確認電子交易各方的身份是順利開展電子交易的前提,在網上進行電子交易的雙方在交易時,首先必須鑒別對方的可信度,這就是身份認證(Authentication)制度,認證的目的包括主要包括兩個方面:壹是確認信息來源;二是確認信息在傳輸過程中未被修改或替換。
根據目前已有的認證功能以及認證對象,電子認證可以分為以下幾種:(1)站點認證,即對通過驗證加密的數據能否在兩個站點之間成功地傳送而進行的認證;(2)數據信息認證,即對電子信息的來源、內容、時間和目的地的真實性所進行的認證;(3)身份認證,即對識別合法和非法用戶,阻止非法用戶訪問系統而對傳輸電子信息的當事人的個人身份所進行的認證。
在網絡上承擔身份認證任務的被稱為認證機構(certificate authority,CA),根據聯合國貿法會的《統壹電子簽名規則》第2條的規定,認證機構是指以驗證數字簽名為目的,頒發與加密密匙相關身份證書的任何單位或者個人。美國的《統壹電子交易法》規定與上述規定類似。根據以往經驗,基於認證機構必須在社會上建立自己的信任度和中立性,所以認證機構壹般由獨立的、不以盈利為目的的第三方擔任,它的主要功能包括:簽發和管理電子商務證書;產生、管理使用者密鑰、CA密鑰等。當參加電子交易的各方向認證機構申請電子商務證書時,需提交有關身份證明經認證機構驗證,然後簽發證書。證書上記載的項目包括持證人的名字、證書的有效期限以及他的公開密鑰等。在電子交易進行時,壹方可以向對方提交證書證明自己的身份,對方可要求認證機構驗證雙方身份。
很顯然,認證機構的重要作用是保證電子交易的安全。從國外的經驗來看,認證機構應當是專業的、獨立的和非營利性的機構。因其專業能有效地為客戶提供服務;它的完全獨立和非營利,使其處於壹個獨立第三人的超然位置,更容易獲得交易雙方的公平信任。
美國目前最出名的認證機構是總部位於美國加州Mountain View的Versign公司。該公司成立於1995年4月,其提供的數字證書服務已經遍布世界60多個國家和地區,接受該公司數字證書服務的公司用戶已經超過數萬家,個人用戶已經超過百萬人。我國較早開展認證研究的是中國銀行的網上銀行開發項目。1998年,中國銀行與世紀互聯及瑞得在線兩家ISP合作試驗網上交易。客戶首先向中國銀行申請CA認證並在自己計算機上安裝CA認證軟件,從而具備網上交易條件。然後,客戶就可以進入與銀行有合作關系的網上商店購物,款項由銀行向商家支付。但由於相關的國家安全標準尚未確定以及缺少網上交易的經驗,此項研究尚未進入推廣階段。
關於認證機構的另壹個重要問題就是:如果由於認證機構的過錯或者過失,造成電子交易失敗,認證機構是否應當承擔法律責任?如果應當承擔,那麽其責任的性質是什麽?是違約責任還是法定責任?有無範圍的限制?這些都是我們必須解決的法律問題。
研究認證機構法律責任的性質和範圍應當從研究認證機構的作用入手。認證機構在電子交易雙方當事人之間所起的作用與見證人相似,它見證的是交易雙方當事人的身份真實性,這是當事人雙方同意進行交易的基礎,因此如果交易雙方因認證機構過錯或者技術瑕疵導致認證的結果產生虛假,認證機構應當對受損失方承擔賠償責任。由於認證機構的責任可以由法律規定產生,所以這種責任的來源可以是基於法律規定所產生的責任;同時因參與認證是基於當事人與認證機構之間的協議,所以責任的來源也也可以是基於違約所產生的責任。
值得強調的是,由於認證工作是新生事物,其中有很多不可預測的技術因素,如果對認證機構規定的責任過重有可能阻礙電子認證服務的開展,從而影響電子交易的發展。因此,合理地分配認證機構和電子交易雙方當事人之間的法律責任,對於整個電子商務的發展都是十分重要的。從國外的立法經驗來看,這個問題被充分註意到。例如美國猶他州的《數字簽名法》規定,認證機構所承擔的是有限責任,而且只要認證機構遵守了《數字簽名法》規定義務,就可以免除因虛假或者偽造的數字簽名所造成損失的責任。
筆者認為,目前立法應當僅規定認證機構法律責任的歸責原則就已經足夠了,至於具體承擔責任的範圍和賠償程度可以留給當事人在雙方的協議中自行約定。
2、 電子簽名和數字簽名
無論是聯合國的《示範法》還是其他重要電子商務法規,對何謂“電子簽名”(electronic signature)都沒有壹個很明確的定義。聯合國貿法會《示範法》回避了此問題,原因大概是當年起草文件的專家們認為電子簽名技術還處於初期階段,實施起來較為復雜,難以納入《示範法》,故而沒有提及。
從技術的角度而言,電子簽名主要是指通過壹種特定的技術方案來賦予當事人壹個特定的電子密碼,確保該密碼能夠起到證明當事人身份的作用而同時確保發件人發出的交易資料內容不被篡改的安全保障措施。電子簽名的主要目的是利用技術手段對數據電文的發件人身份做出確認以及保證傳送文件內容未被篡改,以及解決事後發件人否認已發送或已收到資料等問題。
電子簽名的技術原理是:在每份數據電文發出時會隨附壹個長度通常為128byte 的資料摘要,該資料經過“密匙”換算後表面上是壹串雜亂無章的數字,實際上代表了發件人的身份信息。所謂密鑰,實際上相當於大家日常生活中所接觸的“密碼”。運用“密匙”對該資料摘要進行解密換算後就可確認發件人的身份。在傳輸過程中,如有第三人對數據電文進行篡改,但他並不知道發送方的私人密鑰,因此,驗證解密得到的結果與經過計算後的結果必然不同。從而保證了電子信息的真實性和完整性。
由於電子簽名的效力與電子合同本身的有效性認定緊密相關,所以它是絕大多數國家進行電子交易立法中所必須重點解決的問題,但是實際操作方法不壹,歸結起來的方法主要有三種:
①國家立法。如:美國國會就通過法案的方式,確定電子簽名合法性的最低條件,同時允許各州政府自行修改標準。同時,美國已有多個州通過《電子簽名法》,其中以猶他州的《電子簽名法》最有影響。新加坡的《電子交易法令》對“電子簽名”與“數字簽名"作了規定。“電子簽名”的定義為:“ 以數字形式所附或在邏輯上與電子記錄有聯系的任何字母,文字數字或其他符號,並且執行或采納電子簽名是為了證明或批準電子記錄”。“數字簽名”的定義為:“通過使用非對稱加密系統和哈希函數(hushing function)來變換電子記錄的壹種電子簽名,使得同時持有最初未變換電子記錄和簽名人公開密匙的任何人可以準確地判斷:(1)該項變換是否是使用與簽名人公開密匙相配的私人密匙作成的;(2)進行變換後,初始電子記錄是否被改動過”。 “這就提供了壹個安全的確認發送方身份的辦法”。
②當事人意思自治。鑒於“電子簽名”是否等同於書面的傳統簽字在法律界爭論已久,為盡快解決現實問題,美國律師協會下屬的信息安全委員會另辟蹊徑,經過4年多的努力,於1996年8月1日發布《電子簽字指南--有效確認和保證電子商務的安全的法律框架》的指導性文件,該文件為電子簽名提供了基礎性的法律指導意見,並且提到用戶之間在簽訂協議時可對電子簽名的地位、作用加以確認。新加坡1998年《交易法令》第17條規定:“通過使用當事人同意的某壹規定的安全程序或商業上合理的安全程序,如在簽署時能確認該電子簽名:(A)對該使用人而言是獨壹無二的;(B)能夠鑒別該使用人;(C)在該使用人的完全控制之下以某種方式生成;(D)與電子記錄存在這樣的聯系:如記錄被改動,電子簽名也隨之失效; 則該電子簽名可被視為“可靠電子簽名”。這樣,數字簽名就能夠具備與親筆簽名相同的功能。
③對何謂“簽名”采取擴張式解釋。如1989年,美國賓西法尼亞州法院受理壹樁房地產交易案時就認定正式郵件可以被認定為經過"簽署的書面文件"。它與《欺詐行為法》中法律規定相壹致。法官在判決中解釋道:"這壹問題(正式郵件是否符合法律的要求)是賓西法尼亞州第壹次看到,但是隨著商業和個人不斷利用電子郵件、電傳和傳真機等手段來參與他們商業談判活動,類似的問題,將會層出不窮。本法院認為處理這些案件的合適的、現實的方法應該是審察這些文件的可靠性,而非僅僅是正式的簽名。"。我國《合同法》沒有對數字簽名問題作出規定,第32條有提及簽名的問題,即當事人采用書面形式訂立合同的,自雙方當事人簽字或者蓋章時合同成立,但上述規定顯然是針對傳統交易方式的,並未考慮到電子簽名的諸多特殊問題。看來,這壹空白只能由未來的電子商務法來彌補了。