《电子签名法》中第三方认证机构作用的释义

字号：大中小

　　《电子签名法》颁布施行以来，争议最大、最多的莫过于“第三方认证机构的作用”。

　　《电子签名法》的颁布施行，对于电子认证领域或者我们习惯称呼的“安全认证领域”的确是个“福音”。然而近三年来，电子认证的应用特别是在金融行业，还有极个别银行自我认证，究其原因，无非两点：一是监管机关基于过去的历史成因，在积极引导、说服的同时，逐步出台法规加以规范。二是对《电子签名法》中“第三方认证机构的作用”的理解有误，认为可以自我认证。

　　要想正确理解“第三方认证机构的作用”，我们先看看什么是“电子签名”。

　　1、关于电子签名。

　　《电子签名法》第二条规定“本法所称电子签名，是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。”。

　　签名，一般是指一个人用手亲笔在一份文件上写下名字或留下印记、印章或其他特殊符号，以确定签名人的身份，并确定签名人对文件内容予以认可。

　　传统的签名必须依附于某种有形的介质，而在电子交易过程，文件是通过数据电文的发送、交换、传输、储存来形成的，没有有形介质，这就需要通过一种技术手段来识别交易当事人、保证交易安全，以达到与传统的手写签名相同的功能。这种能够达到与手写签名相同功能的技术手段，一般就称为电子签名。

　　电子签名手段有很多，那么是否都与手写签名、盖章一样具有法律效力呢？

　　《电子签名法》第十四条规定“可靠的电子签名与手写签名或者盖章具有同等的法律效力。”，也就是说，只有“可靠的电子签名”才与手写签名或者盖章具有同等的法律效力，而不是各种电子签名都有法律效力。那么，什么是“可靠的电子签名”呢？

　　《电子签名法》第十三条规定“电子签名同时符合下列条件的，视为可靠的电子签名：

　　（一）电子签名制作数据用于电子签名时，属于电子签名人专有；

　　（二）签署时电子签名制作数据仅由电子签名人控制；

　　（三）签署后对电子签名的任何改动能够被发现；

　　（四）签署后对数据电文内容和形式的任何改动能够被发现。”。

　　我们知道，随着现代科学技术的发展，越来越多的技术手段被运用于电子签名领域，具有多种形式，如：附着于电子文件的手写签名的数字化图像、采用特定生物技术识别工具生成的指纹、虹膜合成数据等。那么，以何种技术生成的电子签名才是安全可靠的，才具有法律效力，这是电子签名法应当解决的问题。

　　从世界各国的规定来看，主要有三种模式：一是采用技术特定化方案，即只承认数字签名的法律效力；二是技术中立方案，即在法律上不规定某种技术方案，而将技术方案的选择留给当事人各方约定；三是折中方案，即一方面规定了安全可靠的电子签名应当具备的条件，另一方面则没有限定采用何种技术的电子签名才具有法律效力。采纳这一模式的理由在于：随着科技的发展，电子签名技术也会不断地发展。立法者只需要规定原则性标准。那么从《电子签名法》第十三条规定来分析，指纹、生物特征数据合成技术等，不满足第十三条规定的三、四点，也就是说，它们只能算做电子签名，而非《电子签名法》定义的可靠的电子签名。

　　2、关于“第三方认证机构”

　　《电子签名法》第十六条规定“电子签名需要第三方认证的，由依法设立的电子认证服务提供者提供认证服务。”

　　这一条，是被误解的最关键一点。

　　上面说到，电子签名可以有很多技术来实现，无论它是否是“可靠的电子签名”，有些电子签名不需要第三方认证，例如密码、指纹等。而有的电子签名需要第三方认证。

　　目前，各国电子商务或者电子签名立法中确认的需要认证的电子签名一般指的是数字签名。数字签名是指通过使用非对称密码加密系统对电子记录进行加密、解密变换来实现的一种电子签名，它可以满足《电子签名法》第十三条所要求的可靠电子签名的四个条件，因而在各国的电子商务实践中得到了广泛的应用。

　　作为第三方的电子认证机构通过给从事交易活动的各方主体颁发数字证书、提供证书验证服务等手段来保证交易过程中，各方主体所拥有的公私密钥的真实可靠性，进而保证各方主体电子签名的真实性和可靠性。

　　也就是说：《电子签名法》第十六条所规定的“电子签名需要第三方认证的，由依法设立的电子认证服务提供者提供认证服务。”，并非是可选的。它是对林林总总、各种电子签名技术手段而言的，而对特定的“数字签名技术”——也就是业界采用的、技术体系中就需要第三方的、基于PKI的数字证书体系而言，是需要第三方的，既然需要，那么第三方提供认证就是必须的。