下载掌阅APP,畅读海量书库
立即打开
一、简介
全球电子商务从1999年的640亿美元增长到2015年的25万亿美元。想要维持这种增长无疑需要有对网上环境信任感的支持, 而网上信任的一个重要组成部分是能够以可靠方式识别每一方的身份,特别是在没有任何事先面对面互动的情况下。多年来, 人们就网上身份识别的需要提出了各种解决方案, 由此造成用于管理身份的方法、技术和设备激增。在全球范围内设置处理身份管理所涉及的法律, 不仅有可能将这些不同的解决方案联系起来, 而且可以不论私人或政府运作, 促进身份管理系统之间的互操作性。
目前, 在更广泛地使用身份管理和信任服务方面存在若干障碍。其中一些是法律性质的障碍, 包括: (1) 缺乏赋予身份管理和信任服务法律效力的立法; (2) 针对身份管理的法律和做法不同, 其中包括基于特定技术要求的法律; (3) 法规要求为进行网上商业交易提供纸质身份识别文件; (4) 缺乏对身份管理和信任服务进行跨境法律承认的机制。正因此, 第四工作组的主要目标是通过制定统一的法律规则以提高效率, 降低交易成本, 提高电子交易的安全性和法律确定性, 以及弥合数字鸿沟。
贸法会2015年第48届会议请秘书处就身份管理和信任服务所涉法律问题进行了准备工作, 包括主办专题讨论会和专家组会议,以便在完成电子可转让记录的工作后, 以提交贸法会审议的一项提案 ( A/CN. 9/854) 为基础在工作组级别展开讨论。贸法会2016 年第49届会议收到了秘书处《关于与身份管理和信任服务有关的法律问题的说明》 ( A/CN. 9/891) , 其中概述了2016 年4 月21 日和22日在维也纳举行的贸法会关于身份管理和信任服务所涉法律问题专题讨论会期间的讨论情况以及其他补充材料。在该届会议上, 贸法会一致认为, 身份管理和信任服务专题以及云计算专题都应保留在工作组工作议程上。贸法会确认工作组可在完成《电子可转让记录示范法》的工作之后着手进行关于这些专题的工作。
在第四工作组第54届会议上, 工作组讨论了与身份管理和信任服务有关的法律问题以及云计算所涉合同问题。工作组一致认为,其今后在身份管理和信任服务方面的工作应当限于为商业目的使用身份管理系统, 这一工作不应考虑身份管理服务供应商的私营或公营性质。工作组还一致认为, 鉴于身份管理和信任服务这两者之间的关系密切, 应当同时对这两方面的相关术语加以确定。此外, 工作组在身份管理方面工作的侧重点应当是多方身份系统以及自然人和法人, 但不排除酌情对两方身份系统以及实体对象和数字对象进行审议。同时, 工作组还应当为继续开展工作而进一步明确项目目标, 具体指明项目范围, 确定所适用的一般原则, 并拟订必要的定义。
自2017年至2021年, 第四工作组通过了其第55届至第61届共七届工作报告, 对与身份管理和信任服务有关的法律问题、云计算所涉合同问题进行了讨论, 并公布且审议了关于使用和跨境承认身份管理和信任服务的条文草案。
二、谈判围绕的主要问题
第四工作组关于身份管理和信任服务所涉法律问题的工作主要围绕以下几方面开展: 身份管理和信任服务提供商的核证、保证级别、赔偿责任、机构合作机制、透明度、数据留存、服务提供商监管, 以及信任服务的具体问题。具体而言包括:
1. 核证
核证包括自我核证、资格鉴定和独立审计, 它有助于建立对身份管理提供商和信任服务提供商的信任。核证形式的选择可能会受到所涉服务的类型、成本以及所寻求保证级别的影响。工作组需要审议核证的存在是否与某些法律效力关联, 以及核证的使用是强制性的还是选择性的。
2. 保证级别
保证级别可从身份管理、信任服务两方面来看。保证级别是以所用流程来衡量身份声明可靠性的标准。公共实体和私营实体对保证级别有不同的定义, 这些定义会根据技术和业务流程的发展变化定期更新。鉴于采用了技术中性原则, 各实体只考虑以技术中性方式制定的保证级别。例如, 美国国家标准和技术研究所确定了三种不同级别的身份相关保证: 身份保证级别 ( IAL) 、验证器保证级别( AAL) 和联合保证级别 ( FAL) 。 IAL是指身份验证过程的牢固性,以自信地确定个人的身份; AAL指认证过程本身的牢固性以及认证元素与特定个人的身份识别特征之间的绑定; FAL指在联合环境中使用断言协议来传递认证信息并将信息归属于依赖方。工作组可以进一步讨论保证级别概念是否应当用于满足法律要求或确定法律效力的目的。若是, 贸法会还可以特别讨论保证级别与法律承认要求和机制之间的关系。此外, 关于信任服务的一个根本问题是, 保证级别概念是否也适用于信任服务。因此, 工作组也应当考虑这一问题, 如果适用, 又应当采用何种方式。
3. 赔偿责任
适用的赔偿责任制度可能对身份管理与信任服务用于商业和非商业目的产生重大影响。工作组已经确定了身份管理和信任服务参与者责任的相关问题, 即确认了应承担赔偿责任的实体 (发证商、提供商、其他当事方)、公共实体的特殊赔偿责任制度、对遵守预定要求的当事方限制赔偿责任的可能性、限制赔偿责任的法定机制等。
4. 机构合作机制
机构合作机制可能有助于实现身份管理系统和信任服务之间的法律承认和互操作性。这种合作机制可以是私人性质的, 也可以是公共性质的。
5. 透明度原则
工作组确定透明度原则与今后关于身份管理和信任服务的讨论有关。为此, 它强调与该原则相关的两项义务: 披露提供了哪些身份管理和信任服务及其质量的义务、通知泄密事件的义务。
6. 数据留存
关于数据留存问题, 工作组强调了跨境贸易数据留存制度协调和互操作的重要性。为此, 工作组着重指出了数据保护、数据存储和归档两方面的问题。
7. 服务提供商监管
如果工作组确定着眼点是身份管理方案和信任服务系统, 那么建立一个监管机构对确立服务提供商和所提供服务的信任是必要的。不过, 设立这样一个机构会带来若干行政和财政方面的影响。但如果使用替代或补充机制, 例如第三方核证, 则可能有助于实现服务提供商监管工作所追求的目标, 同时又可降低相关成本。
8. 信任服务
如何在法律上处理信任服务的问题也颇具挑战性。一个基本问题是, 每个信任服务都是不同的, 因此需要考虑的是一套不同的问题。此外, 还需要考虑信任服务的法律处理办法, 考虑应基于“信任服务”共同定义的信任服务敞开式清单, 还是应基于提供适用于所有信任服务的共同规则和适用于其中每项信任服务的具体规则。
三、草案基本内容和主要争议问题
(一) 基本内容
该条文草案的一般原则包括不歧视使用电子手段、功能等同、技术中性和当事人意思自治。草案共分为四章, 第一章“总则”对各术语的定义、适用范围等做出了界定; 第二章“身份管理”规定了对身份管理的法律承认、身份管理服务提供人的义务、身份管理服务提供人在发生数据泄露情况下的义务、订户的义务、使用身份管理对个人进行身份识别、身份管理系统、身份管理服务提供人的赔偿责任等方面的问题; 第三章“信任服务”规定了信任服务的法律承认、信任服务提供人的义务、订户的义务、电子签字、电子印章、电子时间戳、信任服务提供人的赔偿责任等问题; 第四章“国际方面”主要针对身份管理和信任服务的跨境承认以及合作做出了相关规定。
(二) 主要争议问题
从工作组收集的各国和国际组织提交的评论意见来看, 争议问题主要集中在以下几方面: 条文草案的目的和宗旨、需要“绘制”现有可适用法律概貌图、“电子身份识别” “身份核实”和“信任服务”的概念、包纳基于多方合同的身份管理系统、与政府运营的身份管理系统的互动, 以及架构的对待办法。
1. 条文草案的目的和宗旨
对于条文草案的目的和宗旨, 工作组成员的一种意见认为, 条文草案旨在从法律上承认身份管理和信任服务的使用。另一种意见认为, 条文草案旨在对提供身份管理和信任服务加以规范。条文草案第5条、第13条对电子身份识别和提供信任服务给予“法律上的承认”, 禁止在电子身份识别或提供信任服务时区别对待电子手段的使用; 第9条、第16条至第22 条赋予电子身份识别和提供信任服务“法律效力” ; 第26条对在境外运营的身份管理系统和提供的信任服务给予“跨境承认”。此外, 条文草案还规定了身份管理服务提供人和信任服务提供人在提供服务和与订户互动方面的义务、订户在数据泄露的情况下的义务。
因此, 条文草案确实对身份管理和提供信任服务进行了规范,但程度有限, 并没有为规范身份管理和信任服务确立全面的制度。一方面, 这种规范是间接的, 例如通过规定相关身份管理系统或信任服务的规则是确定可靠性的相关因素, 草案第10 条和第23 条对服务提供人可能希望用来产生法律效力的身份管理系统和信任服务的设计有着间接影响。另一方面, 这种规范也是直接的, 草案对服务提供人和订户规定了义务。
2. “电子身份识别” “身份核实”和“信任服务”的概念
工作组收集的评论意见中对“电子身份识别”的概念提出了两个问题, 一是“电子身份识别”这一术语可能被误以为是指身份管理的全过程, 而不是按照草案中的定义, 是基于所出示身份凭证识别的人与身份之间的绑定的验证或确认所构成的各个环节; 二是草案中“电子身份识别”的定义与一些身份管理系统和法律制度中所理解的“认证”概念吻合。
对于“身份核实”, 评论意见中提出该术语可能被误以为是验证或确认被识别的人与身份之间的绑定, 即“电子身份识别”, 而不是指在身份管理过程较早的注册阶段的程序。草案中的“身份核实”是指, 身份管理服务提供人 (或身份管理系统的其他参与方) 收集订户的属性, 如个人数据, 并在签发身份凭证供订户用于电子身份识别之前, 对照诸如民事登记和生命统计系统之类的可信来源核对这些属性。实际上“身份核实”是国际电联采用的术语。
为了避免误解, 工作组可能需审议是否需要在条文草案中单独列出身份核实这一项, 如果需要, 是否应使用不同的术语, 如“身份核实”可改为“注册”。
对于“信任服务”概念提出的问题是, 给予“信任服务”法律承认和法律效力的条文草案, 即第13条、第16条至第22条是否应当转而关注信任服务的产品。本质上, 信任服务的产品是信任服务提供人提供的用以验证或确认其他数据的特定品质的数据电文。因此, 工作组可能需要审议, 是否应当重拟“信任服务”的定义以及第13条中给予信任服务法律承认的条文草案, 以侧重于信任服务的产品, 即在提供信任服务的过程中生成的数据电文。
3. 包纳基于多方合同的身份管理系统
所提交的评论意见表明, 条文草案在如何包纳基于多方合同的身份管理系统方面存在一些不确定性。因为这些系统涉及注册代理人、属性提供人和认证提供人等参与方, 不同的参与方在一个合同网络之下履行不同职能。包纳基于多方合同的身份管理系统带来两个截然不同但相互关联的问题: 第一个问题涉及这些系统的合约基础和当事人意思自治原则。第二个问题涉及多方参与这些系统, 并以条文草案目的而确定适当的身份管理服务提供人。
关于第一个问题, 条文草案确立了一系列权利和义务, 而根据身份管理系统的管辖规则, 这些权利和义务可能与身份管理系统各参与方的权利和义务不一致, 但这些规则在各参与方之间的合同中是具有法律地位的。条款草案还确立了一种可能 (在赔偿、免责声明和责任上限方面), 即与根据身份管理系统管辖规则建立的赔偿责任制度不一致的赔偿责任制度。从表面上看, 在出现这种不一致时,以条文草案为准。与《电子签字示范法》不同的是, 条文草案没有赋予当事人 (如身份管理系统的参与方) 相互通过合同改变条款效力的权利, 这与身份管理的监管方法是一致的。
工作组可能需要澄清, 条文草案是否应当具有强制适用性, 或者是否应当赋予当事人在当事人意思自治的基础上以合同形式退出条款, 转而适用相关身份管理系统的规则的权利。
关于第二个问题, 条文草案是以单数提及“身份管理服务提供人”的。虽然条文草案中有些条文对身份管理服务提供人的提及可以解释为若干提供人, 但其他条文, 特别是第6 条, 是设想由身份管理服务的单一提供人履行一系列职能的, 包括身份核实、身份凭证管理以及电子身份识别。工作组可能需要审议, 是否需要对条文草案作出调整, 以承认可由多个当事人在一个身份管理系统内负责履行职能。所提交的评论意见中提出的一个备选案文是, 确定身份管理服务提供人是进行电子身份识别的人 (即核实或确认被识别的人与身份之间的绑定的人), 同时修改第6条, 要求该人“确保”其中所列各项职能得到履行, 从而允许由身份管理服务提供人以外的人履行这些职能。如果工作组希望考虑这一备选案文, 工作组还可能需要审议, 根据第12条的备选案文C, 身份管理服务提供人将如何对另一参与方未能履行其职能承担责任, 以及身份管理服务提供人能否根据身份管理系统的管辖规则抵消其针对该另一参与方的赔偿责任。
4. 与政府运营的身份管理系统的互动
世界各国都建立了身份管理系统, 以协助个人、公司与政府服务机构、私营部门进行互动。这些由政府运营的身份管理系统有时是通过立法建立的, 但并非总是如此。因此提交的一些评论意见表达出对于条文草案如何与政府运营的身份管理系统互动的关切。具体而言, 草案对政府运营的身份管理系统的规定涉及如下几点:
第一, 政府机构可以作为商业当事方或者服务提供方, 在商业活动以及与贸易有关的服务中使用身份管理系统和信任服务。
第二, 不强制性要求政府机构使用身份管理系统或信任服务,有关政府运营的身份管理系统的立法如果与条文草案有任何不一致之处, 以立法为准。
第三, 不涉及身份管理系统的互操作性或凭证的可移植性问题。具体而言, 条文草案既没有赋予其他身份管理系统的参与方使用由政府运营的身份管理系统签发的身份凭证的任何权利 (政府运营的身份管理系统可能受现行法律的限制, 包括与隐私和数据保护有关的法律), 也没有赋予其进入政府运营的身份管理系统使用这些身份凭证进行电子身份识别的任何权利。
第四, 对于源自政府运营的数据库的“属性”或“身份”, 或者对于使用由政府运营的身份管理系统签发的身份凭证的电子身份识别 (但此种身份管理系统系根据草案第11 条指定的除外) , 条文草案并没有在法律上作特别处理。