电子签名需要第三方认证机构

8.4.2　电子签名法

《中华人民共和国电子签名法》（以下简称《电子签名法》）于2004年8月28日第十届全国人民代表大会常务委员会第十一次会议审议并通过，自2005年4月1日起施行。这是我国首部真正意义上的信息化法律。该法通过确立电子签名的法律效力、规范电子签名行为、维护有关各方合法权益，在法律制度上保障了电子交易安全。《电子签名法》为我国电子商务发展提供了法律保障，同时也为电子认证服务业、电子商务安全认证体系和网络信任体系的建立奠定了基础。不仅顺应了经济全球化和全球信息化的时代潮流，而且也符合我国信息化战略的发展要求。该法的施行，还将促进完善其他相关部门法律的工作，比如《票据法》与《合同法》等。

1.《电子签名法》的基本内容

《电子签名法》，全文约4500字，共计五章三十六条，分为总则、数据电文、电子签名与认证、法律责任、附则。

“总则”对电子签名、数据电文的概念给予了明确定义，阐明了《电子签名法》的立法目的、适用范围，此外，给予了消费者选择使用或不使用电子签章的权利；“数据电文”主要规定数据电文的书面形式效力、原件效力、保存要求、证据效力等；“电子签名与认证”明确了可靠电子签名的效力，可靠电子签名的条件，第三方认证机构的设立条件，行为规范和管理机关；“法律责任”明确规定了相关违法行为以及要承担的法律责任；“附则”解释了《电子签名法》中电子签名人、电子签名依赖方、电子签名认证证书等相关用语的含义以及该法的施行日期。

2.什么是电子签名

《电子签名法》第二条规定了电子签名的定义。所谓电子签名，是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。其中，数据电文是指以电子、光学、磁或者类似手段生成、发送、接收或者存储的信息。通俗地说，电子签名包括用于识别签名人身份并表明签名人认可其中内容的程序或者符号、声音等数据。电子签名是用符号及代码组成电子密码进行“签名”来代替书写签名或印章，它采用规范化的程序和科学化的方法，用于鉴定签名人的身份及对一项数据电文内容信息的认可，它还能验证出文件的原文在传输过程中有无变动，并非是书面签名的数字图像化。

3.《电子签名法》的立法目的

（1）规范电子签名行为。

（2）确立电子签名的法律效力。电子签名的法律效力是电子签名法所要解决的最重要问题。《电子签名法》第十四条规定，可靠的电子签名与手写签名或者盖章具有同等的法律效力。确立电子签名的法律效力，关键在于解决两个问题：一是通过立法确认电子签名的合法性、有效性；二是明确满足什么条件的电子签名才是合法的、有效的。

（3）维护有关各方的合法权益。这里讲的有关各方包括电子签名人、电子认证服务提供者以及与电子签名人进行交易的电子签名依赖方等参与电子签名活动的当事人。有关各方在电子签名活动中的合法权益都受到法律的保护。《电子签名法》规定了各方在电子签名活动中的权利义务，明确了电子签名活动规则，确立各方当事人在电子签名活动中的行为准则，并规定违反法定义务和约定义务的当事人要承担相应的法律责任，以达到平等保护各方当事人合法权益的目的。

4.《电子签名法》的适用范围

《电子签名法》第三条规定：民事活动中的合同或其他文件、单证等文书，当事人可以约定使用或不使用电子签名、数据电文。当事人约定使用电子签名、数据电文的文书，不得仅因为其采用电子签名、数据电文的形式而否定其法律效力。

但以下文书不适用该法：

（1）涉及婚姻、收养、继承等人身关系的；

（2）涉及土地、房屋等不动产权益转让的；

（3）涉及停止供水、供热、供气、供电等公用事业服务的；

（4）法律、行政法规规定的不适用电子文书的其他情形。

根据以上规定，《电子签名法》适用于民事活动中，主要适用于电子商务，但又不局限于电子商务。随着信息化水平的提高，在政府部门实施的经济、社会管理中，也开始使用电子手段，如电子报关、电子报税、电子年检等，依据行政许可法规定而采用的数据电文方式所提出的行政许可申请等活动，都涉及电子签名的法律效力问题。

因此，《电子签名法》第三十五条规定：“国务院或者国务院规定的部门可以依据本法制定政务活动和其他社会活动中使用的电子签名的具体办法。”

5.电子签名与认证

在现实的交易中，人们往往通过亲笔签名的方式确保交易双方身份的真实有效和意思表示的一致。我国《合同法》第三十二条规定：当事人采用合同书形式订立合同的，自双方当事人签字或盖章时合同成立。然而，在电子商务的无纸化交易环境下，传统意义上的签名显然是无法实现的。此时所谓的签字盖章也就有了新的概念和方式，这就是电子签名。

（1）可靠的电子签名

《电子签名法》第十四条规定：可靠的电子签名与手写签名或者盖章具有同等的法律效力。为确保电子签名的可靠性，使电子签名具有与手写签名同等的法律效力，我国《电子签名法》规定电子签名同时符合下列条件的，视为可靠的电子签名：

①电子签名制作数据用于电子签名时，属于电子签名人专有；

②签署时电子签名制作数据仅由电子签名人控制；

③签署后对电子签名的任何改动能够被发现；

④签署后对数据电文内容和形式的任何改动能够被发现。

当事人也可以选择使用符合其约定的可靠条件的电子签名。

与电子签名紧密相关的另一概念就是数字签名。新加坡1998年《交易法令》对“数字签名”作了规定。“数字签名”的定义为：“通过使用非对称加密系统和哈希函数来变换电子记录的一种电子签名，使得同时持有最初未变换电子记录和签名人公开密匙的任何人可以准确地判断：①该项变换是否是使用与签名人公开密匙相配的私人密匙做成的；②进行变换后，初始电子记录是否被改动过。”从上述规定可以看出，数字签名是电子签名的一种。

数字签名是通过密码算法对数据进行加，解密变换实现的。数字签名的特点是：它代表了文件的特征。文件如发生改变，数字签名的值也将随之而发生改变；不同的文件得到的是不同的数字签名。在传输过程中，如有第三人对文件进行篡改，但他并不知道发送方的私人密钥，因此，解密得到的数字签名与经过计算后的数字签名必然不同。这就提供了一个安全的确认发送方身份的办法。

（2）电子认证

在电子商务交易中，双方使用电子签名时，往往需要由第三方对电子签名人的身份进行认证，保证交易的安全，这个第三方一般称之为电子认证服务机构（Certificate Authority，CA）。

电子认证服务机构的主要功能是：签发管理电子商务证书；产生、管理使用者密钥以及CA密钥管理等。网络交易人向认证机构申请证书时，需提交本人的身份证或护照等，经机构验证后，签发证书。证书上包括持证人的名字，证书的有效期限以及他的公开密钥等。在做交易时，向对方提交证书证明自己的身份，如对方无把握，可要求认证机构进行验证。双方可相互验证身份。很显然，电子认证服务机构在网络安全方面扮演着相当重要的角色。

我国《电子签名法》明确规定提供电子认证服务，应当具备下列条件：

①具有与提供电子认证服务相适应的专业技术人员和管理人员；

②具有与提供电子认证服务相适应的资金和经营场所；

③具有符合国家安全标准的技术和设备；

④具有国家密码管理机构同意使用密码的证明文件；

⑤法律、行政法规规定的其他条件。

电子认证服务机构从事相关业务，需要经过国家主管部门的许可。

6.电子签名相关法律责任

我国通过颁布施行《电子签名法》，规范电子签名行为、维护有关各方的合法权益，为我国电子商务的发展提供法律保障。对违反其法律规定的行为，则承担相应的法律责任。《电子签名法》规定了下列相关法律责任。

第二十七条　电子签名人知悉电子签名制作数据已经失密或者可能已经失密未及时告知有关各方、并终止使用电子签名制作数据，未向电子认证服务提供者提供真实、完整和准确的信息，或者有其他过错，给电子签名依赖方、电子认证服务提供者造成损失的，承担赔偿责任。

第二十八条　电子签名人或者电子签名依赖方因依据电子认证服务提供者提供的电子签名认证服务从事民事活动遭受损失，电子认证服务提供者不能证明自己无过错的，承担赔偿责任。

第二十九条　未经许可提供电子认证服务的，由国务院信息产业主管部门责令停止违法行为；有违法所得的，没收违法所得；违法所得三十万元以上的，处违法所得一倍以上三倍以下的罚款；没有违法所得或者违法所得不足三十万元的，处十万元以上三十万元以下的罚款。

第三十条　电子认证服务提供者暂停或者终止电子认证服务，未在暂停或者终止服务六十日前向国务院信息产业主管部门报告的，由国务院信息产业主管部门对其直接负责的主管人员处一万元以上五万元以下的罚款。

第三十一条　电子认证服务提供者不遵守认证业务规则、未妥善保存与认证相关的信息，或者有其他违法行为的，由国务院信息产业主管部门责令限期改正；逾期未改正的，吊销电子认证许可证书，其直接负责的主管人员和其他直接责任人员十年内不得从事电子认证服务。吊销电子认证许可证书的，应当予以公告并通知工商行政管理部门。

第三十二条　伪造、冒用、盗用他人的电子签名，构成犯罪的，依法追究刑事责任；给他人造成损失的，依法承担民事责任。

第三十三条　依照本法负责电子认证服务业监督管理工作的部门的工作人员，不依法履行行政许可、监督管理职责的，依法给予行政处分；构成犯罪的，依法追究刑事责任。