关于电子签名和认证的法律问题研究 谢波 摘要:在传统交易活动中,“签字盖章”是许多法律的基本要求。但随着网络技术的日新月异,电子签名和认证已经十分普遍。电子签名和认证作为电子商务的重要组成部分,其中的法律问题阻碍了电子交易的进行,也制约了电子商务的发展。本文将对电子签名和认证中的法律问题进行深入的探讨和论述。 关键词:电子签名,认证,电子商务,电子合同,法律问题 在传统交易中,人们常常通过亲笔签名的方式来确保合同当事人身份的真实有效和意思表示的一致。同时,亲笔签名也是许多法律的要求。例如,我国《合同法》第32条规定:“当事人采用合同书形式订立合同的,自双方当事人签字或者盖章时合同成立。”我国《票据法》第4条规定:“票据出票人制作票据,应当按照法定条件在票据上签章,并按照所记载的事项承担票据责任。持票人行使票据权利,应当按照法定程序在票据上签章,并出示票据。”然而,在电子商务环境下,由于合同当事人可能相隔千里,甚至在整个交易过程中并不谋面,这就使传统的亲笔签名方式就很难运用于电子交易。但是,传统的亲笔签名方式所具有的功能,特别是它所具有的证明合同的真实性和完整性的功能,对一直为网络安全问题所困扰的电子商务仍然具有重要的价值。所以,签名的要求在电子商务环境下不仅不应被放弃,反而应该得到强化和更有力的保障。当然,这里所说的签名已经不再是传统的亲笔签名,而是电子签名(Electronic Signature)。 新加坡1998年颁布的《电子交易法》(Singapore Electronic Transactions Act 1998,SETA)对电子签名和数字签名作了相关规定。它将电子签名定义为:“以数字形式所附或在逻辑上与电子记录有联系的任何字母,文字数字或其他符号,并且执行或采纳电子签名是为了证明或批准电子记录”;将数字签名(Digital Signature)定义为:“通过使用非对称加密系统和哈希函数(Hushing Function)来变换电子记录的一种电子签名”。可见,数字签名是电子签名的一种。根据联合国国际贸易法委员会电子商务工作组1999年颁布的《电子签名统一规则(草案)》(Draft Uniform Rule On Electronic Signature)第1条的规定:“‘电子签名’,是指以电子形式存在于数据信息之中的,或作为其附件的或逻辑上与之有联系的数据,并且它(可以)用于辨别数据签署人的身份,并表明签署人对数据信息中包含的信息的认可”。笔者认为这一定义颇值得我国立法的借鉴。 电子签名的主要目的是利用技术的手段对数据电文的发件人身份做出确认及保证传送的文件内容没有被篡改,以及解决事后发件人否认已经发送或者是收到资料等问题。[1]电子签名是法律上一个重要的创新概念,它作为电子认证技术在法律上的总括,得到了许多国家的认可。目前,国际上通用的电子签名主要有以下三种模式: 一、智能卡模式。智能卡是安装了嵌入式微型控制器芯片的IC卡,内储有关自己的数字信息。使用者在使用智能卡时只要在计算机的扫描器上一扫,然后键入自己设定的密码即成。 二、密码模式。使用者可以自己设定一个密码,该密码由数字或字符组合而成。有的单位还提供硬件,让使用者用电子笔在电子板上签名后存储起来,电子板不仅可以记录签名的形状,而且可以记录使用者签名时的力度以及定字的速度等,以防他人盗用签名。 三、生物测定模式。该方法以使用者的生理特征为基础,通过计算机对使用者的指纹、面部等进行数字化的同一认定。 随着电子商务的发展,为了消除电子商务在法律上的障碍,许多国家已经着手研究电子签名的问题。联合国国际贸易法委员会电子商务工作组一直以《电子签名统一规则》作为拟定草案的标题,并得到了许多国家的一致认同。欧盟的相关指令也同样以“电子签名”为题。自世界上第一部电子签名法——美国犹他州于1995年颁布的《数字签名法》以来,迄今为止,国家级的电子商务立法有德国的《数字签名法》和《数字签名条例》、美国的《电子签名法》、意大利的《数字签名法》、爱尔兰的《电子签名法》、马来西亚的《数字签名法》、新加坡的《电子交易法》、韩国的《电子商务基本法》等。从内容上来看,这些法律以电子签名(数字签名)与认证机构的相关规定为主,多数立法文件直接以“电子签名”或“数字签名”为标题。电子签名法不仅能解决电子合同的法律效力、电子交易中的风险和责任分配等基本问题,而且能有效地维护电子商务活动中国家的经济利益,因此在整个电子商务法律体系中占有极其重要的地位。 由于电子合同未必具有传统合同的书面文本,这就使得传统的亲笔签名方式被电子签名所替代。如同传统合同须双方当事人签字盖章方能生效一样,如果电子签名不具有法律效力,则无法使电子合同有效。在传统合同中,亲笔签名或盖章的行为主要有两种功能:一是表明合同当事人的真实身份;二是表明合同当事人愿受合同约束的意思。但在电子商务活动中,传统的亲笔签名方式很难应用于这种电子交易方式。因此,人们开始采用电子签名来证明彼此的身份。 在电子合同上的签名,最大的障碍仍然是技术上的,也就是说现有技术仍不能使当事人像在合同书上签字那样方便、简单。[2]但需要指出的是,一旦从技术上解决了电子签名的问题,电子签名在电子商务中的实用性以及所产生的法律效力将不会低于在传统合同书上的签名。同时,我们还应看到,既然承认电子合同属于书面形式,那么就必须承认电子签名的效力,因为在没有电子签名的情况下,任何人都可以自由地进入计算机系统,并对文件的内容进行篡改,电子合同就很难存在了。 目前,世界各国以及国际组织的立法已有将“电子签名”视为签名的倾向。例如,联合国欧洲经济委员会促进国际贸易程序工作小组认为:只要贸易文件上的签名,能够据以认定文件的来源(即据以追溯出文件的作者)并利用该签名认证该文件,签署文件者就要对文件单据上事项的正确性及完整性负责。[3]《汉堡规则》(Hamburg Rules)第14条规定:“提单上的签字可以用手写、印摹、打孔、盖章、符号或如不违反提单签发地所在国国家的法律,用任何其他机械的或电子的方法。”在我国的实体法中,除法律有特别规定以外,当事人订立合同可以采用书面形式、口头形式和其他形式,而并不以书面形式、签字盖章等方式为要件。就这点而言,与英美法系所强调书面形式和签字盖章等要件才能使合同成立、生效的基本原则有很大的不同。因此,我国对签名或盖章的法律要求在具体法律条文中并未过多涉及。[4]但我国《合同法》采用了一种灵活的方式。我国《合同法》第33条规定:“当事人采用信件、数据电文等形式订立合同的,可以在合同成立之前要求签订确认书。签订确认书时合同成立。”根据这一规定,如果当事人在签订合同时使用了电子签名,既可以不签订确认书,也可以根据实际情况,在合同成立之前要求签订确认书。当然,采用后一种做法可以更加明确合同的真实性,以防电子签名的伪造。 笔者认为,政府相关部门应该积极向大众广为推介说明电子签名的定义、目的、适用范围、使用方法等,然后再由法律提供一套公平合理的游戏规则。通过建立完善的电子签名和电子认证体系,一方面可以促进电子商务的发展,另一方面可以提高人们对电子签名的接纳度并减少电子签名的伪造、变造和其他欺诈行为。 认证是一种证实某人或某事为有效或名副其实的过程,其目标仍然是着眼于“安全”。电子商务的安全问题主要包括两个方面:一、从技术上建立安全认证机制,以确认交易各方身份的真实性以及信息的保密性、完整性和不可抵赖性;同时,利用现代密码技术以及电子签名技术等,来保证电子商务活动的安全。二、当电子商务活动出现差错时,如何运用法律手段解决交易各方的责任以及权利义务关系等问题。在计算机系统或通信中,认证是良好的数据安全措施的一个重要组成部分。电子信息技术的发展极大地增强了人们获得信息的能力,同时也增加了某些敏感或有价值的数据被滥用的风险。如何确保交易对方的主体资格以及交易数据资料的安全,是电子交易各方都极为关注的问题。因此,我们必须保证买卖双方在电子交易中身份的真实可靠。电子认证的作用就在于确认交易双方真实有效的身份。 电子认证与电子签名一样都是电子商务活动中的安全保障机制。它是由特定的第三方机构提供的,对电子签名及其签名者的真实身份进行验证的服务。电子认证主要应用于电子交易的信用安全方面,以保障开放性网络环境中交易人身份的真实可靠。电子认证是确定某个人的身份信息或者是特定的信息在传输过程中未被修改或者替换。[5] 在电子交易过程中,除了交易双方以电子签名的方式来识别彼此的身份和确保传输信息的完整性外,对电子签名本身的认证问题,并不能由交易各方自己完成,而是由一个具有权威性、可信赖性和公正性的第三方来完成,从而为电子交易建立一种有效、可靠的保护机制。此第三方被称为认证机构(Certificate Authority,CA)。认证机构提供电子交易过程中的认证服务,能签发数字证书并能确认用户的真实身份。同时,由于电子商务活动常常是跨国境的,因此交易各方当事人就需要有不同国家的认证机构对各自的身份进行认证,并向电子商务活动的相对方发放电子认证证书。在实践中,就需要各国相互承认对方国家认证机构发放的电子认证证书的效力,以保证电子商务活动的顺利进行。 认证机构在电子商务活动中既不向在线当事人出售任何商品,也不提供资金或劳动力资源,它所提供的服务只是一种无形的证书信息。这种数字证书包含一个公开密钥、交易相对人的姓名以及认证机构的电子签名、密钥的有效时间,发证机关的名称,证书的序列号等。在整个电子交易过程中,认证机构不仅要对进行电子交易的各方当事人负责,还要对整个电子商务的交易秩序负责,因此,它是一个十分重要的机构。 在认证机构的设立上,我们必须强调它应是一个独立的法律实体,即是说它能够以自己的名义提供服务,能够以自己的财产提供担保,同时能在法律规定的范围内独立承担相应的民事责任。认证机构在整个电子交易过程中必须保持中立,它一般不得直接和客户进行商业交易,也不能代表任何一方当事人的利益,而只能通过发布客观的交易信息促成当事人之间的交易。另外,电子认证机构不能以盈利为目的,它应当是一种类似于承担社会服务功能的公共事业。从国外的经验来看,设立专门、独立和非营利性的认证机构是比较合适的作法。 结合国际上电子商务立法的先例,认证机构一般应承担以下义务:一、信息披露与通知义务。其根本目的就在于维护社会公共利益和保护信息弱势群体。二、安全义务。安全可信度是公众对认证机构的要求,认证机构应当采用能够满足条件的安全系统。三、保密义务。认证机构不得对外披露需要保密的信息。此外,认证机构还负有其他义务,如:举证义务,即交易当事人在使用证书过程中发生纠纷,认证机构可以根据交易双方或一方的要求,为其提供举证服务。 同时,认证机构在提供认证服务的过程中会面临许多潜在风险。其风险的种类主要有:(1)运用技术过失致使数字记录丢失;(2)对信息未进行严格审查致使证书含虚假陈述,第三人信赖其陈述,并基于证书的等级进行交易,将损坏认证机构的可信度;(3)未经过合理适当的辨别而终止或撤销证书;(4)由于服务器故障或周期性离线修整而造成认证服务中断;(5)内部人员即认证机构有权访问证书数据库的雇员制作虚假证书或涂改证书记录;(6)外部人员使用多种方法改造认证机构的通用协议;(7)作为网络机构随着技术更新其淘汰率高,服务可能难以长期维持,但是某些长期证书的管理又需要服务一直持续下去不能中断,等等。[6] 由上述认证机构的性质与风险分析可以看出,电子认证的产生与发展将引发电子商务领域的许多新的法律问题,这主要包括:一、数字证书与认证机构的法律地位以及对电子认证的法律监管应得到立法规范,否则无法保障电子认证的有序发展。二、电子认证所面临的风险将引发认证机构的责任问题,因为认证机构有可能在某些场合给证书持有人或证书信赖人造成损失。三、认证机构作为一个在电子商务领域具有重要价值的新型信用服务主体,将会面临许多现实或潜在的执业风险。四、电子认证所应实现的服务标准或技术标准应得到相应的规范与完善,以真正达到保障电子交易安全的目的与价值。基于以上这些法律问题,笔者认为,对于在电子交易中保障网络交易安全以及信用制度起重要作用的电子认证,应在未来的电子商务立法中占据应有的地位。 参考文献: [1] 蒋坡:“论我国电子商务法律体系和基本架构”,《科技与法律》2002年第2期。 [2] 王利明主编:《电子商务法研究》,中国法制出版社2003年版,第89页。 总共2页 1 [2] |