對我國金融電子認證法律制度的思考

【內容提要】電子認證是保障電子金融安全的重要手段，電子認證中心是電子金融安全體系中的重  要信用服務機構。應當通過對我國金融電子認證法律制度的建立與完善，保障和鼓勵我  國電子金融的安全發(fā)展。
【摘  要  題】立法研究
【關  鍵  詞】金融電子認證/法律制度/電子金融立法
　　互聯網絡與電子商務的蓬勃發(fā)展，正促使包括金融業(yè)在內的各個產業(yè)均在以互聯網為  基礎重新構建核心競爭力。在我國，互聯網絡的蓬勃發(fā)展也帶來了電子金融業(yè)務的飛速  發(fā)展。網絡交易的特點在于其無形性，一切信息均以計算機數據的形式在網絡之間傳遞  。由于網絡空間的虛擬狀態(tài)，商業(yè)信譽、個人信用對網絡交易方難起傳統意義上的約束  力。如何確保交易對方的主體資格以及交易數據資料的安全，是每個網絡交易主體極為  關注的問題。對于以“安全性”作為最主要經營原則之一的金融機構而言，開展網絡金  融業(yè)務在面臨巨大的市場機遇的同時也意味著更大的金融風險。由于絕大部分網絡交易  都需要運用網上支付系統，因此降低電子金融風險對于整個電子商務市場也具有重要意  義。為保障網上金融業(yè)務的安全性，金融電子認證中心作為電子商務和網上銀行交易的  權威性、可信賴性及公正性的新型第三方機構，通過電子認證手段在網上金融交易安全  體系中發(fā)揮著無可替代的作用�；�于金融電子認證在電子金融發(fā)展中的重要作用，建立  與完善我國金融電子認證法律制度，對于我國金融的穩(wěn)健安全發(fā)展和互聯網絡向現實生  產力的轉化具有重要意義。
　　一、數字證書與金融電子認證機構的作用
　　為了保證互聯網上電子交易的安全性(包括信息的保密性、真實完整性和不可否認性)  ，防范交易及支付過程中的欺詐行為，除了在信息傳輸過程中采用更強的加密算法等措  施之外，還必須在網上建立一種信任及信任驗證機制，使交易及支付各方能夠確認其他  各方的身份，這就要求參加電子商務的各方必須有一個可以被驗證的身份標識，即數字  證書。數字證書是各實體(消費者、商戶、企業(yè)、金融機構等)在網上進行信息交流及商  務活動的身份證明，在電子交易的各個環(huán)節(jié)，交易的各方都需驗證對方數字證書的有效  性，從而解決相互間的信任問題。CA是電子認證中心(Certification  Authority)的縮  寫，其為電子商務環(huán)境中各個實體頒發(fā)數字證書，以證明各實體身份的真實性，并負責  在交易中檢驗和管理證書；它是電子商務和網上銀行交易的權威性、可信賴性及公正性  的第三方機構。
　　網上金融業(yè)務的開展使得金融機構在新的經營環(huán)境下面臨更加復雜的風險威脅，包括  由于網絡主體欺詐、信息傳輸安全、對信息內容的惡意否認等所造成的信用風險和操作  風險。中國人民銀行2001年7月9日發(fā)布的《網上銀行業(yè)務管理暫行辦法》第17條規(guī)定：  “銀行應采用合適的加密技術和措施，以確保通過網絡傳輸信息的完整性和交易的不可  否認性�！蔽覈�證券管理監(jiān)督委員會2000年3月30日發(fā)布實施的《網上證券委托暫行管  理辦法》第18條也規(guī)定：“證券公司應采用可靠的技術或管理措施，正確識別網上投資  者的身份，防止仿冒客戶身份或證券公司身份；必須有防止事后否認的技術或措施�！�  而在保障電子金融主體的身份真實性和交易信息完整性與不可否認性方面，金融電子認  證中心所提供的認證服務至關重要。
　　金融認證中心(Finance  Certificate  Authority)作為一個權威的、可信賴的、公正的  第三方信任機構，專門負責為金融業(yè)的各種認證需求提供證書服務，包括電子商務、網  上銀行、網上證券交易、支付系統和管理信息系統等，為參與網上交易的各方提供安全  的基礎，建立彼此信任的機制。對于網上銀行、網上證券委托交易等網絡金融業(yè)務，金  融認證中心為網絡應用提供身份認證、信息加密、數字簽名、身份控制等多種服務。由  于在互聯網上進行的金融交易不同于一般的面對面交易，交易雙方無法確認對方的身份  ，因此必須通過CA使用數字證書來進行身份認證，以防止相互猜疑、冒名頂替以及惡意  攻擊者的造假行為。同時，還可以通過用戶的證書進行ACL控制(為該用戶在應用系統中  賦予相應的權限)，以進行用戶的資格認證。網上銀行業(yè)務、證券交易中的數據均有保  密的要求，如銀行帳號、信用卡帳號、股東代碼、交易信息等，信息存放在本地或進行  交易傳輸時，必須采用高強度的加密手段，以保證信息不被竊取。信息的加密包括對存  放信息以及交易信息的加密；在網上交易的各個環(huán)節(jié)中，各種確認信息要保證事后不能  抵賴。通過認證中心配發(fā)給交易雙方用戶的簽名私鑰對信息進行數字簽名，以保證信息  事后的不可否認性；為了避免在傳輸過程中的數據信息被惡意攻擊者篡改，要采用證書  機制對數據項進行數字簽名，以保證交易信息的完整性。因此金融電子認證中心已成為  開放性電子金融活動中不可缺少的中介服務機構。2000年6月29日，中國第一家金融認  證中心——中國金融認證中心(CFCA)正式掛牌，標志著中國正式開始了CA的認證工作。  中國金融認證中心(金融CA)是由中國人民銀行牽頭，中國工商銀行、中國銀行、中國農  業(yè)銀行、中國建設銀行、交通銀行、招商銀行、中信實業(yè)銀行、華夏銀行、廣東發(fā)展銀  行、深圳發(fā)展銀行、光大銀行、民生銀行等十二家商業(yè)銀行聯合共建，專門負責為金融  業(yè)的各種認證需求提供證書服務。
　　二、金融電子認證服務與認證機構的性質及其引發(fā)的法律問題
　　金融電子認證實質上是一種信用服務。其所提供的服務成果，又是一些無形的信息，  如交易相對人的身份、公開

密鑰、信用狀況等商業(yè)情報。而這些信息在開放型電子商務  環(huán)境中又是進行交易所必須的前提條件。電子認證所頒發(fā)的數字證書是面向公眾使用的  ，其認證信息是經過核實的真實的信息，記載于數字證書并利用認證機構在某一領域的  公信力受公眾的信賴。而金融電子認證機構則是作為一種獨立的第三方認證機構，在電  子金融等電子商務交易雙方中充當信息鑒定的角色。金融認證機構并不直接從事融資業(yè)  務，因此不能將其歸屬于嚴格的“金融機構”范疇。但由于它為電子金融業(yè)務提供直接  服務，因此其市場準入與業(yè)務活動必須納入金融監(jiān)管范圍。這也與證券監(jiān)管機構對于證  券中介服務機構、保險監(jiān)管機構對于保險公估機構的監(jiān)管具有相同的法理基礎。
　　金融電子認證機構在從事認證過程中會面臨許多潛在風險。其風險種類主要有：(1)運  用技術過失致使數字記錄丟失；(2)對信息未進行嚴格審查致使證書含虛假陳述，第三  人信賴其陳述，并基于證書的等級進行交易，將損壞認證機構的可信度；(3)未經過合  理適當的辨別而終止或撤銷證書；(4)由于服務器故障或周期性離線修整而造成認證服  務中斷；(5)內部人員即認證機構有權訪問證書數據庫的雇員制作虛假證書或涂改證書  記錄；(6)外部人員使用多種方法改造認證機構的通用協議；(7)作為網絡機構隨著技術  更新其淘汰率高，服務可能難以長期維持，但是某些長期證書的管理又需要服務一直持  續(xù)下去不能中斷，等等。(注：參見周忠海主編：《電子商務法導論》，北京郵電大學  出版社2000年版，第65頁。)
　　由上述認證機構的性質與風險分析可以看出，金融電子認證的產生與發(fā)展將引發(fā)金融  領域的許多新型法律問題，主要包括：其一，金融數字證書與金融電子認證機構的法律  地位以及對金融電子認證的法律監(jiān)管應得到立法規(guī)范，否則無法引導與保障金融電子認  證的有序發(fā)展。其二，金融電子認證所面臨的風險將引發(fā)認證機構的責任問題，因為機  構極有可能在某些場合給證書持有人或證書信賴人造成損失。其三，金融電子認證機構  作為一個對電子金融市場具有重大價值的新型信用服務主體，在金融電子認證領域面臨  許多現實的或潛在的執(zhí)業(yè)風險，如何鼓勵其運行與發(fā)展。其四，金融電子認證所應實現  的服務標準或技術標準應有相應的規(guī)范與完善，以真正達到保障電子金融安全的目的與  價值。
　　上述法律問題的實質是網絡化帶來的新社會關系對于金融法律制度的新挑戰(zhàn)。正是基  于以上法律問題，筆者認為，對于在電子金融中保障網絡交易安全以及信用制度起非常  重要作用的金融電子認證，應在未來的金融立法中占據應有的地位。
　　三、金融電子認證法律制度的價值
　　從價值論角度分析金融電子認證法律制度的必要性或者說效用性，是建立與完善相應  制度的理論前提。正如博登海默所言，價值判斷在法律制度中所起的主要作用在于它們  被整合進了各種法律規(guī)范之中，在使用與解釋這些規(guī)范時，往往必須弄清楚它們得以頒  布與認可所賴以為基礎的目的和價值論方面的考慮。(注：引自(美)E.博登海默著：《  法理學、法律哲學與法律方法》，鄧正來譯，中國政法大學出版社1999年版，第504頁  。)因此價值是一個法律制度存在與發(fā)展的前提與基礎，而價值分析則是法律制度理論  研究中的重要領域。法的實質價值目標主要包含安全、自由、平等、效率等四大主要價  值。(注：參見李步云主編：《法理學》，經濟科學出版社2001年版，第61頁。)金融電  子認證法律制度對于電子金融交易主體以及整個金融秩序的法律價值也主要體現在這幾  個方面。
　　1995年10月全球第一家網絡銀行“安全第一銀行”(Security  First  Network  Bank)在  美國誕生。它的命名深刻體現了安全性是電子金融市場追求的首要價值目標。金融電子  認證法律制度的建立與完善能通過對金融CA的執(zhí)業(yè)活動的規(guī)范促進其維護電子金融安全  價值的最大實現，為商業(yè)銀行等金融機構在網絡環(huán)境下遵循“安全性”經營準則提供有  效的法律與技術支持，從而為整個電子金融市場的穩(wěn)健安全發(fā)展提供了保障。完善的法  律規(guī)制下所提供的合格金融電子認證服務能通過對交易信息安全的保障來實現電子金融  市場各主體之間的自由、平等交易。此外，通過相應法律制度對金融電子認證所應實現  的標準作出規(guī)范，能進一步提供金融機構在網絡環(huán)境下的經營效率，同時也有利于金融  監(jiān)管機構對于電子金融業(yè)務的監(jiān)管效率。網絡金融服務是新世紀金融創(chuàng)新和金融信息化  發(fā)展的主戰(zhàn)場，通過發(fā)展電子金融，提升金融效率、創(chuàng)新金融產品、強化金融監(jiān)管，提  高金融對經濟資源的配置效率，提高金融行業(yè)的競爭力，已經成為我國各方面人士的共  識。加入WTO后，網絡銀行業(yè)務的競爭將是我國銀行業(yè)面臨的最先沖擊。加快網絡金融  業(yè)的發(fā)展，提高金融業(yè)的整體競爭力，已勢在必行。(注：引自2001年4月人民銀行總行  行長戴相龍在“網絡經濟與經濟治理”研討會上的發(fā)言稿。)基于金融電子認證法律制  度對于電子金融市場的重要價值存在，其建立與完善理所當然應成為電子金融法律環(huán)境  建設工作中的重要組成部分。
　　當然對金融電子認證法律制度進行價值或必要性分析的另一方面問題是是否有必要從  金融法領域建立與完善關于金融電子認證的特別規(guī)定。也就是說，關于電子認證的相關  法律規(guī)定(這在我國未來的電子商務立法中顯然會是重要部分)是否已經足以調整金融電  子認證法律關系。鑒于金融領域的特殊風險或者金融市場對于社會經濟的特殊價值，使  得金融電子認證既具有一般電子認證的共性，又有其獨具的特點。在一般性法律關于普  通電子認證的規(guī)定基礎上，從金融法領域建立起關于金融電子認證的特別法律制度體系  ，更有利于對金融電子認證關系的全面有效調整和維護電子金融市場的穩(wěn)定，這

也更能  滿足市場經濟對于金融相關機構所提出的特殊社會要求。我國在公司法證券法有關信息  披露的規(guī)定基礎上又建立了專門針對商業(yè)銀行的特別信息披露制度就是一個類似的例證  。因此建立與完善金融電子認證特別法律制度有充分的必要性。更何況我國電子商務立  法議程尚未明朗，在缺乏法律調整依據的情況下迅速建立金融電子認證法律制度對于鼓  勵與保障電子金融的發(fā)展具有更加重要的現實意義。
　　四、對建立與完善我國金融電子認證法律制度的理論思考
　　結合對我國電子金融發(fā)展及法律環(huán)境的現狀分析，筆者認為，我國應通過積極的電子  金融立法來建立與完善金融電子認證法律制度，以維護電子金融安全，鼓勵依托網絡的  金融創(chuàng)新，促進中國金融機構效益性與競爭力的提升。
　　首先，從立法思路上而言，應當借鑒我國已有的成功金融立法經驗。鑒于對金融認證  領域的迫切調整要求，我國應盡快通過較低層次的立法對金融電子認證及金融CA的法律  地位、效力及準入條件、服務標準等基本問題作出規(guī)定，待條件成熟后再將相關規(guī)定轉  化為高層次立法。這也是中國網絡法領域的成功經驗。如針對域名爭議解決，我國已經  逐漸接受了通過域名管理機構所指定的域名爭議解決機構成立專家組對域名爭議進行非  終局性裁決這一新型機制，而2002年3月信息產業(yè)部通過的《中國互聯網絡域名管理辦  法》這一部門規(guī)章(雖然法律效力層次較低)中就明文肯定了這種機制的法律地位，以鼓  勵其發(fā)展。在金融法領域，中國人民銀行頒布的《商業(yè)銀行信息披露管理暫行辦法》、  《網上銀行業(yè)務管理暫行辦法》、中國保險監(jiān)督管理委員會頒布的《保險公估機構管理  規(guī)定》等都是近一兩年來針對有迫切調整要求的金融領域的特別立法。因此對于需要先  行立法來滿足調整要求的金融電子認證領域，應同樣采取開放、快速的立法思路。
　　其次，應從立法上為金融電子認證機構設置科學合理的法律責任機制明確設定一些金  融電子認證機構的積極責任，以促進電子認證機構遵守執(zhí)業(yè)規(guī)則，向社會公眾提供可信  賴的證實真實可靠信息的數字證書，以保障電子金融業(yè)務的安全性并促進網絡信用制度  的建設。其中應至少具備以下的一些責任機制：1、對證書信賴人因信賴證書而遭受的  損失應實行金融CA過錯損害賠償制，即認證機構應對其錯證行為承擔過錯責任。顯然對  金融CA這種中介服務機構而言，建立損害賠償機制是必然趨勢。就電子認證機構而言，  其與證書用戶之間是認證服務合同責任，其與非證書用戶的證書信賴人之間是一種職業(yè)  責任，對兩種義務的損害均需負賠償責任。但對于金融中介信用服務機構而言，這種損  害賠償責任應以存在過錯為前提。我國《證券法》規(guī)定為證券的發(fā)行、上市或者證券交  易活動出具審計報告、資產評估報告或者法律意見書等文件的中介服務機構就其所應負  責的內容弄虛作假的，應對其造成的損失承擔連帶賠償責任。(注：見《證券法》第202  條。)中國保監(jiān)會2001年11月16日頒布的《保險公估機構管理規(guī)定》第6條規(guī)定：保險公  估機構因自身過錯給保險當事人造成損害的應當依法承擔相應的法律責任，再次體現了  我國對于新型金融中介信用服務機構損害賠償責任的立法取向。從法律關系上分析，金  融CA與作為證書持有人(證書用戶)的證書信賴人之間是一種認證服務合同關系，其對錯  證理應承擔違約責任。根據《合同法》第107條所確定的合同違約責任歸責原則實際上  是無過錯原則，即不管當事人違約是因自己還是因他人造成，均應對另一方當事人承擔  違約責任。這種歸責原則，對于將時刻面對數以萬計的網上用戶，要根據數十萬真?zhèn)坞y  辨的信息進行認證的金融CA而言是難以負荷的。同其他第三方認證機構一樣，電子認證  機構所可能做到的只是合理謹慎地根據已有信息進行身份或信息鑒定�；�于其頒發(fā)證書  的公示性，對于因自己未盡合理謹慎義務而故意或過失頒發(fā)錯誤數字證書造成用戶損失  時，認證機構理所當然應承擔損害賠償責任；如果是由于外部人員運用先進技術非法攻  擊、網絡不運作、信息提供人故意或過失提供錯誤信息等他人原因造成錯誤的，基于公  平原則，這種責任不應再由面臨過多風險的金融CA來承擔，而只能由侵權人承擔。另一  方面，金融CA與非證書持有人的證書信賴人之間無直接合同關系，而只是一種職業(yè)責任  ，那么認證機構所可能承擔的便只是侵權責任，并且認證機構的錯證行為對證書信賴人  因信賴證書而承受的損失而言只是一種間接原因，兩者之間并無必然因果關系，因而只  能實行過錯責任制，并且認證機構無須負全部責任，僅須就直接侵權人所無法承擔的部  分負責。(注：參見王利明、楊立新編著：《侵權行為法》，法律出版社1996年版，第6  4頁。)因此，在未來的電子金融立法中，應以特別法的形式規(guī)定金融CA對錯證所造成證  書信賴人的損失承擔損害賠償的過錯責任制，并且應實行推定過錯制，即須金融CA證明  自己有無過錯，而不能將此舉證責任由處于技術弱勢地位的證書信賴人完成。并且立法  中對錯證行為也應有明確的定義。損害賠償制要得以實施，還需立法上對金融CA承擔民  事責任的能力作出保障，如規(guī)定注冊資本的下限限額、從認證費用中提取一定比例風險  準備金制度等等。2、保密責任與協助司法責任責任：金融CA作為金融領域的電子信息  服務機構，其所建立的龐大的數據庫系統所面臨的首要責任便是對用戶私人數據的保密  義務，商業(yè)秘密、個人秘密的保護是信息服務機構的重要義務。包括代碼、密碼、運算  規(guī)則、私人暗碼等在內的特殊數據都是解讀信息或電子通信所必須的也是認證機構需嚴  格進行管理與保護的對象。即需立法上明確規(guī)定認證機構作為超然于交易雙方利益之外  的第三方，應對所管理的交易雙方的信息資料等商業(yè)秘密負有嚴格的職業(yè)保密義務，對  交易主體個人數據或記名數據的處理應負有重大的安全義務，并通

過自己的認證服務，  為交易主體提供關于交易安全性的真實信息。但另一方面，私人數據的保護還面臨與國  家安全利益保障的沖突。從立法上應明確，金融CA在保障信息安全的同時，又負有協助  司法或行政機關根據法定程序進入加密信息，進行保護國家利益方面的舉證的責任。也  就是說，認證信息的安全體制將受到與國家安全或刑事訴訟程序相關的強制性規(guī)定的限  制，同時立法應予明確的是，認證機構在依法定程序向司法機關交出“密鑰”的情況下  ，應負有將此事實向用戶通知的義務，以保障個人數據與通信秘密的尊嚴。3、風險揭  示責任：鑒于金融電子認證所存在的大量風險，認證機構應積極作為以提示證書依賴人  可能遭遇的風險。風險揭示雖不能作為認證機構免責的依據，但可避免信賴人對認證機  構苛求過重的責任。4、積極技術責任：對金融CA的服務技術標準作出規(guī)定是必不可少  的。金融CA的服務既需要滿足一般認證機構的服務標準，又要符合金融領域的特殊要求  ，因此其技術責任應緊密聯系金融領域的有關國際管理標準。
　　再次，應規(guī)定鼓勵金融CA發(fā)展的責任機制與措施。為避免金融CA承擔過重責任而限制  了自身發(fā)展，從立法上又需設定對認證機構的責任限制的規(guī)定，以使其維持不過高的運  營成本，為電子金融安全提供可靠的認證服務。這些責任限制手段有包括以下所述在內  的多種方式：1、規(guī)定認證機構對損害賠償的“先訴抗辯權”，即盡管認證機構的行為  存在過錯，證書依賴人在證書使用限制范圍內，因依賴證書而在交易中遭受損失，但在  受損失人采取一切救濟手段(包括經審判并強制執(zhí)行)尚不能從直接侵權人處獲得充分賠  償之前，認證機構可以拒絕承擔責任。這樣可以促使責任在認證機構與真正侵權人之間  進行更為合理公平的分配。2、應允許金融CA在認證證書上注明使用限制(包括對交易價  值的限制)，如果這些限制明確無歧義，認證機構可以不對由于無視這些限制而產生的  損失負責。例如美國尤他州《數字簽名法》第308條規(guī)定，即使認證機構存在虛假陳述  ，認證機構也不對超過證書中明確建議的可靠性程度的數額負責。3、規(guī)定金融CA在嚴  格遵守了法令規(guī)定及業(yè)務守則的前提下，以及在不可抗力情況下的免責等等。在可能的  情況下還可以采取稅收優(yōu)惠等鼓勵手段。
　　最后，應通過立法明確對金融電子認證的監(jiān)管機構及監(jiān)管手段。對金融電子認證領域  的主要監(jiān)管主體應是金融監(jiān)管機構而并非網絡行政監(jiān)管機構。金融CA除應具備網絡行政  監(jiān)管機構對于一般CA規(guī)定的成立條件外，還應取得金融監(jiān)管機構的從業(yè)許可并接受其監(jiān)  管。對金融安全認證體系進行有效的監(jiān)管已成為中國人民銀行在推動網絡金融發(fā)展方面  的一個重要追求目標。(注：參見人民銀行總行支付科技司司長陳靜著：《新的世紀是  金融服務創(chuàng)新的時代——21世紀中國金融信息化發(fā)展展望》，載《中國金融電腦》2000  年第10期。)而科學完善的立法授權是有效監(jiān)管的重要前提。當然鑒于中國金融領域分  業(yè)經營、分業(yè)監(jiān)管的現狀，立法上可以采取多家金融監(jiān)管機構聯合頒發(fā)許可并進行監(jiān)管  的模式進行管理。同時金融監(jiān)管機構也應積極積累、總結對于金融電子認證的監(jiān)管經驗  ，不斷改進監(jiān)管手段，提高監(jiān)管效率，以保障與促進電子金融的發(fā)展。
　　五、結語
　　金融電子認證法律制度的建立與完善是一個要遭遇紛繁復雜的新型法律問題的艱難過  程，防范與化解金融風險是金融法的基本原則之一。(注：參見朱大旗著：《金融法》  ，中國人民大學出版社2000年版，第11頁。)金融電子認證法律制度的最重要立法目的  正是要貫徹這一原則。而包括電子金融服務在內的金融創(chuàng)新又是現代金融機構生存與發(fā)  展的必需。隨著安全技術和認證機制的廣泛應用，電子金融服務的發(fā)展無疑給金融監(jiān)管  和金融立法帶來了新的課題。舊的監(jiān)管方式和程序已很難再適用于新型的金融業(yè)務，現  行的金融立法也阻礙或限制著新型業(yè)務的發(fā)展。因此具有足夠前瞻性且鼓勵金融創(chuàng)新并  能積極防范新形式金融風險的金融立法，是電子金融法律環(huán)境的必然要求。金融電子認  證法律制度的建立與完善同樣應滿足上述要求，以保障電子金融、電子商務的安全有序  發(fā)展，維護整個金融市場的穩(wěn)健運行。

【對我國金融電子認證法律制度的思考】相關文章：

我國人身損害賠償法律制度中的若干思考(三)08-12

我國人身損害賠償法律制度中的若干思考(一)08-12

我國人身損害賠償法律制度中的若干思考(二)08-12

我國人身損害賠償法律制度中的若干思考(八)08-12

淺析我國勞務派遣法律制度08-05

完善我國的社會保障法律制度08-05

論我國工傷認定法律制度08-05

我國村鎮(zhèn)銀行法律制度的完善08-05

對我國緩刑制度的思考08-05