解读《电子签名法》.ppt

电子签名法解读,2004年8月28日，十届全国人大常委会第十一次会议表决通过了电子签名法。这部法律规定，可靠的电子签名与手写签名或者盖章具有同等的法律效力。电子签名法的通过，标志着我国首部“真正意义上的信息化法律”正式诞生。这部法律已于2005年4月1日起施行，专家认为，它将对我国电子商务、电子政务的发展起到极其重要的促进作用。,1.漫长的出台历程,电子商务进入新世纪后发展极为迅猛，电子签名作为识别电子商务交易主体身份的常用手段，已在实践中为交易各方普遍接受和认同。但是，什么样的签名才是合法的、有效的？电子签名各方当事人的权利、义务又该如何界定？我国法律在这些方面却是一片空白。,于是，1999年，我国修改后的合同法承认了数据电文，包括传真、电子邮件的法律效力。但是当纠纷发生时，法院仍无法将这些传真、电子邮件采纳为证据，数据电文合同的双方因而承担着巨大的法律风险。,2002年，国务院信息办委托有关单位起草了中华人民共和国电子签章条例，最初的定位是行政法规。因为当时要求尽快出台有关法律法规的呼声比较高，而立法程序比较复杂，因此计划先制定一部行政法规，并争取列入下一届人大（十届人大）的立法规划，在条例颁布并执行两三年后提交人大立法。,但是2002年10月，国信办将条例提交国务院法制办审查后，国务院法制办认为还是应该上升到法律，又认为数字签章是一种技术限定，可能会阻碍新技术的发展，于是在较大幅度的修改后，形成了中华人民共和国电子签名法（草案）。,2004年3月24日，中华人民共和国电子签名法（草案）（以下简称电子签名法）在国务院常务会议上讨论并原则通过。会议认为，为了适应电子商务、电子政务发展的需要，保障电子商务交易安全，维护有关各方的合法权益，制定电子签名法是十分必要的。同时会议决定，中华人民共和国电子签名法（草案）经进一步修改后，于2004年4月2日由国务院提请全国人大常委会审议。至此，这个被业界人士看做是“中国首部真正意义上的信息化法律”终于踏出了重要的一步。,2.电子签名法的基本内容,这部历时3年多才面世的电子签名法，全文约4500字，共五章36条，分为总则、数据电文、电子签名与认证、法律责任、附则。,“总则”对电子签章法的立法目的、适用范围和电子签章、数据电文的概念给予了明确定义，此外，给予了消费者选择使用或不使用电子签章的权利：“数据电文”一章主要规定数据电文的书面形式效力、原件效力、保存要求、证据效力等：“电子签章”明确了安全电子签章的效力，安全电子签章的条件，第三方认证机构的设立条件，行为规范和管理机关。,电子签名法重点解决的问题,(一)确立了电子签名的法律效力(二)规范了电子签名行为(三)明确了认证机构的法律地位及认证程序(四)规定了电子签名的安全保障措施(五)明确了电子认证服务行政许可的实施机关。,重要概念介绍,一、什么是电子签名？电子签名是伴随着信息网络技术的发展而出现的一种安全保障技术，目的就是通过技术手段实现传统的纸面签字或者盖章的功能，以确认交易当事人的真实身份，保证交易的安全性、真实性和不可抵赖性。从广义上讲，在不使用纸张的电子交易环境中，所有通过技术手段生成的，可以代替传统纸面签字或盖章的符号、代码、标识等都可以称为电子签名。根据电子签名法的规定，电子签名是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。与手写签名或者盖章一样，电子签名有两个基本功能：一是用于识别签名人的身份，二是表明签名人对文件内容的认可。,电子签名制作数据和电子签名验证数据是与电子签名有着密切联系的两个概念。电子签名制作数据，就是用于生成电子签名并将电子签名与电子签名人可靠地联系起来的字符、编码等数据。电子签名验证数据，就是用于验证电子签名的数据，包括代码、口令、算法或者公钥等。,二、什么是可靠的电子签名？,电子签名法规定，可靠的电子签名与手写签名或者盖章具有同等的法律效力，那么什么是可靠的电子签名呢？根据电子签名法的规定，同时符合下列四个条件的电子签名视为可靠的电子签名：（1）电子签名制作数据用于电子签名时，属于电子签名人专有；（2）签署时电子签名制作数据仅由电子签名人控制；（3）签署后对电子签名的任何改动能够被发现；（4）签署后对数据电文内容和形式的任何改动能够被发现。此外，根据电子签名法的规定，当事人也可以选择使用符合其约定的可靠条件的电子签名。,可靠电子签名的四个条件可以概括为“四性”：（1）电子签名制作数据的专有性/唯一性；（2）电子签名制作数据的保密性；（3）电子签名的防篡改性；（4）数据电文的防篡改性。,三、什么是电子签名认证证书？,电子签名认证证书是指可证实电子签名人与电子签名制作数据有联系的数据电文或者其他电子记录。在现实社会中，我们每个人都持有一个自己的居民身份证，这是现实社会中确认我们身份的法定证件。但在网络环境中，交易各方互不谋面，无法通过居民身份证来确认相互的身份，必须通过技术手段实现网上的身份认证，电子签名认证证书作为网上身份证便应运而生。,根据电子签名法的规定，电子签名认证证书应包括下列内容：（1）证书签发者名称；（2）证书持有人名称；（3）证书序列号；（4）证书有效期；（5）证书持有人的电子签名验证数据；（6）证书签发者的电子签名；（7）国务院信息产业主管部门规定的其他内容。可以说，证书持有人的电子签名验证数据是电子签名认证证书中最为重要的一项内容，这就类似于居民身份证上的照片，通过它就可以把电子签名和电子签名人可靠地联系起来。,四、什么是电子签名认证服务提供者？,现实社会中用于确认身份的居民身份证是由公安机关签发的，公安机关是大家都信得过的一个权威机构。网络环境中，也需要有一个大家都信任的权威机构来签发电子签名认证证书，这个权威机构就是电子签名法中所说的电子签名认证服务提供者，其主要作用就是根据电子签名人的申请，为电子签名人签发电子签名认证证书。,我国对电子认证服务实行许可制。从事电子认证服务，应首先应向国务院信息产业主管部门申领电子认证许可证书，并依法向工商行政管理部门办理企业登记手续。根据电子签名法的规定，提供电子认证服务，应当具备下列条件：（1）具有与提供电子认证服务相适应的专业技术人员和管理人员；（2）具有与提供电子认证服务相适应的资金和经营场所；（3）具有符合国家安全标准的技术和设备；（4）具有国家密码管理机构同意使用密码的证明文件；（5）法律、行政法规规定的其他条件。,电子签名法规定了电子认证服务的几项主要业务规范。包括：（1）依法制定并公布电子认证业务规则。（2）签发证书应查验申请人身份并对有关材料进行审查，确保所签发的证书准确无误，确保证书内容在有效期内完整、准确。（3）暂停或者终止服务前应就业务承接及其他有关事项进行妥善安排。（4）妥善保存与认证相关的信息。电子认证服务业的具体管理办法将由国务院信息产业主管部门依照电子签名法的授权另行制定。,五、密码在电子签名中的作用是什么？,具有安全可靠性和经济实用性的电子签名实现技术的核心是密码技术。在电子签名应用中，通常采用公开密钥的密码体制。在这种密码体制下，密钥由公开发布的公钥和保密的私钥组成。私钥和公钥是由密码算法生成的唯一对应的一对数据，通过私钥不能推导出对应的公钥，通过公钥也不能推导出对应的私钥。在这里，私钥就相当于前面所说的电子签名制作数据，公钥就相对于电子签名验证数据。,电子签名的基本实现过程是：电子签名人用只有自己知道的私钥对特定数据进行加密生成电子签名，其他人用电子签名人公开发布的公钥对电子签名进行解密以确认电子签名人的身份。电子认证服务提供者签发的电子签名认证证书中最为重要的一项内容就是电子签名人的公钥信息。正因为密码技术在电子签名中的重要作用，我国电子签名法明确规定，开展电子认证服务必须事先取得国家密码管理机构同意使用密码的证明文件，实际上是为电子认证服务市场准入设置了一项前置性行政许可。,第一章 总则,第一条 为了规范电子签名行为，确立电子签名的法律效力，维护有关各方的合法权益，制定本法。第二条 本法所称电子签名，是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。本法所称数据电文，是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。,第三条 民事活动中的合同或者其他文件、单证等文书，当事人可以约定使用或者不使用电子签名、数据电文。当事人约定使用电子签名、数据电文的文书，不得仅因为其采用电子签名、数据电文的形式而否定其法律效力。前款规定不适用下列文书：（一）涉及婚姻、收养、继承等人身关系的；（二）涉及土地、房屋等不动产权益转让的；（三）涉及停止供水、供热、供气、供电等公用事业服务的；（四）法律、行政法规规定的不适用电子文书的其他情形。,第二章 数据电文,第四条 能够有形地表现所载内容，并可以随时调取查用的数据电文，视为符合法律、法规要求的书面形式。第五条 符合下列条件的数据电文，视为满足法律、法规规定的原件形式要求：（一）能够有效地表现所载内容并可供随时调取查用；（二）能够可靠地保证自最终形成时起，内容保持完整、未被更改。但是，在数据电文上增加背书以及数据交换、储存和显示过程中发生的形式变化不影响数据电文的完整性。,第六条 符合下列条件的数据电文，视为满足法律、法规规定的文件保存要求：（一）能够有效地表现所载内容并可供随时调取查用；（二）数据电文的格式与其生成、发送或者接收时的格式相同，或者格式不相同但是能够准确表现原来生成、发送或者接收的内容；（三）能够识别数据电文的发件人、收件人以及发送、接收的时间。,第七条 数据电文不得仅因为其是以电子、光学、磁或者类似手段生成、发送、接收或者储存的而被拒绝作为证据使用。第八条 审查数据电文作为证据的真实性，应当考虑以下因素：（一）生成、储存或者传递数据电文方法的可靠性；（二）保持内容完整性方法的可靠性；（三）用以鉴别发件人方法的可靠性；（四）其他相关因素。,第九条 数据电文有下列情形之一的，视为发件人发送：（一）经发件人授权发送的；（二）发件人的信息系统自动发送的；（三）收件人按照发件人认可的方法对数据电文进行验证后结果相符的。当事人对前款规定的事项另有约定的，从其约定。,第十条 法律、行政法规规定或者当事人约定数据电文需要确认收讫的，应当确认收讫。发件人收到收件人的收讫确认时，数据电文视为已经收到。,第十一条 数据电文进入发件人控制之外的某个信息系统的时间，视为该数据电文的发送时间。收件人指定特定系统接收数据电文的，数据电文进入该特定系统的时间，视为该数据电文的接收时间；未指定特定系统的，数据电文进入收件人的任何系统的首次时间，视为该数据电文的接收时间。当事人对数据电文的发送时间、接收时间另有约定的，从其约定。,第十二条 发件人的主营业地为数据电文的发送地点，收件人的主营业地为数据电文的接收地点。没有主营业地的，其经常居住地为发送或者接收地点。当事人对数据电文的发送地点、接收地点另有约定的，从其约定。,第三章 电子签名与认证,第十三条 电子签名同时符合下列条件的，视为可靠的电子签名：（一）电子签名制作数据用于电子签名时，属于电子签名人专有；（二）签署时电子签名制作数据仅由电子签名人控制；（三）签署后对电子签名的任何改动能够被发现；（四）签署后对数据电文内容和形式的任何改动能够被发现。当事人也可以选择使用符合其约定的可靠条件的电子签名。,第十四条 可靠的电子签名与手写签名或者盖章具有同等的法律效力。第十五条 电子签名人应当妥善保管电子签名制作数据。电子签名人知悉电子签名制作数据已经失密或者可能已经失密时，应当及时告知有关各方，并终止使用该电子签名制作数据。第十六条 电子签名需要第三方认证的，由依法设立的电子认证服务提供者提供认证服务。,第十七条 提供电子认证服务，应当具备下列条件：（一）具有与提供电子认证服务相适应的专业技术人员和管理人员；（二）具有与提供电子认证服务相适应的资金和经营场所；（三）具有符合国家安全标准的技术和设备；（四）具有国家密码管理机构同意使用密码的证明文件；（五）法律、行政法规规定的其他条件。,第十八条 从事电子认证服务，应当向国务院信息产业主管部门提出申请，并提交符合本法第十七条规定条件的相关材料。国务院信息产业主管部门接到申请后经依法审查，征求国务院商务主管部门等有关部门的意见后，自接到申请之日起四十五日内作出许可或者不予许可的决定。予以许可的，颁发电子认证许可证书；不予许可的，应当书面通知申请人并告知理由。申请人应当持电子认证许可证书依法向工商行政管理部门办理企业登记手续。取得认证资格的电子认证服务提供者，应当按照国务院信息产业主管部门的规定在互联网上公布其名称、许可证号等信息。,第十九条 电子认证服务提供者应当制定、公布符合国家有关规定的电子认证业务规则，并向国务院信息产业主管部门备案。电子认证业务规则应当包括责任范围、作业操作规范、信息安全保障措施等事项。,第二十条 电子签名人向电子认证服务提供者申请电子签名认证证书，应当提供真实、完整和准确的信息。电子认证服务提供者收到电子签名认证证书申请后，应当对申请人的身份进行查验，并对有关材料进行审查。,第二十一条 电子认证服务提供者签发的电子签名认证证书应当准确无误，并应当载明下列内容：（一）电子认证服务提供者名称；（二）证书持有人名称；（三）证书序列号；（四）证书有效期；（五）证书持有人的电子签名验证数据；（六）电子认证服务提供者的电子签名；（七）国务院信息产业主管部门规定的其他内容。,第二十二条 电子认证服务提供者应当保证电子签名认证证书内容在有效期内完整、准确，并保证电子签名依赖方能够证实或者了解电子签名认证证书所载内容及其他有关事项。,第二十三条 电子认证服务提供者拟暂停或者终止电子认证服务的，应当在暂停或者终止服务九十日前，就业务承接及其他有关事项通知有关各方。电子认证服务提供者拟暂停或者终止电子认证服务的，应当在暂停或者终止服务六十日前向国务院信息产业主管部门报告，并与其他电子认证服务提供者就业务承接进行协商，作出妥善安排。电子认证服务提供者未能就业务承接事项与其他电子认证服务提供者达成协议的，应当申请国务院信息产业主管部门安排其他电子认证服务提供者承接其业务。电子认证服务提供者被依法吊销电子认证许可证书的，其业务承接事项的处理按照国务院信息产业主管部门的规定执行。,第二十四条 电子认证服务提供者应当妥善保存与认证相关的信息，信息保存期限至少为电子签名认证证书失效后五年。第二十五条 国务院信息产业主管部门依照本法制定电子认证服务业的具体管理办法，对电子认证服务提供者依法实施监督管理。第二十六条 经国务院信息产业主管部门根据有关协议或者对等原则核准后，中华人民共和国境外的电子认证服务提供者在境外签发的电子签名认证证书与依照本法设立的电子认证服务提供者签发的电子签名认证证书具有同等的法律效力。,第四章 法律责任,第二十七条 电子签名人知悉电子签名制作数据已经失密或者可能已经失密未及时告知有关各方、并终止使用电子签名制作数据，未向电子认证服务提供者提供真实、完整和准确的信息，或者有其他过错，给电子签名依赖方、电子认证服务提供者造成损失的，承担赔偿责任。,第二十八条 电子签名人或者电子签名依赖方因依据电子认证服务提供者提供的电子签名认证服务从事民事活动遭受损失，电子认证服务提供者不能证明自己无过错的，承担赔偿责任。,第二十九条 未经许可提供电子认证服务的，由国务院信息产业主管部门责令停止违法行为；有违法所得的，没收违法所得；违法所得三十万元以上的，处违法所得一倍以上三倍以下的罚款；没有违法所得或者违法所得不足三十万元的，处十万元以上三十万元以下的罚款。,第三十条 电子认证服务提供者暂停或者终止电子认证服务，未在暂停或者终止服务六十日前向国务院信息产业主管部门报告的，由国务院信息产业主管部门对其直接负责的主管人员处一万元以上五万元以下的罚款。,第三十一条 电子认证服务提供者不遵守认证业务规则、未妥善保存与认证相关的信息，或者有其他违法行为的，由国务院信息产业主管部门责令限期改正；逾期未改正的，吊销电子认证许可证书，其直接负责的主管人员和其他直接责任人员十年内不得从事电子认证服务。吊销电子认证许可证书的，应当予以公告并通知工商行政管理部门。,第三十二条 伪造、冒用、盗用他人的电子签名，构成犯罪的，依法追究刑事责任；给他人造成损失的，依法承担民事责任。第三十三条 依照本法负责电子认证服务业监督管理工作的部门的工作人员，不依法履行行政许可、监督管理职责的，依法给予行政处分；构成犯罪的，依法追究刑事责任。,第五章 附则,第三十四条 本法中下列用语的含义：（一）电子签名人，是指持有电子签名制作数据并以本人身份或者以其所代表的人的名义实施电子签名的人；（二）电子签名依赖方，是指基于对电子签名认证证书或者电子签名的信赖从事有关活动的人；,（三）电子签名认证证书，是指可证实电子签名人与电子签名制作数据有联系的数据电文或者其他电子记录；（四）电子签名制作数据，是指在电子签名过程中使用的，将电子签名与电子签名人可靠地联系起来的字符、编码等数据；（五）电子签名验证数据，是指用于验证电子签名的数据，包括代码、口令、算法或者公钥等。,第三十五条 国务院或者国务院规定的部门可以依据本法制定政务活动和其他社会活动中使用电子签名、数据电文的具体办法。第三十六条 本法自年月日起施行。,4.电子签名法简评,在签名法出台之后，我们看到的，不是问题的解决，而是更多问题的延续。一方面是法律已经生效，另一方面是各种条件还不够完备，无论是等待兴盛，还是相互妥协，CA中心成为电子签章发展最为关键的因素，也成为电子签名法和管理办法贯彻的主要执行者。CA中心的权威性无法得到用户的认可，成为电子签章发展的最大障碍。,首先，法律名称与法律调整范围有不周延性。,从法条的规定中我们可以看出该法案中关于电子签名的系列规则仅仅适用于民事活动中的一部分文件与单证，对于电子政务、网络信息资料传递中文书的电子签名适用问题并不适用此法。虽然在法案最后作出“国务院或者国务院规定的部门可以依据本法制定政务活动和其他社会活动中使用电子签名、数据电文的具体办法。”的补充规定，但对民事商务活动的电子签名由全国人大以立法的方式通过，而电子政务和其他非商务活动中的电子签名却留待国务院等相关部门以行政法规或部委规章的方式规定，给人一种不平衡的感觉。而且既然法案使用的是“电子签名法”这么一个总的概念，在内容上却不能完全包括所有的电子签名行为，使得法律名称和法律的调整范围明显的具有不周延性。,其次，认证机构的成立条件过于笼统，可能引起行政自由裁量权过大。,关于人员的要求，就没有具体作出行业规定，通常而言认证机构的发起人为法人，而且常常必须是从事与信用服务相关的企业，如银行、保险公司等；但也有国家立法规定自然人也可以作为发起人，但是其职业仅仅限于律师和公证业务的专业人员，如美国尤他州的数字签名法。另外对从业人员的消极条件也缺少具体规定。再比如，认证机构虽然通常为非赢利性法人，但是他却是法律关系中的主体，因此就有可能涉及到责任承担问题，虽然法案也规定了要有一定的资金，但一方面没有对该资金的最低限度作出规定，另一方面也未对认证机构的担保问题作出规定，假如当认证机构不能继续提供服务，面临全面破产、失败的时候，如何赔偿电子证书持有人与电子签名信赖方的损失就成了问题。这种笼统的规定，一个不利之处就是会给审批的行政机关提供过大的行政自由审批裁量权，对于保证其他法律关系主体的利益是不利的。,最后，立法技术和技巧有待提高。,虽然立法是一件非常严肃的事情，但是这个过程却也是一个艺术化的过程，其中立法技术、方法、技巧的掌握与运用是非常重要的。而法案中的一些措辞和表达以及结构却显得的不甚完美。例如，附则中对于电子签名人的定义：指持有电子签名生成数据并以本人身份或以其所代表的人的名义实施电子签名的人。应该说电子签名人只能是电子签名制作数据的所有人，即使是其代理人所谓的代理行为，责任与归属也是电子签名人本人，而不能是代理人。而根据法条的措辞我们却可以推论出：电子签名人包括电子签名制作数据本人与其代理人，这显然是不符合法律常识的。再比如电子签名法律关系涉及到电子签名人、电子签名信赖方、电子认证机构、电子认证管理机关等，而从法规的总体来看关于电子认证机构与其管理机关之间的法律关系规定的比较多，而对于电子签名人与电子签名信赖方之间、电子签名信赖方与认证机构之间的法律关系却规定的较少。,