银行通过互联网提供支付、转帐、存款等金融服务,必然涉及与客户之间的信息沟通。比如,客户通过浏览互联网找到银行的网址,可能会对银行的某一项业务感兴趣,经过考虑之后,决定参与这项业务。这个时候,客户和银行之间就会开始信息的交流。在这些信息之中,有的是无关紧要的,只是一些意向性的内容;有的是客户希望保密的,比如自己的信用卡帐号;而有的则是至关重要的,比如,客户命令银行将自己存款帐户上的2000元钱用于支付自己的一笔债务,对于存款帐号、取款的数额等信息,客户都是希望保密的。同时,这些信息对于银行来讲也是非常重要的,从法律上来讲,这种信息的沟通实际上就是一份合同的缔结过程,信息本身构成了合同的内容,信息传递是否准确,直接影响到合同的成立和执行。因此,保证客户和银行之间,银行和银行之间通过网上进行信息交流,同通过传真、邮件等纸质媒介进行信息交流一样可靠,是银行业务网络化、电子化的关键。
一、信息交流怎样才算可靠?
我们在进行交易的时候,通常希望确定两件事情:
第一,跟我们做生意的人是我们熟悉的,这样,我们跟他做生意,才会有安全感,不至于被骗子给骗了。但是,现代社会使人们的交往日益扩大,银行的客户也越来越多,越来越杂,不可能每一个人都认识。在这种情况下,我们通常会要求对方提供一些证明其身份的东西,如身份证、户口薄,交易完成后,还会要求他亲笔签名或盖章。这样,一旦发生纠纷,我们就可以出示有对方签名或盖章的合同、文件,使对方不能事后抵赖。也就是说,我们希望交易对象具有真实性。
第二,我们通常还希望双方之间传递的信息是真实、完整的。一些比较精明、谨慎的律师通常会要求他的客户在每一份文件中都签上自己的名字,同时要求另外一方的当事人也这样做,以保证没有遗漏或多余的内容。双方通过电话、传真传递双方交易意图,最终达成一致意见之后,通常会签定正式的文本,双方签字盖章,各自保留一份。这样做的目的都在于保证合同的内容不会被篡改、伪造,正式文本中规定的内容是双方最后和真实的意图。
总的来讲,传统的做法基本能够满足双方对交易安全的要求,如果出现纠纷,双方也很容易拿出证据加以证明。但通过互联网或其他网络进行交易,是否也能达到上述的要求,保证信息的可靠性呢?
二、数字签名如何保证信息的可靠性?
现代科学技术的发展在很大程度上满足了上述的要求,通过加密、解密等一系列技术,创造出一种叫“数字签名”(digital signature)的做法。“数字签名”不是我们想象中的签名,收到数字签名的人实际上不可能在纸上或者电脑屏幕上切实地看到“张三”或者“李四”这样的名字,它只是一种经过加密的信息,用这组经过加密的信息来达到上述的要求,即对方确实是交易的对象,双方所传递的信息是完整的、真实的。那么,什么是数字签名呢?数字签名怎样保证信息传递的可靠性呢?
假设银行和客户之间需要传递一组信息,客户是信息的发送人,他选好想要传递的信息,用一种特殊的软件把这组信息制作成一组密码(hash result),这组密码比原来的信息短得多,而且人们只能将信息转换成密码,而不能将密码转换成信息,也就是说具有单向性。
然后,客户用“私人密钥”将这组密码再次进行加密,就得到了数字签名(关于如何得到数字签名,还有其他一些做法,这里只介绍最基本的做法)。私人密钥(Private key)是一种形象的称呼,它并不是一把钥匙,只是一组类似于密码的数字信息。和私人密钥相对应的是公共密钥。这两把“钥匙”有什么用呢?这实际上是一种加密解密的技术。它们互相有一定联系,但又无法从其中一个推导出另外一个,也就是说,知道了私人密钥,并不等于知道了公共密钥;知道了公共密钥,也不等于知道了私人密钥。因此,用它们对信息进行加密或解密,就相当于给所传递的信息加上了一把锁,仅有持有钥匙的人才能打开锁,读取信息。通常情况是,私人密钥由签名人,即发送信息的人持有,发送人用自己的私人密钥来对所发送的信息进行加密;公共密钥则公开,通常是由一个特殊的机构持有,任何人通过一定程序都可以获得其他人的公共密钥,这个机构被称为“认证中心”(certificate authority)。关于认证中心的作用及其管理,我们将在下一讲中介绍。
得到数字签名之后,发送人将数字签名附在原信息的后面,通过互联网将数字签名连同原信息同时传送给接收人,这样,接收人就收到了这组信息。而在此之前,在双方达成交易意向的过程中,接收人通常会要求认证中心对发送人的身份进行证明,认证中心向接收人发送电子证书,证明发送人的身份,接收人同时也从认证中心那里取得了发送人的公共密钥。
之后,接收人是用对方的公共密钥将数字签名进行解密,就得到一组密码信息。然后接收人又用同发送人一样的方法将传递过来的原信息进行加工,又得到一组密码信息(hash result)。接收人就将这两个密码信息进行对照,如果完全一致,则表明文件是由发送人私人钥匙进行加密的,并且在传递过程中没有被修改;如果不一致,则说明传递过程中被人修改或伪造过。通过这种方法,即通过认证中心解决发送人的身份问题,保证了交易对象的真实性;通过加密解密等一系列技术保证传递信息的完整性。
三、法律能不能接受数字签名?
数字签名是技术的产物,从上面的介绍中我们了解到,数字签名实际上并不是一种真正的签名。它实际上起到了两方面的作用,一是用电子媒介代替纸质媒介;二是确认当事人的身份,起到了签名或盖章的作用。那么,法律究竟能不能认可数字签名这样的技术产物呢?
人们以物易物的时候,买和卖同时进行,甲有一头羊,想换乙的两把斧子,乙也同意,两人一手交羊,一手交斧子,交易立刻达成,不需要什么仪式,也不需要什么证明。但后来交易越做越多,越来越复杂,法律也就随之发展起来。早期的法律很重视交易的安全,通常对交易和合同规定了繁琐的程序,比如奴隶社会有一部非常有名的法典规定,双方做买卖,必须要有一个证人在场,同时合同必须采取书面的形式,否则,买主就要被认为是窃贼。
这样做确实很安全,但是,不是所有的交易都能找到一个证人来证明,同时,交易的数额越来越大,交易的范围越来越广,人们要求重视交易的效率。因此,只要能证明双方确实有交易的意图就可以了,并不一定需要如此繁琐的程序。能够证明双方意图的最好证据就是书面的合同,有了双方签字盖章的书面合同,谁也不能事后抵赖,双方也能够根据合同上列明的事项分清责任,解决纠纷。所以,许多国家的法律都规定,合同必须采用书面形式。
不过,这样的要求有时也显得过于严厉,在一些证据法发达,证据规则严密的国家,法律认为即便是口头的合同也具有约束力,只要有其他证据证明。因此,80年代联合国贸易法委员会颁布的《联合国国际货物销售公约》就规定:国际货物买卖合同,既可以采用书面形式,也可以采用口头形式。法律对合同形式的要求越来越宽松了。
同时,随着技术的发展,又出现了新的形式,即电子的形式。比较常见的如国际贸易中经常使用的电子数据交换(EDI),国际金融中的电子资金划拨、电子票据清算等等,电子形式不同于口头形式,也不同于传统的书面形式。纸质媒介是一种“原子形式”的媒介,而电子媒介则是一种“数字形式”、电子形式的媒介。新的媒介的出现是技术发展的产物,同时也对法律的发展提出了挑战。
从大的范围来讲,许多国际组织都在不遗余力地推动各国对国内法律进行改革,以使电子形式的合同能够成为法定的合同形式。比如,国际商会1987年颁布了《电传交换贸易数据统一行为守则》,为从事电子数据交换(EDI)的用户提供了一套国际公认的行为守则,为EDI 用户和通讯系统的经营者拟定具体的通讯协议,通过协议解决EDI 所面临的书面形式要求,为亲笔签名认证等合同形式问题提供了良好的基础。联合国国际贸易法委员会于1985年第18届会议上为各国提出了一些建议,包括审查关于某些贸易交易和与贸易有关的文件要求用书面形式的法律规定,以便酌情允许把该项交易或文件以计算机“可识读形式”记录下来或发送;审查关于亲笔签字或其他书面方式来认证与贸易有关的文件的规定,以期酌情允许使用电子手段来认证;到1992年,该委员会还正式发布了《国际电子资金转移示范法》,专门对这一问题作出规定。
数字签名也遇到同样的问题。从各国的实践来看,随着电子商务的发展,随着金融电子化的深入发展,法律对数字签名加以认可和规范已经成为一个迫切的问题。
四、有关数字签名的法律规定
由于各个国家的经济情况不同,法律体制不同,对是否应该认可数字签名,以及如何规范都存在差异。从目前情况来看,一些主要的发达国家,如日本、美国、德国,以及一些新兴市场国家,如新加坡等都颁布了关于数字签名的法律;一些国际组织也积极促进各国接受数字签名,如联合国贸易法委员会就于1996年颁布了《电子商务示范法》,对数字签名的法律效力作出了示范性规定。
我们在前面已经提到,电子或数字形式的媒介被法律接受的主要障碍来自一些现存的法律规定:合同必须是书面形式的,必须由当事人签名盖章;在发生争议的时候,必须能够提供充分的证据加以证明。数字签名在技术上已经基本能够满足这样的要求,因此各个国家有关数字签名的法律主要就是对现存的法律进行扩张性解释,使数字签名能够符合现存法律的要求。主要规定涉及以下几个方面:
首先,肯定数字签名符合法律关于合同必须采用书面形式的要求。“书面形式”应该是一个含义广泛并且不断发展的概念,书面形式区别于口头形式的主要特征就是:口头形式具有不可追溯性,一句话说完了,也就完了。于是,人们通常采取一些配套的措施来弥补口头形式的不足,比如录音、录像等等。只要这些措施符合法定的要求,也可以作为证据。书面形式更为直接和具体,它本身就是一种现实存在的东西,本身就是证据。数字签名基本具有这样的特征,它包含的信息,人们可以通过电脑或其他媒质加以显示,也可以把它的内容反映在传统的纸质媒介上。
其次,数字签名符合法律关于签名的要求。我们在前面已经提到,签名盖章的根本目的在于证明当事人的身份,证明信息的真实、完整。技术的发展基本上已经使数字签名具有了这样的用途,我们在介绍数字签名的制作和传递过程时也说明了这一点。因此,法律通常规定:只要采用了某种可靠的方法来证实当事人的身份,证明当事人同意信息中包含的内容,并且信息在传递过程中是可靠的,那么这种信息就符合了法律关于签名的要求。数字签名正是符合了这样的要求。
最后,数字签名具有同书面签名一样的法律效力。传统法律通常要求合同和有关的文件应该是原件,在法庭上作为证据出示时,也必须出示原件。关于数字签名的法律认为数字签名符合法律关于原件的要求,具有原始证据的效力。因此,多数国家或地区的法律规定,数字签名具有同书面签名同样的效力和执行力,不能因为它是一种数字化、电子化的信息就否认其法律效力。