在电子商务活动中,参与交易的各方可能在整个交易过程中自始至终不见面,传统的签字方式很难应用于这种网上交易。因此,如何使彼此的要约、承诺具有可信赖性,当债务与合同义务发生不履行时,又如何有效使违约方承担起应负的法律责任,这就涉及到交易各方的身份确认问题。目前,按照信息发达国家的做法,在网络上通过电子签名的方式以确定交易方的身份。这种电子签字是由符号及代码组成的,它具备了上述签字的特点和作用。对每一方来讲,具体采取什么符号或代码,将根据现有的技术、相关经验、可应用标准的要求及使用的安全程序来作出决定。任何一方的电子签字可以不时地改变,以保护其机密的特征。因此,电子签名的产生和广泛运用给我国立法带来了两个新的课题,即电子签名是怎样认定和电子签名是否有效的问题。
一、电子签名的概念
电子签名是公开密钥加密技术的另一类应用。它的主要方式是:报文的发送方从报文文本中生成一个散列值(或报文摘要),发送方用自己的私钥对这个散列值进行加密来形成发送方的电子签名。然后,这个电子签名将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原始报文中计算出散列值(或报文摘要),接着再用发送方的公钥来对报文附加的电子签名进行解密。如果两个散列值相同,那么接收方就能确认该电子签名是发送方的。通过电子签名能够实现对原始报文完整性的鉴别和不可抵赖性。
具体步骤如下:
①将报文按双方约定的Hash算法计算得到一个固定位数的报文摘要。在数学上保证,只要改动报文中任何一位,重新计算出的报文摘要值就会与原先的值不相符。这样就保证了报文的不可更改性。
②将该报文摘要值用发送者的私人密钥加密,然后连同原报文一起发送给接收者,而产生的报文即称电子签名。
③接收方收到电子签名后,用同样的Hash算法对报文摘要值进行计算,然后与用发送者的公开密钥进行解密,并同解开的报文摘要值相比较,如相等则说明报文确实来自所称的发送者。
新加坡《电子交易法案》对"电子签名"与"数字签名"作了详细的规定。"电子签名"的定义为:"以数字形式所附或在逻辑上与电子记录有联系的任何字母、文字数字或其他符号,并且执行或采纳电子签名是为了证明或批准电子记录"。"数字签名"的定义为:"通过使用非对称加密系统和哈希函数(hushing function)来变换电子记录的一种电子签名,使得同时持有最初未变换电子记录和签名人公开密匙的任何人可以准确地判断:(1)该项变换是否是使用与签名人公开密匙相配的私人密匙作成的;(2)进行变换后,初始电子记录是否被改动过"。从上述规定可以看出,数字签名是电子签名的一种。新加坡《电子交易法案》中电子签名的定义对采用什么方式和技术没有规定,仅要求该方式或技术要与电子记录有联系并为了证明或批准电子记录。而数字签名定义则明确规定采用何种技术,即非对称系统和哈希函数。
数字签名是通过密码算法对数据进行加、解密变换实现的。数字签名的特点是:它代表了文件的特征。文件如发生改变,数字签名的值也将随之而发生改变;不同的文件得到的是不同的数字签名。在传输过程中,如有第三人对文件进行篡改,但他并不知道发送方的私人密钥,因此,解密得到的数字签名与经过计算后的数字签名必然不同。"这就提供了一个安全的确认发送方身份的办法"。新加坡1998年《电子交易法案》第17条规定:"通过使用当事人同意的某一规定的安全程序或商业上合理的安全程序,如在签署时能确认该电子签名:①对该使用人而言是独一无二的;②能够鉴别该使用人;③在该使用人的完全控制之下以某种方式生成;④与电子记录存在这样的联系:如记录被改动,电子签名也随之失效;则该电子签名可被视为"可靠电子签名"。这样,数字签名就能够具备与亲笔签名相同的功能。
为了讨论的方便,下文就不再区分数字签名与电子签名,都统一用电子签名。
二、电子签名的认定
电子签名的一个重要的特点是能证实信息发送人的身份以及电子文件的可靠性和完整性,它对于发送人和被发送的信息都是独一无二的,具有可验证性和不可否认的权威性特点;另一个重要的特点是它在计算机之间交换数字证书有助于确定当事者就是他们所宣称的人。由于具备了这些特点,才有助于电子签名的认定。例如:广东省电子商务认证中心开发的文档电子签名系统,如果安装使用该系统,电子签名表现非常直观明了,使用简便。每个人的电子签名都可以在文档中的任意地方随意放置,完全由签名人控制,就象在纸质文件上书面签名、批注一样方便。基于数字证书使用而开发的文档电子签名系统,对于电子签名的认定来说,其操作非常简单而且其电子签名非常清晰明了。
从其技术实现来说,关于电子签名的认定,在电子签名制度下,可以通过电子商务认证中心(certification authority,简称CA)核发公钥与私钥的方式解决身份确认问题。作为独立于交易各方的权威机构,如果交易双方或第三人对当事人身份或交易内容有所质疑,认证中心即可作为鉴定人提供有关身份确认的资料与证据。这样,交易中的双方或第三人均不得任意否认交易的发生及其内容,从而使当事人在网络这一虚拟世界环境下所发出的要约与承诺与现实世界的要约与承诺同具法律拘束力。目前,我国就有广东、上海等地建立的电子商务认证中心(简称CA中心),解决电子商务交易各方的身份确认问题。此外,我国还有外经贸部门、信息产业部、公安部等部门都在建立自己的CA中心,如果标准不统一,会带来交叉认证的麻烦,将会增加交易的成本,不利于电子商务的发展。因此,很有必要通过立法设立一个统一的或者几家权威的电子商务认证中心,从法律上确立电子商务认证中心的地位,以解决电子商务交易各方的身份确认问题。
三、电子签名与电子认证的法律要求
电子签名与电子认证政策法律用以调整认证中心、证书用户、国家行政机关与不特定的社会公众之间在认证电子交易过程中所发生的法律关系,调整对象主要包括平等主体之间民商事法律关系和非平等主体之间的行政法律关系。
数据电讯的商业化应用,除了需要电子签名作为认证手段之外,在因特网等开放性网络环境下,认证中心的服务也是必不可少的。与此同时,调整认证法律关系的规范,将成为电子商务法律制度,乃至普通商事法律中的基本内容之一。认证中心并不向在线当事人出售任何有形的商品,也不提供资金或劳动力资源。它所提供的服务成果,只是一种无形的信息,包括交易相对人的身份、公开密钥、信用状况等情报。虽然,这些信息无法以具体的价格来衡量,它却是在开放型电子商务环境下,进行交易所必须的前提性条件,并且是交易当事人所很难亲自得知的。与一般信息服务不同的是,认证中心所提供的是经过核实的,有关电子商务交易人所关心的基本信息。实际上它是关于交易当事人的事实状况的信息,通常包括交易人是谁、在何处、以何种电子签名方式与之交易,其信用状况如何等。[page]
因此,认证是一种专业化的信用服务,并非一般的实现某种商品使用价值的服务。如同医生对于病人,认证中心都对其客户,即利用数字证书进行交易的各方当事人,负有职业上的特殊义务。该种义务,实际上是一种社会责任。认证中心对于信赖证书的交易人,应承担公正信息发布义务,决不因未接收其服务报酬,而偏袒与之建立了服务合同关系的证书用户一方。任何一个认证中心都应当知道,证书信息的公正性,是其业务存在的根本条件,舍弃此点,该认证中心就没有必要存在。另外从其营业目的上看,认证中心属于公用企业,以向全社会提供电子商务交易信用为己任,并非单纯追求盈利的企业。其服务费用的收取,也只是以微利为原则,而不能受高额利润的引诱。作为一种特许的营业,认证中心的成功,来自于规模化的经营业绩,而决不能依靠向单个用户收取高额服务费,来维持其经营。
电子签名只是从技术手段上对签名人身份做出辩认及能对签署文件的发件人与发出电子文件所属关系做出确认的方式。但如何解决上文提到判定公共密钥的确定性以及私人密钥持有者否认签发文件的可能性等问题,则是电子签名技术本身无法解决的问题。换言之,这里面有一个解决私人密钥持有人信用度的问题。这里面包括两种可能性。一是密钥持有人主观恶意,即有意识否认自己做出的行为;二是客观原因,即发生密钥丢失、被窃或被解密情况,使发件人或收件人很难解释归责问题。事实上,相类似的问题在我们传统商业交易活动中也存在,只不过我们有一套相对完整的解决方案罢了。当然这里包括相配套的法律规范及保护措施。在传统的签字(盖章)使用中,为了防止签字(盖章)方提供伪造虚假或被篡改的签字(盖章)或者防止发送人以各种理由否认该签字(盖章)为其本人所为,一些国家或地区采取通过具有权威性公信力的授权机关对某印章提前做出备案,并可提供验证证明的方式,防止抵赖或伪造等情形发生。例如,在我国台湾省,对一些重要法律文件(如房地产买卖交易文件),对印章真实性认证就采取下述方式处理:为保证盖过章的文件的真实性,印章持有人在盖章之前需把印章送到具有权威性的户政事务所登记备案,并申请印鉴证明,之后再把印鉴证明同盖过章的文件一并送给收件方,收件方将印鉴证明同原件相比较,如完全一致,就可确认文件及其印章的真实性了。在电子交易过程中,同样需要一个具有权威性公信力的第三方作为安全电子认证中心(即CA中心)对公开密钥行使辨别及认证等管理职能,以防止发件人抵赖或减少因密钥丢失、被偷窃或被解密等风险。由此可见,电子签名的安全使用必须配合安全电子认证中心体系的建立。事实上,西方很多国家(美国、加拿大、德国等)以及日本都已经或正在建立相配套的公共密钥基础设施(Public Key Infrastructure)。这样,网络上电子签名与安全电子认证的相互结合就解决了前面阐述的由于电子签名技术方面无法解决的信用度的问题。
四、电子签名安全认证机构的法律地位
电子签名安全认证机构在电子签名制度中占据重要位置。从世界范围看,安全电子商务认证中心的设置主要有两种途径:一种是由政府组建的或者授权的机构担任,以政府信用作为担保;另一种则是通过市场的方式建立,在市场竞争中建立信用。新加坡《电子交易法案》采取的是后一种方式,即政府并不组建或授权安全电子商务认证中心,有能力的组织都可以进入安全认证的市场(新加坡境外的安全认证中心要进入其市场则必须经新加坡政府管理机构的批准),凭借自己的市场竞争能力建立信用。但是,新加坡在安全认证市场管理方面还是非常严格的。首先,《电子交易法案》规定,政府任命一个安全认证中心的管理机构,负责许可、证明、管理和监督安全认证中心的活动。其二,《电子交易法案》规定了所有从事安全认证业务(例如签发电子凭证,即数字证书)的机构都必须遵循的统一标准。其三,安全认证中心可以自愿向管理机构申请许可,虽然管理机构的许可并不妨碍安全认证中心进入市场,但是得到许可的安全认证中心可以享受某?quot;优惠",尤其是可以享受法律规定的责任限制。总之,新加坡的做法是明松暗紧,既不把安全认证市场管死,又能把市场管住。
为了保障我国电子商务的健康发展,由政府组建的或者授权的机构担任电子签名的安全认证中心还是必要的,例如广东省电子商务认证中心(注册名为广东省电子商务认证有限公司)、上海市电子商务安全证书管理中心有限公司就是在政府授权下组建的。
五、电子签名的法律效力
从实质上说,电子签名仅是一种电磁记录。这种电磁记录是否有效,是否符合法律所规定?quot;书面形式",我国现行法律似乎尚未明确。因而可能造成经过电子签名的电子文件因不符合法律所规定的形式要件,而使由此所产生的法律行为无效的情况。虽然,新《合同法》规?quot;当事人采用信件、数据电文等形式订立合同的,可以在合同成立之前要求签订确认书。签订确认书时合同成立。"但我们认为,这一规定只是在有关法律不尽完善的情况下所采取的一种折衷的过渡方案。因为这种传统的"签订"方式,与网络化时代跨地域、跨时空的无纸化交易方式相比还是格格不入的。因此,制定单独的《电子签名法》以适应我国网络交易的发展需要,是网络交易中支付和结算顺利进行的根本保证。
我们知道,签名在交易中具有很重要的作用。在进行交易的时候,交易双方通常都希望确定两件事情:
①交易对象具有真实性。人们通常会要求对方提供一些证明其身份的东西,如身份证、户口薄,交易完成后,还会要求他亲笔签名或盖章。这样,一旦发生纠纷,就可以出示有对方签名或盖章的合同、文件,使对方不能事后抵赖。
②交易双方之间传递的信息是真实、完整的。交易双方通过电话、传真传递双方交易意图,最终达成一致意见之后,通常会签定正式的文本,双方签字盖章,各自保留一份。这样做的目的都在于保证合同的内容不会被篡改、伪造,正式文本中规定的内容是双方最后和真实的意图。
现有的法律规则中对传统的签名盖章已经规制得相当完善,也能够满足经济实践中的要求,但是电子商务要求通过网络进行交易,交易双方相隔万里,互不见面,完全脱离了传统"笔纸式"的交易媒介,随着电子商务的发展,从法律上确立数字签名与手写签名相同效力已显得越来越重要。[page]
电子签名实际上起到了两方面的作用,一是用电子媒介代替纸质媒介;二是确认当事人的身份,起到了签名或盖章的作用。那么,在技术解决了第一步的问题以后,问题就转到了法律这边――法律究竟能不能认可电子签名这样的技术产物呢?
然而,否定电子签名的法律效力,无疑会终结电子商务的发展。有鉴于此,国际社会纷纷采?quot;翻译"和"解释"方法,建议或规定扩大对"签名"的法律定义,使之能将"电子签名"包括进去。学术界同样认为,世界各国的数字签名立法,如美国的《全球及国内商务电子签名法案》、新加坡的《电子交易法案》等已出台的法律文件,对我国的电子签名立法会有很重要的借鉴意义。
首先,肯定电子签名符合法律关于合同必须采用书面形式的要求。"书面形式"应该是一个含义广泛并且不断发展的概念,它本身就是一种现实存在的东西,本身就是证据。电子签名基本具有这样的特征,它包含的信息,人们可以通过电脑或其他媒介加以显示,也可以把它的内容反映在传统的纸质媒介上。
其次,电子签名符合法律关于签名的要求。签名盖章的根本目的在于证明当事人的身份,证明信息的真实、完整。技术的发展基本上已经使电子签名具有了这样的用途,我们在介绍电子签名的制作和传递过程时也说明了这一点。因此,法律通常规定:只要采用了某种可靠的方法来证实当事人的身份,证明当事人同意信息中包含的内容,并且信息在传递过程中是可靠的,那么这种信息就符合了法律关于签名的要求。电子签名正是符合了这样的要求。
最后,电子签名具有同书面签名一样的法律效力。传统法律通常要求合同和有关的文件应该是原件,在法庭上作为证据出示时,也必须出示原件。关于电子签名的法律应该规定电子签名符合法律关于原件的要求,具有原始证据的效力。因此,多数国家或地区的法律规定,电子签名具有同书面签名同样的效力和执行力,不能因为它是一种数字化、电子化的信息就否认其法律效力。
为了确保须经过核证的电子文件不会仅仅由于未按照纸张文件特有的方式加以核证而否认其法律效力,联合国《电子商务示范法》第7条规定:"如法律要求要有一个人签字,则对于一项数据电文而言,倘若情况如下,即满足了该项要求:
①使用了一种方法,鉴定了该人的身份,并且表明该人认可了数据电文内含的信息;
②从所有各种情况看来,包括根据任何相关协议,所用方法是可靠的,对生成或传递数据电文的目的来说也是适当的。"
《电子商务示范法》第7条采用了一种综合办法,它确定了在何种一般情况下数据电文即可视为经过了具有足够可信度的核证,而且可以生效执行,视之达到了签字要求,此种签字要求目前构成了电子商业的障碍。第7条侧重于签字的两种基本功能:一是确定一份文件的作者,二是证实该作者同意了该文件的内容。
联合国国际贸易法委员会电子商务工作组第35届会议《电子商务统一规则草案》第2 条根据《电子商务示范法》第7 条,提出:"'电子签字'系指在数据电文中,以电子形式所含、所附或在逻辑上与数据电文有联系的数据,和与数据电文有关的任何方法,它可用于数据电文有关的签字持有人和表明此人认可数据电文所含信息。"
电子签名能满足法律对签名的要求。同时,该示范法兼采用法律途径(即凡是能够鉴定信息发端人身份和表明发端人认可该信息的签名均属法律规定的签名)与合同途径间由当事人通过任何相互协议来排除亲笔签名的法律障碍)来解决电子签名的法律效力问题,而"功能同等"规则又始终贯穿于这两种途径之中。在该示范法之前,1990年《电子提单规则》也有类似规定,只是其表述方法不同而已。其第11条规定,所有当事方"均同意载于计算机数据贮藏中可用人类语言在屏幕上显示或由计算机打印的业经传输和确认的电子数据将满足任何国内法或地方法、习惯或实践规定的运输合同必须经签署并以书面形式加以证明的要求。"有的国家立法在界定电子签名时就直接涵盖了签名的两种功能,事实上,电子签名的法律效力在世界范围内,基本上都已得到认同,甚至在政府间协议及公民身份证领域也在逐渐应用电子签名技术。
与电子签名法律效力相关的一个问题是,在网络交易中以何种技术生成的电子签名才是安全可靠的,才是法律认同的电子签名?这也是自电子签名方式出现以来一直争论不休的一个问题。在电子签名立法最早也最发达的美国对此大致有两种解决方案:一种是以.尤他州和伊利诺斯州为代表的"技术特定化"(technology specific)方案,认为只有用非对称密钥加密技术作出的电子签名,才具有与用笔签名同样的法律效力,而其他技术如计算机口令、对称密钥加密、生物笔迹辨别法、眼虹膜网等技术,或安全系数不足,或应用成本过高,均不宜作为法定签名技术予以确定;另一种是以加利福尼亚州和罗德岛州为代表的技术非特定化方案,认为技术特定化限制了其他同类技术的发展,也不利于对消费者的保护,等等。通过对两种方案的衡量与比较,可以认为,技术非特定化方案更有利于互联网产业和网络商务的发展。在技术标准和其他互操作性机制上应该由市场来决定,政府试图制订控制互联网的技术标准的做法只会造成妨碍技术革新的危险。因为互联网上正盛行自愿标准,而标准的发展和接受是以媒体和一致同意为基础的。这一点正是刺激互联网迅速发展的重要因素。法律也只需原则管理规定,凡是能够对交易者身份予以识别的电子技术手段均可以用作电子签名的生成技术从而对电子签名的效力予以认可就够了,而不宜将某种特定技术标准与电子签名的法律效力直接挂钩。当然,这并不意味着政府不能利用其公权通过法律手段对信息产业进行必要的于预,缺乏规则的法制的经济无疑也是危险的。
六、对电子签名立法的建议
1.立法建议
电子签名涉及到电子合同的成立;涉及到电子支付和结算的安全;涉及到电子商务活动参与者们对电子商务的信心,是关系到电子商务各项活动顺利开展的必要因素,缺少有关电子签名的法律规定必将构成阻碍我国电子商务发展的重大法律障碍。我国《合同法》没有对电子签名问题作出规定,该法第32条显然是针对传统交易方式的。该条只是规定,当事人采用书面形式订立合同的,自双方当事人签字或者盖章时合同成立。这里并未考虑到电子签名的诸多特殊问题。[page]
所以,修改现行的签名规定或者制定新的电子签名法以确定电子签名的法律地位,调整和规范电子签名的使用就是目前最为紧要的任务。
带着对上述问题的思考,我查阅了大量的国内外资料。但由于国内的立法还是学术探讨或立法研究,对此几乎都未有规定或涉及。因而,只能在借鉴国外有关电子签名的立法,并考察电子商务应用原理的基础上,结合电子签名的一般原理和方法,对电子商务应用中电子签名问题进行研究和探讨,并最终形成了《电子签名法》这一立法建议稿。由于我对不适用于电子身份签署的电子文件、不适用电子签名和电子文件的范围、用户的责任、主管部门的责任、相关规费的标准、国外电子商务认证中心(CA)提供服务的问题正在进一步的研究之中,所以未能在建议稿中作明确规定。 由于我能力所限,但对电子签名立法问题报着极大的热情,并广泛地请教了许多专家学者,此建议稿也一定存在着许多不足和仍值得继续探讨之处。
2.电子签名法(建议稿)
电子签名法(建议稿)
一、总 则
第一条 为了规范电子商务活动,保护电子签名的合法性,促进电子商务的发展,根据中华人民共和国法律、法规的有关规定,制定本法。
第二条 本法所称电子签名,它是指用符号及代码组成电子密码进行"签名"来代替书写签名或印章,它采用规范化的程序和科学化的方法,用于鉴定签名人的身份以及对一项数据电文内容信息的认可。
第三条 本法所称的认证中心,是指一个中立的、公正的、具有权威性的机构,它必须具有独立性。
第四条 本法所称的认证证书,是指申请人的网上电子身份证,用于进行网上事务处理及各种贸易活动。
第五条 认证中心在电子商务活动中充当可信赖的第三方,应该遵循独立、中立、公正、客观、科学、合法的原则。
第六条 任何一个在电子报文使用电子签名的人必须是符合法律、法规规定的法人或经法人授权的代表。
第七条 国家鼓励和提倡电子签名,以促进电子商务的发展。
第八条 本法应根据"就具体情况而言具有商业合理性的原则"进行解释。
二、电子签名的成立与确认
第九条 一个电子记录,从指定时间起,到通过适当应用指定的安全程序或商业上合理的安全程序验证,该记录从指定时间起没有被改动过的时间为止,可以被视为是安全电子记录。
第十条 一个电子签名,在下列情况下,可以视为安全电子签名:
(1) 唯一属于使用该签名的人;
(2) 能够识别此人;
(3) 在使用该签名的人的单独控制下生成;
(4) 与相应的记录相联系,当记录改变时,该签名失效;
(5) 验证是通过应用各方一致公认的指定的安全程序或商业上合理的安全程序进行的。
第十一条 电子记录符合要求信息以书面形式呈现或提交的法律规定。电子签名符合要求签名的法律规定,并规定了证实电子签名的方法。不得仅仅因为一个信息采用了电子记录(或签名)的形式就否定其法律效力、有效性或强制性。
第十二条 通用电子记录和签名不适用于某些法律学规定要手签或手写的场 合,如:遗嘱、委托,代理权的产生等,司法部门对不适用这些规定的情况有权进行增删。
第十三条 当法律条文要求某些文件、记录或信息被保存时,在满足一定安全保护要求的前提下,可以要求以电子记录方式复制保存。第十二条不适用于对电子记录保存方式已经有特别规定的法律条文,在其管辖范围内,政府机构或法人团体可以对电子记录的保存提出附加的要求。
第十四条 在下列情况下,电子签名对其产生者具约束效力:
(1) 该电子签名是在有效证书的有效期间内所产生的;
(2) 该电子签名可通过签名人的数字证书中所列的公开密钥相对应的私人密钥所产生并加以确认;
(3) 含有用于鉴别一个人身份的公钥的证书是可靠的,即:第一,证书是由许可的认证中心颁发的;第二,收发当事人已经明确统一使用电子签名作为安全程序,并通过参考公钥对电子签名进行检验。
第十五条 在下列情况中,电子签名用户所发信息的接受者,可以相信该电子签名对该用户具有约束效力:
该电子签名是在其证书的有效期间内产生,或者通过安全电子认证链追溯到一个已知的可信赖的机构,对各级数字证书的有效性进行验证,来确认该电子签名的有效性;
必要时,第三方可以将证书申请人所提供的个人资料与该第三方的资料库进行核对。依据认证中心的惯用核对演算法或其它适当的程序,如与证书申请人资料相符,确认程序即告完成。
在上述情况下,接受者有充分的理由信任该电子签名。
第十六条 加入电子签名的信息,若经有效证书中所列的公开密钥确认通过后,则形同经过签名的书面信息般具有实际效力,得以执行。
第十七条 使用电子签名,能确认以下两点:
(1) 信息确实是由签名者发送的,即确认对方的身份,防抵赖;
(2) 信息自签发后到收到为止未曾作过任何修改,保证信息的完整性、防篡改性。
三、电子签名的效力
第十八条 电子签名用来保证信息传输过程中信息的完整和提供信息发送者的身份认证。
第十九条 如果电子签名是符合本法第十条的安全电子签名,则带由此电子签名的电子记录被视为安全电子记录,该电子签名视为有效的电子签名。
第二十条 在电子交易中,如果当事人能够证明签署在电子文件上的电子签名的真实性,那么,第一,该电子签名可以确认自当事人在该电子文件上签名以来,该电子文件未被篡改过;
第二,该电子签名可以用来识别签名者。
四、有关电子签名的义务
签署者的义务
第二十一条 一个电子签名只要符合以下条件即在法律上有效:
(1)签名系使用者所独有;
(2)签名能被证实;
(3)签名为使用者单独掌握;
(4)签名与文件相关联,如果文件内容被改,签名就变成无效;
(5)签名符合其他管理机构制定的有关规则。
第二十二条 签署者可以向任何一家认证中心申请认证证书用于电子签名,并且遵守认证中心制订的各项认证业务规则。[page]
第二十三条签署者有责任对其私钥予以足够的重视,并不得向未经授权的人泄露,如果私钥出现问题,签署者必须向认证中心申请暂停或撤消其证书。
第二十四条签署者必须按照认证中心的有关规定办理申请手续,在申请证书时必须按要求提供完整及准确的信息,并对所提供资料的真实性、合法性负责,并对提供虚假资料造成的任何后果承担法律责任。
第二十五条 一律不得转让、转借或转用证书。因转让、转借或转用而产生的一切损失均自行负责。若因住址、电话等联系方法发生变动,或者单位的法人、网站等发生变动,应立即通知认证中心;因信息发生变化且未及时通知认证中心更新证书信息而造成的不良后果自行承担。
第二十六条签署者在申请认证证书时,应当按照规定向证书认证中心交纳证书使用费。
第二十七条 收到电子签名或证书后,应该自行决定是否相信这个电子签名或证书。在作出决定之前,先通过认证中心提供的手段进行查询,以确认该证书是有效的、未经废除或更新的证书,从而确认该电子签名。
认证中心的义务
第二十八条 认证中心应具备以下条件:
(1)依法成立的法人;
(2)具有健全的经营管理制度和严格的信息保密制度;
(3)工作人员、技术水平、设备条件符合认证要求;
(4)工作人员未从事过计算机违法犯罪行为,或其他经济犯罪行为;
第二十九条 认证中心通过颁发数字证书来行使其职能,有义务保证认证证书的真实有效性,并负责交易双方签约、履约的监督管理,包括登记和核实证书申请人身份。
第三十条 认证中心对证书申请人履行下列监督管理职责:
(1)监督检查申请人按照规定办理证书登记、变更、注销手续;
(2)确认申请人的真实身份,防止登记者在交易过程中的欺诈行为;
(3)为申请人在电子商务交易活动中提供一个中立的、公正的、值得信赖的第三方的认证服务。
第三十一条 证书所有权属认证中心。认证中心依照其自身的特点其本法相关规定制定认证业务规则。
第三十二条 认证中心依法独立进行制作、发放和管理认证证书,不受行政机关、社会团体和个人的干涉。
第三十三条 在下列情况下,认证中心无需经过申请人的同意,享有撤消证书效力的权力:
(1) 发现申请人登记情况与事实不符;
(2) 有证据证明申请人已经解散或不复存在;
第三十四条 对于下列情况之一的,有责任拒绝证书申请或废除所签发的证书:
(1) 申请初始注册时,提供不真实材料;
(2) 没有按时缴纳证书业务规定的费用;
(3) 违反国家法律或者其它规章制度,不应签发证书的;
(4) 有盗用、冒用、伪造或者篡改他人证书行为的;
(5) 不履行安全电子商务应承担责任的;
(6) 认证中心的私钥或信赖系统存在严重影响可靠性的情况;
(7) 个人签名者死亡;
(8) 法人及其他组织终止、变更等;
(9) 不符合颁发证书的要求;
(10) 其他符合撤销证书的情况等等。
第三十五条 认证中心有义务负责以下验证:
(1) 证书申请人确为申请书所记载的实体(依据证书类型描述的内容);
(2) 证书申请人是合法持有证书中载明的公开密钥所对应的私人密钥;
(3) 除未经证实的用户资料外,证书中所记载的资料均正确无误;
(4) 任何申请列有证书申请人公开密钥证书的代理人(适用于交易型证书,仅限商业实体)是经合法授权。
(5) 完成上述所有必要的验证程序后,认证中心应核准证书的申请,签发相应的证书以资证明。除认证中心接获证书遭受破坏或盗用的通知外,证书一经签发,认证中心应无义务持续监督或调查证书信息是否正确。
第三十六条 如果就错误和伪造的电子签名而言,若是签名人自己所为,那么认证中心对因当事人信任错误或伪造的电子签名而造成的损失不承担任何责任。
第三十七条 认证中心有保密的义务,认证中心要保证不会对外泄露所发放的任何密钥对及认证证书的内容。
第三十八条 认证中心有告知的义务,认证中心应该将使用电子签名及认证证书所应该了解的操作规程、需要的技术条件、以及其他一些确保电子签名及认证证书有效运作的必要注意事项告知密钥对的申请人及认证证书的申请人。
第三十九条 认证中心有义务维护一个在线的数据库,保证数据库的正常运作。
五、法律责任
第四十条 若当事人的证书被盗并被他人用以欺诈,若该欺诈是在当事人将证书被盗的情形通知认证中心之前发生的,则因该欺诈而导致的一切损失由当事人自行承担。
第四十一条 任何使用电子签名的用户(或任何经该用户授权的代表),存在以下情况之一的,致使认证中心、或其代理人与缔约人蒙受赔偿责任、经济损失的,则由该用户赔偿该认证中心、认证中心及其代理人与缔约人一切损失及任何诉讼(包括合理的律师费在内的)各种费用。
(1)对事实有所欺瞒或不实陈述;
(2)未就重大事实加以揭露,倘该不实陈述或脱漏为过失或故意欺瞒认证中心、任何接受或使用该证书者;
(3)未能使用值得信任的系统以妥善保管其私人密钥,也未对该私人密钥可能遭破坏或盗用、遗失、泄漏、修改或未经授权的使用等情况,采取必要的防范措施等等。
第四十二条 认证中心可以依照中华人民共和国仲裁法成立认证中心仲裁协会进行行业自律性管理。
第四十三条 若签署者在进行网上商务活动时,发生身份确认困难以及由此引起的一切纠纷,可将事务及理由呈报认证中心仲裁协会,由认证中心仲裁协会作出裁决。
第四十四条 签署者不得将证书用于非法目的,包括侵害、干扰合约或预期的商业利益、不公平竞争、损害他人信誉及干扰或误导他人。同时签署者应为认证中心辩护、赔偿并使其不受此类干扰或侵权而造成损失或损害赔偿。
第四十五条 使用伪造、作废的证书,冒用他人的证书用于电子签名,进行诈骗活动,与他人共谋欺诈或有其他不诚实行为,将依法追究刑事责任。
第四十六条 认证中心的工作人员,违反国家规定,因严重不负责任,对电子商务身份作虚假认证或者提供其他虚假电子商务信息,致使客户作出错误决策,造成重大经济损失的,处二年以下的有期徒刑或者拘役;滥用职权造成重大经济损失的,处二年以上五年以下的有期徒刑;徇私舞弊造成重大损失的,处五年以上十年以下有期徒刑。[page]
第四十七条 申请人提供虚假材料,骗取认证证书,进行网上欺诈活动,情节较轻的,处以五万元以上十万元以下的罚金,认证中心直接负责颁发证书的工作人员未履行认真审核证书资料义务而造成证书签发错误的,处以五千元以上三万元以下的罚金;情节严重的,构成犯罪的,依照刑法的有关规定追究申请人和认证中心工作人员的刑事责任。
第四十八条 违反本法规定,故意制造或获得证书的行为,给他人造成损害的,应处以两年以下有期徒刑,处以二十万元的罚金,或二者并罚。
六、附则
第四十九条 由于不可抗力事件,因天灾、自然灾害、电脑或电信故障、法令修改、官方政府的行为(包括但不限于负责出口管制行政事务的机构所为的行为),或其它超出人力所能合理控制的原因,而致使电子签名受到严重破坏等,视情况而免除认证中心和签署者的法律责任。
第五十条 允许政府机关或部门、国家机关或法人团体承认电子文件,以电子方式和电子签名方式颁发与签署许可证、执照、合同等。
第五十一条 本法未作规定的,有关电子签名的法律责任,适用其他有关书面形式的签字与认证方面的法律、行政法规的规定。
第五十二条 本法自公布之日起施行。
(以上条款仅限是笔者的建议稿)
七、广东省电子商务安全认证管理办法(建议稿)
一、总则
第一条 为了规范电子商务安全认证活动,实行电子商务安全认证制度,使电子商务活动有安全保障,促进电子商务活动健康有序发展,根据国家有关密码管理、计算机信息网络管理和信息安全等法规,制定本办法。
第二条 在广东省境内从事电子商务安全认证活动,必须遵守本办法。本办法所称电子商务安全认证,是指为在电子商务活动中的有关各方提供数字身份证书(即电子身份证)服务的安全认证活动。
第三条 电子商务安全认证中心的电子认证包括电子商务认证活动和电子政务认证活动。
第四条 经广东省信息产业厅严格审查与批准,广东省工商行政管理局登记注册的广东省电子商务认证中心(也称为广东省电子商务认证中心)为广东省唯一的一家合法经营的电子商务安全认证中心。未取得审查批准与经营许可,任何单位不得从事经营电子商务安全认证活动。
第五条 广东省电子商务安全认证依照国家密码管理机构有关密码管理规定执行。
第六条 广东省电子商务安全认证依照国家授权的部门、公安、国家标准化主管部门等的有关安全技术和标准评测认证的相关规定执行。
二、安全认证管理
第七条 广东省信息产业厅是广东省电子商务安全认证中心数字证书认证服务的行政主管部门,依法对广东省电子商务安全认证中心实施监督管理,负责其审批、审计和认证业务监督等工作。
第八条 广东省电子商务安全认证中心是作为电子商务活动中立的、可信任的第三方,主要为参与电子商务活动的企业、机构、个人提供电子身份认证、数字证书签发、管理以及电子商务顾问咨询等服务;同时也承担广东省电子政务认证服务工作。
第九条 经广东省信息产业厅核准与许可,广东省电子商务安全认证中心可以建立其分支安全认证中心。
第十条 广东省电子商务安全认证中心可以跨地区,乃至跨国从事认证业务活动。
第十一条 广东省电子商务安全认证中心对申请证书的单位和个人所提供的相关材料必须进行审核。
第十二条 广东省电子商务安全认证中心有不得泄露证书申请单位的商业秘密和证书申请个人的隐私的义务。
第十三条 广东省电子商务安全认证中心若要变更经营服务项目、网站网址等事项的,应当提前三十日向原审核、发证机关办理变更手续。
第十四条 广东省信息产业厅会同工商行政管理局和公安、安全等有关主管部门,依法对广东省电子商务安全认证中心的运营和安全情况进行年度审查。
三、价格、商标和服务
第十五条 广东省物价局是广东省电子商务安全认证中心数字证书认证服务价格的行政主管部门。
第十六条 广东省电子商务安全认证中心在提供证书服务时,可以根据国家物价部门的有关规定、收取一定的费用。
第十七条 数字证书申请一般服务项目建议可以实行政府定价,特殊服务项目实行市场调节价。
第十八条 市场调节价由广东省电子商务安全认证中心与用户遵循平等自愿和诚实信用的原则协议确定。
第十九条 用户在申请数字身份证书服务时,必须提供真实资料,遵守相关操作规范,认准电子商务安全认证中心商标品牌。
四、罚则
第二十条 违反本办法的规定,未经批准,擅自从事电子商务安全认证活动,广东省信息产业主管部门分别会同公安、工商行政管理等部门责令其停止营业,没收违法所得,并处以相应的罚款。
第二十一条 安全认证中心泄露企业商业秘密或个人隐私等非公开信息,或利用这些信息从事危害国家安全,损害企业或个人利益的活动,情节严重,构成犯罪的,吊销认证中心营业执照,依法追究有关人员的刑事责任。本条款所列行为尚不构成犯罪的,广东省信息产业主管部门分别会同公安、工商行政管理等部门暂扣认证中心营业执照,没收违法所得,并处以相应的罚款。
第二十二条 电子商务安全认证中心和其他有关主管部门及其工作人员,玩忽职守、滥用职权、徇私舞弊,疏于对电子商务安全认证活动的管理,造成严重后果,构成犯罪的,依法追究刑事责任;尚不构成犯罪的,对直接负责的主管人员和其他直接责任人员依法给予降级、撤职直至开除的行政处分。
第二十三条 在电子商务安全认证业务活动中,参与各方违反国家相关法律、法规的,由有关主管部门依照相关法律、法规的规定处罚。
第二十四条 本办法由广东省信息产业厅负责解释。
第二十五条 本办法自公布之日起施行。
(以上条款仅限是笔者的建议稿)
八、广东省电子商务管理条例(建议稿)
第一章 总 则
第一条 为了加强我省电子商务领域的管理,规范电子商务领域的经营行为,维护电子商务市场的正常秩序,保障经营者和用户的合法权益,根据国家和我省的有关规定,结合本省实际,制定本条例。[page]
第二条 凡在本省行政区域内从事和使用电子商务服务业务的单位和个人,均应遵守本条例。
第三条 本条例所称的电子商务服务业务是指:通过计算机与互联网联网向社会提供电子化的事务处理业务、贸易业务以及电子商务安全认证的服务业务。
第四条 电子商务服务业务是指国家放开经营的一项电子商务业务,纳入社会信息化管理范围。广东省信息产业厅是本省行政区域内电子商务服务行业的行政管理部门,负责本条例的组织实施。工商、公安、物价、技术监督等部门,依照各自职责协同实施。
第五条 电子商务服务业务只限于具有法人资格的国有企业、事业单位或集体所有制企业经营。经营电子商务服务业务应按下列程序办理:
(一) 凭经营单位的上级主管部门批准文件,向广东省信息产业厅申报。
(二) 经审核同意后,领取广东省信息产业厅或信息产业部的经营批文。
(三) 凭经营批文向工商行政管理部门办理工商登记。
第六条 电子商务服务经营单位不得转让经营权,不得以任何形式将业务交由其他单位或个人承包经营。
第二章 电子商务服务业务与安全监督
第七条 广东省信息产业厅应组织编制电子商务业务发展规划,并将其纳入本地国民经济和社会发展规划及城乡总体规划,而且符合与满足电子商务全球性、无时空性等特点。
第八条 电子商务服务管理部门及其工作人员应严格遵守国家有关法律、法规,依法保护用户使用电子商务服务业务的自由和秘密,不得向任何单位或个人提供用户使用电子商务服务业务的情况,法律另有规定的除外。
第九条 在开展电子化的事务活动和贸易活动时,应同时向用户提供电子商务安全认证服务活动。
第十条 认证中心对用户使用电子商务安全认证服务业务的申请应及时受理,并按照规定程序提供及时、优质服务。
第十一条 提供电子商务安全认证服务的经营单位可以申报认定为高新技术企业,可以享受相关的税收优惠政策。
第十二条 电子商务服务业务经营单位应在经营范围之内进行经营,应当接受工商行政管理部门的监督和检查。
第十三条 从事电子商务服务业务的单位和个人应当接受公安机关的安全监督、检查和指导,如实向公安机关提供有关安全保护的信息、资料及数据文件,协助公安机关查处通过国际联网的计算机信息网络的违法犯罪行为。
第三章 电子商务产品价格与管理
第十四条 电子商务服务经营单位应向用户提供的服务产品,应经广东省安全检测部门、技术监督部门等部门的检验,经检验合格后,才能进行销售。
第十五条 本条例的电子商务服务业务实行有偿服务,经营单位可以按所提供的业务向用户收取费用。
第十六条 收费标准,可以实行政府定价,特殊服务项目实行市场调节价。
第十七条 政府定价按信息产业部和广东省物价部门规定的标准执行。
第四章 法律责任
第十八条 违反本条例第五条规定,未办理申报手续或未取得经营许可证,擅自经营电子商 务服务业务的,由广东省信息产业厅会同工商行政管理部门责令停止经营、没收违法经营所得。
第十九条 违反本条例的规定,擅自出租、转让经营权的,由工商行政管理部门依照有关工 商行政管理的法律、法规没收违法所得,处以罚款,吊销营业执照,并由有关主管部门撤销批准文件,吊销经营许可证。
第二十条 违反本条例的规定,被有关部门撤销批准文件、吊销经营许可证的,应在被撤销 批准文件、吊销经营许可证之日起10日内到工商行政管理部门办理变更登记或注销登记;逾期不办理的,工商行政管理部门依法予以处罚。
第五章 附 则
第二十一条 本条例未详尽之处,参照国家颁布的有关法律规定执行。
第二十二条 本条例自发布之日起施行。
