电子签名与认证

(一) 可靠电子签名的判断标准

《电 子签名法》第13、14条规定：电子签名同时符合下列条件的，视为可靠的电子签名：(一)电子签名制作数据用于电子签名时，属于电子签名人专有;(二)签 署时电子签名制作数据仅由电子签名人控制;(三)签署后对电子签名的任何改动能够被发现;(四)签署后对数据电文内容和形式的任何改动能够被发现。可靠的 电子签名与手写签名或者盖章具有同等的法律效力。

从司法实践来看，法官可以从以下三个方面判断是否符合上述可靠的电子签名要素：

1. 考察电子签名是否属于签名人专有和控制。 电子签名不适用共有规则，必须捆绑某个特定的主体，可以是单位或个人。世界上现有应用最广泛的电子签名技术是数字签名技术，数字签名技术中的数字证书可用 来制作数据电文，该证书必须捆绑特定的主体才能使用。数字证书分为两类，一类称为“软证书”，及文件数字证书，可存放在电脑里或托管在云服务器上;另一类 称为“硬证书”，存放在类似U盘的USBkey里。从法律效力上讲，这两类数字证书并无不同。社会公众使用的数字证书应由获得工信部《电子认证服务许可 证》的CA机构颁发;而每个合法的CA机构应提供电子签名认证证书目录信息查询服务以及提供电子签名认证证书状态信息查询服务。从司法实践的角度来讲，法 官应首先查明如下事实：(1)用于电子签名的数字证书是否系工信部许可的CA机构颁发;(2)数字证书属于谁所有以及将数字证书颁发给电子签名人的过程。

2.考察在签署数据电文时，数字证书是否由电子签名人控制。 从技术上来讲，可以通过三种方式确保签署时数字证书由电子签名人控制：其一是通过电子签名人设置签名密码;其二是系统下发验证码到电子签名人提供的手机或 邮箱，或提供验证码生成器给电子签名人，通过电子签名人回填验证码的方式确保数字证书由电子签名人控制;其三是通过EID调用数字证书。EID是派生于居 民身份证、在网上远程证实身份的证件，即“电子身份证”。在技术上。EID也是采用PKI(Public Key Infrastructure，公钥基础设施)的密钥对技术，由智能芯片生成私钥，再由公安部门统一签发证书、并经现场身份审核后，再发放给公民。EID 采用了PKI、硬证书加PIN码的技术，通过这些技术可以有效防止在网络上身份信息被截取、篡改和伪造。而且由于EID具有PIN码，别人捡到或盗取后也 无法使用。EID本身采用先进密码技术，重要信息在key中物理上就无法被读取，因此无法被破解，从而有效避免被他人冒用。

3.考察电子签名的技术方案，如果采用了“数字签名”技术，一般可认定为可靠的电子签名。 数字签名并非是书面签名的数字图像化，而是通过密码技术对电子文档进行电子形式的签名。实际上人们可以否认曾对一个文件签过名，且笔迹鉴定的准确率并非 100%，但却难以否认一个数字签名。因为数字签名的生成需要使用私有密钥，其对应的公开密钥则用以验证签名，再加上目前已有一些方案，如数字证书，就是 把一个实体(法律主体)的身份同一个私有密钥和公开密钥对绑定在一起，使得这个主体很难否认数字签名。就其实质而言，数字签名是接收方能够向第三方证明接 收到的消息及发送源的真实性而采取的一种安全措施，其使用可以保证发送方不能否认和伪造信息。数字签名的主要方式是：报文的发送方从报文文本中生成一个散 列值(或报文摘要)。发送方用自己的私有密钥对这个散列值进行加密来形成发送方的数字签名。然后，这个数字签名将作为报文的附件和报文一起发送给报文的接 收方。报文的接收方首先从接收到的原始报文中计算出散列值(或报文摘要)，接着再用发送方的公开密钥来对报文附加的数字签名进行解密和验证。如果两个散列 值(也称哈希值)相同，那么接收方就能确认该数字签名是发送方的。哈希值有固定的长度，运算不可逆，不同明文的哈希值不同，而同样明文的哈希值是相同并唯 一的，原文的任何改动其哈希值就会发生变化，通过此原理可以识别文件是否被篡改。事实上，被篡改的经过数字签名的数据电文很容易被发觉，甚至该文件在外观 上即可识别、无需鉴定，除非被告能够提交不同内容且未发现篡改的经过数字签名的数据电文。

(二) 电子认证服务的有关问题

1. 电子认证服务提供者的范围

《电 子签名法》第16条至第25条提到了电子认证服务提供者，规定了电子认证服务提供者的申请条件、许可流程、应履行的义务、电子签名认证证书的内容、业务暂 停与终止、主管部门等内容。在《电子签名法》颁布以后，我国信息产业部于2005年2月8日发布了《电子认证服务管理办法》;国家密码管理局于2005年 3月31日发布了《电子认证服务密码管理办法》。上述法律和规章自2005年4月1日起开始施行。

从 上述规定的内容来看，《电子签名法》所指的电子认证服务提供者仅限于获得工信部颁发的《电子认证服务许可证》的企业法人，即业界所说的CA机构。现在在工 信部官网上公示的有37家CA机构，其他的第三方服务机构不属于《电子签名法》中的电子认证服务提供者。之所以要强调这个问题，是因为在实践中某些机构混 淆视听，在未获得《电子认证服务许可证》的情况下，宣传自己是《电子签名法》提及的“电子认证服务提供者”，这是不正确的。

另 外，虽然《电子签名法》第二十六条规定“经国务院信息产业主管部门根据有关协议或者对等原则核准后，中华人民共和国境外的电子认证服务提供者在境外签发的 电子签名认证证书与依照本法设立的电子认证服务提供者签发的电子签名认证证书具有同等的法律效力”，但是尚未有境外的电子认证服务提供者被工信部核准或许 可，因此现在境外的电子认证服务提供者在境外签发的电子签名认证证书的法律效力不被我国《电子签名法》及相关部门规章认可。

2.时间戳的应用问题。

在 电子商务交易文件中，时间是十分重要的信息。在书面合同中，文件签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容。数字时间戳服务 (digital timestamp service，简称DTS)是网上电子商务安全服务项目之一，能提供电子文件的日期和时间信息的安全保护。时间戳(timestamp)，通常是一个字 符序列，唯一地标识某一刻的时间。数字时间戳技术是数字签名技术一种变种的应用，也通常在数字签名系统中被采用，现有的CA机构在数字证书应用时也同时提 供了时间戳服务，以确保时间信息不被篡改和伪造。但现在市场上仅仅提供时间戳服务而不提供数字证书服务的机构并非《电子签名法》中所指的“电子认证服务提 供者”，因为其未获得工信部颁发的《电子认证服务许可证》，也不能证明文件签署者或服务使用者的主体身份，在技术上和法律效力上都存在局限性。

3.信息保存期限的问题。

《电子签名法》第24条规定：“电子认证服务提供者应当妥善保存与认证相关的信息，信息保存期限至少为电子签名认证证书失效后五年。”

笔 者认为《电子签名法》规定的电子认证服务提供者的信息保存期限时间太短。《民法通则》第137条规定：“诉讼时效期间从知道或者应当知道权利被侵害时起计 算。但是，从权利被侵害之日起超过二十年的，人民法院不予保护。”从此规定来看，经过电子签名的文件在签署后如果发生纠纷，可能追溯相关的数字证书认证信 息，如果CA机构信息保存时间过短，则不利于数字签名技术的推广使用。因此笔者认为信息保存期限至少为电子签名认证证书失效后20年较为妥当。

4.电子认证服务各方法律责任的承担。

我 国的《电子签名法》中，对电子签名人和电子认证服务提供者在数字签名使用和认证上应各负有的义务的规定是较为一致的，并规定了其各自应负的法律责任，而对 于电子签名依赖方的责任与义务《电子签名法》未作规定。电子签名依赖方是较为被动的一方，它应以合理方式对电子签名进行验证。电子签名人与电子签名依赖方 之间一般表现为商务合同关系，主要受《合同法》的调整，一般要求其作为善意的谨慎商人尽到合理的注意义务即可。

电 子签名人应负有的法律责任是：电子签名人知悉电子签名制作数据已经失密或者可能已经失密未及时告知有关各方、并终止使用电子签名制作数据，未向电子认证服 务提供者提供真实、完整和准确的信息，或者有其他过错，给电子签名依赖方、电子认证服务提供者造成损失的，承担赔偿责任。

而根据《电子签名法》第28条规定，对于电子认证服务提供者适用过错推定原则，电子签名人或者电子签名依赖方因依据电子签名认证服务从事民事活动遭受损失，电子认证服务提供者不能证明自己无过错的，承担赔偿责任。

笔 者认为应从如下两方面来证明电子认证服务提供者不存在过错：第一，电子认证服务提供者证明其已履行了法定义务，具体包括：(1)依法申请许可资格，遵守国 务院信息产业部的管理规则;(2)公开其名称、许可证号、电子认证业务规则，包括责任范围、作业操作规范、信息安全保障措施。(3)以合法的手段，审查签 名人的身份及相关情况。(4)保证认证证书内容在有效期内完整、准确，并保证依赖方能够证实或者了解认证证书所载内容及其他有关事项。(5)妥善保存与认 证相关的信息，至少为电子签名时效后五年;(6)妥善解决认证人暂停或终止服务的后续工作。第二，证明电子签名人或电子签名依赖方存在导致损失的过错行 为。

从 世界各国立法来看，各国电子商务立法基本都考虑到对认证机构的责任需要加以适当限定。例如欧共体电子签名指令规定，认证机构的民事法律责任主要是，签发权 威性证书的认证机构，除非证明自己没有过错，应当对证书内容的完整性和准确性、签名生成数据持有人的身份、签名生成数据和签名验证数据的对应关系以及对因 未及时撤销证书而造成的损失负责。不过，认证机构可以事先限制证书的使用范围和责任限额。英国电子签名条例也有类似规定。我国《电子签名法》没有明确电子 认证服务提供者承担民事法律责任的范围，将来立法应予以完善;另外，我国《电子签名法》没有禁止CA机构通过协议约定事先限制证书的使用范围和责任限额。 至于完全免责的约定，笔者认为不能排除《电子签名法》第28条过错推定原则的适用。

在 互联网蓬勃发展的今天，电子签名技术已开始越来越广泛的应用到了互联网金融、电子商务、电子合同、电子公文流转、旅游、O2O、物流等诸多领域，司法系统 不应再对《电子签名法》保持沉默和漠视的态度，希望本文能够抛砖引玉，引起更多司法界同仁对于与电子签名相关法律问题的关注和思考。