我国电子认证立法问题初探.pdf

湘潭大学 硕士学位论文 我国电子认证立法问题初探 姓名：郭海猛 申请学位级别：硕士 专业：国际法 指导教师：陈晓红 20060501 4 摘 要 随着通信、计算机、信息技术特别是网络技术的不断发展，国际互联网的全 球化热潮使人类社会进入了一个新的信息时代。由于国际互联网具有不受时间、 地域限制的特性， 一种与传统形态截然不同的通过国际互联网进行交易的电子商 务形式应运而生。电子商务作为一种新兴的无纸化交易手段，己被广泛地运用于 国内外的商务交易之中，并逐渐成为 21 世纪令世人瞩目的一个经济增长平台， 对全球经济一体化的迅速发展起到了重要的推动作用。 由于国际电子商务具有很 强的开放性，所以保证电子交易安全是参与电子交易双方首先要考虑的问题。本 文主要就我国电子认证立法问题进行初探性研究。 电子身份认证是电子商务健康运行的安全保障， 它所要解决的问题是电子商 务所依托的开放性网络的虚拟化带来的交易双方信任度降低的问题， 从立法高度 妥善解决此问题将对电子商务的健康发展起到不可估量的作用。因此，本文贯穿 了比较分析的研究方法， 结合国外的研究和立法成果来探讨我国电子认证的立法 问题，以期通过借鉴已有的立法经验，对我国电子认证法律制度和立法问题提出 一些学理性建议。文章包括五个部分：第一章，绪论；第二章，电子认证有关问 题概述；第三章，目前国内外电子认证的立法现状；第四章，电子认证的法律规 制；第五章，我国电子认证服务管理办法的分析及立法建议；结语。 关键词： 电子认证；电子签名；法律规制；立法建议 5 Abstract New millennium, new era. With the rapid development of communications, computer, and network technology, the globalization of internet brings the new communicational era to the whole world. Because of the advantage of immateriality, the internet is independent with the time and region, which results in the emergence of completely new pattern of commerceelectronic commerce. As a burgeoning pattern of non-paper commerce, the electronic commerce has been widely used in world commerce, and gradually become the outstanding pattern of commerce. For its character of open, two sides must think over the security of electronic commerce firstly. As a result , my essay will focus on the legislation of electronic commerce in China. The most fundamental and critical rule of electronic authentication is to guarantee the safety of electronic commerce. With the methods of compare and analysis, the thesis makes some exploratory suggestion for the establishment and improvement of our legal systems of the electronic authentication. There are five parts in the thesis. The first chapter is the preface. The second chapter is about the summarization of question related with electronic authentication. The third chapter describes the status and characters of global legislation of electronic authentication. The fourth chapter is about the regulations of electronic authentication. The last chapter analyzes the Measures of electronic authentication service and specifies suggestions of legislation. Epilogue. Key Words: Electronic Authentication; Electronic Signature; Rgulations of Electronic Authentication; Suggestions of Legislation 7 第一章 绪论 自上世纪 90 年代以来，以计算机网络和电子技术应用为依托的电子商务开 始在全球范围内得到日益广泛的应用。 但人们在感受电子商务比传统商务具有更 为便捷、高效、覆盖面广、交易费用低廉等明显优势的同时，也深深感到这种新 的交易方式在广泛应用过程中遇到的来自传统法律的障碍。 这种障碍首先体现在 以无纸化记载的信息代替以传统纸质为载体的信息是否具有法律效力的问题； 其 次是如何界定以数据文件在网络间传递的信息的原件及其保存的问题； 再次是电 子签名的问题，因为在电子商务中，传统的签名方式不可能被采用，人们必须创 造一种在网络上的签名方式，并且此方式要被法律确定为有效；最后是电子认证 的问题，电子认证的基本功能在于其能保证电子签名的有效性，认可性。而以上 四个问题如果不能取得法律上的说法，电子商务就难以取得长足的发展。目前， 世界各国对于电子商务的立法给予了高度关注。 二十世纪 90 年代中期以后，国际上就开始出现了对电子签名和电子认证问 题的法律研究，而相关的立法活动发展也十分迅速。从第一部电子签名法 1995 年美国犹他州数字签名法 （Utah Digital Signature Act）到 2001 年 联合国国际贸易委员会（以下简称贸法委）审议通过的电子签名示范法 ，全 球已有 60 多个国家在这一领域里里进行了积极的探索，制订出适合国情的相关 立法，赋予电子签名以法律效力并建立起完整的电子认证法律制度。 我国的电子认证和电子签名法律研究始于上个世纪末， 以张楚先生为代表的 一批国内学者首先对各国的立法成果进行了研究， 并在他们的多部论著中基本构 架起了电子签名法律体系，然而与此不够协调的是，我国电子认证的立法则稍显 滞后。2004 年 8 月 28 日，十届全国人大常委会第十一次会议表决通过中华人 民共和国电子签名法(以下简称)，它是我国第一部真正意义的电 子商务法，是我国电子商务发展的里程碑，它的颁布和实施必将极大地改善我国 电子商务的法制环境，标志着我国的电子商务从此实现了有法可依，从而也规范 了电子认证市场的运作。与电子签名法一同实施的有电子认证服务管理办 法(以下简称)以及电子认证服务密码管理办法 ，该管理办法 可以在局部范围内解决具体问题，但是其立法层次不高，具有一定的局限性。我 们应注意到，这些法律和规章也有不尽周全之处，比如对电子认证市场准入、退 出、电子认证标准以及与境外电子证书相互承认等问题的规定还有待完善。 8 第二章 电子认证有关问题概述 2.1 电子认证与电子签名的含义 电子认证是进行电子商务，确认交易主体身份与基本信用的基础，为整个 电子社会提供基本的运行环境，无论是电子商务还是电子政务都离不开它。电子 认证有广义和狭义之分。广义的认证（Authentication）即鉴别，主要包含对事 物真伪的辨识的意思。它既可能是第三人的鉴别，也可能是当事人之间的相互鉴 别。狭义的认证，特指由从事认证服务的第三方机构所进行的鉴别。据此，本文 所指的电子认证是指在开放的网络环境下，由第三方机构所提供的鉴别服务。 在电子认证中，涉及三个主体：一是认证机构，又称核证机构，它是专门为 客户颁发数字证书、应社会公众的要求出示有关客户的身份、资信、公开秘匙等 证书信息，以便社会公众能够据此对其客户进行识别、辨认。其所承载的功能决 定了它只能是独立于特定当事人之间（即其客户及其交易对方当事人）的中介机 构；二是证书用户或证书持有者，即向认证机构申请数字证书并获得认证机构为 其颁发数字证书的人；三是社会上不特定的第三人，即信赖认证机构所颁发的数 字证书的不特定的社会公众。 电子签名，是指数据电文中以电子形式所含、所附用于识别签名人身份并 表明签名人认可其中内容的数据。 电子签名也称为“数字签名” ，它并不是书面 签名的数字图像化，而是公开秘匙加密技术的另一类应用。利用一种电子代码， 收件人不仅能在网上验证发件人的身份和签名， 还能验证文件的原文在传输过程 中有无变动。如果有人想通过网络把一份重要文件发送给他人，收件人和发件人 都需要首先向政府批准的一个许可证授权机构 （CA） 申请一份加密的电子许可证， 这份证书包括了申请者在网上的公共钥匙，即“公共电脑密码” ，用于文件的验 证。它的主要方式是：首先，按双方约定的算法（Hash 算法） ，报文的发送方从 报文文本计算得到一个固定位数的报文摘要，在数学上保证，只要改动报文中任 何一位，重新计算出的报文摘要值就会与原先的值不相符。然后，将该报文摘要 值用发送者的私人秘匙加密，连同原报文一起发送给接收者，而产生的报文即称 电子签名。最后，接收方收到电子签名后，用同样的算法对报文摘要进行计算， 然后用发送者公开秘匙进行解密，并同解开的报文摘要值相比较，如相等则说明 报文确实来自所称的发送者。可见，电子签名能够实现对原始报文完整性的鉴别 和不可抵赖性。 中华人民共和国电子签名法 ，第一章第 2 条. 9 随着计算机在中国的普及与应用，中国的电子商务应用也日益广泛（中国电 子商务的交易总额在 2004 年达到 4400 亿元人民币，2005 年将激增至 6200 亿元 人民币 ） ，电子签名在整个电子商务的运行中起到了核心作用；而电子身份认证 则是电子商务健康运行的安全保障， 它所要解决定问题是电子商务所依托的开放 性网络的虚拟化带来的交易双方信任度降低的问题， 从立法高度妥善解决此问题 将对电子商务的健康发展起到不可估量的作用。 2.2 电子认证与电子签名的功能和特征 无论是在传统的商务活动中，还是在电子商务活动中，都存在着认证的问题， 只不过在电子商务活动中，认证的作用更为重要、要求更高。电子商务所依赖的 国际互联网具有高度的开放性、全球性和高技术性，因此，交易的安全性就是参 与交易的企业和个人需要考虑的首要问题。 电子认证为交易安全与保密等问题提 供了解决办法，其功能主要体现在对外防止欺诈、防止否认、信用公示、与传统 商务认证良好的结合四个方面： 第一、防止欺诈。它是指防范电子交易当事人以外的人故意入侵而造成的风 险。交易安全是参加交易各方所追求的最低限度的目标，交易制度应当使交易各 方的风险降低到最低水平。 认证机构通过向其用户提供可靠的目录并保证证书名 单上的用户名字与公开密匙的真实性，从而在交易当事人之间建立信心，进而推 广电子商务的广泛应用。防止欺诈的途径可以从交易前后两个环节加以防范。在 交易发生前，对对方身份的真实性、合法性予以确认，是防范交易风险的有效手 段，因为事前的防范比事后的惩罚成本要低得多。 第二、防止否认。主要是指防止对交易行为和交易结果的否认。换言之，它 是认证服务面对电子商务中不得否认（nonrepudation）这一技术要求所必须要 达到的法律效果。实践已经表明，无论交易风险防范制度多么健全，交易人多么 小心，交易风险都不可能完全消除。因此，对在交易中蒙受不合理损失的一方， 由另一方予以补救就是十分必要的。通过电子认证，可以为交易双方提供证据， 从而使当事人很难否认其行为。认证机构所提供的认证服务，一方面可向电子交 易双方当事人提供大量预防性的措施，以减少一方当事人试图抵赖发出、收到某 一电子意思表示并欺骗另一方当事人的可能性；另一方面，在交易当事人之间发 生纠纷的情况下，也能及时提供有效的解决办法。这种风险防范就是事后防范。 为了使事后防范能够进行， 认证制度与方法就必须保证参与交易各方对自己的交 易行为和交易结果不能否认，以保证对过错方责任追究的有效性。 第三、信用公示。与一般的认证不同，电子商务中的认证，特别是身份认证 胡可.今年中国电子商务交易总额将增至 6200 亿EB/OL. 2005-04-05/2005-11-01. 10 和与之相关的认证，还应当公示参与交易各方的信用水平。与传统的商务相比， 尽快了解交易各方的真实信用水平有着重要的意义。 因为对于参与交易的任何一 方来说，保证交易的成功比蒙受损失之后获得补偿更为重要。影响交易成功与否 的因素不仅取决于参与交易的各方的身份是否合法、真实，更取决于交易方的能 力与交易要求的匹配状况，即交易方的资金实力、生产能力、合同履约能力和诚 信水平等。因此，认证证书不仅要标示交易人真实合法的身份，更有必要标明交 易人的交易能力（包括交易水平和信用水平在内） 。如果说电子认证要满足的两 项主要功能主要依靠技术手段的话，那么这一作用的实现则必须依靠制度手段、 认证机构的合理设置与责任的落实来保证了。 第四、与传统商务认证良好的结合。在互联网上开展的交易活动，除了少数 数字化的商品之外， 绝大多数电子商务必须与传统商务中的一些活动紧密结合起 来才有实际的意义。电子商务有其特定的内容，但是要作为一种对交易各方都产 生实际价值的商务活动，是不可能离开传统商务活动的。那么，电子商务的认证 服务就必须与传统的认证服务紧密地结合起来。如果在电子认证中不注意这一 点，二者割裂甚至互相矛盾冲突，电子商务就可能不是全面地提高效率，反而有 可能降低交易的效率，甚至是造成交易的混乱。 就单一电子认证机构条件而言，电子认证的工作原理是：首先，按照法律的 规定，设立具备法定条件的独立主体认证机构；其次，申请者向认证机构提 出要求颁发数字证书的申请并按照认证机构的要求提交申请书、有关身份证明 （证件） 、营业执照、公开秘匙、资信证明等信息；再次，认证机构对申请者所 提交的信息进行审查核实后， 利用自己的电子签名对用户的身份信息和公开秘匙 进行签名产生数字证书，并为其颁发记载有该客户身份证明、公开秘匙等信息的 数字证书；最后，将证书所有者的上述证书信息存档并建立起相应的客户证书信 息库， 以公社会公众登陆查询， 当证书所有者的交易对象对证书信息产生疑问时， 可以借助于该证书信息库查询核实，从而防止假冒和保障交易安全。 电子签名的功能实际上表现在三个方面：一是用电子媒介代替纸质媒介； 二是确认当事人的身份，起到了签名或盖章的作用；三是提高了电子文本传输的 安全性。这三点作用的最终结果是提高效率、节约成本。在企事业中，对于往来 的需审批的重要文档，必须保持其安全、有效，并要求留下审批人员的意见和签 名，如果采用快递、传真等传统方法，将造成公文流转缓慢，致使办公效率低下， 而电子签名在安全体系的保证下，将显著地提高办公效率：联想集团在未采用电 子签名之前， 联想庞大的 MIS 系统中， 一份合同的生效需要通过接收传真、 确认、 盖章、回函（传真或 EMS 快递） ，总耗时大概在两周左右，而采用电子签名系统 之后，一份合同从提交到生效，整个过程可在半天内完成。 据有关资料显示， 美国三大汽车制造商联合在网上进行采购，每年网上采购额近 3000 亿美元，由 11 此节约的成本高达 100 亿美元。业内人事分析认为，通过电子商务至少可以为企 业节约超过 10的成本。比如思科网络公司（Cisco）成功地将所有的销售与订 单都放在了网络中，并在过去二十年中为公司节约了几十亿美元的成本开支。 与亲笔签名相比，电子签名主要有如下特征：一是签署比较复杂。这并不 是指签署的具体过程多么复杂，而是就其所需条件和后果而言。签名人需要相应 的硬件和软件设施，而不是一张纸和一支笔就能解决问题；签署的程序对设计者 来说可能容易，但对普通用户而言往往是复杂难懂；此外，由于对程序的陌生和 不需要亲临现场，签名人并不总是象在亲笔签名时那样清楚知道行为的后果。二 是不具有可靠的持久性。从物理层面看，电子签名只不过是储存于个人电脑或服 务器的硬盘、软盘或其他介质上一系列信息位和字节，不能以书面形式储存，虽 然书面文件也不是绝对可靠，但稍加注意还是可以长久保存的。电子签名的持久 性除取决于保存者的细心程度外，还取决于所储存的介质的持久性、所用软件的 持久性等多方面因素。三是不能直接辨别。对亲手签名可凭视觉辨别；对电子签 名则无法通过感观直接辨别，需凭借一定的系统和程序来鉴别。不过，在一定系 统中，按一定程序进行其鉴别速度倒要快得多，而且也较可靠。四是原则上不具 有独特性。一个人只有一种亲笔签名的样式（虽然字迹可能会发生变化，但至少 在一定时期内相对固定，况且变化可凭字迹判断） ，但他可能有多种电子签名的 方式，每使用一个信息系统，就可能配发一个。与生物特征相联系的电子签名例 外，因为签名人的生物特征是独特的，但这种方式因其本身的缺陷和人们的心理 和信仰习惯方面的原因，未被普遍接收。 正是因为电子签名具有上述特征，必须构建相应的电子认证法律制度来保 障电子签名得到很好的运用。 2.3 电子认证与电子签名的区别和联系 我们可以通过电子认证和电子签名的产生背景来认识两者之间的区别和联 系。电子签名的出现是应电子商务的发展的要求，它能使电子商务这个经济平台 最大限度地提高效率、产生更大的经济效益、节约更多的成本，从而促进电子商 务高速、快捷的发展；而电子认证则是为了保证电子签名的有效性而产生的一种 服务，它主要是确保电子签名人身份的正确性，以此来保证电子签名的有效性与 合法性。因此，我们可以这样概况两者的实质关系：电子签名是电子认证产生的 前提条件，电子认证则是电子签名的有效保障，两者是相互区别、相互一致的关 系，不能把二者割裂开来。 两者在目的、功能、应用范围方面均存在相当差异：一是电子签名的目的在 于保护数据电文本身的安全，使之不被篡改、仿冒或否认；而电子认证，则主要 着眼于确认电子签名与持有人身份的唯一对应性，使电子签名（证书）持有人与 12 实际数据电文的发、收人相一致。认证机构在网络通信中扮演的是公正第三人 （Entrusted Third Party，ETP）的角色 ，即通过认证机构保管公开密匙、核 发电子签名，使得证书信赖方得以向电子认证机构检验查实，信赖电子签名的法 律效力，确认证书使用者的身份，从而确保网络上的交易秩序和安全；二是电子 签名具有以下四种功能： （1）网络通信当事人之间的身份鉴别，防止他人冒充特 定当事人从事欺诈行为； （2）保障数据电文内容的完整，即相关数据信息没有遭 到未经授权的修改；(3)确保数据电文内容的保密性，即相关数据信息没有遭到 未经授权的读取； （4）保证数据电文内容的不可否认，即发出方不可否认发出数 据电文这一事实。 而电子认证的功能则是： 有效的管理、 确认和分发电子签名 （证 书） ，确保电子签名与持有人的唯一对应；三是从应用范围来看，电子签名可适 用于封闭网络和开放性网络，而电子认证则主要运用于开放性网络；四是两者的 立法侧重点有所不同。电子签名实际上是一种技术上的工具性保障。法律规范对 其所作的调整， 主要表现为对能够发挥书面签名基本功能的电子签名技术予以认 定，赋予其法律效力。这实际上是对技术标准的认定，具有较强的客观性。而电 子认证则主要着眼于认证机构的建立，发挥主体的身份鉴别，将主体与其发出的 意思表示相联系等作用。因此，电子认证是一种组织上的保障，侧重于构架一定 的社会组织结构，以配合电子签名的使用。 虽存在较多的差异，但二者之间的联系却相当紧密：电子签名主要是用于保 证电子意思表示本意的安全，使之不被否认或篡改，是一种技术手段上的、工具 性的保证，主要用于数据电文本身的安全，使之不被否认或篡改。法律规范对之 加以调整，这实际上是对技术标准的认定。而如何解决公匙的确定性以及私匙持 有者否认签发文件的可能性问题，则是电子签名技术本身无法解决的问题。也就 是说，其中有一个解决私匙持有人信用度的问题，其中有两种情况：一是秘匙持 有人主观恶意，有意否认自己的行为；二是客观原因，也即发生秘匙丢失、被窃 或被解密的情况，使发件人和收件人很难解决归责问题。整个电子交易的过程中 也就需要一个既有权威性和公信力的第三方制作的电子认证以证实交易当事人 的身份和电子信息的真实性、完整性和不被否认性，这就是电子认证存在的必要 性。 由此可见，电子签名是开放性电子商务活动发展的要求，是电子认证服务的 前提， 而电子认证为网络交易提供信用服务， 保障着电子签名及电子商务的安全。 齐爱民.电子合同的民法原理M.武汉:武汉大学出版社,2002:63. 13 第三章 目前国内外电子认证的立法现状 3.1 国外电子认证的立法现状 电子认证作为电子签名法的重要组成部分之一， 是随电子签名法的发展而发 展的。据不完全统计，目前全球已经有 20 多个国家通过了涉及电子认证方面的 立法，另外还有大约 13 个国家已经拿出了草案，目前正在进行立法程序。从目 前的立法状况来看， 电子认证法主要集中在欧美国家和国际组织钟， 其中以美国、 联合国和欧盟的立法较为典型。 3.1.1 美国 美国电子商务起步最早，在其国际与国内电子签章法第三篇“国际电 子商务的促进”中，明确规定了国际交易中使用电子签章的原则，并要求对来自 其他法域的电子签章及确认方法采取非歧视态度， 即只要符合法令中的一般要求 就承认外国的认证， 并允许在跨国交易中适用。 因此， 美国不仅是“国际互联网” 的开创者，同时也是最早对网络立法的探索者，它于 1995 年通过了世界上第一 部电子签名法犹他州数字签名法 。目前，美国各州涉及电子认证的立法 比较多，美国各州在犹他州数字签名法颁布之后，陆续出台的电子认证法案 有：佛罗里达州的电子签名法 （1996 年） ，华盛顿州的电子认证法 （1996 年） ，密西西比州的数字签名法 （1997 年） ，密苏里州的数字签名法 （1998 年） 俄勒冈的 电子签名法（1997 年） ， 西弗吉尼亚州的 电子签名认证法（1998 年） ，宾夕法尼亚州的电子交易法 （1999 年） ， 加利福尼亚州数字签名法 （California digital Signature Regulations） 、伊利诺斯州电子商务安全 法 ，这些法案都详细、具体地规定了认证机构的责任。 在联邦立法层面，美国联邦立法机关的工作进程，在某种程度上反映了美 国联邦政府对电子商务的政策，两者有着内在的互动联系。1997 年克林顿公布 全球电子商务框架提出来五项原则，其核心是淡化政府在电子商务中的主导 角色，以“市场导向”为基础。但是鉴于电子签名在电子签名在电子商务中有无 可比拟定重要性，联邦众议院认为有必要对电子认证做出统一规定并提出来草 案。经国会批准后，2000 年 6 月 30 日，时任总统克林顿在费城正式签署了国 际合国内电子商务签名法 。该法充分体现了联邦政府的立场，采用了“最简式” 立法模式，坚持了“技术中立”原则，规定“许可交易双方为其交易选择适当的 确认技术和履行方式，并确保此种技术和发行方式将得到承认并执行。 ” 除此之外，美国民间学术机构的电子认证法律的编纂活动也比较积极。美 14 国律师协会在电子签名和电子认证方面的工作起步最早。1991 年，美国律师协 会下设的信息安全委员会就着手拟订数字签名指南 （以下简称为指南 ） 。 前后历时 5 年，于 1996 年 8 月 1 日公布了该指南 ，正如指南中指出的“在 很大程度上， 指南专门为认证机构、签署人、证书信赖人和信赖根据证书可 核实的数字签名的人设立相互关联的法律义务” 。但是，由于该指南没有经 美国民间学术机构的代表机构及主管委员会、 科学技术理事会及它的电子商务及 信息技术分部的批准或签署，因此指南仅仅是信息委员会的“一家之言” 。 尽管如此， 指南对美国较早指定电子认证法的一些州乃至世界其他少数国家 的影响力还是巨大的。美国另一重要的民间学术机构是全国统一州法委员会 （NCCUSL） 。美国统一州法委员会曾制定统一商法典（UCC） ，对美国各州商法 的统一做出过巨大的贡献。全国统一州法委员会（NCCUSL）的工作是在美国各州 电子认证立法发展到一定阶段才开始的。因为各州立法模式不一，给跨州电子商 务带来了负面影响，于是作为协调州法的重要几个，全国统一州法委员会 （NCCUSL）当然不让地开始致力于制定新的适应电子商务的文件。目前为止，全 国统一州法委员会已取得两项显著成果：一是随着电子商务时代的到来， 统一 商法典面临着重大挑战，因此全国统一州法委员会与美国法律学会（ALL）共 同草拟统一商法典的 Article2B“许可合同”来规范通过互联网进行的信息 产品的交易， 并于 1999 年 4 月 7 日宣布将之命名为 统一计算机交易法 （UCITA） ， 二是制定了统一电子交易法（UETA） ，力图为美国各州建立一个统一的电子商 务规范体系。这两项文件已于 1999 年 7 月底获得通过，并建议各州在立法中采 纳。其中，UETA 与电子认证的关联最为密切：它完全坚持了“技术中立”原则， 除了赋予电子签名以法律效力以外， 仅规定商业上合理的安全程序标准作为电子 交易的前提，对数字签名技术与身份认证所引发的第三方机构 CA 的法律问题没 有涉及。 由此，美国的电子认证立法不仅起始较早，立法目的也较为明确，无论是 州际立法、联邦立法还是民间学术机构对电子认证立法，他们都坚持了“技术中 立”的原则，突出强调了电子认证对电子签名的重要性以及必要性。 3.1.2 联合国 联合国国际贸易法委员会作为联合国的专门研究机构，一直致力于消除法 律障碍，促进国际贸易的发展。1996 年联合国贸法委的联合国电子商务示范 法为世界各国的电子商务法构建了基本框架，并对世界各国的电子商务立法产 生了重大的影响和巨大的推动作用。但由于该法中第 7 条 过于简单，对已在实 阚凯力,张楚.外国电子商务法M.北京:北京邮电大学出版社,2000:434-435. 电子商务示范法第 7 条：法律要求有一个人的签名,对于一项数据电文而言,倘若情况如下,即满 足了该项要求.a、使用了一种方法来鉴定该人的身份，并且表明该人认可了数据电文内的信息；b、 根据任何相关协议,所用方法是可靠的,对生成活传递数据电文的目的来说也是适当的. 15 践中出现的法律争端缺乏可操作性，并且 UNCITRAL 认识到电子认证问题是整个 电子商务的基础与核心。因此在电子商务示范法出台后，联合国贸法委将工 作的重点放在制定电子签名和认证机构的法律规范上。在 1997 年，贸法委委托 其属下的电子商务工作组起草“电子签名示范法”。在 2001 年 6 月 25 日至 7 月 13 日贸发会第 34 次会议上， 电子签名示范法被审议通过。 电子签名示范 法分为两个部分，第一部分是正文，对整个电子签名领域的基本问题都作了规 定，共 12 条；第二部分是立法指导意见。 电子签名示范法（草案） 是对电 子商务示范法的重要补充，同时又是“一份单独的法律文书”。 电子签名示范法（草案） 关于电子认证方面的特点有两个，一是用“认 证服务提供者”的概念取代理“认证机构”的概念，这样就避免了在认证机构的 定义、作用和地位上作过多的纠缠；二是对跨国认证问题做出来原则性的规定。 该示范法第 12 条用“基本等同的可靠性”这一概念来判断外国证书和电子签名 的法律效力。同时规定在判断是否“基本等同的可靠性”时，应“考虑到公认定 国际标准或其他任何有关的因素” 。这种规定具有适当地灵活性，但又无不反映 出协调上的无奈。 联合国在电子认证方面的立法规定对国际电子商务的稳定运行起着重要的 保障作用， 而且其立法原则和方式对世界各国的电子认证立法起着重要的指导意 义。 3.1.3 欧盟 欧盟在电子商务发展战略中的一项重要目标始终是在 15 个成员国范围内 规范电子商务活动。这一内容体现在欧盟及其成员国自 1995 年以来所制定的一 系列电子商务发展规划和具体的立法实践中。欧盟与 1999 年 11 月 30 日通过了 关于建立电子签名共同法律框架指令 （以下简称电子签名指令 ） ，同年 12 月 13 日由欧盟向成员国公布。 电子签名指令旨在为电子签名以及认证机构的 认证服务创设一个法律框架，以确保共同市场内电子商务有序化。此外，欧盟在 2000 年 5 月 4 日宣布正式通过欧盟内部市场电子商务信息社会服务法律观点 指令 (European Parliament and Council Directive on certain legal aspects of Information Society services, in particular electronic commerce). 根据欧盟共同体条约（the EC Treaty）第 251 条规定，各成员国必须在 18 各月 内调整内国法律，以执行本项指令。“电子商务指令”对电子认证机构准入、电 子认证机构的责任的也都进行了规定。 可以说，欧盟在指定有关电子认证立法文件时注重其成员国的现实状况，指 定了较为科学合理的电子认证法律，保证了欧盟各国电子商务的稳定运行。 张军江.联合国贸发会评介R.人民法院报,2001. 戴豪君.欧盟通过内部市场电子商务指令J.台湾资讯法务透析,2000,7:51-53. 16 3.2 我国电子认证立法背景及分析 任何法律的产生都来源于实践的需要， 作为我国信息化领域里第一部法律的 电子签名法亦是应“电子商务”的发展而出现的。 随着电子商务、电子政务的发展，电子签名正在得到广泛地应用。据有关资 料显示，世界电子贸易从 2000 开始，以每年翻一番的速度增长，2003 年全球通 过互联网进行的贸易额达到 1.24 万亿美元，去年更是达到 6.5 万亿美元。我国 电子商务发展迅猛，特别是在加入世贸组织后，电子签名的应用也愈加广泛。据 粗略统计，目前我国网上银行个人客户已超过 4000 万户，企业客户超过 10 户。 另据 CNNIC(中国互联网络信息中心)统计，目前我国网民已超过 9400 万，其中 有 40.7%的网民在一年之内有上网购物活动， 2003 年网上商品销售总额达 218.56 亿元，而我国电子商务的交易总额在 2004 年更是达到了 4，400 亿人民币。 然 而， 在这些网络经济活动中， 参与活动的各方可能在整个过程中自始至终不见面， 传统的签名方式很难应用于这种网上活动。同时，通过计算机直接录入的文字、 图形、符号无法辨别身份的真实性，而且，一组数据经电子邮件的传送，中间的 链接可能要经过十几甚至几十个节点，其交易的安全性令人担忧。因此，如何使 彼此的要约、 承诺具有可信赖性， 如何保证数据电文在传输过程中不被他人篡改， 进行一些违背当事人意愿的行为，是网络面临的一个非常重要的问题，于是电子 签名的立法就显得尤为迫切。 2004 年 8 月 28 日，十届全国人大常委会第十一次会议表决通过电子签名 法，并于 2005 年的 4 月 1 日正式实施该部意义深远的法律。我国的电子签 名法首次赋予可靠的电子签名与手写签名或盖章具有同等的法律效力，并明确 了电子认证服务的市场准入制度。 电子签名法是我国第一部真正意义的电子 商务法，是我国电子商务发展的里程碑，对我国信息化的发展来说，意味着一个 新时代的开始，从这一天起我国信息化将告别过去无法可依的历史。它的颁布和 实施必将极大地改善我国电子商务的法制环境， 促进安全可信的电子交易环境的 建立，从而将大力推动我国电子商务的发展。客观上， 电子签名法为我国电 子商务的发展起到了积极的促进作用， 但目前中国的电子商务还处在初步发展阶 段，很多领域我们还未可知，或者说知之甚少，相关法律条文也只是基于目前的 认识所做出的规定。 由于电子商务发展的核心在于公信制度 的建立，因此，电子认证是电子签 杨柳.全球化催生电子签名法J.望新闻周刊,2004,15:28-29. 中国 CNNIC(中国互联网络信息中心)统计报告EB/OL. http：/ 公信制度的建立由两个层面构成，一是电子签名确定，即由主体自身保证交易主体的真实性，二是电 子认证确定，即由权威机构对交易主体的真实性进行确定。双管齐下保证标的物和主体之间联系的必 然性，借此保证交易安全。就交易的社会性而言，可以说电子认证比电子签名更高一个层次。 17 名发展到一定阶段的必然产物，而事物的发展趋势总是会向着更高的层次发展。 在电子签名法制定前，国内已经由一百多家的电子认证服务机构及已发出上 百万张电子证书，这些认证机构由行业的、区域的，也有完全市场化的；这些电 子证书有发给企业的、个人的，也有发给服务器的，那么如何面对这些“既成事 实” ，对现有的认证市场进行管理和规范就成了政府关注的一个问题。 一些在电子认证领域已经积累了一定实际经验的省市则开始探索出台相关 地方性法规，规范本地认证机构的行为。这些法规主要有：海南省于 2001 年 4 月 1 日通过了海南省数字证书管理试行办法，2001 年 10 月 31 日，海南省 信息产业局颁布了海南省数字证书认证机构资格认定办法，上海市于 2003 年 1 月 1 日起开始实行的上海市数字认证管理办法以及广东省于 2003 年 2 月 1 日出台的广东省电子交易条例等。 其中，广东省电子交易条例是 全国首部有关电子商务管理方面的法规。该法规对确立电子签名的法律地位、规 范认证机构的管理、规范电子交易服务提供商的管理作了规定。 基于以上客观情况以及电子签名法的出台实施，从 2004 年 10 月中旬 开始，信息产业部信息化推进司负责牵头，着手起草电子认证服务管理办法。 在大量调查研究的基础上，经过多次的讨论、论证，完成了一稿又一稿，最终在 2004 年的 12 月形成了征求意见稿，征求了有关部门和专家意见后，于 2005 年 的 2 月 8 日，也即农历的大年三十，赶在新年钟声敲响前顺利通过信息产业部第 十二次部务会议审议，将电子认证服务管理办法予以发布。制定的管理办 法法律依据是电子签名法的第 25 条，该条规定：国务院信息产业主管部 门依照本法制定电子认证服务业的具体管理办法， 对电子认证服务提供者依法实 施监督管理。 表面上看以信息产业部第 35 号部令形式出现的管理办法只是 一部部门规章，但因为它是国家法律特别授权制定的，是与电子签名法配套 同步实施，具有重要法律效力和作用，所以管理办法又有别于一般的部门规 章。我国管理办法的出台有利于统一认证市场，确保电子签名法的顺利 实行。 目前，我国的管理办法只是作为电子签名法施行的配套法规，没 有在更高层次上进行立法，根据这一发展趋势，对电子认证在更高层次上立法已 经逐渐成为电子商务的发展要求。此外，我国管理办法的出台，主要基于以 下几个因素：一是由于我国电子认证服务业还处于起步阶段，靠市场引导与行业 自律的条件还不具备， 政府部门有必要对从事电子认证服务的机构实施适度监督 管理；二是政府部门如何进行适度监管，还需要在实践中进行探索，要边实践边 邹振东，高佳.简析电子签名法实施中若干问题EB/OL. 2004-08-19/2004-10-24. 第十届全国人大常委会第十一次会议表决通过的中华人民共和国电子签名法第 25 条,2004 年 8 月 28 日. 18 总结经验；三是不能等到条件完全成熟后再出台相关法律，必须提前制定，以保 证电子签名法的顺利实施；四是从现实情况看，在电子签名法出台之前， 我国已存在着很多家不同类型、 各种性质的认证机构在从事着不同程度的电子认 证服务，这些机构普遍存在着无法律规定、无标准规范、无主管部门的“三无” 问题， 也亟需对它们进行规范。 五是目前存在各种有关电子认证的问题比较复杂， 诸如电子诸如交叉认证 、混合认证、境外机构认证、行业规范、诚信（在我 们国家经济社会中，诚信是一个重要的问题，对电子商务而言，诚信的问题更是 一个核心、一个关键，是电子商务发展的一个生命线 ）等问题亟待解决，而电 子签名法中涉及解决电子认证问题的法律条款不能有效地得到适用。因此，电 子认证的相关法律制度亟待出台。 综上所述，我们不难得到这样的结论：我国管理办法的制定经历了一 个从地方到全国、从分散到统一的过程，而这一过程更说明了电子认证对电子 签名法的顺利施行的重要作用和意义，对电子认证立法也就成为电子商务发展 的时代要求。 交叉认证是指两个认证机构互签对方的公钥，使得各自签发的用户证书可以被各自的用户正确校验。 所谓混合认证关系，是指认证机构是主营其他服务的，而认证服务只是其衍生业务。譬如，金融机构 颁发给其客户的数字证书，同样可用于其他的在线交易认证。有的学者称之为“品牌证书”。在此种 认证关系中，认证机构不是单纯捉供电子签名认证服务的，而是在认证服务的同时也以提供交易辅助 条件的形式参与证书用户的交易。如银行在向用户提供认证服务的同时，还提供支付、结算等服务。 这种混合型认证关系，比单纯的认证服务关系要复杂得多，它涉及到多种法律关系的相互交叉与相互 制约，在分析此类案例时，应注意辨别不同性质的关系及其规范的适用。 电子商务需要解决诚信问题EB/OL. 2005-5-10/2005-5-25. 19 第四章 电子认证的法律规制 4.1 电子认证涉及的法律关系 简单的电子认证一般只涉及到认证机构、证书所有者和证书信赖人三方当 事人，其中所涉及的法律关系包括三种：证书服务关系、证书信赖关系和证书所 有者与证书信赖人的法律关系。 4.1.1 证书服务关系 证书服务关系，又称认证服务关系，它是基于双方当事人之间的认证服务 合同而产生的合同关系。认证机构在证书服务关系中，其当事人包括：一方是证 书所有者或证书用户，即通过申请被获准签发数字证书的个人、企业等；另一方 是认证机构， 即对外为证书用户提供有关其电子签名、 身份、 资信状况证明服务， 以便该证书用户能够顺利地进行网络活动。在此中法律关系中，各方当事人的权 利、义务分别是： 证书所有者的权利：要求认证机构为其颁发数字证书的权利，即在申请 者提交有关信息并交纳服务费用后，有权要求认证机构为其签发数字证书；要 求认证机构为其提供对外有关认证服务的权利，在认证机构签发数字证书后，有 权要求认证机构提供与其证书相配套的服务，包括在自己的秘匙丢失、失效时有 权要求认证机构中止或撤销其证书 ；服务暇疵赔偿请求权，即一旦由于认证 机构的失误导致自己受到损失时，有权要求认证机构赔偿损失的权利 。 证书所有者的义务：真实陈述有关证书信息的义务，即根据颁发数字证 书所需要提交的有关信息，证书所有者有义务提供这些信息，并保证其真实性 ； 交纳认证服务费的义务，这是其最基本的合同义务；私匙妥善保管或保密义 务，即证书所有者有义务保证其私匙不被第三人知悉或丢失的义务，一旦因此而 造成损失的，由其自己负责 ；信息变更的及时通知义务，即一旦自己与证书 有关的信息，如私匙丢失、泄漏、被盗等，即应及时通知认证机构，否则，由此 造成的损失，由其自己负责 ；使用安全、可靠的系统生成秘匙对的义务，即 如果秘匙对是由证书所有者自己利用其信息系统生成的话， 则其应保证所使用的 信息系统的安全、可靠 ；使用安全通信系统的义务，即证书所有者在使用自 联合国贸法委电子签名示范法第 12 条第一款;美国犹他州数字签名法第 306、307 条;新加坡 电子交易法第 28、30 条. 联合国贸法委电子签名示范法第 12 条第 2 款. 联合国贸法委电子签名示范法第 9 条第 1 款（A） ；新加坡电子交易法第 37 条； 中华人民共 和国电子签名法第 22 条. 联合国贸法委电子签名示范法第 9 条第 1 款（A） 、 （B） ；新加坡电子交易法第 39 条. 联合国贸法委电子签名示范法第 9 条第 1 款（B）及第三条；新加坡电子交易法第 40 条. 新加坡电子交易法第 36 条. 20 己的秘匙进行电子签名时，应该保证自己所使用的信息系统的安全性，否则，由 此造成的损失自己负责 ；对因自己的不实或虚假陈述而给认证机构造成的损 失负赔偿责任 。 认证机构的权利：收取服务费的权利，这是最基本的合同权利；要求 证书所有者提交有关信息并保证这些信息的真实性权利 ；中止、废止或撤销 证书的权利，即有权根据证书所有者的请求或根据情势中止、废止或撤销证书 ； 损失赔偿请求权，即在由于证书所有者的过失给自己造成损失的，有权要求其 赔偿损失。 认证机构的义务：颁发数字证书的义务；使用安全、可靠的信息系统 保存证书及证书信息的义务，即认证机构有义务将证书所有者证书的私匙、有关 个人身份方面的信息安全、妥善地保管起来，以免这些信息丢失或被他人截获、 盗用 ；及时发布有关证书信息的义务，即按照约定或法定的要求，将那些必 须发布的证书信息及时发布，以便使潜在的信赖人可以及时查询 ；及时中止、 撤销、 恢复证书的义务， 即按照证书所有者的请求或根据情势及时将因私匙丢失、 遗忘等原因暂时不能使用的证书予以中止、 将因私匙被他人盗用或丢失而无法继 续使用的证书予以撤销或将已经暂时中止的证书及时恢复使用的义务 及时通 知的义务；损失赔偿义务。 4.1.2 证书信赖关系 证书信赖关系，是指与证书所有者进行交易的相对人因信赖认证机构所颁 发的数字证书而与该认证机构之间所形成的法律关系