分类: 网络与安全
2008-03-22 16:00:14
什么是电子签名?
按照E-SIGN的规定,一个电子签名,就是合同中任何电子的声音或符号,以及其他各种使人能够使用其作为签名的记录格式。它可简单到Web表单中一个“我同意”的按钮,也可复杂到一个数字签名或是数字指纹,甚至是嵌入到文件中的虹膜扫描技术。通常情况下,所能预计到的法律责任越大,电子签署合同的过程也就越复杂
。正是有鉴于此,很多人对E-SIGN所规定的电子合同在法庭上的作用持怀疑态度。
全球商务电子签名法案,简称E-SIGN(Electronic Signatures in Global and National Commerce Act),于2000年获得美国国会通过并正式颁布。它确定了交易中电子合同和电子签名拥有与纸质同样的法律效力,为电子商务的发展注入了新的活力。四年过去了,拥有E-SIGN和数字签名技术双重保障的电子合同的状况又是怎样呢?
真可以说是喜忧参半。一方面它拓宽了交易的方式和范围,极大地简便了文件的维护和收集;而另一方面,人们对电子合同的信任远不及传统的书面格式,实际上,各种欺诈和滥用比比皆是,尤其对高额交易而言,都是法庭上诉讼的焦点。为了发挥电子签名和电子合同的优势,使之平稳有序地向前发展,可以从以下几个方面辅以措施。
降低电子合同风险
首先,合同或协议作为一种纸面的约束并不能保证其内容的实施或执行,而合同末尾签名处的点划线上如果是一个电子签名的话,其约束力就更低了。尽管如此,电子签名确实可在一定程度上鉴别文件并验证签名者,它可促使签名者按照合同的条款去履行自己的义务,这样能一定程度地减少签名者抵赖其签名并拒绝合同条款的几率。实际上,避免对方抵赖协议的最佳方式是,在交易过程中就通过提问去鉴别对方的身份,如对方的身份证号码,社会保险号码,母亲的名字和生日等。为保证鉴定结果的有效性和真实性,类似的问题还可以问得更深入,但应注意,太多的问题可能会改变在线用户的态度,交易也随之终止。另一个可行的办法是采用问卷表。
数字签名外包
其次,在B2B的大宗交易中,通常是使用一个唯一的PIN码、符号(token),或其他智能卡中的数据形式来鉴别对方,而一个更周密更安全的方法则是使用PKI系统(Public Key Infrastructure,公钥架构)。其中公钥和密钥与数字证书结合在一起生成一个电子签名,数字证书是由某个CA(certificate authority,认证中心,来自于企业或某个受托中心,如VerSign)负责生成。一个PKI再加上智能卡更增添了安全系数:卡的token中包含了从密钥生成的数字签名,和仅签名者知道的鉴定是否通过认证的内容,这样使得黑客对数字签名的攻击将非常困难,除非黑客掌握了这两样内容。但是设置一个PKI并实施tokens并不是一件容易的事情:这些系统要生成身份信息或签名来鉴别网络业务的用户,还要将签名和其他电子记录以某种hash算法加密后附带到文件中。
注意收集和维护
最后,从理论上而言,有鉴定技术存在的电子交易过程与一个面对面的会谈是等同的,用户可以保存和维护与合同相关的鉴定数据和详细的交易记录。但为了增加实际操作中的安全性和有效性,仍可以采取一定的措施来降低电子交易的风险:如将文件中大多数的信息都进行hash加密,而对一些敏感的交易则可采用一种称为“一写多读”的WORM(write once,read many)形式。在交易过程中乃至交易完成后,交易双方应尽量收集和维护合同的内容及背景资料,如日期、时间、文件的发送地点、文件的接收形式,以及收到后文件又被做了哪些处理等,这些可借助于详细的日志文件来完成。交易的内容可能包括多个文件或其他形式,但交易者最好将他们收集整理成一个文件,也就是经客户确认并发送的最终协议,并使用某种算法使之生成唯一的ID,以防止他人的窜改,如向文件中附加一个电子标记、注释,或一个与协议相关的E-mail附件等。这种收集和维护工作具有很重要的意义:例如交易一方声称已经向这个协议中添加了一个附件,而另一方却声称从未收到那样一个附件,那么在法庭上,如果交易一方能出示收集到的整个交易过程的记录作为有力的证据,便可以维护自己合法的权利。另外,交易过程还须证明文件的发送是真实有效的,例如有时交易者过早地点击了Web表单中的发送按钮,此时无法判断他是有意还是因为操作失误而没有详细浏览协议条款,因此交易的过程应设计的更周全。如表单提交完成后可再将协议条款呈送给用户做进一步的浏览,也可添加一个在线助手或一个免费的咨询电话,这些都可进一步保证最终交易或合同的有效性。
电子合同实施难度大
尽管E-SIGN的颁布使纸质的合同和电子合同在法律意义上是等同的,但是电子的版本还是背上了额外的开销:首先,承办人在交易前要与客户进行沟通,以了解他们是否同意使用电子的记录,再者是否仅限于某个独立的交易,还是整个交易范围期间内的全部记录,这个过程是很费时费力的。法案要求承办人必须给其商业客户或交易对方一个包括各种选项(以非电子的硬拷贝形式)的清晰明确的陈述,也就是说,除了条款和协议本身外,还需有一个独立的“使用协议的协议”文件来解释诸如决定参加,撤销和同意等整个合同的过程,而且这个协议对制定者而言必须是随手可得的。这些预备工作完成后,也不代表在法庭上就能依此电子合同去维护自己的权益,因为在公众眼中,以电子格式存储的信息是最容易受到攻击的目标,所以为了增加可信度,还需用上面提到的方法去收集和维护整个交易过程的资料。
E-SIGN的颁布承认了电子合同和数字签名的合法性,给电子交易的迅速发展铺平了道路,同时,E-SIGN也使得交易者可以方便地使用电子记录来维护大量的数据。但是,E-SIGN并不是一个疏而不漏的法律:首先,它不能用于收养、离婚和遗嘱等形式;而按照美国一些州法的规定,一些合同条款、协议和法律义务等都要求只能用书写的形式,某些商贸、公关等领域的签名也必须以手写形式,如销售额超过一定数额的销售合同等。实际上,E-SIGN最大的障碍来自于传统观念的挑战:即电子形式能否像书面形式那样,实实在在地建立起一个合法的记录,并提供令人信服的法律意义上的证据。
值得注意的是四年前克林顿签署E-SIGN的时候用的是笔而不是键盘。