电子商务中的认证的机构

      为了保证Internet上电子交易的安全性（包括信息的保密性、真实完整性和不可否认性），防范交易及支付过程中的欺诈行为，除了在信息传输过程中采用更强的加密算法、加强电子签名的安全性等措施外，还必须在网上建立一种信任及信任验证机制，使交易及支付各方能够确认其他各方的身份。电子商务认证机构正是在这种情况下应运而生，它的角色即充当权威的第三方机构对各方进行身份认证，并颁发可供验证的数字身份证书。

      一、认证机构的概念和特点

      电子商务中的认证机构是由英文“Certification Authority”翻译而来的，其缩写形式为CA，有的论著将之翻译为“核证机构”（注：单文华：《电子贸易的法律问题》，载《民商法论丛》，第10卷，法律出版社1998年版，第23页。），有的著作将之翻译为“认证中心”（注：刘采等著：《全球电子商务》，人民邮电出版社1999年版，第76页。）认证机构，从字面上理解，凡是能颁发认证证书的机构，都可以称之为认证机构。对认证机构的法律定义，UNCITRAL在《电子签名统一规则（草案）》第一条定义中规定：“认证机构是指从事颁发为数字签名的目的而使用的加密密钥相关的（身份）证书的任何人或实体。（该定义受任何要求认证机构取得许可，或认可，或以一定的方式进行营业的有效法的限制。）”（注：阚凯力、张楚主编：《外国电子商务法》，北京邮电大学出版社2000年11月版，第328页。）美国《统一电子交易法》草案的第二条曾规定：“认证机构，是指任何在其业务中从事颁发用于电子签名的密钥身份证书的人或实体”，但是在后来的正式文件中删除了这一规定。（注：张楚著：《电子商务法初论》，中国政法大学出版社2000年4月版，第212页。）新加坡《电子交易法》第二条规定：“认证机构是指颁发数字证书的人或组织。”德国《多元媒体法》中的第三章对认证机构的定义是：“本法所称认证机构，为能证明公开金钥与一自然人间之配属关系、并持有第4条规定之许可（指经主管机关许可）之自然人或法人”（注：廖纬民著：《德国“多元媒体法”简介》，资讯法务透析杂志，1997年11月版，第45页。）日本《认证机构指南》则将之定义为：“一验证申请人公开金钥、签发证书及寄送证书、登记及管理申请人公钥、制作及管理认证机构本身金钥、登记及管理证书废止、实行交互认证及与其他认证机构联系之自然人或组织”。

      我国有学者对认证机构的概念描述是：在电子商务中，无论是数字时间戳服务，还是数字证书的发放，都不是靠交易双方自己来完成的，而需要有一个具有权威性和公正性的第三方来完成。认证机构就是承担网上安全电子交易认证服务、能签发数字证书，并能确认用户身份的服务机构。（注：胡静编著：《电子商务认证法律问题》，北京邮电大学出版社2001年8月版，第83页。）但本文所指认证机构，为方便行文，专指电子商务中对用户的电子签名颁发数字证书的机构，是受一个或多个用户信任，提供用户身份验证的第三方机构。

      在电子商务系统中，所有实体的证书都是由证书认证机构即CA中心分发并签名的。认证机构的主要任务就是受理数字凭证的申请、签发数字证书，以及对数字证书进行管理。它不仅要对进行电子交易的当事人负责，还要对整个电子商务的交易秩序负责。因此，这是一个十分重要的机构，往往带有半官方的性质。具体来说，认证机构有以下几个特点：

      1、是独立的法律实体。认证机构以自己的名义从事数字证书服务并收取一定费用，以其自身的财产担保承担相应的责任。

      2、具有中立性、公正性与权威性。认证机构一般并不直接与用户进行商事交易，而是在交易中，以受信赖的中立机构的身份，提供信用服务。它不代表交易任何一方的利益，仅发布公正的信息以促成交易；认证机构均不得参与任何形式的贸易，保持独立，以避免在可能的贸易纠纷中因受经济因素的制约而失去其公正性；认证机构在Internet上充当的是“公安部门”的角色，对电子世界中的各方进行身份认证，发放数字证书，正如公安部门发放个人身份证一样，因此它需要绝对可靠的权威，这只有经国家主管部门授权或直接是政府主管机关充当。

      3、具有标准化的特点。由于政府主管部门可以规定法律统一的技术方案以及规范不同级别的认证机构的电子认证标准及程序，同时，政府主管机关通常担任最高一级的公共密钥认证机构的角色（这是美国各州及联邦政府以及德国等国公共密钥基础建设体系都普遍采用的一种形式）为标准化提供了条件；认证机构体系的建立、兼容跨国认证都要求统一标准化，以避免可能由于不同标准的出现而使得电子认证无法实施。

      4、具有真实性、快捷性与机密性。认证机构所提供的各类信息，必须真实、准确、完整、可靠。严禁为客户提供虚假信息，否则失去了认证的意义；认证机构的工作人员和设备都应当具有快捷的反应能力，能够在很短的时间内处理各种客户认证业务；认证机构的工作人员应当具有良好的职业道德，忠于职守，保证信息不被泄漏给非授权人或实体，同时，应当配备先进的安全设备，能够有效防范外界黑客的非法入侵。

      5、认证机构营业目的是提供公正的交易环境。从营业目标看，认证机构是非营利性公益企业。尽管认证机构也收取一定的服务费用，但该费用只能是微利性的。如果它以追求营利为目标，就很可能损害其中立性与公正性。由认证机构的以上特点可以知道，认证机构的作用在于保证传递中的电子信息的完整性、不被篡改和窃取及对电子信息发出者的身份认证、防止否认。从而防止电子交易风险，预防当事人之间的纠纷，以促进电子商务的健康发展。认证机构有官方性质的，也有民间性质的；有个人认证机构、也有法人认证机构；按照认证机构所处地位的不同，还可以划分为根认证（RCA）、品牌认证（BCA）、地域认证（GCA）、支付网关认证（PCA）、商家认证（MCA）及持卡人认证（CCA）等。