第八章-電子簽名法(2010-10-17信息法)

第八章電子簽名法第一節(jié)電子簽名概述一、電子簽名的概念

電子簽名廣義上是指以特定電子技術對電子信息進行加密和確認以達到與傳統(tǒng)簽名具有同等法律效力的技術方案?！峨娮雍灻ā返诙l具體規(guī)定了電子簽名是一種數(shù)字信息，是指數(shù)據(jù)電文中以電子形式所含、所附用于識別簽名人身份并表明簽名人認可其中內容的數(shù)據(jù)。二、實行電子簽名的必要性1、從技術角度看，電子簽名可以解決身份認定、信息來源認定、信息完整性和安全性確認等諸多問題，解決了電子商務最關鍵的問題——安全問題。無論是電子支付、網(wǎng)上證券、網(wǎng)上交易、電子合同、網(wǎng)上知識產權還是網(wǎng)上辦公，在安全性方面，電子簽名成為更好的技術手段選擇。據(jù)中國著名的IT咨詢公司易觀國際的研究報告《互聯(lián)網(wǎng)研究系列報告——電子商務（2004）》估計，2005年的中國電子商務交易總額將從2004年的4400億人民幣激增至6200億人民幣。與電子商務相關的網(wǎng)站和機構數(shù)量也有了較快增加，截至2004年4月，我國已有4000多個電子商務網(wǎng)站和70多家認證機構。2、從法律的角度來看，在糾紛解決和司法活動中，原件是最具有法律效力的證據(jù)。簽名是一種借以證明簽署者身份、內容歸屬以及認同內容的法律證明行為。受網(wǎng)絡上主體虛擬化、權限虛擬化、意思表示虛擬化的影響，電子商務中要約、承諾及合同的確定性、完整性、不可更改性和不可抵賴性較傳統(tǒng)合同中更難以確定和保障。而電子簽名明確主體身份和識別合同的有效性，以使法律實施有明確的主體與客體。如果在電子交易過程中所產生的各種電子憑證滿足電子簽名法對數(shù)據(jù)電文和電子簽名與認證的要求，就可以依托電子簽名法，作為商務糾紛責任認定的證據(jù)。三、電子簽名實現(xiàn)技術電子簽名技術的實現(xiàn)方式目前有多種，比如基于公鑰密碼技術（PKI）的數(shù)字簽名技術；基于簽名主體特有的以生物特征統(tǒng)計學為基礎的識別標識，例如手印、聲音印記或視網(wǎng)膜掃描的識別；手書簽名和圖章的電子圖像的模式識別等等。數(shù)字簽名是目前電子商務、電子政務中應用最普遍、技術最成熟、可操作性最強的一種電子簽名方法。有人稱“電子簽名”就是“數(shù)字簽名”是不準確的?；冢校耍傻臄?shù)字簽名基于ＰＫＩ（PublicKeyInfrastructure公鑰基礎設施）的電子簽名被稱作“數(shù)字簽名”。數(shù)字簽名是用私鑰對數(shù)字摘要進行加密，用公鑰進行解密和驗證。它首先運用適當?shù)乃惴ǖ玫絻山M相互匹配的數(shù)字串，其中一組作為公開密鑰，一組為私人密鑰。因此，將這兩個質數(shù)稱密鑰對，其中一個采用私密的安全介質保密存儲起來，應不對任何外人泄露，簡稱為“私鑰”；另一個密鑰可以公開發(fā)表，用數(shù)字證書的方式發(fā)布在稱之為“網(wǎng)上黃頁”的目錄服務器上，可在網(wǎng)上請對方發(fā)送信息時主動將該公鑰證書傳送給對方，這個密鑰稱之為“公鑰”。兩把密鑰必須配套使用，用一把密鑰對信息進行加密后必須用另一把進行解密，從而使信息和發(fā)送人之間建立了手書簽名的等價作用。非對稱加密算法區(qū)別于原有的單鑰(對稱密鑰)加密技術，其優(yōu)點在于后者加密時的密鑰與用于解密的密鑰相同，用于網(wǎng)絡傳輸數(shù)據(jù)加密時不可避免地存在安全漏洞，因為在發(fā)送加密數(shù)據(jù)的同時，也需要將密鑰通過網(wǎng)絡傳輸通知接收者，第三方在截獲加密數(shù)據(jù)后，只需再獲取相應密鑰即可將數(shù)據(jù)解密使用或進行非法篡改。在我國《電子簽名法》中被稱作“電子認證服務提供者”。CA的組成主要有證書簽發(fā)服務器，負責證書的簽發(fā)和管理；密鑰管理中心，用硬件加密機產生公/私密鑰對，提供CA證書的簽發(fā)；目錄服務器負責證書和證書撤消列表（CRL）的發(fā)布和查詢。認證服務機構的可靠與否，對保證電子簽名真實性和電子交易安全性起著關鍵作用，為了防止不具備條件的人擅自提供認證服務，我國《電子簽名法》第十八條規(guī)定，“從事電子認證服務，應當向國務院信息產業(yè)主管部門提出申請”。數(shù)字證書的原理公鑰公鑰私鑰私鑰數(shù)字證書采用公鑰機制，證書頒發(fā)機構提供的程序為用戶產生一對密鑰，一把是公開的公鑰，它將在用戶的數(shù)字證書中公布并寄存于數(shù)字證書認證中心。另一把是私人的私鑰，它將存放在用戶的計算機上。數(shù)字證書認證中心CA證書申請與頒發(fā)證書申請與頒發(fā)第二節(jié)電子簽名立法一、立法主要模式概述自美國猶他州于1995年頒布全世界范圍內第一部《數(shù)字簽名法》以來，已有三十多個國家、地區(qū)和國際組織先后制訂了電子簽名法或以確立電子簽名法律地位為主要內容的電子商務法。我國也于2004年8月通過了《電子簽名法》，并于2005年4月1日實施。各國的電子簽名立法從其采用的技術方案入手分為技術特定型、技術中立型和折中型三種模式。1、技術特定型在立法中直接采用數(shù)字簽名作為法定的電子簽名技術手段，并對該簽名的特定法律效果予以確認，是著眼于安全性標準，基于對特定簽名技術的信賴。這種立法模式強調，在現(xiàn)行的電子簽名技術中，較之安全系數(shù)不足的計算機口令和私人密碼、不適應開放型市場需要的對稱密鑰加密以及應用成本過高的生物筆跡和眼虹膜辨別技術而言，以非對稱加密算法生成的數(shù)字簽名，是一種既安全可靠，又具有可行性的較為理想的電子簽名技術方案，因而應作為法定的電子簽名手段。采用這種立法模式如馬來西亞《數(shù)字簽名法》，只規(guī)定了數(shù)字簽名的法律效力，對采用其他技術的電子簽名的法律效力未作規(guī)定。其他采取這一模式的主要有美國猶他州的《數(shù)字簽名法》、德國的《數(shù)位簽章法》等。美國猶他州的《數(shù)字簽名法》，是最早以法律形式對數(shù)字簽名做出規(guī)定的，其第3條第10項規(guī)定：“數(shù)字簽名，是某人欲以一串比特字節(jié)簽署，而生成相關的清晰的標識信息。該信息是通過單向函數(shù)運算，然后對生成的信息摘要，以非對稱性加密技術和其私鑰進行加密?！?/p>

2、技術中立型技術中立型模式也稱最低要求主義、功能等同方式，認為，技術特定化實際上給其他同類技術的發(fā)展造成了法律障礙，在電子商務市場尚不成熟的情況下，過早將某種特定的電子簽名技術標準化、法定化是不合理的。此外，技術進步具有相對性，公開密鑰加密也并非萬無一失無法破譯，且該技術方案將密鑰被冒用的風險責任完全歸于持有人，不利于對消費者的保護，最終會阻礙電子商務的發(fā)展。因此，主張不具體確定哪種方式符合法律規(guī)定。中立的電子簽名中立的電子簽名包括一切能夠鑒別當事人身份、表明簽字者確認文件內容并且同意受其約束的技術手段。這一概念著重闡明了電子簽名的目的與作用，而對電子簽名所運用的技術方式幾乎沒有規(guī)定，凡是具有一定鑒別作用的，數(shù)據(jù)電文中附加的，或與之有邏輯上聯(lián)系的電子形式的數(shù)據(jù)，都可成為電子簽名的方式。在電子簽名法案中，采用這種廣義的電子簽名概念的，還有美國州法統(tǒng)一委員會的《統(tǒng)一電子交易法》，聯(lián)合國《電子商務示范法》等。中立電子簽名的基本思路

A．與傳統(tǒng)手書簽名及其衍化物的功能相吻合。B．與現(xiàn)實中應用的技術能力相適應。C．突出基本功能的實現(xiàn)。D．尊重當事人的意思自治。3、折中型立法模式技術特定型立法與電子商務的開放性、發(fā)展性原則不符，可能造成限制新的電子簽名技術開發(fā)應用的法律后果，而技術中立型立法又太過寬泛，其中包含的一些電子簽名手段很難在實踐中得到具體應用。為了彌補二者的缺陷，折中型立法模式應運而生。與技術特定型立法模式相比，其肯定的技術范圍不同，只要達到安全簽名基本標準的電子簽名技術手段皆可適用，而不僅僅限于公開密鑰加密生成的數(shù)字簽名，這就為其他能夠達到同一功能的新技術預留了法律空間。折中型方案既提供了對于滿足一定條件的廣義的電子簽名的法律確認，又提供了使用以數(shù)字簽名為范例的安全電子簽名的法律后果，結合了技術特定型與技術中立型兩種方案的優(yōu)點。折中型立法當首推新加坡《電子交易法》，其次為歐盟《電子簽名共同框架指令》。《電子交易法》一方面規(guī)定電子簽名的一般效力，保持技術中立性，使任何技術為基礎的電子簽名皆得適用；另一方面，又以數(shù)字簽名為例，對所謂安全電子簽名作出特別規(guī)定。這種立法模式既保持了法律規(guī)范的技術中立性、開放性和前瞻性，又不失現(xiàn)實性、可行性，從而受到了各國的廣泛關注和充分肯定，不失為一種較為理想的立法模式，也是我國《電子簽名法》所采取的一種選擇。強化電子簽名：折中性立法其具體形式是開放型的，任何能夠達到同一效果的技術方式，都可囊括于內。與上述廣義與狹義的電子簽名概念相比較，該電子簽名概念是一種折衷式的概念。強化電子簽名(EnhancedSignature)的概念(見UNCITRAL《電子簽名統(tǒng)一規(guī)則》），指經過一定的安全應用程序、能夠達到傳統(tǒng)簽名等價功能的電子簽名方式；又稱可靠電子簽名(SecureElectronicSignature，見新加坡1998年《電子交易法》);高級電子簽名(AdvancedElectronicSignature，見歐盟《電子簽名共同框架指令》)。與一般電子簽名相比，強化電子簽名必須滿足獨特性、辨識力、可靠性，關聯(lián)性四項標準。獨特性系指該簽名是簽名者為特定目的使用的、獨一無二的；辨識力是指簽名可客觀辨別簽名者的身份；可靠性是指由簽名者以安全可靠之方法制作，或使用可單獨控制的安全及信賴之措施方法制作，且制作后不易被偽造或破解；與電子文件內容的關聯(lián)性是指簽名能識別經簽署之電子文件內容是否遭到篡改。二、我國電子簽名法立法模式我國電子簽名法對電子簽名的界定也與這些法規(guī)一致，其中《電子簽名法》第二條規(guī)定了電子簽名是指數(shù)據(jù)電文中以電子形式所含、所附用于識別簽名人身份并表明簽名人認可其中內容的數(shù)據(jù)。第三條規(guī)定了數(shù)據(jù)電文是指以電子、光學、磁或者類似手段生成、發(fā)送、接收或者儲存的信息。數(shù)據(jù)電文的概念非常廣泛，基本涵蓋了所有以電子形式存在的文件、記錄、單證、合同等，是信息時代所有電子信息的基本存在形式。該法第十四條還明確規(guī)定，可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力。由此可見，我國的電子簽名的概念也是界乎廣義和狹義之間，既不是寬泛地界定電子簽名，也沒有僅限于數(shù)字簽名，而是將電子簽名的法律效力規(guī)定為“可靠的電子簽名”，《電子簽名法》本著技術中立的原則，并不指出哪種技術更為先進，哪種技術是安全的，只要求該技術滿足本法的規(guī)定、或當事人自行選擇的就可以。就《電子簽名法》的相關規(guī)定來看，只要能夠滿足以下四個條件的電子簽名就被視為安全的電子簽名：“（一）電子簽名制作數(shù)據(jù)用于電子簽名時，屬于電子簽名人專有；（二）簽署時電子簽名制作數(shù)據(jù)僅由電子簽名人控制；（三）簽署后對電子簽名的任何改動能夠被發(fā)現(xiàn)；（四）簽署后對數(shù)據(jù)電文內容和形式的任何改動能夠被發(fā)現(xiàn)。當事人也可以選擇使用符合其約定的可靠條件的電子簽名。”也就是說，審查一個數(shù)據(jù)電文作為證據(jù)的真實性，主要是從該系統(tǒng)的操作人員、操作的程序、信息系統(tǒng)本身的安全可靠性等幾個方面來考量的。如審查傳送數(shù)據(jù)電文的系統(tǒng)是否具備相當?shù)姆€(wěn)定性，被非法侵入、篡改的可能性有多大，操作時是否嚴格按照所要求的程序來進行，能否有效地鑒別發(fā)信人，等等。這部法律規(guī)定、可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力，屆時消費者可用手寫簽名、公章的“電子版”、秘密代號、密碼或指紋、聲音、視網(wǎng)膜結構等安全地在網(wǎng)上“付錢”、“交易”及“轉帳”。手機短信可否作為法庭證據(jù)使用２００４年１月，楊先生結識了女孩韓某。同年８月２７日，韓某發(fā)短信給楊先生，向他借錢，短信中說：“我需要５０００元，剛回北京做了眼睛手術，不能出門，你匯到我卡里?！睏钕壬S即將錢匯給了韓某。９月７日，楊先生再次收到韓某需要借款６０００元的短信，于是，楊先生又匯給韓某６０００元。因都是短信借款，楊先生并沒有索要借據(jù)，但保留了韓某借錢的短信。９月１４日，韓某第三次提出借款，這次楊先生沒有答應，并向韓某提出還款要求，韓某表示盡快歸還，但卻一直沒動靜。楊先生起訴至北京某區(qū)法院，要求韓某歸還其１．１萬元錢，承擔該案訴訟費。其并提交了銀行匯款單存單兩張。但韓某卻稱，２００４年初，楊先生曾向其借款１．１萬元，這錢是楊先生歸還她的欠款，并不承認曾向楊先生借過錢。在第一次庭審時，法官當面撥打了由楊先生提供發(fā)短信的手機號碼，撥打后接聽者是韓某本人。韓某承認，自己從２００４年７月份起使用這個手機號碼至今。但她稱１．１萬元是楊先生向其還款，對此種說法，她卻提供不出相應證據(jù)。第二次庭審時，韓某代理人指出，手機短信根本不能作為證據(jù)。法院審理認為，根據(jù)證據(jù)規(guī)則的相關規(guī)定，錄音錄像及數(shù)據(jù)電文可以作為證據(jù)使用，但數(shù)據(jù)電文作為認定事實的證據(jù)，還應有其他書面證據(jù)相佐證。楊先生提供的通過韓女士使用號碼的手機發(fā)送的移動電話短信內容中載明的款項往來金額、時間與中國工商銀行個人業(yè)務憑證中體現(xiàn)的楊先生給韓女士匯款的金額、時間相符，且移動電話短信內容中亦載明了韓女士償還借款的意思表示，兩份證據(jù)之間相互印證，可以認定韓女士向楊先生借款的事實。遂判決韓女士償還楊先生借款人民幣１．１萬元。案件受理費４５０元由韓某負擔。在《電子簽名法》出臺之前，有很多類似的案例，其中主要涉及電子郵件能否作為證據(jù)，由于缺乏直接的法律規(guī)定，法院無法作出處理。這種情況隨著《電子簽名法》的出臺得到了根本的改變。三、我國《電子簽名法》概述包括五章三十六條。首次賦予可靠的電子簽名與手寫簽名或蓋章具有同等的法律效力，并明確了電子認證服務的市場準入制度。在第一章的總則中，對電子簽名作出了規(guī)范，其中第二條指出，本法所稱電子簽名，是指數(shù)據(jù)電文中以電子形式所含、所附用于識別簽名人身份并表明簽名人認可其中內容的數(shù)據(jù)。其中數(shù)據(jù)電文是指以電子、光學、磁或者類似手段生成、發(fā)送、接收或者儲存的信息。（一）主要內容1、《電子簽名法》規(guī)定電子簽名具有與手寫簽字或者蓋章同等的法律效力，同時承認電子文件與書面文書具有同等效力，從而使現(xiàn)行的民商事法律同樣適用于電子文件，并且明確規(guī)定了具備這樣效力的電子簽名應具備的具體條件。第七條規(guī)定了數(shù)據(jù)電文不得僅因為其是以電子、光學、磁或者類似手段生成、發(fā)送、接收或者儲存的而被拒絕作為證據(jù)使用。

我國《電子簽名法》規(guī)定，“電子簽名人，是指持有電子簽名制作數(shù)據(jù)并以本人身份或者以其所代表的人的名義實施電子簽名的人”。2、為規(guī)范電子簽名的行為，規(guī)定了電子簽名的安全保障措施；因為私人密鑰處在簽名人的獨占控制之下，具有隱秘性和惟一性，簽名人必須承擔妥善保護其電子簽名不被泄露和濫用的合理注意義務。該法第十五條規(guī)定“電子簽名人應當妥善保管電子簽名制作數(shù)據(jù)。電子簽名人知悉電子簽名制作數(shù)據(jù)已經失密或者可能已經失密時，應當及時告知有關各方，并終止使用該電子簽名制作數(shù)據(jù)?！睂τ陔娮雍灻黧w的責任，我國《電子簽名法》采取了簽名人過錯責任，該法的第二十七條規(guī)定，電子簽名人知悉電子簽名制作數(shù)據(jù)已經失密或者可能已經失密未及時告知有關各方、并終止使用電子簽名制作數(shù)據(jù)，未向電子認證服務提供者提供真實、完整和準確的信息，或者有其他過錯，給電子簽名依賴方、電子認證服務提供者造成損失的，承擔賠償責任。3、《電子簽名法》明確了認證機構的法律地位及認證程序，設立了認證服務市場準入制度，認證機構暫停、終止認證服務的業(yè)務承接制度；其實，不但在傳統(tǒng)的手書簽名中需要有關機構來驗證簽名的真?zhèn)危陔娮咏灰走^程中，同樣需要一個具有權威性公信力的第三方作為安全電子認證機構對公開密鑰行使辨別及認證等管理職能，以防止發(fā)件人抵賴或減少因密鑰丟失、被偷竊或被解密等風險，彌補網(wǎng)絡交易匿名性所帶來的不確定性的障礙。因此，電子簽名側重于解決身份辨別與文件歸屬問題，而電子認證解決的是密鑰及其持有人的可信度問題。由此可見，電子簽名的安全使用必須配合安全電子認證機構體系的建立。4、明確行政許可程序和由政府對認證機構實行資質管理的制度。5、還明確了合同雙方和認證機構在電子簽名活動中的權利和義務，進一步細化了各種認證服務程序；6、并增加了有關條款追究政府監(jiān)管部門不依法進行監(jiān)督管理人員的法律責任。7、此外，該法還對電子簽名在電子政務和公用事業(yè)領域涉及的文書和電子簽名作出了原則規(guī)定?！峨娮雍灻ā返?條也規(guī)定,電子簽名不適用下列文書:(l)涉及婚姻、收養(yǎng)、繼承等人身關系的;(2)涉及土地、房屋等不動產權益轉讓的;(3)涉及停止供水、供熱、供氣、供電等公用事業(yè)服務的;(4)法律、行政法規(guī)規(guī)定的不適用電子文書的其他情形。（二）我國《電子簽名法》的主要特點（1）、內容簡練。（2）、可擴展性。（3）、靈活自治原則。（4）、與國際接軌。（1）、內容簡練。該法定位準確，立法宗旨明確，結構簡潔、緊湊。這部法律相當簡練，只有36條，但就在這36條中，確立了數(shù)據(jù)電文、電子簽名在我國的法律效力，指出了數(shù)據(jù)電文在何種條件下滿足我國法律所規(guī)定的“書面形式”、“原件形式”、“文件保存”，明確了數(shù)據(jù)電文的發(fā)送、接收及證據(jù)力在法律上的認可方式，規(guī)范了法律對電子認證服務機構的要求和行政管理模式。作為我國第一部電子商務法，這36條及其體現(xiàn)出來的原則基本上奠定了我國電子交易與電子商務的法律基礎。（2）、可擴展性雖然都叫做電子簽名或數(shù)據(jù)電文，但由于技術解決方案的多樣性，導致由不同技術解決方案生成的電子簽名和數(shù)據(jù)電文在表現(xiàn)形式上也有很大的差別，因而對其法律效力的認定也無法“一刀切”。該法在一定程度上強調了立法本身的可擴展性。例如，它沒有具體指定必須確立哪一種電子簽名技術，而只是對安全電子簽名及其認證機構所需達到的條件作出要求，為未