身份管理的几个法律问题
身份管理是电子商务和其他网上活动的一个十分重要的问题。因为只有验证当事方的身份才能明确交易的主体,所以身份管理是开展电子商务的前提。2017年4月24日至28日联合国国际贸易法委员会电子商务工作组召开第55届会议,正式开始研究制订身份管理的法律规则问题。
身份管理涉及以下的几个法律问题:
一、法律承认
法律承认(Legal Recognition)是指对认证的身份信息法律承认其效力。
在传统的身份识别(identification)与认证(authentication)过程中:最具代表性的例子就是我们使用身份证来验证我们的身份。首先在出示身份证时,使对方能依靠身份证上的信息识别我们的身份,随后通过我们的出现(无论是物理存在还是远程视讯),使对方对身份证上的信息加以核对,例如通过照片与真人的比对,从而确定出示身份证的人是否就是身份证上所声称的人,后一过程也即认证过程。同理,签字也是通过签署的字迹来识别签名人的身份随后再通过与真迹的比对来确认是否是由本人所签署。在电子商务中的身份识别,我们可以采用多种方式。其中,与签名具有同样效力的,是“可靠的电子签名”。我国《电子签名法》第13条,只有满足以下四个要件,才被视为是可靠的电子签名:①电子签名制作数据用于电子签名时,属于电子签名人专有;②签署时电子签名制作数据仅由电子签名人控制;③签署后对电子签名的任何改动能够被发现;④签署后对数据电文内容和形式的任何改动能够被发现。同时,当事人也可将满足其约定的电子签名视为可靠的电子签名。
只有可靠的电子签名才被视为是传统纸质签名的等同物,具有同等的法律效力。对于电子邮箱这种情况,针对在登录电子邮箱过程中所使用的身份管理技术,情况又有所不同。例如,在我们登录qq邮箱时,如果使用独立式身份管理模式,则可以通过在腾讯注册的账号来识别我们的身份,随后通过与密码的匹配来进行认证。其中腾讯公司即参与账号与密码的分发、管理识别和认证,同时也是信赖这一身份信息的公司。此外,我们还可以使用渐趋主流的联盟式身份管理模式。在这一模式中,可借由一第三方向腾讯公司提供已验证的身份信息,如我们已在阿里巴巴公司旗下的支付宝识别和认证过身份,此时只需其向qq邮箱授权获取关于我的身份信息,即可登录。这一过程中,账号与密码的分发、管理识别和认证是由阿里巴巴这一第三方进行的。用户可通过这类单点登录的模式省却了大量记忆和保管账号密码的麻烦。
通过以上例子可看出,无论是在传统环境中还是在电子环境中,认可一项身份信息的法律效力通常有以下两种来源,一是当事人间的意思自治,二是法律的直接规定。尤其对后一种情形我们应当思考满足什么样的条件才能获得法律上的承认?正如对可靠的电子签名我国法律规定了四项需满足的要件,那么对于诸如联盟式身份管理模式中流通的身份凭证是否也需满足一定的标准?
二、确定身份信息归属一个主体
正如上面所提到的独立式身份管理模式的特点,每个公司都需要自行建立自己的身份管理系统,对用户的各类身份信息进行管理与维护,给中小型公司增添了极大地负担,同时对于用户而言,准确的记忆对应不同公司的账号密码或其他类型的身份凭证也已构成一大困扰。因此随着电子商务的发展,身份信息由一第三方身份提供方提供正逐渐成为主流,也即联盟式身份管理模式的兴起。例如专门从事身份管理的电子认证中心(Certification Authority,简称CA)和上文所提的电子邮箱。确定身份信息归属一个主体(Attribution of Identity Information to a Subject)(以便纳入身份证书)的一个根本问题是在什么情况下确定证书上的身份数据归属一个特定主体。因而法律可以考虑对于收集、管理身份信息的第三方身份提供方,其是否应当确保其所颁发的凭证中所含的身份信息对应于凭证将要颁发给的主体,以及在依赖方要识别和认证主体的身份信息时,其如何判定出示凭证的主体就是凭证中所列明的实体。
另一个值得注意的问题是使用假名(pseudonym)的问题。在一些特定交易类型的电子环境中,无论是出于隐私或是其他目的,用户可能并不倾向于使用自己的真实身份。因而在适当的情形下,使用匿名或假名身份应当是被许可的。对于身份管理而言,只需识别存在一个主体即可,且识别出的该主体的有关信息可以使合同在不揭露其真实身份的情况下得以履行。例如,我们在淘宝网进行网购,可以自由选择昵称与商家进行交流,也可以匿名身份下单。在合同的履行过程中,商品也无须直接交付买方,可由他人代收或于指定地点自取。直到合同履行完毕,买方支付货款,卖方都无须获取买方的真实身份信息。当然如果在其他安全风险较高的环境中,法律应考虑在何种情形下对真实身份信息的获取与披露应构成当事人的一项义务。
三、依赖方依赖行为的后果
对身份管理系统的所有参与方而言,一个关键问题是,在什么情况下,一方当事人依赖一份身份信息是适当且合理的。一方当事人合理依赖的后果是什么?包括依赖了一份错误的身份信息时后果为何。通常情况下而言,当事人间意思自治是解决此类问题的最佳方法,当事人可以约定使用了何种程序的身份管理系统所产生的身份证书是可信的,法律只做最低程度的兜底规定,包括一系列的推定规则。信赖方对身份信息的信赖只需达到一般程度的注意即可,只要表面上符合约定的规定的条件,信赖方即有理由依该信息行事。当一份错误的身份信息被信赖时,应考虑到导致这一情况的各种因素,合理的分配责任。
四、赔偿责任/风险分配
有关赔偿责任和风险分担的问题是影响推广网络身份管理的最主要障碍之一。对于风险的分配,出于当前各种身份管理技术还在不断涌现及发展之中,明确的风险界定可能是比较困难的。法律不应以某种特定的技术模式来构造风险分配的模型,因为这可能会冲击技术中立原则。但同样的过于模糊、抽象的法律规定也不利于身份系统参与方合理评估自己的利益得失,同样会阻碍其参与的热情。
对身份信息提供方而言,他们担心信赖方可能因自身所颁发的身份信息有误而蒙受巨大损失,从而要为此承担责任。对待验证身份的当事方而言,他们担心他们所提供的信息可能会违反法律规定,例如未能正确提交身份信息从而需承担责任。对依赖方而言,他们担心遭受欺诈或因自身过失未能注意到身份信息的错误时而给予了信赖,从而蒙受损失。
身份管理过程中面临的风险多种多样,有数据的准确性风险、认证风险、运作风险、隐私风险、数据安全风险、责任分配风险以及效力的风险等。对于如何处置以上所述的各类风险,我们需要借助一系列手段,例如,技术上(Technology),使用实践中已被证明成熟可靠的硬件、软件措施可以规避相当的风险,更高安全的身份管理系统将更有吸引力。运作过程上(Process),具有更丰富经验以及口碑更好的公司更懂得如何运作一个身份管理系统,无论是自动运行还是人工操作,他们所发展出的商业模式总是能更好地接受市场的检验,这样的成熟运行方案同样可以减轻一定的风险。在参与方的行为上(Performance),一个能合理管控各类风险的身份管理系统总是能以其系统规则合理的规定各参与方的行为模式,只有保证各参与方能接受并切实按规定规则操作,才能增进系统参与方间的信任。最终,法律将在风险和责任的分配中起决定性作用,这其中也包括当事人间以合同约定的形式自主决定如何分配风险和责任。
对于法律如何分配风险和责任,当前已有欧盟和美国的弗吉尼亚州开启了这方面的探索。欧盟直接在其《电子身份识别及信任服务条例》(Regulation(EU)No 910/2014 of the European Parliament and of the Council of 23 July 2014on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC,以下简称eIDAS条例)中规定,各成员国应对其故意或过失而未能满足于实施规定中所列明的各项技术规格、标准和程序时,以及未能及时确保在线身份信息的有效性时,承担相应的责任。同样身份信息的提供方也受类似规则的支配。条例还进一步澄清具体对责任问题的规定留待各国国内法解决,意即承担什么样的责任、怎样承担责任这类问题,《eIDAS条例》不做具体规定。美国《弗吉尼亚州身份管理法案》(Virginia Electronic Identity Management Act)也规定提供的身份信息应满足一系列标准,只是这类标准的制定是通过一个由技术专家组成的IMSAC委员会(Identity Management Standards Advisory Council)来制定的,是动态的变动过程。对于责任的承担条件,美国《弗吉尼亚州身份管理法案》有着较为明确的规定。应注意其中对于身份信息提供方而言,他们只在因自身出现故意或重大过失的情况下,才对身份信息的错误承担责任,这在一定程度上减轻了身份提供方的风险。对于欧盟和美国弗吉尼亚州赔偿责任和风险分配的规定究竟哪种更为可取,还留待时间的检验。
五、保证级别
许多身份系统界定了“保证级别”(Levels of Assurance),以帮助参与方处理对于身份证书和身份交易可信性的关切。由于电子商务中实现身份管理的技术有很多,不同技术间存有一定差异。有的技术安全性更高,则其提供的身份信息无疑具有更高的可信度。对保证等级进行划分,同样也是出于实践的需要,实践中,针对不同的交易类型,对保证级别的要求各不相同,例如在大额资金交易的过程中,当事人可能需要使用能提供更高保证等级的身份管理系统来验明互相之间的身份,唯有如此才能使当事人间达到与此交易相当的信任程度,交易才能顺利进行。反之,一般的日常小额交易中,当事人可能对身份的真实性关切程度不高,则使用提供相对较低保证等级的身份管理系统即能使当事人间达成交易。因此保证等级的划分对实践有着重要意义。然而对法律来说,究竟如何划分保证等级则成了一大困扰。保证等级的划分主要是技术部门的工作,他们对不同技术间的差异有着较为深刻的理解,能更好地制定不同层级间所需满足的相应标准。法律通常只做抽象的规定。例如,欧盟在其《eIDAS条例》中界定了三个保证级别,分别为“低等”(low)、“高等”(high)和“实质性”(substantial),然而在《eIDAS条例》中,其规定只是在说低等级即意味着提供低等级的保证,高等级提供的是高等级的保证,只是为了做区分而不具有任何的可操作性。实践中具体怎样评估一项技术满足何等程度的保证级别,需结合其配套颁布的实施法案(implementing acts)中规定的具体标准来判断,各成员国内自主制定的标准也不能违背实施法案中规定的标准。美国和其他地方通常使用四个级别的保证。以美国为例,美国国家标准与技术研究院(National Institute of Standards and Technology,简称NSTI)公布了其制定的适用于联邦机构的四层保证级别(Office of Management and Budget levels of assurance):
对于其他机构而言,也可自愿采纳使用这套标准,该标准目前在美国拥有广泛的影响力,美国政府会根据这一标准评估并公布相关机构提供的商品所达到的对应等级。所以对待保证级别的规定,究竟以公共部门为主导还是以市场为主导仍是一个值得思考的问题。
六、跨境相互承认
由于电子交易的跨区域性特点极为显著,一项电子交易极可能跨越不同系统、国家乃至不同法域,不论是在不同身份管理系统之间还是在不同的管辖区域之间,相互承认都非常重要。相互承认能便利在商事活动中使用身份信息以及依赖这些信息。
跨境相互承认可重点考虑以下几个问题:①应当具备什么特点(例如保证级别)才能得到相互承认,法律是否应当介入不同保证等级的对接问题,以什么形式介入,以及是否需要规定应达到的最低限度标准。②如果要求承认证书,应当要求谁承认证书,例如成员国互相间承认还是设立专门的委员会进行协调,一成员国接受的保证级别标准的互认是否当然的适用于其境内的所有实体。③此种承认的目的何在,承认后应当享有哪些便利,恰当的设置互认的后果极为重要,如果这些便利不具备足够的吸引力,可能会在一定程度阻碍当事方参与跨境相互承认的积极性。④“相互承认”的确切含义是什么,例如承认的是哪些部分?是承认整个身份管理系统包括其生成的信息还是针对每个单一的身份信息个别的予以承认。⑤对于何时适用相互承认是否应有限制,如果时间太短,可能出于各国间国情的不同缺乏可行性,同时造成不必要的便利,国家层面的互认遭受阻碍。但如果长时间不予以承认,又会大大减损商业效率,降低当事方参与交易的信心,同时也增加了身份信息泄露的风险。因此应考虑设立一定的缓冲期,例如欧盟eIDAS条例规定12各月的缓冲期,12个月过后,其他国家便有义务对提出互认通知的国家的身份信息予以互认。⑥相互承认是否应当适用于法律实体、设备或数字对象的身份,即承认应在哪一层面进行?目前欧盟的做法是成员国为主体进行互认。然而由于美国奉行对市场的最小化干预,可能会倾向于允许法律实体间自由互认。
在网络身份管理的过程全世界都将面临越来越多的法律难题。目前,美国与欧盟都已经从法律角度开展了广泛的研究,但中国主要还是将研究局限于技术领域。随着对身份管理立法在联合国贸易法委员会的层面展开,我们应加强身份管理法律问题的研究。