作者:陝西金镝律師事務所郭超群
一、電子簽名的效力我國在電子簽名的法律效力問題上,一是規定當事人約定使用電子簽名的文書,不得僅因為其采用電子簽名而否定其法律效力;二是規定可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力;三是規定當事人可以選擇使用符合其約定的可靠條件的電子簽名;四是以目前國際上比較公認的成熟技術為基礎,推薦一定的安全條件和标準,作為可靠的電子簽名的标準。
《中華人民共和國電子簽名法》第十四條,可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力。
新加坡《電子簽名法》規定,如果一項法律規則要求簽名,或規定某一文件未經簽名會産生特定的法律後果,則采用電子簽名的形式滿足該法律規則。
韓國電子署名法規定:與公認認證機關頒布的認證書所包含的電子署名檢證鍵一緻的電子署名生成鍵所生成的電子署名,可視為依法而定的署名或印章。
二、自建數字證書簽名與可靠電子簽名之間有什麼區别?自建的數字證書,技術上又叫自簽名,是用戶自行制作的符合技術條件的數字證書。用其對文檔簽名雖然也具備數據防篡功能,但由于證書頒發方非資質機構,不具有公信力。自簽名證書的主題字段可以被僞造或冒名,不具有可靠性。一般公司内部部門、小組為了節省開銷,制作自簽名證書替代内部審批用章,低成本實現内部監管,對自簽名數字證書的真實性審核也完全依靠部門内的管理員。而可靠的電子簽名的數字證書由符合法定特殊資質的第三方機構頒發,具有中立性,對外部交易第三人具有可信賴性。
三、電子簽章、電子圖章、電子印章、電子公章等有法律效力嗎?
電子圖章、電子印章、電子公章、電子簽章,并不是法律專業術語,其隻是一種商業俗稱。這些東西本質是什麼,要分情況具體判斷:一種是數字證書頒發機構為了便于可視化、打印,将數字證書與傳統的圖案結合,加蓋數字證書後會在文檔中出現圖章,實現提示的目的。這樣的電子簽名是否有效,與圖案無關,作出判斷要查看數字證書是否滿足可靠電子簽名的法定條件。另一種隻是一張純粹的插圖,比如将某人手寫簽名摳圖後插入文檔,文檔中并不存在符合電子簽名法的數字證書。由于插圖可以被僞造或電腦合成,且不具有防止電子文檔被篡改的功能,實質是一種裝飾,不具有法律上的等同實體公章或手寫簽名的效力。
四、如果數字證書 圖章滿足可靠電子簽名的法定條件,電子合同就有效嗎?不一定。滿足可靠電子簽名條件的數字證書 圖章,其效力隻是與手寫簽名效力等同。而簽名隻是合同形式要素之一,滿足這個單一要素并不必然代表合同就是有效的。合同是否有效,必須根據《合同法》第五十二條的規定進行審查,如果存在違反法律效力性規定的内容,例如存在《電子簽名法》第三條規定的不适用電子簽名的情形,那麼即使所用證書有效,合同也不會具有法律效力。合同隻有内容、形式同時滿足法律要求,才有效。數字證書的作用隻是替代手寫簽名,僅此而已。
商務部頒布的技術标準《電子合同在線訂立流程規範》規定,通過第三方(電子合同服務提供商)的電子合同訂立系統中訂立電子合同,才能保證其過程的公正性和結果的有效性。
第三方電子合同服務提供商是為電子合同提供身份認證、合同簽署、數據傳輸、存儲和管理的第三方技術服務公司。該服務商所提供的電子合同訂立系統是指具備締約人身份認證、合同電子簽名、合同存儲與調用等功能,以實現在線訂立電子合同及處理的信息系統。在電子締約關系中引入第三方的概念,從根本上解決大型交易平台既當“運動員”又當“裁判員”的問題,保證了整個締約過程及締約結果的公平公正,有效防止交易雙方因缺乏信任而對電子締約數據不予認可的發生。
五、簽名隻是電子簽名中的一種技術方案實現電子簽名的技術方案有多種形式,有的采用帶有傳感器的面闆和特殊的電子筆,記錄使用者簽字時的着力大小、不同筆畫的加速度、起筆落筆的間隔時間等,通過組合識别這些唯一特征從而鎖定使用者的真實身份。有的采用口令密碼、短信驗證碼,在特定時間範圍内輸入唯一編号,隻有對應主體才知曉密碼或接收到驗證碼,在窗口中輸入驗證碼完成對相關信息的确認,從而作出意思表示。有的采用人臉識别、指紋識别諸如此類的生物識别方法,而目前國際通用流行的是使用數字證書簽名,将口令密碼、短信驗證碼、人臉識别或指紋識别作為調用數字證書的保護性前置程序。
數字簽名技術通過一種數學運算,建立起唯一匹配的一對密鑰,即公鑰和私鑰。把公鑰與簽名人的信息作為驗證簽名人身份的中介,私鑰則是簽名制作數據,通過公鑰與私鑰的特性,建立起電子簽名人與電子簽名制作數據之間的聯系。記載了公鑰和簽名人(公鑰持有人)信息的數據電文,就是電子簽名認證證書。
《電子簽名法》第三十四條 本法中下列用語的含義:
(一)電子簽名人,是指持有電子簽名制作數據并以本人身份或者以其所代表的人的名義實施電子簽名的人;(U盾持有人)
(二)電子簽名依賴方,是指基于對電子簽名認證證書或者電子簽名的信賴從事有關活動的人;(合同對方)
(三)電子簽名認證證書,是指可證實電子簽名人與電子簽名制作數據有聯系的數據電文或者其他電子記錄;(嵌有電子簽名的合同)
(四)電子簽名制作數據,是指在電子簽名過程中使用的,将電子簽名與電子簽名人可靠地聯系起來的字符、編碼等數據;(數字證書私鑰,U盾——名章)
(五)電子簽名驗證數據,是指用于驗證電子簽名的數據,包括代碼、口令、算法或者公鑰等。(數字證書公鑰,文檔上的電子封條——印鑒)
有些複雜,打個比方吧。
數字證書頒發機構相當于一個刻章公司,通過對用戶實名認證後頒發數字證書,就相當于刻制了一枚個人名章。因采用加密算法,“名章”和簽名後的“印鑒”都無法被僞造。證書持有人在電子文檔上簽名,其數字證書私鑰與文檔信息計算後得出的唯一公鑰(印鑒)會被嵌入文檔,用以證明其身份,并且表明簽名的這個人已經對電子文檔所記載的内容進行了确認。
六、經數字簽名的文件可否作為證據?有數字簽名的文件可以作為證據,但作為認定事實的根據還需要滿足證據的三個屬性。裁判活動中,不得僅僅以所提供的證據是數據電文為由而否定其證據地位。但這并不意味着,在具體的個案中,以數據電文形式提出的證據就是認定事實的根據。要作為認定事實的根據,必須具有三個特性:客觀性、與待證事實的關聯性、合法性。
(一)客觀性,包括兩個方面的含義,一是證據必須有客觀的存在形式;二是證據的内容必須具有客觀性,即必須是對客觀事物的反映,而不是主觀臆斷和猜測。關于客觀的存在形态,數據電文是以一種電子形式存在的數據,保存在一定的介質之上,可以借助于一定的工具和設備使得人們能夠感知。因此,經過數字簽名的文檔也自然具備客觀性。
(二)關聯性,是指作為證據的一切材料必須與具體案件中的待證事實之間有内在的、客觀的聯系,即能夠全部或者部分地證明案件的有關事實存在或不存在。數據電文與待證事實之間有無關聯性,需要在具體個案中加以判斷。
(三)合法性,是指證據必須依法加以收集和運用。包括收集、運用證據的主體要合法,證據的來源要合法,證據必須具有合法的形式,必須經法定程序查證屬實。證據的合法性是證據客觀性和關聯性的重要保證,也是證據具有法律效力的重要條件。
公安部《公安機關辦理刑事案件程序規定》第215條規定:"扣押犯罪嫌疑人的郵件、電子郵件、電報,應當經縣級以上公安機關負責人批準,簽發扣押通知書,通知郵電部門或者網絡服務單位檢交扣押。"第217條規定:"對于扣押的物品、文件、郵件、電子郵件、電報,應當指派專人妥善保管,不得使用、調換、損毀或者自行處理。……"這是體現了證據收集程序的合法性。雖然這裡所舉的是刑事訴訟中的例子,但證據應當具有合法性這一基本要求卻是普遍的。如果提出數據電文作為證據的一方同時能證明其上述三種屬性,那麼裁判者就可以将其作為認定事實的根據。
七、電子簽名人惡意使用的法律後果依照《電子簽名法》規定,電子簽名人向電子認證服務提供者申請電子簽名認證證書,應當提供真實、完整和準确的信息。電子簽名人由于提供的信息不真實、不完整、不準确,給電子簽名活動的其他各方當事人造成損失的,應承擔賠償責任。舉個例子,對一份電子合同申請電子認證,向CFCA(電子認證服務提供者)所提供的材料要真實、完整、準确。
《電子簽名法》第二十七條規定,電子簽名人知悉電子簽名制作數據已經失密或者可能已經失密未及時告知有關各方、并終止使用電子簽名制作數據,未向電子認證服務提供者提供真實、完整和準确的信息,或者有其他過錯,給電子簽名依賴方、電子認證服務提供者造成損失的,承擔賠償責任。《電子商務法》、聯合國貿法會電子簽名示範法對電子簽名人也作出了類似的規定。
舉個例子,小明從CFCA購買了簽名U盾,将密碼告訴了熟人并将U盾出借,沒有及時向CFCA辦理吊銷、賬戶凍結等手續,熟人如果在小明不知情情況下簽署了買賣合同,小明将為此承擔相關後果。《電子簽名法》對電子簽名人承擔民事責任實行的是過錯責任原則。如果電子簽名人主觀上沒有過錯,則不承擔賠償責任。
“電子簽名制作數據”指的就是數字證書中的私鑰,例如銀行U盾。銀行U盾芯片硬件具有特殊設計,固化寫入芯片的信息(私鑰)無法導出,無法複制,無法僞造。但如果持有人将密碼故意洩露,造成他人使用私鑰簽署文件,那麼持有人應當為其過錯承擔責任。如果私鑰密碼不小心洩露,應當及時向CA機構辦理證書吊銷,即履行法律規定的失密後及時告知有關各方的義務。
八、盜用他人數字證書的法律後果《電子簽名法》第三十二條規定,僞造、冒用、盜用他人的電子簽名,構成犯罪的,依法追究刑事責任;給他人造成損失的,依法承擔民事責任。
該規定所講的僞造他人的電子簽名,是指未經電子簽名合法持有人的授權,而創制電子簽名,或者創制一個認證證書列明,但實際并不存在用戶的簽名等。冒用他人的電子簽名,是指非電子簽名持有人未經電子簽名人的授權,以電子簽名人的名義實施電子簽名的行為。盜用他人的電子簽名,是指秘密竊取并使用他人電子簽名的行為。觸犯該條規定的犯罪,主要是指構成刑法第二百八十條關于妨害國家機關公文、證件、印章的犯罪,僞造公司、企業、事業單位、人民團體印章的犯罪。行為人在實施僞造電子簽名等違法行為過程中,也可能涉嫌利用計算機實施金融詐騙等的犯罪,對于構成詐騙罪的,依照刑法規定追究其詐騙罪的刑事責任。這樣,除了在技術上保證數字證書難以被僞造外,在法律制度上也提供強制力予以保護,對僞造、冒用、盜用數字證書的行為予以制裁。
九、數字證書過期後的簽名效力?數字證書都是有有效期的,當PDF閱讀器/微軟Office驗證數字證書時,會檢索證書吊銷列表以檢查當前數字證書的吊銷狀态是否是“已吊銷”,而一旦證書過期,CA就不負責維護該證書的吊銷狀态,這時,曾經在證書有效期内簽署的文件也會被軟件提示無法驗證簽名。如果簽名人在證書過期後抵賴此前的簽名的效力,該如何處理?
在技術上,可以在簽名時嵌入可信時間戳,形成長效數字簽名(Adobe将其稱為長期簽名LTV)。證書的有效期往往隻有1年,如果沒有嵌入可信時間戳,在證書過期後,PDF閱讀器/微軟Office會因無法自動驗證簽名而發出錯誤警告。可信時間戳也是一種數字證書,它的有效期往往很長,隻是它隻用來證明文件簽署時間,并不證明簽署人的身份。所以,數字證書搭配可信時間戳使用,在數字證書過期、仍處于可信時間戳證書有效期内的長效數字簽名,可信時間戳可以證明簽署的時間就是在數字證書有效期内,這樣即便簽名證書過期,PDF閱讀器/微軟Office仍可以自動驗證簽名的有效性,提高交易安全。
如果沒有嵌入可信時間戳呢?
這就造成無法簡單地依據中立第三方安全軟件對數字簽名有效性作出判斷。對于數字證書的簽名時間、簽名人、要詳細查看該證書詳情,并結合其他證據确認該文件真實生成的時間。諸如查看該文件的郵箱發送時間、網盤上傳時間等。我國《電子簽名法》第二十四條規定,電子認證服務提供者應當妥善保存與認證相關的信息,信息保存期限至少為電子簽名認證證書失效後五年。對于數字證書的真僞性,可以通過調取CA機構的後台信息予以核驗。但在實踐中,這種方式并不便利,因此為了防止糾紛的産生,建議在簽名時就嵌入可信時間戳,将簽名者身份及簽署時間一并固化在文檔中。
十、實際用途超出證書密鑰用途的法律效力如圖所示,生産商為這個數字證書僅設置了兩個密鑰用途:1.客戶端身份認證。2.安全電子郵件。也就是說,該數字證書在技術上可以進行軟件客戶端登陸的身份鑒權,發送加密的且含有電子簽名的電子郵件。但生産商沒有賦予其簽署PDF文檔的功能。
該銀行U盾不具有簽署PDF的技術适用範圍
那麼,如果用這個數字證書簽署了PDF文檔,會産生什麼不利的法律後果?數字證書會不會因缺少特定技術功能,導緻PDF簽名無法律效力,進而導緻合同不具有效力?
這個需要查看頒發該數字證書的電子認證機構(CA)的電子認證業務規則(CPS),大多數CA的電子認證業務規則都明确禁止訂戶超越其證書密鑰用途範圍。但超越密鑰用途範圍法律後果,并不是所有CA都在其規則中有明确規定,這也就産生了法律上的争議。
這裡舉個相反的例子予以說明。
深圳市工商電子化登記所采用的私鑰并不是生産商專門設計的簽名證書,而是采用了若幹家主流銀行的U盾。用戶不需要額外購買證書硬件産品,利用手頭持有的銀行U盾就可以在線完成身份認證,加快工商電子化登記的推廣。但是,銀行U盾芯片中寫入的數字證書用途是完成銀行交易數據的簽名,而深圳工商局卻将其作為客戶端鑒權使用,顯然超出了U盾設計的技術使用範圍。
之所以使用U盾仍然可以完成工商登記,是由于深圳市工商局作為國家機關,在其研發的系統中,用戶注冊後必須上傳身份證将U盾綁定,用戶使用該U盾在系統中簽署文件,就視為用戶在櫃台提交了身份證及簽字的申請表格。對用戶身份的核實,深圳市工商局承擔着擔保責任,對于申請表格的簽字,則借用了銀行U盾本身作為數字證書,可以用來簽署數據并防止數據被篡改的技術功能。但這個例子比較特殊,U盾本身雖不具備某一密鑰用途,但國家機關通過特定系統,承認數字證書進行某個技術用途操作後的後果。
再比如,代碼簽名證書是否可以用于其他用途?
Adobe官網從技術角度給出了解釋:不能。所有數字證書都攜帶限制其使用範圍的标記。諸如代碼簽名證書隻能用于對程序進行數字簽名,無法用于加密數據,無法對文檔或電子郵件進行簽名,或執行除對程序簽名之外的其他操作,否則将産生技術兼容性問題。當然,這是生産商的一種商業限制策略,用戶購買數字證書後,隻有付費才能開通相關的功能,否則隻能得到用途受到限制的證書。如果将證書用于非密鑰用途,比如将電子郵件簽名證書用于簽署PDF文檔,就會産生一些技術兼容性問題,比如PDF閱讀器将不會自動驗證,并發出證書不可信的警告信息。此時就無法通過軟件對電子簽名的效力作出簡單直觀地判斷,雙方如果就此發生争議,則隻能通過司法訴訟程序讓法院作出了斷。
那普通公民用銀行U盾簽署了合同,該簽名是否具有法律效力呢?如果真的鬧到那一步,法院該如何認定這類簽名的效力呢?我們還是回到法律定義中。
《電子簽名法》第十三條規定,電子簽名同時符合下列條件的,視為可靠的電子簽名:(一)電子簽名制作數據用于電子簽名時,屬于電子簽名人專有;(二)簽署時電子簽名制作數據僅由電子簽名人控制;(三)簽署後對電子簽名的任何改動能夠被發現;(四)簽署後對數據電文内容和形式的任何改動能夠被發現。當事人也可以選擇使用符合其約定的可靠條件的電子簽名。
第一,電子簽名制作數據(私鑰)屬于簽名人專有,銀行U盾或類似的數字證書都是經過實名認證後由CA頒發的,用戶在銀行櫃台開通賬戶、簽署協議、提交身份證、人像采集、預留手機号、設置U盾密碼等一系列措施,銀行都能将數字證書與用戶實體身份關聯起來,數字證書是用戶專有的。
第二,用戶設置了唯一的密碼,隻有輸入正确密碼并按下物理按鈕才能完成簽名,密碼錯誤3次就會被芯片鎖死而必須到銀行櫃台解鎖。即便密碼洩露,黑客遠程控制電腦也無法按下物理按鈕,縱使能僞造交易調動U盾進入簽名界面也無法完成後續操作,因此數字證書被病毒、黑客盜用的概率極小,電子簽名制作數據是被簽名人完全控制的。
第三,銀行U盾作為數字證書,本身就具有防止自身、所簽署的數據被篡改的功能,用于其他格式類型數據的簽署,仍然具備這種功能。銀行U盾簽署PDF文件後,PDF閱讀器雖無法識别出主體身份,但仍能提示簽名及文檔是否被篡改,文檔及簽名任何改動都能夠被非常直觀地發現。
(上圖,銀行U盾在證書有效期内簽署Word,證書有效期内Word提示)
(上圖,銀行U盾在證書有效期内簽署PDF,在證書有效期内PDF閱讀器提示)
(上圖,銀行U盾在證書有效期内簽署PDF,在證書過期後PDF閱讀器提示)
綜上,數字證書隻要滿足法律規定,即使超出了密鑰用途範圍,所進行的簽名仍然應當受到法律的保護。如果當事人共同約定并認可銀行U盾可以作為電子簽名證書使用,那麼使用U盾簽署的合同文件就對雙方具有拘束力,締約各方不得對其簽名抵賴。
由于U盾不滿足Adobe指定的PDF驗簽全部技術标準,也就産生了技術兼容性問題:在PDF閱讀器上無法直接通過驗證來獲知簽名者的身份,隻能看到證書唯一編号。而這個編号和實體身份的關聯,隻能去向銀行了解。在實踐中,這也并不複雜,銀行在為用戶開通U盾時會讓用戶簽署協議,協議中就載明着U盾的設備唯一編号,用戶隻需在法庭上出示該協議即可。即便用戶丢失了協議,在法庭上用相應設備編号的U盾再此簽署一份文件,比對這份文件上的簽名證書編号和涉案争議文件中的證書編号是否一緻即可。合同一方可以通過這兩種方式來證明電子簽名确實是其本人作出。但如果合同一方抵賴,另一方該怎麼辦?
正是由于銀行U盾和PDF專用簽名證書相比,缺乏PDF文件簽署之密鑰用途才造成此種舉證麻煩,但是并不能因此而否認此類簽名的法律效力。法院可以依職權向銀行調查取證,獲取抵賴一方在銀行申領U盾時簽署的協議,就能解決其否認證書與其身份具有關聯性的問題。
數字證書的形态五花八門,無法一一列舉,以上隻是以銀行U盾為例。無論何種類型的數字證書,隻要其滿足《電子簽名法》第十三條的規定,用其作出的簽名就有法律效力。
十一、有數字簽名的文檔複制件能視為原件嗎?能。《電子簽名法》第五條規定,符合下列條件的數據電文,視為滿足法律、法規規定的原件形式要求:(一)能夠有效地表現所載内容并可供随時調取查用;(二)能夠可靠地保證自最終形成時起,内容保持完整、未被更改。但是,在數據電文上增加背書以及數據交換、儲存和顯示過程中發生的形式變化不影響數據電文的完整性。
原件形式要求主要是在訴訟法中提出的。根據證據法理學“最佳證明規則”,原件比複制件具有更高的證明力。
《民事訴訟法》第六十八條規定:"書證應當提交原件。物證應當提交原物。提交原件或者原物确有困難的,可以提交複制品、照片、副本、節錄本。"
此外,“原件”還與物權憑證、流通票據有關,原件“獨一無二”的概念對此類單據有着非常重要的意義。涉及"原件"要求的文件還有:貿易文件,如重量證書、農産品證書、質量或數量證書、檢查報告、保險證書等。“原件”這個形式要求,已經成為電子商務的一個主要障礙。
通常意義上的"原件"是指信息首次固定的媒介物。按這個标準來界定"原件",在信息技術領域,幾乎說不上哪個數據是"原件"。不同電腦、手機存儲、傳輸同一張照片後,都能完整地還原呈現出照片内容,在桌面上複制粘貼同一個Word文件,兩份文稿内容也是一模一樣的,這是信息技術的兼容性所決定的。互相兼容、數據完整地保存傳輸是信息技術發展的基石,然而按照傳統的紙質媒介證據觀念,似乎隻有首次寫入數據的磁盤才是原件,數據電文的收件人所收到的總是"原件"的拷貝,如果要調查取證,則必須獲取到最初的那塊磁盤,這顯然與社會發展不符,也與遠程數據傳輸的信息技術理念完全相悖。
紙質文件以"原件"形式傳遞,能更有效地保證信息的完整性,使其他當事人對其内容具有信心。因為使用紙張時,要求原件形式可以減少信息内容被改動的可能。以同樣的功能來審視,如果數據電文能保證同等程度的完整性,并能夠有效地表現所載内容并可供随時調取查用,那就可以認為該數據電文滿足法律、法規規定的原件形式要求。顯然,數字證書技術作用之一就是防篡,不僅可以防止簽名本身被篡改,還可以防止所簽署的文件被篡改,因此加蓋有可靠數字證書的電子文檔的複件可被視為“原件”。
《最高人民法院關于民事訴訟證據的若幹規定》法釋[2019]19号,第十五條 當事人以視聽資料作為證據的,應當提供存儲該視聽資料的原始載體。
當事人以電子數據作為證據的,應當提供原件。電子數據的制作者制作的與原件一緻的副本,或者直接來源于電子數據的打印件或其他可以顯示、識别的輸出介質,視為電子數據的原件。
可以看出,經過電子簽名的文件,在電腦上複制到桌面、複制到U盤,直接打印出來,雖然信息其載體不同,但都屬于“原件”。
《最高人民法院關于民事訴訟證據的若幹規定》法釋[2019]19号,第九十四條 電子數據存在下列情形的,人民法院可以确認其真實性,但有足以反駁的相反證據的除外:(二)由記錄和保存電子數據的中立第三方平台提供或者确認的;
該規定對通過中立第三方平台保全電子數據的方式予以了認可。電子合同、電子數據上傳保存在第三方電子數據保全平台,平台會提供一份存儲回執,證明何種數據于何時在平台上進行了電子保全。這些保存在中立第三方平台的數據,如果沒有足以證明其遭受到篡改的證據,則應當認定其具有真實性。
十二、數字簽名的認證合同發生糾紛,經典質問,這是不是你的字,這是不是你的手印。這種情況下,往往需要司法鑒定機構進行筆迹鑒定和指紋鑒定,來确定合同上留下的字迹、指紋與實體身份同一。在電子合同中,也存在這樣的問題,這是不是你的數字證書,是不是你本人簽署的,同樣可以進行鑒定。無論是紙質簽字還是電子簽名,發生糾紛,都可以通過司法程序将事實查清。
(一)電子認證
數字簽名主要用于數據電文本身的安全,使之不被否認或者篡改,是一種技術手段上的保證,而電子認證是以特定的機構對電子簽名及其簽署者的真實性進行驗證,是一種制度上的保證,确保交易安全。
1、境内認證服務提供方
有資質的CA大多也具有電子認證資格。但電子合同平台就不一定了,他們大部分是從CA購買證書然後頒發給用戶,和CA相比技術能力和資産能力較弱。用戶無論是從CA直接購買數字證書,還是在電子合同平台上完成的合同簽署,都可以将電子合同提交到具有電子認證資質的機構進行驗證,從而确認簽名者的主體身份及簽名的有效性。
2、境外認證服務提供方
《電子簽名法》第二十六條規定,經國務院信息産業主管部門根據有關協議或者對等原則核準後,中華人民共和國境外的電子認證服務提供者在境外簽發的電子簽名認證證書與依照《電子簽名法》設立的電子認證服務提供者簽發的電子簽名認證證書具有同等的法律效力。
在跨國境的電子商務中,最重要一個環節是對處于不同司法管轄範圍内的交易人的身份進行認證。這就要涉及到電子簽名證書的跨境認證。
3、實現跨境認證有幾種方式
(1)境外的認證機構取得境内資質,在境内、外提供服務。
(2)境内的認證機構出境,取得境外資質,在境内、外提供服務。
(3)不同司法管轄範圍内的認證機構達成互認協議。即兩國機構僅取得本國資質,通過兩國間的協議互認。
第一、二種方式,都是服務貿易的延伸。一旦境内的認證機構出境或境外的認證機構入境,隻要取得該國的相關資質,都可以被視為該國本地的認證機構,都應當受到本地法律的管轄。境外的電子認證服務者是指不受本地法律管轄的電子認證服務提供者。在認證過程中出現争議時,會涉及到兩種法律體系和兩種司法制度協調。因此,不同國别的電子認證服務的相互認證必須由兩國政府根據國際法原則協商确定解決。
《電子商務法》第七十三條 國家推動建立與不同國家、地區之間跨境電子商務的交流合作,參與電子商務國際規則的制定,促進電子簽名、電子身份等國際互認。
國家推動建立與不同國家、地區之間的跨境電子商務争議解決機制。
《網絡安全法》第二十四條 國家實施網絡可信身份戰略,支持研究開發安全、方便的電子身份認證技術,推動不同電子身份認證之間的互認。
(二)司法鑒定機構
電子認證機構由于大多數既是證書頒發者又是鑒定者,既當運動員又當裁判員,在理論上一直被學者認為缺乏中立性。20多年過去了,本領域的司法鑒定機構從無到有,已經能夠勝任電子簽名鑒定業務,因此如果對電子簽名發生争議,也可以請求具有相關資質的司法鑒定機構進行鑒定。
(三)安全通用的軟件
1、數字證書頒發機構都會提供自家産品的驗證渠道,雙方書面約定使用相同廠商數字證書或電子合同平台,驗證渠道也就相同,避免了一方否認其簽名真實性的問題。
2、為了促進和鼓勵不同數字證書生産廠商之間的互認,網絡巨頭們也提供了解決方案,比如微軟、谷歌、Adobe,利用自身産品在世界市場占有率的優勢,提出了互認标準,滿足這些技術要求的,操作系統或者軟件就會自動予以驗證并可視化顯示,消除交易雙方的信任危機,避免發生争議從而必須經過司法程序予以解決,以最小的代價維護交易安全,确保交易的順利完成。
用戶隻需用PDF閱讀器或者微軟Office聯網打開查看軟件提示就可知道簽名真僞,無需像實體印章、指紋一樣必須尋找鑒定機構。
十三、如何判斷PDF數字簽名是否可信?如果數字證書頒發機構(CA)加入了Adobe Approved Trust List,則其數字簽名會被Acrobat閱讀器自動驗證,詳見 Adobe官方指引。如果閱讀器Acrobat不是最新版本,可以點擊編輯—首選項—信任管理器—自動“Adobe Approved Trust List(AATL)”更新——立即更新,點擊後手動更新可信根列表到最新狀态,重新打開PDF文件即可驗證簽名有效性。
如果數字證書頒發機構(CA)非Adobe Approved Trust List成員,則在Acrobat軟件上無法自動互認。可通過頒發機構(廠商)提供的渠道驗證。
十四、電子合同技術标準有哪些?随着電子商務的蓬勃發展,電子合同不斷普及,其發展經曆了從無到有、從有到全、從全到精的過程。随着《電子簽名法》頒布和實施,明确了數據電文、電子簽名與認證以及其法律責任三方面的内容,是我國電子商務立法中的一座裡程碑。
同時《電子合同在線訂立流程規範》的實施,系統完整的對電子合同的定義、電子合同的訂立手段、訂立方法、訂立存儲管理、電子合同服務商的運營等各個方面提出了明确的要求,從本質上解決了電子商務最後的攔路虎。
目前,國内對于電子合同取證提供服務的廠商可以分為兩大類,一類是擁有資質的電子認證機構,在提供電子簽名服務的同時,提供取證服務;一類是第三方簽約平台,在線提供相應的證據保全、取證等服務。在取證應用不斷增大的同時,方式、方法和結論輸出也多不相同,缺乏統一的标準和規範,這方面的研究還需要繼續深入。
全國人大:《中華人民共和國合同法》(1999)
全國人大:《中華人民共和國電子簽名法》(2004)
商務部:《商務部關于網上交易的指導意見(暫行) 》(2007)
國家工商行政管理總局:《網絡商品交易及有關服務行為管理暫行辦法(2010)
商務部:《電子商務第三方交易平台服務規範》(2011)
國家标準:《時間戳标準》(GB/T 20520 – 2006)
國家标準:《電子商務模式标準》(SB/T10518-2009)
國家标準:《網絡交易服務标準》(SB/T10519-2009)
國家标準:《大宗商品電子交易标準》(GB/T18769-2003)
國家标準:《電子商務協議》(GB/T19252-2003)
工業和信息化部:《電子認證服務管理辦法》(2009)
工業和信息化部:《互聯網信息服務管理辦法》(2000)
公安部等:《信息安全等級保護管理辦法》(2007)
國密局:《電子認證服務密碼管理辦法》(2009)
國密局:《證書認證系統密碼及其相關安全技術規範》(GB/T 25056-2010)
商務部:《電子合同在線流程規範》(2013)
,更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!