歐盟與美國的電子簽名法述評

王一懷


摘要：電子商務己被認為是具有美好前景的全球數(shù)字經(jīng)濟發(fā)展中的關鍵性因素�，F(xiàn)在人們普遍認為，現(xiàn)有的法律框架尚不能有效地向人們提供一個可資信賴的、具有安全保障的在線商務環(huán)境。電子商務的安全問題一直是各個國家和各國際組織所關注的對象。本文從電子交易安全的中心環(huán)節(jié)－電子簽名出發(fā)，考察歐盟和美國所采取的立法措施及其為建立共同的電子認證法律平臺作出的努力，并根據(jù)歐盟與美國的經(jīng)驗，提出了我國電子簽名立法中值得重視的幾個方面，以期對我國立法和實踐有所助益。
關鍵詞：網(wǎng)絡安全 電子簽名 數(shù)字簽名 歐盟電子簽名指令 美國電子簽名法案

一、電子簽名及其規(guī)制模式

電子簽名的定義，不同的國際組織和國家立法各不相同。但本質(zhì)上說，電子簽名是“建立在計算機基礎上的個人身份”。電子簽名的形式很多，有“位圖簽名”、“生物簽名”（如虹膜掃描）和“數(shù)字簽名”等。其中的“數(shù)字簽名”，依賴于“不對稱的加密技術”(PKI)，使用兩把不同的、在數(shù)字上互有聯(lián)系的一組鑰匙（key pair），即“公共鑰匙”和“私人鑰匙”（the private and the public key），來創(chuàng)設數(shù)字簽名，對數(shù)據(jù)進行編碼、解碼和對簽名進行驗證。數(shù)字簽名可以較好地保證公開網(wǎng)絡上信息的安全性和保密性，保障數(shù)據(jù)的完整性并避免數(shù)據(jù)被非法篡改，是目前電子簽名中最為高級、且得到廣泛應用的電子簽名形式。
在電子商務中，交易的安全問題至關重要。由于交易從雙向轉(zhuǎn)為互聯(lián)網(wǎng)上的多向，而且大多數(shù)交易通常不存在前契約關系，相互間也沒有再次交易的可能，如何確認某一特定交易當事人的身份，防止拒絕承認提交、傳遞了交易信息、否認信息內(nèi)容的完整性，便很重要。電子簽名的數(shù)字簽名具有“不得拒絕”的功能（non-repudiation），可以較好地解決這一問題。該功能通過“可信任的第三方”（TTPs），即“認證機構”(CAs)的認證來實現(xiàn)的。認證機構簽發(fā)“認證證書”（certificate），將某一公共鑰匙明白無誤地歸屬于某一特定身份，并根據(jù)詢問的層次，使用“識別”（identification）、“時間戮記”（time stamp）等方法來確認證明對象的身份。認證機構同時也使用數(shù)字方法進行簽證并提供“自我認證”（self-certification）、“交叉認證”（cross-certification）和“根認證”( root CA)）等方式，幫助識別認證機構的身份和認證證書的真實性。
電子簽名（尤其是數(shù)字簽名）的主要優(yōu)點是：首先，它能夠提供更大的安全性、可靠性和透明度，將欺詐、以被模仿為由逃避責任的風險降到最低的限度。數(shù)字簽名能滿足信息完整性的要求，防止未經(jīng)授權獲得數(shù)據(jù)，及時發(fā)現(xiàn)非法篡改信息的活動從而減少以數(shù)據(jù)被改變?yōu)橛傻乃髻r。數(shù)字簽名在功能上與紙質(zhì)形式相同，以數(shù)字方式簽訂的電子合同也能滿足法律上的書面形式、簽名和文件原始性的要求。其次，電子簽名可以保證公共事務處理的安全性和透明度，提高數(shù)據(jù)處理速度，并可以進行加工、儲存和傳送，保證行政程序的效率。
目前，國際上規(guī)制電子簽名的方案（initiatives）有三種主要模式：一是“最低要求方案”（Minalist Approach），也稱“技術非特定化方案”。它確立技術的“中立”(technology-neutral)地位，認為電子簽名存在多種技術手段，應由市場和消費者去作出判斷和選擇，立法者只需要提出原則性要求，政府不應對具體技術作出選擇。該方案具有示范性的是1996年聯(lián)合國貿(mào)易法委員會制定的《電子商務示范法》(UNCITRAL Model Law on Electronic Commerce)。二是“數(shù)字簽名方案”（The Digital Approach），也稱“技術特定化方案”。它確定以不對稱的加密技術為基礎的數(shù)字簽名作為合法的電子簽名技術，對認證機構提出了某些技術和財務的條件要求，規(guī)定鑰匙持有人的責任并明確了判別電子簽名可靠性的條件。美國律師協(xié)會1996年制定的《ABA數(shù)字簽名指南》（ABA-Digital Signature Guidelines）和歐盟制定的《歐洲電子簽名標準化行動計劃》（EU-Wide satandardisation initiatives, EESSI），是采用這種方案的典型例子。三是“雙軌制方案”(Two-tier Approach)。它是一種“混合型”（hybrid）的折衷方案。它對各種電子認證方法規(guī)定條件，賦予其最低限度的法律效力（“最低限度”），對某些廣泛使用的技術（即“數(shù)字簽名”）賦予較大的法律效力，以建立一套不受時間淘汰的規(guī)制體系。聯(lián)合國《電子簽名示范法》（UNCITRAL Model Law on Electronic Signatures）采用的是這種方案。上述三種方案中，源自于美國猶它州立法的“數(shù)字簽名方案”由于將數(shù)字簽名技術確定為電子簽名的技術基礎，從而限制了其它技術的發(fā)展，被認為是過時的。

二、歐盟與美國電子簽名法的主要內(nèi)容和特點

（一）《歐盟關于建立電子簽名共同法律框架的指令》（EU Directive on a Community Framework for Electronic Signatures）

歐盟委員會1997年4月提出著名的《歐洲電子商務行動方案》（European Initiative in E-commerce）之后，歐盟各國又于同年7月在波恩召開了有關全球信息網(wǎng)絡的部長級會議，并通過了支持電子商務發(fā)展的部長宣言。宣言主張政府在電子商務立法中應減少不必要的限制，幫助民間企業(yè)自主發(fā)展，促進網(wǎng)絡商業(yè)競爭。隨著電子商務的發(fā)展，為了在歐洲的層面上制定一個統(tǒng)一的電子簽名法律框架，克服各國對互聯(lián)網(wǎng)市場規(guī)制上出現(xiàn)的互不協(xié)調(diào)局面，并與國際上各國的行動保持同步，歐盟委員會于1999年12月13日制定了《關于建立電子簽名共同法律框架的指令》(以下簡稱《指令》)。其主要目標是：1、推動電子簽名的使用，促進法律承認；2、協(xié)調(diào)成員國之間的規(guī)范；3、提高人們對電子簽名的信心；4、創(chuàng)設一種彈性的、與國際的行動規(guī)則相容的、具有競爭性的跨境電子交易環(huán)境。
《指令》提出一個涉及電子簽名和”認證服務商”（CSPs）的法律框架。它依據(jù)交易的敏感度的不同，將電子簽名依其安全水平的高低分為“基本電子簽名”(the basic signature)和“高級電子簽名”(the advanced signature)，前者適用于低水平交易，后者用于需要較高安全水平的交易�！吨噶睢窙]有提出具體的技術導向，但偏向于采用數(shù)字簽名(第二條第二款、第五條)。
在法律承認方面，《指令》提出了電子簽名的非歧視原則。但它要求“高級電子簽名”必須滿足國內(nèi)法的形式條件，而且事實上只將數(shù)字簽名視為效力等同于手寫簽名的電子簽字方式。此外，它規(guī)定電子簽名作為證據(jù)不得因其為電子形式而被拒絕具有可強制執(zhí)行力和可采證力（第五條第二款）。但這種承認仍然有限，因為所有關于合同或非合同義務的規(guī)定被排除在《指令》的范圍之外，關于合同訂立、效力的問題也必須符合國內(nèi)法或歐盟法律所規(guī)定的條件。
在市場進入方

面，《指令》規(guī)定各成員國不得將電子簽名認證服務納入“強制性許可”（mandatory licensing）范圍，應由各成員國自行決定引入“民間認證方案”（voluntary accreditation schemes）。但它要求必須客觀、透明、非歧視和適當?shù)模ǜ郊�二）�?br />《指令》規(guī)定了認證服務商的責任規(guī)則（第六條）。對于因為泄漏數(shù)據(jù)而給任何機構造成的損失，以及對于其所簽發(fā)的合格證書產(chǎn)生的“合理信賴”（reasonably relies）而造成的損失，認證服務商應承擔責任，除非其能夠證明其沒有“疏忽行事”（act negligently）。此外，《指令》承認第三國認證具有與歐盟的認證服務供應商所簽發(fā)的證書同等的法律效力，只要其與歐盟存在連結關系（如歐盟的民間認證），或歐盟與該第三國之間有雙邊或多邊協(xié)議（第七條）。
總的說來，《指令》采用了“雙軌”模式，集合了各成員國的不同趨向和政策。它確立了電子交易安全的最低要求，注重電子簽名和認證服務商應具備的條件，但調(diào)整范圍卻較為狹窄（第一條）。其次，《指令》承認電子商務的擴展應由市場力量來決定，但又認為“商業(yè)現(xiàn)實不能清楚地為私營業(yè)界提供前進的方向，不論是采用國家調(diào)整還是自律調(diào)整方式，國家仍然是主導的力量�！痹俅�，數(shù)字簽名被視為具有完全等同于手寫簽名和簽章的效力，其它電子簽名形式也在法律上也得到承認，但其法律約束力卻要取決于各成員國的國內(nèi)法規(guī)定。最后，《指令》詳盡地規(guī)定了認證服務商的責任，對于認證證書持有人的責任沒有作出具體規(guī)定，也沒有規(guī)定消費者對認證服務商（通常是銀行）所享有的權利。

（二）美國《全球和國內(nèi)商業(yè)法中的電子簽名法案》（Electronic Signatures in Global and National Commerce Act ）（E-Sign Act）

美國的電子簽名立法起步較早，《猶它州電子交易法》（UETA）是涉及電子簽名的第一個立法，并被奉為二十多個州的示范法。這部“技術中立（technology-neutral）”的法案規(guī)定：1）電子簽名符合手寫簽名的各個要求，并且可在法院訴訟中接納為證據(jù)；2）電子合同得以強制執(zhí)行；3）不存在對特定技術的特別待遇，但法院可以將不同技術納入考慮范圍。
2000年10月美國國會通過《全球和國內(nèi)商業(yè)法中的電子簽名法案》（以下簡稱《法案》），并由總統(tǒng)克林頓以電子方式簽署為法律。它是一項重要的電子商務立法，其突出特點是，采納了“最低限度”模式來推動電子簽名的使用，不規(guī)定使用某一特定技術。其主要內(nèi)容有如下幾個方面：
在電子簽名的適用范圍方面，規(guī)定適用于一切影響到州際的或外國的商業(yè)合同、協(xié)議和記錄，以及《1934年證券交易法》管轄范圍的事項。也即是說，電子簽字可以廣泛適用于消費者申請抵押或貸款、在網(wǎng)上購買汽車，開立傭金戶頭或處理與保險公司的事務等領域。
對于電子簽名的效力，《法案》將重點放在查證簽名人的意圖上，而不是簽名的形式和規(guī)則�！斗ò浮焚x予電子簽名、電子合同和電子記錄與傳統(tǒng)形式和手寫簽名相同的法律效力和可執(zhí)行力。它不但承認了“數(shù)字簽名技術”，而且也授權在未來可使用其它任何類型的簽名技術。但它同時也明確，《法案》的規(guī)定不影響現(xiàn)有關于合同、記錄必須采用書面、簽名或電子形式以外的其它形式的法律要求。
《法案》規(guī)定了通過選擇“加入”系統(tǒng)而自愿使用電子簽名或記錄的規(guī)則。消費者可以自由地選擇交易形式（即“當事人自治”）；如果同意進行在線交易，則以電子方式確認其意思表示。《法案》規(guī)定，公司必須提供一種“清楚、明晰的陳述”，并在消費者作出意思表示之前，告知其有權獲得一份非電子形式的記錄和撤回其意思表示，以及有權取得保留電子記錄所需要的硬件和軟件條件（第101條）。至于消費者的“意思表示”，必須“合理地表明”消費者獲得電子形式的信息，該信息用以證明消費者意思表示（同意）的客體。
在《法案》與州一級的電子簽名法的相互關系上，法案規(guī)定，州法只有在采用猶他州《電子交易法案》（UETA）的“清潔”版本，或通過一部專門的技術中立法時，州法才能優(yōu)先于該法案。《法案》因此確立了為全國所接受的統(tǒng)一標準，同時修補了所謂的“猶他州法的漏洞”。至于電子簽字的國際性效力，《法案》的規(guī)定與聯(lián)合國的電子商務示范法是相一致的。它消除了以紙質(zhì)為基礎的對電子交易造成的障礙，對來源于其它國家的電子簽字和認證方法采取了非岐視的原則。
《法案》的特點在于：第一、與歐盟的《指令》相比，最具積極意義的部分是在私營部門和自律政策方面。它試圖為電子交易的可靠性和安全性提供一個法律框架，對政府的不適當干預進行限制，放棄對電子簽字和認證的強制性規(guī)制方案，采取了自由化的和非岐視的市場導向方法。第二、《法案》通過“技術中立”的規(guī)定，明確表明，保障在線簽約安全不只存在一種單一的技術或方法，盡管數(shù)字簽名在美國得到了廣泛的承認。第三、《法案》預先制止了可能出現(xiàn)的指定特定技術方案的州一級的電子簽字法的出臺，為創(chuàng)設互通性的電子簽約系統(tǒng)創(chuàng)造了條件。

三、歐盟與美國在電子簽名法律與政策上的協(xié)調(diào)

歐盟與美國的電子簽名法由于采用了不同的規(guī)制模式，在電子簽名的政策導向、電子認證的管制以及第三國認證的效力等方面出現(xiàn)了明顯的差異，而這對于推進電子商務的全球性和交互性，消除國際電子商務的統(tǒng)一障礙是不利的。面對這些政策措施的不協(xié)調(diào)，美國和歐盟意識到需要進行合作，以推動建立一種安全的、有利于電子商務發(fā)展的統(tǒng)一基礎設施。其中最為重要的是“環(huán)大西洋行動”（transatlantic agenda）和“全球電子簽名認證網(wǎng)絡”(Idntrus)。
“環(huán)大西洋行動”是歐盟和美國為了縮小電子簽名方面的政府和立法措施的差距，以達到在環(huán)大西洋層次上，實現(xiàn)電子簽名法律效力和條件標準化的政府層面的合作。
早在1990年，美國和歐盟（當時的歐共體）及其成員國就共同宣布要加強合作以進一步“推動市場原則，反對保護主義，擴大和進一步開放多邊貿(mào)易體制”。鑒于互聯(lián)網(wǎng)的發(fā)展以及電子商務的急速擴張，歐盟和美國在1997年和2000年的首腦高峰會上主張采取下列指導原則：一、電子商務應由市場來主導并由私營機構來推動；二、政府只提供一個清晰、協(xié)調(diào)和可預測性的法律框架，以推動競爭環(huán)境的形成以使電子商務繁榮發(fā)展，并給消費者以充分的保護；三、提倡業(yè)界的自律，例如實施行為代碼，示范合同，業(yè)界與其它私人機構達成的指導規(guī)則，以取得消費者對電子商務的信心；四、消除現(xiàn)有的不必要的法律和管制，防止出現(xiàn)新的障礙；五、實現(xiàn)電子認證方法的互通性、創(chuàng)新性和競爭性，并在此條件下達成適合于國際一致認可的統(tǒng)一標準。
根據(jù)這些原則，歐盟和美國啟動了“環(huán)大西洋行動”，目標是制定電子商務的行動計劃，逐步消除歐盟和美國之間的貨物、服務以及資本流動的各種障礙，促進一個新的環(huán)大西洋市場的形成。歐盟和美國在其各自現(xiàn)有的規(guī)則和政策的基礎上開展合作，以最大程度地實現(xiàn)技術透明、規(guī)制協(xié)調(diào)一致、營業(yè)共享以及認證方法的非岐視。
“環(huán)大西洋行動”是歐盟和美國在政府層次上的合作。但在其中起作用的重要角色是私營機構，尤其是“全球電子簽名認證網(wǎng)絡(Idntrus)”。Idntru

s是為了減少電子交易所面臨的規(guī)制方面的障礙于1999年在美國建立起來的一個全球性的電子簽字認證網(wǎng)絡。每一家與該認證網(wǎng)絡系統(tǒng)連接的金融機構事實上都是認可的認證機構。Idntrus依賴于一些由金融機構牽頭的歐美私營機構而建立起來，其主要目的是對交易各方的身份和授權進行鑒別，確保通訊信息的保密性、所傳輸?shù)挠嵪⒌耐暾�性以及在公開網(wǎng)絡上的簽名的“不可拒絕性”，同時保障建立在統(tǒng)一標準基礎上、超越任何法律分歧的電子交易系統(tǒng)的互通性。
歐盟目前已經(jīng)正式批準了Idntrus，并授予金融機構以獨立認證機構身份參與競爭，從而確立認證服務的基礎。目前，全球已有接近五十家銀行與“全球電子簽名認證網(wǎng)絡”進行了連接。
可見，不論歐盟和美國的法律和經(jīng)濟背景如何不同，發(fā)展電子商務的現(xiàn)實共同需要使得雙方必須在建立一個相互協(xié)調(diào)、兼容的法律環(huán)境方面進行合作。實際上，在《電子簽名指令》和《電子簽名法案》頒布之前，雙方各自的政府和商界之間就己開始進行合作，但立法機構之間并未就解決在線交易面臨的法律挑戰(zhàn)上共同尋求對策和進行合作，而且對認證方法采用了不同的處理方式。

四、歐盟和美國電子簽名法的評價與思考

可以看出，不論是歐盟還是美國，其解決電子商務中的電子簽名與安全認證問題的方案仍然是不完善的：
第一、歐盟對電子簽名與電子認證實施過度規(guī)制的政策，抑制了電子商務的發(fā)展。其原因是“防范網(wǎng)絡犯罪和保護消費者的政治需要，以及擔心失去在線的稅收收入”。歐盟的許多消費者保護主義者要求嚴格規(guī)制電子商務，甚至希望將其趕出現(xiàn)實生活。而美國的政策被認為是放任主義，其目前采取的認證方法使消費者的風險過大，導致加速人們的意見分歧，使接受與不愿接受電子商務的人們之間的鴻溝日益增大。因此可以說，目前任何一種解決方式都談不上更為有效，更與網(wǎng)絡時代的需要相一致。
第二、目前電子商務發(fā)展中仍缺少共同的國際技術標準，網(wǎng)絡仍存在不安全性和來自欺詐的威脅；而且，實施電子簽名需要各種成本，也缺乏一種共同的跨境交易法律基礎，傳統(tǒng)消費者對在線交易感受到較大的心理壓力，這些都是電子商務發(fā)展中的障礙。而作為公司來說，它仍需要繼續(xù)開發(fā)各種系統(tǒng)，向人們證明其數(shù)據(jù)沒有受到非法的篡改和損害，其簽名是確切的，而且交易各方都能清楚了解交易協(xié)議。就目前來說，歐盟和美國的電子簽名法遠遠未能解決這些問題，商界在電子商務發(fā)展中所承擔的風險仍然很大。
第三、歐盟各國和美國各州都沒有將其各自的立法與歐盟的《指令》和《法案》完全予以協(xié)調(diào)，因此，電子簽名和電子簽署文件的法律地位仍不確定。多數(shù)國家的證據(jù)法只賦予紙質(zhì)文件上的手寫簽名以完全、充分的法律效力，而法官對于改變法庭證據(jù)的成規(guī)也不熱心。這意味著，如果發(fā)生電腦系統(tǒng)崩潰、電子認證被偽造、電子文件被篡改，消費者便負有法律上的證明責任。由于《指令》和《法案》對于這些情況下消費者的責任沒有作出限制，用戶要證明認證機構簽發(fā)的證書所支持的簽名是無效的就很困難。除了技術故障和對電子簽名的濫用外，消費者仍然在人為錯誤造成的電子交易糾紛中仍然負有舉證責任。
盡管如此，歐盟的《指令》和美國的《法案》對于電子商務的發(fā)展來說，都是具有創(chuàng)新意義的，其共同的目標是建立一個實用的、定義清晰的電子交易法律環(huán)境。由于電子簽字仍處于發(fā)展的初期，這兩部法律的許多方面仍需依據(jù)用戶和市場的需求來逐步完善。至于有關電子簽字的法律效力、認證機構的法律地位和責任、消費者對電子交易的選擇權以及權益的保護等問題，更需要政府間、仍至國際社會的共同努力。
筆者認為，歐盟和美國的電子簽名立法和實踐，對于我國來說，有如下幾點啟示：
第一、電子簽名至今未有一種統(tǒng)一、完善的法律規(guī)制模式。美國與歐盟的模式各有其優(yōu)、缺點。歐盟對認證機構賦予較大的責任，強調(diào)對消費者的保護，強調(diào)政府的引導作用，對于確保網(wǎng)絡的安全，建立消費者對電子商務的信心，顯然具有重要作用；美國的方案采取開放式的“最低限度”模式，不那么詳盡的立法和規(guī)則有利于電子商務在較少束縛的條件下發(fā)展。我國的電子商務起點低，決定了不能盲目地照搬他國模式，應在充分研究各國的經(jīng)驗基礎上，確定適合自己的規(guī)制方式。
第二、應遵循技術中立的原則。目前，國際上流行的態(tài)度是，電子簽名標準的發(fā)展應該統(tǒng)一、透明和客觀，應放棄為每一種認證方法進行立法的做法，應承認各種電子簽名的形式的合法性，只要其符合國際標準，均具有同等的法律效力和可強制執(zhí)行力。反映到立法上，就是要確立技術的中立地位，避免規(guī)定使用特定技術，只從功能上對電子簽名作出規(guī)定。這樣，才能為未來新的電子簽名技術的發(fā)展預留法律空間。
第三、電子商務代表了一種新的經(jīng)濟發(fā)展方向，政府負有推動其發(fā)展的責任。同時，政府也負有最大程度地保障網(wǎng)絡安全、保護消費者利益的責任。因此，政府應鼓勵公眾使用電子簽名，并就電子交易的可靠性和安全性向他們提供一定的保證。法律應規(guī)定認證機構對消費者的責任，保護用戶在出現(xiàn)欺詐、濫用甚至人為差錯時應享有的權利，同時讓不愿意或不能使用電子簽字的用戶有選擇傳統(tǒng)交易方式的權利。如何平衡鼓勵發(fā)展與保障網(wǎng)絡安全和消費者利益，是電子商務發(fā)展中政府必須妥善處理的一對矛盾。

參考文獻：
1、UNCITRAL Model Law on Electronic Signatures, 2001: .
2、EU Directive on a Community Framework for Electronic Signatures : Directive 1999/93 EC, OJ L013, 19.1.2000,p.0012-0020, .
3、Electronic Signatures in Global and National Commerce Act (2000): .
4、Transatlantic agenda: .
5、Identrus:< http://www.identrus.com>
6、Spyrelli, C, “Electronic Signatures: A Transatlantic Bridge? An EU and US Legal Approach Towards Electronic Authentication”, The Journal of Information, Law and Technology (JILT) 2002(2) .
7、Chris Kuner，Rosa Barcelo, Stewart Baker,and Eric Greenwald, "An Analysis of International Electronic and Di

gital Signature Implementation Initiatives- A Study Prepared for the Internet Law and Policy Forum(ILPF) September, 2000〈http://www.ilpf.org/groups/analysis_IEDSII.htm〉
8、張楚、董濤、安永勇編著：電子商務與交易安全，中國法制出版社2002年1月，北京
9、萬以嫻著：論電子商務之法律問題，法律出版社2001年8月，北京

【歐盟與美國的電子簽名法述評】相關文章：

證券監(jiān)管：美國與歐盟的制度比較08-05

《電子簽名法》誕生08-05

歐盟的電子商務政策08-05

美國公司改革法案述評08-05

試析“九步訊問法”研究述評08-18

《電子簽名法》與我國電子商務發(fā)展08-05

歐盟習慣法中的比例原則 — 德國法的貢獻08-12

歐盟決定建立歐洲“電子政府”網(wǎng)絡08-05

述評美國‘全球信息高速公路’的實施戰(zhàn)略08-06