对我国金融电子认证法律制度的思考.docx

对我国金融电子认证法律制度的思考【内容提要】电子认证是保障电子金融安全的重要手段，电子认证中心是电子金融安全体系中的重 要信用服务机构。应当通过对我国金融电子认证法律制度的建立与完善，保障和鼓励我 国电子金融的安全发展。 【摘 要 题】立法研究 【关 键 词】金融电子认证/法律制度/电子金融立法 互联网络与电子商务的蓬勃发展，正促使包括金融业在内的各个产业均在以互联网为 基础重新构建核心竞争力。在我国，互联网络的蓬勃发展也带来了电子金融业务的飞速 发展。网络交易的特点在于其无形性，一切信息均以计算机数据的形式在网络之间传递 。由于网络空间的虚拟状态，商业信誉、个人信用对网络交易方难起传统意义上的约束 力。如何确保交易对方的主体资格以及交易数据资料的安全，是每个网络交易主体极为 关注的问题。对于以“安全性”作为最主要经营原则之一的金融机构而言，开展网络金 融业务在面临巨大的市场机遇的同时也意味着更大的金融风险。由于绝大部分网络交易 都需要运用网上支付系统，因此降低电子金融风险对于整个电子商务市场也具有重要意 义。为保障网上金融业务的安全性，金融电子认证中心作为电子商务和网上银行交易的 权威性、可信赖性及公正性的新型第三方机构，通过电子认证手段在网上金融交易安全 体系中发挥着无可替代的作用。基于金融电子认证在电子金融发展中的重要作用，建立 与完善我国金融电子认证法律制度，对于我国金融的稳健安全发展和互联网络向现实生 产力的转化具有重要意义。 一、数字证书与金融电子认证机构的作用 为了保证互联网上电子交易的安全性(包括信息的保密性、真实完整性和不可否认性) ，防范交易及支付过程中的欺诈行为，除了在信息传输过程中采用更强的加密算法等措 施之外，还必须在网上建立一种信任及信任验证机制，使交易及支付各方能够确认其他 各方的身份，这就要求参加电子商务的各方必须有一个可以被验证的身份标识，即数字 证书。数字证书是各实体(消费者、商户、企业、金融机构等)在网上进行信息交流及商 务活动的身份证明，在电子交易的各个环节，交易的各方都需验证对方数字证书的有效 性，从而解决相互间的信任问题。CA是电子认证中心(Certification Authority)的缩 写，其为电子商务环境中各个实体颁发数字证书，以证明各实体身份的真实性，并负责 在交易中检验和管理证书；它是电子商务和网上银行交易的权威性、可信赖性及公正性 的第三方机构。 网上金融业务的开展使得金融机构在新的经营环境下面临更加复杂的风险威胁，包括 由于网络主体欺诈、信息传输安全、对信息内容的恶意否认等所造成的信用风险和操作 风险。中国人民银行2001年7月9日发布的网上银行业务管理暂行办法第17条规定： “银行应采用合适的加密技术和措施，以确保通过网络传输信息的完整性和交易的不可 否认性。”我国证券管理监督委员会2000年3月30日发布实施的网上证券委托暂行管 理办法第18条也规定：“证券公司应采用可靠的技术或管理措施，正确识别网上投资 者的身份，防止仿冒客户身份或证券公司身份；必须有防止事后否认的技术或措施。” 而在保障电子金融主体的身份真实性和交易信息完整性与不可否认性方面，金融电子认 证中心所提供的认证服务至关重要。 金融认证中心(Finance Certificate Authority)作为一个权威的、可信赖的、公正的 第三方信任机构，专门负责为金融业的各种认证需求提供证书服务，包括电子商务、网 上银行、网上证券交易、支付系统和管理信息系统等，为参与网上交易的各方提供安全 的基础，建立彼此信任的机制。对于网上银行、网上证券委托交易等网络金融业务，金 融认证中心为网络应用提供身份认证、信息加密、数字签名、身份控制等多种服务。由 于在互联网上进行的金融交易不同于一般的面对面交易，交易双方无法确认对方的身份 ，因此必须通过CA使用数字证书来进行身份认证，以防止相互猜疑、冒名顶替以及恶意 攻击者的造假行为。同时，还可以通过用户的证书进行ACL控制(为该用户在应用系统中 赋予相应的权限)，以进行用户的资格认证。网上银行业务、证券交易中的数据均有保 密的要求，如银行帐号、信用卡帐号、股东代码、交易信息等，信息存放在本地或进行 交易传输时，必须采用高强度的加密手段，以保证信息不被窃取。信息的加密包括对存 放信息以及交易信息的加密；在网上交易的各个环节中，各种确认信息要保证事后不能 抵赖。通过认证中心配发给交易双方用户的签名私钥对信息进行数字签名，以保证信息 事后的不可否认性；为了避免在传输过程中的数据信息被恶意攻击者篡改，要采用证书 机制对数据项进行数字签名，以保证交易信息的完整性。因此金融电子认证中心已成为 开放性电子金融活动中不可缺少的中介服务机构。2000年6月29日，中国第一家金融认 证中心中国金融认证中心(CFCA)正式挂牌，标志着中国正式开始了CA的认证工作。 中国金融认证中心(金融CA)是由中国人民银行牵头，中国工商银行、中国银行、中国农 业银行、中国建设银行、交通银行、招商银行、中信实业银行、华夏银行、广东发展银 行、深圳发展银行、光大银行、民生银行等十二家商业银行联合共建，专门负责为金融 业的各种认证需求提供证书服务。 二、金融电子认证服务与认证机构的性质及其引发的法律问题 金融电子认证实质上是一种信用服务。其所提供的服务成果，又是一些无形的信息， 如交易相对人的身份、公开密钥、信用状况等商业情报。而这些信息在开放型电子商务 环境中又是进行交易所必须的前提条件。电子认证所颁发的数字证书是面向公众使用的 ，其认证信息是经过核实的真实的信息，记载于数字证书并利用认证机构在某一领域的 公信力受公众的信赖。而金融电子认证机构则是作为一种独立的第三方认证机构，在电 子金融等电子商务交易双方中充当信息鉴定的角色。金融认证机构并不直接从事融资业 务，因此不能将其归属于严格的“金融机构”范畴。但由于它为电子金融业务提供直接 服务，因此其市场准入与业务活动必须纳入金融监管范围。这也与证券监管机构对于证 券中介服务机构、保险监管机构对于保险公估机构的监管具有相同的法理基础。 金融电子认证机构在从事认证过程中会面临许多潜在风险。其风险种类主要有：(1)运 用技术过失致使数字记录丢失；(2)对信息未进行严格审查致使证书含虚假陈述，第三 人信赖其陈述，并基于证书的等级进行交易，将损坏认证机构的可信度；(3)未经过合 理适当的辨别而终止或撤销证书；(4)由于服务器故障或周期性离线修整而造成认证服 务中断；(5)内部人员即认证机构有权访问证书数据库的雇员制作虚假证书或涂改证书 记录；(6)外部人员使用多种方法改造认证机构的通用协议；(7)作为网络机构随着技术 更新其淘汰率高，服务可能难以长期维持，但是某些长期证书的管理又需要服务一直持 续下去不能中断，等等。(注：参见周忠海主编：电子商务法导论，北京邮电大学 出版社2000年版，第65页。) 由上述认证机构的性质与风险分析可以看出，金融电子认证的产生与发展将引发金融 领域的许多新型法律问题，主要包括：其一，金融数字证书与金融电子认证机构的法律 地位以及对金融电子认证的法律监管应得到立法规范，否则无法引导与保障金融电子认 证的有序发展。其二，金融电子认证所面临的风险将引发认证机构的责任问题，因为机 构极有可能在某些场合给证书持有人或证书信赖人造成损失。其三，金融电子认证机构 作为一个对电子金融市场具有重大价值的新型信用服务主体，在金融电子认证领域面临 许多现实的或潜在的执业风险，如何鼓励其运行与发展。其四，金融电子认证所应实现 的服务标准或技术标准应有相应的规范与完善，以真正达到保障电子金融安全的目的与 价值。 上述法律问题的实质是网络化带来的新社会关系对于金融法律制度的新挑战。正是基 于以上法律问题，笔者认为，对于在电子金融中保障网络交易安全以及信用制度起非常 重要作用的金融电子认证，应在未来的金融立法中占据应有的地位。 三、金融电子认证法律制度的价值 从价值论角度分析金融电子认证法律制度的必要性或者说效用性，是建立与完善相应 制度的理论前提。正如博登海默所言，价值判断在法律制度中所起的主要作用在于它们 被整合进了各种法律规范之中，在使用与解释这些规范时，往往必须弄清楚它们得以颁 布与认可所赖以为基础的目的和价值论方面的考虑。(注：引自(美)E.博登海默著： 法理学、法律哲学与法律方法，邓正来译，中国政法大学出版社1999年版，第504页 。)因此价值是一个法律制度存在与发展的前提与基础，而价值分析则是法律制度理论 研究中的重要领域。法的实质价值目标主要包含安全、自由、平等、效率等四大主要价 值。(注：参见李步云主编：法理学，经济科学出版社2001年版，第61页。)金融电 子认证法律制度对于电子金融交易主体以及整个金融秩序的法律价值也主要体现在这几 个方面。 1995年10月全球第一家网络银行“安全第一银行”(Security First Network Bank)在 美国诞生。它的命名深刻体现了安全性是电子金融市场追求的首要价值目标。金融电子 认证法律制度的建立与完善能通过对金融CA的执业活动的规范促进其维护电子金融安全 价值的最大实现，为商业银行等金融机构在网络环境下遵循“安全性”经营准则提供有 效的法律与技术支持，从而为整个电子金融市场的稳健安全发展提供了保障。完善的法 律规制下所提供的合格金融电子认证服务能通过对交易信息安全的保障来实现电子金融 市场各主体之间的自由、平等交易。此外，通过相应法律制度对金融电子认证所应实现 的标准作出规范，能进一步提供金融机构在网络环境下的经营效率，同时也有利于金融 监管机构对于电子金融业务的监管效率。网络金融服务是新世纪金融创新和金融信息化 发展的主战场，通过发展电子金融，提升金融效率、创新金融产品、强化金融监管，提 高金融对经济资源的配置效率，提高金融行业的竞争力，已经成为我国各方面人士的共 识。加入WTO后，网络银行业务的竞争将是我国银行业面临的最先冲击。加快网络金融 业的发展，提高金融业的整体竞争力，已势在必行。(注：引自2001年4月人民银行总行 行长戴相龙在“网络经济与经济治理”研讨会上的发言稿。)基于金融电子认证法律制 度对于电子金融市场的重要价值存在，其建立与完善理所当然应成为电子金融法律环境 建设工作中的重要组成部分。 当然对金融电子认证法律制度进行价值或必要性分析的另一方面问题是是否有必要从 金融法领域建立与完善关于金融电子认证的特别规定。也就是说，关于电子认证的相关 法律规定(这在我国未来的电子商务立法中显然会是重要部分)是否已经足以调整金融电 子认证法律关系。鉴于金融领域的特殊风险或者金融市场对于社会经济的特殊价值，使 得金融电子认证既具有一般电子认证的共性，又有其独具的特点。在一般性法律关于普 通电子认证的规定基础上，从金融法领域建立起关于金融电子认证的特别法律制度体系 ，更有利于对金融电子认证关系的全面有效调整和维护电子金融市场的稳定，这也更能 满足市场经济对于金融相关机构所提出的特殊社会要求。我国在公司法证券法有关信息 披露的规定基础上又建立了专门针对商业银行的特别信息披露制度就是一个类似的例证 。因此建立与完善金融电子认证特别法律制度有充分的必要性。更何况我国电子商务立 法议程尚未明朗，在缺乏法律调整依据的情况下迅速建立金融电子认证法律制度对于鼓 励与保障电子金融的发展具有更加重要的现实意义。 四、对建立与完善我国金融电子认证法律制度的理论思考 结合对我国电子金融发展及法律环境的现状分析，笔者认为，我国应通过积极的电子 金融立法来建立与完善金融电子认证法律制度，以维护电子金融安全，鼓励依托网络的 金融创新，促进中国金融机构效益性与竞争力的提升。 首先，从立法思路上而言，应当借鉴我国已有的成功金融立法经验。鉴于对金融认证 领域的迫切调整要求，我国应尽快通过较低层次的立法对金融电子认证及金融CA的法律 地位、效力及准入条件、服务标准等基本问题作出规定，待条件成熟后再将相关规定转 化为高层次立法。这也是中国网络法领域的成功经验。如针对域名争议解决，我国已经 逐渐接受了通过域名管理机构所指定的域名争议解决机构成立专家组对域名争议进行非 终局性裁决这一新型机制，而2002年3月信息产业部通过的中国互联网络域名管理办 法这一部门规章(虽然法律效力层次较低)中就明文肯定了这种机制的法律地位，以鼓 励其发展。在金融法领域，中国人民银行颁布的商业银行信息披露管理暂行办法、 网上银行业务管理暂行办法、中国保险监督管理委员会颁布的保险公估机构管理 规定等都是近一两年来针对有迫切调整要求的金融领域的特别立法。因此对于需要先 行立法来满足调整要求的金融电子认证领域，应同样采取开放、快速的立法思路。 ; 其次，应从立法上为金融电子认证机构设置科学合理的法律责任机制明确设定一些金 融电子认证机构的积极责任，以促进电子认证机构遵守执业规则，向社会公众提供可信 赖的证实真实可靠信息的数字证书，以保障电子金融业务的安全性并促进网络信用制度 的建设。其中应至少具备以下的一些责任机制：1、对证书信赖人因信赖证书而遭受的 损失应实行金融CA过错损害赔偿制，即认证机构应对其错证行为承担过错责任。显然对 金融CA这种中介服务机构而言，建立损害赔偿机制是必然趋势。就电子认证机构而言， 其与证书用户之间是认证服务合同责任，其与非证书用户的证书信赖人之间是一种职业 责任，对两种义务的损害均需负赔偿责任。但对于金融中介信用服务机构而言，这种损 害赔偿责任应以存在过错为前提。我国证券法规定为证券的发行、上市或者证券交 易活动出具审计报告、资产评估报告或者法律意见书等文件的中介服务机构就其所应负 责的内容弄虚作假的，应对其造成的损失承担连带赔偿责任。(注：见证券法第202 条。)中国保监会2001年11月16日颁布的保险公估机构管理规定第6条规定：保险公 估机构因自身过错给保险当事人造成损害的应当依法承担相应的法律责任，再次体现了 我国对于新型金融中介信用服务机构损害赔偿责任的立法取向。从法律关系上分析，金 融CA与作为证书持有人(证书用户)的证书信赖人之间是一种认证服务合同关系，其对错 证理应承担违约责任。根据合同法第107条所确定的合同违约责任归责原则实际上 是无过错原则，即不管当事人违约是因自己还是因他人造成，均应对另一方当事人承担 违约责任。这种归责原则，对于将时刻面对数以万计的网上用户，要根据数十万真伪难 辨的信息进行认证的金融CA而言是难以负荷的。同其他第三方认证机构一样，电子认证 机构所可能做到的只是合理谨慎地根据已有信息进行身份或信息鉴定。基于其颁发证书 的公示性，对于因自己未尽合理谨慎义务而故意或过失颁发错误数字证书造成用户损失 时，认证机构理所当然应承担损害赔偿责任；如果是由于外部人员运用先进技术非法攻 击、网络不运作、信息提供人故意或过失提供错误信息等他人原因造成错误的，基于公 平原则，这种责任不应再由面临过多风险的金融CA来承担，而只能由侵权人承担。另一 方面，金融CA与非证书持有人的证书信赖人之间无直接合同关系，而只是一种职业责任 ，那么认证机构所可能承担的便只是侵权责任，并且认证机构的错证行为对证书信赖人 因信赖证书而承受的损失而言只是一种间接原因，两者之间并无必然因果关系，因而只 能实行过错责任制，并且认证机构无须负全部责任，仅须就直接侵权人所无法承担的部 分负责。(注：参见王利明、杨立新编著：侵权行为法，法律出版社1996年版，第6 4页。)因此，在未来的电子金融立法中，应以特别法的形式规定金融CA对错证所造成证 书信赖人的损失承担损害赔偿的过错责任制，并且应实行推定过错制，即须金融CA证明 自己有无过错，而不能将此举证责任由处于技术弱势地位的证书信赖人完成。并且立法 中对错证行为也应有明确的定义。损害赔偿制要得以实施，还需立法上对金融CA承担民 事责任的能力作出保障，如规定注册资本的下限限额、从认证费用中提取一定比例风险 准备金制度等等。2、保密责任与协助司法责任责任：金融CA作为金融领域的电子信息 服务机构，其所建立的庞大的数据库系统所面临的首要责任便是对用户私人数据的保密 义务，商业秘密、个人秘密的保护是信息服务机构的重要义务。包括代码、密码、运算 规则、私人暗码等在内的特殊数据都是解读信息或电子通信所必须的也是认证机构需严 格进行管理与保护的对象。即需立法上明确规定认证机构作为超然于交易双方利益之外 的第三方，应对所管理的交易双方的信息资料等商业秘密负有严格的职业保密义务，对 交易主体个人数据或记名数据的处理应负有重大的安全义务，并通过自己的认证服务， 为交易主体提供关于交易安全性的真实信息。但另一方面，私人数据的保护还面临与国 家安全利益保障的冲突。从立法上应明确，金融CA在保障信息安全的同时，又负有协助 司法或行政机关根据法定程序进入加密信息，进行保护国家利益方面的举证的责任。也 就是说，认证信息的安全体制将受到与国家安全或刑事诉讼程序相关的强制性规定的限 制，同时立法应予明确的是，认证机构在依法定程序向司法机关交出“密钥”的情况下 ，应负有将此事实向用户通知的义务，以保障个人数据与通信秘密的尊严。3、风险揭 示责任：鉴于金融电子认证所存在的大量风险，认证机构应积极作为以提示证书依赖人 可能遭遇的风险。风险揭示虽不能作为认证机构免责的依据，但可避免信赖人对认证机 构苛求过重的责任。4、积极技术责任：对金融CA的服务技术标准作出规定是必不可少 的。金融CA的服务既需要满足一般认证机构的服务标准，又要符合金融领域的特殊要求 ，因此其技术责任应紧密联系金融领域的有关国际管理标准。 再次，应规定鼓励金融CA发展的责任机制与措施。为避免金融CA承担过重责任而限制 了自身发展，从立法上又需设定对认证机构的责任限制的规定，以使其维持不过高的运 营成本，为电子金融安全提供可靠的认证服务。这些责任限制手段有包括以下所述在内 的多种方式：1、规定认证机构对损害赔偿的“先诉抗辩权”，即尽管认证机构的行为 存在过错，证书依赖人在证书使用限制范围内，因依赖证书而在交易中遭受损失，但在 受损失人采取一切救济手段(包括经审判并强制执行)尚不能从直接侵权人处获得充分赔 偿之前，认证机构可以拒绝承担责任。这样可以促使责任在认证机构与真正侵权人之间 进行更为合理公平的分配。2、应允许金融CA在认证证书上注明使用限制(包括对交易价 值的限制)，如果这些限制明确无歧义，认证机构可以不对由于无视这些限制而产生的 损失负责。例如美国尤他州数字签名法第308条规定，即使认证机构存在