摘要:針對目前國內(nèi)CA認(rèn)證在技術(shù)層面和應(yīng)用層面上的弊端,提出了網(wǎng)絡(luò)公證這一想法,將權(quán)威的國家證明權(quán)引入虛擬的網(wǎng)絡(luò)世界�,實(shí)行網(wǎng)絡(luò)公證填補(bǔ)網(wǎng)絡(luò)世界的法律真空,對主體身份確認(rèn)危機(jī)���、交易數(shù)據(jù)的證據(jù)危機(jī)和網(wǎng)絡(luò)交易履行中的支付信任危機(jī)給出了解決方案。
隨著網(wǎng)絡(luò)技術(shù)和信息技術(shù)的發(fā)展,電子商務(wù)已經(jīng)被普通百姓所接受,它將逐步取代傳統(tǒng)商務(wù)活動,并有可能徹底改變貿(mào)易活動的本質(zhì),形成一套全新的貿(mào)易活動框架��。但由于多種原因,電子商務(wù)的安全性仍然得不到有效的保障����。為了解決電子商務(wù)的安全問題,世界各國經(jīng)過多年的研究,初步形成了一套比較完整的解決方案,即公開密鑰基礎(chǔ)設(shè)施PKI。PKI是基于公開密鑰理論和技術(shù)建立起來的、提供信息安全服務(wù)的具有通用性的安全基礎(chǔ)設(shè)施,可以保證網(wǎng)絡(luò)通信���、網(wǎng)上交易的安全�。它采用證書進(jìn)行公鑰管理,通過
第三方可信任機(jī)構(gòu)———認(rèn)證中心CA,把用戶的公鑰和用戶的其他標(biāo)識信息捆綁在一起,從而實(shí)現(xiàn)用戶身份的驗(yàn)證�、密鑰的自動管理等安全功能。而電子商務(wù)它本質(zhì)上仍是商務(wù)�����,只是在資訊媒介這一交易手段上有了創(chuàng)新�����,即以網(wǎng)絡(luò)數(shù)據(jù)傳遞方式代替?zhèn)鹘y(tǒng)的紙介質(zhì)的書面形式�。電子商務(wù)仍須嚴(yán)謹(jǐn)?shù)匕凑諅鹘y(tǒng)交易規(guī)則進(jìn)行。與傳統(tǒng)交易模式相比較��,除了利用了更為便捷高效的網(wǎng)絡(luò)媒介手段外����,整個(gè)交易流程沒有改變,交易各方仍須經(jīng)過互相確認(rèn)身份�、邀約及承諾、合約履行三個(gè)環(huán)節(jié)����。
在商務(wù)活動中����,公證司法證明權(quán)也必需在網(wǎng)上的實(shí)現(xiàn)�����,而這種在網(wǎng)絡(luò)上進(jìn)行的證明��,有別于紙介質(zhì)的書面證明方式���,我們稱之為“網(wǎng)絡(luò)公證”。
一��、國內(nèi)CA的現(xiàn)狀
CA認(rèn)證機(jī)構(gòu)是電子商務(wù)發(fā)展的需要�����。各級CA認(rèn)證機(jī)構(gòu)的存在組成了整個(gè)電子商務(wù)的信任鏈����。如果CA機(jī)構(gòu)不安全或發(fā)放的數(shù)字證書不具有權(quán)威性、公正性和可信賴性��,電子商務(wù)就根本無從談起。自1998年國內(nèi)第一家以實(shí)體形式運(yùn)營的上海CA中心成立以來�,全國各地、各行業(yè)已經(jīng)建成了幾十家不同類型的CA認(rèn)證機(jī)構(gòu)�。從CA中心建設(shè)的背景來分,國內(nèi)的CA中心可以分為三類:行業(yè)建立的CA����,如CFCA,CTCA等����;政府授權(quán)建立的CA,如上海CA�����、北京CA等商業(yè)性CA�。
不難看出,行業(yè)性CA不但是數(shù)字認(rèn)證的服務(wù)商���,也是其他商品交易的服務(wù)商����,他們不可避免的要在不同程度上參與交易過程���,這與CA中心本身要求的“第三方”性質(zhì)又有很大的不同�����。就應(yīng)用的范圍而言���,行業(yè)性CA更傾向于在自己熟悉的領(lǐng)域內(nèi)開展服務(wù)���。例如,外經(jīng)貿(mào)部的國富安CA認(rèn)證中心適當(dāng)完善之后將首先應(yīng)用于外貿(mào)企業(yè)的進(jìn)出口業(yè)務(wù)����。政府授權(quán)建立的第三方認(rèn)證系統(tǒng)屬于地區(qū)性CA,除具有地域優(yōu)勢外���,在推廣應(yīng)用和總體協(xié)調(diào)方面具有明顯的優(yōu)勢,不過需要指出地區(qū)性CA離不開與銀行����、郵電等行業(yè)的合作。
二�����、國內(nèi)CA存在的問題
在電子商務(wù)系統(tǒng)中,CA安全認(rèn)證中心負(fù)責(zé)所有實(shí)體證書的簽名和分發(fā)�����。CA安全認(rèn)證體系由證書審批部門和證書操作部門組成�����。就目前的情況而言���,CA的概念已經(jīng)深入到電子商務(wù)的各個(gè)層面�����,但就其應(yīng)用而言����,還遠(yuǎn)遠(yuǎn)不夠���,都還存在一些問題�����。
1.在技術(shù)層面上
標(biāo)準(zhǔn)不統(tǒng)一�����,既有國際上的通行標(biāo)準(zhǔn)�,又有自主研發(fā)的標(biāo)準(zhǔn),這必將導(dǎo)致交叉認(rèn)證過程中出現(xiàn)“公說公有理���,婆說婆有理”的局面�����。
2.在應(yīng)用層面上
一些CA認(rèn)證機(jī)構(gòu)對證書的發(fā)放和審核不夠嚴(yán)謹(jǐn)�。從法理上講這些審核人員不具備法律上所要求的審核證明人資格��,也無法承擔(dān)相應(yīng)的法律責(zé)任�����;另一方面現(xiàn)在的CA中心本身往往也是交易或合同的一方�����,難免存在不公正性��。在分布格局上�����,很多CA認(rèn)證機(jī)構(gòu)還存在明顯的地域性和行業(yè)性���,無法滿足充當(dāng)面向全社會的第三方權(quán)威認(rèn)證機(jī)構(gòu)的基本要求�����,而就互聯(lián)網(wǎng)而言��,不應(yīng)該也不可能存在地域限制����。
三��、認(rèn)證的解決方案
在傳統(tǒng)的商務(wù)貿(mào)易中�,公證機(jī)構(gòu)作為國家的證明機(jī)構(gòu),以交易信用的第三方中介行使國家證明權(quán)����,其權(quán)威性與統(tǒng)一性歷來為法律所確認(rèn)。公證證明屬國際慣例�����,中國加入WTO后,在與國際法律制度的接軌中���,公證機(jī)構(gòu)的證明效力日益顯現(xiàn)出來�����。正因如此��,將權(quán)威的國家證明權(quán)引入虛擬的網(wǎng)絡(luò)世界�����,實(shí)行網(wǎng)絡(luò)公證能夠徹底填補(bǔ)網(wǎng)絡(luò)世界的法律真空��,解決目前國內(nèi)CA認(rèn)證的弊端��,使現(xiàn)實(shí)世界的真實(shí)性向網(wǎng)絡(luò)世界延伸�����。[Page]
網(wǎng)絡(luò)公證方案首先從網(wǎng)絡(luò)身份的真實(shí)性證明入手���,在確認(rèn)網(wǎng)絡(luò)主體的真實(shí)身份的基礎(chǔ)上,對網(wǎng)絡(luò)交易內(nèi)容以公正的第三方的角度加以證據(jù)保全����,對交易履約中的資金支付采用公證行業(yè)特有的第三方安全支付加以解決,因此�,我認(rèn)為網(wǎng)絡(luò)公證方案是電子商務(wù)安全與信用的一個(gè)整體解決方案。
1.網(wǎng)絡(luò)中真實(shí)身份審核的解決
一個(gè)安全�����、完整的電子商務(wù)系統(tǒng)必須建立一個(gè)完整�����、合理的CA安全認(rèn)證體系����。以PKI技術(shù)為核心的CA證書能解決網(wǎng)絡(luò)數(shù)據(jù)傳輸中的簽名問題,日益顯現(xiàn)出其確認(rèn)網(wǎng)絡(luò)主體身份的優(yōu)越性���。但是���,在實(shí)際運(yùn)作中,網(wǎng)絡(luò)CA電子身份證書仍然為大家所懷疑�����。究其原因,關(guān)鍵在于網(wǎng)絡(luò)中的CA證書持有人與現(xiàn)實(shí)世界中的真實(shí)身份是否一致并未得到徹底解決���。如不解決這個(gè)前提��,則用CA證書所做的任何簽字將不產(chǎn)生任何法律效力����,因?yàn)闆]有一個(gè)現(xiàn)實(shí)世界的主體與之相對應(yīng)�����,并承擔(dān)網(wǎng)上義務(wù)�����,而法庭更是無從受理���。
縱觀諸多國家的電子交易��,數(shù)字證書的發(fā)放都不是依靠交易雙方自己來完成�,而是由一個(gè)具有權(quán)威性和公正性的第三方來完成�����,該第三方中介機(jī)構(gòu)以提供公正交易環(huán)境為目的,應(yīng)具有中立性�。因此����,銀行所辦的CA中心以及其他純商業(yè)性的CA中心是不符合國際慣例的。一個(gè)身份認(rèn)證必須滿足兩種鑒別需要:當(dāng)面鑒別和網(wǎng)上鑒別�����。當(dāng)面鑒別以生物特征為主�,網(wǎng)上鑒別則以邏輯特征為主。在CA證書的發(fā)放中�,關(guān)鍵的環(huán)節(jié)是RA證書離線面對面審核,交易當(dāng)事人關(guān)心的基本信息�,如網(wǎng)上的對方究竟是誰,真實(shí)的身份與信用狀況如何等�。然而,目前相當(dāng)多的CA公司在實(shí)際操作中或多或少地存在隨意性��,并未建立起嚴(yán)格的審核要求與流程�����。申請數(shù)字證書的用戶只要在網(wǎng)上將相關(guān)的表格隨意填寫后,即可從CA公司那里獲得個(gè)人CA證書�。
異地申請的企業(yè)只要將相關(guān)資料蓋上公章郵寄過去,并交足相關(guān)費(fèi)用即可獲得CA證書�����。造成這種狀況的一個(gè)重要原因是:要在全國建立幾千個(gè)面對面的審核點(diǎn)�����,目前還具有很大的難度���,因而建立嚴(yán)格的審核流程是十分困難的����。然而網(wǎng)絡(luò)公證可以徹底解決這一困惑�。網(wǎng)絡(luò)公證可以將傳統(tǒng)的公證證明應(yīng)用到CA證書的身份審核上。其具體解決辦法是:將遍布全國的數(shù)千家公證機(jī)構(gòu)通過因特網(wǎng)聯(lián)成一個(gè)統(tǒng)一的網(wǎng)絡(luò)—中國公證網(wǎng)絡(luò)��,以實(shí)現(xiàn)將社會公眾���、公證客戶��、公證機(jī)構(gòu)與公證相聯(lián)結(jié)�。也就是說,通過中國公證網(wǎng)����,將遍布全國各地的公證機(jī)構(gòu)有機(jī)地聯(lián)在一起,徹底解決了異地審核的難度����,并確保了網(wǎng)絡(luò)身份的真實(shí)性�����。當(dāng)用戶需要申請CA證書時(shí)���,即可到所在地的公證機(jī)構(gòu)進(jìn)行離線的面對面審核�,也即RA審核����。該審核嚴(yán)格按照公證機(jī)構(gòu)的審核要求與流程進(jìn)行,公證機(jī)構(gòu)自然地對所審核的內(nèi)容承擔(dān)相應(yīng)的法律責(zé)任�����,經(jīng)過RA審核后的資料統(tǒng)一進(jìn)入公證機(jī)構(gòu)的中心數(shù)據(jù)庫中進(jìn)行安全存放�����。
這樣,經(jīng)網(wǎng)絡(luò)公證RA審核后所頒發(fā)的CA證書就自然地與其真實(shí)身份相對應(yīng)���,以后在電子商務(wù)交易中的網(wǎng)上簽名行為即為其真實(shí)持有人所為���。進(jìn)行RA審核的人員不是普通公民,而是現(xiàn)行法律體系中承擔(dān)法定審核工作的公證員���,他們負(fù)有審核身份的法律責(zé)任����,行使的是國家的證明權(quán)�����。由此可見�,網(wǎng)絡(luò)公證所構(gòu)建的網(wǎng)絡(luò)真實(shí)身份審核體系,可以與CA中心以及其他公司相配合����,為其發(fā)放CA證書提供審核環(huán)節(jié)的服務(wù),以解決其審核布點(diǎn)困難以及審核者身份不合法的問題����。
就技術(shù)而言����,CA在現(xiàn)階段的應(yīng)用已趨成熟�����,PKI公鑰管理體系也很實(shí)用��。它通過給個(gè)人��、企事業(yè)單位及政府機(jī)構(gòu)簽發(fā)公用密鑰與私人密鑰組成的數(shù)字證書���,來確認(rèn)電子商務(wù)活動中交易各方的身份,并通過加解密方法來實(shí)現(xiàn)網(wǎng)絡(luò)信息傳輸中的簽名問題�����,以確保交易安全性����。
2.網(wǎng)絡(luò)中的交易數(shù)據(jù)的安全保存
在確定網(wǎng)絡(luò)身份后,交易雙方就進(jìn)入了實(shí)質(zhì)談判�����,以達(dá)成雙方認(rèn)可的條款。在傳統(tǒng)交易中�,協(xié)議的合同化過程是在書面合同上簽字蓋章,一旦交易雙方日后在履約中出現(xiàn)爭議��,就可以以當(dāng)初所簽署的書面合同作為證據(jù)來解決存在的爭議�。與此對應(yīng),在虛擬的網(wǎng)絡(luò)交易中��,也必須能讓虛擬的交易數(shù)據(jù)得以固化并在日后可能發(fā)生的糾紛中作為證據(jù)為法院所采證�����。網(wǎng)絡(luò)公證方案可以采用的解決方法是提供第三方數(shù)據(jù)保管服務(wù)�����。當(dāng)交易雙方在網(wǎng)上達(dá)成協(xié)議后����,各自用CA證書對合同進(jìn)行加密簽名,并將合同的電文數(shù)據(jù)內(nèi)容提交到網(wǎng)絡(luò)公證的數(shù)據(jù)保存中心���。由于進(jìn)行了加密簽名�,數(shù)據(jù)保存中心也無法打開并知悉當(dāng)初的交易合同,這就真正確保了其安全性�����。事實(shí)上�����,由于第三方公正方的參與��,使得電子商務(wù)交易得以在制度層面得到安全保障��。交易雙方一旦出現(xiàn)糾紛�����,通過解密打開的合同將由公證機(jī)構(gòu)出具其保存的公證書證據(jù)����。而公證文書在法庭上是可以作為證據(jù)直接被采納的��。[Page]
3.網(wǎng)上合同履行的提存服務(wù)
電子商務(wù)交易的信任危機(jī)除了主體身份確認(rèn)危機(jī)����、交易數(shù)據(jù)的證據(jù)危機(jī)外���,網(wǎng)絡(luò)交易履行中的支付信任更是阻礙網(wǎng)絡(luò)交易發(fā)展的阻力。雙方達(dá)成交易意向后�,買家擔(dān)心的是能否準(zhǔn)確、及時(shí)地收到貨物��;賣家擔(dān)心的是交了貨后能否準(zhǔn)確�、快捷地收到貨款。也就是說���,網(wǎng)絡(luò)交易雙方共同關(guān)心著網(wǎng)絡(luò)合同履行中的信用安全問題�����。網(wǎng)絡(luò)公證可以依照傳統(tǒng)的提存公證思路����,結(jié)合網(wǎng)絡(luò)技術(shù)展開網(wǎng)絡(luò)提存業(yè)務(wù)�。在網(wǎng)絡(luò)電子商務(wù)交易中,買方不必將貨款直接交付賣方�����,而是將貨款提存到網(wǎng)絡(luò)公證提存中心,在其收到貨物并簽署完相關(guān)單據(jù)后���,提存中心再將貨款支付給賣方��。這樣��,網(wǎng)絡(luò)公證提供的第三方提存服務(wù)徹底解決了網(wǎng)絡(luò)交易雙方對網(wǎng)上合同履行的困惑��,尤其是支付的擔(dān)憂����。法律制度和傳統(tǒng)貿(mào)易中早已有的公證提存方式對網(wǎng)絡(luò)世界中的交易尤為適用�����。
可以預(yù)見�,隨著信息安全領(lǐng)域的標(biāo)準(zhǔn)化、法制化建設(shè)的日益完善���,網(wǎng)絡(luò)公證依托中國公證網(wǎng)絡(luò),運(yùn)用公證的國家證明力所構(gòu)建的第三方信用與安全服務(wù)以及網(wǎng)上合同履行的提存服務(wù)��,將徹底解決網(wǎng)絡(luò)交易主體對電子商務(wù)的信用問題�����,也必將極大地推動我國電子商務(wù)的發(fā)展。
四���、小結(jié)
總之�����,通過向網(wǎng)絡(luò)主體在經(jīng)過RA審核后發(fā)放CA電子身份證����,解決了網(wǎng)上虛擬主體的真實(shí)身份及網(wǎng)上簽名問題�,并通過網(wǎng)絡(luò)公證的數(shù)據(jù)備份中心為交易雙方的網(wǎng)上電子合同提供了證據(jù)保全,終以網(wǎng)上提存電子合同的履行來提供網(wǎng)上支付信用服務(wù)�。“網(wǎng)絡(luò)公證”作為一個(gè)第三方法律服務(wù)平臺���,以其幾個(gè)有機(jī)連結(jié)的在線服務(wù)系統(tǒng)��、完整地解決了電子商務(wù)中的安全及信用問題�,在虛擬的網(wǎng)絡(luò)空間構(gòu)建起一座溝通雙方的真實(shí)橋梁�。
.png)
滬公網(wǎng)安備 31011402007386號