对我国金融电子认证法律制度的思考
【内容提要】
电子认证是保障电子金融安全的重要手段,电子认证中心是电子金融安全体系中的重要信用服务机构。应当通过对我国金融电子认证法律制度的建立与完善,保障和鼓励我国电子金融的安全发展。
【摘要题】
立法研究
【关键词】
金融电子认证/法律制度/电子金融立法
互联网络与电子商务的蓬勃发展,正促使包括金融业在内的各个产业均在以互联网为基础重新构建核心竞争力。在我国,互联网络的蓬勃发展也带来了电子金融业务的飞速发展。网络交易的特点在于其无形性,一切信息均以计算机数据的形式在网络之间传递。由于网络空间的虚拟状态,商业信誉、个人信用对网络交易方难起传统意义上的约束力。如何确保交易对方的主体资格以及交易数据资料的安全,是每个网络交易主体极为关注的问题。对于以“安全性”作为最主要经营原则之一的金融机构而言,开展网络金融业务在面临巨大的市场机遇的同时也意味着更大的金融风险。由于绝大部分网络交易都需要运用网上支付系统,因此降低电子金融风险对于整个电子商务市场也具有重要意义。为保障网上金融业务的安全性,金融电子认证中心作为电子商务和网上银行交易的权威性、可信赖性及公正性的新型第三方机构,通过电子认证手段在网上金融交易安全体系中发挥着无可替代的作用。基于金融电子认证在电子金融发展中的重要作用,建立与完善我国金融电子认证法律制度,对于我国金融的稳健安全发展和互联网络向现实生产力的转化具有重要意义。
一、数字证书与金融电子认证机构的作用
为了保证互联网上电子交易的安全性(包括信息的保密性、真实完整性和不可否认性),防范交易及支付过程中的欺诈行为,除了在信息传输过程中采用更强的加密算法等措施之外,还必须在网上建立一种信任及信任验证机制,使交易及支付各方能够确认其他各方的身份,这就要求参加电子商务的各方必须有一个可以被验证的身份标识,即数字证书。数字证书是各实体(消费者、商户、企业、金融机构等)在网上进行信息交流及商务活动的身份证明,在电子交易的各个环节,交易的各方都需验证对方数字证书的有效性,从而解决相互间的信任问题。ca是电子认证中心(certificationauthority)的缩写,其为电子商务环境中各个实体颁发数字证书,以证明各实体身份的真实性,并负责在交易中检验和管理证书;它是电子商务和网上银行交易的权威性、可信赖性及公正性的第三方机构。
网上金融业务的开展使得金融机构在新的经营环境下面临更加复杂的风险威胁,包括由于网络主体欺诈、信息传输安全、对信息内容的恶意否认等所造成的信用风险和操作风险。中国人民银行2001年7月9日发布的《网上银行业务管理暂行办法》第17条规定:“银行应采用合适的加密技术和措施,以确保通过网络传输信息的完整性和交易的不可否认性。”我国证券管理监督委员会2000年3月30日发布实施的《网上证券委托暂行管理办法》第18条也规定:“证券公司应采用可靠的技术或管理措施,正确识别网上投资者的身份,防止仿冒客户身份或证券公司身份;必须有防止事后否认的技术或措施。”而在保障电子金融主体的身份真实性和交易信息完整性与不可否认性方面,金融电子认证中心所提供的认证服务至关重要。
金融认证中心(financecertificateauthority)作为一个权威的、可信赖的、公正的第三方信任机构,专门负责为金融业的各种认证需求提供证书服务,包括电子商务、网上银行、网上证券交易、支付系统和管理信息系统等,为参与网上交易的各方提供安全的基础,建立彼此信任的机制。对于网上银行、网上证券委托交易等网络金融业务,金融认证中心为网络应用提供身份认证、信息加密、数字签名、身份控制等多种服务。由于在互联网上进行的金融交易不同于一般的面对面交易,交易双方无法确认对方的身份,因此必须通过ca使用数字证书来进行身份认证,以防止相互猜疑、冒名顶替以及恶意攻击者的造假行为。同时,还可以通过用户的证书进行acl控制(为该用户在应用系统中赋予相应的权限),以进行用户的资格认证。网上银行业务、证券交易中的数据均有保密的要求,如银行帐号、信用卡帐号、股东代码、交易信息等,信息存放在本地或进行交易传输时,必须采用高强度的加密手段,以保证信息不被窃取。信息的加密包括对存放信息以及交易信息的加密;在网上交易的各个环节中,各种确认信息要保证事后不能抵赖。通过认证中心配发给交易双方用户的签名私钥对信息进行数字签名,以保证信息事后的不可否认性;
为了避免在传输过程中的数据信息被恶意攻击者篡改,要采用证书机制对数据项进行数字签名,以保证交易信息的完整性。因此金融电子认证中心已成为开放性电子金融活动中不可缺少的中介服务机构。2000年6月29日,中国第一家金融认证中心——中国金融认证中心(cfca)正式挂牌,标志着中国正式开始了ca的认证工作。中国金融认证中心(金融ca)是由中国人民银行牵头,中国工商银行、中国银行、中国农业银行、中国建设银行、交通银行、招商银行、中信实业银行、华夏银行、广东发展银行、深圳发展银行、光大银行、民生银行等十二家商业银行联合共建,专门负责为金融业的各种认证需求提供证书服务。
二、金融电子认证服务与认证机构的性质及其引发的法律问题
金融电子认证实质上是一种信用服务。其所提供的服务成果,又是一些无形的信息,如交易相对人的身份、公开密钥、信用状况等商业情报。而这些信息在开放型电子商务环境中又是进行交易所必须的前提条件。电子认证所颁发的数字证书是面向公众使用的,其认证信息是经过核实的真实的信息,记载于数字证书并利用认证机构在某一领域的公信力受公众的信赖。而金融电子认证机构则是作为一种独立的第三方认证机构,在电子金融等电子商务交易双方中充当信息鉴定的角色。金融认证机构并不直接从事融资业务,因此不能将其归属于严格的“金融机构”范畴。但由于它为电子金融业务提供直接服务,因此其市场准入与业务活动必须纳入金融监管范围。这也与证券监管机构对于证券中介服务机构、保险监管机构对于保险公估机构的监管具有相同的法理基础。
金融电子认证机构在从事认证过程中会面临许多潜在风险。其风险种类主要有:(1)运用技术过失致使数字记录丢失;(2)对信息未进行严格审查致使证书含虚假陈述,第三人信赖其陈述,并基于证书的等级进行交易,将损坏认证机构的可信度;(3)未经过合理适当的辨别而终止或撤销证书;(4)由于服务器故障或周期性离线修整而造成认证服务中断;(5)内部人员即认证机构有权访问证书数据库的雇员制作虚假证书或涂改证书记录;(6)外部人员使用多种方法改造认证机构的通用协议;(7)作为网络机构随着技术更新其淘汰率高,服务可能难以长期维持,但是某些长期证书的管理又需要服务一直持续下去不能中断,等等。(注:参见周忠海主编:《电子商务法导论》,北京邮电大学出版社2000年版,第65页。)
由上述认证机构的性质与风险分析可以看出,金融电子认证的产生与发展将引发金融领域的许多新型法律问题,主要包括:其一,金融数字证书与金融电子认证机构的法律地位以及对金融电子认证的法律监管应得到立法规范,否则无法引导与保障金融电子认证的有序发展。其二,金融电子认证所面临的风险将引发认证机构的责任问题,因为机构极有可能在某些场合给证书持有人或证书信赖人造成损失。其三,金融电子认证机构作为一个对电子金融市场具有重大价值的新型信用服务主体,在金融电子认证领域面临许多现实的或潜在的执业风险,如何鼓励其运行与发展。其四,金融电子认证所应实现的服务标准或技术标准应有相应的规范与完善,以真正达到保障电子金融安全的目的与价值。
上述法律问题的实质是网络化带来的新社会关系对于金融法律制度的新挑战。正是基于以上法律问题,笔者认为,对于在电子金融中保障网络交易安全以及信用制度起非常重要作用的金融电子认证,应在未来的金融立法中占据应有的地位。
三、金融电子认证法律制度的价值
从价值论角度分析金融电子认证法律制度的必要性或者说效用性,是建立与完善相应制度的理论前提。正如博登海默所言,价值判断在法律制度中所起的主要作用在于它们被整合进了各种法律规范之中,在使用与解释这些规范时,往往必须弄清楚它们得以颁布与认可所赖以为基础的目的和价值论方面的考虑。(注:引自(美)e.博登海默著:《法理学、法律哲学与法律方法》,邓正来译,中国政法大学出版社1999年版,第504页。)因此价值是一个法律制度存在与发展的前提与基础,而价值分析则是法律制度理论研究中的重要领域。法的实质价值目标主要包含安全、自由、平等、效率等四大主要价值。(注:参见李步云主编:《法理学》,经济科学出版社2001年版,第61页。)金融电子认证法律制度对于电子金融交易主体以及整个金融秩序的法律价值也主要体现在这几个方面。
此处内容需要权限查看
会员免费查看最后,应通过立法明确对金融电子认证的监管机构及监管手段。对金融电子认证领域的主要监管主体应是金融监管机构而并非网络行政监管机构。金融ca除应具备网络行政监管机构对于一般ca规定的成立条件外,还应取得金融监管机构的从业许可并接受其监管。对金融安全认证体系进行有效的监管已成为中国人民银行在推动网络金融发展方面的一个重要追求目标。(注:参见人民银行总行支付科技司司长陈静著:《新的世纪是金融服务创新的时代——21世纪中国金融信息化发展展望》,载《中国金融电脑》2000年第10期。)而科学完善的立法授权是有效监管的重要前提。当然鉴于中国金融领域分业经营、分业监管的现状,立法上可以采取多家金融监管机构联合颁发许可并进行监管的模式进行管理。同时金融监管机构也应积极积累、总结对于金融电子认证的监管经验,不断改进监管手段,提高监管效率,以保障与促进电子金融的发展。
五、结语
金融电子认证法律制度的建立与完善是一个要遭遇纷繁复杂的新型法律问题的艰难过程,防范与化解金融风险是金融法的基本原则之一。(注:参见朱大旗著:《金融法》,中国人民大学出版社2000年版,第11页。)金融电子认证法律制度的最重要立法目的正是要贯彻这一原则。而包括电子金融服务在内的金融创新又是现代金融机构生存与发展的必需。随着安全技术和认证机制的广泛应用,电子金融服务的发展无疑给金融监管和金融立法带来了新的课题。旧的监管方式和程序已很难再适用于新型的金融业务,现行的金融立法也阻碍或限制着新型业务的发展。因此具有足够前瞻性且鼓励金融创新并能积极防范新形式金融风险的金融立法,是电子金融法律环境的必然要求。金融电子认证法律制度的建立与完善同样应满足上述要求,以保障电子金融、电子商务的安全有序发展,维护整个金融市场的稳健运行。