2020年10月19日至23日,聯(lián)合國國際貿(mào)易法委員會(以下簡稱“貿(mào)法會”)第四工作組第60次會議在維也納國際中心召開���。應貿(mào)法會秘書長的邀請�,貿(mào)仲作為觀察員,派貿(mào)仲歐洲仲裁中心崔揚��、多元爭議處盧雅函和貿(mào)仲仲裁員薛虹作為代表參加了會議��。
本次會議仍選舉Giusella Dolores FINOCCHIARO女士(意大利)擔任會議主席���,選舉Paul KURUK先生(加納)擔任報告人�����。
本次會議討論了關于使用和跨境承認身份管理和信任服務的條文草案����,對其總則�、身份管理����、信任服務和國際方面等四章共27條條文逐條進行了審議。
(隨附報告全文)
歐洲仲裁中心關于貿(mào)法會第四工作組第60屆會議的報告
聯(lián)合國國際貿(mào)易法委員會第四工作組(電子商務)第60屆會議于2020年10月19日至23日在維也納國際中心舉行�。歐洲仲裁中心崔揚、多元爭議處盧雅涵和仲裁員薛虹代表貿(mào)仲作為觀察員參加了本次會議��。本次會議討論審議了關于使用和跨境承認身份管理和信任服務的條文草案����,會議情況總結(jié)匯報如下:
一�����、背景
鑒于電子商務交易的重要性和敏感性增強����,可靠的身份管理已經(jīng)成為電子商務活動的一個關鍵要求���。在通過網(wǎng)站進行的許多電子交易中�����,需要驗證網(wǎng)站擁有人的身份以確保該網(wǎng)站是由聲稱運營該網(wǎng)站的實體實際擁有并管理的�。在談判時��,當事人須向?qū)Ψ奖砻髯约旱纳矸?���,在用電子簽名證明最終協(xié)議時也可能要求確認簽名人的身份,并對文件加蓋時戳以證實簽署的日期和時間�����。在文件傳輸時,文件必須通過安全渠道傳輸給對方并確保記錄文件的發(fā)出和接收日期����。經(jīng)合組織的一份身份管理研究和指導文件指出:“數(shù)字身份管理是互聯(lián)網(wǎng)經(jīng)濟進一步發(fā)展的基礎”,因此許多公共和私營部門的經(jīng)濟實體目前正在開發(fā)提供或依賴身份管理的商務模式��。
身份認證和信任服務有助于無紙化的貿(mào)易環(huán)境�����,從而為企業(yè)和公共行政部門節(jié)省大量資源�����。盡管身份管理和信任服務有著種種益處��,但市場參與者有時不愿實行或使用此種服務且對此持謹慎態(tài)度����。究其原因�,一部分可能涉及費用以及商業(yè)和技術上的難題,一部分可能是因為法律上的難題和不確定性導致難以建立�、執(zhí)行和使用此種系統(tǒng)。由于身份管理和信任服務是相對較新的概念���,法律上的困難包括以下現(xiàn)實問題:(1)許多企業(yè)和國家或許并不了解相關的法律問題�;(2)在許多情形下,現(xiàn)行法律在制定時并未考慮到身份事務���,因而可能在實際上對全面實行身份管理功能和信任服務造成障礙����;(3)一些法域新通過的法律與其他法域的類似法律相沖突�����,也可能會導致跨國界互操作方面的問題���。
二���、關于本次會議審議的主要情況
本次會議審議的關于使用和跨境承認身份管理和信任服務的條文草案包括總則、身份管理��、信任服務和國際方面等四章共27條��。第一章總則涉及定義����、適用范圍��、自愿使用身份管理服務和信任服務����、解釋等內(nèi)容���。第二章身份管理涉及對身份管理的法律承認��、身份管理服務提供人的義務��、身份管理服務提供人在發(fā)生數(shù)據(jù)泄露情況下的義務����、訂閱者的義務�����、使用身份管理系統(tǒng)對個人進行身份識別���、與確定可靠性相關的因素、指定可靠的身份管理系統(tǒng)和身份管理服務提供人的賠償責任等內(nèi)容����。第三章信任服務涉及對信任服務的法律承認�、信任服務提供人的義務����、訂閱者的義務、電子簽名���、電子印章���、電子時間戳、電子存檔��、電子掛號發(fā)送服務���、網(wǎng)站認證��、信任服務的可靠性標準�、指定可靠的信任服務和信任服務提供人的賠償責任等內(nèi)容��。第四章國際方面涉及對身份管理服務和信任服務的跨境承認和合作等內(nèi)容�。本草案的主要條款包括:
(一)關于第7條身份管理服務提供人在發(fā)生數(shù)據(jù)泄露情況下的義務
本條條文為:
1. 如果發(fā)生了對身份管理系統(tǒng)——包括其中管理的屬性——有重大影響的安全違規(guī)情形或完整性喪失情形,身份管理服務提供人應:
(a) 采取一切合理步驟遏制違規(guī)情形或喪失情形�,包括在適當情況下暫停受影響的服務或吊銷受影響的身份憑證;
(b) 糾正違規(guī)情形或喪失情形;
(c) 根據(jù)適用法律通知違規(guī)情形或喪失情形����。
2. 如果[主體][人]向身份管理服務提供人通知了違規(guī)情形或喪失情形,則身份管理服務提供人應:
(a) 調(diào)查潛在的違規(guī)情形或喪失情形��;并且
(b) 根據(jù)第1款采取其他任何適當行動��。
會上有代表建議重擬第7條����,規(guī)定身份管理服務提供人有義務“制定操作規(guī)則、程序和做法”�����,以執(zhí)行第1款和第2款所列行動�。不過,大部分代表認為雖然身份管理服務提供人可能因身份管理系統(tǒng)的目的和設計而不履行第6條所列的所有職能�,但第7條所列各項行動無論身份管理系統(tǒng)的目的和設計如何均予適用,因此無需重擬第7條����。會上普遍一致認為���,對于強制適用的隱私和數(shù)據(jù)保護法律未涵蓋的與數(shù)據(jù)泄露有關的事項��,合同協(xié)議是可以處理的����。
還有代表指出,第7條所列若干行動可能屬于隱私和數(shù)據(jù)保護法律的管轄范圍����,所列所有行動都應“根據(jù)適用法律”實施,而不僅僅是第7條第1款(c)項所列的行動�����。
會上建議進一步澄清“重大違規(guī)”的概念并建議刪除“潛在的”一詞����。
(二)關于第9條使用身份管理對個人進行身份識別
本條條文為:
備選案文 A
法律規(guī)則要求或允許對[主體][人]進行身份識別的,就身份管理而言����,如果使用了一種可靠方法對該[主體][人]進行電子身份識別,即為滿足了這一規(guī)則�。
備選案文 B
1. 使用某一可靠方法對[主體][人]進行電子身份識別的,可使用身份管理服務識別該主體的身份��。
2. 使用根據(jù)第11條指定的某一身份管理系統(tǒng)的,即推定某一方法為第1款之目的是可靠的����。
3. 第2款不限制任何人在以下方面的能力:
(a) 為第1款之目的,根據(jù)第10條以其他任何方式確證某一方法的可靠性�;或者
(b) 就所指定的身份管理系統(tǒng)的不可靠性舉出證據(jù)。
第9條的目的是在法律要求進行身份識別但沒有具體規(guī)定識別程序或者當事人約定進行身份識別時為身份識別提供一項功能等同規(guī)則�。根據(jù)貿(mào)法會法規(guī)中的既定原則,這項功能等同規(guī)則將補充第5條中確定的關于法律承認的規(guī)則��。該規(guī)則僅在存在離線等同方式的情況下才可適用��,因為該規(guī)則的目標是確定離線身份識別和在線身份識別之間的等同性要求�����。
會上指出�,備選案文A更好地實現(xiàn)了第9條的目的,與關于信任服務的一章所載關于功能等同的規(guī)定更一致�����。大部分意見支持方案A并建議:在“身份管理”之后插入“服務”一詞����,以表明該規(guī)則指的是身份憑證���,而不是身份管理系統(tǒng)或身份本身���;在開頭插入“在不違反第2條第3款的前提下”的字樣���,以強調(diào)第9條不影響根據(jù)特定方法進行身份識別的要求;在“人”字之前插入“按照某種方法”���。
經(jīng)討論后����,工作組決定:(1)保留備選案文A�����,刪除備選案文B�;(2)在開頭加上“在不違反第2條第3款的前提下”字樣;(3)在 “身份管理”之后加上“服務”一詞��。
(三)關于第14條信任服務提供人的義務
本條條文為:
1. 信任服務提供人應:
(a) 應按其就其政策和做法所作的表述行事�;并且
(b) 使這些政策和做法便于訂閱者查閱。
2. 如果發(fā)生了對信任服務有重大影響的安全違規(guī)情形或完整性喪失情形��,信任服務提供人應:
(a) 采取一切合理步驟遏制違規(guī)情形或喪失情形,包括在適當情況下暫?����;虻蹁N受影響的服務��;
(b) 糾正違規(guī)情形或喪失情形��;并且
(c) 根據(jù)適用法律通知違規(guī)情形或喪失情形���。
有代表指出�,在依賴方?jīng)Q定是否接受使用信任服務所產(chǎn)生的結(jié)果(如電子簽名)時�����,信任服務提供人的政策和做法與其相關��。因此����,建議應要求信任服務提供人使其政策和做法便于“第三方”查閱(除“訂閱者”外),或者便于“公眾”查閱(而不是“訂閱者”)���。會上提出的看法是�����,這兩項建議基本上涵蓋了相同范圍的人��,并且這項要求反映了信任服務提供人的做法����。另一項建議是提及“依賴方”����,并指出這一術語需要加以界定。經(jīng)討論后���,工作組決定在“訂閱者”后面插入“和第三方”字樣�。
關于第14條第2款�,建議在起首部分末尾插入“在符合適用的合同義務和其他適用法律的情況下”,并在(c)項中省略“根據(jù)適用法律”��。工作組的普遍意見是����,第14條第2款規(guī)定了強制性適用的最低標準,因此不存在合同偏離的余地��。
會上決定,應對信任服務提供人規(guī)定另一項義務����,即公開提供訂閱者應用以滿足第15條訂閱者義務規(guī)定的通知安全違規(guī)情形的義務的手段。
(四)關于第15條訂閱者的義務
本條條文為:
有下列情況的�����,訂閱者應通知信任服務提供人:
(a) 訂閱者知道信任服務已經(jīng)以影響到信任服務的可靠性的方式失密�����;或者
(b) 訂閱者所知道的情況導致信任服務可能已經(jīng)以這種方式失密的重大風險�����;
有代表提出���,信任服務提供人與(“訂閱者”定義所指的)訂閱者之間訂立的合同通常詳細列出第15條所列各項義務��。如果沒有這種合同條款��,這些義務將根據(jù)頒布條文草案的立法適用����,不遵守這些義務的后果將由適用的國內(nèi)法確定。在這方面��,雖然信任服務提供人是信任服務基礎設施的核心組成部分����,因此有必要制定專門的賠償責任規(guī)則,但訂閱者并非如此�,因此應對其適用一般賠償責任規(guī)則。
會上提出�,為了更好地反映其預期運作方式����,第15條應當要求訂閱者按照以下兩點給予通知:(a)信任服務提供人的政策和做法,或(b)適用法律(包括合同協(xié)議)�����。同時����,在沒有合同關系的情況下,將第15條中的義務強加給第三方可能是不可取的���。
(五)關于第20條電子掛號發(fā)送服務
本條條文為:
1. 法律規(guī)則要求或允許通過掛號郵件或類似服務發(fā)送某些文件���、記錄或信息的��,如果使用了一種可靠方法進行以下操作�,就一項數(shù)據(jù)電文而言��,即為滿足了該規(guī)則:
(a) 指明收到應發(fā)送的數(shù)據(jù)電文的時間和日期�;并且
(b) 指明發(fā)送數(shù)據(jù)電文的時間和日期;
2. 使用根據(jù)第24條指定的電子掛號發(fā)送服務的����,即推定某一方法為第1款之目的是可靠的。
3. 第2款不限制任何人在以下方面的能力:
(a) 為第1款之目的�,根據(jù)第 23 條以其他任何方式確證某一方法的可靠性;或者
(b) 就所指定的電子掛號發(fā)送服務的不可靠性舉出證據(jù)���。
會議認為���,本條應具體規(guī)定數(shù)據(jù)電文的完整性保證以及發(fā)送人和接收人的身份識別是電子掛號發(fā)送服務的附加功能,因為這些是電子掛號發(fā)送服務的核心功能�����,這些服務支持了通信權和隱私權等基本權利,是減輕和克服新冠病毒影響的關鍵��。
經(jīng)討論后���,工作組商定在第20條第1款中添加以下兩項:(c)保證數(shù)據(jù)電文的完整性��;(d)識別發(fā)送人和接收人的身份��,并在解釋材料中澄清���,接收人的身份識別應在接收人獲取數(shù)據(jù)電文之前進行。
(六)關于第25條信任服務提供人的賠償責任
本條條文為:
備選案文 A
[應根據(jù)適用法律確定信任服務提供人的賠償責任��。]
備選案文 B
信任服務提供人應為其未能遵守[本文書]對其規(guī)定的義務而承擔法律后果�����。
備選案文 C
1. 信任服務提供人應為由于故意或因疏忽而未遵守[本文書]對其規(guī)定的義務而給任何人造成的損害承擔賠償責任���。
2. 第1款的適用應符合適用法律關于賠償責任的規(guī)則。
3. 雖有第1款的規(guī)定�����,信任服務提供人不應為使用信任服務所產(chǎn)生的損害而對訂閱者承擔賠償責任,但限于以下情況:
(a) 這種使用超出對可能使用信任服務的交易的目的或價值的限制���;并且
(b) 信任服務提供人已按照適用法律將這些限制通知訂閱者�����。
工作組對第25條的各備選案文進行了深入討論��,大多數(shù)代表支持備選案文C�����,也有代表支持備選案文A����,沒有代表支持備選案文B����。
支持備選案文A的代表認為備選案文A為頒布國提供了更大的靈活性。對此�����,支持備選案文C的代表認為備選案文C第2款對國內(nèi)法的提及仍然為頒布國適用現(xiàn)行法律提供了靈活性�����、包括在證據(jù)事項和舉證責任方面,且備選案文C提供了更大的明確性和可預測性���,此外還可以通過在第3款中限制賠償責任促進信任服務的發(fā)展���。
有代表認為,備選案文C確立的賠償責任制度實質(zhì)上背離了一些法域的現(xiàn)行法律����,即備選案文C中的標準可能更難以要求信任服務提供人對未能履行文書對其規(guī)定的義務承擔責任。
還有意見認為�,備選案文C僅適用于信任服務提供人未能履行條文草案對其規(guī)定的義務的情形。由于現(xiàn)行各國內(nèi)法將對信任服務提供人規(guī)定額外義務�����,即使通過了備選案文C���,仍將繼續(xù)根據(jù)現(xiàn)行法律確定信任服務提供人對未能履行這些義務的賠償責任。
經(jīng)討論后���,會議決定:
(1)保留第25條的備選案文A和備選案文C供進一步審議�����,并刪除備選案文B�;
(2)修改備選案文C第1款,以明確該款不影響對不遵守適用法律規(guī)定的其他義務的賠償責任���;
(3)請秘書處說明這兩個備選案文之間的區(qū)別�����,并審查備選案文C第1款的不同語種版本����,以確保它們反映同樣的標準����。
(七)關于第四章國際方面
第四章只有兩條,但會議認為這兩條使得能夠?qū)崿F(xiàn)對身份管理識別和信任服務的跨境法律承認而這也是本次會議審議的條文草案的主要目標之一���,因此是核心條款��。第26條和27條條文如下:
第26條 對身份管理服務和信任服務的跨境承認
1.在[頒布國]境外運營的身份管理系統(tǒng)或提供的信任服務����,如果具有基本等同的68可靠度,應在[頒布國]境內(nèi)具有與在[頒布國]境內(nèi)運營的身份管理系統(tǒng)或提供的信任服務相同的法律效力����。
2.在確定[身份憑證][身份管理系統(tǒng)]或信任服務是否提供[基本等同的][相同的]可靠度時,應考慮到[公認的國際標準]����。
第27條 合作
[頒布國指明的主管個人、公共或私人機關或機構][應][可]與外國實體合作����,交流與身份管理和信任服務有關的信息、經(jīng)驗和良好做法����,特別是在以下方面:
(a)對外國身份管理系統(tǒng)和信任服務的法律效力以單方面準予或相互協(xié)定的形式給予承認;
(b)對身份管理系統(tǒng)和信任服務進行指定�����;以及
(c)對身份管理系統(tǒng)的保證級和信任服務的可靠度作出界定�����。
各代表對“等同可靠度”的概念表達了不同意見�。有代表認為“基本等同”一詞不恰當,因其含義不清��,應提及“同樣或更高的”或“至少等同的”可靠度����,以表明較高的可靠度已足夠。同時有其他代表認為“基本等同”一詞是恰當?shù)?����,因為它避免了對具體可靠度作出定義而這種定義是耗時且具有挑戰(zhàn)性的任務���,且《電子簽名示范法》第12條同樣使用了該詞�����。還有代表認為應用“法域”一詞替換“國”����。工作組將在后續(xù)會議中對第26條作進一步討論����。
會議強調(diào)第27條對執(zhí)行第26條起著重要作用,特別是在促進對可支持確定等同性的保證級和可靠度的定義方面��。
