电子签名法实施中的五个主要问题

　　电子签名法实施已超过八个月。在这八个月的时间里，十二家电子认证服务机构领到了信息产业部颁发的经营许可证，其电子签名证书的发放量也得到了成倍的增长；在电子签名法及电子支付指引的鼓励下，网上支付快速发展，第三方支付机构已从一年前的几家发展为五十余家；除网上支付外，电子签名在电子税收、电子海关、网上采购等领域的应用也得到了电子签名法的有力推动；由于电子签名法明确了数据电文的合法地位，一些关系到数据电文证据力的纠纷在法院得到了及时裁判。

　　当然，作为我国第一部信息化法律，电子签名法的实施推进绝非一项简单的工作，还需要得到来自普及法律、行政管理、司法、技术标准、规范操作、市场认可等各方面的支持。目前电子签名法的推进还是有很多不尽如人意的地方，存在消费者的认可度依然很低、电子认证的标准规则未全面建立、电子签名法的司法准备工作还未展开等诸多问题。而只有电子签名法实施推进的整体环境得到不断提高，我国电子商务与信息化才能真正走上法制化、规范化的发展道路。下面，我们就目前我国电子签名法实施中的一些主要问题展开分析，进一步探讨我国电子签名法具体规定在实践中的情况，希望能得到有关方面的重视，加强研究，有力推动，切实有效地推进电子签名法的实施工作。

关于电子签名：
　　一、可靠电子签名的认定问题
　　我们知道，在我国《电子签名法》第十三条规定：“电子签名同时符合下列条件的，视为可靠的电子签名：（一）电子签名制作数据用于电子签名时，属于电子签名人专有；（二）签署时电子签名制作数据仅由电子签名人控制；（三）签署后对电子签名的任何改动能够被发现；（四）签署后对数据电文内容和形式的任何改动能够被发现。当事人也可以选择使用符合其约定的可靠条件的电子签名。”第十四条规定：“可靠的电子签名与手写签名或者盖章具有同等的法律效力。”

　　也就是说，在我国电子签名法中，并不是所有电子签名都具备签字盖章的法律效力的，只有可靠的电子签名才能享受这一“待遇”。而可靠的电子签名只能通过两种方式产生，其一，当事人约定；其二，符合我国电子签名法第十三条规定的那四个条件。考虑到技术中立的原则，我国电子签名法并没有直接规定数字签名，或者经电子认证服务机构认证的数字签名就是可靠的电子签名。也就是说，数字签名或经电子认证服务机构认证的数字签名是否是可靠的电子签名，也要通过电子签名法第十三条的四个条件进行判断。当然，从技术角度看，数字签名，尤其是经电子认证服务机构认证的数字签名应是完全可以满足这四个条件的。但这样的理解恐怕只停留在对数字签名和电子签名法较为熟知的人群中，大多数人，可能包括多数法官在内，由于不能直接从电子签名法中找到可靠电子签名与数字签名的关系，对于判断什么样的电子签名是可靠的电子签名，什么样的电子签名不能成为可靠的电子签名，数字签名及经电子认证服务机构认证的数字签名与可靠的电子签名究竟是种什么样的关系，什么是电子签名制作数据用于电子签名时属于电子签名人专有，什么是签署时电子签名制作数据仅由电子签名人控制，什么是签署后对电子签名的任何改动能够被发现，什么是签署后对数据电文内容和形式的任何改动能够被发现，当事人在什么情况下对可靠电子签名的约定才是有效的等等问题，恐怕还是存在着很大的障碍。而我们知道，作为一部法律，一旦在实施中出现纠纷，纠纷双方很可能是要对簿公堂的，考虑到目前我国电子签名法对可靠电子签名判断的不易掌握性与执法者对这一崭新领域的陌生感之间的反差，我们还是不得不忧虑了起来。

　　为了使我国电子签名法得以顺利实施，在认定什么是可靠电子签名的问题上，我们的专家学者、学协会和有关管理部门一方面需要与司法部门取得有效的沟通，使对可靠电子签名的认定程序化、简易化并易于掌握、便于操作；另一方面，还要不断教育我们的广大用户，使其具备自行约定可靠电子签名的常识和能力，以及时维护自身的合法权益。围绕这两个目的的工作可以有三：在合适的时候出台司法解释，明确经国家有关部门认可的电子认证服务机构颁发的数字签名在正确使用的前提下就可以认定为可靠电子签名；保持与司法部门的良好沟通，为司法提供专家支持；不断普法，让广大用户掌握自行约定可靠电子签名的能力。

关于电子认证：
　　二、第三方认证服务的定义和认证服务的选择问题
　　我国《电子签名法》第十六条规定：“电子签名需要第三方认证的，由依法设立的电子认证服务提供者提供认证服务。”结合这一条，在《电子认证服务管理办法》中，其第二条又规定：“本办法所称电子认证服务，是指为电子签名相关各方提供真实性、可靠性验证的公众服务活动。本办法所称电子认证服务提供者，是指为电子签名人和电子签名依赖方提供电子认证服务的第三方机构（以下称为“电子认证服务机构”）”。

　　而在目前我国电子认证服务的实际运行工作中，围绕前面这几条的规定，一个比较突出的问题是：什么是“第三方认证”？那些未经过信息产业部等有关部门许可的电子认证服务提供者是否还可以继续开展业务？

　　首先，我们认为，根据我国《电子签名法》第十六条规定，电子认证服务并不是所有电子签名所必须的，只是在需要第三方认证的情况下，由依法设立的电子认证服务提供者提供认证服务。密码、口令、生物识别技术等大多不需要第三方的认证。那么，这里的“需要”应作何解释，是当事人认为需要的“需要”还是电子签名技术本身需要认证的“需要”？我个人认为，似乎作后一种解释更合理些，更符合这句话表述的逻辑，即如电子签名技术本身需要第三方认证才能完成的，应由依法设立的电子认证服务提供者提供认证服务。因为如是前一种解释，这句话完全可以直接写成“电子签名当事人认为需要第三方认证的”。由于数字签名本身是要通过第三方认证才能完成的，这样，我们就不妨进一步把这句话解释为：数字签名的第三方认证由依法设立的电子认证服务提供者提供认证服务。
第二，既然第十六条这样规定，我们不妨再进一步明确：需要第三方认证的电子签名应由依法设立的电子认证服务提供者提供认证服务。即电子签名的第三方认证只能由依照《电子签名法》及《电子认证服务管理办法》设立的电子认证服务提供者承担。未经《电子签名法》及《电子认证服务管理办法》规定程序设立的电子认证服务机构不得承担针对电子签名的第三方认证服务。

　　第三，对于究竟什么是“第三方认证”，是一个从《电子签名法》到《电子认证服务管理办法》一直没有明确的问题，也是到目前为止电子签名法实施中最为困惑的问题之一。根据《电子签名法》第十六条及《电子认证服务管理办法》第二条的描述，我们基本上可以这样来勾画第三方认证的轮廓：其一，这里的