欧盟《电子签名指令》

来自中文百科,文化平台
跳转至: 导航搜索

欧盟《电子签名指令》

(1999年12月3日)


欧盟和欧盟议会,

基于建立欧盟的合约,特别是第47(2)条,55条和95条;

基于委员会的提议;

基于经济与社会委员会的意见;

基于区域委员会的意见;

基于符合第二百五十一条:


(1). 1997年四月十六日委员会与欧盟,欧盟议会,经济与社会委员会和区域委员会开展了对于在欧洲开展电子商务的讨论;

(2). 1997年十月八日委员会于欧盟,欧盟议会,经济与社会委员会和区域委员会面向欧洲数字签名和加密的框架,对于保证电子交流的安全和信任进行了磋商;

(3). 1997年十二月一日欧盟议会请求委员会尽快向欧盟和欧盟议会提交一个关于数字签名的草案;

(4). 电子交流和电子商务使“电子签名”和相关允许数字身份鉴别的服务成为必要;欧盟成员国各自的针对各国法律对电子签名的认知和证书颁发服务组织的不同规定成为成员国之间电子交流和电子商务的障碍;另一方面,一个针对电子签名实施情况和清晰的框架可以在成员国之间增强信心,促进对新技术的认同。成员国之间的法制不能阻止因特网上商品和服务的自由流动;

(5). 电子签名产品的协助发展应该得到加强;合约14条也指出,因特网市场是由一个保证商品自由流动的没有内部界限的区域构成的;应该达到电子签名产品特殊的要求来保证因特网内部的自由流动,以及建立对电子签名的信任,而不损害1994年12月19日达成的欧盟议会规程(EC)No 3381/94中有关建立管理控制多项用途用品出口的共同领域的规定和1994年12月19日达成的欧盟议会规程94/942/CFSP中有关多项用途产品出口的共同行动的规定;

(6). 这个法案没有就信息机密性服务的提供达成一致,因为它们是由国家的公共政策和公共安全提供的;

(7). 内部市场保证人员的自由流动,以致欧盟成员国的人民越来越多需要和其他成员国的人民交流和交易而不是仅仅和本国人民交易;电子交易的可得性极大的方便了这方面的交流;

(8). 因特网技术的快速发展和国际化使能电子化认证数据的各种技术和服务成为必须;

(9). 电子签名会在极大范围内被利用,会产生与之相关的很多新服务和产品;对那些产品和服务的定义不能仅仅局限于证书的颁发和管理,而是应该包含其他辅助电子签名的服务和产品,比如与电子签名有关的注册服务,时间印记服务,目录服务,计算和咨询服务;

(10). 内部市场使证书服务提供者有能力发展有助于增加他们竞争力的跨国界活动,因此可以提供给企业和消费者新的在安全方法下的交换信息和开展贸易机会,而不受国界限制;为了刺激整个联盟中开放网络的证书服务,证书提供者应该可以自由提供服务而不需要有之前的授权;之前的授权不仅仅意味着证书提供者需要从国家权力机关获得的关于获准提供证书的允许,还意味着其他有相同效用的措施;

(11). 为了改善服务提供水平的自愿认证模式可能会为证书提供者提供适合的框架来发展网络所要求的信任,安全和质量的进一步服务;这样的模式应该鼓励证书提供者之间良性的发展;证书提供者应该可以自由选择那些模式并从中获利;

(12). 证书可以由公共机关和法律或自然人提供,只要他们是按照法律设立的;但是成员国不应该阻碍证书提供者在自愿认证模式之外操作;认证模式不能减少证书服务的竞争力;

(13). 成员国可以自行决定如何确保对本法案的遵守的监管;本法案不排除私人基础上建立的监管系统的设立;本法案不迫使证书提供者加入任何可实施的认证模式;

(14). 在商务和消费者之间保持平衡是至关重要的;

(15). 附录三是有关为保证高级电子签名的功能的安全创造签名工具的要求;它没有包含那些工具运行的整个系统;内部网络的正常运行需要委员会和成员国快速行动认证机关负责安全签名工具与附录三的一致;为了达到市场的需求,一致性评估必须及时和有效;

(16). 本法案确立欧盟之间电子签名的使用和法律效力;在一个系统中使用的数字签名不仅仅需要一个基于在参与者之间达成的私法下的自愿协议;有关在什么情况和状况下成员国承认和接受电子签名的数据的自由,应由成员国按各自法律被采用和遵守;在那些系统中运用的电子签名的法律效力和它们在法律程序中的效力应该被认同;

(17). 本法案不寻求调和各国国家法律有关合同法,特别是合同建立和实施或者其他有关签名的非合同的建立的条约的不同;因为与电子签名法律效力有关的条款应该没有偏见的看待存在与国家法律中的关于合同终止或是判定合同何时终止条款中的不同的形式要求;

(18). 签名创造数据的保存和复制会对电子签名的法律效用产生威胁;

(19). 电子签名会被用于国家和欧盟公共机关和欧盟行政管理机会之间的交流,还有欧盟人民的交流中,比如公共购买,税收,公共安全,健康和司法系统;

(20). 有关电子签名法律效用的一致性标准会保持欧盟成员国中间的法律框架的一致性;国家法律为手写签名设立了不同的要求;然而证书可以用来证实用电子方式签名的人的身份;基于有资格的高级电子签名以更高级别的安全为目标;只有当对于手写签名的所有要求都履行后,由安全签名创造工具产生的基于有资格的高级电子签名才在法律上认为是可以等同于手写签名;

(21). 为了电子授权的普遍承认,必须保证所有成员国均以电子签名作为法律程序上的证据;电子签名的法律效用应该基于客观标准而不被联系于证书服务提供者的权力;国家法律控制电子文档和电子签名可以运用的范围;本法案对国家法庭对于对本法案的遵从的裁决的偏移,也不影响国家有关自由司法证据考虑的规定;

(22). 为大众提供证书的证书服务提供者可以根据国家规定在义务方面作修改;

(23). 国际电子商务的发展要求跨国界的包括第三世界国家的安排;为了保证国际协作,涉及第三世界国家的关于相互认可证书服务公共规定的合约应该是有利的;

(24). 为了增加用户对电子交易和电子商务的信心,证书提供者必须遵守数据保护机制和个人隐私的规定;

(25). 证书中的假名的提供不能阻止成员国按照欧盟或者是本国法律要求个人提供身份认证;

(26). 对本法案实施的必要措施应与委员会1999年6月28日的决定1999/468/EC规定的由委员会授予的实施权力机构的程序一致;

(27). 颁布后的两年委员会会采取对本法案的执行进行检查,以保证技术的进步或法律环境的变化没有造成达成本法案目标的障碍;相关技术领域必须被检查,一个相关正式报告必须提交到欧盟和欧盟议会;

(28). 基于合约15条有关比例和下属关系的原则,为提供电子签名和相关服务创造一致的法律框架的目标不能仅由成员国达到,而要通过整个欧盟才能更好的做到;本法案不会超出为了达到那个目标的而制定的必要措施,

采用本法案


第一条 范围

本法案的目标是推动电子签名和促进它们的法律效力和认同性。本法案建立了电子签名的框架和一些相关的证书服务来保证内部市场的正常运行。

本法案不包括全部有关合同或其他欧盟或是国家法律规定的法律义务的结论和有效性,也不影响有关文档使用的欧盟和国家的规定和限制。


第二条 定义

为了本法案的目的:

1. “电子签名”是指电子形式的附于或逻辑上与其他电子数据关联数据,起到身份鉴定和验证的作用;

2. “高级电子签名”是指达到以下要求的电子签名:

① 签名人使用唯一签名且仅能由签名人使用;

② 可以通过它确认签名人;

③ 签名的创造使签名仅仅能由签名人控制;

④ 签名以可以追踪数据变化的形式与数据关联;

3. “签名人”是指拥有签名创造工具的代表自己或代表其他法定自然人或其他的实体的人;

4. “签名创造数据”是指唯一的数据,诸如密码或者个人的私密密钥,这些都被签名人用来产生电子签名;

5. “签名创造工具”是指用于执行签名创造数据的配置软件或硬件;

6. “安全签名创造工具”是指符合附录三所有要求的签名创造工具;

7. “签名认证数据”是指诸如密码或公钥等用于验证电子签名的数据;

8. “签名认证工具”是指用于执行签名认证数据的配置软件或硬件;

9. “证书”是指将签名认证数据与一个特定的人联系起来并确认他身份的电子证明;

10. “资格证书”是指符合附录一所有要求并且是由符合附录二的所有要求的证书服务提供者提供的证书;

11. “证书服务提供者”是指发行证书或提供其他与电子签名有关的服务的实体或法人或自然人;

12. “电子签名产品”是指证书提供者用于提供电子签名服务或用于创造或确认电子签名的硬件或软件;

13. “自愿认证”是指任何由认证服务供应商或是从事经营和监管遵守该权利和义务的实体所要求的许可,这些许可由证书服务提供者的请求开始,而证书提供者在得到这些机构的允许之前,不能行使这些权力;


第三条 市场准入

1. 成员国不应该让证书服务提供商享受优先授权;

2. 对第一段的规定没有异议,成员国可以引用或维持用于提高证书服务提供水平的自愿认证模式。所有与模式有关的情况必须是客观的,透明的,成比例的和非差别化的。成员国可以不限制符合本法案要求的合格证书服务提供者的数量。

3. 每个成员国应该保证建立一个合适的系统以便对在它的领域内建立和向公众发行合格证书的认证服务提供者进行监管;

4. 符合附录三要求的安全证书创造工具的一致性应该由成员国指派的合适公共或个人决定。委员会应依照第九条的规定建立成员国是否应指派一个机构的标准;

5. 委员会可以按照第九条的规定在欧盟官方期刊中建立和发行参考数目和普遍承认的电子签名产品标准。只要电子签名产品符合那些标准,成员国应该假定那些产品符合附录二第f点和附录三;

6. 鉴于附录四的建议与顾客的利益,安全签名认证成员国与委员会应该协作来促进签名认证工具的发展和使用;

7. 成员国可以在还有其他要求的公共机构利用电子签名。那些要求应客观,透明,成比例和非差异化,而且应仅与具体的应用相关联。那些要求不能对跨国界的服务形成障碍。


第四条 内部市场原则

1. 每个成员国应该实行其国家的规定,这些规定对其国界内的证书服务提供者及其提供的服务依照本法案监管。成员国可以不限制本法案中的其他成员国在本国内提供验证服务。

2. 成员国应该保证符合本法案的电子签名产品能在欧盟内部市场自由流通。


第五条 电子签名的法律效力

1. 成员国应该保证基于资格证书的由安全签名创造工具创造的高级电子签名:

(a) 满足有关电子形式数据签名的法律要求,就像手写签名满足纸质数据的要求一样;且

(b) 在法律程序中是可以被接受的。

2. 成员国应该保证电子签名具有不可否认的法律效力且能够在法律程序中作为证据只要它是:

--电子形式的;

--不是基于资格证书的;

--不是基于合格证书服务提供者发行的资格证书的;

--不是由安全签名创造工具创造的。


第六条 责任

1. 成员国最低要保证证书服务提供者发行证书使之作为一个公共资格证书或向公众保证一个证书的有效性,该提供商要对任何有理由信赖证书的实体或法人或自然人付有责任:

(a) 在发行时对资格证书包含的信息的准确性,和对证书细节中有关资格证书的指示的事实负责;

(b) 在证书发行时保证,资格证书中确认的签名人持有的签名创造数据与证书中给出的或确定的签名认证数据是一致的;

(c) 保证签名创造数据和签名确认数据可以以互补的方式运用,在证书服务提供者产生它们二者的情况下;

除非证书服务提供者证明他没有粗心大意。

2. 成员国最低要保证向公众发行了作为资格认证证书的证书服务提供者对任何有理由信任证书的实体,法人或自然人对证书撤销的失败负责任,除非证书服务提供者证明他没有粗心大意;

3. 成员国应该保证证书服务提供者可以在证书的运用上指出资格证书的局限,如果第三方可以认识到这个局限。证书提供者不应该对因超过局限的资格证书而产生的损失负责;

4. 成员国应该保证证书服务提供者可以指出资格证书在价值交易使用中的限制,如果第三方可以认识到这个限制。

证书服务提供者不应该对超出最高限制而产生的损失负责。

5. 第一段和第四段的规定不应该与欧盟议会1993年4月5日的有关消费者不公平合同的法案93/13/EEC有差异。


第七条 国际问题

1. 成员国应该保证第三国向公众发行的资格证书在联盟中能被证书服务提供者承认在法律上与联盟内部的证书等同,如果:

(a) 证书服务提供者完成本法案的要求以及已经在联盟建立的一个自愿认证模式下被接受;或者

(b) 证书服务提供者建立在一个已经实现了法规所有要求的联盟内;或者

(c) 证书或证书服务提供者在是联盟内部国家于第三国或国际组织双边或者多边协议下的被承认的。

2. 为了推动和第三世界国家跨国界的证书服务和对第三世界国家的高级电子签名的法律认证,委员会应该在适当的地方提议签订对证书服务努力达成标准的有效执行和国际化认证服务的合约。特别地,在必需的地方,应该向欧盟议会提交建议为了与第三世界国家和国际组织的双边或多边合约的合适的要求。欧盟议会的决议应该让符合要求的多数决定。

3. 当有关成员国进入第三世界国家市场遇到困难的时候,可以向欧盟议会申请适当的权利以便在第三世界国家内进行商务谈判。欧盟议会应该让符合要求的大多数决定。

按本法案采取的措施不应偏离欧盟的义务和成员国之间的国际协议。


第八条 数据保护

1. 成员国应该保证证书服务提供者和国家对1995年10月24日95/46/EC欧盟和欧洲议会法案关于认证和监督关于保护个人数据的获得和自由流动的条约负责任。

2. 成员国应该保证向公众发行证书的证书服务提供者为了发行和维持证书仅可以直接从数据主体那里获取数据,或在数据主体同意后获得数据。不可以因其他原因不经过数据主体的同意收集和拥有数据。

3. 不和自然法赋予假名的权力相偏离,成员国应该不妨碍证书服务提供者在证书中使用假名而非签名人的真名。


第九条 委员会

1. “电子签名委员会”辅佐委任这些事宜,在下文中简称为“委员会”。

2. 当参考本章时,应该遵从1999/468/EC法案,并参考第八条的规定。

1999/468/EC法案第四章(3)中应该将时间期限设定为3个月。

3. 委员会采取其拥有的程序规则。


第十条 委员会的责任

委员会应该按照第9(2)条中的程序,阐明本法案附录中的要求,第3(4)条的标准和按照第3(5)条建立和发行的电子签名产品的普遍接受的标准。


第十一条 通告

1. 成员国应该通知委员会和其他成员国以下事宜:

(a) 关于国家自愿认证模式的信息,包括按照第3(7)条的其他要求;

(b) 认证和监管负责的国家机构的名称和地址,以及第3(4)条涉及的机构的名称和地址;

(c) 所有国家证书服务提供者的名称和地址。

2. 任何补充第一章以及涉及第一章的变化应该由成员国尽快通报。


第十二条 检查

1. 委员会应该检查本法案的实施,其后在2003年7月19号之前汇报给欧盟和欧盟议会。

2. 检查应该在内部对到技术,市场和法律发展进行评估,决定本法案是否应修正。报告应该包含一个基于所获经验的关于和谐性方面的评估报告。报告应该在合适的地方配合加上法律提案。


第十三条 执行

1. 成员国应该合力在2001年7月19日之前将与本法案相适应的法律,规则和管理规定付诸实施。在此过程中他们应该与委员会保持密切联系。

当成员国采取这些措施时,他们应该包含对本法案的参考或应该于他们的正式官方出版物保持一致。成员国应该规定有关参考的方法。

2. 成员国应该于委员会交流讨论本国国内法律与法案有交叠的规定。


第十四条 开始执行

本法案自在欧盟官方期刊中公布日期开始执行。


第十五条 受众

本法案的受众为成员国。


于1999年12月13日在布鲁赛尔颁布。



欧盟 欧洲议会

主席 主席

N. FONTAINE S. HASSI



附录一 资格证书的要求


资格证书必须包含:

(a) 指出证书是作为资格证书发行的;

(b) 指明证书服务提供者和其建立所在的国家;

(c) 必须指明签名人或者假名的名称;

(d) 根据证书的使用目的,规定签名人的相关属性;

(e) 签名人控制的相关签名认证数据;

(f) 指明证书有效期的起止日期;

(g) 证书的验证码;

(h) 证书服务提供者的高级电子证书;

(i) 可能的证书使用上的限制;

(j) 可能的证书使用中价值交易的限制;



附录二 对于发行资格证书的证书服务提供者的要求


证书服务提供者必须:

(a) 证明与提供证书服务所必需的可信度;

(b) 保证快捷安全的提供服务和快捷安全的撤销服务;

(c) 保证正确标明证书发行和撤销的日期;

(d) 采用与自然法律相一致的合适方式验证发行资格证书的人的身份,可能的话,和一些具体属性;

(e) 雇佣对于所提供的服务必要的拥有专业知识,经验和资格的人士,特别是在电子签名有专业才能和熟悉适当安全程序的管理层人才;他们还应该实施与公认的标准相一致的适当的管理和行政措施;

(f) 使用受保护抗修改和保证技术和密码安全并由它们支持的程序的可信赖的系统和程序;

(g) 在证书服务提供者产生签名创造数据和担保机密性的情况下采取措施防止伪造签名;

(h) 保持充足的财务来源以满足与本法案要求,特别是对损失的义务风险,例如:购买保险;

(i) 在合理的时间期限内记录资格证书的有关所有信息,特别是为了法律程序提供证书的证据。那些记录可以是电子形式的;

(j) 不保存或复制由证书服务提供者提供关键管理服务的人的证书创造工具;

(k) 在与一个寻求证书来支持电子签名的人签订合同之前必须用可持久的交流方式告知他证书使用的准备条件和情况,包括证书使用的任何限制,自愿认证模式的存在和处理投诉和争议的程序。这些信息,可以电子传送,但是必须有手写版而且由对方能懂的语言书写。依赖证书的第三方可以得到这些信息的相关部分。

(l) 使用可信系统采用不同方式存储证书以便: 

  --只有授权的人才能记录和修改,

  --信息授权可以被检验,

  --只有在证书持有者同意的情况下证书才可以被公开收回修改;

  --操作者了解任何有关安全的技术上的改变。



附录三 安全证书创造工具要求


1. 安全签名创造工具必须通过合适的技术和程序方法最少保证:

(a) 为产生签名使用的签名创造数据在实践中只能产生一次,且它们的安全是有保证的;

(b) 为产生签名使用的签名创造数据被保护而不能被其他人获得,签名通过现在可得的技术保证不被伪造;

(c) 为产生签名使用的签名创造数据在法律上受到不让其他人使用的保护。

2. 安全签名创造工具不能改变被签名的数据,并且防止签名人在签名程序前接触那些数据。



附录四 安全签名验证的建议


在签名验证过程中,必须以一定的合理程度保证:

(a) 验证签名的数据与验证者使用的数据一致;

(b) 签名可以被验证且验证结果可以被正确显示;

(c) 验证者在必要时可以可靠地建立已签名的数据的内容;

(d) 验证时要求的证书授权和有效性是经过可靠验证的;

(e) 验证和签名人的身份可以正确显示;

(f) 假名的使用是明确指出的;

(g) 任何与安全相关的改变是可探测的。

来源:对外经贸大学部分教师翻译 时间:2008-10-13

取自“https://www.zwbk2009.com/index.php?title=欧盟《电子签名指令》&oldid=254905