《电子签名法》旨在赋予电子签名法律效力，从而解决电子商务和电子政务中身份确认和交易安全问题。电子签名虽然在法律上并不限定为某一种技术，但目前国内通行的是PKI（public-key infrastructure），PKI是公共密钥加密，包括数字签名和加密，前者可以保证所传输信息的完整性；后一种技术使得用户在使用公开密钥法对信息加密后，在解密时使用的密钥无须在Internet上传输，避免了密钥被人窃取后造成信息的暴露。但PKI无法保证用户身份的确认，于是出现了CA（Certificate Authority），也就是身份认证技术。PKI和CA结合起来就能保证电子签名及其内容的安全，这就是CA机构所做的事情。

　　中国政法大学知识产权法研究所所长张楚教授说，此次出台的《电子签名法》核心是提高CA行业进入门槛，明确CA机构的法律责任。只有CA机构本身安全，其签发的电子签名才是安全的，从而保证电子商务和电子政务的安全性。

　　CA概念1996年被引进到中国，1999年进入疯狂发展的泡沫时代，其时在中国大地的各省、市乃至县城的各级政府部门，各行业纷纷建立自己的CA认证中心。对于CA机构总数，现在没有一个准确的统计数据，通常认为有80多家。而在一些内部会议上，有人认为已经达到了200多家，其中很多CA机构没有任何国家认证资质，只是在行业和政府部门内部使用。而在发达国家，CA机构的数量只有几家而已。

　　1999年到2002年正是国外CA机构飞速发展的阶段，CA机构有着稳定的盈利和现金流，在股市上每年业绩翻一番。于是，国内的行业和政府主管部门纷纷头脑发热，认为建CA就能立马带动电子商务和电子政务发展，就能坐地收钱。然而当时中国企业的IT水平极低，甚至连防火墙、防病毒的基础设施都不完备，更谈何使用CA的保护。因此有的CA机构在建成后没有发过一张证书，建立之日就是其死亡之时；有的CA机构第一年还能依靠行政力量，摊派下属企业使用，后来因为不能提供有效的服务，客户也逐渐流失殆尽；只有像上海、北京这种IT和金融业发达地区的几家CA机构做大，占据相对稳定的市场。其实有的政府部门建CA的初衷就是搞政绩工程，垄断电子印章、证书签发的权力。

　　这些匆匆搭起来的CA草台班子无论从技术人员的数量、基础设施条件还是管理流程上，都不能保证签发证书的安全性。有的CA网站连CP（证书政策）、CPS（认证业务说明）都没有，证书使用各方的关系、法律责任都没有说明。还有的CA机构把制作数据就放在服务器里，而没有专门的介质保存，数据被窃取的也是大有人在。

　　《电子签名法》对认证服务机构的条件做了专章规定，另外信产部还将出台一系列细化的规章，建立CA准入门槛。其实，信产部的认证服务机构管理细则已经在推进司起草多稿了，因为《电子签名法》没有出台而迟迟不能面世。中国金融CA认证中心的技术顾问关振胜参加了管理细则的起草，他说在明年4月1日《电子签名法》正式实施前，信产部的细则肯定要出来。据他了解，信产部将对已经建立的CA机构进行重新审查登记，按照《电子签名法》的要求，现在市场上绝大多数CA公司肯定都无法通过审查，而且在不到一年的时间内想弥补软硬件上的不足是不太可能的，因此届时CA行业将面临一次大清盘。

　　但是，在清理地方政府和行业主管部门建立的这些中小CA过程中，肯定会遇到地方保护的阻力。而且，地方的CA审批权限是统一到信产部还是分散到各省信息产业主管部门现在尚无定论，如果是后者，能否实现清盘还是个问号。

　　与清盘相对应的是，中国的CA市场可能又将迎来一场泡沫。天威诚信的副总裁李延昭说，《电子签名法》的出台使很多人看到CA市场的巨大潜力，各种资金将涌进来攫取利润，可能再现1999年的投资高峰。但是根据发达国家的经验，中国的CA市场只能容纳有限的几家CA公司，而且CA机构的建立有严格的安全要求，天威诚信也是用了近两年时间才拿齐所有资质的，所以信产部的CA门槛应该是很严格，不是有钱就可以进来炒一票的。
　　

　　存活者迎接盛宴

　　目前国内CA公司有三类，第一类是行业主管部门建立的CA中心，像由中国人民银行牵头，组织国内12家商业银行共同组建的中国金融CA认证中心（CFCA），以及电信CA、海关CA等；第二类是地方政府部门建立的CA中心，像北京CA、上海CA等；第三类是民间资本建立的商业CA，他们大多和国际CA巨头合作，比如天威诚信。而真正有客户，具有一定规模的CA机构也就六、七家左右，现在所有的CA机构尚没有一家盈利的。

　　上海CA市场部产品经理谭艳霞说，上海CA去年发证书40万张，基本达到收支平衡。中国金融CA认证中心的关振胜说，去年他们发证30万张左右，预计明后年会有一些盈利。天威诚信的李延昭说，他们去年卖出去证书十几万张，另外还有五、六万张的免费试用证书，收支达到持平。

　　关振胜说，现在CA技术真正得到应用的是工商、税务、网站、金融、海关、对外进出口、电信这几大领域和部门，个人应用的需求量极小。这是和我国互联网发展水平相对应的，也是国内外CA存在差距的根本原因。李延昭说，中国现在只有一两亿元的CA市场，至少要达到十亿元才能称作一个像样的市场，中国的IT水平和美国、日本等相差三到五年，CA市场形成规模至少也要三到五年时间。

　　但是，李延昭预测CA市场在明后年可能会迎来一次飞跃。因为现在中国很多企业的IT硬件设施都达到了应用CA的水平，只是在观念上还不接受CA，尤其是在CA的法律地位没有确定之前，大宗交易不敢依赖CA机构保障。虽然CA机构也会为自己的证书找保险公司担保，但在诉讼中证据多大程度上被采信尚是未知数，诉讼结果难以预料。一些大型的IT企业通常的做法是，在大宗渠道订购时，网上下完订单后还要打印出来签字，再传真或者EMS给对方签字，使用电子商务后反而比以前更费人力，因为除了商务人员还加上了系统维护人员。《电子签名法》明确了CA证书的法律责任，一定程度上打消了这些企业的顾虑，单靠说服这些企业就可能将市场规模提升到四至五亿元。

　　对于CA机构而言，盛宴不会坐等而来。技术操作的不成熟是制约CA机构发展的另一个瓶颈。像天威诚信给新浪邮箱做的项目，开始给新浪的技术方案从安全性角度来说绝对没有问题，但新浪的答复是“根本不能用”，因为对于普通使用者来说操作太复杂。于是他们又反复修改，在降低安全要求和提高易用性上找到平衡点，而这一过程整整花了8个月时间。李延昭坦陈，包括天威诚信在内，现在所有的CA应用性做的都不太好。国外成熟的技术方案在中国应用时，语言是最大的障碍，如何顺利地实现转换是CA面临的共同问题。

　　国外使用CA证书的个人用户在数量上远超过企业用户，像VeriSign在企业市场发证50万张，个人市场发证超过1000万张，不过企业证书的售价是个人证书的几十倍，利润主要集中在企业市场。而在中国一定时期内个人市场将不会启动，因为社会缺乏个人信用体系，CA机构无法验证个人信息真伪，而《电子签名法》要求CA机构有验证申请人身份的责任，所以CA机构对个人会慎重发证。另外一年几百元的年费对个人而言相对高昂。

　　个人CA市场形成规模才能真正说明中国电子商务、电子政务的良性发展，而这将不仅仅是CA行业的事情。