电子签名与电子认证

9.3　电子签名与电子认证

电子签名的概念是什么？

9.3.1　电子签名

（一）电子签名的定义

《联合国电子商务示范法》中规定，电子签名是包含、附加在某一数据电文内，或逻辑上与某一数据电文相联系的电子形式的数据，它能被用来证实与此数据电文有关的签名人的身份，并表明该签名人认可该数据电文所载信息；《中华人民共和国电子签名法》规定：“电子签名，是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。本法所称数据电文，是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。”

（二）电子签名法的适用范围

我国《电子签名法》第三条第一款规定：“民事活动中的合同或者其他文件、单证等文书，当事人可以约定使用或者不使用电子签名、数据电文。”从中可以看出，我国电子签名法以调整民商事法律关系为主。由于电子交易是一种新兴的交易方式，电子签名、数据电文并未在社会活动中获得广泛应用，广大民众的认知度不高。同时，电子签名、数据电文的应用需要借助于一定的技术手段，物质条件也会限制一部分民众使用这种交易方式。基于交易安全和保护消费者权益的考虑，该条第三款规定，“前款规定不适用下列文书：（一）涉及婚姻、收养、继承等人身关系的；（二）涉及土地、房屋等不动产权益转让的；（三）涉及停止供水、供热、供气、供电等公用事业服务的；（四）法律、行政法规规定的不适用电子文书的其他情形。”

（三）电子签名的基本要求和法律效力

只要电子签名能够实现与传统签名相同的一些基本功能，就可能替代后者而得到广泛应用。电子签名与签名的相通性也就在于都能完成一些共同的功能，比如，签字方不能抵赖：发方一旦将电子签字的信息发出，就不能再否认。他人不能伪造：双方的通信内容高度保密，第三方无从知晓，内容无法被篡改及第三方能够验证真伪等。借鉴了联合国贸易法委员会《电子商务示范法》以及一些国家电子商务、电子签名立法的有关规定，我国《电子签名法》第十四条规定：“可靠的电子签名与手写签名或者盖章具有同等的法律效力。”明确赋予了电子签名的法律效力。

我国《电子签名法》第十三条第一款规定，“电子签名同时符合下列条件的，视为可靠的电子签名：（一）电子签名制作数据用于电子签名时，属于电子签名人专有；（二）签署时电子签名制作数据仅由电子签名人控制；（三）签署后对电子签名的任何改动能够被发现；（四）签署后对数据电文内容和形式的任何改动能够被发现。”第十三条第二款规定：“当事人也可以选择使用符合其约定的可靠条件的电子签名。”尽管本条第一款规定了可靠的电子签名应当具备的法定条件，但并没有对达成上述法定条件的电子签名所需采取的技术作出统一规定。这说明我国《电子签名法》的基本规定与联合国的《电子商务示范法》基本一致，采取了“技术中立”的立法原则。因为第一，信息技术发展日新月异，如果法律过多局限于某项技术，随着技术的变化就可能失效；第二，不同形式的信息化应用对安全性、便捷性的要求是不同的，应鼓励多种形式安全可靠的电子签名在各个领域的应用。

（四）电子签名人法律义务

《电子签名法》第十五条规定：“电子签名人应当妥善保管电子签名制作数据。电子签名人知悉电子签名制作数据已经失密或者可能已经失密时，应当及时告知有关各方，并终止使用该电子签名制作数据。”这规定了电子签名人的两项义务：第一是妥善保管义务。与传统交易不同，网上交易过程中当事人之间往往并不见面，当事人之间主要凭借的是对方当事人的电子签名来验证和核实相互间的身份。一旦电子签名制作数据失密，他人有可能利用电子签名人的电子签名制作数据从事违法行为或者牟取非法利益，给电子签名人和电子签名依赖方造成损失。第二是维护信赖方利益义务。一是电子签名人已经明确知道电子签名制作数据已失密，例如电子签名人发现未经自己允许，有人在互联网上以电子签名人的名义从事商业活动；二是电子签名人知悉电子签名制作数据有可能已经失密，例如电子签名人发现自己存放电子签名制作数据的磁盘丢失，在这种情况下，丢失的磁盘中的安全指令有可能被破译，电子签名制作数据有可能被他人用于非法活动。在这两种情况下，依据本条的规定，电子签名人应当做到：一是立即停止使用电子签名制作数据。因为在电子签名制作数据已经失密或者可能已经失密的情况下，电子签名人继续使用其电子签名制作数据有可能使电子签名依赖方更加难以确定电子签名的真伪，给交易安全带来更多的不确定性。二是及时告知有关各方当事人，避免有关各方当事人因继续信赖电子签名人的签名而造成损失或者损失的进一步扩大。

9.3.2　电子认证

在目前，各国电子商务或者电子签名立法中确认的需要认证的电子签名一般指的是数字签名，即通过使用非对称密码加密系统对电子记录进行加密、解密变换来实现的一种电子签名。以生物识别技术生成的电子签名，其直接依据签名人的生理特征就可以辨别电子签名的真伪，不需要认证。《电子签名法》是我国对电子认证服务业实施管理的基本法律依据。《电子签名法》颁布后，信息产业部、国家密码管理局根据该法授权，分别制定了《电子认证服务管理办法》和《电子认证服务密码管理办法》，对电子认证服务机构的设立、运营等作出了具体规定。《电子签名法》及与其相配套的两个管理办法，确立了电子认证服务管理的几项基本法律制度。

（一）电子认证服务市场准入制度

提供电子认证服务应当符合法定条件，在依法取得国家密码管理局颁发的《电子认证服务使用密码许可证》和信息产业部颁发的《电子认证服务许可证》后向工商行政管理部门办理企业登记手续。

（二）电子认证服务业务承接制度

由于电子商务交易活动具有连续性的特点，法律必须对电子认证服务提供者的业务事项的维持予以特别规定，才能有效地保护电子签名人和电子签名依赖方的利益。《电子签名法》第二十三条规定：“电子认证服务机构拟暂停或者终止电子认证服务的，应当在暂停或者终止服务90日前，就业务承接及其他有关事项通知有关各方；在暂停或者终止服务60日前向信息产业主管部门报告，并与其他电子认证服务机构就业务承接进行协商，作出妥善安排。电子认证服务机构未能与其他电子认证服务机构达成业务承接协议的，应当申请信息产业主管部门作出安排。电子认证服务机构被吊销电子认证许可证书的，业务承接按照信息产业部的规定执行。”

（三）电子签名安全保障制度

为了保证电子签名的安全可靠，《电子签名法》规定了电子签名人和电子认证服务机构在电子签名活动中的主要义务。对电子签名人来说，主要义务是：（1）提供真实、完整、准确信息的义务。（2）妥善保管电子签名制作数据的义务。（3）电子签名制作数据失密时的告知义务。电子签名人知悉电子签名制作数据已经失密或者可能已经失密时，应当及时告知有关各方，并终止使用该电子签名制作数据。

对电子认证服务机构来说，主要义务是：（1）查验身份、审查材料的义务。申请人申请电子签名认证证书、证书持有人申请更新或者撤销证书，电子认证服务机构应当对申请人的身份进行查验，并对有关材料进行审查。（2）确保证书内容完整、准确的义务。电子认证服务机构应当保证电子签名认证证书内容在有效期内完整、准确，并使交易对方能够从证书中证实或者了解有关事项。（3）妥善保存与认证相关信息的义务。电子认证服务机构应当妥善保存与认证相关的信息，信息保存期限至少为电子签名认证证书失效后5年。此外，《电子认证服务管理办法》还对电子认证服务机构规定了其他几项义务，包括受理证书申请前的告知义务，与证书申请人签订合同的义务，对当事人资料保密的义务等。

9.3.3　电子交易各方的民事法律责任

（一）电子签名人

我国《电子签名法》第二十七条规定：“电子签名人知悉电子签名制作数据已经失密或者可能已经失密未及时告知有关各方，并终止使用电子签名制作数据，未向电子认证服务提供者提供真实、完整和准确的信息，或者有其他过错，给电子签名依赖方、电子认证服务提供者造成损失的，承担赔偿责任。”按照本条规定，电子签名人承担赔偿责任的前提条件是主观上必须有过错，因此电子签名人承担民事责任实行的是过错责任原则。

（二）电子认证服务提供者

我国《电子签名法》第二十八条规定：“电子签名人或者电子签名依赖方因依据电子认证服务提供者提供的电子签名认证服务从事民事活动遭受损失，电子认证服务提供者不能证明自己无过错的，承担赔偿责任。”按照本条的规定，电子认证服务提供者如果不能证明自己无过错的要承担赔偿责任，因此电子认证服务提供者承担民事责任实行的是过错推定责任原则，即对原告提出的侵权事实，电子认证服务提供者如果予以否认，则应负举证责任，证明自己没有过错。由于电子商务的交易各方的信任基础是电子认证服务提供者的专业技能服务，因此其承担的责任应重于电子签名人和电子签名依赖方。