在传统商务交易中,为了保证交易的安全与真实,一份书面合同或公文需要由当事人或负责人签字或盖章,以便让交易双方识别是谁签的合同,并能保证签字或盖章的人认可合同的内容,在法律上才能承认这份合同是有效的。而在电子商务的虚拟世界中,合同或文件是以电子文件的形式表现和传递的,在电子文件上,传统的手写签名和盖章是无法进行的,这就必须依靠技术手段来替代。
1.电子签名的概念
电子签名是电子形式的数据,是与数据电文(电子文件、电子信息)相联系的用于识别签名人的身份和表明签名人认可该数据电文内容的数据。电子签名是基于国际PKI标准的网上身份认证系统,数字证书相当于网上的身份证,它以数字签名的方式通过第三方权威认证有效地进行网上身份认证,帮助各个主体识别对方身份和表明自身的身份,具有真实性和防抵赖功能。与物理身份证不同的是,数字证书还具有安全、保密、防篡改的特性,可对企业网上传输的信息进行有效保护和安全的传递。
实现电子签名的技术手段目前有多种,比如基于公钥密码技术的数字签名;或用一个独一无二的以生物特征统计学为基础的识别,例如手印、声音印记或视网膜扫描的识别;手书签名和图章的电子图像的模式识别;表明身份的密码代号(对称算法);基于量子力学的计算机等。但比较成熟的,世界先进国家目前普遍使用的电子签名技术还是基于KPI的数字签名技术。由于制定法律的技术中立性原则,目前电子签名法中所提到的签名,一般指的就是"数字签名".它是电子签名的一种特定形式。
所谓数字签名就是利用通过某种密码运算生成的一系列符号及代码组成电子密码进行"签名",来代替书写签名或印章,对于这种电子式的签名在技术上还可进行算法验证,其验证的准确度是在物理世界中与手工签名和图章的验证是无法相比的。
数字签名在ISO 7498-2标准中定义为:附加在数据单元上的一些数据,或是对数据单元所做的密码变换,这种数据和变换允许数据单元的接收者用以确认数据单元来源和数据单元的完整性,并保护数据,防止被人(例如接收者)进行伪造。
美国电子签名标准(DSS,FIPS186-2)对数字签名做了如下解释:利用一套规则和一个参数对数据计算所得的结果,用此结果能够确认签名者的身份和数据的完整性。
根据这些定义,数字签名已成为目前电子商务、电子政务中应用最普遍、技术最成熟、可操作性最强的一种电子签名方法。它是采用了规范化的程序和科学化的方法,用于鉴定签名人的身份以及对一项电子数据内容的认可。它还能验证出文件的原文在传输过程中有无变动,确保传输数据的完整性、真实性和不可抵赖性。
2.电子签名的认证
电子认证与电子签名一样都是电子商务活动中的安全保障机制。它是由特定的第三方机构提供的,对电子签名及其签名者的真实身份进行验证的服务。电子认证主要应用于电子交易的信用安全方面,以保障开放性网络环境中交易人身份的真实可靠。电子认证是确定某个人的身份信息或者是特定的信息在传输过程中未被修改或者替换。
(1)电子签名认证制度
在电子交易过程中,除了交易双方以电子签名的方式来识别彼此的身份和确保传输信息的完整性外,对电子签名本身的认证问题,并不能由交易各方自己完成,而是由一个具有权威性、可信赖性和公正性的第三方来完成,从而为电子交易建立一种有效、可靠的保护机制。此第三方被称为认证机构(Certificate Authority,CA)。认证机构提供电子交易过程中的认证服务,能签发数字证书并能确认用户的真实身份。同时,由于电子商务活动常常是跨国境的,因此交易各方当事人就需要有不同国家的认证机构对各自的身份进行认证,并向电子商务活动的相对方发放电子认证证书。在实践中,就需要各国相互承认对方国家认证机构发放的电子认证证书的效力,以保证电子商务活动的顺利进行。
认证机构在电子商务活动中既不向在线当事人出售任何商品,也不提供资金或劳动力资源,它所提供的服务只是一种无形的证书信息。这种数字证书包含一个公开密钥、交易相对人的姓名以及认证机构的电子签名、密钥的有效时间,发证机关的名称,证书的序列号等。在整个电子交易过程中,认证机构不仅要对进行电子交易的各方当事人负责,还要对整个电子商务的交易秩序负责,因此,它是一个十分重要的机构。
在认证机构的设立上,我们必须强调它应是一个独立的法律实体,即是说它能够以自己的名义提供服务,能够以自己的财产提供担保,同时能在法律规定的范围内独立承担相应的民事责任。认证机构在整个电子交易过程中必须保持中立,它一般不得直接和客户进行商业交易,也不能代表任何一方当事人的利益,而只能通过发布客观的交易信息促成当事人之间的交易。另外,电子认证机构不能以营利为目的,它应当是一种类似于承担社会服务功能的公共事业。
认证机构一般应承担以下义务:一、信息披露与通知义务。其根本目的就在于维护社会公共利益和保护信息弱势群体。二、安全义务。安全可信度是公众对认证机构的要求,认证机构应当采用能够满足条件的安全系统。三、保密义务。认证机构不得对外披露需要保密的信息。此外,认证机构还负有其他义务,如:举证义务,即交易当事人在使用证书过程中发生纠纷,认证机构可以根据交易双方或一方的要求,为其提供举证服务。
(2)电子签名认证证书
电子签名认证证书,是指可证实电子签名人与电子签名制作数据有联系的数据电文或者其他电子记录。
电子认证服务提供者签发的电子签名认证证书应当准确无误,并应当载明下列内容:
电子认证服务提供者名称;
证书持有人名称;
证书序列号;
证书有效期;
证书持有人的电子签名验证数据;
电子认证服务提供者的电子签名;
国务院信息产业主管部门规定的其他内容。