电子合同的可靠性, 包括当事人身份的证明与合同内容的证明, 是电子商务的突出问题, 而电子签名则是解决这一问题的主要方法。强化电子签名作为电子签名的一种特殊形式, 以其安全性被电子商务活动广为推崇, 其中的法律问题也很值得探讨。



一. 强化电子签名的概念与源由



电子签名是为了将传统交易中的法律观念移植到电子商务领域, 力图替代传统签名而形成的。根据联合国贸易法委员会的《统一电子签名方案》的定义, 广义的电子签名是指附加于数据电文中或与之存在逻辑关系的特定的电子数据, 它被意图用于证明电子签名者的身份, 并表明签名者对于数据电文中内容的承认。由于技术的发展, 电子签名技术也多种多样, 比如口令密码、指纹认证等, 其安全性、可靠性也有较大差距。

为了避免不成熟的技术被用于电子签名领域, 最初的电子签名立法往往指定某种特定的技术, 即“数字签名”作为制作电子签名的唯一方式。这种签名方式利用Hash函数, 使签名者私钥和信息接收者公钥相对应的非对称加密方式制作电子签名。比如美国犹他州的《数字签名法》中规定被赋予法律效力的电子签名必须使用非对称加密技术, 以使拥有原始信息和签名者公钥的人能够准确断定: (1) 信息是否用与签名者的公钥相对应用的私钥制作; (2) 信息从制作发送后是否已被改动过。该《数字签名法》大量使用技术术语, 从而根本上否认了其它签名技术的法律地位。这种立法方式在电子商务发展早期, 保障电子签名的可性赖性, 促进电子商务的发展具有一定的积极意义。

但是这种指定特定技术的立法方式排除了一些具有发展潜力的签名技术, 比如生物认证技术, 获得法律承认, 从而掌握发展机遇的可能。犹他州的《数字签名法》也因此受到很多批评。于是, 在电子商务立法上就渐渐开始强调技术中立主义, 即在法律规定中不偏倚某种技术, 而承认所有可能的电子签名技术的法律效力。比如佛罗里达州《电子签名法》所承认的电子签名包括“电子的或其他相类似的方法表现的任何字母、文字或符号, 并被具有认证书面文件意图的一方所实行或采纳。”但是这种宽泛的法律由于制定得过于笼统而缺乏了可适用性, 许多简陋的技术并不能保证签名的可靠性, 电子合同的效力仍有可能因此处于不确定的状态。人们的电子商务活动需要确定性和可预测性, 仅有原则性的规定是无法满足人们对电子合同确定性的要求的。

于是, 一种折衷式的电子商务立法孕育而生。这种立法的代表, 新加坡《电子交易法案》一方面规定了电子签名的一般效力, 保持技术中立性, 适用于任何技术为基础的电子签名; 另一方面, 又对“强化电子签名”(又称“安全电子签名”)作出了特别规定, 并建立了配套认证机制。联合国国际贸易法委员会的《电子商务示范法》和《电子签名统一规则(草案)》(以下简称“《统一规则》”)和此后的许多国家和地区的立法都采用的这种方式, 即在规定一般电子签名的基础上突出了强化电子签名的法律效力。

被赋予特殊法律地位的强化电子签名是指经过一定的安全应用程序, 能够达到传统签名等价功能的电子签名方式, 强化电子签名本身并不是一个技术概念, 而是一个相对于一般电子签名的法律范畴, 即法律授予超过一般电子签名效力的, 被认为具有较高可靠性的电子签名。但通常而言, 强化电子签名往往是达到一定技术要求的数字签名。强化电子签名除了一般电子签名的要求外, 必须具备以下条件 (1) 就签署人应用的目的而言, 在其语境中对签署者是独一无二的; 且 (2) 签署人所使用的签名应由签署人制造并附加于数据信息上, 或使用了只有签署人可以控制的方式。可见法律对强化电子签名有比一般电子签名更高要求。



二. 强化电子签名的证明力



强化电子签名的证明力是指在当事人对签名者或签名的内容发生争议时, 根据该签名确定签名者身份和签署内容的能力。在通常的纸面合同中, 签署具有表明签署人认可合同内容和表明签署人身份的作用。在电子合同中, 信息以数据的形式存在, 在发生争议时举证难度很大, 于是法律就有必要重新认定强化电子签名的证明作用。

(一)   强化电子签名证明力的法定性

通常合同当事人可以约定有关文档的证明作用, 比如买卖合同中通常会约定“货物验收报告是货物品质符合合同约定的证明”。一般电子签名的作用往往限于如此, 即只有双方约定以某种技术方式作电子签名, 电子签名才能被用于证明签约者的身份和合同内容, 显然这种约定基础上的证明力是局限的, 因为它无法应用在双方的第一份合约, 也无法应用于单方法律文件(如通知书等), 而强化电子签名则不同, 它不需要双方约定就可以产生如同手工签名一样的证明作用, 如马来本亚1997年《数字签名法案》第62条(2) a规定: “根据本法案使用数字签名签署的文件, 应该具有与手写签名、附盖指纹或任何其他标记同等的法律约束力”, 在法律上直接规定了强化电子签名的证明力。

(二)   强化电子签名归属的推定

在传统方式下, 根据所签之名就可以推知签名者的身份, 即使有当事人否认签名的情况发生, 也可以通过笔迹鉴定的方式辨别, 这种对传统签名的认可更多地是缘于经验而不是理性的证明。而对于电子商务这一人们并不熟悉的领域, 人们对其中的风险就有更多的忧虑, 这种风险可能来自于网络上的黑客攻击、系统缺陷, 密钥的泄露等。但是如果听任这些理由成为对抗执行已签名的电子合同的理由, 那么电子合同的可依赖性将荡然无存。于是就有必要对合同的确定性和风险之间寻求平衡, 这个平衡在于: 对于一般的电子签名, 由于其可靠性和法律要求都较低, 因此除非双方另有约定, 不能认定电子签名归属该签名所指的人。但是, 考虑到强化电子签名在技术上是相对可靠的, 于是就可以作出其归属的推定, 而将否认这种归属的举证责任加于签名所指者, 例如《统一规则》第四条规定“除非已证明强化电子签名既不是据称的签署人, 也不是某个享有代理权的人所为。否则该强化电子签名, 即推定为属于某个据称由他或以他的名义出具的人。”这种推定给予附有强化电子签名的合同接收方以确定性, 使其可以信赖该被签名的电子合同, 从而能对其行为后果作出合理预计。

(三)   强化电子签名的完整性推定

强化电子签名是附载在所传输的信息上的, 如制成消息消化(Message Digest), 而该附载的方法是仅由发送方控制的, 特别是对于目前最为常用的非对称加密技术而言, 对传输信息的稍加改变都可以被甄别。所以法律就作出这样的推定: 即有效的强化电子签名所附载的文档应被推定为完整的和未加篡改的。这种推定对于一般的电子签名可能也是不适用的, 比如密码验证就不具有这样的功能。法律的推定对于发送方而言, 其风险是并不很大, 因为通常只要他保管好签名的私钥, 就不会有人妨冒和篡改他发送的信息, 对接收者而言, 则避免了由于发送者的否认而使其经济安排产生过多的不确定性, 从而可以信赖被强化电子签名签署的文件。

强化电子签名的上述证明力表明, 电子商务中的电子合同也是可以被信赖的, 这对于大规模使用电子合同, 促进电子商务的发展具有重要意义。



三. 未经授权使用强化电子签名的责任



考虑到在现实的电子商务中技术风险客观存在, 确定强化电子签名未经授权而使用后的责任归属则是法律现实的任务。根据民法的一般原理, 由过错方承担责任。在未经授权使用强化电子签名的问题上, 这一过错责任也大体适用, 即使用未经授权使的强化电子签名的人负最终的责任; 在签名所指者和信息接收者之间, 如果签名所指者有过错的, 应当由签名所指者承担责任; 如果信息接收者由于过错而信赖该签名, 则由信息接收者承担责任。

划分签名所指者和信息接收者的责任应考虑两方的因素: 其一是对签名所指者的公平, 即考虑其是否应对未经授权使用其签名的行为负责; 其二是对信息接收者的安全, 即考虑其是否可以合理信赖经强化电子签名的信息。在平衡上述两个因素的过程中, 出于对促进电子商务发展和保护贸易安全的考虑, 立法更多地偏向保护信息接收者的安全。

(一)   签名所指者的过错

签名所指者负有保护其签名的私钥不被泄密, 以及泄密后及时向认证中心报告的义务。因为使用私钥制成的强化电子签名是鉴别其身份的最独特依据, 而作为向信息接收者提供签名者身份信息的认证中心也以私钥的隐密性作为其凭借数字签名技术建立公信力的基础。电子商务中信息接收者只能通过与发送者私钥唯一对应的公钥从认证中心获得发送者的信息。因此, 一般法律都认为若未履行下列义务之一, 签名所指者应对未经授权使用其强化电子签名的行为负责。(1) 合理注意, 以避免其签名工具被无权使用; (2) 知道其签名工具已经受到损害或存在已经受损的实质风险后通知可预期的信赖其签名的人和认证机构; (3) 如果其签名在认证机构登记, 应保持登记信息的准确性和完整性; (4) 妥善保存其签名私钥, 避免泄露。如果签名所指者违反上述义务导致他人未经授权而使用其强化电子签名, 并且信息接收方由于信赖该签名而受到损失的, 签名所指者就应承担相应责任。对其责任的范围, 目前尚无定论, 《统一规则》提出了两种不同的规定, 其一是“只对当事人恢复其未经授权使用强化电子签名前的状态的成本负责任”, 其二是对信息接收方合理信赖该签名而遭受的所有损失负责。应当说, 责任范围应当综合考虑签名所指者的过错程度, 客观风险因素以及接收方是否尽力避免等因素后作出合理划分。

(二)   信息接收者的过错

在通常情况下, 信息接收者可以信赖强化电子签名, 但这并不意味着他可以免除诚实、谨慎的义务, 法律仍然规定了一些其应承担未经授权使用强化电子签名责任的情况, 比如美国律师协会《数字签名指南》第5.4条列出了四种考查信息接收方信赖强化电子签名合理性的因素: “(1) 信赖方知道或注意到的事实, 包括证书列举的所有事实及通过合并而成为证书(公钥和签名者信息的集合)部分的事实; (2) 所知的该数字签署讯息的价值或重要性; (3) 信赖方和签署者的交易过程和数字签名之外所有可提供的信赖或不信赖标记; (4) 商业惯例, 特别是以可信体制, 或别的计算机为基础的手段所执行的贸易有关者。”与此类似地, 新加坡《电子交易法》第22条也规定了信息接收方承担未经授权的签名的签名不真实的风险责任的四种情况: “(a) 依赖于数字签名签署的电子记录的个人知道或已经注意到有关事实, 包括证书中列举的事实和包含在其他附录中的事实; (b) 如果知道数字签名签署的电子记录的价值及其重要性; (c) 依赖数字签名签署的电子记录的个人和登记人之间有处理过程, 已经可以获得的数字签名之外的签署是否可靠的其他情况; 以及(d) 使用任何交易方式, 尤其是使用可靠系统或其他电子交易方式执行交易。”也就是说, 当信息接收方知道, 能够知道或应当知道强化电子签名系无授权作出或不真实, 其仍信赖该签名导致的损失由其自己负责。

(三)   双方无过错时的责任分担

如果签名所指者和信息接收者都没有过错, 那么未经授权使用强化电子签名的责任承担则更多地出于价值倾向的考虑。一般的电子签名由于法律对其要求较低, 因而, 不能要求对其过多的信赖; 但对于强化电子签名, 出于对其技术的认可, 也出于对电子商务的鼓励, 一般要求双方无过错时的损失由签名所指者承担。表现在立法技术上则是列举信息接收方承担责任的情况, 而将其它情况中未经授权使用强化电子签名的责任都归于签名所指者。但这种归属又非绝对的, 《统一规则》第七条第3款(a)项作出原则性规定: “将导致称谓的签署人的困难与收件人遭受的损失不成比例”的情况仍可能将责任归于信息接收者。这种规定保障了法律的灵活性, 对于发展迅速、变化万千的电子商务环境还是有益的。

我国电子商务有很大的发展空间, 但企业信用普遍不足, 因此, 通过立法手段鼓励和规范使用强化电子签名对推进我国电子商务发展是十分必要的。

( 说明：文中的观点或信息与本网站主办单位无关)