电子身份认证的法律保护模式
王煜
【全文】
电子身份认证的法律保护模式
[内容摘要]:随着电子身份认证技术的出现,电子商务交易双方的身份和交易信息的真实性、安全性和可靠性有了技术上的保障。而认证机构主要解决电子商务活动中交易参与各方身份、资信的认定,维护交易活动的安全。本文通过研究电子身份认证和认证机构的法律地位和法律属性,就如何建立一套适合我国电子认证发展形势,满足我国立法需要的电子身份认证法律保障体系作了基础性的阐述。
关键词:密钥 CPS 电子身份认证 认证机构 法律保护
一、问题的提出
随着计算机互联网技术的迅猛发展及其对社会经济的日益渗透,电子商务作为一种21世纪最具发展潜力的商务交易模式正在迅速崛起,越来越呈现出其活跃的生命力和巨大的发展潜力。我们所重点关注的具有商事法意义上的内涵的电子商务,其突出特点是采取以Internet为运行平台来进行信息的传递和交换。与传统商务相比,这一新兴商务模式具有交易的隐蔽性、虚拟性和迅疾性等诸多明显的不同特征。因此,如何适应电子商务的这一特点,在开放型的计算机互联网条件下,建立一种确保电子交易信息真实性和交易双方身份准确性的机制,保证电子交易的安全性、真实性和可靠性,是我们跨越电子商务“门槛”需要解决的首要问题。电子身份认证正是在这种特定背景下应运而生的,保障电子交易顺利进行之必不可少的有效手段。 通过电子身份认证机制来确保电子商务的安全,不仅仅是一个技术范畴,也是一个需要法律规范和调整的内容。建立与电子身份认证机制相适应的法律保护模式,以促进电子商务的繁荣发展,已成为信息产业界、经贸界特别是法律界所关注和研究的重要课题。
正因为电子身份认证在电子商务中的特殊地位和重要作用,各个国家都积极通过立法方式对其进行确认和规范,如美国、日本、新加坡、我国台湾地区都相继推出有关法律。在这一方面我国立法研究和立法实践还比较滞后,至今尚未出台电子商务法,仅在《
合同法》等中有比较模糊的规定,因此不但难以适应电子商务发展的形势,而且对已经普遍发生的电子身份认证行为的法律关系的认可上,以及有关法律责任的确定上缺乏有效的支持与保护。本文着重探讨电子身份认证机构的法律地位,以及认证机构、数字证书持有人和数字证书信赖者三者的权利义务关系,分析电子商务的出现对于传统《
合同法》的影响,以期对电子身份认证的法律保护模式提出自己的见解。
二、电子身份认证机构的法律地位
(一)电子身份认证的含义及特点
1.认证有广义和狭义两种,广义的认证即鉴别,主要包括对真伪的辨别的意思,既可以是当事人之间,也可以是第三人的鉴别。狭义的认证指权威的、中立的、没有直接利害的第三人或机构对当事人的鉴别,我们在电子商务中所特指的电子身份认证多为第二种认证。电子身份认证指以特殊的机构,对数字签名及其签署者的真实性,进行验证的具有法律效力意义的服务。台湾电子签章法中电子身份认证指认证机构依其认证实务作业基准之相关规定,审验公钥认证申请人的身份、资格与属性,及验证其公钥及私钥的配对关系后,签发公钥认证或其它电子身份认证。
与电子身份认证密切相关的概念是数字签名,数字签名(Electronic signature)是指通过一种特定的技术方案来鉴别当事人的身份及确保交易内容不被篡改的安全保证措施。数字签名采取的方案有非对称密钥加密(公钥加密体制)、生物笔迹鉴别法等。但大多数国家将非对称密钥加密作为法律认可的安全技术方案。非对称密钥体制的思路就是对信息的加密、解密过程不是一个对称的过程,信息的加密与解密使用不同的密钥,即公有密钥和私有密钥。发送方在发送信息时,发送方必须先将索要签署的文件内容经过Hash 函数的运算,然后对资料摘要利用私人密钥作加密运算,其结果即为原文资料做出数字签名。然后将数字签名及其原文送至接收方。收件一方在接到资料后,将原文资料的相同的Hash函数重新加以运算,得到一个资料摘要。对比两摘要,如果相同,则可以认定为由该公共密钥所对应的私人密钥所签署。这样,便可以表示所收到的信息确实是发送方所签署的文件。这样,交易双方在网上交易通过数字签名识别彼此的身份和确保传输信息的完整性。但是,对数字签名本身的认证问题,不是靠交易双方自己所能完成,从而为网上交易建立一种有效、可靠的保护机制,这也是数字签名机制的核心。
电子身份认证的具体实施过程为发件人在作数字签名前,签名者必须将他的公共密钥送到一个经合法注册,具有从事电子身份认证服务许可证的第三方,即CA认证中心,登记并由该认证中心签发的数字证书(内含申请人的公钥)。随后,发件人将数字签名文件和数字证书一并发给对方。收件人使用经过核对无误的数字证书对发件方的数字签名进行验证,就可鉴别数字签名文件的来源、真实性与可靠性。
电子身份认证和数字认证,都是电子商务的保障机制,但是数字签名只是侧重从技术上对签名人做出辨别,着重保护数据的安全;而电子身份认证则从制度和组织上确认交易者的身份,保证了信息不被其他人窃取、不被篡改,发送方能够通过数字证书来确认接收方的身份,发送方对自己发送的信息不可以抵赖。
2.电子身份认证是为电子商务交易双方当事人提供信用服务,它具有以下特点:
⑴ 电子身份认证的主体是使用数字签名专门从事电子身份认证的机构。电子身份认证机构通过自身的注册审核体系,检查核实进行数字证书申请的用户身份和各项相关信息,并将相关内容列入发放的数字证书内,使用户属性的客观真实性与数字证书的真实性一致。电子身份认证机构以其公正、权威、可信赖的地位,获得数字证书使用者的信赖,并使用户通过对其发放的数字证书的信赖,实现对电子交易各方数字证书持有者的信赖。
⑵ 电子身份认证是电子身份认证机构受理数字证书申请、核实、签发、中止、撤销数字证书的活动。数字证书是电子商务主体在信息网络空间活动的可信身份证,签发数字证书是认证机构的行为。从事电子商务的主体凭借认证机构颁发的数字证书,可以解除对交易相对方的疑虑。目前,世界上领先的认证机构是美国的VeriSign公司。它为全世界50个国家提供数字证书服务。
(二)电子身份认证机构的法律性质
1.从法律角度考察,认证机构扮演着一个买卖双方签约、履约的监督管理的角色,买卖双方有义务接受认证中心的监督管理。在整个电子商务交易过程中,包括电子支付过程,认证机构都有着不可替代的地位和作用。
在电子商务交易的整个过程中,认证机构是提供交易双方验证的第三方机构,由一个或多个用户信任的、具有权威性质的组织实体管理。它不仅要对进行电子商务交易的买卖双方负责,还有对这个整个电子商务的交易秩序负责。因此,这是一个十分重要的机构,往往带有半官方的性质。在实际运作中,认证机构可由大家都信任的一方担当,例如在客户、商家、银行三角关系中,客户使用的是由某个银行发的信用卡或者能卡,而商家又与此银行有业务关系。在此情况下,客户和商家都信任该银行,可由该银行担当认证机构角色,接收、处理客户证书和商家证书的验证请求。
认证是一种信用服务。认证机构并不向在线当事人出售任何有形的商品,也不提供资金或劳动力资源。它所提供服务成果,只是一种无形的信息,它包括了交易相对人的身份、公开密钥、信用状况等情报。虽然,这些信息无法以具体的价格来衡量,但它是在开放型电子商务环境下,进行交易所必须的前提性条件,并且是交易当事人所很难亲自得知的。与一般的信息服务不同的是,认证机构所提供的是经过核实的,有关电子商务交易人所关心的基本信息。实际上它是关于交易当事人的事实状况的信息,通常包括交易人是谁、在何处、以何种数字签名方式与之交易,其信用状况如何等。因此,认证是一种信用服务,它与目前存在的信用评级公司所从事的业务有些类似。所不同的是,信用评级是一种任意性的商誉,其广告作用甚为明显,当事人可自愿采纳,信用评级公司一般不负法律责任(起码从我国的情况看)。而认证信息,则一般是经过核实的真实的信息,并且认证关系的直接当事人,即认证机构和证书用户,应共同对证书信息的真实性负法律责任。
