摘要
随着互联网的迅速发展和普及,信息化处理的业务越来越多, 无纸化办公逐渐成为常态, 由于 数字电文在生成、传输、存储等阶段存在的不稳定、易泄露、易修改等特性,对其真实性的鉴定、法律效力的界定等问题就显得至关重要,《电子签名法》在其中就起到了十分重要的作用。本文将首先对电子签名与数据电文的相关概念进行概括,接着分析电子签名及《电子签名法》在当前社会的应用情况,进而结合应用情况分析《电子签名法》中存在的部分问题,最后将结合问题现状,提出建议性结论。
绪论
为了规范电子签名行为,确立电子签名的法律效力,维护有关各方的合法权益。《电子签名法》由中华人民共和国第十届全国人民代表大会常务委员会第十一次会议于 2004 年 8 月 28 日通过,自 2005 年 4 月 1 日起施行。当前版本为2015 年 4 月 24 日第十二届全国人民代表大会常务委员会第十四次会议修正。本法分为 36 个章节、 36 个条目,从数据电文、电子签名与认证、相关法律责任三个大方面,规定了有效数据电文的生成、传输、存储等规范,规定了电子签名的产生及认证等相关步骤,明确了电子签名认证服务者、签名人、签名依赖方三者的法律责任及相互 关系。
电子签名与数据电文在法律上的定义
签名,一般是指个人用手亲笔在一份文件上写下名字或留下印记、印章或其他特殊符号,以确定签名人的身份,并确定签名人对文件内容予以认可。而数据电文和传统纸质文件一样,同样是信息的载体,而签名就是用于认证身份的一种标识,同样是这个载体上的一部分信息。从这个角度上来讲,电子签名和传统文件的签名,在正常情况下,应无效力上的差别。但是,由于信息载体的不同,在某些特殊情况下,传统签名和电子签名在可信度上又存在着差异。[1][2]
《电子签名法》第二条规定:本法所称电子签名,是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。本法所称数据电文,是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。
其他国家或国际性组织同样对电子签名有着法律上的定义,如:联合国贸法会的《电子签名示范法》、欧盟的《电子签名共同框架指令》、日本《电子签名与认证服务法》、美国的《全球及全国电子签名法》等。
电子签名的应用现状
目前市面上的较为常见的电子签名形式,主要有以下几种:
1. 基于硬件存储的形式。最典型的是我们平时使用的门禁卡,卡片中存储着我们的身份认证信息,签名依赖方通过读取硬件中的认证信息,完成对签名人身份的认证,这种形式一般出现在安全等级较低的应用场景,而且电子签名认证服务者和签名依赖方往往属于同一方面,因为类似门禁卡的制作管理单位往往都是限制出入场所的管理方,即,通过给持卡人办理门禁卡,为持卡人提供了通过刷卡进行签名的方式,而门禁管理部门在通过识别持卡人身份信息,执行准许或拒绝进入的过程。[4]
2. 基于软件加密解密的形式。这种形式是在互联网社会中最为常见的签名形式。签名人通过输入密码,或使用私钥解密实现签名操作,如常见的非对称加密协议PGP 协议、使用数字隐写保护版权安全的技术等。这种签名方式通常又被称为数字签名。电子签名是一般化的概念,凡是具有签名功能的电子手段均可称之为电子签名。而数字签名,由于历史的原因,已经被特指为利用公钥密码和散列算法而生成的签名。数字签名是电子签名的一种特定形式。
3. 基于软硬件结合的形式。这种形式通常用于安全等级较高的应用场景,如银行卡或储蓄卡,需要存有用户信息的卡片,还需要持卡人主动输入密码,才可以实现身份认证。还可以结合签名人的生物特征信息,如指纹特征、虹膜特征、面部特征、声纹特征等,都可实现更加安全的身份认证。
从现实生活中来看,随着近几年互联网商务的蓬勃发展,越来越多的交易是在互联网上完成的,大量电子合同在互联网上达成,这些电子合同与传统的纸质合同同样具有法律效力。《中华人民共和国合同法》第十一、十六、二十六、三十一条等条目,就数据电文形式的电子合同在法律效力等方面进行了十分明确的说明。[2]
值得探讨的几个问题
1. 数字电文与电子签名的法律效力问题。
在法律效力方面,《电子签名法》有如下相关条文:
第三条:民事活动中的合同或者其他文件、单证等文书,当事人可以约定使用或者不使用电子签名、数据电文。当事人约定使用电子签名、数据电文的文书,不得仅因为其采用电子签名、数据电文的形式而否定其法律效力。
第十四条:可靠的电子签名与手写签名或者盖章具有同等的法律效力。
从以上两款条文中,不难看出,可靠的数据电文及电子签名与纸质文件及签名是具有相同法律效力的。但是,条文中只提到了电子签名、数据电文在双方约定使用的情况下,具有法律效力。那么上述约定如何界定,如何才算是约定,是否需要达成书面协议,或其他形式的协议,如果未进行约定,直接使用数字签名,是否还应具备法律效力。以上问题,在《电子签名法》中都未进行详细定义。
2. 数据电文的收发地点、时间问题。
在收发地点、时间方面,《电子签名法》有如下相关条文:
第十一条:数据电文进入发件人控制之外的某个信息系统的时间,视为该数据电文的发送时间。收件人指定特定系统接收数据电文的,数据电文进入该特定系统的时间,视为该数据电文的接收时间;未指定特定系统的,数据电文进入收件人的任何系统的首次时间,视为该数据电文的接收时间。当事人对数据电文的发送时间、接收时间另有约定的,从其约定。
第十二条:发件人的主营业地为数据电文的发送地点,收件人的主营业地为数据电文的接收地点。没有主营业地的,其经常居住地为发送或者接收地点。当事人对数据电文的发送地点、接收地点另有约定的,从其约定。
数据电文的发出和收到时间对于确定合同的成立时间至关重要。在采用“投邮主义”的国家,承诺自发出之时生效,作为承诺载体的电子通信的发出时间为合同的成立时间;在采取“到达主义”的国家,承诺自到达对方时生效,作为承诺载体的电子通信的收到时间为合同的成立时间。
首先看发件时间部分,考虑这样一种情况,发件人填错收件人信息,邮件进入发件人无法控制的范围,视为已发送,在“投邮主义”效力来看,承诺其实已经达成,这对于收件人是不公平的。而在收件角度来看,数据电文进入该特定系统的时间,视为该数据电文的接收时间。考虑这样一种情况,当数据电文进入收件人指定的邮件服务器后,因为邮件系统遭受病毒断电等伤害,邮件被删除,该责任不应由收件人承担。
另外,目前部分邮件系统存在文件中转站机制,一般来讲,文件中转站的本质就是独立于邮件服务器的网盘系统,用于存储较大的邮件附件,若类似中间人服务器受到攻击,责任也无法归咎于发件人或收件人。
3. 其他问题
一般来讲,电子认证服务提供者,是商业实体,《电子签名法》第十七条规定:提供电子认证服务,应当具备下列条件:
(一)取得企业法人资格;
(二)具有与提供电子认证服务相适应的专业技术人员和管理人员;
(三)具有与提供电子认证服务相适应的资金和经营场所;
(四)具有符合国家安全标准的技术和设备;
(五)具有国家密码管理机构同意使用密码的证明文件;
(六)法律、行政法规规定的其他条件。
目前我国对电子认证机构的制度法律主要有两项《电子签名法》、《电子认证服务管理办法》,《电子签名法》规定相对笼统,但《电子认证服务管理办法》规定又过于繁杂,这造成目前国内认证机构相对独立割据,为了盈利,彼此竞争,不重视服务质量,无法实现较为高效的交叉认证,为电子签名的使用者大大提高了在认证方面的成本。[5]
总结
整体来看,《电子签名法》在我国互联网行业高速发展的环境下,起到了至关重要的作用,在《电子签名法》及《合同法》的加持下,中国电子商务在业务逻辑上得到了很多的便利,不需要复杂的纸质文件,就可以完成交易,提高了业务速度,降低了业务成本。
从上一节总结的问题来看,目前版本的《电子签名法》在某些部分仍然相对笼统,无法满足实际的复杂业务环境,仍需要进一步完善。可参考国际上相对完善的制度体系,对条款进行扩充。
从最后一个问题来看,我国有待进一步加强对认证机构的监管和制约,打造良好的行业体系管控,实现有序合理的第三方认证机制。因此国家应结合目前电子签名认证机构数量,服务质量,市场需求,对该行业进行较为主动的宏观调控,相信有国家调控这双大手,该行业会逐渐由分散无序,向着有序稳定的局面发展。
参考文献
[1] 欧阳武. 中国电子签名法原理与条文解析[M]. 人民法院出版社, 2005.
[2] 王思叶, 陈恭亮. 电子签名法若干问题研究[J]. 信息安全与通信保密, 2006(8)
[3] 高富平. 电子合同与电子签名法研究报告[M]. 北京大学出版社, 2005..
[4] 保雅坤. 电子签名及其技术现状[J]. 中国电子商务, 2014(7):30-31.
[5] 韩杰, 张夏. 电子签名若干问题浅析——略论我国《电子签名法》的缺陷及建
议[J]. 时代经贸旬刊, 2008, 6(5):50-51.
作者:魏宝乐
声明:本文来自中国保密协会科学技术分会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。