首頁 >
				文章中心 >
				
				正文
			
          
		
          
		
		
          
			
          
				
				
				
          
					
          
						
          電子商務(wù)安全認(rèn)證管理
          
						
						
						
						
						
          
						
						
					
          					
					 
           
          前言:本站為你精心整理了電子商務(wù)安全認(rèn)證管理范文,希望能為你的創(chuàng)作提供參考價值,我們的客服老師可以幫助你提供個性化的參考范文,歡迎咨詢。
           
          電子商務(wù)安全認(rèn)證管理
           
          [摘要]近年,隨著網(wǎng)上銀行、網(wǎng)上商城的蓬勃發(fā)展,與網(wǎng)上交易及網(wǎng)上支付行為相關(guān)的法律問題正在受到越來越多的關(guān)注,電子商務(wù)中所采用的相關(guān)技術(shù)、交易流程、相關(guān)機(jī)構(gòu)的法律地位已經(jīng)成為人們關(guān)注的焦點。國內(nèi)各地電子商務(wù)交易立法的探索也取得了一定進(jìn)展,2003年2月1日,國內(nèi)第一部有關(guān)電子商務(wù)的地方性條例《廣東省電子交易條例》在廣東省開始施行,邁出了我國地區(qū)電子商務(wù)立法的第一步。2004年4月2日,第十屆全國人大常委會第八次會議討論通過電子簽名法草案,并于2005年4月1日開始實施。標(biāo)志著我國全國性的電子商務(wù)立法邁出了第一步。但是,電子簽名的合法性不但需要法律的確認(rèn),而且需要相關(guān)的基礎(chǔ)設(shè)施的支持,對這些基礎(chǔ)設(shè)施建設(shè)和法律責(zé)任進(jìn)行規(guī)范成為電子簽名立法不可缺少的部分。所以,需要深刻分析電子商務(wù)中各方之間的法律關(guān)系,并對各方應(yīng)該承擔(dān)的責(zé)任進(jìn)行界定。本文通過分析電子商務(wù)交易中認(rèn)證機(jī)構(gòu)的法律地位、認(rèn)證機(jī)構(gòu)和證書用戶之間的關(guān)系、CA和RA之間的關(guān)系、CA和CA之間的關(guān)系等幾個和電子商務(wù)交易中的幾個關(guān)鍵問題,并由此提出了有關(guān)電子商務(wù)立法的幾點建議。
           
          [關(guān)鍵詞]電子商務(wù)法律立法
           
          一、電子商務(wù)安全認(rèn)證的法律關(guān)系分析
           
          電子商務(wù),是指通過電子網(wǎng)絡(luò)進(jìn)行的產(chǎn)品及服務(wù)的貿(mào)易活動的全過程,主要包括信息搜尋、訂貨與支付,以及運(yùn)輸三個階段。由于商務(wù)活動通過電子網(wǎng)絡(luò)完成,客戶身份出現(xiàn)了虛擬化,為了防止交易數(shù)據(jù)被篡改、冒名、欺詐等操作風(fēng)險,驗證交易各方身份,防止抵賴交易有關(guān)的事實,人們設(shè)計了數(shù)字簽名技術(shù),并建設(shè)了認(rèn)證機(jī)構(gòu),形成了覆蓋商務(wù)領(lǐng)域的公鑰基礎(chǔ)設(shè)施PKI(PublicKeyInfrastructure)。網(wǎng)絡(luò)的使用以及認(rèn)證機(jī)構(gòu)的出現(xiàn),使得現(xiàn)實社會中交易各方的關(guān)系發(fā)生了顯著變化,研究電子商務(wù)中交易各方的關(guān)系無疑對電子商務(wù)的立法具有十分重要的意義。
           
          1.認(rèn)證機(jī)構(gòu)的法律地位問題
           
          目前,電子商務(wù)學(xué)術(shù)界將認(rèn)證機(jī)構(gòu)定義為:參與電子交易的各方提供網(wǎng)上身份認(rèn)證、數(shù)字證書簽發(fā)與管理等服務(wù)的第三方機(jī)構(gòu)。即,認(rèn)證機(jī)構(gòu)負(fù)責(zé)在虛擬網(wǎng)絡(luò)世界提供驗證交易雙方及多方的真實身份,證明電子商務(wù)交易過程及信息的真實性,保證交易的不可抵賴性。和傳統(tǒng)社會中的公正機(jī)構(gòu)承擔(dān)類似職能,被認(rèn)為是通過提供網(wǎng)絡(luò)虛擬世界身份認(rèn)證服務(wù),而與交易無關(guān)的中間機(jī)構(gòu),同時,由于證書簽發(fā)和認(rèn)證是有償服務(wù),也被認(rèn)為是贏利機(jī)構(gòu)。
           
          認(rèn)證機(jī)構(gòu)是制造證書的“權(quán)威機(jī)構(gòu)”,但其對證書所包含的信息內(nèi)容是否具有權(quán)威性呢?由于客戶身份真實性的驗證,即數(shù)字證書簽發(fā)環(huán)節(jié),是電子交易真實性的基礎(chǔ),證書所包含的信息的真實性是數(shù)字證書實現(xiàn)其功能的必要條件。從危害性看,提供內(nèi)容不實的數(shù)字證書更甚于提供虛假證書,數(shù)字證書真實性的前提和基礎(chǔ)是所含信息的真實性,因此,認(rèn)證機(jī)構(gòu)必然負(fù)有替交易一方保證交易另一方身份真實性的全部責(zé)任。由于網(wǎng)絡(luò)環(huán)境的特殊性,數(shù)字證書成為驗證客戶真實身份的最主要工具,當(dāng)驗證客戶身份的責(zé)任轉(zhuǎn)移發(fā)生轉(zhuǎn)移后,認(rèn)證機(jī)構(gòu)也因此負(fù)有比傳統(tǒng)社會中公證機(jī)構(gòu)更多的責(zé)任。
           
          另一方面,在電子交易過程中,交易的真實性和不可抵賴性通過認(rèn)證機(jī)構(gòu)對數(shù)字簽名的正確性認(rèn)定,認(rèn)證機(jī)構(gòu)事實上已經(jīng)參與到交易過程中,而且是交易過程很重要的環(huán)節(jié),認(rèn)證機(jī)構(gòu)因此負(fù)有對相關(guān)信息進(jìn)行保密存檔的責(zé)任,否則,當(dāng)交易雙方出現(xiàn)法律糾紛時,則無據(jù)可依。
           
          綜合上述兩方面因素,可以看出,數(shù)字證書的簽發(fā)和認(rèn)證機(jī)構(gòu),先天地成為電子商務(wù)交易的責(zé)任方之一,其對電子商務(wù)交易全過程負(fù)有更多的責(zé)任和義務(wù)。而認(rèn)證機(jī)構(gòu)的本身的“權(quán)威性”從何而來,什么樣的機(jī)構(gòu)可以使其具有這樣的“公信力”?當(dāng)交易雙方發(fā)生爭議時,認(rèn)證機(jī)構(gòu)提供的證明是否足以采信?
           
          2.認(rèn)證機(jī)構(gòu)和證書用戶之間的關(guān)系
           
          由于數(shù)字證書和電子簽名和傳統(tǒng)社會中的身份證明和手工簽名相比,更加抽象,技術(shù)含量很高,從技術(shù)層面看,網(wǎng)上用戶和認(rèn)證機(jī)構(gòu)顯然是不對稱的,普通用戶無法說明數(shù)字簽名的技術(shù)原理、實現(xiàn)過程,在發(fā)生法律糾紛時,網(wǎng)上客戶甚至不具備舉證的能力,當(dāng)涉及認(rèn)證機(jī)構(gòu)和數(shù)字證書用戶(網(wǎng)上用戶)之間的訴訟時,數(shù)字證書的用戶顯然處于弱勢。
           
          根據(jù)證書簽發(fā)者在電子商務(wù)交易中的角色,認(rèn)證機(jī)構(gòu)可以分為兩類:一類是與交易完全無關(guān)的第三方,如CTCA和地方政府建設(shè)的CA系統(tǒng)等;另一類是服務(wù)主體為方便其既有客戶群體開展網(wǎng)上商務(wù)活動而建設(shè)的認(rèn)證機(jī)構(gòu),比如商業(yè)銀行為其客戶頒發(fā)的用于網(wǎng)上支付的數(shù)字證書。對于第一種情況,認(rèn)證機(jī)構(gòu)能否提供足以跟蹤交易過程的電子審計記錄并在其中保持中立,成為整個認(rèn)證機(jī)制的關(guān)鍵;而對后一種情形,數(shù)字證書的申請使用者常常也就是該認(rèn)證系統(tǒng)的建設(shè)者的既有客戶,在此情況下,如果客戶使用數(shù)字簽名進(jìn)行網(wǎng)上支付,網(wǎng)上支付糾紛也就是商業(yè)銀行和其客戶之間的糾紛;客戶資金如果被冒名支付,既可能是客戶對證書保管不妥,也可能是因為銀行對數(shù)字證書的泄密或者客戶資金因為其他原因被侵害。由于數(shù)字簽名及認(rèn)證過程的高技術(shù)含量,則使得申請數(shù)字證書的客戶陷入更加不利的局面。
           
          另一類用戶是從事網(wǎng)上商務(wù)活動的網(wǎng)上商戶。這里網(wǎng)上商戶是指持有數(shù)字證書并在互聯(lián)網(wǎng)上開展商務(wù)活動的企業(yè)法人,比如銀行的特約網(wǎng)站。設(shè)想這樣一種情形,某商戶申請了某認(rèn)證機(jī)構(gòu)頒發(fā)的數(shù)字證書,而后,依靠該認(rèn)證機(jī)構(gòu)提供的雙重簽名軟件和該認(rèn)證機(jī)構(gòu)的信譽(yù)保障開展網(wǎng)上商務(wù)活動,但在其數(shù)字證書失效(比如下次證書展期)之前,因經(jīng)營不善而倒閉。在此情況下,該商戶實際上持有“合法”的(即能夠正常通過雙重數(shù)字簽名的)數(shù)字證書,而其本身已經(jīng)破產(chǎn),那末,為其頒發(fā)數(shù)字證書的認(rèn)證機(jī)構(gòu)實際上在此期間為其實施欺詐提供了方便,可能因此而負(fù)有責(zé)任。
           
          因此,認(rèn)證機(jī)構(gòu)在提供有償認(rèn)證服務(wù)的同時,其所應(yīng)承擔(dān)的責(zé)任如何界定,是否依靠認(rèn)證機(jī)構(gòu)的CPS(CertificatePracticeStatement)?還是有法定公認(rèn)的標(biāo)準(zhǔn)?是電子商務(wù)交易中需要面對的另一個問題。
           
          3.CA和RA(RegistrationAuthority)之間的關(guān)系
           
          部分認(rèn)證機(jī)構(gòu)出于驗證客戶身份、聯(lián)系證書客戶的需要,將整個認(rèn)證體系設(shè)計成兩大部分:CA部分負(fù)責(zé)證書的制作和管理,注冊管理機(jī)構(gòu)(RA)負(fù)責(zé)驗證客戶所提供信息的真實性,兩部分通過安全數(shù)據(jù)通訊渠道聯(lián)接。比如中國金融認(rèn)證系統(tǒng)(CFCA)中,各簽約商業(yè)銀行承擔(dān)著RA的職責(zé),而CFCA主要負(fù)責(zé)證書的制作和管理。
           
          由于安全問題的“水桶效應(yīng)”,CA+RA體系的安全性取決于兩者中的薄弱環(huán)節(jié),CA和RA之間的職責(zé)劃分成為認(rèn)證機(jī)構(gòu)安全性的關(guān)鍵問題。從理論上講,CA本身不負(fù)有驗證客戶身份(即證書所包含信息的真實性)責(zé)任,而可以輕易獲得證書的內(nèi)容,存在利用證書信息數(shù)據(jù)偽造客戶證書的可能性。如果出現(xiàn)客戶身份被假冒或客戶認(rèn)為自己的證書遭到非法復(fù)制的情況,CA和RA在證書的管理上的責(zé)任界定則成為焦點。同樣,當(dāng)證書包含的基本情況發(fā)生重大變化時(比如持有人死亡、破產(chǎn)等),RA應(yīng)該在多大程度上承擔(dān)對CA的告知義務(wù),因證書內(nèi)容與實際不符或證書涉及的內(nèi)容發(fā)生實質(zhì)性變化而造成的對其他客戶的侵害問題,將成為CA和RA關(guān)系中最主要的問題。
           
          4.CA和CA之間的關(guān)系
           
          就像現(xiàn)實生活中信任鏈的傳遞一樣,互聯(lián)網(wǎng)上的信任關(guān)系可以通過CA之間相互認(rèn)證實現(xiàn),進(jìn)而形成涵蓋全社會的公鑰基礎(chǔ)設(shè)施PKI。整個PKI系統(tǒng)的安全性和每個CA系統(tǒng)息息相關(guān),個別CA系統(tǒng)在客戶身份認(rèn)證中的失誤都可能通過CA系統(tǒng)的相互認(rèn)證而蔓延到整個PKI系統(tǒng);個別CA系統(tǒng)遭受侵害就意味著整個系統(tǒng)出現(xiàn)漏洞,從而導(dǎo)致其他CA系統(tǒng)在認(rèn)證過程中的失職行為;CA系統(tǒng)之間的相互認(rèn)證不再只是某兩個系統(tǒng)之間的個人行為,而會給整個PKI體系帶來影響。
           
          因此,單個CA應(yīng)當(dāng)承擔(dān)的責(zé)任、CA相互認(rèn)證后責(zé)任的劃分、CA系統(tǒng)相互認(rèn)證所應(yīng)遵守的標(biāo)準(zhǔn)和規(guī)范及對既有PKI系統(tǒng)帶來的影響等問題,成為認(rèn)證系統(tǒng)安全問題的重要課題。
           
          二、在電子商務(wù)立法中對安全認(rèn)證的建議
           
          總結(jié)上述幾個法律關(guān)系,可以看出,由于認(rèn)證機(jī)構(gòu)的特殊性,不能簡單地將其看作是“與電子交易雙方無關(guān)的第三方”,其所具有的公信力并不能與生俱來;相反,由于數(shù)字證書的抽象性,其公信力某種程度上有所削弱,為了推動電子商務(wù)的發(fā)展,增加數(shù)字證書的公信力,在法律賦予其權(quán)威性之前,需要對認(rèn)證機(jī)構(gòu)提出更高的要求;由于PKI的公共產(chǎn)品屬性,應(yīng)該對PKI和CA系統(tǒng)(尤其是對外提供商業(yè)服務(wù)認(rèn)證機(jī)構(gòu))的建設(shè)進(jìn)行立法規(guī)范。
           
          1.我國應(yīng)該盡快建立PKI建設(shè)的制度體系
           
          由于PKI在電子商務(wù)活動活動中的重要作用,為了鼓勵電子商務(wù)及電子政務(wù)的健康發(fā)展,作為基礎(chǔ)設(shè)施的PKI建設(shè)應(yīng)該首先健康發(fā)展,只有它的法律地位得到確認(rèn),電子商務(wù)才能從傳統(tǒng)商務(wù)形態(tài)中脫穎而出,但由于它的公共產(chǎn)品屬性,依靠非政府組織難于解決全部問題。比如,電子政務(wù)系統(tǒng)和電子商務(wù)系統(tǒng)的互聯(lián)問題、跨國認(rèn)證問題等,離開了政府主導(dǎo),跨國認(rèn)證問題可能給我國網(wǎng)絡(luò)安全帶來安全隱患,沒有明確的制度體系,電子政務(wù)可能游離與整個PKI體系之外,或者面臨安全隱患。因此,政府應(yīng)該制定涵蓋全社會需要的統(tǒng)一的政策體系,指導(dǎo)PKI體系建設(shè),對CA系統(tǒng)的建設(shè)標(biāo)準(zhǔn)、CA之間的相互認(rèn)證、跨國認(rèn)證等問題進(jìn)行明確規(guī)定,從而把PKI系統(tǒng)建設(shè)成保證網(wǎng)絡(luò)商務(wù)(政務(wù))活動安全的公共基礎(chǔ)設(shè)施。
           
          在澳大利亞、加拿大、美國等西方發(fā)達(dá)國家的實踐中,均將PKI系統(tǒng)看成具有公共產(chǎn)品屬性的基礎(chǔ)設(shè)施,堅持國家的主導(dǎo)作用,擬定了適用全國的PKI系統(tǒng)整體規(guī)劃,設(shè)置了全國統(tǒng)一的標(biāo)準(zhǔn),對CA、RA系統(tǒng)所應(yīng)具備的安全標(biāo)準(zhǔn)進(jìn)行了明確規(guī)定,對個別CA加入國家統(tǒng)一的PKI體系進(jìn)行規(guī)范。這些經(jīng)驗對我國建設(shè)PKI系統(tǒng)及適用于全國電子商務(wù)活動的法律法規(guī)具有重要的借鑒意義,我國目前現(xiàn)有的地方性立法在規(guī)范全國電子商務(wù)活動和指導(dǎo)
           
          PKI系統(tǒng)建設(shè)工作中的局限性,有待在全國立法中改進(jìn)。
           
          2.立法重點應(yīng)該更加關(guān)注CA責(zé)任的界定
           
          目前,電子商務(wù)實踐中對CA的責(zé)任存在一種傾向:就是“只服務(wù)不負(fù)責(zé)”,認(rèn)證機(jī)構(gòu)提供證書頒布、管理、認(rèn)證等相關(guān)服務(wù),收取一定的服務(wù)費(fèi),但并不承擔(dān)(或者不愿意承擔(dān))因數(shù)字證書的使用而引發(fā)的責(zé)任,而是通過認(rèn)證實務(wù)聲明(CPS)將相關(guān)責(zé)任推給證書用戶。這種傾向的存在從客戶角度看,不利于保護(hù)客戶的合法利益,某種程度上使客戶從事網(wǎng)上商務(wù)活動的風(fēng)險有所增加;從認(rèn)證機(jī)構(gòu)的角度看,不利于促進(jìn)其提高自身管理水平,繼續(xù)提高認(rèn)證技術(shù)的安全性;從全社會看,不利于推動電子商務(wù)的發(fā)展。
           
          數(shù)字證書發(fā)放、撤消、運(yùn)用,商務(wù)過程的記錄等,具有很強(qiáng)的技術(shù)性,相對與CA系統(tǒng)建設(shè)者來說,普通網(wǎng)上用戶在信息技術(shù)的掌握和運(yùn)用上,處于不利地位,如果不能通過立法保護(hù)弱者,則不利于推動網(wǎng)上商務(wù)活動的開展。就像在傳統(tǒng)社會的商務(wù)活動一樣,商務(wù)活動的要件必須齊全,交易主體的合法性、認(rèn)證主體的合法性、電子交易的不可抵賴性,缺一不可。不同在于電子商務(wù)活動在網(wǎng)絡(luò)上實現(xiàn),電子交易的過程短暫快捷,其所需的環(huán)境和實現(xiàn)的過程更加抽象復(fù)雜,在交易過程中普通網(wǎng)上用戶不具備審查相關(guān)程序、保存相關(guān)電子記錄的能力,在發(fā)生爭議時也不具備提出訴訟證據(jù)的能力。
           
          因此,制度建設(shè)中應(yīng)強(qiáng)調(diào)CA機(jī)構(gòu)的中立性,使其獨立于交易各方單獨行使認(rèn)證職能,在立法中應(yīng)明確其職責(zé),在允許其收取服務(wù)費(fèi)用的同時,承擔(dān)認(rèn)證失誤、管理失誤的責(zé)任,承擔(dān)因系統(tǒng)存在安全缺陷而帶給客戶的風(fēng)險暴露,以及承擔(dān)因非不可抗力造成的系統(tǒng)可用性缺失引發(fā)的客戶證書無法使用所帶來的損失;規(guī)定其在爭議出現(xiàn)時為交易相關(guān)方提供可靠真實電子記錄證據(jù)的責(zé)任和義務(wù)。在立法實踐中應(yīng)該更加注重程序的正確性,規(guī)定設(shè)立CA及RA所必須具備的條件,對CA系統(tǒng)的建設(shè)標(biāo)準(zhǔn)、數(shù)字證書的標(biāo)準(zhǔn)、加密算法的合法性、CA系統(tǒng)加入PKI體系的審查過程等進(jìn)行法律規(guī)定;在商務(wù)活動中,應(yīng)規(guī)定CA系統(tǒng)及網(wǎng)上商務(wù)活動的主體的責(zé)任,比如電子交易記錄應(yīng)該包含的要素、應(yīng)該保留的時間,以及當(dāng)技術(shù)升級時相關(guān)主體應(yīng)負(fù)的確保原始記錄可用性的責(zé)任等;在爭議發(fā)生時,應(yīng)該采取“舉證責(zé)任倒置”的原則,免除先天不具備提供相關(guān)證據(jù)的能力的網(wǎng)上用戶(尤其是個人用戶)的責(zé)任,法定由CA系統(tǒng)和網(wǎng)上商戶舉證。
           
          3.電子商務(wù)立法應(yīng)該注意和現(xiàn)有法律的銜接
           
          交易數(shù)據(jù)傳輸?shù)陌踩浴⒔灰變?nèi)容的不可篡改性、交易結(jié)果的不可抵賴性是數(shù)字簽名技術(shù)的重要功能。電子商務(wù)立法的目標(biāo)是數(shù)字證書取代傳統(tǒng)身份證、數(shù)字簽名替代手工簽名和印章,確立數(shù)字簽名及相關(guān)技術(shù)在電子商務(wù)活動中的法律主體地位,充分保證電子商務(wù)交易過程的安全。這就要求數(shù)字證書及數(shù)字簽名技術(shù)在特定范圍內(nèi)能夠替代現(xiàn)有法律證據(jù)的作用,而在現(xiàn)有相關(guān)法律中對爭議訴訟時效、身份證和手工簽名(或印章)的法律效力、合同的要件等均有明確的規(guī)定,那末,在電子商務(wù)立法中就應(yīng)注意與現(xiàn)行法律的銜接,比如,數(shù)字證書應(yīng)該具有的要件、數(shù)字簽名技術(shù)應(yīng)達(dá)到的標(biāo)準(zhǔn)、與電子交易相關(guān)的電子記錄內(nèi)容構(gòu)成、與電子交易相關(guān)的信息、驗證數(shù)字簽名的記錄等,以及上述信息的保留時間等,均應(yīng)與現(xiàn)有立法的相關(guān)條款保持一致性;由于電子技術(shù)的快速發(fā)展,系統(tǒng)頻繁升級,電子記錄的保留和延續(xù)應(yīng)該符合現(xiàn)行法律的要求(至少應(yīng)不低于現(xiàn)有法律既定的訴訟時效),否則,電子記錄在承擔(dān)法律職責(zé)時會面臨挑戰(zhàn),不利于電子商務(wù)的廣泛開展。電子商務(wù)立法的基礎(chǔ)也將因此不甚穩(wěn)固。
           
          三、結(jié)論
           
          深入分析網(wǎng)絡(luò)虛擬環(huán)境下電子商務(wù)相關(guān)各方的關(guān)系,是電子商務(wù)立法的基礎(chǔ);電子簽名技術(shù)的實現(xiàn)依賴于相關(guān)基礎(chǔ)設(shè)施的建設(shè),電子簽名立法因此應(yīng)該以規(guī)范認(rèn)證機(jī)構(gòu)和公鑰基礎(chǔ)設(shè)施建設(shè)為前提;為了推動電子商務(wù)的廣泛開展,在立法上應(yīng)該對中介機(jī)構(gòu)提出明確要求,以便保持與現(xiàn)有法律的銜接。
           
          參考文獻(xiàn):
           
          [1]/GB/14576/28320/32776/32783/2426331.html
           
          [2]TenRisksforPKI:WhatYou’puterSecurityJouralVolumeXVI,Number1,2000
           
          [3]AustralianBusinessCertificateDigitalSignatureNumber(ABN-DSC),September2003,byAustralianGovernmentNationalOfficefortheInformationEconomy
           
          [4]GatekeeperCriteriaforAccreditationofCertificationAuthorities,September2003,byAustralianGovernmentNationalOfficefortheInformationEconomy
           
          [5]USGovernmentPublicKeyInfrastructureCross-certificationMethodologyandCriteria,Version1.0:March2003
           
          [6]LegelConsiderationsinDesigningandImplementingElectronicProcesses:AGuidelforFederalAgencies,November2000,U.S.DepartmentofJustice
           
          [7]PKIAsseeementGuidelinsGUIDELINESTOHELPASSESSANDFACILITATEINTEROPERABLETRUSTWORTHYPUBLICKEIINFRASTRUCTURES,PAGv0.30PublicDraftforcoment,InformationSecurityCommittee
           
          [8]胡英:PKI陷入僵局?中國計算機(jī)報,2003年4月22日