2001  > 2001年总第42辑

电子现金的安全问题(下)

  (三)安全对策
  就上一期谈到的涉及安全问题的技术、制度和法律、人员三方面,我们可以参照1999年3月在美国举行的信息安全教育第三届国家级研讨会上,提出的要解决信息保障,应该考虑技术、政策与实践意识、培训与教育三个层面的问题,它们的关系如下图所示:
  从上图三个层面的三角形关系中可以看出:
  (1)传统的金融运作模式与网络化的运作模式在危险防范上是有差别的,如网络使得信息的传播不再受时间和地域的限制,信息偏在的影响不再强大,但建立在这种新的模式上的金融网络,却前所未有的受到技术因素的影响。技术架构起了整个金融网络的外壳,金融行业的具体运作则填充了整个内核,因此,技术的安全,是金融网络首先面临的问题。一旦攻破技术外壳,那么具体的金融业务就如同任人宰割的羔羊,金融网络就可能遭到毁灭性的打击。
  (2)再上一个层次,技术说到底是为内容服务的,是要实现具体的金融业务的,此时法律、行政部门的具体执行规范或者说政策,在维护金融秩序、防范金融风险中起了决定性的作用。比较一下技术和法律、政策的差别,前者是不断向前发展的,更新速度甚快,而后者则相对稳定,因此后者具有更强的安全性。我们有必要通过具有指导和规制作用的法律和政策,来实现金融的安全性。另外,这些实现安全功能的法律和政策,必须通过具体的实践才能实现,同时其本身也在实践中改进、完善和提高。
  (3)说到具体的实践,必定涉及到人的因素。技术是通过人来实现和提高的,法律和政策是通过人来制定和执行的,人的因素才是最终的决定因素,同时,人的因素也是最不安定的因素。技术一旦被架构起来,就会被一机械地实现;法律和政策一旦被制定下来,则会明确的被执行,而人却是主观的动物,人是由利益驱动的,因此必须对人进行培训和教育。技术上的培训,使人能够掌握必要的安全技术和操作规范,不会产生误操作,同时产生最基本的安全观念,如密码的安全保存。法律和政策上的学习,使人能够清楚的知道自己的权利和义务,约束自己的不良行为。职业道德和文化素质的教育,使人能够自我地提高工作上的效率,避免无谓的失误。
  上述仅是对金融计算机信息系统安全问题的宏观把握,下面综合技术、法律和制度、人员要素进行微观上的探讨:
  (1)犯罪化
  为防止电子现金管理系统和应用系统被非法侵入,应该将非法侵入该系统的行为规定为犯罪,由国家的刑罚机制来进行惩治。我国《刑法》第286条(破坏计算机信息系统罪)对此种破坏电子现金管理系统和应用系统的行为作出了规定。
  为防止犯罪分子利用电子现金管理系统和应用系统进行诈骗、盗窃和其他犯罪行为,我国《刑法》第287条规定:利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的,依照本法有关规定定罪处罚。
  (2)用法律推定的方法来合理分配风险
  事后的救济,能够增强电子现金这种金融产品的安全性。通过法律来强行决定责任的归属,由此减少善意方的损失,使开发者和使用者能在电子现金出现问题时挽回合理的损失,尽管问题可能出在开发者或使用者本人身上。在上一期,已经就电子现金各个阶段出现的不安因素作了列举,下面,就这些不安因素的对策进行法律上的探讨。
  在第一阶段,应注意:
  a.在购买电子现金时,用户的资金账户或信用卡的认证信息有可能被电子现金发出行获悉,该行有保密的义务。
  b.用户应该向能够确认为具有发行电子现金业务的银行购买电子现金,以防止犯罪分子利用电子现金业务来骗取用户私人信息。
  c.用户应当确认登陆网站的域名为发出行的域名,因为在因特网上域名是惟一的,具有排他性;如果由于向不适当的域名发送信息而造成损失的,发出行不负责任。
  d.发出行应当确保资金流和信息流保持一致,在这过程中发生的纠纷,由于现有的证据已经在证实事实上有了冲突,且这种冲突是由于银行方造成的(两种信息记录不一致),应该按照有利于用户的责任分配方式处理。
  e.在用户获得电子现金后,代表电子现金的序列数就由用户自己保存。由于电子现金与传统纸币一样,是匿名使用的,电子现金一旦经过盲签(使电子现金与持有者身份脱钩)后,发出行就不再知晓该电子现金的合法购买者,而用户如果破坏掉自己所持有的电子现金序列数,就等于丧失了对该电子现金的占有。因此,用户应该对电子现金进行备份。
  在第二阶段,应注意:
  a.就商家一方,在接受电子现金时,必须将之发给发出行,在发出行给出该电子现金未被使用过的认证后才能接受,否则,一旦交易结束,商家很难就该电子现金已被使用过这一事实举出证据,因此就要承担损失。
  b.当商家与客户的基础法律关系发生纠纷时,而且电子现金已经支付完毕,此时,由于该电子现金已经过发出行的认证,不可能存在电子现金的返还,即使需要使交易双方的民事关系恢复到原状。此时,客户应该注意商家返还的应该是其他方式的资金而不是原电子现金。
  在第三阶段,应注意:
  a.对发回要求承兑的电子现金,银行应通过电子现金管理系统和应用系统进行审查,因为代表电子现金的序列数在客户处也可能有存档。
  b.银行一旦已承兑了该电子现金,应该将之作失效处理,保证用户不能就同一电子现金作两次承兑。
  c.商家在获得电子现金后,应该快速进行承兑,因为在此期间,发出行对经过其认证的电子现金,不管请求人身份如何,一旦接收,就会向请求人进行承兑。

版权所有@北京大学金融法研究中心