千呼万唤始出来
2005年被电子商务人赋予了太多的希望,2005年是“支付年”、“搜索年”、“创业融资年”、“ Web2.0流行年”、“VC2.0启动年”……总之,是电子商务的年份。
当然也是电子商务大谈安全的年份。网络的安全就跟电商族的诚信一样,是永远说不尽的话题。可以确信的是:黑客对计算机网络的攻击在一定程度上推动着网络安全的发展。然而,并不是每个人都这么乐观。对于电子商务,没有比安全更重要的技术了。电子商务的人机对话改变了人们的生活消费习惯,唯一不变的就是人们对于诚信的不懈追求。毕竟电子只是实现商务的手段。2005年4月1日,在众人翘首期盼下,被喻为“我国首部真正意义的信息化法律”的《电子签名法》正式实施,其配套规章《电子认证服务管理办法》姗姗而来,电子商务界沸腾了。对此,《人民政协报》称:电子签名法恰逢其时。《中国青年报》说:电子签名是为网上交易保驾护航。《深圳特区报》表示:电子签名法要吹皱网上交易的春水。而《天津日报》则称:《电子签名法》的实施标志着电子商务的春天来了。各家媒体不吝美言,电子签名终于摆脱了“狗肉虽好,却上不得宴席”的尴尬局面。
天生我才必有用
电子签名的技术可谓已经到了炉火纯青的地步,按照中国政法大学知识产权法研究室主任张楚教授的说法就是:电子签名过程中要“加密”、“解密”,交易双方使用的“密钥”是随机产生的,由1024位乱码组成,实际破译的概率是零。只因为没有法律保障,一直以来电子签名英雄气短,无用武之地。现今,《电子签名法》出台,电子签名得到了应该有的名分!总则第一条即指出:为了规范电子签名行为,确立电子签名的法律效力,维护有关各方的合法权益,制定本法。其目的是保证各关联方在相对知情的情况下,赋予第三方认证机构有效电子签名认证的法律效力。
毋庸质疑,《电子签名法》的出台,将引起金融、商务、税务网上交易和处理的一次革命,它将大大推动我国电子商务和电子政务的发展。电子签名作为确认交易者身份和信息的有效手段,一直以来备受推崇。而今,其推广应用得到法律的明确认可,对电子商务而言有着重要的意义。
据上海市数字证书认证中心统计,《电子签名法》颁布一年来,对电子签名感兴趣的上海人越来越多,全市“网上身份证”新增10万张。上海市数字证书认证中心(上海CA中心)目前发放包括个人证书、企业证书、安全电子邮件证书在内的6类证书,个人的身份证书在申请当天就能办成。
在电子商务平台方面,当当网承诺:用户的支付是安全的。当当使用的网上支付平台由银行和相关金融部门提供,非常安全、可靠。在银行端使用的是SSL128位加密算法和SET(安全电子交易)协议……支付平台本身使用PKI(公钥基础设施)作为安全架构,通过MD5电子签名技术对订单信息进行加密和校验,从而确保在Internet上数据传输的机密性、真实性、完整性和不可抵赖性。用户的资料将经过安全保密处理并直接提交给认证系统,有关银行认证后会以安全的方式通知用户。尽管当当在一年前曾经表示:网上购物还以电话或网上订购、送货上门由消费者亲自签单接收的方式为主。
冰冻三尺,非一日之寒
电子商务人在认识到中国电子商务发展瓶颈的时候,就应该更加理性地意识到:安全的瓶颈影响了电子商务发展这么多年,仅仅因为《电子签名法》的出台就击节相庆,未免为时过早。如前所述,电子签名的技术已经到了炉火纯青的地步,然而为什么这么久才论证通过并赋予其法律效力?正所谓中毒太深,套用周鸿礻韦 的一句话:这年头,谁的屁股都不干净。诚信的整体缺失让无论是个人还是企业的信用体系建立都面临很大的困难,十年井绳之痛并不是每个人都能忘却的。《电子签名法》的颁布对于电子商务的诚信和安全问题的解决任重道远。
首先,电子签名本身的安全依然是最大的问题:电子签名加密算法的两座大厦先后倒塌――MD5和SHA-1这两种应用最为广泛的电子签名加密算法都被山东大学的王小云教授破解,这是对其破译概率为零的挑战,是对电子签名安全性一个沉重打击。正如新浪网友留言:“MD5和SHA-1都被搞定了,还拿什么加密?目前电子签名已经没有了法律基础。”虽然目前事情还没有到这一步。但这也足以威胁到电子签名 “不可否认”的权威。
其次,改革将面临“牵一发而动全身”的局面。因此,我国的其他相关法律应该实施配套改革。电子签名法的实施还将需要票据、合同、海关、税收等一系列法律的修改和完善。在我国,法律环境不容乐观,长期以来各个部门并未步调一致,反而基于法律的各种行政规章、制度互相抵制,各自为政,给形成统一、有序的法律环境增加了不小的阻力。就税收一项,至今尚未形成共识,有的甚至还停留在是不是要收税、以何种方式征税的问题上。据有关资料显示:政府的门户网站基本上处于亏损状态,因而对于电子商务的盈利模式,多数政府部门尚未认同,由此也对《电子签名法》抱旁观态度,不冷不热。配套法律改革也像老牛拉破车。电子签名应用的法律环境亟待完善。
在企业管理行为中,商家可以做到对交易伙伴的信用进行严格的管理,但在当前的法律环境下,他们必然会放弃很多看起来有潜在风险的生意机会。面对这种现实,电子签名的推广和运用又只能被商家看成是一单赌注。电子商务行业中的信用缺失问题,将影响商家考虑到既得利益与运用新政策产生的潜在成本、以及其它的政策风险。就如当当跟卓越,面对新的政策,也是雷声大雨点小。
法律的出台是件大事,好事,然而要冒改变顾客的购物习惯,产生顾客流失的潜在危险,去改变他们实施得较为流畅的现行方式,而推广电子签名普遍运用的新做法,无疑存在利益上的风险。大企业的不搭理,中小企业的观望,将影响到电子签名的推广和运用。于是乎,如今的电子签名似乎显得过于寂寥,没有了往日的绚丽。
再次,作为我国的第三方电子认证机构,CA认证准入门槛低,机构整体处于无序、缺乏统一监管的行业割据状态,各行其是。行业割据带来的最大麻烦就是证书不能在网络上互通。很多企业不得不花费大量的时间和金钱,在各个不同认证机构重复进行CA认证。记者曾致电多家银行,询问同一客户可否在各银行共用一个电子签名,银行工作人员均称“不可以”,必须采用每家银行自己提供的数字认证。试想,如果CA之间并未取得一致,电子签名的准确性、权威性用什么来体现?而在电子签名法出台之前,70多家电子认证服务机构已经发出了上百万张数字证书,这些证书究竟该怎么处理,现在还不得而知。据不完全统计,目前我国近70万家网站中,有90%的网站都没有做任何官方记录。可以想象,在如此环境下,信用的征集必将受到客户资料保密和信息来源的双重考验,如果第三方与交易某方合作,提供虚假认证,又将如何追究法律责任?如此产生的纠纷,到底管辖权归属三方何地?如果是在互联网上,国际性的纠纷又如何解决?
目前,即使我国已有七成以上网民进行过网上交易,即使在2005年我国网上购物交易额达到了5531亿元,电子签名也尚未影响草根们的网络生活。原因大可归结为以下三点:电子签名太专业;草根们尚未有网上安全的井绳之痛,或者有,但是可以接受;认证收费繁琐。总之,草根们并未广泛使用电子签名是个不争的事实。我们可以假设,在精英们推出电子签名受挫的时候,是不是想到由草根来推动?电子签名的推广和使用离不开广大草根的支持和推销,用户群扩大,就能说明活跃用户数的潜在增长力,博客就是个例子。
路漫漫其修远兮
也许,以上的这些观点写在《电子签名法》周年的时候显得有些急不可待。毕竟还只是“周年”。然而,这是个酝酿多年、反复论证之后的周年。在安全和诚信掐着网上支付甚至是电子商务的脖子的时候,我们多么希望周年的《电子签名法》承担起哪怕是缓口气的作用。
《电子签名法》周年了,相对于昨天,我们尽可以说电子商务的春天已经来临,但是春风中还有丝丝寒意。电子签名的权威可以用案例来说明,缺陷可以完善,而安全和诚信的建设不能因为该法的颁布而有丝毫放松,当必须用法律而不是道德约束的时候,你尽可以想象权威的必要性了。2005年4月1日,《电子签名法》闪亮登场,2006年4月1日,周年的纪念,却是在应者云集而用者寥寥的尴尬中度过。有识之士认为:《电子签名法》的出台,其标志意义大于现实意义。第一步走出来,就标志着数字化的概念进一步为大众所认可。行业人士认为:《电子签名法》的出台,是电子商务新一页的开始。等待我们的事情还有很多,但一切都将围绕着电子商务的发展,我们始终相信,《电子签名法》是有未来的,2006年的周年纪念,又将是在祝福声中度过。