电子商务交易规范
作者:规范
来源:RFID世界网
日期:2005-05-19 10:18:28
摘要:电子商务交易规范
关键词:电子商务交易规范
电子商务的操作规范包括电子合同规范、电子支付规范、智能卡规范等
合同标准
1996年6月,联合国国际贸易法委员会(United Nations Commission International Trade Law,UNCITRAL)通过了电子商务示范法。该法律支持在电子商务方面国际商业合同的使用,其模型建立了批准和承认以电子手段形成合同的规则和标准,为电子合同实施的合同格式和管理设置了查错规则,定义了有效的电子书写和原始文件的特征,为了立法和商业目的提供了电子签名的可接受性,支持在法庭和仲裁过程中提供了计算机证据,为电子商务的发展奠定了法律基础.UNCITRAL制定了一些原则用来指导管理全球电子商务合同的起草,如:
1. 参与方应自由地在他们认为适合时签订他们之间的合同关系;
2. 规则在技术上应保持中立(如:规则既不应要求也不应采用特殊技术),并且规则应着眼于未来发展(如:规则不应阻碍未来技术的使用或开发);
3. 作为必要的或实际的要求现存的规则应被修改,而新的规则应被采纳以支持电子技术的使用;
4. 过程应包括高技术商业部门以及还未在网上运作的业务。
支付标准
支付是电子商务活动的核心,国际通行的网上支付工具和支付方式主要有银行卡支付、电子现金、电子支票以及电子资金转账、微支付等。
1. 智能卡支付标准(SET) 1996年2月1日MasterCard 与Visa两大国际信用卡组织与技术合作伙伴GTE、Netscape、IBM、Terisa Systems、Verisign、Microsoft、SAIC等一批跨国公司共同开发了安全电子交易规范(Secure Electronic Transaction,简称SET)。SET是一种应用于开放网络环境下,以信用卡为基础的安全电子支付系统的协议,它给出了一套电子交易的过程规范。通过SET这一套完备的安全电子交易协议可以实现电子商务交易中的加密、认证机制、密钥管理机制等,保证在开放网络上使用信用卡进行在线购物的安全。由于SET提供商家和收单银行的认证,确保了交易数据的安全、完整可靠和交易的不可抵赖性,特别是具有保护消费者信用卡号不暴露给商家等优点,因此它成为目前公认的信用卡/借记卡的网上交易的国际标准。
SET协议采用了对称密钥和非对称密钥体制,把对称密钥的快速、低成本和非对称密钥的有效性结合在一起,以保护在开放网络上传输的个人信息,保证交易信息的隐蔽性。其重点是如何确保商家和消费者的身份和行为的认证和不可抵赖性,其理论基础是著名的非否认协议 (Non-repudiation),其采用的核心技术包括X。509电子证书标准与数字签名技术(Digital Signature)、报文摘要、数字信封、双重签名等技术。如使用数字证书对交易各方的合法性进行验证;使用数字签名技术确保数据完整性和不可否认;使用双重签名技术对SET交易过程中消费者的支付信息和定单信息分别签名,使得商家看不到支付信息,只能对用户的订单信息解密,而金融机构只能对支付和账户信息解密,充分保证消费者的账户和定货信息的安全性。 SET通过制定标准和采用各种技术手段,解决了一直困扰电子商务发展的安全问题,包括购物与支付信息的保密性、交易支付完整性、身份认证和不可抵赖性,在电子交易环节上提供了更大的信任度、更完整的交易信息、更高的安全性和更少受欺诈的可能性。 虽然早在1997年就推出了SET1.0版,但它的推广应用较缓慢,主要原因是由于昂贵、互操作性差和难以实施,它提供了多层次的安全保障,复杂程度显著增加;另一个原因是由于SSL的广泛应用。此外,银行的支付业务不光是卡支付业务,而SET支付方式适应于卡支付,对其他支付方式是有所限制的。而且,SET协议用以支持B to C (business to consumer)类型的电子商务模式,即消费者持卡在网上购物与交易的模式,而不能支持B to B模式。 尽管有诸多缺陷,但SET已获得IETF的认可,成为电子商务中最重要的协议。 典型的智能卡系统有CyberCash和First Virtual Holding等。SET协议可更好地保证智能卡在INTERNET环境下进行网络直接交付。
2. 电子现金支付协议
电子现金(e-cash或digital currency)是以数字化形式存在的现金货币,具有多用途、灵活使用、匿名性、快速简便的特点,无需直接与银行连接便可使用,适用于小额交易。其主要好处是可以提高效率,方便用户使用。目前电子现金一些只需要软件,而另一些则需要新硬件--主要是智能卡,即主要有智能卡形式的支付卡或数字方式的现金文件。也可采用现金转卡或采用Mondex卡转卡的方式。其安全使用是一个重要的问题,包括限于合法人使用、避免重复使用等。不同类型的数字货币都有其自己的协议,用于消费者、销售商和发行者之间交换金融申请。每个协议由后端服务器软件--电子现金支付系统,和客户端的钱包软件执行。电子现金支付已经有三种典型的实用系统开始使用,分别是:Mondex, Netcash, Digicash。 Mondex:欧洲使用的、以智能卡为电子钱包的电子现金支付系统,应用于多种用途,具有信息存储、电子钱包、安全密码锁等功能,安全可靠。 Netcash:可记录的匿名电子现金支付系统。主要特点是设置分级货币服务器来验证和管理电子现金,其中电子交易的安全性得到保证。DigiCash:无条件匿名电子现金支付系统。主要特点是通过数字记录现金,集中控制和管理现金,是一种足够安全的电子交易系统。
3. 电子支票
电子支票(e-check或e-cheque)支付目前一般是通过专用网络、设备、软件及一套完整的用户识别、标准报文、数据验证等规范化协议完成数据传输,从而控制安全性。这种方式已经较为完善。电子支票支付现在发展的主要问题是今后将逐步过渡到公共互联网络上进行传输。电子资金转账(Electronic Fund Transfer ,简称EFT)或网上银行服务(Internet Banking)方式,是将传统的银行转账应用到公共网络上进行的资金转账。一般在专用网络上应用具有成熟的模式(例如SWIFT系统);公共网络上的电子资金转账仍在实验之中。目前大约80%的电子商务仍属于贸易上的转账业务。电子支票支付遵循金融服务技术联盟(FSTC,Financial Services Technology Consortium)提的BIP(Bank Internet Payment)标准(草案)。典型的电子支票系统有E-check、NetBill、NetCheque等。
4. 微支付
微支付(micropayments)的特征是能够处理任意小量的钱,适合于因特网上不可触摸(non-tangible)商品的销售。一方面,微支付要求商品的发送与支付要几乎同时发生在因特网上;另一方面,商品销售、处理与运输的瓶颈为保持成本低廉设置了障碍。为保持每个交易的发送速度与低成本,目前有很多厂商在致力于发展别的协议以支持SET和SSL所不能支持的微支付方式,其中之一是微支付传输协议(Micro Payment Transport Protocol, 简称MPTP),该协议是由IETF制定的工作草案。微支付的一个重要方面是其定义随着对象而变化,有许多系统声明其是微支付,允许支付小于现有货币面额的数额。如IBM开发的Micro Payments、Compaq 与Digital开发的Millicent、CyberCoin开发的CyberCash等。 联合电子支付联盟JEPI(Joint Electronic Payment Initiative):是由World Wide Web协会和CommerceNet领导的一个联盟,目的是对支付协商过程进行标准化。在买主一方(客户方),JEPI是WEB浏览器和wallet使用不同协议的接口,在卖主一方(服务器方),JEPI在网络和传输层之间,将下层来的事务送给适当的传输和支付协议。
智能卡标准
智能卡是一种内部嵌入了集成电路的、信用卡大小的电子卡,具有储存信息量大、数据保密性好、抗干扰能力强、储存可靠、读写设备简单、使用灵活、操作速度快、脱机工作能力强易于携带等特点。
智能卡大致分接触式、非接触式2种。它们又分别有存储式、带CPU式两种。智能存储器型卡中有硬件的逻辑保护,以密码加密形式来保护其存储内容不被非法更改;较先进些的存储卡里面有读写的安全模块做算法的加密认证等;CPU卡因运算速度和存储容量的不同而不同;有的CPU卡里带FPU,能加快数学算法的运行,如公开密钥的运算等.非接触式的同样分为存储式的和带CPU式的,它主要应用于容量或认证比较快捷方便的地方,如公交、门禁控制等。
智能卡提供了一种简便的方法,可用来存储和解释私人密钥和证书,并且非常容易携带。智能卡可以配合SET或SSL使用。SET非常好地解决了智能卡与电子商务的结合,智能卡上存放的证书使持卡人的身份得到认证,并直接在每一次网上购物时签上客户的数字签名。
1997年全球智能卡发行量达13亿张;1998年达到16亿张,增长率为23%;到2000年,发卡量预计将增至30亿张。推动智能卡发展的主要领域是银行金融界、电信业、交通业以及医疗保健和身份认证系统。其中,金融业的增长将尤为迅速,电子支付将使智能卡的发展推到一个新的高度。欧洲是智能卡最大的市场,但亚洲和美洲市场具有非常广阔的前景。据不完全统计,至1998年,我国已发行IC卡约8000多万张。据有关部门预测,至2000年,我国IC卡发卡量将在2亿张以上。智能卡已在电信、交通、医疗、商业、旅游、公用事业等众多领域中得到广泛的应用,并将在电子商务领域得到更大的发展。
1. 智能卡国际标准
(1)全球PC/SC计算机与智能卡联盟 Bull、HP、IBM、Microsoft、Simens、Nixdof、Sun、Toshiba、Verifone和Gemplus组成了计算机与智能卡联盟,制定计算机和智能卡连用标准.以达到通过一张智能卡,插入异地网络计算机,即可通过因特网查询本地资料或进行电子商务活动。
(2)EMV集成电路卡规范(EUROPAY- MASTERCARD- VISA Integrated Circuit Card Specifications )该规范是基于ISO标准的规范,最早由VISA于1992年着手研制,此后VISA联合EUROPAYT和MASTERCARD共同完成了该规范。1996年6月,EMV出版了EMV集成电路卡规范第三版,1998年5月对该版做了更新,该规范用附加的数据类型和编码规则为金融服务企业扩展了ISO 7816标准。
(3)金融交易卡信息交换格式标准(ISO 8583):ISO 8583(Financial Transaction Card Originated Message-Interchange Message Specification) 该标准用来对广域网中传输的信用卡、借记卡、银行卡,以及金融交易的信息进行监测、捕获和解码。广域网可以是双向同步类型、SNA、X.25或帧中继等;监控设备可以是桌面PC或各种笔记本电脑。银行与信用卡清算公司可根据用户自定义的标准、支持ISO 8583和其它金融交易协议,以及用户自定的交易协议等去设置一些专用程序,对各笔信息卡交易进行自动定位、获取及显示。
(4)欧洲电讯工业智能卡规范 欧洲电讯工业的全球数据移动电话系统(Global System for Mobile Communications, GSM)也定义了一个智能卡规范来鉴别移动电话用户。个人计算机/智能卡(Personal Computer/ Smart Card,PC/SC)工作组已为个人计算机平台定义了智能卡框架和API。
2. 智能卡国内标准
为了规范中国智能卡发展,推广智能卡的应用,本着符合国际标准,与国际通用的EMV规范兼容的原则,中国人民银行组织国内各商业银行与VISA国际组织合作开发与制定中国金融集成电路(IC)卡系列规范。1997年12月,中国人民银行公布了《中国金融IC卡卡片规范》和《中国金融IC卡应用规范》;1998年9月,中国人民银行又公布了与金融IC卡规范相配合的POS设备的规范.这三个标准的制定为国内金融卡跨行跨地区通用、设备共享及与国际接轨提供了强有力的支持;为智能卡在金融业的大规模使用提供了安全性、兼容性的保障;为电子商务中电子在线支付提供了从支付手段到交易流程的解决方案;并为各种电子支付系统的规范化和兼容化提供了契机,使得用中国标准金融IC卡作为电子商务中的支付前端成为最终、最安全和最直接的解决方案。
此外,针对智能卡应用及市场等方面存在的问题,1998年初,国家金卡工程协调领导小组根据国务院22号文件发出《关于加强IC卡生产和应用管理有关问题的通知》,要求加强IC卡生产、应用的统筹规划; 制订IC卡生产、应用的技术标准和规范;以及加强IC卡的管理、 清理整顿IC卡市场、提高IC卡芯片的自主设计和开发能力等.根据《通知》,国家金卡办相继制定了《全国IC卡应用发展规划》、《IC卡管理条例》、《集成电路卡注册管理办法》、《IC卡通用技术规范》等。
合同标准
1996年6月,联合国国际贸易法委员会(United Nations Commission International Trade Law,UNCITRAL)通过了电子商务示范法。该法律支持在电子商务方面国际商业合同的使用,其模型建立了批准和承认以电子手段形成合同的规则和标准,为电子合同实施的合同格式和管理设置了查错规则,定义了有效的电子书写和原始文件的特征,为了立法和商业目的提供了电子签名的可接受性,支持在法庭和仲裁过程中提供了计算机证据,为电子商务的发展奠定了法律基础.UNCITRAL制定了一些原则用来指导管理全球电子商务合同的起草,如:
1. 参与方应自由地在他们认为适合时签订他们之间的合同关系;
2. 规则在技术上应保持中立(如:规则既不应要求也不应采用特殊技术),并且规则应着眼于未来发展(如:规则不应阻碍未来技术的使用或开发);
3. 作为必要的或实际的要求现存的规则应被修改,而新的规则应被采纳以支持电子技术的使用;
4. 过程应包括高技术商业部门以及还未在网上运作的业务。
支付标准
支付是电子商务活动的核心,国际通行的网上支付工具和支付方式主要有银行卡支付、电子现金、电子支票以及电子资金转账、微支付等。
1. 智能卡支付标准(SET) 1996年2月1日MasterCard 与Visa两大国际信用卡组织与技术合作伙伴GTE、Netscape、IBM、Terisa Systems、Verisign、Microsoft、SAIC等一批跨国公司共同开发了安全电子交易规范(Secure Electronic Transaction,简称SET)。SET是一种应用于开放网络环境下,以信用卡为基础的安全电子支付系统的协议,它给出了一套电子交易的过程规范。通过SET这一套完备的安全电子交易协议可以实现电子商务交易中的加密、认证机制、密钥管理机制等,保证在开放网络上使用信用卡进行在线购物的安全。由于SET提供商家和收单银行的认证,确保了交易数据的安全、完整可靠和交易的不可抵赖性,特别是具有保护消费者信用卡号不暴露给商家等优点,因此它成为目前公认的信用卡/借记卡的网上交易的国际标准。
SET协议采用了对称密钥和非对称密钥体制,把对称密钥的快速、低成本和非对称密钥的有效性结合在一起,以保护在开放网络上传输的个人信息,保证交易信息的隐蔽性。其重点是如何确保商家和消费者的身份和行为的认证和不可抵赖性,其理论基础是著名的非否认协议 (Non-repudiation),其采用的核心技术包括X。509电子证书标准与数字签名技术(Digital Signature)、报文摘要、数字信封、双重签名等技术。如使用数字证书对交易各方的合法性进行验证;使用数字签名技术确保数据完整性和不可否认;使用双重签名技术对SET交易过程中消费者的支付信息和定单信息分别签名,使得商家看不到支付信息,只能对用户的订单信息解密,而金融机构只能对支付和账户信息解密,充分保证消费者的账户和定货信息的安全性。 SET通过制定标准和采用各种技术手段,解决了一直困扰电子商务发展的安全问题,包括购物与支付信息的保密性、交易支付完整性、身份认证和不可抵赖性,在电子交易环节上提供了更大的信任度、更完整的交易信息、更高的安全性和更少受欺诈的可能性。 虽然早在1997年就推出了SET1.0版,但它的推广应用较缓慢,主要原因是由于昂贵、互操作性差和难以实施,它提供了多层次的安全保障,复杂程度显著增加;另一个原因是由于SSL的广泛应用。此外,银行的支付业务不光是卡支付业务,而SET支付方式适应于卡支付,对其他支付方式是有所限制的。而且,SET协议用以支持B to C (business to consumer)类型的电子商务模式,即消费者持卡在网上购物与交易的模式,而不能支持B to B模式。 尽管有诸多缺陷,但SET已获得IETF的认可,成为电子商务中最重要的协议。 典型的智能卡系统有CyberCash和First Virtual Holding等。SET协议可更好地保证智能卡在INTERNET环境下进行网络直接交付。
2. 电子现金支付协议
电子现金(e-cash或digital currency)是以数字化形式存在的现金货币,具有多用途、灵活使用、匿名性、快速简便的特点,无需直接与银行连接便可使用,适用于小额交易。其主要好处是可以提高效率,方便用户使用。目前电子现金一些只需要软件,而另一些则需要新硬件--主要是智能卡,即主要有智能卡形式的支付卡或数字方式的现金文件。也可采用现金转卡或采用Mondex卡转卡的方式。其安全使用是一个重要的问题,包括限于合法人使用、避免重复使用等。不同类型的数字货币都有其自己的协议,用于消费者、销售商和发行者之间交换金融申请。每个协议由后端服务器软件--电子现金支付系统,和客户端的钱包软件执行。电子现金支付已经有三种典型的实用系统开始使用,分别是:Mondex, Netcash, Digicash。 Mondex:欧洲使用的、以智能卡为电子钱包的电子现金支付系统,应用于多种用途,具有信息存储、电子钱包、安全密码锁等功能,安全可靠。 Netcash:可记录的匿名电子现金支付系统。主要特点是设置分级货币服务器来验证和管理电子现金,其中电子交易的安全性得到保证。DigiCash:无条件匿名电子现金支付系统。主要特点是通过数字记录现金,集中控制和管理现金,是一种足够安全的电子交易系统。
3. 电子支票
电子支票(e-check或e-cheque)支付目前一般是通过专用网络、设备、软件及一套完整的用户识别、标准报文、数据验证等规范化协议完成数据传输,从而控制安全性。这种方式已经较为完善。电子支票支付现在发展的主要问题是今后将逐步过渡到公共互联网络上进行传输。电子资金转账(Electronic Fund Transfer ,简称EFT)或网上银行服务(Internet Banking)方式,是将传统的银行转账应用到公共网络上进行的资金转账。一般在专用网络上应用具有成熟的模式(例如SWIFT系统);公共网络上的电子资金转账仍在实验之中。目前大约80%的电子商务仍属于贸易上的转账业务。电子支票支付遵循金融服务技术联盟(FSTC,Financial Services Technology Consortium)提的BIP(Bank Internet Payment)标准(草案)。典型的电子支票系统有E-check、NetBill、NetCheque等。
4. 微支付
微支付(micropayments)的特征是能够处理任意小量的钱,适合于因特网上不可触摸(non-tangible)商品的销售。一方面,微支付要求商品的发送与支付要几乎同时发生在因特网上;另一方面,商品销售、处理与运输的瓶颈为保持成本低廉设置了障碍。为保持每个交易的发送速度与低成本,目前有很多厂商在致力于发展别的协议以支持SET和SSL所不能支持的微支付方式,其中之一是微支付传输协议(Micro Payment Transport Protocol, 简称MPTP),该协议是由IETF制定的工作草案。微支付的一个重要方面是其定义随着对象而变化,有许多系统声明其是微支付,允许支付小于现有货币面额的数额。如IBM开发的Micro Payments、Compaq 与Digital开发的Millicent、CyberCoin开发的CyberCash等。 联合电子支付联盟JEPI(Joint Electronic Payment Initiative):是由World Wide Web协会和CommerceNet领导的一个联盟,目的是对支付协商过程进行标准化。在买主一方(客户方),JEPI是WEB浏览器和wallet使用不同协议的接口,在卖主一方(服务器方),JEPI在网络和传输层之间,将下层来的事务送给适当的传输和支付协议。
智能卡标准
智能卡是一种内部嵌入了集成电路的、信用卡大小的电子卡,具有储存信息量大、数据保密性好、抗干扰能力强、储存可靠、读写设备简单、使用灵活、操作速度快、脱机工作能力强易于携带等特点。
智能卡大致分接触式、非接触式2种。它们又分别有存储式、带CPU式两种。智能存储器型卡中有硬件的逻辑保护,以密码加密形式来保护其存储内容不被非法更改;较先进些的存储卡里面有读写的安全模块做算法的加密认证等;CPU卡因运算速度和存储容量的不同而不同;有的CPU卡里带FPU,能加快数学算法的运行,如公开密钥的运算等.非接触式的同样分为存储式的和带CPU式的,它主要应用于容量或认证比较快捷方便的地方,如公交、门禁控制等。
智能卡提供了一种简便的方法,可用来存储和解释私人密钥和证书,并且非常容易携带。智能卡可以配合SET或SSL使用。SET非常好地解决了智能卡与电子商务的结合,智能卡上存放的证书使持卡人的身份得到认证,并直接在每一次网上购物时签上客户的数字签名。
1997年全球智能卡发行量达13亿张;1998年达到16亿张,增长率为23%;到2000年,发卡量预计将增至30亿张。推动智能卡发展的主要领域是银行金融界、电信业、交通业以及医疗保健和身份认证系统。其中,金融业的增长将尤为迅速,电子支付将使智能卡的发展推到一个新的高度。欧洲是智能卡最大的市场,但亚洲和美洲市场具有非常广阔的前景。据不完全统计,至1998年,我国已发行IC卡约8000多万张。据有关部门预测,至2000年,我国IC卡发卡量将在2亿张以上。智能卡已在电信、交通、医疗、商业、旅游、公用事业等众多领域中得到广泛的应用,并将在电子商务领域得到更大的发展。
1. 智能卡国际标准
(1)全球PC/SC计算机与智能卡联盟 Bull、HP、IBM、Microsoft、Simens、Nixdof、Sun、Toshiba、Verifone和Gemplus组成了计算机与智能卡联盟,制定计算机和智能卡连用标准.以达到通过一张智能卡,插入异地网络计算机,即可通过因特网查询本地资料或进行电子商务活动。
(2)EMV集成电路卡规范(EUROPAY- MASTERCARD- VISA Integrated Circuit Card Specifications )该规范是基于ISO标准的规范,最早由VISA于1992年着手研制,此后VISA联合EUROPAYT和MASTERCARD共同完成了该规范。1996年6月,EMV出版了EMV集成电路卡规范第三版,1998年5月对该版做了更新,该规范用附加的数据类型和编码规则为金融服务企业扩展了ISO 7816标准。
(3)金融交易卡信息交换格式标准(ISO 8583):ISO 8583(Financial Transaction Card Originated Message-Interchange Message Specification) 该标准用来对广域网中传输的信用卡、借记卡、银行卡,以及金融交易的信息进行监测、捕获和解码。广域网可以是双向同步类型、SNA、X.25或帧中继等;监控设备可以是桌面PC或各种笔记本电脑。银行与信用卡清算公司可根据用户自定义的标准、支持ISO 8583和其它金融交易协议,以及用户自定的交易协议等去设置一些专用程序,对各笔信息卡交易进行自动定位、获取及显示。
(4)欧洲电讯工业智能卡规范 欧洲电讯工业的全球数据移动电话系统(Global System for Mobile Communications, GSM)也定义了一个智能卡规范来鉴别移动电话用户。个人计算机/智能卡(Personal Computer/ Smart Card,PC/SC)工作组已为个人计算机平台定义了智能卡框架和API。
2. 智能卡国内标准
为了规范中国智能卡发展,推广智能卡的应用,本着符合国际标准,与国际通用的EMV规范兼容的原则,中国人民银行组织国内各商业银行与VISA国际组织合作开发与制定中国金融集成电路(IC)卡系列规范。1997年12月,中国人民银行公布了《中国金融IC卡卡片规范》和《中国金融IC卡应用规范》;1998年9月,中国人民银行又公布了与金融IC卡规范相配合的POS设备的规范.这三个标准的制定为国内金融卡跨行跨地区通用、设备共享及与国际接轨提供了强有力的支持;为智能卡在金融业的大规模使用提供了安全性、兼容性的保障;为电子商务中电子在线支付提供了从支付手段到交易流程的解决方案;并为各种电子支付系统的规范化和兼容化提供了契机,使得用中国标准金融IC卡作为电子商务中的支付前端成为最终、最安全和最直接的解决方案。
此外,针对智能卡应用及市场等方面存在的问题,1998年初,国家金卡工程协调领导小组根据国务院22号文件发出《关于加强IC卡生产和应用管理有关问题的通知》,要求加强IC卡生产、应用的统筹规划; 制订IC卡生产、应用的技术标准和规范;以及加强IC卡的管理、 清理整顿IC卡市场、提高IC卡芯片的自主设计和开发能力等.根据《通知》,国家金卡办相继制定了《全国IC卡应用发展规划》、《IC卡管理条例》、《集成电路卡注册管理办法》、《IC卡通用技术规范》等。