数字证书
网银交易的“安全保镖”
CFCA总经理李晓峰在接受采访时向记者提供了一份数据。在上海、北京等10个经济发达城市中,个人潜在用户之所以没有使用网上银行,68.7%是担心网络不安全,64.5%是对网上银行不了解;表示不可能使用网络银行的用户,担心网络不安全的占到了75.4%,对网上银行不了解的占57.2%。企业用户方面情况也很类似。
他认为,这说明广大公众对网上银行安全的担心、对网银业务的不了解是阻碍网上银行发展的重要因素。李晓峰介绍,目前最影响网银交易安全的主要有4个因素:交易双方的身份真实性、信息的保密性、信息的完整性,以及交易的不可否认性,一旦出现纠纷,有权威、公信的审计证明。他同时强调,传统方式都无法完全实现上述4点,而未来发展的趋势将是电子签名数字证书技术。
实际上,所谓电子签名数字证书技术早已经不是什么新鲜东西。数字证书是用户在网上交易时的“网络身份证”,它是一个包含用户身份信息的电子文件,证明互联网上用户的身份。通过数字证书,用户还能对网上交易进行电子签名,实现用户的“网络亲笔签名”。如用户在进行网上银行操作时,证书会形成电子签名附在发给银行的交易指令上,从而使银行能够认定交易者的身份,使他人无法破解、修改用户和银行互相传递的信息。目前,仅仅CFCA一家第三方安全认证机构(CA)就为国内30家商业银行提供该项技术。同时,国内主要四大银行由银行自己向顾客提供数字证书。
第三方认证
杜绝既当裁判员又当运动员
数字证书已经受到了银行的普遍认可,是未来网络银行发展的方向。由于数字证书业务是收费业务,究竟是银行自己提供数字证书,还是由CA来提供数字证书,成为了惟一存在的分歧。就市场的情况看,目前,国内几大商业银行都在使用自己提供的数字证书,李晓峰戏称这种情况实际上是银行既当“裁判员”又当“运动员”。
CA中心的职责是审查使用者的身份,将签名人的身份标识与数字证书进行绑定,发放数字证书,及时公布无效的数字证书,并负责对发放的数字证书进行管理。目前的CA在网络银行交易中确实起到裁判员的作用。CA为电子签名人和电子签名依赖方搭起信任的桥梁,同时,为双方分担了风险。
由于我国法律对于第三方认证的规定相对模糊,没有排除CA开发商帮助银行自建系统提供服务的情况。使得银行和CA之间的分歧不能得到圆满解决。
李晓峰谈到以上情况,言辞激烈,连用5个“不顾”。他说:“社会上一些CA开发商从自身利益出发,在商业银行建设网银、升级改造时误导商业银行。他们不顾《电子签名法》、《电子支付指引》的颁布,以及监管部门正在逐步健全相关管理办法的态势,不顾CA中心即将规范、整顿的现实,不顾建设CA给银行带来的风险和持续的投入,不顾金融行业多个CA对网银业务发展的不利,不顾自建CA在法律上的问题和公众的认可问题,鼓噪、影响银行自建CA,我们认为这是非常不负责任的行为。”
但银行方面也有自己的看法。作为较早推出自己的数字证书的银行,中国建设银行某负责人在接受记者采访时指出,银行提供自己的数字证书,并没有违反第三方原则,反而与客户之间建立了更为信任的关系。因为这意味着银行承担了网络安全的风险。虽然CA愿意承担交易双方之间的风险,但是,赔付有限,目前对个人客户的最高赔付大约是2万元,对企业最高是80万元。一旦出现问题,银行避免了风险,但有限的赔付不能弥补客户损失。
虽然CA和银行间仍然就谁提供数字证书有分歧,但是,从国家立法趋势看,第三方确实可能成为未来数字证书的发展方向。需要考虑的只是,第三方如何提高自身实力,有能力完全承担起银行和客户交易中的双重风险。
|