摘要：電子商務己被認為是具有美好前景的全球數字經濟發展中的關鍵性因素。現在人們普遍認為，現有的法律框架尚不能有效地向人們提供一個可資信賴的、具有安全保障的在線商務環境。電子商務的安全問題一直是各個國家和各國際組織所關注的對象。本文從電子交易安全的中心環節－電子簽名出發，考察歐盟和美國所采取的立法措施及其為建立共同的電子認證法律平臺作出的努力，并根據歐盟與美國的經驗，提出了我國電子簽名立法中值得重視的幾個方面，以期對我國立法和實踐有所助益。

關鍵詞：網絡安全 電子簽名 數字簽名 歐盟電子簽名指令 美國電子簽名法案

　　一、電子簽名及其規制模式

　　電子簽名的定義，不同的國際組織和國家立法各不相同。但本質上說，電子簽名是“建立在計算機基礎上的個人身份”。電子簽名的形式很多，有“位圖簽名”、“生物簽名”（如虹膜掃描）和“數字簽名”等。其中的“數字簽名”，依賴于“不對稱的加密技術”(PKI)，使用兩把不同的、在數字上互有聯系的一組鑰匙（key pair），即“公共鑰匙”和“私人鑰匙”（the private and the public key），來創設數字簽名，對數據進行編碼、解碼和對簽名進行驗證。數字簽名可以較好地保證公開網絡上信息的安全性和保密性，保障數據的完整性并避免數據被非法篡改，是目前電子簽名中最為高級、且得到廣泛應用的電子簽名形式。

　　在電子商務中，交易的安全問題至關重要。由于交易從雙向轉為互聯網上的多向，而且大多數交易通常不存在前契約關系，相互間也沒有再次交易的可能，如何確認某一特定交易當事人的身份，防止拒絕承認提交、傳遞了交易信息、否認信息內容的完整性，便很重要。電子簽名的數字簽名具有“不得拒絕”的功能（non-repudiation），可以較好地解決這一問題。該功能通過“可信任的第三方”（TTPs），即“認證機構”(CAs)的認證來實現的。認證機構簽發“認證證書”（certificate），將某一公共鑰匙明白無誤地歸屬于某一特定身份，并根據詢問的層次，使用“識別”（identification）、“時間戮記”（time stamp）等方法來確認證明對象的身份。認證機構同時也使用數字方法進行簽證并提供“自我認證”（self-certification）、“交叉認證”（cross-certification）和“根認證”( root CA)）等方式，幫助識別認證機構的身份和認證證書的真實性。

　　電子簽名（尤其是數字簽名）的主要優點是：首先，它能夠提供更大的安全性、可靠性和透明度，將欺詐、以被模仿為由逃避責任的風險降到最低的限度。數字簽名能滿足信息完整性的要求，防止未經授權獲得數據，及時發現非法篡改信息的活動從而減少以數據被改變為由的索賠。數字簽名在功能上與紙質形式相同，以數字方式簽訂的電子合同也能滿足法律上的書面形式、簽名和文件原始性的要求。其次，電子簽名可以保證公共事務處理的安全性和透明度，提高數據處理速度，并可以進行加工、儲存和傳送，保證行政程序的效率。

　　目前，國際上規制電子簽名的方案（initiatives）有三種主要模式：一是“最低要求方案”（Minalist Approach），也稱“技術非特定化方案”。它確立技術的“中立”(technology-neutral)地位，認為電子簽名存在多種技術手段，應由市場和消費者去作出判斷和選擇，立法者只需要提出原則性要求，政府不應對具體技術作出選擇。該方案具有示范性的是1996年聯合國貿易法委員會制定的《電子商務示范法》(UNCITRAL Model Law on Electronic Commerce)。二是“數字簽名方案”（The Digital Approach），也稱“技術特定化方案”。它確定以不對稱的加密技術為基礎的數字簽名作為合法的電子簽名技術，對認證機構提出了某些技術和財務的條件要求，規定鑰匙持有人的責任并明確了判別電子簽名可靠性的條件。美國律師協會1996年制定的《ABA數字簽名指南》（ABA-Digital Signature Guidelines）和歐盟制定的《歐洲電子簽名標準化行動計劃》（EU-Wide satandardisation initiatives, EESSI），是采用這種方案的典型例子。三是“雙軌制方案”(Two-tier Approach)。它是一種“混合型”（hybrid）的折衷方案。它對各種電子認證方法規定條件，賦予其最低限度的法律效力（“最低限度”），對某些廣泛使用的技術（即“數字簽名”）賦予較大的法律效力，以建立一套不受時間淘汰的規制體系。聯合國《電子簽名示范法》（UNCITRAL Model Law on Electronic Signatures）采用的是這種方案。上述三種方案中，源自于美國猶它州立法的“數字簽名方案”由于將數字簽名技術確定為電子簽名的技術基礎，從而限制了其它技術的發展，被認為是過時的。