电子签名与认证在国际商法中的作用

在电子商务活动中，交易各方可能在整个交易过程中自始至终不见面，交易安全是其关注的核心问题。为了满足交易安全的需求，电子商务系统应当达到以下几点具体要求：①信息的保密性；②交易各方身份的认证；③信息的防抵赖性；④信息的完整性、防篡改性。^[8]如何对交易各方当事人的身份进行认证，如何克服电子信息在传送过程中的易改动性，从而确保电子信息的完整性和可靠性，归根结底，如何保证电子商务的交易安全，消除其因新技术手段而带来的信任危机，是电子签名和电子认证制度产生的主要原因。

（一）电子签名

1.电子签名的概念和作用

1）电子签名的概念

签名是把一定的事物或行为与一定的人在法律上联结起来的手段，它与书面形式既相互关联，又有所区别。为确定当事人在相关交易中的权利义务，传统民商法要求书面文件须签字和/或盖章（简称“签章”），方成立或生效。我国《合同法》就规定：当事人采用合同书的形式订立合同的，自双方当事人签字或者盖章时合同成立。以电子技术和互联网为背景的电子商务中，当事人不可能在电子合同上亲笔手书签名或加盖印章，传统签字或盖章的方式很难适用，电子签名因此产生。

电子签名（electronic signature），又叫“电子印章”。《电子签名示范法》规定，电子签名系指在数据电讯中，以电子形式所含、所附或逻辑上与数据电讯有联系的数据，它可用于鉴别与数据电讯有关的签字人和表明此人认可的数据电讯所含信息。我国《电子签名法》中的电子签名，“是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据”。两者的定义是一致的。

2）电子签名的作用

电子商务合同易错和易被篡改的特点，损害着它作为“书面形式”的功能。未经签章的合同形式，则难以证明合同法律事实的存在，难以成为认定案件事实的有效证据。因此，一方面电子签名与传统签章具有同等的功能，另一方面其在鉴别电子文件的归属和对文件内容的确认方面的作用得到了电子商务法的强调。

从法律意义上说，电子签名的作用主要有两点。第一，它能证实数据电讯发端人的身份，即它以电子形式所含、所附的数据可“用于识别签名人身份”。第二，它能确保数据电讯的可靠性和完整性，即签名人以电子形式对数据电讯内容的“签名认可”，起到对该内容的固定作用，从而保证其可靠性和完整性。电子签名本身是一种数据，它的形式和使用明显不同于传统签章。电子签名不但可能被遗忘，还存在一个人同时拥有数个电子签名的情况，而且电子签名的鉴别一般也需要借助于计算机系统来进行。因此，要实现其上述功能须在技术上和法律上严格设定其使用标准。

2.电子签名的分类

1）广义的、狭义的和折中的电子签名

根据电子商务的实践和有关法律的规定，电子签名既有比较低级的交易口令、对称加密技术，也有较高级的非对称加密技术（PKI），即公开密钥密码技术，甚至还包括更为先进的生物特征识别技术等。从理论上讲，一般将电子签名分为广义的、狭义的和折中的三类。

（1）广义的电子签名，是指包括所有的电子手段在内的电子签名。凡是具有鉴别电讯发出者身份的作用，数据电讯中所含、所附或与其有逻辑联系的电子数据，都可以成为电子签名的技术形式。

（2）狭义的电子签名，是指以特定的电子技术作为手段的电子签名，通常指以非对称加密技术所产生的数字签名。所谓数字签名（digtial signature），就是只有信息发送者才能生成的，别人无法伪造的一段数字串，这一数字串同时也是对发送者发送的信息的真实性的一个证明。

（3）折中的电子签名，又称“强化的电子签名”、“增强电子签名”或“安全电子签名”，是指经过一定的安全应用程序，能够达到传统签名同等功能的电子签名方式。这个概念具有开放性、兼容性，其具体形式可以多种多样，任何能够达到传统签名相同效果的技术方式都可以涵盖其中。与上述广义的与狭义的概念相比较，下文有关“可靠的电子签名”的立法规定，应该属于折中的电子签名的概念范畴。

综上，广义的电子签名在外延上涵盖了折中的电子签名，两者所执行的基本功能和技术手段是一致的；但是，在安全性的要求方面却不尽相同，折中的电子签名在广义的电子签名概念的基础上，增加了对安全性的要求。而折中的电子签名与狭义的电子签名在安全性要求上基本一致；两者的差别在于所适用的技术范围不同：折中的电子签名以概括的方式提出安全性的基本要求，狭义的电子签名则是以列举的方式指定了某种有效的技术手段。因此，从外延上讲，折中的电子签名包括了狭义的电子签名。

2）立法对“可靠的电子签名”的要求

虽然我国的《电子签名法》规定“当事人也可以选择使用符合其约定的可靠条件的电子签名”，但由于电子签名具有很强的技术性，一般来说，具有法律效力的电子签名，其标准通常是由立法机关制定或认可的，存在电子签名标准与效力的预先决定问题。

（1）国际立法——以《电子签名示范法》为例。

《电子签名示范法》规定，电子签名须满足以下三个要求。①凡法律规定要求有一人的签名时，如果根据各种情况，包括根据任何有关协议，所用电子签名既适合生成或传送数据电讯所要达到的目的，而且也同样可靠，则对于该数据电讯而言，即满足了该项签名要求。②无论第1款所述要求是否作为一项义务，或者无论法律是否只规定了无签名的后果，第1款均适用。③就满足第1款所述要求而言，符合下列条件的电子签名视作可靠的电子签名：（a）签名制作数据在其使用的范围内与签名人而不是还与其他任何人相关联；（b）签名制作数据在签名时处于签名人而不是还处于其他任何人的控制之中；（c）凡在签名后对电子签名的任何更改均可被觉察；以及（d）如果签名的法律要求目的是对签名涉及的信息的完整性提供保证，凡在签名后对该信息的任何更改均可被觉察。

（2）国内立法——以新加坡和我国的相关规定为例。

新加坡《电子交易法案》规定，通过使用当事人同意的某一规定的安全程序或商业上合理的安全程序，该电子签名可被视为可靠的电子签名，如在签署时能确认该电子签名：①对该使用人而言是独一无二的；②能够鉴别该使用人；③在该使用人的完全控制之下以某种方式生成；④与电子记录存在这样的联系，即记录被改动，电子签名也随之失效。

我国《电子签名法》规定，电子签名同时符合下列四项条件的，视为可靠的电子签名：①电子签名制作数据用于电子签名时，属于电子签名人专有；②签署时电子签名制作数据仅由电子签名人控制；③签署后对电子签名的任何改动能够被发现；④签署后对数据电讯内容和形式的任何改动能够被发现。该法接着规定：“可靠的电子签名与手写签名或者盖章具有同等的法律效力。”

根据我国《电子签名法》的规定，并不是所有的电子签名都具备与手写签名或者盖章同等的法律效力，只有上述“可靠的电子签名”才具备这样的效力。而可靠的电子签名只能通过两种方式产生：一是当事人约定；二是符合上述规定的四个条件。从技术上看，数字签名尤其是经过认证的数字签名足以满足这四个条件，应该是可靠的电子签名。但鉴于技术中立的立场，我国法律没有直接规定数字签名就是可靠的电子签名。也就是说，数字签名是否为可靠的电子签名，也要以规定条件进行判断。“可靠性”是电子签名两个基本特征之一，可靠的电子签名概念及要求的提出，一方面可以确保可靠电子签名具备传统签章同等的法律效力，另一方面又体现了其开放性和灵活性的特点。这样的规定，虽然带来适用和操作上的难度，但为未来电子签名技术的发展保留了一定的空间，增加了立法的弹性。

案例9-2

手机短信是否符合数据电文的形式

2004年1月，杨先生结识了女孩韩某。同年8月27日，韩某发短信给杨先生，向他借钱应急，短信中说：“我需要5000，刚回北京做了眼睛手术，不能出门，你汇到我卡里。”杨先生随即将钱汇给了韩某。一个多星期后，杨先生再次收到韩某的短信，又借给韩某6000元。因都是短信来往，两次汇款杨先生都没有索要借据。此后，因韩某一直没提过借款的事，而且又再次向杨先生借款，杨先生产生了警惕，于是向韩某催要，但一直索要未果。最后杨先生起诉至海淀法院，要求韩某归还其11000元钱，并提交了银行汇款单存单两张。但韩某却称这是杨先生归还以前欠她的欠款。

在庭审中，杨先生在向法院提交的证据中，除了提供银行汇款单存单两张外，还提交了自己使用的号码为“1391166××××”的飞利浦移动电话一部，其中记载了部分短信息内容。后经法官核实，杨先生提供的发送短信的手机号码拨打后接听者是韩某本人。而韩某本人也承认，自己从2003年七八月份开始使用这个手机号码。

法院经审理认为，依据2005年4月1日起施行的《电子签名法》的规定，移动电话短信息即符合电子签名、数据电文的形式。同时移动电话短信息能够有效地表现所载内容并可供随时调取查用；能够识别数据电文的发件人、收件人以及发送、接收的时间。经法院对杨先生提供的移动电话短信息生成、储存、传递数据电文方法的可靠性，保持内容完整性方法的可靠性，用以鉴别发件人方法的可靠性进行审查，可以认定该移动电话短信息内容作为证据的真实性。根据证据规则的相关规定，数据电文可以直接作为认定事实的证据，还应有其他书面证据相佐证。

杨先生提供的通过韩女士使用的号码发送的移动电话短信息内容中载明的款项往来金额、时间与中国工商银行个人业务凭证中体现的杨先生给韩女士汇款的金额、时间相符，且移动电话短信息内容中亦载明了韩女士偿还借款的意思表示，两份证据之间相互印证，可以认定韩女士向杨先生借款的事实。据此，杨先生所提供的手机短信息可以认定为真实有效的证据，证明事实真相，法院对此予以采纳，对杨先生要求韩女士偿还借款的诉讼请求予以支持。

据报道，本案是我国《电子签名法》实施后，法院裁判的第一起案例，意味着我国的《电子签名法》真正开始走入司法程序，数据电文、电子签名、电子认证的法律效力得到了根本的保障，通过《电子签名法》的实施，基本上所有与信息化有关的活动在法律的层面都有了自己相应的判断标准。

3.数字签名的运行环境和技术步骤

1）数字签名的运行环境

电子签名并不是传统书面签章的数字图像化，而是通过密码技术以电子形式来实现的，其核心是密码技术。从技术上讲，数字签名是公开密钥加密技术的另一类应用。密钥根据其功能分为公共密钥（简称“公钥”）和私人密钥（简称“私钥”）。公钥和私钥是由密码算法生成的唯一对应的一对数据，通过私钥不能推导出对应的公钥，通过公钥也不能推导出对应的私钥。由签署人用来数字签名或将数据电讯转化为无法理解的形式的为私钥，一般不为别人知晓；由收件人用来确认数字签名或将数据电讯还原为原来的形式的为公钥，它是相对于电子签名的验证数据。

其运行方式如下。发端人从数据电讯中生成一个散列值（或数据电讯的摘要），并用自己的私钥对这个散列值进行加密来形成电子签名，然后将其作为附件与数据电讯一起发送给收件人。为了确认数字签名，收件人必须首先取得发端人的公共密钥。收件人从接收到的原始电讯中计算出散列值，接着再用发端人的公钥来对数据电讯附加的电子签名进行解密。数据电讯在传输过程中，如有第三人对电子文件进行篡改，但由于他并不知道签名人的私钥，因此解密得到的数字签名与经过计算后的数字签名必然不同。如果两个散列值相同，那么收件人就能确认该电子签名是发端人的。因而，通过电子签名能够实现对数据电讯完整性的鉴别和不可抵赖性。

电子认证的运行环境同样如此，所用的也是电子加密技术。认证机构签发的认证证书中，最为重要的一项内容就是签署人的公钥信息。正因为密码技术在电子签名中的重要作用，我国《电子签名法》明确规定，开展电子认证服务必须事先取得国家密码管理机构同意使用密码的证明文件，这实际上是为其市场准入设置了一项前置性的行政许可。

2）数字签名的具体技术步骤

新加坡《电子交易法案》将“数字签名”定义为通过使用非对称加密系统和哈氏函数^[9]来变换电子记录的一种电子签名，使得同时持有最初未变换电子记录和签名人公开密匙的任何人可以准确地判断：①该项变换是否是使用与签名人公开密钥相匹配的私人密钥作成的；②进行变换后，初始电子记录是否被改动过。显然，这与其对电子签名的定义是不同。该法案对电子签名采用什么方式和什么技术没有具体的规定，仅设定了一个原则性的标准；而对数字签名则明确规定，即采用非对称系统和哈氏函数的技术。

在公开密钥加密技术的运行环境下，数字签名的运行过程包括如下三个具体步骤。

（1）将所要发出的数据电讯按双方约定的哈氏算法，计算得到一个固定位数的电讯摘要（散列值），并在数学上保证，只要改动数据电讯中任何一位，重新计算出的电讯摘要数值就会与原先的值不相符。这样就保证了数据电讯的不可更改性。

（2）将该电讯摘要数值用发件人的私钥加密，连同数据电讯一起发送给收件人，产生的数据即称电子签名。

（3）收件人收到电子签名后，用同样的哈氏算法对该摘要的数值进行计算，然后用发件人的公钥进行解密，并同解密的摘要值进行比较，如果两者相符，则说明数据电讯确实来自所称的发件人。

4.电子签名的法律效力

电子签名丰富多样。从广义到折中再到狭义，从技术要求较低的到技术要求较高的，甚至到先进技术的生物特征签名，不一而足。那么，这些电子签名是否都具备法律效力，或只是其中某种、某些电子签名具备法律效力？判断一项电子签名是否具有法律效力的标准又是什么？这些都是电子商务法所要应对的问题。

1）具有与传统签章同等的法律效力

电子签名是在电子商务环境下，在各交易法无法以传统方式进行手写签名或者盖章的情况下，应运而生的。因此，它应该而且必须达到与传统纸质中的书面签章的同等效果，才可为此担当。因而，各国和国际组织在其制定的电子商务法中设置了相应的要求，如果一项电子签名要具备法律效力，必须首先满足法律关于电子签名的此类要求。(www.xing528.com)

示范法第7条规定，如法律要求要有一个人签字，则对于一项数据电讯而言，倘若符合下列情形，即满足了该项要求：（a）使用了一种方法，鉴定了该人的身份，并且表明该人认可了数据电讯内含的信息；（b）从所有各种情况来看，包括根据任何相关协议，所用方法是可靠的，对生成或传递数据电讯的目的来说也是适当的。示范法依然是采用功能等同原则赋予电子签名与书面签名同等的法律效力。我国《电子签名法》规定：“民事活动中的合同或者其他文件、单证等文书，当事人可以约定使用或者不使用电子签名、数据电文。当事人约定使用电子签名、数据电文的文书，不得仅因为其采用电子签名、数据电文的形式而否定其法律效力。”“可靠的电子签名与手写签名或者盖章具有同等的法律效力。”

国际贸易法委员会在其《电子签名统一规则（草案）》（简称“统一规则草案”）第3条“签署的推断”中规定，“（A方案）：1.当法律要求签名时，强化电子签名可以满足该要求。除非已证明强化电子签名没有满足示范法第7条的要求……”统一规则草案采用的排除条件，实质上把主张强化电子签名不符合法律规定的证明责任推给了否定方，使之成为一种例外情况，从而坚实地确立了强化电子签名的基础性法律地位。^[10]该方案不仅重申了《电子签名示范法》第7条的要求，而且以排除的方法，为强化电子签名提供了适用规则。

2）合法电子签名的具体效果

电子签名的合法使用，是指签名人完全遵守了法律规范和交易惯例的要求，以电子签名对交易中的数据电讯进行签署和发送。而电子签名合法使用与签名人等相关人的义务又紧密联系在一起，并由此而产生不同的法律效果。合法使用的电子签名所产生的效果，具体表现在以下几个方面。

（1）对签署人的效果。合法的电子签名将对签署人产生以下约束：所签署的数据电讯毫无疑问地归属于签署人；该数据电讯的内容对于签署人产生约束力。电子签名合法使用有两种情况：签署人本人直接使用电子签名；签署人授权代理人（包括电子代理人）使用其电子签名。但是，无论是直接使用还是授权使用，电子签名拥有者都必须负责保持电子签名在其独占控制之下，负有妥善保护其不被泄露、不被滥用的义务。

（2）对数据电讯内容的效果。虽然在文件的传输中或在系统的服务中，数据电讯可能有所变化，但经签署的数据电讯，在交易双方之间应作为原件对待，而且可以符合证据法上原件的要求，作为原始证据而向法庭或仲裁机构提交。

（3）对法律行为的效果。在开放的网络环境下，电子签名自然成为商事交易的法律行为的构成要素之一。当法律规定某种法律行为必须以书面形式做出时，以电子签名对数据电讯的签署，就充分地满足了这一要求。当然，某一电子签名的具体法律行为是否成立或生效，最终要以调整该法律行为的特别法来衡量。

3）电子签名未经授权使用的效果^[11]

电子签名由拥有者之外的人使用，是指使用其独占控制的方式生成，或附加于数据电讯中的电子签名。在此情况下，又存在授权使用和未经授权使用两种类别。授权使用为合法使用，拥有人理应承担责任。所谓未经授权使用，是指该签名既不是拥有者本人签署的，也不是其代表人签署，即缺乏合法权源的使用。关于未经授权使用对使用人的效果，刑法、民事侵权责任法规定，伪造、冒用、盗用他人的电子签名，构成犯罪的依法追究刑事责任；给他人造成损失的，依法承担民事赔偿责任。同时，还必须明确电子签名未经授权使用的情况下，对签名拥有人的法律后果。

签名的归属规则与签名责任的归属，并不是完全相同的。也就是说，存在着电子签名不是由拥有者本人签署，也不是由其代表人签署，而其后果与责任却要由签名拥有人承担的情况。因为除了对本人或其代表人的电子签名负有责任外，签名拥有人还承担着履行合理注意的义务。统一规则草案规定：“（A方案）强化电子签名的使用是未经授权的，并且被称谓的签署者没有履行合理的注意，以避免对其签名的未经授权使用并防止收件人信赖该签名：①该签名仍被认为是授权的，除非信赖方知道或应当知道该签名是未经授权的；②称谓的签署者可能只对当事人恢复未经授权使用强化电子签名前的状态的成本负责任，除非信赖方知道或应当知道该签名不是称谓者的；③称谓的签署者对造成的损害负责任，向信赖方支付损害赔偿，除非信赖方知道或应当知道该签名不是称谓者的。”

该规定包含两种责任承担的可能性和四种具体的处理后果。两种责任承担的可能性为：①由收件人承担，但前提条件是其本身存在过错，即“信赖方知道或应当知道该签名不是称谓者的”；②由签名拥有人承担，其主观条件也是有过错，即“被称谓的签署者没有履行合理的注意”。从具体的四种处理后果来看，第一种是由收件人承担未经授权使用电子签名的风险责任，但这种情况在电子签名应用后难以出现。因为它一方面要以信赖人有过错为前提，另一方面又需要签名拥有人负举证责任，这在电子商务环境中，不仅成本高，而且难度大。而后三种全部由签名拥有人承担责任，只不过责任的大小按照损失程度有所不同罢了。这三种责任依次排列在统一规则草案第7条中。

需要指出的是，统一规则草案中规定的未经授权电子签名的归属，与示范法第13条涉及的数据电子的归属有类似之处，但其间也存在着一些差别。其一，示范法没有明确称谓的签署人可提出合理地保护了签名的抗辩；统一规则草案第7条中则有规定。其二，示范法没有讨论信赖方因诚实信用受损的问题；而统一规则草案第7条的制定，完全是以收件人受到损害和救济理念为基础的。其三，示范法着重处理的是数据电子的归属，而统一规则草案第7条则确立了签名归属的责任规则。

（二）电子认证

交易当事人身份的确认是信用的起点，也是确保交易安全的前提。在电子商务中，除了需要通过电子签名来鉴别发端人的身份、确定数据电讯的内容之外，还需通过认证机构的电子认证服务来强化电子签名的可靠性，以确保签署人和数据电讯内容的真实性，防止抵赖以及商业欺诈行为的发生。

1.电子认证的产生和基本含义

1）电子认证的产生

电子签名只是从技术手段上对签名人身份作出辨认以及对签署人与所发出的电子文件之间的关系作出确认的方式，但电子签名技术无法解决私人密钥持有人信用度的问题。它包括两种可能性：一是密钥持有人主观恶意，即有意识否认自己做出的行为；二是客观原因，即发生密钥丢失、被窃或被解密等情况，使发件人或收件人很难解释归责问题。

事实上，在传统商务活动中也存在着相似的问题，只不过我们已经形成了一套相对完整的解决方案罢了。在传统签章的使用中，为了防止签署人提供伪造、虚假或被篡改的签章，或者防止发送人以各种理由否认该签章为其本人所为，一些国家采取通过具有权威性公信力的授权机关对某印章提前备案，并可提供验证证明的方式，防止抵赖或伪造等情形发生，如印签的登记备案制度、公证制度等。

在电子交易过程，同样需要一个具有权威性公信力的第三方作为认证机构对公开密钥行使辨别及认证等管理职能，以防止发件人抵赖或减少因密钥丢失、被偷窃或被解密等而产生的风险。事实上，美国、德国、日本等很多国家都已经或正在建立相配套的公共密钥基础设施。由此可见，电子签名与电子认证制度的相互结合，就可以有效解决电子签名技术单独无法解决的信用度问题。

2）认证的含义

认证（certification），其英文原意是一种出具证明文件的行为；我国《现代汉语词典》的解释是公证机关对当事人提出的文件的真实性审查属实后给予证明；司法实践中，认证还被用来专指法庭对经过质证的各种证据材料，确认其能否作为认定案件事实的根据。由此可以看出，认证的含义比较广泛且不统一，但一般可以分为在广义和狭义两种意义上使用。

广义的认证，泛指对一切事物的辨识。它既可以指当事人之间对某物品、行为或现象的辨识，也可以指通过第三人所进行的鉴别或证明活动。而狭义的认证，仅指通过第三人，特别是专业的、中立的第三方机构所进行的鉴别和证明服务。ISO/IEC 17000：2004将“认证”定义为与产品、过程、体系或人员有关的第三方证明。在狭义的认证活动中，作为认证主体的第三方要对实体关系中的任何一方当事人负责，应中立不倚，其出具的证明文件才会获得实体关系当事人的信任，我们所熟知的体系认证就属于这一类。本书所讨论的电子认证也属于狭义的认证范畴。

3）电子认证的含义

电子认证（electronic authentication），是指以特定的第三方中立机构对电子签名及其签署人的真实性进行具有法律意义的验证和确认的一种专业化的信用服务形式。提供此类认证服务的第三方机构一般被称为认证机构。我国《电子签名法》规定：“电子签名需要第三方认证的，由依法设立的电子认证服务提供者提供认证服务”。2009年3月31日起施行的新《电子认证服务管理办法》规定：“本办法所称电子认证服务，是指为电子签名相关各方提供真实性、可靠性验证的活动。本办法所称电子认证服务提供者，是指为需要第三方认证的电子签名提供认证服务的机构。”

电子认证主要有以下三个方面的内容。①本人确认。即保证自报姓名的个人和法人的合法性。简单方法一般是组合使用用户ID和密码、磁卡或IC卡和密码；复杂的方法包括利用指纹、虹膜类型等可识别人体的生物统计学技术。②数据电讯内容的认证。特别是通过电子商务进行贵重物品的交易时，保证个人或企业间收发的信息在通信的途中和到达后不被改变的信息认证。③数字签名。即在数字信息内添加署名信息。

从技术实现来说，认证机构通过电子认证，以核发公钥与私钥的方式来解决当事人身份或交易内容的确认问题。如果交易双方或第三人对当事人身份或交易内容有所质疑，作为独立于交易各方的权威机构，认证机构即可作为鉴定人通过网络向其用户提供可靠的在线证书状态查询，以满足其实时的证书验证要求，为交易当事人提供大量的预防性保护，以避免一方当事人的抵赖行为发生，也能在一定程度上防止电子商务活动中的欺诈问题。同时，在发生纠纷的情况下，为交易当事人提供有效的认证解决方法。

2.电子认证的分类

除对认证的广义和狭义的分类之外，还可以根据目前计算机已有的认证功能及其认证对象、认证的主体对电子认证进行分类。^[12]

1）以认证功能及对象来分

（1）站点认证。为了确保通信安全，在正式传送数据电讯之前，应首先认证通信是否在意定的站点之间进行，这一过程为站点认证。这是通过验证加密的数据能否成功地在两个站点间进行传送来实现的。

（2）身份认证。交易人的身份认证是许多应用系统的第一道防线，其目的在于识别合法用户和非法用户，从而阻止非法用户访问系统，这对于确保系统和数据的安全和保密是极为重要的。用于身份认证的方法大致可分为四类：（a）验证他知道什么，如密码；（b）验证他拥有什么，如银行卡、电话号码、电子邮箱；（c）验证他的生理特征，如指纹、虹膜、声音；（d）验证他的下意识动作特征。

（3）数据电讯认证。数据电讯认证必须允许收件人能够确定：（a）该电讯是由确认的发件人发出的；（b）该电讯的内容有无篡改或发生错误；（c）该电讯按确定的次序接收；（d）该电讯传送给确定的收件人。

经过站点认证后，收发双方可进行数据通信。而电讯认证使每个通信者能够验证每份电讯的来源、内容、时间和目的地的真实性。电讯源的认证有两种基本的方法：（a）以收发双方共享的保密的数据加密密钥，来认证电讯源；（b）以收发双方共享的保密的通行字为基础，来认证电讯源。

2）以认证主体来分

（1）双方认证，又称相互认证。一般用于封闭型的网络通信，因为在此种情况下，通信各方相互了解，认证比较容易。

（2）第三方认证，即由交易当事人之外的、共同接受的、可信赖的第三方进行的认证。一般使用于开放型的网络通信或大规模的封闭型网络通信。

3.电子认证的作用

电子认证法律关系中有对内和对外两种关系。对内关系或可称认证服务关系，是指认证机构与电子商务交易人之间有关电子认证而产生的关系；而对外关系是认证关系主体（认证机构与交易人或认证服务对象）与认证服务关系之外的其他人之间的关系。电子认证的作用在对内的服务关系中，体现为防止否认的功能；在对外关系中，则表现为防止欺诈的功能。

1）对内的作用——防止否认的功能

诚实信用原则在电子商务中具体体现为不得否认规则。该规则要求，行为人在进行电子商务活动时，在主观方面应动机纯正，没有损人利己的不当或不法的态度；在客观上为某种行为时，应符合商业惯例。但光靠诚信原则和不得否认规则，还不足以在陌生的电子商务主体之间建立起交易所需的信用度，它还必须依靠合理的技术和制度支持。技术方面的支持是电子签名，而制度设置方面就是电子认证了。

作为一种信用服务，电子认证较好地解决了交易当事人之间的信用问题，它通过一个或几个值得信赖的第三方将需要认证的电子签名或签署人的姓名与特定的公共密码联系起来。在许多国家里，这样的认证机构被作为公钥基础设施，按不同的层次构建起来。在公钥基础设施的构成中，认证机构及相关的证书管理设施居于核心地位。这样，交易中的双方或第三人均不得任意否认交易的发生及其内容，从而使当事人在网络虚拟环境下所发出的要约与承诺与现实世界的要约与承诺具有同等的法律拘束力。

2）对外的作用——防止欺诈

在开放型的电子商务环境下，交易各方当事人可能远隔千里甚至是跨越国境，而且常常是互不谋面，其间不仅缺少封闭型社区交易群体的道德约束力，发生欺诈事件后的救济方法也非常有限，即便有救济的可能，其成本也往往要超过损失本身。所以，只有事先对各种欺诈予以防范，才是最明智、最经济的选择。

认证机构通过向其用户提供可靠的在线证书状态查询，满足用户实时证书验证的要求，从而解决了可能被欺骗的问题。如果甲与乙都是用户，通过认证机构的在线证书状态查询，就可以同时查询到两者的证书公开信息。该证书是包括用户姓名、公开密钥、电子邮件地址、证书有效期以及其他信息的数字化文件。认证机构还对每个证书都附加有电子签名，以证明证书的内容是可靠的。然而，无论用户多么小心谨慎，其私钥都有丢失或被盗的可能。一旦该类事件发生，遭受危险的私钥和与其相应的公钥，就不能再用来加密信息。为了应付这种危险状况，大多数认证机构都能提供作废证书表（CRL），以随时更新那些失效的密钥。