一、对电子签名法的认识和出台电子认证服务管理办法的必要性 2004年8月28日,十届全国人大常委会第十一次会议表决通过《中华人民共和国电子签名法》,首次赋予可靠的电子签名与手写签名或盖章具有同等的法律效力,并明确了电子认证服务的市场准入制度。《中华人民共和国电子签名法》是我国第一部真正意义的电子商务法,是我国电子商务发展的里程碑,它的颁布和实施必将极大地改善我国电子商务的法制环境,促进安全可信的电子交易环境的建立,从而大力推动我国电子商务的发展! 在我国,从2000年开始,来自业界和学界的关于电子签名立法的呼声开始出现,并且这一需求随着我国电子商务的普及和深化而更加突出,大量电子商务交易由于无法在电子文件、电子合同和电子签名等方面得到法律的有力支持而受到阻碍,电子签名、数据电文、电子合同的合法性问题已经成为我国发展电子商务的“瓶颈”问题之一。虽然海南省、广东省和上海市先后进行了地区性的电子商务立法,但受区域性的局限,这些地方立法发挥的作用有限,并且由于缺乏更高层次立法的指引,地方立法之间存在一些冲突和需要协调的地方。 我国电子签名法的出台将彻底改变这一局面,从根本上解决我国电子商务发展所面临的一些关键性的法律问题,实现我国电子签名合法化、电子交易规范化和电子商务的法制化,并为我国今后的电子商务立法奠定坚实的基础。该法以确立电子签名的法律效力,明确电子签名规则,消除电子商务发展的法律障碍,维护电子交易各方的合法权益,保障电子交易安全,为电子商务和电子政务发展创造有利的法律环境为总体目标,很好地借鉴了国际电子商务立法的经验,充分考虑了我国电子商务及认证机构的实际情况,针对我国电子商务发展中最为重要的一些法律问题,从确定电子签名的法律效力、规范电子签名的行为、明确认证机构的法律地位及电子签名的安全保障措施等多个方面做出了具体规定。这些条款较好地运用了电子商务立法中“功能等同”、“技术中立”等立法技巧,将不特定技术解决方案的功效很好地与其法律效力相衔接,使法律的出台即促进了技术的应用,又不至于对技术和产业的发展造成限制。该法定位准确,立法宗旨明确,结构简洁、紧凑。可以预见,该法的出台及实施,必将为我国电子商务的发展奠定良好的法律基础,极大地促进我国电子商务乃至电子政务的发展。 总体来看,我们认为我国的这部电子签名法的主要特点有:第一,简洁明了,结构紧凑。我们看到,这部法律相当简练,只有36条,但就在这36条中,确立了数据电文、电子签名在我国的法律效力,指出了数据电文在何种条件下满足我国法律所规定的“书面形式”、“原件形式”和“文件保存”,明确了数据电文的发送、接收及证据力在法律上的认可方式,规范了法律对电子认证服务机构的要求和行政管理模式。作为我国第一部电子商务法,这36条及其体现出来的原则基本上奠定了我国电子交易与电子商务的法律基础; 第二,以电子商务为中心。一般来说,目前我国的电子签名主要应用于两大领域,即电子商务与电子政务,而在电子政务中,又有政府间电子政务及政府与企业、政府与个人间电子政务的区分。虽然在这些领域电子签名的使用方式不会有太大的差别,但其应用的范围、对安全性的要求程度及所引发的法律关系形态却有明显的差别,一部简练的电子签名法很难同时调整这些不同类型的法律关系,而我国的这部签名法的调整对象是电子商务还是电子政务就成了我们判断这部法的方向的一个指标。而根据目前的这部签名法的第三条和第三十五来看,该法侧重于电子商务领域,关于这一点,从其名称是“电子签名法”而非“电子签章法”也可以看出; 第三,明确了我国电子认证服务机构的管理模式。与一些国家较早出台签名法再建设电子认证服务机构不同,我国电子签名法的出台是在国内已经有了70多家的电子认证服务机构及已发出去上百万张数字证书之后的,这些认证机构有行业的、区域的,也有完全市场化的;这些数字证书有发给企业的、个人的,也有发给服务器的,那么我们的这部签名法如何面对这些“既成事实”就成了我们关注它的另一个方面。在这一点上,我们发现目前的这部签名法对于电子认证服务机构采取了通过登记许可政府集中管理的模式(目前国际上在对电子认证服务机构的管理上主要有三种模式,即登记许可模式、完全市场化运作模式和行业自律模式),而履行这一职责的国家信息产业主管部门还将担负起制定相应的电子认证服务机构管理办法的重任,对于现有电子认证服务机构和证书的详细规范有待于在电子签名法的实施细则中进一步得到明确; 第四,是一部关系到很多高技术问题的法律。如何有效地在一部法律中融合技术解决方案和法律解决方案一直是各国进行电子签名立法时都必须要面对的难题之一,或者说在一部电子签名法中我们将看到很多法律化的技术元素或受到技术方案影响的“法言法语”,如该法第三条中“当事人约定使用电子签名、数据电文的文书,不得仅因为采用电子签名、数据电文的形式而否定其法律效力”的规定,以及第七条中“数据电文不得仅因为其是以电子、光学、磁或类似手段生成、发送、接收或者储存的而被拒绝作为证据使用”的规定,都使用了一种否定之否定的表述方式,这些都是这部法律受高技术影响的结果。因为虽然都叫做电子签名或数据电文,但由于技术解决方案的多样性,导致由不同技术解决方案生成的电子签名和数据电文在表现形式上也有很大的差别,因而对其法律效力的认定也无法“一刀切”,在这样的情况下,委婉的否定之否定的表述方式显然就比直接肯定的表述方式科学合理得多。在该法中类似的地方还很多,如其最后很具体的名词解释等结构,都提醒我们这是一部“技术含量”比较高的法律。 当然,我们不能期待一部篇幅有限的电子签名法解决所有的电子商务法律问题,它还需要实施细则和配套法规、部门规章、地方法规规章乃至行业性规范的支撑,必要的时候,还需要其他电子商务法律的配合,以形成我国的电子商务法律体系。尤其是对于电子认证服务,其在电子商务及信息化发展中起着非常关键的第三方认证和安全服务的作用,同时它又是一个崭新的行业,其准入条件、运营规范、权利义务、法律责任等都需要得到明确,需要有一系列详细的、可操作性强的条款的规定,而这些显然无法全部纳入一部简练的电子签名法之中。并且,由于关系到电子认证服务机构准入条件、运营规范、权利义务的规定会涉及很多行政管理的具体内容,也不便在一部法律中做出过细的规定,所以,一部紧紧围绕电子签名法的以全面规范电子认证服务为核心的实施细则的出台就成了电子签名法出台后我国电子商务立法的重中之重,或者说,只有在一部关于电子签名法的实施细则中将电子签名法未具体规定的内容予以明确,才能使这部电子签名法具备可操作性,而这也正是电子签名法第二十五条、第十八条、第二十一条、第二十三条、第二十六条的具体要求。 二、中国电子商务协会提出《电子认证服务管理办法的建议(讨论稿)》的前期工作基础 中国电子商务协会作为中国电子商务的行业组织,自成立之日起就一直在关注着我国电子商务的法制建设并以推进电子商务法制建设为己任不遗余力地工作着。在协会的章程中,将“宣传贯彻国家有关的方针、政策、法规、条例;向政府有关部门提出有关发展电子商务的政策意见和建议;协助政府制(修)定有关电子商务的发展政策、法规及国家、行业标准,并推动其贯彻执行”作为协会工作的首要任务。 在协会成立之初的2000年,我们组织了凝聚19个部委和40个省市意见的《国家电子商务发展总体框架》,提出“承认相关技术应用的法律效力,创建一个适合电子商务发展的法律环境”的明确思路;2001年初成立了专门推进电子商务政策法制环境建设的“中国电子商务协会政策法律委员会”,聚集了一大批的电子商务法律专家、企业的专业从业人员和律师,同年与法律出版社推出了《中华人民共和国电子商务与网络法规汇编》,第一次对我国电子商务领域的法律法规进行了系统的整理;2001年底我们完成了国家计委课题《中国电子商务政策框架》,2002年又在此基础上完成了国务院信息化领导小组下达的《我国电子商务政策框架研究》课题;2003年,在战胜非典的特殊岁月里,针对广大用户迅速增长的需求,中国电子商务协会法律咨询网积极开展了免费的电子商务法律咨询服务工作。同年,在第七届中国国际电子商务大会上,我们推出了我国第一次完全由企业提出的电子商务立法系列建议提案,其内容涵盖电子交易规则、电子商务信用体系、短信息服务和垃圾邮件治理等多个方面;在此基础上,2004年6月,作为中国电子商务行业的首个行业规范——网上交易平台服务规范的起草和动员工作全面启动,年内将在行业内发布。 此外,在四年多的时间里,我们先后跟踪了大量的国外相关立法并进行了对比分析,对我国电子商务发展的具体法律问题做了多次的调研和统计,召开了一系列的专题讨论会、专家论证会乃至国际研讨会,撰写了一批高质量的论文、研究报告和立法建议报告,提出了一整套既符合国际发展趋势又适应国内实际环境的电子商务法律问题解决方案。就在我国电子签名法出台前的2004年5月28日,中国电子商务协会还专门召开了中国电子商务协会全体会员代表大会就《中华人民共和国电子签名法(草案)》征求意见,对百余名来自全国各地的电子商务企业和相关企业代表的意见和建议进行了统计分析,为我国电子签名立法提供了宝贵的第一手资料。 在电子认证服务机构的建设和管理方面,协会根据信息产业部文件,成立了“电子商务认证机构管理中心”,在全国范围内开展相关调查研究和培训,为电子商务认证机构做了大量的协调服务工作;2002年5月协会推出《电子商务认证机构建设、运营和管理规范指南(试行)》和《电子商务认证机构管理办法》的征求意见稿,为电子商务认证体系的建设做了一系列的探索性的工作。 从经营的范围来分,国内的电子商务认证机构可以分为两种:第一是行业性的;第二是地域性的CA;从运营模式上来分,也可以分为两种:第一是商业性的,如天威诚信;第二是非商业性的,主要由政府和企业或者行业和地方政府共建。 目前这些电子商务认证机构存在的主要问题有: --- 建设过热,有一定的盲目性,造成重复建设和资源浪费。 我国电子商务还需要一个发展的过程,同时我国经济发展不平衡,沿海地区和中西部地区对电子商务需求不同,因而电子商务认证机构的所能发挥的作用就不一样。一些盲目设立电子商务认证机构的做法,不仅发挥不了作用,认证机构本身也难以维持;而经济发达地区则出现重复建设的情况,造成资源浪费; --- 对电子商务认证机构的作用认识不足。 电子商务之所以需要身份认证,是由于网络化带来的信任问题引起的。在网络上,为了完成交易,交易双方的身份必须通过第三方得到确认,电子商务认证机构便由此产生了。电子商务中的身份认证并不是政府部门行使行政管理的手段,而应由企业遵循政府的指导意见或政策性指南,按照市场需求和规范来运作。而一些机构不顾客需求,将设立认证机构作为一种形象工程,按照事业性单位的方式管理,错误的认为认证机构可以执行某种行政职能,并能依此而产生经济效益; --- 低估电子商务认证机构运行的难度,缺乏必要的规章制度。 电子商务认证机构要维持其运作,就要有相应的用户规模,用户要相信认证机构提供的数字身份证是可靠的,这就不仅要有相应的安全保证和严格的管理规章,还要有经济方面的支持,大量的资金投入才能保证认证机构的长期运行和其安全性。而国内很多电子商务认证机构投入资金有限,因而达不到需要的安全标准,且后续运营资金无保障,可信性和权威性也就打了折扣。还有的认证机构缺乏完善的内部管理规章制度和业务流程控制; --- 电子商务认证机构对自身的安全性认识不够,对承担风险认识不足。 电子商务认证机构的认证系统安全性主要涉及访问控制、责任分割、识别和鉴别、密钥管理、审计、可行路径和和数据保护、密码安全、物理安全、人员安全等多个方面。国内一些电子商务认证机构在这些安全要素的建设上还不够完善,对于因本身安全问题而造成客户经济损失进行赔偿的风险也存在认识不足。 --- 法律法规、行业规范亟待健全。 根据以上的调查结果,中国电子商务协会认真执行信息产业部有关文件精神,充分发挥行业协会的作用,为推动CA认证技术的应用和促进“公平、公正、可信第三方”网络信任体系建设,做了大量基础工作: 我们针对国内电子商务认证机构存在的问题,广泛征求有关专家、学者和业内企事业单位的意见,提出我国的电子商务认证体系结构应建立一个合理的基本布局。通过行政管理和市场竞争这两个手段,逐步实现对现有认证机构的整合的整体思路; 根据我国有关规定,跟踪国外电子商务认证立法和标准情况,结合国内电子商务认证机构实际情况,研究和提出有关电子商务认证法规和技术标准的建议,为电子商务认证法规和技术标准的建立提供参考; 从建立和完善国内电子商务有关管理、运行和安全等规章制度入手,协助电子商务认证机构建立起规范的内部安全制度、业务流程控制规章和面向客户的认证服务规章。协调国内采用不同认证技术系统的电子商务认证机构之间的交叉认证; 此外,我们还走访了北京、吉林、山东等地的多个CA中心进行工作调研;多次举办CA技术在教育、税收、银行支付、物流等领域的应用座谈研讨会;论证数字证书技术结合各行业特点的推广应用方法,积极促进CA中心与商业项目合作,推出了多项可实际操作的实施方案。在第七届中国国际电子商务大会期间召开的2003年中国数字证书应用论坛上,中国电子商务协会、公安部物证鉴定中心、中国国际电子商务中心成功地实现了我国首次在互联网上的安全可信协议签约。这是我国首次利用互联网在线方式,使用数字认证安全电子印章技术签署合作协议文件。 中国电子商务协会通过以上的各项工作的开展,深入了行业,积累了服务和管理经验,在技术开发、组织建设、经济建设等方面打下了工作基础。同时为政府提供了企业、市场的信息,为我国制定政策法规提出了具体的建议,起到了桥梁和纽带的作用。 三、关于《电子认证服务管理办法的建议(讨论稿)》的说明 中国电子商务协会在前期深厚扎实的工作基础上,紧密围绕我国的电子签名法,聚集一批电子商务专家和业界专业人士加班加点地对原有的《电子商务认证机构管理办法》草稿做了全面的修改,以落实电子签名法、规范电子认证服务、加强电子商务交易安全、促进电子商务与信息化发展为宗旨,及时提出了中国电子商务协会的关于《电子认证服务管理办法的建议》的讨论稿,希望能为有关机构的进一步工作提供及时有力的参考和支撑。 该《电子认证服务管理办法的建议》讨论稿共七章三十二条,七章分别是总则、电子认证服务机构的设立、电子认证服务机构的运营、电子认证证书、电子认证服务机构的义务、电子签名人的义务和附则,主要内容以落实电子签名法、规范电子认证服务机构的设立与运营,明确电子签名中各方的基本义务,促进我国电子商务和信息化事业健康有序发展为根本目的。 比如,在电子签名法的第十七条、第十八条、第十九条、第二十一条、第二十三条、第二十六条中,分别从提供电子认证服务应具备的条件、申请电子认证服务的程序、电子认证业务规则、电子认证证书的内容、电子认证服务暂停和终止的程序、境外电子认证证书的认可等方面作出了规定,但都没有穷尽,提供电子认证服务应具备的具体条件、申请电子认证服务的具体程序、电子认证业务规则的内容要求、电子认证证书的具体内容、电子认证服务暂停和终止的具体程序、境外电子认证证书认可的程序等都待于进一步明确,而这些就是《电子认证服务管理办法的建议》讨论稿稿的核心内容之一。 除落实电子签名法外,该《电子认证服务管理办法的建议》讨论稿所依据的基本原则还有: 强调安全保障的原则。电子签名除确认交易者身份外,另一个重要的功能就是保障交易及信息传递的安全,或者说其本身就是现代网络安全技术在电子商务及信息化领域应用的一个典范。同时,电子认证服务机构还掌握着大量的信息,承担着重要的第三方认证的功能,所以,在开展电子认证服务中首先强调电子认证服务机构自身的安全是非常重要的,只有安全的电子认证服务机构才能提供安全的电子认证服务,才能进一步保障电子商务和信息化的安全。而电子认证服务机构的安全包括物理的安全、技术与设备的安全、安全保障措施、管理系统的安全等多个方面,都需要在法律法规层面上提出具体的要求,只有在严格执行这些条款的基础上,才能充分发挥电子认证服务机构的作用。《电子认证服务管理办法的建议》讨论稿(以下简称为“办法”)中体现这一原则的条款包括第五条、第六条、第十条、第十二条、第十四条、第二十三条等。 实现平稳过渡的原则。我国电子签名法的出台是在国内已经有了70多家的电子认证服务机构及已发出去上百万张数字证书之后的,这些认证机构有行业的、区域的,也有完全市场化的;这些数字证书有发给企业的、个人的,也有发给服务器的,那么我们的这部签名法如何面对这些“既成事实”就成了我们这部暂行办法要面对的另一个问题。在对待该问题上,我们认为应当遵循尽量实现平稳过渡、充分利用现有资源的原则,只要是符合电子签名法和本暂行办法规定的电子认证服务机构,都可以很快得到相应的许可。而我们在这部办法中为电子认证服务机构所设定的“门槛”对于一个正常经营的电子认证服务机构来说应该是不高的,是其正常运行所必需的。 政府许可与行业自律相结合的原则。如果我们把目前国际上在对电子认证服务机构的管理上分为三种,即通过登记许可政府集中管理的模式、完全市场化运作的模式和行业自律的模式的话,那么我国依照电子签名法执行的应该是一种通过登记许可政府集中管理的模式,我们认为这是在目前我国市场经济体系不够完善、有效的信用制度及第三方认证体系尚未建立、电子商务与信息化发展很不均衡及安全性有待提高的大环境下做出的明智选择,是符合我国目前电子商务与信息化发展环境的。但从发展的角度看,在电子商务等高度市场化的领域中政府管制的程度会越来越低,电子商务的效率会越来越高,而大量的关系就需要市场和当事人自己去调节,所以,如何有机地把目前很现实的通过登记许可政府集中管理模式与将来更多的行业和市场自身调节的模式结合起来,就成了我们需要解决的另一个问题。这种结合,我们认为,按照电子签名法指引的方向可以通过充分发挥电子认证业务规则的作用来实现。因为电子认证业务规则对于电子认证服务机构来说是一个最为重要的规则,基本涵盖了电子认证服务各个方面的重要内容,是从事电子认证服务的指引,而在电子签名法乃至我们目前的这部办法中,我们也只是对电子认证业务规则的内容做了原则性的要求,具体如何建立一整套完善的电子认证业务规则都要靠行业和企业的自律来实现。所以,在电子认证业务规则这一电子认证服务的关键点上,充分体现了政府许可与行业自律相结合的原则。 贯彻技术中立的原则。我们注意到,在电子签名法中,为了不使法律条文受制于具体的技术细节并防止固化的法律条文对技术发展的多样性造成阻碍,尽量回避了那些只在特定技术中才应用的术语,如公钥、私钥等,而以电子签名制作数据和电子签名验证数据取代之,应该说,这样的做法是比较科学且有利于法律的前瞻性的。在办法中,我们也延续了这种精神,尽量回避了那些只在特定技术中才应用的术语,以确保不同的电子签名和电子认证都可以适用这部暂行办法的规定。 保障电子认证服务的有效性、有序性和连续性的原则。在该办法中,确保电子认证服务的有效性、有序性和连续性是其重要原则之一,也是该办法的核心目标。只有有效、有序、连续的认证服务才能确保电子商务和信息化的安全和健康发展,才能有助于建立全面的虚拟世界新秩序,尤其是电子认证服务的连续性,从长远来看,更是其发展的一个关键环节,关系到广大用户的合法权益和大量电子交易的安全。体现这一原则的条款包括本办法的第十五条、第十六条、第二十条、第二十一条、第二十二条、第二十四、第二十五条等。 此外,在具体条款上,需要说明的有: 办法第五条和第六条规定了电子认证服务机构应具备的条件和登记许可应提交的材料,涉及资金、场地、技术、制度、安全性等多个方面的内容,同时还要求具备设立企业法人或事业法人应具备的一切条件。之所以做出这样全面的要求,就是因为按照我们的电子签名法,电子认证服务的许可是在企业工商登记之前的,而对一家只有规划蓝图的企业我们又很难判断其实际运作能力和可靠性,所以才有办法中这样的要求。 对于境外电子认证证书的认可,我们在本办法第十七条中做了详细要求,但由于各国电子认证服务的标准和模式差别比较大,仅凭办法第十七条中要求提供的这些材料还难以作出全面判断,所以还要更多地依赖于双方的有关协议或对等的原则,而相关协议等的达成则是本办法之外的事了。 电子签名法第二十八条明确规定:“电子签名人或者电子签名依赖方因依据电子认证服务提供者提供的电子签名认证服务从事民事活动遭受损失,电子认证服务提供者不能证明自己无过错的,承担赔偿责任”,那么,电子认证服务提供者如何证明自己无过错就会成为法律实施中一个很现实的问题。我们在本办法中希望能通过尽量明确电子认证服务提供者的义务的方式来使今后在这方面能有一个衡量其是否无过错的标准。 总之,鉴于时间有限和认识不足,该办法肯定存在很多需要修改和调整的地方,我们期待着在各有关方面的参与下,尽快拿出一个更好的、更具参考价值的文本来。 四、中国电子商务协会在电子签名法出台后的主要工作计划 大力开展针对电子签名法的普及、宣传、培训工作; 进一步完善本办法和《CA认证机构建设、运营和管理规范指南的建议(讨论稿)》,为有关部门提供有价值的、及时的、第一手的参考材料; 加大电子签名的推广应用的力度,推进电子签名在各行业、各地区和各类活动中的应用; 推进电子认证服务标准和电子认证业务规则标准的建立; 组织电子认证和电子交易的行业自律规范的建设,促进电子商务的法制建设; 继续开展围绕电子签名法的各项研讨和交流活动; 总之,中国电子商务协会今后在加快电子认证服务的发展中,要充分发挥行业协会的作用,按照市场经济的原则和国际惯例,在政府与企业之间对行业协会进行准确定位。对那些政府不便管、不该管、管不好,企业也不该管、管不了、管不好的内容,承接到协会具体落实。中国电子商务协会长期以来在推广电子商务应用、服务和管理上紧密配合国家相关部门,紧密联系企事业单位,在业内已经有了较大的影响,具备了承接和完成各种任务的条件。我们要继续发挥行业协会的作用,利用中国电子商务协会跨行业跨部门的优势,广泛征求意见,协助有关部门建立合理、规范的行业市场秩序,把握电子认证服务业发展动态,做好行业的协调工作,全面贯彻落实电子签名法,把我国的电子商务与信息化事业推向前进! |