第八章-电子签名法(2010-10-17信息法)

第八章电子签名法第一节电子签名概述一、电子签名的概念

电子签名广义上是指以特定电子技术对电子信息进行加密和确认以达到与传统签名具有同等法律效力的技术方案。《电子签名法》第二条具体规定了电子签名是一种数字信息，是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。二、实行电子签名的必要性1、从技术角度看，电子签名可以解决身份认定、信息来源认定、信息完整性和安全性确认等诸多问题，解决了电子商务最关键的问题——安全问题。无论是电子支付、网上证券、网上交易、电子合同、网上知识产权还是网上办公，在安全性方面，电子签名成为更好的技术手段选择。据中国著名的IT咨询公司易观国际的研究报告《互联网研究系列报告——电子商务（2004）》估计，2005年的中国电子商务交易总额将从2004年的4400亿人民币激增至6200亿人民币。与电子商务相关的网站和机构数量也有了较快增加，截至2004年4月，我国已有4000多个电子商务网站和70多家认证机构。2、从法律的角度来看，在纠纷解决和司法活动中，原件是最具有法律效力的证据。签名是一种借以证明签署者身份、内容归属以及认同内容的法律证明行为。受网络上主体虚拟化、权限虚拟化、意思表示虚拟化的影响，电子商务中要约、承诺及合同的确定性、完整性、不可更改性和不可抵赖性较传统合同中更难以确定和保障。而电子签名明确主体身份和识别合同的有效性，以使法律实施有明确的主体与客体。如果在电子交易过程中所产生的各种电子凭证满足电子签名法对数据电文和电子签名与认证的要求，就可以依托电子签名法，作为商务纠纷责任认定的证据。三、电子签名实现技术电子签名技术的实现方式目前有多种，比如基于公钥密码技术（PKI）的数字签名技术；基于签名主体特有的以生物特征统计学为基础的识别标识，例如手印、声音印记或视网膜扫描的识别；手书签名和图章的电子图像的模式识别等等。数字签名是目前电子商务、电子政务中应用最普遍、技术最成熟、可操作性最强的一种电子签名方法。有人称“电子签名”就是“数字签名”是不准确的。基于ＰＫＩ的数字签名基于ＰＫＩ（PublicKeyInfrastructure公钥基础设施）的电子签名被称作“数字签名”。数字签名是用私钥对数字摘要进行加密，用公钥进行解密和验证。它首先运用适当的算法得到两组相互匹配的数字串，其中一组作为公开密钥，一组为私人密钥。因此，将这两个质数称密钥对，其中一个采用私密的安全介质保密存储起来，应不对任何外人泄露，简称为“私钥”；另一个密钥可以公开发表，用数字证书的方式发布在称之为“网上黄页”的目录服务器上，可在网上请对方发送信息时主动将该公钥证书传送给对方，这个密钥称之为“公钥”。两把密钥必须配套使用，用一把密钥对信息进行加密后必须用另一把进行解密，从而使信息和发送人之间建立了手书签名的等价作用。非对称加密算法区别于原有的单钥(对称密钥)加密技术，其优点在于后者加密时的密钥与用于解密的密钥相同，用于网络传输数据加密时不可避免地存在安全漏洞，因为在发送加密数据的同时，也需要将密钥通过网络传输通知接收者，第三方在截获加密数据后，只需再获取相应密钥即可将数据解密使用或进行非法篡改。在我国《电子签名法》中被称作“电子认证服务提供者”。CA的组成主要有证书签发服务器，负责证书的签发和管理；密钥管理中心，用硬件加密机产生公/私密钥对，提供CA证书的签发；目录服务器负责证书和证书撤消列表（CRL）的发布和查询。认证服务机构的可靠与否，对保证电子签名真实性和电子交易安全性起着关键作用，为了防止不具备条件的人擅自提供认证服务，我国《电子签名法》第十八条规定，“从事电子认证服务，应当向国务院信息产业主管部门提出申请”。数字证书的原理公钥公钥私钥私钥数字证书采用公钥机制，证书颁发机构提供的程序为用户产生一对密钥，一把是公开的公钥，它将在用户的数字证书中公布并寄存于数字证书认证中心。另一把是私人的私钥，它将存放在用户的计算机上。数字证书认证中心CA证书申请与颁发证书申请与颁发第二节电子签名立法一、立法主要模式概述自美国犹他州于1995年颁布全世界范围内第一部《数字签名法》以来，已有三十多个国家、地区和国际组织先后制订了电子签名法或以确立电子签名法律地位为主要内容的电子商务法。我国也于2004年8月通过了《电子签名法》，并于2005年4月1日实施。各国的电子签名立法从其采用的技术方案入手分为技术特定型、技术中立型和折中型三种模式。1、技术特定型在立法中直接采用数字签名作为法定的电子签名技术手段，并对该签名的特定法律效果予以确认，是着眼于安全性标准，基于对特定签名技术的信赖。这种立法模式强调，在现行的电子签名技术中，较之安全系数不足的计算机口令和私人密码、不适应开放型市场需要的对称密钥加密以及应用成本过高的生物笔迹和眼虹膜辨别技术而言，以非对称加密算法生成的数字签名，是一种既安全可靠，又具有可行性的较为理想的电子签名技术方案，因而应作为法定的电子签名手段。采用这种立法模式如马来西亚《数字签名法》，只规定了数字签名的法律效力，对采用其他技术的电子签名的法律效力未作规定。其他采取这一模式的主要有美国犹他州的《数字签名法》、德国的《数位签章法》等。美国犹他州的《数字签名法》，是最早以法律形式对数字签名做出规定的，其第3条第10项规定：“数字签名，是某人欲以一串比特字节签署，而生成相关的清晰的标识信息。该信息是通过单向函数运算，然后对生成的信息摘要，以非对称性加密技术和其私钥进行加密。”

2、技术中立型技术中立型模式也称最低要求主义、功能等同方式，认为，技术特定化实际上给其他同类技术的发展造成了法律障碍，在电子商务市场尚不成熟的情况下，过早将某种特定的电子签名技术标准化、法定化是不合理的。此外，技术进步具有相对性，公开密钥加密也并非万无一失无法破译，且该技术方案将密钥被冒用的风险责任完全归于持有人，不利于对消费者的保护，最终会阻碍电子商务的发展。因此，主张不具体确定哪种方式符合法律规定。中立的电子签名中立的电子签名包括一切能够鉴别当事人身份、表明签字者确认文件内容并且同意受其约束的技术手段。这一概念着重阐明了电子签名的目的与作用，而对电子签名所运用的技术方式几乎没有规定，凡是具有一定鉴别作用的，数据电文中附加的，或与之有逻辑上联系的电子形式的数据，都可成为电子签名的方式。在电子签名法案中，采用这种广义的电子签名概念的，还有美国州法统一委员会的《统一电子交易法》，联合国《电子商务示范法》等。中立电子签名的基本思路

A．与传统手书签名及其衍化物的功能相吻合。B．与现实中应用的技术能力相适应。C．突出基本功能的实现。D．尊重当事人的意思自治。3、折中型立法模式技术特定型立法与电子商务的开放性、发展性原则不符，可能造成限制新的电子签名技术开发应用的法律后果，而技术中立型立法又太过宽泛，其中包含的一些电子签名手段很难在实践中得到具体应用。为了弥补二者的缺陷，折中型立法模式应运而生。与技术特定型立法模式相比，其肯定的技术范围不同，只要达到安全签名基本标准的电子签名技术手段皆可适用，而不仅仅限于公开密钥加密生成的数字签名，这就为其他能够达到同一功能的新技术预留了法律空间。折中型方案既提供了对于满足一定条件的广义的电子签名的法律确认，又提供了使用以数字签名为范例的安全电子签名的法律后果，结合了技术特定型与技术中立型两种方案的优点。折中型立法当首推新加坡《电子交易法》，其次为欧盟《电子签名共同框架指令》。《电子交易法》一方面规定电子签名的一般效力，保持技术中立性，使任何技术为基础的电子签名皆得适用；另一方面，又以数字签名为例，对所谓安全电子签名作出特别规定。这种立法模式既保持了法律规范的技术中立性、开放性和前瞻性，又不失现实性、可行性，从而受到了各国的广泛关注和充分肯定，不失为一种较为理想的立法模式，也是我国《电子签名法》所采取的一种选择。强化电子签名：折中性立法其具体形式是开放型的，任何能够达到同一效果的技术方式，都可囊括于内。与上述广义与狭义的电子签名概念相比较，该电子签名概念是一种折衷式的概念。强化电子签名(EnhancedSignature)的概念(见UNCITRAL《电子签名统一规则》），指经过一定的安全应用程序、能够达到传统签名等价功能的电子签名方式；又称可靠电子签名(SecureElectronicSignature，见新加坡1998年《电子交易法》);高级电子签名(AdvancedElectronicSignature，见欧盟《电子签名共同框架指令》)。与一般电子签名相比，强化电子签名必须满足独特性、辨识力、可靠性，关联性四项标准。独特性系指该签名是签名者为特定目的使用的、独一无二的；辨识力是指签名可客观辨别签名者的身份；可靠性是指由签名者以安全可靠之方法制作，或使用可单独控制的安全及信赖之措施方法制作，且制作后不易被伪造或破解；与电子文件内容的关联性是指签名能识别经签署之电子文件内容是否遭到篡改。二、我国电子签名法立法模式我国电子签名法对电子签名的界定也与这些法规一致，其中《电子签名法》第二条规定了电子签名是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。第三条规定了数据电文是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。数据电文的概念非常广泛，基本涵盖了所有以电子形式存在的文件、记录、单证、合同等，是信息时代所有电子信息的基本存在形式。该法第十四条还明确规定，可靠的电子签名与手写签名或者盖章具有同等的法律效力。由此可见，我国的电子签名的概念也是界乎广义和狭义之间，既不是宽泛地界定电子签名，也没有仅限于数字签名，而是将电子签名的法律效力规定为“可靠的电子签名”，《电子签名法》本着技术中立的原则，并不指出哪种技术更为先进，哪种技术是安全的，只要求该技术满足本法的规定、或当事人自行选择的就可以。就《电子签名法》的相关规定来看，只要能够满足以下四个条件的电子签名就被视为安全的电子签名：“（一）电子签名制作数据用于电子签名时，属于电子签名人专有；（二）签署时电子签名制作数据仅由电子签名人控制；（三）签署后对电子签名的任何改动能够被发现；（四）签署后对数据电文内容和形式的任何改动能够被发现。当事人也可以选择使用符合其约定的可靠条件的电子签名。”也就是说，审查一个数据电文作为证据的真实性，主要是从该系统的操作人员、操作的程序、信息系统本身的安全可靠性等几个方面来考量的。如审查传送数据电文的系统是否具备相当的稳定性，被非法侵入、篡改的可能性有多大，操作时是否严格按照所要求的程序来进行，能否有效地鉴别发信人，等等。这部法律规定、可靠的电子签名与手写签名或者盖章具有同等的法律效力，届时消费者可用手写签名、公章的“电子版”、秘密代号、密码或指纹、声音、视网膜结构等安全地在网上“付钱”、“交易”及“转帐”。手机短信可否作为法庭证据使用２００４年１月，杨先生结识了女孩韩某。同年８月２７日，韩某发短信给杨先生，向他借钱，短信中说：“我需要５０００元，刚回北京做了眼睛手术，不能出门，你汇到我卡里。”杨先生随即将钱汇给了韩某。９月７日，杨先生再次收到韩某需要借款６０００元的短信，于是，杨先生又汇给韩某６０００元。因都是短信借款，杨先生并没有索要借据，但保留了韩某借钱的短信。９月１４日，韩某第三次提出借款，这次杨先生没有答应，并向韩某提出还款要求，韩某表示尽快归还，但却一直没动静。杨先生起诉至北京某区法院，要求韩某归还其１．１万元钱，承担该案诉讼费。其并提交了银行汇款单存单两张。但韩某却称，２００４年初，杨先生曾向其借款１．１万元，这钱是杨先生归还她的欠款，并不承认曾向杨先生借过钱。在第一次庭审时，法官当面拨打了由杨先生提供发短信的手机号码，拨打后接听者是韩某本人。韩某承认，自己从２００４年７月份起使用这个手机号码至今。但她称１．１万元是杨先生向其还款，对此种说法，她却提供不出相应证据。第二次庭审时，韩某代理人指出，手机短信根本不能作为证据。法院审理认为，根据证据规则的相关规定，录音录像及数据电文可以作为证据使用，但数据电文作为认定事实的证据，还应有其他书面证据相佐证。杨先生提供的通过韩女士使用号码的手机发送的移动电话短信内容中载明的款项往来金额、时间与中国工商银行个人业务凭证中体现的杨先生给韩女士汇款的金额、时间相符，且移动电话短信内容中亦载明了韩女士偿还借款的意思表示，两份证据之间相互印证，可以认定韩女士向杨先生借款的事实。遂判决韩女士偿还杨先生借款人民币１．１万元。案件受理费４５０元由韩某负担。在《电子签名法》出台之前，有很多类似的案例，其中主要涉及电子邮件能否作为证据，由于缺乏直接的法律规定，法院无法作出处理。这种情况随着《电子签名法》的出台得到了根本的改变。三、我国《电子签名法》概述包括五章三十六条。首次赋予可靠的电子签名与手写签名或盖章具有同等的法律效力，并明确了电子认证服务的市场准入制度。在第一章的总则中，对电子签名作出了规范，其中第二条指出，本法所称电子签名，是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。其中数据电文是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。（一）主要内容1、《电子签名法》规定电子签名具有与手写签字或者盖章同等的法律效力，同时承认电子文件与书面文书具有同等效力，从而使现行的民商事法律同样适用于电子文件，并且明确规定了具备这样效力的电子签名应具备的具体条件。第七条规定了数据电文不得仅因为其是以电子、光学、磁或者类似手段生成、发送、接收或者储存的而被拒绝作为证据使用。

我国《电子签名法》规定，“电子签名人，是指持有电子签名制作数据并以本人身份或者以其所代表的人的名义实施电子签名的人”。2、为规范电子签名的行为，规定了电子签名的安全保障措施；因为私人密钥处在签名人的独占控制之下，具有隐秘性和惟一性，签名人必须承担妥善保护其电子签名不被泄露和滥用的合理注意义务。该法第十五条规定“电子签名人应当妥善保管电子签名制作数据。电子签名人知悉电子签名制作数据已经失密或者可能已经失密时，应当及时告知有关各方，并终止使用该电子签名制作数据。”对于电子签名主体的责任，我国《电子签名法》采取了签名人过错责任，该法的第二十七条规定，电子签名人知悉电子签名制作数据已经失密或者可能已经失密未及时告知有关各方、并终止使用电子签名制作数据，未向电子认证服务提供者提供真实、完整和准确的信息，或者有其他过错，给电子签名依赖方、电子认证服务提供者造成损失的，承担赔偿责任。3、《电子签名法》明确了认证机构的法律地位及认证程序，设立了认证服务市场准入制度，认证机构暂停、终止认证服务的业务承接制度；其实，不但在传统的手书签名中需要有关机构来验证签名的真伪，在电子交易过程中，同样需要一个具有权威性公信力的第三方作为安全电子认证机构对公开密钥行使辨别及认证等管理职能，以防止发件人抵赖或减少因密钥丢失、被偷窃或被解密等风险，弥补网络交易匿名性所带来的不确定性的障碍。因此，电子签名侧重于解决身份辨别与文件归属问题，而电子认证解决的是密钥及其持有人的可信度问题。由此可见，电子签名的安全使用必须配合安全电子认证机构体系的建立。4、明确行政许可程序和由政府对认证机构实行资质管理的制度。5、还明确了合同双方和认证机构在电子签名活动中的权利和义务，进一步细化了各种认证服务程序；6、并增加了有关条款追究政府监管部门不依法进行监督管理人员的法律责任。7、此外，该法还对电子签名在电子政务和公用事业领域涉及的文书和电子签名作出了原则规定。《电子签名法》第3条也规定,电子签名不适用下列文书:(l)涉及婚姻、收养、继承等人身关系的;(2)涉及土地、房屋等不动产权益转让的;(3)涉及停止供水、供热、供气、供电等公用事业服务的;(4)法律、行政法规规定的不适用电子文书的其他情形。（二）我国《电子签名法》的主要特点（1）、内容简练。（2）、可扩展性。（3）、灵活自治原则。（4）、与国际接轨。（1）、内容简练。该法定位准确，立法宗旨明确，结构简洁、紧凑。这部法律相当简练，只有36条，但就在这36条中，确立了数据电文、电子签名在我国的法律效力，指出了数据电文在何种条件下满足我国法律所规定的“书面形式”、“原件形式”、“文件保存”，明确了数据电文的发送、接收及证据力在法律上的认可方式，规范了法律对电子认证服务机构的要求和行政管理模式。作为我国第一部电子商务法，这36条及其体现出来的原则基本上奠定了我国电子交易与电子商务的法律基础。（2）、可扩展性虽然都叫做电子签名或数据电文，但由于技术解决方案的多样性，导致由不同技术解决方案生成的电子签名和数据电文在表现形式上也有很大的差别，因而对其法律效力的认定也无法“一刀切”。该法在一定程度上强调了立法本身的可扩展性。例如，它没有具体指定必须确立哪一种电子签名技术，而只是对安全电子签名及其认证机构所需达到的条件作出要求，为未