电子商务中的认证的机构,本文主要内容关键词为:机构论文,电子商务论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
为了保证Internet上电子交易的安全性(包括信息的保密性、真实完整性和不可否认性),防范交易及支付过程中的欺诈行为,除了在信息传输过程中采用更强的加密算法、加强电子签名的安全性等措施外,还必须在网上建立一种信任及信任验证机制,使交易及支付各方能够确认其他各方的身份。电子商务认证机构正是在这种情况下应运而生,它的角色即充当权威的第三方机构对各方进行身份认证,并颁发可供验证的数字身份证书。
一、认证机构的概念和特点
电子商务中的认证机构是由英文“Certification Authority”翻译而来的,其缩写形式为CA,有的论著将之翻译为“核证机构”(注:单文华:《电子贸易的法律问题》,载《民商法论丛》,第10卷,法律出版社1998年版,第23页。),有的著作将之翻译为“认证中心”(注:刘采等著:《全球电子商务》,人民邮电出版社1999年版,第76页。)认证机构,从字面上理解,凡是能颁发认证证书的机构,都可以称之为认证机构。对认证机构的法律定义,UNCITRAL在《电子签名统一规则(草案)》第一条定义中规定:“认证机构是指从事颁发为数字签名的目的而使用的加密密钥相关的(身份)证书的任何人或实体。(该定义受任何要求认证机构取得许可,或认可,或以一定的方式进行营业的有效法的限制。)”(注:阚凯力、张楚主编:《外国电子商务法》,北京邮电大学出版社2000年11月版,第328页。)美国《统一电子交易法》草案的第二条曾规定:“认证机构,是指任何在其业务中从事颁发用于电子签名的密钥身份证书的人或实体”,但是在后来的正式文件中删除了这一规定。(注:张楚著:《电子商务法初论》,中国政法大学出版社2000年4月版,第212页。)新加坡《电子交易法》第二条规定:“认证机构是指颁发数字证书的人或组织。”德国《多元媒体法》中的第三章对认证机构的定义是:“本法所称认证机构,为能证明公开金钥与一自然人间之配属关系、并持有第4条规定之许可(指经主管机关许可)之自然人或法人”(注:廖纬民著:《德国“多元媒体法”简介》,资讯法务透析杂志,1997年11月版,第45页。)日本《认证机构指南》则将之定义为:“一验证申请人公开金钥、签发证书及寄送证书、登记及管理申请人公钥、制作及管理认证机构本身金钥、登记及管理证书废止、实行交互认证及与其他认证机构联系之自然人或组织”。
我国有学者对认证机构的概念描述是:在电子商务中,无论是数字时间戳服务,还是数字证书的发放,都不是靠交易双方自己来完成的,而需要有一个具有权威性和公正性的第三方来完成。认证机构就是承担网上安全电子交易认证服务、能签发数字证书,并能确认用户身份的服务机构。(注:胡静编著:《电子商务认证法律问题》,北京邮电大学出版社2001年8月版,第83页。)但本文所指认证机构,为方便行文,专指电子商务中对用户的电子签名颁发数字证书的机构,是受一个或多个用户信任,提供用户身份验证的第三方机构。
在电子商务系统中,所有实体的证书都是由证书认证机构即CA中心分发并签名的。认证机构的主要任务就是受理数字凭证的申请、签发数字证书,以及对数字证书进行管理。它不仅要对进行电子交易的当事人负责,还要对整个电子商务的交易秩序负责。因此,这是一个十分重要的机构,往往带有半官方的性质。具体来说,认证机构有以下几个特点:
1、是独立的法律实体。认证机构以自己的名义从事数字证书服务并收取一定费用,以其自身的财产担保承担相应的责任。
2、具有中立性、公正性与权威性。认证机构一般并不直接与用户进行商事交易,而是在交易中,以受信赖的中立机构的身份,提供信用服务。它不代表交易任何一方的利益,仅发布公正的信息以促成交易;认证机构均不得参与任何形式的贸易,保持独立,以避免在可能的贸易纠纷中因受经济因素的制约而失去其公正性;认证机构在Internet上充当的是“公安部门”的角色,对电子世界中的各方进行身份认证,发放数字证书,正如公安部门发放个人身份证一样,因此它需要绝对可靠的权威,这只有经国家主管部门授权或直接是政府主管机关充当。
3、具有标准化的特点。由于政府主管部门可以规定法律统一的技术方案以及规范不同级别的认证机构的电子认证标准及程序,同时,政府主管机关通常担任最高一级的公共密钥认证机构的角色(这是美国各州及联邦政府以及德国等国公共密钥基础建设体系都普遍采用的一种形式)为标准化提供了条件;认证机构体系的建立、兼容跨国认证都要求统一标准化,以避免可能由于不同标准的出现而使得电子认证无法实施。
4、具有真实性、快捷性与机密性。认证机构所提供的各类信息,必须真实、准确、完整、可靠。严禁为客户提供虚假信息,否则失去了认证的意义;认证机构的工作人员和设备都应当具有快捷的反应能力,能够在很短的时间内处理各种客户认证业务;认证机构的工作人员应当具有良好的职业道德,忠于职守,保证信息不被泄漏给非授权人或实体,同时,应当配备先进的安全设备,能够有效防范外界黑客的非法入侵。
5、认证机构营业目的是提供公正的交易环境。从营业目标看,认证机构是非营利性公益企业。尽管认证机构也收取一定的服务费用,但该费用只能是微利性的。如果它以追求营利为目标,就很可能损害其中立性与公正性。由认证机构的以上特点可以知道,认证机构的作用在于保证传递中的电子信息的完整性、不被篡改和窃取及对电子信息发出者的身份认证、防止否认。从而防止电子交易风险,预防当事人之间的纠纷,以促进电子商务的健康发展。认证机构有官方性质的,也有民间性质的;有个人认证机构、也有法人认证机构;按照认证机构所处地位的不同,还可以划分为根认证(RCA)、品牌认证(BCA)、地域认证(GCA)、支付网关认证(PCA)、商家认证(MCA)及持卡人认证(CCA)等。
二、认证机构的设置模式
从世界范围看,安全认证机构的设置主要有两种途径:前一种是由政府组建的或者授权建立的相对统一的机构担任,以政府信用作为担保,由政府规定严格的审批条件和程序签发认证证书,同时行使监督权,以确保网络交易的安全性。如德国、马来西亚、加拿大等国的电子商务认证体系;另一种则是通过市场的方式建立。具有独立责任资格的电子商务认证公司或自然人,在市场竞争中建立信用。如美国、欧盟、新加坡、澳大利亚等国的电子商务认证体系。
德国对认证机构的设立采强制许可制。在其《数位签章法》中规定了“对认证机构的经营采取许可制,许可得附加条件”“经许可的认证机构必须具备下列要件:1、可信赖度:认证机构人员须担保遵守法规;2、专业性:认证机构人员须具有营运必要的知识、经验与能力;3、安全性:认证机构须向主管机关提出安全维护计划,证明其营运具备符合法令要求的安全措施。”
马来西亚对认证机构进行严格的许可证管理以保证认证中心的权威地位,为消费者建立起电子交易的信心。在其《1997年数字签名法案》中规定认证机构必须获得特许,对违反许可证管理的行为人课以刑罚处罚,这种严厉的规定是其他国所没有的。为了全面推进电子商务,马来西亚于1997年12月,宣布由政府全资拥有的非盈利性开发与研究公司“伯哈德”作为最先设立的公开密钥认证机构正式运营,颁发数字证书,以利于安全电子交易的进行。
美国对认证机构的设置以犹他州为例,虽不采强制许可制,但经政府核准成立的认证机构,可享有如赔偿责任限制的优惠。犹他州《数字签名法》201条第2、3款规定,如果符合了前5项条件(人员、设备、担保、场所、信息公告栏),向主管部门提交了许可证的书面申请并支付了要求的规费的,主管部门应当颁发认证机构许可证。
新加坡《1998年电子交易法》是采取后一种方式的。即有能力的组织都可以进入安全认证的市场,凭借自己的市场竞争能力建立信用。新加坡在安全认证机构的市场准入方面非常宽松,但在安全认证市场管理方面则非常严格,以此弥补电子安全认证机构的规范性与可靠性:一、该法规定,政府任命一个安全认证机构的管理机构,专门负责许可、证明、管理和监督安全认证机构的活动;二、安全认证机构可自愿向管理机构申请许可,虽然管理机构的许可并不妨碍安全认证机构进入市场,但得到许可的安全机构可以享受某种“优惠”,如取得许可的认证机构核发的认证证书,具有较强的证据效力;尤其是取得许可的认证机构,可以享受法律规定的责任限制。新加坡正是通过给予获许可的安全认证机构以责任限制的“优惠”来鼓励安全认证机构向政府申请许可,从而加强对市场安全认证机构的管理。在于1999年通过的《新加坡电子交易(认证机构)规则》中则授权成立了认证机构管理署,而国家计算机委员会是认证机构管理署的主管机关。该规则还具体规定了认证机构的内部管理结构、评估标准、申请费用、证书的证据推定效力以及限定性责任等。目的是在新加坡建立一个符合国际水准的市场型认证服务体系。
欧盟为鼓励认证服务业的发展,在《ES指令》中规定各成员国不得以法令规范认证服务需经事前许可(prior authorization)。换言之,对于电子认证机构,不得采取强制许可(mandatory licensing)的规定。成员国可以不受限制地设定备案计划,使认证机构能保持良好水准;但自愿备案之规定必须是客观的、清楚的、适当的且无歧视性,而成员国不得以《ES指令》为由限制认证机构的数量。
前一种设置模式的优势在于电子商务认证机构的统一,通用性强,但在适应各行业部门特点方面稍嫌不足,而后一种则能够弥补前一种这一缺点,但在电子商务认证的通用性方面又显得欠缺。我国现阶段认证市场尚不成熟,对认证机构采强制许可制更为适宜。信息产业部征求意见稿《电子商务认证机构管理办法》中规定:国家信息产业主管部门负责电子商务认证机构的审批和管理工作,并规定了严格的审批条件和程序。我国现有的电子商务认证机构是广东省电子商务认证中心(注册名为广东省电子商务认证有限公司)、上海市电子商务安全证书管理中心有限公司、北京国富安电子商务安全认证中心以及中国金融认证中心(CFCA)、中国电信安全认证中心(CTCA)等。
三、认证机构的法律地位
从法律角度考查,认证机构扮演着一个监督管理买卖双方签约、履约的角色。在整个电子商务交易中,包括电子支付过程中,认证机构都有着不可替代的地位和作用。认证机构所提供认证服务对于网络世界的交易秩序影响极大,如果我们在法律上不能对此加以有效的规范,极可能对电子商务交易造成大范围的伤害。正因如此,对认证机构的职责其与交易当事人三方之间的法律关系亟需予以规范。
(一)、认证机构的职责
综合各国认证机构的作用,笔者归纳其基本职责宜有以下九点:
1、证书的签发。认证机构应负责接收、验证用户(包括下级认证机构和最终用户)对证书的申请,将申请的内容进行备案,并根据申请的内容确定是否受理该证书的申请。如接受申请,则进一步确定给用户颁发何种类型的证书。证书签发实际上就是用认证机构的私钥对证书申请签名。
2、验证并标识证书申请者的身份。包括确保认证机构用于签名证书的非对称密钥的质量、整个鉴证过程的安全性给签名私钥的安全性;对证书材料信息的管理,确保证书主体的唯一性。
3、保护证书库。证书库存放于指定公开目录下,一般用户可以从此处读取、拷贝证书,获得其他用户的证书和公钥。
4、私钥的管理及私钥备份。有些认证机构要求对所有的私钥必须进行备份,有些认证机构则要求私钥由证书持有人自己保管。私钥管理的前提是密钥在认证机构端脱机生成,即认证机构不负责管理用户通过浏览器在本地生成的私钥。
5、证书的更新。给证书规定一个有效期限可以增加安全度。证书使用的时间越长,其风险就越大。认证机构应定期检查证书的有效期限,定期更新所有用户的证书,或根据用户的请求而更新用户的证书。
6、证书的查询。认证机构根据用户的查询请求,对证书申请的查询和对用户证书的查询都可以通过目录服务器来完成。
7、证书的废止。当用户的私钥由于泄密的原因而造成申请废止证书,或者是证书已过了有效期限以及其他原因而需废止证书,认证机构可以通过维护证书废止目录来完成上述功能。
8、信息的披露。对于所签发的证书、证书中止、证书废止等信息,认证机构必须在网络或其他媒体公开相关信息,以俾各界随时查询利用。此外,对与其自身相关的信息认证机构亦应对外披露,如台湾《电子签章法草案》即曾规定以下信息应予披露:认证机构本身的证书及公钥,认证作业准则声明,认证机构本身证书的中止或废止,其他足以影响签发证书可靠性、或影响其执行业务及提供服务的任何事实等。
9、信息的保密。对于证书申请人向认证机构披露的身份信息及有关信息、用户委托认证机构保管的私钥认证机构负有保密的职责,除非法律另有规定。
(二)、认证机构与相关当事人之间的法律关系
认证机构与证书持有者之间的法律关系大多通过合同约定,认证机构为其提供信用服务,发放数字证书,并以认证机构的名义担保证书信息的真实性,同时收取一定的费用;对证书持有者则要求提供和保证证书中所含信息的真实性、准确性和完整性。对私钥应当予以妥善保管并在私钥出现问题(如遗失、泄密等)时及时通知所有所能预见到的受证书影响的人和认证机构。
认证机构与证书信赖者之间的法律关系大致可以分为三类:
一类是社区认证服务型,即交易双方均为某认证机构的证书用户。此时认证机构与他们的关系均存在认证服务合同,可以形成与证书持有者之间的合同关系。但同时他们也是证书信赖者,可以证书信赖者的身份要求认证机构履行谨慎从事的义务。
一类是单方证书用户型。当交易一方是认证机构的证书用户,而另一方不是认证机构的证书用户时,此处非证书用户为典型的证书信赖者,是依照认证机构的特殊职责,因交易关系的进行而与认证机构之间形成了信赖其信用服务的关系。证书信赖者在信赖证书持有者的证书之前,必须根据相应的最新的CRL检查证书的状态,查明正书是否还在有效期,必要时有权向认证机构联系和查询。认证机构则负有对证书中信息的担保义务,除非在证书中声明对某些信息的正确性未经确认。
还有一类是虽然交易双方都是认证机构的证书用户,但其证书却是由不同的认证机构分别颁发的。这种情况,在国际贸易中经常出现。对此就涉及到交叉认证关系,该关系需要通过各国或各认证机构之间的交叉认证协议来解决,以便相互确认对方证书的有效性,这和各国的公证文书的交叉确认、各国判决的交叉承认有相似之处。
四、认证机构的法律责任
认证机构在从事签发电子凭证,证明电子签名正确性的业务活动中,承担着很大的法律责任的风险。例如申请电子凭证的一方提供了虚拟的身份信息,而认证机构没有通过仔细核查发现这些,没有及时告知接收电子签名文件的一方,就需要承担责任。在电子商务中,认证机构的地位既重要又危机四伏,如果不对其法律责任的风险加以适当的限制,认证机构就可能很难生存下来。
新加坡《电子交易法》对许可认证机构在对证书的签发有过错且给当事人造成了损失的情况,规定认证机构的损失赔偿额将以证书中载明的金额为限。但这引起了新加坡商业界和法律界人士的强烈批评。有学者认为,这种对认证机构特别保护的规定,还不如代之以利用合同或侵权的一般原则来解决这一问题,从而更好地保护消费者的利益。但是,如前所述,认证机构是一个高要求高风险的行业。一旦认证机构的认证活动出现了差错,所造成的损失也将是极为严重的,如果由认证机构承担过重的损害赔偿责任,人们就很可能不愿去从事该行业。这同样也会影响电子商务的发展。所以,对电子商务中风险的分配,认证机构责任的分担,最终都有赖于电子商务市场的成熟。
目前,我国对于认证机构宜采取一定的责任限制保护。但如何确定这种责任限制保护,则有不同的意见。有人认为应该象海运业那样,规定一个固定的数额作为责任限额;有人认为应该采用浮动的责任限额,即以每次认证行为所涉及交易金额或认证申请人交纳的费用为基础,按照一定的比例来确定每次损害赔偿的责任限额。但是,要核定认证行为所涉及交易的确切金额是相当困难的,而认证活动所收取的服务费用与认证活动涉及的交易或受害人蒙受的损失通常是毫无关联且相差甚大。所以,相比之下,笔者认为采用一个固定的责任限额限制认证机构的损害赔偿责任的方式较为可取。
注释:
⑦胡静编著:《电子商务认证法律问题》,北京邮电大学出版社2001年8月版,第84-85页。也可见于张楚著:《电子商务法初论》,中国政法大学出版社2000年4月版,第213-214页。
⑧孙晔、张楚编著:《美国电子商务法》,北京邮电大学出版社2001年11月版,第145页。
⑨学者胡静认为,可以分为四类,还有一种混合认证关系,是指认证机构是主营其他服务的,而认证服务只是其衍生业务。如银行在向客户提供认证服务的同时,还可提供支付、结算等服务。