孟勤国 刘生国:私人密码在电子商务中的法律地位和作用
孟勤国武汉大学法学院教授、博士生导师 孟勤国
武汉大学法学院民商法博士研究生 刘生国
我们正在走进电子商务时代,事实上,我们早已习惯于信用卡存取款、证券自动委托交易以及其他种种利用计算机网络通讯技术而完成的自动交易。在现有的技术条件下,一方当事人通常通过其私人密码的设密和运用进入自动交易系统从而完成交易,由此常常引发关于私人密码的法律地位和作用的争议和纠纷。最简单的例子是,在人工自动取款机输入持卡人私人密码后取款,但持卡人既不承认取款,也不承认泄露私人密码与他人,这样的纠纷应如何处理?现行法律对此没有规定,司法部门各有不同的理解。因此,在理论及实践上研究私人密码在电子商务中的法律地位和作用,是当务之急。
一、私人密码的特点及基本功能
所谓私人密码,又称私人密钥,它是密码技术中与公共密钥相对应的一种密钥,它由本人生成并所有且只有本人知悉,其作用在于辨识文件签署者身份及表示签署者同意电子文件内容并对数据电文进行保密。
(一)私人密码的特点
1。私有性。从理论上讲,私人密码属个人数据。而个人数据、个人私事和个人领域是构成隐私权的三种基本形式。故私人密码具有隐私权的属性,公民对因其生成的包括私人密码在内的个人数据拥有无可争议的专有权,并享有拒绝、排斥任何未经法律批准的监视、窥探及披露的权利。
2。惟一性。在自动交易系统中,私人密码结合其他要素如账号,能够识别出交易者身份。
3。秘密性。私人密码由本人生成且为其持有,除非本人泄密,他人不得知晓。在规范的自动交易系统中,私人密码不仅在操作员的电脑中看不出来,即使到中心机房也无法查到。私人密码的技术价值就在于私人密码一旦设定和输入,非经复杂的破译程序不可再现,私人密码的数字在技术上破译不仅相当困难,而且往往因为破译时间可能需要几十年而不具有现实性。
(二)私人密码的功能
1。私人密码的使用表明对交易者身份的鉴别及对交易内容的确认,从而起到数字签名(电子签名)的功能。在传统的交易中,因其是直接或间接面对面的纸面上的交易,这样交易当事人就交易的内容商定后,可以书面签字或盖章。在通过计
算机网络进行的电子交易中,数字签名的功能等同于书面签字,私人密码正是数字签名的基本方式,即通过加密技术而设定的包括私人密码在内的电子密码等数据电文,对交易者身份及对交易内容予以确认。首先,私人密码的使用证明了交易者身份。因为据密钥加密的原理可知“你是知道私人密钥的惟一人员,这样你在电子文件中使用私有密钥就如同你在纸上签名一样”。在应用私人密码的场合,因私人密码由本人生成并持有,只有本人知道,因此,能读出加密信息的只有他本人。由此起到了鉴别当事人身份的作用。其次,私人密码的使用表明对交易内容予以确认。在传统的纸面交易中,交易双方通过在书面上签名或盖章,确定交易内容,并预防抵赖行为的发生。电子商务同样要求交易的各个环节都是不可否认的,对交易的文件内容是不可被修改的。从这个意义上讲,私人密码的使用,即表明交易主体对交易内容的确认。
正因为私人密码在电子商务中起到以上所述鉴别交易主体身份及确认交易内容的作用,故在目前有关国家、地区及国际组织的立法中将包括私人密码在内的数据电文的使用视为一种数字签名。如联合国国际贸易法委员会于1996年6月通过的《电子商务示范法》第七条规定,如果数据电文的发端人使用了一种既可鉴定该人的身份,又表明该人认可了数据电文内容信息的方法,且从所有各种情况(包括任何相关协议)来看,他所用的方法是可靠的,对生成或传递电文的目的来说也是适当的,即满足了签字确认的要求。
2。私人密码的使用表明本人进行了交易行为。由电子商务的特点所决定,在交易中,信息发送和接收者都不能对此予以否认,即电子商务行为的“不可抵赖”性。这就要求系统具备审查能力,以使交易一方不能抵赖已发生的交易行为。从这个角度讲,私人密码的使用是审查当事人是否从事交易行为的有效手段,就是说,凡是使用私人密码从事的交易即为本人进行了交易行为,本人不得抵赖,不得否认曾经接收或发送某些特殊的文件或数据。
3。私人密码的使用表明交易是在保密状态下进行的,任何第三者都不知交易内容。电子商务是在一个较为开放的网络环境中进行,因此如何保障信息的保密性、安全性是电子商务中的一个重要课题。就安全手段来说,私人密码可以说是目前较为重要的安全手段之一。因私人密码由私人生成并由私人专用,除非本人泄密,他人不得知晓,故私人密码的使用表明本人是在保密状态下使用。
二、私人密码的使用效力规则
(一)私人密码使用即为本人行为的原则(以下简称本人行为原则)
所谓本人行为原则,是指只要客观上在交易中使用了私人密码,如无免责事由,则视为交易者本人使用私人密码从事了交易行为,本人对此交易应承担相应的责任。确立以上原则的理由在于:
1。这是由私人密码的性质和特点所决定。
私人密码的使用,只能是本人或者知晓私人密码的人。私人密码由本人生成而且在保密状态下由本人持有和使用,如果不是本人的原因,他人从何处得知?这是一个不容忽略而且必须由本人予以合理说明的关键问题。本人或许有意无意地将私人密码告知了他人,或许在操作时不注意防范为他人窥视了私人密码,甚至可能就是自己使用了私人密码。不论是哪一种情况,均是本人的行为所致,与交易对方无关,因而应由本人承担私人密码使用的责任。
2。现代社会的经济生活和社会生活需要这一原则。
电子商务是通过数据电文而进行的无纸化交易,在这种交易下,如何鉴别交易者身份、如何确认交易内容以及如何对交易的内容进行保密等是电子商务发展中的重要问题。而包括私人密码在内的电子密码在电子商务中的应用,可以说是目前解决以上问题的有效办法。事实上,有电子商务的领域,必有包括私人密码在内的电子密码的应用。然而,使用私人密码必须有一定的规则,否则电子商务的“游戏”就无法进行,这个规则首先是使用私人密码即为本人行为。不然,谁都可以凭私人密码在自动取款机取款或凭私人密码从事证券委托交易后可矢口抵赖,电子商务根本不可能开展。
3。现有技术完全可以做到其安全性超过传统交易方式。
在传统的纸面交易中,双方当事人的认证是通过书面签字来完成的。当事人对签字而生的后果承担法律责任,因为签字意味着当事人对交易主体及交易内容的确认。那么通过私人密码等数据电文的形式而完成的数字签字,同样达到书面签字的认证功能。通过私人密码完成的数字签名只要能做到:(1)除收发双方外别人无法知道信息内容(隐私性);(2)信息在传输过程中不被篡改(真实性);(3)发送方能确信接收方不是假冒的(非伪装性);(4)发送方无法否
认自己的发送行为(不可否认性)等安全要求,当事人当然应对其通过私人密码认证后的交易承担责任。从目前的情况看,为保证以上安全要求,在技术上主要采用两类技术手段,“一种是为防止数据(信息)被盗窃篡改而使用的加密技术;另一种是用以确认正在打交道者确实是本人的认证技术”。这些技术从理论上说均有严密的体系,具有较强的保密及认证功能,从实践应用来看,已起到保护交易安全的功能。
(二)私人密码使用即为本人行为原则的例外
在下列情形下,本人行为原则不予适用:
1。私人密码使用涉及的软件秘级程度过低。
适用私人密码使用即为本人行为原则的基础之一是,私人密码使用所涉及的软件秘级达到足够安全的程度,如软件的秘级程度过低,他人可轻易破译私人密码,则无私人密码的私有性、惟一性、秘密性可言,在此情形下,如仍适用本人行为原则,对本人极为不利不公。由此产生的后果由交易对方负责。
2。失窃、失密后及时向交易对方挂失。
如发生私人密码失窃、失密,本人应从速向交易对方挂失。在本人办理了挂失手续之后,如有人仍凭此私人密码从事交易,此种情形,不适用为本人行为原则,因这是由于交易对方的过失所致。由此产生的后果也应由交易对方负责。
3。操作系统受到黑客攻击。
操作系统的软件秘级程度达到相关标准,且本人无过错的情况下,操作系统受到黑客攻击,致使黑客获取私人密码并从事交易。在此情形下,因交易双方均无过错,故对本人所造成的损失应按公平责任原则由交易双方分担。道理很简单,电子商务是现代社会带来的文明成果,我们每个人既然都在享受现代文明的利益,理所当然应承担一定的风险责任。如果有谁不愿为此承担丝毫的风险,只能选择不涉足电子商务。
上述私人密码使用的效力规则,实际已确定了私人密码使用后的法律责任。
原载《法学研究》2001年第2期