正   文

网上银行 你CA了吗?

  

  近年来,网上交易、电子支付正在如火如荼的发展。我们知道,互联网上的交易必然存在风险,事实也确实让我们看到了这一点:黑客、病毒、木马程序、“网络钓鱼”频频得逞。而这些受到威胁的网站或遭受损失的用户,除自身的安全防范意识薄弱造成安全隐患外,最重要的一点就是都没有使用互联网上最根本的信息安全保障措施——数字证书。

  第三方数字证书是网上交易安全的根本保障

  数字证书是由独立于交易双方的第三方安全认证机构签发的,是保障网上安全交易的核心元素,它可以实现网上身份的认证和交易的不可抵赖性。数字证书在国内外应用的十多年历史中,至今还没有发生过一起由于证书机制被攻破而造成损失的案件。但由于大众对网上交易的安全知识比较匮乏,不知道该采取怎样的措施保护网上交易的安全,所以弄得人心惶惶,影响了对互联网的信心。其实,如果采用了合法的、权威的、有保障的第三方电子认证服务机构提供的数字证书,网上交易的风险完全可以规避。

   但是,并不是随便一张数字证书就能保证安全,数字证书必须由符合国家法律规定的合法的第三方安全认证机构(简称CA)签发才可以。为什么一定要强调CA机构的合法性、可信赖性呢?因为,从技术理论而言,数字证书机制采用的是安全级别很高的非对称密码学原理,在我们有限的生命周期里,完全不用担心这种机制被攻破,目前,国内已经普遍采用了这种技术。但是要完全确保网上资金交易的安全、控制风险,认证机构(CA)本身的可靠性是我们最应该考虑的。从目前国内的情况来看,机房、设备、技术、人员、业务流程等各方面综合素质过硬,并且获得国家行政许可的电子认证服务管理机构——信息产业部批准的CA是屈指可数的。

  自建CA违法操作,严重干扰电子支付事业的健康发展

  目前国内已建CA机构大约有上百家,真正通过信息产业部审批的有不到二十家,大量非法CA机构在堂而皇之的运作。就拿互联网应用最前沿的网上银行和电子商务来说,某些银行、电子商务支付平台从扩大业务量、牟取最大利益的角度出发,自己投资建设CA机构,发放数字证书,并且在自己的网上业务中应用。更有甚者,某些商业银行与电子商务网站“强强联手”,进行战略合作,将自建设的CA进行共享,实现自建CA数字证书向社会公众提供服务。他们完全置国家法律、法规的要求、用户的利益和交易的风险于不顾,也违背了国家建设健全信用体系的初衷,是一种对社会极不负责任的行为,是违法行为。

   银行和电子商务网站都属于资金交易中的一方,由参与交易的一方进行电子认证的这种行为是否公正、合理、合法?交易的另一方是肯定要质疑的。一旦出现交易纠纷,自建CA能否承担责任?客户的知情权、话语权等合法权益如何保证?诚信体系何以健全呢?我国的电子支付事业又何以健康发展?

  从法眼看自建CA

  从法律的角度来分析,自建CA存在不少弊端。

   首先,自建CA提供的电子认证服务不受法律保护。从CA机构的合法性而言,我国电子认证服务机构采取准入制度,是一种特许经营,需要经过政府的严格审批,没有经过批准的电子认证服务机构在《电子签名法》的第二十九条中明文规定为非法经营。《电子签名法》对电子认证服务机构提出了严格的要求,电子服务认证机构必须符合该法律的第十七、十八、十九条规定,自建CA不能对外提供服务。银行和电子支付平台的主营业务是做支付,是做交易,在安全认证方面难免不专业。不久前,就有媒体爆料,网民在使用某个支付平台做交易时,由于电子支付平台的安全认证流程存在重大漏洞,导致帐户被盗。

   其次,自建CA的数字证书进行的电子签名不具备法律效力。《电子签名法》规定,有法律效力的电子签名,必须做到签名密钥由签名人独有,并仅由签名人控制。如果由参与交易的一方自建CA发放数字证书,当发生纠纷时,无法证明签名密钥仅由签名人独有并仅由签名人控制。

   再者,自建CA在承担法律责任方面存在风险。一般来说,法律采取的承担责任的举证原则是“谁主张谁举证”,在《电子签名法》中,CA机构承担责任的举证原则是“举证责任倒置”。(第二十八条规定:“电子签名人或者电子签名依赖方因依据电子认证服务提供者提供的电子签名认证服务从事民事活动遭受损失,电子认证服务提供者不能证明自己无过错的,承担赔偿责任”)。由于自建CA本身的违法性及所处地位的特殊性(交易的一方),其提供的证据的合法性和有效性必将遭到质疑,从而难逃承担法律责任的结果。

  大众信息安全意识逐步提高,社会呼吁强制使用第三方安全认证

  随着网上银行、电子商务和其他互联网应用逐步走近老百姓的生活,一些行业组织也在向社会进行信息安全知识的义务宣传,大众对网上交易安全性的关注度也逐渐提高了。越来越多的人在认识并采用数字证书这种信息安全保护机制的基础上,对证书颁发机构的第三方性也有了明确要求。去年,国内就有一家大型企业对银行自建CA提出了质疑,他们对自建CA能否保障该企业每天几亿甚至几十亿网上资金流的安全表示怀疑,并且明确提出要采用有法律保障的、权威公正的第三方电子认证服务机构提供的数字证书。合法的第三方CA独立于交易双方,有国家行政主管部门的严格监管,其规范性、权威性、公正性、合法性毋庸置疑,如果出现由第三方CA过失造成交易双方资金损失的情况,它将根据法律规定向损失方提供赔偿。

  综上所述,我们说,有可靠的安全技术、严谨的业务规则、明确的国家法律保护,网上交易就是安全的。自建CA你又何以承担网上交易的风险呢?

客服电话:400-880-9888 销售热线:010-59798680

PC版 微博 微信公众号:CFCA-4008809888