在电子商务中电子签名和认证的法律问题

笔者认为，政府相关部门应该积极向大众广为推介说明电子签名的定义、目的、适用范围、使用方法等，然后再由法律提供一套公平合理的游戏规则。通过建立完善的电子签名和电子认证体系，一方面可以促进电子商务的发展，另一方面可以提高人们对电子签名的接纳度并减少电子签名的伪造、变造和其他欺诈行为。
认证是一种证实某人或某事为有效或名副其实的过程，其目标仍然是着眼于“安全”。电子商务的安全问题主要包括两个方面：一、从技术上建立安全认证机制，以确认交易各方身份的真实性以及信息的保密性、完整性和不可抵赖性；同时，利用现代密码技术以及电子签名技术等，来保证电子商务活动的安全。二、当电子商务活动出现差错时，如何运用法律手段解决交易各方的责任以及权利义务关系等问题。在计算机系统或通信中，认证是良好的数据安全措施的一个重要组成部分。电子信息技术的发展极大地增强了人们获得信息的能力，同时也增加了某些敏感或有价值的数据被滥用的风险。如何确保交易对方的主体资格以及交易数据资料的安全，是电子交易各方都极为关注的问题。因此，我们必须保证买卖双方在电子交易中身份的真实可靠。电子认证的作用就在于确认交易双方真实有效的身份。

电子认证与电子签名一样都是电子商务活动中的安全保障机制。它是由特定的第三方机构提供的，对电子签名及其签名者的真实身份进行验证的服务。电子认证主要应用于电子交易的信用安全方面，以保障开放性网络环境中交易人身份的真实可靠。电子认证是确定某个人的身份信息或者是特定的信息在传输过程中未被修改或者替换。[5]

在电子交易过程中，除了交易双方以电子签名的方式来识别彼此的身份和确保传输信息的完整性外，对电子签名本身的认证问题，并不能由交易各方自己完成，而是由一个具有权威性、可信赖性和公正性的第三方来完成，从而为电子交易建立一种有效、可靠的保护机制。此第三方被称为认证机构（Certificate Authority，CA）。认证机构提供电子交易过程中的认证服务，能签发数字证书并能确认用户的真实身份。同时，由于电子商务活动常常是跨国境的，因此交易各方当事人就需要有不同国家的认证机构对各自的身份进行认证，并向电子商务活动的相对方发放电子认证证书。在实践中，就需要各国相互承认对方国家认证机构发放的电子认证证书的效力，以保证电子商务活动的顺利进行。

认证机构在电子商务活动中既不向在线当事人出售任何商品，也不提供资金或劳动力资源，它所提供的服务只是一种无形的证书信息。这种数字证书包含一个公开密钥、交易相对人的姓名以及认证机构的电子签名、密钥的有效时间，发证机关的名称，证书的序列号等。在整个电子交易过程中，认证机构不仅要对进行电子交易的各方当事人负责，还要对整个电子商务的交易秩序负责，因此，它是一个十分重要的机构。

在认证机构的设立上，我们必须强调它应是一个独立的法律实体，即是说它能够以自己的名义提供服务，能够以自己的财产提供担保，同时能在法律规定的范围内独立承担相应的民事责任。认证机构在整个电子交易过程中必须保持中立，它一般不得直接和客户进行商业交易，也不能代表任何一方当事人的利益，而只能通过发布客观的交易信息促成当事人之间的交易。另外，电子认证机构不能以盈利为目的，它应当是一种类似于承担社会服务功能的公共事业。从国外的经验来看，设立专门、独立和非营利性的认证机构是比较合适的作法。

结合国际上电子商务立法的先例，认证机构一般应承担以下义务：一、信息披露与通知义务。其根本目的就在于维护社会公共利益和保护信息弱势群体。二、安全义务。安全可信度是公众对认证机构的要求，认证机构应当采用能够满足条件的安全系统。三、保密义务。认证机构不得对外披露需要保密的信息。此外，认证机构还负有其他义务，如：举证义务，即交易当事人在使用证书过程中发生纠纷，认证机构可以根据交易双方或一方的要求，为其提供举证服务。

同时，认证机构在提供认证服务的过程中会面临许多潜在风险。其风险的种类主要有：（1）运用技术过失致使数字记录丢失；（2）对信息未进行严格审查致使证书含虚假陈述，第三人信赖其陈述，并基于证书的等级进行交易，将损坏认证机构的可信度；（3）未经过合理适当的辨别而终止或撤销证书；（4）由于服务器故障或周期性离线修整而造成认证服务中断；（5）内部人员即认证机构有权访问证书数据库的雇员制作虚假证书或涂改证书记录；（6）外部人员使用多种方法改造认证机构的通用协议；（7）作为网络机构随着技术更新其淘汰率高，服务可能难以长期维持，但是某些长期证书的管理又需要服务一直持续下去不能中断，等等。[6]

由上述认证机构的性质与风险分析转贴于 酷文网-论文下载中心 http://www.coolwen.net