壹、關於電子簽名之法律問題
(壹)電子簽名概述
在傳統交易中,人們常常通過親筆簽名的方式來確保合同當事人身份的真實有效和意思表示的壹致。同時,親筆簽名也是許多法律的要求。例如,我國《合同法》第32條規定:"當事人采用合同書形式訂立合同的,自雙方當事人簽字或者蓋章時合同成立。"我國《票據法》第4條規定:"票據出票人制作票據,應當按照法定條件在票據上簽章,並按照所記載的事項承擔票據責任。持票人行使票據權利,應當按照法定程序在票據上簽章,並出示票據。"然而,在電子商務環境下,由於合同當事人可能相隔千裏,甚至在整個交易過程中並不謀面,這就使傳統的親筆簽名方式就很難運用於電子交易。但是,傳統的親筆簽名方式所具有的功能,特別是它所具有的證明合同的真實性和完整性的功能,對壹直為網絡安全問題所困擾的電子商務仍然具有重要的價值。所以,簽名的要求在電子商務環境下不僅不應被放棄,反而應該得到強化和更有力的保障。當然,這裏所說的簽名已經不再是傳統的親筆簽名,而是"電子簽名"(Electronic
Signature)。
新加坡1998年頒布的《電子交易法》(Singapore Electronic Transactions Act
1998,SETA)對電子簽名和數字簽名作了相關規定。它將電子簽名定義為:"以數字形式所附或在邏輯上與電子記錄有聯系的任何字母,文字數字或其他符號,並且執行或采納電子簽名是為了證明或批準電子記錄";將數字簽名(Digital
Signature)定義為:"通過使用非對稱加密系統和哈希函數(Hushing
Function)來變換電子記錄的壹種電子簽名"。可見,數字簽名是電子簽名的壹種。根據聯合國國際貿易法委員會電子商務工作組1999年頒布的《電子簽名統壹規則(草案)》(Draft Uniform Rule On
Electronic
Signature)第1條的規定:"‘電子簽名',是指以電子形式存在於數據信息之中的,或作為其附件的或邏輯上與之有聯系的數據,並且它(可以)用於辨別數據簽署人的身份,並表明簽署人對數據信息中包含的信息的認可"。筆者認為這壹定義頗值得我國立法的借鑒。
電子簽名的主要目的是利用技術的手段對數據電文的發件人身份做出確認及保證傳送的文件內容沒有被篡改,以及解決事後發件人否認已經發送或者是收到資料等問題。[1]電子簽名是法律上壹個重要的創新概念,它作為電子認證技術在法律上的總括,得到了許多國家的認可。目前,國際上通用的電子簽名主要有以下三種模式:
壹、智能卡模式。智能卡是安裝了嵌入式微型控制器芯片的IC卡,內儲有關自己的數字信息。使用者在使用智能卡時只要在計算機的掃描器上壹掃,然後鍵入自己設定的密碼即成。
二、密碼模式。使用者可以自己設定壹個密碼,該密碼由數字或字符組合而成。有的單位還提供硬件,讓使用者用電子筆在電子板上簽名後存儲起來,電子板不僅可以記錄簽名的形狀,而且可以記錄使用者簽名時的力度以及定字的速度等,以防他人盜用簽名。
三、生物測定模式。該方法以使用者的生理特征為基礎,通過計算機對使用者的指紋、面部等進行數字化的同壹認定。
隨著電子商務的發展,為了消除電子商務在法律上的障礙,許多國家已經著手研究電子簽名的問題。聯合國國際貿易法委員會電子商務工作組壹直以《電子簽名統壹規則》作為擬定草案的標題,並得到了許多國家的壹致認同。歐盟的相關指令也同樣以"電子簽名"為題。自世界上第壹部電子簽名法美國猶他州於1995年頒布的《數字簽名法》以來,迄今為止,國家級的電子商務立法有德國的《數字簽名法》和《數字簽名條例》、美國的《電子簽名法》、意大利的《數字簽名法》、愛爾蘭的《電子簽名法》、馬來西亞的《數字簽名法》、新加坡的《電子交易法》、韓國的《電子商務基本法》等。從內容上來看,這些法律以電子簽名(數字簽名)與認證機構的相關規定為主,多數立法文件直接以"電子簽名"或"數字簽名"為標題。電子簽名法不僅能解決電子合同的法律效力、電子交易中的風險和責任分配等基本問題,而且能有效地維護電子商務活動中國家的經濟利益,因此在整個電子商務法律體系中占有極其重要的地位。
(二)電子簽名之法律效力
由於電子合同未必具有傳統合同的書面文本,這就使得傳統的親筆簽名方式被電子簽名所替代。如同傳統合同須雙方當事人簽字蓋章方能生效壹樣,如果電子簽名不具有法律效力,則無法使電子合同有效。在傳統合同中,親筆簽名或蓋章的行為主要有兩種功能:壹是表明合同當事人的真實身份;二是表明合同當事人願受合同約束的意思。但在電子商務活動中,傳統的親筆簽名方式很難應用於這種電子交易方式。因此,人們開始采用電子簽名來證明彼此的身份。
在電子合同上的簽名,最大的障礙仍然是技術上的,也就是說現有技術仍不能使當事人像在合同書上簽字那樣方便、簡單。[2]但需要指出的是,壹旦從技術上解決了電子簽名的問題,電子簽名在電子商務中的實用性以及所產生的法律效力將不會低於在傳統合同書上的簽名。同時,我們還應看到,既然承認電子合同屬於書面形式,那麽就必須承認電子簽名的效力,因為在沒有電子簽名的情況下,任何人都可以自由地進入計算機系統,並對文件的內容進行篡改,電子合同就很難存在了。
目前,世界各國以及國際組織的立法已有將"電子簽名"視為簽名的傾向。例如,聯合國歐洲經濟委員會促進國際貿易程序工作小組認為:只要貿易文件上的簽名,能夠據以認定文件的來源(即據以追溯出文件的作者)並利用該簽名認證該文件,簽署文件者就要對文件單據上事項的正確性及完整性負責。[3]《漢堡規則》(Hamburg
Rules)第14條規定:"提單上的簽字可以用手寫、印摹、打孔、蓋章、符號或如不違反提單簽發地所在國國家的法律,用任何其他機械的或電子的方法。"在我國的實體法中,除法律有特別規定以外,當事人訂立合同可以采用書面形式、口頭形式和其他形式,而並不以書面形式、簽字蓋章等方式為要件。就這點而言,與英美法系所強調書面形式和簽字蓋章等要件才能使合同成立、生效的基
本原則有很大的不同。因此,我國對簽名或蓋章的法律要求在具體法律條文中並未過多涉及。[4]但我國《合同法》采用了壹種靈活的方式。我國《合同法》第33條規定:"當事人采用信件、數據電文等形式訂立合同的,可以在合同成立之前要求簽訂確認書。簽訂確認書時合同成立。"根據這壹規定,如果當事人在簽訂合同時使用了電子簽名,既可以不簽訂確認書,也可以根據實際情況,在合同成立之前要求簽訂確認書。當然,采用後壹種做法可以更加明確合同的真實性,以防電子簽名的偽造。
筆者認為,政府相關部門應該積極向大眾廣為推介說明電子簽名的定義、目的、適用範圍、使用方法等,然後再由法律提供壹套公平合理的遊戲規則。通過建立完善的電子簽名和電子認證體系,壹方面可以促進電子商務的發展,另壹方面可以提高人們對電子簽名的接納度並減少電子簽名的偽造、變造和其他欺詐行為。
二、關於電子認證之法律問題
(壹)電子認證概述
認證是壹種證實某人或某事為有效或名副其實的過程,其目標仍然是著眼於"安全"。電子商務的安全問題主要包括兩個方面:壹、從技術上建立安全認證機制,以確認交易各方身份的真實性以及信息的保密性、完整性和不可抵賴性;同時,利用現代密碼技術以及電子簽名技術等,來保證電子商務活動的安全。二、當電子商務活動出現差錯時,如何運用法律手段解決交易各方的責任以及權利義務關系等問題。在計算機系統或通信中,認證是良好的數據安全措施的壹個重要組成部分。電子信息技術的發展極大地增強了人們獲得信息的能力,同時也增加了某些敏感或有價值的數據被濫用的風險。如何確保交易對方的主體資格以及交易數據資料的安全,是電子交易各方都極為關註的問題。因此,我們必須保證買賣雙方在電子交易中身份的真實可靠。電子認證的作用就在於確認交易雙方真實有效的身份。
電子認證與電子簽名壹樣都是電子商務活動中的安全保障機制。它是由特定的第三方機構提供的,對電子簽名及其簽名者的真實身份進行驗證的服務。電子認證主要應用於電子交易的信用安全方面,以保障開放性網絡環境中交易人身份的真實可靠。電子認證是確定某個人的身份信息或者是特定的信息在傳輸過程中未被修改或者替換。[5]
在電子交易過程中,除了交易雙方以電子簽名的方式來識別彼此的身份和確保傳輸信息的完整性外,對電子簽名本身的認證問題,並不能由交易各方自己完成,而是由壹個具有權威性、可信賴性和公正性的第三方來完成,從而為電子交易建立壹種有效、可靠的保護機制。此第三方被稱為認證機構(Certificate
Authority,CA)。認證機構提供電子交易過程中的認證服務,能簽發數字證書並能確認用戶的真實身份。同時,由於電子商務活動常常是跨國境的,因此交易各方當事人就需要有不同國家的認證機構對各自的身份進行認證,並向電子商務活動的相對方發放電子認證證書。在實踐中,就需要各國相互承認對方國家認證機構發放的電子認證證書的效力,以保證電子商務活動的順利進行。
(二)認證機構的法律地位與法律責任分析
認證機構在電子商務活動中既不向在線當事人出售任何商品,也不提供資金或勞動力資源,它所提供的服務只是壹種無形的證書信息。這種數字證書包含壹個公開密鑰、交易相對人的姓名以及認證機構的電子簽名、密鑰的有效時間,發證機關的名稱,證書的序列號等。在整個電子交易過程中,認證機構不僅要對進行電子交易的各方當事人負責,還要對整個電子商務的交易秩序負責,因此,它是壹個十分重要的機構。
在認證機構的設立上,我們必須強調它應是壹個獨立的法律實體,即是說它能夠以自己的名義提供服務,能夠以自己的財產提供擔保,同時能在法律規定的範圍內獨立承擔相應的民事責任。認證機構在整個電子交易過程中必須保持中立,它壹般不得直接和客戶進行商業交易,也不能代表任何壹方當事人的利益,而只能通過發布客觀的交易信息促成當事人之間的交易。另外,電子認證機構不能以盈利為目的,它應當是壹種類似於承擔社會服務功能的公***事業。從國外的經驗來看,設立專門、獨立和非營利性的認證機構是比較合適的作法。
結合國際上電子商務立法的先例,認證機構壹般應承擔以下義務:壹、信息披露與通知義務。其根本目的就在於維護社會公***利益和保護信息弱勢群體。二、安全義務。安全可信度是公眾對認證機構的要求,認證機構應當采用能夠滿足條件的安全系統。三、保密義務。認證機構不得對外披露需要保密的信息。此外,認證機構還負有其他義務,如:舉證義務,即交易當事人在使用證書過程中發生糾紛,認證機構可以根據交易雙方或壹方的要求,為其提供舉證服務。
同時,認證機構在提供認證服務的過程中會面臨許多潛在風險。其風險的種類主要有:(1)運用技術過失致使數字記錄丟失;(2)對信息未進行嚴格審查致使證書含虛假陳述,第三人信賴其陳述,並基於證書的等級進行交易,將損壞認證機構的可信度;(3)未經過合理適當的辨別而終止或撤銷證書;(4)由於服務器故障或周期性離線修整而造成認證服務中斷;(5)內部人員即認證機構有權訪問證書數據庫的雇員制作虛假證書或塗改證書記錄;(6)外部人員使用多種方法改造認證機構的通用協議;(7)作為網絡機構隨著技術更新其淘汰率高,服務可能難以長期維持,但是某些長期證書的管理又需要服務壹直持續下去不能中斷,等等。[6]
由上述認證機構的性質與風險分析可以看出,電子認證的產生與發展將引發電子商務領域的許多新的法律問題,這主要包括:壹、數字證書與認證機構的法律地位以及對電子認證的法律監管應得到立法規範,否則無法保障電子認證的有序發展。二、電子認證所面臨的風險將引發認證機構的責任問題,因為認證機構有可能在某些場合給證書持有人或證書信賴人造成損失。三、認證機構作為壹個在電子商務領域具有重要價值的新型信用服務主體,將會面臨許多現實或潛在的執業風險。四、電子認證所應實現的服務標準或技術標準應得到相應的規範與完善,以真正達到保障電子交易安全的目的與價值。基於以上這些法律問題,筆者認為,對於在電子交易中保障網絡交易安全以及信用制度起重要作用的電子認證,應在未來的電子商務立法中占據應有的地位。
三、對我國《電子簽名法》和《電子認證服務管理辦法》之評述
2004年8月28日,十屆全國人大常委會第十壹次會議表決通過了《電子簽名法》。作為《電子簽名法》的壹個重要配套規章,《電子認證服務管理辦法》也於2005年2月8日以信息產業部部令的形式發布。2005年4月1日,《電子簽名法》正式實施,其配套部門規章《電子認證服務管理辦法》同時實施。這對我國信息化的發展來說意味著壹個新的開始,因為從這壹天起我國信息化將告別過去無法可依的歷史。有專家認為,這將對我國電子商務、電子政務的發展起到極其重要的促進作用。
《電子簽名法》是我國信息化領域裏的第壹部法律。從壹定意義上說,《電子簽名法》拉開了信息數字化時代的立法序幕。[7]《電子簽名法》***分為5章36條,采用了"技術中立"(technologically
neutral)的立法原則,考慮到不應因技術的進步影響到法律的相對穩定性,具有壹定的前瞻性和包容性,也為今後新技術的使用留下了法律空間。根據法律條文的表述可以看出,該法立法的主要目的包括兩個方面:壹是為了規範電子簽名行為,確立電子簽名的法律效力,維護交易各方的合法權益;二是為了促進電子商務和電子政務的發展,增強電子交易的安全性。筆者認為,《電子簽名法》主要解決了以下五個方面的問題:(1)確立了電子簽名的法律效力;(2)規範了電子簽名行為;(3)規定了電子簽名的安全保障措施;(4)明確了認證機構的法律地位及認證程序,並給認證機構設置了市場準入條件和行政許可的程序;(5)明確了認證機構行政許可的實施主體是國務院信息產業主管部門。
關於《電子認證服務管理辦法》,從表面上看它只是壹部部門規章,但由於它是國家法律特別授權制定的,所以又有別於壹般的部門規章,具有重要法律效力和作用。《電子認證服務管理辦法》***分為8章43條,它制定的依據是《電子簽名法》的第25條:"國務院信息產業主管部門依照本法制定電子認證服務業的具體管理辦法,對電子認證服務提供者依法實施監督管理。"筆者認為,《電子認證服務管理辦法》的制定與實施具有重要的現實意義,這主要表現為三個方面:(1)由於我國電子認證服務業尚處於起步階段,依靠市場引導與行業自律的條件還不具備,所以政府部門有必要對電子認證機構實施適度的監督管理;(2)政府部門如何進行適度監管,還需要在實踐中進行不斷探索,但又不能等到條件完全成熟後再出臺相關法律,只有這樣才能保證《電子簽名法》的順利實施;(3)從現實情況看,在《電子簽名法》出臺之前,我國已存在很多不同類型的認證機構在從事電子認證服務,這些機構普遍存在著無法律規定、無標準規範、無主管部門的"三無"問題,也亟待相關法律對它們進行規範。
目前,我國電子簽名與電子認證還處於發展初期,因此在法律實踐中必然會暴露出許多問題,僅僅靠《電子簽名法》和《電子認證服務管理辦法》是遠遠不夠的,缺少其他相關的法律規定必將構成阻礙我國電子商務發展的法律障礙。因此,筆者認為,我國後續電子商務法律體系的完善工作應集中在以下幾個領域:網絡隱私權的保護、電子商務中消費者權益的保護、電子支付、信息安全、電子商務的稅收、知識產權、相關程序法律問題等。
?還是不太全面,妳應該咨詢下律師