电子交易已经逐渐成为现代经济活动的主要形态,但电子交易尤其是直接电子交易[1]的顺利进行离不开安全的在线支付系统,而目前困扰支付系统的最大问题就是交易与支付的安全性。目前较为理想的交易模式当属SET(Secure Electronic Transaction)即安全电子交易模式,它是以信用卡为基础的在线交易与支付系统。通常情况下,该模式至少涉及五主体,即交易双方、ISP(狭义的)、在线银行、认证机构等。正确界定上述主之间(在该模式下)的法律关系是SET模式顺利进行的必要条件。
1.安全电子交易及其工作原理
安全电子交易(Secure Electronic Transaction)是指有关商务主体根据SET协议在Internet上进行的交易形式,它实际上是以信用卡为基础的网上电子交易与支付系统。为满足用户、银行、商家、软件厂商等主体的要求,它必须实现下列目标:1、信息在互联网上安全传输,不能被窃听或篡改;2、用户资料要妥善保护,商家只能看到订货信息,看不到用户账户信息;3持卡人和商家相互认证,以确定对方身份;4软件遵循相同的协议,具有兼容性和互操作性[2]。为此,MasterCard 、Visa Card等共同合作开发于96年制定并正式颁布安全电子交易协议和标准。其内容主要涉及交易协议、信息保密、资料完整及数字认证、数字签名等内容,具体包括加密算法、证书信息及格式、购买信息及格式、认可信息及格式、划账信息及格式、主体之间信息的传输协议等六部分[3]。其工作原理是:通过使用DES对称密钥算法、RSA非对称密钥算法等提供数据加密、数字签名、数字信封等功能,为信息在网络中传输提供了安全保证;通过DES算法和RSA算法相结合保证了数据的保密性;通过使用数字签名确保数据的一致性与完整性,防止数据被篡改和交易主体对自己所发送的数据抵赖;通过数字信封、双重签名确保用户信息的隐私性与关联性[4]。
2.安全电子交易的工作流程及有关主体
1)安全电子交易的工作流程
安全电子交易的整个过程一般分为交易准备阶段、交易阶段及交割清算三个阶段。交易准备阶段主要是交易双方分别与ISP、银行、认证机构等中介机构签订中介服务协议及银行与认证机构之间签订认证服协议;交易阶段是指用户(客户)向商家发送电子订货单及签名加密的信用卡信息,商家无法看到用户的信用卡信息。商家通过其收单行向发卡行要求确认用户的信用卡信息,如经确认属实,发卡行则认可并签证此交易;收单行随后也认可并签此交易并向商家返回确认信息;商家收到确认信息后向用户发送定单确认信息,交易成功。交割清算阶段包括商家向用户发送货物或提供服务及相关收据;商家通过收单行向发卡行索款等。
2)参与安全电子交易的有关主体
按照SET协议进行的交易与常规的信用卡交易基本相同,只不过由于它是在开放的Internet上实现的,为了保证交易的安全性和高效性,防止抵赖,因此,除持卡人、电子商家、电子银行参与外,还需要网络服务者ISP为所有这些主体在网上活动提供网络设施、接入服务、交流空间与技术支持服务;需要由中立的第三方主体为除ISP以外的所有主体的身份、信用提供在线认证服务服务,这种三方主体即为认证机构CA(Certification Authority);另外,SET交易通常还需要有独立于发卡行之外的信用卡收单银行专为电子商家提供信用卡收款服务。据此,参与安全电子交易的主体可分为交易主体和交易中介者两类,其中,交易主体指的是持卡人(客户)与电子商家;交易中介者指的是为电子交易提供网络服务、在线认证服务和在线支付服务者,它包括ISP、CA及电银行EB(Electronic bank)。
(1)交易主体
①持卡人:即信用卡消费者,为了能够在Internet上进行电子交易,首先,他必须与网络服务者ISP订立网络服务合同,取得入网账号,才能上网交易;其次,为了实现在线支付,他必须与电子银行EB订立信用卡在线支付合同,取得信用卡号码并建立账户;最后,为了取得电子商家的信任,他还必须与认证机构CA订立在线认证服务合同,取得个人信用数字证书。
②电子商家:即在Internet上出售其货物或提供服务的企业组织,为了能够在Internet上进行电子交易,首先,它也必须与网络服务者ISP订立网络服务合同,开立入网账号,租赁摊位或设立电子商场;其次,它也必须与信用卡收单银行订立信用卡收款服务合同;最后,它还必须与认证机构CA订立在线认证服务合同,取得数字信用证书。只有这样,才能支持客户通过Internet使用信用卡付款方式进行电子交易。
(2)交易中介服务者
①网络服务者ISP:它是为支持持卡人、电子商家、电子银行、认证机构等有关主体在线活动提供信息传输通道、信息交流平台和技术支持等中介服务者。ISP通常主要包括网络运营者、接入服务者、WEB服务器、虚拟主机提供或寄存者、电子布告板(BBS)、邮件新闻组、聊天室、网络会议室等经营管理者、提供信息搜索工具、网站监管、主页设计与维护等技术支持服务者。ISP为网上交易、在线支付、在线认证等一切活动提供中介服务,是安全电子交易的最基本的间接参与者。
②电子银行EB:即指为交易主体在线交易提供在线支付中介服务的金融机构,在安全电子交易系统中它通常包括信用卡发卡行和信用卡收单行。其中,发卡行是为用户提供信用卡付款服务的银行,其主要职责是发放信用卡、进行账目管理、接受持卡人授权通过收单行向电子商家付款;收单行是为电子商家提供在线收款服务的银行,其主要职责是接受电子商家的委托通过发卡行验证信用卡并签证交易后认可该交易,并将有关信息反馈给电子商家,以便电子商家确认交易,再根据电子商家的收款指令请求发卡行付款。可见,电子银行是安全电子交易在线支付的基础,也是SET交易最基本的间接参与者之一。
③认证机构CA:即为交易双方及电子银行在线交易和在线支付提供在线认证服务的中立第三者。其职能是通过为前述主体产生、分配和管理数字信用证书,对外防止欺诈,对内防止有关主体对自己的行为否认和抵赖,最终起到减少纠纷和为纠纷的解决提供有效的解决办法。可见,它是SET交易的安全保障者,也是安全电子交易的重要间接参与者之一。
3.安全电子交易中的法律关系
从前述SET交易流程来看,安全电子交易中的法律关系比较复杂。从法律关系的性质与作用来看,大致可分为交易关系和交易基础关系:
1)交易基础关系
交易基础关系是指为实现电子交易的安全性和高效性,而在有关主体之间所形成的法律关系,它在内容上包括在参与电子交易的有关主之间形成的除交易关系之外的法律关系。从性质上看,除认证机构与其证书信赖人之间的法律关系外,其余都属合同关系.交易基础关系主要包下五类:
(1)持卡人、电子商家、电子银行、认证机构各自与ISP之间的网络服务合同关系。这是安全电子交易中基础的法律关系。在这类法律关系中ISP作为合同的一方当事人,其主要义务是:1)依约提供安全畅通的网上通道、交流空间和技术支持服务;2)对其上述网络用户负保密义务:即ISP对其注册用户的帐号、年龄、电话等非公开信息负有保密义务;对其所知悉的有关用户在上网过程中的其它隐私、商业秘密等也负有保密义务,未经许可或依法不得擅自公开或提供给他人使用或自己用于其他商业用途;3)对自己的服务瑕疵给用户造成的损失负赔偿责任。
持卡人、电子商家、电子银行、认证机构作为网络用户的合同义务是 :1)按时交纳服务费用;2)真实陈述的义务,即对涉及ISP决定是否提供服务的有关事项如年龄、身分、住所等信息,在签订合同的时候,负有真实陈述的义务,不得欺瞒;3)遵守ISP制定的网上行为规范。
(2)持卡人、电子商家、电子银行与认证机构之间的认证服务法律关系。基于交易安全,防止欺诈、否认或抵赖,需要由中立的第三方即认证机构对持卡人、电子商家、电子银行的身份、信用情况等信息进行认证,以消除有关各方的安全疑虑,预防纠纷;同时,也为纠纷的解决提供有效的解决方法。因此,持卡人、电子商家、电子银行在参与电子交易前通常应与认证机构订立认证服务合同。据此,作为证书用户的持卡人、电子商家、电子银行的主要合同义务有:1)真实陈述的义务:即对认证机构为其颁发证书时要求提供的有关事项如身份、年龄、住所、营业范围、营业执照、许可证等重要信息,负有真实、完整陈述的义务,不得虚假陈述或故意隐瞒重要信息,否则,将构成对证书体系信赖性的损害,应承担相应的法律责任;2)使用可信赖的系统生成私蜜钥对[5]并对私蜜钥负有安全保管义务,不得向未经授权的人透露;3)即时告知的义务:一旦其私密钥出现问题,如丢失、被他人知晓等,应及时通知认证机构暂停或撤销其证书,否则,由此造成的损失,认证机构不负责任;4)按时支付服务费用的义务。
认证机构的主要义务有:1)颁发证书和发布证书信息的义务:即一旦用户具备颁发证书的条件,认证机构就应为其颁发证书并将证书信息如用户姓名、公密钥、信用等级等予以公布,以便证书信赖人据此与证书用户进行电子交易;2)保持登记记录的完整性的义务:认证机构应对证书用户的姓名、住所、经营范围、私蜜钥等重要信息的记录保持完整,不得遗漏或擅自更改,否则,一旦因此造成损失,认证机构应承担责任;3)及时暂停或撤销证书的义务:一旦用户的证书出现问题,应及时根据证书持有人的申请暂停或撤销该证书,否则,应承担相应的法律责任;4)及时告知的义务:因客观需要应对其软件、系统或设施升级或修整等涉及到停止服务的重要事项必须提前通知用户,以便证书用户做好应变准备,否则,应承担相应的责任。
持卡人、电子商家、电子银行作为证书用户与认证机构之间的法律关系在性质上属合同关系,其法律关系的具体内容多由双方通过认证服务合同加以规范,易于理解和确定。但对于持卡人、电子商家、电子银行作为证书信赖人因信赖认证机构所颁发的证书而与其证书用户进行交易时遭受损失的,由于证书信赖人与认证机构之间并无合同存,对认证机构应否承担责任,其责任的依据、性质、范围等问题,目前仍值得研究。有人认为,证书信赖人与认证机构之间的法律关系根据具体情况而有所不同。这些具体情况大致可分为四种类型:即社区认证服务型、单方证书用户型、交叉认证型、混合认证型。 其中,社区认证服务型是指交易双方均为同一认证机构的证书用户,同时又都是同一认证机构的证书信赖人。这种情况下,证书信赖人不仅可以作为证书用户享有权利,同时,也可以证书信赖人的身份要求认证机构履行谨慎从事的义务;单方证书用户型是指交易双方中只有一方是认证机构的证书用户,而另一方作为该认证机构的证书信赖人与认证机构之间存在的关系。这种情况下,证书信赖人是依照认证机构的特殊职业义务,因交易的进行而与认证机构之间形成了信赖其信用服务的观关系;交叉认证型是指交易双方分别是不同认证机构的用户而与对方认证机构之间发生的关系.这种情况下证书信赖人与认证机构之间的关系较为复杂,需要由各国或各认证机构之间的交叉认证协议来解决;混合认证型是指认证机构既提供认证服务,又提供其他服务时与证书信赖人之间发生的关系。这种混合认证关系比较复杂,它涉及到多种法律关系的相互交叉,相互制约。在分析此类案件时,应注意辨别不同性质的关系[6]。笔者认为,不管那种情况,证书信赖人与认证机构之间都不是合同关系,而只能是法定的法律关系,这种法律关系的基础在于认证机构的职业性质。从联合国贸法会及各国制定的认证法的有关规定来看,认证机构多属公用企业或公共组织,其地位类似与公证机构或银行。根据有关法律规定,公证机构负有公证、真实地发布相关信息的义务;银行在为其客户开具支票时对所有社会公众负有但保义务,即它应保证所开出不是空头支票或支票帐户上应有足额存款;一旦公证机构或银行违反其职业担保义务,应对信赖人因此造成的损失承担相应的责任。同样,证书信赖人与认证机构之间虽无合同存在,但基于认证机构的职业担保义务,二者之间仍存在法律关系,这种法律关系在本质上属法定担保关系。
(3)持卡人与发卡行之间的信用卡付款服务合同关系:持卡人使用信用卡付款,通常是先与发卡行订立信用卡付款服务合同。据此,持卡人先在发卡行存入一定的现金并开立信用卡帐户,然后,发卡行为其签发信用卡;持卡人在实际交易后由发卡行从其帐户中划出款项。因此,基于该合同,持卡人主要负有如下义务:1)依约存入一定现金的义务,这是持卡人最基本的合同义务,也是发卡行为其签发信用卡的前提条件;2)不能透支或过分透支的义务,即持卡人利用信用卡进行消费时,通常不能透支或超过约定的透支额,否则,发卡行有权拒绝为其付款;3)私密钥妥善保管与控制的义务:持卡人负有妥善保管与控制其私密钥的义务,不得擅自将其私密钥泄露给未经受权者,否则,应承担由此造成的损失;4)及时告知的义务:即一旦其私密钥丢失或泄露,应及时通知发卡行采取措施,并对发卡行收到通知前造成的损失负责;5)依约交纳服务费的义务。
发卡行的主要义务有:1)按照持卡人的指示及时足额地为其提供付款服务,否则,应承担因此产生的责任;2)及时为持卡人寄去信用卡消费账单;3)合理注意的义务:即发卡行在付款前应对付款指示的真实性负合理审查的义务,由于其未尽义务而给持卡人造成损失的,应承担相应的责任;4)及时通知的义务:一旦发卡行由于软件、系统或设施出现故障而不能提供服务时,应及时通知持卡人做好应变准备;5)妥善保管持卡人信用卡信息及私密钥,否则,应承担相应的责任。
(4)电子商家与收单行之间的收款服务合同关系:从SET交易流程来看,电子商家要实现在线收款,就必须与电子银行中的信用卡收单银行订立收款服务合同,从而与信用卡收单行建立收款服务合同关系。据此,电子商家的主要义务有:1)在收单行处存入一定的现金,开立信用卡收款帐户;2)私密钥妥善保管、不得泄露的义务,一旦其私密钥丢失或泄露,应及时通知收单行,否则,自负其则;3)依约交纳服务费的义务。
信用卡收单行的主要义务有:1)按照电子商家的要求及时对持卡人的信用卡信息予以确认,并将有关信息及时反馈给电子商家,以便电子商家能够及时决定是否确认交易;2)及时向发卡行索取货款或服务费,并划入电子商家的帐户中;3)妥善保管电子商家的私密钥,不得泄露或丢失,否则,给电子商家造成损失的,应负赔偿责任;4)及时通知的义务:即一旦由于其软件、系统或设施出现故障或其他原因不能提供服务时,应及时通知电子商家作好应变准备。
(5)发卡行与收单行之间的付款清算关系:SET交易中,通常情况下,发卡行和收单行分
别作为持卡人的付款代理人和电子商家的收款代理人,在电子商家确认交易后,收单行根据
其指令向发卡行请求付款时,发卡行并非立即付款给收单行,而是授权收单行先行付款,而后,再根据它与收单行之间的协议,与其进行清算,返还它应支付的款项。据此,收单行的主要义务是:根据发卡行的授权及时、足额地向电子商家付款;发卡行的主要义务是:在交易完成后及时与收单行进行清算,返还其应付的款项。
2)交易关系
交易关系是持卡人和电子商家之间的交易合同关系,是SET中的核心法律关系。据此,电子商家的主要义务有:1如实向用户表明其真实国籍、身份、住所、联系方式营业执照等与经营相关的信息的义务;2在显著的位置以显著明了、易懂的方式向作为消费者的持卡人如实、准确地提供与交易或服务有关信息的义务,包括标的物的质量、性能、成本、送货所需的时间、支付的方式、支付的条件、撤销定单、换货、退货、售后服务等有关事项,不得夸大或虚假陈述,以欺诈消费者;3按照合同的约定交付标的物或提供服务及相关的发票;4瑕疵担保义务,即电子商家应对其向持卡人转让的标的物或权利保证是其自己所有的或所经营管理的。这种瑕疵担保包括权利瑕疵担保和质量瑕疵担保,其中,对于前者,电子商家应保证其所交付的标的物的所有权不被第三人追索或它是标的物的合法权利者;对于后者,电子商家应保证其所交付的标的物的质量、功能或提供的服务符合约定的或通常标准;5为消费者提供安全可靠、操作方便的支付方式及与此相关的保密措施方面的信息的义务;6消费者信息资料保护的义务:不得擅自将消费者的个人信息资料公开、转让或用于其他用途。
作为消费者的持卡人的主要的权利有:1知情权:对事关其决定是否选择商品、服务和进行交易的重要信息有知悉的权利;2撤销合同(退货)或更改合同(换货)的权利:基于电子交易的特质和消费者保护之考量,法律应允许持卡人订立合同或交易后有权在法定期限内撤消合同(退货)或更改合同(换货);3个人资料或数据的支配权:作为消费者的持卡人对在交易过程中向电子商家提供的个人资料或数据享有支配权,非依法定或未经许可,电子商家不得擅自公开、用作它用或提供给他人使用。 作为消费者的持卡人的主要义务是:依约支付有关费用。
