电子商务交易中存在哪些法律问题

1、身份认证

确认电子交易各方的身份是顺利开展电子交易的前提,在网上进行电子交易的双方在交易时,首先必须鉴别对方的可信度,这就是身份认证(Authentication)制度,认证的目的包括主要包括两个方面:一是确认信息来源;二是确认信息在传输过程中未被修改或替换。

根据目前已有的认证功能以及认证对象,电子认证可以分为以下几种:(1)站点认证,即对通过验证加密的数据能否在两个站点之间成功地传送而进行的认证;(2)数据信息认证,即对电子信息的来源、内容、时间和目的地的真实性所进行的认证;(3)身份认证,即对识别合法和非法用户,阻止非法用户访问系统而对传输电子信息的当事人的个人身份所进行的认证。

在网络上承担身份认证任务的被称为认证机构(certificate authority,CA),根据联合国贸法会的《统一电子签名规则》第2条的规定,认证机构是指以验证数字签名为目的,颁发与加密密匙相关身份证书的任何单位或者个人。美国的《统一电子交易法》规定与上述规定类似。根据以往经验,基于认证机构必须在社会上建立自己的信任度和中立性,所以认证机构一般由独立的、不以盈利为目的的第三方担任,它的主要功能包括:签发和管理电子商务证书;产生、管理使用者密钥、CA密钥等。当参加电子交易的各方向认证机构申请电子商务证书时,需提交有关身份证明经认证机构验证,然后签发证书。证书上记载的项目包括持证人的名字、证书的有效期限以及他的公开密钥等。在电子交易进行时,一方可以向对方提交证书证明自己的身份,对方可要求认证机构验证双方身份。

很显然,认证机构的重要作用是保证电子交易的安全。从国外的经验来看,认证机构应当是专业的、独立的和非营利性的机构。因其专业能有效地为客户提供服务;它的完全独立和非营利,使其处于一个独立第三人的超然位置,更容易获得交易双方的公平信任。

美国目前最出名的认证机构是总部位于美国加州Mountain View的Versign公司。该公司成立于1995年4月,其提供的数字证书服务已经遍布世界60多个国家和地区,接受该公司数字证书服务的公司用户已经超过数万家,个人用户已经超过百万人。我国较早开展认证研究的是中国银行的网上银行开发项目。1998年,中国银行与世纪互联及瑞得在线两家ISP合作试验网上交易。客户首先向中国银行申请CA认证并在自己计算机上安装CA认证软件,从而具备网上交易条件。然后,客户就可以进入与银行有合作关系的网上商店购物,款项由银行向商家支付。但由于相关的国家安全标准尚未确定以及缺少网上交易的经验,此项研究尚未进入推广阶段。

关于认证机构的另一个重要问题就是:如果由于认证机构的过错或者过失,造成电子交易失败,认证机构是否应当承担法律责任?如果应当承担,那么其责任的性质是什么?是违约责任还是法定责任?有无范围的限制?这些都是我们必须解决的法律问题。

研究认证机构法律责任的性质和范围应当从研究认证机构的作用入手。认证机构在电子交易双方当事人之间所起的作用与见证人相似,它见证的是交易双方当事人的身份真实性,这是当事人双方同意进行交易的基础,因此如果交易双方因认证机构过错或者技术瑕疵导致认证的结果产生虚假,认证机构应当对受损失方承担赔偿责任。由于认证机构的责任可以由法律规定产生,所以这种责任的来源可以是基于法律规定所产生的责任;同时因参与认证是基于当事人与认证机构之间的协议,所以责任的来源也也可以是基于违约所产生的责任。

值得强调的是,由于认证工作是新生事物,其中有很多不可预测的技术因素,如果对认证机构规定的责任过重有可能阻碍电子认证服务的开展,从而影响电子交易的发展。因此,合理地分配认证机构和电子交易双方当事人之间的法律责任,对于整个电子商务的发展都是十分重要的。从国外的立法经验来看,这个问题被充分注意到。例如美国犹他州的《数字签名法》规定,认证机构所承担的是有限责任,而且只要认证机构遵守了《数字签名法》规定义务,就可以免除因虚假或者伪造的数字签名所造成损失的责任。

笔者认为,目前立法应当仅规定认证机构法律责任的归责原则就已经足够了,至于具体承担责任的范围和赔偿程度可以留给当事人在双方的协议中自行约定。

2、 电子签名和数字签名

无论是联合国的《示范法》还是其他重要电子商务法规,对何谓“电子签名”(electronic signature)都没有一个很明确的定义。联合国贸法会《示范法》回避了此问题,原因大概是当年起草文件的专家们认为电子签名技术还处于初期阶段,实施起来较为复杂,难以纳入《示范法》,故而没有提及。

从技术的角度而言,电子签名主要是指通过一种特定的技术方案来赋予当事人一个特定的电子密码,确保该密码能够起到证明当事人身份的作用而同时确保发件人发出的交易资料内容不被篡改的安全保障措施。电子签名的主要目的是利用技术手段对数据电文的发件人身份做出确认以及保证传送文件内容未被篡改,以及解决事后发件人否认已发送或已收到资料等问题。

电子签名的技术原理是:在每份数据电文发出时会随附一个长度通常为128byte 的资料摘要,该资料经过“密匙”换算后表面上是一串杂乱无章的数字,实际上代表了发件人的身份信息。所谓密钥,实际上相当于大家日常生活中所接触的“密码”。运用“密匙”对该资料摘要进行解密换算后就可确认发件人的身份。在传输过程中,如有第三人对数据电文进行篡改,但他并不知道发送方的私人密钥,因此,验证解密得到的结果与经过计算后的结果必然不同。从而保证了电子信息的真实性和完整性。

由于电子签名的效力与电子合同本身的有效性认定紧密相关,所以它是绝大多数国家进行电子交易立法中所必须重点解决的问题,但是实际操作方法不一,归结起来的方法主要有三种:

①国家立法。如:美国国会就通过法案的方式,确定电子签名合法性的最低条件,同时允许各州政府自行修改标准。同时,美国已有多个州通过《电子签名法》,其中以犹他州的《电子签名法》最有影响。新加坡的《电子交易法令》对“电子签名”与“数字签名"作了规定。“电子签名”的定义为:“ 以数字形式所附或在逻辑上与电子记录有联系的任何字母,文字数字或其他符号,并且执行或采纳电子签名是为了证明或批准电子记录”。“数字签名”的定义为:“通过使用非对称加密系统和哈希函数(hushing function)来变换电子记录的一种电子签名,使得同时持有最初未变换电子记录和签名人公开密匙的任何人可以准确地判断:(1)该项变换是否是使用与签名人公开密匙相配的私人密匙作成的;(2)进行变换后,初始电子记录是否被改动过”。 “这就提供了一个安全的确认发送方身份的办法”。

②当事人意思自治。鉴于“电子签名”是否等同于书面的传统签字在法律界争论已久,为尽快解决现实问题,美国律师协会下属的信息安全委员会另辟蹊径,经过4年多的努力,于1996年8月1日发布《电子签字指南--有效确认和保证电子商务的安全的法律框架》的指导性文件,该文件为电子签名提供了基础性的法律指导意见,并且提到用户之间在签订协议时可对电子签名的地位、作用加以确认。新加坡1998年《交易法令》第17条规定:“通过使用当事人同意的某一规定的安全程序或商业上合理的安全程序,如在签署时能确认该电子签名:(A)对该使用人而言是独一无二的;(B)能够鉴别该使用人;(C)在该使用人的完全控制之下以某种方式生成;(D)与电子记录存在这样的联系:如记录被改动,电子签名也随之失效; 则该电子签名可被视为“可靠电子签名”。这样,数字签名就能够具备与亲笔签名相同的功能。

③对何谓“签名”采取扩张式解释。如1989年,美国宾西法尼亚州法院受理一桩房地产交易案时就认定正式邮件可以被认定为经过"签署的书面文件"。它与《欺诈行为法》中法律规定相一致。法官在判决中解释道:"这一问题(正式邮件是否符合法律的要求)是宾西法尼亚州第一次看到,但是随着商业和个人不断利用电子邮件、电传和传真机等手段来参与他们商业谈判活动,类似的问题,将会层出不穷。本法院认为处理这些案件的合适的、现实的方法应该是审察这些文件的可靠性,而非仅仅是正式的签名。"。我国《合同法》没有对数字签名问题作出规定,第32条有提及签名的问题,即当事人采用书面形式订立合同的,自双方当事人签字或者盖章时合同成立,但上述规定显然是针对传统交易方式的,并未考虑到电子签名的诸多特殊问题。看来,这一空白只能由未来的电子商务法来弥补了。