- 本栏目热门文章
- 本栏目最新文章
打印本页-
法律为虚拟世界正名——电子签名法对信息安全的影响
- 时间:2004-11-03 03:32 PM 来源:泰尔网 作者:崔光耀 阅读: 次
几经周折终于尘埃落定的《电子签名法》作为我国信息网络法律的开山之作,享有“首部真正意义上的信息化法律”的殊荣。
长期以来.关于信息网络立法的呼声不论是在正式的还是非正式的场所、在官方还是民间,从来就没有停息。2001年7月11日,江泽民总书记等中央领导同志专门在中南海听取了中国社会科学院郑成思研究员关于“运用法律手段保障和促进信息网络健康发展”的法制讲座,此后相关的法律在高层和业界的强力鼓动与推进下似乎已经呼之欲出了。然而事情的进展却并未像人们想象的那样水到渠成。
中国电子商务协会理事长、原信息产业部信息化推进司司长、国家信息化领导小组办公室主任宋玲教授接受新华网采访时说,电子签名法是个很新的事情,但立法的过程却很艰苦。
宋玲指出,这项工作大概从二十世纪末就已经开始进行了,很多的领导、专家以及同行们做了大量的工作。国务院法制办会同信息产业部、国务院信息化工作办公室等部门在起草过程中广泛听取了电子商务和法律方面专家的意见,还研究借鉴了联合国的电子商务示范法、电子签名示范法和欧盟的电子商务法、电子签名指令以及美国、日本、韩国、新加坡等国家的有关立法。宋玲指出,本届人大常委会在审议该法的时候.同样非常深入实际在国内做了大量的实际调查。
专家们介绍说.早在上世纪八十年代,以联台国贸法会为代表的国际组织,就已经着手研究和制订有关计算机上的数据认证和电子签名的法律文件并制订了以《电子商务示范法》和《统一电子签名规则》为代表的一系列示范性文本供各国立法参考。1995年美国的犹他州颁布的《数宇签名法》是全世界范围内第一部全面规范电子签名的法律,此后欧盟和欧洲各国也很快出台了相关法律亚洲的日本、韩国、新加坡甚至包括印度、马来西亚等发展中国家,也相继跟进.至今世界上已有34个国家、地区和国际组织先后制订了电子签名法,或以确立电子签名法律地位为主要内容的电子商务法。
客观地说在信息网络的立法方面我们起步较晚。但广东上海海南等地曾颁布了一些与数字签名有关的地方性法规和规章.并出现了一些电子签章的认证机构。中央一级的立法是从2002年开始的,当时国务院信息办委托有关单位开始起草《中华人民共和国电子签章条例》,最初的定位是行政法规但在网络经济和数据电讯事业迅猛发展的背景下,国务院决定将该立法的层级直接提升为法律,此后几经修改,终成定稿。
新近颁布的这部电子签名法共五章三十六条,首次赋予可靠的电子签名与手写签名具有同等法律效力,并明确了电子认证服务市场准入制度保障电子交易安全。
由此一来,网络信息世界这一虚拟的空间,因为电子签名法的诞生从而具有了合乎法律意义的确定身份证“当人们畅行于这方领域的时候就将像畅行于现实社会一样,享有法律所赋予的权利义务和责任。持有自己合法的电子签名在诡秘无测的“异邦”,也就有了“天涯毗邻”般的秩序和熟悉的方位。
新法“视时而立仪”
一部电子签名法,为什么会显得如此迫切,被认为是目前电子商务最首要和最基本的立法问题?从法律专家的眼光来看电子签名的法律效用问题一直制约着我国电子商务的发展。1999年实施的合同法虽然规定了电子文本的有效性,但对电子签名的规则和法律效力,却缺乏相应的法律规定。同时,电子认证机构的法律地位和法律责任的不明确导致发生纠纷后责任难以认定,此外电子签名的安全性、可靠性没有法律保障消费者权益得不到保护,普遍对电子交易安全缺乏信心。
联合国贸法会议《2002年电子商务和发展报告》显示2002年全世界的电子商务交易额达到6153亿美元比2001年增长73.1%:瑞士信贷银行发表的报告显示,2003年全球通过互联网进行的贸易总额预计为1.24万亿美元。据统计中国目前有4000多个电子商务网站和70多家认证机构中国互联网数据中心估计,2003年中国电子商务交易额约为600亿美元。
面对如此庞大的电子商务交易人们却又承担着巨大的经济风险和心理恐惧。阿里巴巴副总裁金建杭曾表示:“网民之所以不愿意在网上购物其中最关键的原因就是无法确定对方是谁。凭什么让我相信你的货物确实存在)我付了钱之后能不能收到我所要的东西,如果收不到我找谁要回我的钱?”
从电子政务的角度来说如果电子政务没有电子签名的法律规范,则只能发布信息,真正的网上政务无法实现。为此全国人大代表王晶表示,现在电子政务、电子商务发展很快电子签名、数据电文的法律效力缺乏明文规定,已经成为中国电子商务和电子政务发展的法律障碍成为制约其发展且亟待解决的一大瓶颈。
因而,电子签名法的出台既是适应信息化发展的应急之需也是根本之路,它将对我国电子商务、电子政务的发展起到极其重要的促进作用。该法对确定电子签名的法律效力、规范电子签名的行为明确电子认证服务机构的法律地位及电子签名的安全保障措施等多个方面作了具体规定使电子商务和电子政务的实施有了明确的法律主体。可以说电子签名法是我国电子商务发展的里程碑,标志着我国法律体系正式迈入网络时代。
银行等领域曾经较早地使用数字签名来开展相关业务但大家对其认识还不够,数字签名的使用者并不多。可以预计电子签名法的实施将对金融商务税务网上交易和处理起到积极的促进作用。人们期待着电子商务、电子政务的应用环境将随之得到巨大改观,期待着需要大量纸张文件来处理的大笔金融交易将来通过在网上简单地按下键就可完成。
诚如中国电子商务法律网总裁阿拉木斯分析的那样一部篇幅有限的电子签名法不可能解决所有的电子商务法律问题还需要实施细则和配套法规、部门规章、地方法规乃至行业性规范的支撑,必要的时候还需要其他电子商务法的配合以形成我国系统的电子商务法制环境。从一部全面的电子商务基本法的角度看,目前我国这部电子签名法还有一些不足它的出台还只是我国电子商务法制建设的一个开始。但电子签名法的出台定会大大带动相关法律能出台,在新法审议的同时国内电子商务企业电子商务协会和法律界人士也聚会北京商议业内迫切需要的《电子商务交易条例》。业内人士表示。如果说1995年到2005年偏重于互联网电子商务的基础建设的话那么可以说现在是在基础建设上进行更精致化的建设。
中国互联网络信息中心最新的统计显示,目前我国的网民总数已达8700万,其中2000万网上交易随着网上交易数量的不断增大,将会释放出很大的需求,互联网也将实现从单纯的媒体时代向全面应用利代过渡。也正是在这个意义上,电子签名法正应了《管子·国准》所阐述的视时而立仪”。
这部电子签名法于2005年4月1日起施行,但在其获得通过后短短的十多天里,仅浙江省就有400多家企事业单位和2000多个人办理了“网上身份证”,其雀跃程度可见一斑。
2004年9月23日北京顺天府和联合利华公司签订了由北京书生公司提供技术支持的电子合同。宋玲指出这是国内首份电子合同。
电子签名法与信息安全
正是因为电子交易过程的安全问题未能很好地解决,使得蓬勃兴起的电子交易遭遇瓶颈之困。因此,参加电子签名法审议的一些委员认为一定要考虑技术安全保障保护消费者权益等问题。
在电子签名法颁布以前,人们完全是通过技术性的解决方案来保证交易的安全,先后出现了多种不同的技术,如对称或非对称密钥、指纹识别、声波识别等等。可以说,如果仅从技术角度考虑,以非对称密钥为代表的电子签名技术已经完全能够满足商业交易过程和信息传递的有效性、安全性和不可抵赖性等问题,满足交易所需的签章要求,其防伪能力大大高于传统的手写签名。此技术在电子认证机构的支持下快速应用和发展,其安全可靠性已经过大量实践的检验。据计算,如果想通过穷举的方法破解现有数字签名技术所产生的密钥,需要集中全世界现有的计算机并计算上百年的时间。——可见,电子合同在技术上已比较成熟,业内一直苦苦等待着法律上的保障。
密码学专家南湘浩告诉记者,随着网络由封闭的计算机网络发展为开放的互联网络,业务由简单的数据通信发展为网上交易,信息安全的内容也由数据安全扩展为网络安全和交易安全。数字签名的必要性在第三代安全时代显得更为突出和紧迫。
但技术的可靠性只是解决了交易过程中技术本身的问题纯粹的技术手段毕竟不能解决纷繁复杂的现实问题。它还需要而且必须要从法律的角度给予电子签名与传统签名、盖章等同的法律地位,才能使电子签名在广泛应用中发挥功效。从信息安全自身的发展来看,局限于信息安全技术谈安全有些问题常常不可能彻底解决这也是业界广泛关注的一个深刻话题。
张楚教授是这样解释的,以电子签名技术本身为例,在众多的方案中,究竟什么样的签名技术才能受到法律的承认?什么样的数据电文才能作为证据在法庭上使用?消费者的隐私权和交易者的商业秘密如何保障,谁可以作为认证电子签名的权威机构?电子签名失效后仍被使用的法律责任由谁来承担?等等诸多问题均不是可以单纯依靠技术来解决的。要真正保障交易安全使业已成熟的技术发挥其应有的作用?相应的法律制度是不可或缺的条件。
为保证安全性电子签名法明确了各方在电子签名活动中的权利、义务。因为有了法律规定,责任追究成为可能。为保护电子签名人的合法权益,法律规定,伪造、营用、盗用他人的电子签名,构成犯罪的依法追究刑事责任;给他人造成损失的,依法承担相应的民事责任。如果电子签名人在电子签名行动中有过错的,应当依法承担相应的民事责任。依据电子认证机构提供的服务从事商务活动遭受损失而电子认证服务提供者不能证明自己无过错的,应当依法承担相应的民事责任。鉴于认证机构的可靠与否对电子签名的真实性和电子交易的安全性起着关键作用,但考虑到目前中国社会信用体系还不健全,所以,为了确保电子交易的安全可靠,电子签名法设立了认证服务市场准入制度明确由政府对认证机构实行资质管理的制度。
电子签名法的出台对于信息安全行业来说,更是关系密切,它不仅促进信息安全保障工作的开展,也为信息安全企业提供了一些发展的机遇。可靠的电子签名技术需要进一步开发和完善,目前可以有多种技术制作比如基于公钥密码技术的数字签名,或以生物特征统计学为基础的识别标识,例如手印、声音印记或视网膜扫描等。
电子签名法的条款较好地运用了电子商务立法中“功能等同”、“技术中立”等立法技巧将不特定技术解决方案的功效很好地与其法律效力相衔接,使法律的出台既促进了技术的应用又不至于对技术和产业的发展造成限制。宋玲认为这给将来这方面的技术创新和发展,留了很大的发展空间。如何使新的电子签名安全可靠,这就需要技术支撑,包括软件、硬件、系统。也包括安全技术,同时也带来了巨大的商机。
对于认证机构来说现在除以公钥变量作为主要认证参数且为第三方颁发的基于PKI的CA证书以外,正在兴起一种以私钥变量作为主要认证参数的由主管部门颁发的、基于集中式管理模式CPK认证体制的ID证书。据南湘浩教授介绍,目前正筹划建立CPK联盟,建立代理工厂,实行京广线战略来普及。他说,商机全在新技术。
在此之前国内已有70多家电子认证服务机构,既有行业的、区域的,也有完全市场化的,其投资都在上千万元,这些认证机构已给企业、个人或服务器发出了上百万张数字证书。电子签名法第十六条规定今后电子签名要第三方认证的,由依法设立的电子认证服务提供者提供认证服务。而究竟哪些认证机构能获得此项资质这让已有的认证机构或试图进入这一领域的竞争者摩拳擦掌。因为今后所有的电子文件、合同邮件都可通过电子签名来保证安全性其市场潜力利莫大焉,谁又能无动于衷。
一部电子签名法在业界引起了巨大波澜其涉及的范围之广泛产生的意义之深远,要想吃透弄通,自然非一时之功。据悉有关部门正在组织系统的学习宣传活动,相关行业和产业虽出言谨慎,却早已闻风而动,以抢占先机。