2020年10月19日至23日��,聯(lián)合國國際貿(mào)易法委員會(以下簡稱“貿(mào)法會”)第四工作組第60次會議在維也納國際中心召開��。應(yīng)貿(mào)法會秘書長的邀請�,貿(mào)仲作為觀察員�,派貿(mào)仲歐洲仲裁中心崔揚、多元爭議處盧雅函和貿(mào)仲仲裁員薛虹作為代表參加了會議����。
本次會議仍選舉Giusella Dolores FINOCCHIARO女士(意大利)擔(dān)任會議主席,選舉Paul KURUK先生(加納)擔(dān)任報告人���。
本次會議討論了關(guān)于使用和跨境承認身份管理和信任服務(wù)的條文草案�����,對其總則��、身份管理����、信任服務(wù)和國際方面等四章共27條條文逐條進行了審議�。
(隨附報告全文)
歐洲仲裁中心關(guān)于貿(mào)法會第四工作組第60屆會議的報告
聯(lián)合國國際貿(mào)易法委員會第四工作組(電子商務(wù))第60屆會議于2020年10月19日至23日在維也納國際中心舉行。歐洲仲裁中心崔揚���、多元爭議處盧雅涵和仲裁員薛虹代表貿(mào)仲作為觀察員參加了本次會議���。本次會議討論審議了關(guān)于使用和跨境承認身份管理和信任服務(wù)的條文草案,會議情況總結(jié)匯報如下:
一���、背景
鑒于電子商務(wù)交易的重要性和敏感性增強��,可靠的身份管理已經(jīng)成為電子商務(wù)活動的一個關(guān)鍵要求��。在通過網(wǎng)站進行的許多電子交易中����,需要驗證網(wǎng)站擁有人的身份以確保該網(wǎng)站是由聲稱運營該網(wǎng)站的實體實際擁有并管理的����。在談判時,當(dāng)事人須向?qū)Ψ奖砻髯约旱纳矸?�,在用電子簽名證明最終協(xié)議時也可能要求確認簽名人的身份,并對文件加蓋時戳以證實簽署的日期和時間����。在文件傳輸時,文件必須通過安全渠道傳輸給對方并確保記錄文件的發(fā)出和接收日期��。經(jīng)合組織的一份身份管理研究和指導(dǎo)文件指出:“數(shù)字身份管理是互聯(lián)網(wǎng)經(jīng)濟進一步發(fā)展的基礎(chǔ)”���,因此許多公共和私營部門的經(jīng)濟實體目前正在開發(fā)提供或依賴身份管理的商務(wù)模式�。
身份認證和信任服務(wù)有助于無紙化的貿(mào)易環(huán)境���,從而為企業(yè)和公共行政部門節(jié)省大量資源����。盡管身份管理和信任服務(wù)有著種種益處�,但市場參與者有時不愿實行或使用此種服務(wù)且對此持謹慎態(tài)度。究其原因�����,一部分可能涉及費用以及商業(yè)和技術(shù)上的難題����,一部分可能是因為法律上的難題和不確定性導(dǎo)致難以建立��、執(zhí)行和使用此種系統(tǒng)���。由于身份管理和信任服務(wù)是相對較新的概念,法律上的困難包括以下現(xiàn)實問題:(1)許多企業(yè)和國家或許并不了解相關(guān)的法律問題���;(2)在許多情形下,現(xiàn)行法律在制定時并未考慮到身份事務(wù)����,因而可能在實際上對全面實行身份管理功能和信任服務(wù)造成障礙;(3)一些法域新通過的法律與其他法域的類似法律相沖突�����,也可能會導(dǎo)致跨國界互操作方面的問題�����。
二�、關(guān)于本次會議審議的主要情況
本次會議審議的關(guān)于使用和跨境承認身份管理和信任服務(wù)的條文草案包括總則、身份管理��、信任服務(wù)和國際方面等四章共27條��。第一章總則涉及定義、適用范圍��、自愿使用身份管理服務(wù)和信任服務(wù)�����、解釋等內(nèi)容����。第二章身份管理涉及對身份管理的法律承認、身份管理服務(wù)提供人的義務(wù)��、身份管理服務(wù)提供人在發(fā)生數(shù)據(jù)泄露情況下的義務(wù)�、訂閱者的義務(wù)、使用身份管理系統(tǒng)對個人進行身份識別��、與確定可靠性相關(guān)的因素����、指定可靠的身份管理系統(tǒng)和身份管理服務(wù)提供人的賠償責(zé)任等內(nèi)容。第三章信任服務(wù)涉及對信任服務(wù)的法律承認�、信任服務(wù)提供人的義務(wù)、訂閱者的義務(wù)����、電子簽名�����、電子印章�����、電子時間戳�����、電子存檔、電子掛號發(fā)送服務(wù)���、網(wǎng)站認證����、信任服務(wù)的可靠性標(biāo)準(zhǔn)�����、指定可靠的信任服務(wù)和信任服務(wù)提供人的賠償責(zé)任等內(nèi)容���。第四章國際方面涉及對身份管理服務(wù)和信任服務(wù)的跨境承認和合作等內(nèi)容�。本草案的主要條款包括:
(一)關(guān)于第7條身份管理服務(wù)提供人在發(fā)生數(shù)據(jù)泄露情況下的義務(wù)
本條條文為:
1. 如果發(fā)生了對身份管理系統(tǒng)——包括其中管理的屬性——有重大影響的安全違規(guī)情形或完整性喪失情形,身份管理服務(wù)提供人應(yīng):
(a) 采取一切合理步驟遏制違規(guī)情形或喪失情形���,包括在適當(dāng)情況下暫停受影響的服務(wù)或吊銷受影響的身份憑證��;
(b) 糾正違規(guī)情形或喪失情形��;
(c) 根據(jù)適用法律通知違規(guī)情形或喪失情形����。
2. 如果[主體][人]向身份管理服務(wù)提供人通知了違規(guī)情形或喪失情形����,則身份管理服務(wù)提供人應(yīng):
(a) 調(diào)查潛在的違規(guī)情形或喪失情形;并且
(b) 根據(jù)第1款采取其他任何適當(dāng)行動����。
會上有代表建議重擬第7條,規(guī)定身份管理服務(wù)提供人有義務(wù)“制定操作規(guī)則�����、程序和做法”�����,以執(zhí)行第1款和第2款所列行動。不過�����,大部分代表認為雖然身份管理服務(wù)提供人可能因身份管理系統(tǒng)的目的和設(shè)計而不履行第6條所列的所有職能��,但第7條所列各項行動無論身份管理系統(tǒng)的目的和設(shè)計如何均予適用�����,因此無需重擬第7條�。會上普遍一致認為,對于強制適用的隱私和數(shù)據(jù)保護法律未涵蓋的與數(shù)據(jù)泄露有關(guān)的事項��,合同協(xié)議是可以處理的����。
還有代表指出��,第7條所列若干行動可能屬于隱私和數(shù)據(jù)保護法律的管轄范圍�,所列所有行動都應(yīng)“根據(jù)適用法律”實施,而不僅僅是第7條第1款(c)項所列的行動����。
會上建議進一步澄清“重大違規(guī)”的概念并建議刪除“潛在的”一詞����。
(二)關(guān)于第9條使用身份管理對個人進行身份識別
本條條文為:
備選案文 A
法律規(guī)則要求或允許對[主體][人]進行身份識別的�,就身份管理而言,如果使用了一種可靠方法對該[主體][人]進行電子身份識別����,即為滿足了這一規(guī)則。
備選案文 B
1. 使用某一可靠方法對[主體][人]進行電子身份識別的��,可使用身份管理服務(wù)識別該主體的身份�����。
2. 使用根據(jù)第11條指定的某一身份管理系統(tǒng)的�����,即推定某一方法為第1款之目的是可靠的�。
3. 第2款不限制任何人在以下方面的能力:
(a) 為第1款之目的,根據(jù)第10條以其他任何方式確證某一方法的可靠性�;或者
(b) 就所指定的身份管理系統(tǒng)的不可靠性舉出證據(jù)。
第9條的目的是在法律要求進行身份識別但沒有具體規(guī)定識別程序或者當(dāng)事人約定進行身份識別時為身份識別提供一項功能等同規(guī)則���。根據(jù)貿(mào)法會法規(guī)中的既定原則�����,這項功能等同規(guī)則將補充第5條中確定的關(guān)于法律承認的規(guī)則�����。該規(guī)則僅在存在離線等同方式的情況下才可適用���,因為該規(guī)則的目標(biāo)是確定離線身份識別和在線身份識別之間的等同性要求���。
會上指出,備選案文A更好地實現(xiàn)了第9條的目的����,與關(guān)于信任服務(wù)的一章所載關(guān)于功能等同的規(guī)定更一致。大部分意見支持方案A并建議:在“身份管理”之后插入“服務(wù)”一詞����,以表明該規(guī)則指的是身份憑證����,而不是身份管理系統(tǒng)或身份本身�;在開頭插入“在不違反第2條第3款的前提下”的字樣���,以強調(diào)第9條不影響根據(jù)特定方法進行身份識別的要求�����;在“人”字之前插入“按照某種方法”��。
經(jīng)討論后��,工作組決定:(1)保留備選案文A����,刪除備選案文B��;(2)在開頭加上“在不違反第2條第3款的前提下”字樣��;(3)在 “身份管理”之后加上“服務(wù)”一詞�。
(三)關(guān)于第14條信任服務(wù)提供人的義務(wù)
本條條文為:
1. 信任服務(wù)提供人應(yīng):
(a) 應(yīng)按其就其政策和做法所作的表述行事;并且
(b) 使這些政策和做法便于訂閱者查閱�����。
2. 如果發(fā)生了對信任服務(wù)有重大影響的安全違規(guī)情形或完整性喪失情形���,信任服務(wù)提供人應(yīng):
(a) 采取一切合理步驟遏制違規(guī)情形或喪失情形����,包括在適當(dāng)情況下暫停或吊銷受影響的服務(wù)��;
(b) 糾正違規(guī)情形或喪失情形�;并且
(c) 根據(jù)適用法律通知違規(guī)情形或喪失情形。
有代表指出�����,在依賴方?jīng)Q定是否接受使用信任服務(wù)所產(chǎn)生的結(jié)果(如電子簽名)時���,信任服務(wù)提供人的政策和做法與其相關(guān)���。因此,建議應(yīng)要求信任服務(wù)提供人使其政策和做法便于“第三方”查閱(除“訂閱者”外)����,或者便于“公眾”查閱(而不是“訂閱者”)。會上提出的看法是��,這兩項建議基本上涵蓋了相同范圍的人,并且這項要求反映了信任服務(wù)提供人的做法��。另一項建議是提及“依賴方”�����,并指出這一術(shù)語需要加以界定�。經(jīng)討論后�����,工作組決定在“訂閱者”后面插入“和第三方”字樣���。
關(guān)于第14條第2款��,建議在起首部分末尾插入“在符合適用的合同義務(wù)和其他適用法律的情況下”����,并在(c)項中省略“根據(jù)適用法律”�����。工作組的普遍意見是���,第14條第2款規(guī)定了強制性適用的最低標(biāo)準(zhǔn)�,因此不存在合同偏離的余地。
會上決定�����,應(yīng)對信任服務(wù)提供人規(guī)定另一項義務(wù)����,即公開提供訂閱者應(yīng)用以滿足第15條訂閱者義務(wù)規(guī)定的通知安全違規(guī)情形的義務(wù)的手段。
(四)關(guān)于第15條訂閱者的義務(wù)
本條條文為:
有下列情況的���,訂閱者應(yīng)通知信任服務(wù)提供人:
(a) 訂閱者知道信任服務(wù)已經(jīng)以影響到信任服務(wù)的可靠性的方式失密��;或者
(b) 訂閱者所知道的情況導(dǎo)致信任服務(wù)可能已經(jīng)以這種方式失密的重大風(fēng)險�����;
有代表提出���,信任服務(wù)提供人與(“訂閱者”定義所指的)訂閱者之間訂立的合同通常詳細列出第15條所列各項義務(wù)。如果沒有這種合同條款�,這些義務(wù)將根據(jù)頒布條文草案的立法適用,不遵守這些義務(wù)的后果將由適用的國內(nèi)法確定����。在這方面��,雖然信任服務(wù)提供人是信任服務(wù)基礎(chǔ)設(shè)施的核心組成部分���,因此有必要制定專門的賠償責(zé)任規(guī)則�,但訂閱者并非如此,因此應(yīng)對其適用一般賠償責(zé)任規(guī)則��。
會上提出��,為了更好地反映其預(yù)期運作方式�,第15條應(yīng)當(dāng)要求訂閱者按照以下兩點給予通知:(a)信任服務(wù)提供人的政策和做法,或(b)適用法律(包括合同協(xié)議)���。同時��,在沒有合同關(guān)系的情況下���,將第15條中的義務(wù)強加給第三方可能是不可取的。
(五)關(guān)于第20條電子掛號發(fā)送服務(wù)
本條條文為:
1. 法律規(guī)則要求或允許通過掛號郵件或類似服務(wù)發(fā)送某些文件��、記錄或信息的��,如果使用了一種可靠方法進行以下操作,就一項數(shù)據(jù)電文而言���,即為滿足了該規(guī)則:
(a) 指明收到應(yīng)發(fā)送的數(shù)據(jù)電文的時間和日期�����;并且
(b) 指明發(fā)送數(shù)據(jù)電文的時間和日期�;
2. 使用根據(jù)第24條指定的電子掛號發(fā)送服務(wù)的�����,即推定某一方法為第1款之目的是可靠的����。
3. 第2款不限制任何人在以下方面的能力:
(a) 為第1款之目的,根據(jù)第 23 條以其他任何方式確證某一方法的可靠性�����;或者
(b) 就所指定的電子掛號發(fā)送服務(wù)的不可靠性舉出證據(jù)�。
會議認為,本條應(yīng)具體規(guī)定數(shù)據(jù)電文的完整性保證以及發(fā)送人和接收人的身份識別是電子掛號發(fā)送服務(wù)的附加功能�,因為這些是電子掛號發(fā)送服務(wù)的核心功能,這些服務(wù)支持了通信權(quán)和隱私權(quán)等基本權(quán)利�,是減輕和克服新冠病毒影響的關(guān)鍵����。
經(jīng)討論后�,工作組商定在第20條第1款中添加以下兩項:(c)保證數(shù)據(jù)電文的完整性;(d)識別發(fā)送人和接收人的身份��,并在解釋材料中澄清���,接收人的身份識別應(yīng)在接收人獲取數(shù)據(jù)電文之前進行。
(六)關(guān)于第25條信任服務(wù)提供人的賠償責(zé)任
本條條文為:
備選案文 A
[應(yīng)根據(jù)適用法律確定信任服務(wù)提供人的賠償責(zé)任����。]
備選案文 B
信任服務(wù)提供人應(yīng)為其未能遵守[本文書]對其規(guī)定的義務(wù)而承擔(dān)法律后果。
備選案文 C
1. 信任服務(wù)提供人應(yīng)為由于故意或因疏忽而未遵守[本文書]對其規(guī)定的義務(wù)而給任何人造成的損害承擔(dān)賠償責(zé)任�����。
2. 第1款的適用應(yīng)符合適用法律關(guān)于賠償責(zé)任的規(guī)則�。
3. 雖有第1款的規(guī)定,信任服務(wù)提供人不應(yīng)為使用信任服務(wù)所產(chǎn)生的損害而對訂閱者承擔(dān)賠償責(zé)任���,但限于以下情況:
(a) 這種使用超出對可能使用信任服務(wù)的交易的目的或價值的限制����;并且
(b) 信任服務(wù)提供人已按照適用法律將這些限制通知訂閱者。
工作組對第25條的各備選案文進行了深入討論���,大多數(shù)代表支持備選案文C�,也有代表支持備選案文A�����,沒有代表支持備選案文B��。
支持備選案文A的代表認為備選案文A為頒布國提供了更大的靈活性���。對此�����,支持備選案文C的代表認為備選案文C第2款對國內(nèi)法的提及仍然為頒布國適用現(xiàn)行法律提供了靈活性����、包括在證據(jù)事項和舉證責(zé)任方面�,且備選案文C提供了更大的明確性和可預(yù)測性,此外還可以通過在第3款中限制賠償責(zé)任促進信任服務(wù)的發(fā)展�。
有代表認為,備選案文C確立的賠償責(zé)任制度實質(zhì)上背離了一些法域的現(xiàn)行法律�����,即備選案文C中的標(biāo)準(zhǔn)可能更難以要求信任服務(wù)提供人對未能履行文書對其規(guī)定的義務(wù)承擔(dān)責(zé)任。
還有意見認為�,備選案文C僅適用于信任服務(wù)提供人未能履行條文草案對其規(guī)定的義務(wù)的情形。由于現(xiàn)行各國內(nèi)法將對信任服務(wù)提供人規(guī)定額外義務(wù)�����,即使通過了備選案文C����,仍將繼續(xù)根據(jù)現(xiàn)行法律確定信任服務(wù)提供人對未能履行這些義務(wù)的賠償責(zé)任。
經(jīng)討論后����,會議決定:
(1)保留第25條的備選案文A和備選案文C供進一步審議���,并刪除備選案文B�����;
(2)修改備選案文C第1款��,以明確該款不影響對不遵守適用法律規(guī)定的其他義務(wù)的賠償責(zé)任�����;
(3)請秘書處說明這兩個備選案文之間的區(qū)別����,并審查備選案文C第1款的不同語種版本,以確保它們反映同樣的標(biāo)準(zhǔn)��。
(七)關(guān)于第四章國際方面
第四章只有兩條�����,但會議認為這兩條使得能夠?qū)崿F(xiàn)對身份管理識別和信任服務(wù)的跨境法律承認而這也是本次會議審議的條文草案的主要目標(biāo)之一����,因此是核心條款。第26條和27條條文如下:
第26條 對身份管理服務(wù)和信任服務(wù)的跨境承認
1.在[頒布國]境外運營的身份管理系統(tǒng)或提供的信任服務(wù)�,如果具有基本等同的68可靠度,應(yīng)在[頒布國]境內(nèi)具有與在[頒布國]境內(nèi)運營的身份管理系統(tǒng)或提供的信任服務(wù)相同的法律效力�。
2.在確定[身份憑證][身份管理系統(tǒng)]或信任服務(wù)是否提供[基本等同的][相同的]可靠度時,應(yīng)考慮到[公認的國際標(biāo)準(zhǔn)]����。
第27條 合作
[頒布國指明的主管個人、公共或私人機關(guān)或機構(gòu)][應(yīng)][可]與外國實體合作�,交流與身份管理和信任服務(wù)有關(guān)的信息�、經(jīng)驗和良好做法�����,特別是在以下方面:
(a)對外國身份管理系統(tǒng)和信任服務(wù)的法律效力以單方面準(zhǔn)予或相互協(xié)定的形式給予承認�;
(b)對身份管理系統(tǒng)和信任服務(wù)進行指定;以及
(c)對身份管理系統(tǒng)的保證級和信任服務(wù)的可靠度作出界定���。
各代表對“等同可靠度”的概念表達了不同意見��。有代表認為“基本等同”一詞不恰當(dāng)�����,因其含義不清����,應(yīng)提及“同樣或更高的”或“至少等同的”可靠度����,以表明較高的可靠度已足夠��。同時有其他代表認為“基本等同”一詞是恰當(dāng)?shù)?,因為它避免了對具體可靠度作出定義而這種定義是耗時且具有挑戰(zhàn)性的任務(wù)����,且《電子簽名示范法》第12條同樣使用了該詞��。還有代表認為應(yīng)用“法域”一詞替換“國”����。工作組將在后續(xù)會議中對第26條作進一步討論。
會議強調(diào)第27條對執(zhí)行第26條起著重要作用����,特別是在促進對可支持確定等同性的保證級和可靠度的定義方面。
