陈 灏,张禾青
(四川大学 公共管理学院,成都 610225)
我国《电子签名法》定义下的电子签名,是指“数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据”。
电子签名实现技术多种多样,PKI是其中最成熟也是应用最为广泛的一种。同时,基于PKI技术的电子签名还要辅以数字证书,数字证书是一种复合一定格式的权威性电子文件,用以识别并证明电子签名持有人的真实身份。申请数字证书后,便会得到一个公钥和一个私钥,私钥仅限申请者本人使用,公钥则放置在数字证书之中。此后就可以利用数字签名进行信息加密或是认证工作:若他人发给持有人的文件有保密需要,可以对其所持有数字证书中的公钥进行加密,那么只有持有者本人用手中的私钥才能解密这份文件;若持有人需要证明自己对一份文件的所有权时,可以用私钥对文件进行加密,他人如果能以持有人数字证书中的公钥进行解密,就证明了这份文件确为持有人所有。在第一种行为中,数字证书扮演了锁的角色,而签名就像是钥匙,解开数字证书这把“锁”以对文件进行解密;第二种行为中,数字证书成了钥匙,如若能用它打开持有者签名这把“锁”,则说明钥匙与锁是一对,即就说明文件为数字证书持有人所有。那么,如此重要的数字证书来源主要依靠CA这样一个第三方权威机构,由它向申请者提供数字证书。正是借助PKI-CA这样一个技术体系,电子签名才得以应用。
除过文件签名与验证、加密与解密以外,电子签名还可以应用于网站服务器认证、电子邮件等众多领域。
《中华人民共和国电子签名法》由总则、数据电文、电子签名与认证、法律责任、附则5章内容组成,共36条。“总则”解释了电子签名法的立法目的,对电子签名、数据电文等概念做出定义,并明确承认电子签名的法律效力,同时列出该法所不适用的范围;“数据电文”一章分别规定了数据电文的原件形式要求、保存要求、证据效力等内容,说明了数据电文作为法律证据的真实性因素,也包含了发件人、发送时间地点、接收时间地点等内容;“电子签名与认证”一章引入“可靠的电子签名”这一提法并罗列出其应当符合的条件,之后用大量篇幅陈述对于第三方权威机构提供电子认证服务的标准限定;“法律责任”一章对电子签名相关的民事责任、刑事责任及行政责任做出相关规定,其中以电子认证服务机构的行政责任尤为居多;“附则”一章对法律条文做了有机补充。
电子签名法的法律相关主体包括签名人、签名依赖方和电子认证服务机构三方,而由于签名人和签名依赖方的不可预测因素颇多,电子认证服务机构便成为了法律约束中最关键的一方。法律意义上的相关客体是指权利和义务所指向的对象,就电子签名法而言,其涉及的客体主要有电子签名认证证书和电子签名行为,前者是信息客体,后者为行为客体。
电子签名的合法性依赖于相关法律依据,电子签名的法律效力也有一定限制。
不论从依靠判例的欧美法系角度出发,还是由依靠法律条文的大陆法系出发,关于电子签名合法性的规定都有据可循。早在1869年,美国新汉普郡法院在一起有关电报合同案件的判决中就体现对电子签名有效性给予认可的思想倾向,并用大量优美的文字说明理由。
《中华人民共和国电子签名法》中也多次提到对电子签名法律效力予以承认的规定。第三条“当事人约定使用电子签名、数据电文的文书,不得仅因为其采用电子签名、数据电文的形式而否定其法律效力。”第十四条“可靠的电子签名与手写签名或盖章具有同等的法律效力”这些都可视作电子签名的法律效力来源和依据。
电子签名通过法律证明其效力,而相关立法模式成为其有效性来源。而就目前来看,反映出不同立法思想的模式主要有以下三种:第一种称为技术特定式立法,该模式仅确认以不对称机密技术为基础的电子签名具备合法地位,对电子服务认证机构有严格的技术规定和要求。第二种是技术中立式立法,即“最低限度方案”,法律并不规定电子签名应当采取哪一种技术方案,而对广义范围内的电子签名都予以承认,此种立法模式有利于电子签名技术的自由发展,但也带来了一定的安全隐患。最后一种称为折衷式立法,它结合了前两种立法模式的特点。
电子签名的法律效力是有限的。要保证电子签名的法律效力,首先要保证电子签名的主体合法,即若签名人是一个自然人,他应该具备最起码的民事行为能力。
同时,电子签名也具有一定的适用范围,只有适用范围内的电子签名才被视为合法。除此之外不能够使用电子签名的场合称作排除范围。
电子签名无疑是信息技术高速发展带来的产物,它具备形式上的先进性和时代性,但也存在内核中的稳定性和延续性。《电子签名法》的出台为电子签名的法律效力正名,规范了电子交易行为、也有利于保障电子信息安全。