关于电子商务安全认证的立法思考
来源:中国B2C研究中心 更新时间:2009-12-20

  摘要:近年,随着网上银行、网上商城的蓬勃发展,与网上交易及网上支付行为相关的法律问题正在受到越来越多的关注,电子商务中所采用的相关技术、交易流程、相关机构的法律地位已经成为人们关注的焦点。国内各地电子商务交易立法的探索也取得了一定进展,2003年2月1日,国内第一部有关电子商务的地方性条例《广东省电子交易条例》在广东省开始施行,迈出了我国地区电子商务立法的第一步。

    2004年4月2日,第十届全国人大常委会第八次会议讨论通过电子签名法草案,并于2005年4月1日开始实施。标志着我国全国性的电子商务立法迈出了第一步。但是,电子签名的合法性不但需要法律的确认,而且需要相关的基础设施的支持,对这些基础设施建设和法律责任进行规范成为电子签名立法不可缺少的部分。所以,需要深刻分析电子商务中各方之间的法律关系,并对各方应该承担的责任进行界定。本文通过分析电子商务交易中认证机构的法律地位、认证机构和证书用户之间的关系、CA和RA之间的关系、CA和CA之间的关系等几个和电子商务交易中的几个关键问题,并由此提出了有关电子商务立法的几点建议。

    一、电子商务安全认证的法律关系分析

  电子商务,是指通过电子网络进行的产品及服务的贸易活动的全过程,主要包括信息搜寻、订货与支付,以及运输三个阶段。由于商务活动通过电子网络完成,客户身份出现了虚拟化,为了防止交易数据被篡改、冒名、欺诈等操作风险,验证交易各方身份,防止抵赖交易有关的事实,人们设计了数字签名技术,并建设了认证机构,形成了覆盖商务领域的公钥基础设施PKI(PublicKey Infrastructure)。网络的使用以及认证机构的出现,使得现实社会中交易各方的关系发生了显著变化,研究电子商务中交易各方的关系无疑对电子商务的立法具有十分重要的意义。

  1.认证机构的法律地位问题

  目前,电子商务学术界将认证机构定义为:参与电子交易的各方提供网上身份认证、数字证书签发与管理等服务的第三方机构。即,认证机构负责在虚拟网络世界提供验证交易双方及多方的真实身份,证明电子商务交易过程及信息的真实性,保证交易的不可抵赖性。和传统社会中的公正机构承担类似职能,被认为是通过提供网络虚拟世界身份认证服务,而与交易无关的中间机构,同时,由于证书签发和认证是有偿服务,也被认为是赢利机构。

  认证机构是制造证书的“权威机构”,但其对证书所包含的信息内容是否具有权威性呢?由于客户身份真实性的验证,即数字证书签发环节,是电子交易真实性的基础,证书所包含的信息的真实性是数字证书实现其功能的必要条件。从危害性看,提供内容不实的数字证书更甚于提供虚假证书,数字证书真实性的前提和基础是所含信息的真实性,因此,认证机构必然负有替交易一方保证交易另一方身份真实性的全部责任。由于网络环境的特殊性,数字证书成为验证客户真实身份的最主要工具,当验证客户身份的责任转移发生转移后,认证机构也因此负有比传统社会中公证机构更多的责任。

  另一方面,在电子交易过程中,交易的真实性和不可抵赖性通过认证机构对数字签名的正确性认定,认证机构事实上已经参与到交易过程中,而且是交易过程很重要的环节,认证机构因此负有对相关信息进行保密存档的责任,否则,当交易双方出现法律纠纷时,则无据可依。

  综合上述两方面因素,可以看出,数字证书的签发和认证机构,先天地成为电子商务交易的责任方之一,其对电子商务交易全过程负有更多的责任和义务。而认证机构的本身的“权威性”从何而来,什么样的机构可以使其具有这样的“公信力”?当交易双方发生争议时,认证机构提供的证明是否足以采信?

  2.认证机构和证书用户之间的关系

  由于数字证书和电子签名和传统社会中的身份证明和手工签名相比,更加抽象,技术含量很高,从技术层面看,网上用户和认证机构显然是不对称的,普通用户无法说明数字签名的技术原理、实现过程,在发生法律纠纷时,网上客户甚至不具备举证的能力,当涉及认证机构和数字证书用户(网上用户)之间的诉讼时,数字证书的用户显然处于弱势。

  根据证书签发者在电子商务交易中的角色,认证机构可以分为两类:一类是与交易完全无关的第三方,如CTCA和地方政府建设的CA系统等;另一类是服务主体为方便其既有客户群体开展网上商务活动而建设的认证机构,比如商业银行为其客户颁发的用于网上支付的数字证书。对于第一种情况,认证机构能否提供足以跟踪交易过程的电子审计记录并在其中保持中立,成为整个认证机制的关键;而对后一种情形,数字证书的申请使用者常常也就是该认证系统的建设者的既有客户,在此情况下,如果客户使用数字签名进行网上支付,网上支付纠纷也就是商业银行和其客户之间的纠纷;客户资金如果被冒名支付,既可能是客户对证书保管不妥,也可能是因为银行对数字证书的泄密或者客户资金因为其他原因被侵害。由于数字签名及认证过程的高技术含量,则使得申请数字证书的客户陷入更加不利的局面。

  另一类用户是从事网上商务活动的网上商户。这里网上商户是指持有数字证书并在互联网上开展商务活动的企业法人,比如银行的特约网站。设想这样一种情形,某商户申请了某认证机构颁发的数字证书,而后,依靠该认证机构提供的双重签名软件和该认证机构的信誉保障开展网上商务活动,但在其数字证书失效(比如下次证书展期)之前,因经营不善而倒闭。在此情况下,该商户实际上持有“合法”的(即能够正常通过双重数字签名的)数字证书,而其本身已经破产,那末,为其颁发数字证书的认证机构实际上在此期间为其实施欺诈提供了方便,可能因此而负有责任。

  因此,认证机构在提供有偿认证服务的同时,其所应承担的责任如何界定,是否依靠认证机构发布的CPS(Certificate PracticeStatement)?还是有法定公认的标准?是电子商务交易中需要面对的另一个问题。

  3.CA和RA(Registration Authority)之间的关系

  部分认证机构出于验证客户身份、联系证书客户的需要,将整个认证体系设计成两大部分:CA部分负责证书的制作和管理,注册管理机构(RA)负责验证客户所提供信息的真实性,两部分通过安全数据通讯渠道联接。比如中国金融认证系统(CFCA)中,各签约商业银行承担着RA的职责,而CFCA主要负责证书的制作和管理。

  由于安全问题的“水桶效应”,CA+RA体系的安全性取决于两者中的薄弱环节,CA和RA之间的职责划分成为认证机构安全性的关键问题。从理论上讲,CA本身不负有验证客户身份(即证书所包含信息的真实性)责任,而可以轻易获得证书的内容,存在利用证书信息数据伪造客户证书的可能性。如果出现客户身份被假冒或客户认为自己的证书遭到非法复制的情况,CA和RA在证书的管理上的责任界定则成为焦点。同样,当证书包含的基本情况发生重大变化时(比如持有人死亡、破产等),RA应该在多大程度上承担对CA的告知义务,因证书内容与实际不符或证书涉及的内容发生实质性变化而造成的对其他客户的侵害问题,将成为CA和RA关系中最主要的问题。

  4.CA和CA之间的关系

  就像现实生活中信任链的传递一样,互联网上的信任关系可以通过CA之间相互认证实现,进而形成涵盖全社会的公钥基础设施PKI。整个PKI系统的安全性和每个CA系统息息相关,个别CA系统在客户身份认证中的失误都可能通过CA系统的相互认证而蔓延到整个PKI系统;个别CA系统遭受侵害就意味着整个系统出现漏洞,从而导致其他CA系统在认证过程中的失职行为;CA系统之间的相互认证不再只是某两个系统之间的个人行为,而会给整个PKI体系带来影响。

  因此,单个CA应当承担的责任、CA相互认证后责任的划分、CA系统相互认证所应遵守的标准和规范及对既有PKI系统带来的影响等问题,成为认证系统安全问题的重要课题。

  二、在电子商务立法中对安全认证的建议

  总结上述几个法律关系,可以看出,由于认证机构的特殊性,不能简单地将其看作是“与电子交易双方无关的第三方”,其所具有的公信力并不能与生俱来;相反,由于数字证书的抽象性,其公信力某种程度上有所削弱,为了推动电子商务的发展,增加数字证书的公信力,在法律赋予其权威性之前,需要对认证机构提出更高的要求;由于PKI的公共产品属性,应该对PKI和CA系统(尤其是对外提供商业服务认证机构)的建设进行立法规范。

  1.我国应该尽快建立PKI建设的制度体系

  由于PKI在电子商务活动活动中的重要作用,为了鼓励电子商务及电子政务的健康发展,作为基础设施的PKI建设应该首先健康发展,只有它的法律地位得到确认,电子商务才能从传统商务形态中脱颖而出,但由于它的公共产品属性,依靠非政府组织难于解决全部问题。比如,电子政务系统和电子商务系统的互联问题、跨国认证问题等,离开了政府主导,跨国认证问题可能给我国网络安全带来安全隐患,没有明确的制度体系,电子政务可能游离与整个PKI体系之外,或者面临安全隐患。因此,政府应该制定涵盖全社会需要的统一的政策体系,指导PKI体系建设,对CA系统的建设标准、CA之间的相互认证、跨国认证等问题进行明确规定,从而把PKI系统建设成保证网络商务(政务)活动安全的公共基础设施。

  在澳大利亚、加拿大、美国等西方发达国家的实践中,均将PKI系统看成具有公共产品属性的基础设施,坚持国家的主导作用,拟定了适用全国的PKI系统整体规划,设置了全国统一的标准,对CA、RA系统所应具备的安全标准进行了明确规定,对个别CA加入国家统一的PKI体系进行规范。这些经验对我国建设PKI系统及适用于全国电子商务活动的法律法规具有重要的借鉴意义,我国目前现有的地方性立法在规范全国电子商务活动和指导PKI系统建设工作中的局限性,有待在全国立法中改进。

  2.立法重点应该更加关注CA责任的界定

  目前,电子商务实践中对CA的责任存在一种倾向:就是“只服务不负责”,认证机构提供证书颁布、管理、认证等相关服务,收取一定的服务费,但并不承担(或者不愿意承担)因数字证书的使用而引发的责任,而是通过认证实务声明(CPS)将相关责任推给证书用户。这种倾向的存在从客户角度看,不利于保护客户的合法利益,某种程度上使客户从事网上商务活动的风险有所增加;从认证机构的角度看,不利于促进其提高自身管理水平,继续提高认证技术的安全性;从全社会看,不利于推动电子商务的发展。

  数字证书发放、撤消、运用,商务过程的记录等,具有很强的技术性,相对与CA系统建设者来说,普通网上用户在信息技术的掌握和运用上,处于不利地位,如果不能通过立法保护弱者,则不利于推动网上商务活动的开展。就像在传统社会的商务活动一样,商务活动的要件必须齐全,交易主体的合法性、认证主体的合法性、电子交易的不可抵赖性,缺一不可。不同在于电子商务活动在网络上实现,电子交易的过程短暂快捷,其所需的环境和实现的过程更加抽象复杂,在交易过程中普通网上用户不具备审查相关程序、保存相关电子记录的能力,在发生争议时也不具备提出诉讼证据的能力。

  因此,制度建设中应强调CA机构的中立性,使其独立于交易各方单独行使认证职能,在立法中应明确其职责,在允许其收取服务费用的同时,承担认证失误、管理失误的责任,承担因系统存在安全缺陷而带给客户的风险暴露,以及承担因非不可抗力造成的系统可用性缺失引发的客户证书无法使用所带来的损失;规定其在争议出现时为交易相关方提供可靠真实电子记录证据的责任和义务。在立法实践中应该更加注重程序的正确性,规定设立CA及RA所必须具备的条件,对CA系统的建设标准、数字证书的标准、加密算法的合法性、CA系统加入PKI体系的审查过程等进行法律规定;在商务活动中,应规定CA系统及网上商务活动的主体的责任,比如电子交易记录应该包含的要素、应该保留的时间,以及当技术升级时相关主体应负的确保原始记录可用性的责任等;在争议发生时,应该采取“举证责任倒置”的原则,免除先天不具备提供相关证据的能力的网上用户(尤其是个人用户)的责任,法定由CA系统和网上商户举证。

  3.电子商务立法应该注意和现有法律的衔接

  交易数据传输的安全性、交易内容的不可篡改性、交易结果的不可抵赖性是数字签名技术的重要功能。电子商务立法的目标是数字证书取代传统身份证、数字签名替代手工签名和印章,确立数字签名及相关技术在电子商务活动中的法律主体地位,充分保证电子商务交易过程的安全。这就要求数字证书及数字签名技术在特定范围内能够替代现有法律证据的作用,而在现有相关法律中对争议诉讼时效、身份证和手工签名(或印章)的法律效力、合同的要件等均有明确的规定,那末,在电子商务立法中就应注意与现行法律的衔接,比如,数字证书应该具有的要件、数字签名技术应达到的标准、与电子交易相关的电子记录内容构成、与电子交易相关的信息、验证数字签名的记录等,以及上述信息的保留时间等,均应与现有立法的相关条款保持一致性;由于电子技术的快速发展,系统频繁升级,电子记录的保留和延续应该符合现行法律的要求(至少应不低于现有法律既定的诉讼时效),否则,电子记录在承担法律职责时会面临挑战,不利于电子商务的广泛开展。电子商务立法的基础也将因此不甚稳固。

  三、结论

  深入分析网络虚拟环境下电子商务相关各方的关系,是电子商务立法的基础;电子签名技术的实现依赖于相关基础设施的建设,电子签名立法因此应该以规范认证机构和公钥基础设施建设为前提;为了推动电子商务的广泛开展,在立法上应该对中介机构提出明确要求,以便保持与现有法律的衔接。