关+于电子商务安全认证的立法思考.doc
《关+于电子商务安全认证的立法思考.doc》由会员分享,可在线阅读,更多相关《关+于电子商务安全认证的立法思考.doc(11页珍藏版)》请在三一文库上搜索。
1、DOC格式论文,方便您的复制修改删减关于电子商务安全认证的立法思考(作者:_单位: _邮编: _) 摘要近年,随着网上银行、网上商城的蓬勃发展,与网上交易及网上支付行为相关的法律问题正在受到越来越多的关注,电子商务中所采用的相关技术、交易流程、相关机构的法律地位已经成为人们关注的焦点。国内各地电子商务交易立法的探索也取得了一定进展,2003年2月1日,国内第一部有关电子商务的地方性条例广东省电子交易条例在广东省开始施行,迈出了我国地区电子商务立法的第一步。2004年4月2日,第十届全国人大常委会第八次会议讨论通过电子签名法草案,并于2005年4月1日开始实施。标志着我国全国性的电子商务立法迈出
2、了第一步。但是,电子签名的合法性不但需要法律的确认,而且需要相关的基础设施的支持,对这些基础设施建设和法律责任进行规范成为电子签名立法不可缺少的部分。所以,需要深刻分析电子商务中各方之间的法律关系,并对各方应该承担的责任进行界定。本文通过分析电子商务交易中认证机构的法律地位、认证机构和证书用户之间的关系、CA和RA之间的关系、CA和CA之间的关系等几个和电子商务交易中的几个关键问题,并由此提出了有关电子商务立法的几点建议。 关键词电子商务法律立法 一、电子商务安全认证的法律关系分析 电子商务,是指通过电子网络进行的产品及服务的贸易活动的全过程,主要包括信息搜寻、订货与支付,以及运输三个阶段。由
3、于商务活动通过电子网络完成,客户身份出现了虚拟化,为了防止交易数据被篡改、冒名、欺诈等操作风险,验证交易各方身份,防止抵赖交易有关的事实,人们设计了数字签名技术,并建设了认证机构,形成了覆盖商务领域的公钥基础设施PKI(PublicKeyInfrastructure)。网络的使用以及认证机构的出现,使得现实社会中交易各方的关系发生了显著变化,研究电子商务中交易各方的关系无疑对电子商务的立法具有十分重要的意义。 1.认证机构的法律地位问题 目前,电子商务学术界将认证机构定义为:参与电子交易的各方提供网上身份认证、数字证书签发与管理等服务的第三方机构。即,认证机构负责在虚拟网络世界提供验证交易双方
4、及多方的真实身份,证明电子商务交易过程及信息的真实性,保证交易的不可抵赖性。和传统社会中的公正机构承担类似职能,被认为是通过提供网络虚拟世界身份认证服务,而与交易无关的中间机构,同时,由于证书签发和认证是有偿服务,也被认为是赢利机构。 认证机构是制造证书的“权威机构”,但其对证书所包含的信息内容是否具有权威性呢?由于客户身份真实性的验证,即数字证书签发环节,是电子交易真实性的基础,证书所包含的信息的真实性是数字证书实现其功能的必要条件。从危害性看,提供内容不实的数字证书更甚于提供虚假证书,数字证书真实性的前提和基础是所含信息的真实性,因此,认证机构必然负有替交易一方保证交易另一方身份真实性的全
5、部责任。由于网络环境的特殊性,数字证书成为验证客户真实身份的最主要工具,当验证客户身份的责任转移发生转移后,认证机构也因此负有比传统社会中公证机构更多的责任。 另一方面,在电子交易过程中,交易的真实性和不可抵赖性通过认证机构对数字签名的正确性认定,认证机构事实上已经参与到交易过程中,而且是交易过程很重要的环节,认证机构因此负有对相关信息进行保密存档的责任,否则,当交易双方出现法律纠纷时,则无据可依。 综合上述两方面因素,可以看出,数字证书的签发和认证机构,先天地成为电子商务交易的责任方之一,其对电子商务交易全过程负有更多的责任和义务。而认证机构的本身的“权威性”从何而来,什么样的机构可以使其具
6、有这样的“公信力”?当交易双方发生争议时,认证机构提供的证明是否足以采信? 2.认证机构和证书用户之间的关系 由于数字证书和电子签名和传统社会中的身份证明和手工签名相比,更加抽象,技术含量很高,从技术层面看,网上用户和认证机构显然是不对称的,普通用户无法说明数字签名的技术原理、实现过程,在发生法律纠纷时,网上客户甚至不具备举证的能力,当涉及认证机构和数字证书用户(网上用户)之间的诉讼时,数字证书的用户显然处于弱势。 根据证书签发者在电子商务交易中的角色,认证机构可以分为两类:一类是与交易完全无关的第三方,如CTCA和地方政府建设的CA系统等;另一类是服务主体为方便其既有客户群体开展网上商务活动
7、而建设的认证机构,比如商业银行为其客户颁发的用于网上支付的数字证书。对于第一种情况,认证机构能否提供足以跟踪交易过程的电子审计记录并在其中保持中立,成为整个认证机制的关键;而对后一种情形,数字证书的申请使用者常常也就是该认证系统的建设者的既有客户,在此情况下,如果客户使用数字签名进行网上支付,网上支付纠纷也就是商业银行和其客户之间的纠纷;客户资金如果被冒名支付,既可能是客户对证书保管不妥,也可能是因为银行对数字证书的泄密或者客户资金因为其他原因被侵害。由于数字签名及认证过程的高技术含量,则使得申请数字证书的客户陷入更加不利的局面。 另一类用户是从事网上商务活动的网上商户。这里网上商户是指持有数
8、字证书并在互联网上开展商务活动的企业法人,比如银行的特约网站。设想这样一种情形,某商户申请了某认证机构颁发的数字证书,而后,依靠该认证机构提供的双重签名软件和该认证机构的信誉保障开展网上商务活动,但在其数字证书失效(比如下次证书展期)之前,因经营不善而倒闭。在此情况下,该商户实际上持有“合法”的(即能够正常通过双重数字签名的)数字证书,而其本身已经破产,那末,为其颁发数字证书的认证机构实际上在此期间为其实施欺诈提供了方便,可能因此而负有责任。 因此,认证机构在提供有偿认证服务的同时,其所应承担的责任如何界定,是否依靠认证机构发布的CPS(CertificatePracticeStatement
9、)?还是有法定公认的标准?是电子商务交易中需要面对的另一个问题。 3.CA和RA(RegistrationAuthority)之间的关系 部分认证机构出于验证客户身份、联系证书客户的需要,将整个认证体系设计成两大部分:CA部分负责证书的制作和管理,注册管理机构(RA)负责验证客户所提供信息的真实性,两部分通过安全数据通讯渠道联接。比如中国金融认证系统(CFCA)中,各签约商业银行承担着RA的职责,而CFCA主要负责证书的制作和管理。 由于安全问题的“水桶效应”,CA+RA体系的安全性取决于两者中的薄弱环节,CA和RA之间的职责划分成为认证机构安全性的关键问题。从理论上讲,CA本身不负有验证客户
10、身份(即证书所包含信息的真实性)责任,而可以轻易获得证书的内容,存在利用证书信息数据伪造客户证书的可能性。如果出现客户身份被假冒或客户认为自己的证书遭到非法复制的情况,CA和RA在证书的管理上的责任界定则成为焦点。同样,当证书包含的基本情况发生重大变化时(比如持有人死亡、破产等),RA应该在多大程度上承担对CA的告知义务,因证书内容与实际不符或证书涉及的内容发生实质性变化而造成的对其他客户的侵害问题,将成为CA和RA关系中最主要的问题。 4.CA和CA之间的关系 就像现实生活中信任链的传递一样,互联网上的信任关系可以通过CA之间相互认证实现,进而形成涵盖全社会的公钥基础设施PKI。整个PKI系
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 电子商务 安全 认证 立法 思考
链接地址:https://www.31doc.com/p-2761832.html