论文摘要 安全性是电子商务活动首要考虑的因素,基于数字证书的网上支付平台能有效保障交易安全,但电子认证机构在其中的责任并不明确。电子认证机构签发和管理数字证书,付款人和收款人是证书用户,双方存在特殊服务合同,前者违反如实告知、泄露用户信息等义务,应负违约责任。认证机构与银行成立法定信赖关系,未尽谨慎审查证书信息等合理注意义务导致银行受损失,不能证明自己无过错,且无免责事由的,负侵权责任。
论文关键词 网上支付 电子认证 违约责任 侵权责任
网上支付是电子商务的重要部分,其安全问题一直为人们所关注。传统的网上支付模式遭受网络系统内外的安全威胁,引发当事人的复杂法律纠纷。基于数字证书的新型网上支付平台引进电子认证机构提供的数字认证技术,有效保障支付安全。但电子认证机构也面临技术和法律风险,病毒入侵、人员操作失误,造成当事人损失的情况亦不少见。本文在介绍电子认证机构参与下的网上支付平台的优势的基础上,分析各方法律关系,明确其在网上支付活动中的民事责任,以促进电子支付模式的进一步发展。
一、基于数字证书的网上支付平台概述
网上支付使用户通过网络快速完成资金划拨,应用广泛,但受到网络系统内外的多重安全威胁。传统的网上支付模式运用各种安全技术措施,效果却差强人意,基于数字证书的新型支付平台因应运而生。电子认证机构作为第三方参与网上支付活动,承担重要职责。
(一)网上支付的概念及安全性要求
网上支付是指以计算机网络为手段,将传统支付工具电子信息化,让交易双方线上完成支资金划拨的新型支付方式,具有便捷、安全的特点,在众多支付方式中发展最快,影响范围最广。
安全性是网上支付的基本条件,体现在四个方面:身份认证、安全传输、数据一致性和不可否认性。身份认证,指提供身份鉴别机制以免产生虚假身份信息。安全传输,指防止信息为他人非法获得。数据一致性,指确保非交易方不能篡改交易信息。不可否认性,是指确保交易各方不能对已发生的交易行为抵赖。
(二)网上支付的安全隐患及基于数字证书的网上支付平台的优势
依托计算机网络,在线支付平台面临来自系统内外的安全隐患。黑客、病毒等外部因素,客户密码泄密或银行操作失误等内部因素严重削弱支付安全性。为此,传统的网上支付采用多种安全措施,包括在数据传输过程中运用安全协议,运用防火墙技术,进行数据加密等。这些措施起到一定作用,但因黑客、病毒的更新换代,安全技术的滞后性和漏洞,安全形势严峻。不法商家假冒用户,窃听用户隐私信息,非法参与支付情况依然普遍。
基于数字证书的网上支付平台具有较高安全性,受到关注。它是运用由电子认证机构颁发的数字证书,让支付指令人、银行和收款人完成资金划拨的在线支付平台。数字证书是一段经过认证机构签名的数据,包含用户身份、公私钥、数字签名信息。数字证书运用SSL、SET安全协议,具有准确认证身份、保护数据完整的优点,是保障网络支付安全的重要途径。
(三)电子认证机构在基于数字证书的网上支付平台中的职责
电子认证机构,简称“CA”,负责认证、签发、管理数字证书,作为中立、权威的第三方,在网上支付平台中扮演重要角色。它向资金收、付双方签发数字证书,确认各自身份,通过数据加密实现安全交易。电子认证机构的职责包括:其一,验证身份。借助CA的口令、公开密钥和电子签名,鉴别交易各方的身份登记、资信和经营情况,确保信息真实。其二,数据保密和完整。CA签发的数字证书,运用哈希函数加密法、私人密钥加密法等一系列手段,加密数据文件,在传输中不会被窃取,即便被窃取,也难以破译。其三,交易行为的不可否认性。数字证书为证书上所标识的当事人唯一拥有,传送前对交易信息进行电子签名,使发送者无法否认其行为。
二、电子认证机构与网上支付当事人的法律关系类型
在基于数字证书的网上支付平台中,付款人和收款人各自向电子认证机构申请数字证书,以便银行核实身份信息,是证书用户,双方成立特殊的服务合同。银行信赖数字证书,据此判断付款人或收款人的身份是否真实,并执行支付指令或向收款人划拨资金,是证书信赖者,与电子认证机构成立法定信赖关系。
(一)付款人、收款人和银行的不同角色
以货物买卖中的网上支付为例,该流程分三个阶段:一是买方(付款人)和卖方(收款人)向同一CA分别申请证书,提交身份信息,经审核后获得证书;二是银行的支付中心验证买方的数字证书,冻结款项,买卖双方通过验证后,履行交易内容;三是银行验证卖方的证书,将买家被冻结的货款转到卖方银行账号,完成网上支付。
数字证书的颁发和使用,一般涉及三种主体,分别是电子认证机构、证书用户和证书信赖者。证书用户,也称证书申请人,是向CA申请数字证书,让CA对其身份信息进行核实并记载在数字证书中,获得技术支持的主体。证书信赖者,是根据证书判断相关主体身份真实与否的相对人。在网上支付活动中,付款人和收款人向CA申请证书,是“证书用户”。付款人的开户银行接收到支付指令后,会对一并接收的数字证书进行审查,若证书上的记载与银行的客户信息一致,银行做出指令人身份真实的判断,冻结付款人相应的账户资金,是证书信赖者。对于收款人银行而言,拟收款人的证书的记载和银行的信息一致,银行据此将该笔资金划到收款人账上,也是证书信赖者。
(二)电子认证机构与付款人、收款人的民事法律关系
电子认证机构与证书用户间的法律关系性质存在争论,但笔者认为CA和付款人、CA和收款人间应为受合同法调整的特殊服务合同关系:其一,存在合同。证书用户向CA申请数字证书,并付费,CA审核申请人身份并为其签发和管理证书,对私钥进行保密,无疑是合同关系。其二,该合同关系有特殊性。CA提供经核实的、有关网上支付各方所关心的基本信息,承担信息保密、私钥保密等义务。用户除付费外,还履行真实陈述、妥善保管私钥等义务,具有特殊性。
(三)电子认证机构与银行的民事法律关系
银行是证书信赖者,与电子认证机构的关系应为受侵权法调整的法定信赖关系:其一,信赖关系。CA提供的服务除了要防止欺诈和防止否认外,还有信用公示功能。证书用户要求发放数字证书的目的除了证明身份和数据真实外,更重要的是吸引潜在信赖方进行交易。作为信赖方的银行基于对CA的技术可靠性、权威性的信任而与付款人或收款人从事网上支付活动,双方成立信赖关系。其二,该信任关系受侵权责任法调整。《电子签名法》第22条规定:“保证电子签名依赖方能够证实或了解电子签名认证证书所在的内容和其他有关的事项。”换言之,认证机构对信赖方所承担的是特别法规定的义务。
三、电子认证机构、付款人、收款人和银行的权利义务
前文对网上支付活动中电子认证机构和各方的法律关系类型作了了分析,进一步分清各方的权利义务,有利于明晰具体的民事责任。
(一)电子认证机构的权利义务
电子认证机构的主要角色是对证书申请者的材料进行审核后发给数字证书,向银行公开用户的密钥,为用户保管证书,为信赖者提供证书查询便利。其享有的权利包括四项:(1)要求申请者提供真实合法的资料;(2)收取合理服务费;(3)对数字证书的撤销权;(4)申请赔偿的权利。它的义务有:(1)仔细审核申请者的资料;(2)如实告知证书相关事项;(3)为用户提供密码和妥善保存;(4)保证认证平台正常运转。
(二)付款人和收款人的权利义务
作为证书用户,付款人和收款人有权要求认证机构发放数字证书,进行保管和信息保密,其义务包括:(1)保证材料和所做陈述的真实性;(2)妥善保管私钥;(3)如发现私钥遗失、被盗用、篡改,及时告知认证机构;(4)支付费用。
(三)银行的权利义务
依照我国《电子签名法》和《电子签名认证机构服务管理办法》的规定,银行享有查询权、知情权和向认证机构请求损害赔偿的权利,承担核实数字证书信息的真实性、在合理的信赖范围内进行交易的义务。
四、电子认证机构对付款人、收款人和银行的民事责任
在分清电子认证机构和支付活动的当事人各自的权利义务的基础上,下文重点讨论电子认证机构在网上支付平台中对证书用户和信赖方的民事责任。
(一)认证机构对付款人、收款人的民事责任
基于服务合同,电子认证机构违反合同约定及附随义务,造成收、付款人损失,应承担违约责任。具体来看,包括:其一,违反如实告知义务承担的责任。电子认证机构应当告知证书使用方法、服务收费情况、保存信息的权限等事项。如未履行如实告知义务,应负违约责任。其二,违反信息保密和妥善保管证书的义务。电子认证机构未妥善保管用户资料和证书信息导致信息泄露,造成损失,应承担违约责任。其三,在证书失效或被撤销后应立即废除证书。因用户的身份信息变化、用户密钥泄露等事项导致证书失效,认证机构应根据用户申请或自行审查作出撤销数字证书的处理,避免用户的损失。
(二)认证机构对银行承担的责任
电子认证机构与银行间成立受侵权责任法调整的特殊信赖关系,其法定义务主要表现为合理注意义务,依据是我国《电子签名法》第20、21和22条,可概括为两方面:(1)合理谨慎的审核申请人的资信材料,保证信息准确。如证书记载的支付人或收款人的身份、信用等级信息有误,导致银行损失,认证机构不能证明没有过错的应承担责任。(2)合理管理用户证书,保证证书效力,遇到可中止或撤销证书的情形应及时更新作废证书目录,并发出通知。
五、结论
基于数字证书的新型网上支付平台将数字证书的安全性和网上支付的便捷性结合,得到广泛应用。电子认证机构与作为证书用户的付款人和收款人之间成立服务合同关系,因未如实告知证书使用相关事项、泄露用户信息或未及时废止无效证书导致用户损失的,负违约责任。认证机构与作为证书信赖者的银行间,是法定信赖关系,若未尽合理注意义务,未谨慎审查用户信息或及时废止无效证书导致银行损失,不能证明自己无过错,且无免责事由的,负侵权责任。
