劉滿達 葛佳妮
內(nèi)容提要:二維碼簽名是一種特殊的電子簽名,其易篡改、可溯性弱、可視性弱、驗證要素多元化等特征決定了其效力認定無法完全適用 《電子簽名法》第十三條的規(guī)定。從技術(shù)角度來看,只有當它賴以生成、驗證、傳輸?shù)南到y(tǒng)設(shè)備符合一定的技術(shù)標準時,才能保證簽名的安全可靠。從法律角度來看,二維碼的市場準入標準和商戶資質(zhì)標準影響著二維碼支付市場的穩(wěn)定和簽名的安全性,而認證標準的缺位以及簽名人的權(quán)益保護制度都在一定程度上影響著簽名的法律效力?!峨娮雍灻ā返谑龡l只能為二維碼簽名可靠性認定規(guī)則的制定提供主要參考方向,另外可借鑒聯(lián)合國國際貿(mào)易法委員會制訂的 《〈電子簽名示范法〉實施指南》的相關(guān)規(guī)定,從技術(shù)、商業(yè)以及法律的角度規(guī)范二維碼可靠性的認定因素。
二維碼簽名的運用越來越普遍,但是國內(nèi)外關(guān)于二維碼簽名法律效力的研究仍很薄弱。二維碼簽名與傳統(tǒng)的電子簽名有很大的差別,無論是從表現(xiàn)形式、交易場景還是對技術(shù)的依賴程度上,都有明顯不同,我國 《電子簽名法》關(guān)于電子簽名的可靠性認定標準不能完全適用于二維碼簽名。因此,如何設(shè)計新的法律規(guī)則來彌補傳統(tǒng)制度的不足就顯得極為迫切。
現(xiàn)實生活中的掃碼支付本質(zhì)上就是一種簽名行為,掃碼行為能夠識別和確認掃碼人的身份并表明掃碼人對所簽信息的意圖。因此,二維碼簽名也是一種電子簽名,但又具有區(qū)別于其他類型電子簽名的特征:
一是易篡改。一方面,二維碼的表現(xiàn)形式與傳統(tǒng)電子簽名不同,是以圖形的形式展現(xiàn)在消費者或商家的面前,本身不能夠?qū)λ鶖y帶的內(nèi)容進行直觀展示,圖像易被偷換和篡改。另一方面,二維碼制作門檻低、操作簡單,實踐中不法分子容易將商家收款碼更換成自己制作的二維碼,通過驗證簽名后將交易資金轉(zhuǎn)入其賬戶。
二是可溯性弱。一方面,從條碼支付過程來看,若有不法分子竊取他人信息并生成二維碼,通過掃碼轉(zhuǎn)賬或掃碼支付轉(zhuǎn)移財產(chǎn),此時進行簽名認證的主體實際上不是二維碼持有人,通過此種手段利用他人身份進行支付 (即所謂的未經(jīng)授權(quán)的支付),很難追溯到使用者的真正身份。另一方面,二維碼支付具有信息單向交互的風(fēng)險,支付中只能實現(xiàn)發(fā)起方或接收方的單向信息交互,不法分子可利用該弱點實施 “中間人攻擊”,繞過身份認證機制,造成用戶資金損失。此外,還可通過木馬程序、病毒軟件攔截交易并通過多方流轉(zhuǎn)資金或盜取他人賬戶的方式套取資金,因此,即使能追溯到資金匯入的賬戶也很難確定賬戶的真正操作者。
三是可視性弱。二維碼就是一張存儲信息并以特定格式展現(xiàn)的圖形,依賴于利用計算機圖形學(xué)和圖像處理技術(shù),將復(fù)雜的數(shù)據(jù)轉(zhuǎn)換成清晰易懂的圖形圖像表現(xiàn)出來,再進行交互處理的理論、方法和技術(shù)。①宋珍寶、李甲奇:《數(shù)據(jù)可視化概念研究》,載 《科學(xué)技術(shù)》2016年第9期。由于目前使用者更加注重對生成技術(shù)快捷性和成本效益的追求,往往使用技術(shù)門檻較低的二維碼生成程序,技術(shù)含量低,所生成的二維碼往往大同小異,以純粹抽象的幾何圖形為主,可視化特性極弱,不具有明顯的分辨率和標識性。
四是驗證要素多元化。為保障交易安全,中國人民銀行2017年頒布的 《條碼支付業(yè)務(wù)規(guī)范(試行)》(銀發(fā) 〔2017〕296號)第十條對交易時所需的驗證要素進行了規(guī)定。二維碼持有者在掃碼時需要通過驗證后實現(xiàn)支付,可組合選用三種要素:客戶本人知悉的要素;僅客戶本人持有并特有的,不可復(fù)制或者不可重復(fù)利用的要素;客戶本人生物特征要素。同時,該規(guī)范第十二條規(guī)定了根據(jù)三類要素的組合情況,決定風(fēng)險防范能力等級 (如ABCD),并分別對應(yīng)累計限額措施,實現(xiàn)對條碼支付業(yè)務(wù)的限額管理。不同等級需要組合使用不同的驗證要素,交易額越大,風(fēng)險等級越高,所需要驗證要素的要求就越多。
二維碼簽名的以上特性常被不法分子利用,并導(dǎo)致用戶在隱私信息、財產(chǎn)安全等方面的損失。從實踐情況看,二維碼簽名的潛在風(fēng)險主要有以下幾種。
第一,盜用支付信息實施精準詐騙。二維碼簽名往往與用戶個人信息綁定,在二維碼使用過程中,簽名者需要向客戶端或第三方支付機構(gòu)提供個人資料,包括身份證號碼、手機號碼、銀行賬戶、支付密碼等隱私信息。②Chong Yuan,Yue Zhang,Ye Liu,Safety Analysis and Strategy of Alipay,International Journal of Advanced Pervasive and Ubiquitous Computing.,Vol.8,2016,p.31.在使用時也需憑借個人信息進行支付驗證,第三方支付機構(gòu)、電子認證機構(gòu)對于此類信息若沒有盡到妥善儲存和傳輸?shù)牧x務(wù),就容易造成上述隱私信息泄露并被不法分子利用。
適配體因與不同待測物結(jié)合后折疊構(gòu)象的不同,而表現(xiàn)出較高的選擇性,從而引起其上帶負電荷的磷酸基團遠離電極表面,進而引起電位的改變。適配體較高的選擇性和靈敏度可將電位傳感器的檢測限降低至fmol·L-1。
第二,植入惡意程序竊取隱私信息。二維碼屬于一種開放的編碼方式,具有信息承載功能,不法分子利用其易被復(fù)制和篡改的漏洞,以二維碼為入口,可以將木馬程序或者病毒軟件植入二維碼中實施網(wǎng)絡(luò)詐騙。
第三,篡改二維碼簽名轉(zhuǎn)移財產(chǎn)。表現(xiàn)為三種行為方式:一是商戶二維碼被偷換。一些商戶基于成本的考慮,使用靜態(tài)二維碼作為收款碼或者商品信息載體,靜態(tài)二維碼的安全系數(shù)低,可視化特性弱,被偷換和更改時不易被發(fā)現(xiàn),不法分子可將商戶的二維碼換成自己的二維碼,掃碼后交易金額轉(zhuǎn)入其賬戶實現(xiàn)資金轉(zhuǎn)移。二是用戶二維碼被竊取。二維碼簽名以手機等電子產(chǎn)品為媒介,實踐中時有不法分子利用受害人手機,用付款二維碼掃碼支付,獲取關(guān)聯(lián)銀行卡內(nèi)資金,或通過商戶掃碼盜刷受害人支付寶或微信賬戶及綁定銀行賬戶,套取現(xiàn)金。三是簽名指令被劫持。二維碼支付數(shù)據(jù)的傳輸和儲存主要基于公共網(wǎng)絡(luò)進行,由于公共網(wǎng)絡(luò)的不穩(wěn)定性以及指令傳輸形成的時間差,支付指令在傳輸過程中可能存在被不法分子劫持并篡改的風(fēng)險,通過簽名人對修改后的指令授權(quán)轉(zhuǎn)移資金。
《電子簽名法》第十四條規(guī)定可靠的電子簽名具有與親筆簽名同等的法律效力。電子簽名的可靠性取決于兩個方面:一是電子簽名形式是否能夠得到法律上的認可,即是否具備法律效力;二是電子簽名在技術(shù)上是否真正達到簽名確認功能,以確定特定活動中的法律關(guān)系。③周桂雪、潘自勤:《法庭科學(xué)領(lǐng)域下電子簽名的可靠性分析》,載 《科技與法律》2018年第4期。二維碼作為科技創(chuàng)新的產(chǎn)物,其可靠性依賴技術(shù)手段才能實現(xiàn)。技術(shù)因素影響著二維碼簽名是否能在一個安全可靠的環(huán)境下完成支付流程;同時,法律上的規(guī)定是賦予二維碼簽名效力的直接依據(jù)。
二維碼的 “生成”和 “識讀”這兩個環(huán)節(jié)至關(guān)重要。在生成時,由于二維碼簽名技術(shù)門檻低,容易被篡改攜帶惡意代碼而存在安全隱患。在識讀環(huán)節(jié),客戶端的安全系數(shù)以及掃碼設(shè)備的安全程度都決定著二維碼簽名是否能夠準確無誤地被掃碼,是否能夠防范信息泄露。綜合來說,影響二維碼簽名法律效力的技術(shù)因素主要有:
一是二維碼簽名的表征。二維碼的碼型是開放的,存在易被改性、可溯性弱等特點,其主要風(fēng)險包括四類:第一,可視化風(fēng)險。由于二維碼可視化弱的特性,用戶無法通過圖形直觀辨別和鑒定,易被替換。簽名后對電子簽名及數(shù)據(jù)電文內(nèi)容和形式的改動很難被發(fā)現(xiàn),這一特性使其無法符合 《電子簽名法》第十三條關(guān)于電子簽名的可靠性認定條件。第二,易攜帶惡意代碼的風(fēng)險。二維碼不僅可用于支付,其強大的兼容性也可用于儲存惡意程序代碼、非法鏈接等內(nèi)容,易被不法分子利用。第三,信息單向交互的風(fēng)險。二維碼支付是脫離物理媒介進行的交易,只能實現(xiàn)發(fā)起方或接收方的單向驗證,不法分子若劫持客戶與商戶之間、商戶與后臺之間的通信網(wǎng)絡(luò),截獲并惡意修改訂單等交易信息,易造成用戶資金損失。第四,掃碼設(shè)備安全強度低帶來的風(fēng)險。
二是簽名技術(shù)的準入門檻。目前市場上使用的QR碼是國家標準碼制。長期以來,我國使用的QR碼技術(shù)是使用日本的技術(shù)標準。2015年雖然頒布了新的技術(shù)標準,但由于專利申請門檻過高,至今使用的仍是2000年日本的技術(shù)標準,而沒有在國內(nèi)申請新標準的專利、免費開放的市場策略導(dǎo)致QR二維碼制碼技術(shù) “零門檻”。中國人民銀行2017年頒布的 《條碼支付安全技術(shù)規(guī)范 (試行)》(銀辦發(fā) 〔2017〕242號)規(guī)定了條碼應(yīng)使用符合國家標準的碼制,至此,在法律層面統(tǒng)一了二維碼的使用標準。遺憾的是,該規(guī)范并沒有對二維碼提出更高的要求,而是以此肯定了目前所使用的二維碼的合法性。再加之目前二維碼市場缺少安全技術(shù)手段對手機掃碼進行管控,沒有相應(yīng)的技術(shù)跟進,引發(fā)的問題也層出不窮,這是導(dǎo)致二維碼亂象的最主要原因。
三是終端驗證的安全性。終端驗證不僅決定著二維碼簽名是否能夠使用,更關(guān)乎著第三方支付機構(gòu)以及認證機構(gòu)在發(fā)生損害時的責任分配,即是否達到規(guī)定的技術(shù)標準以確保二維碼支付安全進行。目前用戶使用的移動終端大都為智能手機或平板電腦,它采用的是OS操作系統(tǒng)或者開放性的Android系統(tǒng),該系統(tǒng)存在易被反編譯、侵入的隱患。④劉春暉:《移動終端支付的安全性研究》,載 《數(shù)字通信世界》2017年第9期?!稐l碼支付安全技術(shù)規(guī)范 (試行)》規(guī)定從身份信息管理、交易異常處理、客戶端軟件完整性等幾個方面來保障移動終端的安全,但這顯然是不全面的,移動終端的風(fēng)險源于其自帶的系統(tǒng)和語言特性,僅從加強密碼的復(fù)雜度來保證信息安全是不夠的,而對于交易異常并向客戶端提示錯誤信息也不屬于事后救濟。因此,該規(guī)范并沒有提出一個切實有效的防范措施。最根本的方法是從升級系統(tǒng)、提高安全系數(shù)入手,在此基礎(chǔ)上強化個人信息的安保措施。
四是網(wǎng)絡(luò)支付的基礎(chǔ)設(shè)施。一方面,目前我國尚未形成具有整體協(xié)同能力的防御體系,信息系統(tǒng)的脆弱性最終都轉(zhuǎn)化為網(wǎng)絡(luò)安全的綜合風(fēng)險,使得傳統(tǒng)的單點防護模式難以適應(yīng)甚至失去作用。另一方面,無線網(wǎng)絡(luò)本身是公共網(wǎng)絡(luò)設(shè)施,并未因為二維碼支付而進行升級或優(yōu)化,這使得在無線網(wǎng)絡(luò)環(huán)境下,二維碼交易在隱私信息保護、支付指令傳達、密鑰傳輸與驗證等方面存在安全隱患。
任何一項技術(shù)都不具有當然被法律接受的屬性,它可能具有的法律效力只能通過立法途徑、司法保護或協(xié)議形式得以確認,其中,立法的認可是最有效的。⑤鄧杰:《論電子簽名的法律功能與法律效力》,載 《武漢大學(xué)學(xué)報 (哲學(xué)社會科學(xué)版)》2006年第2期。
第一,我國法律規(guī)范關(guān)于簽名效力的規(guī)定。二維碼簽名作為技術(shù)創(chuàng)新的產(chǎn)物,對我國現(xiàn)有法律制度提出了挑戰(zhàn)。一方面,從現(xiàn)有法律的規(guī)定來看,關(guān)于二維碼簽名的法律效力,我國沒有出臺專門的法規(guī)來定義,二維碼簽名從性質(zhì)上屬于電子簽名的一種,但由于自身屬性與一般電子簽名有很大的差別,很難滿足 《電子簽名法》第十三條規(guī)定的可靠性條件。另一方面,央行雖然自2010年開始陸續(xù)頒布了 《非金融機構(gòu)支付管理辦法》(中國人民銀行令 〔2010〕第2號)、《條碼支付業(yè)務(wù)規(guī)范 (試行)》《條碼支付安全技術(shù)規(guī)范 (試行)》與 《條碼支付受理終端技術(shù)規(guī)范 (試行)》 (銀辦發(fā) 〔2017〕242號)等一系列規(guī)章來規(guī)范二維碼簽名的使用,對條碼技術(shù)、交易事項以及當事人的義務(wù)做出了規(guī)定,但都是從安全保障的角度去規(guī)定各方的義務(wù)。在無法適用 《電子簽名法》的前提下,二維碼簽名的法律效力究竟如何認定仍處于缺位狀態(tài)。因此,通過立法賦予二維碼簽名法律效力是當前亟待解決的關(guān)鍵問題。
第二,商家資質(zhì)審核與市場準入標準。為規(guī)范商戶的準入要求,《條碼支付業(yè)務(wù)規(guī)范 (試行)》第二十四條第一款、第二款做出了具體規(guī)定,并將條碼支付特約商戶納入特約商戶信息管理系統(tǒng)及黑名單管理機制,為確保消費者條碼支付安全、消除條碼支付金融風(fēng)險奠定了基礎(chǔ)。
第三,簽名技術(shù)和檢測認證標準。在技術(shù)規(guī)范上,央行雖然頒布了 《條碼支付安全技術(shù)規(guī)范(試行)》與 《條碼支付受理終端技術(shù)規(guī)范 (試行)》,但隨著二維碼簽名出現(xiàn)的各種安全和技術(shù)問題,現(xiàn)有的標準已經(jīng)不能滿足現(xiàn)實的要求。有不少學(xué)者提出了應(yīng)當提高條碼的標準,建立運用核心技術(shù)和有自主知識產(chǎn)權(quán)的二維碼,以此來對應(yīng)中國標準信息系統(tǒng)、代碼標準和不同領(lǐng)域的要求。⑥徐展:《移動手機掃碼支付風(fēng)險及應(yīng)對措施》,載 《金融經(jīng)濟》2019年第4期。同時,我國的檢測認證標準仍處于缺位的狀態(tài),更未建立國家統(tǒng)一推行的認證體系。
第四,簽名人的權(quán)益保護制度。就二維碼支付而言,簽名人的安全保障權(quán)主要包括隱私信息得到有效保護、交易資金得到安全保障、支付指令能夠順利到達、發(fā)生損失后能夠及時止損并得到補救等。目前,這些方面還存在不少問題。一是隱私信息未能獲得充分保障。我國 《非銀行支付機構(gòu)網(wǎng)絡(luò)支付業(yè)務(wù)管理辦法》(中國人民銀行公告 〔2015〕第43號)第二十條規(guī)定,支付機構(gòu)須以 “最小化”原則采集、使用、存儲和傳輸客戶信息,但是 “最小化”的界限仍由支付機構(gòu)來定義。二是法律效力評價標準缺失。從 《條碼支付業(yè)務(wù)規(guī)范 (試行)》來看,沒有對簽名人、商戶、電子認證機構(gòu)以及侵權(quán)行為人的法律責任和行為效果作出相關(guān)規(guī)定。雖然我國 《電子簽名法》第二十七條、第二十八條、第三十條對簽名人和電子認證機構(gòu)具有過錯時應(yīng)承擔的法律責任進行了規(guī)定,但沒有進一步規(guī)定責任范圍。三是用戶面臨舉證難的窘境。二維碼支付流程由第三方支付機構(gòu)設(shè)定,交易時所產(chǎn)生的數(shù)據(jù)根據(jù)用戶與第三方支付機構(gòu)之間的協(xié)議儲存在其后臺系統(tǒng),包括但不限于登錄時的驗證記錄、款項的流轉(zhuǎn)、交易的時間、驗證要素匹配成功與否以及其他相關(guān)數(shù)據(jù)。用戶很難獲取此類數(shù)據(jù),但支付機構(gòu)獲取和處理卻很便利。⑦尹衍波:《電子商務(wù)法規(guī)》,清華大學(xué)出版社2007年版,第226頁。
我國 《電子簽名法》第十三條第一款規(guī)定了可靠電子簽名需要具備的四個條件,第二款規(guī)定了當事人可以自行約定電子簽名的可靠性條件。二維碼簽名作為電子簽名的一種,本應(yīng)適用該條規(guī)定,但二維碼的特征使其無法通過適用第十三條而獲得效力,需要調(diào)整法律來規(guī)定符合二維碼簽名特征的相關(guān)可靠性條件。
二維碼簽名是否可靠,即是否具有法律效力,應(yīng)考察是否具備以下因素或條件:
第一,二維碼簽名數(shù)據(jù)為持有者專有。《電子簽名法》第二條規(guī)定了電子簽名是具有識別簽名人身份并表明簽名人認可其中內(nèi)容的數(shù)據(jù);同時,其第十三條第一款第一項、第二項規(guī)定了可靠的電子簽名需為電子簽名人所專有并僅由簽名人控制。由于二維碼簽名具有驗證要素多元化的特征,《條碼支付業(yè)務(wù)規(guī)范 (試行)》規(guī)定了在生成條碼時需要對身份信息、手機號碼等信息進行關(guān)聯(lián)管理,在使用二維碼簽名進行交易支付時需要進行多種驗證要素匹配,目的在于保證二維碼簽名在使用時為簽名人所專有并受其本人控制,只有二維碼簽名具有人身專屬性才能排除篡改簽名或被共用的可能性。
第二,二維碼簽名在交易環(huán)境下的正當性。根據(jù)二維碼簽名的特征,對其進行可靠性認定應(yīng)參考聯(lián)合國國際貿(mào)易法委員會2001年 《〈電子簽名示范法〉實施指南》及2005年 《國際合同使用電子通信公約》對電子簽名的可靠性規(guī)定,即結(jié)合法律、技術(shù)和商業(yè)、交易場景等因素來判定該簽名是否具有可靠性。
第三,二維碼簽名與數(shù)據(jù)電文的邏輯關(guān)聯(lián)性。由于二維碼的可視性特點,容易被篡改和替換而難以發(fā)現(xiàn),如果適用 《電子簽名法》第十三條第一款第三項、第四項的規(guī)定 (即簽名與數(shù)據(jù)電文一經(jīng)改動即能被發(fā)現(xiàn)),幾乎所有的二維碼簽名都會被認定不具可靠性。因此,應(yīng)根據(jù)二維碼簽名的特性,要求其與數(shù)據(jù)電文具有緊密聯(lián)系。雖然電子簽名本身就應(yīng)該與數(shù)據(jù)電文有邏輯關(guān)聯(lián),但對二維碼簽名來說,這種邏輯關(guān)聯(lián)性要求更高。例如,在被掃模式下,一些人利用二維碼截圖進行付款,該掃碼行為與交易信息沒有任何關(guān)聯(lián),屬于純粹的轉(zhuǎn)賬行為,簽名是不可靠的;在掃碼模式下,簽名者掃描被偷換過的收款碼付款,被掃的二維碼與當下進行的交易行為也沒有任何關(guān)聯(lián),也應(yīng)認為是不可靠的。因此,從交易目的、交易場景來判斷簽名信息與數(shù)據(jù)電文的關(guān)聯(lián)性應(yīng)該作為二維碼簽名是否可靠的條件之一。
第四,二維碼簽名的可認證性。我國 《電子簽名法》并沒有將認證作為可靠電子簽名的判斷要素之一,只是在第十六條規(guī)定 “電子簽名需要第三方認證的,由依法設(shè)立的電子認證服務(wù)提供者提供認證服務(wù)”。從字面上來看,似乎并不是所有的電子簽名都需要被認證。但是在實踐中,倘若電子簽名不是經(jīng)由電子認證創(chuàng)設(shè)的,沒有中立的第三方,很難確定用于創(chuàng)設(shè)簽名的身份信息與實際操作者是一致的,也很難相信它是可靠的。在這一點上,不少國外法律都將電子簽名的可認證性作為可靠性的條件之一。如美國猶他州 《數(shù)字簽名法》第46-3-403條規(guī)定,一則電子信息能被作為是有效力的、可被執(zhí)行的,必須滿足下列條件:“這個電子簽名可經(jīng)公鑰驗證,其數(shù)字證書由經(jīng)許可的認證機構(gòu)頒發(fā)......”。新加坡 《電子交易法》第8條第2款也規(guī)定:“電子簽名可以用各種方法證實......一方當事人有必要借此程序執(zhí)行某種信號或安全程序,以便證實該電子簽名屬于該當事人?!笨梢?,兩者均把被認證過的電子簽名作為其產(chǎn)生效力的評價要素。
第五,當事人意思自治?!峨娮雍灻ā返谑龡l第二款賦予了當事人選擇使用符合其約定的可靠的電子簽名的權(quán)利,雖然未明確規(guī)定當事人做出的約定應(yīng)符合何種要求,但從法理上說,這種簽名應(yīng)該符合比一般電子簽名更為嚴格的條件。倘若當事人降低電子簽名的可靠性要求,由此形成的數(shù)據(jù)電文的真實性是值得懷疑的,也很難被司法機關(guān)作為證據(jù)所采信,反過來又使得 《電子簽名法》第十四條關(guān)于 “可靠的電子簽名具有與手寫簽名或蓋章同等的法律效力”的規(guī)定形同虛設(shè)。⑧劉滿達:《論電子票據(jù)適用票據(jù)法的可行性》,載 《法學(xué)》2017年第6期。根據(jù)二維碼簽名的特征,只有當它達到高度安全的標準時才應(yīng)該被認定為具有法律效力。同時,是否應(yīng)賦予使用二維碼簽名的當事人約定權(quán)利,應(yīng)當與 《電子簽名法》的規(guī)定做相同的理解,即約定使用的二維碼不能低于一般二維碼的可靠性標準和安全系數(shù)。
可認證性是二維碼簽名可靠性的重要條件。認證是確認簽名者身份的重要依據(jù),認證程序是否嚴密和準確,關(guān)系到二維碼簽名是否具有法律效力。二維碼簽名是否具有可認證性應(yīng)從以下幾個方面來判斷:
第一,對二維碼簽名人初始信息的多重交叉驗證。簽名的有效性要求對用戶身份的真實性進行嚴格的確認和固定,而二維碼簽名的特征決定了對其進行認證時需要比一般電子簽名更加謹慎。與一般電子簽名不同的是,為了能夠通過安全的驗證手段保障資金安全,法律規(guī)定了二維碼簽名在使用時需要進行要素多元化驗證。在生成時除了要提供基本身份信息之外,還需提供其他簽名人特有的不可被復(fù)制的要素以備后續(xù)組合認證,如靜態(tài)密碼、數(shù)字證書、生物特征等,這些要素的組合交叉認證遠比一般電子簽名復(fù)雜得多。
值得注意的是,無論是支付機構(gòu)還是認證機構(gòu),都面臨著一個問題,用以驗證的所有資料都由簽名人也就是申請者自身提供,據(jù)以認證的身份信息是否真實本身需要驗證。因此,強化支付機構(gòu)、認證機構(gòu)通過外部渠道交叉驗證識別客戶身份信息顯得很有必要。支付機構(gòu)與認證機構(gòu)可與申請人提交的身份證明文件的發(fā)放機構(gòu)進行交叉審核,也可通過一個公共數(shù)據(jù)或者戶籍、民政、工商、銀行等部門聯(lián)網(wǎng)的公民和企業(yè)信息數(shù)據(jù)庫進行確認。⑨戎慧靜:《淺談電子簽名、認證與公證的介入》,載 《中國公證》2014年第7期。
第二,二維碼動態(tài)或靜態(tài)密鑰的生成與傳輸。二維碼具有兩種形式,一是靜態(tài)二維碼即普通的QR碼,二是動態(tài)二維碼。前者無需用戶輸入且可重復(fù)使用,后者生成原理較為復(fù)雜,表現(xiàn)為一段時間內(nèi)多張不同的二維碼圖像不斷的切換,每一幀二維碼圖像分別用不同的密鑰動態(tài)加密生成,同時添加了時間驗證機制。⑩喬良樹:《動態(tài)二維碼生成驗證方法》,載 《電子技術(shù)與軟件工程》2017年第24期。生成完畢的二維碼憑借驗證要素進行身份驗證,移動端掃描客戶端的二維碼獲得某幀二維碼數(shù)據(jù)轉(zhuǎn)發(fā)給服務(wù)器,進行匹配驗證。雖然動態(tài)和靜態(tài)密鑰產(chǎn)生的二維碼各有其缺陷,但根據(jù)二維碼的可視化特性,從保護簽名人的利益和數(shù)據(jù)安全層面出發(fā),動態(tài)密鑰無疑是更好的選擇。
第三,驗證匹配。一方面,從驗證匹配賴以進行的技術(shù)流程來看,二維碼驗證在某些特定應(yīng)用場景下,需要終端硬件信息和移動端用戶信息分別組織然后再合并進行合法性驗證。另一方面,從法律規(guī)定來看,《條碼支付業(yè)務(wù)規(guī)范 (試行)》第十條規(guī)定了銀行、支付機構(gòu)開展條碼支付業(yè)務(wù)必須進行的多種要素組合驗證。同時,該規(guī)范第十二條規(guī)定了根據(jù)風(fēng)險防范能力的分級,對個人客戶的條碼支付業(yè)務(wù)進行限額管理,不同的風(fēng)險防范能力等級,需要匹配驗證不同的要素。
第四,支付機構(gòu)以及認證機構(gòu)的備份。沒有完備的備份系統(tǒng),一旦出現(xiàn)網(wǎng)絡(luò)攻擊或是系統(tǒng)癱瘓造成信息丟失,重建系統(tǒng)需要重新收集已丟失的信息,不僅對負責儲存的機構(gòu)來說工程浩大,對于消費者而言,更會因為產(chǎn)生風(fēng)險感知而對電子移動支付喪失信心和信任,減少對電子支付系統(tǒng)的使用。為此,中國支付清算協(xié)會網(wǎng)絡(luò)支付應(yīng)用工作委員會2013年3月發(fā)布的 《支付機構(gòu)互聯(lián)網(wǎng)支付業(yè)務(wù)風(fēng)險規(guī)范指引》對支付機構(gòu)的數(shù)據(jù)安全及備份恢復(fù)進行了規(guī)范指引,但該文件只能作為參照適用,以自律性懲戒措施承擔責任,不具有法律強制力。因此,不論是銀行和支付機構(gòu),還是電子認證服務(wù)機構(gòu),都應(yīng)對所收集的信息和備份采取更為嚴格的管理方式,除了法律法規(guī)的規(guī)定,還可制定相關(guān)的強制性行業(yè)標準或?qū)嵤┘殑t來細化各方義務(wù)。