应用模式。通过创新技术和应用,推动电子认证服务在工业互联网、云计算等领域的应用。支持CA机构对工业互联网、云计算有关人员、设备等主体身份进行认证,实现授权管理和加密传输,保障主体身份可信接入和设备稳定运行。鼓励认证机构与芯片、软件企业以及科研院所联合制定标准和证书策略,在条件成熟的应用场景开展试点。

5.发挥行业组织作用,凝聚行业合力。充分发挥电子认证服务产业联盟在政府和企业间的桥梁作用,积极探索新的电子签名应用和服务模式,组织开展电子认证服务标准制定和共性技术研究。打造行业交流平台,积极为行业提供政策、资讯、技术等方面的支撑。开展电子签名法的宣传活动,为行业发展创造良好市场环境。集合行业力量,积极探索和推动网站可信认证等电子签名应用,开拓行业市场。开展电子认证服务行业人员培训工作,组织行业专家和讲师编写电子认证行业人员培训教材。开展电子认证服务行业标准研制工作。依托电子认证服务产业联盟,组织制定电子认证服务行业团体标准,并积极推动相关标准转化为行业标准或国家标准。