電子商務安全認證管理

前言：本站為你精心整理了電子商務安全認證管理范文，希望能為你的創作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

[摘要]近年,隨著網上銀行、網上商城的蓬勃發展,與網上交易及網上支付行為相關的法律問題正在受到越來越多的關注,電子商務中所采用的相關技術、交易流程、相關機構的法律地位已經成為人們關注的焦點。國內各地電子商務交易立法的探索也取得了一定進展,2003年2月1日,國內第一部有關電子商務的地方性條例《廣東省電子交易條例》在廣東省開始施行,邁出了我國地區電子商務立法的第一步。2004年4月2日,第十屆全國人大常委會第八次會議討論通過電子簽名法草案,并于2005年4月1日開始實施。標志著我國全國性的電子商務立法邁出了第一步。但是,電子簽名的合法性不但需要法律的確認,而且需要相關的基礎設施的支持,對這些基礎設施建設和法律責任進行規范成為電子簽名立法不可缺少的部分。所以,需要深刻分析電子商務中各方之間的法律關系,并對各方應該承擔的責任進行界定。本文通過分析電子商務交易中認證機構的法律地位、認證機構和證書用戶之間的關系、CA和RA之間的關系、CA和CA之間的關系等幾個和電子商務交易中的幾個關鍵問題,并由此提出了有關電子商務立法的幾點建議。

[關鍵詞]電子商務法律立法

一、電子商務安全認證的法律關系分析

電子商務,是指通過電子網絡進行的產品及服務的貿易活動的全過程,主要包括信息搜尋、訂貨與支付,以及運輸三個階段。由于商務活動通過電子網絡完成,客戶身份出現了虛擬化,為了防止交易數據被篡改、冒名、欺詐等操作風險,驗證交易各方身份,防止抵賴交易有關的事實,人們設計了數字簽名技術,并建設了認證機構,形成了覆蓋商務領域的公鑰基礎設施PKI(PublicKeyInfrastructure)。網絡的使用以及認證機構的出現,使得現實社會中交易各方的關系發生了顯著變化,研究電子商務中交易各方的關系無疑對電子商務的立法具有十分重要的意義。

1.認證機構的法律地位問題

目前,電子商務學術界將認證機構定義為:參與電子交易的各方提供網上身份認證、數字證書簽發與管理等服務的第三方機構。即,認證機構負責在虛擬網絡世界提供驗證交易雙方及多方的真實身份,證明電子商務交易過程及信息的真實性,保證交易的不可抵賴性。和傳統社會中的公正機構承擔類似職能,被認為是通過提供網絡虛擬世界身份認證服務,而與交易無關的中間機構,同時,由于證書簽發和認證是有償服務,也被認為是贏利機構。

認證機構是制造證書的“權威機構”,但其對證書所包含的信息內容是否具有權威性呢?由于客戶身份真實性的驗證,即數字證書簽發環節,是電子交易真實性的基礎,證書所包含的信息的真實性是數字證書實現其功能的必要條件。從危害性看,提供內容不實的數字證書更甚于提供虛假證書,數字證書真實性的前提和基礎是所含信息的真實性,因此,認證機構必然負有替交易一方保證交易另一方身份真實性的全部責任。由于網絡環境的特殊性,數字證書成為驗證客戶真實身份的最主要工具,當驗證客戶身份的責任轉移發生轉移后,認證機構也因此負有比傳統社會中公證機構更多的責任。

另一方面,在電子交易過程中,交易的真實性和不可抵賴性通過認證機構對數字簽名的正確性認定,認證機構事實上已經參與到交易過程中,而且是交易過程很重要的環節,認證機構因此負有對相關信息進行保密存檔的責任,否則,當交易雙方出現法律糾紛時,則無據可依。

綜合上述兩方面因素,可以看出,數字證書的簽發和認證機構,先天地成為電子商務交易的責任方之一,其對電子商務交易全過程負有更多的責任和義務。而認證機構的本身的“權威性”從何而來,什么樣的機構可以使其具有這樣的“公信力”?當交易雙方發生爭議時,認證機構提供的證明是否足以采信?

2.認證機構和證書用戶之間的關系

由于數字證書和電子簽名和傳統社會中的身份證明和手工簽名相比,更加抽象,技術含量很高,從技術層面看,網上用戶和認證機構顯然是不對稱的,普通用戶無法說明數字簽名的技術原理、實現過程,在發生法律糾紛時,網上客戶甚至不具備舉證的能力,當涉及認證機構和數字證書用戶(網上用戶)之間的訴訟時,數字證書的用戶顯然處于弱勢。

根據證書簽發者在電子商務交易中的角色,認證機構可以分為兩類:一類是與交易完全無關的第三方,如CTCA和地方政府建設的CA系統等;另一類是服務主體為方便其既有客戶群體開展網上商務活動而建設的認證機構,比如商業銀行為其客戶頒發的用于網上支付的數字證書。對于第一種情況,認證機構能否提供足以跟蹤交易過程的電子審計記錄并在其中保持中立,成為整個認證機制的關鍵;而對后一種情形,數字證書的申請使用者常常也就是該認證系統的建設者的既有客戶,在此情況下,如果客戶使用數字簽名進行網上支付,網上支付糾紛也就是商業銀行和其客戶之間的糾紛;客戶資金如果被冒名支付,既可能是客戶對證書保管不妥,也可能是因為銀行對數字證書的泄密或者客戶資金因為其他原因被侵害。由于數字簽名及認證過程的高技術含量,則使得申請數字證書的客戶陷入更加不利的局面。

另一類用戶是從事網上商務活動的網上商戶。這里網上商戶是指持有數字證書并在互聯網上開展商務活動的企業法人,比如銀行的特約網站。設想這樣一種情形,某商戶申請了某認證機構頒發的數字證書,而后,依靠該認證機構提供的雙重簽名軟件和該認證機構的信譽保障開展網上商務活動,但在其數字證書失效(比如下次證書展期)之前,因經營不善而倒閉。在此情況下,該商戶實際上持有“合法”的(即能夠正常通過雙重數字簽名的)數字證書,而其本身已經破產,那末,為其頒發數字證書的認證機構實際上在此期間為其實施欺詐提供了方便,可能因此而負有責任。

因此,認證機構在提供有償認證服務的同時,其所應承擔的責任如何界定,是否依靠認證機構的CPS(CertificatePracticeStatement)?還是有法定公認的標準?是電子商務交易中需要面對的另一個問題。

3.CA和RA(RegistrationAuthority)之間的關系

部分認證機構出于驗證客戶身份、聯系證書客戶的需要,將整個認證體系設計成兩大部分:CA部分負責證書的制作和管理,注冊管理機構(RA)負責驗證客戶所提供信息的真實性,兩部分通過安全數據通訊渠道聯接。比如中國金融認證系統(CFCA)中,各簽約商業銀行承擔著RA的職責,而CFCA主要負責證書的制作和管理。

由于安全問題的“水桶效應”,CA+RA體系的安全性取決于兩者中的薄弱環節,CA和RA之間的職責劃分成為認證機構安全性的關鍵問題。從理論上講,CA本身不負有驗證客戶身份(即證書所包含信息的真實性)責任,而可以輕易獲得證書的內容,存在利用證書信息數據偽造客戶證書的可能性。如果出現客戶身份被假冒或客戶認為自己的證書遭到非法復制的情況,CA和RA在證書的管理上的責任界定則成為焦點。同樣,當證書包含的基本情況發生重大變化時(比如持有人死亡、破產等),RA應該在多大程度上承擔對CA的告知義務,因證書內容與實際不符或證書涉及的內容發生實質性變化而造成的對其他客戶的侵害問題,將成為CA和RA關系中最主要的問題。

4.CA和CA之間的關系

就像現實生活中信任鏈的傳遞一樣,互聯網上的信任關系可以通過CA之間相互認證實現,進而形成涵蓋全社會的公鑰基礎設施PKI。整個PKI系統的安全性和每個CA系統息息相關,個別CA系統在客戶身份認證中的失誤都可能通過CA系統的相互認證而蔓延到整個PKI系統;個別CA系統遭受侵害就意味著整個系統出現漏洞,從而導致其他CA系統在認證過程中的失職行為;CA系統之間的相互認證不再只是某兩個系統之間的個人行為,而會給整個PKI體系帶來影響。

因此,單個CA應當承擔的責任、CA相互認證后責任的劃分、CA系統相互認證所應遵守的標準和規范及對既有PKI系統帶來的影響等問題,成為認證系統安全問題的重要課題。

二、在電子商務立法中對安全認證的建議

總結上述幾個法律關系,可以看出,由于認證機構的特殊性,不能簡單地將其看作是“與電子交易雙方無關的第三方”,其所具有的公信力并不能與生俱來;相反,由于數字證書的抽象性,其公信力某種程度上有所削弱,為了推動電子商務的發展,增加數字證書的公信力,在法律賦予其權威性之前,需要對認證機構提出更高的要求;由于PKI的公共產品屬性,應該對PKI和CA系統(尤其是對外提供商業服務認證機構)的建設進行立法規范。

1.我國應該盡快建立PKI建設的制度體系

由于PKI在電子商務活動活動中的重要作用,為了鼓勵電子商務及電子政務的健康發展,作為基礎設施的PKI建設應該首先健康發展,只有它的法律地位得到確認,電子商務才能從傳統商務形態中脫穎而出,但由于它的公共產品屬性,依靠非政府組織難于解決全部問題。比如,電子政務系統和電子商務系統的互聯問題、跨國認證問題等,離開了政府主導,跨國認證問題可能給我國網絡安全帶來安全隱患,沒有明確的制度體系,電子政務可能游離與整個PKI體系之外,或者面臨安全隱患。因此,政府應該制定涵蓋全社會需要的統一的政策體系,指導PKI體系建設,對CA系統的建設標準、CA之間的相互認證、跨國認證等問題進行明確規定,從而把PKI系統建設成保證網絡商務(政務)活動安全的公共基礎設施。

在澳大利亞、加拿大、美國等西方發達國家的實踐中,均將PKI系統看成具有公共產品屬性的基礎設施,堅持國家的主導作用,擬定了適用全國的PKI系統整體規劃,設置了全國統一的標準,對CA、RA系統所應具備的安全標準進行了明確規定,對個別CA加入國家統一的PKI體系進行規范。這些經驗對我國建設PKI系統及適用于全國電子商務活動的法律法規具有重要的借鑒意義,我國目前現有的地方性立法在規范全國電子商務活動和指導

PKI系統建設工作中的局限性,有待在全國立法中改進。

2.立法重點應該更加關注CA責任的界定

目前,電子商務實踐中對CA的責任存在一種傾向:就是“只服務不負責”,認證機構提供證書頒布、管理、認證等相關服務,收取一定的服務費,但并不承擔(或者不愿意承擔)因數字證書的使用而引發的責任,而是通過認證實務聲明(CPS)將相關責任推給證書用戶。這種傾向的存在從客戶角度看,不利于保護客戶的合法利益,某種程度上使客戶從事網上商務活動的風險有所增加;從認證機構的角度看,不利于促進其提高自身管理水平,繼續提高認證技術的安全性;從全社會看,不利于推動電子商務的發展。

數字證書發放、撤消、運用,商務過程的記錄等,具有很強的技術性,相對與CA系統建設者來說,普通網上用戶在信息技術的掌握和運用上,處于不利地位,如果不能通過立法保護弱者,則不利于推動網上商務活動的開展。就像在傳統社會的商務活動一樣,商務活動的要件必須齊全,交易主體的合法性、認證主體的合法性、電子交易的不可抵賴性,缺一不可。不同在于電子商務活動在網絡上實現,電子交易的過程短暫快捷,其所需的環境和實現的過程更加抽象復雜,在交易過程中普通網上用戶不具備審查相關程序、保存相關電子記錄的能力,在發生爭議時也不具備提出訴訟證據的能力。

因此,制度建設中應強調CA機構的中立性,使其獨立于交易各方單獨行使認證職能,在立法中應明確其職責,在允許其收取服務費用的同時,承擔認證失誤、管理失誤的責任,承擔因系統存在安全缺陷而帶給客戶的風險暴露,以及承擔因非不可抗力造成的系統可用性缺失引發的客戶證書無法使用所帶來的損失;規定其在爭議出現時為交易相關方提供可靠真實電子記錄證據的責任和義務。在立法實踐中應該更加注重程序的正確性,規定設立CA及RA所必須具備的條件,對CA系統的建設標準、數字證書的標準、加密算法的合法性、CA系統加入PKI體系的審查過程等進行法律規定;在商務活動中,應規定CA系統及網上商務活動的主體的責任,比如電子交易記錄應該包含的要素、應該保留的時間,以及當技術升級時相關主體應負的確保原始記錄可用性的責任等;在爭議發生時,應該采取“舉證責任倒置”的原則,免除先天不具備提供相關證據的能力的網上用戶(尤其是個人用戶)的責任,法定由CA系統和網上商戶舉證。

3.電子商務立法應該注意和現有法律的銜接

交易數據傳輸的安全性、交易內容的不可篡改性、交易結果的不可抵賴性是數字簽名技術的重要功能。電子商務立法的目標是數字證書取代傳統身份證、數字簽名替代手工簽名和印章,確立數字簽名及相關技術在電子商務活動中的法律主體地位,充分保證電子商務交易過程的安全。這就要求數字證書及數字簽名技術在特定范圍內能夠替代現有法律證據的作用,而在現有相關法律中對爭議訴訟時效、身份證和手工簽名(或印章)的法律效力、合同的要件等均有明確的規定,那末,在電子商務立法中就應注意與現行法律的銜接,比如,數字證書應該具有的要件、數字簽名技術應達到的標準、與電子交易相關的電子記錄內容構成、與電子交易相關的信息、驗證數字簽名的記錄等,以及上述信息的保留時間等,均應與現有立法的相關條款保持一致性;由于電子技術的快速發展,系統頻繁升級,電子記錄的保留和延續應該符合現行法律的要求(至少應不低于現有法律既定的訴訟時效),否則,電子記錄在承擔法律職責時會面臨挑戰,不利于電子商務的廣泛開展。電子商務立法的基礎也將因此不甚穩固。

三、結論

深入分析網絡虛擬環境下電子商務相關各方的關系,是電子商務立法的基礎;電子簽名技術的實現依賴于相關基礎設施的建設,電子簽名立法因此應該以規范認證機構和公鑰基礎設施建設為前提;為了推動電子商務的廣泛開展,在立法上應該對中介機構提出明確要求,以便保持與現有法律的銜接。

參考文獻:

[1]/GB/14576/28320/32776/32783/2426331.html

[2]TenRisksforPKI:WhatYou’puterSecurityJouralVolumeXVI,Number1,2000

[3]AustralianBusinessCertificateDigitalSignatureNumber(ABN-DSC),September2003,byAustralianGovernmentNationalOfficefortheInformationEconomy

[4]GatekeeperCriteriaforAccreditationofCertificationAuthorities,September2003,byAustralianGovernmentNationalOfficefortheInformationEconomy

[5]USGovernmentPublicKeyInfrastructureCross-certificationMethodologyandCriteria,Version1.0:March2003

[6]LegelConsiderationsinDesigningandImplementingElectronicProcesses:AGuidelforFederalAgencies,November2000,U.S.DepartmentofJustice

[7]PKIAsseeementGuidelinsGUIDELINESTOHELPASSESSANDFACILITATEINTEROPERABLETRUSTWORTHYPUBLICKEIINFRASTRUCTURES,PAGv0.30PublicDraftforcoment,InformationSecurityCommittee

[8]胡英:PKI陷入僵局?中國計算機報,2003年4月22日