一、前言
何谓电子商务安全?众说纷纭,见仁见智。为实现电子商务安全,许多计算机专家、密码专家、 安全软件生产商提出了各种解决方案和安全技术,如防火墙技术、数据加密技术、智能卡技术等。但本人以为从技术角度上实现安全诚然重要,但这种“安全”只是相对的。Citicorp计算机科学家Lenstra说:“一旦你能解密某种事物,那么在相对较短的时间内,就会出现很多人可以将之破译。我相信,破译密码迟早会变成一件很普通的事。”因此,完整意义上的安全应从技术和法律两方面考虑:一方面用先进的安全技术保障交易安全;另一方面,运用法律手段保障交易的合法性,保证电子证据的有效性。市场经济是法治经济,电子商务更需法律手段来约束。当前,交易双方发生的交易行为绝大多数是以合同形式发生的,我国新《合同法》更是明确规定电子合同的有效性,因此电子合同已成为保障电子商务运行的重要手段。本文从技术和法律两个层面上分析在现有法律环境下,如何实现电子合同的有效性,并通过法律手段保障电子商务交易主体的安全。
二、电子合同的有效性
何谓电子合同?根据联合国《电子商务示范法》第二条:“‘数据电文’系指经由电子手段、光学手段或类似手段生成、储存或传递的信息,这些手段包括但不限于电子数据交换(EDI)、电子邮件、电报、电传或传真。”我国新《合同法》将“电子合同”归入合同的“书面形式”:“合同书、信件、和数据电文(包括电报、电传、传真、电子数据交换和电子邮件)等可以有形表示所载内容的形式”。所以我们可以这样认为,即“电子合同是指经电子、光学、或类似手段生成、储存或传递并能够以有形的形式表现所载内容的合同。”
在电子技术引进之前,法律很少碰到文件在什么中介载体上呈现的问题。电报、电传、传真由于产生了书面的通讯纪录,收方得到了反映通讯内容的通讯记录纸,则足以形成书面证据。电子商务利用的电子邮件和电子数据交换与电报、传真类似,都以一系列电子脉冲传递信息。但由于电子合同不以原始纸张作为记录凭证,而将信息储存于计算机中,或记录于软盘等介质中。因此,电子合同具有自身的特点:如电子数据的易消失性;电子数据的易改动性;电子合同的局限性,传统的书面合同只是受到当事人保护程度和自然侵蚀的限制,而电子合同不仅会受到物理灾难的威胁,还有可能受到计算机病毒等无形灾难的攻击。
我国现行法律体系对于电子合同的有效性是予以肯定的。《合同法》第十条规定“当事人订立合同,有书面形式、口头形式和其他形式。”但实际应用中,我们还应注意分析电子合同与传统合同的区别,以利于更好地开展电子商务。
无论是电子商务合同还是传统合同,其作为合同的意义和作用都没有改变,但其形式却发生极大的变化。订立合同双方或多方大多是互不见面的,所有的买方和卖方都是在虚拟市场上运作,其信用则依赖于密码技术和认证机构的认证。传统合同的口头形式常表现为店堂交易,并将商家所开具的发票作为合同的依据;而电子商务中关系简单,金额较小的交易也没有具体的合同形式,表现为直接利用网络进行订购、付款,如网上订票、网上购买软件等。目前还不存在电子发票,电子合同、电子票据的有效性通过电子签字实现,传统签字盖章方式为电子签字所替代;关于合同生效地,传统合同生效地点一般为合同成立地点,而采用电子合同的,收件人的主营业地一般为合同成立地点,没有主营业地的,其经常居住地为合同成立地点。
三、通过CA认证实现电子合同的有效性
尽管目前我国已通过法律确认电子合同的有效性,但对于电子合同的签字仍无具体规定,这是电子商务的关键环节,也是本文研究的重点。
合同须当事人签章才有效,然而,在网络上无法传递当事人的亲笔签名,各国的立法者和电子专家们推出“电子签名”这一概念。
“电子签名”是法律上的重要的创新概念,将其作为种种电子认证技术在法律上的总括,得到许多国家的采纳。不仅如此,联合国国际贸易法委员会电子商务工作组一直以《电子签名统一规则》作为拟定草案的标题,并得到为数众多国家的一致认同,而欧盟相关指令也同样以“电子签名”为题。自世界上第一部电子签名立法——美国犹它州《数字签名法》颁布实施以来,迄今为止,国家级的电子商务立法有意大利的《数字签名法》、德国《电子签名法》和《电子签名条例》、马来西亚《数字签名法》、新加坡《电子交易法》、韩国《电子商务基本法》、美国《电子签名法》、爱尔兰的《电子签名法》等。从内容上判断,这些法律以对电子签名(数字签名)与认证机构相关规定为主,不仅多数立法文件直接以“电子签名”或“数字签名”为标题,就连某些旨在电子商务整体框架的法律也同样如此。例如,新加坡《电子交易法》分为首部、电子记录和电子签名的一般规定、网络服务提供人的责任、电子合同、可靠电子记录和电子签名、数字签名的效力、与数字签名相关的一般义务、认证机构的义务、用户的义务、认证机构的规定、政府使用电子记录与电子签名、一般规定十二大部分。大部分内容与电子签名直接或间接相关。其他国家的法律基本大同小异。
所谓“电子签名”,我们可以这样认为:“电子签名是指在数据电文中,以电子形式所含、所附或逻辑上与数据电文有联系的数据,和与数据电文有关系的任何方法,它可用于鉴别与数据电文有关的签字持有人和表明此人认可数据电文所含信息。①”“电子签名”具有以下特点:
(1) 在其使用范围内,对签名持有人而言独一无二;
(2) 由签名持有人或以签名持有人单独掌握的方法所制造并附以数据电文中;
(3) 其制造及与有关数据电文的连接方式对电文的完整性提供可靠的保证。
参照传统签名在纸张环境中所具有的功能:确定一个人的身份;确认该签名系其本人所为;使该人承认该签名与文件内容有联系。因此电子签名需满足以下功能:“在电子环境下,只要使用一种方法来鉴别数据发端人,并证实该发端人认可了该数据电文的内容,即可达签名的基本法律功能。②”同时,考虑到灵活性原则,“数据电文的发端人与收件人之间的任何协议只要可靠,就适宜于生成或传递高数据电文所要达到的目的。③”概括地说,电子签名需实现两个基本功能:一时确认文件作者的身份;二是证实该作者同意文件之内容。
作为电子商务法律的基础设施之一,电子签名法不仅能解决电子合同的法律效力、电子交易中风险和责任分配等基本问题,而且能行之有效地维护电子商务领域中的国家经济利益,在电子商务整体法律中占有重要地位。
四、认证机构的功能
认证机构提供认证服务的做法是为用户颁发身份证书,用以标识其在网上的身份,运用证书实现签名、加解密功能,使电子合同等数据电文符合诉讼对证据的要求,获得法律的认可。
目前世界通用的做法是由在法律上取得合法地位的认证机构(CA)提供这项服务。CA确保认证书的可靠性并达到法律要求的安全性标准。这种技术采用公开密钥加密体制,即利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所知的私有密钥(私钥),用它进行解密或签名;同时设定一把公共密钥(公钥)并由本人公开,为一组用户所共享,用于加密或验证签名。当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密,这样信息就可以安全无误地到达目的地了。用户也可以采用自己的私钥对信息加以处理,由于密钥仅为本人所有,这样就产生了别人无法生成的文件,也就形成了数字签名。利用HASH算法,一份签过名的文件如有改动,就会导致数字签名验证过程的失败,这样就保证了文件的有效性。以数字证书为核心的数字签名、数字信封、安全传输等加密技术,使得在Internet网上数据传输的安全性、可靠性、保密性、真实性以及交易的不可抵赖性可以实现。
CA运行的好坏关系到电子商务发展的成败,为保障电子商务的安全,结合国际上电子商务立法先例,认证机构一般需承担以下义务:
(一)信息披露与通知义务
信息披露制度的根本目的是维护社会公共利益和保护信息弱势群体。证书关系到社会公众的重大利益,认证机构需承担一定的信息披露与通知义务:
1、 包含由于私钥相配的公钥的证书(此私钥系认证机构签署另一份证书之用),即认证机构的根证书;
2、 任何有关的认证做法说明(CPS);
3、 认证机构证书的作废、中止和撤销同志(CRL);
4、 任何其他实质上相反地影响证书可信度或机构提供服务能力的事实。
(二)安全义务:
安全可信度是公众对CA要求,认证机构应当采用能够满足下列目的的安全系统:
1、 确认数据电文的归属;
2、 从某一特定时刻开始,保证数据电文在传递、接收和储存中完整性不被篡改;
3、 合理的避免被侵入和人为破坏;
4、 既有合理的安全程序。
(三)保密义务:
除非应法院或有关国家机关的要求,认证机构不得对外披露以下信息:
1、 证书用户在申请数字证书时向认证机构披露的身份信息及有关信息;
2、 证书用户的密钥。
此外,CA还负有其他义务,如举证义务: 网上作业主体在使用证书作业时发生纠纷,认证机构可以根据交易双方或其中的一方的要求,为其提供举证服务。提出举证要求的请求方方必须为认证机构提供必要的交易日志(该日志必须保留完整的签名),由认证机构对其进行验证并出据验证报告。
五、作为诉讼证据的电子合同
我国诉讼证据学对证据的要求体现为“三性说”:客观性、合法性、关联性。由于用户私钥匙唯一的,并且确认只有其本人才能使用自己的私钥,因而确定用户使用私钥产生的数字签名是其本人意思的真实表示,符合证据学关于客观性的要求。同时,由于摘要函数的不可逆性,任何对电子信息所做的微小改动都将导致不同的电子签名,从而确认用户所做的签名与该文件内容有客观联系,体现了关联性。取得合法地位的认证机构提供的电子签名为法律所承认,达到法律要求的标准,使用该技术形成的电子合同等电子证据则满足诉讼法关于证据合法性的要求。
司法实践中由于我国现阶段执法人员和专业技术人员的实际水平还很难做到电子证据遭破坏后还原,所以,在很多情况下,电子证据常常作为间接证据使用。间接证据虽不能单独、直接地证明待证事实,但在电子商务争端的仲裁或诉讼中却具有很重要的意义,因为电子商务中确定各方的权利和义务的各种合同和单证都是采用电子形式的。《民事诉讼法》规定:“证据有以下几种:一、书证;二、物证;三、视听资料;四、证人证言;五、当事人的陈述;六、鉴定结论;七、勘验笔录。”司法实践中将电子证据归入“视听资料”中。我国《民事诉讼法》第69条规定“人民法院对视听资料,应当辨别真伪,并结合本案的其他证据,审查确定能否作为认定事实的根据。”由于电子证据容易被伪造、篡改,再加上电子证据由于人为的原因或环境和技术条件的影响容易出错。因此,《合同法》第32条规定,合同自双方当事人签字或盖章时成立,但对“签字或盖章”是否包括电子签名未做明确规定;该条还规定,当事人采用信件、数据电文等形式订立合同的,可以在合同成立之前要求签订确认书,签订确认书视为合同成立。