《電子簽名法》對我國網(wǎng)上銀行的影響及對策TC"《電子簽名法》對我國網(wǎng)上銀行的影響及對策"\fC引言：本文介紹了我國最近開始實施的《電子簽名法》的主要內(nèi)容，考察了當前網(wǎng)上銀行電子簽名存在的主要問題并提出相應的對策，以期對我行以后網(wǎng)上銀行的建設提供借鑒。最后，本文簡要地指出了該法對我行資金交易業(yè)務的影響。網(wǎng)上銀行是指通過Internet提供各項銀行服務，它是20世紀金融領(lǐng)域出現(xiàn)的最具影響力的創(chuàng)新之一。網(wǎng)上銀行因具備低成本、高效率等特點，在國內(nèi)外迅速發(fā)展。目前我國主要商業(yè)銀行都開辦了網(wǎng)上銀行業(yè)務。然而，由于網(wǎng)上銀行是基于開放的Internet環(huán)境，使其面臨著巨大的安全隱患。為了有效識別網(wǎng)上銀行客戶身份，各家網(wǎng)上銀行都實施了一定的安全認證技術(shù)，基本保證了網(wǎng)上銀行的安全運行。同時，各發(fā)達國家的政府也都分別出臺了相關(guān)的法規(guī)，從制度上保障了網(wǎng)上銀行安全措施的法律效力。

為規(guī)范電子商務行為、給電子商務發(fā)展提供必要的法律保障，在經(jīng)過數(shù)年的醞釀和準備之后，我國從2003年4月開始了電子簽名法的起草工作。2004年4月2日，十屆全國人大常委會第八次會議首次對電子簽名法草案進行了審議，中間又經(jīng)過兩次修改和審議，最終在8月28日通過了《電子簽名法》，并決定于2005年4月1日起實施。這是一部我國銀行界期盼已久的法律，一部對金融界影響巨大的法律?！峨娮雍灻ā返念C布實施，從法律上確認了網(wǎng)上銀行電子簽名的法律效力，并對電子簽名和認證機構(gòu)進行規(guī)范，這必將對我國網(wǎng)上銀行的建設和完善起到重要的推動和保障作用。一、《電子簽名法》的主要內(nèi)容1、明確了電子簽名的法律效力?！峨娮雍灻ā访鞔_規(guī)定“民事活動中的合同或者其他文件、單證等文書，當事人可以約定使用或者不使用電子簽名、數(shù)據(jù)電文。當事人約定使用電子簽名、數(shù)據(jù)電文的文書，不得僅因為其采用電子簽名、數(shù)據(jù)電文的形式而否定其法律效力?！边@樣，電子簽名便具有與手寫簽字或者蓋章同等的法律效力；同時承認電子文件與書面文書具有同等效力，從而使現(xiàn)行的民商事法律可以適用于電子文件。2、明確了電子簽名所需要的技術(shù)和法理條件。電子簽名必須同時符合“電子簽名制作數(shù)據(jù)用于電子簽名時，屬于電子簽名人專有”、“簽署時電子簽名制作數(shù)據(jù)僅由電子簽名人控制”、“簽署后對電子簽名內(nèi)容和形式的任何改動能夠被發(fā)現(xiàn)”等若干條件，才能被視為可靠的電子簽名。這一條款為確保電子簽名安全、準確以及防范欺詐行為提供了嚴格的、具有可操作性的法律規(guī)定。3、對電子商務認證機構(gòu)和行為做了規(guī)定。電子商務需要第三方對電子簽名人的身份進行認證，這個第三方稱為電子認證服務機構(gòu)。認證機構(gòu)的可靠與否但在網(wǎng)上銀行的實際運作過程中，即使采用了具備法律效力的數(shù)字證書，現(xiàn)行的網(wǎng)上銀行服務仍然存在著一些隱患亟待改正。１、用戶安全教育的缺失

作為網(wǎng)上銀行識別用戶身份的一個重要手段，數(shù)字證書的作用、正確的使用方法等首先應該清楚地向用戶說明。雖然大多數(shù)網(wǎng)上銀行已經(jīng)能夠提供數(shù)字證書的使用，但事實上大多數(shù)用戶卻很難了解具有相當技術(shù)含量的數(shù)字證書的完整含義。在大多數(shù)使用數(shù)字證書的網(wǎng)上銀行網(wǎng)站上，只有在類似“熱點問題解答”的網(wǎng)頁中才有客戶證書的介紹，而對其重要性、法律效力等卻未充分說明。這樣，一旦銀行與用戶之間因為安全問題發(fā)生糾紛，網(wǎng)上銀行將會因為沒有明確告知用戶數(shù)字證書的重要意義而處于十分不利的境地。而那些沒有使用數(shù)字證書的網(wǎng)上銀行，并沒有充分提醒用戶單一密碼認證的安全性問題，這種不負責任的態(tài)度，也值得各家銀行反思。各家網(wǎng)上銀行應當從為用戶服務的角度出發(fā)，切實保障用戶資金轉(zhuǎn)移的安全性。２、傳統(tǒng)數(shù)字證書使用方法中的安全隱患

數(shù)字證書作為用戶身份證明的一種手段，在具備了法律效力后，原有的使用方式就應該相應地做出調(diào)整。傳統(tǒng)網(wǎng)上銀行提供的數(shù)字證書主要存放在IE瀏覽器、IC卡和USB－Key等幾種介質(zhì)中。其中安全隱患最大的當屬IE瀏覽器。這種方式是用戶通過互聯(lián)網(wǎng)將數(shù)字證書下載到本地計算機中，然后將證書導入到瀏覽器中進行用戶身份的識別。同樣地，導入到瀏覽器中的證書也可以被導出備份，并且備份的證書中包含了私人信息。這就意味著，如果用戶使用公共計算機或者由于自己的計算機被他人使用而導致客戶證書被盜，其后果將不堪設想。已通過的《電子簽名法》第十五條規(guī)定：“電子簽名人應當妥善保管電子簽名制作數(shù)據(jù)。電子簽名人知悉電子簽名制作數(shù)據(jù)已經(jīng)失密或者可能已經(jīng)失密時，應當及時告知有關(guān)各方，并終止使用該電子簽名制作數(shù)據(jù)?！钡诙邨l規(guī)定：“電子簽名人知悉電子簽名制作數(shù)據(jù)已經(jīng)失密或者可能已經(jīng)失密未及時告知有關(guān)各方、并終止使用電子簽名制作數(shù)據(jù)，未向電子認證服務提供者提供真實、完整和準確的信息，或者有其他過錯，給電子簽名依賴方、電子認證服務提供者造成損失的，承擔賠償責任?！边@兩條規(guī)定使用戶處于十分不利的境地。一般用戶可能由于計算機知識缺乏或疏忽大意，導致證書保管不善引發(fā)巨大風險。網(wǎng)上銀行向用戶提供完整的服務，理應考慮到瀏覽器存儲安全證書帶來的巨大安全隱患。然而，當前網(wǎng)上銀行大多未提供多種介質(zhì)的客戶證書使用方式。這顯然不能很好地適應《電子簽名法》的頒布實施，也難以適應用戶對于網(wǎng)上銀行安全性日益提高的要求。３．認證機構(gòu)的資質(zhì)問題

認證機構(gòu)是數(shù)字證書實現(xiàn)認證功能的重要一環(huán)。它作為獨立、可信的第三方，承擔著核對和驗證各網(wǎng)絡用戶方身份，頒發(fā)、維護和管理數(shù)字證書，提供數(shù)字證書服務，實現(xiàn)網(wǎng)上身份認證等許多重要的責任。認證機構(gòu)的資質(zhì)決定了其提供的數(shù)字證書的可靠性，沒有合格的認證機構(gòu)，安全可靠的數(shù)字證書就無從談起?！峨娮雍灻ā分须m然明確了認證機構(gòu)的準入機制，并規(guī)定了認證機構(gòu)應承擔的法律責任，但在《電子簽名法》頒布之前，國內(nèi)卻已經(jīng)建立起了為數(shù)眾多的認證機構(gòu)，且發(fā)展良莠不齊，甚至不具備條件的認證機構(gòu)也在提供著電子認證服務。特別是許多網(wǎng)上銀行自建認證機構(gòu)，既為自己的客戶發(fā)放證書，又與客戶進行交易，這樣，一旦發(fā)生交易爭端，將無法滿足《電子簽名法》的約束。雖然各網(wǎng)上銀行對其認證機構(gòu)的資質(zhì)大都言之鑿鑿，稱其為所謂的“可信機構(gòu)”，但由于之前國家沒有主管機構(gòu)，缺乏準入審批制度，對這些并不規(guī)范的認證機構(gòu)無法實現(xiàn)有效地監(jiān)管?！峨娮雍灻ā奉C布后，“無法可依”的狀況可望得到改觀，網(wǎng)上銀行也應該積極采取應對措施，提高認證機構(gòu)的透明度和資質(zhì)水平，以確保數(shù)字證書的安全可靠性。我國網(wǎng)上銀行貫徹《電子簽名法》的應對措施

鑒于當前網(wǎng)上銀行在使用數(shù)字證書中存在的種種問題，為了適應《電子簽名法》的要求，對商業(yè)銀行建設、完善網(wǎng)上銀行提出以下一些建議。１、出于用戶對安全性及保密性的需要，網(wǎng)上銀行應該統(tǒng)一使用數(shù)字證書。單一的密碼驗證難以適應電子商務迅速發(fā)展的需要，由于PKI技術(shù)的引入，使用數(shù)字證書在技術(shù)上已經(jīng)日趨成熟，而《電子簽名法》的頒布，又為其提供了可靠的法律依據(jù)。在技術(shù)和法制兩方面都比較成熟的情況下，我國網(wǎng)上銀行應該適應國際技術(shù)潮流，采用先進的認證技術(shù)是大勢所趨。同時，銀行也應積極向用戶宣傳數(shù)字證書的可靠性能及其重要作用，盡量在其網(wǎng)頁的醒目位置提醒用戶，使每個用戶對數(shù)字證書的使用、保管及其法律意義都有明確的認識。２、根據(jù)《電子簽名法》第二十七條規(guī)定，電子簽名的持有人應當妥善保管電子簽名的數(shù)據(jù)。這就意味著傳統(tǒng)意義上以IE瀏覽器作為介質(zhì)存放數(shù)字證書的做法已經(jīng)不能適應相關(guān)法規(guī)的要求。網(wǎng)上銀行應盡量減少數(shù)字證書的下載而采用較為安全的以IC卡或USB－Key為介質(zhì)的數(shù)字證書的存儲方式。雖然目前網(wǎng)上銀行提供以IC卡和USB－Key為介質(zhì)存儲數(shù)字證書一般都要收取一定的費用，然而只要網(wǎng)上銀行向用戶明確介紹使用數(shù)字證書的好處，并且告知用戶傳統(tǒng)下載方式在安全性方面的隱患，相信每一個用戶都愿意繳納一定的費用來享受更安全、可靠的服務。同時，對于采用以IC卡或USB－Key為介質(zhì)存儲的數(shù)字證書，銀行同樣要使用戶樹立充分的安全防患意識。告誡用戶盡量避免將IC卡或USB－Key介質(zhì)中的數(shù)字證書導入到IE瀏覽器中，即使一定要導入，也務必在使用后將導入到瀏覽器中的數(shù)字證書刪除，以確保萬無一失。

中國農(nóng)業(yè)銀行網(wǎng)上銀行是我國最早提供多種介質(zhì)存放數(shù)字證書的網(wǎng)上銀行之一，該行不但提供安全可靠的數(shù)字證書認證方式，并且向用戶提供了完備的安全防范手冊。在其網(wǎng)頁上可以下載到中國農(nóng)業(yè)銀行網(wǎng)上銀行《個人客戶證書操作指南》。該手冊向用戶完整地介紹了數(shù)字證書的含義、功能、使用方法等。在數(shù)字證書的維護方面也特別提到了“增加/修改/刪除IE瀏覽器證書口令”以及“在網(wǎng)吧等公共環(huán)境里使用計算機”等敏感的安全性問題。然而美中不足的是，在《電子簽名法》頒布后，該手冊沒能及時配合新法的出臺，提醒用戶重視數(shù)字證書的法律效力。盡管如此，中國農(nóng)業(yè)銀行網(wǎng)上銀行向用戶提供的《個人客戶證書操作指南》仍不失完美，值得業(yè)界借鑒。３、《電子簽名法》第二十八條規(guī)定：“電子簽名人或者電子簽名依賴方因依據(jù)電子認證服務提供者提供的電子簽名認證服務從事民事活動遭受損失，電子認證服務提供者不能證明自己無過錯的，承擔賠償責任?！痹凇峨娮雍灻ā奉C布后，網(wǎng)上銀行提供數(shù)字證書的認證機構(gòu)也相應受到法律的規(guī)范。雖然認證機構(gòu)的準入制度剛剛建立，該法頒布之前成立的認證機構(gòu)的資格難以判斷，但網(wǎng)上銀行也應努力提高其認證機構(gòu)的資質(zhì)水平以滿足《電子簽名法》對認證服務機構(gòu)所應具備的條件的規(guī)定。尤其應該杜絕那種自建認證機構(gòu)，自己為自己的客戶發(fā)放證書，既當“運動員”，又當“裁判員”的情況出現(xiàn)?！峨娮雍灻ā返诙粭l規(guī)定了數(shù)字證書的具體內(nèi)容，如電子認證服務提供者名稱、證書持有人名稱、證書序列號、證書有效期、證書持有人的電子簽名驗證數(shù)據(jù)、電子認證服務提供者的電子簽名等。網(wǎng)上銀行應該認真核實證書的內(nèi)容，確保其所提供的證書符合法律的相關(guān)規(guī)定。鑒于認證機構(gòu)本身的可靠性對保證電子簽名真實性和電子交易安全性起著關(guān)鍵作用，各網(wǎng)上銀行應當高度重視，增加認證機構(gòu)的透明度，做到公平、公正、公開，引入合法的認證機構(gòu)為用戶提供安全可靠的數(shù)字證書。４、除了數(shù)字證書的使用外，《電子簽名法》的頒布實施也會對我國網(wǎng)上銀行在其他方面的經(jīng)營改革起到積極的推動作用。首先，在《電子簽名法》頒布后，傳統(tǒng)的銀行票據(jù)由于具備了具有法律效力的電子簽名，使得網(wǎng)上交易結(jié)算活動可完全實現(xiàn)無紙化。網(wǎng)上銀行也應積極適應新形勢，以《電子簽名法》為依托，制定網(wǎng)上支付新規(guī)則，利用電子簽名，制作網(wǎng)上支票乃至其他銀行票據(jù)，以實現(xiàn)網(wǎng)上的快速資金結(jié)算。其次，電子簽名的出現(xiàn)使得傳統(tǒng)的紙質(zhì)合同能夠以電子文件的形式出現(xiàn)。具備法律效力的電子簽名一經(jīng)出現(xiàn)，便使得合同可在網(wǎng)上直接簽署。而在《電子簽名法》出臺之前，用戶在辦理網(wǎng)上銀行業(yè)務時往往需要到柜臺簽署一些相關(guān)協(xié)議。如果電子簽名使得諸如合同協(xié)議等文件都具備了法律效力，那么網(wǎng)上銀行就可以完全擺脫對傳統(tǒng)的柜臺方式的依賴，依托互聯(lián)網(wǎng)實現(xiàn)完整的網(wǎng)上銀行業(yè)務服務。

與網(wǎng)上銀行業(yè)務商業(yè)銀行作為服務提供方不同，在銀行資金交易業(yè)務中，商業(yè)銀行變成了網(wǎng)上交易服務的客戶方，并且由于實現(xiàn)了交易網(wǎng)絡專線化、獨立于互聯(lián)網(wǎng)，因此銀行資金交易業(yè)務的網(wǎng)絡安全問題得以較好地保證，其網(wǎng)絡風險遠遠低于網(wǎng)上銀行業(yè)務。事實上，在《電子簽名法》頒布實施之前，銀行間資金交易已經(jīng)形成了一套成熟的、適用于自身系統(tǒng)的專門性的規(guī)則，電子簽名作為一種約定做法和商業(yè)慣例而為各方所認可并一直在使用?！峨娮雍灻ā肥┬袑τ阢y行資金交易業(yè)務的意義在于，電子簽名的效力得以從約定做法和商業(yè)慣例提升到法律上的正式確認。商業(yè)銀行作為網(wǎng)上交易的客戶方，應妥善保管密碼及IC卡或USB－Key，區(qū)分前臺、中臺和后臺，嚴格遵守