電子簽名與認證所面臨的法律困惑

從2001年人民銀行頒布《網上銀行業務管理暫行辦法》到2005年4月《電子簽名法》實施，以及人民銀行2005年10月頒布《電子支付指引》到中國銀監會2006年2月頒布《電子銀行業務管理辦法》，這幾年是我國電子立法、立規從無到有，起步發展的階段。特別是《電子簽名法》的頒布實施，不僅拉開了我國電子立法的序幕，而且在我國現行法律體系中首次引入了一個新的法律關系——電子認證的法律關系。根據這些法律規定，對于采用內部認證的商業銀行網銀業務來說，有些問題是需要深入思考的。

自助簽約能完全取代柜臺簽約嗎？

電子銀行業務自助簽約，是指客戶不經過柜臺簽約過程（包括出示身份證明，閱讀表單、協議等法律性文件，現場手寫簽名確認等），僅通過電話、自助終端、因特網等非現場方式，以及本人獨有的賬戶號、身份證號、密碼等專屬數據信息，以電子方式向銀行做出同意開通某項電子銀行業務的意思表示。從廣義上它屬于電子簽名的范疇，那么這種電子簽名在當前的法律環境下是否具有表示當事人真實意圖的法律效力呢？這個問題屬于電子簽名的法律適用范疇，通俗地說，就是在什么情況下使用電子簽名才是合法有效的，可以達到表示當事人真實意圖的法律效果。這也是各家商業銀行最關心的電子銀行自助簽約的法律效力問題。如果電子銀行業務能實現合法有效的自助簽約，對于網銀業務的市場拓展會是一個重大利好。但是，根據現有法律規定，筆者認為，自助簽約在目前還不能完全取代傳統的柜臺簽約。

2005年4月我國《電子簽名法》正式實施，盡管第十四條規定了：“可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力”，但根據該法第三條的規定：“民事活動中的合同或者其他文件、單證等文書，當事人可以約定使用或者不使用電子簽名、數據電文。當事人約定使用電子簽名、數據電文的文書，不得僅因為其采用電子簽名、數據電文的形式而否定其法律效力”，可以看出電子簽名的適用范圍僅限于當事人的約定，當事人可以選擇使用或不使用，只有選擇使用的，該電子簽名才具有法律認可的效力。而在當前尚未建立全社會統一標準、惟一可識別、可驗證的電子身份標識的情況下，這個“選擇使用”的意思表示本身仍應當是通過傳統簽約方式，經過傳統的身份確認、手寫簽名等程序做出。具體到電子銀行業務就是在柜臺簽約時完成的。在柜臺簽約時，客戶以其傳統的、惟一可識別的真實身份與銀行達成協議，同意開通網上銀行業務，同意將來以網上身份（密碼及/或證書及/或其他數據信息）發出電子指令授權銀行辦理賬戶查詢、結算等業務，也可以說是客戶對銀行的一個基礎授權。有了這個基礎授權之后，銀行憑客戶的網上身份授權辦理業務才是合法有效的，如果沒有這個基礎授權，那就是客戶沒有與銀行達成使用電子簽名的約定，那么任何以身份證號碼、賬戶號、密碼等數據信息為特征發出的授權指令都不能被確認為是客戶惟一真實的授權，銀行為客戶辦理的電子銀行業務就是無權代理，后果應由銀行自行承擔，給客戶造成的損害也應由銀行做出賠償。

網銀內部認證會面臨質疑嗎？

網銀認證的合法性問題

網上交易當事人的身份認證（authentication）是保證網上交易真實性、安全性的關鍵。電子簽名認證機構（certificate authority CA）負責簽發、管理網上交易主體的電子證書（也即網上交易當事人的身份證明），產生、管理網上交易使用者的密鑰以及CA密鑰等。在《電子簽名法》頒布前，僅有人民銀行于2001年頒布的《網上銀行業務管理暫行辦法》第十七條規定了“銀行應采用合適的加密技術和措施，以確認網上銀行業務用戶身份和授權，保證網上交易數據傳輸的保密性、真實性，保證通過網絡傳輸信息的完整性和交易的不可否認性。”其中，銀行采用加密技術與措施以保證數據傳輸的保密真實是無需質疑的，但由銀行來“確認用戶身份和授權”，顯然是將網上銀行交易的身份認證問題作為一項法定義務完全交付給了交易中的一方當事人——開設網上交易的銀行。從當前角度來看，這樣的規定可以說是一個不成熟的制度安排，對交易雙方均有失公平：從客戶的角度考慮，難以從根本上信任交易對方的公正性，從銀行的角度考慮，也大大加重了銀行方的義務與交易成本，成熟的銀行會認為認證過程本身只是一種工具或手段，而不應該成為交易中的義務。故2006年中國銀監會頒布的《電子銀行業務管理辦法》第四十條規定“金融機構應采取適當的措施和采用適當的技術，識別與驗證使用電子銀行服務客戶的真實、有效身份，并應依照與客戶簽訂的有關協議對客戶作業權限、資金轉移或交易限額等實施有效管理”，不再提“確認”用戶身份與授權，只是“識別與驗證”客戶身份的真實有效性，使認證程序不再成為銀行的一項法定義務。

《電子簽名法》在全篇三十六條中，以多達十六條的篇幅著力于規定電子認證及認證機構，對電子認證服務設立了市場準入制度，第十八條“從事電子認證服務，應當向國務院信息產業主管部門提出申請”，經審查許可并頒發電子認證許可證書方可從業。

但鑒于國內網銀實務中兩種認證方式同時存在，既有采用第三方認證機構（中國金融認證中心，CFCA）對客戶、銀行進行雙方認證的，也有各家銀行采用自設的認證機構僅對客戶身份進行單方認證的，如招行、工行和建行等，并且這些銀行的網銀市場占比已很大，故該法對這一既成事實做出了遷就，第十六條規定“電子簽名需要第三方認證的，由依法設立的電子認證服務提供者提供認證服務”，也可以理解為：如網銀客戶同意并信任網銀服務提供者（銀行）提供的內部電子認證，也可以不需要第三方認證。

但隨后信息產業部于2005年1月28日頒布的《電子認證服務管理辦法》（與《中華人民共和國電子簽名法》同時實施）中又明確規定“本辦法施行前已從事電子認證服務的機構擬繼續從事電子認證服務的，應在2005年9月30日前依照本辦法取得電子認證服務許可；擬終止電子認證服務的，應當對終止業務的相關事項作出妥善安排。自2005年10月1日起，未取得電子認證服務許可的，不得繼續從事電子認證服務”，那么，商業銀行的內部認證是否取得了國家許可并依法注冊成為合格的第三方？

事實上，現存的商業銀行內部電子認證運作如常，我們是否可以這樣來理解：第一，商業銀行在網銀業務中提供的認證不是一個獨立的服務，不以盈利為目的，是銀行業務的附隨服務或是業務流程的必要環節；第二，該認證是銀行與客戶雙方共同約定認可的，不違反央行《電子支付指引》第三十四條“銀行采用數字證書或電子簽名方式進行客戶身份認證和交易授權的，提倡由合法的第三方認證機構提供認證服務”，符合其第十條“銀行為客戶辦理電子支付業務，應根據客戶性質、電子支付類型、支付金額等，與客戶約定適當的認證方式，如密碼、密鑰、數字證書、電子簽名等”，及銀監會《電子銀行業務管理辦法》第四十四條“金融機構開展電子銀行業務，需要對客戶信息和交易信息等使用電子簽名或電子認證時，應遵照國家有關法律法規的規定”。

但筆者似乎還是感受到各方對于商業銀行內部認證合法性的猶疑與躑躅。

網銀認證的法律責任

根據《電子簽名法》第二十八條，“電子簽名人或者電子簽名依賴方因依據電子認證服務提供者提供的電子簽名認證服務從事民事活動遭受損失，電子認證服務提供者不能證明自己無過錯的，承擔賠償責任”，可以看出，法律對認證機構采用的是一種嚴格責任，即過錯推定責任。盡管該條款規定得有失簡單，因為在電子認證領域如何證明自己無過錯，如何說服法官信任你的認證是無過錯的，沒有相關規定給出判斷標準，甚至是在技術與法律兩個層面都在探討之中。在這一法條的規定之下，銀行如選擇第三方認證，則無需承擔對電子認證的舉證責任。但如采用的是內部認證，銀行作為一方當事人，既參與交易又承擔對對方當事人身份的認證，可能首先就會被要求舉證認證無過錯，一旦舉證不能，網銀業務本身就成了一件費力不討好還要吃啞巴虧的賠本買賣。這可能就是當前部分商業銀行在對個人的小額異常交易索賠案例中往往采取“一賠了之”息事寧人思路的主要原因。

那么，一旦客戶質疑銀行電子認證的合法性與安全性時，銀行又將如何舉證，以證明自己認證的無過錯？這應是各家采用內部認證的商業銀行亟需研究解決的新課題。

（作者單位：中國建設銀行深圳市分行法律事務部）