具体步骤如下:
①将报文按双方约定的Hash算法计算得到一个固定位数的报文摘要。在数学上保证,只要改动报文中任何一位,重新计算出的报文摘要值就会与原先的值不相符。这样就保证了报文的不可更改性。
②将该报文摘要值用发送者的私人密钥加密,然后连同原报文一起发送给接收者,而产生的报文即称
电子签名。
③接收方收到电子签名后,用同样的Hash算法对报文摘要值进行计算,然后与用发送者的公开密钥进行解密,并同解开的报文摘要值相比较,如相等则说明报文确实来自所称的发送者。
新加坡《电子交易法案》对"电子签名"与"数字签名"作了详细的规定。"电子签名"的定义为:"以数字形式所附或在逻辑上与电子记录有联系的任何字母、文字数字或其他符号,并且执行或采纳电子签名是为了证明或批准电子记录"。"数字签名"的定义为:"通过使用非对称加密系统和哈希函数(hushing function)来变换电子记录的一种电子签名,使得同时持有最初未变换电子记录和签名人公开密匙的任何人可以准确地判断:(1)该项变换是否是使用与签名人公开密匙相配的私人密匙作成的;(2)进行变换后,初始电子记录是否被改动过"。从上述规定可以看出,数字签名是电子签名的一种。新加坡《电子交易法案》中电子签名的定义对采用什么方式和技术没有规定,仅要求该方式或技术要与电子记录有联系并为了证明或批准电子记录。而数字签名定义则明确规定采用何种技术,即非对称系统和哈希函数。
第 2 页
数字签名是通过密码算法对数据进行加、解密变换实现的。数字签名的特点是:它代表了文件的特征。文件如发生改变,数字签名的值也将随之而发生改变;不同的文件得到的是不同的数字签名。在传输过程中,如有第三人对文件进行篡改,但他并不知道发送方的私人密钥,因此,解密得到的数字签名与经过计算后的数字签名必然不同。"这就提供了一个安全的确认发送方身份的办法"。新加坡1998年《电子交易法案》第17条规定:"通过使用当事人同意的某一规定的安全程序或商业上合理的安全程序,如在签署时能确认该
电子签名:①对该使用人而言是独一无二的;②能够鉴别该使用人;③在该使用人的完全控制之下以某种方式生成;④与电子记录存在这样的联系:如记录被改动,电子签名也随之失效;则该电子签名可被视为"可靠电子签名"。这样,数字签名就能够具备与亲笔签名相同的功能。
为了讨论的方便,下文就不再区分数字签名与电子签名,都统一用电子签名。
二、电子签名的认定
电子签名的一个重要的特点是能证实信息发送人的身份以及电子文件的可靠性和完整性,它对于发送人和被发送的信息都是独一无二的,具有可验证性和不可否认的权威性特点;另一个重要的特点是它在计算机之间交换数字证书有助于确定当事者就是他们所宣称的人。由于具备了这些特点,才有助于电子签名的认定。例如:广东省
电子商务认证中心开发的文档电子签名系统,如果安装使用该系统,电子签名表现非常直观明了,使用简便。每个人的电子签名都可以在文档中的任意地方随意放置,完全由签名人控制,就象在纸质文件上书面签名、批注一样方便。基于数字证书使用而开发的文档电子签名系统,对于电子签名的认定来说,其操作非常简单而且其电子签名非常清晰明了。
第 3 页
从其技术实现来说,关于
电子签名的认定,在电子签名制度下,可以通过
电子商务认证中心(certification authority,简称CA)核发公钥与私钥的方式解决身份确认问题。作为独立于交易各方的权威机构,如果交易双方或第三人对当事人身份或交易内容有所质疑,认证中心即可作为鉴定人提供有关身份确认的资料与
证据。这样,交易中的双方或第三人均不得任意否认交易的发生及其内容,从而使当事人在网络这一虚拟世界环境下所发出的要约与承诺与现实世界的要约与承诺同具
法律拘束力。目前,我国就有广东、上海等地建立的电子商务认证中心(简称CA中心),解决电子商务交易各方的身份确认问题。此外,我国还有外经贸部门、信息产业部、公安部等部门都在建立自己的CA中心,如果标准不统一,会带来交叉认证的麻烦,将会增加交易的成本,不利于电子商务的发展。因此,很有必要通过立法设立一个统一的或者几家权威的电子商务认证中心,从法律上确立电子商务认证中心的地位,以解决电子商务交易各方的身份确认问题。
三、电子签名与电子认证的法律要求
电子签名与电子认证政策法律用以调整认证中心、证书用户、国家
行政机关与不特定的社会公众之间在认证电子交易过程中所发生的法律关系,调整对象主要包括平等主体之间民商事法律关系和非平等主体之间的行政法律关系。
第 4 页
数据电讯的商业化应用,除了需要
电子签名作为认证手段之外,在因特网等开放性网络环境下,认证中心的服务也是必不可少的。与此同时,调整认证
法律关系的规范,将成为
电子商务法律制度,乃至普通商事法律中的基本内容之一。认证中心并不向在线当事人出售任何有形的商品,也不提供资金或
劳动力资源。它所提供的服务成果,只是一种无形的信息,包括交易相对人的身份、公开密钥、信用状况等情报。虽然,这些信息无法以具体的价格来衡量,它却是在开放型电子商务环境下,进行交易所必须的前提性条件,并且是交易当事人所很难亲自得知的。与一般信息服务不同的是,认证中心所提供的是经过核实的,有关电子商务交易人所关心的基本信息。实际上它是关于交易当事人的事实状况的信息,通常包括交易人是谁、在何处、以何种电子签名方式与之交易,其信用状况如何等。
因此,认证是一种专业化的信用服务,并非一般的实现某种商品使用价值的服务。如同医生对于病人,认证中心都对其客户,即利用数字证书进行交易的各方当事人,负有职业上的特殊义务。该种义务,实际上是一种社会责任。认证中心对于信赖证书的交易人,应承担公正信息发布义务,决不因未接收其服务报酬,而偏袒与之建立了服务合同关系的证书用户一方。任何一个认证中心都应当知道,证书信息的公正性,是其业务存在的根本条件,舍弃此点,该认证中心就没有必要存在。另外从其营业目的上看,认证中心属于公用企业,以向全社会提供电子商务交易信用为己任,并非单纯追求盈利的企业。其服务费用的收取,也只是以微利为原则,而不能受高额利润的引诱。作为一种特许的营业,认证中心的成功,来自于规模化的经营业绩,而决不能依靠向单个用户收取高额服务费,来维持其经营。
第 5 页
电子签名只是从技术手段上对签名人身份做出辩认及能对签署文件的发件人与发出电子文件所属关系做出确认的方式。但如何解决上文提到判定公共密钥的确定性以及私人密钥持有者否认签发文件的可能性等问题,则是电子签名技术本身无法解决的问题。换言之,这里面有一个解决私人密钥持有人信用度的问题。这里面包括两种可能性。一是密钥持有人主观恶意,即有意识否认自己做出的行为;二是客观原因,即发生密钥丢失、被窃或被解密情况,使发件人或收件人很难解释归责问题。事实上,相类似的问题在我们传统商业交易活动中也存在,只不过我们有一套相对完整的解决方案罢了。当然这里包括相配套的
法律规范及保护措施。在传统的签字(盖章)使用中,为了防止签字(盖章)方提供伪造虚假或被篡改的签字(盖章)或者防止发送人以各种理由否认该签字(盖章)为其本人所为,一些国家或地区采取通过具有权威性公信力的授权机关对某印章提前做出备案,并可提供验证证明的方式,防止抵赖或伪造等情形发生。例如,在我国台湾省,对一些重要法律文件(如
房地产买卖交易文件),对印章真实性认证就采取下述方式处理:为保证盖过章的文件的真实性,印章持有人在盖章之前需把印章送到具有权威性的户政事务所登记备案,并申请印鉴证明,之后再把印鉴证明同盖过章的文件一并送给收件方,收件方将印鉴证明同原件相比较,如完全一致,就可确认文件及其印章的真实性了。在电子交易过程中,同样需要一个具有权威性公信力的第三方作为安全电子认证中心(即CA中心)对公开密钥行使辨别及认证等管理职能,以防止发件人抵赖或减少因密钥丢失、被偷窃或被解密等风险。由此可见,电子签名的安全使用必须配合安全电子认证中心体系的建立。事实上,西方很多国家(美国、加拿大、德国等)以及日本都已经或正在建立相配套的公共密钥基础设施(Public Key Infrastructure)。这样,网络上电子签名与安全电子认证的相互结合就解决了前面阐述的由于电子签名技术方面无法解决的信用度的问题。
第 6 页
四、
电子签名安全认证机构的
法律地位
电子签名安全认证机构在电子签名制度中占据重要位置。从世界范围看,安全
电子商务认证中心的设置主要有两种途径:一种是由政府组建的或者授权的机构担任,以政府信用作为担保;另一种则是通过市场的方式建立,在市场竞争中建立信用。新加坡《电子交易法案》采取的是后一种方式,即政府并不组建或授权安全电子商务认证中心,有能力的组织都可以进入安全认证的市场(新加坡境外的安全认证中心要进入其市场则必须经新加坡政府管理机构的批准),凭借自己的市场竞争能力建立信用。但是,新加坡在安全认证市场管理方面还是非常严格的。首先,《电子交易法案》规定,政府任命一个安全认证中心的管理机构,负责许可、证明、管理和监督安全认证中心的活动。其二,《电子交易法案》规定了所有从事安全认证业务(例如签发电子凭证,即数字证书)的机构都必须遵循的统一标准。其三,安全认证中心可以自愿向管理机构申请许可,虽然管理机构的许可并不妨碍安全认证中心进入市场,但是得到许可的安全认证中心可以享受某?quot;优惠",尤其是可以享受法律规定的责任限制。总之,新加坡的做法是明松暗紧,既不把安全认证市场管死,又能把市场管住。
第 7 页
为了保障我国
电子商务的健康发展,由政府组建的或者授权的机构担任
电子签名的安全认证中心还是必要的,例如广东省电子商务认证中心(注册名为广东省电子商务认证
有限公司)、上海市电子商务安全证书管理中心有限
公司就是在政府授权下组建的。
五、电子签名的
法律效力
从实质上说,电子签名仅是一种电磁记录。这种电磁记录是否有效,是否符合法律所规定?quot;书面形式",我国现行法律似乎尚未明确。因而可能造成经过电子签名的电子文件因不符合法律所规定的形式要件,而使由此所产生的法律行为无效的情况。虽然,新《合同法》规?quot;当事人采用信件、数据电文等形式订立合同的,可以在合同成立之前要求签订确认书。签订确认书时合同成立。"但我们认为,这一规定只是在有关法律不尽完善的情况下所采取的一种折衷的过渡方案。因为这种传统的"签订"方式,与网络化时代跨地域、跨时空的无纸化交易方式相比还是格格不入的。因此,制定单独的《电子签名法》以适应我国网络交易的发展需要,是网络交易中支付和结算顺利进行的根本保证。
我们知道,签名在交易中具有很重要的作用。在进行交易的时候,交易双方通常都希望确定两件事情:
第 8 页
①交易对象具有真实性。人们通常会要求对方提供一些证明其身份的东西,如身份证、户口薄,交易完成后,还会要求他亲笔签名或盖章。这样,一旦发生纠纷,就可以出示有对方签名或盖章的合同、文件,使对方不能事后抵赖。
②交易双方之间传递的信息是真实、完整的。交易双方通过电话、传真传递双方交易意图,最终达成一致意见之后,通常会签定正式的文本,双方签字盖章,各自保留一份。这样做的目的都在于保证合同的内容不会被篡改、伪造,正式文本中规定的内容是双方最后和真实的意图。
现有的
法律规则中对传统的签名盖章已经规制得相当完善,也能够满足经济实践中的要求,但是
电子商务要求通过网络进行交易,交易双方相隔万里,互不见面,完全脱离了传统"笔纸式"的交易媒介,随着电子商务的发展,从法律上确立数字签名与手写签名相同效力已显得越来越重要。
电子签名实际上起到了两方面的作用,一是用电子媒介代替纸质媒介;二是确认当事人的身份,起到了签名或盖章的作用。那么,在技术解决了第一步的问题以后,问题就转到了法律这边――法律究竟能不能认可电子签名这样的技术产物呢?
第 9 页
然而,否定
电子签名的
法律效力,无疑会终结
电子商务的发展。有鉴于此,国际社会纷纷采?quot;翻译"和"解释"方法,建议或规定扩大对"签名"的法律定义,使之能将"电子签名"包括进去。学术界同样认为,世界各国的数字签名立法,如美国的《全球及国内商务电子签名法案》、新加坡的《电子交易法案》等已出台的法律文件,对我国的电子签名立法会有很重要的借鉴意义。
首先,肯定电子签名符合法律关于合同必须采用书面形式的要求。"书面形式"应该是一个含义广泛并且不断发展的概念,它本身就是一种现实存在的东西,本身就是
证据。电子签名基本具有这样的特征,它包含的信息,人们可以通过电脑或其他媒介加以显示,也可以把它的内容反映在传统的纸质媒介上。
其次,电子签名符合法律关于签名的要求。签名盖章的根本目的在于证明当事人的身份,证明信息的真实、完整。技术的发展基本上已经使电子签名具有了这样的用途,我们在介绍电子签名的制作和传递过程时也说明了这一点。因此,法律通常规定:只要采用了某种可靠的方法来证实当事人的身份,证明当事人同意信息中包含的内容,并且信息在传递过程中是可靠的,那么这种信息就符合了法律关于签名的要求。电子签名正是符合了这样的要求。
第 10 页
最后,
电子签名具有同书面签名一样的
法律效力。传统法律通常要求合同和有关的文件应该是原件,在法庭上作为
证据出示时,也必须出示原件。关于电子签名的法律应该规定电子签名符合法律关于原件的要求,具有原始证据的效力。因此,多数国家或地区的法律规定,电子签名具有同书面签名同样的效力和执行力,不能因为它是一种数字化、电子化的信息就否认其法律效力。
为了确保须经过核证的电子文件不会仅仅由于未按照纸张文件特有的方式加以核证而否认其法律效力,联合国《
电子商务示范法》第7条规定:"如法律要求要有一个人签字,则对于一项数据电文而言,倘若情况如下,即满足了该项要求:
①使用了一种方法,鉴定了该人的身份,并且表明该人认可了数据电文内含的信息;
②从所有各种情况看来,包括根据任何相关协议,所用方法是可靠的,对生成或传递数据电文的目的来说也是适当的。"
《电子商务示范法》第7条采用了一种综合办法,它确定了在何种一般情况下数据电文即可视为经过了具有足够可信度的核证,而且可以生效执行,视之达到了签字要求,此种签字要求目前构成了电子商业的障碍。第7条侧重于签字的两种基本功能:一是确定一份文件的作者,二是证实该作者同意了该文件的内容。
第 11 页
联合国
国际贸易法委员会
电子商务工作组第35届会议《电子商务统一规则草案》第2 条根据《电子商务示范法》第7 条,提出:"'电子签字'系指在数据电文中,以电子形式所含、所附或在逻辑上与数据电文有联系的数据,和与数据电文有关的任何方法,它可用于数据电文有关的签字持有人和表明此人认可数据电文所含信息。"
电子签名能满足
法律对签名的要求。同时,该示范法兼采用法律途径(即凡是能够鉴定信息发端人身份和表明发端人认可该信息的签名均属法律规定的签名)与合同途径间由当事人通过任何相互协议来排除亲笔签名的法律障碍)来解决电子签名的法律效力问题,而"功能同等"规则又始终贯穿于这两种途径之中。在该示范法之前,1990年《电子提单规则》也有类似规定,只是其表述方法不同而已。其第11条规定,所有当事方"均同意载于计算机数据贮藏中可用人类语言在屏幕上显示或由计算机打印的业经传输和确认的电子数据将满足任何国内法或地方法、习惯或实践规定的运输合同必须经签署并以书面形式加以证明的要求。"有的国家立法在界定电子签名时就直接涵盖了签名的两种功能,事实上,电子签名的法律效力在世界范围内,基本上都已得到认同,甚至在政府间协议及
公民身份证领域也在逐渐应用电子签名技术。
第 12 页
与
电子签名法律效力相关的一个问题是,在网络交易中以何种技术生成的电子签名才是安全可靠的,才是法律认同的电子签名?这也是自电子签名方式出现以来一直争论不休的一个问题。在电子签名立法最早也最发达的美国对此大致有两种解决方案:一种是以.尤他州和伊利诺斯州为代表的"技术特定化"(technology specific)方案,认为只有用非对称密钥加密技术作出的电子签名,才具有与用笔签名同样的法律效力,而其他技术如计算机口令、对称密钥加密、生物笔迹辨别法、眼虹膜网等技术,或安全系数不足,或应用成本过高,均不宜作为法定签名技术予以确定;另一种是以加利福尼亚州和罗德岛州为代表的技术非特定化方案,认为技术特定化限制了其他同类技术的发展,也不利于对消费者的保护,等等。通过对两种方案的衡量与比较,可以认为,技术非特定化方案更有利于互联网产业和网络商务的发展。在技术标准和其他互操作性机制上应该由市场来决定,政府试图制订控制互联网的技术标准的做法只会造成妨碍技术革新的危险。因为互联网上正盛行自愿标准,而标准的发展和接受是以媒体和一致同意为基础的。这一点正是刺激互联网迅速发展的重要因素。法律也只需原则管理规定,凡是能够对交易者身份予以识别的电子技术手段均可以用作电子签名的生成技术从而对电子签名的效力予以认可就够了,而不宜将某种特定技术标准与电子签名的法律效力直接挂钩。当然,这并不意味着政府不能利用其公权通过法律手段对信息产业进行必要的于预,缺乏规则的法制的经济无疑也是危险的
第 13 页
六、对
电子签名立法的建议
1.立法建议
电子签名涉及到
电子合同的成立;涉及到
电子支付和结算的安全;涉及到
电子商务活动参与者们对电子商务的信心,是关系到电子商务各项活动顺利开展的必要因素,缺少有关电子签名的
法律规定必将构成阻碍我国电子商务发展的重大法律障碍。我国《合同法》没有对电子签名问题作出规定,该法第32条显然是针对传统交易方式的。该条只是规定,当事人采用书面形式订立合同的,自双方当事人签字或者盖章时合同成立。这里并未考虑到电子签名的诸多特殊问题。
所以,修改现行的签名规定或者制定新的电子签名法以确定电子签名的法律地位,调整和规范电子签名的使用就是目前最为紧要的任务。
带着对上述问题的思考,我查阅了大量的国内外资料。但由于国内的立法还是学术探讨或立法研究,对此几乎都未有规定或涉及。因而,只能在借鉴国外有关电子签名的立法,并考察电子商务应用原理的基础上,结合电子签名的一般原理和方法,对电子商务应用中电子签名问题进行研究和探讨,并最终形成了《电子签名法》这一立法建议稿。由于我对不适用于电子身份签署的电子文件、不适用电子签名和电子文件的范围、用户的责任、主管部门的责任、相关规费的标准、国外电子商务认证中心(CA)提供服务的问题正在进一步的研究之中,所以未能在建议稿中作明确规定。由于我能力所限,但对电子签名立法问题报着极大的热情,并广泛地请教了许多专家学者,此建议稿也一定存在着许多不足和仍值得继续探讨之处。