我國電子簽章法(下簡稱本法)已於113年5月15日經總統公布修正施行,為配合新法規範並落實推動數位信任基礎建設,數位發展部(下簡稱本部)同步研擬修正三部配套子法,包括「電子簽章法施行細則」、「數位簽章憑證實務作業基準應載明事項」及「外國憑證機構許可辦法」,並已於113年11月14日發布。
新修子法以建構安全、穩健、可國際對接之數位簽章憑證服務機制為核心目標,強化數位簽章憑證實務作業基準許可監督機制、數位簽章憑證用戶註冊之身分識別強度,並增列逕予許可外國憑證機構申請之條件。
1.電子簽章法施行細則修正重點
考量數位簽章憑證機構是數位信任基礎之關鍵服務提供者,施行細則第12條第2項增列申請許可需檢具財務狀況、組織及股權結構說明等相關文件,並依同條第3項要求既有民間憑證機構於修正施行後六個月內補充相關文件送主管機關備查。另為強化持續監督機制,增列施行細則第14條主管機關就憑證機構執行憑證實務作業基準提供之服務,得視需要進行查核,確保其服務具穩健性與信任度。
此外,為利掌握電子簽章需求情況,施行細則增列第17條主管機關為辦理電子簽章法第19條國內電子簽章應用情形市場需求調查,得請憑證機構配合提供各類憑證簽發對象之族群、憑證有效數量等統計資訊,作為我國電子簽章推動成效與未來制度調整之參考依據。
2.數位簽章憑證實務作業基準應載明事項重點
參考網際網路工程任務小組(Internet Engineering Task Force, IETF)發布之X.509公開金鑰基礎設施憑證政策與憑證實務作業基準框架(Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework)RFC 3647版本要求,調整憑證實務作業基準之章節架構,明確揭示應載明之事項,以提升服務透明度。另配合電子簽章法第6條使用符合一定條件之數位簽章簽署文件,推定為本人親自簽章之規定,特別針對用戶初始註冊、更換金鑰與憑證廢止等關鍵程序,明定憑證實務作業基準應載明用戶身分識別與認證程序之保證等級強度。
3.外國憑證機構許可辦法修正重點
為促進數位簽章憑證機構之跨境互認與增進合作彈性,辦法第6條增列逕予許可機制,當主管機關與外國政府機關或國際組織已建立技術對接合作關係並完成憑證機構清單交換時,得免逐案申請,直接授予許可。