4电子签名和电子合同法律

第四章电子签名和电子认证法律初志坤第四章电子签字与认证法律制度第一节电子签字概述第二节电子签字立法发展第三节电子签字的适用和消费者保护第四节电子商务安全认证第五节电子商务认证法律关系第六节电子商务认证机构管理第一节电子签字概述一、电子签字的概念与功能（一）电子签字的概念2001年12月，联合国第56届会议第85次全体会议正式通过了《联合国国际贸易法委员会电子签字示范法》（以下简称《电子签字示范法》），该法给出了电子签字及其相关概念：“电子签字（Electronicsignature）”系指以电子形式所含、所附或在逻辑上与数据电文有联系的数据，它可用于鉴别与数据电文相关的签字人和表明签字人认可的包含在数据电文中的信息。第一节电子签字概述（一）电子签字的概念中国电子签名法关于电子签名概念，电子签名，是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据；数据电文，是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。所以，电子签名概念有以下几种：1.广义的电子签名，是指包括数字技术、生物特征技术、电子录音、电传等各种技术手段形成的电子签名，如联合国《示范法》，美国《统一电子交易法》，澳大利亚的《电子交易法案》，加拿大的《统一电子商务法》，英国的《电子通信法》。2.狭义的电子签名，仅指数字签名，如美国犹他州的《数字签名法》，新加坡《电子交易法》。3.折中概念，欧盟指令等。第一节电子签字概述（二）电子签字的功能以纸张为基础的传统签字主要是为了履行下述功能：（1）确定一个人的身份；（2）肯定是该人自己的签字；（3）使该人与文件内容发生关系。除此之外，视所签文件的性质而定，签字还有多种其它功能，例如，签字可以证明签字人愿意受所签合同的约束；证明签字人认可其为某一案文的作者；证明签字人同意一份经由他人写出的文件的内容；证明签字人曾在某个地点的事实和时间。第一节电子签字概述（二）电子签字的功能《电子商务示范法》第7条规定：（1）如法律要求要有一个人签字，则对于一项数据电文而言，倘若情况如下，即满足了该项要求：第一，使用了一种方法，鉴定了该人的身份，并且表明该人认可了数据电文内含的信息；第二，从所有各种情况看来，包括根据任何相关协议，所用方法是可靠的，对生成或传递数据电文的目的来说也是适当的。（2）无论本条第（1）款所述要求是否采取一项义务的形式，也无论法律是不是仅仅规定了无签字时的后果，该款均将适用。第一节电子签字概述（二）电子签字的功能《电子商务示范法》第7条侧重于签字的两种基本功能：一是确定一份文件的作者；二是证实该作者同意了该文件的内容。第1条第一款确立的原则是，在电子环境中，只要使用一种方法来鉴别数据电文的发端人并证实该发端人认可了该数据电文的内容，即可达到签字的基本法律功能。在保证安全可靠的基础上，第1条第2款提出了灵活性原则，数据电文的发端人与收件人之间的任何协议只要可靠，就适宜于生成或传递该数据电文所要达到的目的。第一节电子签字概述（二）电子签字的功能我国的《电子签名法》对电子签名的功能表述第十三条电子签名同时符合下列条件的，视为可靠的电子签名：1电子签名制作数据用于电子签名时，属于电子签名人专有；2签署时电子签名制作数据仅由电子签名人控制；3签署后对电子签名的任何改动能够被发现；4签署后对数据电文内容和形式的任何改动能够被发现。当事人也可以选择使用符合其约定的可靠条件的电子签名。第十四条可靠的电子签名与手写签名或者盖章具有同等的法律效力第一节电子签字概述二、数字签字的过程（1）签字。在写好信息后，签字人先划定要签字的内容，然后用软件中的散列函数为要签字的信息计算出其独有的散列值，接着，签字人的软件用私钥将散列值转变为数字签字。这个数字签字对这份信息和签字人的私钥而言是独一无二的。（2）签字人一般将数字签字附在数据电文之后并随电文一起发送出去，签字的过程就完成了。（3）验证数据电文的接收人在收到信息后，可以对原文是否被篡改和签字的真实性进行核查。接收人通过参照原文用同一散列函数计算出新的散列值，再用签字人的公钥解开数字签字得出散列值，核对这两者是否一致。如果相同，就表明签字是真实的，原文没有被改动过。第一节电子签字概述第一节电子签字概述三、电子签字的法定要求电子签字的目的是要达到传统书面签字的基本功能，然而电子签字的方法有多种形式，不同公司推出的技术标准也有所差异，因此要在法律上树立一个基本要求，凡达到该要求的电子签字均是有法律效力的。从总体上说，如果电子签字既能表明签字人与信息内容的联系性，而且与纸面签字同样可靠，就算达到了要求。因此，联合国和有关国家的法律规定了电子签字要符合一定的要求。第一节电子签字概述四、电子签字中各方当事人的基本行为规范参与电子签字活动包括签字人、验证服务提供商和依赖方。《电子签字示范法》制订了这些当事方（签字人、依赖方和验证服务提供商等）行为规范。（一）签字人的行为《电子签字示范法》第8条规定，签字制作数据可用来制作具有法律效力的签字，各签字人应当做到如下：（1）采取合理的谨慎措施，避免他人未经授权使用其签字制作数据；第一节电子签字概述（2）签字人知悉签字制作数据已经失密；或签字人知悉签字制作数据很有可能已经失密的情况；应毫无迟延，应利用认证服务提供人依照本法第9条提供的手段，或做出合理的努力，向签字人可以合理预计的依赖电子签字或提供支持电子签字服务的任何人员发出通知；（3）在使用证书支持电子签字时，采取合理的谨慎措施，确保签字人做出的关于证书整个有效期的或需要列入证书内的所有实质性表述均精确无误和完整无缺。第一节电子签字概述（二）认证服务提供人的行为《电子签字示范法》第9条规定，认证服务提供人提供服务，以支持可用作具有法律效力的签字而使用电子签字的，应当做到以下规定，否则应对未满足规定要求而承担法律责任：（1）按其所做出的关于其政策和做法的表述行事；（2）采取合理的谨慎措施，确保其做出的关于证书整个有效期的或需要列入证书内的所有实质性表述均精确无误和完整无缺；（3）提供合理可及的手段，使依赖方得以从证书中证实认证服务提供人的身份、证书中所指明的签字人在签发证书时拥有对签字制作数据的控制、在证书签发之时或之前签字制作数据有效；第一节电子签字概述（二）认证服务提供人的行为（4）提供合理可及的手段，使依赖方得以在适当情况下从证书或其它方面证实用以鉴别签字人的方法、签字制作数据或证书的可能用途或使用金额上的任何限制、签字制作数据有效且未发生失密、认证服务提供人规定的责任范围或程度上的任何限制、是否存在签字人依照第8条发出通知的途径、是否提供了及时的撤销服务；（5）确保提供及时的撤销服务；（6）使用可信赖的系统、程序和人力资源提供其服务。第一节电子签字概述（三）可信赖性《电子签字示范法》第10条规定，在确定认证服务提供人使用的任何系统，程序和人力资源是否可信赖以及在何种程度上可信赖时，可以注意下列因素：（1）财力和人力资源，包括是否存在资产；（2）硬件和软件系统的质量；（3）证书及其申请书的处理程序和记录的保留；（4）是否可向证书中指明的签字人和潜在的依赖方提供信息；（5）由独立机构进行审计的经常性和审计的范围；（6）是否存在国家、鉴定机构或认证服务提供人作出的关于上述条件的遵守情况或上述条件是否存在的声明；（7）其它任何有关因素。第一节电子签字概述（四）依赖方的行为《电子签字示范法》第11条规定依赖方应当对其未能做到如下承担法律后果：（1）采取合理的步骤查验电子签字的可靠性；（2）在电子签字有证书支持时，采取合理的步骤，包括查验证书的有效性、证书的暂停或撤销、遵守对证书的任何限制。第二节电子签字立法发展一、从数字式签字到电子签字：联合国现代核证技术的立法实践1996年12月，联合国国际贸易法委员会第29届会议在通过了《贸易法委员会电子商业示范法》之后，讨论了电子商务领域以后的工作方向，会议认为，贸法会应当继续工作，编制能够给电子商务带来可预测性、从而加强各地区贸易的法律标准。比较一致的意见认为，贸法会应当着手编制关于数码式签字的规则，同时制定验证局的行动或授权就数码式签字的电文来源和归属签发电子证书或其它形式保证的其它个人行动的法律。贸法会第30届会议（1997年）肯定了电子商业法律协调的重要性和必要性，并委托工作组编写与数码式签字和验证局法律问题有关的统一规则。第二节电子签字立法发展第二节电子签字立法发展在电子商务工作组第32届会议（1998年1月）上，工作组开始使用《电子签字统一规则（UniformRulesonElectronicSignature）》代替《数字签字统一规则（UniformRulesonDigitalSignature）》。《电子签字统一规则草案》。该草案包括以下内容：适用范围和一般规定、一般电子签字的定义及法律要求、强化电子签字的法律要求、归属推定及保持原样的推定、预先确定强化电子签字、擅自使用强化电子签字的赔偿责任、强化证书的内容、以证书为辅助的数字签字的效力、认证机构的承诺和责任、证书的废止、证书的登记等。第二节电子签字立法发展电子商务工作组第36届会议（2000年2月）对上述草案中的“强化电子签字”进一步进行了讨论，最后决定删除此条。原因是强调强化电子签字，可能会影响其它电子签字方法的使用和发展。2002年1月24日，在经历了5年的起草工作后，联合国第56届大会正式通过联合国国际贸易法委员会电子签字法。《电子签字示范法》将构成《电子商务示范法》的有用的补充，大大有助于各国加强其有关利用现代化核证技术的立法，并能协助目前尚无这种立法的国家拟订这种立法。第二节电子签字立法发展二、美国有关电子签字的法律电子签字法发源于美国，1991年，美国律师协会（ABA）信息安全委员会开始着手拟订《数字签字示范法》，1995年《ABA数字签字指南》颁布，其意图在于“提供一种解决方案，使得获得州政府许可的认证机构在应用PKI系统后，数字签字能得到承认。”1999年7月，美国全国统一州法委员会（NCCUSL）通过了《统一电子交易法》（UETA）修订版。到2000年，美国共有18个州已经通过了立法程序将UETA纳入州法，另有10余州正在走立法程序。第二节电子签字立法发展1999年6月30日，美国总统克林顿以数字签字的方式签署了《全球与国家商务中的电子签字法》，直接从联邦政府的层面对州法中的未达之处包括州际和国际贸易作了规范，进一步丰富了美国电子签字法的法律渊源。该项立法作为美国政府推动电子商务的重要举措，为电子签字和电子记录的法律地位的确定制定了重要的程序和规则。根据该法案规定，在该法案确定的标准得到遵守的前提下，即可赋于电子签字、电子合同和电子记录以法律上的确定性。第二节电子签字立法发展三、欧盟电子签字的统一框架指令从整体上看来，欧盟的《电子签字统一框架指令》（以下简称《指令》）对数字证书与认证机构管理比较严格，既吸收了国际电子签字法律的主流观点，又保持了欧盟的许多特色。（1）《指令》对电子签字的定义与分类处理符合主流观点，其中的“高级电子签字”（advancedelectronicsignature）基本上维持传统上对数字签字的四要素定义法。第二节电子签字立法发展（2）《指令》摈弃了传统的公钥、私钥、对钥的概念，而引入了一系列新概念，如“签署签字数据”(signature-creationdata，相当于公钥)、“签署签字设备”(signature-creationdevice)、“安全签署签字设备(secure－signature-creation-deice)、“确认签字数据(signature-verification-data，相当于私钥)、“确认签字设备”（signature-verificationdevice）。通过对传统技术术语的法律提炼，既可以凸显其“技术中立”的个性，又建立起一套比较严格的对认证机构与电子签字的管理制度。第二节电子签字立法发展（3）《指令》通过四个附件：1）对合格证书的要求；2）对发放合格证书的认证服务提供人