第第頁對我國金融電子認證法律制度的思考【內容提要】電子認證是保障電子金融安全的重要手段，電子認證中心是電子金融安全體系中的重要信用服務機構。應當通過對我國金融電子認證法律制度的建立與完善，保障和鼓勵我國電子金融的安全發展。

【摘要題】立法研究

【關鍵詞】金融電子認證/法律制度/電子金融立法

互聯網絡與電子商務的蓬勃發展，正促使包括金融業在內的各個產業均在以互聯網為基礎重新構建核心競爭力。在我國，互聯網絡的蓬勃發展也帶來了電子金融業務的飛速發展。網絡交易的特點在于其無形性，一切信息均以計算機數據的形式在網絡之間傳遞。由于網絡空間的虛擬狀態，商業信譽、個人信用對網絡交易方難起傳統意義上的約束力。如何確保交易對方的主體資格以及交易數據資料的安全，是每個網絡交易主體極為關注的問題。對于以“安全性”作為最主要經營原則之一的金融機構而言，開展網絡金融業務在面臨巨大的市場機遇的同時也意味著更大的金融風險。由于絕大部分網絡交易都需要運用網上支付系統，因此降低電子金融風險對于整個電子商務市場也具有重要意義。為保障網上金融業務的安全性，金融電子認證中心作為電子商務和網上銀行交易的權威性、可信賴性及公正性的新型第三方機構，通過電子認證手段在網上金融交易安全體系中發揮著無可替代的作用。基于金融電子認證在電子金融發展中的重要作用，建立與完善我國金融電子認證法律制度，對于我國金融的穩健安全發展和互聯網絡向現實生產力的轉化具有重要意義。

一、數字證書與金融電子認證機構的作用

為了保證互聯網上電子交易的安全性(包括信息的保密性、真實完整性和不可否認性)，防范交易及支付過程中的欺詐行為，除了在信息傳輸過程中采用更強的加密算法等措施之外，還必須在網上建立一種信任及信任驗證機制，使交易及支付各方能夠確認其他各方的身份，這就要求參加電子商務的各方必須有一個可以被驗證的身份標識，即數字證書。數字證書是各實體(消費者、商戶、企業、金融機構等)在網上進行信息交流及商務活動的身份證明，在電子交易的各個環節，交易的各方都需驗證對方數字證書的有效性，從而解決相互間的信任問題。CA是電子認證中心(CertificationAuthority)的縮寫，其為電子商務環境中各個實體頒發數字證書，以證明各實體身份的真實性，并負責在交易中檢驗和管理證書；它是電子商務和網上銀行交易的權威性、可信賴性及公正性的第三方機構。

網上金融業務的開展使得金融機構在新的經營環境下面臨更加復雜的風險威脅，包括由于網絡主體欺詐、信息傳輸安全、對信息內容的惡意否認等所造成的信用風險和操作風險。中國人民銀行2001年7月9日發布的《網上銀行業務管理暫行辦法》第17條規定：“銀行應采用合適的加密技術和措施，以確保通過網絡傳輸信息的完整性和交易的不可否認性。”我國證券管理監督委員會2000年3月30日發布實施的《網上證券委托暫行管理辦法》第18條也規定：“證券公司應采用可靠的技術或管理措施，正確識別網上投資者的身份，防止仿冒客戶身份或證券公司身份；必須有防止事后否認的技術或措施。”而在保障電子金融主體的身份真實性和交易信息完整性與不可否認性方面，金融電子認證中心所提供的認證服務至關重要。

金融認證中心(FinanceCertificateAuthority)作為一個權威的、可信賴的、公正的第三方信任機構，專門負責為金融業的各種認證需求提供證書服務，包括電子商務、網上銀行、網上證券交易、支付系統和管理信息系統等，為參與網上交易的各方提供安全的基礎，建立彼此信任的機制。對于網上銀行、網上證券委托交易等網絡金融業務，金融認證中心為網絡應用提供身份認證、信息加密、數字簽名、身份控制等多種服務。由于在互聯網上進行的金融交易不同于一般的面對面交易，交易雙方無法確認對方的身份，因此必須通過CA使用數字證書來進行身份認證，以防止相互猜疑、冒名頂替以及惡意攻擊者的造假行為。同時，還可以通過用戶的證書進行ACL控制(為該用戶在應用系統中賦予相應的權限)，以進行用戶的資格認證。網上銀行業務、證券交易中的數據均有保密的要求，如銀行帳號、信用卡帳號、股東代碼、交易信息等，信息存放在本地或進行交易傳輸時，必須采用高強度的加密手段，以保證信息不被竊取。信息的加密包括對存放信息以及交易信息的加密；在網上交易的各個環節中，各種確認信息要保證事后不能抵賴。通過認證中心配發給交易雙方用戶的簽名私鑰對信息進行數字簽名，以保證信息事后的不可否認性；為了避免在傳輸過程中的數據信息被惡意攻擊者篡改，要采用證書機制對數據項進行數字簽名，以保證交易信息的完整性。因此金融電子認證中心已成為開放性電子金融活動中不可缺少的中介服務機構。2000年6月29日，中國第一家金融認證中心——中國金融認證中心(CFCA)正式掛牌，標志著中國正式開始了CA的認證工作。中國金融認證中心(金融CA)是由中國人民銀行牽頭，中國工商銀行、中國銀行、中國農業銀行、中國建設銀行、交通銀行、招商銀行、中信實業銀行、華夏銀行、廣東發展銀行、深圳發展銀行、光大銀行、民生銀行等十二家商業銀行聯合共建，專門負責為金融業的各種認證需求提供證書服務。

二、金融電子認證服務與認證機構的性質及其引發的法律問題

金融電子認證實質上是一種信用服務。其所提供的服務成果，又是一些無形的信息，如交易相對人的身份、公開密鑰、信用狀況等商業情報。而這些信息在開放型電子商務環境中又是進行交易所必須的前提條件。電子認證所頒發的數字證書是面向公眾使用的，其認證信息是經過核實的真實的信息，記載于數字證書并利用認證機構在某一領域的公信力受公眾的信賴。而金融電子認證機構則是作為一種獨立的第三方認證機構，在電子金融等電子商務交易雙方中充當信息鑒定的角色。金融認證機構并不直接從事融資業務，因此不能將其歸屬于嚴格的“金融機構”范疇。但由于它為電子金融業務提供直接服務，因此其市場準入與業務活動必須納入金融監管范圍。這也與證券監管機構對于證券中介服務機構、保險監管機構對于保險公估機構的監管具有相同的法理基礎。

金融電子認證機構在從事認證過程中會面臨許多潛在風險。其風險種類主要有：(1)運用技術過失致使數字記錄丟失；(2)對信息未進行嚴格審查致使證書含虛假陳述，第三人信賴其陳述，并基于證書的等級進行交易，將損壞認證機構的可信度；(3)未經過合理適當的辨別而終止或撤銷證書；(4)由于服務器故障或周期性離線修整而造成認證服務中斷；(5)內部人員即認證機構有權訪問證書數據庫的雇員制作虛假證書或涂改證書記錄；(6)外部人員使用多種方法改造認證機構的通用協議；(7)作為網絡機構隨著技術更新其淘汰率高，服務可能難以長期維持，但是某些長期證書的管理又需要服務一直持續下去不能中斷，等等。(注：參見周忠海主編：《電子商務法導論》，北京郵電大學出版社2000年版，第65頁。)

由上述認證機構的性質與風險分析可以看出，金融電子認證的產生與發展將引發金融領域的許多新型法律問題，主要包括：其一，金融數字證書與金融電子認證機構的法律地位以及對金融電子認證的法律監管應得到立法規范，否則無法引導與保障金融電子認證的有序發展。其二，金融電子認證所面臨的風險將引發認證機構的責任問題，因為機構極有可能在某些場合給證書持有人或證書信賴人造成損失。其三，金融電子認證機構作為一個對電子金融市場具有重大價值的新型信用服務主體，在金融電子認證領域面臨許多現實的或潛在的執業風險，如何鼓勵其運行與發展。其四，金融電子認證所應實現的服務標準或技術標準應有相應的規范與完善，以真正達到保障電子金融安全的目的與價值。

上述法律問題的實質是網絡化帶來的新社會關系對于金融法律制度的新挑戰。正是基于以上法律問題，筆者認為，對于在電子金融中保障網絡交易安全以及信用制度起非常重要作用的金融電子認證，應在未來的金融立法中占據應有的地位。

三、金融電子認證法律制度的價值

從價值論角度分析金融電子認證法律制度的必要性或者說效用性，是建立與完善相應制度的理論前提。正如博登海默所言，價值判斷在法律制度中所起的主要作用在于它們被整合進了各種法律規范之中，在使用與解釋這些規范時，往往必須弄清楚它們得以頒布與認可所賴以為基礎的目的和價值論方面的考慮。(注：引自(美)E.博登海默著：《法理學、法律哲學與法律方法》，鄧正來譯，中國政法大學出版社1999年版，第504頁。)因此價值是一個法律制度存在與發展的前提與基礎，而價值分析則是法律制度理論研究中的重要領域。法的實質價值目標主要包含安全、自由、平等、效率等四大主要價值。(注：參見李步云主編：《法理學》，經濟科學出版社2001年版，第61頁。)金融電子認證法律制度對于電子金融交易主體以及整個金融秩序的法律價值也主要體現在這幾個方面。

1995年10月全球第一家網絡銀行“安全第一銀行”(SecurityFirstNetworkBank)在美國誕生。它的命名深刻體現了安全性是電子金融市場追求的首要價值目標。金融電子認證法律制度的建立與完善能通過對金融CA的執業活動的規范促進其維護電子金融安全價值的最大實現，為商業銀行等金融機構在網絡環境下遵循“安全性”經營準則提供有效的法律與技術支持，從而為整個電子金融市場的穩健安全發展提供了保障。完善的法律規制下所提供的合格金融電子認證服務能通過對交易信息安全的保障來實現電子金融市場各主體之間的自由、平等交易。此外，通過相應法律制度對金融電子認證所應實現的標準作出規范，能進一步提供金融機構在網絡環境下的經營效率，同時也有利于金融監管機構對于電子金融業務的監管效率。網絡金融服務是新世紀金融創新和金融信息化發展的主戰場，通過發展電子金融，提升金融效率、創新金融產品、強化金融監管，提高金融對經濟資源的配置效率，提高金融行業的競爭力，已經成為我國各方面人士的共識。加入WTO后，網絡銀行業務的競爭將是我國銀行業面臨的最先沖擊。加快網絡金融業的發展，提高金融業的整體競爭力，已勢在必行。(注：引自2001年4月人民銀行總行行長戴相龍在“網絡經濟與經濟治理”研討會上的發言稿。)基于金融電子認證法律制度對于電子金融市場的重要價值存在，其建立與完善理所當然應成為電子金融法律環境建設工作中的重要組成部分。

當然對金融電子認證法律制度進行價值或必要性分析的另一方面問題是是否有必要從金融法領域建立與完善關于金融電子認證的特別規定。也就是說，關于電子認證的相關法律規定(這在我國未來的電子商務立法中顯然會是重要部分)是否已經足以調整金融電子認證法律關系。鑒于金融領域的特殊風險或者金融市場對于社會經濟的特殊價值，使得金融電子認證既具有一般電子認證的共性，又有其獨具的特點。在一般性法律關于普通電子認證的規定基礎上，從金融法領域建立起關于金融電子認證的特別法律制度體系，更有利于對金融電子認證關系的全面有效調整和維護電子金融市場的穩定，這也更能滿足市場經濟對于金融相關機構所提出的特殊社會要求。我國在公司法證券法有關信息披露的規定基礎上又建立了專門針對商業銀行的特別信息披露制度就是一個類似的例證。因此建立與完善金融電子認證特別法律制度有充分的必要性。更何況我國電子商務立法議程尚未明朗，在缺乏法律調整依據的情況下迅速建立金融電子認證法律制度對于鼓勵與保障電子金融的發展具有更加重要的現實意義。

四、對建立與完善我國金融電子認證法律制度的理論思考

結合對我國電子金融發展及法律環境的現狀分析，筆者認為，我國應通過積極的電子金融立法來建立與完善金融電子認證法律制度，以維護電子金融安全，鼓勵依托網絡的金融創新，促進中國金融機構效益性與競爭力的提升。

首先，從立法思路上而言，應當借鑒我國已有的成功金融立法經驗。鑒于對金融認證領域的迫切調整要求，我國應盡快通過較低層次的立法對金融電子認證及金融CA的法律地位、效力及準入條件、服務標準等基本問題作出規定，待條件成熟后再將相關規定轉化為高層次立法。這也是中國網絡法領域的成功經驗。如針對域名爭議解決，我國已經逐漸接受了通過域名管理機構所指定的域名爭議解決機構成立專家組對域名爭議進行非終局性裁決這一新型機制，而2002年3月信息產業部通過的《中國互聯網絡域名管理辦法》這一部門規章(雖然法律效力層次較低)中就明文肯定了這種機制的法律地位，以鼓勵其發展。在金融法領域，中國人民銀行頒布的《商業銀行信息披露管理暫行辦法》、《網上銀行業務管理暫行辦法》、中國保險監督管理委員會頒布的《保險公估機構管理規定》等都是近一兩年來針對有迫切調整要求的金融領域的特別立法。因此對于需要先行立法來滿足調整要求的金融電子認證領域，應同樣采取開放、快速的立法思路。

其次，應從立法上為金融電子認證機構設置科學合理的法律責任機制明確設定一些金融電子認證機構的積極責任，以促進電子認證機構遵守執業規則，向社會公眾提供可信賴的證實真實可靠信息的數字證書，以保障電子金融業務的安全性并促進網絡信用制度的建設。其中應至少具備以下的一些責任機制：1、對證書信賴人因信賴證書而遭受的損失應實行金融CA過錯損害賠償制，即認證機構應對其錯證行為承擔過錯責任。顯然對金融CA這種中介服務機構而言，建立損害賠償機制是必然趨勢。就電子認證機構而言，其與證書用戶之間是認證服務合同責任，其與非證書用戶的證書信賴人之間是一種職業責任，對兩種義務的損害均需負賠償責任。但對于金融中介信用服務機構而言，這種損害賠償責任應以存在過錯為前提。我國《證券法》規定為證券的發行、上市或者證券交易活動出具審計報告、資產評估報告或者法律意見書等文件的中介服務機構就其所應負責的內容弄虛作假的，應對其造成的損失承擔連帶賠償責任。(注：見《證券法》第202條。)中國保監會2001年11月16日頒布的《保險公估機構管理規定》第6條規定：保險公估機構因自身過錯給保險當事人造成損害的應當依法承擔相應的法律責任，再次體現了我國對于新型金融中介信用服務機構損害賠償責任的立法取向。從法律關系上分析，金融CA與作為證書持有人(證書用戶)的證書信賴人之間是一種認證服務合同關系，其對錯證理應承擔違約責任。根據《合同法》第107條所確定的合同違約責任歸責原則實際上是無過錯原則，即不管當事人違約是因自己還是因他人造成，均應對另一方當事人承擔違約責任。這種歸責原則，對于將時刻面對數以萬計的網上用戶，要根據數十萬真偽難辨的信息進行認證的金融CA而言是難以負荷的。同其他第三方認證機構一樣，電子認證機構所可能做到的只是合理謹慎地根據已有信息進行身份或信息鑒定。基于其頒發證書的公示性，對于因自己未盡合理謹慎義務而故意或過失頒發錯誤數字證書造成用戶損失時，認證機構理所當然應承擔損害賠償責任；如果是由于外部人員運用先進技術非法攻擊、網絡不運作、信息提供人故意或過失提供錯誤信息等他人原因造成錯誤的，基于公平原則，這種責任不應再由面臨過多風險的金融CA來承擔，而只能由侵權人承擔。另一方面，金融CA與非證書持有人的證書信賴人之間無直接合同關系，而只是一種職業責任，那么認證機構所可能承擔的便只是侵權責任，并且認證機構的錯證行為對證書信賴人因信賴證書而承受的損失而言只是一種間接原因，兩者之間并無必然因果關系，因而只能實行過錯責任制，并且認證機構無須負全部責任，僅須就直接侵權人所無法承擔的部分負責。(注：參見王利明、楊立新編著：《侵權行為法》，法律出版社1996年版，第64頁。)因此，在未來的電子金融立法中，應以特別法的形式規定金融CA對錯證所造成證書信賴人的損失承擔損害賠償的過錯責任制，并且應實行推定過錯制，即須金融CA證明自己有無過錯，而不能將此舉證責任由處于技術弱勢地位的證書信賴人完成。并且立法中對錯證行為也應有明確的定義。損害賠償制要得以實施，還需立法上對金融CA承擔民事責任的能力作出保障，如規定注冊資本的下限限額、從認證費用中提取一定比例風險準備金制度等等。2、保密責任與協助司法責任責任：金融CA作為金融領域的電子信息服務機構，其所建立的龐大的數據庫系統所面臨的首要責任便是對用戶私人數據的保密義務，商業秘密、個人秘密的保護是信息服務機構的重要義務。包括代碼、密碼、運算規則、私人暗碼等在內的特殊數據都是解讀信息或電子通信所必須的也是認證機構需嚴格進行管理與保護的對象。即需立法上明確規定認證機構作為超然于交易雙方利益之外的第三方，應對所管理的交易雙方的信息資料等商業秘密負有嚴格的職業保密義務，對交易主體個人數據或記名數據的處理應負有重大的安全義務，并通過自己的認證服務，為交易主體提供關于交易安全性的真實信息。但另一方面，私人數據的保護還面臨與國家安全利益保障的沖突。從立法上應明確，金融CA在保障信息安全的同時，又負有協助司法或行政機關根據法定程序進入加密信息，進行保護國家利益方面的舉證的責任。也就是說，認證信息的安全體制將受到與國家安全或刑事訴訟程序相關的強制性規定的限制，同時立法應予明確的是，認證機構在依法定程序向司法機關交出“密鑰”的情況下，應負有將此事實向用戶通知的義務，以保障個人數據與通信秘密的尊嚴。3、風險揭示責任：鑒于金融電子認證所存在的大量風險，認證機構應積極作為以提示證書依賴人可能遭遇的風險。風險揭示雖不能作為認證機構免責的依據，但可避免信賴人對認證機構苛求過重的責任。4、積極技術責任：對金融CA的服務技術標準作出規定是必不可少的。金融CA的服務既需要滿足一般認證機構的服務標準，又要符合金融領域的特殊要求，因此其技術責任應緊密聯系金融領域的有關國際管理標準。

再次，應規定鼓勵金融CA發展的責任機制與措施。為避免金融CA承擔過重責任而限制了自身發展，從立法上又需設定對認證機構的責任限制的規定，以使其維持不過高的運營成本，為電子金融安全提供可靠的認證服務。這些責任限制手段有包括以下所述在內的多種方式：1、規定認證機構對損害賠償的“先訴抗辯權”，即盡管認證機構的行為存在過錯，證書依賴人在證書使用限制范圍內，因依賴證書而在交易中遭受損失，但在受損失人采取一切救濟手段(包括經審判并強制執行)尚不能從直接侵權人處獲得充分賠償之前，認證機構可以拒絕承擔責任。這樣可以促使責任在認證機構與真正侵權人之間進行更為合理公平的分配。2、應允許金融CA在認證證書上注明使用限制(包括對交易價值的限制)，如果這些限制明確無歧義，認證機構可以不對由于無視這些限制而產生的損失負責。例如美國尤他州《數字簽名法》第308條規定，即使認證機構存在虛假陳述，