芻議假冒、偽造數(shù)字簽名及其民事法律責(zé)任

[摘要] 隨著電子商務(wù)的迅猛發(fā)展，數(shù)字簽名被廣泛應(yīng)用。而針對(duì)數(shù)字簽名的假冒、偽造行為也隨之伴生。如何界定這種行為以及因假冒、偽造行為產(chǎn)生的民事責(zé)任應(yīng)如何分擔(dān)，結(jié)合他國的一些借鑒性做法，對(duì)假冒數(shù)字簽名的行為仍應(yīng)適用傳統(tǒng)民事領(lǐng)域的善意第三人制度，但適用條件有所變化；而對(duì)于偽造的數(shù)字簽名，則由信賴方承擔(dān)相應(yīng)的后果。

[關(guān)鍵詞] 數(shù)字簽名 假冒 偽造

一、對(duì)數(shù)字簽名的假冒與偽造概說

隨著信息時(shí)代的來臨，特別是Internet席卷全球，電子商務(wù)得到了蓬勃發(fā)展，數(shù)字簽名也應(yīng)運(yùn)而生。關(guān)于數(shù)字簽名的概念說法眾多，本文所謂數(shù)字簽名系指利用非對(duì)稱密鑰加密的安全技術(shù)方案表明對(duì)電子記錄的證明或批準(zhǔn)之任何字母、文字、數(shù)字或其他符號(hào)。 然而網(wǎng)絡(luò)交易在快速發(fā)展的同時(shí)也面臨著諸多隱蔽的數(shù)字困擾，如欺詐和偽造，因此，一方面要建立一種確保網(wǎng)上交易信息真實(shí)性且能驗(yàn)明交易雙方身份的機(jī)制，另一方面如何防范利用技術(shù)手段假冒、偽造數(shù)字簽名以確保電子商務(wù)的良性健康發(fā)展也顯得十分迫切。關(guān)于何為假冒，何為偽造，《辭海》的解釋是：“偽”即作偽，虛假，與真相對(duì)；“假”即不真，虛偽。 《現(xiàn)代漢語大詞典》的解釋為：“偽造”即假造；“假冒”即以假充真，冒充；而該詞典對(duì)“冒充”的解釋為“以假充真”。 由此可見，假冒和偽造仍存在著細(xì)微的區(qū)別，“假冒”更為強(qiáng)調(diào)“冒”，是通過制造假的去冒充客觀存在的真的；而偽造則更為強(qiáng)調(diào)“假”，是假造出來的，而真物本身并不存在。

專門就假冒、偽造數(shù)字簽名作出規(guī)定的國家并不多，而且在已有的立法中各自規(guī)范的內(nèi)容也不盡相同。如《美國猶他州數(shù)字簽名法案》第103條（13）明確規(guī)定了偽造數(shù)字簽名：“偽造數(shù)字簽名指未經(jīng)私人密鑰合法持有人的授權(quán)而創(chuàng)制的表面上具有真實(shí)性的數(shù)字簽名。”《新加坡電子交易法》則使用了“不可靠的數(shù)字簽名”的提法，該法第22條規(guī)定：“除非法律或合同另有規(guī)定，如果數(shù)字簽名不屬于下列合理因素，那么個(gè)人依賴該數(shù)字簽名簽署的電子記錄承擔(dān)數(shù)字簽名無效或數(shù)字簽名不真實(shí)的風(fēng)險(xiǎn)：（a）依賴于數(shù)字簽名簽署的電子記錄的個(gè)人知道或已經(jīng)注意到有關(guān)事實(shí)，包括證書中列舉的事實(shí)或包含在其他附錄中的事實(shí)；（b）如果知道數(shù)字簽名簽署的電子記錄的價(jià)值及其重要性；（c）依賴數(shù)字簽名簽署的電子記錄的個(gè)人和登記人之間有處理過程，已經(jīng)可以獲得的數(shù)字簽名之外的簽署是否可靠的其他情況；以及（d）使用任何交易方式，尤其是使用可靠系統(tǒng)或其他電子交易方式執(zhí)行交易。”而《美國律師協(xié)會(huì)數(shù)字簽名指南》第5.3條則使用了“不可信賴的數(shù)字簽名”的提法，這后兩者主要是從效果的角度來界定假冒、偽造的數(shù)字簽名，并且范圍更廣泛些。而《聯(lián)合國電子簽名統(tǒng)一規(guī)則（草案）》第7條僅規(guī)定了“未經(jīng)授權(quán)使用的電子簽名”的情形。相比較而言，《馬來西亞數(shù)字簽名法案》規(guī)定得較為明確和周全，該法第2條中將“偽造簽名”定義為：“（a）未經(jīng)私人密碼合法持有人的授權(quán)而創(chuàng)制數(shù)字簽名；（b）創(chuàng)制一個(gè)認(rèn)證證書標(biāo)列為用戶人的簽名，但該人并不存在或并不擁有與證書中標(biāo)明的公共密碼相應(yīng)的私人密碼。”《馬來西亞數(shù)字簽名法案》將偽造簽名區(qū)分為兩種情形，結(jié)合上述關(guān)于假冒、偽造的定義，我們不妨將（a）種情形稱為假冒電子簽名，將（b）種情形稱作為偽造電子簽名。而對(duì)（a）種“未經(jīng)私人密碼合法持有人授權(quán)而創(chuàng)制數(shù)字簽名”的情形，又可分為通過破解密碼盜用私鑰創(chuàng)制數(shù)字簽名和已知私鑰但在無合法授權(quán)的情況下擅自使用私鑰以合法持有人的名義創(chuàng)制數(shù)字簽名兩種情形。

當(dāng)然，從技術(shù)上講，對(duì)數(shù)字簽名的盜用和偽造是不太可能的。對(duì)于盜用他人數(shù)字簽名的，由于“不可逆”原理的作用，盡管公私鑰之間在數(shù)學(xué)上存在相關(guān)性，但要從對(duì)公鑰的了解推知私鑰在計(jì)算上是不可行的， 因此，盡管很多人可能知道特定簽名者的公開密碼，并利用它核實(shí)簽名者的簽名，但他們卻不能發(fā)現(xiàn)那個(gè)簽名者的私人密碼并進(jìn)行盜用；而對(duì)于偽造簽名也是同樣的道理，偽造一個(gè)并不存在的用戶并簽發(fā)所謂的數(shù)字證書，就意味著需要推算出認(rèn)證機(jī)構(gòu)的密鑰，從技術(shù)上來講，這幾乎是不可能的。 而如果偽造人僅僅通過制作一份虛假的證書或簽名而不能提供有效的認(rèn)證證書，則接收方可以通過對(duì)其數(shù)字簽名進(jìn)行驗(yàn)證發(fā)現(xiàn)其并非出自相關(guān)認(rèn)證機(jī)構(gòu)而否定其真實(shí)有效性。因此最有可能出現(xiàn)的情形就是由于私鑰管理上出現(xiàn)的漏洞造成私鑰未經(jīng)授權(quán)使用的情形，因而這種情形也是我們?cè)谥贫仍O(shè)計(jì)上最需要防范和規(guī)制的。

二、假冒、偽造數(shù)字簽名的民事法律責(zé)任

未經(jīng)授權(quán)使用數(shù)字簽名是最有可能出現(xiàn)的假冒情形，因此現(xiàn)有立法的重點(diǎn)也放在了對(duì)這一種情形的規(guī)制上。以《聯(lián)合國電子簽名統(tǒng)一規(guī)則（草案）》為例，該草案第7條規(guī)定了未經(jīng)授權(quán)使用電子簽名的責(zé)任：“（1)如果一個(gè)電子簽名是某數(shù)字信息的附件，并且(a)電子簽名是未經(jīng)授權(quán)的:（b）據(jù)稱的簽署人沒有盡到適當(dāng)?shù)淖⒁庖员苊馕唇?jīng)授權(quán)的簽名的使用；并且(c)收件人因誠實(shí)信用并合理地信賴該簽名而遭致?lián)p失時(shí)，該數(shù)據(jù)信息將歸屬于據(jù)稱的簽署人，除非考慮數(shù)字電訊使用的目的和其他有關(guān)情況，這是明顯不公平的。(2)當(dāng)依前款規(guī)定，基于明顯不公平的原因，數(shù)字電訊不歸屬于稱謂的簽署人時(shí)，稱謂的簽署人不對(duì)收件人恢復(fù)其在未授權(quán)簽名使用前的狀況而支出的費(fèi)用承擔(dān)責(zé)任。(3)第(1)款不適用于下列情況:（a）收件人履行合理的注意即可知道或者應(yīng)當(dāng)知道簽字不是稱謂的簽署人所為;（b）收件人從稱謂的簽署人處獲悉簽字不是稱謂的簽署人所為而且收件人有合理的時(shí)間處理。(4)依據(jù)第(1)款，有下列情況之一的，將未經(jīng)授權(quán)使用的簽名歸屬稱謂的簽署人的，視作明顯不公平:（a）將導(dǎo)致稱謂的簽署人的困難與收件人遭受的損失不成比例:（b）……。”根據(jù)該條規(guī)定，我們發(fā)現(xiàn)其責(zé)任設(shè)計(jì)和傳統(tǒng)領(lǐng)域基本上保持了一致。在未經(jīng)授權(quán)使用電子簽名的情況下，只要收件人是善意的，并且被稱謂的簽署人有過失，則推定該電子簽名是稱謂的簽署人所作出，經(jīng)該電子簽名簽署的數(shù)據(jù)信息仍歸屬于據(jù)稱的簽署人。換言之，如果收件人是非善意或有過失，或者據(jù)稱的簽署人無過失，則該未經(jīng)授權(quán)的電子簽名不得視為是據(jù)稱的簽署人的。可以看出，這種規(guī)定仍是民法中關(guān)于善意第三人制度的延伸。但是，和傳統(tǒng)民法領(lǐng)域適用的善意第三人制度相比，在電子商務(wù)領(lǐng)域也存在它的特殊性：從適用的要件上分析可以看出，在電子商務(wù)領(lǐng)域，對(duì)簽名所有人的保護(hù)更為周延，或者說對(duì)適用第三人保護(hù)制度更為嚴(yán)格。在傳統(tǒng)領(lǐng)域，只要第三人是善意無過失的，則要保護(hù)第三人的既得利益；而在電子商務(wù)領(lǐng)域，不僅要求第三人是善意無過失的，而且僅在稱謂的簽署人有過錯(cuò)的情形下，第三人的利益方可從指稱的簽署人處得到保護(hù)；同時(shí)，不同于傳統(tǒng)領(lǐng)域的是，既使是在符合條件的情形下，統(tǒng)一規(guī)則仍然規(guī)定了適用例外的情形，即：如果將未經(jīng)授權(quán)使用的簽名歸屬于稱謂的簽署人是明顯不公平的，則稱謂的簽署人不對(duì)該簽名負(fù)責(zé)。至于何為“明顯不公平”，草案規(guī)定了一些指南：所謂“明顯不公平”，意指在“本質(zhì)上不公平并在當(dāng)事人之間導(dǎo)致明顯的不平衡或不正當(dāng)?shù)亟o予一方過多的優(yōu)勢(shì)”。 工作組還可能考慮其他在歸屬環(huán)境下不公平的情況。

以上是針對(duì)假冒簽名情形下的責(zé)任承擔(dān)，如果是偽造簽名的情形呢？即根本不存在偽造的證書上所列的簽署人或者以自己作為簽署人但實(shí)際上并未得到認(rèn)證機(jī)構(gòu)的認(rèn)可。這種偽造認(rèn)證機(jī)構(gòu)私鑰從而偽造證書的模式在技術(shù)上相當(dāng)困難，或者該證書也許根本就不能達(dá)到合理可信的程度，在有些國家這被列為“不可靠的數(shù)字簽名”之列，對(duì)信賴這種“不可靠的數(shù)字簽名”產(chǎn)生的責(zé)任一般由信賴方自行承擔(dān)。如《馬來西亞數(shù)字簽名法案》第63條第（1）款規(guī)定：“除非法律另有規(guī)定或合同另有約定外，如果信賴根據(jù)當(dāng)時(shí)情形認(rèn)為是不合理的數(shù)字簽名，則數(shù)字簽名的接受方應(yīng)承擔(dān)數(shù)字簽名虛假的風(fēng)險(xiǎn)。”又如《美國數(shù)字簽名指南》第5.3.2規(guī)定：“信賴方可以選擇信賴有疑問的（不可信賴的）數(shù)字簽名，但可能要承擔(dān)數(shù)字簽名虛假，或不可歸屬于某確定的簽署者等巨大風(fēng)險(xiǎn)。”《新加坡電子交易法》第22條也規(guī)定，“……如果數(shù)字簽名不屬于下列合理因素，那么個(gè)人依賴該數(shù)字簽名簽署的電子記錄承擔(dān)數(shù)字簽名無效或數(shù)字簽名不真實(shí)的風(fēng)險(xiǎn)……”。即在這種情形下，接收方將承擔(dān)因其不合理的信任而產(chǎn)生的風(fēng)險(xiǎn)。當(dāng)然責(zé)任的最終承擔(dān)者是做出偽造簽名的行為人。

同時(shí)依據(jù)各國的規(guī)定，無論在何種情形下，認(rèn)證機(jī)構(gòu)對(duì)因假冒、偽造電子簽名產(chǎn)生的責(zé)任均不負(fù)責(zé)，只要它已遵守了相關(guān)的規(guī)定。如《美國猶他州數(shù)字簽名法》第309-2條（1）規(guī)定：“就與虛假或偽造的數(shù)字簽名有關(guān)事宜已遵守本法所有重要規(guī)定的，該許可之認(rèn)證機(jī)構(gòu)對(duì)依賴虛假或偽造的數(shù)字簽名所導(dǎo)致的任何損失沒有責(zé)任。”又如《馬來西亞數(shù)字簽名法案》第61條（a）：“在出現(xiàn)假冒或錯(cuò)誤的數(shù)字簽名的情形下，特許認(rèn)證機(jī)構(gòu)是根據(jù)本法案的要求行事，則對(duì)因信賴假冒用戶人的或錯(cuò)誤的數(shù)字簽名所造成的任何損失，認(rèn)證機(jī)構(gòu)不承擔(dān)任何賠償責(zé)任。”《香港電子交易條例》第42條（1）規(guī)定：“除非認(rèn)可核證機(jī)關(guān)免除本款對(duì)其適用，否則該機(jī)關(guān)如已就其發(fā)出的認(rèn)可證書遵守本條例的規(guī)定及遵守業(yè)務(wù)守則，即無須就因依據(jù)該證書證明的虛假或偽造的登記人數(shù)碼簽署所導(dǎo)致的任何損失負(fù)法律責(zé)任。”

無論如何，需要明確的一點(diǎn)是，即使在傳統(tǒng)商業(yè)領(lǐng)域，假冒和偽造也都屬于制度設(shè)計(jì)只能減少而不可能消滅和杜絕的問題，因而不要希冀能通過制度架構(gòu)完全地克服電子商務(wù)領(lǐng)域的偽造數(shù)字簽名的現(xiàn)象，正如同不可能杜絕假簽名、假印章現(xiàn)象一樣。

參考文獻(xiàn)：

邵貞:電子簽名概念之辯析[J].成都行政學(xué)院學(xué)報(bào).2005.5