电子签名制度比较研究
叶知年
[内容摘要]广义的电子签名坚持技术中立原则,有利于电子商务的健康发展;可靠的电子签名应当具备相应的条件,才能具有法律效力;电子签名人应当履行保管、及时告知、真实陈述的义务。
[关 键 词] 电子签名 法律效力 民事义务 民事义务
随着电子商务的发展,电子签名得到了广泛的应用。但是,电子签名作为保障电子交易安全的重要手段,在广泛应用的同时遇到了不少问题。本文拟就电子签名制度作一比较探讨,以期对我国电子签名活动的规范有所裨益。
一、电子签名的界定
电子签名是电子合同中极其重要的一个环节,是连接当事人身份和电子记录的技术性问题和法律问题。关于电子签名的界定,相关国际组织文件和许多国家法律的表述不尽相同,主要有广义说、狭义说和折衷说。
广义上的电子签名,是指包括各种电子手段的电子签名。[1]联合国国际贸易法委员会《电子签名示范法》第2条规定:“‘电子签名’系指在数据电文中,以电子形式所含、所附或在逻辑上与数据电文有联系的数据,它可用于鉴别与数据电文相关的签名人和表明签名人认可数据电文所含信息。”欧盟《关于电子签名的共同体框架的指令(1999/93/EC)》第2条规定:“‘电子签名’是指附着在其他数据中的,或者与其他数据相关的,用于辨别真伪的电子手段。”美国《统一电子交易法》亦采用这种定义,第2条规定:“‘电子签名’是指由意图签署一项记录的人实施的或采用的,附属于或逻辑上与该电子记录相联系的电子录声、符号或过程。”广义上的电子签名,不仅包括我们通常意义上所讲的“非对称性密钥加密(Asymmetric Cryptography)”,而且包括计算机口令、生物笔迹辨别法以及新近出现的眼虹膜透视辨别法等。这种定义满足了电子合同中对技术中立原则的要求,在法律上为其他签名技术留下了发展的空间。
狭义上的电子签名,是以一定的电子签名技术为特定手段的签名,通常指数字签名,它是以非对称加密方法产生的数字签名。[2]其特点是只有信息发送者才能生成,别人无法伪造,生成的该数字串同时也是对发送者发送的信息的真实性的证明。对这种定义,美国犹他州《数字签名法》最早作了规定,其第103条规定:“‘数字签名’指欲签名的人就一受明确限制的信息所创制的一系列比特,其创制过程如下:如有关信息经一单向函数处理,得到一信息提要,再运用非对称加密系统和该人的私人密钥对其进行加密。”这里的“比特”指一两位数的数字,或为一数字,该数字以计算机可读的方式予以保密,其数值为0或者1。狭义的电子签名定义主要是基于对特定签名技术的信任,更多地考虑了电子签名的安全性。
折衷式的电子签名,即强化电子签名(Enhanced Electronic Signature),又称安全电子签名或者增强电子签名,是指经过一定的安全应用程序,能够达到传统签名的等价功能的电子签名方式,其具体形式是开放型的,任何能够达到同一效果的技术方式,都可囊括在内。[3]联合国国际贸易法委员会《电子签名同一规则草案》第1条曾规定:“[强化]电子签名,是指那种可以通过应用安全程序或与安全程序的的结合,证明其如(生成)(之时一样)的电子签名,该程序保证这类签名:(1)(就其应用的目的),(在其语境中)对签署者是独一无二的;(2)可以用于客观地辨别数据信息的签署人;(3)由签署人制造并附加于数据信息上,或使用了只有签署人可以控制的方式;(4)生成并与数据存在这样的联系,数据的任何改动都会被揭示。”这种定义强调了电子签名的效果,在具体实现方式上给其他签名技术留下了平等的发展机会,符合电子商务开放性的特点,达到既便于实践中的应用又坚持中立原则的目的。不过,联合国国际贸易法委员会《电子签名示范法》不再保留这种定义。
无论采取何种意义上的定义,对电子签名的法律要求包括:1、签名人事后不能否认自己签署的事实;2、任何人都不能伪造该签名;3、当事人之间对于电子签名的真实性发生争议时,能够通过公正的第三方进行仲裁,通过验证签名来确认其真伪。
我国《电子签名法》在比较各国立法和相关国际组织规定的优劣之后,采广义上的定义。其第2条第一款规定:“本法所称电子签名,是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。”这一定义意在包括具有法律效力的手写签名的所有传统用途,这些用途是为了鉴别个人以及将之与文件的内容联系起来,这些只不过是各种法律制度中各种“签名”手段最基本的共同特点。对于这一定义,应从以下几个方面来理解:1、电子签名是以电子形式出现的数据。2、电子签名是附着于数据电文的。所谓数据电文,是指以电子、光学、磁或者类似手段生成、发送、接收或者存贮的信息。电子签名可以是数据电文的一个组成部分,也可以是数据电文的附属,与数据电文具有某种逻辑关系,能够使数据电文与电子签名相联系。3、电子签名应当能够识别签名人身份并标明签名人认可与电子签名相联系的数据电文的内容。
二、电子签名的法律效力
(一)可靠电子签名的条件
对于电子签名的法律效力,相关国际组织文件和许多国家法律基本上没有争议,大都对电子签名的合法性予以确认。但是,由于电子商务活动需要确定性和可预测性,在确认技术中立原则的前提下,必须规定可靠电子签名的条件。对此,联合国国际贸易法委员会《电子签名示范法》第6条第一至三款规定:“1、凡法律规定要求有一人的签名时,如果根据各种情况,包括根据任何有关协议,所用电子签名既适合生成或传送数据电文所要达到的目的,而且也同样可靠,则对于该数据电文而言,即满足了该项签名要求。2、无论第1款所述要求是否作为一项义务,或者无论法律是否只规定了无签名的后果,第1款均适用。3、就满足第1款所述要求而言,符合下列条件的电子签名视作可靠的电子签名:(a)签名制作数据在使用的范围内与签名人而不是还与其他任何人相关联;(b)签名制作数据在签名时处于签名人而不是还处于其他任何人的控制之中;(c)凡在签名后对电子签名的任何更改均可被察觉;以及(d)如果签名的法律要求目的是对签名涉及的信息的完整性提供保证,凡在签名后对该信息的任何更改均可被察觉。” 欧盟《关于电子签名的共同体框架的指令(1999/93/EC)》第2条规定:“‘高级电子签名’(Advanced Electronic Signature)是指符合下列条件的电子签名:(a)它只属于签名人;(b)它可以识别签名人;(c)签名人可以通过手段来维持单独的控制;并且(d)它与一组数据相联系,使得它可以发现数据的任何变化。”从这些规定可以看出,可靠的电子签名应当符合如下条件:
1、就签署者的目的或者环境而言,该电子签名是独特的。所谓独特性,是电子签名与其拥有者之间的联系点,指在一定的应用目的或者环境中,只有某特定的签署者拥有某一特定的电子签名,而其他任何人不拥有该特定的电子签名。只有建立这种签署者与电子签名之间的独特的联系,才能使电子签名的归属具有惟一性。它排除了其他任何人对电子签名主张权利的可能性,也阻止了签署者否认其签名的可能性。虽然某些电子签名制作数据可能是许多使用者共享的,例如公司的若干工作人员共同使用公司的电子签名制作数据,但这种电子签名制作数据必须能够在每个电子签名中毫无含糊地鉴别出其使用者。因此,独特性是电子签名技术在电子商务活动中得以应用的理论依据。
2、能够表明该电子签名是由其拥有者签署,或者使用由签名拥有者独占控制下的方式或者方法生成或者附加于数据电文中的。这一条件是以电子签名的独特性为基础,其目的是将签署行为的法律后果归属于电子签名的拥有者,其意义在于实现行为者自负后果的效果。电子签名拥有者,不仅应对其直接签署的电子签名负责,而且要对使用其独占控制的方式或者方法生成或者附加于数据电文中的电子签名负责。这种责任归属效果的实现,有赖于从技术上、组织上、系统设备等多方面予以保障,既要防止其他任何人对电子签名权利的主张,又要防止电子签名拥有者自身的否认。
3、该电子签名是以对数据的完整性提供可靠保证的方式或者方法生成,并与数据电文相联系的。这一条件是对生成电子签名的安全性手段的要求,其意义在于安全性电子签名的生成应符合公认的国际标准,因为这些标准经过研制开发与测试而已经显示了其安全性。所谓“公认的国际标准”,应作广义的理解,既包括国际技术和商业标准(即市场驱动的标准),也包括政府机构或者政府间机构采用的标准,还包括“自愿标准”。“公认的国际标准”可以是对公认的技术、法律或者商业惯例的阐述,无论是由公共部门还是由私营部门(或者同时由这两类部门)拟订而成,属规范性质或者解释性质,并经公认可在国际上适用。这些标准的形式可以为要求、建议、准则、行为守则或者对最佳做法或者规范的阐述。
我国《电子签名法》对可靠电子签名的条件亦作了规定。其第13条第一款规定:“电子签名同时符合下列条件的,视为可靠的电子签名:(一)电子签名制作数据用于电子签名时,属于电子签名人专有;(二)签署时电子签名制作数据仅由电子签名人控制;(三)签署后对电子签名的任何改动能够被发现;(四)签署后对数据电文内容和形式的任何修改能够被发现。”可见,在我国,可靠的电子签名应当同时具备四个条件:
1、电子签名制作数据用于电子签名时,属于电子签名人专有。电子签名人,是指持有电子签名制作数据并以本人身份或者以其所代表的人的名义实施电子签名的人。这里的“人”,应理解为包括各种类型的人或者实体,无论是自然人、法人还是其他组织均包括在内。电子签名制作数据,是指在电子签名过程中使用的,将电子签名与电子签名人可靠地联系起来的字符、编码等数据。例如在以生物鉴别装置为基础的电子签名中,基本要素是生物鉴别标志(如指纹或者视网膜扫描数据)。这一术语的定义中仅包括为确保签字过程质量而应加以保密的那些核心要素,对于那些虽然可能有助于签字过程但即使公开也不会影响所形成的电子签名的可靠性的任何其他要素,则不包括在内。它是电子签名人在电子签名过程中掌握的核心数据。只有通过电子签名制作数据的归属判断,才能确定电子签名与电子签名人之间的同一性和准确性。因此,作为可靠的电子签名,用于电子签名的电子签名制作数据必须属于电子签名人专有,而不能由其他任何人占有。
2、签署时电子签名制作数据仅由电子签名人控制。这一条件是对电子签名过程中电子签名制作数据的控制要求。所谓控制,是指一种实质上的控制,即基于电子签名人的自由意志而对电子签名制作数据的控制。在电子签名过程中,只有电子签名人对电子签名制作数据拥有实质上的控制权,才有可能作为可靠的电子签名。因此,电子签名制作数据在使用时必须处于电子签名人的惟一控制之中。关于电子签名人的惟一控制这个概念,一个问题是电子签名人是否将保留其授权另一人的能力,以便该人可代表其使用电子签名制作数据。出现这种情形的场合是公司中使用的电子签名制作数据,公司实体将是电子签字人,但需要若干人才能代表其签字。另一个例子可见于商业应用,例如电子签名制作数据存在于网络上,并且能够供若干人使用。在这种情形下,按推定网络将与某个实体相关,该实体将是电子签字人并保持对电子签名制作数据的控制。
3、签署后对电子签名的任何改动能够被发现。在电子签名过程中,电子签名人签署后,对方当事人可以通过一定的技术手段来验证其所收到的数据电文是否是发件人所发出,发件人的电子签名是否被改动过。因此,作为可靠的电子签名,必须电子签名人签署后,任何人对电子签名的任何改动能够被发现。这一条件的目的是规定所应达到的标准,以便表明某种电子签名方法非常可靠,足以满足法律对电子签名的要求。这项法律要求可以在不必表明整个文件完整性的情形下得到满足。
4、签署后对数据电文内容和形式的任何改动能够被发现。电子签名的重要功能之一就是表明电子签名人认可数据电文的内容和形式。为了实现这一功能,必须要求电子签名在技术手段上能够保证电子签名人签署后的数据电文的完整性和安全性。因此,作为可靠的电子签名,必然要求电子签名人签署后,任何人对数据电文内容和形式的任何改动能够被发现。只有这样,电子签名人的合法权益才能得到有效保护。这一条件主要是考虑到关于手写签名的现有法律规则不对经签字的信息的完整性加以区分,在某些领域,这项法律要求的效用可能是形成一种在功能上与原始文件等同的功能。
应当注意的是,意思自治是民法的基本理念和基本原则。在电子商务活动中,仍应贯彻这一理念和原则。考虑到电子签名技术手段的多样性,联合国国际贸易法委员会《电子签名示范法》第6条第四款规定:“第3款并不限制任何人下列任何方面的能力:(a)为满足第1款所述要求的目的,以任何其他方式确立某一电子签名的可靠性;或(b)举出某一电子签名不可靠的证据。”我国《电子签名法》在规定了可靠电子签名的条件之后,亦允许当事人自行选择使用符合其约定的可靠条件的电子签名。其第13条第二款规定:“当事人也可以选择使用符合其约定的可靠条件的电子签名。”这一规定为商业活动提供一个法律依据,使许多商业当事人能够在此基础上就电子签名的使用问题通过合同调整彼此之间的关系。它为适应日后电子签名技术的不断更新和发展,促进电子商务活动的健康发展,从法律上铺平了道路。
(二)电子签名的法律效力
根据意思自治原则,当事人在民事活动中,有权决定是否采用电子签名。而当事人一旦决定使用电子签名,如何确认其法律效力?对此,联合国国际贸易法委员会《电子商务示范法》第11条第一款规定:“(1)就合同的订立而言,除非当事人各方另有协议,一项要约以及对要约的承诺均可通过数据电文的手段表示。如使用了一项数据电文来订立合同,则不得仅仅以使用了数据电文为理由而否定该合同的有效性或可执行性。”这一规定是考虑到在有些国家内,对于是否可以采用电子手段订立合同,仍有不确定性。这种不确定性来自此种事实:在某些情形下,表示要约和承诺的数据电文是在没有人直接干预的情形下由电脑产生的,因而使人怀疑这种信息是否表达当事人的意向。产生这种不确定性的另一原因是在通信方式本身,亦即没有一纸书面文件。欧盟《关于电子签名的共同体框架的指令(1999/93/EC)》第5条第二款亦规定:“成员国不得仅仅因为下列理由而拒绝承认电子签名的法律效力并且作为法律诉讼中的证据:—采取电子形式,……。”美国《统一计算机信息交易法》第107条第一款同样规定:“(a)不得仅仅以某次记录或盖章以电子形式存在为理由否定其法律效力或可执行性。”可见,在民事活动中,相关国际组织文件和许多国家法律均确认,不能仅仅其采用电子签名而不采用传统签名,就否认电子签名的效力。我国《电子签名法》亦采电子签名与传统签名具有等价功能的做法,第3条第二款规定:“当事人约定使用电子签名、数据电文的文书,不得仅因为其采用电子签名、数据电文形式而否定其法律效力。”
但是,可靠的电子签名与一般的电子签名不同。通常合同当事人可以约定有关文档的证明作用,一般电子签名的作用往往限于如此,即只有双方约定以某种技术方式作电子签名,电子签名才能被用于证明签约者的身份和合同内容。显然这种约定基础上的证明力是局限的,因为它无法应用在双方的第一份合约,也无法应用于单方法律文件(如通知书等)。而可靠的电子签名则不同,它不需要双方约定就可以产生如同手工签名一样的证明作用。[4]因此,许多国家法律进一步对可靠电子签名的法律效力作了规定。如美国犹他州《数字签名法》第402条规定:“以数字方式签署的文件如同纸面书写的一样有效。”我国《电子签名法》第14条亦是如此规定:“可靠的电子签名与手写签名或者盖章具有同等的法律效力。”
三、电子签名人的义务和民事责任
(一)电子签名人的义务
为了使电子签名具有法律效力,电子签名人应当承担如下义务:
1、保管(保密)义务。这是电子签名人的基本义务。联合国国际贸易法委员会《电子签名示范法》第8条第一款第一项规定:“签名制作数据可用于制作具有法律效力签名的,各签名人应当做到:(a)采取合理的谨慎措施,避免他人未经授权使用其签名制作数据。”也就是说,电子签名人采取合理防范措施避免他人擅自使用电子签名制作数据的义务,构成一项基本义务,这项义务普遍载于使用信用卡的协议中,也应适用于可用以表示具有法律效力的意图的任何电子签名制作数据。美国犹他州《数字签名法》第305条第一款亦规定:“1、通过接收许可之认证机构颁发的证书,证书中指明的用户承担在对私人密钥的保持控制和防止向任何无权创制用户的数字签名的人泄漏其私人密钥方面履行合理注意的义务。”
对于保密(保管)义务,我国《电子签名法》第15条规定:“电子签名人应当妥善保管电子签名制作数据。”这是因为,电子签名制作数据是将电子签名与电子签名人可靠联系起来的重要手段。电子签名制作数据一旦失密,他人就有可能利用它从事违法活动或者牟取非法利益,从而给电子签名和电子签名信赖方造成损失。所以,电子签名人应当妥善保管电子签名制作数据,防止电子签名制作数据失密,以避免给自己和电子签名信赖方造成不必要的损失。
2、及时告知义务。联合国国际贸易法委员会《电子签名示范法》第8条第一款第二项规定:“签名制作数据可用于制作具有法律效力签名的,各签名人应当做到:……(b)在发生下列情况时,毫无不应有的延迟,利用认证服务提供人依照本法第9条提供的手段,或做出合理的努力,向签名人可以合理预计的依赖电子签名或提供支持电子签名服务的任何人发出通知:(一)签名人知悉签名制作数据已经失密;或(二)签名人知悉导致签名制作数据可能已经失密的重大风险情况。”可见,及时告知义务是电子签名人的又一义务。不过,理解这一义务时应当注意两点:第一,鉴于事实上电子签名人也许不可能追查到可能依赖电子签名的每一个人,所以在电子签名看来发生失密的情形下,要求电子签名人有义务做到向根据设想可能依赖电子签名的每一个人实际发出通知,将会造成过分的负担。所以,“合理的努力”的概念应按照一般诚实信用原则来解释。这里提及的“认证服务提供者提供的手段”,反映了由认证服务提供者向电子签名人提供一些手段供其使用的某些实际情况,例如在电子签名看来失密的情形下所应采用的程序。对这些程序,电子签名人一般不可改动。这些词语的作用是为电子签名人提供一则“安全港”规定,使电子签名人能够表明,如果电子签名人采用这些供其使用的手段,电子签名人即已在试图通知潜在的依赖方这个问题上做到充分的谨慎了。第二,电子签名依赖方是指基于对电子签名认证证书或者电子签名的信赖从事有关活动的人。关于潜在的依赖方,视所采用的技术而定,这种“依赖方”可能不仅仅是意图依赖电子签字的某个人,而且也是其他一些人员,例如认证服务提供者和任何其他有关当事方。
对于及时告知义务,我国《电子签名法》第15条规定:“电子签名人知悉电子签名制作数据已经失密或者可能已经失密时,,应当及时告知有关各方,并终止使用该电子签名制作数据。”可见,在我国,电子签名人的及时告知义务的履行发生于两种情形:一是电子签名人知悉电子签名制作数据已经失密的情形,如电子签名人发现未经其允许,他人在互联网上以电子签名人的名义从事商业活动;二是电子签名人知悉电子签名制作数据可能已经失密的情形,如电子签名人发现自己存放电子签名制作数据的磁盘丢失,而丢失的磁盘中的安全指令有可能被破译,电子签名制作数据有可能被他人用于从事非法活动或者谋取非法利益。出现上述两种情形之一的,电子签名人在履行及时告知义务的同时,还应当终止使用该电子签名制作数据,以避免或者减少电子签名人和电子签名依赖方的损失。
3、真实陈述义务。电子认证服务提供者向电子签名人提供电子签名认证证书,为电子签名人向电子签名依赖方提供电子签名证明服务,主要依据电子签名人所提供的数据。因此,电子签名人应当向电子认证服务提供者提供完整和准确的信息。联合国国际贸易法委员会《电子签名示范法》第8条第一款第三项规定:“签名制作数据可用于制作具有法律效力签名的,各签名人应当做到:……(c)在使用证书支持电子签名时,采取合理的谨慎措施,确保签名人作出的关于证书整个寿命周期的或需要列入证书内容的所有实质性表述精确无误和完整无缺。”这里证书的“周期”意在作广义的解释,包括从申请证书或者创建证书开始,到证书期满或者撤销证书为止的整个期间。
对于真实陈述义务,我国《电子签名法》第20条第一款规定:“电子签名人向电子认证服务提供者申请电子签名认证证书,应当提供真实、完整和准确的信息。”这是因为,电子签名人就其身份、地址、营业范围、证书信赖等级的真实陈述,是电子签名认证证书可信赖性产生的前提,否则将构成为电子签名认证证书体系信赖性的损害。所以,向电子认证服务提供者尽真实陈述的义务,也是电子签名人的一项义务。
(二)电子签名人的民事责任
电子签名人如不履行义务,应当承担相应的民事责任。对此,联合国国际贸易法委员会《电子签名法》第8条第二款规定:“签名人应当对其未能满足第一款的要求承担法律后果。”这种法律后果视电子签名的使用场合而定,范围可能程度不一,根据现行的法律,从电子签字人受电文内容的约束到承担损害赔偿责任不等,其他可能的后果不一定涉及赔偿责任,但却可能包括例如失误方不得抵触电子签名的约束效力。
对于电子签名人违反义务时的民事责任,我国《电子签名法》第27条规定:“电子签名人知悉电子签名制作数据已经失密或者可能已经失密未及时告知有关各方、并终止使用电子签名制作数据,未向电子认证服务提供者提供真实、完整和准确的信息,或者有其他过错,对电子签名依赖方、电子认证服务提供者造成损失的,承担赔偿责任。”可见,在我国,电子签名人承担赔偿责任的前提条件是:1、电子签名人违反义务的行为给电子签名依赖方或者电子认证服务提供者造成损失。如果电子签名人仅仅违反了义务,但未造成电子签名依赖方或者电子认证服务提供者损失的,就无须承担赔偿责任。2、电子签名人主观上有过错。过错归责原则是民法上的基本归责原则。在电子签名过程中,如果要求电子签名人承担责任,则其主观必须有过错。否则,电子签名人即使给电子签名依赖方或者电子认证服务提供者造成损失的,也无须承担赔偿责任。3、电子签名人承担责任的方式为赔偿损失。根据我国《民法通则》的规定,民事责任方式是多种多样的,而赔偿损失是适用最广泛的一种方式。在电子签名过程中,电子签名人给电子签名依赖方或者电子认证服务提供者造成损失的,应当赔偿损失。这种损失可以是直接损失,也可以包括间接损失。
应当注意的是,我国《电子签名法》仅仅规定了电子签名人赔偿责任的承担问题。但在电子商务活动中,可能出现电子签名人违反义务,但未造成电子签名依赖方或者电子认证服务提供者损失的情形。这时,电子签名依赖方或者电子认证服务提供者能否要求电子签名人承担相应的民事责任(如赔礼道歉)?我认为可以。主要理由是:《电子签名法》为特别法,而《民法通则》为一般法,特别法没有规定的,适用一般法的规定。电子签名人不履行保管、及时告知、真实陈述等义务,是一种违法行为。既然是违法行为,根据《民法通则》的规定,行为人就应当承担相应的民事责任(如赔礼道歉)。因此,如果出现上述情形,电子签名信赖方或者电子认证服务提供者要求电子签名人承担相应的民事责任(如赔礼道歉)的,应予以支持。