近日,引起社会各界广泛关注的支付宝(微博)用户“被捐款事件”,再次让中国数亿网络用户对网络支付安全环境产生担忧。
工信部今天公布的《电子认证服务业“十二五”发展规划》披露,身份盗用、交易诈骗、网络钓鱼等各种网上安全事件的频发,与蓬勃发展的网络应用的矛盾日益突出。据统计,我国有近1.28亿互联网用户遭遇过上述安全事件影响,初步估计损失超过150亿元,严重打击网络用户的信心,阻碍网络应用的快速发展。
为此,工信部表示,将根据信息化发展对身份认证、授权管理、责任认定等方面的需求,完善网络身份认证管理政策。
“被捐款”事件再敲警钟
近日,支付宝就用户因密码被盗等原因导致的“被捐款”事件作出回应。其相关负责人表示,经过与相关机构沟通决定,将全额退还此类非出自本人意愿的打款。同时,支付宝方面梳理并发布了若干安全支付须知,其中包括合理使用数字证书、支付盾、宝令等安全产品,呼吁用户提高安全意识。
这次“被捐款”事件早在今年8月就初露端倪,一位网友曾发布截图称,他两个月没有使用过支付宝,一次无意间登录发现其支付宝账号曾在自己未登录时捐给了某绿化基金会一毛钱。随后不少有相似经历的网友跟帖响应,直至9月底,此类事件已发生多起,“被捐款”的数额从一角到几元、几十元不等。
据了解,这类“捐款”疑是由木马、钓鱼网站等恶意攻击,导致的账户密码泄露。支付盾与用户的支付宝账户成对应绑定关系,申请使用后只有在电脑上插入与支付宝账户相匹配的支付盾才能对资金进行支付、转账等操作,否则只能进行查询。支付盾内设置微型智能卡处理器,与用户身份认证、账户安全息息相关的数字证书便蕴含在其中。
支付宝“被捐款”事件被媒体踢爆后,业内人士普遍对电子支付系统中的电子签名认证安全现状表示忧虑。知名网络法律专家王春晖认为,社会要求构建可信网络空间的需求日益迫切,而这其中最关键的环节就是建立统一规范的电子认证标准体系。
面临诸多法律问题待解
据工信部披露,截至2010年底,我国网民数量已突破4.5亿,网络购物用户数量1.61亿,电子商务交易额4.5万亿元。据预测,“十二五”期间,网络应用在国民经济和社会各领域将进一步普及深化,到2015年,电子商务年交易额将突破18万亿元,电子认证服务市场潜力巨大。
社保、医疗、保险等诸多公共服务领域将逐步深化电子认证的应用,电子病历、电子保单等更多业务将得到广泛开展。随着社会对电子认证服务的认可程度进一步提高,网络购物用户数量将迅速增长,网上交易活动开展更为频繁,在线招投标、电子合同签订与电子订购等业务将蓬勃发展。
但蓬勃发展的电子商务市场,也蕴涵着很多由电子认证服务法律制度滞后所引发的问题。多年致力于研究电子商务法律研究的、北京京都律师事务所律师黄永华说,电子商务合同主要是双方通过电子形式(email;传真;电话;或者网络电子表格等等)来签订的。电子商务进行的是无纸贸易,其在形式上和法律效果上与传统合同相比有很大的变化,这涉及电子签名的法律地位和效力问题,必然产生很多问题。
比如,电子商务合同双方当事人基本属于不见面,双方都通过网络虚拟平台进行运作,其信用仅仅依靠密码的辨认或认证机构的认证,密码认证的虚拟性和认证机构认证的多样性导致合同的信用体系存在较大疑问,对大额和长期的商务合作开展不利。
再有,电子发票在我国只是存在理论上的构想,很多电子商务合同特别是小额交易没有发票,这种合同一旦产生问题,纠纷的解决就是个难题。这其中就包括电子签名的法律效力、电子认证服务的法律关系等诸多难题。此外,对电子认证服务机构怎样进行规范管理,其权利义务有哪,如何追究其法律责任,这些问题均没有在现有的相关电子认证服务法律文件中得到明确规范。
同时,数字签字代替了传统合同生效的签字盖章方式,数字签名本身的效力产生就存在疑问,并且其存在易复制性和仿照性,不易辨别性,一旦被复制和仿用,产生的合同纠纷解决就十分复杂。
加强电子认证法律规范建设
电子认证服务通过保障网络身份真实、网络行为可溯和数据电文可靠,为维护权益、追究责任、履行义务提供法律保障和技术支持,是构建可信网络空间不可或缺的重要手段。随着网络应用的普及与快速发展,电子认证服务对构建可信网络空间的地位和作用更加凸显。
为此,工信部在《电子认证服务业“十二五”发展规划》表示,到“十二五”末期,形成覆盖全国的网络身份认证服务体系,依托合法电子认证服务机构,网络身份认证服务覆盖全国,网点覆盖所有省份、延伸到中东部地区80%的城镇和西部地区60%的城市,有效数字证书数量超过1亿张,网络身份认证服务在国家网络信任体系中的基础作用明显加强。
面对电子认证服务法律制度滞后问题,工信部相关负责人表示,工信部将根据信息化发展对身份认证、授权管理、责任认定等方面的需求,完善网络身份认证管理政策。研究制定电子签名和数据电文可靠性认定规则,为电子取证、司法鉴定和法律诉讼提供支持。进一步贯彻落实电子签名法,推动电子签名法与票据法、合同法、档案法等法律法规的衔接。促进电子认证服务在电子商务纠纷解决中的具体应用。鼓励采用依法设立的电子认证服务机构提供的服务,加大执法力度,促进第三方电子认证服务行业发展。
同时,要完善标准规范,加强电子签名技术检测与认证服务监督。健全电子认证标准规范体系。加快完善电子认证服务机构从业人员、业务连续性、风险保障、运营管理等有关管理类规范。重点针对金融领域网站钓鱼、身份假冒和信息窃取等用户重大关切的网络安全问题,组织制定《可靠电子签名指南》,明确对不同格式数据电文进行签名的程序、流程和认定标准。加快制定数字证书分级分类管理、操作规范等应用支撑类标准。研究制定电子签名设备、系统检测等技术类标准,推动制定电子签名行业应用标准。培育和发展专业化机构,对含可靠电子签名模块相关系统和产品进行检测,对认证服务过程和质量进行监督。 |