《毕业论文(设计)安全電子商務的法制基礎初探︰ 從資訊安全宏觀角度談我國數位簽章立法方向與原則.doc》由会员分享,可在线阅读,更多相关《毕业论文(设计)安全電子商務的法制基礎初探︰ 從資訊安全宏觀角度談我國數位簽章立法方向與原則.doc(65页珍藏版)》请在三一办公上搜索。
1、安全電子商務的法制基礎初探從資訊安全宏觀角度談我國數位簽章立法方向與原則熊愛卿* 台灣大學法律學研究所博士班研究生;前月旦法學雜誌創刊總編輯。摘 要本文重在探討我國未來建構數位簽章法制的可能方向和立法原則;不在解決電子商務所面臨的個別法律問題。作者藉由資訊安全需求面、技術面、比較法制面和我國實務面的簡要介紹等,來傳達數位簽章的應用和驗證機制所具備確保電子商務安全的功能以及建立相關法制的重要性。面對應用數位簽章科技所生新興法律問題,作者認為:滿足資訊安全需求,應是提供政策決定上的重要考量,並據以指出當前亟應解決的新興問題主要在於(1)承認符合安全要求的數位簽章的法律效力;(2)承認經數位簽章簽署
2、之電子文件的法律效力;(3)關於建構國內安全驗證機制所需考量對CA的管理(非管制)與相關驗證事項的進行。作者最後強調在法制建構前,必須先規劃出我國安全驗證基礎建設的政策和科技藍圖,才能避免日後產生科技或法制面的齟齬。目 次 壹、前言 貳、安全電子商務的意義與 機制 一、電子商務的概念 二、安全電子商務的基本 需求 三、安全電子商務的關鍵 科技數位簽章及驗 證機構簡介 參、架構安全電子商務的法 制原則 一、安全電子商務的新 興法律問題 二、國際間關係安全電子 商務法制架構的重要 發展 肆、我國建立安全電子商務 法制規劃現況與建議 一、我國數位簽章驗證機 構與電子商務安全環 境發展現況 二、我國相
3、關法制的(研 究)進展 三、本文的進一步建議 伍、結論關鍵字數位簽章,資訊安全,電子商務,公開鑰匙,祕密鑰匙,密碼學,數位簽章驗證中心。Abstract:Digital signatures , supported by a“public key infrastructure”of certification authorities(CAs) and certificate databases , can satisfy the contemporary need of information security- Identification , Confidentiality, Integr
4、ity and Non-repudiation , which ensure not only secure electronic commerce but also secure communication on the Internet . This article is aimed at addressing the vision of proposed Taiwan digital signature law and its necessary principles, based on the need of information security , without discuss
5、ing the other law issues concerning with the electronic commerce. As a consequence , this article also proposes some other important issues should be taken into consideration while building the legal framework for information security .Keywords:digital signature , information security , electronic c
6、ommerce, public key , private key , cryptography , certification authority.壹、前言網際網路自開放商用以來,電子商務突然成了新貴,一提到它便令人眼錢一亮!霎時間,它似乎就代表著錢潮、代表著機會、也象徵著潛力、競爭力和希望。雖然這些年來經過一番開疆闢土,也有不少先鋒者質疑牛肉在哪裡而提醒後來者勿莽撞跟從;然而,前仆後繼的研究和市場調查,卻也不斷翻新著數字, 這些研究和調查不約而同將焦點瞄準西元2000年,所呈現的是一片樂觀可期的美好遠景。例如,據PC WEEK線上雜誌轉述由Piper Jaffray Inc.發表的電子商務
7、研究報告顯示:未來五年內,將有310億美元花費在建構電子商務的系統上,而一但這些系統設置完成,則電子商務的市場更是高達2280億美元。See PC Week, Aug. 7, 1997. , 而其他各種國際市場顧問公司所預測西元2000年的電子商務市場規模,幅度差距則由百億美元到6100億美元不等;至於國內情況,依據宏碁AcerMall非正式統計,也將達到200億新台幣。詳細數據列表,見,財團法人資訊工業策進會執行編輯,電子商業市場情報,收錄於電子商業答客問(FAQ) ,經濟部商業司,1996年6月,頁2-17以下。在在說服、刺激著主政者、企業界甚至消費大眾:今天不作好因應準備;明天便要喪失大
8、好機會。其實人類的交易行為由來已久,而貴為新寵的電子商務卻也不是今天才發生,乃可溯及八年代電子資料交換(Electronic Data Interchange;EDI )的商務模式。只是,今日的EDI經由網際網路的快速發展已亟思革新,而向來紙本世界的商務模式(甚至文化、教育、醫療、公務等)也紛紛激起重大變革;然而,喧囂鬧嚷中,不曾改變的是人們對於交易安全的需求,甚且因為位元世界的特性而更感迫切。網際公民對資訊安全的迫切需求,促使著電腦與科技專家不斷戮力於研發安全性日益精進的技術,來擔負捍衛網路和資訊的重責大任。這其中,密碼技術幾已被視為維護資訊安全的不二之選,而結合運用密碼術(cryptogr
9、aphy)中公開鑰匙密碼技術,對資料加密、產生數位簽章、並由驗證機構出具憑證確認公開鑰匙的配屬,更是成為當前廣為公認藉由網際網路進行資訊傳輸、電子商務所不可或缺的安全機制。只是,新的科技,帶來了新的問題,要問的是,是否也該想想新的辦法來解決?數位簽章技術正是其例。本文以下乃以有限的篇幅,探討保障安全電子商務的重要基磐數位簽章的相關應用,所引發的新興問題。鑑於問題面向的全球性,文中有必要引介國際間對此問題的因應對策,進而思索我國有無必要隨之起舞,在立法上及早因應?由於這項科技的發明和進展,自非立法者所能預料,令人不禁要問:從現行法的精深大義中能否找到立足點?這畢竟是鼓舞相關業者繼續研發和推動網際
10、公民樂於應用的一大支柱。然而在作者早先參與的研究 參照林子儀主持,制定數位簽章相關法制數位簽章驗證的法律問題研究,財團法人資訊工業策進會八十六年度委託學術機構研究計畫報告,1997年6月。中,已感到現行法的不足,加上比較國際間立法動向,乃建議我國實有及早研擬數位簽章相關立法的必要。文末將簡介作者於先前研究 同前註。本文未盡之處,請詳參該報告。中所首度提出,自資訊安全的角度出發,作為思考我國數位簽章立法原則和方向以及解決相關具體問題的所憑依據。在全球對於相關法理尚未能建構下,作者認為這項問題所由生和解決方案的提出,正是存在由於需要的科技發展和應用的趨勢建構一個安全的資訊環境,也就是正確掌握資訊來
11、源、確保重要資訊在傳輸或儲存時的隱密和安全所謂資訊安全的需求,這正是邁向資訊時代一項全球性的重要課題。因此,面對科技已提出且不斷繼續研發新的解決方案時,思考解決相關新興法律問題的法制設計,便不能忽視這問題的核心資訊安全需求,而這也是提供政策決定上的重要考量。最後,作者仍要強調的是:數位簽章相關法制的建立,應以規劃出我國安全驗證基礎建設(Public Key Infrastructure,又稱公開鑰匙基礎建設,公開鑰匙基磐 )的政策和科技藍圖為前提,才能避免日後產生科技或法制面的齟齬。資訊安全,要靠科技並配合相關的安全管理、法制和使用者本身對資訊的安全管理各相密合,才能有效達成。在確保安全資訊環
12、境的法制基礎如能得以配合建構完成,則安全電子商務自將成為奠基於此,應用資訊安全機制所得促成的一項重要成果。 電子化政府的實現,也是另一項重要指標。這也正是本文題名為此的理由。貳、安全電子商務的意義與機制一、電子商務的概念為全球所關切的電子商務(electronic commerce)究何所指?至今尚未有一致的定義。有謂:電子商務是一種不僅包含那些主要以買、賣貨品(goods)與提供服務(services)而直接產生利潤的交易,尚且包括諸如提供對貨品和服務的訂購、支持供給行銷管道和消費者服務、促進企業夥伴間的溝通等等有助生成利潤的所有交易。 David Kosiur, Understanding
13、 Electronic Commerce 4(1997).;有謂電子商務是一種傘狀名詞,形容所有和自動化商業有關的交易,像是以電子郵件向辦公用品販賣商購買鉛筆;向網際網路上的虛擬商店購物;電子傳真或是其他政府所提供的資訊;甚至高價位工業商品目錄管制交易等,電子商務代表一種透過大量無紙化機制所進行自動化交易的廣泛的技術、過程和應用。 Warwick Ford & Michael S.Baum, Secure Electronic Commerce: Building The Infrastructure For Digital Signature & Encryption 1(1997). 亦有
14、謂電子商務是指藉由電腦科技與通信技術的結合,以電子化方式透過網路所從事的商業活動。 黃三榮,電子資料交換電子商務的之基石,萬國法律,8/1997,頁83。本文以為,最後引述的定義,差可比擬當今因著網際網路發展而快速演進或勃發的商業形式,留有適應未來科技進展而新興的商業形態的包容力,是諸多定義中差可接受的;然而,與其苦思周延的定義而不得,無如以概念陳述當可援以更接近電子商務的核心。也因此,本文認為於概念上,電子商務可以下述代表之:即 (一)在主體上,其涵蓋了 Electronic Commerce-AnIntroduction .1.企業和企業間:例如企業利用私人或加值網路向其供應商進行整批訂單
15、採購或支付款項等的商務活動。而事實上,最早所建立的電子商務的形式,正可溯及此種於1980年代就出現的電子資料交換(Electronic Data Interchange ; EDI ),為以電子化進行商業交易提供了一項重要助益。 A.J.Marcella,Jr. & S. Chan, EDI Security,Control, and Audit 2.企業和個人(消費者)間:例如電子零售業(electronic retailing),此類活動隨著網際網路的發展而拓展迅速,透過網路虛擬商店得以向無遠弗屆的消費者兜售商品。3.企業和行政機關間:例如未來政府部門徹底實施電子化後,企業界由網路而進行政
16、府招標採購活動。4.個人(消費者)和行政機構間:例如未來行政部門可開放使用網路對民眾為社會福利的給付;或者民眾得以利用網路進行稅款自動申報繳納活動。 在此值得注意的是:今日泛稱的電子商務,並非嚴謹的學術名詞,而在行為態樣上實已橫跨公、私法領域的法律或事實行為。即或如此,本文認為:以電子商務為名並不恰當,這容易造成民眾對於電子商務內涵的混淆。然而鑑於相關行為態樣仍在發展中,以目前全球有限的共識上,至少應以廣義的電子商務,意謂一切藉由電腦科技與通信技術的結合,以電子化方式所進行的交易和款項支付行為。以與狹義的電子商務,意謂排除公法上金錢給付義務藉由電子化方式進行的電子商務相區別。區別的實益,在於未
17、來安全驗證機制設計上,政府所扮演的角色的差異。本文於此將不及討論。, 我國國家資訊通信基礎建設(NII)計畫中所謂的電子商務則偏向狹義定義,指;利用電腦和通信網路來從事各項商業活動,包括價格詢問、報價、訂定合約、付款、交貨通知、發票、信用狀開發等。至於有關電子招標網路報稅等,則屬於電子化政府計畫的項目。此乃針對網路通信雙方中是否有以政府為對象而區分。相關內容可參網址:。(二)在活動的媒介上:傳統藉由紙張(手寫)、電話線路(耳聽)與面對面接觸的商業活動,已部份轉換為藉由電腦科技或電信技術為活動的媒介。(三)在活動的客體上:則仍主要涵蓋了商品與服務或者二者兼具;卻不僅限於此。例如網路書店或虛擬商場
18、的販賣書籍或商品、證券公司提供股市及時行情、網路花店提供佳節送花服務等。至於藉由網路進行合法賽馬、賽狗等活動,要也符合電子商務的範疇。二、安全電子商務的基本需求正由於電子商務藉由開放網路或電信科技為媒介傳遞訊息而進行活動,因著網路的特性,對於電子商務即潛存著諸多安全的威脅,例如:進行網路購物的商務活動時,所傳送的信用卡資料,很容易被人在網路上攔截、窺探;甚或進而將所窺探的資料用以假冒信用卡本人而進行電子商務使得電子商務的安全保護機制益形重要。安全電子商務的基本需求,除了個別網站的安全措施外,應能滿足交易訊息於當事人間傳遞的安全,亦即必須達到通信安全(Communication Security
19、) See,e.g., Deborah Russel & G.T. Gangemi Sr., Computer Security Basics 202 (1995);林子儀,資訊安全與法律,資訊建設推動與法規研討會邁向二十一世紀資訊化的台灣,台灣教授協會主辦,1996年9月。: 即,(一)身分辨識(Authentication)(表意人或行為主體之確定):得以確認進行交易或訊息傳輸的對方或當事人彼此的身分,亦即必須可以確認資訊的真正來源,防止被人冒名傳送假資料。由於電子商務的進行,並非像傳統面對面( face to face )的方式,須能確認交易的對方即為其所宣稱的本人,正是安全電子商務首要
20、具備的。(二)資訊隱密性(Confidentiality):指資訊在電信網路傳輸過程中,應能防止不被窺探、攔截。(三)資訊真實性(Integrity):資訊的收受者得以確認所收到的資訊內容,是真真實實原來所送出的,未曾被篡改。(四)不可否認性(Non-Repudiation)(證據保全):資訊的發送者無法否認其已傳送該資訊;資訊的收受者無法否認其已收到該資訊。三、安全電子商務的關鍵科技數位簽章及驗證機構簡介目前資訊科技因應前述安全電子通信與安全電子商務所需,已發展出安全機制提供解決良方。其中最有效而普遍的做法,便是以密碼術中的資料加密技術和數位簽章技術對(交易)資料做安全保護, 吳瑞明,數位簽
21、字與電子認證中心在電子商務上的應用,資訊法務透析,1/1997,頁26。加上結合公開鑰匙驗證機制,可以達到以上所稱資訊安全的各項功能,成為當前全球發展保障資訊安全技術中最廣為採納的機制。(一)數位簽章簡要而言,數位簽章乃是運用公開鑰匙密碼系統中的祕密鑰匙對一特定電子文件進行秘密操作程序,所轉換產生的一系列數位符記。 此是作者嘗試賦予其法律定義。該公開鑰匙密碼系統乃包含一相配屬的鑰匙對(key pair):分別為作為加密鑰匙稱為祕密鑰匙(private key),與作為解密鑰匙的公開鑰匙(public key)。祕密鑰匙,顧名思義,必須由加密者自行祕密保管;公開鑰匙則須予以公開,二者之間有一特定
22、關連,對於第三者而言,經由知道其一的鑰匙,並無法推算出其相對應的鑰匙。 關於公開鑰匙密碼系統中,公開鑰匙與祕密鑰匙間無法推算之特定關係,可參行政院研考會編印,資訊安全與保密,1994年7月,初版2刷,頁68-69。數位簽章(結合資訊傳輸加密技術)的操作程序和基本原理是:1. A欲傳送加密資料給使用者B時,A可將所欲傳送的訊息明文用A的祕密鑰匙經過特定演算操作後,產生一組由連串位元組合成的特定數位符記(相當於A的簽章),傳送給B。B針對該數位符記,即以A的公開鑰匙,來驗證該簽章是否就是用這公開鑰匙所對應的祕密鑰匙作成的。如果驗證無誤,B即可確認該訊息的確是由A所傳出(身分辨識性)。 基本上,這即
23、是原始簽章程序。2. 鑑於該演算程序過於費時,故而導入雜湊函數。亦即,A在簽章前,須先將文件內容,經由雜湊函數的運算,得到一個與原來文件具有全然關連的訊息摘要(Message digest)。 此訊息摘要(Message digest)乃為一連串無意義的位元組合,並非真正為原文摘要。其作用在縮短對原文運算所需時間,改為對原文的訊息摘要運算以產生簽章。3. A接著以其祕密鑰匙對該訊息摘要作加密運算,所得結果(仍屬連串位元組合)即是A的數位簽章。4. A再將此原文和數位簽章(以及A所採用的雜湊函數),以B的公開鑰匙加密,將所得結果傳送給B。(此為資訊傳輸加密過程)5. 由於只有B本人才擁有B的祕密
24、鑰匙,意謂只有B本人才能解得該加密後的訊息。別人即使於網路窺探或攔截,也無法得知內容。(隱密性)。6. B以相同雜湊函數對解開後原文做運算,得到一訊息摘要;另用A的公開鑰匙將A的數位簽章運作(解開),也得一訊息摘要。B將此二訊息摘要對照,如果相同,即表示該文件的確為A所送出,亦未遭到任何篡改。(身分辨識,真實性,不可否認性)。必須注意的是,該數位簽章技術的安全性,在於其具有以下不可或缺的特性:1.該祕密鑰匙為持有人所唯一專有,世上幾乎無人可得再予偽造。2.該數位簽章與原簽署的文件,具有全然的關連,經簽署數位簽章的文件無法篡改(即或一但該文件遭到篡改,便會改變所簽署的數位簽章,呈現不同的數位符記
25、)。 3.該簽署者的數位簽章,必須於(安全期間內)任何時間,提供任何取得其公開鑰匙的人,都得以驗證之。 以上關於數位簽章與資訊傳輸加密的說明,主要參見吳瑞明,前揭註8,並經本文補充而得。較詳細的說明可參被各知名電腦雜誌推薦、著名密碼學與資料安全學者專家Dorothy Denning喻為今日所見最好的談論密碼學及其應用的書:Bruce Schneier , Applied Cryptography 37-41(2d ed. 1996),另參見張瑗玲編譯,(TERRY BERSTEIN, ANISH B. BHIMANI, EUGENE SCHULTZ , CAROL A. SIEGEL),捍衛網
26、際網路的商機,( INTERNET SECURITY FOR BUSINESS),松崗,1997年4月,頁5-21以下;賴溪松、韓亮、張真誠,近代密碼學及其應用,松崗,1996年1月。, 值得注意的是,數位簽章的這些特性,乃被美國各州在立法上採為承認數位簽章法律效力的前提要件或列舉規定。參下文。(二)驗證機構由於上述數位簽章,在開放網路上面臨以下重要問題:1.如何判別所取得的公開鑰匙是A本人的,而非遭到他人予以掉包?2.如何確保A本人事後無法否認擁有該祕密鑰匙(因為A可偽稱該祕密鑰匙被他人所竊取盜用),進而無法否認曾簽署該數位簽章?數位簽章驗證機構(Certification Authorit
27、y; CA)的功能構想便應運而生。CA於此即扮演公信第三人的角色,對於A之公開鑰匙予以驗證 關於CA驗證數位簽章程序的進行,see SCHNEIER, supra note 18,at 40.並發給(電子)憑證予以證明,其功能實如現實社會中,戶政事務所針對個人印鑑,提供印鑑證明的服務事項,達到公信力。 參照吳瑞明,同上註。然而須注意的是,這裡的數位簽章乃針對發件人的每一份電子文件而製作,每一次所產生的數位簽章都(絕對)不會相同。以印鑑證明舉例,乃重其功能性相當所致。參、架構安全電子商務的法制原則一、安全電子商務的新興法律問題藉由數位簽章與公開鑰匙的驗證機制,固然於技術上達到安全電子商務的身分辨
28、識、隱密性、完整性(真確性)與不可否認性的安全需求;然而,向來跑在立法之先的科技界與相關業者,在實務的操作中卻隱隱潛藏幾許的不安全感,這樣的不安全感來自於法律面臨科技快速變遷的追逐無力或延遲。廣泛而論,在構建安全電子商務架構時,有著如下的法律問題亟待解答:(一)數位簽章之法律效力如何?我國民法第三條第一項規定:依法律之規定,有使用文字之必要者,得不由本人自寫,但必須親自簽名。該條適用前提,在於依法律規定有使用文字之必要,亦即要式行為,如不動產物權之移轉或設定(民法第七六條)、委任為要式行為之處理權授與(民法第五三一條)、自書遺囑之親自簽名(民法第一一九條)等是。此時,如透過網路以數位簽章簽署後
29、,將處理權授與書或自書遺囑寄出,則其法律效果如何?非無疑問。甚且,政府正推展電子化政府計畫,未來是否透過網路完成地政登記事項,尚非絕無可期,則討論數位簽章之是否具備簽名效力,自屬重要。(二)電子文件,或者經數位簽章後之電子文件,其法律效力如何?是否屬於現行法規範下書面或文書?其於訴訟程序上,是否具有證據力或其(就文件所記載內容的)證明力程度如何?(三)公開鑰匙驗證服務契約當事人間權利義務關係如何?是否可悉依當事人間契約約定?(四)公開鑰匙憑證的法律效力如何?驗證機構因憑證之簽發,對於憑證申請人的法律行為相對人而言,是否具有如何之法律意義?(五)對於驗證中心的資格是否應予規範?其如何善盡鑰匙之管
30、理?在憑證簽發實務運作上,應否有一最低規範? 林子儀,前揭註2。, 此外,鑑於前述數位簽章採用公開鑰匙加密系統,該鑰匙對的唯一性,已引起政府執法單位的疑慮,唯恐該技術為犯罪集團或恐怖份子濫用,執法單位卻無能解密或防杜犯罪,可能造成國家社會的重大危害。因此國際間已有思考防杜,補救辦法(例如鑰匙託管或鑰匙回復),然而卻也引起相關法律爭議(例如個人隱私權的保護、資訊自由與資訊安全的維護等)。此涉及國家密碼政策問題、須待專文另述。二、國際間關係安全電子商務法制架構的重要發展電子商務要推動,首要建立人們對網路使用的安全感與信賴;然而此並非獨以科技上建構安全基礎建設即得為功;仍須輔以法制上的支持配合,才得
31、穩固。這兩年來,國際上有感於數位簽章與其驗證技術乃為保障安全電子通訊與安全電子商務所不可或缺,加以面臨前述諸多法律問題須提出符合資訊時代的解決方案,各國家紛紛研究與研擬制定相關法案。而鑑於資訊網路、電子商務的無國界特性,各國際組織,也亟思合作發揮區域整體力量,建立符合區域經濟的電子商務架構與法制,作為進一步邁向全球可預期與一致性的共通架構,以謀求彼此的最大利益。這些連串的努力,也是我國思考建構符合國際化需求與潮流之電子商務與相關安全法制的重要參考,以下即擇要引介與分析。(一)關係安全電子商務原則建議的重要文件國際間於研擬安全電子商務法制至今所作的努力,包括有:1.聯合國國際貿易法律委員會 (T
32、he United Nations Commission on International Trade ; UNCITRAL )電子商務工作小組第31會期工作報告(Report of the Working Group on Electronic Commerce on Work of its Thirty First Session) .2.世界經濟合作暨發展組織 ( Organisation for Economic Cooperation and Development ; OECD )密碼政策指導綱領(Guideline for Cryptography Policy ) .3.日本電
33、子商務推動協盟 ( Electronic Commerce Promotion Council of Japan ; ECOM )驗證機構指導綱領(a版)( Certification Authority Guidelines ) .4.美國全球電子商務架構綱要(A Framework for Globe Electronic Commerce)5.歐盟波昂宣言(07/08/1997)6.歐洲理事會向歐洲數位簽章與資料加密架構邁進(Towardsa European Framework for Digital Signature and Encryption) (10/08/1997)本文限於
34、篇幅,僅先簡介居全球資訊政策要角的柯林頓政府所發表的一項重要文件,並要述其中與本文所關切安全驗證機制的美方立場。一九九七年七月一日,美國總統柯林頓發布了一份全球電子商務架構綱要(A Framework for Globe Electronic Commerce)。 .這份綱要是在副總統高爾領銜的電子商務工作小組歷經十八個月商議與分析議題,並徵詢學術,企業界代表、消費者團體及網際社群的成員等的建議,也曾於一九九六年底公告先前版本於網頁上徵求公眾意見後而定案提出的。 About Framework for Globe Electronic Commerce .柯林頓希望藉由此項報告謀求全球的共識,
35、必要時並希望能於一九九九年十二月三十一日前就當中重要的議題達成協議,以期共同邁向急速發展的電子商務的黃金時代而共創福祉。該份綱要內容共提出電子商務發展的五項原則,以及由該等原則所指導而期望國際間共同努力達成協議的九項建議。 Executive Summary . 另參照果芸,對美國全球電子商業綱要應有的認識,資訊與電腦,9/1997,頁22;常天榮,美國最新全球電子商務綱要出爐,資訊法務透析,8/1997,頁4。該5項原則要旨為:1.民間主導:網際網路應發展成由市場導向(market driven )而非由法律規制的產業,政府應鼓勵產業自律且儘可能由民間主導。2.政府應避免對電子商務設立不當的
36、限制。即當事人應可在政府最小涉入與干預的情況下,於網際網路上自由買賣貨物與進行服務。政府應避免強加新制定和不必要的規制。3.政府只有在為建構支持與強化有助電子商務發展的最小、一致而簡明的法制環境時,才有必要介入,且此時其所適當扮演的角色,應是確保競爭環境、防止仿冒與詐欺等;而不在於規制。4.政府應認清網際網路的特性。網路的分散性與由下而上發展的管理方式,使得過去六十年來所建構關於電信通訊、廣播、電視等的規範架構並無法符合網際網路的需求,對此,政府實應重新審視予以修改,以反應新電子時代的需求。5.網際網路上電子商務的推動應以全球為基礎。支持網際網路商務交易的法律架構應謀求全球的可預測與一致性。至
37、於綱要中所提出的九項建議,有主張對於電子支付系統 (Payment System )並不宜驟然訂定法令予以約束,尚待與各國政府研討全球性電子支付制度的相關因應措施。此外,在法律議題上,亦分別針對統一的電子商務規約、保護智慧財產權、隱私權與安全等三大項提出建議。其中關於商務規約的建議,除了表明美國支持聯合國國際貿易法律委員會 (UNCITRAL ) 所訂定的電子商務模範法 ( Model Law On Electronic Commerce )外,亦建議發展一國際性統一商務規約來促進電子商務。重要的是該規約應謀求:1.對電子契約的官方承認、2.促使建立國際性接受電子簽章 ( electronic
38、 signature )和其他認證程序的一致性規範、3.促進發展適當、有效率而得有效選擇的全球商務交易上紛爭解決機制。 Read The Framework .綱要中第六項建議更進一步針對全球資訊基礎建設( GII )的安全提出構想,提醒呼籲:如果網際網路的使用者不能信賴其通訊與資料得以安全而不被無權取得和竄改,便將失去意願來使用網路與進行商務。因此,要達到一個安全的GII環境,其要件包括:(1)安全可靠的通信網路;(2)以有效方法防護連接該網路的資訊系統;(3)以有效方法來驗證與確保電子資訊的隱密性,防止資料遭受非法使用;(4)教育與訓練GII使用者,使其了解如何防護其系統與資料的安全。建議
39、中並強調由於沒有一個單一的神奇科技即可確保GII的安全與可信賴性,因此必須藉由一系列相關科技(諸如資料加密、驗證、密碼控管、防火牆等),特別是應發展值得信賴的驗證服務( trusted certification servies )來驗證數位簽章,使得網路使用者得以知悉他們在網際網路上所通訊的對象身份,這些簽章與隱密性的維護,實有賴使用密碼學上的專用鑰匙。為促進提升一個值得信賴的電子商務環境,美國政府即正支持發展一個自發性、市場導向的鑰匙管理基磐( key management infrastructure )來確保身份辨識、資料完整性與隱密性。此外,建議中亦重申基於考量商業祕密與個人資料也許
40、因為解密鑰匙的遺失,導致永遠無法回復的損失,加上為了防止犯罪或恐怖組織運用強大的加密技術導致執法單位難以有效監控其犯罪訊息,美國政府仍力主發展具有鑰匙回復 ( key recovery )功能的密碼產品與鑰匙管理基磐,並仍將繼續爭取國際上的支持。綱要中最後(第九項)建議為了確保網際網路上全球電子商務的成長,有必要建立關於電子支付系統、安全、安全驗證基磐等的技術標準;但美國政府相信這些標準毋寧應交由市場決定,而非由官方為之。建議中並提醒,基於科技的快速發展,政府如試圖制定技術標準來掌控網際網路,將只會危害科技的進展,至於如強制設定電子商務的標準,更是不智也毫無必要。(二)國際關於數位簽章重要立法
41、簡介國際間針對上述應用資料加密與數位簽章及公開鑰匙驗證技術,來保障安全電子通訊與安全電子商務,所衍生的諸多法律問題,從1995年至今,已紛紛亟思提出具體規範以為因應,例如:美國各州、英國、德國、義大利、馬來西亞等國,即已制定關於數位簽章法的規範。 有關美國各州相關立法動態的詳盡資料(另含世界各國數位簽章重要立法動態),see McBride Baker and Coles, Summary of Electronic Commerce and Digital Signatures Legislation 本文限於篇幅,在此僅先就具有代表性、與數位簽章有關的美國與德國的法律為引介,於資料加密及他
42、國部份則留待他文另述。1.美國截至一九九七年十一月底止,美國五十州內已有約四十五州紛紛通過或正在研擬關於應用數位簽章的法律規範, 參照林子儀,前揭註2,頁32以下。然而因於立法目的與規範事項的不同,內容上即呈現多樣性:有採詳盡立法模式者,如猶他州的數位簽章法 此法於一九九五年三月二十二日經該州州議會通過,同年五月一日正式生效。法案起草人為現任職於研發驗證數位簽章應用軟體公司CertCo的Alan Asay,其為該法草案建立了關於身分驗證的法律與技術上準則。See Electric Word: The Don of Digital Signatures, WiredNews (Jan. 27,
43、1997) (其後為美國多數州如華盛頓州、維吉尼亞等州立法時所效行);亦有僅採簡要規範模式,如加州的數位簽章法;其他尚有基於特殊目的,如康乃狄克州針對電子醫療記錄、德拉威州基於預算與會計目的而為立法者,不一而足。 參林子儀,前揭註2。然而,美國政府對於有無必要制定一個聯邦模範的數位簽章法,至今態度則較趨消極。 See Digital Signature Laws Discouraged (Oct. 29, 1997)由於猶他州的數位簽章法乃是全球第一個關於數位簽章的明文規範, 該法主要參考美國律師公會(American Bar Association ; ABA)擬定之數位簽章指導綱領(Dig
44、ital Signature Guideline ),綱領草案首先於一九九五年十月五日提出,一九九六年八月一日正式定稿。其主要提出作為數位簽章公開鑰匙安全驗證基磐(a pki digital signature infrastructure) 應用的法律原則,see Digital Signature Guideline - Legal Infrastructure for Certification Authorities and Secure Electronic Commerce (American Bar Association ed., 1996).加以其內容的完整,幾已成為全球於制定相關法律的重要參考。本文於下即簡述其中的重要規範內容: See, e.g., The Utah Digital Signature Act ; Commentary to the Utah Digital Signature Act Utah Code Annotated Title 46, Chapter 3 (1996) ;Digital Signature Tutorial ; No
