中華人民共和國電子簽名法釋義2025全文, 中華人民共和國電子簽名法釋義2025全文 主 編:安 建(全國人大常委會法制工作委員會副主任) 張 穹(國務院法制辦公室副主任) 楊學山(國務院信息化工作辦公室副主任) 副主編:黃建
主 編:安 建(全國人大常委會法制工作委員會副主任)
張 穹(國務院法制辦公室副主任)
楊學山(國務院信息化工作辦公室副主任)
副主編:黃建初(全國人大常委會法制工作委員會經濟法室主任)
胡可明(國務院法制辦公室秘書行政司司長)
秦 海(國務院信息化工作辦公室政策規劃組副組長)
撰稿人:劉左軍 趙 雷 王 翔 蔡人俊 劉 波
雷凌飛 歐陽武
目 錄
第一章 總 則
第二章 數據電文
第三章 電于簽名與認證
第四章 法律責任
第五章 附 則
第一條 為了規范電子簽名行為,確立電子簽名的法律效力,維護有關各方的合法權益,制定本法。
【釋義】 本條是關于本法立法目的的規定
一、規范電子簽名行為。在傳統的交易過程中,為了保證交易安全,交易中的文件一般都要由當事人簽字或者蓋章,以便能夠確認簽名人的身份,并保證簽字或者蓋章的人認可文件的內容。當交易通過電子的形式進行時,傳統的手寫簽字和蓋章無法進行,必須依靠技術手段替代。這種在電子文件中識別交易人身份,保證交易安全的電子技術手段,就是電子簽名。
上世紀末到本世紀初,全球電子商務獲得了飛速發展,據聯合國貿易和發展委員會《2002年電子商務發展報告》顯示,2001年世界電子商務交易額達到6135億美元,比2000年的3549億美元增長了73.1%。我國的電子商務在近幾年也獲得了很大的發展,據中國電子商務協會《2003年中國電子商務發展分析報告》中的統計,至2002年12月,中國電子商務網站為3804家,比2001年的3391家增長了12%,其中能夠有效運行的1533家,比2001年的1326家增長了16%。2002年各行業電子商務交易額約為10242億元,其中證券公司網上交易總量達5230億元,占51%。2002年,產品類電子商務市場規模為4890億元,占電子商務市場總規模的48%;服務類電子商務市場規模為5352億元,占52%。同時,隨著我國政府上網工程的實施,電子政務也獲得了普遍的推行。
隨著電子商務和電子政務的迅猛發展,電于簽名的應用范圍愈加廣泛。但是,電子簽名是一個新興事物,在傳統的法律環境下,電子簽名的應用也遇到了一些法律上的問題:一是電子簽名、數據電文是否具有法律效力無明文規定,造成了電子商務和電子政務發展的法律障礙,客觀上制約了電子商務和電子政務的發展;二是電子簽名的規則不明確,對電子簽名人的行為缺乏規范,發生糾紛后責任難以認定;三是電子認證服務提供者的法律地位和法律責任不明確,行為不規范,認證的合法性難以保證;四是電子簽名的安全性、可靠性沒有法律保障,交易方對電子交易的安全沒有保障。
為了規范電子簽名活動,消除電子商務和電子政務發展過程中的法律障礙,有關國際組織、許多國家和地區相繼制定了電子簽名法或電子商務法。其中較有代表性的法律文件(或示范法)有美國的《統一電子交易法》(1999年)、《國際與國內商務電子簽章法》(2000年)、歐盟的《電子簽名指令》(1999年)與《電子商務指令》(2000年)、新加坡的《電子商務法》(1998年)、韓國的《電子商業基本法》(1999年)、澳大利亞的《電子交易法》(1999年)等。聯合國國際貿易法委員會也分別于1996年和2001年制定了《電子商務示范法》和《電子簽名示范法》,為各國的電子簽名立法提供指導。我國也積極進行電子簽名的立法工作。2004年3月24日,《中華人民共和國電子簽名法(草案)》經國務院第45次常務會議討論通過,并提交全國人大常委會審議。十屆全國人大常委會第八次、第十次和第十一次會議分別于2004年4月、2004年6月、2004年8月對該項草案進行了三次審議,并在2004年8月28日舉行的十屆全國人大常委會第十一會議的全體會議上通過了這部法律,將于2005年4月1日起施行。
本法通過確立電子簽名的法律效力和簽名規則,設立電子認證服務市場準入制度,加強對電子認證服務業的監管,規定電子簽名安全保障制度等,來規范各方當事人在電子簽名活動中的行為,確立其行為準則。
二、確立電子簽名的法律效力。電子簽名的法律效力是電子簽名法所要解決的最重要問題。確立電子簽名的法律效力,關鍵在于解決兩個問題:一是通過立法確認電子簽名的合法性、有效性;二是明確滿足什么條件的電子簽名才是合法的,有效的。
在對法律應該承認什么樣的電子簽名具有法律效力的問題上,聯合國示范法和各國電子簽名法采用了不同的立法模式,主要有以下三種:第一,技術中立模式。這種模式以聯合國電子商務示范法為代表,即規定只要符合一定的條件,電子簽名就具有與傳統簽名同等的法律效力,而不限制達到規定條件的電子簽名應該采用的技術。聯合國電子商務示范法規定,如果法律要求一個人簽字,則對于一項數據電文而言,倘若情況如下,即滿足了該項要求:1.使用了一種方法,鑒定了該人的身份,并且表明該人認可了數據電文所含的信息;2.從所有各種情況看來,包括根據任何相關協議,所用方法是可靠的,對生成或傳遞數據電文的目的來說也是適當的。美國、澳大利亞、新西蘭等國的電子簽名法采用了這種技術中立的立法模式。第二,技術特定模式。即法律只明確采用某種特定技術的電子簽名的法律效力,對采用其他技術的電子簽名
的法律效力未做規定。如韓國電子署名法只承認數字簽名為合法的電子簽名。韓國電子署名法規定:與公認認證機關頒布的認證書所包含的電子署名檢證鍵一致的電子署名生成鍵所生成的電子署名,可視為依法而定的署名或印章。此外德國、丹麥、馬來西亞、印度以及我國香港地區等的電子簽名法也都采用技術特定的立法模式。第三、技術中立與技術特定的折衷模式。這種模式承認所有安全電子簽名都具有與手寫簽名同等效力,同時以目前國際上比較公認的成熟技術為基礎,推薦一定的安全條件和標準。新加坡電子簽名法規定,如果一項法律規則要求簽名,或規定某一文件未經簽名會產生特定的法律后果,則采用電子簽名的形式滿足該法律規則。同時該法又規定,通過使用法定的安全程序,或當事人同意采用的合理安全的商業程序,如果能夠證實一項簽名在制作
時符合下列條件,則該簽名可以視為安全的數字簽名:1.使用者唯一的簽名;2.能證實使用者的身份;3.通過某種使用者可以唯一控制的方式或方法創設;4.和相關的電子記錄以某種方式具有密切聯系,一旦該記錄被修改,則簽名也隨之失效。聯合國電子簽名示范法、菲律賓電子商務法、我國臺灣地區的電子簽章法等也都采用了這種折衷式的立法模式。
本法在電子簽名的法律效力問題上,也采取了折衷式的立法模式。一是規定當事人約定使用電子簽名的文書,不得僅因為其采用電子簽名而否定其法律效力;二是規定可靠的電子簽名具有與手寫簽名或者蓋章具有同等的法律效力;三是規定當事人可以選擇使用符合其約定的可靠條件的電子簽名;四是以目前國際上比較公認的成熟技術為基礎,推薦一定的安全條件和標準,作為可靠的電子簽名的標準。按照本法的規定,一個電子簽名如果符合法定或者當事人約定的可靠的電子簽名的條件,就具有與手寫簽名或者蓋章同等的法律效力。
三、維護有關各方的合法權益。這里講的有關各方包括電子簽名人、電子認證服務提供者以及與電子簽名人進行交易的電子簽名依賴方等參與電子簽名活動的當事人。有關各方在電子簽名活動中的合法權益都受到法律的保護。電子簽名法規定了各方在電子簽名活動中的權利義務,明確了電子簽名活動規則,確立各方當事人在電子簽名活動中的行為準則,并規定違反法定義務和約定義務的當事人要承擔相應的法律責任,以達到平等保護各方當事人合法權益的目的。
第二條 本法所稱電子簽名,是指數據電文中以電子形式所含、所附用于識別簽名人身份并表明簽名人認可其中內容的數據。
本法所稱數據電文,是指以電子、光學、磁或者類似手段生成、發送、接收或者儲存的信息。
【釋義】 本條是關于電子簽名和數據電文概念的規定。
一、電子簽名的概念。簽名,一般是指一個人用手親筆在一份文件上寫下名字或留下印記、印章或其他特殊符號,以確定簽名人的身份,并確定簽名人對文件內容予以認可。傳統的簽名必須依附于某種有形的介質,而在電子交易過程,文件是通過數據電文的發送、交換、傳輸、儲存來形成的,沒有有形介質,這就需要通過一種技術手段來識別交易當事人、保證交易安全,以達到與傳統的手寫簽名相同的功能。這種能夠達到與手寫簽名相同功能的技術手段,一般就稱為電子簽名。
有關國際組織、國家和地區電子簽名法對電子簽名的定義,一般都是通過對其要達到的功能的表述而形成的。傳統的手寫簽名主要應具有三項功能:一是能表明文件的來源,即識別簽名人;二是表明簽名人對文件內容的確認;三是能夠構成簽名人對文件內容正確性和完整性負責的根據。構成電子簽名,就必須具有上述功能。聯合國電子簽名示范法規定,本法所稱電子簽名,是指在數據電文中,用電子形式所含的或在邏輯上與該數據電文有聯系的用于識別簽名人的身份和表明簽名人認可該數據電文內容的數據。菲律賓電子商務法規定,電子簽名是指電子形式的任何有顯著性的標志、性能、聲音,可以代表某人的身份并且附著于某人所設置或采用的電子數據電文、電子文件或任何方法或程序,或與其有邏輯上的聯系,且由該人作出或采用,旨在鑒別或者批準一份電
子數據電文或電子文件。歐盟電子簽名指令、日本電子簽名與認證服務法、美國國際國內商務電子簽名法等也都對電子簽名做了相類似的定義。按照上述定義,具有識別簽名人身份和表明簽名人認可簽名數據的功能的技術手段,就是電子簽名。
本條對電子簽名的概念作了與聯合國電子簽名示范法相類似的規定。根據本條的規定,電子簽名的概念包含以下內容:
1.電子簽名是以電子形式出現的數據。
2.電子簽名是附著于數據電文的。電子簽名可以是數據電文的一個組成部分,也可以是數據電文的附屬,與數據電文具有某種邏輯關系、能夠使數據電文與電子簽名相聯系。
3.電子簽名必須能夠識別簽名人身份并表明簽名人認可與電子簽名相聯系的數據電文的內容。
電子簽名具有多種形式,如:附著于電子文件的手寫簽名的數字化圖像,包括采用生物筆跡辨別法所形成的圖像;向收件人發出證實發送人身份的密碼、計算機口令;采用特定生物技術識別工具,如指紋或是眼虹膜透視辨別法等。無論采用什么樣技術手段,只要符合本條規定的要件,就是本法所稱的電子簽名。
二、數據電文的概念。數據電文,也稱為電子信息、電子通信、電子數據、電子記錄、電子文件等。一般是指通過電子手段形成的各種信息。數據電文一詞最早在國際法律文件中出現是在1986年聯合國歐洲經濟委員會和國際標準化組織共同制定的《行政、商業和運輸、電子數據交換規則》。該規則規定,貿易數據電文是指當事人之間為締結或履行貿易交易而交換的貿易數據。1996年聯合國電子商務示范法采用了這一概念,該法規定,"數據電文"是指經由電子手段、光學手段或者類似手段生成、儲存或者傳遞的信息,這些手段包括但不限于電子數據交換、電子郵件、電報、電傳或者傳真。各國電子簽名法或電子商務法也對數據電文作了類似的規定。如美國國際國內商務電子簽名法規定,"電子記錄"是指由電子手段創制、生成、發送、傳輸、接收或者儲存的合同或其他記錄;韓國電子商務基本法規定,"電子信息"是指以使用包括計算機在內的電子數據處理設備的電子或類似手段生成、發送、接收或者
儲存的信息。
聯合國國際貿易法委員會電子商務示范法頒布指南對數據電文作了更為詳細的解釋:第一,"數據電文"的概念并不僅限于通信方面,還應包括計算機產生的并非用于通信的記錄。"電文"這一概念應包括"記錄"這一概念。第二,所謂類似手段,并不僅指現有的通信技術,而且包括未來可預料的各種技術。"數據電文"定義的目的是要包括所有以無紙形式生成、儲存或傳輸的各類電文。為此,所有信息的通信與儲存方式,只要可用于實現與定義內所列舉的方式的相同功能,都應當包括在類似手段中。第三,"數據電文"的定義還包括其廢除或修改的情況。
根據本條的規定,數據電文的概念包含兩層意思:第一,數據電文使用的是電子、光、磁手段或者其他具有類似功能的手段;第二,數據電文的實質是各種形式的信息。
第三條 民事活動中的合同或者其他文件、單證等文書,當事人可以約定使用或者不使用電子簽名、數據電文。
當事人約定使用電子簽名、數據電文的文書,不得僅因為其采用電子簽名、數據電文的形式而否定其法律效力。
前款規定不適用下列文書:
(一)涉及婚姻、收養、繼承等人身關系的;
(二)涉及土地、房屋等不動產權益轉讓的;
(三)涉及停止供水、供熱、供氣、供電等公用事業服務的;
(四)法律、行政法規規定的不適用電子文書的其他情形。
【釋義】 本條是關于電子簽名活動中的當事人意思自治原則、電子簽名和數據電文的法律效力的規定。
一、電子簽名活動中的意思自治原則。當事人意思自治,是民事法律中的一項基本原則。即在民事活動中,除法律有強制性規定外,各民事主體可以自主決定自己的行為,交易各方可以自愿約定之間的權利義務關系。當事人意思自治的核心是尊崇當事人自主的意思選擇,從法律上承認當事人可以自由決定相互之間的法律關系。民事領域的活動雖然通過電子形式進行,但在本質上與一般的民事交易活動并沒有區別,因此同樣應當遵循意思自治原則,由當事人自主約定是否使用數據電文、電子簽名。有關國家的電子簽名法一般都承認當事人意思自治,如美國統一電子交易法規定,"本法僅適用于每一方均同意以電子手段進行交易的當事人之間的交易。當事人是否同意以電子手段進行交易,由上下文和周圍情勢,包括當事人的行為來確定。"因此,本條第一款明確規
定,民事活動中的合同或者其他文件、單證等文書,當事人可以約定使用或者不使用電子簽名、數據電文。
應該注意的是,電子簽名、數據電文的使用并不僅限于民事活動,還會用于電子政務活動和其他社會活動。本法已授權國務院或者國務院規定的部門可以依據本法制定政務活動和社會活動中使用電子簽名、數據電文的具體辦法。因此,在這些活動中使用電子簽名、數據電文,還應遵循國務院或者國務院有關部門的具體規定。
二、電子簽名、數據電文的法律效力。電子簽名、數據電文雖然以電子形式出現而與手寫簽名、書面文件不同,但是法律不應僅因為這一點而不承認其法律效力。只要符合法律規定的條件,電子簽名、數據電文與手寫簽名、書面文件具有同等的法律效力。因此,有關國際組織、國家和地區的電子商務法或電子簽名法一般都對電子簽名、數據電文的法律效力問題作出規定,要求不得以其采用電子形式而加以歧視。如聯合國電子商務示范法規定,不得僅僅以某項信息采用數據電文形式為理由而否定其法律效力、有效性或可執行性。韓國電子商務基本法規定,除非法律另有特別規定,不得因為信息采用電子形式而否認其相對于其他的紙面信息形式具有法律效力。美國國際國內商務電子簽名法規定,一項交易中的合同,不得僅因為其在締結過程中使用了電子簽名或電子
記錄而否定其法律效力或可執行性。此外美國統一電子交易法、澳大利亞電子交易法、新加坡電子交易法、我國臺灣地區電子簽章法等也作了類似規定。
根據本條第二款的規定,當事人約定使用電子簽名、數據電文的文書,不得僅因為其采用電子簽名、數據電文的形式而否定其法律效力。即在當事人約定使用電子簽名、數據電文的情況下,不能以該文書中某項信息或簽名采用了電子形式,作為否定其法律效力的唯一理由。
三、電子交易是一種新興的交易方式,電子簽名、數據電文并未在社會活動中獲得廣泛應用,廣大民眾的認知度不高。同時,電子簽名、數據電文的應用需要借助于一定的技術手段,物質條件也會限制一部分民眾使用這種交易方式。由于上述原因,并基于交易安全因素的考慮,一些國家和地區的電子簽名法或電子商務法規定某些領域不適用這種交易方式。一般包括以下幾種情況:第一、與婚姻、家庭等人身關系有關的文件。如美國電子簽章法規定,"關于遺囑、遺囑修改書或遺產信托的制定法、條例或者其他法律規則","關于收養、離婚或家庭法其他事項的州的制定法、條例或者其他法律規則",不適用該法關于電子簽名效力的規定。我國香港地區電子交易條例規定,"遺囑、遺囑更改附件或任何其他遺囑性質的文書的訂立、簽立、更改、撤消、恢復效力或更正",不適用本條例。第二與訴訟程序有關的文書。如美國電子簽章法規定,該法關于電子簽名效力的規定不適用于"與訴訟程序有關的需經
簽章的法庭傳票或通知,或正式法庭文書(包括訴狀、答辯狀以及其他書面文件)"。第三、與公用服務事業有關的文書。美國電子簽章法規定,該法關于電子簽名效力的規定不適用于"公用服務(包括供水、供熱及供電)的取消或終止"的通知。第四、與不動產權益有關的文書。新加坡電子交易法規定,"任何用于買賣不動產或以其他方式處分不動產的契約及不動產下所發生利益的契約"、"不動產轉移或不動產利益的轉讓"以及"產權證書",不適用本法。第五、其他文書。如澳大利亞電子交易法規定,與移民有關的文件或公民權證書,不適用本法;新加坡電子交易法規定商業票據不適用本法;我國臺灣地區電子簽章法規定法令或行政機關之公告,可以排除其適用。
本法參考外國和有關地區的立法例,并結合我國的實際情況,在本條第三款規定了本法的適用除外,包括:1.涉及婚姻、收養、繼承等人身關系的文書;2.涉及土地、房屋等不動產權益轉讓的文書;3.涉及停止供水、供熱、供氣、供電等公用事業服務的文書。同時,為了使本法在實施過程中具有更大的靈活性,還規定了一個兜底條款,即法律、行政法規可以對其他不適用電子文書的情形作出規定。
第二章 數據電文
第四條 能夠有形地表現所載內容,并可以隨時調取查用的數據電文,視為符合法律、法規要求的書面形式。
【釋義】 本條是關于數據電文符合法定書面形式要求的規定。
一、本條解決兩個相關聯的問題:一是,數據電文是否符合法律、法規要求的書面形式;二是,什么樣的數據電文才符合法律、法規要求的書面形式。我國有很多法律要求法律文件采用書面形式。例如,《擔保法》第十三條規定:"保證人與債權人應當以書面形式訂立保證合同。"第二十三條規定:"保證期間,債權人許可債務人轉讓債務的,應當取得保證人書面同意,保證人對未經其同意轉讓的債務,不再承擔保證責任。"第三十八條規定:"抵押人和抵押權人應當以書面形式訂立抵押合同。"《仲裁法》第十六條規定:"仲裁協議包括合同中訂立的仲裁條款和以其他書面方式在糾紛發生前或者糾紛發生后達成的請求仲裁的協議。"《草原法》第十四條規定:"承包經營草原,發包方和承包方應當簽訂書面合同。"《海商法》第一百二十八條規定:"船舶租用合同,包括定期租船合同和光船租賃合同,均應當書面訂立。"關于數據電文是否符合法律、法規要求的書面形式,現在已經形成一種共識,即應當平等對待書面文件的用戶和電子文件的用戶。法律中的種種形式要件,例如書面形式、簽名、原件等要求,只不過是意思表示的形式。如果信息技術能提供一種同樣有效的意思表示形式,就沒有理由拒絕承認它在法律上的效力。
二、1999年3月15日第九屆全國人民代表大會第二次會議通過的《合同法》第十一條規定:"書面形式是指合同書、信件和數據電文(包括電報、電傳、傳真、電子數據交換和電子郵件)等可以有形地表現所載內容的形式。"這一條通過擴大解釋"書面形式",使之包含數據電文,在解決電子商務法律障礙方面做了有益的探索。同時,由于《合同法》并不是專門調整電子商務的法律,這一條規定仍嫌不足:一是,數據電文與我們通常所理解的"書面形式"畢竟有很多顯而易見的區別。例如,后者可用肉眼閱讀,而前者除非使其變為書面文字或者顯示在屏幕上,否則是不可識讀的。因此,并不能簡單把"數據電文"等同于"書面形式"。二是,本條所列舉的數據電文的形式為電報、電傳、傳真、電子數據交換和電子郵件幾種形式。事實上,這只是目前比較常見的幾種形式。參考國際習慣用法,并考慮到技術不斷發展的現狀和前景,"數據電文"一詞的外延,應遠遠超過以上幾項。基于此,本法將"數據電文"定義為"以電子、光學、磁或者類似手段生成、發送、接收或者儲存的信息"。第三,不否定"數據電文"的法律效力,并不就意味著所有的"數據電文"都符合法律、法規要求的書面形式要求。電子商務立法中采用了"功能等同"的方法來確定什么樣的形式才是合適的表現形式。按照這種方法,為了確定什么樣的數據電文可以被視為滿足書面形式要求,首先需要分析書面形式履行了哪些功能,然后確定數據電文需要采取什么形式,才能履行相同的功能。功能相同,則法律效力也應該相同。聯合國國際貿易法委員會《電子商業示范法及其頒布指南》列舉的書面形式的功能包括:確保有可以看得見的證據;引起當事人的注意;保證所有利益相關人都可讀到該文件;提供一份永久記錄;便于復制;使之可以通過簽字方式進行驗證;等等。但是,對于書面形式的功能,無須作過分全面的概括,因為許多功能是由書面形式和其他形式要求(如簽字和原件)相結合加以實現的。對于書面文件有多種層次的形式要求,各個層次提供不同程度的可靠性、可查核性和不可更改性。信息應采用書面形式的要求(即最低要求)不應混同于更為嚴格的要求,如"經簽署的書面文件"的要求。確定可被視為滿足書面形式要求的數據
電文的基本標準時,只需考慮書面形式的最低要求。關于不可更改性是否為書面形式本身應當具有的功能,有不同的認識。例如,美國律師協會《數字簽名指南》規定:附有數字簽名的數據電文才具有書面文件的效力。這實際上是將不可更改性作為書面文件的固有屬性。聯合國電子商業示范法則認為:不可更改性不應視為書面形式固有功能,因為按照某些現有法律的定義,以鉛筆寫成的也視為書面。按照目前在書面環境中對于數據完整性以及對于防止作弊等問題的處理方式,一份弄虛作假的文件也會被當作"書面"看待。因此,聯合國電子商業示范法規定:當一項數據電文所含信息可以調取以備日后查用時,即滿足法律關于書面形式的要求。
三、由于立法中通常分別規定書面形式、簽名、原件等要求,電
子商業示范法提出的只考慮書面文件的最低要求的思路是合適的。很多時候,不可更改性是通過書面形式和簽名兩個要件共同實現的,并不是書面形式獨有的功能。根據以上考慮,如果一項數據電文具有如下兩項功能,即可認為具有與書面形式相同的功能:一是能夠有形地表現所載內容,二是可以隨時調取查用。這樣的數據電文可以視為符合法律、法規要求的書面形式。
第五條 符合下列條件的數據電文,視為滿足法律、法規規定的原件形式要求:
(一)能夠有效地表現所載內容并可供隨時調取查用;
(二)能夠可靠地保證自最終形成時起,內容保持完整、未被更改。但是,在數據電文上增加背書以及數據交換、儲存和顯示過程中發生的形式變化不影響數據電文的完整性。
【釋義】 本條是關于數據電文符合法定原件形式要求的規定。
一、原件形式要求,主要是在訴訟法中提出的。《民事訴訟法》第六十八條規定:"書證應當提交原件。物證應當提交原物。提交原件或者原物確有困難的,可以提交復制品、照片、副本、節錄本。"此外,原件還與物權憑證和流通票據有關,因為原件的獨一無二概念對這種單據特別重要。涉及"原件"要求的文件還有:貿易文件,如重量證書、農產品證書、質量或數量證書、檢查報告、保險證書等。原件形式要求構成電子商務的一個主要障礙。通常意義上的"原件"是指信息首次固定于其上的媒介物。如果這樣界定"原件",則幾乎說不上數據電文有什么"原件",因為數據電文的收件人所收到的總是"原件"的拷貝,而不是載有原始信息的那張軟盤、光盤之類的媒介物。
解決這個問題,同樣依靠功能等同分析方法。交易文件以"原件"形式傳遞,能更有效地保證信息的完整性,使其他當事人對其內容具有信心。因為使用紙張時,要求原件形式可以減少被改動的可能,而如果是復印件,則難以發現是否被改動。如果數據電文能保證同等程度的完整性,并能夠有效地表現所載內容并可供隨時調取查用,那可以認為該數據電文滿足法律、法規規定的原件形式要求。
二、本條第二項明確了完整性的標準:能夠可靠地保證自最終形成時起,內容保持完整、未被更改。應注意的是,這只是一個比較簡單的標準。在具體應用時,應采取靈活的態度來評估是否能"可靠"地保證完整性。例如,要考慮該內容是出于什么目的生成的,該交易的標的額以及其他有關情況等。對于一筆標的上億美元的交易來說,所要求的可靠性當然應比在網上購買一件小玩具所要求的可靠性高得多。因為可靠性的判定需要根據個案的不同情況來具體確定,很難通過一般性的規則作出整齊劃一的規定。因此,在適用這個標準時,應當具有適當的靈活性。
三、完整性要求內容保持完整、未被更改。但是,應當將數據電文上增加背書以及數據交換、儲存和顯示過程中發生的形式變化,與其他改動區別開。只要一份數據電文的內容保持完整,未被改動,對該數據電文作必要的添加并不影響其"原件"性質。例如,轉讓票據或者海運提單時在該票據或者提單上作背書,并不影響其原件性質。除了這種由交易方所作的添加外,還有一些形式變化是由數據傳輸的技術特點決定的。例如,通過互聯網傳輸數據時,根據互聯網協議,需要將一份數據電文進行解碼、壓縮或者轉換等一系列作業,然后傳輸到指定的信息系統。這些都是信息系統自動進行的,是這種傳輸方式的一個內在特點,它當然會引起數據的形式變化,但是只要不改變數據的本來內容,我們不認為其改變了數據電文的完整性。另外一個明顯的例子是,假設一份數據電文是利用WORD字處理軟件編輯的.doc文檔,當它在WPS系統中顯示時,其形式(如字體、字號、頁面設置等)顯然會發生變化,但這些變化并不影響該文檔內容的完整性。
第六條 符合下列條件的數據電文,視為滿足法律,法規規定的文件保存要求:
(一)能夠有效地表現所載內容并可供隨時調取查用;
(二)數據電文的格式與其生成、發送或者接收時的格式相同,或者格式不相同但是能夠準確表現原來生成、發送或者接收的內容;
(三)能夠識別數據電文的發件人、收件人以及發送、接收的時
間。
【釋義】 本條是關于數據電文可以滿足法律、法規規定的文件保存要求的規定。
一、文件保存要求通常是為審計或者稅收目的提出的。本條規定的三項條件中,第一項是重復了第四條的規定,因為文件保存要求必然要求文件是"書面形式",符合本條規定第一項條件的數據電文,就可以視為滿足了"書面形式"要求。
二、第二項條件強調了數據電文的完整性。這里規定的完整性可以通過兩種方式予以保證:一是,保持數據電文形式的高度一致,即數據電文的格式與其生成、發送或者接收時的格式相同,形式相同的數據電文,其內容也必定相同;二是,雖不能保證形式的同一,如果能保證內容的同一,仍然可以確認其完整性。實際上,在很多情形下,要求保證數據電文格式的同一性是難以實現的。因為如前所說,數據電文在儲存、傳遞過程中,要經過一系列的自動解碼、壓縮或者轉換。一味地要求格式不變,與技術要求相悖。
三、第三項條件所設定的標準實際上高于對文件保存所作的一般要求。它規定除了保存數據電文本身外,還能識別數據電文的來源,包括發件人、收件人以及發送、接收的時間等信息。這樣規定是為了涵蓋可能需要保存的所有信息。滿足了這三項條件,即可視為滿足了文件保存的要求。
第七條 數據電文不得僅因為其是以電子、光學、磁或者類似手段生成、發送、接收或者儲存的而被拒絕作為證據使用。
【釋義】 本條是關于數據電文作為證據使用時的可采性的規定。
一、我國現行訴訟法列舉了證據的種類。例如,《民事訴訟法》第六十三條規定:"證據有下列幾種:(一)書證;(二)物證;(三)視聽資料;(四)證人證言;(五)當事人的陳述;(六)鑒定結論;(七)勘驗筆錄。"《行政訴訟法》、《刑事訴訟法》也都作了類似的規定。由于這些法律明確列舉的證據種類中沒有數據電文,因此數據電文是否可以作為證據在法庭上出示,曾經引起不確定性。
二、本條通過否定的形式肯定了數據電文的證據地位,從而消除了這一不確定性。用否定陳述的方式,表明裁判活動中,不得僅僅以所提供的證據是數據電文為由而否定其證據地位。但這并不意味著,在具體的個案中,以數據電文形式提出的證據就是認定事實的根據。
三、根據證據學的一般理論,任何證據材料要作為認定事實的根據,必須具有三個特性:客觀性、與待證事實的關聯性及其合法性。
1.所謂客觀性,包括兩個方面的含義,其一是證據必須有客觀的存在形式;其二是證據的內容必須具有客觀性,即必須是對客觀事物的反映,而不是主觀臆斷和猜測。關于客觀的存在形態,我們知道數據電文是以一種電子形式存在的數據,保存在一定的介質之上,可以借助于一定的工具和設備以人們能感知的形式顯現,因此,其客觀的存在形態是沒有疑問的。關于其內容的客觀性,這與本法第八條的規定有密切聯系,稍后詳細闡述。
2.所謂關聯性,是指作為證據的一切材料必須與具體案件中的待證事實之間有內在的、客觀的聯系,即能夠全部或者部分地證明案件的有關事實存在或不存在。數據電文與待證事實之間有無關聯性,需要在具體個案中加以判斷。
3.所謂證據的合法性,是指對證據必須依法加以收集和運用。包括收集、運用證據的主體要合法,證據的來源要合法,證據必須具有合法的形式,必須經法定程序查證屬實。證據的合法性是證據客觀性和關聯性的重要保證,也是證據具有法律效力的重要條件。公安部《公安機關辦理刑事案件程序規定》第215條規定:"扣押犯罪嫌疑人的郵件、電子郵件、電報,應當經縣級以上公安機關負責人批準,簽發扣押通知書,通知郵電部門或者網絡服務單位檢交扣押。"第217條規定:"對于扣押的物品、文件、郵件、電子郵件、電報,應當指派專人妥善保管,不得使用、調換、損毀或者自行處理。……"這是體現了證據收集程序的合法性。雖然這里所舉的是刑事訴訟中的例子,但證據應當具有合法性這一基本要求卻是普遍性的。
如果提出數據電文作為證據的一方同時能證明其上述三種屬性,那么裁判者就可以將其作為認定事實的根據。
第八條 審查數據電文作為證據的真實性,應當考慮以下因素:
(一)生成、儲存或者傳遞數據電文方法的可靠性;
(二)保持內容完整性方法的可靠性;
(三)用以鑒別發件人方法的可靠性;
(四)其他相關因素。
【釋義】 本條是關于數據電文作為證據使用時如何判斷其真實性的規定。
一、本法第七條明確了數據電文作為證據時的可采性,即可以在裁判活動中出示。但是,如前所述,裁判者在作出是否認同該證據材料的決定之前,還需要審查其證明力。我國《民事訴訟法》第六十三條第二款規定:"以上證據必須查證屬實,才能作為認定事實的根據。"所謂證明力,是指證據在證明待證事實上體現其價值大小與強弱的狀態或程度。考察電子證據的證明力,就是要認定電子證據本身或者電子證據與案件中其他證據一起能否證明待證事實,以及在多大程度上能夠證明待證事實。
二、現代法制國家普遍實行的是"自由心證"制度,即法律一般不對各種證據的證明力預先作出規定,而由法官根據法庭審理過程中形成的內心信念自由裁斷證據證明力的大小。因為,證明力只能由法官根據長期裁判活動中形成的經驗,結合個案的具體情況作出判斷,而無法由一條一般性的規則事先規定。但是考慮到信息技術的大規模應用還是一個比較新鮮的現象,信息技術本身又具有很強的專業性,多數法官對技術本身并不熟悉,不具備相關經驗,在裁判活動中難以準確判斷數據電文的證明力,因此,在電子商務立法中明確數據電文證明力的判斷標準,具有積極意義。聯合國國際貿易法委員會制定的《電子商業示范法》以及南非、菲律賓、加拿大等國家都對此作了或詳或略的規定。
三、審查數據電文作為證據的真實性,一般可以從操作人員、操作程序、信息系統三者的可靠性方面人手。本條規定即是循著這樣一種分析思路。例如,在審查生成、儲存或者傳遞數據電文方法的可靠性時,可以審查數據電文是否由合法操作人員生成、儲存、傳遞,是否經未授權者侵入、篡改;數據電文是否嚴格按照操作程序來生成、儲存、傳遞,有無違規改動、刪除;用以生成、儲存、傳遞數據電文的信息系統是否穩定、可靠,是否容易招致非法侵入,等等。在判斷保持內容完整性方法的可靠性,以及用以鑒別發件人方法的可靠性時,還需要對所用技術方法進行審查。例如,數字簽名比單純在文件上輸入自己的姓名要可靠些,經過加密的數據電文比未經加密的數據電文更難于被他人篡改,等等。
四、仍然需要強調的是,法律不可能規定出一套巨細無遺的規則使法官能簡單地適用于一切案件。一項證據是否真實,主要地仍要靠法官根據職業經驗即案件的具體情況來判斷。
第九條 數據電文有下列情形之一的,視為發件人發送:
(一)經發件人授權發送的;
(二)發件人的信息系統自動發送的;
(三)收件人按照發件人認可的方法對數據電文進行驗證后結果相符的。
當事人對前款規定的事項另有約定的,從其約定。
【釋義】 本條是關于數據電文歸屬的規定。
一、本條所謂發件人,即數據電文以其名義發送的那個人。這里所說的發件人,不一定是實際完成發送行為的人。例如,數據電文上顯示該數據電文是甲發送的,但實際上這份數據電文可能是乙遵照甲的指示來發送的,或是冒用甲的名義發送的。在這兩種情況下,甲仍然是我們這里所說的發件人。
二、正如書面文件可能會被他人冒名簽署一樣,在電子環境下,也可能出現冒名發出的數據電文。如果誰是發件人不明確,或是有爭議,如何判斷該數據電文的歸屬呢?通過本條確立的推定,在三種情況下,數據電文可以視為發件人發送。這樣,可以使法律關系變得穩定,有利于保護交易對方當事人的合理信賴。
1.第一種情況是代理。發件人如果明確授權他人發送一項數據電文,則成立一種代理關系。發件人為被代理人,被授權者為代理人。依據我國民法通則的規定,代理人在代理權限內,以被代理人的名義實施民事法律行為,被代理人對代理人的代理行為,承擔民事責任。如果未取得授權、超越授權或者授權終止后發送數據電文的,只有經過發件人的追認,發件人才承擔民事責任。未經追認的行為,由行為人承擔民事責任。如果發件人知道他人以本人名義發送數據電文而不作否認表示的,視為同意。但是,如果第三人知道行為人未取得授權、超越授權范圍或者授權已終止的,第三人不得根據此項認定數據電文歸屬于發件人。如果被授權者知道被委托的事項違法仍然進行代理活動的,或者被代理人知道代理人的代理行為違法不表示反對的,由被代理人和代理人負連帶責任。此外,在通過數據電文訂立合同時,還應當遵循合同法的有關規定。行為人沒有代理權、超越代理權或者代理權終止后以被代理人名義訂立的合同,未經被代理人追認,對被代理人不發生效力,由行為人承擔責任。相對人可以催告被代理人在一個月內予以追認。被代理人未作表示的,視為拒絕追認。合同被追認之前,善意相對人有撤銷的權利。撤銷應當以通知的方式做出。代理人沒有代理權、超越代理權或者代理權終止以后以被代理人名義訂立合同,相對人有理由相信行為人有代理權的,該代理行為有效。
2.本條規定的第二項情況是發件人的信息系統自動發送數據電文。這在電子商務法中也叫做"自動交易",這種信息系統也被稱為"電子代理人"。在電子數據交換(EDI)中,這種情況很常見。我們以零售商與其上游供貨商之間的電子數據交換為例來說明這種情況。零售商利用信息化手段管理其商品庫存情況。當某種產品庫存低于一定數量時,電腦即自動生成一項訂貨單,傳送到供貨商的信息系統中。由于實現自動化管理,訂貨單從生成、發送直到供貨商的信息系統接受到該訂貨單,都沒有人為的介入。在這個例子中,該訂貨單是否有效?或者說,零售商是否要為這項由機器自動發出的訂貨單負責?回答是肯定的。因為既然計算機只能按照編程者的指令和信息來運行,計算機的控制者就應當為其自動交易負責。
3.除了上述兩種情況外,還有一種情況,數據電文也被視為發件人發送的:收件人按照發件人認可的方法對數據電文進行驗證后結果相符的。發件人與收件人可以事先約定:如果收件人采用某種驗證程序對所收到的數據電文進行驗證后,驗證結果表明該數據電文是發件人發出的,則收件人可以認定該數據電文歸屬于發件人。發件人也可以單方面認可該種驗證程序,或者經過與中間人(如認證機構)的協議確定該驗證程序,并同意凡符合該程序要求條件的數據電文,均承擔受其約束的義務。在有些情況下,可能有人會盜用發件人的系統或簽名生成數據等信息來發送數據電文。收到數據電文后,只要正確地使用了事先經發件人同意的驗證程序來進行驗證,收件人即有權視該數據電文為發件人發送。因為發件人有義務防止自己的系統或者有關信息被盜用。一旦發件人疏于這項義務,即應為其疏忽行為負責。當然,根據民法一般原則,如果收件人明知或應知所收到的數據電文不是發件人發送的,則收件人無權將該數據電文視為發件人發送的。如果發件人在知道他人冒用了自己的系統或有關信息后,立即對收件人發出通知告知這一情況,則收件人自知悉這一情況時起,不應繼續將該數據電文歸屬于發件人。
三、本條第二款規定:"當事人對前款規定的事項另有約定的,從其約定。"這樣規定,主要是出于民法上的當事人意思自治原則,當事方享有就他們的交易適用的規則在他們之間達成一致的權利。這是各國電子商務立法中一致公認的原則。
第十條 法律、行政法規規定或者當事人約定數據電文需要確認收訖的,應當確認收訖。發件人收到收件人的收訖確認時,數據電文視為已經收到。
【釋義】 本條是關于數據電文確認收訖的情形,以及確認收訖的法律作用的規定。
一、確認收訖類似于郵政系統中的回執制度。確認收訖有兩種情形:一種是強制性確認收訖,即法律、行政法規規定數據電文須經確認收訖。這種情形最有可能發生于電子政務活動中,立法者出于某種考慮,要求確認收訖。另一種是當事人約定數據電文須經確認收訖。在第二種情況中,還包括發件人要求確認收訖的情況。發件人可以在發送數據電文之時或之前提出該要求,也可以通過該數據電文本身提出該要求。除了上述情形外,確認收訖不是數據電文產生法律效力的要件。
二、確認收訖可以有許多方式。如果發件人與收件人約定必須采用某種特定形式或方法確認收訖,或發件人單方面要求如此,則收件人應以該方式確認收訖。如果未約定特定方式,則收件人可以通過任何一種方式確認收訖,包括由其信息系統自動發出確認收訖函,只要該方式能明確表示該數據電文已經收到。有時發件人要求得到一項確認收訖,但并未明確表示在收到確認之前,該數據電文無效。如果在約定的時間內,未收到確認收訖,或者在沒有約定時間的情況下,經過一段合理時間仍未收到確認收訖,發件人可以向收件人發出通知,說明并未收到確認收訖,并定出必須收到該項確認的合理時限。在該時限內仍未收到該項確認的,發件人可以通知收件人,將該數據電文視為從未發送。通過這樣處理,可以使法律關系趨于明確。穩定的狀態。
三、對于必須經過確認收訖的,在收到確認之前,數據電文可視為從未發送。發件人收到確認的,可以推定有關數據電文已經由收件人收到。但這并不表明收件人收到的信息與發件人發送的信息相符。也不能將確認收訖理解為收件人對發件人作出的承諾。確認收訖是否可以視為承諾,要看該確認收訖的具體內容而定。
第十一條 數據電文進入發件人控制之外的某個信息系統的時間,視為該數據電文的發送時間。
收件人指定特定系統接收數據電文的,數據電文進入該特定系統的時間,視為該數據電文的接收時間;來指定特定系統的,數據電文進入收件人的任何系統的首次時間,視為該數據電文的接收時間。
當事人對數據電文的發送時間、接收時間另有約定的,從其約定。
【釋義】 本條是關于數據電文發送和接收時間的規定。
一、數據電文何時發出,又是何時收到,在法律上有著重要意義:以該數據電文發出的要約、承諾是否生效,合同是否已經成立,文件是否已按時遞交給有關政府機構,一宗貿易是什么時候完成的,諸如此類的問題,都與時間因素相關。我國《民事訴訟法》中規定的期間與發送時間有關:訴訟文書在期間屆滿前交郵的,不算過期。《合同法》中就有許多規定與到達時間因素有關。例如,要約到達受要約人時生效;撤回要約的通知應當在要約到達受要約人之前或者與要約同時到達受要約人;撤銷要約的通知應當在受要約人發出承諾通知之前到達受要約人;承諾通知到達要約人時生效,承諾生效時合同成立;撤回承諾的通知應當在承諾通知到達要約人之前或者與承諾通知同時到達要約人,等等。
二、數據電文的發送時間為該數據電文進人發件人控制之外的某個信息系統的時間。所謂"發件人控制之外的某個信息系統",既可以是收件人的信息系統,也可以是某一中間人的信息系統。關于數據電文的接收時間,本法采用了《合同法》的規定。收件人指定特定系統接收數據電文的,數據電文進人該特定系統的時間,視為該數據電文的接收時間。收件人指定的系統不一定就是本人的系統。一切以指定為準。如果數據電文實際上到達的是收件人的系統但并非所指定的那個系統,一般以收件人檢索到數據電文的時間為收到時間。收件人未指定特定系統的,數據電文進人收件人的任何系統的首次時間,視為該數據電文的接收時間。
這里所說的"進入"時間,是指在該信息系統內可加以處理的時間,至于收件人是否已經檢索、讀取該數據電文,則非所問。正如郵件投入收信人郵箱時即認為已經送達,而不論收信人是否開封閱知一樣。如果數據電文未能進入收件人信息系統,則不能認為該數據電文已經到達。
應當注意的是,發件人和收件人可能利用的是同一系統,例如,雙方都是YAHOO電子郵箱系統的用戶,并利用該系統的電子郵箱通信。這時,接收時間為數據電文進入收件人指定或使用的、并在其控制之下的信息處理系統的區域的時間。
三、基于當事人意思自治原則,當事人對數據電文的發送時間、接收時間另有約定的,從其約定。
第十二條 發件人的主營業地為數據電文的發送地點,收件人的主營業地為數據電文的接收地點。沒有主營業地的,其經常居住地為發送或者接收地點。
當事人對數據電文的發送地點、接收地點另有約定的,從其約定。
【釋義】 本條是關于數據電文的發送地點和接收地點的規定。
一、同發送和接收時間一樣,發送和接收地點也有很重要的法律意義。《合同法》規定,承諾的生效地點為合同成立的地點;《民事訴訟法》規定,合同的雙方當事人可以在書面合同中協議選擇被告住所地、合同履行地、合同簽訂地、原告住所地、標的物所在地人民法院管轄。在沖突法中,地點還影響到準據法的選擇。
二、法律傾向于賦予那些與交易有密切聯系的地點以法律意義。因此,本條規定發件人的主營業地為數據電文的發送地點,收件人的主營業地為數據電文的接收地點,沒有主營業地的,其經常居住地為發送或者接收地點。至于數據電文的實際發送和接收地點,即信息系統所在地,并不具有法律意義。因為信息系統所在地與交易本身沒有關系,而且在很多情況下,我們不一定知道接收我的數據電文的那臺服務器究竟放在哪里,或者根本就不在我們所在的國家或地區。網絡技術的發達,使得信息處理十分靈活方便。我們可以利用辦公室的信息系統發送數據電文,也可以在全球任何一個接入網絡的地方發送數據電文。無論何處接入網絡,就交易來說,其功能都是一樣的。
三、基于當事人意思自治原則,當事人對數據電文的發送地點一和接收地點另有約定的,從其約定。
第三章 電于簽名與認證
第十三條 電子簽名同時符合下列條件的,視為可靠的電子簽名:
(一)電子簽名制作數據用于電子簽名時,屬于電子簽名人專有;
(二)簽署時電子簽名制作數據僅由電子簽名人控制;
(三)簽署后對電子簽名的任何改動能夠被發現;
(四)簽署后對數據電文內容和形式的任何改動能夠被發現。
當事人也可以選擇使用符合其約定的可靠條件的電子簽名。
【釋義】 本條是關于可靠的電子簽名應當具備的條件的規定。
一、本條第一款規定了可靠的電子簽名應當具備以下法定條件:
1.電子簽名制作數據用于電子簽名時,屬于電子簽名人專有。電子簽名制作數據是指在電子簽名過程中使用的,將電子簽名與電子簽名人可靠地聯系起來的字符、編碼等數據。它是電子簽名人在簽名過程中掌握的核心數據。唯有通過電子簽名制作數據的歸屬判斷,才能確定電子簽名與電子簽名人之間的同一性和準確性。因此,一旦電于簽名制作數據被他人占有,則依賴于該電子簽名制作數據而生成的電子簽名有可能與電子簽名人的意愿不符,顯然不能視為可靠的電子簽名。
2.簽署時電子簽名制作數據僅由電子簽名人控制。這一項規定是對電子簽名過程中電子簽名制作數據歸誰控制的要求。這里所規定的控制是指一種實質上的控制,即基于電子簽名人的自由意志而對電子簽名制作數據的控制。在電子簽名人實施電子簽名行為的過程中,無論是電子簽名人自己實施簽名行為,還是委托他人代為實施簽名行為,只要電子簽名人擁有實質上的控制權,則其所實施的簽名行為,滿足本法此項規定的要求。
3.簽署后對電子簽名的任何改動能夠被發現。采用數字簽名技術的簽名人簽署后,對方當事人可以通過一定的技術手段來驗證其所收到的數據電文是否是發件人所發出,發件人的數字簽名有沒有被改動。倘若能夠發現發件人的數字簽名簽署后曾經被他人更改,則該項簽名不能滿足本法此項規定的要求,不能成為一項可靠的電子簽名。
4.簽署后對數據電文內容和形式的任何改動能夠被發現。電子簽名的一項重要功能在于表明簽名人認可數據電文的內容,而要實現這一功能,必須要求電子簽名在技術手段上能夠保證經簽名人簽署后的數據電文不能被他人篡改。否則,電子簽名人依據一定的技術手段實施電子簽名,簽署后的數據電文被他人篡改而卻不能夠被發現,此時出現的法律糾紛將無法依據本法予以解決。電子簽名人的合法權益難以得到有效的保護。因此,要符合本法規定的可靠的電子簽名的要求,必須保證電子簽名簽署后,對數據電文內容和形式的任何改動都能夠被發現。
一項電子簽名如果同時符合上述四項條件,可以視為可靠的電子簽名。
二、本條第二款規定當事人可以約定選擇可靠的電子簽名應當具備的條件和采用的技術方案。盡管本條第一款規定了可靠的電子簽名應當具備的法定條件,但并沒有對達成上述法定條件的電子簽名所需采取的技術作出統一規定。由于電子簽名技術手段的多樣性,當事人在從事電子商務或者其他活動中所約定采用的電子簽名技術如能夠滿足當事人對于保障交易安全性的需求,本法同樣承認其法律效力并予以保護。
第十四條 可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力。
【釋義】 本條是關于可靠的電子簽名法律效力的規定。
一、隨著現代科學技術的發展,越來越多的技術手段被運用于電子簽名領域。這些技術和手段主要包括計算機口令、眼虹膜網辨別技術以及數字簽名技術等。在電子商務交易中以何種技術生成的電子簽名才是安全可靠的,才具有法律效力,這是電子簽名法應當解決的問題。從世界各國的規定來看,主要有三種模式:一是采用技術特定化方案,即只承認數字簽名的法律效力;二是技術中立方案,即在法律上不規定某種技術方案,而將技術方案的選擇留給當事人各方約定;三是折中方案,即一方面規定了安全可靠的電子簽名應當具備的條件,另一方面則沒有限定采用何種技術的電子簽名才具有法律效力。采納這一模式的理由在于:隨著科技的發展,電子簽名技術也會不斷地發展。電子簽名技術手段的優劣,應由市場和用戶作出判斷,立法者只需要規定原則性標準;政府直接對具體技術作出選定,風險過大,并可能導致電子商務市場的萎縮。另一方面,目前數字簽名的技術已趨于成熟并且被廣泛運用于電子簽名領域,需要以法律手段加以推行,以利于電子商務市場的成長。
二、本條的規定借鑒了聯合國貿易法委員會《電子商務示范法》以及一些國家電子商務、電子簽名立法的有關規定,并與本法第十三條規定相聯系,確認了可靠的電子簽名具有與手寫簽名或者蓋章同等的法律效力。
第十五條 電子簽名人應當妥善保管電子簽名制作數據。電子簽名人知悉電子簽名制作數據已經失密或者可能已經失密時,應當及時告知有關各方,并終止使用該電子簽名制作數據。
【釋義】 本條是關于電子簽名人法律義務的規定。
一、電子簽名制作數據是將電子簽名與電子簽名人可靠聯系起來的重要手段。電子簽名人應當妥善保管電子簽名制作數據,一旦電子簽名制作數據失密,他人有可能利用電子簽名人的電子簽名制作數據從事違法行為或者牟取非法利益,給電子簽名人和電子簽名依賴方造成損失。在實踐中,電子簽名制作數據的載體包括磁盤。光盤等,盡管這些載體在使用過程中需要加入電子簽名人的安全指令才能啟動,但是這些載體一旦丟失或者為他人竊取,則他人通過破解這些相對簡單的安全指令就可以在互聯網上以電子簽名人的名義從事交易活動。與傳統交易不同,網上交易過程中當事人之間往往并不見面,當事人之間主要憑借的是對方當事人的電子簽名來驗證和核實相互間的身份,電子簽名制作數據的
丟失會給不法分子提供可乘之機。因此,電子簽名人應當妥善保管電子簽名制作數據,防止丟失或者為他人所竊取,以免給自己和對方當事人造成不必要的損失。
二、即便電子簽名人盡到妥善保管的義務,電子簽名制作數據仍然存在泄密的可能。本條中的"知悉電子簽名制作數據已經失密或者可能已經失密"包含兩層意思:一是電子簽名人已經明確知道電子簽名制作數據已失密,例如電子簽名人發現未經自己允許,有人在互聯網上以電子簽名人的名義從事商業活動;二是電子簽名人知悉電子簽名制作數據有可能已經失密,例如電子簽名人發現自己存放電子簽名制作數據的磁盤丟失,在這種情況下,丟失的磁盤中的安全指令有可能被破譯,電子簽名制作數據有可能被他人用于非法活動。在這兩種情況下,依據本條的規定,電子簽名人應當做到:一是立即停止使用電子簽名制作數據。因為在電子簽名制作數據已經失密或者可能已經失密的情況下,電子簽名人繼續使用其電子簽名制作數據有可能使電子簽名依賴方更加難以確
從電子簽名的真偽,給交易安全帶來更多的不確定性。二是及時告知有關各方當事人,避免有關各方當事人因繼續信賴電子簽名人的簽名而造成損失或者損失的進一步擴大。
第十六條 電子簽名需要第三方認證的,由依法設立的電子認證服務提供者提供認證服務。
【釋義】 本條是關于電子簽名認證的規定。
一、電子簽名可以依賴于很多技術來實現,有些電子簽名可能并不需要認證,例如一些以生物識別技術生成的電子簽名,其直接依據簽名人的生理特征就可以辨別電子簽名的真偽。在目前,各國電子商務或者電子簽名立法中確認的需要認證的電子簽名一般指的是數字簽名。數字簽名是指通過使用非對稱密碼加密系統對電子記錄進行加密、解密變換來實現的一種電子簽名,目前它在各國的電子商務實踐中得到了廣泛的應用。作為第三方的數字簽名認證機構通過給從事交易活動的各方主體頒發數字證書、提供證書驗證服務等手段來保證交易過程中各方主體電子簽名的真實性和可靠性。
二、提供電子認證服務的機構必須是依法設立的,本法對電子認證服務提供者的設立條件、設立程序作出了明確規定。
第十七條 提供電子認證服務,應當具備下列條件:
(一)具有與提供電子認證服務相適應的專業技術人員和管理人員;
(二)具有與提供電子認證服務相適應的資金和經營場所;
(三)具有符合國家安全標準的技術和設備;
(四)具有國家密碼管理機構同意使用密碼的證明文件;
(五)法律、行政法規規定的其他條件。
【釋義】 本條是關于電子認證服務提供者應當具備的條件的規定。
一、電子認證服務提供者應當具有與提供電子認證服務相適應的專業技術人員和管理人員。提供電子認證服務是一項復雜的技術工程。僅從數字簽名技術的實現來看,它運用了一系列復雜的加密算法。電子認證服務提供者在提供電子認證服務的過程中涉及多級認證和交叉認證等多種技術手段。這就需要有一批懂技術的專門人才從事電子認證服務工作,才能保障電子認證活動的開展。同時,作為權威的第三方認證機構,不僅應當具備可靠的技術條件,更重要的是在策略、管理、運營等諸多方面具備良好的條件,具有合格的管理人員也是電子認證服務提供者應當具備的一個重要條件。
二、電子認證服務提供者應當具有與提供電子認證服務相適應的資金和經營場所。具備必要的資金是電子認證服務提供者開展業務的前提條件,也是電子認證服務提供者承擔法律責任的重要保證。同時,由于提供電子認證服務對于安全性、保密性的要求較高,電子認證服務提供者相比較于一般企業,對經營場所的防火、防盜、防電磁輻射等方面的要求更高。電子認證機構對經營場所的安全條件一般都制定有嚴格的標準,以保障電子認證服務的順利開展。
三、電子認證服務提供者應當具有符合國家安全標準的技術和設備。國家為了保障信息技術產品的安全性,先后制定了一系列的國家標準。電子認證服務提供者在提供電子認證服務過程中使用的技術和設備,應當符合國家已經制定的安全標準。
四、電子認證服務提供者提供電子認證服務應當具有國家密碼管理機構同意使用密碼的證明文件。我國商用密碼條例規定,商用密碼技術屬于國家秘密。國家對商用密碼產品的科研、生產、銷售和使用實行專控管理。任何單位或者個人只能使用經國家密碼管理機構認可的商用密碼產品。由于電子認證服務提供者在經營過程中必然要使用密碼技術和密碼產品,電子認證服務提供者必須具有國家密碼管理機構同意使用密碼的證明文件。
五、法律、行政法規可以對電子認證服務提供者應當具備的條件作出其他必要的規定。本法第二十五條還規定,國務院信息產業主管部門依照本法制定電子認證服務業的具體管理辦法。因此,國務院信息產業主管部門在制定具體管理辦法時,可以就電子認證服務提供者應當具備的條件作出進一步具體和明確的規定。
第十八條 從事電子認證服務,應當向國務院信息產業主管部門提出申請,并提交符合本法第十七條規定條件的相關材料。國務院信息產業主管部門接到申請后經依法審查,征求國務院商務主管部門等有關部門的意見后,自接到申請之日起四十五日內作出許可或者不予許可的決定。予以許可的,頒發電子認證許可證書;不予許可的,應當書面通知申請人并告知理由。
申請人應當持電子認證許可證書依法向工商行政管理部門辦理企業登記手續。
取得認證資格的電子認證服務提供者,應當按照國務院信息產業主管部門的規定在互聯網上公布其名稱、許可證號等信息。
【釋義】 本條是關于從事電子認證服務活動的申請與受理及申請人相關義務的規定。
一、申請人提出申請,是行政許可的前提條件,是申請人從事某種特定行為之前必須履行的法定義務。行政許可是依申請而進行的行政行為,即申請程序因相對人行使其申請權而開始。申請權是一種程序上的權利,相對人有權通過合法的申請,要求行政機關作出合法的應答。無論申請人在實體法上是否符合獲得許可的條件,在程序上都享有這種權利。按照行政許可法第二十九條的規定,公民、法人或者其他組織從事特定活動,依法需要取得行政許可的,應當向行政機關提出申請。本條第一款依照行政許可法明確規定,從事電子認證服務,應當向國務院信息產業主管部門提出申請,并提交符合本法第十七條規定條件的相關材料。第十七條規定了提供電子認證服務應當具備的五個條件:一是具有與提供電子認證服務相適應的專業技術人員和管理人員;二是具有與提供電子認證服務相適應的資金和經營場所;三是具有符合國家安全標準的技術和設備;四是具有國家密碼管理機構同意使用密碼的證明文件;五是法律、行政法規規定的其他條件。申請人申請從事電子認證服務的,應當備齊符合上述條件的相關資料,以證實其具有從事電子認證服務活動的能力。依照行政許可法第三十一條的規定,申請人申請行政許可,應當如實向行政機關提交有關材料和反映真實情況,并對其申請材料實質內容的真實性負責。行政機關也不得要求申請人提交與其申請的行政許可事項無關的技術資料和其他材料。
二、依照行政許可法的規定,行政許可符合以下條件,行政機關應當予以受理:一是申請事項屬于該機關行政職權范圍;二是申請資料齊全、符合法定形式。依照本條規定,國務院信息產業主管部門受理申請人從事電子認證服務活動的申請后,依法進行審查,即行政程序進人審查階段。國務院信息產業主管部門既審查申請材料是否齊全,是否符合法定形式,還要審查申請材料的實質內容是否符合法定條件。在審查階段,國務院信息產業主管部門還要征求國務院商務主管部門等有關部門的意見。依照行政許可法第四十二條的規定,行政許可采取統一辦理或者聯合辦理、集中辦理的,辦理的時間不得超過四十五日,四十五日內不能辦結的,經本級人民政府負責人批準,可以延長十五日,并應當將延長期限的理由告知申請人。本條第一款也規定國務院信息產業主管部門自接到申請之日起四十五日內作出許可或者不予許可的決定,在期限
上與行政許可法的規定相一致。予以許可的,頒發電子認證許可證書。不予許可的,應當書面通知申請人并告知理由。依照行政許可法第三十八條的規定,"申請人的申請符合法定條件、標準的,行政機關應當依法作出準予行政許可的書面決定。""行政機關依法作出不予行政許可的書面決定的,應當說明理由,并告知申請人享有依法申請行政復議或者提起行政訴訟的權利。"說明理由作為行政程序的一項制度十分必要。首先,行政機關將行政決定的理由明白、令人信服地向行政相對人說明,可以增強公眾對政府的信任感,避免對立。對于行政機關而言,通過說明理由,可以促使其事先充分考慮行政許可決定的事實根據和法律依據,慎重決定,促進行政機關的自我監督,從而保證行政決定的正確性。其次,行政機關作出行政決定,特別是對行政相對人作出不利處理后,要考慮到行政相對人可能會對行政決定不服。行政相對人了解行政機關作出該決定的理由,才能認真考慮請求行政救濟的可能性,確定是
否提起和如何提起行政復議或者行政訴訟。再次,對于行政復議的受理機關或者人民法院來講,通過行政決定的理由,可以了解行政機關作出該決定的動機和依據,便于對其進行審查。另外,在行政許可決定中說明理由,還可以使行政機關在以后處理同類案件時有據可循,促成平等保護。公眾也可以通過了解行政機關對特定事務在事實上和法律上的意見或者態度,提高預測性,對公眾的行為具有一定的引導作用、說明理由內容應當包括事實方面和法律方面以及自由裁量是否符合法定目的。說明理由應當以明文方式作出,敘述時應當簡潔、清楚。
三、依照本條第二款的規定,申請人應當持電子認證許可證書依法向工商行政管理部門辦理企業登記手續。申請人取得電子認證許可證書后,還需要到工商行政管理部門進行企業登記,依法辦理確定主體資格的事項,才可能開始電子認證服務活動。
四、依照本條第三款的規定,取得認證資格的電子認證服務提供者,應當按照國務院信息產業主管部門的規定在互聯網上公布其名稱、許可證號等信息。電子認證服務提供者應當遵守這一規定,公布相關信息。
第十九條 電子認證服務提供者應當制定、公布符合國家有關規定的電子認證業務規則,并向國務院信息產業主管部門備案。
電子認證業務規則應當包括責任范圍、作業操作規范、信息安全保障措施等事項。
【釋義】 本條是關于電子認證服務提供者應當制定電子認證業務規則的規定。
一、電子認證服務提供者應當制定、公布符合國家有關規定的電子認證業務規則,并向國務院信息產業主管部門備案。電子認證服務是專業性很強的活動,由電子認證服務提供者制定有關業務規則是合理的,也是符合實際的。當然,電子認證服務者不能制定損害電子簽名人和電子簽名依賴方利益的、不公平的"霸王條款"。為了防止這種情況出現,本條第一款規定了兩項要求:一是電子認證服務者制定的電子認證業務規則要符合國家有關規定,而且還要公布;二是電子認證業務規則要向國務院信息產業主管部門備案,以接受監督。有些國家和地區的電子簽名法也規定了電子認證服務提供者制定認證業務規則的義務。例如,韓國電子簽名法規定,認證機構應擬訂包括下列各項內容的認證業務通則,并應向信息通信部長官申報:認證業務種類、認證業務的執行方法
及步驟、認證服務的利用條件及費用其他必需事項。信息通信部長官認為認證業務通則規定的內容有礙于確保認證業務的安全和可依賴性或損害用戶利益的,可命令認證機構改正。我國臺灣地區電子簽章法規定,認證機構應制定認證實務作業基準,認證實務作業基準應載明以下事項:足以影響認證機構所簽發認證的可靠性或其業務執行的重要資訊;認證機構徑行廢止認證的事由;驗證認證內容相關資料的留存;保護當事人個人資料的方法及程序;其他經主管機關訂定的重要事項。
二、電子認證業務規則主要包括以下事項:
1.責任范圍。電子認證服務提供者在提供認證服務過程中,由于未履行其應盡義務,尤其是保證其簽發證書的真實、可靠性的義務,既可能產生對電子簽名人的責任,也可能產生對電子簽名依賴方的責任。電子認證服務提供者與電子簽名人即電子簽名認證證書持有者是民事合同關系,電子認證服務提供者依照合同約定承擔責任。電子認證服務提供者對電子簽名依賴方的責任是基于法律規定而產生的,即兩者是法律上的信賴關系,電子認證服務提供者對電子簽名依賴方的法定義務是其承擔責任的基礎。同時也應當看到,電子認證服務是一個高風險的行業,既有內部風險又有外部風險,并且一旦發生風險往往會造成非常嚴重的后果。電子認證服務提供者在從事電子認證服務活動時當然應當盡合理的注意,承擔相應的義務,但在無過錯的情況下,不應承擔責任,而無過錯的舉證責任要由認證機構承擔。這是因為電子認證服務提供者
處于中立的第三方,其行為和信譽直接關系到電子簽名人與電子簽名依賴方的利益,且相對于電子簽名人及電子簽名依賴方又處于強勢地位,一些國家均規定了較為嚴格的責任制度,且設立了舉證責任倒置的制度,即電子認證服務提供者如能證明其對于責任事項無任何過錯方可免責。本法第二十八條也明確規定:"電子簽名人或者電子簽名依賴方因依據電子認證服務者提供的電子簽名認證服務從事民事活動遭受損失,電子認證服務提供者不能證明自己無過錯的,承擔賠償責任。"
從實踐中看,電子簽名認證合同基本上屬于格式合同。格式合同,是指合同條款由當事人一方預先擬定,另一方當事人只能表示全部同意或者不同意的合同,也就是說一方當事人要么從整體上接受合同條件,要么不訂立合同。比如電子認證合同作為格式合同的特征有:一是數字證書的項目由電子認證服務提供者預定且不能改變;二是認證費用由電子認證服務提供者預定而不能討價還價;三是簽署者和電子認證服務提供者的責任條款由電子認證服務提供者單方制定并且不容進一步協商,而這正是電子認證合同中最關鍵的內容。目前在實踐中,此責任條款有的出現在認證業務聲明中,例如美國的Verisign公司就在其業務聲明中規定了免責條款;也可以直接以責任書的形式出現,如上海電子商務安
全證書管理中心有限公司就采取這種做法;還可以以電子認證中心數字證書章程的形式出現,如廣東省電子商務主認證中心就采取此種做法。對此責任條款只有"我接受"和"我拒絕"兩種選擇,選擇"我接受"則繼續證書申請的下一個步驟,選擇"我拒絕"則終止證書的申請。
另外,在電子認證合同中也有允許客戶選擇的內容,例如證書的信賴等級。Verisign公司已經建立了三種用戶等級:對于第一等級,用戶只能依賴它做網頁瀏覽和個人電子郵件,在這種環境下只是稍微增加了安全;第二等級是證書持有人使用更詳細的證明證書于"組織"內的電子郵件、小額、小風險的交易、個人之間的電子郵件、口令更改、軟件確認,以及在線訂購服務;第三等級是用于電子銀行、電子數據交換、軟件確認,以及基于會員的在線服務。另外,密鑰的位數也有512.1024及2048位等多種選擇,密鑰位數越大,加密后的文件的安全度越高。我國的幾家主要的電子認證服務提供者也都提供了不同種類的數字證書來滿足客戶的不同需要。
2.作業操作規范。電子認證作業操作規范包括的內容非常廣泛。如對數字證書申請身份審查的內容、提供相應的身份有效證件和審查流程;數字證書類別及證書申請、簽發、撤銷、更新等新的操作流程;以及信息公開的要求,主要是發布相關認證信息,如證書生效、失效等公開信息。
3.信息安全保障措施。電子認證服務提供者是為Internet用戶提供身份認證服務的。由于其負責接受證書申請、審核申請人身份、簽發證書及管理證書等服務,與其他Internet服務提供商一樣,電子認證服務提供者所提供的服務也是通過Internet,也存在安全威脅,存在被攻擊的可能,如非法入侵、植入病毒、竊取密鑰等外部攻擊。另外,認證系統內部也存在威脅,如內部工作人員的管理,機房的安全管理,軟件的管理等。這些都需要制定具體的信息安全保障措施,防范風險。例如,電子認證服務提供者的機房是整個認證系統控制核心,機房的正常運作是所有電子商務活動的基礎,必須采取足夠的措施保證機房的安全。如必須設置獨立的機房用于安全認證管理,該機房必須受到嚴格的、高等級的安全保護,至少應該設置三層安全控制保護層。類似這樣的信息安全保障措施應當體現在電子認證業務規則中。
第二十條 電子簽名人向電子認證服務提供者申請電子簽名認證證書,應當提供真實、完整和準確的信息。
電子認證服務提供者收到電子簽名認證證書申請后,應當對申請人的身份進行查驗,并對有關材料進行審查。
【釋義】 本條是關于電子簽名認證證書申請過程中電子簽名人和電子認證服務提供者的有關義務的規定。
一、在電子認證關系中,電子簽名人是電子認證服務提供者的客戶,是接受電子認證服務的一方。電子簽名人除了應履行一般的支付費用義務外,還應當履行一些與電子認證服務關系的特性相應的義務。本條第一款規定的真實誠信義務就是其中的重要方面。電子簽名人申請電子簽名認證證書,要負擔起保證所提供的信息的真實性、準確性和完整性的義務。誠實信用義務最直接的表現是真實陳述的義務,即真實陳述電子認證服務提供者頒發證書時要求其提供的事項。這是電子簽名人在申請證書時所應當履行的基本義務,因為就其身份、地址、營業范圍、證書信賴等級的真實陳述,是證書可信賴性產生的前提,否則將構成對證書體系信賴性的損害,應承擔相應的法律責任。
二、本條第二款規定了電子認證服務提供者的謹慎審核義務。這要求電子認證服務提供者在收到電子簽名認證證書申請后,對申請者所提交的有關材料的真實性,應當謹慎地加以審核,因為證書的發布、信賴方的信賴都依賴于對這些材料真實性的審查。另外,還要嚴格查驗申請人的身份。這些都是為了保證其所發放的證書具有可靠的權威性和信任度。對個人電子簽名認證證書申請者,電子認證服務提供者一般要求其提供個人的姓名、個人身份證的原件以及復印件、身份證號、聯系電話、住址、通信地址、郵政編碼、電子郵箱等個人資料;對單位電子簽名認證證書申請者,除對具體的經辦人要求提供上述個人資料外,還要求提供申請單位資料:如單位名稱、單位所屬行業類別、單位地址、單位注冊號碼、單位組織機構代碼、單位電子郵箱、電話、傳真、單位有效證件的原件與復印件等資料。
第二十一條 電子認證服務提供者簽發的電子簽名認證證書應當準確無誤,并應當載明下列內容:
(一)電子認證服務提供者名稱;
(二)證書持有人名稱;
(三)證書序列號;
(四)證書有效期;
(五)證書持有人的電子簽名驗證數據;
(六)電子認證服務提供者的電子簽名;
(七)國務院信息產業主管部門規定的其他內容。
【釋義】 本條是關于電子認證服務提供者簽發的電于簽名認證證書內容的規定。
一、電子簽名認證證書是電子認證服務提供者簽發的用以證明證書持有人的電子簽名、身份、資格及其他有關信息的電子文件,它是電子交易當事人在互聯網上從事電子商務活動的身份證和通行證。在電子商務交易中互不認識的雙方當事人用其證書證明各自簽名的真實性,可以在雙方之間建立相互信任的基礎。因此,電子簽名認證證書不僅具有證明電子簽名的真實性與完整性的作用,還可以為交易當事人提供身份及從事交易的資格、權限等方面的證明。基于電子簽名認證證書的重要作用,電子認證服務提供者簽發的電子簽名認證證書應當準確無誤,否則就可能產生損害電子認證、電子交易的后果,影響電子簽名認證證書的權威性和信任度。
二、依照本條規定,電子簽名認證證書應當載明的內容包括電子認證服務提供者和證書持有人的名稱、證書序列號、證書有效期、證書持有人的電子簽名驗證數據和電子認證服務提供者的電子簽名,以及國務院信息產業主管部門規定的其他內容。這是法律規定的電子簽名認證證書應當載明的內容。電子認證服務提供者還可以根據實際需要載明其他內容,如載明證書的種類與等級等信息。
第二十二條 電子認證服務提供者應當保證電子簽名認證證書內容在有效期內完整、準確,并保證電子簽名依賴方能夠證實或者了解電子簽名認證證書所載內容及其他有關事項。
【釋義】 本條是關于電子認證服務提供者有關保證義務的規定。
一、電子認證服務提供者最重要的任務就是制作、發放和管理電子簽名認證證書,所以其首要義務就是保證認證證書的真實性、完整性和準確性,即所發放認證證書的公共密鑰同某個確定身份的人是一一對應的,以保證發放的證書具有可靠的權威性和信任度。電子認證服務提供者要使發布的認證信息及時可靠,這其中還包括要讓有關當事人能夠隨時證實證書申請人所擁有的身份證、許可證或者營業執照等關系該人行為能力的文書或者證件的效力。因此,本條規定了電子認證服務提供者的兩項保證義務:一是保證電子簽名認證證書內容在有效期內完整、準確;二是保證電子簽名依賴方能夠證實或者了解電子簽名認證證書所載內容及其他有關事項。
二、聯合國貿法會電子簽名法示范法對本條規定的內容作出了更具體的規定,要求驗證服務提供商應當采取合理謹慎措施,確保其作出的有關證書整個周期的或需要列入證書內的所有重大表述均精確無誤和完整無缺。要提供合理可及的手段,使依賴方得以從證書中證實下列內容:(1)驗證服務提供商的身份;(2)證書中所指明的簽字人在簽發證書時擁有對簽字生成數據的控制;(3)在證書簽發之時或之前簽字生成數據有效。要提供合理可及的手段,使依賴方得以在適當情況下從證書或其他方面證實下列內容:(1)用以鑒別簽字人的方法;(2)對簽字生成數據或證書的可能用途或使用金額上的任何限制;(3)簽字生成數據有效和未發生失密;(4)對驗證服務提供商規定的責任范圍或程度的任何限制;(5)是否存在簽字人發出通知的途徑;(6)是否提供了及時的撤消服務。要使用可信賴的系統、程序和人力資源提供其服務。驗證服務提供商如未能滿足上述要求應承擔相應責任。美國猶他州數字簽名法規定:通過頒發證書,許可之認證機構向所有信賴證書里包含的信息的人證明,認證機構已遵守了頒發證書的所有有效的要求;通過發布證書,許可之認證機構向公告欄和所有信賴證書里包含的信息的人證明,認證機構已經向用戶頒發了證書。該法還規定:通過接收許可之認證機構頒發的證書,證書上確定的用戶,向所有信賴證書里包含的信息的人證明:(1)每一個通過與證書上所列公開密鑰相對應的私鑰而生成的電子簽名,除非證書中止、被認證機構撤消或者過期失效,對用戶來講都是法律上有效的簽名;(2)沒有未經授權的人使用與證書上所列公開密鑰相對應的私鑰;(3)用戶對認證機構作出的包含于證書的所有重要信息的陳述,都是真實的;(4)證書中包含的信息是真實的。新加坡和我國香港地區也有類似的規定。
第二十三條 電子認證服務提供者擬暫停或者終止電子認證服務的,應當在暫停或者終止服務九十日前,就業務承接及其他有關事項通知有關各方。
電子認證服務提供者擬暫停或者終止電子認證服務的,應當在暫停或者終止服務六十日前向國務院信息產業主管部門報告,并與其他電子認證服務提供者就業務承接進行協商,作出妥善安排。
電子認證服務提供者未能就業務承接事項與其他電子認證服務提供者達成協議的,應當申請國務院信息產業主管部門安排其他電子認證服務提供者承接其業務。
電子認證服務提供者被依法吊銷電子認證許可證書的,其業務承接事項的處理按照國務院信息產業主管部門的規定執行。
【釋義】 本條是關于電子認證服務提供者的業務承接要求的規定。
一、電子簽名與電子認證都是電子商務的保障。電子簽名的目的是保護數據電文的安全,防止其內容的仿冒、更改或者否認。法律強調對電子簽名安全技術標準的認定。電子認證的目的是把電子簽名和交易聯系起來,確保對方得到的電子簽名不是其他人假冒的。為此,法律強調對電子認證機構的組織結構和權利、義務的分配,對認證機構的設立和監管,以及確立認證機構的歸責原則及其賠償責任。如果說電子簽名主要用于數據電文本身的安全,使之不被否認或者篡改,是一種技術手段上的保證,則電子認證是以特定的機構對電子簽名及其簽署者的真實性進行驗證服務,主要應用于交易安全方面,主要是一種組織制度上的保證。而電子商務交易活動具有連續性的特點,法律必須對電子認證服務提供者的業務事項的維持予以特別規定,才能有效地保護電子簽名人
和電子簽名依賴方的利益。
二、電子認證服務提供者擬暫停或者終止電子認證服務的,將會影響到相關方的利益,因此本條第一款規定,應當在暫停或者終止服務九十日前,就業務承接及其他有關事項通知有關各方。此外,電子認證服務提供者擬暫停或者終止電子認證服務的,還應當履行以下義務:
1.報告。電子認證服務提供者應當在暫停或者終止服務六十日前向國務院信息產業主管部門報告,使其了解情況。
2.協商承接。電子認證服務提供者除在法定期限內向國務院信息產業主管部門報告外,還要與其他電子認證服務提供者就業務承接進行協商,協商達成一致意見的,對業務承接事項作出妥善安排。
3.指定承接。電子認證服務提供者未能就業務承接事項與其他電子認證服務提供者達成協議的,應當申請國務院信息產業主管部門安排其他電子認證服務提供者承接其業務。
對于電子認證服務提供者被依法吊銷電子認證許可證書的,其業務承接事項的處理按照國務院信息產業主管部門的規定執行。
第二十四條 電子認證服務提供者應當妥善保存與認證相關的信息,信息保存期限至少為電子簽名認證證書失效后五年。
【釋義】 本條是關于電子認證服務提供者應當妥善保存與認證相關的信息及保存期限的規定。
依照本法第二十條的規定,電子簽名人向電子認證服務提供者申請電子簽名認證證書,應當提供真實、完整和準確的信息。這些信息涉及的面比較廣,既可能包括申請人的個人隱私,也可能涉及申請人的商業秘密,如果這些信息被泄露,可能會損害電子簽名人的利益,因此,本條規定了電子認證服務提供者妥善保存與認證相關的信息的義務,并規定信息保存期限至少為電子簽名認證證書失效后五年。如果電子認證服務提供者違反上述規定,依照本法第三十一條的規定,由國務院信息產業主管部門責令限期改正;逾期未改正的,吊銷電子認證許可證書,其直接負責的主管人員和其他直接責任人員十年內不得從事電子認證服務。
第二十五條 國務院信息產業主管部門依照本法制定電子認證服務業的具體管理辦法,對電子認證服務提供者依法實施監督管理。
【釋義】 本條是授權國務院信息產業主管部門制定電子認證服務業的具體管理辦法并依法實施監管的規定。
一、電子認證是基于數據電文的收件人需要對收訖的數據電文發送人身份及數據電文的真實性、完整性進行核實而產生的。
電子認證通過電子認證機構頒發電子認證證書,據以確認數據電文發送人制作數字簽名的密鑰對與發送人的聯系來實施認證確認活動。鑒于電子認證機構在電子交易中的重要作用,關于其設置、資格、行為規范等,始終是各國電子商務立法關注的重點。符合一定標準的電子認證機構,才能保證其運營符合電子商務的需要。電于認證機構的運營受到切實有效的監督,才能更好地保護電子簽名人和電子簽名依賴方的利益。從國外看,電子認證機構的市場準入有三種情況:一是,對電子認證機構實行強制性許可制度,即從事電子認證業務必須經過主管機關批準。如馬來西亞數字簽名法案明確規定,"沒有人可以作為認證機構開展業務或進行運營,或主張他自己可以進行認證業務的運營,除非該人持有根據本法發放的有效許可證。"日本電于簽名與認證服務法規定,"欲從事或者已在從事認證服務者須獲得相關大臣之許可"。韓國電子署名法規定,"信息通信部長官指定有能力安全可靠地執行認證業務的單位擔任公認認證機關"。電子商務基本法規定"政府可以根據電子署名法指定一個被授權的認證機構以確保電子商務的安全和可靠,并促進電子商務交易的健康發展"。德國《信息與通信服務法》規定,"證機構開展業務,須從主管機關取得許可證。許可證經申請即予頒發。"但下列情況不予頒發許可證:如果有事實證明下述推定,即申請人不具備從事認證業務的可靠性,或者申請人沒有提交具備從事認證業務所需專業知識的證明,或者有理由認為一旦開始業務活動,不能符合本法以及具有法律效力的法令規定的與認證機構開展業務有關的其他要求。我國香港和臺灣地區對于電子認證的市場準入也都實行強制性許可制度。二是,對電子認證機構實行非強制性許可制度。例如,依照歐盟《電子簽名指令》的規定,"成員國不得為證書服務規定任何事先授權",但是,各成員國可以建立自愿的、非強制性的許可制度,經政府許可的認證機構享有比未經許可的認證機構更多的權利。奧地利《聯邦電子簽名法》規定,認證服務提供者無需取得特別許可即可開展業務,但須立即通知監管機關,并將有關文件材料向監管機關報送備案,包括其安全政策、認證政策、所提供的業務以及使用的技術手段和程序等。該法還規定了認證機關自愿認證的程序和認可認證機關的相關技術安全要求。新加坡《電子交易法》規定設立電子認證機構并不一定都要取得許可,但經許可的認證機構發布證書時,可以在證書中載明一項供參考的標準依據限額,即可以享受法律規定的民事責任限制等"優惠"。三是,對電子認證機構的設立不實行許可制度,完全依賴市場調節,通過行業自律予以規范。例如美國。
二、從國外看,對電子認證機構進行監管的內容主要包括與證書發放有關記錄的保存、發證、證書更新、中止和撤銷、認證業務聲明、安全準則和保密等。如新加坡《電子交易法》規定,為保證本法或其細則的需要,通過書面通知,監管人可以指示認證機構或其工作人員采取通知書中指定的行為,對于不遵守指示的,要追究相應的法律責任。馬來西亞《數字簽名法》規定,對于特許認證機構,應當每年進行一次檢查,以評價其遵守本法案的情況。年度檢查應由具有計算機方面專業知識、獲得執照的職業會計師,或信譽良好的、從事計算機安全工作的專業人員進行。審查人員的資格條件及審查的工作程序由本法案的實施細則予以規定。監控人應在其提供并維持的有關特許認證機構信息的信息庫里向公眾公布審查的日期和結果。我國香港地區《電子交易條例》規定,認可核證機關必須最少每十二個月向署長提交報告一次,而該報告必須載有對該機關是否已遵守本條例中就認可核證機關適用的條文的評
估,及在該期間是否已遵守業務守則的評估。根據德國《數字簽章法》的規定,主管機關可以采取相應的行政措施處理認證機構的違法行為,具體包括:(1)主管機關可以禁止認證機構使用不適當的技術設備,并且可以暫時全部或者部分禁止其業務,如果認證機構采取非法手段誤導他人相信其已獲得某種許可,可以禁止其全部認證業務。(2)進行營業場所檢查。(3)撤回、廢止或者中止許可。如果認證機構沒有依法履行義務,主管機關可以撤回、廢止或者中止以前發出的許可。在撤銷或者廢止許可或者中止認證機構業務時,主管機關可以把該認證機構的業務交給其他認證機構或者確保該認證機構與有關密鑰持有人之間的業務關系已經結束。(4)中止認證證書的效力。主管機關有足夠證據認為,認證證書是偽造或者其安全性不足以防止偽造,或者所采用的技術設備顯示安全上有欠缺,使得數字簽章或者數字資料的偽造可能難以覺察時,可以中止認證證書的效力。
三、從我國實際情況看,對電子認證服務業主要靠市場引導和行業自律的條件尚不具備,由政府部門實施適度監管是必要的。本法規定了提供電于認證服務應當具備的條件,規定了對提供電于認證服務實施行政許可制度,規定了有違法行為的電子認證服務提供者應承擔的法律責任,這些規定是必要的、可行的。另外,由于我國的電子認證業務還處于發展起步階段,政府部門對電子認證機構如何實施有效的、適度的監管,還需要在實踐中進一步總結經驗。為此,本條授權國務院信息產業主管部門制定電子認證服務業管理的具體辦法。
第二十六條 經國務院信息產業主管部門根據有關協議或者對等原則核準后,中華人民共和國境外的電子認證服務提供者在境外簽發的電子簽名認證證書與依照本法設立的電子認證服務提供者簽發的電子簽名認證證書具有同等的法律效力。
【釋義】 本條是關于我國境外的電子認證服務提供者在境外簽發的電子簽名認證證書的法律效力的規定。
一、在跨國境的電子商務中,最重要一個環節是對處于不同司法管轄范圍內的交易人的身份進行認證。這就要涉及到電子證書的跨境認證。實現跨境認證有幾種方式。第一,允許境外的認證機構在本地提供服務。第二,境內的認證機構出境提供認證服務。第三,不同司法管轄范圍內的認證機構達成互認證協議。第一和第二種方式,都是服務貿易的延伸。一旦境內的認證機構出境或境外的認證機構進境,都可以被視為本地的認證機構,都應當受到本地法律的管轄。本條所稱的境外的電子認證服務者是指不受本地法律管轄的電子認證服務提供者。在認證過程中出現爭議時,會涉及到兩種法律體系和兩種司法制度協調。因此,不同國別的電子認證服務的相互認證必須由兩國政府根據國際法原則協商確定解決。
二、本法規定的有關協議是指,根據兩國政府間的協議,而對等原則是指別國政府或法律對中國境內的電子認證服務提供者提供的認證服務的態度。依據這兩點,信息產業主管部門可以核準確認,哪些境外的認證機構簽發的認證證書可以在我國境內使用
第四章 法律責任
第二十七條 電子簽名人知悉電子簽名制作數據已經失密或者可能已經失密未及時告知有關各方、并終止使用電子簽名制作數據,未向電子認證服務提供者提供真實、完整和準確的信息,或者有其他過錯,給電子簽名依賴方、電子認證服務提供者造成損失的,承擔賠償責任。
【釋義】 本條是關于電子簽名人未履行法定義務造成他人損失承擔賠償責任的規定。
一、電子簽名人作為電子簽名活動中的一方當事人,除了享有法律賦予的權利以外,還應當履行法律規定的義務。按照本法規定,電子簽名人應當妥善保管電子簽名制作數據。電子簽名人知悉電子簽名制作數據已經失密或者可能已經失密時,應當及時告知有關各方,并終止使用該電子簽名制作數據。如果電子簽名人未妥善保管電子簽名制作數據,知悉電子簽名制作數據已經失密或者可能已經失密時,未及時告知有關各方,并終止使用電子簽名制作數據,則可能使電子簽名活動中的其他各方當事人因信賴所使用的電子簽名制作數據而遭受損失,對于所造成的損失,電子簽名人應承擔賠償責任。
二、按照本法規定,電子簽名人向電子認證服務提供者申請電子簽名認證證書,應當提供真實、完整和準確的信息。電子簽名人由于提供的信息不真實、不完整、不準確,給電子簽名活動的其他各方當事人造成損失的,應承擔賠償責任。
三、電子簽名人由于自己的過錯給電子簽名依賴方、電子認證服務提供者造成損失的,承擔賠償責任。聯合國貿法會電子簽名示范法對于電子簽名人也規定了類似本法規定的義務,按照示范法的規定,簽名人知悉簽名制作數據已經失密或者簽名人知悉導致簽名制作數據可能已經失密的重大風險情況時,應毫不遲疑地作出合理的努力,向簽名人可以合理預計的依賴電子簽名或提供支持電子簽名服務的任何人發出通知。如果未滿足以上要求,應承擔由此引起的法律后果。在這方面本法的規定與聯合國貿法會電子簽名示范法的規定是一致的。按照民法通則的規定,公民、法人由于過錯侵害國家的、集體的財產,侵害他人財產、人身的,應當承擔民事責任。本條規定的承擔民事責任的方式是賠償損失。這是適用最廣泛的一種責任形式。在我國法律上的賠償損失,專指
以金錢的方式賠償對方的損失。侵犯財產權和侵犯人身權都可能發生這種責任。賠償損失的民事責任,除法律有特別規定外,應當賠償受害人的全部損失。損失除了包括財產的直接損失外,還包括間接損失,或者說是可得利益的損失。
四、按照本條規定,電子簽名人承擔賠償責任的前提條件是主觀上必須有過錯。可以看出,本法對電子簽名人承擔民事責任實行的是過錯責任原則。如果電子簽名人主觀上沒有過錯,則不承擔賠償責任。
第二十八條 電子簽名人或者電子簽名依賴方因依據電子認證服務提供者提供的電子簽名認證服務從事民事活動遭受損失,電子認證服務提供者不能證明自己無過錯的,承擔賠償責任。
【釋義】 本條是關于電子認證服務提供者因過錯給電子簽名人或者電子簽名依賴方造成損失承擔賠償責任的規定。
一、由于電子商務的開放性,交易各方不相識、不了解,彼此不信任,因而不具備達成交易所必需的信任基礎。這在客觀上就需要一個既為各方所信任,又具備專業技能,同時又管理嚴格的機構。于是,電子認證服務便應運而生。電子認證是一種用于確定一個人的身份或者特定信息真實性的程序。對于一個數據電文,認證涉及確定其來源及確定其在傳送過程中沒有被修改或替換。也就是特定的機構對電子簽名及其簽署者的真實性進行驗證的過程。電子認證的主要功能就是對內防止否認,對外防止欺詐。而且從事電子認證業務的電子認證服務提供者是具備法律規定的條件,依法設立并經國務院信息產業主管部門予以許可的。正是基于對電子認證服務提供者的信任,民事活動中的電子簽名人、電子簽名依賴方才會信賴電子認證服務提供者頒發的電子認證證書。如果電子簽名人或者電子簽名依賴方自己本身沒有任何過錯,只
是由于信賴電子認證服務提供者提供的服務,依據電子認證服務提供者提供的電子認證服務而遭受損失的,電子認證服務提供者應當承擔賠償責任。
二、按照本條的規定,電子認證服務提供者如果不能證明自己無過錯的,承擔賠償責任。也就是說,如果電子認證服務提供者能夠證明自己沒有過錯,則不承擔賠償責任。在通常情況下,對原告提出的事實,是由原告先舉證,只有原告盡到了自己的舉證責任,被告予以反駁,才由被告對反駁意見提供證據并加以說明。本條規定的是舉證責任倒置,即對原告提出的侵權事實,電子認證服務提供者如果予以否認,則應負舉證責任,證明自己沒有過錯。對于這一規定,在審議修改過程中存在兩種意見。一種意見認為,電子認證服務提供者所提供的認證服務,對于民事活動中的交易安全起著至關重要的作用,如果由于電子認證服務提供者的原因使電子簽名人或者電子簽名依賴方遭受損失,電子認證服務提供者應當承擔嚴格責任,無論是否有過錯。另一種則意見認為,電子認證服務作為一項新興的產業,且對電子交易的安全又是必不可少的,因此,應當對這一行業以鼓勵為主,大力扶持,不應規定過于嚴格
的法律責任。且電子認證服務屬于高風險的行業,規定的民事責任過于嚴格,可能會不利于這一行業的發展。立法機關經過認真研究,認為該條現在的規定,對于電子認證服務提供者是合適的。既沒有因為規定過嚴,而阻礙電子認證服務業的發展;也沒有過寬,使電子簽名人或者電子簽名依賴方對電子認證服務提供者產生不信任。本條規定電子認證服務提供者承擔舉證責任,即只要電子認證服務提供者能夠證明自己對于電子簽名人或者電子簽名依賴方所遭受的損失沒有過錯,就不承擔責任。而對于電子認證服務提供者來講,只要能夠證明其所提供的服務完全是嚴格按照本法和符合國家規定并向國務院信息產業主管部門備案的電子認證業務規則實施的,則應能夠證明沒有過錯。
三、按照本法規定,電子認證服務提供者應當制定、公布符合國家有關規定的電子認證業務規則,并向國務院信息產業主管部門備案。電子認證業務規則應當包括責任范圍、作業操作規范、信息安全保障措施等事項。按照目前一些電子認證服務提供者制定的電子認證業務規則的規定,電子認證服務提供者承擔賠償責任實行的是限額賠償,且各個電子認證服務提供者所制定的電子認證業務規則有所不同,對于責任范圍規定的也不同。多數是根據電子認證證書申請者的性質以及所交費用的不同而有所不同。
第二十九條 未經許可提供電子認證服務的,由國務院信息產業主管部門責令停止違法行為;有違法所得的,沒收違法所得;違法所得三十萬元以上的,處違法所得一倍以上三倍以下的罰款;沒有違法所得或者違法所得不足三十萬元的,處十萬元以上三十萬元以下的罰款。
【釋義】 本條是關于未經許可提供電子認證服務應承擔的法律責任的規定。
一、按照本法規定,從事電子認證服務,應當向國務院信息產業主管部門提出申請,并提交具有相應的專業技術人員和管理人員、相應的資金和經營場所、符合國家安全標準的技術和設備、國家密碼管理機構同意使用密碼的證明文件以及法律、行政法規規定的其他條件的相關材料。國務院信息產業主管部門接到申請后經依法審查,征求國務院商務主管部門等有關部門的意見后,自接到申請之日起四十五日內作出許可或者不予許可的決定。予以許可的,頒發電子認證許可證書。申請人應當持電子認證許可證書依法向工商行政管理部門辦理企業登記手續。如果沒有按照以上規定的程序取得電子認證從業許可,就構成本條規定的未經許可提供電子認證服務的違法行為。
二、按照本條規定,對于未經許可提供電子認證服務的,應當承擔以下行政責任:
1.責令停止違法行為。即由國務院信息產業主管部門責令違法行為人停止提供電子認證服務的行為。由于電子認證服務涉及民事合同有關各方的交易安全,為了使電子簽名人以及電子簽名依賴方免受損失,國務院信息產業主管部門一旦發現未經許可從事提供電子認證服務的行為,應當立即責令違法行為人停止違法行為。
2.對于有違法所得的,沒收違法所得。這里講的違法所得,是指由于非法提供電子認證服務行為而獲得的全部經營收入。
3.違法所得三十萬元以上的,對其處以罰款。罰款,是指有行政處罰權的行政機關強制行為人承擔金錢給付義務,即在一定期限內交納一定錢款的處罰形式。按照本條規定,行使行政處罰權的機關是國務院信息產業主管部門。即由國務院信息產業主管部門對違法行為人處以罰款。罰款的幅度為違法所得一倍以上三倍以下。
4.沒有違法所得或者違法所得不足三十萬元的,處十萬元以上三十萬元以下的罰款。
第三十條 電子認證服務提供者暫停或者終止電子認證服務,未在暫停或者終止服務六十日前向國務院信息產業主管部門報告的,由國務院信息產業主管部門對其直接負責的主管人員處一萬元以上五萬元以下的罰款。
【釋義】 本條是關于電子認證服務提供者暫停或者終止電子認證服務未按規定報告的法律責任的規定。
一、按照本法規定,電子認證服務提供者擬暫停或者終止電子認證服務的,應當在暫停或者終止服務六十日前向國務院信息產業主管部門報告,并與其他電子認證服務提供者就業務承接事項進行協商,作出妥善安排。由于認證機構的業務涉及到公眾利益,是一般交易的基礎條件,其業務的終止不能像一般的盈利性企業一樣,而是應當建立使其營業持續進行的機制,即業務承接。因此,要求電子認證服務提供者按照本法的規定向國務院信息產業主管部門報告,就是為了保證這種業務的持續,及時報告便于國務院信息產業主管部門及時作出安排,保護用戶的權益。電子認證服務提供者如果打算暫停或者終止電子認證服務,沒有在暫停或者終止服務六十日前向國務院信息產業主管部門報告,則構成本條的違法行為,應依照本條規定承擔法律責任。
二、按照本條規定,對于有本條規定的違法行為,由國務院信息產業主管部門對其直接負責的主管人員處一萬元以上五萬元以下的罰款。本條規定的實施行政處罰的機關是國務院信息產業主管部門。本條規定的處罰對象是電子認證服務提供者的直接負責的主管人員。這里講的"直接負責的主管人員",是指在單位違法行為中負有直接領導責任的人員,包括違法行為的決策人,事后對單位違法行為予以認可和支持的領導人員,以及由于疏忽管理或放任,因而對單位違法行為負有不可推卸的責任的領導人員。本條規定的行政處罰的種類是罰款。罰款的幅度是一萬元以上五萬元以下。
第三十一條 電子認證服務提供者不遵守認證業務規則、未妥善保存與認證相關的信息,或者有其他違法行為的,由國務院信息產業主管部門責令限期改正;逾期未改正的,吊銷電子認證許可證書,其直接負責的主管人員和其他直接責任人員十年內不得從事電子認證服務。吊銷電子認證許可證書的,應當予以公告并通知工商行政管理部門。
【釋義】 本條是關于電子認證服務提供者違法行為應承擔的法律責任的規定。
一、按照本法規定,電子認證服務提供者應當制定、公布符合國家有關規定的電子認證業務規則,并向國務院信息產業主管部門備案。電子認證業務規則,是電子認證服務提供者制定的,用于約束電子認證服務提供者以及電子簽名人、電子認證證書的信賴者的業務聲明。各方當事人必須遵守,特別是認證服務提供者。如果電子認證服務提供者不遵守認證業務規則的規定,就構成了本條規定的違法行為。如按照某電子認證服務提供者制定的電子認證業務聲明的規定,電子認證服務提供者應當對認證證書申請者的身份進行鑒別,如必須檢查文件的復印件,包括工商執照、組織機構代碼、稅務登記等。認證服務提供者可以通過查詢第三方數據庫或咨詢相應的政府機構等方式,來對申請者及其申請材料進行驗證。如果電子認證服務提供者對申請者所提供的材料沒有進行驗證,就會影響認證證書的真實性與安全性,構成本條規定的違法行為。應依照本條規定承擔法律責任。
二、按照本法規定,電子認證服務提供者應當妥善保存與認證相關的信息。這是本法對電子認證服務提供者規定的一項義務。與認證相關的信息涉及電子簽名人的一些個人資料,還要保證電子簽名依賴方能夠證實或者了解電子簽名認證證書所載內容及其他有關事項,電子認證服務提供者應當采取有效的措施予以保存,如應采取物理安全保障措施,免遭惡劣環境或者突發事件等的破壞。如果未妥善保存信息,不能確保這些信息在規定的期限內滿足查閱的需要。則構成本條的違法行為,應承擔相應的法律責任。
三、按照本法規定,國務院信息產業主管部門有權制定電子認證服務業的具體管理辦法。電子認證服務提供者對于國務院信息產業主管部門依法制定的電子認證服務業管理辦法必須遵守,如果未遵守就構成本條規定的其他違法行為,也應依照本法規定追究其法律責任。
四、按照本條規定,電子認證服務提供者不遵守認證業務規則、未妥善保存與認證相關的信息,或者有其他違法行為的,首先由國務院信息產業主管部門責令限期改正。即責令違法行為人在規定的期限內糾正違法行為。如果電子認證服務提供者在規定的期限內未糾正違法行為,則由國務院信息產業主管部門吊銷電子認證許可證書。這是比較嚴厲的能力罰。這里講的"吊銷許可證書",是指有關行政執法機關依法取消經營單位從事經營活動的合法憑證。即由國務院信息產業主管部門取消有違法行為的電子認證服務提供者所取得的許可從事電子認證服務的合法憑證,剝奪有違法行為的電子認證服務提供者從事電子認證服務的資格。同時,要對電子認證服務提供者的直接負責的主管人員和其他直接
責任人員處以資格罰。即在十年內不得從事電子認證服務。這里講的"其他直接責任人員",是指直接實施單位違法行為的人員。對于吊銷電子認證許可證書的,國務院信息產業主管部門應當予以公告。公告應當在大眾媒體上,目的是讓廣大用戶都能知曉,避免造成不必要的損失。在公告的同時,還應當通知工商行政管理部門。由工商行政管理部門吊銷違法行為人的營業執照。
第三十二條 偽造、冒用、盜用他人的電子簽名,構成犯罪的,
依法追究刑事責任;給他人造成損失的,依法承擔民事責任。
【釋義】 本條是關于偽造、冒用、盜用他人的電子簽名的法律責任的規定。
一、網絡的特點是公開、便捷、資源共享,極大地方便了各種人員在網上這個虛擬的空間自由溝通,也有利于社會使用多種公共的或私人的服務,這無疑大大提高了生活質量和經濟效益。網絡的發展帶動了電子商務的發展。由于電子商務活動中,交易各方彼此不見面,這也為形形色色的違法犯罪行為提供了條件。本條所講的偽造、冒用、盜用他人的電子簽名,就是一種擾亂市場秩序,侵犯他人權益的行為;同時,這種行為也嚴重影響了電子交易的安全,法律對這些行為應當嚴厲制裁。本條所講的偽造他人的電子簽名,是指未經電子簽名合法持有人的授權而創制電子簽名或者創制一個認證證書列明但實際并不存在用戶的簽名等。本條所講的冒用他人的電子簽名,是指非電子簽名持有人未經電子簽名人的授權以電子簽名人的名義實施電子簽名的行為。本條所講的盜
用他人的電子簽名,是指秘密竊取并使用他人電子簽名的行為。
二、按照本條規定,偽造、冒用、盜用他人電子簽名,構成犯罪的,依法追究刑事責任。構成本條的犯罪,主要是指構成刑法第二百八十條關于妨害國家機關公文、證件、印章的犯罪,偽造公司、企業、事業單位、人民團體印章的犯罪。構成該條的犯罪,必須具備以下條件:一是主觀上是故意;二是客觀上實施了偽造他人的電子簽名的行為。對于構成犯罪的,依照刑法第二百八十條的規定,偽造、變造國家機關的公文、證件、印章的,處三年以下有期徒刑、拘役、管制或者剝奪政治權利;情節嚴重的,處三年以上十年以下有期徒刑。偽造公司、企業、事業單位、人民團體的印章的,處三年以下有期徒刑、拘役、管制或者剝奪政治權利。這里的"情節嚴重",主要是指多次實施偽造他人電子簽名的行為;造成政治影響很壞、經濟損失很大等嚴重后果的等等。行為人在實施偽造電子簽名等違法行為過程中,也可能利用計算機實施金融詐騙等的犯罪。即利用計算機實施金融詐騙、盜竊、貪污、挪用公款、竊取國家秘密或者其他犯罪的,詐騙,主要是指以非法占有為目的,用虛構事實或者隱瞞真相的方法,騙取公私財物的行為。構成詐騙罪,必須具備以下條件:一是行為人主觀上應當是故意,而且具有非法占有公私財物的目的;二是詐騙公私財物數額較大。數額較大的具體數額,由司法機關根據各地的具體情況作出具體規定。對于構成詐騙罪的,依照刑法第二百六十六條的規定處罰。
三、給他人造成損失的,依法承擔民事責任。民事責任,是指進行了民事違法行為的人在民法上承擔的對其不利的法律后果。合法的民事權益受法律保護,如果受到他人的非法侵害,則需要給權利人以充分的法律救濟,這就是民事責任制度。根據民事違法行為所侵害的權利不同,民事責任分為違約的民事責任與侵權責任。本條所講的民事責任,指的是侵權的民事責任。給他人造成損失的,應當承擔民事責任。按照民法通則的規定,承擔民事責任的方式主要包括:停止侵害、排除妨礙、消除危險、返還財產、恢復原狀、賠償損失、賠禮道歉等。對于所規定的承擔民事責任的幾種方式,可以單獨適用,也可以合并適用。
第三十三條 依照本法負責電子認證服務業監督管理工作的部門的工作人員,不依法履行行政許可、監督管理職責的,依法給予行政處分;構成犯罪的,依法追究刑事責任。
【釋義】 本條是關于負責電子認證服務業監督管理工作的部門的工作人員法律責任的規定。
一、按照本法規定,國務院信息產業主管部門應當制定電子認證服務業的具體管理辦法,對電子認證服務提供者依法實施監督管理。這是本法賦予國務院信息產業主管部門的法定職責。為了保證電子認證機構以公正第三方的身份對電子簽名提供真實可信的認證服務,應當加強政府部門對電子認證服務的監督管理。國務院信息產業主管部門是依照本法負責電子認證服務業管理工作的部門,具體負責電子認證服務機構的從業許可,在電子認證服務機構擬暫停或者終止電子認證服務、未能就業務承接事項與其他電子認證服務提供者達成協議時,要安排其他電子認證服務提供者承接其業務,并負責對違反本法規定的行為行使行政處罰權。如果不很好履行本法賦予的這些職責,就要承擔相應的法律責任。
二、依照本法負責電子認證服務業管理工作的部門的工作人員,不依法履行行政許可、監督管理職責的,應當承擔相應的法律責任。
1.不依法履行行政許可職責。不依法履行行政許可職責,可以表現為對不符合法定條件的電子認證服務提供者準予行政許可或者超越法定職權作出準予行政許可決定。如按照本法規定,提供電子認證服務應當具有相應的專業技術人員和管理人員;具有相應的資金和經營場所;具有符合國家安全標準的技術和設備;具有國家密碼管理機構同意使用密碼的文件;以及法律、行政法規規定的其他條件等。從事電子認證服務,應當向國務院信息產業主管部門提出申請,并提交符合上述條件的相關材料。如果電子認證服務申請者不符合上述條件,比如申請者沒有國家密碼管理機構同意使用密碼的文件,國務院信息產業主管部門就不應給予行政許可,如果予以行政許可,將嚴重影響電子交易的安全,可能會使電子交易有關各方的利益遭受損失。國務院信息產業主管部門接到電子認證服務申請后應當進行審查,自接到申請之日起四十五日內作出許可或者不予許可的決定,如果國務院信息產業主管部門沒有在四十五日內作出許可或者不予許可的決定,就構成本條規定的不履行行政許可責任的行為。不履行行政許可責任的行為還可表現為不按照行政許可程序實施行政許可,如在受理、審查、決定行政許可過程中,未向申請人履行法定告知義務;未依法說明不受理行政許可申請或者不予行政許可的理由等等。
2.不依法履行監督管理職責。主要表現為:一是對經其許可的電子認證服務提供者沒有實施經常性的監督;二是監督不力,對監督中發現的違法行為沒有依法予以查處,如國務院信息產業主管部門在監督中發現電子認證服務提供者未妥善保存與認證相關的信息,按照本法規定,應當責令其限期改正,逾期未改正的,吊銷電子認證許可證書。如果對于逾期未改正的,沒有吊銷電子認證許可證書,構成本條的違法行為。
三、對不依法履行行政許可、監督管理職責的工作人員,依照下列規定追究法律責任:
1.依法給予行政處分。行政處分,是指國家機關依法給隸屬于它的犯有較輕違法行為人員的一種制裁性處理。按照《國家公務員暫行條例》的規定,對于公務員有玩忽職守,貽誤工作等違法行為,尚未構成犯罪的,應當給予行政處分。行政處分分為:警告、記過、記大過、降級、撤職、開除六種。根據行為的輕重決定。行政處分應當按照干部管理權限分別由任免機關或者行政監察機關決定。
2.構成犯罪的,依法追究刑事責任。這里講的構成犯罪,主要是指構成刑法第三百九十七條規定的玩忽職守犯罪和濫用職權犯罪。構成犯罪的前提條件是造成嚴重后果。"造成嚴重后果",是指致使公共財產、國家和人民利益遭受重大損失的行為。濫用職權,是指行使了不該自己行使的職權,即國家機關工作人員超越法律、法規賦予的職權,擅自處理其無權決定、處理的事項,或者在行使職權時,以權謀私,假公濟私,不正確地履行職責,或者隨心所欲地做出處理決定等等。玩忽職守,是指國家機關工作人員嚴重不負責任,不履行或者不正確履行職責的行為。如果由于濫用職權、玩忽職守而造成嚴重后果的,則構成濫用職權犯罪和玩忽職守犯罪。依照刑法第三百九十七條的規定,對玩忽職守、濫用職權的犯罪,處三年以下有期徒刑;情節特別嚴重的,處三年以上七年以下有期徒刑。情節特別嚴重,主要是指造成的經濟損失數額特別巨大;造成特別嚴重的政治影響等情形。
第五章 附則
第三十四條 本法中下列用語的含義:
(一)電子簽名人,是指持有電子簽名制作數據并以本人身份或者以其所代表的人的名義實施電子簽名的人;
(二)電子簽名依賴方,是指基于對電子簽名認證證書或者電子簽名的信賴從事有關活動的人;
(三)電子簽名認證證書,是指可證實電子簽名人與電子簽名制作數據有聯系的數據電文或者其他電子記錄;
(四)電子簽名制作數據,是指在電子簽名過程中使用的,將電子簽名與電子簽名人可靠地聯系起來的字符、編碼等數據;
(五)電子簽名驗證數據,是指用于驗證電子簽名的數據,包括代碼、口令、算法或者公鑰等。
【釋義】 本條是對本法中與電子簽名有關的幾個名詞的解釋。
一、電子簽名人可以通過兩種方式簽名。第一,用自己的電子簽名制作數據實施電子簽名;第二,委托他人,使用委托人的電子簽名制作數據實施電子簽名。毫無疑問,通過第一種方式進行電子簽名時,簽名人就是制作電子簽名的人。通過第二種方式進行電子簽名時,簽名人是指簽名制作數據指代的人,并不是指實施電子簽名的人。
二、當人們閱讀數據電文時,要確認數據電文的制作人,人們首先會查驗含在數據電文之中或附在數據電文之后的電子簽名。根據電子簽名技術的不同,這樣的查驗既可以直接進行,也可能需要通過查驗與簽名對應證書進行。查驗通過后,確認數據電文內容可信,并根據數據電文的內容進行決策或行動的人,就是電子簽名依賴方。
三、有些電子簽名是可以直觀驗證的,有些電子簽名則不能直觀驗證。不能直觀驗證電子簽名時,技術上必須提供一種方法,能把電子簽名與電子簽名人聯系起來。數字簽名便是這樣的一種技術。數字簽名技術通過一種數學運算,建立起唯一匹配的一對密鑰,即公鑰和私鑰。把公鑰與簽名人的信息作為驗證簽名人身份的中介,私鑰則是簽名制作數據,通過公鑰與私鑰的特性,建立起電子簽名人與電子簽名制作數據之間的聯系。記載了公鑰和簽名人(公鑰持有人)信息的數據電文,就是電子簽名認證證書。
四、進行電子簽名時,往往是通過一種程序和算法對數據原文進行運算,變換成與原文唯一對應并且方便查驗的數據電文。這種對原文進行變換的程序和算法就是電子簽名制作數據。
五、可以直觀獲得并能將簽名人鑒別出來的數據,就是電子簽名驗證數據。比如數字簽名技術中的公鑰,通過公鑰就可以找出電子簽名人是誰。
第三十五條 國務院或者國務院規定的部門可以依據本法制定政務活動和其他社會活動中使用電子簽名、數據電文的具體辦法。
【釋義】 本條是授權國務院或者國務院規定的部門可以制定政務活動和其他社會活動中使用電子簽名、數據電文具體辦法的規定。
一、目前,電子簽名主要是在電子商務活動中使用的。隨著信息化水平的不斷提高,在政府部門實施一些經濟、社會事務的管理中,也開始采用電子手段,如電子報關、電子報稅、電子年檢以及依據行政許可法規定采用數據電文方式提出行政許可申請等,這些也都涉及電子簽名的法律效力問題,同樣需要適用本法的有關規定,而不必再另行單獨制定法律。同時,考慮到經濟、社會等方面的行政管理活動中使用數據電文、電子簽名的特殊情況,需要授權國務院或者國務院規定的部門依據本法制定政務活動和其他社會活動中使用電子簽名、數據電文的具體辦法。
二、政務活動中使用數據電文、電子簽名,也就是通常所說的電子政務。所謂電子政務,是指政府機構在其管理和服務職能中運用現代信息技術,實現政府組織結構和工作流程的重組優化,超越時間、空間和部門分隔的制約,建成一個精簡、高效、廉潔、公平的政府運作模式。電子政務模型可簡單概括為兩方面:政府部門內部利用先進的網絡信息技術實現辦公自動化、管理信息化、決策科學化;政府部門與社會各界利用網絡信息平臺充分進行信息共享與服務、加強群眾監督、提高辦事效率及促進政務公開等等。隨著信息化的不斷發展,其他社會活動中也可能會使用數據電文、電子簽名,如電子醫療等等。
第三十六條 本法自2005年4月1日起施行。
【釋義】 本條是關于本法開始實施時間的規定。
一、法律的效力范圍包括對時間效力、空間效力和對人的效力三個方面。法律的施行時間,也就是法律的生效時間,是對法律時間效力問題的規定。它關系著公民、法人、社會組織從何時起就可以按照法律的規定享有自己的權利,并必須履行自己的義務。因此,對正確運用法律具有非常重要的意義。
二、本法自2005年4月1日起施行,即自2005年4月1日起,有關數據電文、電子簽名與認證以及違反本法規定應當承擔的責任都應當執行本法的規定。法律中明確規定生效時間涉及一些法律問題及后果。首先是溯及力問題,按照國際通行的原則,法律不溯及既往,也就是說,新的法律規定不能調整法律生效前已經發生的違反新法律的事實和行為,但是如果其事實和行為在新法生效前發生并延續到新法實施后,則應當適用新法。因此,在電子簽名法實施前,違反本法規定的行為只能用目前實施的有關法律調整。其次,法律在正式公布之后,根據立法法的原則,行政法規和部門規章不得與法律規定相違背。目前正在實施的一些辦法需要重新進行調整。本法公布前國務院及其有關部門和各地方制定的行政法規、部門規章和地方性法規及規章,如與本法規定不一致的,應當在2005年4月1日前重新制定發布,來不及重新修改發布的,對與本法不一致的規定應當停止執行。
三、本法于2004年8月28日經第十屆全國人民代表大會常務委員會第十一次會議通過,同日由國家主席胡錦濤簽署主席令予以公布,并于2005年4月1日起施行。本法的頒布與施行時間之間留有一定的間隔,主要是為了使各有關方面利用這段時間充分做好法律實施的各項準備工作,如國務院信息產業主管部門應當依照本法盡快制定電子認證服務業的具體管理辦法等。此外,由于電子簽名是一項新的事物,有關部門還要加強法律宣傳工作,讓更多的人理解這部法律。
●中華人民共和國電子簽名法最新修訂時間
●中華人民共和國電子簽名法是哪一年正式實施的
●中華人民電子簽名法什么時候實施
●中華人民共和國電子簽名法理解電子簽名的法律效力
●中華人民共和國電子簽名法修訂
●中華人民共和國電子簽名法(2019修正)
●中華人民共和國電子簽名法頒布時間
●中華人民共和國電子簽名法是哪一年正式實施的
●中華人民共和國電子簽名法解決了哪些問題
●電子簽名法2019修訂
●中華人民共和國清潔生產促進法2025全文:今日政策法律更新
●中華人民共和國特種設備安全法2025全文:今日政策法律更新
●中華人民共和國海域使用管理法2025全文:今日政策法律更新
●中華人民共和國海事訴訟特別程序法2025全文:今日政策法律更新
●中華人民共和國保險法若干問題的解釋(一):今日政策法律更新
●中華人民共和國刑法確定罪名的補充規定(四):今日政策法律更新
●中華人民共和國刑法修正案(八)時間效力問題的解釋:今日政策法律更新
●中華人民共和國中國人民銀行法2025全文:今日政策法律更新
●中華人民共和國放射性污染防治法2025全文:今日政策法律更新
來源:頭條-中華人民共和國電子簽名法釋義2025全文,中華人民共和國電子簽名法修訂
電話:400-1598098 郵箱:[email protected] 地址:北京市朝陽區亮馬橋路甲40號二十一世紀大廈3層
