|
在传统交易环境下,交易当事人最关心的问题是谁先履行合同,一般来说,先履行义务者风险较大。而在电子商务环境下,交易人则首先要考虑的是,正在与何人进行交易,其信用如何。没有电子商务认证体系为依托,开放型电子商务就失去了生存环境。这是开放型电子商务的自身特征所要求的,也是必须以技术和法律方式给予全面解决的问题。电子身份认证服务的成功与否,直接影响着电子商务的全球化的推广进程。联合国贸法会之所以积极组织起草电子商务法的,也是因为上述的原因。
2.关于认证机构的管理与选任问题
在因特网上运行的电子商务,是一个完全开放的系统,任何从不相识的个人或企业,都可以通过网络跨区域的、不间断的从事商务活动。公开密钥加密体制,虽然将电子文件与其签署人紧密的联系在一起,解决了电子文件的辨别问题,但是并没有在陌生的商务交易主体之间,建立起交易所需要的起码的信任度。数字签名侧重于解决身份辨别与文件归属问题,而电子身份认证解决的是密钥及其持有人的可信度问题。因为密钥并不是万无一失的,它存在着丢失、被盗、被破译等风险。这就产生了公开密钥的辨别与认证的有效性问题,即需要由一个权威的机构对公开密钥进行管理,以减少密钥丢失、被盗、被冒用,而造成的损失。此外,认证证书还能提供一些交易当事人的资信状况。那么,由谁来管理认证机构,由谁来充当认证机构,认证机构应具体有那些权利,承担何种责任,就成了必须解决的问题。否则,公开密钥加密技术就是再安全,也不易在网络空间中广泛应用。
从目前世界各国的立法情况来看,在认证机构的管理上大致有如下几种作法:
一是官方集中管理型。这一方法是由美国尤他州率先采用的,不仅被美国其他许多州所仿效,而且被其他一些国家所借鉴。例如新加坡、韩国、德国就在认证机构的管理与选任上,采取了这种作法。其具体做法大致如下:其一,以法律授权政府相关的机构(通常为商务署),对认证机构进行管理,颁发许可证;其二,规定认证机构所必须具备的可靠条件,包括硬件、软件、业务人员等方面;其三,政府允许符合法定条件的认证机构承担有限制的责任;其四,法律上推定经认证机构核实的数字签名具有证据力。该种方法充分显示了政府的行政力量,其目的是让安全数字签名完全成为手书签名的替代品,进而促使广大的消费者进入电子商务领域。然而,这也是受到抨击最多的一种方案。
二是民间合同约束型。这是市场自由、技术中立原则的体现。澳大利亚、美国的加利福尼亚州是采用这种方法的典型代表,追随者也不在少数。其具体作法是,政府只宣布承认计算机网络通讯记录的书面效力、认可数字签名与手书签名有同等的效力、说明数字签名安全性的原则性标准,至于采用何种电子技术做出签名,由谁来充当网络交易中的认证人,政府一般不问,可由交易当事人自己决定。这种对电子商务的概括性规范,被称为“最低限度主义方法”(Minimalist),它在适应新技术发展方面有灵活性。但却留下很多重要问题没有规定。比如交易中的风险责任分担等关键性法律问题,就不是靠当事人的协议所能完全解决的。这种自由宽松的交易环境,有利于电子商务企业施展才华,却不利于广大消费者的参与。势力弱小的消费者,在缺乏明确规范的网络空间里,只能由于没有安全感而退避三舍。没有成千上万消费者的加入,电子网络仅仅成为大企业的俱乐部,也就自然失去了开放型网络的优势。这种“无为”政策,在电子商务发展的初期,还能算作一种策略,但它决不是解决问题的长久之计。
三是行业自律型。该方案认为认证机构的管理机关应当由政府主管部门(如财政部或商务部等)和全国认证机构协会来承担。后者是根据法律而成立的行业协会,并不具体从事认证业务。协会负责成立一个电子身份认证标准审查委员会,具体对适用于电子身份认证行业的标准负责开发、修订与确认,并且负责对其会员所采用的密码、标准的选定。任何官方的和非官方的实体,都可以成为认证机构,但它必须是在全国认证协会登记的成员。这一方案采取了官方监督,行业自律的方法,实际上是前两种方案的折衷,也较具可行性。需要说明的是,该方法目前尚处在一些国家待审议的法律提案中,既没有法律效力,也还未付诸实施,效果如何,有待实践检验。
以上三种方法,无论是已被一些国家的立法所采用的,还是正在拟议与争论中的,都各有利弊优劣。但笔者主张采取行业自律型,因为这种方式有其合理性,它既不依靠行政力量,也有利于想从事商事交易的当事人的积极参与,反映了认证机构管理的大趋势。但是,目前在我国电子商务市场还不完善的情况下,究竟采取哪种方案,并不是单纯地效仿别国,必须在实践的基础上找到答案。
3.电子身份认证机构的承担
CA机构有两个明显的特点:权威性和公平性。CA机构的权威性来自两个方面:(1) 认证机构的服务,能够提供客户真正值得信赖的信息认证机构,必然在其运作中逐步树立自己的权威性;(2)认证机构的地位,私人认证机构、地方政府认证机构、行业认证机构、国家认证机构所处的地位不同,具有不同的权威性。公平性原则主要指认证的行为是从第三方的角度来考虑。
不管在认证机构的管理采取何种方式,我们都应当从它的特点来分析CA机构的承担问题。
笔者同意有的学者的观点,认为自然人不宜作为认证机构的发起人,起码在我国是这样。因为自然人的生老病死,而且对于自然人的身份界定有相当的难度。这些都会影响到认证业务的稳定进行,而且自然人所能承担财产责任的能力,一般都不如法人机构。
政府机构作为CA认证机构,本作者认为不合理,因为政府属于上层建筑,是处于自然状态的个人、企业、和家庭所要求的一种社会状态,个体放弃他们的一部分自由而联合成国家,置身于政府之下的目的是为了一种公共权利来保护他们的财产,给他们的活动提供一定的秩序。因而,政府在本质上是不适合进入追求经济利益为目标的市场活动之中。但是,政府与市场的关系又不完全是对立的,应与市场相辅相成,离开市场的作用,市场本身就是不可能完善经济活动,甚至会使经济活动受到破坏,只有政府和市场共同作用才能使经济活动正常运转。电子商务的出现,也应符合市场规律,只不过交易的形式发生了改变。所以政府应当起到监督作用,而不是亲临干预来充当认证服务机构。从经济的角度看,为了充分让其发挥宏观调控的职能,不能让其成为没有效率的政府;从法律的角度看,由独立个体充当的政府官员和由政府官员组成的政府机构并不一定代表社会公共利益,庞大的官僚机构之间互相推诿、扯皮,会大大降低办事的效益,根本无法满足电子商务迅即性的特点;从技术角度来看,政府充当认证机构还有很大的局限性,政府作为经济主体,在大多数情况下,获得各个领域的全面准确的信息非常困难,甚至会被错误的信息所误导,也会发生错误。
公益性的服务性机构。此种方式是通过组织在数字签名和认证领域的权威和技术人员成立的公益性(可以是法人)机构提供CA认证服务。笔者认为这种模式具有公益性,因为没有利害关系会缺少利益驱动,最重要的是没有权威性的后盾作保障,所以很多国家,至少在我国不会有市场。
|
