搜索
电子商务的安全问题研究前言:近年来,随着电子技术的发展,“电子商务”、“电子合同”等这类的词随处可见。的确,电子技术给我们的生活带来了很大的变化。我们现在可以实现网上购物;公司企业越来越重视网上销售和网上订货。这种新的交易方式的快速、便捷、高效率,满足了现代商业对交易效率的要求,使我们有理由相信,它还将继续深入我们的生活。但是,这种新的交易方式同时带给我们的,还有它与传统法律之间的种种不协调。在保证电子商务的高效率的同时,如何保障它的安全性,已经引起了人们的广泛关注。本文仅就电子商务的安全运营问题,从法律的角度进行一些初步的探索。一、电子商务概说(一)电子商务的概念电子商务出现于20世纪90年代,发展的时间并不长,但与传统商务相比,电子商务具有惊人的发展速度。据CNN公布的资料表明:1999年度全球电子商务销售额突破1400亿美元。[1]但是,究竟什么是电子商务呢?实际上,迄今为止,电子商务还没有一个被广泛接受的概念。[2]世界贸易组织(WTO)给电子商务下的定义为:电子商务是指以电子方式进行的商品和服务之生产、分配、市场营销、销售或交付。[3]经济合作发展组织(OECD)认为:电子商务是指商业交易,它包括组织与个人在基于文本、声音、可视化图象等在内的数字化数据传输与处理方面的商业活动。[4]世界各国对电子商务的理解也不尽相同。尽管电子商务的定义在内容上各有侧重,但是笔者认为对于电子商务的内涵,一般应至少包括下列三方面的内容:(1)使用电子工具,借助互联网传输信息;(2)在公开环境下交易;(3)依靠一定的技术规范和技术标准,利用数据化的信息来进行交易。电子商务使用的网络类型主要有三种形式:EDI网络,INTRANET网络和INTERNET网络。由于EDI是专线网络,而INTRANET是企业内部网,其安全性较好,对传统法律规范体系的冲击相对于INTERNET要小得多,因而本文讨论的电子商务主要是指借助于INTERNET网络的电子商务。(二)电子商务的特点与传统商务相比,电子商务具有许多特点:其一,电子商务是在公开环境下进行的交易,其可以在全球范围内进行交易。由于借助互联网,这就使得经济交易突破了空间的限制;公开环境下的信息公开,使所有的企业可以平等地参与市场竞争。其二,在电子商务中,电子数据的传递、编制、发送、接收都由精密的电脑程序完成,更加精确、可靠。其三,电子商务是一种快速、便捷、高效的交易方式。在电子商务中,信息的传递通过网络完成,速度很快,可以节省宝贵的交易时间。上述特点,是电子商务独有的,传统商务无法实现。(三)电子商务的安全性要求电子商务,作为一种新的经济交易方式,它只是在表现形式上与传统商业不同,但是这并没有改变其商业属性,这就要求电子商务的运作必须遵循商业活动的一般规律[5],否则,电子商务是无法发展的。安全与效率,是一切经济交易必须考虑的两个问题。电子商务的存在与发展也必须满足这两个要求。对于电子商务而言,其高效性已经得到了人们充分的认可。但是,安全性呢?电子商务作为一种新生事物,世界各国都尚未形成成熟的安全运营模式。如何在网络环境下,构建与传统法律价值接近的规则体系,已经越来越为人们所关注。从传统商业与电子商务的不同特点来看,要满足电子商务的安全性要求,至少要有下面几个问题需要解决:1、交易前交易双方身份的认证问题。电子商务是建立在互联网络平台上的虚拟空间中的商务活动,交易的当事人可能处在不同的国家,他们并不直接见面,双方只能通过数据、符号、信号等进行判断、选择,具体的商业行为也依靠电子信号和数据的交流,交易的当事人再也无法用传统商务中的方法来保障交易的安全。2、交易中电子合同的法律效力问题以及完整性保密性问题。在传统国际贸易法中,合同形式要求为书面,而电子商务中的合同是电子合同,与传统的书面形式存在很大的不同,其法律效力如何取决于法律的有关规定。而且,由于电子商务所依赖的互联网平台本身具有开放性的特点,交易双方的数据如何避免被他人截取和篡改,以保证其完整性和保密性,这都是电子商务发展必须面对和解决的问题。3、交易后电子记录的证据力问题。在英美法系,传闻证据规则限制了电子记录的证据力。在我国,诉讼法中并未对电子记录的证据力作出明确规定,甚至也没有将其单列出来作为证据的一种。上述这些问题,已经对传统法律制度造成了冲击,也是实现电子商务安全所必须解决的问题。笔者将针对这些问题,从技术安全、组织安全、法律安全三个角度,对电子商务的安全运营问题进行解析。二、电子商务的技术安全-信息加密及电子签名问题电子商务的发展是计算机技术发展的结果,其安全保障归根到底要依赖于技术的进步。特别是信息的完整性保密性方面,更需要技术层面的支持,即信息加密技术和电子签名问题。(一)信息加密技术由于电子商务是借助INTERNET平台运作的,而INTERNET网络本身具有开放性的特点,因而安全性方面存在先天不足[6].而交易双方在交易过程中,都希望信息不会被他人篡改和截取。信息加密技术正是针对这个问题的技术解决方案。简单的说,信息加密技术,就是把要传递的信息在传递时按照一定的规则将其转变为错乱的内容(即加密),在对方接收时,再通过解密程序将乱码清除,即可得到原来的完整的信息,这一过程就是解密。这样,第三方即使截取了信息,也无法获悉其中的内容。(二)电子签名问题1、传统签名及其作用在传统商务中,大多数国家都要求合同的当事人在书面上签名或者盖章。这种签名或盖章主要有以下三个作用:一为表明文件的来源;二为表明签字者已确认文件所载之内容;三为构成证明签字者对文件内容之正确性和完整性而负责任的证据。[7]在传统商务中,由于这种手写签名的独特性,所以我国和大多数国家都把它作为使书面合同有效的一个必要条件[8].2、电子签名及其方法在电子商务中,交易的平台是互联网,传统的签名已经无法实现其作用。尽管我国《合同法》第三十三条规定了一个补救的方法-“当事人采用信件、数据电文等形式订立合同的,可以在合同成立之前要求签定确认书”,但实际上,这一做法将大大降低电子商务的效率,因而不足取。真正把传统签名的作用与电子商务的互联网运作平台结合起来的,是电子签名。电子签名,是指在一个数据信息中或附在其后或逻辑上与其有联系的电子形式的签名[9].其在形式上,与传统签名差别很大,但在功能上,两者却很接近,都是用来鉴别合同的当事人并表明其同意该数据信息的内容。与传统签名相比,电子签名是一个更复杂的问题,它涉及大量的技术问题。到目前为止,电子签名已经有对称密码、不对称密码、笔迹、生物特征密码等方式。目前,采用较多的是不对称密码。在不对称密码的方式下,加密和解密的钥匙不同,一旦信息被加密,加密钥匙不能解密该信息,只能用解密钥匙才能解密。这样人们就可以广泛分发公开钥匙,而只需保留那么秘密钥匙即可。[10]但是,这种做法并不是绝对安全的,因为秘密钥匙是可能被人破译的,而且我们相信,随着技术的进步,这种方法将会越来越不安全。生物特征密码、笔迹密码是相对安全的方法,但是这种辨别技术的成本很高,目前还无法推广普及。三、电子商务的组织安全-电子认证问题在电子商务中,交易平台是互联网,交易的双方只能通过数据信息来了解对方,而不能像传统商务中交易的当事人可以通过面对面的接触来了解对方。这样,交易双方的信任很难建立起来。这就需要有专门的组织机构来为交易的当事人进行信任保证,以帮助双方建立信任,促成交易。电子认证机构就是这样的机构,它为电子商务的发展提供了组织安全。(一)电子认证及其功能认证,按美国国际贸易文件国家委员会所下的定义,即为“在某法令、记录或其他书面文件的经核准的文本上赋以法律证明,以便将其作为法律可采纳的证据来提供的某种行为或方式”。[11]电子认证,是以特定的机构,对电子签名及其签署者的真实性,进行验证的具有法律意义的服务。[12]与电子签名一样,电子认证也是电子商务中的安全保障机制。但两者的具体功能是不同的。电子签名侧重于解决身份辨别与文件归属问题,使数据信息不被否认或者篡改,主要是技术手段上的保证;而电子认证,则侧重解决的是交易人的交易人的可信度问题,主要应用于交易关系的信用安全方面,是一种组织制度上的保证。电子认证,从根本上说,是一种服务,其通过对交易各方的身份、资信进行认定,对外,防范交易当事人以外的人故意入侵而造成风险,从而防止欺诈的发生;对内防止当事人的否认,以避免当事人之间的误解或抵赖,从而减少交易风险,维护电子交易的安全,保障电子商务活动顺利进行。(二)电子认证机构及其职责电子认证是通过特定机构来完成的,这个特定机构就是认证机构。它是电子商务中对用户的电子签名颁发数字证书的机构,它已经成为开放性电子商务活动中不可缺少的信用服务机构。[13]作为在电子交易中提供信用服务的机构,认证机构必须具有独立性,应是一个独立的法律实体,并具有中立性、可靠性,因此其人员组成、资金设备等都应符合一定的要求,以便能够为商业交易提供一个公正的交易环境。在电子商务中,电子认证机构要承担下列职责:“(1)监督登记者按照规定办理登记、变更、注销手续;(2)监督登记者按照电子商务的有关法律、法规合法从事经营活动;(3)制止和查处登记者的违法交易活动,保护交易人的合法权益。”[14]鉴于其在电子商务中的作用,电子认证机构必须忠实地履行其职责,中立地进行工作,对电子交易秩序和交易安全负责。(三)电子商务认证系统的几种模式目前,在认证机构的管理与选任上,大致有几种作法:1、政府主导的电子商务认证体系该体系是由政府出面对认证机构进行管理,规定认证机构必须具备的条件和应承担的责任,并且在法律上推定经认证机构核实的电子签名具有证据力。2、行业协会主导的电子商务认证体系该体系是由认证机构协会负责制订认证机构必须遵守的行业规范,并由其负责对各认证机构进行监督。这种作法强调的是行业自律,但是在具体实施过程中,行业协会如何产生,以及经认证机构协会批准的认证机构核实的电子签名证据力如何,还有待于相关法律的规定。3、当事人自由约定的电子商务认证体系该体系没有规定认证机构的行业规则,在实践中,当事人可以自由约定采用何种方式的电子签名,也可约定选用哪个认证机构,具体的权利义务完全由当事人双方自由商定。这种作法给了当事人最大的自主性,适应了技术发展的灵活性,但是势力弱小的消费者,很难在风险责任分担中起作用,而且各认证机构规则不统一,认证结果通用性差。在我国目前国情下,商家的商业信誉不够,完全采用当事人自由约定的电子商务认证体系是不合适的。[15]四、电子商务的法律安全-电子合同的法律效力要保证电子商务的安全运营,法律的保障是不容忽略的。而且,技术支持和组织保障最后都需要由法律来规定其效力。合同是商业交易的内容,随着电子商务的发展,许多国家都运用法律手段来确定电子合同的效力。美国、欧盟等有关电子商务的法律文件都对电子合同进行了规范,我国《合同法》[16]也顺应时代发展的潮流,对电子合同这种新型合同形式也作了一些简单的规定。笔者将围绕电子合同问题,对电子商务的法律安全进行阐述。(一)电子合同的形式及法律效力我国《合同法》第十条规定:当事人订立合同,有书面形式、口头形式和其他形式。第十一条规定:书面形式是指合同书、信件和数据电文(包括电报、电传、传真、电子数据交换和电子邮件)等可以有形地表现所载内容的形式。这说明我国已经承认了电子合同的法律效力,并规定电子合同形式为书面形式。这种规定虽很简单,但对于我国电子商务的发展却是意义深远。联合国国际贸易法委员会在96年12月通过的《电子商业示范法》第6条中写明:“如果法律要求信息须采用书面形式,则假若一项数据电文所包含信息可以调取以备日后查用,即满足了该项要求。”并且在第11条中规定:“就合同的订立而言,除非当事各方另有协议,一项要约以及对要约的承诺均可通过数据电文的手段表示。如使用了一项数据电文来订立合同,则不得仅仅以使用了数据电文为理由而否定该合同的有效性或可执行性。”[17]美国的《统一电子交易法》中也有类似的规定。[18]以上这些法律文件实际上已经承认了电子合同,并且赋