目 录
第一章 总 则
第二章 数据电文
第三章 电于签名与认证
第四章 法律责任
第五章 附 则
第一章 总则
第一条 为了规范电子签名行为,确立电子签名的法律效力,维护有关各方的合法权益,制定本法。
【释义】 本条是关于本法立法目的的规定
一、规范电子签名行为。在传统的交易过程中,为了保证交易安全,交易中的文件一般都要由当事人签字或者盖章,以便能够确认签名人的身份,并保证签字或者盖章的人认可文件的内容。当交易通过电子的形式进行时,传统的手写签字和盖章无法进行,必须依靠技术手段替代。这种在电子文件中识别交易人身份,保证交易安全的电子技术手段,就是电子签名。
上世纪末到本世纪初,全球电子商务获得了飞速发展,据联合国贸易和发展委员会《2002年电子商务发展报告》显示,2001年世界电子商务交易额达到6135亿美元,比2000年的3549亿美元增长了73.1%。我国的电子商务在近几年也获得了很大的发展,据中国电子商务协会《2003年中国电子商务发展分析报告》中的统计,至2002年12月,中国电子商务网站为3804家,比2001年的3391家增长了12%,其中能够有效运行的1533家,比2001年的1326家增长了16%。2002年各行业电子商务交易额约为10242亿元,其中证券公司网上交易总量达5230亿元,占51%。2002年,产品类电子商务市场规模为4890亿元,占电子商务市场总规模的48%;服务类电子商务市场规模为5352亿元,占52%。同时,随着我国政府上网工程的实施,电子政务也获得了普遍的推行。
随着电子商务和电子政务的迅猛发展,电于签名的应用范围愈加广泛。但是,电子签名是一个新兴事物,在传统的法律环境下,电子签名的应用也遇到了一些法律上的问题:一是电子签名、数据电文是否具有法律效力无明文规定,造成了电子商务和电子政务发展的法律障碍,客观上制约了电子商务和电子政务的发展;二是电子签名的规则不明确,对电子签名人的行为缺乏规范,发生纠纷后责任难以认定;三是电子认证服务提供者的法律地位和法律责任不明确,行为不规范,认证的合法性难以保证;四是电子签名的安全性、可靠性没有法律保障,交易方对电子交易的安全没有保障。
为了规范电子签名活动,消除电子商务和电子政务发展过程中的法律障碍,有关国际组织、许多国家和地区相继制定了电子签名法或电子商务法。其中较有代表性的法律文件(或示范法)有美国的《统一电子交易法》(1999年)、《国际与国内商务电子签章法》(2000年)、欧盟的《电子签名指令》(1999年)与《电子商务指令》(2000年)、新加坡的《电子商务法》(1998年)、韩国的《电子商业基本法》(1999年)、澳大利亚的《电子交易法》(1999年)等。联合国国际贸易法委员会也分别于1996年和2001年制定了《电子商务示范法》和《电子签名示范法》,为各国的电子签名立法提供指导。我国也积极进行电子签名的立法工作。2004年3月24日,《中华人民共和国电子签名法(草案)》经国务院第45次常务会议讨论通过,并提交全国人大常委会审议。十届全国人大常委会第八次、第十次和第十一次会议分别于2004年4月、2004年6月、2004年8月对该项草案进行了三次审议,并在2004年8月28日举行的十届全国人大常委会第十一会议的全体会议上通过了这部法律,将于2005年4月1日起施行。
本法通过确立电子签名的法律效力和签名规则,设立电子认证服务市场准入制度,加强对电子认证服务业的监管,规定电子签名安全保障制度等,来规范各方当事人在电子签名活动中的行为,确立其行为准则。
二、确立电子签名的法律效力。电子签名的法律效力是电子签名法所要解决的最重要问题。确立电子签名的法律效力,关键在于解决两个问题:一是通过立法确认电子签名的合法性、有效性;二是明确满足什么条件的电子签名才是合法的,有效的。
在对法律应该承认什么样的电子签名具有法律效力的问题上,联合国示范法和各国电子签名法采用了不同的立法模式,主要有以下三种:第一,技术中立模式。这种模式以联合国电子商务示范法为代表,即规定只要符合一定的条件,电子签名就具有与传统签名同等的法律效力,而不限制达到规定条件的电子签名应该采用的技术。联合国电子商务示范法规定,如果法律要求一个人签字,则对于一项数据电文而言,倘若情况如下,即满足了该项要求:1.使用了一种方法,鉴定了该人的身份,并且表明该人认可了数据电文所含的信息;2.从所有各种情况看来,包括根据任何相关协议,所用方法是可靠的,对生成或传递数据电文的目的来说也是适当的。美国、澳大利亚、新西兰等国的电子签名法采用了这种技术中立的立法模式。第二,技术特定模式。即法律只明确采用某种特定技术的电子签名的法律效力,对采用其他技术的电子签名的法律效力未做规定。如韩国电子署名法只承认数字签名为合法的电子签名。韩国电子署名法规定:与公认认证机关颁布的认证书所包含的电子署名检证键一致的电子署名生成键所生成的电子署名,可视为依法而定的署名或印章。此外德国、丹麦、马来西亚、印度以及我国香港地区等的电子签名法也都采用技术特定的立法模式。第三、技术中立与技术特定的折衷模式。这种模式承认所有安全电子签名都具有与手写签名同等效力,同时以目前国际上比较公认的成熟技术为基础,推荐一定的安全条件和标准。新加坡电子签名法规定,如果一项法律规则要求签名,或规定某一文件未经签名会产生特定的法律后果,则采用电子签名的形式满足该法律规则。同时该法又规定,通过使用法定的安全程序,或当事人同意采用的合理安全的商业程序,如果能够证实一项签名在制作
时符合下列条件,则该签名可以视为安全的数字签名:1.使用者唯一的签名;2.能证实使用者的身份;3.通过某种使用者可以唯一控制的方式或方法创设;4.和相关的电子记录以某种方式具有密切联系,一旦该记录被修改,则签名也随之失效。联合国电子签名示范法、菲律宾电子商务法、我国台湾地区的电子签章法等也都采用了这种折衷式的立法模式。
本法在电子签名的法律效力问题上,也采取了折衷式的立法模式。一是规定当事人约定使用电子签名的文书,不得仅因为其采用电子签名而否定其法律效力;二是规定可靠的电子签名具有与手写签名或者盖章具有同等的法律效力;三是规定当事人可以选择使用符合其约定的可靠条件的电子签名;四是以目前国际上比较公认的成熟技术为基础,推荐一定的安全条件和标准,作为可靠的电子签名的标准。按照本法的规定,一个电子签名如果符合法定或者当事人约定的可靠的电子签名的条件,就具有与手写签名或者盖章同等的法律效力。
三、维护有关各方的合法权益。这里讲的有关各方包括电子签名人、电子认证服务提供者以及与电子签名人进行交易的电子签名依赖方等参与电子签名活动的当事人。有关各方在电子签名活动中的合法权益都受到法律的保护。电子签名法规定了各方在电子签名活动中的权利义务,明确了电子签名活动规则,确立各方当事人在电子签名活动中的行为准则,并规定违反法定义务和约定义务的当事人要承担相应的法律责任,以达到平等保护各方当事人合法权益的目的。
第二条 本法所称电子签名,是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。
本法所称数据电文,是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。
【释义】 本条是关于电子签名和数据电文概念的规定。
一、电子签名的概念。签名,一般是指一个人用手亲笔在一份文件上写下名字或留下印记、印章或其他特殊符号,以确定签名人的身份,并确定签名人对文件内容予以认可。传统的签名必须依附于某种有形的介质,而在电子交易过程,文件是通过数据电文的发送、交换、传输、储存来形成的,没有有形介质,这就需要通过一种技术手段来识别交易当事人、保证交易安全,以达到与传统的手写签名相同的功能。这种能够达到与手写签名相同功能的技术手段,一般就称为电子签名。
有关国际组织、国家和地区电子签名法对电子签名的定义,一般都是通过对其要达到的功能的表述而形成的。传统的手写签名主要应具有三项功能:一是能表明文件的来源,即识别签名人;二是表明签名人对文件内容的确认;三是能够构成签名人对文件内容正确性和完整性负责的根据。构成电子签名,就必须具有上述功能。联合国电子签名示范法规定,本法所称电子签名,是指在数据电文中,用电子形式所含的或在逻辑上与该数据电文有联系的用于识别签名人的身份和表明签名人认可该数据电文内容的数据。菲律宾电子商务法规定,电子签名是指电子形式的任何有显著性的标志、性能、声音,可以代表某人的身份并且附着于某人所设置或采用的电子数据电文、电子文件或任何方法或程序,或与其有逻辑上的联系,且由该人作出或采用,旨在鉴别或者批准一份电
子数据电文或电子文件。欧盟电子签名指令、日本电子签名与认证服务法、美国国际国内商务电子签名法等也都对电子签名做了相类似的定义。按照上述定义,具有识别签名人身份和表明签名人认可签名数据的功能的技术手段,就是电子签名。
本条对电子签名的概念作了与联合国电子签名示范法相类似的规定。根据本条的规定,电子签名的概念包含以下内容:
1.电子签名是以电子形式出现的数据。
2.电子签名是附着于数据电文的。电子签名可以是数据电文的一个组成部分,也可以是数据电文的附属,与数据电文具有某种逻辑关系、能够使数据电文与电子签名相联系。
3.电子签名必须能够识别签名人身份并表明签名人认可与电子签名相联系的数据电文的内容。
电子签名具有多种形式,如:附着于电子文件的手写签名的数字化图像,包括采用生物笔迹辨别法所形成的图像;向收件人发出证实发送人身份的密码、计算机口令;采用特定生物技术识别工具,如指纹或是眼虹膜透视辨别法等。无论采用什么样技术手段,只要符合本条规定的要件,就是本法所称的电子签名。
二、数据电文的概念。数据电文,也称为电子信息、电子通信、电子数据、电子记录、电子文件等。一般是指通过电子手段形成的各种信息。数据电文一词最早在国际法律文件中出现是在1986年联合国欧洲经济委员会和国际标准化组织共同制定的《行政、商业和运输、电子数据交换规则》。该规则规定,贸易数据电文是指当事人之间为缔结或履行贸易交易而交换的贸易数据。1996年联合国电子商务示范法采用了这一概念,该法规定,"数据电文"是指经由电子手段、光学手段或者类似手段生成、储存或者传递的信息,这些手段包括但不限于电子数据交换、电子邮件、电报、电传或者传真。各国电子签名法或电子商务法也对数据电文作了类似的规定。如美国国际国内商务电子签名法规定,"电子记录"是指由电子手段创制、生成、发送、传输、接收或者储存的合同或其他记录;韩国电子商务基本法规定,"电子信息"是指以使用包括计算机在内的电子数据处理设备的电子或类似手段生成、发送、接收或者储存的信息。
联合国国际贸易法委员会电子商务示范法颁布指南对数据电文作了更为详细的解释:第一,"数据电文"的概念并不仅限于通信方面,还应包括计算机产生的并非用于通信的记录。"电文"这一概念应包括"记录"这一概念。第二,所谓类似手段,并不仅指现有的通信技术,而且包括未来可预料的各种技术。"数据电文"定义的目的是要包括所有以无纸形式生成、储存或传输的各类电文。为此,所有信息的通信与储存方式,只要可用于实现与定义内所列举的方式的相同功能,都应当包括在类似手段中。第三,"数据电文"的定义还包括其废除或修改的情况。
根据本条的规定,数据电文的概念包含两层意思:第一,数据电文使用的是电子、光、磁手段或者其他具有类似功能的手段;第二,数据电文的实质是各种形式的信息。
第三条 民事活动中的合同或者其他文件、单证等文书,当事人可以约定使用或者不使用电子签名、数据电文。
当事人约定使用电子签名、数据电文的文书,不得仅因为其采用电子签名、数据电文的形式而否定其法律效力。
前款规定不适用下列文书:
(一)涉及婚姻、收养、继承等人身关系的;
(二)涉及土地、房屋等不动产权益转让的;
(三)涉及停止供水、供热、供气、供电等公用事业服务的;
(四)法律、行政法规规定的不适用电子文书的其他情形。
【释义】 本条是关于电子签名活动中的当事人意思自治原则、电子签名和数据电文的法律效力的规定。
一、电子签名活动中的意思自治原则。当事人意思自治,是民事法律中的一项基本原则。即在民事活动中,除法律有强制性规定外,各民事主体可以自主决定自己的行为,交易各方可以自愿约定之间的权利义务关系。当事人意思自治的核心是尊崇当事人自主的意思选择,从法律上承认当事人可以自由决定相互之间的法律关系。民事领域的活动虽然通过电子形式进行,但在本质上与一般的民事交易活动并没有区别,因此同样应当遵循意思自治原则,由当事人自主约定是否使用数据电文、电子签名。有关国家的电子签名法一般都承认当事人意思自治,如美国统一电子交易法规定,"本法仅适用于每一方均同意以电子手段进行交易的当事人之间的交易。当事人是否同意以电子手段进行交易,由上下文和周围情势,包括当事人的行为来确定。"因此,本条第一款明确规定,民事活动中的合同或者其他文件、单证等文书,当事人可以约定使用或者不使用电子签名、数据电文。
应该注意的是,电子签名、数据电文的使用并不仅限于民事活动,还会用于电子政务活动和其他社会活动。本法已授权国务院或者国务院规定的部门可以依据本法制定政务活动和社会活动中使用电子签名、数据电文的具体办法。因此,在这些活动中使用电子签名、数据电文,还应遵循国务院或者国务院有关部门的具体规定。
二、电子签名、数据电文的法律效力。电子签名、数据电文虽然以电子形式出现而与手写签名、书面文件不同,但是法律不应仅因为这一点而不承认其法律效力。只要符合法律规定的条件,电子签名、数据电文与手写签名、书面文件具有同等的法律效力。因此,有关国际组织、国家和地区的电子商务法或电子签名法一般都对电子签名、数据电文的法律效力问题作出规定,要求不得以其采用电子形式而加以歧视。如联合国电子商务示范法规定,不得仅仅以某项信息采用数据电文形式为理由而否定其法律效力、有效性或可执行性。韩国电子商务基本法规定,除非法律另有特别规定,不得因为信息采用电子形式而否认其相对于其他的纸面信息形式具有法律效力。美国国际国内商务电子签名法规定,一项交易中的合同,不得仅因为其在缔结过程中使用了电子签名或电子记录而否定其法律效力或可执行性。此外美国统一电子交易法、澳大利亚电子交易法、新加坡电子交易法、我国台湾地区电子签章法等也作了类似规定。
根据本条第二款的规定,当事人约定使用电子签名、数据电文的文书,不得仅因为其采用电子签名、数据电文的形式而否定其法律效力。即在当事人约定使用电子签名、数据电文的情况下,不能以该文书中某项信息或签名采用了电子形式,作为否定其法律效力的唯一理由。
三、电子交易是一种新兴的交易方式,电子签名、数据电文并未在社会活动中获得广泛应用,广大民众的认知度不高。同时,电子签名、数据电文的应用需要借助于一定的技术手段,物质条件也会限制一部分民众使用这种交易方式。由于上述原因,并基于交易安全因素的考虑,一些国家和地区的电子签名法或电子商务法规定某些领域不适用这种交易方式。一般包括以下几种情况:第一、与婚姻、家庭等人身关系有关的文件。如美国电子签章法规定,"关于遗嘱、遗嘱修改书或遗产信托的制定法、条例或者其他法律规则","关于收养、离婚或家庭法其他事项的州的制定法、条例或者其他法律规则",不适用该法关于电子签名效力的规定。我国香港地区电子交易条例规定,"遗嘱、遗嘱更改附件或任何其他遗嘱性质的文书的订立、签立、更改、撤消、恢复效力或更正",不适用本条例。第二与诉讼程序有关的文书。如美国电子签章法规定,该法关于电子签名效力的规定不适用于"与诉讼程序有关的需经签章的法庭传票或通知,或正式法庭文书(包括诉状、答辩状以及其他书面文件)"。第三、与公用服务事业有关的文书。美国电子签章法规定,该法关于电子签名效力的规定不适用于"公用服务(包括供水、供热及供电)的取消或终止"的通知。第四、与不动产权益有关的文书。新加坡电子交易法规定,"任何用于买卖不动产或以其他方式处分不动产的契约及不动产下所发生利益的契约"、"不动产转移或不动产利益的转让"以及"产权证书",不适用本法。第五、其他文书。如澳大利亚电子交易法规定,与移民有关的文件或公民权证书,不适用本法;新加坡电子交易法规定商业票据不适用本法;我国台湾地区电子签章法规定法令或行政机关之公告,可以排除其适用。
本法参考外国和有关地区的立法例,并结合我国的实际情况,在本条第三款规定了本法的适用除外,包括:1.涉及婚姻、收养、继承等人身关系的文书;2.涉及土地、房屋等不动产权益转让的文书;3.涉及停止供水、供热、供气、供电等公用事业服务的文书。同时,为了使本法在实施过程中具有更大的灵活性,还规定了一个兜底条款,即法律、行政法规可以对其他不适用电子文书的情形作出规定。
第二章 数据电文
第四条 能够有形地表现所载内容,并可以随时调取查用的数据电文,视为符合法律、法规要求的书面形式。
【释义】 本条是关于数据电文符合法定书面形式要求的规定。
一、本条解决两个相关联的问题:一是,数据电文是否符合法律、法规要求的书面形式;二是,什么样的数据电文才符合法律、法规要求的书面形式。我国有很多法律要求法律文件采用书面形式。例如,《担保法》第十三条规定:"保证人与债权人应当以书面形式订立保证合同。"第二十三条规定:"保证期间,债权人许可债务人转让债务的,应当取得保证人书面同意,保证人对未经其同意转让的债务,不再承担保证责任。"第三十八条规定:"抵押人和抵押权人应当以书面形式订立抵押合同。"《仲裁法》第十六条规定:"仲裁协议包括合同中订立的仲裁条款和以其他书面方式在纠纷发生前或者纠纷发生后达成的请求仲裁的协议。"《草原法》第十四条规定:"承包经营草原,发包方和承包方应当签订书面合同。"《海商法》第一百二十八条规定:"船舶租用合同,包括定期租船合同和光船租赁合同,均应当书面订立。"关于数据电文是否符合法律、法规要求的书面形式,现在已经形成一种共识,即应当平等对待书面文件的用户和电子文件的用户。法律中的种种形式要件,例如书面形式、签名、原件等要求,只不过是意思表示的形式。如果信息技术能提供一种同样有效的意思表示形式,就没有理由拒绝承认它在法律上的效力。
二、1999年3月15日第九届全国人民代表大会第二次会议通过的《合同法》第十一条规定:"书面形式是指合同书、信件和数据电文(包括电报、电传、传真、电子数据交换和电子邮件)等可以有形地表现所载内容的形式。"这一条通过扩大解释"书面形式",使之包含数据电文,在解决电子商务法律障碍方面做了有益的探索。同时,由于《合同法》并不是专门调整电子商务的法律,这一条规定仍嫌不足:一是,数据电文与我们通常所理解的"书面形式"毕竟有很多显而易见的区别。例如,后者可用肉眼阅读,而前者除非使其变为书面文字或者显示在屏幕上,否则是不可识读的。因此,并不能简单把"数据电文"等同于"书面形式"。二是,本条所列举的数据电文的形式为电报、电传、传真、电子数据交换和电子邮件几种形式。事实上,这只是目前比较常见的几种形式。参考国际习惯用法,并考虑到技术不断发展的现状和前景,"数据电文"一词的外延,应远远超过以上几项。基于此,本法将"数据电文"定义为"以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息"。第三,不否定"数据电文"的法律效力,并不就意味着所有的"数据电文"都符合法律、法规要求的书面形式要求。电子商务立法中采用了"功能等同"的方法来确定什么样的形式才是合适的表现形式。按照这种方法,为了确定什么样的数据电文可以被视为满足书面形式要求,首先需要分析书面形式履行了哪些功能,然后确定数据电文需要采取什么形式,才能履行相同的功能。功能相同,则法律效力也应该相同。联合国国际贸易法委员会《电子商业示范法及其颁布指南》列举的书面形式的功能包括:确保有可以看得见的证据;引起当事人的注意;保证所有利益相关人都可读到该文件;提供一份永久记录;便于复制;使之可以通过签字方式进行验证;等等。但是,对于书面形式的功能,无须作过分全面的概括,因为许多功能是由书面形式和其他形式要求(如签字和原件)相结合加以实现的。对于书面文件有多种层次的形式要求,各个层次提供不同程度的可靠性、可查核性和不可更改性。信息应采用书面形式的要求(即最低要求)不应混同于更为严格的要求,如"经签署的书面文件"的要求。确定可被视为满足书面形式要求的数据电文的基本标准时,只需考虑书面形式的最低要求。关于不可更改性是否为书面形式本身应当具有的功能,有不同的认识。例如,美国律师协会《数字签名指南》规定:附有数字签名的数据电文才具有书面文件的效力。这实际上是将不可更改性作为书面文件的固有属性。联合国电子商业示范法则认为:不可更改性不应视为书面形式固有功能,因为按照某些现有法律的定义,以铅笔写成的也视为书面。按照目前在书面环境中对于数据完整性以及对于防止作弊等问题的处理方式,一份弄虚作假的文件也会被当作"书面"看待。因此,联合国电子商业示范法规定:当一项数据电文所含信息可以调取以备日后查用时,即满足法律关于书面形式的要求。
三、由于立法中通常分别规定书面形式、签名、原件等要求,电子商业示范法提出的只考虑书面文件的最低要求的思路是合适的。很多时候,不可更改性是通过书面形式和签名两个要件共同实现的,并不是书面形式独有的功能。根据以上考虑,如果一项数据电文具有如下两项功能,即可认为具有与书面形式相同的功能:一是能够有形地表现所载内容,二是可以随时调取查用。这样的数据电文可以视为符合法律、法规要求的书面形式。
第五条 符合下列条件的数据电文,视为满足法律、法规规定的原件形式要求:
(一)能够有效地表现所载内容并可供随时调取查用;
(二)能够可靠地保证自最终形成时起,内容保持完整、未被更改。但是,在数据电文上增加背书以及数据交换、储存和显示过程中发生的形式变化不影响数据电文的完整性。
【释义】 本条是关于数据电文符合法定原件形式要求的规定。
一、原件形式要求,主要是在诉讼法中提出的。《民事诉讼法》第六十八条规定:"书证应当提交原件。物证应当提交原物。提交原件或者原物确有困难的,可以提交复制品、照片、副本、节录本。"此外,原件还与物权凭证和流通票据有关,因为原件的独一无二概念对这种单据特别重要。涉及"原件"要求的文件还有:贸易文件,如重量证书、农产品证书、质量或数量证书、检查报告、保险证书等。原件形式要求构成电子商务的一个主要障碍。通常意义上的"原件"是指信息首次固定于其上的媒介物。如果这样界定"原件",则几乎说不上数据电文有什么"原件",因为数据电文的收件人所收到的总是"原件"的拷贝,而不是载有原始信息的那张软盘、光盘之类的媒介物。
解决这个问题,同样依靠功能等同分析方法。交易文件以"原件"形式传递,能更有效地保证信息的完整性,使其他当事人对其内容具有信心。因为使用纸张时,要求原件形式可以减少被改动的可能,而如果是复印件,则难以发现是否被改动。如果数据电文能保证同等程度的完整性,并能够有效地表现所载内容并可供随时调取查用,那可以认为该数据电文满足法律、法规规定的原件形式要求。
二、本条第二项明确了完整性的标准:能够可靠地保证自最终形成时起,内容保持完整、未被更改。应注意的是,这只是一个比较简单的标准。在具体应用时,应采取灵活的态度来评估是否能"可靠"地保证完整性。例如,要考虑该内容是出于什么目的生成的,该交易的标的额以及其他有关情况等。对于一笔标的上亿美元的交易来说,所要求的可靠性当然应比在网上购买一件小玩具所要求的可靠性高得多。因为可靠性的判定需要根据个案的不同情况来具体确定,很难通过一般性的规则作出整齐划一的规定。因此,在适用这个标准时,应当具有适当的灵活性。
三、完整性要求内容保持完整、未被更改。但是,应当将数据电文上增加背书以及数据交换、储存和显示过程中发生的形式变化,与其他改动区别开。只要一份数据电文的内容保持完整,未被改动,对该数据电文作必要的添加并不影响其"原件"性质。例如,转让票据或者海运提单时在该票据或者提单上作背书,并不影响其原件性质。除了这种由交易方所作的添加外,还有一些形式变化是由数据传输的技术特点决定的。例如,通过互联网传输数据时,根据互联网协议,需要将一份数据电文进行解码、压缩或者转换等一系列作业,然后传输到指定的信息系统。这些都是信息系统自动进行的,是这种传输方式的一个内在特点,它当然会引起数据的形式变化,但是只要不改变数据的本来内容,我们不认为其改变了数据电文的完整性。另外一个明显的例子是,假设一份数据电文是利用WORD字处理软件编辑的.doc文档,当它在WPS系统中显示时,其形式(如字体、字号、页面设置等)显然会发生变化,但这些变化并不影响该文档内容的完整性。
第六条 符合下列条件的数据电文,视为满足法律,法规规定的文件保存要求:
(一)能够有效地表现所载内容并可供随时调取查用;
(二)数据电文的格式与其生成、发送或者接收时的格式相同,或者格式不相同但是能够准确表现原来生成、发送或者接收的内容;
(三)能够识别数据电文的发件人、收件人以及发送、接收的时间。
【释义】 本条是关于数据电文可以满足法律、法规规定的文件保存要求的规定。
一、文件保存要求通常是为审计或者税收目的提出的。本条规定的三项条件中,第一项是重复了第四条的规定,因为文件保存要求必然要求文件是"书面形式",符合本条规定第一项条件的数据电文,就可以视为满足了"书面形式"要求。
二、第二项条件强调了数据电文的完整性。这里规定的完整性可以通过两种方式予以保证:一是,保持数据电文形式的高度一致,即数据电文的格式与其生成、发送或者接收时的格式相同,形式相同的数据电文,其内容也必定相同;二是,虽不能保证形式的同一,如果能保证内容的同一,仍然可以确认其完整性。实际上,在很多情形下,要求保证数据电文格式的同一性是难以实现的。因为如前所说,数据电文在储存、传递过程中,要经过一系列的自动解码、压缩或者转换。一味地要求格式不变,与技术要求相悖。
三、第三项条件所设定的标准实际上高于对文件保存所作的一般要求。它规定除了保存数据电文本身外,还能识别数据电文的来源,包括发件人、收件人以及发送、接收的时间等信息。这样规定是为了涵盖可能需要保存的所有信息。满足了这三项条件,即可视为满足了文件保存的要求。
第七条 数据电文不得仅因为其是以电子、光学、磁或者类似手段生成、发送、接收或者储存的而被拒绝作为证据使用。
【释义】 本条是关于数据电文作为证据使用时的可采性的规定。
一、我国现行诉讼法列举了证据的种类。例如,《民事诉讼法》第六十三条规定:"证据有下列几种:(一)书证;(二)物证;(三)视听资料;(四)证人证言;(五)当事人的陈述;(六)鉴定结论;(七)勘验笔录。"《行政诉讼法》、《刑事诉讼法》也都作了类似的规定。由于这些法律明确列举的证据种类中没有数据电文,因此数据电文是否可以作为证据在法庭上出示,曾经引起不确定性。
二、本条通过否定的形式肯定了数据电文的证据地位,从而消除了这一不确定性。用否定陈述的方式,表明裁判活动中,不得仅仅以所提供的证据是数据电文为由而否定其证据地位。但这并不意味着,在具体的个案中,以数据电文形式提出的证据就是认定事实的根据。
三、根据证据学的一般理论,任何证据材料要作为认定事实的根据,必须具有三个特性:客观性、与待证事实的关联性及其合法性。
1.所谓客观性,包括两个方面的含义,其一是证据必须有客观的存在形式;其二是证据的内容必须具有客观性,即必须是对客观事物的反映,而不是主观臆断和猜测。关于客观的存在形态,我们知道数据电文是以一种电子形式存在的数据,保存在一定的介质之上,可以借助于一定的工具和设备以人们能感知的形式显现,因此,其客观的存在形态是没有疑问的。关于其内容的客观性,这与本法第八条的规定有密切联系,稍后详细阐述。
2.所谓关联性,是指作为证据的一切材料必须与具体案件中的待证事实之间有内在的、客观的联系,即能够全部或者部分地证明案件的有关事实存在或不存在。数据电文与待证事实之间有无关联性,需要在具体个案中加以判断。
3.所谓证据的合法性,是指对证据必须依法加以收集和运用。包括收集、运用证据的主体要合法,证据的来源要合法,证据必须具有合法的形式,必须经法定程序查证属实。证据的合法性是证据客观性和关联性的重要保证,也是证据具有法律效力的重要条件。公安部《公安机关办理刑事案件程序规定》第215条规定:"扣押犯罪嫌疑人的邮件、电子邮件、电报,应当经县级以上公安机关负责人批准,签发扣押通知书,通知邮电部门或者网络服务单位检交扣押。"第217条规定:"对于扣押的物品、文件、邮件、电子邮件、电报,应当指派专人妥善保管,不得使用、调换、损毁或者自行处理。……"这是体现了证据收集程序的合法性。虽然这里所举的是刑事诉讼中的例子,但证据应当具有合法性这一基本要求却是普遍性的。
如果提出数据电文作为证据的一方同时能证明其上述三种属性,那么裁判者就可以将其作为认定事实的根据。
第八条 审查数据电文作为证据的真实性,应当考虑以下因素:
(一)生成、储存或者传递数据电文方法的可靠性;
(二)保持内容完整性方法的可靠性;
(三)用以鉴别发件人方法的可靠性;
(四)其他相关因素。
【释义】 本条是关于数据电文作为证据使用时如何判断其真实性的规定。
一、本法第七条明确了数据电文作为证据时的可采性,即可以在裁判活动中出示。但是,如前所述,裁判者在作出是否认同该证据材料的决定之前,还需要审查其证明力。我国《民事诉讼法》第六十三条第二款规定:"以上证据必须查证属实,才能作为认定事实的根据。"所谓证明力,是指证据在证明待证事实上体现其价值大小与强弱的状态或程度。考察电子证据的证明力,就是要认定电子证据本身或者电子证据与案件中其他证据一起能否证明待证事实,以及在多大程度上能够证明待证事实。
二、现代法制国家普遍实行的是"自由心证"制度,即法律一般不对各种证据的证明力预先作出规定,而由法官根据法庭审理过程中形成的内心信念自由裁断证据证明力的大小。因为,证明力只能由法官根据长期裁判活动中形成的经验,结合个案的具体情况作出判断,而无法由一条一般性的规则事先规定。但是考虑到信息技术的大规模应用还是一个比较新鲜的现象,信息技术本身又具有很强的专业性,多数法官对技术本身并不熟悉,不具备相关经验,在裁判活动中难以准确判断数据电文的证明力,因此,在电子商务立法中明确数据电文证明力的判断标准,具有积极意义。联合国国际贸易法委员会制定的《电子商业示范法》以及南非、菲律宾、加拿大等国家都对此作了或详或略的规定。
三、审查数据电文作为证据的真实性,一般可以从操作人员、操作程序、信息系统三者的可靠性方面人手。本条规定即是循着这样一种分析思路。例如,在审查生成、储存或者传递数据电文方法的可靠性时,可以审查数据电文是否由合法操作人员生成、储存、传递,是否经未授权者侵入、篡改;数据电文是否严格按照操作程序来生成、储存、传递,有无违规改动、删除;用以生成、储存、传递数据电文的信息系统是否稳定、可靠,是否容易招致非法侵入,等等。在判断保持内容完整性方法的可靠性,以及用以鉴别发件人方法的可靠性时,还需要对所用技术方法进行审查。例如,数字签名比单纯在文件上输入自己的姓名要可靠些,经过加密的数据电文比未经加密的数据电文更难于被他人篡改,等等。
四、仍然需要强调的是,法律不可能规定出一套巨细无遗的规则使法官能简单地适用于一切案件。一项证据是否真实,主要地仍要靠法官根据职业经验即案件的具体情况来判断。
第九条 数据电文有下列情形之一的,视为发件人发送:
(一)经发件人授权发送的;
(二)发件人的信息系统自动发送的;
(三)收件人按照发件人认可的方法对数据电文进行验证后结果相符的。
当事人对前款规定的事项另有约定的,从其约定。
【释义】 本条是关于数据电文归属的规定。
一、本条所谓发件人,即数据电文以其名义发送的那个人。这里所说的发件人,不一定是实际完成发送行为的人。例如,数据电文上显示该数据电文是甲发送的,但实际上这份数据电文可能是乙遵照甲的指示来发送的,或是冒用甲的名义发送的。在这两种情况下,甲仍然是我们这里所说的发件人。
二、正如书面文件可能会被他人冒名签署一样,在电子环境下,也可能出现冒名发出的数据电文。如果谁是发件人不明确,或是有争议,如何判断该数据电文的归属呢?通过本条确立的推定,在三种情况下,数据电文可以视为发件人发送。这样,可以使法律关系变得稳定,有利于保护交易对方当事人的合理信赖。
1.第一种情况是代理。发件人如果明确授权他人发送一项数据电文,则成立一种代理关系。发件人为被代理人,被授权者为代理人。依据我国民法通则的规定,代理人在代理权限内,以被代理人的名义实施民事法律行为,被代理人对代理人的代理行为,承担民事责任。如果未取得授权、超越授权或者授权终止后发送数据电文的,只有经过发件人的追认,发件人才承担民事责任。未经追认的行为,由行为人承担民事责任。如果发件人知道他人以本人名义发送数据电文而不作否认表示的,视为同意。但是,如果第三人知道行为人未取得授权、超越授权范围或者授权已终止的,第三人不得根据此项认定数据电文归属于发件人。如果被授权者知道被委托的事项违法仍然进行代理活动的,或者被代理人知道代理人的代理行为违法不表示反对的,由被代理人和代理人负连带责任。此外,在通过数据电文订立合同时,还应当遵循合同法的有关规定。行为人没有代理权、超越代理权或者代理权终止后以被代理人名义订立的合同,未经被代理人追认,对被代理人不发生效力,由行为人承担责任。相对人可以催告被代理人在一个月内予以追认。被代理人未作表示的,视为拒绝追认。合同被追认之前,善意相对人有撤销的权利。撤销应当以通知的方式做出。代理人没有代理权、超越代理权或者代理权终止以后以被代理人名义订立合同,相对人有理由相信行为人有代理权的,该代理行为有效。
2.本条规定的第二项情况是发件人的信息系统自动发送数据电文。这在电子商务法中也叫做"自动交易",这种信息系统也被称为"电子代理人"。在电子数据交换(EDI)中,这种情况很常见。我们以零售商与其上游供货商之间的电子数据交换为例来说明这种情况。零售商利用信息化手段管理其商品库存情况。当某种产品库存低于一定数量时,电脑即自动生成一项订货单,传送到供货商的信息系统中。由于实现自动化管理,订货单从生成、发送直到供货商的信息系统接受到该订货单,都没有人为的介入。在这个例子中,该订货单是否有效?或者说,零售商是否要为这项由机器自动发出的订货单负责?回答是肯定的。因为既然计算机只能按照编程者的指令和信息来运行,计算机的控制者就应当为其自动交易负责。
3.除了上述两种情况外,还有一种情况,数据电文也被视为发件人发送的:收件人按照发件人认可的方法对数据电文进行验证后结果相符的。发件人与收件人可以事先约定:如果收件人采用某种验证程序对所收到的数据电文进行验证后,验证结果表明该数据电文是发件人发出的,则收件人可以认定该数据电文归属于发件人。发件人也可以单方面认可该种验证程序,或者经过与中间人(如认证机构)的协议确定该验证程序,并同意凡符合该程序要求条件的数据电文,均承担受其约束的义务。在有些情况下,可能有人会盗用发件人的系统或签名生成数据等信息来发送数据电文。收到数据电文后,只要正确地使用了事先经发件人同意的验证程序来进行验证,收件人即有权视该数据电文为发件人发送。因为发件人有义务防止自己的系统或者有关信息被盗用。一旦发件人疏于这项义务,即应为其疏忽行为负责。当然,根据民法一般原则,如果收件人明知或应知所收到的数据电文不是发件人发送的,则收件人无权将该数据电文视为发件人发送的。如果发件人在知道他人冒用了自己的系统或有关信息后,立即对收件人发出通知告知这一情况,则收件人自知悉这一情况时起,不应继续将该数据电文归属于发件人。
三、本条第二款规定:"当事人对前款规定的事项另有约定的,从其约定。"这样规定,主要是出于民法上的当事人意思自治原则,当事方享有就他们的交易适用的规则在他们之间达成一致的权利。这是各国电子商务立法中一致公认的原则。
第十条 法律、行政法规规定或者当事人约定数据电文需要确认收讫的,应当确认收讫。发件人收到收件人的收讫确认时,数据电文视为已经收到。
【释义】 本条是关于数据电文确认收讫的情形,以及确认收讫的法律作用的规定。
一、确认收讫类似于邮政系统中的回执制度。确认收讫有两种情形:一种是强制性确认收讫,即法律、行政法规规定数据电文须经确认收讫。这种情形最有可能发生于电子政务活动中,立法者出于某种考虑,要求确认收讫。另一种是当事人约定数据电文须经确认收讫。在第二种情况中,还包括发件人要求确认收讫的情况。发件人可以在发送数据电文之时或之前提出该要求,也可以通过该数据电文本身提出该要求。除了上述情形外,确认收讫不是数据电文产生法律效力的要件。
二、确认收讫可以有许多方式。如果发件人与收件人约定必须采用某种特定形式或方法确认收讫,或发件人单方面要求如此,则收件人应以该方式确认收讫。如果未约定特定方式,则收件人可以通过任何一种方式确认收讫,包括由其信息系统自动发出确认收讫函,只要该方式能明确表示该数据电文已经收到。有时发件人要求得到一项确认收讫,但并未明确表示在收到确认之前,该数据电文无效。如果在约定的时间内,未收到确认收讫,或者在没有约定时间的情况下,经过一段合理时间仍未收到确认收讫,发件人可以向收件人发出通知,说明并未收到确认收讫,并定出必须收到该项确认的合理时限。在该时限内仍未收到该项确认的,发件人可以通知收件人,将该数据电文视为从未发送。通过这样处理,可以使法律关系趋于明确。稳定的状态。
三、对于必须经过确认收讫的,在收到确认之前,数据电文可视为从未发送。发件人收到确认的,可以推定有关数据电文已经由收件人收到。但这并不表明收件人收到的信息与发件人发送的信息相符。也不能将确认收讫理解为收件人对发件人作出的承诺。确认收讫是否可以视为承诺,要看该确认收讫的具体内容而定。
第十一条 数据电文进入发件人控制之外的某个信息系统的时间,视为该数据电文的发送时间。
收件人指定特定系统接收数据电文的,数据电文进入该特定系统的时间,视为该数据电文的接收时间;来指定特定系统的,数据电文进入收件人的任何系统的首次时间,视为该数据电文的接收时间。
当事人对数据电文的发送时间、接收时间另有约定的,从其约定。
【释义】 本条是关于数据电文发送和接收时间的规定。
一、数据电文何时发出,又是何时收到,在法律上有着重要意义:以该数据电文发出的要约、承诺是否生效,合同是否已经成立,文件是否已按时递交给有关政府机构,一宗贸易是什么时候完成的,诸如此类的问题,都与时间因素相关。我国《民事诉讼法》中规定的期间与发送时间有关:诉讼文书在期间届满前交邮的,不算过期。《合同法》中就有许多规定与到达时间因素有关。例如,要约到达受要约人时生效;撤回要约的通知应当在要约到达受要约人之前或者与要约同时到达受要约人;撤销要约的通知应当在受要约人发出承诺通知之前到达受要约人;承诺通知到达要约人时生效,承诺生效时合同成立;撤回承诺的通知应当在承诺通知到达要约人之前或者与承诺通知同时到达要约人,等等。
二、数据电文的发送时间为该数据电文进人发件人控制之外的某个信息系统的时间。所谓"发件人控制之外的某个信息系统",既可以是收件人的信息系统,也可以是某一中间人的信息系统。关于数据电文的接收时间,本法采用了《合同法》的规定。收件人指定特定系统接收数据电文的,数据电文进人该特定系统的时间,视为该数据电文的接收时间。收件人指定的系统不一定就是本人的系统。一切以指定为准。如果数据电文实际上到达的是收件人的系统但并非所指定的那个系统,一般以收件人检索到数据电文的时间为收到时间。收件人未指定特定系统的,数据电文进人收件人的任何系统的首次时间,视为该数据电文的接收时间。
这里所说的"进入"时间,是指在该信息系统内可加以处理的时间,至于收件人是否已经检索、读取该数据电文,则非所问。正如邮件投入收信人邮箱时即认为已经送达,而不论收信人是否开封阅知一样。如果数据电文未能进入收件人信息系统,则不能认为该数据电文已经到达。
应当注意的是,发件人和收件人可能利用的是同一系统,例如,双方都是YAHOO电子邮箱系统的用户,并利用该系统的电子邮箱通信。这时,接收时间为数据电文进入收件人指定或使用的、并在其控制之下的信息处理系统的区域的时间。
三、基于当事人意思自治原则,当事人对数据电文的发送时间、接收时间另有约定的,从其约定。
第十二条 发件人的主营业地为数据电文的发送地点,收件人的主营业地为数据电文的接收地点。没有主营业地的,其经常居住地为发送或者接收地点。
当事人对数据电文的发送地点、接收地点另有约定的,从其约定。
【释义】 本条是关于数据电文的发送地点和接收地点的规定。
一、同发送和接收时间一样,发送和接收地点也有很重要的法律意义。《合同法》规定,承诺的生效地点为合同成立的地点;《民事诉讼法》规定,合同的双方当事人可以在书面合同中协议选择被告住所地、合同履行地、合同签订地、原告住所地、标的物所在地人民法院管辖。在冲突法中,地点还影响到准据法的选择。
二、法律倾向于赋予那些与交易有密切联系的地点以法律意义。因此,本条规定发件人的主营业地为数据电文的发送地点,收件人的主营业地为数据电文的接收地点,没有主营业地的,其经常居住地为发送或者接收地点。至于数据电文的实际发送和接收地点,即信息系统所在地,并不具有法律意义。因为信息系统所在地与交易本身没有关系,而且在很多情况下,我们不一定知道接收我的数据电文的那台服务器究竟放在哪里,或者根本就不在我们所在的国家或地区。网络技术的发达,使得信息处理十分灵活方便。我们可以利用办公室的信息系统发送数据电文,也可以在全球任何一个接入网络的地方发送数据电文。无论何处接入网络,就交易来说,其功能都是一样的。
三、基于当事人意思自治原则,当事人对数据电文的发送地点一和接收地点另有约定的,从其约定。
第三章 电于签名与认证
第十三条 电子签名同时符合下列条件的,视为可靠的电子签名:
(一)电子签名制作数据用于电子签名时,属于电子签名人专有;
(二)签署时电子签名制作数据仅由电子签名人控制;
(三)签署后对电子签名的任何改动能够被发现;
(四)签署后对数据电文内容和形式的任何改动能够被发现。
当事人也可以选择使用符合其约定的可靠条件的电子签名。
【释义】 本条是关于可靠的电子签名应当具备的条件的规定。
一、本条第一款规定了可靠的电子签名应当具备以下法定条件:
1.电子签名制作数据用于电子签名时,属于电子签名人专有。电子签名制作数据是指在电子签名过程中使用的,将电子签名与电子签名人可靠地联系起来的字符、编码等数据。它是电子签名人在签名过程中掌握的核心数据。唯有通过电子签名制作数据的归属判断,才能确定电子签名与电子签名人之间的同一性和准确性。因此,一旦电于签名制作数据被他人占有,则依赖于该电子签名制作数据而生成的电子签名有可能与电子签名人的意愿不符,显然不能视为可靠的电子签名。
2.签署时电子签名制作数据仅由电子签名人控制。这一项规定是对电子签名过程中电子签名制作数据归谁控制的要求。这里所规定的控制是指一种实质上的控制,即基于电子签名人的自由意志而对电子签名制作数据的控制。在电子签名人实施电子签名行为的过程中,无论是电子签名人自己实施签名行为,还是委托他人代为实施签名行为,只要电子签名人拥有实质上的控制权,则其所实施的签名行为,满足本法此项规定的要求。
3.签署后对电子签名的任何改动能够被发现。采用数字签名技术的签名人签署后,对方当事人可以通过一定的技术手段来验证其所收到的数据电文是否是发件人所发出,发件人的数字签名有没有被改动。倘若能够发现发件人的数字签名签署后曾经被他人更改,则该项签名不能满足本法此项规定的要求,不能成为一项可靠的电子签名。
4.签署后对数据电文内容和形式的任何改动能够被发现。电子签名的一项重要功能在于表明签名人认可数据电文的内容,而要实现这一功能,必须要求电子签名在技术手段上能够保证经签名人签署后的数据电文不能被他人篡改。否则,电子签名人依据一定的技术手段实施电子签名,签署后的数据电文被他人篡改而却不能够被发现,此时出现的法律纠纷将无法依据本法予以解决。电子签名人的合法权益难以得到有效的保护。因此,要符合本法规定的可靠的电子签名的要求,必须保证电子签名签署后,对数据电文内容和形式的任何改动都能够被发现。
一项电子签名如果同时符合上述四项条件,可以视为可靠的电子签名。
二、本条第二款规定当事人可以约定选择可靠的电子签名应当具备的条件和采用的技术方案。尽管本条第一款规定了可靠的电子签名应当具备的法定条件,但并没有对达成上述法定条件的电子签名所需采取的技术作出统一规定。由于电子签名技术手段的多样性,当事人在从事电子商务或者其他活动中所约定采用的电子签名技术如能够满足当事人对于保障交易安全性的需求,本法同样承认其法律效力并予以保护。
第十四条 可靠的电子签名与手写签名或者盖章具有同等的法律效力。
【释义】 本条是关于可靠的电子签名法律效力的规定。
一、随着现代科学技术的发展,越来越多的技术手段被运用于电子签名领域。这些技术和手段主要包括计算机口令、眼虹膜网辨别技术以及数字签名技术等。在电子商务交易中以何种技术生成的电子签名才是安全可靠的,才具有法律效力,这是电子签名法应当解决的问题。从世界各国的规定来看,主要有三种模式:一是采用技术特定化方案,即只承认数字签名的法律效力;二是技术中立方案,即在法律上不规定某种技术方案,而将技术方案的选择留给当事人各方约定;三是折中方案,即一方面规定了安全可靠的电子签名应当具备的条件,另一方面则没有限定采用何种技术的电子签名才具有法律效力。采纳这一模式的理由在于:随着科技的发展,电子签名技术也会不断地发展。电子签名技术手段的优劣,应由市场和用户作出判断,立法者只需要规定原则性标准;政府直接对具体技术作出选定,风险过大,并可能导致电子商务市场的萎缩。另一方面,目前数字签名的技术已趋于成熟并且被广泛运用于电子签名领域,需要以法律手段加以推行,以利于电子商务市场的成长。
二、本条的规定借鉴了联合国贸易法委员会《电子商务示范法》以及一些国家电子商务、电子签名立法的有关规定,并与本法第十三条规定相联系,确认了可靠的电子签名具有与手写签名或者盖章同等的法律效力。
第十五条 电子签名人应当妥善保管电子签名制作数据。电子签名人知悉电子签名制作数据已经失密或者可能已经失密时,应当及时告知有关各方,并终止使用该电子签名制作数据。
【释义】 本条是关于电子签名人法律义务的规定。
一、电子签名制作数据是将电子签名与电子签名人可靠联系起来的重要手段。电子签名人应当妥善保管电子签名制作数据,一旦电子签名制作数据失密,他人有可能利用电子签名人的电子签名制作数据从事违法行为或者牟取非法利益,给电子签名人和电子签名依赖方造成损失。在实践中,电子签名制作数据的载体包括磁盘。光盘等,尽管这些载体在使用过程中需要加入电子签名人的安全指令才能启动,但是这些载体一旦丢失或者为他人窃取,则他人通过破解这些相对简单的安全指令就可以在互联网上以电子签名人的名义从事交易活动。与传统交易不同,网上交易过程中当事人之间往往并不见面,当事人之间主要凭借的是对方当事人的电子签名来验证和核实相互间的身份,电子签名制作数据的丢失会给不法分子提供可乘之机。因此,电子签名人应当妥善保管电子签名制作数据,防止丢失或者为他人所窃取,以免给自己和对方当事人造成不必要的损失。
二、即便电子签名人尽到妥善保管的义务,电子签名制作数据仍然存在泄密的可能。本条中的"知悉电子签名制作数据已经失密或者可能已经失密"包含两层意思:一是电子签名人已经明确知道电子签名制作数据已失密,例如电子签名人发现未经自己允许,有人在互联网上以电子签名人的名义从事商业活动;二是电子签名人知悉电子签名制作数据有可能已经失密,例如电子签名人发现自己存放电子签名制作数据的磁盘丢失,在这种情况下,丢失的磁盘中的安全指令有可能被破译,电子签名制作数据有可能被他人用于非法活动。在这两种情况下,依据本条的规定,电子签名人应当做到:一是立即停止使用电子签名制作数据。因为在电子签名制作数据已经失密或者可能已经失密的情况下,电子签名人继续使用其电子签名制作数据有可能使电子签名依赖方更加难以确从电子签名的真伪,给交易安全带来更多的不确定性。二是及时告知有关各方当事人,避免有关各方当事人因继续信赖电子签名人的签名而造成损失或者损失的进一步扩大。
第十六条 电子签名需要第三方认证的,由依法设立的电子认证服务提供者提供认证服务。
【释义】 本条是关于电子签名认证的规定。
一、电子签名可以依赖于很多技术来实现,有些电子签名可能并不需要认证,例如一些以生物识别技术生成的电子签名,其直接依据签名人的生理特征就可以辨别电子签名的真伪。在目前,各国电子商务或者电子签名立法中确认的需要认证的电子签名一般指的是数字签名。数字签名是指通过使用非对称密码加密系统对电子记录进行加密、解密变换来实现的一种电子签名,目前它在各国的电子商务实践中得到了广泛的应用。作为第三方的数字签名认证机构通过给从事交易活动的各方主体颁发数字证书、提供证书验证服务等手段来保证交易过程中各方主体电子签名的真实性和可靠性。
二、提供电子认证服务的机构必须是依法设立的,本法对电子认证服务提供者的设立条件、设立程序作出了明确规定。
第十七条 提供电子认证服务,应当具备下列条件:
(一)具有与提供电子认证服务相适应的专业技术人员和管理人员;
(二)具有与提供电子认证服务相适应的资金和经营场所;
(三)具有符合国家安全标准的技术和设备;
(四)具有国家密码管理机构同意使用密码的证明文件;
(五)法律、行政法规规定的其他条件。
【释义】 本条是关于电子认证服务提供者应当具备的条件的规定。
一、电子认证服务提供者应当具有与提供电子认证服务相适应的专业技术人员和管理人员。提供电子认证服务是一项复杂的技术工程。仅从数字签名技术的实现来看,它运用了一系列复杂的加密算法。电子认证服务提供者在提供电子认证服务的过程中涉及多级认证和交叉认证等多种技术手段。这就需要有一批懂技术的专门人才从事电子认证服务工作,才能保障电子认证活动的开展。同时,作为权威的第三方认证机构,不仅应当具备可靠的技术条件,更重要的是在策略、管理、运营等诸多方面具备良好的条件,具有合格的管理人员也是电子认证服务提供者应当具备的一个重要条件。
二、电子认证服务提供者应当具有与提供电子认证服务相适应的资金和经营场所。具备必要的资金是电子认证服务提供者开展业务的前提条件,也是电子认证服务提供者承担法律责任的重要保证。同时,由于提供电子认证服务对于安全性、保密性的要求较高,电子认证服务提供者相比较于一般企业,对经营场所的防火、防盗、防电磁辐射等方面的要求更高。电子认证机构对经营场所的安全条件一般都制定有严格的标准,以保障电子认证服务的顺利开展。
三、电子认证服务提供者应当具有符合国家安全标准的技术和设备。国家为了保障信息技术产品的安全性,先后制定了一系列的国家标准。电子认证服务提供者在提供电子认证服务过程中使用的技术和设备,应当符合国家已经制定的安全标准。
四、电子认证服务提供者提供电子认证服务应当具有国家密码管理机构同意使用密码的证明文件。我国商用密码条例规定,商用密码技术属于国家秘密。国家对商用密码产品的科研、生产、销售和使用实行专控管理。任何单位或者个人只能使用经国家密码管理机构认可的商用密码产品。由于电子认证服务提供者在经营过程中必然要使用密码技术和密码产品,电子认证服务提供者必须具有国家密码管理机构同意使用密码的证明文件。
五、法律、行政法规可以对电子认证服务提供者应当具备的条件作出其他必要的规定。本法第二十五条还规定,国务院信息产业主管部门依照本法制定电子认证服务业的具体管理办法。因此,国务院信息产业主管部门在制定具体管理办法时,可以就电子认证服务提供者应当具备的条件作出进一步具体和明确的规定。
第十八条 从事电子认证服务,应当向国务院信息产业主管部门提出申请,并提交符合本法第十七条规定条件的相关材料。国务院信息产业主管部门接到申请后经依法审查,征求国务院商务主管部门等有关部门的意见后,自接到申请之日起四十五日内作出许可或者不予许可的决定。予以许可的,颁发电子认证许可证书;不予许可的,应当书面通知申请人并告知理由。
申请人应当持电子认证许可证书依法向工商行政管理部门办理企业登记手续。
取得认证资格的电子认证服务提供者,应当按照国务院信息产业主管部门的规定在互联网上公布其名称、许可证号等信息。
【释义】 本条是关于从事电子认证服务活动的申请与受理及申请人相关义务的规定。
一、申请人提出申请,是行政许可的前提条件,是申请人从事某种特定行为之前必须履行的法定义务。行政许可是依申请而进行的行政行为,即申请程序因相对人行使其申请权而开始。申请权是一种程序上的权利,相对人有权通过合法的申请,要求行政机关作出合法的应答。无论申请人在实体法上是否符合获得许可的条件,在程序上都享有这种权利。按照行政许可法第二十九条的规定,公民、法人或者其他组织从事特定活动,依法需要取得行政许可的,应当向行政机关提出申请。本条第一款依照行政许可法明确规定,从事电子认证服务,应当向国务院信息产业主管部门提出申请,并提交符合本法第十七条规定条件的相关材料。第十七条规定了提供电子认证服务应当具备的五个条件:一是具有与提供电子认证服务相适应的专业技术人员和管理人员;二是具有与提供电子认证服务相适应的资金和经营场所;三是具有符合国家安全标准的技术和设备;四是具有国家密码管理机构同意使用密码的证明文件;五是法律、行政法规规定的其他条件。申请人申请从事电子认证服务的,应当备齐符合上述条件的相关资料,以证实其具有从事电子认证服务活动的能力。依照行政许可法第三十一条的规定,申请人申请行政许可,应当如实向行政机关提交有关材料和反映真实情况,并对其申请材料实质内容的真实性负责。行政机关也不得要求申请人提交与其申请的行政许可事项无关的技术资料和其他材料。
二、依照行政许可法的规定,行政许可符合以下条件,行政机关应当予以受理:一是申请事项属于该机关行政职权范围;二是申请资料齐全、符合法定形式。依照本条规定,国务院信息产业主管部门受理申请人从事电子认证服务活动的申请后,依法进行审查,即行政程序进人审查阶段。国务院信息产业主管部门既审查申请材料是否齐全,是否符合法定形式,还要审查申请材料的实质内容是否符合法定条件。在审查阶段,国务院信息产业主管部门还要征求国务院商务主管部门等有关部门的意见。依照行政许可法第四十二条的规定,行政许可采取统一办理或者联合办理、集中办理的,办理的时间不得超过四十五日,四十五日内不能办结的,经本级人民政府负责人批准,可以延长十五日,并应当将延长期限的理由告知申请人。本条第一款也规定国务院信息产业主管部门自接到申请之日起四十五日内作出许可或者不予许可的决定,在期限上与行政许可法的规定相一致。予以许可的,颁发电子认证许可证书。不予许可的,应当书面通知申请人并告知理由。依照行政许可法第三十八条的规定,"申请人的申请符合法定条件、标准的,行政机关应当依法作出准予行政许可的书面决定。""行政机关依法作出不予行政许可的书面决定的,应当说明理由,并告知申请人享有依法申请行政复议或者提起行政诉讼的权利。"说明理由作为行政程序的一项制度十分必要。首先,行政机关将行政决定的理由明白、令人信服地向行政相对人说明,可以增强公众对政府的信任感,避免对立。对于行政机关而言,通过说明理由,可以促使其事先充分考虑行政许可决定的事实根据和法律依据,慎重决定,促进行政机关的自我监督,从而保证行政决定的正确性。其次,行政机关作出行政决定,特别是对行政相对人作出不利处理后,要考虑到行政相对人可能会对行政决定不服。行政相对人了解行政机关作出该决定的理由,才能认真考虑请求行政救济的可能性,确定是否提起和如何提起行政复议或者行政诉讼。再次,对于行政复议的受理机关或者人民法院来讲,通过行政决定的理由,可以了解行政机关作出该决定的动机和依据,便于对其进行审查。另外,在行政许可决定中说明理由,还可以使行政机关在以后处理同类案件时有据可循,促成平等保护。公众也可以通过了解行政机关对特定事务在事实上和法律上的意见或者态度,提高预测性,对公众的行为具有一定的引导作用、说明理由内容应当包括事实方面和法律方面以及自由裁量是否符合法定目的。说明理由应当以明文方式作出,叙述时应当简洁、清楚。
三、依照本条第二款的规定,申请人应当持电子认证许可证书依法向工商行政管理部门办理企业登记手续。申请人取得电子认证许可证书后,还需要到工商行政管理部门进行企业登记,依法办理确定主体资格的事项,才可能开始电子认证服务活动。
四、依照本条第三款的规定,取得认证资格的电子认证服务提供者,应当按照国务院信息产业主管部门的规定在互联网上公布其名称、许可证号等信息。电子认证服务提供者应当遵守这一规定,公布相关信息。
第十九条 电子认证服务提供者应当制定、公布符合国家有关规定的电子认证业务规则,并向国务院信息产业主管部门备案。
电子认证业务规则应当包括责任范围、作业操作规范、信息安全保障措施等事项。
【释义】 本条是关于电子认证服务提供者应当制定电子认证业务规则的规定。
一、电子认证服务提供者应当制定、公布符合国家有关规定的电子认证业务规则,并向国务院信息产业主管部门备案。电子认证服务是专业性很强的活动,由电子认证服务提供者制定有关业务规则是合理的,也是符合实际的。当然,电子认证服务者不能制定损害电子签名人和电子签名依赖方利益的、不公平的"霸王条款"。为了防止这种情况出现,本条第一款规定了两项要求:一是电子认证服务者制定的电子认证业务规则要符合国家有关规定,而且还要公布;二是电子认证业务规则要向国务院信息产业主管部门备案,以接受监督。有些国家和地区的电子签名法也规定了电子认证服务提供者制定认证业务规则的义务。例如,韩国电子签名法规定,认证机构应拟订包括下列各项内容的认证业务通则,并应向信息通信部长官申报:认证业务种类、认证业务的执行方法及步骤、认证服务的利用条件及费用其他必需事项。信息通信部长官认为认证业务通则规定的内容有碍于确保认证业务的安全和可依赖性或损害用户利益的,可命令认证机构改正。我国台湾地区电子签章法规定,认证机构应制定认证实务作业基准,认证实务作业基准应载明以下事项:足以影响认证机构所签发认证的可靠性或其业务执行的重要资讯;认证机构径行废止认证的事由;验证认证内容相关资料的留存;保护当事人个人资料的方法及程序;其他经主管机关订定的重要事项。
二、电子认证业务规则主要包括以下事项:
1.责任范围。电子认证服务提供者在提供认证服务过程中,由于未履行其应尽义务,尤其是保证其签发证书的真实、可靠性的义务,既可能产生对电子签名人的责任,也可能产生对电子签名依赖方的责任。电子认证服务提供者与电子签名人即电子签名认证证书持有者是民事合同关系,电子认证服务提供者依照合同约定承担责任。电子认证服务提供者对电子签名依赖方的责任是基于法律规定而产生的,即两者是法律上的信赖关系,电子认证服务提供者对电子签名依赖方的法定义务是其承担责任的基础。同时也应当看到,电子认证服务是一个高风险的行业,既有内部风险又有外部风险,并且一旦发生风险往往会造成非常严重的后果。电子认证服务提供者在从事电子认证服务活动时当然应当尽合理的注意,承担相应的义务,但在无过错的情况下,不应承担责任,而无过错的举证责任要由认证机构承担。这是因为电子认证服务提供者处于中立的第三方,其行为和信誉直接关系到电子签名人与电子签名依赖方的利益,且相对于电子签名人及电子签名依赖方又处于强势地位,一些国家均规定了较为严格的责任制度,且设立了举证责任倒置的制度,即电子认证服务提供者如能证明其对于责任事项无任何过错方可免责。本法第二十八条也明确规定:"电子签名人或者电子签名依赖方因依据电子认证服务者提供的电子签名认证服务从事民事活动遭受损失,电子认证服务提供者不能证明自己无过错的,承担赔偿责任。"
从实践中看,电子签名认证合同基本上属于格式合同。格式合同,是指合同条款由当事人一方预先拟定,另一方当事人只能表示全部同意或者不同意的合同,也就是说一方当事人要么从整体上接受合同条件,要么不订立合同。比如电子认证合同作为格式合同的特征有:一是数字证书的项目由电子认证服务提供者预定且不能改变;二是认证费用由电子认证服务提供者预定而不能讨价还价;三是签署者和电子认证服务提供者的责任条款由电子认证服务提供者单方制定并且不容进一步协商,而这正是电子认证合同中最关键的内容。目前在实践中,此责任条款有的出现在认证业务声明中,例如美国的Verisign公司就在其业务声明中规定了免责条款;也可以直接以责任书的形式出现,如上海电子商务安全证书管理中心有限公司就采取这种做法;还可以以电子认证中心数字证书章程的形式出现,如广东省电子商务主认证中心就采取此种做法。对此责任条款只有"我接受"和"我拒绝"两种选择,选择"我接受"则继续证书申请的下一个步骤,选择"我拒绝"则终止证书的申请。
另外,在电子认证合同中也有允许客户选择的内容,例如证书的信赖等级。Verisign公司已经建立了三种用户等级:对于第一等级,用户只能依赖它做网页浏览和个人电子邮件,在这种环境下只是稍微增加了安全;第二等级是证书持有人使用更详细的证明证书于"组织"内的电子邮件、小额、小风险的交易、个人之间的电子邮件、口令更改、软件确认,以及在线订购服务;第三等级是用于电子银行、电子数据交换、软件确认,以及基于会员的在线服务。另外,密钥的位数也有512.1024及2048位等多种选择,密钥位数越大,加密后的文件的安全度越高。我国的几家主要的电子认证服务提供者也都提供了不同种类的数字证书来满足客户的不同需要。
2.作业操作规范。电子认证作业操作规范包括的内容非常广泛。如对数字证书申请身份审查的内容、提供相应的身份有效证件和审查流程;数字证书类别及证书申请、签发、撤销、更新等新的操作流程;以及信息公开的要求,主要是发布相关认证信息,如证书生效、失效等公开信息。
3.信息安全保障措施。电子认证服务提供者是为Internet用户提供身份认证服务的。由于其负责接受证书申请、审核申请人身份、签发证书及管理证书等服务,与其他Internet服务提供商一样,电子认证服务提供者所提供的服务也是通过Internet,也存在安全威胁,存在被攻击的可能,如非法入侵、植入病毒、窃取密钥等外部攻击。另外,认证系统内部也存在威胁,如内部工作人员的管理,机房的安全管理,软件的管理等。这些都需要制定具体的信息安全保障措施,防范风险。例如,电子认证服务提供者的机房是整个认证系统控制核心,机房的正常运作是所有电子商务活动的基础,必须采取足够的措施保证机房的安全。如必须设置独立的机房用于安全认证管理,该机房必须受到严格的、高等级的安全保护,至少应该设置三层安全控制保护层。类似这样的信息安全保障措施应当体现在电子认证业务规则中。
第二十条 电子签名人向电子认证服务提供者申请电子签名认证证书,应当提供真实、完整和准确的信息。
电子认证服务提供者收到电子签名认证证书申请后,应当对申请人的身份进行查验,并对有关材料进行审查。
【释义】 本条是关于电子签名认证证书申请过程中电子签名人和电子认证服务提供者的有关义务的规定。
一、在电子认证关系中,电子签名人是电子认证服务提供者的客户,是接受电子认证服务的一方。电子签名人除了应履行一般的支付费用义务外,还应当履行一些与电子认证服务关系的特性相应的义务。本条第一款规定的真实诚信义务就是其中的重要方面。电子签名人申请电子签名认证证书,要负担起保证所提供的信息的真实性、准确性和完整性的义务。诚实信用义务最直接的表现是真实陈述的义务,即真实陈述电子认证服务提供者颁发证书时要求其提供的事项。这是电子签名人在申请证书时所应当履行的基本义务,因为就其身份、地址、营业范围、证书信赖等级的真实陈述,是证书可信赖性产生的前提,否则将构成对证书体系信赖性的损害,应承担相应的法律责任。
二、本条第二款规定了电子认证服务提供者的谨慎审核义务。这要求电子认证服务提供者在收到电子签名认证证书申请后,对申请者所提交的有关材料的真实性,应当谨慎地加以审核,因为证书的发布、信赖方的信赖都依赖于对这些材料真实性的审查。另外,还要严格查验申请人的身份。这些都是为了保证其所发放的证书具有可靠的权威性和信任度。对个人电子签名认证证书申请者,电子认证服务提供者一般要求其提供个人的姓名、个人身份证的原件以及复印件、身份证号、联系电话、住址、通信地址、邮政编码、电子邮箱等个人资料;对单位电子签名认证证书申请者,除对具体的经办人要求提供上述个人资料外,还要求提供申请单位资料:如单位名称、单位所属行业类别、单位地址、单位注册号码、单位组织机构代码、单位电子邮箱、电话、传真、单位有效证件的原件与复印件等资料。
第二十一条 电子认证服务提供者签发的电子签名认证证书应当准确无误,并应当载明下列内容:
(一)电子认证服务提供者名称;
(二)证书持有人名称;
(三)证书序列号;
(四)证书有效期;
(五)证书持有人的电子签名验证数据;
(六)电子认证服务提供者的电子签名;
(七)国务院信息产业主管部门规定的其他内容。
【释义】 本条是关于电子认证服务提供者签发的电于签名认证证书内容的规定。
一、电子签名认证证书是电子认证服务提供者签发的用以证明证书持有人的电子签名、身份、资格及其他有关信息的电子文件,它是电子交易当事人在互联网上从事电子商务活动的身份证和通行证。在电子商务交易中互不认识的双方当事人用其证书证明各自签名的真实性,可以在双方之间建立相互信任的基础。因此,电子签名认证证书不仅具有证明电子签名的真实性与完整性的作用,还可以为交易当事人提供身份及从事交易的资格、权限等方面的证明。基于电子签名认证证书的重要作用,电子认证服务提供者签发的电子签名认证证书应当准确无误,否则就可能产生损害电子认证、电子交易的后果,影响电子签名认证证书的权威性和信任度。
二、依照本条规定,电子签名认证证书应当载明的内容包括电子认证服务提供者和证书持有人的名称、证书序列号、证书有效期、证书持有人的电子签名验证数据和电子认证服务提供者的电子签名,以及国务院信息产业主管部门规定的其他内容。这是法律规定的电子签名认证证书应当载明的内容。电子认证服务提供者还可以根据实际需要载明其他内容,如载明证书的种类与等级等信息。
第二十二条 电子认证服务提供者应当保证电子签名认证证书内容在有效期内完整、准确,并保证电子签名依赖方能够证实或者了解电子签名认证证书所载内容及其他有关事项。
【释义】 本条是关于电子认证服务提供者有关保证义务的规定。
一、电子认证服务提供者最重要的任务就是制作、发放和管理电子签名认证证书,所以其首要义务就是保证认证证书的真实性、完整性和准确性,即所发放认证证书的公共密钥同某个确定身份的人是一一对应的,以保证发放的证书具有可靠的权威性和信任度。电子认证服务提供者要使发布的认证信息及时可靠,这其中还包括要让有关当事人能够随时证实证书申请人所拥有的身份证、许可证或者营业执照等关系该人行为能力的文书或者证件的效力。因此,本条规定了电子认证服务提供者的两项保证义务:一是保证电子签名认证证书内容在有效期内完整、准确;二是保证电子签名依赖方能够证实或者了解电子签名认证证书所载内容及其他有关事项。
二、联合国贸法会电子签名法示范法对本条规定的内容作出了更具体的规定,要求验证服务提供商应当采取合理谨慎措施,确保其作出的有关证书整个周期的或需要列入证书内的所有重大表述均精确无误和完整无缺。要提供合理可及的手段,使依赖方得以从证书中证实下列内容:(1)验证服务提供商的身份;(2)证书中所指明的签字人在签发证书时拥有对签字生成数据的控制;(3)在证书签发之时或之前签字生成数据有效。要提供合理可及的手段,使依赖方得以在适当情况下从证书或其他方面证实下列内容:(1)用以鉴别签字人的方法;(2)对签字生成数据或证书的可能用途或使用金额上的任何限制;(3)签字生成数据有效和未发生失密;(4)对验证服务提供商规定的责任范围或程度的任何限制;(5)是否存在签字人发出通知的途径;(6)是否提供了及时的撤消服务。要使用可信赖的系统、程序和人力资源提供其服务。验证服务提供商如未能满足上述要求应承担相应责任。美国犹他州数字签名法规定:通过颁发证书,许可之认证机构向所有信赖证书里包含的信息的人证明,认证机构已遵守了颁发证书的所有有效的要求;通过发布证书,许可之认证机构向公告栏和所有信赖证书里包含的信息的人证明,认证机构已经向用户颁发了证书。该法还规定:通过接收许可之认证机构颁发的证书,证书上确定的用户,向所有信赖证书里包含的信息的人证明:(1)每一个通过与证书上所列公开密钥相对应的私钥而生成的电子签名,除非证书中止、被认证机构撤消或者过期失效,对用户来讲都是法律上有效的签名;(2)没有未经授权的人使用与证书上所列公开密钥相对应的私钥;(3)用户对认证机构作出的包含于证书的所有重要信息的陈述,都是真实的;(4)证书中包含的信息是真实的。新加坡和我国香港地区也有类似的规定。
第二十三条 电子认证服务提供者拟暂停或者终止电子认证服务的,应当在暂停或者终止服务九十日前,就业务承接及其他有关事项通知有关各方。
电子认证服务提供者拟暂停或者终止电子认证服务的,应当在暂停或者终止服务六十日前向国务院信息产业主管部门报告,并与其他电子认证服务提供者就业务承接进行协商,作出妥善安排。
电子认证服务提供者未能就业务承接事项与其他电子认证服务提供者达成协议的,应当申请国务院信息产业主管部门安排其他电子认证服务提供者承接其业务。
电子认证服务提供者被依法吊销电子认证许可证书的,其业务承接事项的处理按照国务院信息产业主管部门的规定执行。
【释义】 本条是关于电子认证服务提供者的业务承接要求的规定。
一、电子签名与电子认证都是电子商务的保障。电子签名的目的是保护数据电文的安全,防止其内容的仿冒、更改或者否认。法律强调对电子签名安全技术标准的认定。电子认证的目的是把电子签名和交易联系起来,确保对方得到的电子签名不是其他人假冒的。为此,法律强调对电子认证机构的组织结构和权利、义务的分配,对认证机构的设立和监管,以及确立认证机构的归责原则及其赔偿责任。如果说电子签名主要用于数据电文本身的安全,使之不被否认或者篡改,是一种技术手段上的保证,则电子认证是以特定的机构对电子签名及其签署者的真实性进行验证服务,主要应用于交易安全方面,主要是一种组织制度上的保证。而电子商务交易活动具有连续性的特点,法律必须对电子认证服务提供者的业务事项的维持予以特别规定,才能有效地保护电子签名人和电子签名依赖方的利益。
二、电子认证服务提供者拟暂停或者终止电子认证服务的,将会影响到相关方的利益,因此本条第一款规定,应当在暂停或者终止服务九十日前,就业务承接及其他有关事项通知有关各方。此外,电子认证服务提供者拟暂停或者终止电子认证服务的,还应当履行以下义务:
1.报告。电子认证服务提供者应当在暂停或者终止服务六十日前向国务院信息产业主管部门报告,使其了解情况。
2.协商承接。电子认证服务提供者除在法定期限内向国务院信息产业主管部门报告外,还要与其他电子认证服务提供者就业务承接进行协商,协商达成一致意见的,对业务承接事项作出妥善安排。
3.指定承接。电子认证服务提供者未能就业务承接事项与其他电子认证服务提供者达成协议的,应当申请国务院信息产业主管部门安排其他电子认证服务提供者承接其业务。
对于电子认证服务提供者被依法吊销电子认证许可证书的,其业务承接事项的处理按照国务院信息产业主管部门的规定执行。
第二十四条 电子认证服务提供者应当妥善保存与认证相关的信息,信息保存期限至少为电子签名认证证书失效后五年。
【释义】 本条是关于电子认证服务提供者应当妥善保存与认证相关的信息及保存期限的规定。
依照本法第二十条的规定,电子签名人向电子认证服务提供者申请电子签名认证证书,应当提供真实、完整和准确的信息。这些信息涉及的面比较广,既可能包括申请人的个人隐私,也可能涉及申请人的商业秘密,如果这些信息被泄露,可能会损害电子签名人的利益,因此,本条规定了电子认证服务提供者妥善保存与认证相关的信息的义务,并规定信息保存期限至少为电子签名认证证书失效后五年。如果电子认证服务提供者违反上述规定,依照本法第三十一条的规定,由国务院信息产业主管部门责令限期改正;逾期未改正的,吊销电子认证许可证书,其直接负责的主管人员和其他直接责任人员十年内不得从事电子认证服务。
第二十五条 国务院信息产业主管部门依照本法制定电子认证服务业的具体管理办法,对电子认证服务提供者依法实施监督管理。
【释义】 本条是授权国务院信息产业主管部门制定电子认证服务业的具体管理办法并依法实施监管的规定。
一、电子认证是基于数据电文的收件人需要对收讫的数据电文发送人身份及数据电文的真实性、完整性进行核实而产生的。
电子认证通过电子认证机构颁发电子认证证书,据以确认数据电文发送人制作数字签名的密钥对与发送人的联系来实施认证确认活动。鉴于电子认证机构在电子交易中的重要作用,关于其设置、资格、行为规范等,始终是各国电子商务立法关注的重点。符合一定标准的电子认证机构,才能保证其运营符合电子商务的需要。电于认证机构的运营受到切实有效的监督,才能更好地保护电子签名人和电子签名依赖方的利益。从国外看,电子认证机构的市场准入有三种情况:一是,对电子认证机构实行强制性许可制度,即从事电子认证业务必须经过主管机关批准。如马来西亚数字签名法案明确规定,"没有人可以作为认证机构开展业务或进行运营,或主张他自己可以进行认证业务的运营,除非该人持有根据本法发放的有效许可证。"日本电于签名与认证服务法规定,"欲从事或者已在从事认证服务者须获得相关大臣之许可"。韩国电子署名法规定,"信息通信部长官指定有能力安全可靠地执行认证业务的单位担任公认认证机关"。电子商务基本法规定"政府可以根据电子署名法指定一个被授权的认证机构以确保电子商务的安全和可靠,并促进电子商务交易的健康发展"。德国《信息与通信服务法》规定,"证机构开展业务,须从主管机关取得许可证。许可证经申请即予颁发。"但下列情况不予颁发许可证:如果有事实证明下述推定,即申请人不具备从事认证业务的可靠性,或者申请人没有提交具备从事认证业务所需专业知识的证明,或者有理由认为一旦开始业务活动,不能符合本法以及具有法律效力的法令规定的与认证机构开展业务有关的其他要求。我国香港和台湾地区对于电子认证的市场准入也都实行强制性许可制度。二是,对电子认证机构实行非强制性许可制度。例如,依照欧盟《电子签名指令》的规定,"成员国不得为证书服务规定任何事先授权",但是,各成员国可以建立自愿的、非强制性的许可制度,经政府许可的认证机构享有比未经许可的认证机构更多的权利。奥地利《联邦电子签名法》规定,认证服务提供者无需取得特别许可即可开展业务,但须立即通知监管机关,并将有关文件材料向监管机关报送备案,包括其安全政策、认证政策、所提供的业务以及使用的技术手段和程序等。该法还规定了认证机关自愿认证的程序和认可认证机关的相关技术安全要求。新加坡《电子交易法》规定设立电子认证机构并不一定都要取得许可,但经许可的认证机构发布证书时,可以在证书中载明一项供参考的标准依据限额,即可以享受法律规定的民事责任限制等"优惠"。三是,对电子认证机构的设立不实行许可制度,完全依赖市场调节,通过行业自律予以规范。例如美国。
二、从国外看,对电子认证机构进行监管的内容主要包括与证书发放有关记录的保存、发证、证书更新、中止和撤销、认证业务声明、安全准则和保密等。如新加坡《电子交易法》规定,为保证本法或其细则的需要,通过书面通知,监管人可以指示认证机构或其工作人员采取通知书中指定的行为,对于不遵守指示的,要追究相应的法律责任。马来西亚《数字签名法》规定,对于特许认证机构,应当每年进行一次检查,以评价其遵守本法案的情况。年度检查应由具有计算机方面专业知识、获得执照的职业会计师,或信誉良好的、从事计算机安全工作的专业人员进行。审查人员的资格条件及审查的工作程序由本法案的实施细则予以规定。监控人应在其提供并维持的有关特许认证机构信息的信息库里向公众公布审查的日期和结果。我国香港地区《电子交易条例》规定,认可核证机关必须最少每十二个月向署长提交报告一次,而该报告必须载有对该机关是否已遵守本条例中就认可核证机关适用的条文的评估,及在该期间是否已遵守业务守则的评估。根据德国《数字签章法》的规定,主管机关可以采取相应的行政措施处理认证机构的违法行为,具体包括:(1)主管机关可以禁止认证机构使用不适当的技术设备,并且可以暂时全部或者部分禁止其业务,如果认证机构采取非法手段误导他人相信其已获得某种许可,可以禁止其全部认证业务。(2)进行营业场所检查。(3)撤回、废止或者中止许可。如果认证机构没有依法履行义务,主管机关可以撤回、废止或者中止以前发出的许可。在撤销或者废止许可或者中止认证机构业务时,主管机关可以把该认证机构的业务交给其他认证机构或者确保该认证机构与有关密钥持有人之间的业务关系已经结束。(4)中止认证证书的效力。主管机关有足够证据认为,认证证书是伪造或者其安全性不足以防止伪造,或者所采用的技术设备显示安全上有欠缺,使得数字签章或者数字资料的伪造可能难以觉察时,可以中止认证证书的效力。
三、从我国实际情况看,对电子认证服务业主要靠市场引导和行业自律的条件尚不具备,由政府部门实施适度监管是必要的。本法规定了提供电于认证服务应当具备的条件,规定了对提供电于认证服务实施行政许可制度,规定了有违法行为的电子认证服务提供者应承担的法律责任,这些规定是必要的、可行的。另外,由于我国的电子认证业务还处于发展起步阶段,政府部门对电子认证机构如何实施有效的、适度的监管,还需要在实践中进一步总结经验。为此,本条授权国务院信息产业主管部门制定电子认证服务业管理的具体办法。
第二十六条 经国务院信息产业主管部门根据有关协议或者对等原则核准后,中华人民共和国境外的电子认证服务提供者在境外签发的电子签名认证证书与依照本法设立的电子认证服务提供者签发的电子签名认证证书具有同等的法律效力。
【释义】 本条是关于我国境外的电子认证服务提供者在境外签发的电子签名认证证书的法律效力的规定。
一、在跨国境的电子商务中,最重要一个环节是对处于不同司法管辖范围内的交易人的身份进行认证。这就要涉及到电子证书的跨境认证。实现跨境认证有几种方式。第一,允许境外的认证机构在本地提供服务。第二,境内的认证机构出境提供认证服务。第三,不同司法管辖范围内的认证机构达成互认证协议。第一和第二种方式,都是服务贸易的延伸。一旦境内的认证机构出境或境外的认证机构进境,都可以被视为本地的认证机构,都应当受到本地法律的管辖。本条所称的境外的电子认证服务者是指不受本地法律管辖的电子认证服务提供者。在认证过程中出现争议时,会涉及到两种法律体系和两种司法制度协调。因此,不同国别的电子认证服务的相互认证必须由两国政府根据国际法原则协商确定解决。
二、本法规定的有关协议是指,根据两国政府间的协议,而对等原则是指别国政府或法律对中国境内的电子认证服务提供者提供的认证服务的态度。依据这两点,信息产业主管部门可以核准确认,哪些境外的认证机构签发的认证证书可以在我国境内使用。
第四章 法律责任
第二十七条 电子签名人知悉电子签名制作数据已经失密或者可能已经失密未及时告知有关各方、并终止使用电子签名制作数据,未向电子认证服务提供者提供真实、完整和准确的信息,或者有其他过错,给电子签名依赖方、电子认证服务提供者造成损失的,承担赔偿责任。
【释义】 本条是关于电子签名人未履行法定义务造成他人损失承担赔偿责任的规定。
一、电子签名人作为电子签名活动中的一方当事人,除了享有法律赋予的权利以外,还应当履行法律规定的义务。按照本法规定,电子签名人应当妥善保管电子签名制作数据。电子签名人知悉电子签名制作数据已经失密或者可能已经失密时,应当及时告知有关各方,并终止使用该电子签名制作数据。如果电子签名人未妥善保管电子签名制作数据,知悉电子签名制作数据已经失密或者可能已经失密时,未及时告知有关各方,并终止使用电子签名制作数据,则可能使电子签名活动中的其他各方当事人因信赖所使用的电子签名制作数据而遭受损失,对于所造成的损失,电子签名人应承担赔偿责任。
二、按照本法规定,电子签名人向电子认证服务提供者申请电子签名认证证书,应当提供真实、完整和准确的信息。电子签名人由于提供的信息不真实、不完整、不准确,给电子签名活动的其他各方当事人造成损失的,应承担赔偿责任。
三、电子签名人由于自己的过错给电子签名依赖方、电子认证服务提供者造成损失的,承担赔偿责任。联合国贸法会电子签名示范法对于电子签名人也规定了类似本法规定的义务,按照示范法的规定,签名人知悉签名制作数据已经失密或者签名人知悉导致签名制作数据可能已经失密的重大风险情况时,应毫不迟疑地作出合理的努力,向签名人可以合理预计的依赖电子签名或提供支持电子签名服务的任何人发出通知。如果未满足以上要求,应承担由此引起的法律后果。在这方面本法的规定与联合国贸法会电子签名示范法的规定是一致的。按照民法通则的规定,公民、法人由于过错侵害国家的、集体的财产,侵害他人财产、人身的,应当承担民事责任。本条规定的承担民事责任的方式是赔偿损失。这是适用最广泛的一种责任形式。在我国法律上的赔偿损失,专指以金钱的方式赔偿对方的损失。侵犯财产权和侵犯人身权都可能发生这种责任。赔偿损失的民事责任,除法律有特别规定外,应当赔偿受害人的全部损失。损失除了包括财产的直接损失外,还包括间接损失,或者说是可得利益的损失。
四、按照本条规定,电子签名人承担赔偿责任的前提条件是主观上必须有过错。可以看出,本法对电子签名人承担民事责任实行的是过错责任原则。如果电子签名人主观上没有过错,则不承担赔偿责任。
第二十八条 电子签名人或者电子签名依赖方因依据电子认证服务提供者提供的电子签名认证服务从事民事活动遭受损失,电子认证服务提供者不能证明自己无过错的,承担赔偿责任。
【释义】 本条是关于电子认证服务提供者因过错给电子签名人或者电子签名依赖方造成损失承担赔偿责任的规定。
一、由于电子商务的开放性,交易各方不相识、不了解,彼此不信任,因而不具备达成交易所必需的信任基础。这在客观上就需要一个既为各方所信任,又具备专业技能,同时又管理严格的机构。于是,电子认证服务便应运而生。电子认证是一种用于确定一个人的身份或者特定信息真实性的程序。对于一个数据电文,认证涉及确定其来源及确定其在传送过程中没有被修改或替换。也就是特定的机构对电子签名及其签署者的真实性进行验证的过程。电子认证的主要功能就是对内防止否认,对外防止欺诈。而且从事电子认证业务的电子认证服务提供者是具备法律规定的条件,依法设立并经国务院信息产业主管部门予以许可的。正是基于对电子认证服务提供者的信任,民事活动中的电子签名人、电子签名依赖方才会信赖电子认证服务提供者颁发的电子认证证书。如果电子签名人或者电子签名依赖方自己本身没有任何过错,只是由于信赖电子认证服务提供者提供的服务,依据电子认证服务提供者提供的电子认证服务而遭受损失的,电子认证服务提供者应当承担赔偿责任。
二、按照本条的规定,电子认证服务提供者如果不能证明自己无过错的,承担赔偿责任。也就是说,如果电子认证服务提供者能够证明自己没有过错,则不承担赔偿责任。在通常情况下,对原告提出的事实,是由原告先举证,只有原告尽到了自己的举证责任,被告予以反驳,才由被告对反驳意见提供证据并加以说明。本条规定的是举证责任倒置,即对原告提出的侵权事实,电子认证服务提供者如果予以否认,则应负举证责任,证明自己没有过错。对于这一规定,在审议修改过程中存在两种意见。一种意见认为,电子认证服务提供者所提供的认证服务,对于民事活动中的交易安全起着至关重要的作用,如果由于电子认证服务提供者的原因使电子签名人或者电子签名依赖方遭受损失,电子认证服务提供者应当承担严格责任,无论是否有过错。另一种则意见认为,电子认证服务作为一项新兴的产业,且对电子交易的安全又是必不可少的,因此,应当对这一行业以鼓励为主,大力扶持,不应规定过于严格的法律责任。且电子认证服务属于高风险的行业,规定的民事责任过于严格,可能会不利于这一行业的发展。立法机关经过认真研究,认为该条现在的规定,对于电子认证服务提供者是合适的。既没有因为规定过严,而阻碍电子认证服务业的发展;也没有过宽,使电子签名人或者电子签名依赖方对电子认证服务提供者产生不信任。本条规定电子认证服务提供者承担举证责任,即只要电子认证服务提供者能够证明自己对于电子签名人或者电子签名依赖方所遭受的损失没有过错,就不承担责任。而对于电子认证服务提供者来讲,只要能够证明其所提供的服务完全是严格按照本法和符合国家规定并向国务院信息产业主管部门备案的电子认证业务规则实施的,则应能够证明没有过错。
三、按照本法规定,电子认证服务提供者应当制定、公布符合国家有关规定的电子认证业务规则,并向国务院信息产业主管部门备案。电子认证业务规则应当包括责任范围、作业操作规范、信息安全保障措施等事项。按照目前一些电子认证服务提供者制定的电子认证业务规则的规定,电子认证服务提供者承担赔偿责任实行的是限额赔偿,且各个电子认证服务提供者所制定的电子认证业务规则有所不同,对于责任范围规定的也不同。多数是根据电子认证证书申请者的性质以及所交费用的不同而有所不同。
第二十九条 未经许可提供电子认证服务的,由国务院信息产业主管部门责令停止违法行为;有违法所得的,没收违法所得;违法所得三十万元以上的,处违法所得一倍以上三倍以下的罚款;没有违法所得或者违法所得不足三十万元的,处十万元以上三十万元以下的罚款。
【释义】 本条是关于未经许可提供电子认证服务应承担的法律责任的规定。
一、按照本法规定,从事电子认证服务,应当向国务院信息产业主管部门提出申请,并提交具有相应的专业技术人员和管理人员、相应的资金和经营场所、符合国家安全标准的技术和设备、国家密码管理机构同意使用密码的证明文件以及法律、行政法规规定的其他条件的相关材料。国务院信息产业主管部门接到申请后经依法审查,征求国务院商务主管部门等有关部门的意见后,自接到申请之日起四十五日内作出许可或者不予许可的决定。予以许可的,颁发电子认证许可证书。申请人应当持电子认证许可证书依法向工商行政管理部门办理企业登记手续。如果没有按照以上规定的程序取得电子认证从业许可,就构成本条规定的未经许可提供电子认证服务的违法行为。
二、按照本条规定,对于未经许可提供电子认证服务的,应当承担以下行政责任:
1.责令停止违法行为。即由国务院信息产业主管部门责令违法行为人停止提供电子认证服务的行为。由于电子认证服务涉及民事合同有关各方的交易安全,为了使电子签名人以及电子签名依赖方免受损失,国务院信息产业主管部门一旦发现未经许可从事提供电子认证服务的行为,应当立即责令违法行为人停止违法行为。
2.对于有违法所得的,没收违法所得。这里讲的违法所得,是指由于非法提供电子认证服务行为而获得的全部经营收入。
3.违法所得三十万元以上的,对其处以罚款。罚款,是指有行政处罚权的行政机关强制行为人承担金钱给付义务,即在一定期限内交纳一定钱款的处罚形式。按照本条规定,行使行政处罚权的机关是国务院信息产业主管部门。即由国务院信息产业主管部门对违法行为人处以罚款。罚款的幅度为违法所得一倍以上三倍以下。
4.没有违法所得或者违法所得不足三十万元的,处十万元以上三十万元以下的罚款。
第三十条 电子认证服务提供者暂停或者终止电子认证服务,未在暂停或者终止服务六十日前向国务院信息产业主管部门报告的,由国务院信息产业主管部门对其直接负责的主管人员处一万元以上五万元以下的罚款。
【释义】 本条是关于电子认证服务提供者暂停或者终止电子认证服务未按规定报告的法律责任的规定。
一、按照本法规定,电子认证服务提供者拟暂停或者终止电子认证服务的,应当在暂停或者终止服务六十日前向国务院信息产业主管部门报告,并与其他电子认证服务提供者就业务承接事项进行协商,作出妥善安排。由于认证机构的业务涉及到公众利益,是一般交易的基础条件,其业务的终止不能像一般的盈利性企业一样,而是应当建立使其营业持续进行的机制,即业务承接。因此,要求电子认证服务提供者按照本法的规定向国务院信息产业主管部门报告,就是为了保证这种业务的持续,及时报告便于国务院信息产业主管部门及时作出安排,保护用户的权益。电子认证服务提供者如果打算暂停或者终止电子认证服务,没有在暂停或者终止服务六十日前向国务院信息产业主管部门报告,则构成本条的违法行为,应依照本条规定承担法律责任。
二、按照本条规定,对于有本条规定的违法行为,由国务院信息产业主管部门对其直接负责的主管人员处一万元以上五万元以下的罚款。本条规定的实施行政处罚的机关是国务院信息产业主管部门。本条规定的处罚对象是电子认证服务提供者的直接负责的主管人员。这里讲的"直接负责的主管人员",是指在单位违法行为中负有直接领导责任的人员,包括违法行为的决策人,事后对单位违法行为予以认可和支持的领导人员,以及由于疏忽管理或放任,因而对单位违法行为负有不可推卸的责任的领导人员。本条规定的行政处罚的种类是罚款。罚款的幅度是一万元以上五万元以下。
第三十一条 电子认证服务提供者不遵守认证业务规则、未妥善保存与认证相关的信息,或者有其他违法行为的,由国务院信息产业主管部门责令限期改正;逾期未改正的,吊销电子认证许可证书,其直接负责的主管人员和其他直接责任人员十年内不得从事电子认证服务。吊销电子认证许可证书的,应当予以公告并通知工商行政管理部门。
【释义】 本条是关于电子认证服务提供者违法行为应承担的法律责任的规定。
一、按照本法规定,电子认证服务提供者应当制定、公布符合国家有关规定的电子认证业务规则,并向国务院信息产业主管部门备案。电子认证业务规则,是电子认证服务提供者制定的,用于约束电子认证服务提供者以及电子签名人、电子认证证书的信赖者的业务声明。各方当事人必须遵守,特别是认证服务提供者。如果电子认证服务提供者不遵守认证业务规则的规定,就构成了本条规定的违法行为。如按照某电子认证服务提供者制定的电子认证业务声明的规定,电子认证服务提供者应当对认证证书申请者的身份进行鉴别,如必须检查文件的复印件,包括工商执照、组织机构代码、税务登记等。认证服务提供者可以通过查询第三方数据库或咨询相应的政府机构等方式,来对申请者及其申请材料进行验证。如果电子认证服务提供者对申请者所提供的材料没有进行验证,就会影响认证证书的真实性与安全性,构成本条规定的违法行为。应依照本条规定承担法律责任。
二、按照本法规定,电子认证服务提供者应当妥善保存与认证相关的信息。这是本法对电子认证服务提供者规定的一项义务。与认证相关的信息涉及电子签名人的一些个人资料,还要保证电子签名依赖方能够证实或者了解电子签名认证证书所载内容及其他有关事项,电子认证服务提供者应当采取有效的措施予以保存,如应采取物理安全保障措施,免遭恶劣环境或者突发事件等的破坏。如果未妥善保存信息,不能确保这些信息在规定的期限内满足查阅的需要。则构成本条的违法行为,应承担相应的法律责任。
三、按照本法规定,国务院信息产业主管部门有权制定电子认证服务业的具体管理办法。电子认证服务提供者对于国务院信息产业主管部门依法制定的电子认证服务业管理办法必须遵守,如果未遵守就构成本条规定的其他违法行为,也应依照本法规定追究其法律责任。
四、按照本条规定,电子认证服务提供者不遵守认证业务规则、未妥善保存与认证相关的信息,或者有其他违法行为的,首先由国务院信息产业主管部门责令限期改正。即责令违法行为人在规定的期限内纠正违法行为。如果电子认证服务提供者在规定的期限内未纠正违法行为,则由国务院信息产业主管部门吊销电子认证许可证书。这是比较严厉的能力罚。这里讲的"吊销许可证书",是指有关行政执法机关依法取消经营单位从事经营活动的合法凭证。即由国务院信息产业主管部门取消有违法行为的电子认证服务提供者所取得的许可从事电子认证服务的合法凭证,剥夺有违法行为的电子认证服务提供者从事电子认证服务的资格。同时,要对电子认证服务提供者的直接负责的主管人员和其他直接责任人员处以资格罚。即在十年内不得从事电子认证服务。这里讲的"其他直接责任人员",是指直接实施单位违法行为的人员。对于吊销电子认证许可证书的,国务院信息产业主管部门应当予以公告。公告应当在大众媒体上,目的是让广大用户都能知晓,避免造成不必要的损失。在公告的同时,还应当通知工商行政管理部门。由工商行政管理部门吊销违法行为人的营业执照。
第三十二条 伪造、冒用、盗用他人的电子签名,构成犯罪的,依法追究刑事责任;给他人造成损失的,依法承担民事责任。
【释义】 本条是关于伪造、冒用、盗用他人的电子签名的法律责任的规定。
一、网络的特点是公开、便捷、资源共享,极大地方便了各种人员在网上这个虚拟的空间自由沟通,也有利于社会使用多种公共的或私人的服务,这无疑大大提高了生活质量和经济效益。网络的发展带动了电子商务的发展。由于电子商务活动中,交易各方彼此不见面,这也为形形色色的违法犯罪行为提供了条件。本条所讲的伪造、冒用、盗用他人的电子签名,就是一种扰乱市场秩序,侵犯他人权益的行为;同时,这种行为也严重影响了电子交易的安全,法律对这些行为应当严厉制裁。本条所讲的伪造他人的电子签名,是指未经电子签名合法持有人的授权而创制电子签名或者创制一个认证证书列明但实际并不存在用户的签名等。本条所讲的冒用他人的电子签名,是指非电子签名持有人未经电子签名人的授权以电子签名人的名义实施电子签名的行为。本条所讲的盗用他人的电子签名,是指秘密窃取并使用他人电子签名的行为。
二、按照本条规定,伪造、冒用、盗用他人电子签名,构成犯罪的,依法追究刑事责任。构成本条的犯罪,主要是指构成刑法第二百八十条关于妨害国家机关公文、证件、印章的犯罪,伪造公司、企业、事业单位、人民团体印章的犯罪。构成该条的犯罪,必须具备以下条件:一是主观上是故意;二是客观上实施了伪造他人的电子签名的行为。对于构成犯罪的,依照刑法第二百八十条的规定,伪造、变造国家机关的公文、证件、印章的,处三年以下有期徒刑、拘役、管制或者剥夺政治权利;情节严重的,处三年以上十年以下有期徒刑。伪造公司、企业、事业单位、人民团体的印章的,处三年以下有期徒刑、拘役、管制或者剥夺政治权利。这里的"情节严重",主要是指多次实施伪造他人电子签名的行为;造成政治影响很坏、经济损失很大等严重后果的等等。行为人在实施伪造电子签名等违法行为过程中,也可能利用计算机实施金融诈骗等的犯罪。即利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的,诈骗,主要是指以非法占有为目的,用虚构事实或者隐瞒真相的方法,骗取公私财物的行为。构成诈骗罪,必须具备以下条件:一是行为人主观上应当是故意,而且具有非法占有公私财物的目的;二是诈骗公私财物数额较大。数额较大的具体数额,由司法机关根据各地的具体情况作出具体规定。对于构成诈骗罪的,依照刑法第二百六十六条的规定处罚。
三、给他人造成损失的,依法承担民事责任。民事责任,是指进行了民事违法行为的人在民法上承担的对其不利的法律后果。合法的民事权益受法律保护,如果受到他人的非法侵害,则需要给权利人以充分的法律救济,这就是民事责任制度。根据民事违法行为所侵害的权利不同,民事责任分为违约的民事责任与侵权责任。本条所讲的民事责任,指的是侵权的民事责任。给他人造成损失的,应当承担民事责任。按照民法通则的规定,承担民事责任的方式主要包括:停止侵害、排除妨碍、消除危险、返还财产、恢复原状、赔偿损失、赔礼道歉等。对于所规定的承担民事责任的几种方式,可以单独适用,也可以合并适用。
第三十三条 依照本法负责电子认证服务业监督管理工作的部门的工作人员,不依法履行行政许可、监督管理职责的,依法给予行政处分;构成犯罪的,依法追究刑事责任。
【释义】 本条是关于负责电子认证服务业监督管理工作的部门的工作人员法律责任的规定。
一、按照本法规定,国务院信息产业主管部门应当制定电子认证服务业的具体管理办法,对电子认证服务提供者依法实施监督管理。这是本法赋予国务院信息产业主管部门的法定职责。为了保证电子认证机构以公正第三方的身份对电子签名提供真实可信的认证服务,应当加强政府部门对电子认证服务的监督管理。国务院信息产业主管部门是依照本法负责电子认证服务业管理工作的部门,具体负责电子认证服务机构的从业许可,在电子认证服务机构拟暂停或者终止电子认证服务、未能就业务承接事项与其他电子认证服务提供者达成协议时,要安排其他电子认证服务提供者承接其业务,并负责对违反本法规定的行为行使行政处罚权。如果不很好履行本法赋予的这些职责,就要承担相应的法律责任。
二、依照本法负责电子认证服务业管理工作的部门的工作人员,不依法履行行政许可、监督管理职责的,应当承担相应的法律责任。
1.不依法履行行政许可职责。不依法履行行政许可职责,可以表现为对不符合法定条件的电子认证服务提供者准予行政许可或者超越法定职权作出准予行政许可决定。如按照本法规定,提供电子认证服务应当具有相应的专业技术人员和管理人员;具有相应的资金和经营场所;具有符合国家安全标准的技术和设备;具有国家密码管理机构同意使用密码的文件;以及法律、行政法规规定的其他条件等。从事电子认证服务,应当向国务院信息产业主管部门提出申请,并提交符合上述条件的相关材料。如果电子认证服务申请者不符合上述条件,比如申请者没有国家密码管理机构同意使用密码的文件,国务院信息产业主管部门就不应给予行政许可,如果予以行政许可,将严重影响电子交易的安全,可能会使电子交易有关各方的利益遭受损失。国务院信息产业主管部门接到电子认证服务申请后应当进行审查,自接到申请之日起四十五日内作出许可或者不予许可的决定,如果国务院信息产业主管部门没有在四十五日内作出许可或者不予许可的决定,就构成本条规定的不履行行政许可责任的行为。不履行行政许可责任的行为还可表现为不按照行政许可程序实施行政许可,如在受理、审查、决定行政许可过程中,未向申请人履行法定告知义务;未依法说明不受理行政许可申请或者不予行政许可的理由等等。
2.不依法履行监督管理职责。主要表现为:一是对经其许可的电子认证服务提供者没有实施经常性的监督;二是监督不力,对监督中发现的违法行为没有依法予以查处,如国务院信息产业主管部门在监督中发现电子认证服务提供者未妥善保存与认证相关的信息,按照本法规定,应当责令其限期改正,逾期未改正的,吊销电子认证许可证书。如果对于逾期未改正的,没有吊销电子认证许可证书,构成本条的违法行为。
三、对不依法履行行政许可、监督管理职责的工作人员,依照下列规定追究法律责任:
1.依法给予行政处分。行政处分,是指国家机关依法给隶属于它的犯有较轻违法行为人员的一种制裁性处理。按照《国家公务员暂行条例》的规定,对于公务员有玩忽职守,贻误工作等违法行为,尚未构成犯罪的,应当给予行政处分。行政处分分为:警告、记过、记大过、降级、撤职、开除六种。根据行为的轻重决定。行政处分应当按照干部管理权限分别由任免机关或者行政监察机关决定。
2.构成犯罪的,依法追究刑事责任。这里讲的构成犯罪,主要是指构成刑法第三百九十七条规定的玩忽职守犯罪和滥用职权犯罪。构成犯罪的前提条件是造成严重后果。"造成严重后果",是指致使公共财产、国家和人民利益遭受重大损失的行为。滥用职权,是指行使了不该自己行使的职权,即国家机关工作人员超越法律、法规赋予的职权,擅自处理其无权决定、处理的事项,或者在行使职权时,以权谋私,假公济私,不正确地履行职责,或者随心所欲地做出处理决定等等。玩忽职守,是指国家机关工作人员严重不负责任,不履行或者不正确履行职责的行为。如果由于滥用职权、玩忽职守而造成严重后果的,则构成滥用职权犯罪和玩忽职守犯罪。依照刑法第三百九十七条的规定,对玩忽职守、滥用职权的犯罪,处三年以下有期徒刑;情节特别严重的,处三年以上七年以下有期徒刑。情节特别严重,主要是指造成的经济损失数额特别巨大;造成特别严重的政治影响等情形。
第五章 附则
第三十四条 本法中下列用语的含义:
(一)电子签名人,是指持有电子签名制作数据并以本人身份或者以其所代表的人的名义实施电子签名的人;
(二)电子签名依赖方,是指基于对电子签名认证证书或者电子签名的信赖从事有关活动的人;
(三)电子签名认证证书,是指可证实电子签名人与电子签名制作数据有联系的数据电文或者其他电子记录;
(四)电子签名制作数据,是指在电子签名过程中使用的,将电子签名与电子签名人可靠地联系起来的字符、编码等数据;
(五)电子签名验证数据,是指用于验证电子签名的数据,包括代码、口令、算法或者公钥等。
【释义】 本条是对本法中与电子签名有关的几个名词的解释。
一、电子签名人可以通过两种方式签名。第一,用自己的电子签名制作数据实施电子签名;第二,委托他人,使用委托人的电子签名制作数据实施电子签名。毫无疑问,通过第一种方式进行电子签名时,签名人就是制作电子签名的人。通过第二种方式进行电子签名时,签名人是指签名制作数据指代的人,并不是指实施电子签名的人。
二、当人们阅读数据电文时,要确认数据电文的制作人,人们首先会查验含在数据电文之中或附在数据电文之后的电子签名。根据电子签名技术的不同,这样的查验既可以直接进行,也可能需要通过查验与签名对应证书进行。查验通过后,确认数据电文内容可信,并根据数据电文的内容进行决策或行动的人,就是电子签名依赖方。
三、有些电子签名是可以直观验证的,有些电子签名则不能直观验证。不能直观验证电子签名时,技术上必须提供一种方法,能把电子签名与电子签名人联系起来。数字签名便是这样的一种技术。数字签名技术通过一种数学运算,建立起唯一匹配的一对密钥,即公钥和私钥。把公钥与签名人的信息作为验证签名人身份的中介,私钥则是签名制作数据,通过公钥与私钥的特性,建立起电子签名人与电子签名制作数据之间的联系。记载了公钥和签名人(公钥持有人)信息的数据电文,就是电子签名认证证书。
四、进行电子签名时,往往是通过一种程序和算法对数据原文进行运算,变换成与原文唯一对应并且方便查验的数据电文。这种对原文进行变换的程序和算法就是电子签名制作数据。
五、可以直观获得并能将签名人鉴别出来的数据,就是电子签名验证数据。比如数字签名技术中的公钥,通过公钥就可以找出电子签名人是谁。
第三十五条 国务院或者国务院规定的部门可以依据本法制定政务活动和其他社会活动中使用电子签名、数据电文的具体办法。
【释义】 本条是授权国务院或者国务院规定的部门可以制定政务活动和其他社会活动中使用电子签名、数据电文具体办法的规定。
一、目前,电子签名主要是在电子商务活动中使用的。随着信息化水平的不断提高,在政府部门实施一些经济、社会事务的管理中,也开始采用电子手段,如电子报关、电子报税、电子年检以及依据行政许可法规定采用数据电文方式提出行政许可申请等,这些也都涉及电子签名的法律效力问题,同样需要适用本法的有关规定,而不必再另行单独制定法律。同时,考虑到经济、社会等方面的行政管理活动中使用数据电文、电子签名的特殊情况,需要授权国务院或者国务院规定的部门依据本法制定政务活动和其他社会活动中使用电子签名、数据电文的具体办法。
二、政务活动中使用数据电文、电子签名,也就是通常所说的电子政务。所谓电子政务,是指政府机构在其管理和服务职能中运用现代信息技术,实现政府组织结构和工作流程的重组优化,超越时间、空间和部门分隔的制约,建成一个精简、高效、廉洁、公平的政府运作模式。电子政务模型可简单概括为两方面:政府部门内部利用先进的网络信息技术实现办公自动化、管理信息化、决策科学化;政府部门与社会各界利用网络信息平台充分进行信息共享与服务、加强群众监督、提高办事效率及促进政务公开等等。随着信息化的不断发展,其他社会活动中也可能会使用数据电文、电子签名,如电子医疗等等。
第三十六条 本法自2005年4月1日起施行。
【释义】 本条是关于本法开始实施时间的规定。
一、法律的效力范围包括对时间效力、空间效力和对人的效力三个方面。法律的施行时间,也就是法律的生效时间,是对法律时间效力问题的规定。它关系着公民、法人、社会组织从何时起就可以按照法律的规定享有自己的权利,并必须履行自己的义务。因此,对正确运用法律具有非常重要的意义。
二、本法自2005年4月1日起施行,即自2005年4月1日起,有关数据电文、电子签名与认证以及违反本法规定应当承担的责任都应当执行本法的规定。法律中明确规定生效时间涉及一些法律问题及后果。首先是溯及力问题,按照国际通行的原则,法律不溯及既往,也就是说,新的法律规定不能调整法律生效前已经发生的违反新法律的事实和行为,但是如果其事实和行为在新法生效前发生并延续到新法实施后,则应当适用新法。因此,在电子签名法实施前,违反本法规定的行为只能用目前实施的有关法律调整。其次,法律在正式公布之后,根据立法法的原则,行政法规和部门规章不得与法律规定相违背。目前正在实施的一些办法需要重新进行调整。本法公布前国务院及其有关部门和各地方制定的行政法规、部门规章和地方性法规及规章,如与本法规定不一致的,应当在2005年4月1日前重新制定发布,来不及重新修改发布的,对与本法不一致的规定应当停止执行。
三、本法于2004年8月28日经第十届全国人民代表大会常务委员会第十一次会议通过,同日由国家主席胡锦涛签署主席令予以公布,并于2005年4月1日起施行。本法的颁布与施行时间之间留有一定的间隔,主要是为了使各有关方面利用这段时间充分做好法律实施的各项准备工作,如国务院信息产业主管部门应当依照本法尽快制定电子认证服务业的具体管理办法等。此外,由于电子签名是一项新的事物,有关部门还要加强法律宣传工作,让更多的人理解这部法律。
主 编:安 建(全国人大常委会法制工作委员会副主任)
张 穹(国务院法制办公室副主任)
杨学山(国务院信息化工作办公室副主任)
副主编:黄建初(全国人大常委会法制工作委员会经济法室主任)
胡可明(国务院法制办公室秘书行政司司长)
秦 海(国务院信息化工作办公室政策规划组副组长)
撰稿人:刘左军、赵 雷、王 翔、蔡人俊、刘 波、雷凌飞、欧阳武