《电子签名法》对我国网上银行的影响及对策

《电子签名法》对我国网上银行的影响及对策TC"《电子签名法》对我国网上银行的影响及对策"\fC引言：本文介绍了我国最近开始实施的《电子签名法》的主要内容，考察了当前网上银行电子签名存在的主要问题并提出相应的对策，以期对我行以后网上银行的建设提供借鉴。最后，本文简要地指出了该法对我行资金交易业务的影响。网上银行是指通过Internet提供各项银行服务，它是20世纪金融领域出现的最具影响力的创新之一。网上银行因具备低成本、高效率等特点，在国内外迅速发展。目前我国主要商业银行都开办了网上银行业务。然而，由于网上银行是基于开放的Internet环境，使其面临着巨大的安全隐患。为了有效识别网上银行客户身份，各家网上银行都实施了一定的安全认证技术，基本保证了网上银行的安全运行。同时，各发达国家的政府也都分别出台了相关的法规，从制度上保障了网上银行安全措施的法律效力。

为规范电子商务行为、给电子商务发展提供必要的法律保障，在经过数年的酝酿和准备之后，我国从2003年4月开始了电子签名法的起草工作。2004年4月2日，十届全国人大常委会第八次会议首次对电子签名法草案进行了审议，中间又经过两次修改和审议，最终在8月28日通过了《电子签名法》，并决定于2005年4月1日起实施。这是一部我国银行界期盼已久的法律，一部对金融界影响巨大的法律。《电子签名法》的颁布实施，从法律上确认了网上银行电子签名的法律效力，并对电子签名和认证机构进行规范，这必将对我国网上银行的建设和完善起到重要的推动和保障作用。一、《电子签名法》的主要内容1、明确了电子签名的法律效力。《电子签名法》明确规定“民事活动中的合同或者其他文件、单证等文书，当事人可以约定使用或者不使用电子签名、数据电文。当事人约定使用电子签名、数据电文的文书，不得仅因为其采用电子签名、数据电文的形式而否定其法律效力。”这样，电子签名便具有与手写签字或者盖章同等的法律效力；同时承认电子文件与书面文书具有同等效力，从而使现行的民商事法律可以适用于电子文件。2、明确了电子签名所需要的技术和法理条件。电子签名必须同时符合“电子签名制作数据用于电子签名时，属于电子签名人专有”、“签署时电子签名制作数据仅由电子签名人控制”、“签署后对电子签名内容和形式的任何改动能够被发现”等若干条件，才能被视为可靠的电子签名。这一条款为确保电子签名安全、准确以及防范欺诈行为提供了严格的、具有可操作性的法律规定。3、对电子商务认证机构和行为做了规定。电子商务需要第三方对电子签名人的身份进行认证，这个第三方称为电子认证服务机构。认证机构的可靠与否但在网上银行的实际运作过程中，即使采用了具备法律效力的数字证书，现行的网上银行服务仍然存在着一些隐患亟待改正。１、用户安全教育的缺失

作为网上银行识别用户身份的一个重要手段，数字证书的作用、正确的使用方法等首先应该清楚地向用户说明。虽然大多数网上银行已经能够提供数字证书的使用，但事实上大多数用户却很难了解具有相当技术含量的数字证书的完整含义。在大多数使用数字证书的网上银行网站上，只有在类似“热点问题解答”的网页中才有客户证书的介绍，而对其重要性、法律效力等却未充分说明。这样，一旦银行与用户之间因为安全问题发生纠纷，网上银行将会因为没有明确告知用户数字证书的重要意义而处于十分不利的境地。而那些没有使用数字证书的网上银行，并没有充分提醒用户单一密码认证的安全性问题，这种不负责任的态度，也值得各家银行反思。各家网上银行应当从为用户服务的角度出发，切实保障用户资金转移的安全性。２、传统数字证书使用方法中的安全隐患

数字证书作为用户身份证明的一种手段，在具备了法律效力后，原有的使用方式就应该相应地做出调整。传统网上银行提供的数字证书主要存放在IE浏览器、IC卡和USB－Key等几种介质中。其中安全隐患最大的当属IE浏览器。这种方式是用户通过互联网将数字证书下载到本地计算机中，然后将证书导入到浏览器中进行用户身份的识别。同样地，导入到浏览器中的证书也可以被导出备份，并且备份的证书中包含了私人信息。这就意味着，如果用户使用公共计算机或者由于自己的计算机被他人使用而导致客户证书被盗，其后果将不堪设想。已通过的《电子签名法》第十五条规定：“电子签名人应当妥善保管电子签名制作数据。电子签名人知悉电子签名制作数据已经失密或者可能已经失密时，应当及时告知有关各方，并终止使用该电子签名制作数据。”第二十七条规定：“电子签名人知悉电子签名制作数据已经失密或者可能已经失密未及时告知有关各方、并终止使用电子签名制作数据，未向电子认证服务提供者提供真实、完整和准确的信息，或者有其他过错，给电子签名依赖方、电子认证服务提供者造成损失的，承担赔偿责任。”这两条规定使用户处于十分不利的境地。一般用户可能由于计算机知识缺乏或疏忽大意，导致证书保管不善引发巨大风险。网上银行向用户提供完整的服务，理应考虑到浏览器存储安全证书带来的巨大安全隐患。然而，当前网上银行大多未提供多种介质的客户证书使用方式。这显然不能很好地适应《电子签名法》的颁布实施，也难以适应用户对于网上银行安全性日益提高的要求。３．认证机构的资质问题

认证机构是数字证书实现认证功能的重要一环。它作为独立、可信的第三方，承担着核对和验证各网络用户方身份，颁发、维护和管理数字证书，提供数字证书服务，实现网上身份认证等许多重要的责任。认证机构的资质决定了其提供的数字证书的可靠性，没有合格的认证机构，安全可靠的数字证书就无从谈起。《电子签名法》中虽然明确了认证机构的准入机制，并规定了认证机构应承担的法律责任，但在《电子签名法》颁布之前，国内却已经建立起了为数众多的认证机构，且发展良莠不齐，甚至不具备条件的认证机构也在提供着电子认证服务。特别是许多网上银行自建认证机构，既为自己的客户发放证书，又与客户进行交易，这样，一旦发生交易争端，将无法满足《电子签名法》的约束。虽然各网上银行对其认证机构的资质大都言之凿凿，称其为所谓的“可信机构”，但由于之前国家没有主管机构，缺乏准入审批制度，对这些并不规范的认证机构无法实现有效地监管。《电子签名法》颁布后，“无法可依”的状况可望得到改观，网上银行也应该积极采取应对措施，提高认证机构的透明度和资质水平，以确保数字证书的安全可靠性。我国网上银行贯彻《电子签名法》的应对措施

鉴于当前网上银行在使用数字证书中存在的种种问题，为了适应《电子签名法》的要求，对商业银行建设、完善网上银行提出以下一些建议。１、出于用户对安全性及保密性的需要，网上银行应该统一使用数字证书。单一的密码验证难以适应电子商务迅速发展的需要，由于PKI技术的引入，使用数字证书在技术上已经日趋成熟，而《电子签名法》的颁布，又为其提供了可靠的法律依据。在技术和法制两方面都比较成熟的情况下，我国网上银行应该适应国际技术潮流，采用先进的认证技术是大势所趋。同时，银行也应积极向用户宣传数字证书的可靠性能及其重要作用，尽量在其网页的醒目位置提醒用户，使每个用户对数字证书的使用、保管及其法律意义都有明确的认识。２、根据《电子签名法》第二十七条规定，电子签名的持有人应当妥善保管电子签名的数据。这就意味着传统意义上以IE浏览器作为介质存放数字证书的做法已经不能适应相关法规的要求。网上银行应尽量减少数字证书的下载而采用较为安全的以IC卡或USB－Key为介质的数字证书的存储方式。虽然目前网上银行提供以IC卡和USB－Key为介质存储数字证书一般都要收取一定的费用，然而只要网上银行向用户明确介绍使用数字证书的好处，并且告知用户传统下载方式在安全性方面的隐患，相信每一个用户都愿意缴纳一定的费用来享受更安全、可靠的服务。同时，对于采用以IC卡或USB－Key为介质存储的数字证书，银行同样要使用户树立充分的安全防患意识。告诫用户尽量避免将IC卡或USB－Key介质中的数字证书导入到IE浏览器中，即使一定要导入，也务必在使用后将导入到浏览器中的数字证书删除，以确保万无一失。

中国农业银行网上银行是我国最早提供多种介质存放数字证书的网上银行之一，该行不但提供安全可靠的数字证书认证方式，并且向用户提供了完备的安全防范手册。在其网页上可以下载到中国农业银行网上银行《个人客户证书操作指南》。该手册向用户完整地介绍了数字证书的含义、功能、使用方法等。在数字证书的维护方面也特别提到了“增加/修改/删除IE浏览器证书口令”以及“在网吧等公共环境里使用计算机”等敏感的安全性问题。然而美中不足的是，在《电子签名法》颁布后，该手册没能及时配合新法的出台，提醒用户重视数字证书的法律效力。尽管如此，中国农业银行网上银行向用户提供的《个人客户证书操作指南》仍不失完美，值得业界借鉴。３、《电子签名法》第二十八条规定：“电子签名人或者电子签名依赖方因依据电子认证服务提供者提供的电子签名认证服务从事民事活动遭受损失，电子认证服务提供者不能证明自己无过错的，承担赔偿责任。”在《电子签名法》颁布后，网上银行提供数字证书的认证机构也相应受到法律的规范。虽然认证机构的准入制度刚刚建立，该法颁布之前成立的认证机构的资格难以判断，但网上银行也应努力提高其认证机构的资质水平以满足《电子签名法》对认证服务机构所应具备的条件的规定。尤其应该杜绝那种自建认证机构，自己为自己的客户发放证书，既当“运动员”，又当“裁判员”的情况出现。《电子签名法》第二十一条规定了数字证书的具体内容，如电子认证服务提供者名称、证书持有人名称、证书序列号、证书有效期、证书持有人的电子签名验证数据、电子认证服务提供者的电子签名等。网上银行应该认真核实证书的内容，确保其所提供的证书符合法律的相关规定。鉴于认证机构本身的可靠性对保证电子签名真实性和电子交易安全性起着关键作用，各网上银行应当高度重视，增加认证机构的透明度，做到公平、公正、公开，引入合法的认证机构为用户提供安全可靠的数字证书。４、除了数字证书的使用外，《电子签名法》的颁布实施也会对我国网上银行在其他方面的经营改革起到积极的推动作用。首先，在《电子签名法》颁布后，传统的银行票据由于具备了具有法律效力的电子签名，使得网上交易结算活动可完全实现无纸化。网上银行也应积极适应新形势，以《电子签名法》为依托，制定网上支付新规则，利用电子签名，制作网上支票乃至其他银行票据，以实现网上的快速资金结算。其次，电子签名的出现使得传统的纸质合同能够以电子文件的形式出现。具备法律效力的电子签名一经出现，便使得合同可在网上直接签署。而在《电子签名法》出台之前，用户在办理网上银行业务时往往需要到柜台签署一些相关协议。如果电子签名使得诸如合同协议等文件都具备了法律效力，那么网上银行就可以完全摆脱对传统的柜台方式的依赖，依托互联网实现完整的网上银行业务服务。

与网上银行业务商业银行作为服务提供方不同，在银行资金交易业务中，商业银行变成了网上交易服务的客户方，并且由于实现了交易网络专线化、独立于互联网，因此银行资金交易业务的网络安全问题得以较好地保证，其网络风险远远低于网上银行业务。事实上，在《电子签名法》颁布实施之前，银行间资金交易已经形成了一套成熟的、适用于自身系统的专门性的规则，电子签名作为一种约定做法和商业惯例而为各方所认可并一直在使用。《电子签名法》施行对于银行资金交易业务的意义在于，电子签名的效力得以从约定做法和商业惯例提升到法律上的正式确认。商业银行作为网上交易的客户方，应妥善保管密码及IC卡或USB－Key，区分前台、中台和后台，严格遵守