田雨
2005年4月21日起,《中華人民共和國電子簽名法》和有關的配套法規陸續實施,這些由於IT技術的發展而出現的法律給人們帶來了與傳統法律所不同的陌生法律概念和範疇,同時也帶來了商業和法律上的風險。本文對電子簽名及認證電子簽名可靠性的技術標準等法律問題進行研究,希望對該法律機製的完善以及推動電子商務市場的健康發展能有所裨益。
一、電子簽名的法律效力
(一)我國立法對電子簽名法律效力附有條件的確認
我國的電子簽名法吸取了目前聯合國國際貿易法委員會先後頒布的《電子商務示範法》與《電子簽字示範法》中的主要內容,在沒有涉及有關電子簽名具體技術的條件下,直接給予“可靠的電子簽名”與傳統的手寫簽名與蓋章同等的法律地位。
電子簽名具備了哪些條件才可被稱為“可靠的電子簽名”?目前,電子簽名的形式很多,有數字簽名、密碼和混合方法(即把手寫簽名或蓋章與數位化密碼技術結合的簽名)、生物特征簽名(如以指紋、視網膜、聲波紋等生理特征為辨識使用者的工具)以及掃描或原始簽名等。其中數字簽名依賴於不對稱的加密技術,也被稱為公鑰加密體係(Public Key Infrastructure),簡稱“PKI”,即用兩把不同的、在數字上互有聯係的一組鑰匙(key pair),即“公共鑰匙”和“私人鑰匙”(the private and the public key),來創設數字簽名,對數據進行編碼、解碼和對簽名進行驗證,以確保電文的真實性,並保證這些電文內容完整性的技術應用程序的名稱。數字簽名可以較好地保證公開網絡上信息的安全性和保密性,且成本低廉技術成熟,是目前電子簽名中得到廣泛應用的簽名技術。
我國《電子簽名法》第13條和第14條規定了可靠的電子簽名的條件:
(1)電子簽名製作數據用於電子簽名時,屬於電子簽名人專有;
(2)簽署時電子簽名製作數據僅由電子簽名人控製;
(3)簽署後對電子簽名的任何改動能夠被發現;
(4)簽署後對數據電文內容和形式的任何改動能夠被發現。
除符合以上四個條件的被認為是可靠的電子簽名外,當事人也可以選擇使用符合其自行約定可靠條件的電子簽名。
從以上規定可以看出,在給予電子簽名在法律上有效地位的同時,我國法律強調了電子簽名的可靠性,並以基於公鑰技術的PKI體係為基礎,製定了四條有關判斷可靠性的抽象標準,用來規範對有效的電子簽名的認識,同時又允許當事人選擇使用符合其約定的可靠條件的電子簽名。即一項電子簽名達到了法律定製的四個可靠性條件或當事人約定的可靠條件,就具有與手寫簽名或蓋章同等法律效力。
為了促成和便利電子簽名在電子商務活動中的應用,我國的法律在強調或以某種規則規範了某種技術提供的安全可靠性的前提下,給電子簽名賦予了法律上的地位和效力。這些條件及原則與聯合國兩部示範法中所規定的條件和原則完全接軌。
聯合國的兩部示範法意在增進各國對電子簽字的了解,使人們確信在具有法律效力的交易中某些電子簽字技術是可以依賴的。對於可能涉及使用電子簽字的簽字人、依賴方和第三方認證服務商,示範法還製定了一套基本行為守則,並附帶適當的靈活性,從而可有助於在電子網絡空間中形成更加協調的商業慣例。目前實踐中如何掌握行為守則和靈活性是我們麵臨的難點。
從我國以及聯合國有關電子簽名法中我們可以總結出以下幾點:
第一,法律給予了電子簽名合法有效不得被歧視的地位;
第二,法律強調電子簽名所使用的技術應該是安全可靠的;
第三,在對可靠的電子簽名所製定的四條有關判斷可靠性的抽象標準中表明,數字簽名是符合法律所要求的安全可靠性的;
第四,依靠當事人意思自治原則,當事人可以自己選擇雙方認為安全可靠技術支持下的電子簽名。
(二)聯合國貿易法委員會解決電子簽名法律效力的途徑
當法律要求合同或某種法律文件的成立必須具備書麵形式,必須以原件(正本)形式提供保留,必須有當事人親筆簽字的要求時,貿易法委員會在《聯合國國際合同使用電子通信公約》(以下簡稱《公約》)、《聯合國國際貨物銷售合同公約》(以下簡稱《銷售公約》)、《電子商務示範法》和《電子簽名示範法》這四部法律中應用了合同形式自由,數據電文和紙質文件之間、手寫簽名和電子簽名之間功能等同,辨認電子簽名技術的可靠性標準以及技術中立這四項原則,合理解決了傳統手寫簽名與電子簽名以及電子通信與紙質文件之間法律效力等同的問題。
這些原則在《公約》第九條中得到了集中的體現。該條規定:(1)本公約中的規定概不要求一項通信或一項合同以任何特定形式作出、訂立或證明。(2)凡法律要求一項通信或一項合同應當采用書麵形式的,或規定了不采用書麵形式的後果的,如果一項電子通信所含信息可以調取以備日後查用,即滿足了該項要求。(3)凡法律要求一項通信或一項合同應當由當事人簽字的,或法律規定了沒有簽字的後果的,對於一項電子通信而言,在下列情況下,即滿足了該項要求:A。使用了一種方法來鑒別該當事人的身份和表明該當事人對電子通信所含信息的意圖;B。所使用的這種方法:從各種情況看,包括根據任何相關的約定,對於生成或傳遞電子通信所要達到的目的既是適當的,也是可靠的;或者其本身或結合進一步證據事實上被證明已履行以上A項中所說明的功能。
《公約》還規定,凡法律要求一項通信或一項合同應當以原件形式提供或保留的,或規定了缺少原件的後果的,對於一項電子通信而言,在下列情況下,即滿足了該項要求:(1)該電子通信所含信息的完整性自其初次以最終形式——電子通信或其他形式——生成之時起即有可靠保障;(2)要求提供電子通信所含信息的,該信息能夠被顯示給要求提供該信息的人。在前述(1)項中,評價完整性的標準應當是,除附加任何簽注以及正常通信、存儲和顯示過程中出現的任何改動之外,信息是否仍然完整而且未被更改;所要求的可靠性標準應當根據生成信息的目的和所有相關情況加以評估。
上述規定表明,聯合國貿法委所頒布的電子商務法律合理應用四項原則較完滿地解決了電子商務在電子簽名和通信方麵的法律障礙。
二、電子簽名認證的技術標準
(一)電子簽名認證的技術標準
區分一項電子簽名是否具有可靠性的技術標準在法律層麵上講,應該具有客觀性、權威性,才能成為社會共同遵守的規範性標準,也才能成為在發生有無可靠性爭議時法官借以判斷其是否具有可靠性的依據以及當事人證明自己的簽名具有可靠性的證據。
目前,我國法律法規隻是初步具備了對基於PKI技術的電子認證服務進行監督和管理的法律框架與一定的技術實施基礎。我們與發達國家相比在這方麵嚴重滯後。但是這並不說明發達國家已經具備了完善認證電子簽名可靠性的技術標準。
1.美國標準
美國國會於2001年6月頒布了《全球和國內商業法中的電子簽名法案》(Electronic Signatures in Global and National Commerce Act。June 2001.以下簡稱《法案》),它是美國一項重要的電子商務立法。《法案》為電子交易的可靠性安全性提供了一個法律框架,對政府的不適當幹預進行了限製並放棄對電子簽名和認證的強製性規範,使用了自由化和非歧視性市場導向方法,以最低限度模式,最大限度地減少在商業中采用電子簽名所麵臨的障礙,完全不規定使用某種技術;這種“技術中立”的規定既有利於新技術的發展和保護當事人選擇所適用技術的自由意誌,也符合了美國“私法自治”的精神。該法明確了保障在線簽約安全不隻存在一種單一的技術或方法,預先製止了可能出現的指定特定技術方案的州一級的電子簽名法案的出台,為建立互通性的電子簽名係統創造了條件。