《電子簽名法》對我國網(wǎng)上銀行的影響及對策

1、電子簽名法對我國網(wǎng)上銀行的影響及對策引言：本文介紹了我國最近開始實(shí)施的電子簽名法的主要內(nèi)容，考察了當(dāng)前網(wǎng)上銀行電子簽名存在的主要問題并提出相應(yīng)的對策，以期對我行以后網(wǎng)上銀行的建設(shè)提供借鑒。最后，本文簡要地指出了該法對我行資金交易業(yè)務(wù)的影響。網(wǎng)上銀行是指通過Internet提供各項銀行服務(wù)，它是20世紀(jì)金融領(lǐng)域出現(xiàn)的最具影響力的創(chuàng)新之一。網(wǎng)上銀行因具備低成本、高效率等特點(diǎn)，在國內(nèi)外迅速發(fā)展。目前我國主要商業(yè)銀行都開辦了網(wǎng)上銀行業(yè)務(wù)。然而，由于網(wǎng)上銀行是基于開放的Internet環(huán)境，使其面臨著巨大的安全隱患。為了有效識別網(wǎng)上銀行客戶身份，各家網(wǎng)上銀行都實(shí)施了一定的安全認(rèn)證技術(shù)，基本保證了網(wǎng)上銀行

2、的安全運(yùn)行。同時，各發(fā)達(dá)國家的政府也都分別出臺了相關(guān)的法規(guī)，從制度上保障了網(wǎng)上銀行安全措施的法律效力。 為標(biāo)準(zhǔn)電子商務(wù)行為、給電子商務(wù)發(fā)展提供必要的法律保障，在經(jīng)過數(shù)年的醞釀和準(zhǔn)備之后，我國從2003年4月開始了電子簽名法的起草工作。2004年4月2日，十屆全國人大常委會第八次會議首次對電子簽名法草案進(jìn)行了審議，中間又經(jīng)過兩次修改和審議，最終在8月28日通過了電子簽名法，并決定于2005年4月1日起實(shí)施。這是一部我國銀行界期盼已久的法律，一部對金融界影響巨大的法律。電子簽名法的頒布實(shí)施，從法律上確認(rèn)了網(wǎng)上銀行電子簽名的法律效力，并對電子簽名和認(rèn)證機(jī)構(gòu)進(jìn)行標(biāo)準(zhǔn)，這必將對我國網(wǎng)上銀行的建

3、設(shè)和完善起到重要的推動和保障作用。一、電子簽名法的主要內(nèi)容1、 明確了電子簽名的法律效力。電子簽名法明確規(guī)定“民事活動中的合同或者其他文件、單證等文書，當(dāng)事人可以約定使用或者不使用電子簽名、數(shù)據(jù)電文。當(dāng)事人約定使用電子簽名、數(shù)據(jù)電文的文書，不得僅因為其采用電子簽名、數(shù)據(jù)電文的形式而否認(rèn)其法律效力。”這樣，電子簽名便具有與手寫簽字或者蓋章同等的法律效力；同時承認(rèn)電子文件與書面文書具有同等效力，從而使現(xiàn)行的民商事法律可以適用于電子文件。2、 明確了電子簽名所需要的技術(shù)和法理條件。電子簽名必須同時符合“電子簽名制作數(shù)據(jù)用于電子簽名時，屬于電子簽名人專有”、“簽署時電子簽名制作數(shù)據(jù)僅由電子簽名人控制”

4、、“簽署后對電子簽名內(nèi)容和形式的任何改動能夠被發(fā)現(xiàn)”等假設(shè)干條件，才能被視為可靠的電子簽名。這一條款為確保電子簽名安全、準(zhǔn)確以及防范欺詐行為提供了嚴(yán)格的、具有可操作性的法律規(guī)定。3、 對電子商務(wù)認(rèn)證機(jī)構(gòu)和行為做了規(guī)定。電子商務(wù)需要第三方對電子簽名人的身份進(jìn)行認(rèn)證，這個第三方稱為電子認(rèn)證服務(wù)機(jī)構(gòu)。認(rèn)證機(jī)構(gòu)的可靠與否對電子簽名的真實(shí)性和電子交易的安全性起著關(guān)鍵作用?？紤]到目前中國社會信用體系還不健全，為了確保電子交易的安全可靠，電子簽名法規(guī)定了認(rèn)證服務(wù)市場準(zhǔn)入制度，明確了由政府對認(rèn)證機(jī)構(gòu)實(shí)行資質(zhì)管理的制度，并對電子認(rèn)證服務(wù)機(jī)構(gòu)提出了嚴(yán)格的人員、資金、技術(shù)、設(shè)備等方面的條件限制。4、 明確了電子商務(wù)

5、交易雙方和認(rèn)證機(jī)構(gòu)在電子簽名活動中的權(quán)利、義務(wù)和行為標(biāo)準(zhǔn)。如對電子合同中數(shù)據(jù)電文的發(fā)送和接收時間、數(shù)據(jù)電文的發(fā)送和接收地點(diǎn)、電子簽名人向電子認(rèn)證服務(wù)提供者申請電子簽名認(rèn)證證書的程序、電子認(rèn)證服務(wù)提供者提供服務(wù)的原則、電子簽名人或認(rèn)證機(jī)構(gòu)各自應(yīng)承擔(dān)的法律義務(wù)與責(zé)任等問題，都做出了明確的規(guī)定。5、 明確了“技術(shù)中立”原則。這次立法借鑒了聯(lián)合國電子簽名示范法的“技術(shù)中立”原則，只規(guī)定了作為可靠的電子簽名應(yīng)該到達(dá)的標(biāo)準(zhǔn)，沒有限定使用哪一種技術(shù)來到達(dá)這一標(biāo)準(zhǔn)，這為以后新技術(shù)的采用留下了空間。6、 增加了有關(guān)政府監(jiān)管部門法律責(zé)任的條款?！柏?fù)責(zé)電子認(rèn)證服務(wù)業(yè)監(jiān)督管理工作的部門的工作人員，不依法履行行政許可、

6、監(jiān)督管理職責(zé)的，依法給予行政處分；構(gòu)成犯罪的，依法追究刑事責(zé)任?！庇闪⒎鞔_指出追究不依法進(jìn)行監(jiān)督管理人員的法律責(zé)任，這是國外電子商務(wù)立法中所沒有的，也是針對目前我國市場信用制度落后、電子商務(wù)大環(huán)境不完善而特別需要加強(qiáng)監(jiān)管的國情而實(shí)際做出的。二、 我國網(wǎng)上銀行數(shù)字證書應(yīng)用存在的問題 數(shù)字證書像生活中每個人擁有的身份證件一樣，它與身份證的區(qū)別在于數(shù)字證書以數(shù)字信息為介質(zhì)，用在網(wǎng)絡(luò)環(huán)境中證明某個網(wǎng)絡(luò)實(shí)體的身份。由于其本身的優(yōu)勢，它可以參與數(shù)據(jù)存儲加密、數(shù)據(jù)傳輸加密、數(shù)據(jù)傳輸完整性保護(hù)等過程。新頒布的電子簽名法中提及的 “數(shù)據(jù)電文中以電子形式所含、所附用于識別簽名人身份并說明簽名人認(rèn)可其中

7、內(nèi)容的數(shù)據(jù)”，一般指的就是數(shù)字證書。在目前我國已開辦網(wǎng)上銀行業(yè)務(wù)的各商業(yè)銀行中，有相當(dāng)一部分銀行的個人網(wǎng)上銀行并沒有有效地利用數(shù)字證書，只采用了用戶密碼作為識別用戶身份的惟一手段。雖然電子簽名法第三條規(guī)定 “民事活動中的合同或者其他文件、單證等文書，當(dāng)事人可以約定使用或者不使用電子簽名、數(shù)據(jù)電文”，然而，目前發(fā)達(dá)國家已經(jīng)廣泛使用了基于PKI的數(shù)字簽名技術(shù)，它是目前電子商務(wù)、電子政務(wù)中應(yīng)用最普遍、技術(shù)最成熟、可操作性最強(qiáng)的一種電子簽名方法。它采用了標(biāo)準(zhǔn)化的程序和科學(xué)化的方法，用于鑒定簽名人的身份以及對一項電子數(shù)據(jù)內(nèi)容的認(rèn)可。 電子簽名法的出臺，為數(shù)字證書的使用提供了技術(shù)和法律保障。它使

8、得數(shù)字證書與手寫簽名具有了同樣的法律效力，使網(wǎng)上交易變得更加安全與快捷。但在網(wǎng)上銀行的實(shí)際運(yùn)作過程中，即使采用了具備法律效力的數(shù)字證書，現(xiàn)行的網(wǎng)上銀行服務(wù)仍然存在著一些隱患亟待改正。 、用戶安全教育的缺失 作為網(wǎng)上銀行識別用戶身份的一個重要手段，數(shù)字證書的作用、正確的使用方法等首先應(yīng)該清楚地向用戶說明。雖然大多數(shù)網(wǎng)上銀行已經(jīng)能夠提供數(shù)字證書的使用，但事實(shí)上大多數(shù)用戶卻很難了解具有相當(dāng)技術(shù)含量的數(shù)字證書的完整含義。在大多數(shù)使用數(shù)字證書的網(wǎng)上銀行網(wǎng)站上，只有在類似“熱點(diǎn)問題解答”的網(wǎng)頁中才有客戶證書的介紹，而對其重要性、法律效力等卻未充分說明。這樣，一旦銀行與用戶之間因為安全問題發(fā)生糾紛

9、，網(wǎng)上銀行將會因為沒有明確告知用戶數(shù)字證書的重要意義而處于十分不利的境地。而那些沒有使用數(shù)字證書的網(wǎng)上銀行，并沒有充分提醒用戶單一密碼認(rèn)證的安全性問題，這種不負(fù)責(zé)任的態(tài)度，也值得各家銀行反思。各家網(wǎng)上銀行應(yīng)當(dāng)從為用戶服務(wù)的角度出發(fā)，切實(shí)保障用戶資金轉(zhuǎn)移的安全性。、傳統(tǒng)數(shù)字證書使用方法中的安全隱患 數(shù)字證書作為用戶身份證明的一種手段，在具備了法律效力后，原有的使用方式就應(yīng)該相應(yīng)地做出調(diào)整。傳統(tǒng)網(wǎng)上銀行提供的數(shù)字證書主要存放在IE瀏覽器、IC卡和USBKey等幾種介質(zhì)中。其中安全隱患最大的當(dāng)屬IE瀏覽器。這種方式是用戶通過互聯(lián)網(wǎng)將數(shù)字證書下載到本地電腦中，然后將證書導(dǎo)入到瀏覽器中進(jìn)行用戶

10、身份的識別。同樣地，導(dǎo)入到瀏覽器中的證書也可以被導(dǎo)出備份，并且備份的證書中包含了私人信息。這就意味著，如果用戶使用公共電腦或者由于自己的電腦被他人使用而導(dǎo)致客戶證書被盜，其后果將不堪設(shè)想。已通過的電子簽名法第十五條規(guī)定：“電子簽名人應(yīng)當(dāng)妥善保管電子簽名制作數(shù)據(jù)。電子簽名人知悉電子簽名制作數(shù)據(jù)已經(jīng)失密或者可能已經(jīng)失密時，應(yīng)當(dāng)及時告知有關(guān)各方，并終止使用該電子簽名制作數(shù)據(jù)?！钡诙邨l規(guī)定：“電子簽名人知悉電子簽名制作數(shù)據(jù)已經(jīng)失密或者可能已經(jīng)失密未及時告知有關(guān)各方、并終止使用電子簽名制作數(shù)據(jù)，未向電子認(rèn)證服務(wù)提供者提供真實(shí)、完整和準(zhǔn)確的信息，或者有其他過錯，給電子簽名依賴方、電子認(rèn)證服務(wù)提供者造成

11、損失的，承擔(dān)賠償責(zé)任?！边@兩條規(guī)定使用戶處于十分不利的境地。一般用戶可能由于電腦知識缺乏或疏忽大意，導(dǎo)致證書保管不善引發(fā)巨大風(fēng)險。網(wǎng)上銀行向用戶提供完整的服務(wù)，理應(yīng)考慮到瀏覽器存儲安全證書帶來的巨大安全隱患。然而，當(dāng)前網(wǎng)上銀行大多未提供多種介質(zhì)的客戶證書使用方式。這顯然不能很好地適應(yīng)電子簽名法的頒布實(shí)施，也難以適應(yīng)用戶對于網(wǎng)上銀行安全性日益提高的要求。認(rèn)證機(jī)構(gòu)的資質(zhì)問題 認(rèn)證機(jī)構(gòu)是數(shù)字證書實(shí)現(xiàn)認(rèn)證功能的重要一環(huán)。它作為獨(dú)立、可信的第三方，承擔(dān)著核對和驗證各網(wǎng)絡(luò)用戶方身份，頒發(fā)、維護(hù)和管理數(shù)字證書，提供數(shù)字證書服務(wù)，實(shí)現(xiàn)網(wǎng)上身份認(rèn)證等許多重要的責(zé)任。認(rèn)證機(jī)構(gòu)的資質(zhì)決定了其提供的數(shù)字證書

12、的可靠性，沒有合格的認(rèn)證機(jī)構(gòu)，安全可靠的數(shù)字證書就無從談起。電子簽名法中雖然明確了認(rèn)證機(jī)構(gòu)的準(zhǔn)入機(jī)制，并規(guī)定了認(rèn)證機(jī)構(gòu)應(yīng)承擔(dān)的法律責(zé)任，但在電子簽名法頒布之前，國內(nèi)卻已經(jīng)建立起了為數(shù)眾多的認(rèn)證機(jī)構(gòu)，且發(fā)展良莠不齊，甚至不具備條件的認(rèn)證機(jī)構(gòu)也在提供著電子認(rèn)證服務(wù)。特別是許多網(wǎng)上銀行自建認(rèn)證機(jī)構(gòu)，既為自己的客戶發(fā)放證書，又與客戶進(jìn)行交易，這樣，一旦發(fā)生交易爭端，將無法滿足電子簽名法的約束。雖然各網(wǎng)上銀行對其認(rèn)證機(jī)構(gòu)的資質(zhì)大都言之鑿鑿，稱其為所謂的“可信機(jī)構(gòu)”，但由于之前國家沒有主管機(jī)構(gòu)，缺乏準(zhǔn)入審批制度，對這些并不標(biāo)準(zhǔn)的認(rèn)證機(jī)構(gòu)無法實(shí)現(xiàn)有效地監(jiān)管。電子簽名法頒布后，“無法可依”的狀況可望得到改觀，

13、網(wǎng)上銀行也應(yīng)該積極采取應(yīng)對措施，提高認(rèn)證機(jī)構(gòu)的透明度和資質(zhì)水平，以確保數(shù)字證書的安全可靠性。三、 我國網(wǎng)上銀行貫徹電子簽名法的應(yīng)對措施  鑒于當(dāng)前網(wǎng)上銀行在使用數(shù)字證書中存在的種種問題，為了適應(yīng)電子簽名法的要求，對商業(yè)銀行建設(shè)、完善網(wǎng)上銀行提出以下一些建議。、出于用戶對安全性及保密性的需要，網(wǎng)上銀行應(yīng)該統(tǒng)一使用數(shù)字證書。單一的密碼驗證難以適應(yīng)電子商務(wù)迅速發(fā)展的需要，由于PKI技術(shù)的引入，使用數(shù)字證書在技術(shù)上已經(jīng)日趨成熟，而電子簽名法的頒布，又為其提供了可靠的法律依據(jù)。在技術(shù)和法制兩方面都比較成熟的情況下，我國網(wǎng)上銀行應(yīng)該適應(yīng)國際技術(shù)潮流，采用先進(jìn)的認(rèn)證技術(shù)是大勢所趨。同時，銀行也應(yīng)積

14、極向用戶宣傳數(shù)字證書的可靠性能及其重要作用，盡量在其網(wǎng)頁的醒目位置提醒用戶，使每個用戶對數(shù)字證書的使用、保管及其法律意義都有明確的認(rèn)識。、根據(jù)電子簽名法第二十七條規(guī)定，電子簽名的持有人應(yīng)當(dāng)妥善保管電子簽名的數(shù)據(jù)。這就意味著傳統(tǒng)意義上以IE瀏覽器作為介質(zhì)存放數(shù)字證書的做法已經(jīng)不能適應(yīng)相關(guān)法規(guī)的要求。網(wǎng)上銀行應(yīng)盡量減少數(shù)字證書的下載而采用較為安全的以IC卡或USBKey為介質(zhì)的數(shù)字證書的存儲方式。雖然目前網(wǎng)上銀行提供以IC卡和USBKey為介質(zhì)存儲數(shù)字證書一般都要收取一定的費(fèi)用，然而只要網(wǎng)上銀行向用戶明確介紹使用數(shù)字證書的好處，并且告知用戶傳統(tǒng)下載方式在安全性方面的隱患，相信每一個用戶都愿意繳納一

15、定的費(fèi)用來享受更安全、可靠的服務(wù)。同時，對于采用以IC卡或USBKey為介質(zhì)存儲的數(shù)字證書，銀行同樣要使用戶樹立充分的安全防患意識。告誡用戶盡量防止將IC卡或USBKey介質(zhì)中的數(shù)字證書導(dǎo)入到IE瀏覽器中，即使一定要導(dǎo)入，也務(wù)必在使用后將導(dǎo)入到瀏覽器中的數(shù)字證書刪除，以確保萬無一失。 中國農(nóng)業(yè)銀行網(wǎng)上銀行是我國最早提供多種介質(zhì)存放數(shù)字證書的網(wǎng)上銀行之一，該行不但提供安全可靠的數(shù)字證書認(rèn)證方式，并且向用戶提供了完備的安全防范手冊。在其網(wǎng)頁上可以下載到中國農(nóng)業(yè)銀行網(wǎng)上銀行個人客戶證書操作指南。該手冊向用戶完整地介紹了數(shù)字證書的含義、功能、使用方法等。在數(shù)字證書的維護(hù)方面也特別提到了“增加

16、/修改/刪除IE瀏覽器證書口令”以及“在網(wǎng)吧等公共環(huán)境里使用電腦”等敏感的安全性問題。然而美中不足的是，在電子簽名法頒布后，該手冊沒能及時配合新法的出臺，提醒用戶重視數(shù)字證書的法律效力。盡管如此，中國農(nóng)業(yè)銀行網(wǎng)上銀行向用戶提供的個人客戶證書操作指南仍不失完美，值得業(yè)界借鑒。、電子簽名法第二十八條規(guī)定：“電子簽名人或者電子簽名依賴方因依據(jù)電子認(rèn)證服務(wù)提供者提供的電子簽名認(rèn)證服務(wù)從事民事活動遭受損失，電子認(rèn)證服務(wù)提供者不能證明自己無過錯的，承擔(dān)賠償責(zé)任?！痹陔娮雍灻C布后，網(wǎng)上銀行提供數(shù)字證書的認(rèn)證機(jī)構(gòu)也相應(yīng)受到法律的標(biāo)準(zhǔn)。雖然認(rèn)證機(jī)構(gòu)的準(zhǔn)入制度剛剛建立，該法頒布之前成立的認(rèn)證機(jī)構(gòu)的資格難以判斷

17、，但網(wǎng)上銀行也應(yīng)努力提高其認(rèn)證機(jī)構(gòu)的資質(zhì)水平以滿足電子簽名法對認(rèn)證服務(wù)機(jī)構(gòu)所應(yīng)具備的條件的規(guī)定。尤其應(yīng)該杜絕那種自建認(rèn)證機(jī)構(gòu)，自己為自己的客戶發(fā)放證書，既當(dāng)“運(yùn)發(fā)動”，又當(dāng)“裁判員”的情況出現(xiàn)。電子簽名法第二十一條規(guī)定了數(shù)字證書的具體內(nèi)容，如電子認(rèn)證服務(wù)提供者名稱、證書持有人名稱、證書序列號、證書有效期、證書持有人的電子簽名驗證數(shù)據(jù)、電子認(rèn)證服務(wù)提供者的電子簽名等。網(wǎng)上銀行應(yīng)該認(rèn)真核實(shí)證書的內(nèi)容，確保其所提供的證書符合法律的相關(guān)規(guī)定。鑒于認(rèn)證機(jī)構(gòu)本身的可靠性對保證電子簽名真實(shí)性和電子交易安全性起著關(guān)鍵作用，各網(wǎng)上銀行應(yīng)當(dāng)高度重視，增加認(rèn)證機(jī)構(gòu)的透明度，做到公平、公正、公開，引入合法的認(rèn)證機(jī)構(gòu)為

18、用戶提供安全可靠的數(shù)字證書。、除了數(shù)字證書的使用外，電子簽名法的頒布實(shí)施也會對我國網(wǎng)上銀行在其他方面的經(jīng)營改革起到積極的推動作用。首先，在電子簽名法頒布后，傳統(tǒng)的銀行票據(jù)由于具備了具有法律效力的電子簽名，使得網(wǎng)上交易結(jié)算活動可完全實(shí)現(xiàn)無紙化。網(wǎng)上銀行也應(yīng)積極適應(yīng)新形勢，以電子簽名法為依托，制定網(wǎng)上支付新規(guī)則，利用電子簽名，制作網(wǎng)上支票乃至其他銀行票據(jù)，以實(shí)現(xiàn)網(wǎng)上的快速資金結(jié)算。其次，電子簽名的出現(xiàn)使得傳統(tǒng)的紙質(zhì)合同能夠以電子文件的形式出現(xiàn)。具備法律效力的電子簽名一經(jīng)出現(xiàn)，便使得合同可在網(wǎng)上直接簽署。而在電子簽名法出臺之前，用戶在辦理網(wǎng)上銀行業(yè)務(wù)時往往需要到柜臺簽署一些相關(guān)協(xié)議。如果電子簽名使得諸如合同協(xié)議等文件