查找:                      转第 显示法宝之窗 隐藏相关资料 下载下载 收藏收藏 打印打印 转发转发 小字 小字 大字 大字
【期刊名称】 《国际法学论丛》
电子商务安全问题的法律探讨及对我国的启示
【作者】 王谨【作者单位】 中国政法大学
【分类】 交通运输与邮电经济法【期刊年份】 2001年
【期号】 1(第1卷)【页码】 606
【全文】法宝引证码CLI.A.1222928    
  一、概述
  随着新世纪的来临,电子商务如浪潮般席卷了全球,据Forrest研究顾问公司统计,到2002年全球企业间电子商务交易额将达到3270亿美元。电子商务不仅预示着巨大商机,而且它深刻地影响着人们社会生活的方方面面。
  与传统交易一样,电子商务的安全性(即交易数据传输的保密性,可靠性和交易的不可抵赖性)也是从事电子商务的交易者所主要关心的问题。与传统交易不同的是,在网络空间交易双方不必面对面谈判就可以缔结一个合同,甚至货物的交付也可以通过网络来完成。这时,素未谋面的交易方不禁要产生疑问:和我签定合同的对方是否确有其人;这合同是否由他本人签署;数据传输中是否被人篡改过……这些问题都是围绕交易安全产生的。因此,保持交易安全,维护网上交易的信任制度,便是发展电子商务首先要解决的难题。否则,电子商务即使在初期有一定的发展,也会因无法克服安全问题这个“瓶颈”,而功亏一篑。另一个需要说明的问题是,个人数据的保护问题,表面上看与电子商务交易机制的安全无关,实际上,他涉及个人资料的安全,如果电子商务的参加者不能对其个人资料有效地控制,不能保证其处于安全状态,那么他就不会去从事电子商务。从这个角度出发,个人数据保护也就有必要纳入安全问题来讨论了。
  目前,有关电子商务安全问题的立法模式主要有:
  (一)美国模式
  在联邦立法和州立法的关系上,州法居于更主要的地位,联邦立法往往只是起一个示范作用,各州在宪法规定的范围内享有独立的立法权,联邦法律能否在各州适用取决于各州是否采用。2000年7月克林顿签署的《国际及国家商业中的电子签名法》(The Electronic Signature in Global and Na-tional Commerce Act)(E-sign)第102条就授权各州用各州的法律、条例或其他规定来限制或代替第101条的规定。所以目前美国关于电子商务的立法,是处于一种“诸侯割据状态”。[1]
  (二)欧盟模式
  在电子商务立法方面,欧盟则更注重统一立法。具体操作则是欧盟采取“指令”的形式对相关的内容予以规范,成员国则依据欧盟的指令,修改和完善本国关于电子商务的立法。[2]即欧盟机构发布的指令应借助于成员国的中介作用,才能在成员国直接发生效力。欧洲法院在1970年第33号案裁决中指出:只要指令所规定的义务是无条件的,相当精确足以在成员国及其所管辖的人的关系中产生直接效力,它就可以在成员国直接适用。[3]
  (三)国际组织模式
  目前,比较起各国电子商务立法来说,国际组织的立法是处于相对落后的,没有一个得到各国普遍遵守的有法律效力的电子商各的围际立法。国际组织只是将各国已成型的制度明确下来,且不一定能得到各国的同意,如联合国的《电子商务示范法》(Guide to Enactment of the UNCITRAL Modellaw on Electronic Commerce)只是起示范作用,而无强制性,各国可以根据本国的实际情况,考虑是否选择适用《示范法》。考虑到各国法律的差异,《示范法》在许多方面都没有做出规定,有的只是提出一个总则,留待各国自己去完善。
  二、电子签名问题
  (一)电子签名的概念
  电子签名(electronic signature)指通过一种特定的技术方案来鉴别当事人(主要指发件人和收件人)的身份及确保交易资料内容不被篡改的安全保障措施。电子签名除数字签名(digital signature),还包括计算机口令,生物笔记辨别法以及新近出现的眼虹膜透视辨别法等。下面,我们介绍其中主要的数字签名。
  数字签名是非对称加密技术和报文摘要技术结合的产物,其原理是:[4]
  (1)被发送文件用报文摘要算法产生数字摘要;
  (2)发送方用自己的私匙对摘要加密,这就形成了数字签名;
  (3)将原文和加密的摘要同时传给对方;菊花碎了一地
  (4)对方用发送方的公匙对摘要解密,同时对收到的文件用约定的与发送方相同的摘要算法又产生一个摘要;
  (5)将解密后的摘要和收到的文件在接收方重新加密产生的文件的摘要相互对比。如两者一致,则说明传递过程中信息没有被篡改过,否则不然。具体运作见图1:
  (二)两种立法模式及其优劣
  目前,各国基本上都承认了电子签名的法律效力。只是在法律规定采用的签名技术上,存在两种不同的立法模式,一种是技术中立,另一种是技术特定。技术中立是指在法律中不明确规定电子签名应采用的技术,只是规定电子签名和传统手写签名具有同样的法律效力,概念上一般都用“电子签名”概念,即广义的电子签名,如美国佛罗里达州的《统一电子交易法》、加拿大的《统一电子贸易法令》(Uniform Electronic Commerce Act);技术特定是指在立法中明确规定数据签名为惟一合法签名,即狭义的电子签名概念,如犹他州的《数字签名法》(Utah Digital Signature Act)。而新加坡的《电子交易法令》较为特殊:给予电子签署法律上的承认,但将数码签署视为稳妥可靠的电子签署,并就数码签署或附有数码签署的文件给予如同具有证据支持的假设。[5]
  采用不同的立法方式是居于两种不同的理性思考。采取技术中立的,主要是从维持法律的普遍性和稳定性出发,通过对现行立法的修改,使其适用于电子签名这种方式,不规定具体应适用的技术,而只以相同的标准来对待电子交易和传统交易,不使一种技术比其他技术更受优待。在不同的技术方案中,选择权属于交易的当事方,允许当事方做出理智的选择。采取技术特定的,则是出于支持和促进某些特定技术的目的,认为某种技术及其实施为互联网的使用者提供了巨大的利益,并经实践证明是优于其他技术且更安全可靠,因此,立法应该确认并推广这种技术。
  笔者认为,这两种立法方式各有优劣。采用技术特定立法是目前受到抨击最多的,反对者认为尽管这种立法更加直观,使用者可以清楚地知道哪一种技术是被法律承认为有效的,但是确立一种技术是被法律所承认的,其负面影响即阻碍了其他技术的发展;从长远看,一种技术不可能永远是领先的,随着新技术的出现,一度被认为有效的技术有可能不再能够充分保障交易的安全了。这时,法律就不得不随着技术的改变而改变,从而失去了稳定性和可预见性。
  采用技术中立的,似乎可以解决以上问题,其赞成者也正是基于此点来批评技术特定方式的。然而这一方式本身存在的问题是,法律由于制定得过于笼统而缺乏了可适用性。尤其当人们需要有规可循时,仅仅原则性的规定无法满足这一点。
  (三)电子签名的适用范围
  有些法律规定电子签名适用于所有交易,如佛州《统一电子交易法》;有些法律规定只适用于特定交易,如《加州金融法》[6]。有些法律还规定适用须取得交易方的同意,如E-sigh规定:只有在一个消费者同意接受电子译本以及被证明有能力接受时,一个电子译本才被视为符合书面形式的要求。因为即使在像美国这样的电子商务发展居世界邻先地位的国家,也不是人人都能接触tntemet,如果某个机构,如银行,强行规定其业务都采用电子形式,对那些没有能力用电子形式的客户来说,则是明显不公平的,同时也意味着不能采用电子形式的交易方会失去许多交易机会。所以,采用电子形式前应征求客户同意,如其不同意,则必需用传统的书面形式。
  三、电子认证问题
  (一)概述
  为确保电子商务的安全性,除了在信息传输过程中采用足够强度的电子签名措施以外,还必须在网上建立一种信任及信任验证制度,使交易及支付各方能够互相确认身份,这就要求电子商务的参加方在网上进行交易时必须携带一张“网上身份证”,交易方通过验证对方“网上身份证”的真伪来解决相互间的信任问题。在电子商务中,此“网上身份证”即指由认证机构(Certification Authority)发放的数字证书(digital ID)
  认证机构,是指承担网上安全电子交易认证服务,受理数字证书的申请,签发及管理数字证书的服务机构。它依据认证操作规定(CPS Certifica-tion Practice Statement)来实施服务操作,在交易中检验和管理证书,证明某一主体的身份及其公开密匙的合法性,他是电子商务和网上银行交易的权威性、可信赖性及公正性的第三方机构。根据所颁发的数字证书的不同,CA认证中心的系统可分为Set CA和Non Set两种。SET (Secure ElectronicTransaction)协议可以保证交易的安全性、不可抵赖性,但是实现复杂,每次交易花费的时间长,客户端需要有专门的软件,所以大多适用于B-to-B模式,不适用于大量的小额交易;相反的,Non Set协议中最主要的SSL(Security Socket Layer),虽然不能实现通信双方的数字签名,无法防抵赖,但其实现复杂程度低,交易过程快速,不要求开户端有专用软件,所以更多地适用于B-to-C模式。
  (二)认证机构的责任
  1.认证机构与签名人
  在电子商务认证系统中,当签章签发人向认证中心申请签发数字证书时,双方即成立合同关系。因此,如认证中心与签发人发生民事纠纷时,双方应以合同规定来确定权利义务。只是,此种合同是一种定型合同,且大多以鼠标在网上点击“同意”来订立,因此,对于申请人来说,要么就全部接受合同内容,要么就不接受此认证机构提供的服务,并无对合同内容修改的权利。所以,此合同对申请人的效力,在具体案例中,还应视实际情况作出相应调整为好。再则,如法律上有对认证机构责任的强行规定时,则合同上的内容不能排除法律上的强行规定。
  2.认证机构与签名的接收人
  在目前的实际中,认证机构与签名的接收人之间订立合同的情况还很少见,因此,他们之间权利义务的主要依据为“凭证操作准则”(Certifca-tion Practice Statement)。国际商会(ICC) 1997年11月6日公布的《国际数位化安全商务一般惯例》第VI部分第3点规定对此作出了规定:所谓“凭证操作准则”指认证机构用以核发一般凭证之实际操作说明,“准则”则包括技术标准(Technical Standard)、专业行为与操作规则(Rule of Professional Conduct or Practice)、认证机构所应适用之法律(Laws Applicable to the Certifi-er)或其他认证机构所应遵循之规则。该规定的立法目的特别强调:如凭证操作准则非为某特定交易当事人之间所详知或同意,或非为贸易上普遍详知广泛接受之内容,或非为广泛所知悉之习惯及相关之国内法时,其格式应尽可能地提供并通知予信赖该制度之当事人,以便利其检索与利用。凭证操作准则毋须为一定之格式,但其表达之形式应提供高度合理可读性(read ability)、存取性(accessibility)与便利性(ef'iciency)。
  据此,当签名的接收人因信赖认证机构所签发之凭证而受有损害时,如有合同,则应成立违约之债,追究违约责任;如没有合同,则可以追究侵权责任。
  3.认证机构的限制责任制
  就目前已有的关于认证机构责任的法律来说,主要是采取限制责任制,美国犹他州《数字签名法》即是关于此的代表。该法§46-3-309规定:通过在认证证明中具体指明建议的信赖限度,认证机构所承担的责任不应超过建议的信赖限度。除了该法的规定,认证机构自己也可通过自己的运作程序建立其责任限度。该法进一步指出除非认证机构在运作程序中放弃法律规定的限制,认证机构不承担任何超过建议信赖限度的责任,即使“任何由于信赖签发者作出的错误的或伪造的签名而造成了损害……只要对于这一错误或伪造的签名,认证机构遵守了本法的实质要求。”这些实质的要求包括使用“值得信赖的系统”提供服务,不以一种造成不合理的损失风险的方式进行业务”。[7]
  无论如何,根据犹他州的立法,即使损失是由于信赖了认证机构错误陈述造成的,认证机构的责任仍限制在认证中指明的建议的信赖限度之内,这就有效地把可追索的损失仅限于直接的可赔偿的范围内,而不包括惩罚性的损失、利润的损失和精神痛苦的损失。
  许多评论家都认为该法对消费者和非熟练用户的利益,没有足够的保护。
  华盛顿州立法对此采取了一定改良。首先,它允许利息包括在赔偿之列,对于恶意第三人冒用别人证书从银行提款的情况,其损失由认证机构负责,从而有利于消费者的保护;其次,对于企业来说,则允许其得到利息与机会利益的赔偿。
  笔者认为,在电子商务试运行阶段,采取认证机构限制责任的谨慎做法是可取的。比起电子商务的交易双方来说,认证机构是一种新出现的实体,因此在价值取向上应是鼓励其发展,如果对其采取过重的责任将使其裹足不前,不利于其发展;另一方面,现在对认证机构在交易中可能出现的风险究竟有多大,还看不清,相应的保险制度也没有建立,所以采取限制责任不失为一条权宜之计。
  相对于美国来说,在认证机构的责任方面,欧盟有所加重。如《关于建立电子签名共同法律框架的指令》(Directive on a Community Framework for Electronic Signature)[8]第6条规定:1.作为最基本要求,成员国应确保证书服务提供者(Certification-service-provider)在对公众发出证书或对证书提供担保时,对任何合理信赖此证书的实体、法人和自然人因此而招受的损失负责赔偿;(a)对发出此证书时,证书中所包含的所有信息的精确性(accuracy)和有关事实负责;(b)应确保发出此证书时,签名者拥有和产生签名的资料(signature-creation data)相应的验证签名的资料(signature -verification data); (c)在证书服务提供机构同时产生(b)中所指的两种资料时,应确保二者能配合使用;2.作为最基本的要求,成员国应确保证书服务提供者在对公众发出证书,因没有及时对撤销证书进行登记而对任何合理信赖此证书的实体,法人和自然人因此而招受的损失负责,除非证书服务提供者能证明自己无过失;3.成员国应确保证书服务提供者可在证书中限制此证书的适用范围,如果此限制能被第三人识别的话,则证书服务提供机构对超出此适用范围而引起的损失不负赔偿责任;4成员国应确保证书服务提供者可在证书中限制交易的金额,如果此限制能被第三人识别的话,则证书服务提供机构对超出此交易金额而引起的损失不负赔
法小宝
  ······

法宝用户,请登录后查看全部内容。
还不是用户?点击单篇购买;单位用户可在线填写“申请试用表”申请试用或直接致电400-810-8266成为法宝付费用户。
【注释】                                                                                                     
©北大法宝:(www.pkulaw.cn)专业提供法律信息、法学知识和法律软件领域各类解决方案。北大法宝为您提供丰富的参考资料,正式引用法规条文时请与标准文本核对
欢迎查看所有产品和服务。法宝快讯:如何快速找到您需要的检索结果?    法宝V5有何新特色?
扫码阅读
本篇【法宝引证码CLI.A.1222928      关注法宝动态:  

法宝联想
【共引文献】
【作者其他文献】
【引用法规】

热门视频更多