国产成人精品日本亚洲专区6-国产成人精品三区-国产成人精品实拍在线-国产成人精品视频-国产成人精品视频2021

[ 王一懷 ]——(2003-12-2) / 已閱20931次

歐盟與美國的電子簽名法述評

王一懷


摘要：電子商務己被認為是具有美好前景的全球數字經濟發展中的關鍵性因素�，F在人們普遍認為，現有的法律框架尚不能有效地向人們提供一個可資信賴的、具有安全保障的在線商務環境。電子商務的安全問題一直是各個國家和各國際組織所關注的對象。本文從電子交易安全的中心環節－電子簽名出發，考察歐盟和美國所采取的立法措施及其為建立共同的電子認證法律平臺作出的努力，并根據歐盟與美國的經驗，提出了我國電子簽名立法中值得重視的幾個方面，以期對我國立法和實踐有所助益。
關鍵詞：網絡安全 電子簽名 數字簽名 歐盟電子簽名指令 美國電子簽名法案

一、電子簽名及其規制模式

電子簽名的定義，不同的國際組織和國家立法各不相同。但本質上說，電子簽名是“建立在計算機基礎上的個人身份”。電子簽名的形式很多，有“位圖簽名”、“生物簽名”（如虹膜掃描）和“數字簽名”等。其中的“數字簽名”，依賴于“不對稱的加密技術”(PKI)，使用兩把不同的、在數字上互有聯系的一組鑰匙（key pair），即“公共鑰匙”和“私人鑰匙”（the private and the public key），來創設數字簽名，對數據進行編碼、解碼和對簽名進行驗證。數字簽名可以較好地保證公開網絡上信息的安全性和保密性，保障數據的完整性并避免數據被非法篡改，是目前電子簽名中最為高級、且得到廣泛應用的電子簽名形式。
在電子商務中，交易的安全問題至關重要。由于交易從雙向轉為互聯網上的多向，而且大多數交易通常不存在前契約關系，相互間也沒有再次交易的可能，如何確認某一特定交易當事人的身份，防止拒絕承認提交、傳遞了交易信息、否認信息內容的完整性，便很重要。電子簽名的數字簽名具有“不得拒絕”的功能（non-repudiation），可以較好地解決這一問題。該功能通過“可信任的第三方”（TTPs），即“認證機構”(CAs)的認證來實現的。認證機構簽發“認證證書”（certificate），將某一公共鑰匙明白無誤地歸屬于某一特定身份，并根據詢問的層次，使用“識別”（identification）、“時間戮記”（time stamp）等方法來確認證明對象的身份。認證機構同時也使用數字方法進行簽證并提供“自我認證”（self-certification）、“交叉認證”（cross-certification）和“根認證”( root CA)）等方式，幫助識別認證機構的身份和認證證書的真實性。
電子簽名（尤其是數字簽名）的主要優點是：首先，它能夠提供更大的安全性、可靠性和透明度，將欺詐、以被模仿為由逃避責任的風險降到最低的限度。數字簽名能滿足信息完整性的要求，防止未經授權獲得數據，及時發現非法篡改信息的活動從而減少以數據被改變為由的索賠。數字簽名在功能上與紙質形式相同，以數字方式簽訂的電子合同也能滿足法律上的書面形式、簽名和文件原始性的要求。其次，電子簽名可以保證公共事務處理的安全性和透明度，提高數據處理速度，并可以進行加工、儲存和傳送，保證行政程序的效率。
目前，國際上規制電子簽名的方案（initiatives）有三種主要模式：一是“最低要求方案”（Minalist Approach），也稱“技術非特定化方案”。它確立技術的“中立”(technology-neutral)地位，認為電子簽名存在多種技術手段，應由市場和消費者去作出判斷和選擇，立法者只需要提出原則性要求，政府不應對具體技術作出選擇。該方案具有示范性的是1996年聯合國貿易法委員會制定的《電子商務示范法》(UNCITRAL Model Law on Electronic Commerce)。二是“數字簽名方案”（The Digital Approach），也稱“技術特定化方案”。它確定以不對稱的加密技術為基礎的數字簽名作為合法的電子簽名技術，對認證機構提出了某些技術和財務的條件要求，規定鑰匙持有人的責任并明確了判別電子簽名可靠性的條件。美國律師協會1996年制定的《ABA數字簽名指南》（ABA-Digital Signature Guidelines）和歐盟制定的《歐洲電子簽名標準化行動計劃》（EU-Wide satandardisation initiatives, EESSI），是采用這種方案的典型例子。三是“雙軌制方案”(Two-tier Approach)。它是一種“混合型”（hybrid）的折衷方案。它對各種電子認證方法規定條件，賦予其最低限度的法律效力（“最低限度”），對某些廣泛使用的技術（即“數字簽名”）賦予較大的法律效力，以建立一套不受時間淘汰的規制體系。聯合國《電子簽名示范法》（UNCITRAL Model Law on Electronic Signatures）采用的是這種方案。上述三種方案中，源自于美國猶它州立法的“數字簽名方案”由于將數字簽名技術確定為電子簽名的技術基礎，從而限制了其它技術的發展，被認為是過時的。

二、歐盟與美國電子簽名法的主要內容和特點

（一）《歐盟關于建立電子簽名共同法律框架的指令》（EU Directive on a Community Framework for Electronic Signatures）

歐盟委員會1997年4月提出著名的《歐洲電子商務行動方案》（European Initiative in E-commerce）之后，歐盟各國又于同年7月在波恩召開了有關全球信息網絡的部長級會議，并通過了支持電子商務發展的部長宣言。宣言主張政府在電子商務立法中應減少不必要的限制，幫助民間企業自主發展，促進網絡商業競爭。隨著電子商務的發展，為了在歐洲的層面上制定一個統一的電子簽名法律框架，克服各國對互聯網市場規制上出現的互不協調局面，并與國際上各國的行動保持同步，歐盟委員會于1999年12月13日制定了《關于建立電子簽名共同法律框架的指令》(以下簡稱《指令》)。其主要目標是：1、推動電子簽名的使用，促進法律承認；2、協調成員國之間的規范；3、提高人們對電子簽名的信心；4、創設一種彈性的、與國際的行動規則相容的、具有競爭性的跨境電子交易環境。
《指令》提出一個涉及電子簽名和”認證服務商”（CSPs）的法律框架。它依據交易的敏感度的不同，將電子簽名依其安全水平的高低分為“基本電子簽名”(the basic signature)和“高級電子簽名”(the advanced signature)，前者適用于低水平交易，后者用于需要較高安全水平的交易。《指令》沒有提出具體的技術導向，但偏向于采用數字簽名(第二條第二款、第五條)。
在法律承認方面，《指令》提出了電子簽名的非歧視原則。但它要求“高級電子簽名”必須滿足國內法的形式條件，而且事實上只將數字簽名視為效力等同于手寫簽名的電子簽字方式。此外，它規定電子簽名作為證據不得因其為電子形式而被拒絕具有可強制執行力和可采證力（第五條第二款）。但這種承認仍然有限，因為所有關于合同或非合同義務的規定被排除在《指令》的范圍之外，關于合同訂立、效力的問題也必須符合國內法或歐盟法律所規定的條件。
在市場進入方面，《指令》規定各成員國不得將電子簽名認證服務納入“強制性許可”（mandatory licensing）范圍，應由各成員國自行決定引入“民間認證方案”（voluntary accreditation schemes）。但它要求必須客觀、透明、非歧視和適當的（附件二）。
《指令》規定了認證服務商的責任規則（第六條）。對于因為泄漏數據而給任何機構造成的損失，以及對于其所簽發的合格證書產生的“合理信賴”（reasonably relies）而造成的損失，認證服務商應承擔責任，除非其能夠證明其沒有“疏忽行事”（act negligently）。此外，《指令》承認第三國認證具有與歐盟的認證服務供應商所簽發的證書同等的法律效力，只要其與歐盟存在連結關系（如歐盟的民間認證），或歐盟與該第三國之間有雙邊或多邊協議（第七條）。
總的說來，《指令》采用了“雙軌”模式，集合了各成員國的不同趨向和政策。它確立了電子交易安全的最低要求，注重電子簽名和認證服務商應具備的條件，但調整范圍卻較為狹窄（第一條）。其次，《指令》承認電子商務的擴展應由市場力量來決定，但又認為“商業現實不能清楚地為私營業界提供前進的方向，不論是采用國家調整還是自律調整方式，國家仍然是主導的力量�！痹俅�，數字簽名被視為具有完全等同于手寫簽名和簽章的效力，其它電子簽名形式也在法律上也得到承認，但其法律約束力卻要取決于各成員國的國內法規定。最后，《指令》詳盡地規定了認證服務商的責任，對于認證證書持有人的責任沒有作出具體規定，也沒有規定消費者對認證服務商（通常是銀行）所享有的權利。

（二）美國《全球和國內商業法中的電子簽名法案》（Electronic Signatures in Global and National Commerce Act ）（E-Sign Act）

美國的電子簽名立法起步較早，《猶它州電子交易法》（UETA）是涉及電子簽名的第一個立法，并被奉為二十多個州的示范法。這部“技術中立（technology-neutral）”的法案規定：1）電子簽名符合手寫簽名的各個要求，并且可在法院訴訟中接納為證據；2）電子合同得以強制執行；3）不存在對特定技術的特別待遇，但法院可以將不同技術納入考慮范圍。
2000年10月美國國會通過《全球和國內商業法中的電子簽名法案》（以下簡稱《法案》），并由總統克林頓以電子方式簽署為法律。它是一項重要的電子商務立法，其突出特點是，采納了“最低限度”模式來推動電子簽名的使用，不規定使用某一特定技術。其主要內容有如下幾個方面：
在電子簽名的適用范圍方面，規定適用于一切影響到州際的或外國的商業合同、協議和記錄，以及《1934年證券交易法》管轄范圍的事項。也即是說，電子簽字可以廣泛適用于消費者申請抵押或貸款、在網上購買汽車，開立傭金戶頭或處理與保險公司的事務等領域。
對于電子簽名的效力，《法案》將重點放在查證簽名人的意圖上，而不是簽名的形式和規則。《法案》賦予電子簽名、電子合同和電子記錄與傳統形式和手寫簽名相同的法律效力和可執行力。它不但承認了“數字簽名技術”，而且也授權在未來可使用其它任何類型的簽名技術。但它同時也明確，《法案》的規定不影響現有關于合同、記錄必須采用書面、簽名或電子形式以外的其它形式的法律要求。
《法案》規定了通過選擇“加入”系統而自愿使用電子簽名或記錄的規則。消費者可以自由地選擇交易形式（即“當事人自治”）；如果同意進行在線交易，則以電子方式確認其意思表示。《法案》規定，公司必須提供一種“清楚、明晰的陳述”，并在消費者作出意思表示之前，告知其有權獲得一份非電子形式的記錄和撤回其意思表示，以及有權取得保留電子記錄所需要的硬件和軟件條件（第101條）。至于消費者的“意思表示”，必須“合理地表明”消費者獲得電子形式的信息，該信息用以證明消費者意思表示（同意）的客體。
在《法案》與州一級的電子簽名法的相互關系上，法案規定，州法只有在采用猶他州《電子交易法案》（UETA）的“清潔”版本，或通過一部專門的技術中立法時，州法才能優先于該法案�！斗ò浮芬虼舜_立了為全國所接受的統一標準，同時修補了所謂的“猶他州法的漏洞”。至于電子簽字的國際性效力，《法案》的規定與聯合國的電子商務示范法是相一致的。它消除了以紙質為基礎的對電子交易造成的障礙，對來源于其它國家的電子簽字和認證方法采取了非岐視的原則。
《法案》的特點在于：第一、與歐盟的《指令》相比，最具積極意義的部分是在私營部門和自律政策方面。它試圖為電子交易的可靠性和安全性提供一個法律框架，對政府的不適當干預進行限制，放棄對電子簽字和認證的強制性規制方案，采取了自由化的和非岐視的市場導向方法。第二、《法案》通過“技術中立”的規定，明確表明，保障在線簽約安全不只存在一種單一的技術或方法，盡管數字簽名在美國得到了廣泛的承認。第三、《法案》預先制止了可能出現的指定特定技術方案的州一級的電子簽字法的出臺，為創設互通性的電子簽約系統創造了條件。

三、歐盟與美國在電子簽名法律與政策上的協調

歐盟與美國的電子簽名法由于采用了不同的規制模式，在電子簽名的政策導向、電子認證的管制以及第三國認證的效力等方面出現了明顯的差異，而這對于推進電子商務的全球性和交互性，消除國際電子商務的統一障礙是不利的。面對這些政策措施的不協調，美國和歐盟意識到需要進行合作，以推動建立一種安全的、有利于電子商務發展的統一基礎設施。其中最為重要的是“環大西洋行動”（transatlantic agenda）和“全球電子簽名認證網絡”(Idntrus)。
“環大西洋行動”是歐盟和美國為了縮小電子簽名方面的政府和立法措施的差距，以達到在環大西洋層次上，實現電子簽名法律效力和條件標準化的政府層面的合作。
早在1990年，美國和歐盟（當時的歐共體）及其成員國就共同宣布要加強合作以進一步“推動市場原則，反對保護主義，擴大和進一步開放多邊貿易體制”。鑒于互聯網的發展以及電子商務的急速擴張，歐盟和美國在1997年和2000年的首腦高峰會上主張采取下列指導原則：一、電子商務應由市場來主導并由私營機構來推動；二、政府只提供一個清晰、協調和可預測性的法律框架，以推動競爭環境的形成以使電子商務繁榮發展，并給消費者以充分的保護；三、提倡業界的自律，例如實施行為代碼，示范合同，業界與其它私人機構達成的指導規則，以取得消費者對電子商務的信心；四、消除現有的不必要的法律和管制，防止出現新的障礙；五、實現電子認證方法的互通性、創新性和競爭性，并在此條件下達成適合于國際一致認可的統一標準。
根據這些原則，歐盟和美國啟動了“環大西洋行動”，目標是制定電子商務的行動計劃，逐步消除歐盟和美國之間的貨物、服務以及資本流動的各種障礙，促進一個新的環大西洋市場的形成。歐盟和美國在其各自現有的規則和政策的基礎上開展合作，以最大程度地實現技術透明、規制協調一致、營業共享以及認證方法的非岐視。
“環大西洋行動”是歐盟和美國在政府層次上的合作。但在其中起作用的重要角色是私營機構，尤其是“全球電子簽名認證網絡(Idntrus)”。Idntrus是為了減少電子交易所面臨的規制方面的障礙于1999年在美國建立起來的一個全球性的電子簽字認證網絡。每一家與該認證網絡系統連接的金融機構事實上都是認可的認證機構。Idntrus依賴于一些由金融機構牽頭的歐美私營機構而建立起來，其主要目的是對交易各方的身份和授權進行鑒別，確保通訊信息的保密性、所傳輸的訊息的完整性以及在公開網絡上的簽名的“不可拒絕性”，同時保障建立在統一標準基礎上、超越任何法律分歧的電子交易系統的互通性。
歐盟目前已經正式批準了Idntrus，并授予金融機構以獨立認證機構身份參與競爭，從而確立認證服務的基礎。目前，全球已有接近五十家銀行與“全球電子簽名認證網絡”進行了連接。
可見，不論歐盟和美國的法律和經濟背景如何不同，發展電子商務的現實共同需要使得雙方必須在建立一個相互協調、兼容的法律環境方面進行合作。實際上，在《電子簽名指令》和《電子簽名法案》頒布之前，雙方各自的政府和商界之間就己開始進行合作，但立法機構之間并未就解決在線交易面臨的法律挑戰上共同尋求對策和進行合作，而且對認證方法采用了不同的處理方式。

四、歐盟和美國電子簽名法的評價與思考

可以看出，不論是歐盟還是美國，其解決電子商務中的電子簽名與安全認證問題的方案仍然是不完善的：

總共2頁　　1 [2]

　　下一頁