[ 謝波 ]——(2005-6-5) / 已閱21219次
關于電子簽名和認證的法律問題研究
謝波
摘要:在傳統交易活動中,“簽字蓋章”是許多法律的基本要求。但隨著網絡技術的日新月異,電子簽名和認證已經十分普遍。電子簽名和認證作為電子商務的重要組成部分,其中的法律問題阻礙了電子交易的進行,也制約了電子商務的發展。本文將對電子簽名和認證中的法律問題進行深入的探討和論述。
關鍵詞:電子簽名,認證,電子商務,電子合同,法律問題
在傳統交易中,人們常常通過親筆簽名的方式來確保合同當事人身份的真實有效和意思表示的一致。同時,親筆簽名也是許多法律的要求。例如,我國《合同法》第32條規定:“當事人采用合同書形式訂立合同的,自雙方當事人簽字或者蓋章時合同成立。”我國《票據法》第4條規定:“票據出票人制作票據,應當按照法定條件在票據上簽章,并按照所記載的事項承擔票據責任。持票人行使票據權利,應當按照法定程序在票據上簽章,并出示票據。”然而,在電子商務環境下,由于合同當事人可能相隔千里,甚至在整個交易過程中并不謀面,這就使傳統的親筆簽名方式就很難運用于電子交易。但是,傳統的親筆簽名方式所具有的功能,特別是它所具有的證明合同的真實性和完整性的功能,對一直為網絡安全問題所困擾的電子商務仍然具有重要的價值。所以,簽名的要求在電子商務環境下不僅不應被放棄,反而應該得到強化和更有力的保障。當然,這里所說的簽名已經不再是傳統的親筆簽名,而是電子簽名(Electronic Signature)。
新加坡1998年頒布的《電子交易法》(Singapore Electronic Transactions Act 1998,SETA)對電子簽名和數字簽名作了相關規定。它將電子簽名定義為:“以數字形式所附或在邏輯上與電子記錄有聯系的任何字母,文字數字或其他符號,并且執行或采納電子簽名是為了證明或批準電子記錄”;將數字簽名(Digital Signature)定義為:“通過使用非對稱加密系統和哈希函數(Hushing Function)來變換電子記錄的一種電子簽名”。可見,數字簽名是電子簽名的一種。根據聯合國國際貿易法委員會電子商務工作組1999年頒布的《電子簽名統一規則(草案)》(Draft Uniform Rule On Electronic Signature)第1條的規定:“‘電子簽名’,是指以電子形式存在于數據信息之中的,或作為其附件的或邏輯上與之有聯系的數據,并且它(可以)用于辨別數據簽署人的身份,并表明簽署人對數據信息中包含的信息的認可”。筆者認為這一定義頗值得我國立法的借鑒。
電子簽名的主要目的是利用技術的手段對數據電文的發件人身份做出確認及保證傳送的文件內容沒有被篡改,以及解決事后發件人否認已經發送或者是收到資料等問題。[1]電子簽名是法律上一個重要的創新概念,它作為電子認證技術在法律上的總括,得到了許多國家的認可。目前,國際上通用的電子簽名主要有以下三種模式:
一、智能卡模式。智能卡是安裝了嵌入式微型控制器芯片的IC卡,內儲有關自己的數字信息。使用者在使用智能卡時只要在計算機的掃描器上一掃,然后鍵入自己設定的密碼即成。
二、密碼模式。使用者可以自己設定一個密碼,該密碼由數字或字符組合而成。有的單位還提供硬件,讓使用者用電子筆在電子板上簽名后存儲起來,電子板不僅可以記錄簽名的形狀,而且可以記錄使用者簽名時的力度以及定字的速度等,以防他人盜用簽名。
三、生物測定模式。該方法以使用者的生理特征為基礎,通過計算機對使用者的指紋、面部等進行數字化的同一認定。
隨著電子商務的發展,為了消除電子商務在法律上的障礙,許多國家已經著手研究電子簽名的問題。聯合國國際貿易法委員會電子商務工作組一直以《電子簽名統一規則》作為擬定草案的標題,并得到了許多國家的一致認同。歐盟的相關指令也同樣以“電子簽名”為題。自世界上第一部電子簽名法——美國猶他州于1995年頒布的《數字簽名法》以來,迄今為止,國家級的電子商務立法有德國的《數字簽名法》和《數字簽名條例》、美國的《電子簽名法》、意大利的《數字簽名法》、愛爾蘭的《電子簽名法》、馬來西亞的《數字簽名法》、新加坡的《電子交易法》、韓國的《電子商務基本法》等。從內容上來看,這些法律以電子簽名(數字簽名)與認證機構的相關規定為主,多數立法文件直接以“電子簽名”或“數字簽名”為標題。電子簽名法不僅能解決電子合同的法律效力、電子交易中的風險和責任分配等基本問題,而且能有效地維護電子商務活動中國家的經濟利益,因此在整個電子商務法律體系中占有極其重要的地位。
由于電子合同未必具有傳統合同的書面文本,這就使得傳統的親筆簽名方式被電子簽名所替代。如同傳統合同須雙方當事人簽字蓋章方能生效一樣,如果電子簽名不具有法律效力,則無法使電子合同有效。在傳統合同中,親筆簽名或蓋章的行為主要有兩種功能:一是表明合同當事人的真實身份;二是表明合同當事人愿受合同約束的意思。但在電子商務活動中,傳統的親筆簽名方式很難應用于這種電子交易方式。因此,人們開始采用電子簽名來證明彼此的身份。
在電子合同上的簽名,最大的障礙仍然是技術上的,也就是說現有技術仍不能使當事人像在合同書上簽字那樣方便、簡單。[2]但需要指出的是,一旦從技術上解決了電子簽名的問題,電子簽名在電子商務中的實用性以及所產生的法律效力將不會低于在傳統合同書上的簽名。同時,我們還應看到,既然承認電子合同屬于書面形式,那么就必須承認電子簽名的效力,因為在沒有電子簽名的情況下,任何人都可以自由地進入計算機系統,并對文件的內容進行篡改,電子合同就很難存在了。
目前,世界各國以及國際組織的立法已有將“電子簽名”視為簽名的傾向。例如,聯合國歐洲經濟委員會促進國際貿易程序工作小組認為:只要貿易文件上的簽名,能夠據以認定文件的來源(即據以追溯出文件的作者)并利用該簽名認證該文件,簽署文件者就要對文件單據上事項的正確性及完整性負責。[3]《漢堡規則》(Hamburg Rules)第14條規定:“提單上的簽字可以用手寫、印摹、打孔、蓋章、符號或如不違反提單簽發地所在國國家的法律,用任何其他機械的或電子的方法。”在我國的實體法中,除法律有特別規定以外,當事人訂立合同可以采用書面形式、口頭形式和其他形式,而并不以書面形式、簽字蓋章等方式為要件。就這點而言,與英美法系所強調書面形式和簽字蓋章等要件才能使合同成立、生效的基本原則有很大的不同。因此,我國對簽名或蓋章的法律要求在具體法律條文中并未過多涉及。[4]但我國《合同法》采用了一種靈活的方式。我國《合同法》第33條規定:“當事人采用信件、數據電文等形式訂立合同的,可以在合同成立之前要求簽訂確認書。簽訂確認書時合同成立。”根據這一規定,如果當事人在簽訂合同時使用了電子簽名,既可以不簽訂確認書,也可以根據實際情況,在合同成立之前要求簽訂確認書。當然,采用后一種做法可以更加明確合同的真實性,以防電子簽名的偽造。
筆者認為,政府相關部門應該積極向大眾廣為推介說明電子簽名的定義、目的、適用范圍、使用方法等,然后再由法律提供一套公平合理的游戲規則。通過建立完善的電子簽名和電子認證體系,一方面可以促進電子商務的發展,另一方面可以提高人們對電子簽名的接納度并減少電子簽名的偽造、變造和其他欺詐行為。
認證是一種證實某人或某事為有效或名副其實的過程,其目標仍然是著眼于“安全”。電子商務的安全問題主要包括兩個方面:一、從技術上建立安全認證機制,以確認交易各方身份的真實性以及信息的保密性、完整性和不可抵賴性;同時,利用現代密碼技術以及電子簽名技術等,來保證電子商務活動的安全。二、當電子商務活動出現差錯時,如何運用法律手段解決交易各方的責任以及權利義務關系等問題。在計算機系統或通信中,認證是良好的數據安全措施的一個重要組成部分。電子信息技術的發展極大地增強了人們獲得信息的能力,同時也增加了某些敏感或有價值的數據被濫用的風險。如何確保交易對方的主體資格以及交易數據資料的安全,是電子交易各方都極為關注的問題。因此,我們必須保證買賣雙方在電子交易中身份的真實可靠。電子認證的作用就在于確認交易雙方真實有效的身份。
電子認證與電子簽名一樣都是電子商務活動中的安全保障機制。它是由特定的第三方機構提供的,對電子簽名及其簽名者的真實身份進行驗證的服務。電子認證主要應用于電子交易的信用安全方面,以保障開放性網絡環境中交易人身份的真實可靠。電子認證是確定某個人的身份信息或者是特定的信息在傳輸過程中未被修改或者替換。[5]
在電子交易過程中,除了交易雙方以電子簽名的方式來識別彼此的身份和確保傳輸信息的完整性外,對電子簽名本身的認證問題,并不能由交易各方自己完成,而是由一個具有權威性、可信賴性和公正性的第三方來完成,從而為電子交易建立一種有效、可靠的保護機制。此第三方被稱為認證機構(Certificate Authority,CA)。認證機構提供電子交易過程中的認證服務,能簽發數字證書并能確認用戶的真實身份。同時,由于電子商務活動常常是跨國境的,因此交易各方當事人就需要有不同國家的認證機構對各自的身份進行認證,并向電子商務活動的相對方發放電子認證證書。在實踐中,就需要各國相互承認對方國家認證機構發放的電子認證證書的效力,以保證電子商務活動的順利進行。
認證機構在電子商務活動中既不向在線當事人出售任何商品,也不提供資金或勞動力資源,它所提供的服務只是一種無形的證書信息。這種數字證書包含一個公開密鑰、交易相對人的姓名以及認證機構的電子簽名、密鑰的有效時間,發證機關的名稱,證書的序列號等。在整個電子交易過程中,認證機構不僅要對進行電子交易的各方當事人負責,還要對整個電子商務的交易秩序負責,因此,它是一個十分重要的機構。
在認證機構的設立上,我們必須強調它應是一個獨立的法律實體,即是說它能夠以自己的名義提供服務,能夠以自己的財產提供擔保,同時能在法律規定的范圍內獨立承擔相應的民事責任。認證機構在整個電子交易過程中必須保持中立,它一般不得直接和客戶進行商業交易,也不能代表任何一方當事人的利益,而只能通過發布客觀的交易信息促成當事人之間的交易。另外,電子認證機構不能以盈利為目的,它應當是一種類似于承擔社會服務功能的公共事業。從國外的經驗來看,設立專門、獨立和非營利性的認證機構是比較合適的作法。
結合國際上電子商務立法的先例,認證機構一般應承擔以下義務:一、信息披露與通知義務。其根本目的就在于維護社會公共利益和保護信息弱勢群體。二、安全義務。安全可信度是公眾對認證機構的要求,認證機構應當采用能夠滿足條件的安全系統。三、保密義務。認證機構不得對外披露需要保密的信息。此外,認證機構還負有其他義務,如:舉證義務,即交易當事人在使用證書過程中發生糾紛,認證機構可以根據交易雙方或一方的要求,為其提供舉證服務。
同時,認證機構在提供認證服務的過程中會面臨許多潛在風險。其風險的種類主要有:(1)運用技術過失致使數字記錄丟失;(2)對信息未進行嚴格審查致使證書含虛假陳述,第三人信賴其陳述,并基于證書的等級進行交易,將損壞認證機構的可信度;(3)未經過合理適當的辨別而終止或撤銷證書;(4)由于服務器故障或周期性離線修整而造成認證服務中斷;(5)內部人員即認證機構有權訪問證書數據庫的雇員制作虛假證書或涂改證書記錄;(6)外部人員使用多種方法改造認證機構的通用協議;(7)作為網絡機構隨著技術更新其淘汰率高,服務可能難以長期維持,但是某些長期證書的管理又需要服務一直持續下去不能中斷,等等。[6]
由上述認證機構的性質與風險分析可以看出,電子認證的產生與發展將引發電子商務領域的許多新的法律問題,這主要包括:一、數字證書與認證機構的法律地位以及對電子認證的法律監管應得到立法規范,否則無法保障電子認證的有序發展。二、電子認證所面臨的風險將引發認證機構的責任問題,因為認證機構有可能在某些場合給證書持有人或證書信賴人造成損失。三、認證機構作為一個在電子商務領域具有重要價值的新型信用服務主體,將會面臨許多現實或潛在的執業風險。四、電子認證所應實現的服務標準或技術標準應得到相應的規范與完善,以真正達到保障電子交易安全的目的與價值。基于以上這些法律問題,筆者認為,對于在電子交易中保障網絡交易安全以及信用制度起重要作用的電子認證,應在未來的電子商務立法中占據應有的地位。
參考文獻:
[1] 蔣坡:“論我國電子商務法律體系和基本架構”,《科技與法律》2002年第2期。
[2] 王利明主編:《電子商務法研究》,中國法制出版社2003年版,第89頁。
總共2頁 1 [2]
下一頁
