美國對電子簽名的認證采取當事人自願原則,有以下幾點原因:
(1)美國的PKI技術應用於電子政務已經基本成熟,相關的標準化工作也隨著PKI技術在電子政務上的適用基本形成體係,其中很多標準化工作在《法案》之前即已經進行或完成。如美國國家技術標準局(NIST)發布的美國數字簽名標準係列(DSS,FIPS係列和SP係列);美國律師協會(American Bar Association)發布的數字簽名指南(Digital signature Guideline,DSG)和評估指南(PKI Assessment Guideline);影響很大的RSA安全公司開發的PKCS係列規範等等。
(2)除了PKI技術體係,美國還有其他的技術體係標準,這些技術及技術標準也都處於世界前列,法律沒有必要為當事人去導向,否則容易對未來技術的發展造成不必要的阻礙。
(3)美國是世界上市場經濟最發達也最為成熟的國家,數百年來市場的自然法則已經培育出十分成熟並被人們自覺遵循的行業規範、信用機製、科研機製以及啟發、自主式教育體係等市場運作機製。這些同樣在其電子商務中起著良好作用,無須政府過度幹預。總之,美國特定的曆史和社會條件造成了電子商務中電子簽名人高度的適用技術自由和認證自由,已有的各種技術標準隻是簽名人選擇技術時的參考依據及證明所適用的簽名技術是否安全可靠的證據。這種高度自由的電子商務市場堪稱“電子商務的天堂”,但同時也蘊藏著巨大的市場風險。
2.歐盟標準
歐洲電子簽名標準化組織(European Electronic Signature Standardization Initiative, EESSI)成立於1999年,由ICTSB(Information & Communication Technologies Standards Board)牽頭,歐洲幾個信息安全標準組織共同組成,主要工作致力於國際電子認證政策和相關標準的整合,建立支持安全電子簽名法律的技術標準體係。具體標準化工作由CEN/ISSS (the Information Society Standardisation System of the European Committee for Standardisation)E-sign工作組和ETSI TC SEC/ESI(the European Telecommunication Standards Institute TC, Electronic Signatures and Infrastructures)來執行。其中,E-sign工作組主要負責係統安全評估、符合性檢測,ETSI TC SEC/ESI主要負責互操作標準、簽名策略、證書策略和功能規範的製定。目前,ETSI TC SEC/ESI負責維持現有標準集並負責開發新標準。相關的協調工作由ICTSB的NISSG(Network and Information Security Steering Group)負責。
總體看,歐盟以及整個歐洲在電子簽名技術的標準化建設上處於世界前列,目前在電子簽名適用技術的標準上已有了相對完善的標準體係,尤其是數字簽名技術,並一直試圖引導技術標準的國際化通用。因為隨著世界各國之間的競爭不斷加劇,誰先在標準上占有優勢,誰就能在國際市場上占有優勢。以歐盟標準化協議體係UN/EDIFACT為例,該體係已經被國際標準化組織ISO所采納,成為電子數據交換(EDI)國際標準(ISO9735)。
目前,在技術標準上已經形成了美國與歐盟兩大不同體係。這兩大體係為了克服種種法律與政策措施的不協調,建立一種安全的、有利於電子商務發展的統一基礎設施,美國和歐盟已經進行了多項合作,其中最為重要的是“環大西洋行動”(transatlantic agenda)和“全球電子簽名認證網絡”(Idntrus)。“環大西洋行動”是歐美為了消除電子簽名方麵的政府和立法上的衝突,在進入21世紀之後達到在環大西洋範圍內實現電子簽名法律效力和條件標準化的政府層麵的合作。雖然這是政府間的合作,但在其中起作用的重要角色是私營機構,最主要的是“全球電子簽名認證網絡”(Idntrus)。Idntrus是1999年在美國建立起來的一個全球性的電子簽名認證網絡,作用在於減少電子交易所麵臨的法律衝突方麵的障礙,即對交易各方的身份和授權進行鑒別,確保通訊信息的保密性、所傳輸的信息的完整性以及在公開網絡上簽名的“不可拒絕性”,同時保障建立在統一標準基礎上超越任何法律衝突的電子交易係統的融通性。歐盟目前已經正式批準了Idntrus,並授予金融機構以獨立認證機構身份參與競爭,以此確立認證服務的基礎。任何一家與該認證網絡係統連接的金融機構都可以成為認可的認證機構。目前全球已有約五十家銀行與“全球電子簽名認證網絡”進行了連接。
(二)法律中可靠性的技術標準與主觀約定之間的關係
通過前述分析,我們可以得出以下幾點結論:
(1)即使是歐盟和美國,其解決電子商務中的電子簽名和數字簽名有關的安全認證問題的技術及方案也仍未達到電子商務需要的完善和協調程度;
(2)由於技術發展的需要,法律不得不確立技術中立原則,對於電子簽名技術的可靠性,法律隻從功能上對其作出規定,從而使目前有關數字簽名的可靠性技術標準隻具有推薦性和參照性;
(3)即使目前國際上公認的最為成熟的基於PKI的數字簽名技術標準,當前依然缺乏通用的國際標準,即使某國具有完備的數字簽名技術標準體係,以及簽名的認證服務和管理體係,也不得不通過某種渠道獲得外國官方的認可後才能得到對方的承認並受到法律保護。
以上三點可以使我們進一步推論出電子簽名可靠性技術標準與主觀約定之間的關係:
第一,一項電子簽名可靠與否,在電子商務活動中是由雙方當事人約定或者認定的,而不是由客觀技術標準,或者法律規定或認定的;
第二,目前我國並不具備完善的電子簽名可靠性客觀技術標準,即使具備了這套標準,它也隻是為當事人在進行電子商務活動時,以及法庭審理案件時提供了一種判斷的尺度、證據。換個角度說,當事人的約定或認定是適用電子簽名技術時必須具備的人的主觀能動性和智慧的運用,而客觀技術標準則是人在實施其能動性和智慧,以及法院審理案件時不可缺少的工具。
第三,沒有一套較為完善的可靠性技術標準,當事人的主觀約定或認定就失去了發揮的基礎而可能使發揮失去自信;但以可靠性技術標準取代主觀約定或認定,則會給技術的創新和發展造成嚴重障礙。
準確理解可靠與否的客觀標準與主觀約定之間的關係,有助於理順這一隨著現代信息技術的飛速發展而出現的新興法律範疇中各種複雜的法律關係。促進電子簽名法律製度的完善和實施。
三、電子簽名人的法律責任與技術可靠性風險
(一)電子簽名人法律責任的比較分析
電子商務合同與傳統商務合同的根本不同在於它是依賴於信息技術的產物,電子商務合同當事人利用信息技術進行的電子簽名是對電子合同當事人身份的確認,是對合同內容不可否認的認可,這種認可的目的在於保護數據電文的安全,不使其被仿冒、篡改或者否認。