认证机构所具有的功能可以包括证书管理(即证书的签发、中止、废止、公布与续展等)、金钥管理、个人识别密码的安全管理等。其职责大致可以归纳为:(1)证书的签发。认证机构应负责接收、验证用户(包括对下级认证机构和最终用户)对证书的申请,将申请的内容进行备案,并根据申请的内容确定是否受理该证书之申请。如果中心接受该证书之申请,则进一步确定给用户颁发何种类型的证书。证书签发实际上就是用认证机构的私钥对证书申请签名。证书以认证机构的私钥签发后,发送到目录服务器供用户下载和查询。认证机构通过向其用户提供可靠的目录,保证证书上用户名称与公钥是正确的,从而解决可能被欺骗的问题。(2)验证并标识证书申请者的身份。包括确保认证机构用于签名证书的非对称密钥的质量、整个鉴证过程的安全性及签名私钥的安全性;对证书材料信息的管理,确保证书主体的惟一性,防止重名。(3)保护证书库。证书库是证书的集中存放地,是网络的一种公共信息库,该证书库存放于指定的公开目录之下,一般用户可以从此处读取、拷贝证书,获得其他用户的证书和公钥。此系统有义务确保证书库的完整性,防止伪造和篡改证书。(4)私钥的管理及备份。各认证机构有不同的安全策略,有些认证机构要求对所有的私钥进行备份,有些认证机构则要求由证书持有人自己保管,认证机构不留任何备份。有些认证机构则根据用户的要求提供不同的服务。对私钥的管理一般包括以下内容:A.访问限制。严格禁止非授权人员访问,以防止私钥泄露。B.对私钥进行备份。以防止用户在私钥丢失的情况下造成数据丢失的损失。(5)证书的更新。为了增加安全度,给证书规定一个有效期限是很有必要的。认证机构一般会定期对用户的证书进行更新,或根据用户的要求更新用户的证书。(6)证书的查询。(7)证书的废止。证书的废止有几种不同的情况。比如,当用户的私钥由于泄密等原因造成申请废止证书时,用户需要向认证机构提出证书废止的请求,认证机构根据用户的请求确定是否将证书废止;或者是证书已经过了有效期,认证机构自动废止证书。此外,即使是证书在有效期内亦有可能由于某种原因而需废止。认证中心通过维护证书废止目录来完成上述功能。一般情况下,认证机构应定期发布最新的证书废止目录。
电子商务中的“不得否认”,既是一项技术要求,也是交易当事人的行为规范。它是民商法诚实信用原则在电子交易领域的具体反映。我们通过认证机构的认证来证实交易当事人之间的商务活动,达到不可否认的效果。
二、网络银行风险监管与电子认证制度的关系
电子商务交易顺利进行的关键问题是安全问题。网络银行顺利开展业务的基础也必须加强风险防范。网络的虚拟化、无纸化的环境,使得网络欺骗变得更加容易。从目前的技术条件来看,解决安全问题的基本条件就是需要具有相应的认证机构,为买卖双方提供值得信任的认证服务。所以电子认证是网络银行的信用基础。
从技术角度讲,认证机构通过采用国际上最先进的安全保密技术对网络上的数据发送方、接收方进行身份情况确认和资信情况确认,以保证交易各方信息的安全性、机密性和可靠性。从商业角度讲,每一个电子合同的签订,买卖双方都需要对对方的身份情况、资信情况和经营情况进行认证,否则无法保障自己的权益。所以,通过认证机构来进行买卖双方的全面认证,是保证网络交易安全的重要措施。具体到网络银行来讲,网络银行开展金融服务,所面临的顾客可能会来自世界各地,网络银行对电子认证制度的依赖主要体现在以下几个方面:网络顾客所提供的信息是否真实可靠,通过认证确保信息在网络传输过程中没有遭到伪造、篡改和窃取,这是其一;其二,通过认证对顾客的身份进行确认,确保对方没有被冒名顶替;其三,通过认证还可以对顾客的资信情况有一个详细的了解,比如在网络贷款服务中,网络银行决定是否贷款或贷多少,都需要按贷款申请人的资信情况来决定,资信好的可以多贷,反之,则应不贷或少贷。所以电子认证制度的制定和完善是网络银行开展业务的基础和保证。
另一方面,网络银行的飞速发展,又给电子认证制度提出了新的要求。就目前来说,电子认证机构尚处于分散状态,没有实现资源信息共享,一个信誉扫地的人,可能在某一个认证的记录中,上了黑名单。但他又可以到另一个认证机构重新申请一对密钥,继续招摇撞骗。就拿网络贷款来说,一个人在某一家网络银行申请贷款获得成功,但他根本就没有打算清偿,在贷款期限到达后,他便可能被载入该家网络银行信用黑名单。但由于每家网络银行考虑到吸引顾客的需要,谁也不愿意将不守信用的黑名单公之于众,害怕失去现有的和潜在的顾客。因为在到期不能归还贷款的贷款人中,既有善意的也有恶意的,但银行却无法区分。如果哪家银行首先不加区分地将这些人都公布出去,可能会导致顾客转而选择其他的银行。所以在有关不守信用的信息不能共享的情况下,他便可以到另外一家或多家银行继续去申请贷款。上述这种现状,便要求建立统一的电子认证机构,并实行有关信息的共享,以防止连环欺诈的发生。
由此可见,网络银行的发展需要电子认证制度保驾护航,但网络银行的发展又对电子认证制度的完善起到了促进的作用。两者互利互动,共同发展。
三、我国电子认证制度的现状与完善
目前,在认证方面,我国的认证机构分为金融认证机构和非金融认证机构两种类型。金融认证机构由中国人民银行负责统一规划管理,主要适用于包含交易内容的金融支付行为的身份认证。非金融认证机构主要适用于人、物品、机构、设备等电子身份的认证,由中国电信负责建设,于2000年上半年启动,但在我们现行的法律法规中还没有对电子认证机构的法律地位作出规定,因此,认证机构的权威性并未在法律中得到明确。
由中国人民银行牵头,中国工商银行、中国建设银行、交通银行、中国农业银行、光大银行、招商银行、中信实业银行、华夏银行、广东发展银行、民生银行等12家商业银行共同建立了中国金融认证中心。中国金融认证中心作为一个权威的、可信赖的、中立的第三方的认证机构,为参与电子商务各方的各种认证需求提供证书服务,建立彼此的信任机制,并为全国范围内的电子商务及网络银行等网络支付业务提供多种认证服务。因此,我国网络银行的发展以及电子支付的顺利进行,都有赖于金融认证中心的认证服务。1999年2月26日经金融信息化领导小组批准,中国金融认证中心项目建设正式启动,并且已取得重大进展。3月30日,中国金融认证中心SETCA系统试发了第一批证书。首都信息发展有限公司、新浪网站、8848网站、鲨威体育用品公司成为中国金融认证中心SET证书的第一批商户,同时,银行卡信息交换中心联合支付网关和工商银行、广东发展银行的一些持卡人也成为中国金融认证中心SET证书的持有者。
非金融认证则由中国电信所开辟的安全认证系统来承担。中国电信自1996年开始进行电子商务安全认证的研究、试验工作,1997年底开始进行电子商务试点工作,1999年8月,中国电信CTCA安全认证系统通过国家密码委员会和信息产业部的联合鉴定,并获得国家信息产品安全认证中心颁发的认证证书,成为首家允许在公开网络上运营的CA安全认证系统。2000年5月12日,中国电信正式宣布向社会提供证书认证服务,并向社会免费公布CT-CA安全认证系统的接口标准,确保电子商务的用户在公共网络上传输信息时的安全。目前,中国电信可以在全国范围内向用户提供CA证书服务(中国电信已经为用户发放了6万多张CTCA证书)。
认证机构的建立,目前已经成为电子商务的一个热点问题。各个行业、各个部门也都希望建立自己的认证机构,甚至许多ISP和商品交易中心也尝试建立自己的认证中心。各国和地区对建立认证机构均非常重视,加拿大和新加坡等国已经建立了政府性认证机构。我国台湾地区虽然建立认证机构较早,但由于最初欠缺统一规划,形成了银行系统各自都建有认证中心、互不通用的混乱格局,使得客户购物非常不方便,调整起来也非常困难。有鉴于此,我们应吸取教训,尽快形成自己的认证机构建设方案。有人认为,为了保证电子商务的健康发展,建立一个国家级的电子商务认证机构,使它能够联系政府部门的网络安全认证中心以及各行各业现存的认证机构,进而形成一个完整的体系,为参与网络交易的各方提供法律认可的、具有权威性的商务认证,已经成为电子商务发展的迫切要求。关于认证机构的建设,目前有三种典型的思路:,也是实现网络交易和网络支付的安全保障。因此,由人民银行组织各商业银行共同兴建金融认证中心势在必然。而电信部门同样也希望拥有认证机构的认证权力,如此则可以自由选择银行。第二,地区信息主管部门则认为应当以地区为中心建立认证机构。理由是地方政府出面,可以从建设初期就统一规划、统一布局,组建惟一的地区认证机构。第三,也有人提出建立几个国家级行业安全认证机构,然后实行相互认证。我们认为,电子商务认证的目的是为了防止欺诈和防止否认,从这个要求出发,电子商务认证机构首先应该是统一的。应由政府作为倡导和支持方,从政策和法律的角度为其发展创造条件,采用市场运营方式,发挥国家和私人两方面的积极性,以便形成竞争的局面。我国认证机构的建立,应审慎顾及我国的国情、认证机构的发展现状和法律、法规的进展趋势,首先应以立法的形式对电子商务认证机构的设立、管理、运行、责任等方面作出规定,树立认证机构应有的法律地位。然后,针对我国目前已经建立起来的CFCAH和CTCA认证体系,我们应利用电信网络组建一般的电子商务认证中心,在中国金融认证中心的基础上完善全国统一的金融认证中心,为网络银行的发展提供全方位的认证服务。