电子商务法第6章电子签名

,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,?电子商务法?,欢送光临,第5章 电子签名,电子签名概述,1.电子签名是指通过一种特定的技术方案来鉴别当事人的身份及确保交易资料内容不被篡改的平安保障措施。,2.当人们表达意思的方式，由口头、书面，转化为以数据电文方式进行时，当民商事法律行为的形式，成为计算机通讯网络中传输的比特时，再也不可能以纸面上的签字，来证明文件的内容。传统的手书签名，必然要由一种与数据电讯相适应的方式来替代，而这就是电子签名。,6.1,传统签名的概念与功能,签名是指为了表示负责而在文件、单据上亲自写上姓名或画上记号。,美国?统一商法典?对之定义为“签名包括定义为，任何当事人以鉴别书面文件为现实意图，而采用的或手签的符号。,签名，一般是具有法律意义的行为，它首先是一种证明行为，签署者可借以证明物品、行为，或意思的归属；又以说明对其内容的同意。,传统签名的法律要求,对签名的要求应包括以下三个重要方面：,A,正确的名字。,B,书面形式，在纸面上的签名永远固定地保存着。,C,本人亲手书写，排除了打印名字或印章。,因此,每个传统的手书签名，都是独特的、不可重复的，,签名的功能,联合国欧经会促进国际贸易程序工作组，在一份题为“签名以外方式的贸易文件鉴别的报告中称：,“贸易文件上的签名，主要有三项功能：一是能说明文件的来源，即签名者；二是能说明签字者已确认文件的内容；三是能构成证明签字者，对文件内容正确性和完整性负责的证据。,签名形式的演变,传统签名的替代物，如数字签名、动态签名分析等，正在大量的使用或实验中，这就导致了实践上与传统法律相背离的严重状况，急需制订出允许使用电子技术，并使之替代传统签名的具体的法律条文。,签名本质上是一种认证手段或程序。传统签名随着科技的开展，将被新的认证手段替代，而成为历史，新的认证方法，向寻找行为者的信息特征指纹、声纹、视网膜纹转变。,传统签名定义的问题,传统签名受到挑战，其理由主要有三：,一是形式上的要求常导致不公平；,二是传统签名在公众交易或贸易方面的不可操作性；,三是不便于在电子通讯环境中使用。,签名定义,联合国在?海上货物运输公约?1978年汉堡中，对签名制定了开放型条款，其具体规定是：“提单上的签名可以是手书的、打印、打孔、盖章、使用符号，或通过任何其他机械的、电子的手段，如果这不与提单签发地国家的法律相违背的话,并且“书面包括INTER ALLA、电报和电传。,3传统签名的局限性及风险,1.它必须以纸面为介质，无论是书写还是传送，都较之电子通讯媒介的本钱要高得多；,2，它必须由个人亲笔书写，这虽然对于法律行为的发生具有证据法上的意义，但是从交易数量与频率上看，由于受书写人的精力、时间、及其行动空间的约束，不适合于大规模的交易行为的进行；,3三，传统签名存在着相当大的被信冒的可能性，一方面仿冒签名并不需要很高的技术或本钱，另一方面对伪造签名的鉴定，却需要一不定期的前提条件和较专业的技术，并且其鉴定的准确性绝非万无一失。,电子签名的必要性,电子商务的平安要求,A 信息的保密性,B 交易各方身份的认证,C 信息的防抵赖性,D 信息的完整性、防篡改性,电子签名的概念,从广义上讲，但凡能在电子计算通讯中，起到证明当事人的身份、证明当事人对文件内容的认可的电子技术手段，都可被称为电子签名，就目前来看，有口令、密码、数字加密、生物特征认证等等，随着计算机技术的不断开展，电子签名的具体形式将会层出不穷。,电子签名的根本条件,一个较完善的签名，一般应满足以下三个条件：,1签名者事后不以否认自己签署的事实；,2任何其他人均不能伪造该签名；,3如果当事人双方关于签名的真伪发生争执，能够由公正的第三方仲裁者，通过验证签名来确认其真伪。,手签、印章、指印等书面签名，根本上满足了以上条件，能够到达这些功能的电子技术手段，一般都可称之为电子签名。,电子签名与传统签名的差异,A电子签名一般是通过在线签署的，是一种远离的认证方式。它不能像传统签名一样，保证签名人亲监交易现场，即便是生物特征法电子签名，也不能如此。,B电子签名本身是一种数据，它很难像纸面签名一样，将原件向法庭提交。因此，传统证据规那么拒绝将电子签名与传统签名相等同。,C大多数人只有一种手书签名的样式，但一个人可能同时拥有许多个电子签名，每使用一个信息系统，就有可能配发一个。,D传统签名几乎不存在签署者完全忘记的情况，而电子签名那么有可能被遗忘。,E传统手书签名可凭视觉比较，而电子签名一般需要计算机系统进行鉴别。,电子签名的技术方式,电子签名的具体技术方式，包括了从普通的个人口令、密码，到非对称加密，以及生物特征鉴别法等高级的电子签名的技术方式。,一般可将广义的电子签名分成两大类。第一类是个人身份密码或个人身份号码PIC/PIN，即以人为的特征如密码的记忆与拥有作为鉴别的参照物。,第二类电子签名，是与用户个人生物特征相联系的。如指纹，视网膜纹，脑电波或声波等，都可用来区分用户。,广义的电子签名,广义的电子签名，是指包括各种电子手段在内的电子签名。它是电子商务法“技术中立原那么，在电子签名概念上的反映。,这一概念着重说明了电子签名的目的与作用，而对电子签名所运用的技术方式几乎没有规定，但凡具有一定鉴别作用的，数据电文中附加的，或与之有逻辑上联系的电子形式的数据，都可成为电子签名的方式。,它是广义电子签名概念的典型代表。在电子签名法案中，采用这种广义的电子签名概念的，还有美国州法统一委员会的?统一电子交易法?，澳大利亚的?电子交易法案?等。,广义电子签名的根本思路,A与传统手书签名及其衍化物的功能相吻合。,B与现实中应用的技术能力相适应。,C突出根本功能的实现。,D尊重当事人的意思自治。,广义电子签名效力与适用范围,但凡在适用范围内的电子签名，就应当是有效的，相反，超出适用范围的电子签名，那么不具有法律效力。,广义电子签名的适用范围，是相当广泛的。但凡以手书签名或其衍生物可以有效使用的地方，都是广义的电子签名可以适用的范围。,狭义的电子签名,狭义的电子签名，是以一定的电子签名技术为特定手段的签名，通常指数字签名，它是以非对称加密方法产生的数字签名。,数字签名，就是只有信息发送者才能生成的，别人无法伪造的一段数字串，这一数字串同时也是对发送者发送的信息的真实性的一个证明。,数字签名的工作原理,1信息确实是由签名者发送的，即确认对方的身份，防止抵赖；,2信息自签发至收到为止，未曾作过任何修改，保证信息的完整性、防篡改性。,因此，数字签名就可以用来防止电子信息由于其易修改性，而被人伪造、冒用他人名义发送信息，或发出收到信件后，又加以否认等情况的发生。采用数字签名和加密技术相结合的方法，可以很好地解决住处传输过程中的保密性、完整性、防抵赖性及身份认证等。,生物特征电子签名的技术,但凡以获取签名人的生物特征，作为其身份认证的方法的，可称之为生物特征电子签名。其中又包含了许多具体的形式，如生物笔迹鉴别法、指纹鉴别法、眼虹膜鉴别法、声纹鉴别法等。,有关数字签名的法律规定,新加坡?电子交易法?规定：“数字签名digital signature是指经由非对称加密系统和HASH函数变换的电子记录的组成的电子签名，某人拥有初始未经变换的电子记录和签署者的公钥，就能精确地加以确定：a该变换是否是用与签署得公钥对应的私钥生成的；以及b初始电子记录在变换后是否被改变过。,有关数字签名的法律规定,在某些国家的电子签名法中，还存在着另一种情况：虽然使用了平安电子签名要领但是其内涵不仅包括了数字签名，还包括了以其他方法可能生成的、具有相同等价功能的电子签名，这种概念应属于本文后面所要论述到的折衷式电子签名概念。,狭义电子签名的立法理由,A基于对特定签名技术的依赖。,B.狭义电子签名的另一理由是：电子签名的技术已趋于成熟，而要使电子商务群众化、市场化，被消费者普遍接受，关键是建立起信心。这就需要政府出面，以法律手段消除各种不确定因素，以利于电子商务市场的成长。,狭义电子签名的效力,狭义电子签名所使用的技术，要比广义电子签名所使用的技术更确定、更加趋于成熟。,许多专家认为，以非对称性加密处落地生成的数字签名，通常是平安的，甚至比纸面签名的平安系数要高。因此，其适用范围可能要比广义电子签名广泛一些。,强化电子签名,又称平安电子签名，它是指经过一定的平安应用程序，能够到达传统签名的等价功能的电子签名方式。其具体形式是开放型的，任何能够到达同一效果的技术方式，都可囊括于内。与上述广义与狭义的电子签名概念相比较，该电子签名概念是一种折衷式的概念。,2000年2月工作组在其第6次会议上，通过了?统一规那么?的草案文本。删去了草案中的“强化电子签名概念，有许多问题尚待澄清。,数字签名及其应用环境,(1)密钥术,(2)公钥与私钥,(3)哈氏函数,(4)数字签名,(5)数字签名确实认,数字签名的运行环境与过程,通过一个或几个值得信赖的第三方，将被认定的签名或签署者的姓名与特定的公共密钥联系起来。可信赖的第三方在多数技术标准中，被称为“认证机构、“证书效劳供给者或“证书效劳提供者(?电子签名统一规那么?选用了“证书效劳提供者这一名称)。许多国家将这样的认证机构按不同层次构建起来，常被称作是公共密钥体系(PKI)。,公共密钥体系的建立,公共密钥体系是一种提供信任的方式，其作用在于保证：,(1)用户的公共密钥未曾受到损害，并在事实上与其私密钥相符；,(2)所使用的加密技术运行良好；,(3)发放密钥的实体可以受托保有或重新生成公共和私密钥，在有权范围内，密钥用于保密性编码；,(4)不同的密钥系统可以互相兼容。,公共密钥体系,为使网络交易各方相互信任，PKI可提供许多效劳，具体包括：,(1)管理为数字签名使用的加密密钥；,(2)确认公共密钥与私密钥相符；,(3)为最终用户提供密钥；,(4)决定用户在系统上享有何种特权；,(5)公布可靠的公共密钥或证书目录；,(6)管理能以独特的个人身份信息识别用户或能生成和储存私密钥的个人标识(如智能卡)；,(7)检查最终用户身份，并提供相关效劳；,(8)提供“不得否认效劳；,(9)提供时间记录效劳；,(10)在为保密而被授权使用密钥技术的场合，管理加密密钥。,证书效劳提供者,为了将密钥对与潜在的用户联系起来，需要由证书效劳提供者(或称认证机构)颁发证书。,它是包含证书申请者姓名和公共密钥在内的电子记录，可以确定证书所识别的当事人持有相应的私密钥。,证书的主要功能是将公共密钥与特定的持有人相联系。信赖证书中说明的公共密钥持有者数字签名的证书接受者，可以通过证书中所列明的公共密钥，来确认数字签名是由相应的私密钥签署的。如果确认成功，那么可保证数字签名是由证书标明的公密钥持有者签发的，相应的信息自签署后未曾改变过。,认证机构的可行性,(1)独立性(即与正在进行的交易无财产或其他利益关系)；(2)当被认定应对损失承担责任时，有足够的资产或融资能力；(3)在公共密钥方面有足够的专业知识，熟知平安保密程序；(4)具有长期存续性(认证机构在交易完成的数年后，可能因产生诉讼或财产争议，而被要求提供认证证据或者解密密钥)；(5)软硬件设施都已得到认可；(6)经过独立实体的审计，并保存审计记录；(7)设有应急措施(如“恢复损失软件或使用第三方应急密钥的附条件契约)；(8)工作人员的选择和管理；(9)认证机构自身密钥的保管安排；(10)内部具有平安性；(11)终止营业的安排，包括通知用户；(12)保证与陈述(要求或排除)；(13)责任的限制；(14)保险；(15)同其他认证机构的兼容；(16)撤销程序,数字签名应用步骤,(1)用户生成或得到独特的加密密钥对。,(2)发件人在计算机上准备拟发送的信息(如电子邮件)。,(3)发件人用平安的哈氏函数算法准备好信息摘要。数字签名由一个哈氏函数值生成。该函数值由被签署的信息和一个给定的私密钥生成，并对该信息是独特的。该哈氏函数值的平安性，表现为通过任意信息和私密钥的组合，生成同样数字签名的可能性为零