浅议电子商务中的信息安全问题.doc

《浅议电子商务中的信息安全问题.doc》由会员分享，可在线阅读，更多相关《浅议电子商务中的信息安全问题.doc（27页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、 浅议电子商务中的信息安全问题 摘要 电子商务对人类社会经济产生了重大影响，在创造巨大经济效益的同时，也从根本上改变了整个社会商务活动发展进程。我国电子商务在曲折进程中，已有很大程度的发展,同时也存在诸多问题。本文客观地分析了电子商务的安全需求、安全技术发展现状及存在的问题，对加快电子商务的发展步伐提出了一些重要思考。 关键词电子商务；诚信缺失；安全性 电子商务；安全需求；安全技术；协议技术电子商务（ Electronic Commerce)是上世纪90 年代初期在西方发达国家首先兴起的一种崭新的利用国际互联网络Internet 这种先进通讯工具的企业经营方式。它是通过网络技术的应用，快速而且

2、有效的进行各种商务活动的全新方法。电子商务无疑是近几年来使用频率最高的词汇之一， 随着电子商务的兴起，它的信息安全问题也日益引人注目。由于电子商务是在公开的网上进行的，支付信息、订货信息、谈判信息、机密的商务往来文件等大量商务信息在计算机系统中存放、传输和处理，所以如果不能很好地解决信息安全问题，电子商务的发展肯定会受到影响。一、电子商务的安全需求1.信息有效性、真实性电子商务以电子形式取代了纸张，如何保证这种电子形式的贸易信息的有效性和真实性则是开展电子商务的前提。电子商务作为贸易的一种形式，其信息的有效性和真实性将直接关系到个人、企业或国家的经济利益和声誉。2.信息机密性电子商务作为贸易的

3、一种手段，其信息直接厂代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个较为开放的网络环境上的，商业防泄密是电子商务全面推广应用的重要保障。3.信息完整性电子商务简化了贸易过程， 减少了人为的干预，同时也带来维护商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为，可能导致贸易各信息的差异。因此，电子商务系统应充分保证数据传输、存储及电子商务完整性检查的正确和可靠。4.信息可靠性、不可抵赖性和可鉴别性可靠性要求即是能保证合法用户对信息和资源的使用不会被不正当地拒绝；不可抵赖性要求即是能建立有

4、效的责任机制，防止实体否认其行为；可鉴别性要求即是能控制使用资源的人或实体的使用方式。5.系统的可靠性电子商务系统是计算机系统，其可靠性是防止计算机失效、程序错误、传输错误、自然灾害等引起的计算机信息失误或失效。二、电子商务的信息安全技术1.数据加密技术加密技术用于网络安全通常有二种形式，即面向网络或面向应用服务。面向网络的加密技术通常工作在网络层或传输层， 使用经过加密的数据包传送、认证网络路由及其他网络协议所需的信息，从而保证网络的连通性和可用性不受损害。面向网络应用服务的加密技术使用则是目前较为流行的加密技术的使用方法， 这一类加密技术的优点在于实现相对较为简单，不需要对电子信息（ 数据

5、包） 所经过的网络的安全性能提出特殊要求，对电子邮件数据实现了端到端的安全保障。1） 电子商务领域常用的加密技术数字摘要(digital digest)这一加密方法亦称安全Hash 编码法， 由RonRivest 所设计。该编码法采用单向Hash 函数将需加密的明文“ 摘要”成一串128bit 的密文，这一串密文亦称为数字指纹(Finger Print)，它有固定的长度，且不同的明文摘要成密文，其结果总是不同的，而同样的明文其摘要必定一致。这样这串摘要便可成为验证明文是否是“ 真身”的“ 指纹”了。数字签名(digital signature)数字签名将数字摘要、公用密钥算法两种加密方法结合起

6、来使用。主要方式是报文的发送方从报文文本中生成一个128 位的散列值(或报文摘要)，用自己的私有密钥对这个散列值进行加密来形成发送方的数字签名。然后，这个数字签名将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原始报文中计算出128 位的散列值，接着再用发送方的公开密钥来对报文附加的数字签名进行解密，如果两个散列值相同，那么接收方就能确认该数字签名是发送方的，通过数字签名能够实现对原始报文的鉴别。概括的说，签名的作用有两点，一是因为自己的签名难以否认，从而确认了文件已签署这一事实；二是因为签名不易仿冒，从而确定了文件是真的这一事实。数字时间戳(digital time-

7、stamp)交易文件中，时间是十分重要的信息。在电子交易中， 需对交易文件的日期和时间信息采取安全措施，而数字时间戳服务(DTS)就能提供电子文件发表时间的安全保护。时间戳(time-stamp) 是一个经加密后形成的凭证文档，它包括三个部分：需加时间戳的文件的摘要(digest)；DTS 收到文件的日期和时间；DTS的数字签名。数字证书(digital certificate,digital ID)数字证书又称为数字凭证，是用电子手段来证实一个用户的身份和对网络资源的访问的权限。目前，最有效的认证方式是由权威的认证机构为参与电子商务的各方发放证书，证书作为网上交易参与各方的身份识别，就好象每

8、个公民都用身份证来证明身份一样。认证中心作为电子商务交易中受信任的第三方，承担公钥体系中公钥的合法性检验的责任，是一个负责发放和管理数定证书的权威机构。因而网络中所有用户可以将自己的公钥交给这个中心，并提供自己的身份证明信息，证明自己是相应公钥的拥有者，认证中心审查用户提供的信息后， 如果确认用户是合法的，就给用户一个数字证书。这样，每个成员只需和认证中心打交道， 就可以查到其他成员的公钥信息了。对于在网上进行交易的双方来说，数字证书对他们之间建立信任是至关重要的。数字凭证有三种类型：个人凭证、企业（ 服务器） 凭证、软件（ 开发者） 凭证；大部分认证中心提供前两类凭证。 论/文/网 LunW

9、enNet/Com2.身份认证技术为解决Internet 的安全问题，初步形成了一套完整的Internet 安全解决方案，即被广泛采用的公钥基础设施（ PKI） 体系结构。PKI 体系结构采用证书管理公钥，通过第三方的可信机构CA，把用户的公钥和用户的其他标识信息（ 如名称、e-mail、身份证号等） 捆绑在一起，在Internet 网上验证用户的身份，PKI 体系结构把公钥密码和对称密码结合起来，在Internet 网上实现密钥的自动管理， 保证网上数据的机密性、完整性。1 ） 认证系统的基本原理利用RSA 公开密钥算法在密钥自动管理、数字签名、身份识别等方面的特性，可建立一个为用户的公开密

10、钥提供担保的可信的第三方认证系统。这个可信的第三方认证系统也称为CA，CA 为用户发放电子证书，用户之间利用证书来保证信息安全性和双方身份的合法性。2 ） 认证系统结构整个系统是一个大的网络环境，系统从功能上基本可以划分为CA、RA 和Web Publisher。核心系统跟CA 放在一个单独的封闭空间中，为了保证运行的绝对安全，其人员及制度都有严格的规定，并且系统设计为一离线网络。CA 的功能是在收到来自RA 的证书请求时，颁发证书。证书的登记机构Register Authority，简称RA，分散在各个网上银行的地区中心。RA 与网银中心有机结合，接受客户申请，并审批申请，把证书正式请求通过

11、建设银行企业内部网发送给CA 中心。证书的公布系统Web Publisher，简称WP，置于Internet 网上，是普通用户和CA 直接交流的界面。对用户来讲它相当于一个在线的证书数据库。用户的证书由CA 颁发之后，CA 用Email 通知用户， 然后用户须用浏览器从这里下载证书。3.网上支付平台及支付网关网上支付平台分为CTEC 支付体系（ 基于CTCA/GDCS） 和SET 支付体系（ 基于CTCA/SET） 。网上支付平台支付型电子商务业务提供各种支付手段，包括基于SET 标准的信用卡支付方式、以及符合CTEC 标准的各种支付手段。支付网关位于公网和传统的银行网络之间，其主要功能为：将

12、公网传来的数据包解密，并按照银行系统内部的通信协议将数据重新打包；接收银行系统内部的传回来的响应消息，将数据转换为公网传送的数据格式，并对其进行加密。此外，支付网关还具有密钥保护和证书管理等其它功能。三、电子商务信息安全中的其它问题1.内部安全最近的调查表明， 至少有75% 的信息安全问题来自内部，在信用卡和商业诈骗中，内部人员所占的比例最大；2.恶意代码它们将继续对所有的网络系统构成威胁， 并且，其数量将随着Internet 的发展和编程环境的丰富而增多，扩散起来也更加便利，因此，造成的破坏也就越大；3.可靠性差目前，Internet 主干网和DNS 服务器的可靠性还远远不能满足人们的要求，

13、 而绝大部分拨号PPP 连接质量并不可靠，且速度很慢；4.技术人才短缺由于Internet 和网络购物都是在近几年得到了迅猛的发展，因而，许多地方都缺乏足够的技术人才来处理其中遇到的各种问题， 尤其是网络购物具有24 x 7（ 每天24 小时，每周7 天都能工作） 的要求，因而迫切需要有一大批专业技术人员对其进行管理。如果说加密技术是电子交易安全的“ 硬件”，那么人才问题则可以说是“ 软件”。从某种意义上讲，软件的问题解决起来可能更不容易，因此，技术人才的短缺可能成为阻碍网络购物发展的一个重要因素。5.Web 服务器的保护意识差在交易过程中对数据进行保护只是保证交易安全的一个方面。由于交易的信

14、息均存储在服务器上，因此，即使保密信息被客户端接收之后，也必须对存储在服务器中的数据进行保护。目前，Web 服务器是黑客们最喜欢攻击的目标。因此， 建议尽量不要将Web 服务和连接到任何内部网络，而且要定期对数据进行备份， 以便于服务器被攻击之后对数据进行恢复。当然，这毕竟有些不太现实，现在许多流行的Web应用都需要Web 服务器与公司的数据库进行交互式操作， 这就要求服务器必须与公司内部网络相连，而这个连接也就成为黑客们从Web 站点侵入企业内部网络的一条通路。虽然防火墙技术有助于对web 站点进行保护，但商家却很少安装防火墙或对其缺乏有效的维护，因而没有对Web 服务器进行很好的保护，这是

15、商家的Web 站点尤其要引起注意的地方。四、与电子商务安全有关的协议技术讨论1SSL 协议（ Secure Sockets Layer） 安全套接层协议面向连接的协议。SSL 协议主要是使用公开密钥体制和X.509 数字证书技术保护信息传输的机密性和完整性，它不能保证信息的不可抵赖性，主要适用于点对点之间的信息传输，常用Web Server 方式。但它是一个面向连接的协议，在涉及多方的电子交易中，只能提供交易中客户与服务器间的双方认证， 而电子商务往往是用户、网站、银行三家协作完成, SSL 协议并不能协调各方间的安全传输和信任关系。2. SET 协议（ Secure Electronic T

16、ransaction） 安全电子交易专门为电子商务而设计的协议。由于SET 提供了消费者、商家和银行之间的认证，确保了交易数据的安全性、完整可靠性和交易的不可否认性，特别是保证不将消费者银行卡号暴露给商家等优点， 因此它成为了目前公认的信用卡/借记卡的网上交易的国际安全标准。虽然它在很多方面优于SSL 协议，但仍然不能解决电子商务所遇到的全部问题。电子商务中诈骗罪有哪些特征依托于网络的发展，社会经济、文化、政治生活正经历着一场史无前例的变革，而形形色色的网络犯罪给这场变革提出了全方位、不容忽视的挑战。一、电子商务中E-诈骗罪的新特征电子商务中的诈骗罪，是以非法占有为目的，通过网络信息系统虚构事

17、实或者隐瞒真相，骗取数额较大的财物的行为。在法律形式上，电子商务中的诈骗罪跨越了现行刑法中规定的普通诈骗罪和特别诈骗罪，但在实际生活中，它又仅仅是这些犯罪的一种表现形式。传统的诈骗犯罪，运用现代的网络技术手段，大致上有两大类型：一种是在网上发送虚假信息，骗取受害人同意将若干财物交付给行为者的行为;一类是以其他有权人的身份，进入特定网络信息系统，在网络信息系统中增加、输入一定信息，将有权人所有或占有的电子货币划拨到自己的帐户上，进而兑现的行为。前一类行为仅仅是诈骗罪在行为手段上的翻新，从刑法学的角度看，利用现有的刑法理论可以解决其中的问题。后一类的客观行为则不同，与刑法中的普通诈骗罪、特别诈骗罪

18、有极大差别，为了科学界分它和前几类行为的区别以及方便讨论，本文称之为E-诈骗罪。以网络作为工具从事犯罪，其主要方法有：活动天窗、特洛依木马术、意大利香肠术、数据欺诈、蠕虫、逻辑炸弹、冒名顶替、乘机侵入、仪器扫描、破解口令截取信息等等。但是，E-诈骗罪只是利用这些方法中的一部分。行为人为了获得电子货币，一般不会采取破坏信息系统的方法，而是利用网络中的技术弱点，以达到目的。E-诈骗犯罪的主要步骤：第一步，获取有权信息。有权信息包括访问权限，如有权人的身份、使用权限、密钥、通行字。取得有权信息的方法，既可以通过打听、套听、收集等方式，也可以利用技术截获信息，如行为人可以在互联网、电话网上搭线，或安装

19、截收电磁波的设备，获取传输的系统信息。有的甚至于通过分析信息流的方向、流量、通信频度、长度的参数，取得有用信息。第二步，改变信息。如改变信息流动的次序、方向，增加、删除、更改信息内容。由于网络信息系统被作用力影响，从而引起由其扶持的设备设施的运作发生混乱、或者发出错误的指令，其结果是将他人帐户上的电子货币通过网络划拨到行为人开设的帐户上。第三步，信息兑现，即行为人在消费中支出该电子货币或将之兑换为纸币。这是因为诈骗罪是结果犯。通常，网络被视为虚拟社会，这一点对于认识网络犯罪极其重要。我们不妨将网络犯罪发生的场所分为虚拟空间和现实空间，如此一来，E-诈骗犯罪活动除中止犯外，在刑法上表现为三种样态

20、：第一，发生于现实阶段的预备犯，如行为人通过分析受害者遗弃的文件、纸张，从中寻求密码、通行证。第二，发生于虚拟空间的预备犯和未遂犯。第三，发生于现实空间的未遂犯和既遂犯。二、E-诈骗罪的对象E-诈骗罪和其他类型的诈骗罪取得财物的方式不同，一般的诈骗活动，行为人与一定自然人之间有一定的意思沟通，即“人人对话”;而E-诈骗罪则不然，行为人更多通过“人机对话”的方式，达到初步目的。正是由于人机对话的技术特点，决定行为人所取得的只是代表一定金额的数字符号，从而关于这种犯罪的对象是数据记录还是数据的载体、亦或是现金实物，目前尚无定论。有学者在研究利用计算机盗窃电子资金时，提出应将电子资金作为盗窃对象，这

21、样犯罪的对象就是“存在于电子资金过户系统中代表一定的资产所有关系的电子数据记录”。其理由是：第一、盗窃犯罪对象的内容应随着社会的发展进步而不断扩展;第二、电子资金不同于一般的知识信息，要将他人帐户上的资金通过计算机秘密划拨到自己的帐户上来，被害人帐户上的资金必须相应减少，否则计算机会拒绝运行;第三、电子资金在性质上和有价支付凭证、有价证券、有价票证相同，后者既然可被视为犯罪的对象，也就没有理由拒绝将前者也作为犯罪的对象;第四、刑法和司法解释已经把电力、煤气、天然气和电信服务规定为盗窃罪的对象，也应当将电子资金当作盗窃罪的对象;第五、把电子资金归入盗窃罪的犯罪对象，有利于保护金融财产。这些理由的

22、实质是提出无形物可以作为犯罪对象。的确有学者主张：“犯罪的对象是人或物。物，是不以人的意志为转移的客观存在的物质;物的存在形式是时间与空间，物的外在表现是状态;物包括有形物与无形物。”这似乎可以应证上述观点。因为说到底，电子货币也如电力、煤气、天然气和电信服务一样，是一种无形物。过去，笔者认为该罪的对象是代表电子货币的载体，如电子票据、电子钱包、电子钱夹等，但是现在仔细考虑，觉得不妥，并且认为，钱物依然是该罪的犯罪对象。原因在于：其一，将无形物不加区别地作为犯罪对象把握，就几乎将刑法学中的物与哲学范畴的物等同视之。这样一来，无疑就扩大了犯罪对象所考察的范围。无形物在法律属性和价值属性上也有差别

23、，以电子货币符号和煤气为例，前者被占有的具体表现是特定的价值损耗或灭失，而后者被占有并不足以表明相应物的价值耗损或灭失，有权人发现自己的帐户资金出现问题后，可以采取通知的发式，使行为人的意图被阻却。把前者作为犯罪的对象是说得过去的，但是把后者与前者类比从而将其当作犯罪对象难以成立。其二，如果把电子货币符号作为犯罪的对象，就会导致与一般诈骗罪完全相反的结论。传统刑法理论认为，“犯罪对象是指刑法分则条文规定的犯罪行为所作用的客观存在的具体人或者具体物。”犯罪对象不仅是具体的物，而且必须反映客体的损害。如果认为电子货币是犯罪对象，也就是说行为人占有了电子货币符号，就造成了实害结果，也即犯罪既遂。前面

24、已经说过，E-诈骗罪是隔离犯，行为与实害结果之间发生的时间、场所都可能不一致;另外，该罪是结果犯，行为人占有数字符号并不表示他取得了钱财，诈骗罪的既遂标准关键在于行为人获得了较大数额的财物，所以把电子货币符号作为犯罪的对象，就将犯罪既遂的标准提前，而扩大刑法的惩治范围。其三，笔者认为，对于E-诈骗罪，有必要区分犯罪对象和行为对象。作为行为对象，就是实行行为之际行为人所希望实现的初步目的，它是犯罪对象的象征。本罪的行为对象，就是电子货币或数字符号。电子货币和电子货币支付手段也有区别。呆子商务活动中常见的、具有法律意义的电子货币支付手段主要有如下种类：1，电子票证。常见的电子票证包括：用户意见及产

25、品需求调查表、产品购买者信息反馈以及维修或保障信息反馈表、产品(商品)报价申请表、报价单、定货单。需要注意的是，电子数据交换(EDI)在不断完善不断发展，其宗旨是彻底实现票证传输的电子化，也被称为无纸化贸易。在现阶段，由于传统观念和技术限制，还只能是电子票证和纸张票证同时使用。但是如果着眼于长远，笔者绝对不能否定电子票证对于犯罪的意义。事实上，在许多国家和我国的一些经济比较发达的地方，纸张票证已经从先前的惟一或主要地位降为次要或辅助地位，这很能说明问题。2，电子钱夹。就是通过网络系统的认证中心发放的，其中包含经过认证的信用卡、身份证等。使用者使用电子钱夹，可以随时随地完成操作，有关个人的、信用

26、卡的、密码的信息直接传送到银行进行支付结算。3，智能卡。它可以在网络中直接进行小额现金支付，并可以通过因特网从银行帐号上下载现金，保证电子现金使用的便捷性。它也可以附加密码，从而保证使用安全。除此之外，它还有身份鉴别的功能、发放政府福利等功能。如在学校，使用智能卡，可以验证教师、学生的身份;还可以作为电子货币，用来支付用餐、复印、洗衣等费用，甚至作为宿舍钥匙。在美国，估计有80%的金融交易是电子支付的。4，电子票据。票据包括汇票、本票和支票。电子票据主要是电子支票。早在1995年，美国一些大银行和计算机公司联合技术开发并公开演示了使用互联网进行的电子支票交易系统，并且预言“这个系统可能会引起银

27、行交易发生革命”。新加坡也于近年开发了亚洲第一套电子支票系统。在我国，因为受到1996年实行的票据法的制约，所以电子票据尚属空白。但是笔者确信，随着中国金融认证中心的建立和数字签名在电子支付中法律地位的确定，加之网络技术的发展和现实需求的加强，电子票据一定会成为未来的一种重要支付手段。5，电子银行帐户。电子银行为企业或个人提供信息查询、货币支付、储蓄业务、结算、在线投资、理财管理等业务。其中，个人、公司企业的储蓄、资金划拨等在线支付必须通过权利人在电子银行上的帐户。笔者不妨将电子银行帐户看作实现电子货币转移的基础。这些支付手段，一般都是有形的，它们是电子货币得以移转的载体。换言之，没有这些载体

28、，是无法实现电子货币移转的。进而可以说，行为人进行经济型的E-诈骗罪，要依赖这些载体。但它们不是犯罪的对象。因为它们并不直接反映财产关系或经济秩序关系的犯罪客体所受到的侵犯。如行为人窃取他人智能卡到他取现或进行使用之间，有时间上的间隔，在此期间，原持卡人可以挂失从而避免财产受损;或者行为人并没有利用智能卡，权利人的财产就没有受到损失。所以决定是否对行为人追究刑事责任的不是他取得了电子货币的载体，而是他取不取用电子货币的现实可能性，以及他对于电子货币所体现的财产权施加危害的大小。三、E-诈骗罪的未完成形态(一)关于实行行为的着手。犯罪的着手，是区分犯罪预备和犯罪未遂的界限，它是指“犯罪人开始实施

29、刑法分则条文所规定的具体犯罪的实行行为”。那么在E-诈骗罪领域，实行行为从何时或何环节开始呢?笔者认为，首先，应该将现实性环节行为排除在外。原因在于：第一，现实性环节行为不具有实行行为的特点。实行行为的着手，也就是开始实施刑法分则的具体构成要件的行为，。判断它时，既要考虑法律规定的具体罪状，还要考虑实行行为的内容及其形式。也就是说，要从行为法律上的形式特征和实质特征统一考察。现实性环节行为，还不具备接近犯罪对象的条件，也就不可能对于犯罪的客体产生危害，从而不具备实行行为的危害性;而且这个阶段的行为，通常是为虚拟性环节的行为创造条件，更符合犯罪预备行为的特点。第二，将现实性环节行为作为实行行为有

30、违立法精神，刑法第196条第3款规定：“盗窃信用卡并使用的，依照本法第二百六十四条的规定定罪处罚。”即按盗窃罪论处。有这个规定，笔者可以推断，行为人仅仅只是盗窃了信用卡，并没有使用的，就不宜作为犯罪论处，至少不论作为犯罪的完成形态论处。在这时，权利人的财产权利并没有遭到实质性的损害，顶多受到了一定的威胁，该威胁转化为实害还须行为人进行虚拟环节的行为。所以刑法的规定是正确的。它可以作为处理相似情形的参照。基于同样的道理，盗窃或骗取其他人的电子签名、数字密码等行为，对此若以犯罪的实行行为对待，就与刑法规定的精神相违背。第三，将现实性环节行为作为实行行为，会造成司法适用的难堪。假如把现实性环节行为作

31、为实行行为，无疑就会提前考虑犯罪的预备行为，从而将一些无关紧要的行为当作犯罪行为，如伪造智能卡，是一种预备行为，若将其作为实行行为，就会将此前的购买材料的行为当作犯罪预备行为，也可以追究其刑事责任。而这种行为的法律意义并不重大，将其作为犯罪处理就不太合适。另外，将实行行为提前加以考虑，那么虚拟阶段的行为属于实行行为吗?如果是，就出现了两种性质的实行行为，这自然会支解刑法理论，也不符合刑法规定;如果不是，则只能作为实行后的行为，就不会再发生消极性的犯罪中止，假如行为人根本就没有实施虚拟性环节的行为，也仍然要视为犯罪既遂。这显然于理不通。其次，进入网络系统的初始行为也不是实行行为。尽管进入网络系统

32、距离行为人完成网上犯罪的时间极短，有时只有几秒钟，但是正确地认识这种行为的性质还是必要的。之所以说它不是实行行为，原因之一在于，该行为也不具备实行行为的性质。为了完成网络中的特定犯罪，行为人一般要进入特定的信息系统。在此之前，他也许还需登录其他具有辅助功能的信息系统。原因之二在于，从刑事政策的角度，不认为这些行为具有实行性质，有助于防范行为人进一步实施犯罪行为。如果这个阶段的行为只是预备性的，那么无疑给了行为人相当充足的时间中止犯罪，从主观上促使其犯罪意图表征不完全。反过来看，这也有助于司法机关充分认定行为人的主观心态，为惩治犯罪提供更可信的证据。 转贴于 中国论文下载中心笔者认为，只有进入特

33、定的信息系统后实施的虚拟性环节的行为才是实行行为。原因在于：1，该行为具有侵犯犯罪客体的现实性，如果不受其他因素的影响，它就会实施完毕;2，该行为具有刑法中实行行为的特征，即是引起构成要件结果的直接行为。(二)关于犯罪未遂区分犯罪既遂与未遂的标准，在学界有许多观点，如“犯罪目的实现说”、“犯罪结果发生说”、“犯罪构成要件齐备说”等等。目前虽然最后一种观点暂居主导地位，但其他不同观点依然存在。“犯罪构成要件齐备说”为了更加准确地认定犯罪的完成形态，进一步区分结果犯(包括危险犯)与行为犯(包括举动犯)两种情形。E-诈骗罪的完成形态时，首先也有必要区别结果犯和行为两种情形。对于结果犯而言，发生法定的

34、危害结果或出现了法定的危险状态，是犯罪既遂的标准。然而该结果是发生在虚拟空间的还是发生在现实空间的呢?如盗窃电子货币，究竟是电子货币从一个帐户上转到另外一个帐户上这个结果、还是权利人现实的财产出现了减少这一结果?这个问题的意义是不言自明的。笔者主张，应当以现实空间发生的结果作为犯罪既遂的标准。理由是：第一，这与现代刑法的精神实质是一致的。现代刑法立足于保护社会的机能，兼顾人权保障的机能，二者不可偏废。为了达到这一目的，在刑事立法时，没有采取一刀切的方法，而是区别不同的犯罪类型，在既遂的界限上，有的要求特定的危害结果，有的要求特定的危险状态，有的只需要实施了一定行为，有的甚至只要求作出某种举动。

35、这是因为考虑各种社会关系体现的社会利益大小差异，如此才能均衡刑法的机能。E-诈骗罪侵犯的客体并没有超越一般犯罪的范畴，所以，在对于结果的把握上，它如果背离其他犯罪的要求，另外确定标准，就会破坏现行刑法的均衡点，势必与现代刑法的精神发生矛盾。第二，虚拟空间的结果向现实转换在时空上还存在隔离。虚拟阶段的结果仅仅表现为权利记载上文义或信息数据的改动，它是否必然损害权利人的权益，还必须依赖于行为人进一步深化行为，致使权利人实实在在的财物侵犯，从而出现实实在在的现实结果，而行为的深化方法可由行为人自己完成，也可由他人完成，也可由工具实现。只是在这个阶段，行为人也可以作出新的举动，如重新作出举动，将先前行

36、为所造成的虚拟性结果取消，还原为原来状态。这样，权利人很难觉察权利受到过威胁，一定的法益秩序也并不出现混乱。从刑事政策上看，也有助于行为人中止犯罪。第三，也是多数学者担心的，如果按上述方法处理网络犯罪，不惩治在网络系统中实施的违法行为，无异于鼓励行为人犯罪。这倒没有担心的必要。笔者可以将该犯罪的预备形态与破坏计算机信息系统罪，依据牵连犯处理的原则加以处断。对于行为犯而言，只要求行为人的实行行为具备刑法分则规定的条件，就构成犯罪的既遂。所以谈不上犯罪既遂。三、诈骗和盗窃的界分依照传统的刑法理论界分诈骗罪和盗窃罪，似乎问题不大;但是在盗窃信用卡后使用、以及盗窃空白发票、支票以及其他空白有价凭证然后

37、使用的行为的定性上，也曾经出现过不同看法。新刑法颁布后所做的一些规定以及有关司法解释澄清了其中的一些纠葛，对于盗窃与诈骗的区别规定得更为明确。如刑法第196条规定：“盗窃信用卡并使用的，依照本法第264条的规定定罪处罚。”只是随着科学技术的进步，原本简单的问题在网络金融领域变复杂了。信用卡是最早的电子货币载体，今天，体现电子货币的载体还包括其它的电子钱夹、电子票据和智慧卡。所以犯罪的手段更是复杂、多样。如在日本，到处都有全国连网、各银行连网的现金自动取款机(ATM)，ATM和信用卡的普及程度非常高;针对ATM卡的犯罪也相当猖獗。从盗窃他人的ATM卡然后破译密码，接着提取现金，发展到伪造主ATM

38、卡，再发展到通过网络联结到银行的计算机信息系统直接窃取帐户资金的“线上犯罪”。还有一种行为人经常使攨的作案方式，即在某处24小时监视受害者，乘机窃取其帐号和密码，然后在网上利用这些窃取的帐号和密码将受害人的电子货币划拨到自己的帐号上。难点在于虚拟性环节的欺诈性与现实性环节的盗窃性竞合的场合。虚拟性环节是在网络中发生的，现实性环节是在现实社会中发生的。为了预防网络犯罪，在虚拟环节一般设置了一整套安全技术。第一是密码机制。对信息加密是最常用的安全交易手段，可以防范信息在传输和储存中的非授权泄露、对抗截收、非法访问数据库窃取信息等威胁。第二是数字签名技术。它是一组密码，发送人在发送信息时，将这组密码

39、发出，收件人受到信息后，通过双方约定的法则进行运算，从而确定发送人的身份。在本质上它类似于在纸张上的签名，既可确认信息是签名者发出的，又可证明信息自签发后到接收时未做任何修改。第三是时间戳。文件签署的日期和签名一样重要。在电子交易中，数字时间戳能提供电子文件发表时间的安全保护。第四是认证机制。它用来确认交易对方身份的真伪。第五是防火墙。这是一个相当防守性的技术措施，它是不同的网络或网络安全域之间的唯一信息通道，担负着防止外部攻击的使命。然而这些安全技术决非完美无缺，每项技术都有破绽可循，这就为网络诈骗提供了机会。例如篡改他人电子票据的数字签名，或更改电子票据的文义内容，再到电子银行骗取电子现金

40、。行为人为了取得或盗用他人的电子货币，在虚拟空间，可以采取的方式有两类：一是破坏信息系统的正常运行，借机达到目的;二是冒充其他的权利人，骗取“系统管理者”的信任，从而获得或使用其他权利人的电子货币。用第一种方式达到目的的可能性在网络领域几乎是零，所以第二种方式是常见的。如此一来，肯定要使用欺骗性手段。为了使欺骗更有成效，尽快得到权利人的密码、签名等真实信息无疑是行为人所追求的。有些行为人采取技术方式，在网络中破译权利人密码，套取其相关信息;也有的采取传统意义的盗窃方法获得这些关键信息。后一种情形就发生了盗窃行为和诈骗行为竞合的现象。对此，立足于我国刑法的规定，结合传统的刑法理论，并充分考虑电子

41、货币的特点，区分某种行为是属于盗窃罪还是诈骗罪，必须考虑发生在现实性环节的行为性质。因为通过前面的分析，笔者可以看出，在虚拟空间发生的行为绝大部分具有诈骗的性质，但是如果将网络经济型犯罪一律以诈骗罪论处，显然与法律的规定不符;另外从法理上讲，盗窃罪相对于诈骗罪，属于重罪，当出现两种竞合时，要作为牵连犯处理，应定为盗窃罪。进一步说，在现实性环节发生的行为如果是诈骗，继之所为的虚拟性环节的行为就构成诈骗罪;在现实性环节发生的行为是盗窃，继之而为的虚拟性环节的行为就构成了盗窃罪。具体而言：1，对于使用未设定密码的智能卡，或者多次使用限额设定密码的智能卡的行为，只要数额达到较大，就构成了盗窃罪;2，对

42、于一年之内连续三次使用智能卡，应当认为符合刑法第264条规定的“多次盗窃”，构成盗窃罪;3，盗用他人公共信息网络上网帐号、密码上网，造成他人电信资费损失数额较大的行为，构成盗窃罪;4，对于使用盗窃的电子钱夹，如信用卡等的行为，构成盗窃罪;5，以虚假、冒用的身份证件办理入网手续并使用移动电话，造成电信资费损失数额较大的行为，构成诈骗罪;6，骗取他人的各种支付手段的帐号、密码，然后利用这些帐号密码在网络中套取电子货币的行为，构成诈骗罪;7，在网上采取技术方式，破译权利人密码，套取其相关信息，继而套取电子货币的行为，构成诈骗罪。8，骗取智能卡的密码，继而使用的行为构成诈骗罪;9，盗窃智能卡的密码，从

43、而使用的，构成诈骗罪。四、关于电子签名在电子商务中确定权利、义务的主要手段是电子签名。它有时是进入特定信息系统的钥匙，有时是利用网络信息系统的屏障，有时是从事网络活动的标记。电子签名是一组特殊排列的数字，电子签名技术的发展，对于刑法解释伪造、变造传统的内容以及金融诈骗犯罪将会产生更为深远的影响。过去，刑法理论和司法实践中，将伪造解释为仿制，而变造是改变真实的外观或内容。这种解释在我国票据法颁布后，存在明显不足。当时在理论界认为，伪造票据是指行为人仿照真实的汇票、本票、支票的形式、图案、颜色、格式，通过印刷、复制、绘制等制作方法非法制造以上票据的行为;变造票据是指行为人在真实的汇票、本票、支票的

44、基础上或者以真实票据为基础材料，通过剪接、挖补、覆盖、涂改等方法，对票据的主要内容非法加以改变的行为。然而，伪造票据的应然之义是模仿他人的签名、伪刻他人的印章、盗用他人真正的印章;变造票据是指依法没有变更权限的人，在有效的票据上，变更除签章以外的其他记载事项，从而是使票据上的权利义务内容发生变化的行为。这可引申出伪造变造票据的行为只是一种典型的票据欺诈行为，而不是独立于票据欺诈之外的与伪造变造货币类同行为。所以笔者认为刑法的规定不大妥当。但是认识在网络的犯罪，即使依照后者的观点，也会出现难以回答的问题。以往的票据认证主要用手写签名。签名的书写随意性很大，并且中文的方块字极易模仿。盖章也是一样，

45、几乎没有一种公章不能被私刻。系统采用计算机自动识别签名和盖章印章，提高了工作的效率，但是只要票据真伪的凭证仍然是签名盖章，就必然有不法分子试图模仿签名和私刻印章，同样也还有不法分子试图改造和涂销票据。近年来，一些不法分子采用计算机扫描，计算机刻章技术，使得私刻印章实现了电子化和自动化，完全可以以假乱真。因此印章自动识别系统与签名盖章系统一样，绝对不是票据认证系统今后发展的方向。所以，密码机制和电子签名在网络活动中的意义被赋予了新内容。如收票人事先根据票据号编制密码，通过安全的信道，传送给出票人。出票人每次签发一张票据，就根据票据号，粘贴上密码。收票人根据票据号和密码的对应关系来验证票据的真伪。

46、以防止第三者伪造票据。在金融机构则可开发变码印鉴系统，又称为密码支付系统认证票据。它采用传统的单钥密码体制。出票人和收票人事先约定一个密钥，由他们各自保存。出票人每签发一张票据，他先把票据内容数字化，然后他再用保存的密钥、链路加密报文，得到一个鉴别码，把它作为票据真伪的凭证，同票据一起传送给收票人。收票人重复同样的计算过程，又得到一个鉴别码，只要两个鉴别码相同，就认为票据是真实的。由于鉴别码是密钥和报文的函数，因此报文的任何变动都会改变鉴别码，而且不使用密钥是无法计算得到鉴别码的。如此一来，传统的解释几乎上没有应用的价值了。这时，伪造权利将很困难，或许就不可能，但是，变造和传统伪造的内容如何界

47、分有会很困难。据此，与其说电子签名的伪造，勿宁说是电子签名的诈骗。只有行为人的电子签名和权利人的电子签名必须一致，才会出现法益遭受侵犯的现实后果。为了达到这种结果，行为人必须千方百计获知权利人的电子签名数据，其方法只能表现为诈骗的特征。电子商务遭遇网络诈骗电子商务把互联网作为一种互动的商务工具来使用，如果不能建立一整套完善的网上信用保证制度，那么，电子商务可能成为某些不法之徒手中的欺诈工具。6月1日，雅宝竞价交易网的客户服务中心收到了一封不同寻常的email。一位山东泰安的王先生反映：他在网上通过竞价的方式购买了一部Nokia8810手机，他汇款给卖主之后，就和这位名叫kiss的物主失去了联系

48、。雅宝客户支持中心根据王先生提供的线索，查找之后发现：网名kiss的物主的所有注册信息的真实性都值得怀疑，并且该物主同时有4个物品在网上拍卖，都是手机，竞标的人非常多，物主的留言也很有吸引力。于是，雅宝初步认定这是网上欺诈，建议受骗的王先生向公安局报案。没过几天，客户服务中心又通过各种方式找到了肖先生、白先生等其他4位受害者，这几位受害者的情况与山东王先生的情况基本相同：将钱汇给物主之后就与其失去了联系，手机不开、呼机不回，钱付了出去，货却没有收到。客户服务中心工作人员通过各种证据发现：进行这起诈骗的是同一个人，张家口市宣化区的刘福全。于是，在雅宝的积极配合下，张家口地区警方迅速将骗子捉拿归案。在这个案例里，雅宝网站一直积极地协助注册用户和警方破获这起网络诈骗案，雅宝当然出于保障客户利益的考虑，但是，我们会发现：雅宝其实在这起案件中不得不担当了一个她本不应该担当的角色。雅宝只是为用户提供交易平台，她没有责任担当侦察员的角色。这件事情的根结在于：如果中国的信用体系健全的话，这种事情不可能发生。如果想到