法律

电子签名法中的技术定义和要求

  《电子签名法》是我国针对电子签名应用和服务建立的一部法律。电子签名后的数据电文要具备法律认可的技术条件、要能够产生实际的应用意义,其本身就必须最大限度的符合国家法律的要求,所以,我们首先需要对法律在签名技术和数据电文方面的技术定义进行仔细分析。

  适用范围:

  第三条民事活动中的合同或者其他文件、单证等文书,当事人可以约定使用或者不使用电子签名、数据电文。

  当事人约定使用电子签名、数据电文的文书,不得仅因为其采用电子签名、数据电文的形式而否定其法律效力。

  前款规定不适用下列文书:

  (一)涉及婚姻、收养、继承等人身关系的;

  (二)涉及土地、房屋等不动产权益转让的;

  (三)涉及停止供水、供热、供气、供电等公用事业服务的;

  (四)法律、行政法规规定的不适用电子文书的其他情形。

  通过对该适用范围的分析,我们可以得出以下结论:

  只要是在法律不适用范围外的民事活动中的合同、协议、单证都可以在使用者同意的前提下都可以使用电子签名。也就是意味着嵌入式签章软件有可能深入到很多信息系统中,解决这些系统中存在的电子状态的合同、协议、单证等数据电文的签署应用。

  数据电文及其保存办法:

  第五条符合下列条件的数据电文,视为满足法律、法规规定的原件形式要求:

  (一)能够有效地表现所载内容并可供随时调取查用;

  (二)能够可靠地保证自最终形成时起,内容保持完整、未被更改。但是,在数据电文上增加背书以及数据交换、储存和显示过程中发生的形式变化不影响数据电文的完整性。

  文件原件形式有以下需求:

  一、必须有效表现所载内容;

  二、可以随时调取查用;

  三、保证内容完整;

  四、原件之上可以增加背书;

  五、数据交换、存储和显示过程中发生的变化不能影响完整性;

  由此可见,在数据电文签署前,其原件的表现形式具备以上的技术性能。需要能够设计一种电子文件,来保证签名文档原件具备“有效的、可调用的、完整的、可增加背书的、可以交换、存储和显示的”具体性能。

  第六条符合下列条件的数据电文,视为满足法律、法规规定的文件保存要求:

  (一)能够有效地表现所载内容并可供随时调取查用;

  (二)数据电文的格式与其生成、发送或者接收时的格式相同,或者格式不相同但是能够准确表现原来生成、发送或者接收的内容;

  (三)能够识别数据电文的发件人、收件人以及发送、接收的时间。

  从以上的规定来分析,最终签名文档必须要有固定的文件格式,要准确表现原件、发送和接收这三个状态的内容。必须要有数据电文的发件人、收件人以及发送接收时间保存于文件中,或通过文件可以随时调取查用。

  第八条审查数据电文作为证据的真实性,应当考虑以下因素:

  (一)生成、储存或者传递数据电文方法的可靠性;

  (二)保持内容完整性方法的可靠性;

  (三)用以鉴别发件人方法的可靠性;

  (四)其他相关因素。

  电子签名法对数据电文的技术方法也提出了非常明确的审查因素,主要归纳为以下三个方法的可靠性:

  一、生成、储存或者传递数据电文方法;

  二、保持内容完整性方法;

  三、鉴别发件人方法。

  所以必须在系统设计的时候对以上三个方法的是先进行详细的设计,并且从技术论证上一定要通过。该问题的讨论要结合前面提到的原文、最终签章文档一同分析,主要工作是要设计一种可以满足所有这些需求的数据电文的格式,并且能够通过可重复、稳定的、可信的电子签名组合算法和这些运算结果可有效证明该数据电文符合所有法律需求的方法及其流程。

  发件人和收件人:

  第九条数据电文有下列情形之一的,视为发件人发送:

  (一)经发件人授权发送的;

  (二)发件人的信息系统自动发送的;

  (三)收件人按照发件人认可的方法对数据电文进行验证后结果相符的。当事人对前款规定的事项另有约定的,从其约定。

  对法律的仔细分析我们发现《电子签名法》对发件人进行了比较明确的定义,并且指明电子签名使用当事人具有对发件人定义的约定权利,所以系统和最终签章文当中必须对发件人、收件人及其流程进行仔细的分析和定义,要用“有效的、可调用的、完整的、可增加背书的、可以交换、存储和显示的”办法来处理,并且要将信息系统中对发件人收件人的定义对具体签名当事人进行明确说明。因为一个数据电文有可能是一个发件人发给一个收件人,也有可能是一个发件人发给多个收件人,还有可能数据电文本身有一个发件人发送,经过多个收件人的转储才能形成最终有效的数据电文,要对这个复杂的流程进行更进一步的分析,得出各个环节的原文、中间状态数据电文、有效的各发件人的数字签名等法律要求的必有因素。

  发送和接收时间:

  第十一条数据电文进入发件人控制之外的某个信息系统的时间,视为该数据电文的发送时间。

  收件人指定特定系统接收数据电文的,数据电文进入该特定系统的时间,视为该数据电文的接收时间;未指定特定系统的,数据电文进入收件人的任何系统的首次时间,视为该数据电文的接收时间。

  当事人对数据电文的发送时间、接收时间另有约定的,从其约定。

  电子签名法对文件保存中的几个时间因素也进行了比较详细的定义,具体指出了发送时间、接收时间的定义,同时又将该时间的约定权力交予电子签名使用当事人。通过对上述规定的分析我们可以得出以下结论:在信息系统中必须对签章当事人的发文时间、收文时间进行明确的定义,要采用“有效的、可调用的、完整的、可增加背书的、可以交换、存储和显示的”的办法来处理,并且要将信息系统中发件时间/收件时间的定义对具体签名当事人进行明确说明。

  收讫:

  第十条法律、行政法规规定或者当事人约定数据电文需要确认收讫的,应当确认收讫。发件人收到收件人的收讫确认时,数据电文视为已经收到。

  有关收讫《电子签名法》也有了一个明确的定义,即首先要确定最终数据电文是否要确认收讫,如果不需要收讫则没有收讫信息的最终数据电文也附和电子签名法的要求,如果需要收讫,则最终数据电文中还需要记录“发件人收到收件人的收讫确认”来表示数据电文确认收讫了。所以还要在数据电文中保存“有效的、可调用的、完整的、可增加背书的、可以交换、存储和显示的”收讫确认。

  可靠电子签名:

  第十三条电子签名同时符合下列条件的,视为可靠的电子签名:

  (一)电子签名制作数据用于电子签名时,属于电子签名人专有;

  (二)签署时电子签名制作数据仅由电子签名人控制;

  (三)签署后对电子签名的任何改动能够被发现;

  (四)签署后对数据电文内容和形式的任何改动能够被发现。

  当事人也可以选择使用符合其约定的可靠条件的电子签名。

  分析该项法律规定,和前面法律第八条息息相关。我们可以采用国家认可的PKI技术具有的隐秘性、不可否认性和防篡改性的科学方法,结合符合国家电子签名认证资格的服务者提供的服务,使用我们设计的符合签名法要求特性的电子签名工具,为签名当事人提供一个可靠的电子签名环境。

  以上要求的前两条是电子签名认证服务机构提供给签名当事人的基本服务,后两条则依托于签名工具中如何采用PKI体系中的先进方法去实现。签名工具和所生成的最终有效的数据电文需要互相搭配,从文件格式本身的数据内容完整保存,到所有有关数据内容如何验证数据的完整和可靠,都要遵循“有效的、可调用的、完整的、可增加背书的、可以交换、存储和显示的”的性能要求。