《联合国电子签名统一规则（草案）》

（张楚、王敬波译 据联合国贸法会电子商务工作组1999年2月稿）

　　 目录
　　 导言 1-11
　　 第一部分 一般评论 12-14
　　 第二部分 数字签名、其他电子签名、认证机构和相关法律
　　 问题的草案条款 15-53
　　
　　 第一章 适用范围与一般规定
　　
　　 第二章 电子签名
　　
　　 第一节 一般电子签名
　　 第一条 定义
　　 第二条 法律要求的遵守
　　
　　 第二节 <强化><安全>电子签名
　　 第三条 <强化>电子签名对法律要求的遵守
　　 第四条 <强化>电子签名的归属推定
　　 第五条 完整性推定
　　 第六条 <强化>电子签名的预决性
　　 第七条 未经授权使用<强化>电子签名的责任
　　
　　 第三节 证书支持的数字签名
　　 第八条 强化证书的内容
　　 第九条 证书支持的数字签名的效力
　　
　　 第三章 认证机构与相关问题
　　
　　 第十条 强化证书的颁发
　　 第十一条 合同责任
　　 第十二条 认证机构对信赖证书的当事人的责任
　　 关于第十三至十五条的评论
　　 第十三条 证书的撤销
　　 第十四条 证书的中止
　　 第十五条 证书的登记
　　
　　 …………导言…………
　　
　　
　　
1，联合国国际贸易法委员会在第29次会议上（1996年）决定将数字签名和认证问题列入议程，并要求电子商务工作组考察起草这方面统一规则的必要性与可行性。会议同意拟将起草的规则应当处理如下问题：支持认证程序的法律依据，包括新兴的数字化鉴定和认证技术；认证程序的适用性；使用认证技术背景下，用户、供应商和第三方的风险与责任的分配；通过登记的认证的具体问题；以及参考纳入。
　　
2，联合国国际贸易法委员会在第30次（1997年）会议上，审议了工作组在其第31次会议上的报告。工作组向联合国国际贸易法委员会说明，工作组已就在该领域实现法律统一的重要性与必要性达成了共识。虽然尚未就该文件的内容与形式作出明确的决定，但工作组已得出了初步结论，即，至少在数字签名和认证机构，以及其他相关问题上，着手起草统一规则是可行的。工作组认为，除此除外，数字签名与认证机构，在未来的电子商务领域的工作应致力于下列问题：公开密钥加密技术的替代技术问题；第三方服务供应商的职责问题；以及电子合同问题。
　　
3，联合国国际贸易法委员会认可了工作组的结论并委托工作组起草有关数字签名和认证机构问题的统一规则（以下简称"统一规则"）
　　
4，至于统一规则的确切范围和格式，联合国国际贸易法委员会同意不在起草的早期阶段做决定。并要求虽然工作组可以适当地将其注意力集中于数字签名问题，以适应公开密钥加密术在电子商务实践中扮演的的主导角色，但统一规则必须与电子商务示范法（示范法）所采用的媒介中立方法相一致。因此，统一规则不应阻碍其他鉴证技术的使用。此外，在规范公开密钥加密术时，统一规则可能需要照顾到不同程度的安全，并承认数字签名环境下所提供的各种类型服务的不同的法律效力，和相应的不同责任。至于认证机构，虽然联合国国际贸易法委员会承认市场标准的价值，但仍普遍认为，工作组应适当地设定认证机构所应达到的最低标准，尤其在跨国界认证的情况下。
　　 5，工作组在第32次会议上，开始根据秘书处的记录起草统一规则。
　　
6，联合国国际贸易法委员会在第31次会议上（1998年），审议了工作组就其第32次会议的报告。联合国国际贸易委员会对工作组在起草电子签名统一规则方面取得的成果表示赞赏。指出工作组通过其31与32次会议，克服了明显的困难，对因数字化和其他电子签名的扩大应用而产生的新的法律问题，，达成了共识。并指出，工作组还要就如何在国际可接受的法律框架下处理这些问题，进一步寻求共识。联合国国际贸易法委员会普遍认为，目前的进展已表明，"电子签名统一规则"已经逐步形成了可行的框架。
　　
7，联合国国际贸易法委员会，重申了其31次会议关于起草统一规则的可行性的决定，并表达对工作组将在其33次会议（纽约，1998.6.29-7.10）中根据秘书处修改稿的基础上取得更大成绩的信心。
　　
在讨论中，联合国国际贸易法委员会满意地注意到，工作组已经被普遍认为是关于电子商务法律问题和对之寻求解决方案的非常重要的国际论坛。
　　 8，工作组在其33次会议（1998年）上，根据秘书处的记录继续修改统一规则。该会议的报告包含在文件CN.9/454里。
　　
9，该记录包含了根据工作组的审议和决定，和联合国国际贸易法委员会第31次会议的审议与决定，修改的草案条款复制如上。它们旨在反映工作组在其33次会议上的决定。
　　 10，在准备该记录时，一个专家组协助了秘书处，专家组由秘书处邀请的，和有兴趣的政府或国际组织指定的专家组成。
　　 11，为遵守有关严格限制和控制联合国文件的指示，对草案条款的解释性评论尽量简明扼要，额外的解释将在会议以口头进行。
　　
　　 第一部分，一般评论
　　
　　
12，正如本文第二部分的草案条款所反映，统一规则旨在国际商事交易中便利和增进电子签名的使用。吸取了一些国家许多已经生效的，或正在起草的立法文件的经验，这些草案条款的目的是通过制定一套标准,并以可能的证书认证为帮助,以避免在电子商务中适用的法律规则的不协调，并据此确认数字签名或其他电子签名的法律效力，，因此需要规定一些基本规则。
　　
13，在商事交易的私法方面，统一规则并不试图解决所有因电子签名不断使用而产生的问题。特别是，统一规则并不涉及公共政策方面的问题，行政法，消费者法，或刑法等，则需要由国内立法者在制定电子签名的综合性法律框架时考虑。
　　
14，基于示范法，统一规则重在反映媒介中立原则；根据该方法，纸面传统功能等价概念和实践不应受到歧视；并广泛地依靠当事人的自治。统一规则既可作为"开放"环境的最低标准（即电子通讯当事人之间事先没有协议），又可作为"封闭"环境的缺省规则（即当事人受事先存在的合同规则和随后的以电子方式交流的程序的约束）。
　　
　　 第二部分，数字签名，其他电子签名，认证机构和相关法律问题规则
　　 草案
　　
　　 第一章 适用范围与一般规定
　　
　　
15，在考察拟纳入统一规则草案的建议条款时，工作组希望在统一规则与示范法之间的关系方面多加考虑。特别是，工作组拟就数字签名规则是构成一个独立的法律文件，还是作为一个扩展文本纳入《示范法》中，如作为示范法的第三部分，向联合国国际贸易法委员会提出建议，。
　　
16，如果统一规则作为一个独立的文件，它应包括一些象示范法第一条（适用范围），第二条（定义），第三条（解释），第四条（协议的变更）一样的条款。虽然，这些条款没有在本记录中重复，但是应注意，秘书处是以假设这些条款将包括在规则中为前提，准备统一规则条款的。必须指明如果将统一规则的适用范围，如同示范法中的第一条，包括在内，涉及消费者的交易就不能排除在其适用范围之外，除非制定国中的消费者交易与《统一规则》相矛盾。
　　
17，关于当事人自治，如果仅仅参考示范法的第四条（协议变更），则无法提供令人满意的解决方案。第四条在示范法那些可以依协议自由改变的的条款，与那些应视作强制性条款之间，确立了界线，除非后者由示范法之外的适用法授予了协议变更权。关于电子签名，"封闭型"网络使当事人之间的自治在实践上显得尤为重要。然而，公共政策对合同自由的限制，包括保护消费者免受格式合同扩张的侵害，也必须予以考虑。因此，工作组希望在统一规则中包括一个第四条第一款，其大意是，除了统一规则或其他适用法另有规定外，根据交易当事人之间同意的程序而为的电子签名的颁发，接收或信赖，被赋予协议约定的效力。此外，工作组考虑确立一个解释规则，其大意是，在通过参考证书确定证书，电子签名，或数据电讯特定的目的是否足够可靠时，涉及当事人的所有相关的协议，其间的任何行动过程，和相关的任何贸易惯例，都应当予以考虑。
　　
18，除了以上提到的条款外，工作组希望考虑是否以宣言表明《统一规则》的目的，即通过设立安全框架，和给予书面与电子讯息在法律效力方面同等的地位，以促进电子通讯的高效使用。
　　
19，在第33次会议上，工作组对使用术语"强化"或"安全"来描述电子签名能够比一般"电子签名"提供更高程度可靠性的适当性问题，表示了疑虑。工作组议定，在没有更合适的术语之前，"强化"一词应予保留。因此，"强化"被包括在统一规则修订稿方括号中。
　　
20，在讨论统一规则与示范法第7条的关系时，工作组希望考虑这些规则是否限制在有法律形式要求的情况，或法律规定了缺少某些条件的后果的情况，如书面形式或签字。应当回忆的是在起草示范法时，形式要求的含义。示范法执行指南第68段指出，示范法中的"法律"一词，应被理解为不仅包括法规或规章，还包括司法中的立法和其他的程序法。因此，"法律"一词也应涵盖证据规则。当法律并不规定要求特定条件，但规定缺少这种条件的后果时，如书面形式或签字，这也应包括在示范法所使用的"法律"的概念内。
　　
　　 第二章 电子签名
　　
　　 第一节 一般电子签名
　　 第一条 定义
　　 为了本规则的目的，
　　
（A）"电子签名"，是指以电子形式存在于数据信息之中的，或作为其附件的或逻辑上与之有联系的数据，并且它（可以）用于（辨别数据签署人的身份，并表明签署人对数据信息中包含的信息的认可），（以满足电子商务示范法第七条的规定）。

　　
（B）"（加强型）电子签名"，是指那种可以通过应用安全程序或与安全程序的结合，证明其如（生成）（之时一样）的电子签名，该程序保证这类签名：
　　 1，（就其应用的目的），（在其语境中）对签署者是独一无二的；
　　 2，可以用于客观地辨别数据信息的签署人；
　　 3，由签署人制造并附加于数据信息上，或使用了只有签署人可以控制的方式；
　　 4，生成并与数据存在这样的联系，数据的任何改动都会被揭示。
　　 （C）备选条款A
　　
"数字签名"，是指一种使用数据摘要涵数信息的转换，并用签署人的私钥以非对称密钥体系对转换结果加密的电子签名，以使任何人都可以得到初始的未经更改的数据信息，即加密的转换，用签署人的公钥可以确定：
　　 （i），该转换是否是用与签署人的公钥相对应的私钥生成的；
　　 （ii），初始数据电文在转换之后是否被改变了。
　　 另议条款B "数字签名"是使用非对称密钥加密术对数字信息的数字化转换，因此，任何拥有数字信息和相应公钥的人均可确定：
　　 （i），转换是 用与相应的公钥对称的私钥生成的；
　　 （ii），数字信息在加密转换后没有被改变。
　　
（D）"认证机构"是指从事颁发为数字签名的目的而使用的加密密钥相关的（身份）证书的任何人或实体。（该定义受任何要求认证机构须取得许可，或认可，或以一定的方式进行营业的有效法的限制。）
　　
（E）"（身份）证书"，是指认证机构颁发的数据电讯或其他记录，是用来确认持有特定密钥的人或实体的身份（或其他充足的特征）。
　　 （F）"（强化）证书"，指用于证实<强化><安全>电子签名而颁发的（身份）证书。
　　 （G）"证书业务声明"，指由认证机构发布的，阐明认证机构所从事的颁发和以其他方式处理证书的业务。
　　 （H）"签署人"，指使用电子签名（或用作电子签名的数据）的某人或其代理人。
　　 评论
　　
21，上次会议，由于时间不够，工作组将第一条的审议推迟到了以后的会议。关于电子签名，除了删去"安全"一词外，本记录中第一条草案的文本与前相同。
　　
　　 第二条 法律规定之遵守
　　
（1）就通过电子签名方式证实的数据电讯（而不是强化电子签名）而言，该电子签名满足了任何签名的法律要求，包括任何相关的协议，只要用于加注电子签名的方法，与数据电讯生成或通讯的适当目的方法是一样可靠的。
　　 （2）无论本条第（1）款所述要求是否采取一种义务的形式，也无论法律是不是仅仅规定了缺少签名的后果，该款均将适用。
　　
（3）除非本法有其他规定，非<强化>电子签名不受（草案第六条提到的政府指定的组织或机构）确立的规范、标准，许可程序，或第三、四、五条产生的推定的约束。
　　 （4）本条的规定不适用于下述情况：<……>。
　　 评论
　　
22，草案第二条的目的是确认示范法第7条与统一规则之间的联系。草案第二条第一款包括了对当事人自治的适当的承认。工作组希望考虑草案第二条方括号里的"而不是强化电子签名"一词，是否应被保留，即一个没有达到示范法第七条要求的强化电子签名。这似乎与第三条另议条款B的意思是想矛盾的。
　　
23，草案第二条第二款是为了和示范法第7条相一致，并与上述短语"法律"的意义相联系。草案第二条第三款说明了适用于较高程度的"强化"或"安全"电子签名的规则，如那些可能与认证机构的许可方案相关的规则或其他可能的有关数字签名规范，并不在一般意义上适用于所有类型的"电子签名"。
　　
　　 第二节 （强化）电子签名
　　 第三条
　　 备选条款A方案：
　　 第三条 （强化）电子签名对法律规定之遵守
　　
　　 （1）当法律要求签名时，<强化>电子签名可满足该要求。<除非已证明（强化）电子签名没有满足示范法第七条的要求>。
　　 （2）无论前述第（1）款的要求是否采取一种义务的形式，也无论法律是否仅仅规定了信息欠缺签名的后果，该款均将适用。
　　 （3）本条的规定不适用于下述情况：<……>。
　　 备选条款B方案：
　　 第三条 签署的推定
　　 （1）如果<强化>电子签名已被附加上或与数据信息有逻辑上的联系，则该数据信息被推定为已经签署。
　　 （2）本条的规定不适用于下述情况：<……>。
　　 备选条款C方案：
　　 第三条 使用<强化>电子签名的后果
　　 （1）如果使用签名可能产生法律后果时，则这些后果产生于（强化）电子签名。
　　 （2）本条的规定不适用于下述情况：<……>。
　　 评论
　　
24，第三条（A方案）为强化电子签名提供了规则，它是满足示范法第七条的捷径。方案A与第2条确立了统一规则的基础。其一，第二条重申了示范法第七条的原则，即电子签名可满足法律的要求，只要它达到一定条件。其二，第三条（方案A）规定<强化>电子签名确实可以满足那些条件，并可作为达到第七条确立的要求的捷径。
　　
25，该条款在方案A（2）段中重复确认了"法律"一词应适用于，当要求无论是采取一项义务的形式，或者也无论是仅仅规定了缺少某种条件的后果，该款均将适用，以保证"法律"一词在统一规则与示范法之间相互一致。
　　
26，如果保留方案A中方括号中的词语，它就对满足示范法第七条的要求，提供了有限制的捷径，因为需要提供没有满足第七条要求的证据。工作组希望考虑这些词语是否保留在第三条中。
　　
27，第三条（B方案）的目的是产生一个推定，即数据信息可被认为是"签署"了，如果它是以强化电子签名所认证的话。如果这样，该推定就将数据电讯的"签署"与签署人的身份识别问题分开来对待。这种推定可能在对签名没有正式要求的情况下是重要的，如示范法第七条规定的，但是也存在着数据电讯上的签名可能对其他目的是重要的，或法律要求电讯被签署，而不需要签署人的身份或当签署人的身份不是争议问题的情况。
　　
28，草案中的B方案可以适用于第七条考虑的以外的情况。工作组希望考虑第七条的两个分枝（即法律要求签名和规定无签名的后果的情况）是否囊括了签名可使用并具有法律效力的所有情况。如果不是，另议B方案是有用的。在这种情况下，B可与A共同保留，因为B针对的是例外的情况。
　　 29，前次草案第三条中的关于签名附加的时间的语句被去掉了，但工作组希望考虑该概念是否需要在统一规则草案的其他部分规定。
　　
30，方案C的目的是在统一规则中确立明确的非歧视性原则，如同示范法第五条一样。该条旨在保证当使用电子签名产生法律后果时，不论对签名有无正式要求，这些后果对电子签名与手书签名是同样的。该方案的意义与B方案非常接近，因为二者都依赖于国内法规定电讯签署（B方案）或签名被使用（C方案）的后果。
　　 第四条 <强化>电子签名归属的推定
　　
　　
（1）除非已证明（强化）电子签名既不是据称的签署人，也不是某个享有代理权的人所为。否则该（强化）电子签名，即推定为属于某个据称由他或以他的名义出具的人，
　　 （2）本条的规定不适用于下述情况：<……>。
　　 评论
　　
31，草案第四条规定了<强化>电子签名属性的推定，并规定了两种不适用推定的情况。因此，它调整了示范法第13条的问题，尽管它们在起草上有所不同。比如草案第四条是以可辩驳的推定形式。另一方面，示范法第13条（3）是以视为条款形式出现的，并且该条确立了收件人以数据电讯的属性行使权利的规则。草案第四条规定了签名的归属，而示范法第13条是关于数据电讯的归属。草案第四条签名属性的标准与示范法第13条所使用的属性标准稍有不同。
　　
32，工作组希望考虑草案第四条与示范法第13条的关系，尤其是法律上是否有必要将信息的归属与信息上的签名的归属相区别的必要。应注意的是，从技术角度上考虑这种区别是不可能的。可能的情况是，签名的归属必须与数据电讯的归属相伴随，反之亦然，因此仅仅需要一个归属规则。
　　
33，草案第四条的另一方面是它规定了电子签名的未经授权使用的情况。在这方面它与示范法13条有重复的地方。比如草案第四条规定属性推定不适用于两种情况，即签名既不是称谓的签署人，也不是他授权人所为的。相反，13条规定尽管该数据电讯是未经授权的，收件人可认为该数据电讯是称谓发送人的。工作组希望考虑在规则中纳入一个未经授权使用签名的条款，和该规则与草案7条关于责任的关系。
　　 第五条 完整性的推定
　　 （1）备选条款A方案：
　　
当<一个可靠的安全程序><强化电子签名>被适当地使用于某数据信息的指定部分，并表明数据电讯的指定部分自某一时间点来没有变化，就推定该数据电讯的指定部分自该时间点以来没有变化。
　　 备选条款B方案：
　　
当安全程序能够以实质的确定性<可靠>地证明<数据电讯指定的部分>自某一特定时间点来没有变化，并且适当地使用了表明该数据电讯没有变化的程序，就推定自该时点以来<该数据电讯保存着完整性><该数据电讯没有更改>。
　　 （2）本条的规定不适用于下述情况：<……>。
　　 评论
　　
34，草案第五条的修改是根据工作组在其33次会议上的决定进行的。修改草案意在就数据电讯的完整性确立一个推定。为此，两种选择方案A，B似乎都要求必须实际使用安全程序或签名，以表明电讯没有更改的结果。一旦该证据可得利用，没有什么价值可以再加于这种效果之上了。工作组希望考虑草案条款是应起草为推定，还是作为一条实体法律规则。
　　
35，A选择方案是基于签名的应用来表明完整性的。工作组希望考虑是否将签名（和哈氏函数或电讯摘要）的核实与应用二者都包括进去，或者安全程序的应用是否是更好的表述。
　　
36，草案第五条第一款的A，B方案都在电讯的签署与其完整性之间建立直接联系，但联系并不总是有用或必要的。在某些情况下，完整功能是所使用的电子签名技术的整体部分（特别类型的<强化>电子签名就是这种）完整性的推定简直就是使用该技术的直接结果。在另一些情况下，所使用的签名技术可能达不到完整性要求，即使在其他所有方面该签名可被认为是<强化>电子签名。此外，将有这样的情况，即有必要证明没有签名的电讯的完整性。对于这种情况，在签名与完整性之间确立直接联系的规则可能是无用的。
　　
37，如果需要以完整性表明某信息为原件时，则《示范法》的第8条为相关内容。工作组希望考虑关于完整性的规则是否应作为独立的规则包括在这些规则中，完整性功能是否应当包括在<强化>电子签名的定义中，以及，本草案条款与示范法第8条的关系。
　　 第六条 <强化>电子签名的预决性
　　
（1）由法律制定国指定的主管机关或机构可以决定：A，某电子签名是<强化电子签名><满足《示范法》第7条的要求>；B，某安全程序满足第5条的要求。
　　 （2）前款的任何决定必须与国际承认的技术标准相一致。
　　
（3）<根据（这些规则和）有效法>当事人可以商定其中的某种电子签名被：；。
　　 评论
　　
38，草案第六条第一款原来的文本提到了满足草案第一条（b）要求（<强化>电子签名的定义）的签名。本次修订的草案第六条的修订本允许选择：电子签名是一个<强化>电子签名
，或者，另一种可能，电子签名满足第七条的规定，从而建立一条捷径。根据草案第三条方案A，如果一个签名是<强化>电子签名，就没有必要再表明它满足第七条的要求，因为此点已为它的<强化>地位所证明。
　　
39，工作组在33次会议上同意了修订后的草案第六条（1）（b）提到的"第5条的要求"。在同一次会议上的修改后的第5条不再确立完整性要求。工作组希望考虑第5条的参考纳入第6条（1）（b）项。
　　
40，草案第六条（2）中的"他们存在以…为限"的词句被删除了，因为在示范法背景下是不必要的。在这种标准存在的范围，应鼓励统一规则的制定国遵守之，并且比如关于这一意义的记录将包含在执行指南中。
　　
41，草案第六条（3）的语言被修改得以反映工作组于33次会议上表示的疑虑，虽然应当尊重当事人自治，任何当事人之间就电子签名使用的协议不应影响到第三人。该修改在短语"决定签名的效力"的使用和在不同的法律体系中的不同含义等问题表示了意见。草案（3）采用了草案（1），规定<强化>的地位确定为对签名满足示范法第七条的替代。
　　 第七条 未经授权使用<强化>电子签名的责任
　　 备选条款A方案：
　　
如果<强化>电子签名的使用未经授权并且被据称的签署者没有履行适当的注意，以避免对其签名的未经授权使用并防止收件人信赖该签名，
　　 X，该签名仍被认为是获得授权的，除非信赖方知道或应当知道该签名是未经授权的。
　　
Y，称谓的签署者可能只对当事人恢复其未经授权使用<强化>电子签名前的状态的成本负责任，除非信赖方知道或应当知道该签名不是称谓者的。
　　 Z，称谓签署人对造成的损害负责任<向信赖方支付损害赔偿>，除非信赖方知道或应当知道该签名不是称谓者的。
　　 备选条款B方案：
　　 （1）当
　　 （a）<强化>电子签名的使用是未经授权的；
　　 （b）被称谓的签署者没有履行合理的注意，以避免对其签名的未经授权使用及阻止收件人信赖该签名；并且
　　 （c）收件人诚实信用并合理地信赖该签名，而遭致损害。时
　　 签名被<归属于><可归属于>称谓的签署人，旨在分配为恢复各方在未授权签名使用前的状态支付的成本的责任。
　　 （2）如果收件人知道或者应当知道签名是未经授权的，则前款不适用。
　　 备选条款C方案：
　　 （1）如果一个<强化>电子签名是某数字信息的附件，并且：
　　 （a）<强化>电子签名是 未经授权的；
　　 （b）据称的签署人没有尽到适当的注意以避免未经授权的签名的使用；并且
　　 （c）收件人因诚实信用并合理地信赖该签名而遭致损失时，
　　
该数据信息将归属于据称的签署人，除非考虑数字电讯使用的目的和其他有关情况，<这是不公平和不平等的><这是明显不公平的>。
　　
（2）<当依上款规定，数字电讯不归属于称谓的签署人时><当依前款规定，基于明显不公平的原因，数字电讯不归属于称谓的签署人时>，称谓的签署人不对收件人恢复其在未授权签名使用前的状况而支出的费用承担责任。
　　 （3）第（1）款不适用于下列情况：
　　 （a）收件人履行合理的注意即可知道或者应当知道签字不是称谓的签署人所为；
　　 （b）收件人从称谓的签署人处获悉签字不是称谓的签署人所为而且收件人有合理的时间处理。
　　 (4)依据第（1）款，有下列情况之一的，将未经授权使用的签名归属于称谓的签署人的，视作明显不公平：
　　 （a）将导致称谓的签署人的困难与收件人遭受的损失不成比例；
　　 （b）<…>
　　 评论
　　
42，草案第七条修订本包括了工作组在其33次会亦9上讨论的许多不同的备选方案。目前的草案A，B都提出了示范法13条所涵盖的问题，特别是13（3）。然而，应当注意的是，示范法13条调整的是数据电讯的归属问题，而第七条处理的是未经授权使用签名的问题。
　　
43，草案7条对待归属问题的方式与13条稍微有些不同。比如，根据13条（4）A，B，其中有未经授权信息的含义，接收方可信赖信息，只要它未接收到缺乏授权的通知，否则它就应当知道电讯是未经授权的。13条没有明确称谓的签署人提出它合理的保护了签名的抗辩（即防止签署人使用的方法被利用，而使数据电讯辨别为它自身的），这在草案7条B方案中则可做到。此外，13条没有讨论信赖方因诚实信用受损的问题；相反，草案7条B方案（C）很明白是以收件人受到损害和救济理念为基础的。
　　
44，示范法第13条与统一规则草案第七条的重点不同。第13条集中于电讯的归属，而草案第七条则确立了签名归属的责任规则。工作组希望回顾草案4条就是否有从法律上将数据电讯的归属与数据电讯上的签名的归属相区别的必要，作出的决定。两个草案之间的关系需要考虑，以保证在签署的数据电讯的情况下，哪个条款应用于决定数据电讯的归属，不发生混淆。避免潜在混淆的方法之一是，规定适用于数据电讯是以<强化>电子签名签署的具体规则。如草案第七条C方案。此外，对于明显不公平的理由，草案7条重复了13条规定的两种不能归属于称谓的签署人的情况，而草案第七条（4）还就如何构成明显不公平规定了一些指南。工作组还可能考虑其他在归属环境下不公平的情况。
　　 第三节 证书支持的数字签名
　　 第八条 <强化>证书的内容
　　 备选条款A方案
　　 （1）就本规则的目的而言，<强化>证书应当至少能够：
　　 （a）识别颁发证书的机构；
　　 （b）识别<签署人><证书主体>或在<签署人><证书主体>控制下的手段或电子代理人的身份或姓名；
　　 （c）包含与<签署人><证书主体>控制下的私钥相对应的公钥；
　　 （d）明确了证书的有效期；
　　 （e）由颁发的认证机构数字式地签署了或使用了其他安全措施；
　　 <（f）就公钥使用的范围（如有）明确限制；>
　　 <（g）标示了所使用的规则系统>。
　　 备选条款B方案
　　
（1）在向任何一方揭示证书中包含的信息时，认证机构<或证书主体>应确保这些信息至少包括在第（2）款中罗列的项目，除非认证机构<或证书主体>和这一方之间明确达成一致。
　　 备选条款X方案
　　 （2）第（1）款中所指的信息应包括：
　　 （a）对所有证书而言，
　　 （i）使用它的认证机构的的身份
　　 （ii）签署人<证书主体>控制下的与私钥相对应的公钥
　　 （iii）颁发证书<信息>的认证机构的数字或其他签名
　　 （b）对<…>证书而言，
　　 （i）证书的使用期间；
　　 <（ii）适用于公钥使用范围的限制；>
　　 <（iii）使用的规则系统的身份>。
　　 备选条款Y方案
　　 （2）第（1）款中所指的信息应包括：
　　 （a）使用<证书><信息>的认证机构的身份；
　　 （b）<签署人><证书主体>或在<签署人><证书主体>控制下的设施或电子代理人的身份或姓名；
　　 （c）在<签署人><证书主体>控制下的与私钥相对应的公钥；
　　 （d）颁发证书<信息>的认证机构的数字化或其他形式的签名；
　　 （3）证书也可以包括下列其他信息，如：
　　 （a）证书的实施期；
　　 <（b）适用于公钥使用范围的限制；>
　　 <（c）使用的规则系统的身份>。
　　 评论
　　
45，鉴于技术发展的速度和认证形式的发展并不仅限于三方主体模式（签署人，信赖方和认证机构），工作组在其33次会议就单单把一个有关证书内容的条款包括在规则中是否合适，表达了疑虑。第八条的修改草案，包括了两个工作组同意可作为日后讨论基础的或选方案，工作组同意于以后提交讨论。
　　
46，B方案担心如果仅将证书的颁发限于证书发放给涉及合同关系的证书的主体，是和向任何信赖证书的第三方揭示证书的信息相矛盾。B方案将在证书中揭示一定的信息作为一种义务。当某些信息没有包括在证书中，而揭示这个信息仍然是一种义务时，问题因此而产生。工作组希望考虑设立一个专门罗列应包括在证书中的最低限度信息内容和处理揭示义务的独立条款是否更好。
　　
　　 第九条 证书支持的数字签名的效力
　　
（1）就全部或部分数据信息而言，如果以数字签名对发件人进行了识别其创始人，有下列情况之一的，该数字签名就是<强化>电子签名：
　　 方案A，
　　 （a）该数字签名是在证书的使用期内生成，并且通过参考证书列明的公钥名单<适当地>证实了它是处于有效证书的实施期内；
　　 （b）该证书旨在将公钥与<签署人><某人><发件人><主体>的身份相联系；
　　 （c）该证书颁发的目的是为了支持<强化>的数字签名；
　　 （d）该证书的颁发是：
　　 （i），由<制定国明确为有资格向组织或机构发放许可证并制定或许可的认证机构的营业规则>许可的认证机构颁发的；或
　　
（ii），由负责认可的机构认可的认证机构应用的，商业上适当的和国际上承认的，具有认证机构可靠性的技术和惯例和其他相关的特征。可由（制定国明确为有资格向组织或机构发放用于认证机构运营标准认可证的机构）出版符合本条的认非限定性机构或名单；或
　　 <（iii），遵照商业适用和国际承认的标准。>
　　 方案B，
　　 （a）数字签名是在证书的使用期内<安全地>生成，并在证书实施期内通过参照证书中的列出的公钥得到<适当地>核实了；并且
　　 （b）证书将公钥与<该人的><发件人的>身份联系在一起；所依据的程序系由如下主体建立的：
　　 （i），由<法律制定国明确为有资格向组织或机构发放许可证并制定许可的认证机构的营业规则>许可的认证机构颁发的；或者
　　
（ii），由负责认可的机构认可的认证机构应用的，商业上适当的和国际上承认的，具有认证机构可靠性的技术和惯例和其他相关的特征；或者
　　 （iii），遵照广泛承认和日常遵守的贸易惯例和国际承认的标准。>
　　 （2）没有达到上列第（1）段要求的数字签名被认为是<强化>电子签名，如果：
　　 （a）存在充足的证据表明：
　　 （i），证书准确地将公钥与<证书主体>联系在一起；并且
　　 （ii）数字签名是适当生成并以可靠安全程序证实（在证书实施期内）或者
　　 （b）根据本规则其他条款它构成了<强化>电子签名。
　　 评论
　　
47，修订后的草案第九条反映了工作组在第33次会议上的决定，备选方案A，B应包括在文本中以便以后讨论。它规定了使数字签名被认为是<强化>电子签名所必须达到的条件。<强化>电子签名一般在第一条（1）（b）里定义为达到了特定条件的签名。工作组希望考虑第九条的条件是对定义的一般条件的增加，还是澄清和解释那些条件。然而，现在的文本第九条（2）（b）规定数字签名被认为是<强化>电子签名，即使它没有满足草案第九条（1）的要求，只要它根据本规则的其他条款作为<强化>电子签名是合格的。这将包括第一条草案的定义下的资格的取得。如果草案第九条并非是对第一条中规定的条件的详细解释，本规则将会对何为<强化>电子签名，产生两个不同的标准。
　　
48，工作组希望在第一条的背景中考虑第九条草案，集中于数字签名技术。草案条款可以具体处理，如数字签名如何能满足草案第一条(b)(i)至(ii)的要求。
　　 第三章 认证机构及相关问题
　　 第十条 颁发<强化>证书的义务
　　 （1）通过颁发<强化>证书，认证机构向<任何合理地信赖（强化）证书的人>保证：
　　 （a），认证机构遵循了<本规则>的所有适用的规定；
　　
（b），<强化>证书中的所有信息在其颁发之日是准确的，<除非认证机构已经在（强化）证书中表明具体的信息的准确性还没有确认>；
　　 （c），在认证机构知情的范围内，对于<强化>证书中的可能对其责任产生不利影响的信息，不存在不清楚，或重大事项的遗漏；
　　 （d），如果认证机构出版了认证业务声明，<强化>证书是根据该认证业务声明颁发的。
　　
（2）通过颁发<强化>证书，认证机构就<强化>证书中列明的<签署人><主体><对任何合理地信赖（强化）证书的人>承担以下额外的义务：
　　 （a），<强化>证书中列明的<签署人><主体>的公钥与私钥构成了有效的密钥对；
　　 （b），在颁发<强化>证书之时，其私钥
　　 （i）与<强化>证书中列明的<签署人><主体>相对应；并且
　　 （ii）并与<强化>证书中列明的公钥相对应。
　　 评论
　　 49，尽管工作组同意将草案第十条与第十一条、第十二条在以后一起考虑但草案第十条仍然反映了工作组在33次会议上作出的决定
　　
50，鉴于证书类型与应用方式还会有发展，对所有类型的证书规定一个强制性的标准是不合适的。所以第十条的修改草案的适用仅限于对<强化>电子签名。
　　 第十一条 合同责任
　　
（1）在颁发证书的认证机构与证书持有者之间<或其他与认证机构有合同关系的信赖方>，当事人的权利与义务<和任何限制>都由他们之间的协议来决定<服从有效法>。
　　
（2）<根据第十条>，认证机构可以通过协议免除其因由于信任证书而产生的损失之责任。然而，该限制或排除认证机构责任的条款，就合同的目的，或其他相关环境而言，不应使对合同责任的排除与限制达到<显失公平><本质上不公平并在当事人之间导致明显的不平衡><不正当地给予一方过多的优势>的程度。
　　 评论
　　
51，草案第十一条反映了工作组在33次会议上作出的在统一规则中保留该条的决定。会议曾担心的是术语"显失公平"不可能被所有的法律体系所理解。工作组被提醒第（2）款是受《国际商事合同通则》（7，1，6条）启发的，其旨在评价免责条款的总体可接受性提供统一的标准。"显失公平"地限制与排除责任的说法，对免责条款提出了弹性方法，目的在于促进对限制与免责条款的广泛承认，如果统一规则只是提及统一规则以外的有效法，就将是另外一种情况。方括号中包含的词句是为了更好地解释"完全不公平"。这些词语摘取自对《国际商事合同通则》（7，1，6条）的解释材料。
　　 第十二条 认证机构对信赖证书者的责任
　　 （1）依据第二款，当认证机构颁发了证书，就对任何合理地信赖证书的人承担以下责任：
　　 （a），证书中的疏漏或错误，除非认证机构证明本身和其代理人采取了所有合理的措施，以避免证书的错误与遗漏的发生；
　　
（b），对未能登记的证书的撤销，除非认证机构证明本身和其代理人，采取了所有合理的措施，一收到撤销通知就及时作了撤销登记；并且
　　 （c），不遵守认证机构出版的认证规范声明中规定的任一程序的后果。
　　
（2）对于证书中包含的信息<或通过参考纳入>范围的信息相反的内容的信赖，<或对列于撤销名单>或<撤消信息>中的证书的信赖，是不合理的。特别是对下列范围证书的信赖是不合理的：
　　 （a），违反证书颁发目的的；
　　 （b），在交易中，其交易额超过证书的有效价值的；
　　 （c），<……>
　　 评论
　　
52，工作组在33次会议上同意将第十条，第十二条，第十三条在以后的会议中一并考虑，以保证对认证机构附加的义务与统一规则所确定的责任相适应，但是第十二条应当被保留并修改以反映草案的一些变化。本次修改条文反映了这些变化。
　　 关于第十三条至第十五条的一般评论
　　
53，由于时间不够，工作组只是初步讨论了草案第十三条，第十四条，第十五条。对于这些草案条款的详细程度和它们基于的技术假设也表示了一定的疑虑。工作组建议这些草案应只是适用于数字签名，因为它们针对的是认证机构的主要义务，这些义务的实质应当在考虑责任问题前予以解决。工作组同意这些放在方括号里的草案条款供以后审议。
　　 第十三条 证书的撤消
　　
（1）在证书的实施期间，颁发证书的认证机构必须根据认证规范声明中具体规定的撤销程序与政策撤销证书，如果没有这种程序与政策，应在得到下列文件时随即撤销：
　　
（a），证书中的<签署人><主体>提出撤销请求，并确认该撤销请求人是<合法的><签署人><主体>，或是有权请求撤销的<签署人><主体>的代理人；
　　 （b），如果<签署人><主体>是自然人，可靠的证据证明<签署人><主体>已死亡；或
　　 （c），如果<签署人><主体>是法人实体，可靠的证据证明<签署人><主体>已经解散或不存在。
　　
（2）认证的密钥对的<签署人><主体>，知道其私钥被丢失，被损坏，或有其他被误用的危险时，有义务撤销，或要求撤销相应的证书。如果<签署人><主体>在这种情况下，未能撤销或请求撤销该证书，<签署人><主体>就将对任何信赖由其未能撤销证书而产生的信息的人负责任。
　　 （3）无论证书上辨别的<签署人><主体>是否同意撤销，颁发证书的认证机构在得知下列情况时，必须立即撤销之：
　　 （a），重要的事实表明证书是假的；
　　 （b），认证机构的密钥或信息系统遭损坏，影响到证书责任的；
　　 （c），证书<签署人><主体>的私钥或信息系统遭受危险。
　　
（4）当第（3）款情况发生时，认证机构必须根据有效的认证业务声明中规定的调整通知的政策和程序，通知<签署人><主体>和信赖方，或在没有这种政策与程序时，如果证书是出版的话，应及时通知<签署人><主体>并发布撤销的通知，并以其他方式在信赖方询问时，揭示撤销的事实。
　　 （5）<在<签署人><主体>与认证机构之间，>撤销在认证机构<收到><登记>时生效。
　　 （6）<在认证机构与任何其他信赖方之间，撤销自认证机构（登记）（发表）之时生效。>
　　 第十四条 证书的中止
　　
在证书的实施期间，颁发证书的认证机构必须根据认证业务声明中具体规定的中止程序与政策中止证书，或在没有这种程序与政策的情况下，及时接受认证机构合理地相信其是证书中的<签署人><主体>，或经授权代表该<签署人><主体>的人的请求，
　　 第十五条 证书的登记
　　 （1）认证机构应以可资公众查询的电子方式对所颁发的证书进行登记，标明每个证书的到期日，或其中止 、撤销的时间。
　　 （2）认证机构应将登记保存：
　　 备选A方案，
　　 至少<30><10><5>年
　　 备选B方案，
　　 在认证机构所颁发证书的有效期满、撤销之日后，<制定国确定相关信息必须保存于登记册的期限>。
　　 备选C方案，
　　 <根据认证机构的认证规范声明适用的具体的政策与程序。>

<此贴子已经被老行者于2004-8-11 7:47:02编辑过>