电子签名法:虚拟网络的首次现实立法
作者:三联生活周刊(文 / 蔡崇达)
三联生活周刊:虽然此前已经有很多媒体报道过电子签名法,但似乎大家还是不能真正了解所谓的电子签名法。
孔德周:国内在电子签名及其立法方面的研究几乎是空白,而且它是个跨学科的知识,加之技术性太强很难说清楚。我打一个比方,它实际上就是把你的印章储存在网络里,你只要插入钥匙,就可以在你的网络数据电文上盖上章。用严格一点的理论解释,电子签名(electronic signiture)根据联合国贸法会《电子签名示范法》(2001)的定义,是指以电子形式表现的数据,该数据在一段数据信息之中或附着于或与一段数据信息有逻辑上的联系,该数据可以用来确定签名人与数据信息的联系,并且可以表明签名人对数据信息中信息的同意。
三联生活周刊:在现实中这样的电子签名是怎么实现的,电子文本是可以修改的,它真能保证安全吗?
孔德周:关键在于一个字“糅”。目前电子签名一般使用数字签名技术,其基本做法就是利用密码学原理,对电子文件进行杂凑运算,只有用特定的密码(一般形象地称之为“密钥”)才能打开这个进行了杂凑运算的文件,否则打开的只能是一堆乱码;也不能对文件进行修改,文件会变成一堆毫无意义的乱码。也就是说,签名是和文本糅在一起的。
在现实操作中,完成一个电子合约其实可以是互相发E-mall的要约和承诺,比如我发给你一个做了数字签名的电子文件,说我的一本书可以以10万元的价格将10年的出版权出让给你这个出版社,因为我做了数字签名,你要看到里面的内容必须我告诉你密码,而且能看却不能改,因为电子签名的“钥匙”在我手上,所以你改不成9万元或者11年。也由于我做了《电子签名法》规定有效的数字签名,我的这个要约对我就有约束力,我发出去了也就不能否认了,不能因为其他出版社更好的条件而反悔不认账。如果你回一个E-mall给我,回答说:好,就这么约定,并且同样也做了数字签名,这个电子合同就有效成立了,将来如果发生纠纷起诉到法院,就不会像没有《电子签名法》的过去那样,要求证明电子文件的客观存在,双方仅出示对方给自己发的做了数字签名的电子文件就可以了。
三联生活周刊:与传统的签名相比,这电子签名似乎更安全了。
孔德周:在传统商务活动中,为了保证交易的安全与真实,一份书面合同或公文要由当事人或其负责人签字、盖章,这样在法律上才能承认这份合同是有效的。传统印章其实安全性很低,只要看过原章,完全可以做一个100%逼真的仿制品。过街天桥、电线杆上到处都是刻章办证的非法小广告。电子邮件也不如人们想象中安全,从技术上说没有经过加密的邮件其实很容易被看到。甚至有人形容网管看系统里面的电子邮件,和看没有信封而且打开的书面信件一样方便。数字签名则不同,据有些专家讲,用现有的计算最快的计算机,对一个普通的标准数字签名要花数年甚至数十年的时间才能破解。从这个意义上讲,数字签名比传统的签字盖章安全性可以说是天壤之别。
电子签名要向CA(certification 安全认证机构)申请,其实最终个人使用者从电子签名认证中心拿到的就是一个U盘。使用者只需要在电子签名时把这个U盘插入计算机,然后输入密码,就等同于给文件“加盖”了个人的身份识别,当然对于一份合同而言,只有一方同意合同条款,才会“加盖”电子签名。而且电子签名可防拷贝,一个电子公章或私章只能对应一个电子印章。业内人士认为,要破解数字证书的密码,靠几百台计算机需要几个月的计算时间。
三联生活周刊:目前广东具有合法电子签名权利的使用者只有20万名左右,使用的政府和企业单位只有3000多家。是不是说明这个法律实际上离许多普通人的现实生活还比较远?
孔德周:从法律实施上看,确实和普通人的生活还有点距离,但这种距离在电子商务和信息化程度较高的美国也是同样存在的。因为一般个人和不需要签订电子合同的企业、小商店是没有必要使用电子签名的。电子签名技术是有偿使用的,而且向CA申请电子证书时并不是一次办理无限期使用的。对个人使用者,我国CA一般一年收费96元。如果是第一次申请,还需要专门花费240元购买一个由国密办授权密码的USB电子密钥——就是一个加密的U盘。一般人是不会为了写电子邮件、传送一般信息而申请使用电子签名技术的。不过CNNIC的统计报告显示,至2004年底,我国互联网用户总数已达9400万,近四成网民在过去一年中进行过网上购物,而且人们不敢轻易在网上购物就是因为不确定对方的身份,电子签名法的另外一个作用就是电子身份证,因为签名是不可逆转拷贝的,也只有真的个人和单位才能给出自己的电子签名。所以,可以预见,如果电子签名普及将会改变很多人的消费方式。
三联生活周刊:中国电子商务协会理事长宋玲在接受记者采访时曾欣喜地说《电子签名法》的通过,对电子商务来说真是件大好事。预测电子商务会因此取代网游成为2005年最热门行业。电子签名最大的作用体现在哪些方面呢?
孔德周:主要还是在电子政务和电子商务方面。《电子签名法》大大提高了商务和政务的效率,省去了各种法律行为中依据传统立法必须见面盖章的繁琐,它给虚拟的网络生活中的各种活动主体以现实的合法证明,普及之后,会有效地改变传统的商务和政务模式。不过从近期看,最直接的还是体现在节约企业的成本和提高效率方面,所以对电子商务的促进会最大。据资料显示,美国三大汽车制造商联合在网上进行采购,每年网上采购额近3000亿美元,由此节约的成本高达100亿美元。业内人士分析认为,以上估算还是相当保守的,通过电子商务至少可以为企业节约超过10%的成本。
三联生活周刊:据悉这个法律从2001年的提出,2002年4月开始的初稿到2005年的4月1日的最终出台经历了多次的争议和大幅度的修改,主要的争议和调整是在哪些方面?
孔德周:接到起草《电子签章条例(草案)》的时候,我们预计会在2003年以国务院条例的形式出台,待实施两三年后也就是在2006年前后上升为法律。2002年底得知要直接以法律的形式出台《电子签名法》,我们真是有喜出望外的感觉。主要原因不仅在于它是国内研究的薄弱点,更重要的原因是这个法律对于现有的法律体系来说是“大逆不道”的,此前国内的立法都是以农业社会、工业社会为基础的,所以并没有关于承认网络信息的部分,它的诞生就意味着要对许多现有法律体系中权威性很高的法律说“不”!
事实上,这个法律更大意义上来说只是个基本法,它只基本的概括了电子签名的一个方面,更大的系列配套法律将慢慢出来,可以这么说,这个电子签名法是着陆在虚拟网络的第一块法律基石,虽然只是第一块,却也是异常重要的基础。■
资 讯
怎么申请电子签名
个人申请电子印章需要向国家认可的CA(certification 安全认证机构)申请,就像是刻印章,不一样的是,以前的印章店是公安局管的,而CA目前国家还没有对其管理指明具体的责任单位,目前国家对CA的管理补充条例正在制定。事实上,在颁布电子签名法前,电子签名已经成了一些大公司内部及公司之间相互约定的自律手段,据中国信息安全测评认证中心掌握的数据,中国目前一共有32个CA认证中心,这已成为被业内外广泛引用的最权威数字。但这个数字让人怀疑,因为CA认证市场发展实在太快。据报道,目前国家任何一个有关管理部门都无法提供一份在建和已建CA中心的完整名单。全国CA认证系统的建设资金已超过7亿元,从事CA运营人员已达2000多人。国内也早已经开始了电子签名的申请,按照目前的要求,申请电子签名要提交如下材料:1.个人身份证明,提供以下所列项中的一个即可:身份证复印件、户口簿复印件、护照复印件;2.由申请人所属单位出具的证明其身份和确认其证书申请要求的文件:申请人所属单位人事部门出具的证明材料,或申请人所属街道居委会出具的证明材料;3.申请人个人联系电话;4.申请人电子邮件;5.申请人单位或街道的联系人及联系电话。■
资 讯
电子签名法出台过程
2002年4月,国务院信息办公室委托中国电子信息产业发展研究院起草了《中华人民共和国电子签名条例》,最初的定位是行政法规。这是因为立法程序是比较复杂的,而当时各方面对尽快出台有关法律法规的呼声比较高,因此计划先制定一部行政法规,并争取列入下一届人大(十届人大)的立法规划,在条例颁布并执行两三年后提交人大立法。但是2002年10月国信办将《电子签名条例》提交国务院法制办审查后,国务院法制办还是认为应上升到法律。在对条例内容进行了较大幅度的修改后,形成了《中华人民共和国电子签名法(草案)》。2004年3月24日,在温家宝总理主持的国务院常务会议上,《电子签名法(草案)》获得原则通过,随即被提交全国人大讨论。4月2日,十届全国人大常委会第八次会议第一次对该法进行了审议,6月21日,十届全国人大常委会第十次会议又再次对该草案进行了审议。2004年8月28日,十届全国人大常委会第十一次会议通过了《中华人民共和国电子签名法》,并将于2005年4月1日起施行。可以说这部法律的颁布,是自2002年12月全国人大常委会通过《全国人大常委会关于维护互联网安全的决定》以来第一部具有真正意义上的信息化立法。■ 电子签名法律虚拟网络现实立法原则首次立法虚拟科技新闻数字签名网络