10.3.1 电子支付的立法概况
国外电子支付起步较早,相应的法律建设也相对完善。美国在电子资金划拨的立法方面比较领先,于1978年制定了《电子资金划拨法》,该法主要适用于小额划拨,而适用于大额划拨的法律是1989年修订的《统一商法典》中增设的“4A编——资金划拨”。英国几乎没有关于电子资金划拨的成文法和判例法。对于大额资金划拨依据的主要规则是《票据交换所自动收付系统清算规则》(CHAPS清算规则);对于小额资金划拨,主要是依据1992年3月由英国银行家协会、英国房屋建设社团协会、支付清算协会共同公布的《银行业惯例守则》进行。该守则虽然不是法律,但却在事实上具有了法律效力。
我国关于电子支付的立法相对于其他国家来说比较滞后,但是发展也很迅速。我国在《中华人民共和国合同法》(简称《合同法》)中加进了“数据电文”这一新的电子交易形式。中国人民银行于1997年12月公布了《中国金融IC卡卡片规范》和《中国金融IC卡应用规范》。1998年中国人民银行又公布了与金融卡规范相配合的关于POS设备的规范。2001年6月,中国人民银行又公布了《网上银行业务管理暂行办法》。银监会于2000年3月颁布了《网上证券委托暂行管理办法》以及《证券公司网上委托业务核准程序》,并于2006年1月颁布了《电子银行业务管理办法》。2005年,我国还颁布了《中华人民共和国电子签名法》(简称《电子签名法》)。
2005年10月26日我国颁布了《指引》。《指引》对银行从事电子支付业务提出了指导性要求,规范和引导了电子支付的发展。2005年6月,《支付清算组织办理办法(意见征求稿)》出台,正式文件尚未出台,该文件主要针对第三方支付平台进行规范。
10.3.2 电子资金划拨中的法律问题根据服务对象的不同与支付金额的大小,电子资金划拨分为小额电子资金划拨(又称零售电子资金划拨)与大额电子资金划拨(又称批发电子资金划拨)。小额电子资金划拨的服务对象主要是广大的个人消费者,最常见的形式是销售点终端(POS)、自动柜员机(ATM)、居家银行服务(HomeBanking)。大额电子资金划拨的服务对象包括货币、黄金、外汇、商品市场的经纪商与交易商,在金融市场从事交易活动的商业银行,以及从事国际贸易的工商企业。大额电子资金划拨的每笔交易金额巨大,在支付的时间性、准确性与安全性上有特殊的要求。在发达国家,大额支付系统都是电子资金划拨系统,主要有联储电划系统(Fedwire)、清算所银行间支付系统(CHIPS)和环球银行间金融电讯协会(SWIFT)。
1小额电子资金划拨的法律关系
小额电子资金划拨的法律关系比较简单,重在保护消费者。美国的《电子资金划拨法》规定了金融机构必须承担的义务。其主要规定有:要求提供电子资金划拨设施的金融机构向用户公开有关权利和义务的信息以及交易文件的内容和改正错误解决纠纷的程序;服务提供者须根据用户的指令以正确的和及时的方式进行划拨,须根据用户的要求停止事先已授权划拨的支付。
英国的《银行业惯例守则》分别规定了银行和持卡人必须承担的义务。银行方面要保证ATM正确回应持卡人的指令;保证ATM正常工作,如果银行没有在出了故障的ATM上作出明确的通知致使用户遭受损失的,发卡银行对直接损失负责,如果作出了通知则解除责任;保证ATM提供充分的信息以使持卡人的账户能正确地被记录。持卡人对所有授权使用的现金卡和借记卡承担责任,无论这种授权是明示的或暗示的。
2大额电子资金划拨的法律关系在美国,UCC4A编通过以前,调整大额电子资金划拨的分别是联储J条例、CHIPS规则、SWIFT规则。这些规则均只适用于划拨人银行和受拨人银行,内容也不全面。有鉴于此,1989年,美国通过了UCC4A编,其官方文本及官方释论已由美国法律学会和各州法律全国代表大会批准,有40多个州在3年之内颁布了相关的法律。UCC4A编对大额电子资金划拨作了全面规范,指出它的适用范围是一项“支付命令”,即发送人对接收银行的一项指令,这项指令以口头方式、电子方式或书面方式传送,是支付或使另一家银行支付固定的或可确定的货币金额给受益人的指令。
大额电子资金划拨的法律关系比较复杂,涉及发端人、发端人银行、受益人、受益人银行以及中介银行。发端人、发端人银行及中介银行都可以是发送人,即向接收银行发出指令的人;同时,发端人银行、中介银行及受益人银行都可以是接收银行,即发送人指令发往的银行。这两种当事人的分类称谓不同,但法律关系的实质是一样的。
10.3.3 电子货币的法律问题
电子货币是一种新型的货币形式,它是以电子信息网络为基础,以现代化电子信息处理装置为载体,以电子信息的认证为其货币财产的确认方式,以电子信息的传输代替货币证券实物流通的货币。
1电子货币的法律性质
电子货币目前没有一个统一的定义,一般是指以电子设备和各种交易卡为媒介,以计算机技术和通讯技术为手段,以电子数据形式存储,并通过计算机网络系统以电子信息传递形式实现流通和支付功能的非现金流通的货币。电子货币是以电子计算机技术为依托的一种新型的支付工具,具有支付适应性强、变通性好、交易成本低廉等优点。关于电子货币是否为货币的一种形态,在我国银行法中尚无明确规定,但根据电子商务在现实中的发展来看,我国实际上已经认可其作为货币的一种形态。电子货币与现有货币并不相斥,实际上电子货币是以现金、存款等货币的现有价值为前提,通过其发行者将其电子化之后产生出来的。从这个意义上讲,电子货币是以现有通货为基础的二次性货币。
从电子货币目前在全球的使用情况来看,各种形态的电子货币都是通过相互交换电子信息来完成支付,而且都是以既有实体货币的存在为前提,以实体货币的价值为其价值,只是实体货币的电子化、数据化。它们均是以在电子化世界或在现实世界中通过电子化手段实现支付的电子化为目的,是对实体货币功能的扩展,因而,电子货币只是蕴含着可以执行货币职能的某种可能性,还不能完全执行支付手段的全部职能,与通货还有一定距离。目前的电子货币只是将现金或存款用电子化的方法转移、传递,以实现结算,而不是完全代替现金或存款成为一种独立的支付手段。
综上所述,在电子商务未完全成为经济社会的主流商业模式之前,电子货币只能作为一种辅助性的支付手段起作用。现有电子货币只能是以既有货币为基础的电子化衍生物,故不能作为一种完全独立的通货。
2电子货币的发行
(1)发行的主体目前,电子货币发行主体有银行、非银行金融机构和非金融机构。由于电子货币的发行相当于存款,一旦出现发行主体破产将直接损害用户的利益;同时,鉴于电子货币的高科技属性,如果过于限定电子货币的发行主体,则阻碍了民间对技术更新的积极性,会妨碍电子货币的发展。基于不同的考虑,各国关于电子货币发行主体的规定各不相同。在欧盟,欧盟委员会规定的目标是一方面保证电子货币发行者的稳定和健全,另一方面保证个别发行者的失败不会对这种支付手段造成重大影响。欧盟的观点是,电子货币的发行应该限定在金融机构的业务中,其发行主体应该属于金融监管的对象。但是面对美国非金融机构电子货币的竞争,也开始允许非金融机构作为电子货币的发行主体。
美国是目前反对将电子货币的发行权限制在银行手里的最主要的国家。美国政府认为,限制电子货币的发行主体将直接限制竞争,而电子货币作为高新技术产物,需要创新,创新的机制就是竞争。所以,美国对电子货币的发行持宽松态度。
目前,学术界有一种观点认为,如果只允许银行发行电子货币,现有的有关银行监管的法律就可以适用于电子货币,但同时限制了市场竞争和创新;如果允许非银行金融机构发行电子货币,就可以促进竞争和技术进步,但由于对这些机构的监管比对银行的监管显然要松,因此产生风险的几率也就大很多。所以,就控制电子货币的风险而言,欧陆国家的观点有利于国家对电子货币的监管,可以更好的控制风险。
(2)发行的管理由于电子货币在相当程度上有着类似于现金的特征,其发行将无疑减少中央银行的货币发行量,影响中央银行发行货币的特权。对于无国界的电子商务应用而言,电子货币还在税收、法律、外汇汇率、货币供应和金融危机等方面存在大量潜在问题。为此,必须制定严格的电子货币发行管理制度,保证电子货币的正常运行。
为保证电子货币发行人保持必要的流动性和安全性,可以采取以下措施实施管理:
①向所有的电子货币发行人提出储备要求和充足资本要求。
②应该建立电子货币系统统计和信息披露制度、现场和非现场检查制度及信息安全审核制度。
③建立安全保障体系。目前,许多国家正考虑建立电子货币担保、保险或者其他损失分担机制。其中,美国、德国、日本、加拿大和意大利等国已将电子货币纳入存款保险或担保制度体系中。
(3)发行人的条件应该对发行人在资金方面有所要求。欧盟的有关规范指出,发行人应该符合以下条件:
①事先批准;②最低资本要求;③健全或适当的管理体系;④健全和谨慎的经营机制;⑤持续的所有人控制。也就是说,要基本参照对银行的资格要求,除了最低资本要求可以相对较少以外。
(4)发行人义务①电子货币的发行人和开发者在开发、发行电子货币之前,要对技术、安全性、业务前景等进行可行性论证和成本与利益的比较分析。在电子货币发行方案中要考虑防伪问题以及洗钱等犯罪活动,并采取适当的操作程序,有效地控制操作风险。
②为了保证在不利情况发生时仍然能够提供产品和服务,电子货币的发行人要实施应急措施和业务恢复计划。
③为减少、限制伪币和欺诈,电子货币发行人应具备监控和赎回电子货币余额的能力,其系统要具有交易明细记录、影子余额记录、交易限制规定、交易行为分析等功能。
④对电子货币系统进行非法攻击或者未经授权的侵入是威胁电子货币系统安全的一个主要问题。因此,电子货币的发行人必须具有良好的预防、侦查和预测功能,保护其系统不受内部和外部的滥用。
⑤电子货币发行人必须向国家中央银行汇报货币政策要求的相关信息。
10.3.4 网络银行的法律问题
1网络银行的准入问题一直以来,银行业都是一个受到严格行业管制的特殊行业,尽管全球出现了放松管制的浪潮,银行业仍然处于相对垄断的市场上,网络银行降低了市场进入成本,削弱了商业银行的优势,扩大了竞争的广度和深度。从长远来看,这一趋势必然会吸引非银行金融机构参与进来。如何把握网上银行的市场准入,既保持市场活力,使用户得到多元化服务,又使电子支付系统的软硬件设备得到充分利用,成为两难问题。
2006年3月1日,我国开始实施《电子银行业务管理办法》(以下简称《办法》)。《办法》中对金融机构申办电子银行提出了六个条件:
①金融机构的经营活动正常,建立了较为完善的风险管理体系和内部控制制度,在申请开办电子银行业务的前一年内,金融机构的主要信息管理系统和业务处理系统没有发生过重大事故;②制定了电子银行业务的总体发展战略、发展规划和电子银行安全策略,建立了电子银行业务风险管理的组织体系和制度体系。
③按照电子银行业务发展规划和安全策略,建立了电子银行业务运营的基础设施和系统,并对相关设施和系统进行了必要的安全检测和业务测试;④对电子银行业务风险管理情况和业务运行设施与系统等,进行了符合监管要求的安全评估;⑤建立了明确的电子银行业务管理部门,配备了合格的管理人员和技术人员;⑥中国银监会要求的其他条件。
同时,如果金融机构开办以互联网为媒介的网上银行业务、手机银行业务等电子银行业务,除了应具备上述条件以外,还应具备以下条件。
①电子银行基础设施设备能够保障电子银行的正常运行;②电子银行系统具备必要的业务处理能力,能够满足用户实时业务处理的需要;③建立了有效的外部攻击侦测机制;④中资银行业金融机构的电子银行业务运营系统和业务处理服务器设置在中华人民共和国境内;⑤外资金融机构的电子银行业务运营系统和业务处理服务器可以设置在中华人民共和国境内或境外。设置在境外时,应在中华人民共和国境内设置可以记录和保存业务交易数据的设施设备,能够满足金融监管部门现场检查的要求,在出现法律纠纷时,能够满足中国司法机构的取证要求。
除此之外,从事电子银行的金融机构,在办理电子银行业务前,应向中国银监会登记并且提交有关的文件和资料。
严格的市场准入监管法律制度能够保证进入网络银行业务的主体具有为用户提供足够安全服务的能力,而过于严格则可能导致进入网络银行业务的市场主体不够宽泛,网络银行的发展空间受到制约。
2电子签名的法律问题
对于交易指令的真实性问题,传统上主要依赖于当事人的签字或者盖章进行鉴别。但是在无纸化的电子交易中,签字和盖章的可行性就受到了挑战。对此,我国《合同法》规定,合同的书面形式是指合同书、信件及数据电文(包括电报、电传、传真、电子数据交换、电子邮件)等可以有形地表现所载内容的形式。可以看到,《合同法》确认了以电子数据交换和电子邮件达成的电子合同的法律效力,并将其作为合同的书面形式之一。
随着网络银行业的发展,电子签名的效力问题已成为各国共同关注的问题。电子签名是技术进步的产物,它在很大程度上保证了所传输内容的真实性与可靠性,但是电子签名的合法性必须得到法律的承认,这是网络银行业务的前提和基础。美国的《统一商法典》、欧盟的《关于建立有关电子签名共同法律框架的指令》等等,都对电子签名做了规定。联合国国际贸易法委员会于2001年7月审议通过了《电子签名示范法》,对电子签名进行了统一的规范。2005年4月1日,我国首部真正意义上的信息化法律《电子签名法》正式实施,确立了电子签名的法律效力,规范了电子签名行为,规定了电子签名的安全保障措施,为我国网络银行的发展创造了有利条件。
3网络银行的监管法律问题
目前,网络银行的法律监管至今仍处在一个不断探索的阶段,巴塞尔银行监管委员会也只是就网络银行的监管制度进行了初步研究,还没有形成较为系统和完善的网络银行监管制度。每个国家对网络银行的监管方式也各不相同。
美国金融监管当局认为网络银行的发展有利于金融机构进行降低成本、改善服务的创新,所以,对网络银行的监管采取了较为宽松的政策,一般是通过补充新的法律、法规,使原有的监管规则适应网络电子环境来实现对网络银行的监管。因而,在监管政策、执照申请、消费者保护等方面,对网络银行的要求与传统银行十分相似。
欧洲中央银行要求各成员国采取一致性的监管原则,各国国内的监管机构负责监督统一标准的实施。具体到网络银行业务上,欧洲中央银行要求成员国在网络银行监管上保持一致标准,承担认可电子交易合同的义务。
我国的网络银行是在相关法规几乎空白的情况下迅速发展起来的,带有浓厚的自发性。
总体上,我国的网络银行受到两个部门的管理:中国人民银行和信息产业部。从我国的实际情况来看,对网络银行监管,有以下几个难点:
一是对银行竞争力的抑制。我国实行的是分业监管体制,但是现在银行、证券、保险等其他金融业务已经呈现混合的态势,所以分业监管已经逐渐失去其优势,在一定程度上已影响到我国银行的竞争力。如果从一开始就对网络银行实施较为严格的监管,虽然有可能有效地降低网络银行乃至整个金融体系的风险,但会对网络银行的演进以及网络银行业务的发展产生一定的抑制作用。
二是对银行创新的抑制。监管的“公平性”要求被监管者应该遵守同一规范和标准,但由于各个网络银行自身发展方向和阶段的差异,强行执行某一规范,一方面会使一些网络银行丧失创新的主动性和热情,另一方面也加大了竞争者的进入成本,导致市场竞争力的减弱。
三是社会监管成本与监管效率问题。如果制定的规范或标准事后证明是不适用的,不仅银行要花费巨大的重置成本,而且会丧失良好的发展机会;如果某些规则由于缺乏可操作性,不但浪费人力物力,而且会导致监管效率低下。
针对我国网络银行发展中存在的问题及其监管难点,我们应在考虑我国网络银行发展的状况、速度等客观条件的基础上,适当地对网络银行进行监管,这需要国家、监管机关以及网络银行三方的共同努力。首先,从国家层面来说,国家应当积极开发一套金融信息系统以便能及时搜索所需的网络银行信息,并根据这些信息掌握网络银行监管工作的大局;加强网络银行的系统建设;提升整个社会对网络银行的信用度,维持公众对网络银行的信心。其次,从监管机关层面来说,银行业监督管理机关应当建立一整套网络银行信息管理分析系统、风险预测系统和安全防范系统;建立一套完整的网络银行业务审批和监管机制;完善有关法律法规,尽快制定和《电子签名法》相配套的电子货币、电子支付等方面的法律规范。
最后,从网络银行自身层面来说,网络银行应当完善内部的财务核算制度建设;通过加强日常管理来防范网络银行的各类风险;加强市场调查,不断创新营销策略,开发新的金融产品,避免市场风险;借鉴国外网络银行先进的管理理念和管理方法,真正做到为我所用。
10.3.5 电子支票的法律问题
电子支票是一种借鉴纸张支票转移支付的优点,利用数字传递将钱款从一个账户转移到另一个账户的电子付款形式。这种电子支票的支付是在与商户及银行相连的网络上以密码方式传递的,多数使用公用关键字加密签名或个人身份证号码(PIN)代替手写签名。用电子支票支付,事务处理费用较低,而且银行也能为参与电子商务的商户提供标准化的资金信息,故而可能是最有效率的支付手段。
电子支票是使用数字签名技术,把支票的纸质完全抛弃,从而可以在网络上直接传输。
我国现在电子支票的应用还很少,甚至可以说是一片空白,这是因为中国金融电子化程度较低,市场需求不旺,更主要的原因是电子支票的法律地位难以得到确认(主要是受到1996年实行的《中华人民共和国票据法》(简称《票据法》)的制约),使银行望而却步。
电子支票虽然被称为支票,但是,它同票据毕竟有很大区别。从其功能和运作上来讲,电子支票更接近于ATM卡类的支付工具。在我国,最为有效和可行的方法是制定专门的《电子票据法》,对电子票据,尤其是电子支票的相关问题进行规范和调整。
从传统的以纸质支票为手段的支付体系演变到完全的电子支票支付体系,一共经历了三个阶段。
第一个阶段为传统的纸质支票。传统的支票多用于企业与企业之间。但是随着信息技术的发展,在一些发达国家,纸质支票的使用已经逐步减少,这一方面是因为纸质支票的处理成本较高,支付速度慢;另一方面,由于信息安全技术的应用使纸质支票转化为电子支票成为可能。
第二个阶段为混合阶段。在这个阶段,纸质支票与电子支票共存,以纸质支票的存在为条件,以电子脉冲为主要手段。采用“支票截留”是这种支付体系的特点,即将纸质支票由转让人银行保存,通过计算机处理将之转换为电子信号,再以电子脉冲通过银行电子资金划拨网络将资金划拨到受让人银行。这样,纸质支票就转化成电子支票,从而实现资金划拨。
第三个阶段为完全的电子支票阶段。这种电子支票是以智能卡为载体,以电子签名为基础,用数字信息彻底取代了纸质的支票,所以,其运作方式与传统的支票有很大的区别。在使用电子支票付款的时候,用户手中所持有的不再是传统的支票簿,而是电子支票簿。电子支票簿是以智能卡为载体,上面储存了用户证书、私钥和公钥。首先,用户把智能卡插入计算机的读卡器并通过自己的身份识别码(PIN)激活智能卡,使其正常工作。其次,电子支票簿在电脑屏幕上显示一张空白的支票给用户填写,用户填写完信息后,由电子支票簿中的私钥自动生成用户的电子签名,对支票中的所有信息进行加密。然后,用户通过电子邮件把这张电子支票寄给收款人。收款人在收到电子邮件后,也使用同样的电子签名技术在电子支票上进行背书,并把经过背书的支票交给自己的开户银行。最后,通过清算中心在银行之间进行清算,由用户和收款人的开户银行分别在其账户上借记或贷记票款并予以通知。
我国的票据法规制定得较早,当时票据清算主要还是以手工为主,所以对支票截留及支票的电子提示均没有具体的规定。随着我国现代化支付系统的发展,特别是北京、广州等一些大型票据清算中心投入运行,支票截留及电子提示已经在票据清算中开始使用。由于我国的票据法规在立法原则上实行坚定的严格性立场,其严格的程度远远强于英、美法系的票据法,所以没有法律的明文规定,一般不允许当事人通过协议排除或任意创设票据行为。这种法律上的缺位使支票截留及支票的电子提示在中国的发展受到了束缚,从而进一步限制了支付体系现代化的进程。为此,我们有必要对电子提示做出灵活性规定,在支票形式要件上作出一定的变通。
按银行惯例,截留支票的银行一般不核实支票的签字。因此,付款行可能会截留住一张伪造支票,即有人假冒出票人名义签发支票。我国《票据法》对此规定得很笼统,对支票伪造的效力规定得并不充分。在支票截留中,付款行收到的实际上是电子支票,没有机会查对支票的签字,让它承担损失有失公平。这实际上类似于未经合法授权而非法提款的情形,付款行有正当理由相信其接收的电子支票的编号符合约定。从代理法角度来看,出票人应承担代理的责任,其对付款人未能辨认伪造支票有过失,如支票编号等被泄露;当然,支票伪造人应负最终的民事责任。可见,这是支票伪造人的责任与出票人的责任,付款行可以任择其一行使权利。
从电子支票的运作方面可以看出,传统纸质支票的书面形式、原件及签名三大核心要素在电子支票中均发生了本质的变化,现有的票据法律制度无法对电子支票做出调整。因此数字层面上电子支票的法律问题主要涉及书面形式及原件、签名和认证签名的认证机构等三个方面。
第一,书面形式及原件问题。关于书面形式方面,许多国家法律都要求某些交易必须有书面文件。法律对书面形式的要求主要有两个目的,即作为合同有效性的要件或者证据。支票是一种有价证券,各国票据法对书面形式的要求是基于流通转让的需要。在1985年第18届会议中,联合国国际贸易法委员会在审查秘书处“关于计算机记录的法律价值报告”的基础上,建议各国政府审查关于某些贸易交易和与贸易有关的文件要用书面形式的法律规定,以便酌情允许把这些交易或文件以计算机“适读形式”记录下来或发送。解决这一问题的办法,不是要求各国法律取消“书面形式”的要求,而是如何设法使数据电文被视为“书面形式”。我国《合同法》第11条就明确规定:“书面形式是指合同书、信件和数据电文(包括电报、电传、传真、电子数据交换和电子邮件)等可以有形地表现所载内容的形式。”可见,我国《合同法》扩大了“书面”的定义,使之涵盖了电子数据交换和电子邮件。这种方法就是所谓的“同等功能法”,即不是确定一种相当于任何一种书面文件的计算机技术等同物,而是指出书面形式的基本作用,一旦电子数据达到这些标准,即可以与系统作用的相应书面文件一样,享受同等程度的法律许可。联合国国际贸易法委员会1996年5月《电子商务示范法》就是采用“同等功能法”的典范。可以这样认为,“书面形式”问题在某些领域如《合同法》领域较易解决,而在票据法领域则会遇到很大的困难。美国法院的有些判决曾明确裁定以电传方式交换的文件可以构成汇票。既然电传早已被法院实践所接受,那么被储存在中介载体(如磁带、磁盘等)上的计算机记录(电子数据)也应被视为“书面”的东西而被接受。因为它们都是通过一系列电子脉冲来传递信息的,区别只是电传的最终传递结果都是被设计成纸张的文件,而电子数据则不一定。电子数据的最终形式具有更通用的特点,取决于接受者是否想要书面文件,可以产生纸张形式的书面单据,也可以储存在磁盘或其他由接受者选择的非纸张的中介物上。
第二,签名问题。各国票据法都几乎毫无例外地规定,票据都必须有出票人的亲笔签名或其授权的人签名方能生效。票据签名有三重意义:使票据生效;使签名者承担票据责任;转移票据权利的必备条件。例如,根据我国《票据法》第85条规定,出票人签章是支票的必备记载事项,否则支票无效。各国法学界和电子学界的学者认为,签字的实质在于使文件、信息等具有独特性。因此,签字并不一定要求签署者亲笔手书,采用电子密码,即所谓电子签名,或称数字签名,就能以电子方式达到签字的目的。目前,国际社会已越来越多地接受数字签名的可行性,如《汉堡规则》第14条、《跟单信用证统一惯例》第20条、《电子商务示范法》第7条等。因此,可以认为,数字签名将会与传统手写或机械方式一样,成为认证的一种主要手段。美国《统一商法典》第3-401条规定:“在票据上所签名可用任何名称,包括商号或假名,或者代替手写签名的任何文字或记号。”该法第1-201条规定:“签字包括当事人当时为认证书信之目的,设立或采用的任何符号。”我们认为,票据上的签名同样应包括数字签名。签名可以说是一把“双刃剑”:一方面,文件的发出者可以以缺乏其签名为由而否认其效力;另一方面对于一份确有其签名的文件,他不能随意更改其记载中的意思表示。签名的用意是证明双方当前的买卖意图,是一种身份的证明和一种不允许也不能假冒的符号。近年来,各国纷纷颁布了有关数字签名的法律,从立法上正式认可了数字签名的法律效力,这对传统的支票签名规定是一大冲击和革命。我国于2004年8月28日第十届全国人民代表大会常务委员会第十一次会议通过了《电子签名法》,2005年4月1日正式实施,从立法上承认了电子签名的法律效力。这对电子支票的发展有着重要的意义。
第三,认证机构的法律问题。电子支票交易除了交易双方以数字签名识别彼此的身份和确保传输信息的完整性外,对数字签名本身的认证问题,却不是靠交易双方自己完成的,而需要由一个具有权威性和公正性的第三方来完成,从而为网上交易建立一种有效、可靠的保护机制,这也是数字签名制度的核心。认证机构(CA)就是承担网上安全电子交易认证服务、能签发数字凭证并能确认用户身份的服务机构,它认证的是所给公钥与私钥是否具有关联性且处于一种有效密钥的最新状态,这种关联性和最新性对数字签名的证实和信用是非常重要的。目前,许多国家都建立了相应的认证机构,如美国1995年创建VeriSign公司,新加坡1997年由国家计算机委员会(NCS)和电子传输网络(NETS)建立的NET-TRUST公司,等等。我国也于1999年8月底创建了“中国金融认证中心”,为国内电子商务和网上银行提供各种认证服务,并在运行平稳的基础上努力实现与国外最高级别认证中心的交叉服务。
我国于2005年1月28日由信息产业部颁布,并于2005年4月1日起正式实施《电子认证服务管理办法》(下面简称《管理办法》),其中所指的“电子认证服务提供者”为电子签名人和电子签名依赖方提供电子认证服务的第三方机构即认证机构(CA)。《管理办法》认为,电子认证服务提供者必须具备以下几个条件:
(1)具有独立的企业法人资格;(2)从事电子认证服务的专业技术人员、运营管理人员、安全管理人员和用户服务人员不少于三十名;(3)注册资金不低于人民币三千万元;(4)具有固定的经营场所和满足电子认证服务要求的物理环境;(5)具有符合国家有关安全标准的技术和设备;(6)具有国家密码管理机构同意使用密码的证明文件;(7)法律、行政法规规定的其他条件。
《管理办法》第3章第17条对认证机构所提供的服务内容做了如下要求:
(1)制作、签发、管理电子签名认证证书;(2)确认签发的电子签名认证证书的真实性;(3)提供电子签名认证证书目录信息查询服务;(4)提供电子签名认证证书状态信息查询服务。
《管理办法》的制定与实施有其特殊的现实意义,表现在三个方面。一是由于我国电子认证服务业还处于起步阶段,靠市场引导与行业自律的条件还不具备,政府部门有必要对从事电子认证服务的机构实施适度监督管理。二是政府部门如何进行适度监管,还需要在实践中进行探索,要边实践边总结经验。三是不能等到条件完全成熟后再出台相关法律,必须提前制定,以保证《电子签名法》的顺利实施。此外,从现实情况看,在《电子签名法》出台之前,我国已存在着很多家不同类型、各种性质的认证机构在从事着不同程度的电子认证服务,这些机构普遍存在着无法律规定、无标准规范、无主管部门的“三无”问题,也亟须对它们进行规范。
为了规范电子认证业务规则的基本框架、主要内容和编写格式,根据目前电子认证系统大多采用基于非对称密钥的PKI技术的现状,参考国家标准化部门正在制定的相关标准,信息产业部电子认证服务治理办公室于2005年4月编制了《电子认证业务规则规范(试行)》(以下简称《规范》)。
《规范》详细说明了电子认证业务规则的主要组成部分和内容。电子认证业务规则是电子认证服务机构对所提供的认证及相关业务的全面描述。电子认证业务规则包括责任范围、作业操作规范和信息安全保障措施等内容,主要由以下几部分组成。
(1)概括性描述。这部分主要对电子认证业务规则进行概要性表述,给出文档的名称和标志,指出电子认证活动的参与者及证书应用范围,并说明对电子认证业务规则的管理,最后给出电子认证业务规则中使用的定义和缩写。
(2)信息发布与信息管理。这部分描述任何与认证信息发布相关的内容,包括信息库的运营者、运营者的职责、信息发布的频率以及对所发布信息的访问控制等。
(3)身份标志与鉴别。这部分描述电子认证服务机构在颁发证书之前,对证书申请者的身份和其他属性进行鉴别的过程,以及标志和鉴别密钥更新请求者和吊销请求者的方法;说明命名规则,包括在某些名称中对商标权的承认问题。
(4)证书生命周期操作要求。这部分说明在证书生命周期方面对电子认证服务机构及相关实体的要求,注册机构、订户或其他参与者的要求,在每个子项中可能需要对电子认证服务机构、注册机构、订户或其他参与者予以分别考虑。
(5)认证机构设施、管理和操作控制。这部分描述物理环境、操作过程和人员的安全控制。电子认证服务机构使用这些控制手段来安全地实现密钥生成、实体鉴别、证书签发、证书吊销、审计和归档等功能。
(6)认证系统技术安全控制。这部分阐述电子认证服务机构为保护其密钥和激活数据(如PIN码、口令字或手持密钥共享)而采取的安全措施;说明了对证书库、订户和其他参与者进行的限制,以保护他们的私钥、私钥激活数据和关键安全参数;描述了电子认证服务机构使用的其他技术安全控制手段,用以安全地实现密钥生成、用户鉴别、证书注册、证书吊销、审计和归档等功能。技术控制包含生命周期安全控制(包括软件开发环境,安全、可信的软件开发方法论)和操作安全控制。
(7)证书、证书吊销列表和在线证书状态协议。这部分说明证书、证书吊销列表和在线证书状态协议的格式,包括描述、版本号和扩展项的使用。
(8)认证机构审计和其他评估。这部分说明对电子认证服务机构进行审计或评估相关的内容,包括评估所涵盖的主题、评估频率、评估者的资质、评估者与被评估者的资质、对问题所采取的措施以及结果的公告等。
(9)法律责任和其他业务条款。这部分涵盖了一般性的业务和法律问题。在业务条款中说明不同服务的费用问题,和各参与方为了保证资源维持运营,针对参与方的诉讼和审判提供支付所需承担的财务责任。法律责任条款则与通用的技术协定标题相近,涉及保密、隐私、知识产权、担保及免责等内容。
电子认证服务机构应按照信息产业部公布的《电子认证业务规则规范》的要求,制定本机构的电子认证业务规则,并在提供电子认证服务前予以公布,向信息产业部备案。
认证机构的主要任务是受理数字凭证的申请及签发、管理数字凭证。我国目前已经颁布了《电子签名法》、《电子认证服务提供管理办法》、《电子认证业务规则规范》等一系列关于电子认证服务的法律法规,电子认证业务承接、境外机构核准、电子认证服务机构运营等管理规范等也在积极研究制定中。这些法律法规对电子认证服务的各个方面多有明确的规范和说明。例如,在《电子认证业务规则规范》中,对密钥对的生成与安装、私钥保护和密码模块工程控制等方面都作了详细的阐述。
《规范》对电子认证服务提供者即认证机构业务的各个方面进行规范,条款制定得非常详细。《规范》的实施,为电子认证服务提供者提出了一个统一的政策框架和一个统一的标准框架。目前,我国推广电子签名应用取得了初步的成效,截至2006年底累计发放546万张数字证书。电子认证服务体系也已初步形成,22家获准从事电子认证服务的机构分布在全国17个省市,基本满足了我国对电子认证服务的需求。
