网络商务主体身份认证--论我国网上交易的安全解决方案_电子认证论文

网络商务主体身份认证--论我国网上交易的安全解决方案_电子认证论文

在线经营主体身份认证——论我国在线交易安全解决方案,本文主要内容关键词为:在线论文,身份认证论文,主体论文,安全解决方案论文,论我国论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。

中图分类号:DF523文献标识码:A文章编号:1002-3933(2007)04-0011-08

一、导言

如今,互联网已经成为人类社会非常重要的电子通信媒体。人们不仅仅利用互联网进行通信交流,而且用来从事电子商务,在线购买商品和服务。这种通过互联网进行的贸易活动称为“在线交易”(online transaction),从合同的签订到支付款项,所有行为均在线进行。互联网世界提供了无限商机,无论是对于个人,还是对于企业,在线交易都为他们提供了广阔空间。任何人只要注册一下,就可以成为在线交易的主体,然后轻松地通过网络进行交易,因而出现专门为个人之间在线交易提供的交易平台(俗称消费者对消费交易,CtoC模式)①。

任何个人或组织都可以在互联网上建立自己“虚拟”的在线主体(online entity)身份,不需要实质的经营场所和办公场地,这是电子商务运行环境与传统商务相比最重要的变化。

通常情况下,在线交易不能一次性完毕,达成在线交易协议的同时并不能立刻完成交易②。而且交易主体可能距离遥远,交易完成也需要一段时间。在线交易从一开始就建立在匿名模式和“别名”模式(anonymity and pseudonymity)的基础之上③。无论是个人还是公司,进行在线交易都需要注册一个自己可以决定的名称,从而成为一个“虚拟”的交易主体。正如美国联邦商务委员会(FTC)所说的:“任何人都可以用随便一个名字开自己的店”④。现在,在线主体可以利用计算机网络进行交流,而可以避免对其行为的追索。有些网络服务商甚至提供一些更“贴心”的服务,例如“匿名者”、“匿名服务提供商”、“转寄邮件公司”等等,用户无需显示真实身份就可以收发邮件、访问网站,这使得追踪用户的真实身份更加困难⑤。

通常,在即时买卖交易中(即一手交钱,一手交货),人们并不在意买方或者卖方都究竟是谁。但是,在非同时交易中,知道你的交易对象是谁就很重要了。

通常情况下,在线客户不要求与他们的交易对象见面,也不太在意交易对象的确切地址,但是如果交易后你并没有如期收到商品、货款或者产品出现了质量问题,或者双方产生了其他纠纷,那你就必须要找到确切的交易对象,寻求适当的救济。就这一点而言,我们当然不能指望所有的在线主体在注册时都诚实地表明了自己的真实身份,也不能指望问题出现后他们会自动披露其真实身份⑥。因此,是否能有效地确认交易当事人的身份最终取决于他们在注册时填写的信息是否真实有效。

事实上,很多在线交易主体在注册时使用其真实身份,因为这是有效的网上营销之道。所以对于大多数在线主体(经工商登记的企业或商户)之间的网络交易来讲,匿名并不是一个问题。但是匿名交易在网络空间还是大量存在,而且这种网络匿名交易比现实中的匿名商务活动多得多,也危险得多⑦。在现实的商业往来中我们可以亲自见到商家的经营场所或者可以亲自拜访商户,来辨别其可靠程度。因此,我们之所以在现实交易中接受一定程度的匿名,是因为他们在现实社会中的真实存在使我们有一种信任感。而在网络世界中我们恰恰缺少这种信任感⑧。

与BtoB模式相比,这种情形在CtoC和BtoC模式中更加严重,因为个人与小商户更加倾向于使用别名或者假名(即网络用户名)⑨ 进行在线交易。而且,个人和小商户通常都是通过在线交易服务提供商(online transaction service provider,下文使用缩写OTSP)⑩。OTSP就如同为他们提供了一个虚拟的商业区(11),四面八方的个人和商户在这里提供了各式各样的商品和五花八门的服务;这些商品和服务来自拥有网上商店或主页面的网络注册用户,这些用户自己上传商品与服务的详细信息,形成虚拟市场。

OTSP各自有一套用户或者会员的注册方式,在日益激烈的竞争压力下,这些服务商们为了吸引潜在的客户,不可能设置过严的注册条件以将潜在用户拒之门外(12)。这样就使得可以用来追踪用户行为和商誉的信息稀少,用户行为难以追索。按如今的商业习惯,每个人都可以轻松地通过OTSP做生意,向消费者提供商品和服务。而买家通常都是基于对OTSP声誉的信任而与卖家达成在线交易(13)。但是,有时难免会令人怀疑,那些自称开店的商家是否在现实中真的存在。

如果交易自始至终都顺顺利利,那当然没有什么可担心的。可是一旦出现纠纷,例如欺诈性交易,那就必须证明谁对这样的行为负责,这意味着我们必须揭开“虚拟主体”的面纱,并让现实中的某个真实的主体承担相应的责任。这就意味着我们必须找到一种方法,使得在线的商业活动具有可追溯性。从纯技术角度看,审查网络用户的计算机,或者相关的服务器(历史记录、IP地址等等),可以追溯那些通过互联网进行的交流活动。但是对于个人来说,为了得到民事赔偿而去审查别人的电脑记录显然是不太现实的。因此,我们就需要找到一种可以将在线主体与现实中的人(自然人或者法人)一一对应起来的机制。这样的机制是解决上述问题的关键,也是保护交易双方基本的信任感以及在线交易的安全性的基础。

匿名是互联网经济所有不安全因素的源头。当然,基于对隐私权的保护,我们不能完全禁止互联网上所有的匿名通信和交流(14)。但是我们也不能让个人隐私权成为欺诈者规避责任的保护伞。在商业领域,知悉交易方的基本的身份信息是防止欺诈、保护交易安全(因而保护社会利益)的必要措施,对交易安全的保护应当优先于个人的隐私权保护(15)。我们应该禁止网络中商业交流与商业交易中的匿名行为(16)。而这里所指的网络匿名不是形式上匿名(即“表面匿名”apparent anonymity),而是实质上的匿名(“真正匿名”true anonymity)(17)。换而言之,只要通过OTSP可以追踪到在线交易主体的身份,那么在交易时使用虚拟用户名是可以接受的。问题的解决之道不是要取缔所有的匿名在线主体,而是建立一种体制,在必要时可以辨别出匿名的在线主体真实身份。实质上,我们承认网络环境中的匿名(即网名),但是,又存在使网名归属于特定主体的认证机制,因而不是真正匿名,而是表面上匿名。

这篇论文的目的就是讨论在当前我国的政策法律框架下,如何认证在线主体身份。在我国,任何单位或个人从事商业活动都应当进行工商登记,取得工商管理机关颁发的营业执照。取得营业执照从事经营活动的主体在法律上称为经营主体或商事主体。但在实践中,大量的商业交易(尤其是个人之间)是由没有经过工商登记的主体完成的。在网络环境下,由于商业活动可以在匿名条件下进行,所以这种情况更严重。既然在现实中我们不能完全禁止那些未经工商登记的商业主体从事商业活动,所以我们所谈的安全措施必须既涵盖经工商注册的主体又包括未经工商注册的主体。所以本文将在线经营主体(亦即商事主体)分成两类:经工商注册的主体和未经工商注册的个人(本文称未经工商登记而在线从事商业活动人称为个人商户,区别于经登记的个体工商户)。

对于第一类主体(公司、合伙企业,等等),披露其真实身份并不涉及隐私权的问题,也很容易通过检索工商登记部门的记录来验证其合法身份。而对于第二类主体(通常是零零散散的个人商户),直接揭示其真实身份就很有可能涉及到隐私权问题。解决这个问题就要选择形式上的匿名体制(即“表面匿名”),即:个人商户们可以继续以网络用户名进行在线交易,但是存在一种机制使该用户与现实中的特定人联系起来,使他的行为可以追溯(18)。

本文将对上述两种方案展开讨论。文章第二部分,主要介绍我国三个地方政府的措施,分析如何确认和验证那些经过工商登记的在线商事主体的身份。文章第三部分,主要讨论的是在OTSP上实行“形式匿名”制度的方案。笔者建议从事在线业务的个人在注册时必须进行在线身份认证。在这里笔者试图寻求一个既能保证在线交易安全又能保护交易主体隐私权的平衡机制。

建立相关规则来保护OTSP的合法权益、规范OTSP验证在线商户身份的义务和责任对于电子商务非常重要也很有意义,是值得深入讨论的。但由于OTSP的法律责任和法律义务本身是很复杂很庞大的课题,故本文不加讨论。

二、经工商登记的在线用户的在线认证制度

在我国,在工商管理机关取得营业执照是从事商业活动的先决条件。未经许可的商业活动,理论上是违法的。工商注册有以下几个主要目的:1)赋予某个主体从事商事活动的主体资格的合法性;2)向大众披露经营主体的基本身份信息;3)征税目的。在这样的法律框架下,任何以盈利为目的的在线商业活动都应该进行工商登记,取得营业执照(19)。

在纸质档案系统下,登记机关将工商注册登记以纸质的形式归档、备案,并向公众开放。当人们与不熟悉的商业主体从事商业往来时,可以通过查询工商管理机关的相关档案信息,或者亲自去注册机构查询,以确认对方身份。对方的基本信息都可以在注册机关查询到。而随着数字时代的到来,人们还可以通过注册机关的内部网络查询需求的主体身份信息。而如果注册机关已经将所有的记录和档案数字化且制作在线查询系统,那么人们可以通过因特网直接登陆互联网查询,这样更加方便。

因此,计算机网络提供了一个更轻松更快捷的查询经工商登记的主体身份的途径。互联网成为企业登记信息公示或披露的有利工具。人们不必亲自跑去注册机关,只要上网查询一下就可以轻松了解和查询到所需的商业伙伴的注册信息。基于这种想法,我国一些地方政府,例如北京市、上海市、江西省,已经致力于利用网络优势建立商业主体在线验证系统(在线企业身份验证系统),帮助在线主体的交易伙伴通过互联网验证在线主体的身份。这个系统所设计的查验机制不仅可以了解在线主体的身份,而且可以验证其所提供的信息是否真实可信。

(一)具有独立网站的企业主体在线认证制度(北京模式)

关于电子商务企业注册,北京工商管理局采取了两种方式:

1.网站名称注册

2000年9月1日,北京市工商管理局发布了《北京市工商行政管理局关于网站名称注册管理暂行办法》(《北京办法》)(20),该暂行办法规定,北京市工商管理局是国家工商行政管理局授权的对全国注册网站名称进行统一注册试点的主管机关。依照该暂行办法,无论是商业网站还是非商业网站,其所有者对其所注册网站名称享有专有权,但因仅属于地方规章,其注册的法律效力具有不确定性(21)。

2.商业网站注册

依照2000年3月28日发行的《北京市工商行政管理局网上经营行为登记备案的通告》(22)和2000年9月1日发行的《北京市工商行政管理局关于网站名称注册管理暂行办法》(《北京办法》),北京市工商管理局是全国网上经营行为登记备案机关。

商业网站的注册信息包括两方面:

(1)网站基本信息:网站名称、域名、客户服务电话号码、E-Mail地址、办公地址。

(2)网站所有者信息:网络经济组织名称、注册号(或有效证件号码)、住所(家庭地址)、法定代表人、注册资本(金)、类型、经营范围、工商登记注册号码以及其他事项。

依照《北京办法》,所有的商业网站都应该到北京市工商管理局进行登记注册。可是由于北京市工商管理局并没有强制力,注册事实上沦为一种自愿行为。通过认证和登记的主体,在其主页上能够显示出通过认证的标志。而那些与该商家进行交易的商家通过点击该标志查验其注册信息,进而辨别该商户的网页是否真实可信。这事实上是政府提供在线信用服务。

北京市制度设计的出发点是网站的登记,似乎将网站作为一种虚拟主体,备案范围涉及网站名称的登记和网站备案登记,这种备案是独立于企业工商登记之外的一种备案手段,旨在确保网站经营者真实性和便于第三人查询经营者信息。

在线公示和认证系统的主要举措包括:1)注册网站名称并确认网站运营商;2)网站必须公开经核实无误的身份信息;3)设置核查系统,确保第三方可以明确网站运营者的身份。总体上,北京市网站备案是以公示网站经营者为目的的。北京模式的弊端在于其没有将那些没有独立网站,而是将通过在线服务商(如OSTP)进行在线交易的经营主体包括在内。当然,经营网站是整个互联网的基础,因此,抓住网站的备案登记也可以说是抓住了根本。

(二)在线经营主体工商注册的网络版(上海模式)

2000年9月1日,上海工商行政管理局签发了《上海市营业执照副本(网络版)管理试行办法》(23)(《上海办法》),根据该试行办法,在上海市登记注册、利用互联网从事经营活动的企业和个体工商户都需要申请和使用网络版本的营业执照。

试行办法第2条规定营业执照副本(网络版),是指由工商行政管理部门颁发的,营业执照的电子数字证书,是在互联网上确认经营主体资格的证明文件。

也就是说,这个网络版本的执照只是从事经营活动所必须取得的营业执照的副本。网络版本的功能只是为了确认企业和个体工商户在互联网上的经营主体资格的真实性,与确认经营主体的普通(纸质)营业执照没有本质区别。因此网络版本不是重新注册也不是特殊的注册;申请设立从事互联网经营活动的企业和个体工商户,经核准登记注册,同时核发营业执照副本(网络版)。如果企业和个体工商户已经进行了工商登记,申请新增互联网经营范围,应该经核准变更登记注册,同时核发营业执照副本(网络版)。事实上,在线申请更加方便快捷。与北京的做法相似,营业执照网络版也是一个数字标识,注册主体在其主页公示该标识,供商业伙伴进行查询以确认其合法性。通过点击该标识,人们可以看到商业主体的域名、IP地址和其他的服务器信息及基本的注册信息。

上海模式的主要特点是:其一,在线企业的公开基于营业执照的数字化,取得营业执照的同时就可以取得网络副本,以便在线查询确认(包括新增在线营业范围);其二,这个在线查询系统不仅包括那些有独立域名并在互联网上设立网站从事经营活动的企业和个体工商户,还包括了利用他人的网络服务从事在线经营的经营主体。

(三)在线经营者登记的电子化备案(江西模式)

2005年9月10日,江西省工商管理局出台了《江西省互联网上经营主体登记后备案办法》(江西办法),规范在线交易、提高互联网上经营主体信用度和透明度,保障在线交易的安全。

江西的该备案办法更关注营业登记,登记是经营主体从事网上经营的先决条件(24),不进行登记即不合法(25)。在营业登记后,取得营业执照的经营主体,可以向江西省工商管理机关备案以验证其是否符合进行互联网上经营的主体资格。通过审查的主体,可以得到工商行政管理部门颁发的《互联网上经营主体备案证书》及网页标识,发布备案公告。该证书的网页标识也作了数字化处理,可以公示在经营主体的主页上,以备在线交易相对人查证。其他的内容与上海模式基本类似。无论是自己设立网站经营的主体还是利用他人网站进行经营的主体都应该向工商管理部门申请备案。江西模式的主要特点是申请登记备案完全出于企业和个人商户的自愿,而不是强制行为(26)。

(四)小结

通过以上三个地方政府实施的措施,我们找到了对已经在工商部门注册过的在线主体进行认证的简便办法。尽管这三种做法各有不同,认证的机制却是一致的:通过数字化营业登记记录,建立一个可以查询的数据库,在线卖家或买家通过点击商户网页上的专有标识验证商业主体的身份。这个标识是工商部门基于营业执照而颁发的官方身份认证标志。它的可靠性是来自于认证机关的权威性,这样,公开商业主体的基本信息就没有任何法律障碍了。

以上的措施都只停留在地方政府层面上,国家工商管理总局还没有着手制定一个统一的办法。所以这些也只是规范电子商务的一些试验。至今,对这些措施实施的效果的评价还不多。依笔者之见,上海模式较好地结合了传统工商注册体系和当今的互联网工具,操作起来也比较简单易行。上海模式是一条有效的解决方法,比较有效地通过在互联网上公开在线主体的基本信息,证明和确定在线合同双方的身份。

不过与在线交易的无疆界性相比,这些措施的地方性严重地限制了其适用范围。即使这些措施在全国范围内适用,有些在线主体会为了规避法律而去别国进行注册,这也是值得忧虑的(27)。无论如何,都应该出台一些措施来公开和认证在线经营主体以确保在线交易的安全。

三、以在线身份认证为条件的个人商户注册

如前所述,互联网为个人经商提供了无限的空间。大量的商业实体和个人商户在第三方的网站上开设网络商店(28),进行独立经营活动(29)。如果在线主体没有经过工商管理机关登记注册,没有取得营业执照,那就不能建立身份信息登记系统,进行在线验证。

此外,对于个人用户,他们的身份信息还涉及隐私权保护的问题。所以公开个人用户的身份信息与保护其隐私权之间存在矛盾。但是,对于交易伙伴而言,仅仅依赖个人商户的用户名或者其自己创造的所谓“电子身份”就与其进行在线交易风险很大。虚拟的主体毕竟不十分可靠。那么平衡这种风险的办法应该是:首先,我们应该允许个人商户使用用户名(虚拟主体)从事在线经营活动或零星商业活动;然后建立一种机制,来确保其电子身份与现实中的真实身份可以对应起来。

(一)在线注册与认证:备选模式

基于因特网习惯,人们在访问网站、进行任何网上行动时都会创造一种电子身份(用户名)。现在,用户注册完全受制于各网站或者在线服务提供商自己制定的注册政策调整。而有些在线服务提供商会要求其客户提供一些真实信息才能被通过成为会员。比如,有些讨论专版或者网络社区,规定其会员必须提供一些真实信息,例如至少要提供有效的电子邮件地址或者真实姓名(30)。再如,想要注册eBay.com的用户就必须填写以下信息:1)姓名;2)出生年月;3)所在国家、地址和邮编;4)常用电话号码;5)E-mail地址。但是,如果用户要取得出卖人资格,必须提供有效的信用卡或借贷卡和银行账户信息,或者对其身份号码进行验证(31)。如果不存在验证程序,用户所填的信息是否真实有效却依赖于该用户是否诚实。计算机系统只能检验部分信息是否可用或者信息填写是否完整。

认证是把用户的电子身份与现实中的真实身份进行核实的程序。这需要用户提供其真实的身份信息(例如出生证明、身份证、护照等等)供验证。验证可以通过电脑联网进行(因此称为在线认证)或者现场进行(现场向认证机关出示相关证据)。

按照认证主体的不同,可以将认证分为两种认证模式:一种模式由OTSP自己认证,OTSP在用户申请注册时对其电子ID进行认证(因此称为自我认证模式);另一种模式是由一可信任的服务商提供认证,该服务商确认某用户的电子ID为现实中某个主体(因此称为第三方认证模式)。

第二种模式,必须存在一个专门为用户或OTSP提供注册和认证服务的第三方。经过该第三方认证的个人就可以得到电子ID,通过这个电子ID就可以注册成为OTSP的用户,并可以用该电子ID进行在线经营活动。第三方将这些个人信息记录整理成一个数据库,形成了一个可供OTSP和用户查询的资料中心,通过该中心核对或者校验那些申请访问网页、在线经营的主体身份。

在英国,想要进入电子政府服务的市民和组织需要获得认证证书,比如电子ID或数字证书(32)。这种认证机制也可以应用于在线商业交易。由第三方发放的电子ID或者数字证书可以成为网络空间的“护照”,持有者可以用它访问任何网站。在数字签名中,由可信的第三方(如“认证机构”,简写为CA(33))发放的数字证书是一个可以将个人与电子签名联系起来的数字证书。当用户选择使用数字签名签署文件时,数字证件就允许终端用户核对签名者的身份。作为电子签名的一种形式,数字签名认证的特点是:这种机制不仅能够认证身份,同时还可以验证信息内容归属于签名人(34)。

如果能满足一定的条件,OTSP可以自己完成对用户进行认证的工作。例如,如果存在可信赖的公民ID信息数据库,那么OTSP就可以通过互联网验证特定用户的身份。这种模式的流程可以概括为:当某个主体要注册成为OTSP的用户时,OTSP可以通过某个权威数据库来审查该主体所填信息是否与数据库中的档案信息相匹配;如果匹配,那么说明该主体是真实存在的,该用户或者说电子主体可以被确认为现实世界的某个特定的人。银行信用卡数据资料库可以作为OTSP查验用户身份的数据库之一,因为银行通常都会在验明身份(比如申卡人需要提供准确身份证号码)的基础上才会签发信用卡给持卡人。如果个人提供的信用卡号码经验证有效,就可以推定此人的身份可以得到认证。还有其他一些数据库也可供OTSP选择,例如,驾照数据库、电话号码数据库等等。甚至是政府机构的ID记录系统也可以直接作为可供查询的数据库。例如在中国,有些在线交易平台要求用户至少提供有效的银行卡号码或者身份证号码,否则不能通过电子认证,无法注册成为该服务平台的卖家(35)。关键的问题是这些数据库可否对OTSP开放,供OTSP使用(现实中,想要得到数据库所有者或数据库中信息所有者的许可可能存在困难),而且在保护隐私权的前提下如何构建这样的在线认证体系也是一个不太容易解决的问题。

(二)对两种模式的比较分析

第三方认证模式的优势之一是:个人用户一旦得到该第三方的认证,取得被承认的电子ID,就如同取得了网络通行证,他可以自由访问任何需要认证才能进入的网站,从事任何需要认证才能从事的网络行为,而无须一次又一次的重复认证。与此形成鲜明对比的是,OTSP自我认证模式下,OTSP对用户进行审查仅仅是为了自己的平台注册,用户在一个OTSP取得的电子ID(用户名)不能在其他的OTSP或者其他需要认证的网站通用。因此,从社会的角度,这种认证是低效率的。

第三方认证模式的另一优点是独立可信的认证机构可以同时提供人身验证和信誉验证(或资质认证)。如果该第三方认证机构在认证一个电子ID后可以继续追踪收集电子ID的信用记录,那么该认证机构在提供该电子ID的身份认证信息时,也可以同时提供其信用度认证。这样,至少一个用户在某一OTSP上的信用等级可以被其他OTSP或者其他商户们知晓,有助于他们充分掌握资料,做出合理的商业决策(36)。自我认证模式的缺陷就在于OTSP自己核查其用户的电子ID,其成员用户的信用评价不能被其他网站共享。

从实践角度考察,我们不得不承认,以现在的政策环境,实施这两种认证模式都不太容易。要实施第三方认证模式,必须有一个权威认证主体负责进行认证。尽管在实践中有很多值得信赖的服务商,但是要“说服”所有人信任该服务商并愿意接受其身份认证就不那么容易了。而且这种模式还会增加在线交易的成本(该成本由用户或者OTSP负担)。而自我认证模式的先决条件是存在可用个人身份信息库。即使某些商业主体(银行、电话公司等等)拥有一些个人身份信息库,其信息的正确性和有效性依然是不确定的(例如:我们无法确定谁应该对无效的信息负责)。尽管公民ID记录系统是具有可信性和权威性的数据库,但是条件是政府同意对商业主体提供电子政务服务。此外,实施这两种认证模式还涉及隐私权保护的问题。在国家立法中,必须设计详细的政策和规则来实施这两种模式,以保护在线交易的安全。

在实施统一的电子ID认证系统的理想成为现实之前,笔者认为,对OTSP而言,目前最好是选择根据政府的ID记录系统对其用户进行认证。因为利用这样的认证,OTSP既可以鼓励在线交易(因为增加交易的安全性),又可以保护自己。在线交易不同于一般的个人之间的交易,因为交易主体过去的行为不是公开的信息,其个人的ID也不能事先公开。OTSP应该确保任何一个在线主体都在现实中存在,或者每个用户与现实中的某个确定的人相联系。这也是一种电子商务的自律管理制度。一个在线商务平台上的所有用户构成了一个社区,成员们(匿名用户们)和那些在这个平台购买商品与服务的人都是基于对这个社区的信任而在这个平台进行在线交易的(37)。换而言之,OTSP在在线买卖中扮演了中介服务的角色,因此我们才愿意接受匿名交易。因为在需要确认匿名在线主体的真实身份时,我们可以通过他们追踪到特定个人或者公司(38)。无论是作为商业共同体的组织者还是买卖双方的中介,OTSP都有责任确保其成员的行为可以追溯,以加强自身的声誉。毕竟,保证其成员都真实存在是建立集体声誉的根本,也就是一个在线交易平台声誉的根本。

OTSP当然不可能要求用户出示相关的书面证明来验证用户的注册信息,这对于用户和OTSP都负担过重;甚至要求非本地用户到OTSP所在地进行这样的工作也是不现实的。要求用户在线发送电子档案也不可行,因为电子档案本身还需要辨别真伪。最后,若OTSP通过某些商业主体的信息库核对用户信息,会涉及到隐私权问题和许可问题,也是不现实的。

其实,OTSP通过政府掌握的公民身份信息库核查用户的身份是比较容易的途径,如果用户提供信息与数据库的信息一致,用户的ID就可以得到认证,可以注册为用户。在我国,每个公民出生时就应该到公安机关登记其身份信息。只有经此登记才能取得户籍(身份)。公民在18岁以后可以根据户籍取得居民身份证(ID),当个人要注册成为在线交易主体时,必须在注册栏目中填入身份证号码,这样OTSP可以通过公安机关的居民身份证数据库核查。如果用户所填信息与公安机关的信息一致,那就可以推定该用户在现实中确实存在。换句话说,用户在实名认证体系下在线注册。该电子认证程序依赖于电子政府的信用服务。乐观的是,我国最近已经建立了国家公民身份证号码查询服务中心。该中心的数据来源于各个地方公安部门,并经公安机关的户籍信息管理系统进行了确认。任何主体都可以申请查验某个人的身份,由该主体提供要查询人的身份证号码或者姓名,中心就会提供一个核查报告证明居民身份证号码、姓名等个人信息是否彼此呼应。国内的一些在线拍卖网站已与查询服务中心建立了合作关系,如亿贝易趣(www.eBay.com.cn)、淘宝网(www.taobao.com)等。

这样在线认证,实际上也将OTSP在核查身份中应负的责任限定在一定的范围内。如果公安机关的记录有误或者用户伪造身份证不能明显被识别,而第三方基于对注册认证的信任而与此用户进行商业往来所遭受损失就不应该由OTSP负责。因为这已经超出了OTSP能力范围。

在线个人身份验证系统必须通过对公安机关的居民身份证数据库程序化、网络化才能实现,而构造这种电子政务基础设施可能还需要投入大量的时间和资金。

很显然,根据不同的情况有不同的注册与认证的标准。总的来说,交易越不正规交易额越小,注册和认证的要求也越低。而对比较重要、额度较大的交易,注册与认证的要求就比较严格。如何对不同的在线交易确定不同的注册与认证标准还是一个崭新的课题(39)。

(三)身份认证体系下个人商户的隐私权保护

无论选择哪种途径解决认证的问题,基于身份验证批准在线用户注册都牵涉到隐私权这个最大的问题。实际上,通过身份认证的注册用户不需要使用真名进行在线交易。他可以选择使用用户名或者电子ID。身份认证只不过是为了将某一用户与现实中的某个确定的人对应起来。

保持自己身份的秘密性或使用假名都是用户隐私权的一部分,由用户自己决定是否保持独立不受干扰(leave me alone),但是如果他要从事在线交易,就意味着他已经放弃了“隐密其身份”的权利,正如在现实世界中,当你做生意时,你必须要告诉生意伙伴你的身份(除非是一手交钱一手交货)。在线主体也必须向其交易伙伴公开自己的身份。在线身份认证就是为了向交易对方公开你的真实身份。这只是注册时身份的验证,在交易过程中你仍然可以选择继续使用用户名,而不必非要使用真名(40)。这种在线认证与隐私权并没有冲突,它在保护隐私权和保证在线交易安全之间找到了平衡点。

因此,通过身份认证后的在线用户交易,不同于使用真名进行的在线交易。个人可以使用用户名或者随便一个名字从事在线商业活动,不到履行合同这一步,用户无需向对方公开真名。这意味着用户完全可以使用真名以外的任何名字进行在线交易,可是对方在签订合同时必须确定该用户真实存在,并可以要求其履行合同或者赔偿损失。

尽管如此,隐私权保护问题依然存在——防止掌握个人信息的主体不合理或者非法使用个人信息,保护个人隐私。电子商务时代,个人面临极高的风险,因为自己的个人信息随时可能被滥用(41)。在线身份认证的情况下,这个风险就更高,因为认证主体保存的个人信息可以被任何经过确认的主体抄袭、滥用。现在问题的关键是通过立法或其他措施以确保认证主体只将收集的个人信息用于规定的目的(42)。

如果认证主体违反与用户的先前协议或者违反法律,超出了约定或者法定的范围将用户的信息披露给第三方,就破坏了身份认证为条件的注册体制本身。因此,在线身份验证的实施规则应该与用户的隐私权保护立法同时进行,在立法中指导认证主体合理、合法地使用个人信息。最重要的是,任何保障在线交易安全的措施都不应该以侵犯隐私权为代价。关于隐私权问题的详细讨论就不在本文讨论的范围之内了。

四、结论

电子商务是商业的未来。电子商务的基本要求就是在线交易主体确定、交易安全。无论在线主体进行网络经营还是在线交易,都不可能在一切都未知的状态下进行。他们不仅要知道在线交易伙伴的身份还要主体得到认证。这种对在线商务主体的身份认证是在线交易或者说电子商务安全的基石。

本文讨论了两种在线身份认证方式。一种是根据工商注册的信息库进行的认证。事实上,工商登记本身就是对从事商业的主体进行的合格认证,如果政府提供此类在线认证服务,交易各方就可以通过互联网上登记机关的数据库验证彼此的身份。这种认证的本质是让交易一方在线查证其交易伙伴究竟是谁。该类身份信息直接在互联网上向公众披露。

另一种是针对未经工商注册的个人商户的认证。本文以个人商户为例分析在这种情况下如何对电子ID(用户名)进行认证,以便个人商户可以使用电子ID从事在线交易或者其他在线行为(此类身份验证适用于所有在线行为)。关于个人身份认证最完美的解决方法就是由第三方主体向所有需要有关信息的各方提供认证服务。没有此类服务或者此类服务没有得到普遍认可,那么OTSP只能寻求自力救济,自己认证其用户。该认证服务是或者说应该是OTSP对其客户(用户)提供的服务。但是OTSP必须与商业主体或政府(更重要)合作,以取得他们的数据库支持才能实现该项服务。

在线身份验证问题涉及了大量的商业问题和法律问题,需要深入的调查研究。本文只是简要介绍一下在线身份注册的几种解决规则。分析这些规则的实际意义,以及将这些规则细化并付诸实践还需要进一步仔细研究。也许,在这个领域需要全球性的措施,才能彻底解决问题。

注释:

①企业与企业之间的交易被称为BtoB;企业与个人之间的交易称为BtoC;个人与个人的交易称为CtoC。

②即使是在线信息交易中,消费者也需要花时间下载其所需购买的信息产品。

③“网络最初产生时,只是科技工作者们交流信息沟通思想的一种工具,可是那时,网络用户就使用虚拟的网名了,此后,数以百万计的网民们在注册e-mail地址、选择域名等互联网活动中都选择匿名,电子商务也顺理成章沿用了这一匿名习惯。参见Sharon K.Sandeen In for a Calf is not Always in for a Cow:An Analysis of the Constitutional Right of Anonymity as Applied to Anonymous E-Commerce,29 Hastings Const.L.Q.527(Spring,2002)at 536-37 and note 31.

④联邦贸易法委员会,在线商铺的安全(2001)。参见http://www.ftc.gov/bcp/conline/pubs/online/cybrsmrt.htm.

⑤参见Sharon K.Sandeen In for a Calf is not Always in for a Cow:An Analysis of the Constitutional Right of Anonymity as Applied to Anonymous E-commerce,29 Hastings Const.L.Q.527(Spring,2002),at 537-38.

⑥在有些在线交易中,买家通常只知道卖家的用户名,直到签订合同时或者履行交易时才知道买家的真正身份。

⑦有些在线贸易网站,比如www.eachnet.com,都要求商户在网上开店之前进行身份验证。用户要注册为商户需要通过双重认证:一个是身份证认证,一个是银行卡认证。这是比较有效地避免卖家在线欺诈的方法。

⑧参见Sharon K.Sandeen In for a Calf is not Always in for a Cow:An Analysis of the Constitutional Right of Anonymity as Applied to Anonymous E-Commerce,29 Hastings Const.L.Q.527(Spring,2002),at 533.

⑨也可以称为用户ID、账户名或者注册用户名,用户进行在线商业活动时一律使用这个名字。

⑩OTSP是专门的网络服务商,是在线买家和卖家的媒介。OTSP为卖家提供网络空间(主页)、传递专业信息、保存交易记录等等,提供虚拟的市场,列举卖家的商品目录和服务项目供买家浏览,以便买家找到适合的商品和所需的服务。买卖双方通过OTSP达成交易,形成合同关系,而履行合同时,既可以继续通过OTSP,也可以通过其他途径。在本文,OTSP基本囊括了所有的在线交易平台,例如拍卖网站、在线商场等在线交易平台。

(11)参见Dan L.Burk,VIRTUAL EXIT IN THE GLOBAL INFORMATION ECONOMY,P73 Chi.-Kent.L.Rev.943(1998),§I.B(“虚拟商区”是指商品和数字信息产品进行交易的地方)。

(12)参见Mary M.Calkins,My Reputation Always Had More Fun Than Me:The Failure of eBay' s Feedback Model to Effectively Prevent Online Auction Fraud,7 RICH.J.L.& TECH.33(Spring 2001),http://www.richmond.edu/jolt/v7i4/note1.html,§III.

(13)但是合同的双方其实是买卖双方,OTSP并不属于合同一方当事人。

(14)我们至少是应该允许网友们匿名进行网上聊天和信息交流的。

(15)参见Sharon K.Sandeen In for a Calf is not Always in for a Cow:An Analysis of the Constitutional Right of Anonymity as Applied to Anonymous E-Commerce,29 Hastings Const.L.Q.527(Spring,2002),at 544.

(16)参见Sharon K.Sandeen In for a Calf is not Always in for a Cow:An Analysis of the Constitutional Right of Anonymity as Applied to Anonymous E-Commerce,29 Hastings Const.L.Q.527(Spring,2002),at 587-88(他提议互联网上的商户在推销自己时应该明确提供自己合法真实的名称以及主要的经营场所)。

(17)Noah Levine,ESTABLISHING LEGAL ACCOUNTABILITY FOR ANONYMOUS COMMUNICATION IN CYBERSPACE,96 Colum.L.Rev.1526(October,1996)脚注9(关于表面的匿名与实质意义匿名的不同:表面上的匿名,比如使用假名,只是为计算机用户提供机会,让他们可以用真名以外的名字在线聊天或者收发邮件。这种匿名仅仅是表面文章,它依存于用户在网络服务商那里注册时所填的真实名字。这种匿名被认为是可以追溯的假名。而实质意义上的匿名是指,信息和交流内容是由第三方转发的,原来的发出者因此无法被追溯)。

(18)对于个人商户的身份验证完全可以适用于所有的在线交易者,即上网购物或接受服务的人。因为如果消费者不诚实的话,商家利益也会受到侵害,因而最终不可能解决在线交易的安全的全部问题。但是,相对而言,对于消费者(购物人)的安全要求要低于商家,对他们的身份认证安全标准要低于个人商户。因此,只要确定对所有在线交易主体进行身份认证,并确定认证的标准,那么本文对个人商户身份验证的原理和规则完全可以适用于他们。只是本文从经营主体管制的角度展开论述的,暂时不涉及全部在线交易主体的身份认证问题。

(19)在我国,关于是否所有的互联网个人商户也要进行工商登记的问题,业界与政府间存在争论。本文对此问题不予涉及,只是作者一贯主张,对于那些以网上经营活动为营业的个人商户应当加以登记;而同时又应当允许利用网络进行零星交易的个人商户。在此恕不赘述。

(20)参见http://www.hd315.gov.cn/gcs/fagui/fsasp.asp.

(21)表面上注册的商业网站名称已被视为一种新的无形资产,但是如果不得到国家保护甚至是国际性保护,其法律效力依然很不确定。由于该规章效力低,这一规定在目前的意义似乎不大。目前,在人们对网站名称的性质及其如何保护尚未有一致的看法的情况下,在笔者看来,网站名称登记并不能使其具有商事主体地位,而仅仅具有名称专有权的效果,但是单靠注册取得专有使用权,其效果令人怀疑。

(22)同注释(20)。

(23)可以在上海市工商行政管理局网站查询http://www.sgs.gov.cn/。

(24)根据《江西办法》第4条,这里的利用互联网从事经营活动范围很广,包括:(一)利用自办网站或他人网站进行网上交易的;(二)利用自办网站为他人网上交易提供交易平台或其他服务的;(三)利用自办网站或他人网站发布广告或其他商业信息的;(四)其他利用互联网进行的以营利为目的的活动。显然,这样的范围涵盖了几乎现在网络环境上所有交易性活动或促成交易的各种服务活动。

(25)《江西办法》第12条规定:“未经工商机关登记注册,擅自利用互联网从事经营活动,属无照经营行为,工商行政管理机关应依法予以查处”。

(26)第2条:凡是在省内各级工商行政管理机关登记注册,利用互联网从事以营利为目的经营活动的各类企业和个体工商户,自愿办理备案的(以下称备案申请人),依照本办法免费办理备案。

(27)正如一些评论人所说,互联网的跨国性对于摒除国家的主权的贡献非同一般,制定互联网规则既没有效力又不合理。参见DEVELOPMENT:VI.Cyberspace Regulation and the Discourse of State Sovereignty,112 Harv.L.Rev.1680(May,1999),at 1689-90.

(28)网络商店只是一个主页,页面上载明了个人信息和他提供的商品及服务信息。

(29)理论上,个人可以通过两种渠道进行在线经营。一是通过自己所有的网站(拥有独立的域名和站点);另一个是通过其他人所有的网站(这种经营只是使用ISP提供的服务进行在线交易)。某种程度上,后者更隐蔽,更难规范。

(30)美国赛车俱乐部登记规则参见http://www.scca.org/garage/forum/registration_rules.asp? FID=0(2006年12月30日访问)。

(31)具体规定可以登陆eBay网站(http://www.ebay.com),并浏览http://papes.ebay.com/help/sell/basics.html(2006年12月30日访问)

(32)提供该认证证书的是公认的第三方,该公认的第三方通过检查客户在实际生活中的证件(例如出生证、护照)核对客户的身份。由于认证证书有时用于特殊场合,该第三方可能要求同时或者单独核查客户的其他特征。(比如为一些特别的机构需要验证客户的个人作品)。参见Office of the E-Envoy:Registration and Authentication:e-Government Strategy Framework Policy and Guidelines.www.cabinetoffice.gov.uk/csia/documents/pdf/Registration_and_Authentication_V3_0_Sept_2002.pdf(2006年12月30日访问)。

(33)认证机构(CA)是可以信任的第三人或者第三方主体,CA确定个人的身份、确保“公共—个人密钥对”中的公钥用以创建属于该个人的数字签名。CA同时也要确保证明持有人的信息正确,并且保证用户无论何时在互联网上使用其数字签名时都有效。

(34)数字签名是电子签名的一种模式,是在申请公共密钥来确保用户认证安全时产生的,其附加功能就是可以顺带确保通讯信息的认证安全。参见American Bar Association,Digital Signature Guidelines-Legal Infrastructure for Certification Authorities and Secure Electronic Commerce 3(1996)at 3.

(35)例如www.eBay.com.cn,要求用户在成为卖家之前必须要通过eBay的身份核查。如果用户想要以卖家的身份登陆,必须通过居民身份证认证或者任一银行的银行卡认证。

(36)大多数OTSP都建立了信息反馈系统。成员可以对用户测评,用户的信息中包括来自交易伙伴们的评价和反馈。基于这些评价,有意向与其进行交易的其他主体理论上可以得知该用户的诚信度,从而不会盲目地决定是否与该用户进行交易。但是OTSP不会与其他OTSP的用户共享其成员信息。这样,即使某一不诚信的用户被OTSP评估很低,仍然可以在其他OTSP上继续开店重演其欺诈伎俩。

(37)有学者认为有两种模式支撑了非个人间的交易:一种是法律机制,这种机制是基于公正而有强制力的第三方的认证、交易主体以往的行为以及相关的法律许可;另一种机制是社团责任体系,基于一个社会体成员的集体责任,该社会体的成员在与成员以外的人在交易中将防止其社团声誉的损失作为关注的中心。根据Avner Greif教授的研究,在前现代欧洲时期,就是由自治社团支持非个人间的贸易,而集体责任其实在当今的经济生活中依然起着重要的作用。例如,集体声誉在商业协会中非常重要,成员们采取合伙或者无限责任方式组织商号,正是商号的声誉让购买他们产品的人放心地与商号的(匿名)成员们进行买卖。推动商号成员们与外部的消费者达成交易的正是商号的声誉和商号规范管理其成员的能力。参见Avner Greif,The Empirical and Theoretical Underpinnings of the Law Merchant:Impersonal Exchange without Impartial Law:The Community Responsibility System,5 Chi.J.Int' l L.109(Summer,2004).

(38)参见Sharon K.Sandeen In for a Calf is not Always in for a Cow:An Analysis of the Constitutional Right of Anonymity as Applied to Anonymous E-Commerce 29 Hastings Const.L.Q.527(spring,2002),见541页。

(39)比如,电子特使办公室已经详细确定了注册与认证的不同标准帮助办理不同电子政务的不同分类。参见Office of the E-Envoy:Registration and Authentication:e-Government Strategy Framework Policy and Guidelines.2005年12月30日在以下网址查阅www.cabinetoffice.gov.uk/csia/documents/pdf/Registration_and_Authentication_V3_0_Sept_2002.pdf.

(40)Deborah L.Morgan,DIGITAL SIGNATURES:WILL GOVERNMENT REGISTRATION OF USERS MEAN THAT ANONYMITY IN TRANSACTIONS ON THE INTERNET IS FOREVER LOST? 2004 U.Ill.L.Rev.1003(2004),at 1016-17(讨论了电子认证的功能;观点是:电子证书的性能是“为商业提供交易安全保证和所需的在线交易认证,而且,当他们不能完全匿名进行交易时,他们可以保留使用假名——比如使用用户名进行交易,而不必非要使用真名。”

(41)这里的风险包括安全风险,消费者的个人信息和财务状况可能被未经授权的第三方剽窃、窜改,或者使用其他方式危及隐私安全。还包括运行能力风险,中间商提供的信息查询系统、履约系统、支付系统或者其他供在线交易使用的系统可能出现不稳定,此时的风险就是卖方可能利用这种不稳定的机会损害消费者的利益。参见Sirkka L.Jarvenpaa与Emerson H.Tiller合著的CUSTOMER TRUST IN VIRTUAL ENVIRONMENTS:A MANAGERIAL PERSPECTIVE,81 B.U.L.Rev.665(June,2001),at 665.

因此,隐私权保护问题是电子商务规则中最热点的问题。不仅国家立法关注到这一问题(例如英国1998年的数据保护法案),一些国际保护措施也已经开始实行(例如:欧共体99/76指令就在1997年12月由欧洲议会和欧盟理事会发布了关于电子通讯中的个人信息数据处理和隐私权保护的文件;还有1980年由经济和贸易组织颁布的关于隐私权保护和个人信息越界使用的指导方针。)

(42)通常,认证主体应该安全地存储和保留用户的个人信息。用户依然是这些经过核实的个人信息的所有者,这些信息只用于某些特定目的或者其他合理目的(比如向寻求司法救济或者其他法律帮助的人披露个人信息,或者为实施法律向司法机关披露个人信息),而不能用于其他目的,未经用户同意也不得披露或者发布。

标签:;  ;  ;  ;  ;  ;  ;  ;  ;  

网络商务主体身份认证--论我国网上交易的安全解决方案_电子认证论文
下载Doc文档

猜你喜欢