主题：【综述】电子签名

—、什么是电子签名？

《电子签名法》中明确规定：电子签名是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。而数据电文是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。

这部法律规定、可靠的电子签名与手写签名或者盖章具有同等的法律效力，届时消费者可用手写签名、公章的“电子版”、秘密代号、密码或指纹、声音、视网膜结构等安全地在网上“付钱”、“交易”及“转帐”。

二、《电子签名法》立法的目的。

《电子签名法》立法的直接目的是为了规范电子签名行为，确立电子签名的法律效力，维护各方合法权益；立法的最终目的是为了促进电子商务和电子政务的发展，增强交易的安全性。

三、电子签名法的主要内容。

《电子签名法》重点解决了五个方面的问题。一是确立了电子签名的法律效力；二是规范了电子签名的行为；三是明确了认证机构的法律地位及认证程序，并给认证机构设置了市场准入条件和行政许可的程序；四是规定了电子签名的安全保障措施；五是明确了认证机构行政许可的实施主体是国务院信息产业主管部门。

【电子签名】是现代认证技术的泛称，美国《统一电子交易法》规定，“电子签名”泛指“与电子记录相联的或在逻辑上相联的电子声音、符合或程序，而该电子声音、符合或程序是某人为签署电子记录的目的而签订或采用的”;联合国《电子商务示范法》中规定，电子签名是包含、附加在某一数据电文内，或逻辑上与某一数据电文相联系的电子形式的数据，它能被用来证实与此数据电文有关的签名人的身份，并表明该签名人认可该数据电文所载信息;欧盟的《电子签名指令》规定，“电子签名”泛指“与其他电子记录相连的或在逻辑上相连并以此作为认证方法的电子形式数据。”

从上述定义来看，凡是能在电子通讯中，起到证明当事人的身份、证明当事人对文件内容的认可的电子技术手段，都可被称为电子签名，电子签名即现代认证技术的一般性概念，它是电子商务安全的重要保障手段。

总之，所谓电子签名，是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。通俗点说，电子签名就是通过密码技术对电子文档的电子形式的签名，并非是书面签名的数字图像化，它类似于手写签名或印章，也可以说它就是电子印章。
要理解什么是电子签名，需要从传统手工签名或盖印章谈起。在传统商务交易中，为了保证交易的安全与真实，一份书面合同或公文需要由当事人或负责人签字或盖章，以便让交易双方识别是谁签的合同，并能保证签字或盖章的人认可合同的内容，在法律上才能承认这份合同是有效的。而在电子商务的虚拟世界中，合同或文件是以电子文件的形式表现和传递的，在电子文件上，传统的手写签名和盖章是无法进行的，这就必须依靠技术手段来替代。从法律上讲，签名有两个功能：即标识签名人和表示签名人对文件内容的认可。因此联合国贸发会的《电子签名示范法》中对电子签名作如下定义："指在数据电文中以电子形式所含、所附或在逻辑上与数据电文有联系的数据它可用于鉴别与数据电文相关的签名人和表明签名人认可数据电文所含信息。"；而在欧盟的《电子签名共同框架指令》中对电子签名的定义是："以电子形式所附或在逻辑上与其他电子数据相关的数据，作为一种判别的方法"。不同的法律对电子签名的定义可能有所不同,但其实质是一样的。因此，能够在电子文件中识别双方交易人的真实身份，保证交易的安全性和真实性以及不可抵赖性，起到与手写签名或者盖章同等作用的电子技术手段，即可称之为电子签名。

实现电子签名的技术手段目前有多种，比如基于公钥密码技术的数字签名；或用一个独一无二的以生物特征统计学为基础的识别标识，例如手印、声音印记或视网膜扫描的识别；手书签名和图章的电子图象的模式识别；表明身份的密码代号（对称算法）；基于量子力学的计算机等等。但比较成熟的，世界先进国家目前普遍使用的电子签名技术还是基于PKI的数字签名技术。由于制定法律的技术中立性原则，目前电子签名法中所提到的签名，一般指的就是"数字签名"。它是电子签名的一种特定形式。

　　所谓数字签名就是利用通过某种密码运算生成的一系列符号及代码组成电子密码进行"签名"，来代替书写签名或印章，对于这种电子式的签名在技术上还可进行算法验证，其验证的准确度是在物理世界中与手工签名和图章的验证是无法相比的。数字签名在ISO7498-2标准中定义为：附加在数据单元上的一些数据，或是对数据单元所作的密码变换，这种数据和变换允许数据单元的接收者用以确认数据单元来源和数据单元的完整性，并保护数据，防止被人（例如接收者）进行伪造。美国电子签名标准（DSS，FIPS186-2）对数字签名作了如下解释：利用一套规则和一个参数对数据计算所得的结果，用此结果能够确认签名者的身份和数据的完整性。根据这些定义，数字签名已成为目前电子商务、电子政务中应用最普遍、技术最成熟、可操作性最强的一种电子签名方法。它是采用了规范化的程序和科学化的方法，用于鉴定签名人的身份以及对一项电子数据内容的认可。它还能验证出文件的原文在传输过程中有无变动，确保传输数据的完整性、真实性和不可抵赖性。

电子签名案例：
美国总统克林顿2000年6月30日签署了一项法案，赋予网上签名与亲笔签名同等的法律效力。

　　克林顿当天在费城的国会大厅举行的简短的法案签字仪式上先按传统方式签署了自己的名字，之后，便率先使用了电子签名的方式。克林顿将一张写有其姓名编码的电子卡片插入计算机中，然后输入密码：他爱犬的名字“Buddy”。计算机屏幕很快就显示出一行字：“电子签名全球和全国商务法案现已成为法律。”克林顿随即向在场的观众宣布电子签名已经成功。

　　电子签名并非是书面签名的数字图像化。它其实是一种电子代码，利用它，收件人便能在网上轻松验证发件人的身份和签名。它还能验证出文件的原文在传输过程中有无变动。

　　如果有人想通过网络把一份重要文件发送给外地的人，收件人和发件人都需要首先向美政府指定的一个许可证授权机构（CA）申请一份电子许可证。这份加密的证书包括了申请者在网上的公共钥匙即“公共计算机密码”，用于文件验证。

　　在收到加密的电子文件后，收件人使用CA发布的公共钥匙把文件解密并阅读。

电子政务有望纳入电子签名法草案规范范畴
新华网北京2004年６月２１日电修改后的电子签名法草案扩大了法律适用范围，除电子商务外，也将电子政务等纳入了规范范畴。
    全国人大法律委员会副主任委员王以铭在向十届全国人大常委会第十次会议汇报电子签名法
草案修改情况时说，按照草案规定，制定本法的目的是为了保障电子商务交易安全、促进电子商务的发展。“商务活动中使用电子签名、数据电文的，适用本法。”对此，有些常委会委员和地方、部门认为本法的适用范围限于电子商务活动是适当的，并建议将本法的名称修改为商务电子签名法。有些常委会委员和地方、部门、专家则提出，本法的适用范围限于商务活动显得过窄，应包括所有使用电子签名的领域。法律委员会、法制工作委员会经同国务院法制办、国务院信息办、信息产业部共同研究认为，制定本法的主要目的是为了规范电子签名行为，确立电子签名的法律效力。目前，电子签名主要是在电子商务活动中使用的。随着信息化水平的不断提高，在政府部门实施一些经济、社会事务的管理中，也开始采用电子手段，如电子报关、电子报税、电子年检以及依据行政许可法规定采用数据电文方式提出行政许可申请等，这些也都涉及电子签名的法律效力问题，同样需要适用本法的有关规定，而不必再另行单独制定法律。
    王以铭说，基于这些情况，本法的适用范围应有一定的前瞻性和包容性，即主要适用于商务活动，但又不限于商务活动。同时，考虑到经济、社会等方面的行政管理活动中使用数据电文、电子签名的特殊情况，需要授权国务院依据本法制定政务活动和其他社会活动中使用电子签名、数据电文的具体办法。据此，法律委员会建议将草案修改为：“为了规范电子签名行为，确立电子签名的法律效力，维护有关各方的合法权益，制定本法。”并将草案第二条删去。同时，建议将相关条款修改为：“国务院或者国务院规定的部门可以依据本法制定政务活动和其他社会活动中使用电子签名、数据电文的具体办法。”
王以铭说，草案规定：“电子认证服务提供者应当妥善保存与认证相关的信息，信息保存期限至少为电子签名证书失效后２年。”有的常委会委员、地方、部门和专家提出，这一条对失效电子签名证书相关信息的保存期限规定过短，应适当延长。法律委员会赞成这一意见。经了解国外对这个问题的规定，有的规定为七年，有的规定为五年，有的规定为四年。借鉴国外做法，法律委员会经同国务院法制办、国务院信息办、信息产业部研究，建议将这一条规定的“二年”修改为“五年”。

反思电子签名法
作者：阿拉木斯  出处：www.chinaeclaw.com    时间：2005-8-10 14:48:00
自今年4月1日《中华人民共和国电子签名法》实施至今，已有三个多月的时间了，在这段时间里，作为我国第一部信息化法律的电子签名法在不断得到进一步宣传的同时，也在各个领域、不同层面切实地贯彻落实着——从网上支付、网上税收到网上医疗，电子签名作为一种安全保障措施、一套新的机制或新的规则，正在悄悄潜入我们的电子商务和电子政务，为我国的电子商务、电子政务注入新的活力。
    在今年5月中国电子商务协会政策法律委员会所做的一次调查中，我们惊喜地发现，目前我国选择网上支付的网民已经从原来的不足20%猛增到51%；而针对长期以来一直困扰广大网民的频频发生的真假网站事件，我们也注意到，已经开始有银行推出了专门用于浏览银行网页的电子签名，使电子签名的这一功能得以更充分的发挥1；还有，今年6月3日，我国首例依据电子签名法裁判的案例出现，北京海淀法院依据电子签名法中有关数据电文证据力的规定审结了一起以手机短信为主要证据的债务纠纷案2，认可了手机短信息的证据效力。

通过以上数据、事例或案例，我们确实可以感觉到，电子签名法正在慢慢走入我们的生活，无论是其关于数据电文的规定，还是它对于电子签名、电子认证的规范，都或多或少地正在成为网络服务提供者和普通网民的有力武器，成为法院裁判纠纷的依据。而随着我国电子商务、电子政务发展的深化，电子签名的作用必将得到更充分的发挥，有了电子签名法的电子商务、电子政务，也将走得更快、更稳。
在欣喜地看到电子签名法带来的积极作用的同时，我们也清楚地意识到，作为我国第一部信息化法律，同时也作为我国第一部与特定技术结合得如此紧密的法律，由其自身特性和所处行业特性所决定，必然会在贯彻实施中发现一些需要进一步解决的问题，因为在这部法律出台之前，我国电子签名应用领域的实践还不是很充分，甚至可以说，还没有真正开始。
    所以，正是在这样一个时间段，我们希望更多地展开对我国电子签名法的反思，反思的目的很明确，就是要使得我们的第一部信息化法律从法律本身到执行都更加科学、合理、严谨、有力！

第一，对技术中立原则的反思。技术中立、功能等同原则可以说是我国电子签名法中最重要的两个原则了，正是遵循着功能等同原则，即“功能等同则效力等同”的原则，我们赋予可靠电子签名于传统签名盖章同样的法律效力，并且划定了判断可靠电子签名的四个要件。既然我们赋予法律效力的对象是可靠电子签名而非某种特定技术形态的电子签名，就意味着我们承认的是某一类的只与特定性能有关而与特定技术无直接关系的电子签名，今后无论出现怎样的技术方案，只要是能够满足我国电子签名法所要求的四个要件的，就是我国法律所认可的、可靠的电子签名，就可以与传统签名盖章具有同等的法律效力4。这样，技术中立原则就得到了充分的体现，除可靠电子签名的结构设计外，我国电子签名法在一些表述方式上，如“电子签名制作数据”、“电子签名验证数据”等词语的运用，避开了诸如“私钥”、“公钥”等特定技术词语，也充分体现了技术中立的原则。
    但是问题并没有到此结束，在数字签名体系中，电子认证是必不可少的一环，作为第三方验证，其合法性、效力和操作程序等许多方面都需要得到法律的认可和规范。如果我们的电子签名法在赋予数据电文、电子签名应有的法律地位后就此打住，显然就对电子签名的具体运用起不到应有的指导和规范作用，电子签名法的意义也就会大打折扣。这样一来，在世界电子签名立法中，除了完全技术中立模式、技术特定模式之外，就有了第三种模式——技术中立原则下的折衷模式，即在确立了技术中立原则后再补充一部分关于电子认证的非技术中立的内容，以数字签名技术为核心对其具体运行模式从法律上予以肯定。该模式在新加坡电子交易法、联合国电子签名示范法和我国台湾的电子签名法中得到了认可和延伸，最后也成为我国电子签名法的重要原则之一。也就是说，在我国的电子签名法中，第十四条以后的条款已经脱离了原先设定的技术中立的模式，走上了技术特定化的道路，虽然我们在文字上找不到一句直接写数字签名的话，但这些内容却分明都是围绕数字签名设定的，判断的方法很简单，因为在电子签名中，真正需要第三方认证的，可能也就是数字签名了。
    所以，整体上看，我国的电子签名法通过既强调技术中立又突出特定技术方案的做法，很好地兼顾了中立性与可操作性，既照顾了面又突出了点，看起来近乎完美。但绝对完美的事情肯定是没有的，在一日千里的IT技术面前，任何与特定技术挂钩的法律规定都必然是有一定风险的，在电子签名领域，完全的技术中立自然不会有问题，但任何的技术特定化都意味着一定风险的存在，这里的风险主要是指技术更新带来法律的过时。而这样的风险在今年年初我国山东大学王小云教授在一定程度上破译数字签名的两个核心算法后，似乎变得离我们更近了，那些曾经被认为永远安全的算法似乎开始动摇，虽然这种动摇还只是停留在理论的层面，但IT技术的快速更新及攻防的此消彼长再一次迫使我们反思，在电子签名法的结构上，将电子签名与电子认证分开，将电子认证的内容另行规定或主要在法规中予以明确，也许会是一种更经得起考验的模式5。而这种模式在国际上并不是没有先例，联合国电子商务示范法、美国、澳大利亚、新西兰的电子签名法都是采取的这样一种模式，即完全技术中立的模式。

第二，对意思自治原则的反思。意思自治原则又是我国电子签名法的另一个重要原则，即当事人自己可以决定是否采用电子签名及采用什么样的电子签名。法律赋予了当事人很大的自主权，在短短三十六条的电子签名法中有五处提到了该原则，即第三条、第九条、第十一条、第十二条和第十三条，虽然该原则并非我国首创，但在一部法中如此大量地用到该原则，却是我们在以往其他国家的电子签名法中很少看到的。按照我们的理解，意思自治原则在世界电子商务立法中的普遍应用本身就意味着法律的强制力在这一应用特别灵活多样的领域的弱化，是法律与电子商务的大环境和发展趋势相适应的一种调整，具备相当的合理性。但具体到我国的这部电子签名法，如此大量地运用这一原则是否有矫枉过正的嫌疑还是值得商榷的，尤其是该法第十三条所明确的“当事人也可以选择使用符合其约定的可靠条件的电子签名”这样一种表述，由于其本身并不要求这种选择必须具备可靠电子签名的四个要件，我们认为这样可能会造成电子签名应用中的混乱，具体地说，就是可能会在判断究竟什么是可靠电子签名上造成没有一个统一的标准，这样并不利于保护当事人的合法权益。