论文部分内容阅读
[摘要] 随着电子商务的迅猛发展,数字签名被广泛应用。而针对数字签名的假冒、伪造行为也随之伴生。如何界定这种行为以及因假冒、伪造行为产生的民事责任应如何分担,结合他国的一些借鉴性做法,对假冒数字签名的行为仍应适用传统民事领域的善意第三人制度,但适用条件有所变化;而对于伪造的数字签名,则由信赖方承担相应的后果。
[关键词] 数字签名 假冒 伪造
一、对数字签名的假冒与伪造概说
随着信息时代的来临,特别是Internet席卷全球,电子商务得到了蓬勃发展,数字签名也应运而生。关于数字签名的概念说法众多,本文所谓数字签名系指利用非对称密钥加密的安全技术方案表明对电子记录的证明或批准之任何字母、文字、数字或其他符号。 然而网络交易在快速发展的同时也面临着诸多隐蔽的数字困扰,如欺诈和伪造,因此,一方面要建立一种确保网上交易信息真实性且能验明交易双方身份的机制,另一方面如何防范利用技术手段假冒、伪造数字签名以确保电子商务的良性健康发展也显得十分迫切。关于何为假冒,何为伪造,《辞海》的解释是:“伪”即作伪,虚假,与真相对;“假”即不真,虚伪。 《现代汉语大词典》的解释为:“伪造”即假造;“假冒”即以假充真,冒充;而该词典对“冒充”的解释为“以假充真”。 由此可见,假冒和伪造仍存在着细微的区别,“假冒”更为强调“冒”,是通过制造假的去冒充客观存在的真的;而伪造则更为强调“假”,是假造出来的,而真物本身并不存在。
专门就假冒、伪造数字签名作出规定的国家并不多,而且在已有的立法中各自规范的内容也不尽相同。如《美国犹他州数字签名法案》第103条(13)明确规定了伪造数字签名:“伪造数字签名指未经私人密钥合法持有人的授权而创制的表面上具有真实性的数字签名。”《新加坡电子交易法》则使用了“不可靠的数字签名”的提法,该法第22条规定:“除非法律或合同另有规定,如果数字签名不属于下列合理因素,那么个人依赖该数字签名签署的电子记录承担数字签名无效或数字签名不真实的风险:(a)依赖于数字签名签署的电子记录的个人知道或已经注意到有关事实,包括证书中列举的事实或包含在其他附录中的事实;(b)如果知道数字签名签署的电子记录的价值及其重要性;(c)依赖数字签名签署的电子记录的个人和登记人之间有处理过程,已经可以获得的数字签名之外的签署是否可靠的其他情况;以及(d)使用任何交易方式,尤其是使用可靠系统或其他电子交易方式执行交易。”而《美国律师协会数字签名指南》第5.3条则使用了“不可信赖的数字签名”的提法,这后两者主要是从效果的角度来界定假冒、伪造的数字签名,并且范围更广泛些。而《联合国电子签名统一规则(草案)》第7条仅规定了“未经授权使用的电子签名”的情形。相比较而言,《马来西亚数字签名法案》规定得较为明确和周全,该法第2条中将“伪造签名”定义为:“(a)未经私人密码合法持有人的授权而创制数字签名;(b)创制一个认证证书标列为用户人的签名,但该人并不存在或并不拥有与证书中标明的公共密码相应的私人密码。”《马来西亚数字签名法案》将伪造签名区分为两种情形,结合上述关于假冒、伪造的定义,我们不妨将(a)种情形称为假冒电子签名,将(b)种情形称作为伪造电子签名。而对(a)种“未经私人密码合法持有人授权而创制数字签名”的情形,又可分为通过破解密码盗用私钥创制数字签名和已知私钥但在无合法授权的情况下擅自使用私钥以合法持有人的名义创制数字签名两种情形。
当然,从技术上讲,对数字签名的盗用和伪造是不太可能的。对于盗用他人数字签名的,由于“不可逆”原理的作用,尽管公私钥之间在数学上存在相关性,但要从对公钥的了解推知私钥在计算上是不可行的, 因此,尽管很多人可能知道特定签名者的公开密码,并利用它核实签名者的签名,但他们却不能发现那个签名者的私人密码并进行盗用;而对于伪造签名也是同样的道理,伪造一个并不存在的用户并签发所谓的数字证书,就意味着需要推算出认证机构的密钥,从技术上来讲,这几乎是不可能的。 而如果伪造人仅仅通过制作一份虚假的证书或签名而不能提供有效的认证证书,则接收方可以通过对其数字签名进行验证发现其并非出自相关认证机构而否定其真实有效性。因此最有可能出现的情形就是由于私钥管理上出现的漏洞造成私钥未经授权使用的情形,因而这种情形也是我们在制度设计上最需要防范和规制的。
二、假冒、伪造数字签名的民事法律责任
未经授权使用数字签名是最有可能出现的假冒情形,因此现有立法的重点也放在了对这一种情形的规制上。以《联合国电子签名统一规则(草案)》为例,该草案第7条规定了未经授权使用电子签名的责任:“(1)如果一个电子签名是某数字信息的附件,并且(a)电子签名是未经授权的:(b)据称的签署人没有尽到适当的注意以避免未经授权的签名的使用;并且(c)收件人因诚实信用并合理地信赖该签名而遭致损失时,该数据信息将归属于据称的签署人,除非考虑数字电讯使用的目的和其他有关情况,这是明显不公平的。(2)当依前款规定,基于明显不公平的原因,数字电讯不归属于称谓的签署人时,称谓的签署人不对收件人恢复其在未授权签名使用前的状况而支出的费用承担责任。(3)第(1)款不适用于下列情况:(a)收件人履行合理的注意即可知道或者应当知道签字不是称谓的签署人所为;(b)收件人从称谓的签署人处获悉签字不是称谓的签署人所为而且收件人有合理的时间处理。(4)依据第(1)款,有下列情况之一的,将未经授权使用的签名归属称谓的签署人的,视作明显不公平:(a)将导致称谓的签署人的困难与收件人遭受的损失不成比例:(b)……。”根据该条规定,我们发现其责任设计和传统领域基本上保持了一致。在未经授权使用电子签名的情况下,只要收件人是善意的,并且被称谓的签署人有过失,则推定该电子签名是称谓的签署人所作出,经该电子签名签署的数据信息仍归属于据称的签署人。换言之,如果收件人是非善意或有过失,或者据称的签署人无过失,则该未经授权的电子签名不得视为是据称的签署人的。可以看出,这种规定仍是民法中关于善意第三人制度的延伸。但是,和传统民法领域适用的善意第三人制度相比,在电子商务领域也存在它的特殊性:从适用的要件上分析可以看出,在电子商务领域,对签名所有人的保护更为周延,或者说对适用第三人保护制度更为严格。在传统领域,只要第三人是善意无过失的,则要保护第三人的既得利益;而在电子商务领域,不仅要求第三人是善意无过失的,而且仅在称谓的签署人有过错的情形下,第三人的利益方可从指称的签署人处得到保护;同时,不同于传统领域的是,既使是在符合条件的情形下,统一规则仍然规定了适用例外的情形,即:如果将未经授权使用的签名归属于称谓的签署人是明显不公平的,则称谓的签署人不对该签名负责。至于何为“明显不公平”,草案规定了一些指南:所谓“明显不公平”,意指在“本质上不公平并在当事人之间导致明显的不平衡或不正当地给予一方过多的优势”。 工作组还可能考虑其他在归属环境下不公平的情况。
以上是针对假冒签名情形下的责任承担,如果是伪造签名的情形呢?即根本不存在伪造的证书上所列的签署人或者以自己作为签署人但实际上并未得到认证机构的认可。这种伪造认证机构私钥从而伪造证书的模式在技术上相当困难,或者该证书也许根本就不能达到合理可信的程度,在有些国家这被列为“不可靠的数字签名”之列,对信赖这种“不可靠的数字签名”产生的责任一般由信赖方自行承担。如《马来西亚数字签名法案》第63条第(1)款规定:“除非法律另有规定或合同另有约定外,如果信赖根据当时情形认为是不合理的数字签名,则数字签名的接受方应承担数字签名虚假的风险。”又如《美国数字签名指南》第5.3.2规定:“信赖方可以选择信赖有疑问的(不可信赖的)数字签名,但可能要承担数字签名虚假,或不可归属于某确定的签署者等巨大风险。”《新加坡电子交易法》第22条也规定,“……如果数字签名不属于下列合理因素,那么个人依赖该数字签名签署的电子记录承担数字签名无效或数字签名不真实的风险……”。即在这种情形下,接收方将承担因其不合理的信任而产生的风险。当然责任的最终承担者是做出伪造签名的行为人。
同时依据各国的规定,无论在何种情形下,认证机构对因假冒、伪造电子签名产生的责任均不负责,只要它已遵守了相关的规定。如《美国犹他州数字签名法》第309-2条(1)规定:“就与虚假或伪造的数字签名有关事宜已遵守本法所有重要规定的,该许可之认证机构对依赖虚假或伪造的数字签名所导致的任何损失没有责任。”又如《马来西亚数字签名法案》第61条(a):“在出现假冒或错误的数字签名的情形下,特许认证机构是根据本法案的要求行事,则对因信赖假冒用户人的或错误的数字签名所造成的任何损失,认证机构不承担任何赔偿责任。”《香港电子交易条例》第42条(1)规定:“除非认可核证机关免除本款对其适用,否则该机关如已就其发出的认可证书遵守本条例的规定及遵守业务守则,即无须就因依据该证书证明的虚假或伪造的登记人数码签署所导致的任何损失负法律责任。”
无论如何,需要明确的一点是,即使在传统商业领域,假冒和伪造也都属于制度设计只能减少而不可能消灭和杜绝的问题,因而不要希冀能通过制度架构完全地克服电子商务领域的伪造数字签名的现象,正如同不可能杜绝假签名、假印章现象一样。
参考文献:
邵贞:电子签名概念之辩析[J].成都行政学院学报.2005.5
[关键词] 数字签名 假冒 伪造
一、对数字签名的假冒与伪造概说
随着信息时代的来临,特别是Internet席卷全球,电子商务得到了蓬勃发展,数字签名也应运而生。关于数字签名的概念说法众多,本文所谓数字签名系指利用非对称密钥加密的安全技术方案表明对电子记录的证明或批准之任何字母、文字、数字或其他符号。 然而网络交易在快速发展的同时也面临着诸多隐蔽的数字困扰,如欺诈和伪造,因此,一方面要建立一种确保网上交易信息真实性且能验明交易双方身份的机制,另一方面如何防范利用技术手段假冒、伪造数字签名以确保电子商务的良性健康发展也显得十分迫切。关于何为假冒,何为伪造,《辞海》的解释是:“伪”即作伪,虚假,与真相对;“假”即不真,虚伪。 《现代汉语大词典》的解释为:“伪造”即假造;“假冒”即以假充真,冒充;而该词典对“冒充”的解释为“以假充真”。 由此可见,假冒和伪造仍存在着细微的区别,“假冒”更为强调“冒”,是通过制造假的去冒充客观存在的真的;而伪造则更为强调“假”,是假造出来的,而真物本身并不存在。
专门就假冒、伪造数字签名作出规定的国家并不多,而且在已有的立法中各自规范的内容也不尽相同。如《美国犹他州数字签名法案》第103条(13)明确规定了伪造数字签名:“伪造数字签名指未经私人密钥合法持有人的授权而创制的表面上具有真实性的数字签名。”《新加坡电子交易法》则使用了“不可靠的数字签名”的提法,该法第22条规定:“除非法律或合同另有规定,如果数字签名不属于下列合理因素,那么个人依赖该数字签名签署的电子记录承担数字签名无效或数字签名不真实的风险:(a)依赖于数字签名签署的电子记录的个人知道或已经注意到有关事实,包括证书中列举的事实或包含在其他附录中的事实;(b)如果知道数字签名签署的电子记录的价值及其重要性;(c)依赖数字签名签署的电子记录的个人和登记人之间有处理过程,已经可以获得的数字签名之外的签署是否可靠的其他情况;以及(d)使用任何交易方式,尤其是使用可靠系统或其他电子交易方式执行交易。”而《美国律师协会数字签名指南》第5.3条则使用了“不可信赖的数字签名”的提法,这后两者主要是从效果的角度来界定假冒、伪造的数字签名,并且范围更广泛些。而《联合国电子签名统一规则(草案)》第7条仅规定了“未经授权使用的电子签名”的情形。相比较而言,《马来西亚数字签名法案》规定得较为明确和周全,该法第2条中将“伪造签名”定义为:“(a)未经私人密码合法持有人的授权而创制数字签名;(b)创制一个认证证书标列为用户人的签名,但该人并不存在或并不拥有与证书中标明的公共密码相应的私人密码。”《马来西亚数字签名法案》将伪造签名区分为两种情形,结合上述关于假冒、伪造的定义,我们不妨将(a)种情形称为假冒电子签名,将(b)种情形称作为伪造电子签名。而对(a)种“未经私人密码合法持有人授权而创制数字签名”的情形,又可分为通过破解密码盗用私钥创制数字签名和已知私钥但在无合法授权的情况下擅自使用私钥以合法持有人的名义创制数字签名两种情形。
当然,从技术上讲,对数字签名的盗用和伪造是不太可能的。对于盗用他人数字签名的,由于“不可逆”原理的作用,尽管公私钥之间在数学上存在相关性,但要从对公钥的了解推知私钥在计算上是不可行的, 因此,尽管很多人可能知道特定签名者的公开密码,并利用它核实签名者的签名,但他们却不能发现那个签名者的私人密码并进行盗用;而对于伪造签名也是同样的道理,伪造一个并不存在的用户并签发所谓的数字证书,就意味着需要推算出认证机构的密钥,从技术上来讲,这几乎是不可能的。 而如果伪造人仅仅通过制作一份虚假的证书或签名而不能提供有效的认证证书,则接收方可以通过对其数字签名进行验证发现其并非出自相关认证机构而否定其真实有效性。因此最有可能出现的情形就是由于私钥管理上出现的漏洞造成私钥未经授权使用的情形,因而这种情形也是我们在制度设计上最需要防范和规制的。
二、假冒、伪造数字签名的民事法律责任
未经授权使用数字签名是最有可能出现的假冒情形,因此现有立法的重点也放在了对这一种情形的规制上。以《联合国电子签名统一规则(草案)》为例,该草案第7条规定了未经授权使用电子签名的责任:“(1)如果一个电子签名是某数字信息的附件,并且(a)电子签名是未经授权的:(b)据称的签署人没有尽到适当的注意以避免未经授权的签名的使用;并且(c)收件人因诚实信用并合理地信赖该签名而遭致损失时,该数据信息将归属于据称的签署人,除非考虑数字电讯使用的目的和其他有关情况,这是明显不公平的。(2)当依前款规定,基于明显不公平的原因,数字电讯不归属于称谓的签署人时,称谓的签署人不对收件人恢复其在未授权签名使用前的状况而支出的费用承担责任。(3)第(1)款不适用于下列情况:(a)收件人履行合理的注意即可知道或者应当知道签字不是称谓的签署人所为;(b)收件人从称谓的签署人处获悉签字不是称谓的签署人所为而且收件人有合理的时间处理。(4)依据第(1)款,有下列情况之一的,将未经授权使用的签名归属称谓的签署人的,视作明显不公平:(a)将导致称谓的签署人的困难与收件人遭受的损失不成比例:(b)……。”根据该条规定,我们发现其责任设计和传统领域基本上保持了一致。在未经授权使用电子签名的情况下,只要收件人是善意的,并且被称谓的签署人有过失,则推定该电子签名是称谓的签署人所作出,经该电子签名签署的数据信息仍归属于据称的签署人。换言之,如果收件人是非善意或有过失,或者据称的签署人无过失,则该未经授权的电子签名不得视为是据称的签署人的。可以看出,这种规定仍是民法中关于善意第三人制度的延伸。但是,和传统民法领域适用的善意第三人制度相比,在电子商务领域也存在它的特殊性:从适用的要件上分析可以看出,在电子商务领域,对签名所有人的保护更为周延,或者说对适用第三人保护制度更为严格。在传统领域,只要第三人是善意无过失的,则要保护第三人的既得利益;而在电子商务领域,不仅要求第三人是善意无过失的,而且仅在称谓的签署人有过错的情形下,第三人的利益方可从指称的签署人处得到保护;同时,不同于传统领域的是,既使是在符合条件的情形下,统一规则仍然规定了适用例外的情形,即:如果将未经授权使用的签名归属于称谓的签署人是明显不公平的,则称谓的签署人不对该签名负责。至于何为“明显不公平”,草案规定了一些指南:所谓“明显不公平”,意指在“本质上不公平并在当事人之间导致明显的不平衡或不正当地给予一方过多的优势”。 工作组还可能考虑其他在归属环境下不公平的情况。
以上是针对假冒签名情形下的责任承担,如果是伪造签名的情形呢?即根本不存在伪造的证书上所列的签署人或者以自己作为签署人但实际上并未得到认证机构的认可。这种伪造认证机构私钥从而伪造证书的模式在技术上相当困难,或者该证书也许根本就不能达到合理可信的程度,在有些国家这被列为“不可靠的数字签名”之列,对信赖这种“不可靠的数字签名”产生的责任一般由信赖方自行承担。如《马来西亚数字签名法案》第63条第(1)款规定:“除非法律另有规定或合同另有约定外,如果信赖根据当时情形认为是不合理的数字签名,则数字签名的接受方应承担数字签名虚假的风险。”又如《美国数字签名指南》第5.3.2规定:“信赖方可以选择信赖有疑问的(不可信赖的)数字签名,但可能要承担数字签名虚假,或不可归属于某确定的签署者等巨大风险。”《新加坡电子交易法》第22条也规定,“……如果数字签名不属于下列合理因素,那么个人依赖该数字签名签署的电子记录承担数字签名无效或数字签名不真实的风险……”。即在这种情形下,接收方将承担因其不合理的信任而产生的风险。当然责任的最终承担者是做出伪造签名的行为人。
同时依据各国的规定,无论在何种情形下,认证机构对因假冒、伪造电子签名产生的责任均不负责,只要它已遵守了相关的规定。如《美国犹他州数字签名法》第309-2条(1)规定:“就与虚假或伪造的数字签名有关事宜已遵守本法所有重要规定的,该许可之认证机构对依赖虚假或伪造的数字签名所导致的任何损失没有责任。”又如《马来西亚数字签名法案》第61条(a):“在出现假冒或错误的数字签名的情形下,特许认证机构是根据本法案的要求行事,则对因信赖假冒用户人的或错误的数字签名所造成的任何损失,认证机构不承担任何赔偿责任。”《香港电子交易条例》第42条(1)规定:“除非认可核证机关免除本款对其适用,否则该机关如已就其发出的认可证书遵守本条例的规定及遵守业务守则,即无须就因依据该证书证明的虚假或伪造的登记人数码签署所导致的任何损失负法律责任。”
无论如何,需要明确的一点是,即使在传统商业领域,假冒和伪造也都属于制度设计只能减少而不可能消灭和杜绝的问题,因而不要希冀能通过制度架构完全地克服电子商务领域的伪造数字签名的现象,正如同不可能杜绝假签名、假印章现象一样。
参考文献:
邵贞:电子签名概念之辩析[J].成都行政学院学报.2005.5