摘要：電子商務(wù)己被認(rèn)為是具有美好前景的全球數(shù)字經(jīng)濟(jì)發(fā)展中的關(guān)鍵性因素。現(xiàn)在人們普遍認(rèn)為，現(xiàn)有的法律框架尚不能有效地向人們提供一個(gè)可資信賴的、具有安全保障的在線商務(wù)環(huán)境。電子商務(wù)的安全問題一直是各個(gè)國家和各國際組織所關(guān)注的對象。本文從電子交易安全的中心環(huán)節(jié)－電子簽名出發(fā)，考察歐盟和美國所采取的立法措施及其為建立共同的電子認(rèn)證法律平臺(tái)作出的努力，并根據(jù)歐盟與美國的經(jīng)驗(yàn)，提出了我國電子簽名立法中值得重視的幾個(gè)方面，以期對我國立法和實(shí)踐有所助益。

關(guān)鍵詞：網(wǎng)絡(luò)安全 電子簽名 數(shù)字簽名 歐盟電子簽名指令 美國電子簽名法案

　　一、電子簽名及其規(guī)制模式

　　電子簽名的定義，不同的國際組織和國家立法各不相同。但本質(zhì)上說，電子簽名是“建立在計(jì)算機(jī)基礎(chǔ)上的個(gè)人身份”。電子簽名的形式很多，有“位圖簽名”、“生物簽名”（如虹膜掃描）和“數(shù)字簽名”等。其中的“數(shù)字簽名”，依賴于“不對稱的加密技術(shù)”(PKI)，使用兩把不同的、在數(shù)字上互有聯(lián)系的一組鑰匙（key pair），即“公共鑰匙”和“私人鑰匙”（the private and the public key），來創(chuàng)設(shè)數(shù)字簽名，對數(shù)據(jù)進(jìn)行編碼、解碼和對簽名進(jìn)行驗(yàn)證。數(shù)字簽名可以較好地保證公開網(wǎng)絡(luò)上信息的安全性和保密性，保障數(shù)據(jù)的完整性并避免數(shù)據(jù)被非法篡改，是目前電子簽名中最為高級、且得到廣泛應(yīng)用的電子簽名形式。

　　在電子商務(wù)中，交易的安全問題至關(guān)重要。由于交易從雙向轉(zhuǎn)為互聯(lián)網(wǎng)上的多向，而且大多數(shù)交易通常不存在前契約關(guān)系，相互間也沒有再次交易的可能，如何確認(rèn)某一特定交易當(dāng)事人的身份，防止拒絕承認(rèn)提交、傳遞了交易信息、否認(rèn)信息內(nèi)容的完整性，便很重要。電子簽名的數(shù)字簽名具有“不得拒絕”的功能（non-repudiation），可以較好地解決這一問題。該功能通過“可信任的第三方”（TTPs），即“認(rèn)證機(jī)構(gòu)”(CAs)的認(rèn)證來實(shí)現(xiàn)的。認(rèn)證機(jī)構(gòu)簽發(fā)“認(rèn)證證書”（certificate），將某一公共鑰匙明白無誤地歸屬于某一特定身份，并根據(jù)詢問的層次，使用“識(shí)別”（identification）、“時(shí)間戮記”（time stamp）等方法來確認(rèn)證明對象的身份。認(rèn)證機(jī)構(gòu)同時(shí)也使用數(shù)字方法進(jìn)行簽證并提供“自我認(rèn)證”（self-certification）、“交叉認(rèn)證”（cross-certification）和“根認(rèn)證”( root CA)）等方式，幫助識(shí)別認(rèn)證機(jī)構(gòu)的身份和認(rèn)證證書的真實(shí)性。

　　電子簽名（尤其是數(shù)字簽名）的主要優(yōu)點(diǎn)是：首先，它能夠提供更大的安全性、可靠性和透明度，將欺詐、以被模仿為由逃避責(zé)任的風(fēng)險(xiǎn)降到最低的限度。數(shù)字簽名能滿足信息完整性的要求，防止未經(jīng)授權(quán)獲得數(shù)據(jù)，及時(shí)發(fā)現(xiàn)非法篡改信息的活動(dòng)從而減少以數(shù)據(jù)被改變?yōu)橛傻乃髻r。數(shù)字簽名在功能上與紙質(zhì)形式相同，以數(shù)字方式簽訂的電子合同也能滿足法律上的書面形式、簽名和文件原始性的要求。其次，電子簽名可以保證公共事務(wù)處理的安全性和透明度，提高數(shù)據(jù)處理速度，并可以進(jìn)行加工、儲(chǔ)存和傳送，保證行政程序的效率。

　　目前，國際上規(guī)制電子簽名的方案（initiatives）有三種主要模式：一是“最低要求方案”（Minalist Approach），也稱“技術(shù)非特定化方案”。它確立技術(shù)的“中立”(technology-neutral)地位，認(rèn)為電子簽名存在多種技術(shù)手段，應(yīng)由市場和消費(fèi)者去作出判斷和選擇，立法者只需要提出原則性要求，政府不應(yīng)對具體技術(shù)作出選擇。該方案具有示范性的是1996年聯(lián)合國貿(mào)易法委員會(huì)制定的《電子商務(wù)示范法》(UNCITRAL Model Law on Electronic Commerce)。二是“數(shù)字簽名方案”（The Digital Approach），也稱“技術(shù)特定化方案”。它確定以不對稱的加密技術(shù)為基礎(chǔ)的數(shù)字簽名作為合法的電子簽名技術(shù)，對認(rèn)證機(jī)構(gòu)提出了某些技術(shù)和財(cái)務(wù)的條件要求，規(guī)定鑰匙持有人的責(zé)任并明確了判別電子簽名可靠性的條件。美國律師協(xié)會(huì)1996年制定的《ABA數(shù)字簽名指南》（ABA-Digital Signature Guidelines）和歐盟制定的《歐洲電子簽名標(biāo)準(zhǔn)化行動(dòng)計(jì)劃》（EU-Wide satandardisation initiatives, EESSI），是采用這種方案的典型例子。三是“雙軌制方案”(Two-tier Approach)。它是一種“混合型”（hybrid）的折衷方案。它對各種電子認(rèn)證方法規(guī)定條件，賦予其最低限度的法律效力（“最低限度”），對某些廣泛使用的技術(shù)（即“數(shù)字簽名”）賦予較大的法律效力，以建立一套不受時(shí)間淘汰的規(guī)制體系。聯(lián)合國《電子簽名示范法》（UNCITRAL Model Law on Electronic Signatures）采用的是這種方案。上述三種方案中，源自于美國猶它州立法的“數(shù)字簽名方案”由于將數(shù)字簽名技術(shù)確定為電子簽名的技術(shù)基礎(chǔ)，從而限制了其它技術(shù)的發(fā)展，被認(rèn)為是過時(shí)的。