论文部分内容阅读
一、电子商务认证机构建设的重要性和紧迫性
电子商务认证机构(Certification Authority,CA)是为了解决电子商务活动中交易参与各方身份、资信的认定,维护交易活动的安全,从根本上保障电子商务交易活动顺利进行而设立的。由于CA认证在电子商务中的特殊地位,尽快建立国家电子商务认证机构已迫在眉睫。
电子商务交易顺利进行的关键问题是安全问题。解决安全问题的基本条件就是需要具有相应的电子商务认证机构,为买卖双方提供值得信任的认证服务。从技术角度讲,电子商务认证机构所提供的服务包括签证的管理、使用者公钥的产生与保管,以及CA 密钥管理三大类。通过采用国际上最先进的安全保密技术对网络上的数据发送方、接收方进行身份情况确认和资信情况确认,以保证交易各方信息的安全性、保密性和可靠性。从商业角度讲,每一个电子合同的签定,买卖双方都需要对对方的身份情况、资信情况和经营情况进行认证,否则,很难作出正确的决策。所以,通过认证机构来进行买卖双方的全面认证,是保证网络交易安全的重要措施。
近年来,国际组织为建立全球电子认证中心制订了一系列的标准与法规,如国际标准组织(ISO)已颁布的密钥鉴别架构(Authentication Framework)标准ISO 9594-8、开放系统连接安全架构(Security Frameworks in Open Systems)标准 ISO 10181,存证 (Non-repudiation)标准ISO 13888也在草拟中。根据ISO各项已颁布及草拟中的相关标准,Internet网络工程技术小组(Internet Engineering Task Force)在安全领域方面,正在制定基于X.509的公开密钥基础建设标准(Public Key Infrastructure,简称PKIX)、通用鉴别技术(Common Authentication Technology,简称CAT)、防火墙通过鉴别标准(Authenticated Firewall Traversal,简称AFT)、简单公开密钥基础建设标准(Simple Public Key Infrastructure,简称SPKI)、交易层安全标准(Transport Layer Security,简称TLS)、网络交易安全标准(Web Transaction Security,简称WTS)等相关标准,逐步建设世界权威性的全球电子认证机构机制。
认证机构的建立,目前已经成为电子商务的一个热点问题。各个行业、各个部门都希望建立自己的认证机构,许多ISP和商品交易中心也尝试建立自己的认证中心。为了保证电子商务的健康发展,建立一个国家级的电子商务认证机构,使它能够联系政府部门的网络安全认证中心以及各行各业现存的认证机构,进而形成一个完整的体系,为参与网络交易的各方提供法律认可的、具有权威性的商务认证,已经成为电子商务发展的迫切要求。
二、认证机构在电子商务中的法律地位
从法律角度考查,认证机构(CA)扮演着一个买卖双方签约、履约的监督管理的角色,买卖双方有义务接受认证中心的监督管理。在整个电子商务交易过程中,包括电子支付过程中,认证机构都有着不可替代的地位和作用。
在电子商务交易的撮合过程中,认证机构是提供交易双方验证的第三方机构,由一个或多个用户信任的、具有权威性质的组织实体管理。它不仅要对进行电子商务交易的买卖双方负责,还要对整个电子商务的交易秩序负责。因此,这是一个十分重要的机构,往往带有半官方的性质。在实际运作中,认证机构也可由大家都信任的一方担当,例如在客户、商家、银行三角关系中,客户使用的是由某个银行发的信用卡或智能卡,而商家又与此银行有业务关系(有帐号)。在此情况下,客户和商家都信任该银行,可由该银行担当认证机构角色,接收、处理他的客户证书和商家证书的验证请求。
电子商务认证机构对登记者履行下列监督管理职责:
(1) 监督登记者按照规定办理登记、变更、注销手续;
(2) 监督登记者按照电子商务的有关法律法规合法从事经营活动;
(3) 制止和查处登记人的违法交易活动,保护交易人的合法权益。
三、电子商务认证机构建设的不同思路
电子商务认证机构的建立,各国都非常重视,加拿大和新加坡等国已经建立了政府性认证中心。台湾有这方面的前车之鉴,他们虽然建立CA较早,但由于最初没有统一规划,形成了银行系统各自都建有认证中心、互不通用的混乱格局,使得客户购物非常不便,调整起来也非常困难。有鉴于此,我们应吸取教训,尽快形成自己的电子商务认证机构的建设方案。
关于认证机构的建设,目前有三种典型的思路:
1. 地区信息主管部门认为应当以地区为中心建立认证中心。地方政府出面,可以从建设初期就统一规划、统一布局,组建唯一的地区CA认证中心,负责本地区电子商务证书的注册、发放、验证和管理工作。
2. 行业主管部门认为应当以行业为中心建立认证中心。银行希望拥有CA认证权力,它认为,金融认证中心是电子商务的一个核心环节,也是实现网上交易和网上支付的安全保障,因此,由人民银行组织各商业银行共同兴建金融认证中心势所必然。这样做,也有利于在今后的工作中能够自由选择高服务质量的ISP;而电信部门同样也希望拥有CA认证权力,这样可以自由选择银行。
3. 也有人提出建立几个国家级行业安全认证中心,如银行系统和国际电子商务领域,然后,实行相互认证。
目前,行动最快的是银行。1999年3月19日,由中国人民银行支付科技司组织工行、农行、建行、交行、光大银行等11家商业银行联合共建金融(CA)认证中心系统在北京举行正式邀标发布会,向国内外厂商正式发出建立金融(CA)认证中心系统的邀标通告。
电子商务交易认证不应是单纯的政府行为,而应当由政府授权,采用市场运营方式,发挥私人和国家两个方面的积极性,以便形成竞争的局面。认证机构的建立,从国家方面讲,笔者认为,目前首先应当组建国家级的CA认证中心,负责全国电子商务证书的注册、发放、验证和管理工作。然后,按照统一规划、统一布局的原则,在各行业设立横向的职能认证机构。在各地区设立纵向的分支认证机构,从而形成类似于企业管理中的直线职能制结构。根据目前因特网和计算机系统的运行速度,全国设立一个国家级电子商务认证中心完全可以满足电子商务交易的需要。
四、电子商务认证机构建设的基本原则
电子商务认证机构的建设,应当遵循以下原则:
1. 权威性原则。一个认证机构必须具有自己的权威性。这种权威性可以来自两个方面。第一,来自认证机构的服务,真正能够提供客户值得信赖的信息的认证机构,必然在其运做中逐步树立自己的权威性。第二,来自认证机构的地位,私人认证机构、地方政府的认证机构、行业认证机构、国家认证机构所处的地位不同,具有不同的权威性。
2. 真实性原则。认证机构所提供的各类信息,必须真实、准确、完整、可靠。严禁为客户提供虚假信息。
3. 机密性原则。认证机构的工作人员应当具有良好的职业道德,忠于职守,保证信息不被泄露给非授权人或实体。同时,应当配备先进的安全设备,能够有效防范外界黑客的非法入侵。
4. 快捷性原则。认证机构的工作人员和设备都应当具有快速的反应能力,能够在很短的时间内处理各种客户认证业务。
5. 经济性原则。认证机构的建立,应注意投入产出比,充分利用现有的资料和机构设施。
五、国家电子商务认证机构的设立
同传统的交易一样,电子商务交易主要涉及两个方面的问题:
第一,身份认证。辨别参与交易的这个企业、这个人是干什么的。从我国目前情况看,面对成千上万的网络消费者,全面实施个人身份认证几乎是不可能的,也是不必要的。但对于企业与企业之间的交易,即B to B的交易,身份认证非常必要。目前我国企业在国家工商部门都有登记,只要通过认证机构将这些资料汇总,即可开展企业身份认证。所以,这项认证由国家工商部门来做比较恰当。
第二,资信认证。查看企业资信情况如何。资信等级必须由银行提供证明。我国开展企业资信等级的评定已有多年历史,将这一工作计算机化,即可用于电子商务交易的认证。所以,这项认证可以由银行来做。
还有一类数据是比较系统和全面的,即企业税收情况。企业税收资料历年积累完整,可以全面反映一个企业的整体经营情况。所以,笔者认为可以增加一个税收认证,以衡量一个企业整体素质的高低。这项认证可以由国家税务总局来做。
对于外贸企业来说,由于其行业的特殊性,在信用证贸易和EDI贸易中已经实行了类似的认证制度,积累了大量的宝贵资料。可以将这部分资料整理用于电子商务交易。这项工作可以由外贸部来做。
上述四个方面实际上形成了四个行业认证系统,可以把它们叫做“职能认证系统”,它们是为根认证发放认证证书提供依据的。在职能认证系统上面,还需要有一个根认证系统。这一根系统的建立,可以由国务院信息化办公室牵头,成立国家电子商务认证中心,统管职能认证系统。为便于开展业务,国家认证中心可以在各省和直辖市设立相应的分支机构,从而形成类似于管理上直线职能制组织结构的认证系统(参见图1)。
在完成上述工作的基础上,需要通过一定的程序确认认证系统的法律地位。第一步可以先通过行政法规加以规定,通过一段时间后,在合同法实施细则中加以规定,最终在合同法,或电子商务法中有所反映。
电子商务认证机构(Certification Authority,CA)是为了解决电子商务活动中交易参与各方身份、资信的认定,维护交易活动的安全,从根本上保障电子商务交易活动顺利进行而设立的。由于CA认证在电子商务中的特殊地位,尽快建立国家电子商务认证机构已迫在眉睫。
电子商务交易顺利进行的关键问题是安全问题。解决安全问题的基本条件就是需要具有相应的电子商务认证机构,为买卖双方提供值得信任的认证服务。从技术角度讲,电子商务认证机构所提供的服务包括签证的管理、使用者公钥的产生与保管,以及CA 密钥管理三大类。通过采用国际上最先进的安全保密技术对网络上的数据发送方、接收方进行身份情况确认和资信情况确认,以保证交易各方信息的安全性、保密性和可靠性。从商业角度讲,每一个电子合同的签定,买卖双方都需要对对方的身份情况、资信情况和经营情况进行认证,否则,很难作出正确的决策。所以,通过认证机构来进行买卖双方的全面认证,是保证网络交易安全的重要措施。
近年来,国际组织为建立全球电子认证中心制订了一系列的标准与法规,如国际标准组织(ISO)已颁布的密钥鉴别架构(Authentication Framework)标准ISO 9594-8、开放系统连接安全架构(Security Frameworks in Open Systems)标准 ISO 10181,存证 (Non-repudiation)标准ISO 13888也在草拟中。根据ISO各项已颁布及草拟中的相关标准,Internet网络工程技术小组(Internet Engineering Task Force)在安全领域方面,正在制定基于X.509的公开密钥基础建设标准(Public Key Infrastructure,简称PKIX)、通用鉴别技术(Common Authentication Technology,简称CAT)、防火墙通过鉴别标准(Authenticated Firewall Traversal,简称AFT)、简单公开密钥基础建设标准(Simple Public Key Infrastructure,简称SPKI)、交易层安全标准(Transport Layer Security,简称TLS)、网络交易安全标准(Web Transaction Security,简称WTS)等相关标准,逐步建设世界权威性的全球电子认证机构机制。
认证机构的建立,目前已经成为电子商务的一个热点问题。各个行业、各个部门都希望建立自己的认证机构,许多ISP和商品交易中心也尝试建立自己的认证中心。为了保证电子商务的健康发展,建立一个国家级的电子商务认证机构,使它能够联系政府部门的网络安全认证中心以及各行各业现存的认证机构,进而形成一个完整的体系,为参与网络交易的各方提供法律认可的、具有权威性的商务认证,已经成为电子商务发展的迫切要求。
二、认证机构在电子商务中的法律地位
从法律角度考查,认证机构(CA)扮演着一个买卖双方签约、履约的监督管理的角色,买卖双方有义务接受认证中心的监督管理。在整个电子商务交易过程中,包括电子支付过程中,认证机构都有着不可替代的地位和作用。
在电子商务交易的撮合过程中,认证机构是提供交易双方验证的第三方机构,由一个或多个用户信任的、具有权威性质的组织实体管理。它不仅要对进行电子商务交易的买卖双方负责,还要对整个电子商务的交易秩序负责。因此,这是一个十分重要的机构,往往带有半官方的性质。在实际运作中,认证机构也可由大家都信任的一方担当,例如在客户、商家、银行三角关系中,客户使用的是由某个银行发的信用卡或智能卡,而商家又与此银行有业务关系(有帐号)。在此情况下,客户和商家都信任该银行,可由该银行担当认证机构角色,接收、处理他的客户证书和商家证书的验证请求。
电子商务认证机构对登记者履行下列监督管理职责:
(1) 监督登记者按照规定办理登记、变更、注销手续;
(2) 监督登记者按照电子商务的有关法律法规合法从事经营活动;
(3) 制止和查处登记人的违法交易活动,保护交易人的合法权益。
三、电子商务认证机构建设的不同思路
电子商务认证机构的建立,各国都非常重视,加拿大和新加坡等国已经建立了政府性认证中心。台湾有这方面的前车之鉴,他们虽然建立CA较早,但由于最初没有统一规划,形成了银行系统各自都建有认证中心、互不通用的混乱格局,使得客户购物非常不便,调整起来也非常困难。有鉴于此,我们应吸取教训,尽快形成自己的电子商务认证机构的建设方案。
关于认证机构的建设,目前有三种典型的思路:
1. 地区信息主管部门认为应当以地区为中心建立认证中心。地方政府出面,可以从建设初期就统一规划、统一布局,组建唯一的地区CA认证中心,负责本地区电子商务证书的注册、发放、验证和管理工作。
2. 行业主管部门认为应当以行业为中心建立认证中心。银行希望拥有CA认证权力,它认为,金融认证中心是电子商务的一个核心环节,也是实现网上交易和网上支付的安全保障,因此,由人民银行组织各商业银行共同兴建金融认证中心势所必然。这样做,也有利于在今后的工作中能够自由选择高服务质量的ISP;而电信部门同样也希望拥有CA认证权力,这样可以自由选择银行。
3. 也有人提出建立几个国家级行业安全认证中心,如银行系统和国际电子商务领域,然后,实行相互认证。
目前,行动最快的是银行。1999年3月19日,由中国人民银行支付科技司组织工行、农行、建行、交行、光大银行等11家商业银行联合共建金融(CA)认证中心系统在北京举行正式邀标发布会,向国内外厂商正式发出建立金融(CA)认证中心系统的邀标通告。
电子商务交易认证不应是单纯的政府行为,而应当由政府授权,采用市场运营方式,发挥私人和国家两个方面的积极性,以便形成竞争的局面。认证机构的建立,从国家方面讲,笔者认为,目前首先应当组建国家级的CA认证中心,负责全国电子商务证书的注册、发放、验证和管理工作。然后,按照统一规划、统一布局的原则,在各行业设立横向的职能认证机构。在各地区设立纵向的分支认证机构,从而形成类似于企业管理中的直线职能制结构。根据目前因特网和计算机系统的运行速度,全国设立一个国家级电子商务认证中心完全可以满足电子商务交易的需要。
四、电子商务认证机构建设的基本原则
电子商务认证机构的建设,应当遵循以下原则:
1. 权威性原则。一个认证机构必须具有自己的权威性。这种权威性可以来自两个方面。第一,来自认证机构的服务,真正能够提供客户值得信赖的信息的认证机构,必然在其运做中逐步树立自己的权威性。第二,来自认证机构的地位,私人认证机构、地方政府的认证机构、行业认证机构、国家认证机构所处的地位不同,具有不同的权威性。
2. 真实性原则。认证机构所提供的各类信息,必须真实、准确、完整、可靠。严禁为客户提供虚假信息。
3. 机密性原则。认证机构的工作人员应当具有良好的职业道德,忠于职守,保证信息不被泄露给非授权人或实体。同时,应当配备先进的安全设备,能够有效防范外界黑客的非法入侵。
4. 快捷性原则。认证机构的工作人员和设备都应当具有快速的反应能力,能够在很短的时间内处理各种客户认证业务。
5. 经济性原则。认证机构的建立,应注意投入产出比,充分利用现有的资料和机构设施。
五、国家电子商务认证机构的设立
同传统的交易一样,电子商务交易主要涉及两个方面的问题:
第一,身份认证。辨别参与交易的这个企业、这个人是干什么的。从我国目前情况看,面对成千上万的网络消费者,全面实施个人身份认证几乎是不可能的,也是不必要的。但对于企业与企业之间的交易,即B to B的交易,身份认证非常必要。目前我国企业在国家工商部门都有登记,只要通过认证机构将这些资料汇总,即可开展企业身份认证。所以,这项认证由国家工商部门来做比较恰当。
第二,资信认证。查看企业资信情况如何。资信等级必须由银行提供证明。我国开展企业资信等级的评定已有多年历史,将这一工作计算机化,即可用于电子商务交易的认证。所以,这项认证可以由银行来做。
还有一类数据是比较系统和全面的,即企业税收情况。企业税收资料历年积累完整,可以全面反映一个企业的整体经营情况。所以,笔者认为可以增加一个税收认证,以衡量一个企业整体素质的高低。这项认证可以由国家税务总局来做。
对于外贸企业来说,由于其行业的特殊性,在信用证贸易和EDI贸易中已经实行了类似的认证制度,积累了大量的宝贵资料。可以将这部分资料整理用于电子商务交易。这项工作可以由外贸部来做。
上述四个方面实际上形成了四个行业认证系统,可以把它们叫做“职能认证系统”,它们是为根认证发放认证证书提供依据的。在职能认证系统上面,还需要有一个根认证系统。这一根系统的建立,可以由国务院信息化办公室牵头,成立国家电子商务认证中心,统管职能认证系统。为便于开展业务,国家认证中心可以在各省和直辖市设立相应的分支机构,从而形成类似于管理上直线职能制组织结构的认证系统(参见图1)。
在完成上述工作的基础上,需要通过一定的程序确认认证系统的法律地位。第一步可以先通过行政法规加以规定,通过一段时间后,在合同法实施细则中加以规定,最终在合同法,或电子商务法中有所反映。