本文发表于张楚主编:《知识产权前沿报告(第一卷)》,中国检察出版社2007年4月版,页119-152。本文不适用本站“创作共用”授权条款,未经书面许可,不得转载。
皇帝的新装:数字签名和互联网商务的惊人真相*
作者:康涵真(Jane K. Winn)** 译者:董皓*** 审校:张楚****
摘 要:
……在2001年,采用数字签名认证的互联网合同数量即使不为零,也仍然少得可怜……在错误观念的影响下,出现了大量诸如“一个私钥究竟应达到什么要求才能保障安全?”“一个PKI究竟应该如何设计和管理?”等问题的争论。当然,对这种观念也有反对的声音,反对者指出,在保障私钥安全、组建PKI等问题与交易各方使用互联网或其它现代网络通信系统的状况之间,存在着一个非常难以逾越的鸿沟,而且即使是在可以遇见的未来,这一鸿沟都将存在……内容和格式的标准化使数字证书可以被计算机自动发送,并且,由不同主体发出的证书也可以相互交换(认证)……以《犹他州数据签名法》为代表的一些法律,特别强调PKI系统下的非对称密钥的运用,但市场并没有对这一态度展开双臂,从而使这些法律永久性的在电子商务领域被边缘化……
关键词:数字签名;电子签名;合同成立;电子商务;认证
……
这样,皇帝就在那个富丽的华盖下游行起来了。站在街上和窗子里的人都说:
“乖乖,皇上的新装真是漂亮!他上衣下面的后裾是多么美丽!衣服多么合身!”
谁也不愿意让人知道自己看不见什么东西,因为这样就会暴露自己不称职,或是太愚蠢。皇帝所有的衣服从来没有得到这样普遍的称赞。
“可是他什么衣服也没有穿呀!”一个小孩子最后叫出声来。
“上帝哟,你听这个天真的声音!”爸爸说。
于是大家把这孩子讲的话私自低声地传播开来。
“他并没有穿什么衣服!有一个小孩子说他并没有穿什么衣服呀!”
“他实在是没有穿什么衣服呀!”最后所有的老百姓都说。
皇帝有点儿发抖,因为他似乎觉得老百姓所讲的话是对的。不过他自己心里却这样想:“我必须把这游行大典举行完毕。”
因此他摆出一副更骄傲的神气,他的内臣们跟在他后面走,手中托着一个并不存在的后裾。
——《皇帝的新装》,汉斯·克里斯蒂安·安徒生
一、引言:围绕数字签名的炒作
近年来,观察家们相信:数字签名[1]将是互联网商务的“未来之星”。[2]这种在“公钥基础设施”(Public Key Infrastructure,PKI)管理运行下的,用认证证书来进行身份验证的技术方案,让希望在虚拟时空中实现交易的商人们兴奋不已。于是,数字签名被媒体争相追捧为网络时代的契约缔结过程中“最流行”、“最重要”的东西——尽管它那些理论上的潜能从未真正成为现实。[3]
2001年,互联网上采用数字签名认证方式缔结的合同数量屈指可数——如果不为零的话。[4]而且没有迹象表明:这种情况会在不远的将来突然改变。在年复一年地忍耐着那些关于非对称加密技术、哈氏函数(Hash Function)和公钥基础设施(PKI)的愚弄人的宣传,年复一年地听着所谓“鲍伯和爱丽丝希望在卡罗尔认证事务所的帮助下互相联系”的故事以后,[5]现在该是承认市场现实并非新闻炒作般迷人的时候了。当然,除了承认现实,我们还应该进一步分析:为什么数字签名——在和其它技术一样,尚未获得市场的真正接受的情况下,会成为人们狂热地追捧的对象?为什么即使到现在,在如此清楚有力的证据证明那些炒作绝不会成为现实的情况下,对数字签名的狂热仍然不减当年?
本文所考查的,是数字签名技术在典型假设下的典型应用,即相互间从来未有过联系的当事人,完全根据他们对第三方发出的数字签名证书的信赖来确定对方当事人的身份,进而缔结合同。在互联网商务中,陌生的当事人之间要确认对方的身份是比较困难的,因而上述应用曾被认为是数字签名技术最值得炫耀和最有前途的地方。理想状况下,交易各方可以在可信赖的系统中,完全通过电子信息传输来执行一个合同,进而节省诸如传真、电话或面对面磋商等产生的离线费用。[6]但那毕竟只是理想,事实上,如果当事人希望完全依赖在线通讯建立合同关系以及执行合同的话,那么他们将面临着一个无限循环的困境:如果交易各方真的只采用在线通讯手段来确认当事人的身份,那么这种通讯系统自身的可靠性又如何保障?很多数字签名的支持者相信法律可以快刀斩乱麻地解决这一复杂问题。按照他们的逻辑,对那些在交易之前没有任何联系,或者无法使用网络以外的方式联系的当事人来说,法律似乎可以让它们将自己的信赖建立在数字签名证书的基础之上。目前全美各地出现的,针对数字签名技术的大量法律规则实际上都有一个暗含的逻辑前提:由于私人之间的契约不足以规范数字签名技术,因而必须以法律的强制力量来确立责任的归属。
现实情况已日益明显:数字签名并非被应用于纯粹的陌生人之间的,“开放”的电子商务,相反,交易主体之间或者交易主体与系统管理员之间事先已经有契约性质的合意的(我们可以称之为“封闭”的)电子商务应用则要广泛得多。如今的互联网商务系统有两个发展特征,一是只建立各方当事人事先同意的、共同的系统规则;二是这些规则只适用于在特定交易发生之前就建立了联系的当事人之间的交易,其目的仅仅是为了降低以后的交易成本。如果这才是数字签名的“杀手级应用”(killer application,指一项技术在市场中真正具有竞争力的应用方式,译者注)的话,那么如今的法律可能就显得有些本末倒置了:它们把重点放在那些没有共同的交易系统或在先联系的当事人的交易上,而没有重点考虑那些事先认识的当事人间的在线缔约系统的建立和运转问题。[7]幸好,美国《统一电子交易法案》(UETA)至少没有规定当事人应该使用什么技术以及他们应怎样使用这些技术,所以当事人要缔结电子合同时,被法律强制增加无谓成本的可能性也就小了一些。
除了“封闭”的交易系统外,数字签名技术的另一个主要用途也许是:一个运行起来不会令交易各方感到不方便的网络安全基础体系。基于安全套接字层(Secure Sockets Layer, SSL)的通信安全系统就是这种应用的一个例子 (SSL 是一种安全协议,它为网络通信提供私密性保障,使人们不用担心通讯被他人窃听,或者信息被篡改,译者注) [8]。这种应用并不涉及所谓“数字签名”在法律意义上的“签名功能”——本文正是要否认这个功能的存在——实际上数字签名技术并不能提供任何咒语,来证明这个所谓签名一定是由用户本人有意识地“签署”的。与此同时,本文也反对诸如“数字签名可以替代那些依赖于用户ID和密码的简单登录系统”、“可以开发一种系统,完全用数字签名来控制访问者获得政府文件及向政府提交文件”等通行的观点。[9]
在汉斯·克里斯蒂安·安徒生的童话里,骗子们以“任何看不见那衣服的人就是不称职的人”为借口,向皇帝和他的谋臣们索要制作衣服的工钱。最后,皇帝走在街上,展示他自以为穿着的新装的时候,一个孩子道破了天机——他光着身子!天真烂漫的孩子终于让大人们从口是心非和恐惧中解脱出来,结束了荒诞剧。
和这个童话相比,有关“数字签名本来没有在电子商务过程得到充分应用,但却被过分炒作和追捧”的故事则稍微要复杂一些。总的来说,作为在今天的电子商务和信息系统安全中扮演主要角色之一的加密技术,数字签名和公钥基础设施(PKI)的确重要。而且加密技术,尤其是数字签名和PKI将非常可能在未来继续发展。所以,从本质上来讲,数字签名是(或者将是)互联网商务中的重要因素的想法并非自欺欺人。但是,对非对称密钥这种数字签名的典型形式来说,把它当作与合同书上的旧式手写签名功能等同的东西,则的的确确是幻想。[10]众多证据业已证明,把非对称密钥技术当作合同中的签名,就好像是要把方形的销子插到圆形的洞里一样——而今天却恰恰还有无数人和机构像填无底洞一样,不顾回报地把巨量的资源投入到这种牛头不对马嘴的事业中。
当然,尽管大部分主张把某种特定技术作为互联网商业中的“未来之星”的人都有金钱上的动因,但倡导数字签名和PKI的人还算不上童话中的骗子。人们已经习惯了别人为了金钱上的动因而鼓吹某种特定的技术,把它们称为“未来之星”,在这样的氛围下,那些鼓吹数字签名的人似乎也就算不上有什么“恶意”了。而且,在信息化的市场经济中,把某种私人的、个体的技术说成整个互联网商务体系中的必备因素,本身就是正常的商业行为——为了在残酷的竞争中保持领先优势,炒作已成了市场运作的常规。如果只有相对少的技术有机会成为互联网商务网络体系的组成成分,而一旦获得这种机会后,这些技术就能在网络的强大影响的保障下,带来巨额利润的话,那么再狡猾的顾客也只能根据那些宣传本身来有限地判断它们的真实性。然而,围绕数字签名的最有趣的困惑之一是:怎么会有如此之多的、本应该十分清醒的个人和组织,无视如此之多的证据,在如此长的时间里被愚弄。
在对数字签名的炒作的故事中,有和安徒生的童话中的官僚主义式的恐惧相仿之处。当满世界都在嚷嚷着“数字签名是未来之星”的时候,那些敢于怀疑未来是否真的会采用这种技术的人会被当作“勒德分子”[11]甚至“不学无术的人”。当然,对“数字签名技术必然应用于互联网上”的看法来说,还的确有那么一点儿事实基础:很有可能这一技术将被广泛地应用于网络安全的保障上——有了这种可能性,当然数字签名替代手写签名的可能性也是有的——不过,这只是一种可能性——现实是:传统合同签订的过程中的手写签名从来没有被数字签名所替代。此外,围绕数字签名的,经久不衰的炒作可能还有一个原因,那就是人们通常只会去观察事物的表象,懒于甄别来源可疑的信息,并且习惯于在没有花功夫证实其准确性的情况下,重复这些信息。
可是,让追捧者大跌眼镜的是,“数字签名是电子商务领域‘最流行的’在线认证方式”的断言从未兑现。对所有没有在先关系的陌生当事人来说,数字签名证书也许是最不流行的一种在线认证方式——如果流行与否的标准是采用这种方式缔结的合同的数量,或者依赖数字签名认证而进行的交易所涉及的贸易数额的话。[12]本来事情非常简单——在开放的互联网商务合同缔结过程中,没人会把数字签名作为合同意义上的签名,但是这一事实却常常被某些现象所遮蔽,这些现象有:(1)正在进行和已经成功的相关小规模试验;(2)标准化组织为了完成他们的工作而取得的进展;(3)专家们的看法——他们已经认定数字签名就是电子商务不可或缺的“未来之星”。
在大众新闻的无穷无尽的同义反复下,[13]在由于对数字签名在市场中事实上的流行程度的错误判断而导致的错误的立法导向下,所谓“数字签名是今天的电子商务中最广泛应用的认证形式”的错误判断成为一个都市里的幽灵。即使是深思熟虑的反对意见也不能彻底驱除这个幽灵。[14]它在一个地方被击败以后(如美国国会),又像九头鸟一样以不死之躯在其它地方飘荡——如联合国贸法会电子商务工作组、[15]欧盟电子签名指令,[16]等等。
问题的一个主要原因在于,人们总是会把非对称密钥技术和公钥基础结构(PKI)在网络上的作用等同于手写签名在传统合同订立过程中的作用。[17]在传统的合同订立过程中,传统签名方式扮演着令人惊讶的、复杂的、微妙的角色,而这种角色与网络安全技术意义上的所谓签名功能完全不同。并非所有的合同都要求签名作为生效要件,也不是所有的签名都意味着签署者愿意进入一个自己需要承担义务的法律关系中。在非对称密钥、X.509证书和PKI的运行中,使用“签名”这个词汇至多是一个比喻,并且有误导的作用。被用来作为类比对象的“传统签名”与“数字签名”及PKI所承担的安全功能之间存在着很大差异,这种差异很容易被人们忽视——即使有一些久经事故的观察家或许已经发现了这种差异,但因为某种金钱上的动因而没有把它被揭示出来。信息的不对称、利益冲突,加之互联网所带来的狂热投机欲望和泡沫,使人们不会有兴趣聆听一个相对冗长、复杂的,有关为什么数字签名并非“未来之星”的故事。
本文是有关《统一电子交易法案》的讨论的一个部分。如果《统一电子交易法案》完全没有对数字签名的价值表态的话,那么本文中关于“在电子合同中使用数字签名的尝试至今仍未获得成功”的观点似乎显得有点离题千里了。但值得注意的是,《统一电子交易法案》提出了“技术中立”原则,这说明了其对很多国家的立法进路的“反动”——这些国家或暗示、或明确地把数字签名作为传统手写签名的等价物,并将其作为电子合同成立的要件。与这些国家的思路相比,在有关数字签名将要如何运用到电子合同这一问题上,《统一电子交易法案》的进路要更加恰当一些。这是因为,它允许商业实践的自我进化,并排除了立法机构(它们显然对现实市场的发展情况不甚熟悉)对技术标准的设立过程的干扰,使互联网认证安全技术有了自由发展的空间。通过(商业领域自发形成的)标准和私人间的契约来对当事人各方的权利和义务作出安排,可以让那些对市场情况了解的人继续采用和进一步发展(他们各自的)信息安全模式,这将比通过麻烦和不精确的法律程序来得更有效率和更理性一些。
本文将回顾有关“数字签名在电子商务中的角色”的最初观念,解释为什么那种观念在很多方面是错误的,描述今天在市场上获得份额的数字签名的具体应用形态,并将这些应用与最初的那些观念相比较,进而考察(人们)对市场趋势的一个主要误解所造成的影响,以利于电子商务立法的未来发展。在本文的附录中,还有一个简要的数字签名技术和PKI系统的说明。
二、最初的观念:数字签名是一种签名
第一个公共密钥算法[18]是由Whitfield Diffie和Martin Hellman于1976年首先描述的。[19]不久,Ronald Rivest、Adi Shamir和Len Adelman开发了另一个公共密钥系统。[20]公钥系统的巨大优势在于,它允许人们使用两个不相同但相互关联的密码来保证他们之间的通信的机密性。这两个密码中的第一个,即私钥,由所有者秘密保存,另一个密码,即公钥,则可以被广泛地分发。两个密码之间有数学的关联,但却不能从一个密码计算出另一个密码,这是公钥密码术的优点之一。一个系统内,如果公钥已被分发了,那么这个系统通常就被称为“公钥基础设施”(PKI)[21],这个系统可以降低分发公钥的成本,同时使因欺诈和错误而导致的风险降到最低。最广为人知的PKI模式是基于电话地址录模式的PKI。[22]这一模式最早由Whitfield Diffie和Martin Hellman于1976年以论文的形式发表。[23]1977年,还在麻省理工上大学的Loren Kohnfelder对该模式作了发展,增加了“证书”的概念。[24]
在十年甚至更长的时间里,人们认为,只要在PKI中,有一个被信赖的第三方发放数字签名证书,那么经过数字签名的文件将使电子缔约过程发生革命性的变化。[25]人们认为,数字签名将为个人提供一个稳定的、可信赖的机制,使他们通过电子记录来合法地表达自己的意愿。与此同时,认证证书也将为在线身份卡提供一个稳定和值得信赖的形式。每个个人都会保护好他们自己的私钥,仅仅在合适的环境下签署电子记录。缔约过程中的文件将包含由负责任的主体发放的数字签名证书,用来为对方当事人提供快捷、简单的途径,使他们得以在网络空间确认作者在现实世界中的身份。这些就是有关电子缔约过程中的数字签名的最初观念。同时这种观念还包含着一个假定,那就是更早一些的在线认证系统将肯定转化为在PKI管理下的数字签名。[26]在上述观念的影响下,出现了大量诸如“一个私钥究竟应达到什么要求才能保障安全?”“一个PKI究竟应该如何设计和管理?”等问题的争论。当然,也有反对这种观念的声音,反对者指出,在保障私钥安全、组建PKI等问题与交易各方使用互联网或其它现代网络通信系统的状况之间,存在着一个非常难以逾越的鸿沟,而且即使是在可以遇见的未来,这一鸿沟都将存在。[27]
阻碍数字签名在电子缔约系统中广泛运用的一个主要障碍可能是:要应用数字签名,就必须对商业管理系统进行复杂的改造或重建。为了让数字签名替代如今使用着的五花八门的,用于认证当事人身份,保障善意缔约的各种系统,PKI的政策和层级安排就不得不与其它商业信息系统相兼容,以保证合同磋商和合同成立的过程始终是自动化完成的。同时,为了让在本次交易前从未有过商业联系的交易各方有可能自动地完成交易过程,就必须建立起一个标准,这样才能让交易各方所属的各个单独的组织所确立的PKI政策、层级安排以及支持程序能互相协调统一地工作。上述工作十年前就已开始开展,但现在看来,与成功的距离和多年前一样遥远。
在关于电子商务的数字签名的最初观念中,存在着很多问题。首先,“签名”这样一个类比,究竟适不适合非对称密钥和PKI基础上的证书所完成的工作?其次,传统合同实践中的签名的功能到底是什么?再次,人们在发展相关技术领域的法律规则,或者在制订技术标准以扩展技术可以适用的功能范围的时候,面临如何把技术领域的概念安排到法律中,或者如何把法律的概念安排到技术标准中的问题。
(一)用“签名”来类比非对称密钥技术和PKI,是否恰当?
数字签名和PKI的标准模式来源于国际电讯联盟(ITU)所制定的X.509号标准。[28]在该标准之前的X.500标准,是用于满足分布式的电话网络(如跨国公司的网络)中电话通讯簿的使用而开发的。电话目录的不同部分可以被存储于网络中的不同地点,例如电话簿中列出的雇员所在的公司分支机构的办公室。公司的任何一个雇员都可以查询远程的电话簿,而不必考虑这一部分黄页被存放在什么地方。[29]
1980年,ITU开发X.500标准时,曾提到过用一个证书来验证真实世界中,拥有特定私钥的某一特定身份的可能性。[30]X.509标准对如何构成一个数字签名证书作出了规范。内容和格式的标准化使数字证书可以被计算机自动发送,并且,由不同主体发出的证书也可以相互交换(认证)。但是,设计之初仅仅用于分布式电话目录的X.509很快就显得不适合于网络通信系统的要求,因而没过几年的时间,这一标准就被修订了。目前,被广泛应用于电子商务应用的X.509标准是其第三个版本(X.509 v.3)。[31]
X.509 v.3标准不仅允许在一个证书中确认特定的身份,而且允许对特定证书设定不同的政策。这就使X.509获得了在网络环境中描述特定授权行为的能力,从而为数字签名扩展到电子缔约领域提供了可能性。例如,X.509 v.3标准下的证书可以限制特定的金额、特定的地理范围、特定的生产线。只要电子缔约系统设定好了合同的政策,那么一个卖主就可以自助确定包含特定政策的数字签名证书,并由系统自动决定是否接受或者不接受可能的买主的订单。
但是,仅仅因为X.509 v.3标准下的证书可以确定主体的身份,并能包括证书用户被授权的范围或者用户的在线行为权限,就将它和签名相等同,是不够的。
在《合同法(第二次)重述》中,“签名”被定义为:“当事人根据真实意思表示所做出的任何标记,作出这一标记的目的是鉴别文件,确认其是签名者所为,这种标记的做出可以是事实上的,也可以是外观上(明确)表现出来的。”[32]在上述《合同法(第二次)重述》的注释中接着说:签名不限于在纸张上的手写签名,而且还可能包括指印、图章的印记和任意的代号。[33]所以,特定情况下,在一份(通过电子方式传输的)讯息上附加一个用私钥签署过的数字签名证书,的确可能构成事实上的签名,但是,如果一个人想要主张这种行为构成(法律意义上)的签名,那么他必须证明:行为人主观上愿意受这种签署行为的约束,并且这种主观的意愿与其在讯息上添加数字签名的客观行为之间要保持有联系(着重号为译者添加)。而要让这种联系以可信赖和不间断的方式存在,就一定会对运行于网络上的每一个节点的网络技术和信息安全提出要求,这种要求将非常难以达到,以至于其复杂性和巨量性成为如今阻碍数字签名技术推广的一个重要障碍。
在将一个数字签名证书与特定的当事人(愿意被电子记录的内容所约束)的故意之间相联系的努力过程中,一些显而易见的问题随之而来。这些问题包括:(1)数字签名的私钥是否真的是由那个(在发放证书时所登记的)恰当的人所控制;(2)有没有其他人使用过那个数字签名,如果有的话,这个人是怎么在没有授权的情况下获得私钥的,谁应该为这种未经授权的获得私钥的行为负责。这种安全漏洞可能源于两个原因:首先是在最终用户层面,最终用户没有做到以合适的安全措施,保证只有合适的人才能接触私钥;其次是在技术层面,没有用具备适当的安全性的软件和硬件来存放私钥。因此,在我们假定一个数字签名能够等同于传统的手写签名以前,就必须要分析:特定个人借助技术做出行为时的态度和他们的理由,与此同时,还要分析这个人所选用的整个数字签名系统的安全特性。目前,由于把数字签名技术作为“签名”的模式还缺乏足够的经验和深入的实践,所以尚缺乏一种标准化的模式,来获得上述信息。此外,即使在那些“封闭的”系统(也就是成员业已根据事先的、可应用的标准而有了共同的协议或系统规则)中,可能有切实可行的办法,在系统成员间尝试开发和执行这种标准,但至今没有人发现一种切实的方法,使最终用户在一个“开放”环境下(例如先前没有联系过的陌生主体间发生的互联网交易)的行为也达到标准化。[34]
(二)在传统的合同订立过程中,究竟为什么要“签名”?
即使在当事人主观上希望自己缔结的协议生效的情形下,签名也不是合同成立的要件。签名是用来证明特定当事人进入并接受特定法律关系的约束的证据之一,但并非唯一的证据类型。在有的情况下,签名甚至不是文件具有证据力的必备要件。即使是要回答“当事人在特定交易过程中,是否真的是在自己的意思支配下进入到约束性合同关系内的?”这样的问题,也可能根据不同的情况而有不同的证据要求。这些不同的情况包括:特定的交易主题、当事人所使用的通讯媒介、当事人间的交易过程、行业市场内的惯例。在某些情况下,法律可能会要求一个正主张权利的当事人提供一份有相应义务的对方当事人签章的文件作为证据,但这样的要求远不具有普适性。[35]
但是,“签名”这个比喻禁锢了那些寻求新的商业模式的人的想象力,所以所谓“签名法”的探讨很快就开始了。在这种背景下,非对称加密技术和PKI的特性只不过刚刚给“签名”带来一丝光亮,人们就将研究视点全都集中在考察既有的法律是否能在这一特定新技术的使用中发生效用上。在检索中我惊讶地发现,关于传统签名的“签名法”的研究极其有限——仅仅是在可转让票据法(negotiable instruments law)领域中有一些分类参考资料——如AMJur(全称American Jurisprudence,一种连续性美国法律百科全书,译者注)和一些关于在可转让票据上的签章的证据的论文提到过相关的问题,而这些论文都发表于上世纪九十年代以前。[36]
为什么人们对签名的研究极其稀少?回答这个问题可能非常困难,但我们还是可以推测一下:为什么有关签名问题,直到最近都一直在法律体系中没有太大的争议。也许在普通法的合同规则中,以签名作为证据的一部分,来证明当事人同意受到合同的羁束的做法,已经是许多世纪以来早已确定的规则了。而且,由于这一规则延续时间之久远,变化程度之小,导致人们认为:似乎完全没有必要再对它进行任何探讨。在中世纪的普通法法律文书体系中,由于当时很少有人会识字和作文,所以签名并非产生合同羁束力的必备要件。而封印契约则更被当作等同于如今的合同生效要件的行为。[37]基于“封印之诉”的规则是高度形式主义的:如果某人的封印被用于证明一份文件,则该人唯一的抗辩理由就是否认这个封印是自己的,仅仅以该封印的使用未经过所有人授权的理由,是不会获得支持的。[38]在一个损害赔偿案中,法庭以“侵越”(trespass)为由,判定不具备封印契约的形式要件的承诺仍应被履行。这就意味着,现代合同法是由“侵越令状”(writ of trespass)而非封印契约发展起来的。[39]用“侵越令状”来赋予普通法法庭对缺乏签章的合同的司法管辖权的做法,发生于14世纪。[40]到了二十世纪,证明非正式的合同的方法已经确立起来,而且,除非在相对有限的范畴(例如欺诈法或证据法),这一问题已经完全不会产生争议,冗长讨论似乎已丧失价值。
当现代科技将人们从手写签名和纸张记录的时代带入电子通讯时代时,任何一个希望把既有的法律适用于新商业模式的人都会发现:合同法并没有概括性地深入讨论过签名所蕴涵的意义。数字签名的概念只是粗略地以以下形式出现:(1)作为一种实现手段,数字签名可以在合同实践中替代传统手写签名;(2)但是,如果由数字签名构成的合同的执行力和范围不如传统纸张上的手写签名的话,那么这一新技术的采用将成为商务活动的障碍;(3)如果一个合同受某项关于欺诈的立法的约束,而该立法中规定的签名的构成要件又被解释为纸张上的手写签名,那么数字签名就会使该合同缺乏执行力;(4)所以,必须澄清关于欺诈的立法中的“签署”概念。近十年以来,尽管有很多涉及合同法中的签名的性质问题的研究,但大部分研究都没有耐下心来,从历史的角度做出中性的分析。[41]事实上,最近的大部分研究成果都充满了迷信色彩,认为数字签名和手写签名相比,不仅是逻辑上不可避免的胜利者,而且还有很多其它理由使其优于传统的签名。
在这样的背景下,至少有两个错误的假设影响了人们对合同法中的“签名”的法律性质的研究。第一个假设是:仅仅从过去涉及签名的相关法律条文(如流通票据法或欺诈法)中所表达的概括性规则中,就可以理解签名的法律内涵;第二个假设是:对签名而言,现在的合同实践缺乏技术上的精密性和严格性,而只有在使用新的、更强大的认证技术后,才能解决这一问题。如果传统的缔约方式并非完全或主要依赖于对手写签名的认证,那么这些假定就将引出十分错误的结论。例如,假设缔约双方有长期的合作关系,[42]则所谓的“认证”或“确认”过程可能就主要依赖于双方在电话中的交流,或者通过双方在长期交易过程中形成的一些习惯性的信息表达方式来作为确认的依据。[43]即使合同是发生在陌生人之间,也常常没有正式的格式,而仅仅由面对面的交流、朋友的介绍、广告和品牌乃至信用记录来确认对方是否确实有愿意受合同约束的意思表示。 在一个“合法有效并附带有违约责任的,可执行的协议”[44]的成立过程中,“获得对方当事人的有效签名”只是众多要做的事情中的一环。仅仅把普通法上有关传统签名的规则作为数字签名法的渊源的想法实际上过于狭隘,我们应该把视野投射到更广泛的方面,考察促成传统方法订立的合同成立的各种因素。
(三)“不得否认”(non-repudiation)到底是什么意思?
一个数字签名证书不但包含诸如证书所指向的人或实体的名称一类内容,而且还包括使用这一证书的背景所遵从的政策等信息。[45]在这些信息中,可能会有一个变量被用于说明数字签名是否属于“不得否认”(non-repudiation)。如果包含了“不得否认变量”的证书被签发,那么数字签名所指向的主体可能会更加难以否认自己曾用私钥签署过附有这份证书的电子记录。[46]
在数字签名的有效性是在认证证书开启了上述“不得否认变量”的条件下才能获得的条件下,如果该签名就真的不能被签署者在法律而非技术意义上予以否认,那么实际上是在相关电子合同中增加一项义务,即“合法、有效和具羁束力”,并根据其条款有执行的效力。[47]但是,法庭在判断合同究竟是否有效时,数字签名证书中的“不得否认变量”的激活与否只是众多可资参考的证据中的一种。[48]也就是说,“合同是否有效”与“是否激活了不得否认变量”之间没有必然的联系,可惜的是,尽管在逻辑上,可执行的合同与在数字签名证书中激活“不得否认”之间并非同一的关系,但“不得否认”的概念还是进入到了关于电子合同的形式要件的讨论中。而正是这种把法律结论和技术函数混淆在一起的错误进一步强化了人们所谓“数字签名是电子合同法领域的未来之星”的想法。
要理解“不得否认变量”这一技术本来所希望解决的问题,其实非常容易。在一般情况下,我们很容易理解诸如“帮他人作一份电话口信记录”和“签署一个抵押票据”之间,或者“举手以引起服务生的注意”和“在拍卖会里举手表示自己愿意成交”之间,或者“在一个晚会里与新认识的人握手问候”和“握手表示同意合同成交”之间的区别。而在在线环境下进行沟通时,由于不太容易有那么多背景因素来帮助人们判断相互间的真实意思表示到底是什么,所以在签署一份具羁束力的合同时,需要采用“不得否认变量”,从而给对方提交一个防止误解的讯号。但无论如何,这仍然仅仅是在技术层面的东西,把激活“不得否认变量”与构成有法律羁束力的合同的形式要件相提并论是会出问题的——当事人很有可能不希望参与到合同关系中并为合同所羁束,却照样激活了那个变量。如果在“不得否认变量”的激活与有订立合同能力的人的主观愿望之间没有建立起适当的联系的话,那么无论数字签名证书的“不得否认变量”是否被激活都是毫无意义的。因此,将“不得否认”引入到合同习惯法中的做法,充其量是画蛇添足,而且很可能导致法律适用中的误解。
事实上,X.509标准中的“不得否认”一词,在合同法上并没有与之相匹配的概念。这个词偶尔地用在其它法律中,但涵义与在X.509标准中的意思风马牛不相及。即使在技术标准中的“不得否认”真有什么特定内涵,[49]也没有迹象表明合同法不吸收这个概念就不能适应21世纪的情况。“不得否认”(non-repudiation)曾出现于涉及下列法律问题的案件中:(1)《国家劳动关系法案》中有关集体劳动协议的规定中的“不得否认”;[50](2)原子能委员会的早期决议中的“不得否认”;[51](3)ERISA计划中的“不得否认”;[52](4)罪犯的口供的“不得否认”;[53](5)信托责任约束下的受托人对受益人的“不得否认”;[54](6)被代理人对纯粹接受利益的代理行为的“不得否认”[55],等等。近期发生的“Bernstein v. Department of State”案是在与密码功能有关的案件中首次出现这个词汇,但该案涉及的是应不应该根据(美国宪法)第一修正案的精神,保护密码通讯的言论自由的问题,而完全与合同成立与否无关。[56]
清晰的责任分担规则十分重要,它将给依赖电子认证程序的合同的履行带来便利,现有的电子商务法律也并非对此完全没有规定。在《美国统一商法典》(Uniform Commercial Code,简称UCC,译者注)第4条A款里,有“满足商业要求的,合理的安全措施”的规定,这就使当事人很难拒绝承认通过电子资金转帐系统传送的指令——如果这个指令是从他的系统中生成的话。不过,在条文中仍然没有使用“不得否认”的说法。[57]而要达至这一法律结果,则不能仅由当事人一方选择某一特定的技术来完成交易,而需要有一个在先的协议,以确定该项交易所要求的技术需要具备哪些客观特性。
合同法中的所谓“预期违约”(anticipatory repudiation)[58]概念与“不得否认”(non-repudiation)的词义相差甚远。“预期违约”是指这样一种情况,当合同的一方当事人通过明示或默示的方法,表达了他将不再履行合同义务的时候,另一方面当事人可以主动采取一些措施来避免损失——当然这些措施也包括等待和观察对方是否继续履行合同义务。此外,当事人还可以直接采取合同违约时可以使用的救济措施,并暂停己方义务的履行。在这里“违约”(repudiation)指的是一方当事人表现出其将不再履行合同义务的意思,而并非否认某一合同本身的存在。
如上所述,在PKI中,所谓“不得否认”实际上只有很有限的适用范围,但这一概念却仍然在一些电子合同立法中被加以援引。举例而言,下列论述就阐述了在某些特别的立法中,承认“不得否认”可以同时作为一种技术手段和一种执行合同的法律手段而存在:
伊里诺斯州在承认电子签名和手写签名有相同的效力的同时,将电子签名和数字签名相区别。因此,在伊里诺斯州的法律中,两类签名居于不同的层次:两者的区别在于,当你使用加密手段的数字签名时,你将承担某种被称为“不得否认”的义务。
在普通手写签名和电子签名的条件下,认为签名是真实的一方当事人负担举证责任。法庭考虑的是,究竟以文件作为主张权利的依据的一方能否证明文件上的署名的确是对方当事人的“签名”,并且电子邮件是由他所“撰写”的。在伊里诺斯州的新法中,如果使用的是一个加密的数字签名的话,那么举证责任发生转移,由否认该份文件的真实性的当事人证明“这不是我签的”。这就是所谓“不得否认”的含义。[59]
这段论述似乎作出这样的假定:无论是否激活了证书中的“不得否认变量”,任何一个数字签名证书都不能被他的表面上(假定)的签署者所“错误地否认”。此外,这段论述还把“推导出法律后果”和“更好地确定事实”混为一谈:所谓法律后果,是指当事人不能因为没有证据证明究竟是谁(当事人自己或者别人假冒他)在文件上进行了数字签名而拒绝承担文件中规定的义务——这是根据那些给予数字签名以特殊地位的法律的规定而推导出的法律后果;而所谓“事实”,是指实际上究竟是谁在文件上作了数字签名,这个行为人的主观状态是什么——这是使用PKI及数字签名技术所导致的实际结果。在有关数字签名及它们与合同法的关系的论述中,这种把“使用电子签名技术所导致的实际结果”和“电子合同本身的可执行性”混同起来的错误实在是不胜枚举。
即使我们承认了经过认证的数字签名的法律效力,也仍然不足以满足实践中的电子合同对系统安全的需求。任何一种计算机安全都可以被理解为将参与者结合在信息系统中的链条,而系统安全只能算这个链条中最薄弱的一环。[60]在将特定个人的身份与数字签名证书中的内容相结合的过程中,以及在将签署者通过签署行为所表达出的主观意思与所谓“不得否认”的概念相结合的整个过程中,如果安全技术链存在着薄弱环节,那么,激活“不得否认变量”并不能解决任何问题。而这样的薄弱环节可能因为如下众多原因而产生:(1)人机互动界面存在让人误解的设计,导致行为人在没弄清别人将会如何理解其激活行为的意义的情况下,激活“不得否认变量”;(2)用于激活“不得否认变量”的应用软件存在设计缺陷,没有设计应有的确认步骤,用以判断行为人对该变量是否应该被激活的真实意思;(3)安全系统的设计存在缺陷,导致一个人在未经授权的情况下激活了另一个人的数字签名证书中的“不得否认变量”。[61]
如果一个存在着设计缺陷的PKI被用来分发数字签名证书,且这些证书也已经被使用,那么,即使行为人表现出自己愿意通过数码形式签署一份文件,以使自己受法律关系的约束,对方当事人也不再有能力通过系统所分发的证书对数字签名的验证,来判断行为人的这种表示是否真实。这样的话,使用这个PKI所缔结的合同的效力也就变得不确定了。因此,在决定整个系统的可靠性的过程中,系统中的某些安全函数的作用也许是无关紧要的。人们总是热衷于讨论采用暴力破解(通过大量运算不断试错,从而找到密码的破解方法,译者注),需要多少年能破解密码系统,然后用这个标准来评价密码的安全性能,[62]而这种讨论实际上干扰了人们对更重要的问题的注意力。
事实上,对以下一些问题而言,至今都没有任何明确的判断标准:(1)用户应采用哪些步骤来合理地保证密码的安全;(2)在使用数字签名证书时,可能会有各种各样的情况造成密码泄漏,对于这些情况,应如何向用户发出相应的警告。如果用于数字签名的密钥被存放在一个可以通过输入用户名和密码就进入的硬盘上的话,那么这个数字密钥的安全性当然不会高于这组用户名和密码的安全性。而如果用户又曾将这组用户名和密码显示在个人计算机的屏幕上的话,那就说不清到底有多少人得到了数字签名的权限了。如果没有完善的标准,用以评估用户的不合理行为及人机交互程序的设计,那么,仅仅以计算机曾经做出过某个动作作为证据,是很难证明行为主体当时到底愿不愿意对计算机执行的动作承担责任的。所以,“不得否认变量”被激活与否作为一个事实,即便是能为判断在线合同的效力提供相关信息,也只能作为众多相关信息之一,而仅靠这一信息自身就要建立起一个合法、有效并具羁束力的债权,是远远不够的。
三、数字签名技术的商业应用
不过,数字签名技术没有代替传统签名的现实并未减缓互联网交易数量增长的步伐。在B2C领域,电子商务活动是以信用卡的使用和发达的邮件订单和电话订单系统为运营基础的。[63]这种运营基础在检查信用卡发行者提供的认证信息之前,首先对特定信息(如帐单地址)进行校验,然后运行欺诈侦测软件,如果软件判断认为交易真实的可能性要大大超过欺诈的可能性,则该交易就是可以接受的交易。而在B2B领域,电子商务活动依靠的是一种改良的EDI贸易伙伴协议,这种协议针对的是特定的、封闭系统中的会员。[64]在这种贸易伙伴协议中,会具体规定交易各方使用哪一种特定技术来确定自己的在线身份,并规定因欺诈及技术缺陷或操作失误而发生损失时的责任分配问题。
虽然前面论述了PKI中所运用的非对称密钥技术不能代替传统签名,但这并不是说它不是一种强大、重要和被广泛运用的安全技术。安全套接字层(SSL)就是数字签名在商业领域的一个非常成功的运用。[65]而SSL在市场中的成功,至少部分是因为它没有以“签名”的功能替代者的角色出现。它所做的,只是加密个人计算机上的浏览器与服务器之间的通讯过程,保证个人电脑和服务器间的通讯的机密性。[66]
SSL为个人提供一定程度的保证,使他们能够访问真正的商务网站,避免被黑客所制作的、伪装合法的商务网站所蒙蔽。SSL还为本地计算机(或客户机)与服务器之间的信息传输提供了保障,确保信息在传输过程中的私密性和完整性。在管理密钥和编码的软件支持下,网站服务器中的电子商务应用软件使访问者在输入密码后,才能访问一个“透明”的网站。例如,在Netscape Navigator或Microsoft Explorer中,当页面中的某个项目发生了改变,浏览器只会告知用户这样一个事实:客户机和服务器之间是以加密方式进行通讯的,或者跳出一个对话框,告知用户将启动一个安全进程。在一个电子商务网站的服务器上,安装有一个专门生成公钥和私钥的安全程序,公钥被用来从证书认证机构获取证书。[67]无论浏览器是第一次被安装到客户计算机上,还是浏览器正与服务器进行通讯,SSL服务器证书都会被传送到客户的计算机上,供用户的浏览器使用。[68]客户机一旦访问了一个启用了SSL的网站时,该网站的服务器首先向客户机发送一个服务器的数字签名证书的副本,用来让客户机上的浏览器进行验证。然后,客户机会生成一个临时密钥(session key)[69]用以加密服务器的公钥,并将其发回给服务器。此后,所有在客户机和服务器之间传递的信息都会被这个临时密钥加密,所以,即使信息在传送过程中被拦截,诸如信用卡资料等各种敏感信息也不会被盗用。
从上面的说明可以看出,如果非要把有关署名的比喻类推到SSL的功能上的话,那么最好的表述方法是:服务器的确有一个数字签名证书,但其中所包含的公钥是用来“加密”而非“签署”什么东西的。即使真是用来签署什么东西,那么所谓“签署者”也只是服务器,而非拥有服务器的公司或个人——很难想象一个机器设备(如服务器)本身究竟会在什么条件下才可能成为合同的缔约方。而且,由于服务器的数字签名证书的认证甚至已经“预先安装”进了用户的浏览器软件,所以在个人电脑上操纵浏览器的用户也不可能会真的意识到自己在做出决定,以表明自己愿意接受某种仅仅被服务器本身签名画押的东西。假设用户无法选择(或没有做出选择)是否信任预安装在浏览器软件中的证书,则任何浏览器软件自动执行的、用那些预安装的证书所做出的数字签名认证的行为当然不能被认为属于“值得信赖的认证过程”。所以,如果说SSL建立了什么可以被称为“签名”的机制的话,那也只是一台电脑的签名,这个签名被用来让软件所识别和接受,以防止电脑或软件在担任他们各自的所有者的电子代理人时出错。
话说回来,非对称密钥技术没在美国被成功地作为“签名”使用的现状并不意味着它将永远不会成功。正处于开发和测试过程中的PKI内的数字签名的执行标准有可能使理想变成现实,从而在下一代电子商务技术中被成功运用。要让数字签名获得广泛的接受,可能至少应该注意两个方面的问题:一是数字签名应该由愿意担保数字签名内容的准确性的,被信任的第三方来发放;二是要有一个可被实际运行的交叉认证系统,使不同的“封闭”系统所发放的证书能够被这些系统外的个人和组织所接受。就基于对证书的信赖而达成的交易而言,如果这个交易可以由一个被信赖的第三方担保其可执行性,那么数字签名证书当然会对那些事先互相没有任何关系的,可能的在线贸易伙伴有显而易见的价值。迄今为止,对证书发放和证书所载内容的担保而言,还没有人找到可行的商业模式,但有几点建议可能有助于解决这个问题。首先,交叉认证可以建立在一个封闭的系统之上——例如一家公司,这间公司向它的雇员发放身份认证,并且允许雇员获取公司资料,或者允许雇员在证书授权的权限范围内完成工作任务。其次,为了让第二家公司在接受第一家公司的证书时决定是否让第一家公司的雇员获取自己的资料或执行某项任务,两家公司必须共同确立一些内部政策和程序。到目前为止,尚未开发出针对这种合作政策和程序的统一标准,但有可能在将来以某种形式实现。
Identrus是一个更复杂的,足以允许数字签名成为构成电子合同的一个必要因素的,协调共同政策和数字签名技术的商业模式。[70] Identrus是一个由各主要银行合资建立的机构,它力图将银行一直以来所承担的、扩展客户信用的风险管理者的角色延伸到互联网上,用以满足互联网商务对一个更强大的在线身份确认系统的需求。Identrus组织向其成员银行提供基础证书认证服务,用以证明银行客户的在线身份。这项服务不由得让人们回忆起那些相对传统的银行服务,例如信用证制度就是为两个没有前期关系或其它基础的当事人建立信赖而建立的——双方用银行作中介,从而保证了各方当事人都按照合同履行必要的义务。有中介银行的声誉和信用作为支持,因为客户自身信誉有限而显得风险过大的交易也可以进行了。各个银行都加入到Identrus系统后,他们各自的客户身份和信用价值(creditworthiness)本身的不平衡将被互相弥补,从而保证每一个银行客户都有执行在线合同的条件。
目前,Identrus所采用的商业模式还有些模糊,要弄清这一模式能否在市场中存活下来也还需假以时日。之所以唯独银行被作为担保在线身份和信用价值的主体,是因为银行内部都拥有与电子资金转帐交易(electronic funds transfer transactions)相关的网络安全专家, 而这些专家又能够了解到产生于银行内部的、与它们的客户的商业运营有关的信息。但是,如果事实证明,劝说银行在它们已经提供给客户的服务中增加在线认证服务要比想象得更困难,或者如果因为成本过高,使这种服务的价格无法吸引客户,那么Identrus仍有可能因为难以获得广泛的市场认同而失败。
四、法律改革与电子商务中的认证
永远别尝试教一只猪唱歌,
这不但浪费你的时间,而且还会干扰猪的生活。[71]
《统一电子交易法案》对电子合同的形式采取“技术中立”的态度,聪明地避开了对牛弹琴的窘境。以《犹他州数据签名法》为代表的一些法律,特别强调PKI系统下的非对称密钥的运用,但市场并没有对这一应用展开双臂,从而使这些法律永久性的在电子商务领域被边缘化。值得注意的是,《统一电子交易法案》的法条中没有指明特定的安全技术,并不意味着安全技术在电子商务中无足轻重。法条中避免提及特定技术的做法,更可能表达了立法者这样的观点:有关电子商务网络的结构问题,应该留给私法意义上的合同各方及技术标准的开发者们来决定。而且,这种做法并不意味着《统一电子交易法案》对电子商务参与者间的,就安全系统的适当与否问题所做出的责任分配不闻不问。
关于这种责任分配,《统一电子交易法案》有两项最重要的规定:一是第5节(b)款,其中规定《统一电子交易法案》将只适用于交易各方都同意使用电子媒介的情形;[72]二是第9节(a)款,规定只有当某个电子记录或签名行为是由该记录或签名所指示的人本人做出时,该记录才对其有羁束力。由于《统一电子交易法案》中并没有关于举证责任转移的规定,所以一个人如果希望根据《统一电子交易法案》的概括性规定,确认其采用电子媒介所进行的交易的有效性,从而实现其合同权利,则这个人必须证明各方当事人同意采用电子媒介,并且各方当事人在合同缔结过程中也事实上使用了电子媒介。要把人和在线行为确定无疑地联系起来,就必须有一套完整的系统,这个系统应该让使用者明示同意采用电子媒介,或者同意一份电子签名或电子文件的效力。如果没有这种系统,那么主张合同上权利的当事人将遇到的现实问题是,他们需要负担十分沉重的举证责任。由于主张合同权利的当事人很难承担举证责任,所以合同有无效的可能性,这种经济刺激,促使那些希望把电子合同作为一种常用手段的人,参加到标准的设定或系统规则的开发中去,用标准和规则来规制电子合同缔结各方的权利和义务——比如,沿着Visa和MasterCard的系统规则的思路开发自己的系统规则,或者研究一个一揽子的解决方案,用协议的方式明确电子合同各方当事人的权利和义务。
《统一电子交易法案》着手解决的是这样的一个事实:在电子商务中,尚未出现被广泛接受的、强大的电子认证系统,因此必须在规则设计上同时兼顾目前的情况和未来的变化。目前,各种试验计划和吹捧电子合同的强大认证能力的令人困惑的新闻报道仍不绝于耳,但其实没有任何迹象说明,在某种更先进的认证技术形式最终成为新的市场标准后,市场会变成什么状况。在一个有许多选择却没有一个被广泛认同的标准的世界,问题事实上演变为:究竟哪一方当事人应该承担因采用新型缔约手段而产生的风险——比起如今被广泛运用的当面交易、传真交换、电话订购或邮购等方式,这种风险也许的确不算小。《统一电子交易法案》将采用新型缔约手段所增加的风险交由停止执行合同的一方当事人来承担。因此,一般的当事人将不得不缩减研究替代传统缔约形式的、新的合同形式的成本,一直等有比今天的互联网更安全的通讯方式出现时,再去改变原来的交易方式。在实践中,愿意尝试新的商业模式的当事人更有可能是商人而非一般消费者,这是因为他们将不断重复运作类似的行为,这样才有可能在从传统的通讯模式转向更复杂的替代模式的过程中,节省出足以让他们愿意改变交易方式的费用。
在某种程度上,我们可以肯定地推断出未来构成在线合同形式的法律框架。目前在美国和全世界被广泛运用的自动柜员机(以下简称ATM)系统为我们对未来的预测提供了一个非常有趣的参照。ATM网络使用了大量安全技术,其中的许多都依赖于发达的密钥系统,这些系统类似于用非对称密钥和PKI管理的数字签名系统。为金融服务设定标准的美国国家标准研究所X.9公共标准委员会制定了许多技术标准,来管理ATM上的安全技术,并保证系统与系统之间的互联互通。[73]在自由地通过协议确定各方权利义务的当事人之间——例如储蓄机构(depository institutions)和商人——协议可以要求参与者遵守这些标准。银行监管机构在他们获得的授权范围内,监督合法金融中介机构对ATM网络的参与,并将风险控制在可以被接受的范围内。而运用ATM网络的商家所应承担的消费者责任则被立法限制为:必须进一步发展、保持和使用ATM网络,承担对网络的安全责任和信赖责任。电子支付转移法并没有像那些旨在促进数据签名的使用的立法一样,强调某种特定的技术。
PKI系统还在不断发展,而且有一天可能会成为类似ATM网络中的安全措施的,用于互联网合同缔结的安全措施。对可以实际运用的,安全的合同缔结系统的商业需求是巨大的,而且如今也有巨量的投资正投入到对适合市场需要的产品的开发中。如果在商务活动中,使用相对不那么安全的技术订立的电子合同在未来的执行过程中遇到困难,那么人们对PKI的兴趣也可能会增加。举例而言,如果某电子商务从业者本来采用的是点击特定的图形界面的方式与客户订立合同,但因为这些合同涉及的金额比较大,客户也非常关心交易过程中的证据的保留问题,那么这个电子商务从业者为了让自己有能力承担举证责任,就可能转而对PKI交易方式发生兴趣。[74]此外,如果为商务活动提供的数字签名技术有如下形式:(1)对合同缔约方都几乎是透明的(即在不易察觉的条件下发生作用,译者注),并与ATM网络的安全措施一样可信赖;(2)被植入到一个复杂的风险管理软件中,这个风险管理软件不但解决合同相对方在交易中的身份认证问题,而且还可以避免其他传统的风险(例如信用风险,或者卷入本地或外埠的诉讼的风险,等等)。则PKI技术就有可能会获得市场的接受。
五、结论
一天,我在楼梯上看到有人占了个位。
今天,这家伙还没来——唉,多希望他彻底离开!
——奥尔登·纳什
(Ogden Nash,美国诗人,1902-1971,在译者与本文原作者的交流中,作者提到:经过她的认真检索,发现这两行诗最早是由休斯·莫斯(Hughes Mearns,1875-1965)所作,但人们常常把它们完全归功于Ogden Nash,因为后者在自己的诗中也用了这两句话。参见:http://www.hycyber.com/VERSE/antigonish.html。译者注)
事实证明,在线身份认证问题的解决要比十年前的电子商务先驱们预想的困难许多。人们需要更加综合性的企业应用程序和更加发达的、开放的网络缔约系统,这些都对强大的在线身份认证技术的开发和运行提出了更复杂的要求。所以,尽管已经投入了巨额的资金,但要开发出先进的而且能为市场所接受的解决方案,则似乎还和几年前一样困难。
在未来的五年或十年中,人们会投入更多的资源来解决安全在线认证问题。人们很有可能建立起一个安全在线认证的标准,以适应不同交易主体的目的,这个标准可以被嵌入到下一代电子商务技术中。因此,这样的标准可能会被广泛运用,并成为电子合同技术平台的一个部分,而这一平台又将有机地嵌入到作为通讯媒介的整个互联网之中。
而在目前,由于究竟什么样的标准会最终满足合同缔约方的需要,以及在这些标准中,哪一个能够获得市场的普遍接受等等一切都是不确定的,所以电子商务立法也就绝不应该去推广某种特定的技术。早期的电子签名立法不但专门推广特定的技术,而且还对使用这种技术的特定标准进行规定。在数年以后,在投入了无数美元以后,没有一个主要的市场参与者能够普遍地推广哪种基于特定标准的特定技术。全世界的立法者似乎都不清楚“一项技术的应用前景的预测”和“利益主体的实际利用情况”之间的区别。多年的试验已经表明,数字签名并不适合于作为手写签名的替代。由于人们总是企图使数字签名起到“签名”的作用,导致了人们误解了具羁束力的电子合同格式中的签名所真正扮演的角色。也就是说,人们混淆了对技术的适当运用与(法律意义上的)合同格式要件之间的差别。这种混淆又使人们在关于电子合同格式的讨论中引入了一些毫无关系和毫无益处的概念(如所谓“不得否认”),从而让讨论变得更加模糊和混乱。
《统一电子交易法案》是这股错误思潮中的一个例外。通过添加简单、理性的风险分担规则,这个法律可以既适应现在缺乏广泛接受的标准的现实,又适应未来出现了相关标准以后的情况。法律并不适合于描述某种电子商务技术的特别应用方案,也不适合于去促进某种特殊技术的采用。法律只适合于提供理性的激励机制,让交易各方自己去塑造未来的电子商务体系。
六、附录:非对称加密技术、数字签名和公钥基础设施(PKI)[75]
两个远端的主体在互相分享信息的同时,需要防止信息被不友善的第三方截取或在传输过程中被篡改。为此,通讯各方首先会建立一个密码机制,用来把文本加密为安全的传输模式。原来的未加密文本被称为“普通文本”,加密后的文本被称为“密文”。
把普通文本转换为密文是通过数学编码运算完成的。在现代密码学中,数学编码运算十分复杂,通常是使用软件来完成的。[76]软件按照某种特定方程将“密钥”加入到普通文本中,从而产生密文。密钥是一长串表面上随机排列的数字,密钥的大小用“变量”来衡量。特定的密钥通过编码运算产生特定的密文,普通文本有任何改变,都将使密钥加密后的密文完全不同。密码系统的抗御攻击能力越强,也就越安全。商业编码软件一般使用40、48、56、64或128位的密钥,密钥越长,加密性能越高。[77]
传统的密码系统称为“对称密钥术”,这种密钥技术采用同一个密钥来加密和解密信息。
非对称密钥术采用的是两个不同的密钥,这两个密钥之间在数学上有关联。一个密钥是“公钥”,可以被自由地分发给任何人;另一个密钥是“私钥”,则必须秘密和妥善地保存。公钥可以用来加密信息,然后由私钥解密;或者用私钥加密信息,然后用公钥解密。在这种密钥技术中,由公钥不能推算出私钥,所以公钥可以被广泛地分发而不影响私钥的机密性。在向掌握私钥的人发送信息时,可以用公钥来加密,该信息只能通过私钥解密和阅读。掌握私钥的人发出信息的时候,可以用自己的私钥对信息加密,加密后的信息可以被任何人用公钥解密阅读,同时用公钥解密的时候,就可以验证信息是否的确是由持有私钥的人发出的。
使用公钥密码术(即非对称密钥术)存在一个问题,那就是它比传统的对称密钥术消耗更多的计算机运算资源,如果文件很大,那么公钥密码术就不太适用了。解决这个缺点的办法有:(1)用只对信息摘要加密的办法来保证被传输信息的完整和不被篡改(但无法保障整个信息的机密性);(2)用传统的对称密钥对整个文件进行加密,同时使用公钥密码术来加密和传送传统密码本身。信息摘要又被称为哈氏函数(hash function),解决了整份文件加密的实际应用问题。使用“单向哈氏函数”产生的信息摘要对整个文件来讲具有唯一性。也就是说,同样的文本在通过哈氏函数运算后产生出的摘要是相同的,但只要在文本中有任何微小的改动,则运算后产生出的摘要就大不相同,这样,就可以达到警告收件人信息内容已经遭到改动的目的。如果在实际工作中,主要要求的是文件传送的完整性,而对机密性要求不高,那么信息摘要就可以妥善地解决安全问题。
把对称密钥和非对称密钥结合在一起,可以在增强通讯安全的同时最大程度地减少对运算资源的消耗。要运用这种手段,则接收者和发送者都应该拥有对方的公钥。在这种应用中,安全电子邮件的发送者会声称一个一次性的“临时密码”——这个密码通常使用被广为接受的传统密钥运算术(如DES或国际数据加密运算法则——IDEA)。然后,电子邮件应用程序用临时密码加密信息,然后用接收方的公钥对临时密码本身进行加密,最后,同时把被加密的信息和被加密的临时密码传送出去。接收方收到信息后,使用她自己的私钥来解密临时密钥,然后又用临时密钥来解密信息。
数字签名则是首先用私钥对信息摘要进行加密,然后再把这个加密后的摘要附加在信息文本后面。这样,一个数字签名就成为信息的一部分,用以表明信息的来源并保证信息在传送过程中不被篡改。要让数字签名达到传统签名的功能,就必须有一个可信赖的、安全的系统,这个系统只能允许被认证的签名者接触到私钥,进而将数字签名附加在信息后面。在安全电子邮件应用中,发送者和接收者必须在发送数字签署的信息前,事先交换各自的公钥。要把数字签名附加在信息上,签署者首先要用哈氏函数对信息进行运算,生成一个信息摘要。然后用签署者的私钥对这个信息摘要进行加密,加密后的结果就是所谓的附加在信息后的“数字签名”。虽然信息文本并不是机密的,但由于信息中已经有了一个独一无二的数字签名,所以别人就可以用签署者的公钥来验证信息的完整性。
验证的过程是这样的:信息接收者用与发送者相同的哈氏函数生成一个信息摘要,然后接收者用发送者的公钥解密发送者发送的信息摘要。如果两个信息摘要是相同的,那么数字签名就被验证了。如果一个数字签名与其所附加的信息并不一致,或者原始信息发生了任何改动,这两个信息摘要就会不一样。
任何密码系统的可靠性都与其密钥的分发系统的可靠性息息相关。对称密钥的分发非常困难,而且管理成本昂贵。如果个人间想要使用密码进行通讯,则最安全的“密钥分发系统”就是面对面的告知。因此如果人们所处的地理位置很远,那么就可能需要由速递或其它昂贵的安全通讯系统来分发密钥。
对非对称密钥来说,密钥分发的问题可能会显得简单一些。公钥本来就可以广泛的分发,因为它不会导致私钥的安全性受损。相反,在一个对称密钥系统中,各方当事人必须保存同一个密码,如果这个密码落入到恶意的收件人手中,那么其它人就只能停止使用这个密码而换一个新的。当然,公钥密码术(非对称密钥)也存在一个问题,那就是这种技术所产生的私钥是与被分发的公钥相关联的,因此一旦私钥不安全了,那么私钥的拥有者面临着被攻击者假扮成自己的风险。
在密钥分发出去以后,还必须对密钥的使用进行管理。私钥必须由与密钥相关的人单独保存,一旦私钥的安全性发生问题,就必须立即通知所有用户重新使用新的公钥。而所谓公钥基础设施(PKI)就是指那些专门开发的,用于管理密钥的系统。PKI有不同的设计方案:便于在陌生人之间,通过互联网对数字签名进行认证的PKI系统通常被称为“开放式PKI”解决方案;而如果当事人之间有预先的联系,且使用公钥密码术所完成的数字化交易及其合同有法律上的后果的,或者如果运用于特定的成员范围内的PKI系统,通常被称为“封闭PKI”解决方案。
降低PKI的维护费用的解决方案之一是寻找一个可以被信任的第三方,由其承担将特定公钥与特定个人联系在一起的责任。[78]所谓认证机构(CA)就是这样的一种被信任的第三方。CA通过某些证明材料对特定人进行审查,看他/她是否适合使用数字签名,然后就向该人发放一个由CA签署的“证书”,其中包括有该人的公钥。申请上述证明的人被称为“订户”(subscriber)。任何一个人都可以用上述证书中的公钥来验证那个他的数字签名——使用证书验证数字签名的人被称为“信赖方”(relying party)。CA建立起一套政策,用以确定在什么条件下才发放证书,这些政策以“认证程序说明”的形式发表,以便所有潜在的订户和信赖方查阅。
为了让自己所发出的证书被信赖方接受,一个CA必须通过某种方式建立起自己的信用。这种信用可能是由传统商业交易中积累的声誉建立的,也可能是因为这个CA属于一个更高层的CA的“订户”,然后用其上一层CA的证书来向自己的订户和信赖方说明自己的真实性。处于这层层CA的金字塔顶端的CA被称为“根”CA,政府可以为CA提供一些协助,帮助其防止欺诈性的CA的出现。[79]
另一个根本性的密钥管理事项是:在密钥被广泛地发放以后,怎样撤回或中止它们。有时候,由于私钥被泄密,密钥持有者可能会希望撤回相应的公钥。有时候,CA的政策中可能会规定,在经过一个固定的期间后,就将所发放的公钥撤销,以减少密码被破解的可能性。此外,在订户的要求下或情事已经表明证书的发放不适当的情况下,CA可能会希望取消某个证书。这样,信赖方在对证书信赖以前,就应该调查这个证书的现状,了解其是否依旧有效。CA可能会提供像信用卡公司一样的认证服务,这样,潜在的信赖方就可以事先联系CA,了解其准备相信的证书是否仍旧信誉卓著并且没有因为任何原被撤销。然而,如果认证程序说明中对证书的时效进行了限制,那么CA就不会再持续性的检查其订户的状态。此时,CA应保留一个“撤销证书目录”,在第一时间刊载订户发出的(变更或撤销)通知,供所有可能的信赖方在对证书进行验证以前查阅。
——————————————————————————–
* 原文载于:37 Idaho L. Rev. 353。本文的翻译和发表均获得作者同意,感谢Jane K. Winn教授对本文翻译的指导及其对电子商务法研究所做出的突出贡献。译文发表于《知识产权前沿报告》第一卷。
** 作者:美国华盛顿大学法学院教授。施德勒法律、商务与技术研究中心主任,美国哈佛大学法学博士,美国纽约州执业律师。权威教材《电子商务法·第五版》(2003年)作者。作者要感谢Tom Albertson、Thomas Blackwell、Nicholas Bohm、William Boyd、Todd Boyle、Stefan Brands、 Roger Clarke、Paolo Da Ros、Don Davis、Jared Floyd、Patricia Fry、Maureen Garde、John Gregory、Ian Grigg、David Goodenough、Harald Hanche-Olsen、Robert Hettinga、Rick Hornbeck、Ted Janger、Dale Johnson、Lyn Kennedy、Jay Kesan、Ben Laurie、Neal McBurnett、John Messing、John Muller、Christina Ramberg、Scott Renfro、Greg Rose、Jeffrey Rothstein、Joseph Sommer、Gary Stock、Simone van der Hof、Richard Warner、Benjamin Wright、Jonathan Zittran等人对本文早期草稿的有价值的建议。当然,本文中存在的任何错误仍由作者承担一切责任。
*** 译者:董皓,法学硕士、博士生、云南大学法学院讲师,研究方向:知识产权、网络法;Email:donniedong@gmail.com,个人博客:http://www.BLawgDog.com,译文的责任,由译者承担。
**** 审校:张楚,中国政法大学教授,研究方向:知识产权、网络与电信法。Email: chuzh@cupl.edu.cn
---------------
[1] 在本文中,作者使用通用的说法,用“数字签名”来指代在电子商务circles大会上所特指的技术的运用。而用电子签名来指所有使用认证方式以达到与手写全面同样作用的技术。在这个意义上,一个数字签名是指:
一种讯息的传递手段,这种手段使用了非对称密钥和哈氏函数,通过这种手段,一个收到原始讯息的签名者可以准确地判定(1)这份讯息在传送时,是否是以与签名者的公钥相对应的私钥加密过;(2)在传送过程中,这份讯息是否被更改过。
参见美国律师协会信息安全委员会科技:《数字签名指南:证书认证和安全电子商务的法律基础》1996年版,第1.11部分。以下简称《数字签名指南》。相反,一个电子签名可能是指一个处于电子邮件头部中的“From”栏内的名字;或者一个被输入电脑的手写签名文件,例如通过销售和支付系统内的销售点中的分散的电子终端;或者电子打印出来的,纸面的,全息的签名。参见:同上。
人们常常认为数字签名的商业价值在于,它可以成为验证数字签名的所有者的身份的证书。在《数字签名指南》中,是这样解释一个证书的功能的:
为了将一个可能的签章者与一组密码相联系,某一认证机构发出一份证书,即一份电子记录,该电子记录中列出一个公共密钥作为这个证书的主题,与此同时,认证机构还将确认可能使用这份证书的签章者拥有一个相应的私人密钥。可能的签章人被称为订户。所以,一份证书的基本功能就是为特定的订户提供一组对应的密钥(公钥和私钥)。参见《数字签名指南》,13。
[2] 参见 Carl Ellison和Bruce Schneier:Ten Risks of PKI: What You’re not Being Told About Public Key Infrastructure, 16 Computer Security J., 1, 1-7 (2000),可从以下地址获得 http://www.counterpane.com/pki-risks.html; Don Davis, “Compliance Defects in Public-Key Cryptography,” Proc. 6th Usenix Security Symp, (San Jose, CA, 1996), pp. 171-178, 可从以下地址获得:http://world.std.com/~dtd/compliance/compliance.ps, 同时参见:Ben Laurie, Seven and a Half Non-risks of PKI, 可从以下地址获得: http://www.apache-ssl.org/7.5things.txt
[3] 例如参见:Sheryl Canter, Electronic Signatures – Now it’s legal to sign documents electronically, but should you? PC Mag., Jan. 2, 2001 at 102, 文献获取自 Lexis News,“最常用的电子签名技术是数字签名”; Leslie Brooks Suzukamo, E-Signatures Gain Force of Law, But Users Face a Learning Curve, St. Paul Pioneer Press, Oct. 1, 2000, 文献获取自 Lexis News,“(电子签名中)常用的形式,即数字签名,其实很简单,是由数学公式得出的极长的数字和字母串。”James K. Watson, Jr. and Carol Choksy, Digital Signatures Seal Web Deals, Information Week, Sept. 18, 2000,文献获取自 Lexis News,“数字签名可成为双方当事人间的任意一种电子签章形式。最常见的是依赖于数字证书和加密的形式。”Thomas E. Crocker, Resolve State Conflicts with Federal Electronic Authentication Law, Legal Times, Mar. 1, 1999 at S43,文献获取自 Lexis News “目前最广泛地被接受的电子认证形式是基于密钥方法的,例如采用数学公式所获得的数字签名”。
[4] 如果除去Pilot Projects,互联网合同中使用数字签名的数量就的确为零了。例如参见:Tony Heffernan, Digital Signatures Still 3 to 5 Years Away, The Am. Banker, Jan. 8, 2001 at 2A,文献获取自 Lexis News; Jamie Lewis, PKI Won’t Hit the Mainstream Until Vendors Reduce Complexity, InternetWeek, Jan. 8, 2001 at 25, 文献获取自Lexis News; Kelly Jackson Higgins, Public Key Infrastructures – Few and Far Between, InternetWeek Online (Nov. 2, 2000), at http://www.internetweek.com/lead/lead110200.htm; Tara C. Hogan, Now That the Floodgates Have Been Opened, Why Haven’t Banks Rushed Into the Certification Authority Business?, 4 N.C. Banking Inst. 417 (2000); Digital Certificates: A Solution in Search of a Problem, March 8, 2001 (文中指出“VeriSign Inc公司就是一个例子,作为128位设备驱动程序的领先企业,从1998年起为金融机构安装了超过25000个服务器证书——Sever Certificates,但却只有345个客户端证书——client certificates。”), 文献获取自 http://www.thebankingchannel.com/technology/story.jsp?story=TBCQFNQUIJC. 在2001年2月14日给作者的一封电子邮件中,Ian Grigg 则对“零”的数字提出了质疑,并以http://webfunds.org/ricardo/contracts/digigold/ 为例。但这个互联网合同系统实际上是以OpenPGP’s web of trust为基础的,而不是本文中说的分级的PKI系统。
[5] 参见Jane K. Winn, Couriers Without Luggage: Negotiable Instruments and Digital Signatures, 49 S.C. L. Rev. 739, 763 n.150 (1998).
[6] 参见ABA Electronic Messaging Services Task Force, The Commercial Use of Electronic Data Interchange: A Report and Model Trading Partner Agreement, 45 Bus. Law. 1645 (1990).
[7] 举例而言,在联合国贸法会(UNICTRAL)的电子签名示范法草案规定的责任分担规则之外,当事人的意思自治的范围还不清晰。参见A/CN.9/WG.IV/WP.88 – Draft Guide to Enactment of the UNCITRAL Model Law on Electronic Signatures 文献获取自 http://www.uncitral.org/english/workinggroups/wg_ec/wp-88e.pdf;Stewart Baker, et al., UNCITRAL Working Group Approves Model Law on Electronic Signatures (November 2000 draft memo)。
[8] 参见上引文献第三部分中关于安全套接字层的讨论。
[9] 当然,并非绝对没有过基于数字签名证书而成立的互联网合同。在电子设备产业中,数字签名证书被用于鉴别哪些人有资格保留传输权利能力。这是联邦能源管理委员会建设的OASIS系统的结果。参见: Alexander Cavalli and Jane K. Winn, Internet Security in the Electric Utility Industry, 38 Jurimetrics J. 459 (1998); California Independent System Operator Bidder’s Policy and Procedures Guide, 文献获取自: http://www.caiso.com/docs/09003a6080/09/e3/09003a608009e33c.pdf (文中解释了数字签名是如何运用在对“固定传输权”的拍卖中的。在这个被管制的产业中,根据联邦监管机构的授权,传输的权利能力是以合同的形式获得的,但是这种数字签名的运用,与在开放的互联网商务中,依赖数字签名和证书所形成的合同并不相同。因为它本质上仍是在一个封闭的系统里,按事先的特别规则形成的产物。)
[10] 参见Ellison and Schneier, 前引注2;Roger Clarke, Conventional Public Key Infrastructure: An Artefact Ill-Fitted to the Needs of the Information Society, at http://www.anu.edu.au/people/Roger.Clarke/II/ PKIMisFit.html; M. Blaze, J. Feigenbaum, J. Ioannidis, and A. Keromytis, The Role of Trust Management in Distributed Systems Security, in Secure Internet Programming: Security Issues for Mobile and Distributed Objects (Vitek and Jensen, eds., 1999), 文献获取自 http://www.crypto.com/papers/trustmgt.pdf; Dan Geer, Risk Management is Where the Money Is, 文献获取自 http://www.atstake.com/security/risk_management.pdf。
[11] “勒德分子”是指在18世纪末期的英格兰,被机械化的纺织工业毁灭的,落后的手工纺织业者。Encyclopedia Brittanica Online, Luddites, at http://www.britannica.com/bcom/eb/article/0/0,5716,50450+1+49263,00.html?query=luddite (2001年2月14日最后访问)。
[12] See, e.g., Heffernan, 上引注4; Higgins, 上引注4; Hogan, 上引注4。
[13] 在2001年2月5日在Lexis Nexis的“wires”数据库的一次检索中,从1995年到2001年,包括有数字签名的报道有60篇以上。
[14] 见前引注10中所引用的Roger Clarke一文。
[15] 关于联合国贸法会的数字签名示范法的努力,参见联合国贸法会电子商务工作组网站,http://www.uncitral.org/english/workinggroups/wg_ec/index.htm。
[16] Directive 1999/93/EC of 13 December 1999 on a Community framework for electronic signatures,文献获取自:http://europa.eu.int/comm/internal_market/en/media/sign/Dir99-93-ecEN.pdf
[17]关于大陆法系在这一问题上的情形,参见Babette Aalberts and Simone van der Hof , Digital Signature Blindness: Analysis of Legislative Approaches to Electronic Authentication,文献获取自http://rechten.kub.nl/simone/ds-fr.htm (该文从市场趋势和立法体制方面得出了相似的结论)。
[18] 参见本文附录中关于常规密钥(由两个同样或“对称”的密码决定)和非对称密钥(由两个相互对立但有联系的密码决定)的区别的讨论。
[19] 参见Simson Garfinkel, PGP: Pretty Good Privacy 49 (1995).
[20] 同上注。
[21] 在本文中,“公钥基础结构体系”一词是用来表示在网络环境中的任何一种用来管理公共密钥的分发的系统。这一词汇还常常被用于指称特殊的含义,例如在美国律师协会(ABA)的数字签名指南中的那种系统。参见前引注1。然而,使用PGP(Pretty Good Privacy)加密程序的,被称为“信赖网”(web of trust)的方案也可以被称为“公钥基础结构体系”,因为PGP也是基于非对称密钥而开发的。参见Garfinkel文,前引注19,页213,其中有关于PGP和“信赖网”的描述。
[22] Joan Feigenbaum, Towards an Infrastructure for Authorization, Position Paper, 3rd USENIX Workshop on Electronic Commerce (September 1998)。
[23] Whitfield Diffie and Martin E. Hellman, New Directions in Cryptography, IT-22 IEEE Transactions on Information Theory, 644 (1976), cited in Feigenbaum。
[24] Loren M. Kohnfelder, Towards a Practical Public-Key Cryptosystem, B.S. thesis supervised by Len Adelman, May 1978,转引自 Rohit Khare and Adam Rifkin, Weaving a Web of Trust, v. 1.126 (Nov. 30, 1997), 资料获取自http://www.cs.caltech.edu/~adam/local/trust.html, n.37。
[25] 参见本文第一部分。
[26] Jane Kaufman Winn, Open Systems, Free Markets, and Regulation of Internet Commerce, 72 Tul. L. Rev. 1177, 1184-1188 (1998)。
[27] 参见本文第一部分。
[28] 参见:Information Security Committee, Section of Science & Technology American Bar Association, Digital Signature: Legal Infrastructure for Certification Authorities and Secure Electronic 18 (1996)。 ITU X.500 系列标准提供了在互相连接的计算机系统之间建立分布式多任务目录服务的基础,这些计算机系统可能属于全球范围内的不同服务提供者以及政府和私人组织。参见:Warick Ford & Michael Baum, Secure Electronic Commerce: Building the InfraStructure for Digital Signatures and Encryption 213 (1997)。
[29] 不清楚X.509标准是否适用于电话目录,但这一点与本文所关心的问题已经没有关系了。
[30] Carl Ellison, What do you need to know about the person with whom you are doing business? 1997年10月28日年在美国众议院科技分委员会的听证会上的证词,文献获取自:http://world.std.com/~cme/ html/congress1.html。
[31] International Telecommunication Union ITU-T X.509 Recommendation (06/97) Data Networks and Open System Communications Directory; Information Technology – Open Systems Interconnection – The Directory: Authentication Framework.
[32] 参见《(美国)合同法(第二次)重述》(1981年)第134条。
[33] 参见《(美国)合同法(第二次)重述》(1981年)第134条的注释1。
[34] 要达到这种标准化,就应该在诸如《证书政策》和《认证程序说明》一类文件中尝试规定用户应该做哪些行为, 同时,用以形成封闭的系统的合约或系统规则还应当要求用户承担按照合约/规则来行为的义务。参见Rick Hornbeck 2001年2月13日发给Jane K. Winn的电子邮件。 该电子邮件是为了讨论在起草证书授权政策和授权操作陈述中的困难,参见 Jane K. Winn, The Hedgehog and the Fox: Distinguishing Public and Private Sector Approaches to Managing Risk for Internet Transactions, 51 ABA Administrative Law Review 955 (1999).
[35] Jane K. Winn and Benjamin Wright, The Law of Electronic Comerce , 4th ed. (2001) at § 5.03 (discussing Statue of Frauds issues).
[36] 参见前引Winn的文章:[open systems, free markets], at 1216-1218,该文总结了普通法中的签名问题。
[37] J. H. Baker, An Introduction to English Legal History 360 3rd ed. (1990).
[38] Frederick G. Kempin, Jr., Historical Introduction to Anglo-American Law 215 3rd ed. (1990). 这种形式主义与如今许多“数字签名”法令的做法十分相似。这些立法实际上有一个“假设”,即数字签名一定是私钥的所有者所添加的。尽管这个假设本身并不构成归责原则,但由于没有可信赖系统来证明谁在特定的时间接触过私钥,所以事实上这一假设也就与归责原则相等同了。参见 Jane Winn & Carl Ellison, U.S. Perspectives on Consumer Protection in the Global Economic Marketplace, comment P994312 to the Federal Trade Commission (March 26,1999), http://www.ftc.gov/bcp/icpw/comments/revwin~1.htm;英国法上类似情况的分析,请参见Nicholas Bohm, Ian Brown, and Brian Gladman, Electronic Commerce: Who Carries the Risk of Fraud? Journal of Information Law and Technology (2000), available at http://elj.warwick.ac.uk/jilt/00-3/bohm.html (英国银行在与客户的合同中,使用了与此类似的推论)。
[39] 上引374页。
[40] 1348年的Humber Ferry案,参见前引Baker的有关英国法律史的文献,375页。
[41] 即使是在最近的一篇探讨纸面上的手写签名的技术继承者问题的文章中,尽管作者试图采取中立的态度,但最终仍被研究的角度左右,从而产生偏见,在这篇文章中,研究的思路为:分析手写签名在合同中所起的必要的作用,然后再说明与之相似的电子手段能够更好的发挥这些作用。参见,Winn的文章 open systems, free markets.
[42] Ian Macneil, Contracts: Adjustment of Long-Term Economic Relations Under Classical, Neoclassical and Relational Contract Law, 72 Nw. U. L. Rev. 854 (1978)。
[43] 例如:一个银行客户代表可能会在通过电话向客户透露敏感信息以前,要求客户列出最近三次向账户中间存款的情况,以确认客户的身份。
[44] 相关的解释性观点,包括在Legal Opinions in Commercial Transactions, N.Y. County Lawyers’ Ass’n, Legal Opinions to Third Parties: An Easier Path, 34 Bus. Law. 1891, 1914 (1979).在说明的第4段中充分地进行了阐释:“协议是协议各方之间的一种法律上的、有效的和有羁束力的责任。除遇到企业破产、个人破产或者其它类似的法律事实,从而限制债权人的权利外,双方根据协议的条款约定来履行义务。协议各方的义务在总体上应该遵循公平的原则(而不论这些义务是否属于在衡平法或普通法中的义务)。
[45] 见注释28,Ford & Baum文,227页。
[46] 在X.509 v.3标准第12.2.2.3条中定义了“密码应用区(key usage fields)”:其中之一就是为“不得否认”预留的变量位。这个变量位可以被用来“校验提供不得否认服务的数字签名,该服务可以防止签署主体错误地拒绝承认他曾做过的某些动作。”参见ITU(国际电联)示范标准X.509 v.3第12.2.2.3条;Scott Renfro, Thoughts on non-repudiation, February 23, 2001, 文献获取自: http://www.renfro.org/scott/writing/non-repudiation-thoughts.txt
[47] “Diffie和Hellman在他们开创性的论文《密码学的新方向》中,最早提出数字签名可以通过“不得否认”功能使电子商务的实施成为现实。此后这一观念便流行开来。” Carl Ellison, SPKI/SDSI Certificates, 文献获取于 http://world.std.com/~cme/html/spki.html。Ellison把“不得否认”定义为:“密钥掌握者在以数字方式,用他/她的签名密钥签署了任何意思表示后,就承担了法律上的责任。”参见上注。
[48] 此外,“将(不得否认)的数据加入到证书而非签名中间,将肯定会使情况复杂化。在没有太多培训的条件下,大部分人都只会用相同的方式来进行文件传输,而不论所传输的内容是琐碎的还是极其重要的。”Neal Mcburnett在2001年2月13日给我的电子邮件反馈中如是说。
[49] 其实即使是在X.509标准中,这个概念也没有什么实际的意义:
“PKI团体老把不得否认描述为:当签署主体有过错地否认其行为时的一项保护性服务。”而任何一个只要拥有儿童智商的人都知道,你不可能防止别人“有过错地否认”一项行为。Scott Renfro, Thoughts on non-repudiation, February 23, 2001, 文献获取自 http://www.renfro.org/scott/writing/non-repudiation-thoughts.txt。
[50] C.E.K. Industrial Mechanical Contractors, Inc. v. National Labor Relations Board, 921 F.2d 350 (1990)。
[51] S&E Contractors v. US, 406 U.S. 1 (1972) at 62。
[52] Lemanski v. Lenox Savings Bank, 1996 U.S. Dist. LEXIS 6471。
[53] U.S. ex rel. Johnson v. Lane, 639 F. Supp. 260 (1986)。
[54] Norris v. Wirtz, 1985 U.S. Dist. LEXIS 13227。
[55] Enos v. St. Paul Fire & Marine Ins. Co, 4 S.D. 639 (1894) at 649。
[56] Bernstein v. US Dept. of State, 974 F. Supp 1288 (1997)。
[57] UCC Article 4A-201-203. Joseph Sommer.
[58] UCC 2-610; James J. White and Robert S. Summers, Uniform Commercial Code, 5th ed. (2000) at § 6-2.
[59] Richard Allan Horning, Legal Recognition of Digital Signatures: A Global Status Report 22 Hastings Comm. & Ent. L.J. 191, at 197 (2000).
[60] Ellison and Schneier, 前引注2。
[61] 互联网工程任务组(IETF)的PKI工作小组意识到了“不得否认变量”的问题,并得出一些结论。转引自Ben Laurie2001年2月13日给作者的电子邮件。
[62] 例如登载在EWEEK杂志2000年12月4日第103页的文章“Refined Standards, New Concepts Taking Shape”,文中说道:“一个只用1秒钟就可以击溃今天的(常规的)数字密码标准(DES)的破解系统,在面对即将运用(于数字签名中)的128位加密的先进加密标准时,需要花费149万亿年时间”,文献获取自Lexis News;另参见Bruce Schneier,“Security Pitfalls in Cryptography”,文中说“杂志上的文章喜欢用运算法则和密钥长度来描述加密技术产品,运算法则可以用简单且的字眼来解释和比较:如‘128位的密钥意味着良好的安全性’、‘三倍DES意味着良好的安全性’、‘40位的密钥意味着安全性较弱’、‘2048位的RSA比1024位的RSA要好’,等等。但现实并非如此简单,长的密钥并不意味着(这个系统)就更安全。”文献获取自http://www.counterpane.com/pitfalls.html。
[63] Winn, Clash of the Titans: Regulating the Competition between Established and Emerging Electronic Payment Systems, 14 Berk. Tech. L. J. 675 (1999).
[64] See, generally, ABA Electronic Messaging Services Task Force, The Commercial Use of Electronic Data Interchange: A Report and Model Trading Partner Agreement, 45 Bus. Law. 1645 (1990).
[65] 因特网工程任务组(IETF)的一个叫“传输层安全”(Transport Layer Security, TLS) 的标准就是以SSL为基础建立的。TLS标准是IETF的2246号“评价要求”(1999年1月发布)。TLS协议的1.0版可以从以下地址获得:http://www.ietf.org/rfc/rfc2246.txt?number=2246。
[66] 但是,即使这样的担保也不是绝对的,“仍然可能发生控制权转移的现象,即证书所认证的并非浏览器窗口中显示的站点。”2001年2月13日,Neal McBurnett在他给我的电子邮件回复中提到。
[67] 要了解这一过程的更详细解释,参见Simson Garfinkel, Web Security and Justice (1997)。附录中讨论了PKI中证书认证机构所扮演的角色。
[68]事实上,许多公钥证书都已经预先包含在最新发售的Netscape浏览器软件中了。从“选项”中选择“安全参数”,就可以看到这些证书的列表。
[69] 这个对称密钥可能基于数字加密标准(DES)或其它被认可的标准。
[70] 关于Identrus的信息,可访问其网站:www.identrus.com。
[71] 美国谚语。引自Alice M. Batchelder, Judges on Judging: Some Brief Reflections of a Circuit Judge, 54 OHIO ST. L.J. 1453, 1460 (1993)。这句话可能来源于Robert A. Heinlein的《Time Enough for Love》。Greg Rose于2001年2月17日与作者的电子邮件通信中提到。
[72] 这种引入“电子媒介”概念的做法遭到批评,被认为造成了商法中的差别对待,参见Joseph Sommer, Against Cyberlaw, Berkeley Journal of Law & Technology (2000) at 1170-1171。
[73] 从http://www.x9.org/可以了解ANSI X.9委员会的工作。“ANSI网络商店”里面列出了运用于金融服务业的标准目录,其中有许多都是基于密码技术的。参见http://webstore.ansi.org/ansidocstore/dept.asp?dept_id=80。
[74] 在有关点击合同的诉讼中,还没有发生因为特殊的高标准而使主张合同权利的一方造成举证障碍的情况。Hoyt L. Kesterson II于2001年2月22日发表在ABA信息安全委员会的邮件列表中的,讨论本文的草稿的一个帖子,帖子中认为点击界面不太能满足商业上的在线订立合同的需求。帖子的原文如下:“…point and click could be acceptable but that if there was a challenge, then one might be forced to explain that the transactions written on the log were processed during an authenticated session and that even though the log records contained messages that could have been generated by anyone, a review of all the code involved would prove that the messages could have only been written by the user who was authenticated by his password. And while, yes, it is true that someone could have modified the logs after the fact, there are procedures in place that blocks outsiders from accomplishing such tasks, and although people in the company could have modified the logs, this company doesn’t do that sort of thing. I suggest that it should be easier to demonstrate that a digitally signed message held in the log was in all probability originated by the user. And while it is true that the code in a pc could be buggered in such a way that it did not reflect the originator’s intent to sign, it is probably easier to subvert a point-and-click system. Even if one argues that the possibility of problems in the pc are the same for both point-and-click and digital signature, at least in the digital signature system one can focus on the pc – not on the whole distributed system and network. So while point and click might be acceptable for low risk transactions such as buying a book at amazon.com, it may not be adequate for higher risk applications one must also consider those areas where a persistent record of a signature is required. I have a hard time believing that one could easily prove that a 5 year old point-and-click commitment was done properly.”
[75] 本部分参考了Jane K. Winn & Benjamin Wright, The Law of Electronic Commerce,4th ed. (2001) at §1.04。
[76] 在程序中,最基本的信息单位是bit(“比特”、“位”),既一个二进制数字。这是因为计算机电路只能分辨两种状态的电子信号。这两种状态(“开/合”)构成二进制的基本单位(0/1),通过这些基本单位的不断转换,信息就被以数字形式传送了。一个比特(bit)是信息的一个单位,而一个字节(byte)则是8个比特组成的。数据的体积由字节来作为衡量单位,例如“K”(Kilobytes, KB)就包含1024个字节,再如“兆”(Megabytes, MB)则包含1,048,576字节。
[77] RSA数据安全机构提出过1000美元的悬赏,要人们对其系统进行攻击。为了获得悬赏,一位叫Ian Goldberg的23岁的加州大学伯克利分校学生在三个半小时内破解了一个40位的密码——这是美国政府允许出口的最安全的数字密码算法。对一个40位的密码来讲,大概有1万亿组可能的组合方式。Goldberg把250个工作站连接起来,让它们以每小时1000亿组的速度对所有可能的方式进行试错。参见Sharon Machlis, RSA Stunt Shows Up Encryption Weakness, Computer World, February 3, 1997。而在1997年,为了得到RSA数据安全的10000美元的悬赏,1400人组成的松散团队在5个月的工作后,破解了一个56位的密码。这个团队的破解方式是:在互联网上散发破解软件,让世界各地的空闲计算机加入到运算中,在密码被破解以前,这些计算机已经进行过72,000,000,000,000,000次试错运算,参见Lynda Radosevich, Hackers Prove 56‑bit DES Is Not Enough, Infoworld, June 30, 1997 at 77。RSA数字安全机构用上述事实来阻止国会通过立法,这个立法要求使用56位或更强的密码,并用这些事实来鼓励商业部放宽对复杂的密码技术的出口限制。
[78] 其它解决方案如:把数字签名应用于“绝好隐私系统”(Pretty Good Privacy System, PGP)的“信赖网”(Web of Trust)。其运行方式为:只要甲方的公钥是经过甲方自己的数字签名“证明”过的,那么乙方就信任甲方的公钥的真实性;PGP系统则分析甲方在新的公钥后添加的数字签名的真实性,确定其是否是由信息接收者(即乙方)信任的人所签署的。参见前引注19,Simson Garfinkel文,235页。
[79] 要了解近期的关于电子商务的立法(包括一些州有关CA的设立许可程序规则),参见前引注35Winn and Wright文,第§5.07部分;另可参见Baker & McKenzie网站中的电子和数字签名资源,资料获取自:http://www.bmck.com/ecommerce/topic-esignatures.htm
本文发表于张楚主编:《知识产权前沿报告(第一卷)》,中国检察出版社2007年4月版,页119-152。本文不适用本站“创作共用”授权条款,未经书面许可,不得转载。