子签名法实施已超过八个月。在这八个月的时间里,十二家电子认证服务机构领到了信息产业部颁发的经营许可证,其电子签名证书的发放量也得到了成倍的增长;在电子签名法及电子支付指引的鼓励下,网上支付快速发展,第三方支付机构已从一年前的几家发展为五十余家;除网上支付外,电子签名在电子税收、电子海关、网上采购等领域的应用也得到了电子签名法的有力推动;由于电子签名法明确了数据电文的合法地位,一些关系到数据电文证据力的纠纷在法院得到了及时裁判。当然,作为我国第一部信息化法律,电子签名法的实施推进绝非一项简单的工作,还需要得到来自普及法律、hr、司法、技术标准、规范操作、市场认可等各方面的支持。目前电子签名法的推进还是有很多不尽如人意的地方,存在消费者的认可度依然很低、电子认证的标准规则未全面建立、电子签名法的司法准备工作还未展开等诸多问题。而只有电子签名法实施推进的整体环境得到不断提高,我国电子商务与信息化才能真正走上法制化、规范化的发展道路。下面,我们就目前我国电子签名法实施中的一些主要问题展开分析,进一步探讨我国电子签名法具体规定在实践中的情况,希望能得到有关方面的重视,加强研究,有力推动,切实有效地推进电子签名法的实施工作。关于电子签名:一、可靠电子签名的认定问题我们知道,在我国《电子签名法》第十三条规定:“电子签名同时符合下列条件的,视为可靠的电子签名:(一)电子签名制作数据用于电子签名时,属于电子签名人专有;(二)签署时电子签名制作数据仅由电子签名人控制;(三)签署后对电子签名的任何改动能够被发现;(四)签署后对数据电文内容和形式的任何改动能够被发现。当事人也可以选择使用符合其约定的可靠条件的电子签名。”第十四条规定:“可靠的电子签名与手写签名或者盖章具有同等的法律效力。”也就是说,在我国电子签名法中,并不是所有电子签名都具备签字盖章的法律效力的,只有可靠的电子签名才能享受这一“待遇”。而可靠的电子签名只能通过两种方式产生,其一,当事人约定;其二,符合我国电子签名法第十三条规定的那四个条件。考虑到技术中立的原则,我国电子签名法并没有直接规定数字签名,或者经电子认证服务机构认证的数字签名就是可靠的电子签名。也就是说,数字签名或经电子认证服务机构认证的数字签名是否是可靠的电子签名,也要通过电子签名法第十三条的四个条件进行判断。当然,从技术角度看,数字签名,尤其是经电子认证服务机构认证的数字签名应是完全可以满足这四个条件的。但这样的理解恐怕只停留在对数字签名和电子签名法较为熟知的人群中,大多数人,可能包括多数法官在内,由于不能直接从电子签名法中找到可靠电子签名与数字签名的关系,对于判断什么样的电子签名是可靠的电子签名,什么样的电子签名不能成为可靠的电子签名,数字签名及经电子认证服务机构认证的数字签名与可靠的电子签名究竟是种什么样的关系,什么是电子签名制作数据用于电子签名时属于电子签名人专有,什么是签署时电子签名制作数据仅由电子签名人控制,什么是签署后对电子签名的任何改动能够被发现,什么是签署后对数据电文内容和形式的任何改动能够被发现,当事人在什么情况下对可靠电子签名的约定才是有效的等等问题,恐怕还是存在着很大的障碍。而我们知道,作为一部法律,一旦在实施中出现纠纷,纠纷双方很可能是要对簿公堂的,考虑到目前我国电子签名法对可靠电子签名判断的不易掌握性与执法者对这一崭新领域的陌生感之间的反差,我们还是不得不忧虑了起来。为了使我国电子签名法得以顺利实施,在认定什么是可靠电子签名的问题上,我们的专家学者、学协会和有关管理部门一方面需要与司法部门取得有效的沟通,使对可靠电子签名的认定程序化、简易化并易于掌握、便于操作;另一方面,还要不断教育我们的广大用户,使其具备自行约定可靠电子签名的常识和能力,以及时维护自身的合法权益。围绕这两个目的的工作可以有三:在合适的时候出台司法解释,明确经国家有关部门认可的电子认证服务机构颁发的数字签名在正确使用的前提下就可以认定为可靠电子签名;保持与司法部门的良好沟通,为司法提供专家支持;不断普法,让广大用户掌握自行约定可靠电子签名的能力。关于电子认证:二、第三方认证服务的定义和认证服务的选择问题我国《电子签名法》第十六条规定:“电子签名需要第三方认证的,由依法设立的电子认证服务提供者提供认证服务。”结合这一条,在《电子认证服务管理办法》中,其第二条又规定:“本办法所称电子认证服务,是指为电子签名相关各方提供真实性、可靠性验证的公众服务活动。本办法所称电子认证服务提供者,是指为电子签名人和电子签名依赖方提供电子认证服务的第三方机构(以下称为“电子认证服务机构”)”。而在目前我国电子认证服务的实际运行工作中,围绕前面这几条的规定,一个比较突出的问题是:什么是“第三方认证”?那些未经过信息产业部等有关部门许可的电子认证服务提供者是否还可以继续开展业务?首先,我们认为,根据我国《电子签名法》第十六条规定,电子认证服务并不是所有电子签名所必须的,只是在需要第三方认证的情况下,由依法设立的电子认证服务提供者提供认证服务。密码、口令、生物识别技术等大多不需要第三方的认证。那么,这里的“需要”应作何解释,是当事人认为需要的“需要”还是电子签名技术本身需要认证的“需要”?我个人认为,似乎作后一种解释更合理些,更符合这句话表述的逻辑,即如电子签名技术本身需要第三方认证才能完成的,应由依法设立的电子认证服务提供者提供认证服务。因为如是前一种解释,这句话完全可以直接写成“电子签名当事人认为需要第三方认证的”。由于数字签名本身是要通过第三方认证才能完成的,这样,我们就不妨进一步把这句话解释为:数字签名的第三方认证由依法设立的电子认证服务提供者提供认证服务。第二,既然第十六条这样规定,我们不妨再进一步明确:需要第三方认证的电子签名应由依法设立的电子认证服务提供者提供认证服务。即电子签名的第三方认证只能由依照《电子签名法》及《电子认证服务管理办法》设立的电子认证服务提供者承担。未经《电子签名法》及《电子认证服务管理办法》规定程序设立的电子认证服务机构不得承担针对电子签名的第三方认证服务。第三,对于究竟什么是“第三方认证”,是一个从《电子签名法》到《电子认证服务管理办法》一直没有明确的问题,也是到目前为止电子签名法实施中最为困惑的问题之一。根据《电子签名法》第十六条及《电子认证服务管理办法》第二条的描述,我们基本上可以这样来勾画第三方认证的轮廓:其一,这里的第三方一定是双方当事人之外的第三方,即电子签名人及电子签名依赖方之外的第三方,如果这种认证由电子签名人或电子签名依赖方自己来完成,那么这里面就只有两方,也就不存在所谓第三方的说法。另外,从“认证”这个词语本身的涵义看,这一定不是当事人双方自己可以完成的工作,否则这样的认证只能是不严肃的、不具备公正性的,认证本身只能由第三方完成。《现代汉语词典》将“认证”解释为:“公证机关对当事人提出的文件审查属实后给予证明”,即认证本身应是一种特指的由专门机关来完成的活动,是一种需要很强的公正性的活动。其二,《电子认证服务管理办法》所界定的电子认证服务一定是面向公众的,所谓公众,可以理解为不特定多数的人群,即不是一个特定范围内的人的概念。这样层层分析下来,我们的结论就很清楚了:认证本身就是一种第三方的活动,不存在非第三方的认证,而且应由具有特殊资质的单位承担,这种特殊资质在数字签名领域,就是《电子签名法》和《电子认证服务管理办法》所规定的许可等要求。从技术实现的角度看,有些电子签名,如密码、口令、生物识别技术等,是不要第三方的认证就可以完成的,那就没必要再通过第三方认证。但有些电子签名,如数字签名等,其验证等一定是要通过第三方才能完成的,则应由依法设立的电子认证服务提供者提供认证服务。三、电子签名在电子政务中应用的问题《电子签名法》第三十五条明确:“国务院或者国务院规定的部门可以依据本法制定政务活动和其他社会活动中使用电子签名、数据电文的具体办法。”也就是说,这部《电子签名法》主要是针对民事活动的,如该法第三条规定:“民事活动中的合同或者其他文件、单证等文书,当事人可以约定使用或者不使用电子签名、数据电文”。在政务活动中使用电子签名、数据电文的具体办法应另行制定。那么,在目前还不存在这样的规定的情况下怎么办?我们只能理解为可以比照民事活动中使用电子签名的规定处理。根据我国电子学会电子签名专家委员会《2004年中国电子认证服务业发展研究报告》),我国有80%的电子签名恰恰是应用在电子政务领域的,这样一来,这种法律规定的缺位就很明显了。所以,我们建议应尽快明确我国电子政务领域应用电子签名的规定,尤其是在面向公众的电子政务领域,如电子税收等。因为据我们观察,其各方面的需求与民事活动中使用电子签名是基本一致的,可以直接适用电子签名法。但由于有电子签名法第三十五条的规定,还是尽快由国务院或国务院规定的部门出台一个我国电子政务领域适用电子签名的具体规定更为名正言顺些。四、境外电子认证服务认可的问题《电子签名法》第二十六条规定:“经国务院信息产业主管部门根据有关协议或者对等原则核准后,中华人民共和国境外的电子认证服务提供者在境外签发的电子签名认证证书与依照本法设立的电子认证服务提供者签发的电子签名认证证书具有同等的法律效力。”作为配套规定,《电子认证服务管理办法》第四十二条明确:“经信息产业部根据有关协议或者对等原则核准后,中华人民共和国境外的电子认证服务机构在境外签发的电子签名认证证书与依照本办法设立的电子认证服务机构签发的电子签名认证证书具有同等的法律效力。”但究竟境外的电子认证服务提供者在境外签发的电子签名认证证书如何与依照本法设立的电子认证服务提供者签发的电子签名认证证书取得同等的法律效力,应按照什么样的程序操作,应提交哪些材料,这里的“有关协议”应是指哪个层面的协议?等等,还是一个尚未明确的问题,急需在进一步的相关规定中得到明确。关于数据电文:五、数据电文能否独立作为证据的问题2005年7月,北京海淀区法院审理了一起以手机短信息为主要证据的借款纠纷,在裁判中第一次援引了刚刚实施的《电子签名法》的规定,被喻为“电子签名法第一案”。在该案的判决中,法官有一段话比较耐人寻味:“依据2005年4月1日起施行的《中华人民共和国电子签名法》中的规定,电子签名是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。数据电文是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。移动电话短信息即符合电子签名、数据电文的形式。同时移动电话短信息能够有效的表现所载内容并可供随时调取查用;能够识别数据电文的发件人、收件人以及发送、接收的时间。经本院对杨先生提供的移动电话短信息生成、储存、传递数据电文方法的可靠性;保持内容完整性方法的可靠性;用以鉴别发件人方法的可靠性进行审查,可以认定该移动电话短信息内容作为证据的真实性。根据证据规则的相关规定,录音录像及数据电文可以作为证据使用,但数据电文可以直接作为认定事实的证据,还应有其它书面证据相佐证。”尤其是最后一句:“但数据电文可以直接作为认定事实的证据,还应有其它书面证据相佐证”。当然这只是一个个案,但在《电子签名法》第七条明确:“数据电文不得仅因为其是以电子、光学、磁或者类似手段生成、发送、接收或者储存的而被拒绝作为证据使用。”第八条规定:“审查数据电文作为证据的真实性,应当考虑以下因素:(一)生成、储存或者传递数据电文方法的可靠性;(二)保持内容完整性方法的可靠性;(三)用以鉴别发件人方法的可靠性;(四)其他相关因素”后,究竟数据电文能否独立作为证据来认定事实?又成了我们非常关心的下一个问题。