在网络时代,人们进行交易时遇到的首要问题是如何搞清楚正在与你打交道的人的身份。
生活在广州的花商怎么知道是谁从美国发来了要订购一打玫瑰的电子邮件?同样,对一个企业来说,如果草率地接受通过Internet发来的购货订单,却不核实客户的身份,那就太危险了。
这样的问题也会出现在使用信用卡和支票的时候。不过,此时客户的身份可以通过其手书的签名轻而易举地进行验证,客户只需在出据的文件上签上自己的姓名即可。签名使协议庄重,使合同法律化。
在网络化社会里,人们希望用数字签名取代手书签名。数字签名与电子签名不同。传真的手书签名就是电子签名的一个例子,它不会影响受法律约束的合同的执行。但通过结合使用公共和专用密钥,数字签名只有发送人知道,而电子签名的接收却是通过公开方式获得。数字签名提供了一种安全的方法,可检验出信息是否确实是从声明发送了该信息的人那里发送出来。
然而,在数字签名的使用和普及过程中还存在两大重要障碍:第一个障碍在于,某些法律和法规还要求在老式的复印本合同上有手书签名。例如,某公司的律师不得不穿越四大洲让交易涉及的各方在原件上签名,以遵守交易发生地——澳大利亚的法律。在实施数字签名之后,同样的交易几秒钟内就可以全部敲定。目前,加拿大政府正着手审议现行法律,使联邦法更倾向于数字签名。
第二个障碍涉及获得公共密钥的方式。比如前面提到的购花的例子,发送人将包含有可能破译其身份的专用密钥的公共密钥随订单一道发出,这并没有问题,但花商仍不知道发送人的身份。信息中会包含姓名和地址,但花商怎么知道发送人说的是实话?这就需要第三方能可靠地配上密钥。这种可以信赖的第三方被称为认证特许方(CA)。这种方式在使用上产生了一系列的法律问题,主要问题在于谁对不准确的信息承担法律责任。根据现行法律,CA有可能要对其发送的有关密钥使用者身份的信息承担法律责任。当然,我们不能指望数字认证处理有100%的把握。例如,认证失效与其声明失效之间总会有一个时间差,其间可能会发生欺诈交易。CA所承担的风险也是对交易的压力和威胁。
最近,美国和德国通过了有关密钥用户应负责任的法律。与未受权人使用了银行卡个人身份帐号的情况相同,如果关键字用户丢失或泄漏了自己的密钥,他必须通知CA。在CA得到通知前,他本人应对使用其个人密钥的交易负责。
加拿大也正在研究美国加州的模式。在加州,州政府对认证过程负责,所以不需要制定CA法。目前,Entrust、Verisign、Netscape和Microsoft公司能够提供数字认证业务,但他们要风险自负。立法的实施是件好事,因为它将鼓励小型企业进入市场,与大公司进行竞争。它还能澄清电子商务涉及到的其它法律问题。
如果立法人承认在计算机领域使用的数字签名,那么,在虚线上手书签名以实现合同的法律效力的传统方式也许会成为繁文缛节。到那时,再扔掉你的羽毛笔吧!
