试析新加坡1998电子交易法令
作者:李玲 阅读3139次 更新时间:2003-07-10
1998年 6月29日新加坡议会通过《1998电子交易法令》,成为世界上第一个颁布立法实施联合国贸易法委员会《电子商业示范法》的国家。了解和研究《1998电子交易法令》无疑对我制定电子商务方面的立法与规范我国电子商务活动具有重要的借鉴意义。
一、 新加坡《1998电子交易法令》概要
《1998电子交易法令》(以下称“法令”)共12章,84条。该12章的内容分别为:首则、电子记录和电子签名一般规定、网络服务提供人的责任、电子合同、可靠电子记录和电子签名、数字签名的效力、与数字签名相关的一般义务、认证机构义务、订户义务、认证机构管理、政府使用电子记录与电子签名以及一般规定。每一章的条款数目有所不同,有的章节仅有一条,有的则较多且包含的内容也较广泛。如第二章“电子记录和电子签名一般规定”涉及电子记录的法律承认、书面要求、电子签名、电子记录留存等内容。第四章“电子合同”则涉及合同的成立和效力、当事各方间的法律效力、电子记录归属、确认收讫、发出和收到电子记录的时间与地点等问题。第八章“认证机构义务”一章对认证机构的各项义务均作了较详细的规定,如使用可信任系统、披露、签发证书、签发证书时的声明、中止证书、撤销证书、未征得订户同意的撤销、中止通知、撤销通知等等。第十二章“一般规定”则包括保密义务、法人团体违法、授权官员、调查的权力、对计算机和数据的接触、文书和数据的制作、一般刑事处罚、法院的管辖权、不予追究违法行为的情形、豁免的权力等诸多条款 。本文就部分条款将作进一步介绍与探讨。
二、 与联合国贸法会《电子商业示范法》的比较
从内容及条款来看,新加坡《法令》比贸法会《电子商业示范法》(以下称“示范法”)的规定更为广泛、具体。如增加了有关数字签名、认证机构、网络服务提供人、订户、政府使用电子记录和电子签名等方面的规定,另外还包括保密义务、法人团体违法、一般刑事处罚、法院的管辖权等规定。这些规定使得《法令》更具有可操作性,对从事电子交易的人来说更有安全感和可预见性。下面就《法令》与《示范法》中的若干条款作些比较与分析。
(一) 数字签名
《示范法》对“签名”的规定是,对于一项数据电文而言,假如使用了一种方法,鉴定了该人的身份,并且表明该人认可了数据电文内含的信息,即满足了签名的要求。《示范法》对于使用什么技术方法能达到签名的基本要求没有规定。因在制定《示范法》时专家们考虑到各国法律制度和技术发展水平(如网络通讯系统的能力、当事人使用的设备的先进程度等)的巨大差异以及各种商业因素(交易的性质、数量、对安全的要求度等)认为无法也不应该规定一种或几种具体的技术方法,故仅做原则的规定,留待各国在制定电子商务法律时根据本国的实际情况来确定。另外有关电子签名、数字签名、认证机构的规定《示范法》均未涉及,因这些问题涉及的技术方法更为复杂且处于发展的早期阶段,很难预料将来发展的趋势并制定相应的统一规定。如联合国贸易法委员会曾于1997年委托电子商务工作组负责制定关于数字签名和认证机构的统一规则,由于专家们对未来使用数字签名和其他电子签名产生的新的法律问题如何通过制定国际的统一规则来解决,尚未达成共识,因此目前起草法律的工作仍在进行。
新加坡根据其电子商务发展的需要及技术水平在《法令》中对电子签名与数字签名均做了明确具体的规定。对"数字签名"的定义为"指通过非对称加密系统和散列功能(hushing function)变换电子记录的一种电子签名,使得同时持有最初未变换电子记录和签名人公开密钥的任何人可以准确地判断:(1)该项变换是否是使用签名人公开密钥相配的私人密钥作成;(2)进行变换后,初始电子记录是否被改动过。另外对“非对称加密系统”和“散列功能”(注:散列功能hushing function,也有译为哈希函数)两词组也分别做了规定。这些规定表明在新加坡从事电子交易的当事人,如交易上要求使用数字签名,则应使用《法令》上规定的非对称加密系统和散列功能技术进行电子记录的交换,完成数字签名的要求。《法令》对数字签名做此种技术要求的规定有其一定的道理。
据介绍,目前在电子商务活动中使用的核心安全技术主要有下面几种:防火墙、加密技术、数字签名和身份认证。
防火墙是由软件和/或硬件设备组成的一个系统,处于互联网与企业或单位内部网络之间,防止非法用户访问。防火墙可防止互联网中未经授权的用户入侵由它保护的计算机系统,只允许授权信息通过。
加密技术即利用技术手段把重要的数据变为乱码(加密)传递,以防数据在传输过程中被他人窃听。目前加密技术分两种:对称加密和非对称加密。前者的特点是文件加密和解密用的是同一个密钥,即加密密钥也可用作解密密钥。后者是加密和解密需要用一对密钥-公开密钥(public key)和私人密钥(private key)各一把。如用公开密钥对文件加密,只有用对应的私人密钥才能解密,反之亦然。因为加密和解密用的是两个不同的密钥,所以称此种方法为非对称加密算法。对称加密算法的优点是使用简单快捷,密钥较短且安全性好,缺点是难管理,不能适应开放网络中大量的信息交流。与对称相比,非对称加密算法的算法速度较慢不宜对大量的数据进行加密,但因其密钥对中的公开密钥和非对称加密解密算法是公开的故便于管理。故在实际应用中多将两种算法结合使用。
数字签名是通过密码算法对数据文件进行加密解密变换实现的。对文件进行一般加密(如前述的对称与非对称加密算法)仅解决了数据安全传输过程的部分问题,采用数字签名则是可判断传输的数据是否完整、是否被改动以及确定发送数据人的身份的另一重要技术手段。如新加坡《法令》中提及的“散列功能”技术为其中的一种数字签名技术。采用该方法是把数据文件的二进制码相累加,取最后的若干位。其特点是它代表了文件的特征,数据文件如改变,数字签名的值也将发生变化。“散列功能”技术对发送数据的双方都是公开的。
身份认证。网上交易的买卖双方在进行每一笔交易时,需要鉴别对方是否是可信的,因此要有一个第三方机构或个人来认证双方的身份,保证网络交易安全。上述第三方一般被称为认证机构(Certificate Authority,CA),其主要功能:签发管理电子商务证书;产生、管理使用者密钥以及CA密钥管理等。网络交易人向认证机构申请证书时,需提交本人的身份证或护照等,经机构验证后,签发证书。证书上包括持证人的名字,证书的有效期限以及他的公开密钥等。在做交易时,向对方提交证书证明自己的身份,如对方无把握,可要求认证机构进行验证。双方可相互验证身份。
通过采用上述多种安全技术手段,可基本实现在公开网络上的数据安全传输。为能更好地理解使用上述安全技术手段的作用,简单介绍一下使用数字签名和验证的文件传输过程:
1、 甲从公开媒体上获得乙的公开密钥(注:公开密钥可以保存在系统目录内、电话黄页上或公告牌里,网上的任何用户都可获得)。为验证乙身份,甲请认证机构对乙进行验证。认证机构对乙进行调查鉴别后,将包括乙的公开密钥的证书传给甲,甲进行核对(乙同时也可对甲的身份进行验证)。
2、 身份验证后,甲首先用"散列功能"算法从原数据文件中得到数字签名,然后用其私人密钥(注:第一对非对称加密算法密钥)对数字签名进行加密并将加密后的数字签名附在要发送的上述文件后。
3、 甲选择一秘密密钥(注:此处一般使用对称加密算法密钥,因文件的数据量大)对文件进行加密,通过网络把加密后的文件传输给乙。
4、 甲使用乙的公开密钥(注:另一对非对称加密算法密钥)对前述秘密密钥进行加密,通过网络把加密后的密钥传输给乙。
5、 乙用自己的私人密钥对该密钥进行解密,得到该密钥的明文;
6、 乙使用该密钥对文件进行解密,得到经过加密的数字签名。
7、 乙再用甲的公开密钥对数字签名进行解密,得到数字签名的明文;
8、 乙用公开的"散列功能"算法对得到的明文重新计算数字签名后,与解密后的数字签名进行核对。如两个签名是相同的,说明文件在传输中没有被破坏并能确定文件是甲发送的。
如果第三方冒充甲发出了一个文件,因乙在对数字签名进行解密时使用的是甲的公开密钥,只要第三方不知道甲的私人密钥,解密出来的数字签名和经过计算的数字签名必然是不相同的。这就提供了一个安全的确认发送方身份的方法。在实用过程中,通常一个用户拥有两个密钥对。一个密钥对用来对数字签名进行加密解密,一个密钥对用来对秘密密钥进行加密解密。这种方式不但提供了更高的安全性且便于商业上使用。例如数字签名使用的是发送方的密钥对,发送方用自己的私人密钥进行加密,接受方用发送方的公开密钥解密,这样任何拥有发送方公开密钥的人都可以验证发送方数字签名的准确性。而秘密密钥的加密解密则使用的是接受方的密钥对,即发送方用接受方的公开密钥进行加密,接受方用自己的私人密钥解密。这使任何知道接受方公开密钥的人都可以向接受方发送加密信息,只有唯一拥有接受方私人密钥的人才能对信息解密。这是一个复杂但又很有趣的过程。
可以说,数字签名技术为网上交易各方提供了一较为安全的措施,防止假冒和伪造签名等欺诈行为发生。
新加坡《法令》对数字签名的技术要求规定是比较高和严格的,目的是确保电子交易的安全性。需要说明的是《法令》对数字签名之外的其他电子签名方式没有做具体的技术标准规定,仅规定电子签名是“指以数字形式所附或在逻辑上与电子记录有联系的任何字母、文字、数字或其他符号,并且使用或采纳电子签名是为了证实或批准电子记录。”此外,《法令》规定当事人可以通过协议修改《法令》第二章和第四章中的任何条款,包括有关电子签名的规定。故当事人可根据交易的特点和需要对“电子签名”做另外的规定,如技术较简单、安全要求较低的规定,这体现了《法令》的灵活性与广泛适用性。
(二) 、网络服务提供人的责任
《示范法》对“中间人”的作用做了明确的定义,“代表另一人接收、发送或储存数据电文或就数据电文提供其他服务的人。”《示范法》规范的重点是放在发送人与接收人之间的关系上而不是中间人,因此该法未对中间人的权利和义务做规定。新加坡《法令》则在第三章中明确规定,“如果网络提供人仅仅提供接触的渠道,他不应为第三方的电子记录承担任何刑事或民事的责任,但合同项下的义务或法定义务除外。”另外《法令》第三章对“提供接触”与“第三方”做了明确定义。《法令》关于网络服务提供人的责任规定祢补了《示范法》在此方面的空白,使得涉及电子交易各方的权利义务更为明确,特别是保护了网络服务提供人的合法权益,有利于促进电子交易的发展。
(三) 电子合同的成立与效力
《法令》电子合同部分涉及“合同的成立和有效性”、“当事人对电子记录的承认”、“电子记录的归属”、“确认收讫”、“发出和收到电子记录的时间和地点”等方面。不论是内容还是具体条款,《法令》与《示范法》的规定基本一样,可以说是原封不动地采用。此外与《示范法》相同,《法令》规定如合同当事人对上述条款另有协议,则从其协议。(上述条款的具体规定见作者写的“电子商业示范法简介”,载于今年 3月16日“国际经贸消息”)
(四) 认证机构
提供认证机构来验证买卖双方的身份,是保证网络安全的重要措施。联合国贸易法委员会正在草拟的《数字签名统一规则》将涉及认证机构的问题。贸法会的专家们认为认证机构的地位、作用及标准等主要取决于市场的取向,有关认证机构的规定应是最低限度的标准。新加坡《法令》第八章和第十章分别对认证机构的义务以及管理做了较详细的规定,如在认证机构义务方面有签发证书、签发证书的声明、中止或撤销证书、中止或撤销通知、使用可信任的系统、披露义务等规定。在认证机构管理方面有认证机构监督人的委任、对认证机构的管理以及认证机构的责任限制等规定,加强对认证机构的管理与监督。
三、新加坡《电子交易法令》的重要意义
新加坡是世界上电子商务开展较早,发展水平较高的国家。除了较早建立的居世界领先的EDI系统外,近几年开通了贸易网(TRADENET)、金融网络(MASNET)和法律网络(LAWNET)。与美国等国家不同的是,新加坡政府在电子商务活动中始终起着积极的主导作用,扮演了重要角色。对电子商务工作的开展,不但在资金、物资、人力上给予大力支持,在管理与规范上也予以高度重视,这也是《电子交易法令》能如此迅速出台的原因。
新加坡政府认为,如果没有一定程度的政府管理,新加坡电子商务不可能发展得这样快、这样好,没有规则的网络交易是非常危险的。
《电子交易法令》为我国电子商务立法提供了很多可借鉴与学习之处,尤其是如何规范、管理电子商务并促进电子商务的发展方面做出了好的榜样。