第五章电子支付的安全保障

11三月2024第五章电子支付的安全保障阻碍我国电子商务规范发展的法律的主要问题①电子商务信息安全缺乏法律保障。②电子合同的法律效力不足。③无纸化交易难以进行税收征管。④网络虚拟财产难以保护。⑤电子商务难以进行反不正当竞争。⑥消费者的权益保护受挑战。⑦隐私权不易保护。同时，电子商务还涉及到网上虚拟市场的监管、市场交易秩序规范、跨国交易的海关监管、进出口商品检验检疫、产品质量监督、网络广告发布等系列问题，都需要有相关法律法规提供支撑。国外电子商务立法近年来，世界各国和国际组织分别制定和调整了专门的电子商务法律。联合国国际贸易法律委员会制定了《计算机记录法律价值的报告》、《电子资金传输示范法》、《电子商务示范法》、《电子商务示范法实施指南》等系列调整国际电子商务活动的法律文件。国际上40多个国家和地区已制定颁布了实质意义上电子商务法。如美国《统一电子交易法》、《国际与跨州电子签章法》、俄罗斯《联邦信息法》、意大利《数字签名法》等，对电子商务涉及的各领域、环节、对象做出了明确的界定。我国的电子商务立法现阶段我国涉及电子商务的立法有《合同法》、《物权法》、《著作权法》、《专利法》等；同时，我国在法律调整中增加了适应电子商务发展的有关内容，如《电子签名法》承认了数据签名的法律效力，新《刑法》中首次增加了计算机犯罪的罪名，《合同法》第十一条确认了数据电文、电子邮件的法律效力，《行政许可法》中明确了数据电文的有效性。最高人民法院近年来先后出台了若干涉及互联网和电子商务的司法解释。5.1《中华人民共和国电子签名法》2004年8月28日第十届全国人民代表大会常务委员会第十一次会议通过自2005年4月1日起施行电子签名法是以规范作为电子商务（也包括电子政务）信息载体的数据电文和当事人在数据电文上以电子数据形式“签名”为主要内容的法律制度。电子商务和电子政务发展过程中的法律障碍①书面形式问题。②原件和保存问题。③签名问题。④电子签名的规则不明确，对电子签名人的行为缺乏规范，发生纠纷后责任难以认定。⑤电子认证服务提供者的法律地位和法律责任不明确，行为不规范，认证的合法性难以保证。⑥电子签名的安全性、可靠性没有法律保障，交易方对电子交易的安全缺乏信心。电子签名法的适用范围

电子签名法的适用范围有一定的前瞻性和包容性，即主要适用于商务活动，但又不限于商务活动。所有使用电子签名、数据电文的领域，关于电子签名、数据电文的法律效力问题，均适用电子签名法的规定。同时，考虑到经济、社会等方面的行政管理活动中使用数据电文、电子签名的特殊情况，电子签名法授权国务院依据本法制定政务活动和其他社会活动中使用电子签名、数据电文的具体办法。此外，基于交易安全和社会公共利益的考虑，借鉴一些国家的做法，电子签名法规定在一些特定范围内的法律文书，不适用电子签名法关于电子签名、数据电文的法律效力的规定。包括：①涉及婚姻、收养、继承等人身关系的；②涉及土地、房屋等不动产权益转让的；③涉及停止供水、供热、供气、供电等公用事业服务的；④法律、行政法规规定的不适用电子文书的其他情形。

5.1.1电子签名法的主要内容

(1)关于数据电文、电子签名的法律效力

数据电文、电子签名的法律效力问题，是电子签名法要解决的首要问题。电子签名法第三条明确规定：“民事活动中的合同或者其他文件、单证等文书，当事人可以约定使用或者不使用电子签名、数据电文。”“当事人约定使用电子签名、数据电文的文书，不得仅因为其采用电子签名、数据电文的形式而否定其法律效力。”

①关于书面形式。电子签名法第四条规定：“能够有效地表现所载内容，并可以随时调取查用的数据电文，视为符合法律、法规要求的书面形式。”②关于原件形式要求。电子签名法第五条规定：“符合下列条件的数据电文，视为满足法律、法规规定的原件形式要求：能够有效地表现所载内容并可供随时调取查用；能够可靠地保证自最终形成时起，内容保持完整、未被更改。但是，在数据电文上增加背书以及数据交换、储存和显示过程中发生的形式变化不影响数据电文的完整性。”数据电文的法律效力③关于文件保存要求。电子签名法第六条规定：“符合下列条件的数据电文，视为满足法律、法规规定的文件保存要求：能够有效地表现所载内容并可供随时调取查用；数据电文的格式与其生成、发送或者接收时的格式相同，或者格式不相同但是能够准确表现原来生成、发送或者接收的内容；能够识别数据电文的发件人、收件人以及发送、接收的时间。”④关于证据效力。电子签名法第七条规定：“数据电文不得仅因为其是以电子、光学、磁或者类似手段生成、发送、接收或者储存的而被拒绝作为证据使用。”同时第八条规定：“审查数据电文作为证据的真实性，应当考虑以下因素：生成、储存或者传递数据电文方法的可靠性；保持内容完整性方法的可靠性；用以鉴别发件人方法的可靠性；其他相关因素。”

⑤关于数据电文的归属电子签名法第九条规定：数据电文有下列情形之一的，视为发件人发送：经发件人授权发送的发件人的信息系统自动发送的收件人按照发件人认可的方法对数据电文进行验证后结果相符的⑥关于数据电文的收讫确认电子签名法第十条规定：法律、行政法规规定或者当事人约定数据电文需要确认收讫的，应当确认收讫。发件人收到收件人的收讫确认时，数据电文视为已经收到⑦关于数据电文的发送和接收时间电子签名法第十一条规定：数据电文进入发件人控制之外的某个信息系统的时间，视为该数据电文的发送时间。收件人指定特定系统接收数据电文的，数据电文进入该特定系统的时间，视为该数据电文的接收时间；未指定特定系统的，数据电文进入收件人的任何系统的首次时间，视为该数据电文的接收时间。⑧关于数据电文的发送和接收地点进行了规定。电子签名法第十二条规定：发件人的主营业地为数据电文的发送地点，收件人的主营业地为数据电文的接收地点。没有主营业地的，其经常居住地为发送或者接收地点。电子签名的法律效力

电子签名法第十四条规定：“可靠的电子签名与手写签名或者盖章具有同等的法律效力。”并在第十三条第一款规定了可靠的电子签名的条件，即：电子签名制作数据用于电子签名时，属于电子签名人专有；签署时电子签名制作数据仅由电子签名人控制；签署后对电子签名的任何改动能够被发现；签署后对数据电文内容和形式的任何改动能够被发现。”同时在第十三条第二款规定：“当事人也可以选择使用符合其约定的可靠条件的电子签名。”也就是说，只要电子签名符合法律规定或者当事人约定的可靠条件，就与手写签名或者盖章具有同等的法律效力。(2)关于电子认证机构的管理根据我国的实际情况，电子签名对电子认证机构采用了政府主导的管理模式，对电子认证服务设立了市场准入制度，即从事电子认证服务必须取得政府有关部门的许可。电子签名法第十七条、第十八条规定，从事电子认证服务必须具备一定的条件，并取得国务院信息产业主管部门的许可。并在第二十五条规定授权国务院信息产业主管部门依照本法制定电子认证服务业管理的具体办法。电子认证机构的义务电子签名法还对电子认证机构的义务进行了规定，主要包括：电子认证服务提供者应当制定、公布符合国家有关规定的电子认证业务规则，并向国务院信息产业主管部门备案；电子认证服务提供者应当对电子签名认证申请人的身份进行查验，并对有关材料进行审查；电子认证服务提供者应当保证电子签名认证证书内容在有效期内完整、准确，并保证电子签名依赖方能够证实或者了解电子签名认证证书所载内容及其他有关事项；电子认证服务提供者拟暂停或者终止电子认证服务的，应当在暂停或者终止服务九十日前，就业务承接及其他有关事项通知有关各方。同时，应当在暂停或者终止服务六十日前向国务院信息产业主管部门报告，并与其他电子认证服务提供者就业务承接进行协商，作出妥善安排。电子认证服务提供者应当妥善保存与认证相关的信息，时间为电子签名认证证书失效后至少五年。此外，电子签名法还对电子签名活动各方的法律责任等问题作出了规定。5.1.2《电子签名法》对业界的影响

首先是对中国电子商务有很大的促进和有力发展的作用。其次是对金融界的影响，《电子签名法》的出台将对银行的经营和改革起着极大的推动和促进作用。再其次是对《票据法》的改革，有了《电子签名法》作母法，中国的票据法应加快改革，中国银行界一定要抓住机遇，以《电子签名法》作依据，制定和完善整套的银行新法规。还有网上证券的交易、网上税务等等一方面是缺乏好的的安全支付协议，更主要就是没有数字签名的法律保障。技术是基础，法律是保证。另外就是对《合同法》的修改，合同也可以以电子文件形式出现。无庸质疑，《电子签名法》的出台，引起了金融、商务、税务网上交易和处理的一次革命，它将大大推动我国电子商务和电子政务的发展，加快在途资金流和物流的流通，提高经营效益。电子签名法第一案案情简介

2004年1月，杨先生结识了女孩韩某。同年8月27日，韩某发短信给杨先生，向他借钱应急，短信中说:“我需要5000，刚回北京做了眼睛手术，不能出门，你汇到我卡里”。杨先生随即将钱汇给了韩某。一个多星期后，杨先生再次收到韩某的短信，又借给韩某6000元。因都是短信来往，二次汇款杨先生都没有索要借据。此后，因韩某一直没提过借款的事，而且又再次向杨先生借款，杨先生产生了警惕，于是向韩某催要。但一直索要未果，于是起诉至海淀法院，要求韩某归还其11000元钱，并提交了银行汇款单存单两张。但韩某却称这是杨先生归还以前欠她的欠款。

为此，在庭审中，杨先生在向法院提交的证据中，除了提供银行汇款单存单两张外，还提交了自己使用的号码为"1391166XXXX"的飞利浦移动电话一部，其中记载了部分短信息内容。如：2004年8月27日15:05，那就借点资金援助吧。2004年8月27日15:13，你怎么这么实在！我需要五千，这个数不大也不小，另外我昨天刚回北京做了个眼睛手术，现在根本出不了门口，见人都没法见，你要是资助就得汇到我卡里！等韩某发来的18条短信内容。

后经法官核实，杨先生提供的发送短信的手机号码拨打后接听者是韩某本人。而韩某本人也承认，自己从去年七八月份开始使用这个手机号码。法庭判决

法院经审理认为，依据《最高人民法院关于民事诉讼证据的若干规定》仲的关于承认的相关规定，"1391173XXXX"的移动电话号码是否由韩女士使用，韩女士在第一次庭审中明确表示承认，在第二次法庭辩论终结前韩女士委托代理人撤回承认，但其变更意思表示未经杨先生同意，亦未有充分证据证明其承认行为是在受胁迫或者重大误解情况下作出，原告杨先生对该手机号码是否为被告所使用不再承担举证责任，而应由被告对该手机其没有使用过承担举证责任，而被告未能提供相关证据，故法院确认该号码系韩女士使用。

依据2005年4月1日起施行的《中华人民共和国电子签名法》中的规定，电子签名是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。数据电文是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。移动电话短信息即符合电子签名、数据电文的形式。同时移动电话短信息能够有效的表现所载内容并可供随时调取查用;能够识别数据电文的发件人、收件人以及发送、接收的时间。经本院对杨先生提供的移动电话短信息生成、储存、传递数据电文方法的可靠性;保持内容完整性方法的可靠性;用以鉴别发件人方法的可靠性进行审查，可以认定该移动电话短信息内容作为证据的真实性。根据证据规则的相关规定，录音录像及数据电文可以作为证据使用，但数据电文可以直接作为认定事实的证据，还应有其它书面证据相佐证。

通过韩女士向杨先生发送的移动电话短信息内容中可以看出：2004年8月27日韩女士提出借款5000元的请求并要求杨先生将款项汇入其卡中，2004年8月29日韩女士向杨先生询问款项是否存入，2004年8月29日中国工商银行个人业务凭证中显示杨先生给韩女士汇款5000元;2004年9月7日韩女士提出借款6000元的请求，2004年9月8日中国工商银行个人业务凭证中显示杨先生给韩女士汇款6000元。2004年9月15日至2005年1月韩女士屡次向杨先生承诺还款。

杨先生提供的通过韩女士使用的号码发送的移动电话短信息内容中载明的款项往来金额、时间与中国工商银行个人业务凭证中体现的杨先生给韩女士汇款的金额、时间相符，且移动电话短信息内容中亦载明了韩女士偿还借款的意思表示，两份证据之间相互印证，可以认定韩女士向杨先生借款的事实。据此，杨先生所提供的手机短信息可以认定为真实有效的证据，证明事实真相，本院对此予以采纳，对杨先生要求韩女士偿还借款的诉讼请求予以支持。

分析

在本案中，法官引用了电子签名法的有关规定裁判了本案，根据对本案的描述，依据电子签名法，本案中的手机短信可以作为证据。根据我国电子签名法第八条的规定，审查数据电文作为证据的真实性，应当考虑的因素是：“生成、储存或者传递数据电文方法的可靠性；保持内容完整性方法的可靠性；用以鉴别发件人方法的可靠性；其他相关因素。”也就是说，审查一个数据电文作为证据的真实性，主要是从该系统的操作人员、操作的程序、信息系统本身的安全可靠性等几个方面来考量的。如审查传送数据电文的系统是否具备相当的稳定性，被非法侵入、篡改的可能性有多大，操作时是否严格按照所要求的程序来进行，能否有效地鉴别发信人，等等。

根据有关报道，本案是我国电子签名法实施后，法院依据电子签名法裁判的第一起案例，意义重大，意味着我国的电子签名法真正开始走入司法程序，数据电文、电子签名、电子认证的法律效力得到了根本的保障，通过电子签名法的实施，基本上所有与信息化有关的活动在法律的层面都有了自己相应的判断标准。5.2《电子支付指引（第一号）》

2005年10月26日，中国人民银行发布了《电子支付指引（第一号）》（中国人民银行公告[2005]第23号，以下简称《指引》），对银行从事电子支付业务提出指导性要求，以规范和引导电子支付的发展。(1)电子支付的含义《指引》所称的电子支付是指单位、个人直接或授权他人通过电子终端发出支付指令，实现货币支付与资金转移的行为。电子支付的类型按电子支付指令发起方式分为网上支付、电话支付、移动支付、销售点终端交易、自动柜员机交易和其他电子支付。对电子支付业务进行引导和规范的目的《指引》的实施将有利于规范电子支付活动，推动电子银行业务和电子商务的健康、有序发展；有利于明确电子支付活动参与各方的权利义务，防范支付风险；有利于推动支付工具创新，提升支付服务质量；有利于防范和打击洗钱及其它金融违法犯罪活动。(2)为什么采用“指引”的形式来规范电子支付活动？目前,我国电子支付业务处于创新发展时期,而涉及电子支付业务的许多法律制度问题仍处研究和探索阶段。为了给电子支付业务的创新和发展创造较为宽松的制度环境，促进电子支付效率的提高，保障电子支付安全，本着在发展中规范，以规范促进发展的指导思想，人民银行决定先通过“指引”这种规范性文件的方式引导和规范电子支付行为，待条件成熟后再上升至相应的部门规章或法律法规。(3)《指引》的适用范围《指引》的规范主体主要是银行及接受其电子支付服务的客户。根据参与主体的不同，电子支付分为发生在银行之间的电子支付、银行与其客户间的电子支付以及其他支付服务组织与其客户之间的电子支付。《指引》以调整银行和客户之间的关系为主线，引导和规范境内发生的银行为客户提供的电子支付业务。《指引》对银行在电子支付活动中的信息披露要求为维护客户权益，《指引》要求办理电子支付的银行必须公开、充分披露其电子支付业务活动中的基本信息，尤其强调对电子支付业务风险的披露;要求银行明示特定电子支付交易品种可能存在的全部风险，包括该品种的操作风险、未采取的安全措施、无法采取安全措施的安全漏洞；要求银行明示客户使用特定电子支付交易品种可能产生的风险；要求银行提醒客户妥善保管、妥善使用、妥善授权他人使用电子支付交易存取工具。同时，《指引》还要求银行建立电子支付业务运作重大事项报告制度，按有关法律法规披露电子支付交易信息，及时向有关部门报告电子支付业务经营过程中发生的危及安全的事项。《指引》对电子支付活动中客户和银行的权利义务的基本规定《指引》明确要求，客户申请电子支付业务，必须与银行签订相关协议，并对协议的必要事项进行了列举。银行有权要求客户提供其身份证明资料，有义务向客户披露有关电子支付业务的初始信息并妥善保管客户资料。《指引》要求客户应按照其与发起行的协议规定，发起电子支付指令；要求发起行建立必要的安全程序，对客户身份和电子支付指令进行确认，并形成日志文件等记录；要求银行按照协议规定及时发送、接收和执行电子支付指令，并回复确认。同时还明确了电子支付差错处理中，银行和客户应尽的责任。（六）电子支付安全和信息安全《指引》要求银行采用符合有关规定的信息安全标准、技术标准、业务标准；建立针对电子支付业务的管理制度，采取适当的内部制约机制；保证电子支付业务处理系统的安全性，以及数据信息资料的完整性、可靠性、安全性、不可抵赖性；提倡使用第三方认证，并应妥善保管密码、密钥等认证数据；明确银行对客户的责任不因相关业务的外包关系而转移，并应与开展电子支付业务相关的专业化服务机构签订协议，并确立综合性、持续性的程序，以管理其外包关系；同时还要求银行具有一定的业务容量、业务连续性、应急计划等。《指引》还要求银行根据审慎性原则，针对不同客户，在电子支付类型、单笔支付金额和每日累计支付金额等方面作出合理限制。同时，明确提出了在三种情况下的具体金额限制，即“银行通过互联网为个人客户办理电子支付业务，除采用数字证书、电子签名等安全认证方式外，单笔金额不应超过1000元人民币，每日累计金额不应超过5000元人民币。”；“银行为客户办理电子支付业务，单位客户从其银行结算账户支付给个人银行结算账户的款项，其单笔金额不得超过5万元人民币，但银行与客户通过协议约定，能够事先提供有效付款依据的除外。”“银行应在客户的信用卡授信额度内，设定用于网上支付交易的额度供客户选择，但该额度不得超过信用卡的预借现金额度”等。这些措施对防范电子支付风险，保障客户资金安全将发挥积极作用。《指引》要求银行在物理上保证电子支付业务处理系统的设计和运行能够避免电子支付交易数据在传送、处理、存储、使用和修改过程中被泄露和篡改；采取有效的内部控制措施为交易数据保密；在法律法规许可和客户授权的范围内妥善保管和使用各种信息和