【正文】 意力較多放在電子商務的環(huán)境、消費者保護、隱私保護等方面。 電子簽字應保障使用者最低程度的信賴，維持技術(shù)的透明性，保護簽字產(chǎn)生系統(tǒng)的安全和維持認證的品質(zhì)。在立法上，消除對其它國家電子簽字技術(shù)的歧視。 技術(shù)中立原則達到各國的認可，立法不在局限于“數(shù)字簽字”上，而是以“電子簽字”代之?？紤]到其通過時間早在 1995 年 1 月 25 日，甚至早于 9 段從 1995 年到 1997 年年末，為電子簽字法的立法探索時期。第一階 1 嚴格地說，俄國家杜馬通過的《俄羅斯聯(lián)邦信息法》并非電子簽字專門立法。這個授權(quán)認證規(guī)則得到了美國國家標準和技術(shù)研究院 (NIST)及 OECD 的高度評價，并被指定為共同的全球規(guī)劃的主要基礎。 98 年出臺了政府規(guī)章“ The Electronic Transation Act 1998 ” （ Republic of Singapore），對電子記錄、數(shù)字簽名、 CA 及政府的使用等作了明確規(guī)定。 第五，《指令》在為安全系統(tǒng)和電子簽字產(chǎn)品設置技術(shù)標準的同時，同時很重視市場準入問題。 第二，《指令》擯棄了傳統(tǒng)的公鑰、私鑰、對鑰的概念，而引入了一系列新概念，如“簽署簽字數(shù)據(jù) ”(signaturecreation data，相當于公鑰 )、“簽署簽字設備 ”(signaturecreation device)、“安全簽署簽字設備 ”(secure－ signaturecreationdevice）、“確認簽字數(shù)據(jù) ”(signatureverificationdata，相當于私鑰 )、“確認簽字設備 ”（ signatureverification device）。該項立法作為美國政府推動電子商務的重要舉措，為電子簽字和電子記錄的法律地位的確定制定了重要的程序和規(guī)則。它的基本思路是將電子簽字分為高密級與一般電子簽字兩種，同時將符合條件的數(shù)字簽字納入高密級的電子簽字中去，從而巧妙地使兩套體系得以銜接。緊步猶他州后塵的是《華盛頓電子認證法》（ Washington Electronic Authenticate Act）。 1995 年夏，一部對美國各州乃至對全世界都有重大影響的《 ABA 4 數(shù)字簽字指南》終于誕生。 20xx 年 3 月 23 日，聯(lián)合國國際貿(mào)易法委員會電子商務工作組第38屆會議通過了《電子簽字示范法》。同樣 ， 商家也可對持卡人進行驗證（見圖 1）。 認證機構(gòu)是指從事頒發(fā)為電子簽字的目的而使用的加密密鑰相關(guān)的證書的人。 數(shù)字證書是目前最常用的認證證書，它是由認證機構(gòu)簽發(fā)的數(shù)據(jù)電文或相關(guān)記錄以確認持有特定密鑰者身份的文件。 數(shù)字認證主要包括身份認證和信息認證。它是基于用戶的客戶端主機 IP 地址的一種認證機制，它允許系統(tǒng)管理員為具有某一特定 IP地址的授權(quán) 用戶定制訪問權(quán)限。 1 《上海市數(shù)字認證管理辦法》立法調(diào)研報告 一、數(shù)字認證、數(shù)字證書與認證機構(gòu)的概念 數(shù)字認證技術(shù)是保證電子商務交易安全的一項重要技術(shù)。 CA與 IP地址相關(guān)，對訪問的協(xié)議不做直接的限制。前者用于鑒別用戶身份，后者用于保證通信雙方的不可抵賴性和信息的完整性。 基于 PKI 的數(shù)字證書 2 是電子商務安全體系的核心，用途是利用公共密鑰加密系統(tǒng)來保護與驗證公眾的密鑰，由可信任的、公正的權(quán)威機構(gòu)認證機構(gòu)頒發(fā)。 認證機構(gòu)在電子商務中具有特殊的地位。 圖 1 CA 認證 持卡人 商家 CA 3 二、國際數(shù)字認證立法現(xiàn)狀 隨著社會對電子商務特質(zhì)內(nèi)涵的逐漸把握，世界各國都已經(jīng)增強了對電子商務的法律管制與調(diào)整，尤其在數(shù)字認證上達成了較為一致的看法，即這一領(lǐng)域應當成為法律切入電子商務領(lǐng)域的關(guān)鍵。該法共 12 條，內(nèi)容涉及：適用范圍、定義、簽字技術(shù)的平等對待、符合簽字要求、簽字人的行為、驗證服務提供商的行為、可信賴性、依賴方的行為、對外國證書和電子簽字的承認。它的意圖在于“提供一種解決方案，使得獲得州政府許可的認證機構(gòu)在應用 PKI 系統(tǒng)后，數(shù)字簽字能得到承認。華州州法非常近似于猶他州法，于是此類立法被通稱為“猶他 /華盛頓 ”模式，該模式的特點在于法律直接鎖定某種具體技術(shù)，將大量的技術(shù)術(shù)語與技術(shù)標準直接納入法律規(guī)范，又被稱為“指定式”（ prescriptive）立法。這種大膽思路給了外國立法相當?shù)膯l(fā)，如新加坡法就大量因襲了伊州立法。根據(jù)該法案規(guī)定，在該法案確定的標準得到遵守的前提下，即可賦于電子簽字、電子合同和電子記錄以法律上的確定性。通過對傳統(tǒng)技術(shù)術(shù)語的法律提煉，既可以凸顯其“技術(shù)中立 ”的個性，又建立起一套比較嚴格的對認證機構(gòu)與電子簽字的管理制度。 第六，《指令》通過自愿認可方案的認可、取得歐盟內(nèi) CA 的擔保、以及訂立雙邊或多邊協(xié)議三種方式解決了與歐盟外認證機構(gòu)的數(shù)字證書的交叉認證問題。 （五）日本 1997年 10月，由富士通、日立和 NEC 聯(lián)合成立了日本認證服務有 7 限公司以提供頒發(fā)電子認證的服務 ,現(xiàn)在已開始這項服務。 （六）韓國 韓國的信息與通信部正在起草一項使數(shù)字簽字合法化的法案，使已經(jīng)認證的數(shù)字簽名的所有數(shù)字式商務文檔均與實際交易中使用的硬考貝 具有同等法律效力；韓國商業(yè)、工業(yè)和能源部打算今年頒布《電子商務基本法》，以便與國際上制定的全球 Inter 貿(mào)易標準相接軌。但其中第 5 條第 3 款規(guī)定，對于經(jīng)電子簽字認證的自動信息和電信系統(tǒng)所儲存和傳輸?shù)奈募?，本法承認其法律效力。這一階段的立法以調(diào)整電子交易形式方面的電子商務法為主，獨立調(diào)整簽字認證的法律較少，立法語言尚不成熟。法律不規(guī)定采用何種技術(shù)的電子簽字具有法律效力，而是規(guī)定具有法律效力的電子簽字應當達到何種法律要求。 。同時， 消費者 對是否接受和采用 電子簽字應當有選擇的權(quán)利。多數(shù)發(fā)展中國家倡導政府適度干預，積極監(jiān)管的立法政策，在有關(guān)立法上較多筆墨規(guī)范了簽字和認證服務提供商的設立、行為等事宜。 從主要國家和國際組織的相關(guān)法律來看，在簽字認證的定義、原則、法律要件、效力、認證機構(gòu)法律責任等方面的規(guī)定幾乎相同，但在對待認證機構(gòu)的市場準入、設立條件、監(jiān)督管理等方面有一些差異。一種是政府所核準的認證機構(gòu)，另一種是私人的認證機構(gòu)。不論是政府核準的認證機構(gòu)還是私人的認證機構(gòu)，要獲得營業(yè)執(zhí)照必須向信息通訊局申請，在收到申請文件后進行書面審查，若書面審查通過則由 韓國信息安全局 再 進行實質(zhì)審查。 從各國法制的同異性考察，電子商務法律有同質(zhì)性的內(nèi)容，尤其是在英美法系國家中這種現(xiàn)象更為明顯，美國挾其電子商務的綜合優(yōu)勢對前英殖民地國家的電 子商務立法活動產(chǎn)生了重大影響，這些國家的法律從體例、用語到具體內(nèi)容存在著極大的近似性。 當然，各國經(jīng)濟發(fā)展水平差異巨大，信息網(wǎng)絡技術(shù)應用程度相去甚遠，電子商務立法內(nèi)容中更多的是差異性。 三、 世界各國電子簽字與數(shù)字認證政策 法律的互動與趨同趨勢 電子簽字與數(shù)字認證政策法律用以調(diào)整認證機構(gòu)、證書用戶、國家行政機關(guān)與不特定的社會公眾之間在認證電子交易過程中所發(fā)生的法律關(guān)系，調(diào)整對象主要包括平等主體之間民商事法律關(guān)系和非平等主體之間的行政法律關(guān)系。 立法思想的趨同集中表現(xiàn)在以下幾個方面，第一、“技術(shù)中立”的立法原則已被廣為接受，“電子簽字”作為法律概念，要比作為技術(shù)與法律雙重概念的“數(shù)字簽字”更受立法者的青睞。第四、強調(diào)消費者 法律保護、知識產(chǎn)權(quán)保護與隱私權(quán)的保護。各國認為，只要解決了這些法律問題，電子簽字法基本上就可以起到排除現(xiàn)有法律障礙的目的。盡管采用了不同的稱謂，比如伊州法、新加坡法將高密級的電子簽字稱為“可靠電子簽字”（ secure electronic signature），UNCITRAL《電子簽字統(tǒng)一規(guī)則》使用“強化電子簽字”（ enhanced electronic signature）；歐盟指令則稱為“高級電子簽字”（ advanced electronic signature），但兩分法的立法處理是共通的。少數(shù)較晚的國家如日本、英國等有意 采用不隨大流的立法語言以凸顯其法律的獨特 15 性，而國際組織或區(qū)域組織在本領(lǐng)域內(nèi)進行法律統(tǒng)一時，基本上都另起爐灶，采用一套全新的法律語言，以求得統(tǒng)一的效果。截至到今日，一共有 57 個國家頒 布了數(shù)字認證或相關(guān)的法律。 1998 年以后，特別是進入新千年以來，主要發(fā)達國家和新興發(fā)展中國家均已制定或正在制定數(shù)字認證法律。美國在認證市場的準入和監(jiān)管方面最為寬松，幾乎是“放手不管”，以市場導向和業(yè)者自律為原則。政府所核準的認證機構(gòu)根據(jù)電子簽字法設立，條件較高，如資本額需達 800 萬美元；需有 12 個以上具備認證實務管理經(jīng)驗的工程師；要有能力辨認使用者的身份與注冊資料、管理數(shù)字簽字密鑰與證書、維護證書管理系統(tǒng)的安全、進行實體備份與資料備份。 上述立法態(tài)度的差異與其本國的文化和經(jīng)濟發(fā)展程度、電子商務的水平密切相關(guān)，從實際效果來看，美國是發(fā)達 國家中電子商務發(fā)展程度最高的國家，韓國可以說是發(fā)展中國家電子商務水平最高的國家，因此，只要是符合簽字認證的發(fā)展規(guī)律和本國國情的立法均能起到很好的效 17 果。 “中國協(xié)卡認證體系（ SHECA）”由上海 CA 中心發(fā)起成立，目前包括上海、北京、天津三地 CA 中心。廣東省電子商務認證中心是經(jīng)廣東省政府批準成立的廣東省惟一一家政府認可的 安全認證權(quán)威機構(gòu)，前身是南方電子商務中心；湖北 CA 中心（簡稱 HBECA）是經(jīng)湖北省政府批準成立 ,由湖北省信息中心控股，在廣東南方通信集團支持下組建的一家高科技有限責任公司，是代表湖北省政府惟一從事電子商務和電子政務安全證書管理的權(quán)威性機構(gòu)；海南省電子商務認證中心，是經(jīng)海南省政府批準，由海南省商貿(mào)信息服務中心和廣東南方通信集團公司南方電子商務中心聯(lián)合出資組建，從事電子商務數(shù)字證書制作、頒發(fā)、管理和相關(guān)網(wǎng)絡加密的權(quán)威機構(gòu)。最終， IBM 公司中標 SET 系統(tǒng)，德達 /SUN/Entrust 集團中標 NON－ SET系統(tǒng)，并于 1999 年 8 月 30日正式簽約實施。各 CA機構(gòu)深諳其道，紛紛打出“國字號”招牌，以顯得神通廣大：“中國協(xié)卡認證體系”在對外宣傳資料上赫然印著 8 個大字：“一證在手，走遍天下”，讓人對網(wǎng)上安全前景怦然心動；中國金融認證中心一開始就打出“統(tǒng)一中國”的口號，氣勢高昂；同樣，南方幾家認證聯(lián)盟已經(jīng)把觸角伸到西 南、西北，整體輪廓依稀可見。這條戰(zhàn)線結(jié)合傳統(tǒng)業(yè)務的 e 化流程，具有得天獨厚的政策優(yōu)勢和資源優(yōu)勢，雄心勃勃地勾勒出一統(tǒng)江山后的圖畫。 中國金融認證中心早在 1999 年初組建領(lǐng)導小組時，就明確闡明了“統(tǒng)一規(guī)劃、聯(lián)合共建”的基本原則。例如，在上海正式開通的電子商務網(wǎng)上支付系統(tǒng)中，當?shù)氐墓ば?、農(nóng)行、交行等商業(yè)銀行就已經(jīng)成為 SHECA 數(shù)字證書審批受理點。具體到數(shù)字認證領(lǐng)域，覆蓋全局的跨國界、跨地區(qū)、跨行業(yè)之間的交叉認證是癥結(jié)所在。但電子商務概念的熱浪撲面而來，一度催生出各種類型和 CA 機構(gòu)和公司，甚至在網(wǎng)上可以看到某個人網(wǎng)站在發(fā)送數(shù)字證書的景象。這個責任要有幾個保障：首先是政府支持，然后是要有經(jīng)濟實力 ，出了問題要賠得起，相應的保險要做足等等因素缺一不可。比如證券公司目前提出的交易安全、信息安全概念，主要做的是加解密這一塊工作，他們向股民承諾的是有了這個認證，你的資料、交易 不會被別人看到，但這只是停留在加解密層面上的安全，但真正的安全還包括身份的確認、整個交易記錄完整性的確認等方面，就像做公證一樣，有個“第三方”的特性，恰恰這個特性被忽略了。而國內(nèi)情況大相徑庭，每個銀行都發(fā)自己的卡，造成多卡種、跨地域、跨行、流通困難的局面。上海、北京、天津等組成的“中國協(xié)卡認證體系”在國內(nèi)是首家信任服務和安全服務的提供商，起步至今已有 3 年的歷史。網(wǎng)絡和電子商務的向前發(fā)展的趨勢是不可逆轉(zhuǎn)的，經(jīng)營有方的認證機構(gòu)在 3 年內(nèi)達到收支平衡是可能的。通過采用國際上最先進的安全保密技術(shù)對網(wǎng)絡上的數(shù)據(jù)發(fā)送方、接收方進行身份情況確認和資信情況確認，以保證交易各方信息的安全性、保密性和可靠性。 近年來，國際組織為建立全球數(shù)字認證中心制訂了一系列的標準與法規(guī)，如國際標準組織（ ISO）已頒布的密鑰鑒別架構(gòu)（ Authentication Framework）標準 ISO 95948[2]、開放系統(tǒng)連接安全架構(gòu)（ Security Frameworks in Open Systems ） 標 準 ISO 10181[3] ， 存 證 （ Nonrepudiation）標準 ISO 13888[4]也在草擬中。為了保證電子商務的健康發(fā)展，建立一個國家級的電子商務認證機構(gòu)，使它能夠聯(lián)系政府部門的網(wǎng)絡安全認證中心以及各行各業(yè) 現(xiàn)存的認證機構(gòu)，進而形成一個完整的體系，為參與網(wǎng)絡交易的各方提供法律認可的、具有權(quán)威性的商務認證，已經(jīng)成為電子商務發(fā)展的迫切要求。有鑒于此，我們應吸取教訓，盡快形成自己的電子商務認 25 證機構(gòu)的建設方案。 2）行業(yè)主管部門認為應當以行業(yè)為中心建立認證中心。 我們認為，電子商務交易認證不應是單純的政府行為，而應當由政府授權(quán)，采用市場運營方式，發(fā)揮私人和行業(yè)的積極性，以便形成競爭的局面。根據(jù)目前因特網(wǎng)和計算機系統(tǒng)的運行速度，全國設立一個