份跨國電子商務交易法律議題報告

精品资料网（）25万份精华管理资料，2万多集管理视频讲座7,8月份跨國電子商務交易法律議題報告摘要亞洲PKI論壇（Asia PKI Forum）是由日本於2001年6月發起成立，邀集亞洲地區國家政府、產業與學界共同參與，主要目的為希望促進各國的公開金鑰基礎建設（Public Key Infrastructure），在交互認證、法律制度、認證中心間的共通性進行合作，在亞洲國家間建立通用的認證規格，一起創造可以相互溝通且安全的電子商務環境。亞洲PKI論壇底下設有4個工作小組，分別為互通性（Interoperability）工作組、法律基礎建設（Legal Infrastructure）工作組、商業應用（Business Case/Application），以及全球合作（World Wide Collaboration）工作組。其中，法律基礎建設工作組自去（2002）年開始著手草擬跨國電子商務交易法律議題報告書，由澳洲、中國大陸、香港、日本、馬來西亞、新加坡、韓國，以及中華台北等8個國家共同參與該報告內容撰寫，並由新加坡整合編輯，經過1年時間，最後完成此份以電子商務交易為主的法律報告書。我國由NII產業發展協進會主責的亞洲公開金鑰基礎建設論壇中華台北推動委員會（簡稱PKI中華台北推動委員會）亦為亞洲PKI論壇創始會員國一員，積極參與各工作小組會議討論。其中，法律基礎建設工作組由PKI中華台北推動委員會之委員普華商務法律事務所代表參與，並擔任該工作組之副主席（Partner Co-Chair），配合該工作組進行相關工作，本份報告書有關中華台北的相關政策部分，即由普華商務法律事務所彙整國內各單位資料或自行撰寫提供，國內配合單位包括經濟部商業司、NII產業發展協進會及科法中心等相互協調合作，彙整為我國完整的法規內容，再提供予亞洲PKI論壇法律基礎建設工作組。整份報告將可作為國內推動PKI相關產、官、學、研各界之重要參考資料。一、 研究目的本份報告目的在於發掘澳洲、中國大陸、香港、日本、馬來西亞、新加坡、韓國，以及中華台北等8個參與國家，在跨國電子商務交易所面臨到的法律關鍵問題。本份報告將提供企業、政府及法規制訂者從商業觀點來思考不同國家的單位如何在有保障的法規制度下進行安全的跨國電子交易流程？以及在進行跨國電子交易實應考量哪些法律課題？有哪些法規適用於跨國交易？又當發生交易爭議時，哪些法律資源可以運用或缺乏？由於各國均有其政策管理規範，即使進行相同的交易，也會因不同法律規範而產生不同的交易型態。舉例說明，馬來西亞的數位簽章法（Digital Signature Act）規定，只要是由核可的憑證機構簽發之數位憑證，所發生的各項交易問題將依循數位簽章法來辦理；而新加坡的電子交易法（Electronic Transaction Act）規定，即使由核可憑證機構所簽發出的數位憑證，仍不適用於（1）假造的遺囑交易；（2）可協商的文書；（3）假造的契約單據；（4）任何契約出售或不動產/不動產股權轉讓出售；（5）不動產贈與或不動產股權轉讓。這些均表示即使與國外數位憑證相互承認，因上述原因所產生的交易糾紛仍不適用於新加坡的電子交易法。二、 研究範圍全份跨國電子商務交易法律議題報告涵蓋以下部份內容：1. 扼要摘述8個國家相關電子交易法規、憑證服務架構及契約法規問題，並提供後續分析討論之整體性架構參考。2. 進一步針對特定議題，進行各國分析比較。3. 羅列出跨國PKI議題的潛在解決方案，做為未來相關法規制訂或修法參考依據。4. 進行案例分析，闡述跨國電子商務交易法之重要性。三、 電子交易法規概述電子商務自1997年興起後，各國開始針對電子商務可能引發的法律問題制訂相關法規並進行適當修法，而與電子商務關係極為密切的金流問題則是一直以來備受關切的關鍵課題，相關交易法規陸續制訂，以確保電子商務交易安全。下表彙整出8個國家相關法規與其制訂日期：國家/地區法規/制訂日期澳洲§ 電子交易法 1999（Electronics Transactions Act） 香港§ 電子交易法 2000（Electronic Transactions Ordinance） 日本§ 電子簽章與憑證服務法 2001（Electronic Signatures and Certification Services Law） 馬來西亞§ 數位簽章法 1997（Digital Signature Act） 中國大陸§ 聯合契約法 1998（Unified Contract Law） § 廣東省電子交易條例（Guangdong Province Electronic Transactions Regulations） 新加坡§ 電子交易法 1998（Electronic Transactions Act） § 電子交易（憑證機構）條例 1999【Electronic Transactions（Certification Authority）Regulations】 韓國 § 電子簽章法 2001（Electronic Signature Act） § 電子商務架構法規 1999（Framework Act on Electronic Commerce） § 電子化政府法規 2001【The Electronic Government Act（Act on electronic facilitation for the establishment of e-Government）】 中華台北§ 電子簽章法 2001（Electronic Signature） 澳洲澳洲於1999年制訂的電子交易法目的在規範電子文件與紙本文件的同等法律地位，並於2000年3月正式施行，即使透過網路上的溝通與傳輸，該交易仍具效力。澳洲電子交易法提供國民一項以電子簽名或簽章方式即可承認其文件法律效力的福祉，法案內文亦說明電子記錄的保存或電子文件的產物均歸屬於版權/著作權法的保護。香港香港的電子交易法為一項有利於商業行為或其他用途之主要交易法案，目的在提供香港一個安全、信賴的電子格式契約法律保障。為免除特定稅務問題，如遺囑、土地文件、法律申報書等，香港電子交易法承認數位簽章的效力（任何鑑定核可及有效憑證皆適用），並賦予電子記錄法律效力。除此之外，該法案內容尚包含電子契約格式，以及對憑證機構的認知規範。日本除了與上述國家制訂電子交易或電子簽章法有相同目的外，日本的電子簽章與憑證服務法條款中，對於使用者起訴核可憑證機構的法律效力亦有規範（例如憑證驗證的錯誤執行），其規範的範圍為一年內的刑罰或罰款判決，或兩百萬日幣以內的判決。中國大陸中國大陸廣東省於2002年人民大會中通過廣東省電子交易條例，並於2003年1月正式施行，此為中國大陸第一個與電子交易有關之法令規範。馬來西亞馬來西亞於1997年即制訂數位簽章法，針對任何使用加密技術流程和任何涉及權利、責任等契約進行規範；該法案亦對數位簽章之法律有效性與強制性，以及憑證機構的功能、條件、申請為核可憑證機構的流程等予以規範；最後，對於憑證的註銷、廢止、核發條件也於該數位簽章法中描述之。新加坡新加坡電子交易法於1998年7月正式施行，提供電子記錄、電子契約、數位簽章之法源依據。法規明訂使用紙本文件的交易方式與使用電子訊息文件傳輸的交易方式均具有同等的法律效益。該法案亦規範電子文件發送時間、地點和文件記錄。韓國韓國電子簽章法於1999年2月通過，並於同年7月實施，另於2001年進行兩次修法，主要的修法原因為因應新科技變遷與數位簽章憑證新技術發展。另外，韓國於1999年通過電子商務架構法，並於2002年進行修法，提供電子化契約格式的指導方針，任何以電子格式傳輸資訊的設備工具如電腦，其訊息傳送、接收或儲存等均視為正式文件，可用來作為法院證據使用，具有正式的法律效力。韓國於2001年亦通過電子化政府法案，利用數位文書系統和電子文件的施行，有效加強行政流程手續，提供安全可信賴的電子化政府服務。中華台北中華台北於2001年通過電子簽章法，該法為電子商務和電子化政府的基本法律依據，任何電子文件、記錄或電子簽章均可與傳統的書面文件視為同等法律效力。此電子簽章需為由經濟部審核通過之憑證機構所簽發，始具法律效力。其他與電子簽章法相關之法規包括電子簽章施行細則、外國憑證機構許可辦法，以及憑證實務作業基準等。四、 憑證機構服務架構概述澳洲澳洲對於憑證服務架構及業者並無制訂特定的法律規範，但澳洲聯邦政府的一項Gatekeeper計畫則針對與政府業務相關的交易制訂一項公開金鑰技術的策略，任何與政府單位或由私部門提供政府單位進行相關驗證技術或加密技術等安全系統的使用，均於Gatekeeper計畫中做一策略性規範，用以支持澳洲各省管轄範圍的電子交易。除了上述計畫，澳洲ABN-DSC政府計畫亦授予澳洲人民在進行每一筆商業交易時，根據其澳洲商業序號（Australian Business Number，ABN）申請數位簽章憑證（Digital Signature Certificate，DSN）。這項ABN-DSC計畫將與每一筆交易契約內容作連結，用以驗證交易寄送人的數位簽章身份，任何一個單位或個體收到由Gatekeeper或ABN-DSC計畫提供的數位簽章技術均稱為一個憑證機構。日本日本電子簽章與憑證服務法對憑證服務業者任命有一規範，且說明憑證服務業者為由總務省公共管理部（Ministry of Public Management, Home Affairs, Posts and Telecommunications，MPMHAPT）、經濟產業省（Economy, Trade and Industry，METI）及法務部（Ministry of Justice，MOJ）依其功能主責管理。除此之外，2000年4月，15家日本資訊領導大廠在法務部支持下，共同發表一份B2B電子商務憑證應用指導方針，加速PKI應用之推動。中國大陸由於中國大陸對於電子交易並無一國家制訂的法規主體，上海市政府率先成立第一家上海電子憑證機構，負責簽發數位憑證。隨後，廣東省電子交易條例於2003年1月正式施行，條文中規範憑證機構只可在獲得省資訊產業管理機構條件認可下，以及提交憑證業務經營管理標準與數位憑證管理系統作為省資訊產業管理機構存檔記錄情況下，始可著手經營其憑證業務。上述之省資訊產業管理機構則每年對這些憑證機構進行稽核審查。新加坡新加坡電子交易法由資訊通信發展機構（Info-communications Development Authority，IDA）負責管理與執行。在已制訂的電子交易法與電子交易（憑證機構）條例規範下，一項憑證機構自願性執照發放方案成立，此方案規定憑證機構執照發放的標準，以及後續經營條件之標準，包括財務狀況、營運政策與程序、記錄追蹤能力等均視為可否成為核可憑證機構的評量條件。e-ASEAN國際組織建議應由憑證機構自願性選擇是否成為鑑定核可憑證機構，而非以強制性方式要求每一憑證機構均需通過評核成為鑑定核可的憑證機構。如此的構想主要為希望讓憑證機構在成熟的憑證市場環境下自由發展。在PKI架構下，憑證機構負責驗證公開金鑰和個人的私密金鑰，在憑證尚未成為數位憑證格式前，憑證機構可以扮演個人實體的驗證中心，亦即進行面對面的驗證服務，實際驗證所發放的憑證可以用來證明個人的公開金鑰，以及其簽章是否屬實。新加坡的Pte公司為第一家發放數位簽章金鑰的憑證機構；ID Safe Pte公司則為第二家憑證機構，但目前已停止營運。韓國韓國電子簽章法明訂資訊及通信部（Minister of Information and Communication，MIC）為憑證機構的主管機關，並交由韓國資訊安全局（Korea Information Security Agency，KISA）執行憑證機構的鑑定審核工作。韓國MIC制訂多項與電子憑證服務和鑑定核可憑證機構管理等指導方針，明訂出符合安全可信賴的憑證服務需求條件。為有效監督核可憑證機構，韓國KISA定期進行憑證機構安全管理的檢查工作，並執行電子簽章和電子憑證技術發展工作，研究上述兩項及跨國互通等相關技術標準。中華台北依據中華台北電子簽章法，組織團體或法人企業皆可經營憑證機構業務，但在正式發放憑證前需先向憑證機構主管機關經濟部提出憑證實務作業基準（Certification Practice Statement，CPS），待經濟部審核通過後始可經營憑證機構業務。憑證機構應對其營運失誤所導致的任何損失負法律責任；就其效力來看，電子簽章法規定在國際互惠及安全條件相當原則下，經主管機關許可，由國外憑證機構所簽發之憑證與國內憑證機構簽發之憑證具有相同效力。 五、 電子化契約在澳洲、香港和新加坡，其電子交易法或電子簽章法已針對利用電子契約格式的方式所完成的電子記錄作一規範，該電子紀錄具有可實施性與有效性。由於電子契約與紙本契約均具有同等的法律效力，任何以電子訊息格式傳輸的文件都可在法律的規範效力下製作成紙本文件。新加坡新加坡電子傳送過程的相關條款已制訂在法規內，亦即銀行行員可利用電子方式傳送支票進行取/付款動作，代替傳統以紙本支票進行取/付款。新加坡的電子契約模式與日本相仿，部分特定契約如不動產契約、解釋說明文件、生前遺囑等則需以書面形式來進行，不得以電子形式進行。日本並無詐欺成文法規範，因此，任何以口頭或線上方式完成的契約都具有效力，但為了讓消費者獲得保障，部分交易行為如借貸、期貨交易或保險等仍規定提供相關紙本文件資料。另有部分交易則需有書面形式的紙本文件，並附有簽名和蓋章，一直到2000年的立法規範電子化契約可以取代紙本文件和傳統簽章，兩者才具有同等之效力。韓國韓國的電子商務架構法規中說明，電子文件不可因該文件是以電子形式產生而不具效力。電子文件應可作為法庭上有效的證據。中國大陸廣東省電子交易條例說明，除了針對某些受相關法條規範的特定文件或記錄不得以電子形式呈現，或交易雙方不同意之情況下，其餘電子文件或電子記錄在某種程度上將可以提供並被接受。中華台北電子簽章法規範，任何交易雙方皆有共識且同意的情況下，以電子形式進行的記錄或文件均具有同等的法律效力。依法令規定需以書面形式進行的文件，若其內容可完整呈現，並可於日後取出提供查驗者，只要經交易雙方同意的情況下，得以電子文件方式表示。然而，該電子簽章法賦予政府機構特定權力，明訂前述兩項規定可以依法令或行政機關之公告，就其適用性、應用技術與程序，在公平、合理、無差別待遇的前提下另行制訂相關規定。有關電子文件之收發文時間，電子簽章法規定電子文件以其進入發文者無法控制資訊系統之時間為發文時間，除非當事人另有約定或行政機關另有公告。而電子文件收文時間若收文者已指定收受電子文件之資訊系統者，以電子文件進入該資訊系統之時間為收文時間；電子文件如送至非收文者指定之資訊系統者，以收文者取出電子文件之時間為收文時間。六、 個案研究：Pan Asian Alliance安全法律架構泛亞電子商務聯盟（Pan Asian E-Commerce Alliance，PAA）於2000年7月由台灣關貿網路股份有限公司（Trade-Van）、新加坡網絡服務有限公司（CrimsonLogic）、香港貿易通電子貿易有限公司 （Tradelink）、大陸中國國際電子商務中心（CIECC）、韓國貿易網路（KTNet）、以及日本TEDIANET共同成立。近期，馬來西亞DagangNet和澳門Tedmev也相繼加入該組織。PAA其中一項使命，乃希望提供一個安全、具公信力且可信賴的基礎環境和設備，共同推展有效率的跨國貿易及運籌。同時，利用PAA會員國各自憑證機構所核發的數位憑證來進行相互間電子文件的交換。其中面臨到的一項障礙為各個地區各自存在著不同的法律架構，如何整合地區之間不同的安全架構，使得以進行跨國的電子憑證服務為PAA致力的一項工作。現階段PAA以相互承認方式來進行數位憑證互通。其整個階層式的相互承認互通架構包括最上層憑證中心（Central Authority），此憑證中心為整個PAA的總憑證中心，負責制訂憑證政策、審核每個會員國憑證機構的功能、執行跨國間的安全標準與互通、以及審核各會員國憑證機構的安全保證等級是否相同。這樣的安全架構讓其他新會員很容易加入，並在此一安全架構下運作。此安全架構假設任何一交易方與他們的應用服務提供者已建立直接的信賴關係，任何一交易方使用由該交易方憑證機構核發的數位憑證傳送訊息予應用服務提供者都可被信任。相反的，任何一應用服務提供者所發出具有數位憑證的訊息予交易方時，其信任關係同樣可以被接受。為了讓不同地區的憑證機構建立彼此間的信賴關係，由PAA成員組成的憑證中心扮演著管理和認可不同地區憑證機構的重要角色。PAA憑證中心控管一般憑證政策和其他與測試評估或憑證政策標準承認的相關政策。此一般憑證政策針對各地區之憑證機構訂定基本條件，一旦達到此基本條件，即可與PAA憑證中心進入契約關係，進而成為PAA認可的憑證機構，與其他地區憑證機構進行互通工作，而由PAA應用服務提供者X傳送給PAA應用服務提供者Y的訊息也可相互承認。PAA憑證中心的憑證政策制訂了數位憑證的使用、發佈、管理等規範，其政策主要目的為支持個會員地區得以在安全可信賴的傳輸環境中進行商業交易與文件交換，並加強商業傳輸時的不可否認性功能；再者，提供各交易方在進行電子商務交易應用時一便利的相互連結網路服務，同時也協助PAA入口網站連結到全球各地。PAA之法律架構如下圖所示：除了憑證政策外，其他幾項亦是在PAA架構下進行跨國交易時必要的協議：1. 承認協議（Recognition agreement） 2. 交易者協議（Subscriber agreement） 3. 貿易雙方協議（Club agreement） 4. 互連協議（Interconnection agreement） 七、 電子簽章之比較澳洲澳洲並沒有任何與數位簽章（Digital Signature）相關的判例法，不過在澳洲一般的契約法（contract law）之下，數位簽章被視為證明完成電子契約所需具備的必要條件。澳洲電子交易法（Australia Electronic Transactions Bill，AETA）包含了與使用數位簽章相關的條款。AETA第10條中提及，假若需要某一人的簽名才能完成交易，而這項要求能以電子化的方式來完成，只要在技術面的要求能夠被滿足且確信，則數位簽章方式得以行之。特別是在下列情況下，以數位簽章的方式來代替簽名是可以被准許的：1. 為了鑑別個人身份且為對方許可的資訊傳播方式。 2. 傳送方式足以信賴且能完成意思傳達之目的。 3. 雙方所共同允許。 AETA並非旨在簽署一項特別的數位簽章技術，而在於提供民眾與企業一種更有彈性，更能夠達到彼此個別需求的技術。香港香港電子交易條例（Electronic Transaction Ordinance，ETO）規定，假若法規要求必須要有某人的簽章，其數位簽章只要是由合法的憑證機構發出，且憑證沒有過期、被註銷或廢止皆視為符合該規定的有效簽章。目前ETO僅許由可數位簽章而不認可其他電子化的簽章方式，主要是因為數位簽章為當前較為成熟的安全技術，可以有效確認使用者身份鑑別（Authentication），確保傳輸資料的機密性（Confidentiality）、完整性（Integrity），以及保護交易之不可否認性（Non-Repudiation）。數位簽章提供了一種安全的手法來證明電子文件，並且促使電子商務能在安全技術的保護之下，被廣為接受，甚至在香港境內蓬勃發展。然而也由於ETO目前僅承認數位簽章技術，而使得市場普遍認為只有數位簽章技術才是唯一值得信賴的。由於目前電子認證（例如：數位簽章）的格式只認可一種，ETO的規定可能對其他的電子認證方式產生衝擊，並阻礙其他可能比數位簽章方式還要周全的安全規格技術發展，這或許也是對未來香港電子商務發展潛在的不利條件。日本日本電子簽章與認證業務法（Electronic Signatures and Certification Service Law，ESCSL）提供電子記錄一個可資信賴的推定基礎，當使用者以電子形式送出附有電子簽章的文件時，則使用者資料即被記錄於上。因此在ESCSL的規範之內，電子簽章只是用來判別以下兩件事情：1. 鑑別資料傳送者的身份。 2. 確定資料是否遭到修改、變更。 由於PKI的標準在日本已經廣泛地被接受，因此在ESCSL中除了上述兩點之外，並未提及有關技術標準的相關要項。馬來西亞馬來西亞數位簽章法案（Digital Signature Act，DSA）的基本架構如下：1. 某個當事人（party）註冊了某個經許可的CA，在此應用之下，他的身份被管理機構確認，並且符合DSA第29與30條的規定，則產生一對所屬的私鑰（private key）與公鑰（public key）。而一張陳述用戶（subscriber）身份與公鑰的的憑證也因而簽發。 2. 私鑰被用戶謹慎的保管。 3. 憑證與公鑰則被放置於可被其他人存取的公開系統中，也就是DSA中所指的核可儲存庫（recognised repository）。 4. 當用戶送出訊息後，接受者（recipient）可經由儲存庫對數位簽章做確認。 馬來西亞數位簽章法案第62條規定，只要數位簽章產出的過程符合DSA的規定，其效力等同於親筆簽名、蓋章或任何印記。第64條也指出，經由數位簽章的文件可視同於手寫文件；數位簽章文件副本效力與正本完全相同也於第65條中清楚載明。另外，透過DSA第67條規定的假定，也可為數位簽章提供一個強大的信賴基礎。法院推定如下：1. 由CA數位簽署之憑證，是為由CA所核發，同時若該憑證由認可之儲存庫發佈，或是在使CA或用戶可使用之前提下，則該憑證為用戶所接受。 2. 憑證上的資訊為正確無誤的。 3. 由憑證上的公鑰判斷數位簽章在何處被確認i. 數位簽章屬於用戶；ii. 用戶希望針對某項訊息進行簽署；iii. 接受者無法知道或注意簽章者（signer）是否侵害用戶的權利，或是不正當持有私鑰。 4. 數位簽章在加上時戳（time-stamped）前產生。 這些可能性基本上將舉證的責任轉移至簽章者，因此他必須用各種可能了方法來證明數位簽章並非本人簽署或附加才能免除其責。這對於以往用戶或簽章者利用偽造簽名來詐騙的狀況產生非常實際上的衝擊，然而卻限制受方合理信賴的程度範圍。中國大陸中華人民共和國合同法（THE PRC Contract Law）第32條規定，當事人採用合同書形式訂立合同的，自雙方當事人簽字或者蓋章時合同成立。，但並未明確指出由非對稱PKI技術所產出的數位簽章是否涵蓋在範圍之內，且中國大陸亦尚未建立出容易使用的PKI加密技術。新加坡新加坡電子交易法（Singapore Electronic Transactions Act 1998，SETA）確立了電子簽章與數位簽章的法律效力、強制性與接納性。其指出了何種法規需要簽章或是若文件為簽章，則電子簽章是否具備同等之效力之規定。新加坡電子簽章法定義數位簽章為一電子型式的簽章，其包含一組由非對稱加密技術與雜湊函數（hash function）所轉換的電子記錄，使用私鑰（private key）進行加密，傳送給對方，收到之後，再透過簽署人的公鑰（public key）解碼比對，若內容相符，則可證明文件的真實與完整性。新加坡電子簽章法第17條指出安全的電子簽章應為若透過一個由第三團體所管理的安全程序或商業上可資信賴的安全程序足以證實電子簽章的核發，則簽章產生之際其效力也同時具備。其具有四項功能：1. 唯一性。 2. 身份鑑別。 3. 資料隱密性。 4. 資料完整性。 南韓韓國電子簽章法（Electronic Signature Act 2001）定義電子簽章為依附於電子文件上的資料，能夠確保電子文件在網路處理及傳輸中的電子訊息安全與可信賴性，且需具備下列要件：1. 當文件加上電子簽章時，僅著作人具有修改內容的權利。 2. 進行電子簽章之時，完全由簽署人掌控加簽資料。 3. 簽署後，任何簽章的修改皆可明確查出。 4. 簽署後，任何資料的修改皆可明確查出。 中華台北利用任何電子技術製作之電子簽章及電子文件，只要功能與書面文件及簽名、蓋章相當，皆可使用。電子簽章法（Electronic Signature Law 2001）中第4條規定，經相對人同意者，書面文件得以電子文件為表示方法。依法令規定應以書面為之者，如其內容可完整呈現，並可於日後取出供查驗者，經相對人同意，得以電子文件為之。前二項規定得依法令或行政機關之公告，排除其適用或就其應用技術與程序另為規定。但就應用技術與程序所為之規定，應公平、合理，並不得為無正當理由之差別待遇。電子簽章法中要求數位簽章必須使用由經濟部核准許可之憑證機構依法簽發之有效憑證。八、 憑證服務供應商的法規與管理澳洲任何在Gatekeeper或澳洲商務數字數位簽章憑證（Australian Business Number-Digital Signature Certificate，ABN-DSC）架構底下，獲得核准宣告的個人或團體都可以稱之為憑證管理中心（Certification Authority，CA），且依據每一個組織架構之不同，而有各自的管理辦法。香港不同於其他亞洲國要求憑證管理中心需要有一個強制註冊系統（mandatory registration system），香港則採取自願登記系統（voluntary recognition system）。CA業者可以自行提出申請認可的要求，但必須符合憑證業者的規範標準才能取得正式認可，換言之，在香港地區，未申請認可的CA廠商可以跟認可核證機關（Recognized Certification Authority，RCA）共同在市場上較勁，但最大的不同是，未認可的CA廠商各項作業活動，以及與客戶之間的關係，是由一般法來規範與管理，而非香港電子交易條例ETO。由於ETO僅承認由RCA所簽發憑證的數位簽章技術，而由RCA的重要性格外顯著。事實上，ETO的重要事項均與RCA有緊密的關連，如RCA之認可、RCA對使用者的責任歸屬，以及所簽發的數位憑證管理等。CA廠商可向資訊科技署署長申請成為ETO條例所指的認可核證機關，而ETO中也規範了署長核准時所應檢附的各項詳情與文件，包括必須提供CA廠商的財務狀況報告、責任管理辦法、系統安全管理措施、憑證簽發標準、自我評估報告，來評斷CA廠商是否有足夠勝任認可核證機關之能力。ETO也賦予署長撤銷或暫時吊銷認可核證機關的權力，署長除依據上述相關文件來評斷之外，還可考慮核證機關是否有按照核證作業準則（certification practice statement，CPS）運作、是否遵守業務守則（Code of Practice），以及是否使用穩當系統等。此外，ETO也對於認可核證機關的運作規範了一般條文，如：認可核證機關必須使用穩當系統進行發出或撤回認可證書的服務，且需在儲存庫內公布或發出通知，並維護系統之運作。另外，認可核證機關也必須提交關於遵守ETO條例，以及2000年7月由資訊科技署所發佈的業務守則的評估報告。ETO亦規定，認可核證機關必須發出及備存最新的核證作業準則，並必須將對該準則所列的該機關的作業所作的任何變更通知署長。而核證作業準則（Certification Practice Statement，CPS）是指核證機關所發出的以指明其在發出證書時使用的作業實務及標準的準則。ETO中最特別的規定為指定香港郵政署擔任認可核證機關，這也是希望由政府帶頭做起，建立香港第一個認可核證機關。目前在香港有四個已獲得通過的認可核證機關，包括香港郵政核證機關（Postmaster General）、電子核證服務有限公司（Digi-Sign Certification Services Ltd）、網際威信公司（HiT），與銀聯通寶有限公司（銀通/ Jetco）。而在香港認可核證機關營運，還是一種相當新穎的商業營運種類。註：香港電子交易條例內容http:/www.info.gov.hk/citb/ctb/chinese/new/etcontent.htm日本日本電子簽章與認證業務法（ESCSL）要求憑證服務供應商必須獲得日本總務省、經濟產業省，以及法務省的許可才可以營運作業。ESCSL規定了憑證服務供應商在提供憑證服務前所應具備的各項條件，以及憑證服務的各項作業要點，此外，ESCSL也提供了當日本公安委員會（National Public Safety Commission）發現經許可的憑證服務可能引發嚴重的問題時，可以要求相關單位予以必要的措施防範，以避免傷害的發生。馬來西亞馬來西亞數位簽章法案（DSA）必須授權或委任某一個管理單位，來監督或控管憑證管理中心的各項活動，此外，DSA也規定，主管機關必須制訂憑證管理中心的取得要件。新加坡新加坡資訊通信發展管理局（Infocomm Development Authority，IDA）為主管電子商務準則與政策的領導性部門。由於憑證機構必須受到部分標準與管理來確立其公信力，因此新加坡電子交易法（SETA）制訂由IDA擔任憑證機構的管理與許可單位。IDA於1999年發表了一份憑證機構安全指導方針（Security Guidelines for Certification Authorities），建立起憑證機構管理、系統與運作的安全準則，以達到保護憑證服務、資料與系統的完整性、機密性，與有效性之目的。而IDA也頒佈了資訊科技安全指導方針（Information Technology Security Guidelines），來協助組織發展或執行資訊安全系統。憑證機構安全指導方針（Security Guidelines for Certification Authorities）請參考：http:/www.ida.gov.sg/Website/IDAContent.nsf/dd1521f1e79ecf3bc825682f0045a340/c980f8b6341c4a0bc82568390001fc59?OpenDocument南韓韓國電子簽章法ESA規範了憑證機構的權限，包括憑證實務作業基準（Certification Practice Statement，CPS）、憑證發放、暫時停用與廢止等服務。韓國資訊與通訊部（Minister of Information and Communication，MIC）為目前韓國憑證機構執照資格認定的主管單位，允許已核可的CA（accredited certification authority，ACA）負責發放加密金鑰（encryption key）、憑證證明給加密金鑰的用戶，並且保管金鑰。在憑證服務開始運作之前，MIC要求ACA必須提出包含下列內容的憑證實務作業基準：1. 憑證服務的種類。 2. 憑證服務的運作要點與流程。 3. 使用憑證服務的期限、條件與費用。 4. 其他憑證服務進行可能遇到的重要問題。 在韓國電子簽章法下，ACA必須依照憑證實務作業基準的規範，並且不可毫無理由拒絕提供認證服務，為了達成安全及可信賴的憑證服務，MIC會決定並宣布ACA必須遵守的電子簽章憑證服務指導方針要項。同時ACA若取得其他ACA的憑證服務，或與另一ACA進行企業合併，或合併業務後設立新公司，均需對MIC報告，並且對先前已消滅的ACA存續狀態進行說明。韓國電子簽章法規定，ACA若要暫時停止部分的憑證服務，必須在停止業務30天前通知客戶，並且提交報告給MIC，停止業務的期間不得超過6個月；若ACA要終止憑證服務，至少需在60天前通知客戶，並且提交報告給MIC；而ACA若因不可抗力因素需要將客戶的認證憑證與記錄讓渡給其他的ACA，同樣也要提交報告給MIC。MIC在收到這些報告之後將命令韓國資訊安全局（Korea Information Security Agency，KISA）接管客戶的憑證。中華台北中華台北電子簽章法規定，憑證機構應製作憑證實務作業基準（Certification Practice Statement，CPS），載明憑證機構經營或提供認證服務之相關作業程序，送經主管機關經濟部（商業司）核定後，始得對外提供簽發憑證服務。憑證實務作業基準應載明事項如下：（一） 足以影響憑證機構所簽發憑證之可靠性或其業務執行之重要資訊。（二） 憑證機構逕行廢止憑證之事由。（三） 驗證憑證內容相關資料之留存。（四） 保護當事人個人資料之方法及程序。（五） 其他經主管機關訂定之重要事項。經濟部於2002年4月1日施行憑證實務作業基準應載明要項（Necessary Information on Certificate Practice Statement）作為憑證機構運作的指導方針。憑證機構必須將憑證實務作業基準內容公布在憑證機構設立之公開網站供公眾查詢。而在電子簽章法施行前，憑證機構已進行簽發憑證服務者，應於電子簽章法施行後六個月內，將憑證實務作業基準送交主管機關核定。但主管機關未完成核定前，其仍得繼續對外提供簽發憑證服務。主管機關應公告經核定之憑證機構名單。若憑證機構之憑證實務作業基準內容有所變更時，亦需送經主管機關核定後公布在網站上。憑證機構若違反前述規定者，主管機關視其情節，得處新台幣一百萬元以上五百萬元以下罰鍰，並令其限期改正，逾期未改正者，得按次連續處罰。其情節重大者，並得停止其一部或全部業務。憑證機構若欲終止服務，應於終止服務之日三十日前通報主管機關，並對終止當時仍具效力之憑證，安排其他憑證機構承接其業務，且將終止服務及由其他憑證機構承接其業務之事實通知使用者（當事人），另需將檔案記錄移交承接其業務之憑證機構。若無其他憑證機構有意願承接其業務，主管機關得安排其他憑證機構承接；主管機關於必要時，得公告廢止當時仍具效力之憑證。九、 憑證服務供應商的責任澳洲目前的法律並未特別明文規定出憑證服務供應商所應擔負的責任，因此大多參照一般法規或習慣法之原則。而Gatekeeper專案也未提及任何有關憑證服務供應商的責任。香港香港電子交易條例ETO中對於認可核證機關（RCA）做出了法律責任限額之規定，除非認可核證機關免除本款對其適用，否則該機關如已就其發出的認可證書遵守本條例的規定及遵守業務守則，即無須就因倚據該證書證明的虛假或偽造的登記人數碼簽署所導致的任何損失負有法律責任。如認可核證機關已就某認可證書遵守本條例的規定及遵守業務守則，除非該機關免除本款對其適用，否則該機關無須就倚據符合以下說明資訊所導致的損失：1. 按照核證作業準則及業務守則屬該機關須確認的；及 2. 在該證書或儲存庫內是屬失實陳述的，負有超逾在該證書內指明為倚據限額（reliance limit）的款額的法律責任。 所謂“倚據限額”（reliance limit）指就認可證書的倚據而指明的金錢限額。認可核證機關在發出認可證書時，可在證書內指明倚據限額。而認可核證機關可在不同的認可證書內指明不同的倚據限額，也可在不同的證書類型、類別或種類指明不同的倚據限額。如有關的事實是因有關認可核證機關的疏忽而屬失實陳述的，或該機關蓄意或罔顧實情地作失實陳述，則上述之責任限額不適用。如此的法律責任限額規定在其他基於猶他法案模式（Utah Act model）下的數位簽章法案中並非特例，若沒有設立法律責任限額，則認可核證機關並需花費許多額外的時間與資源來確認憑證的真偽與有效性，以免除不必要的法律責任，因而可能造成交易速度減緩並且增加交易成本的結果，無法達到電子商務提高服務效率與減少交易成本的目標。因此，若核證機關必須承擔無限的法律責任，那麼他們可以考慮以增加憑證收費來減少風險之發生，這同樣也對消費者或廠商造成成本增加的負擔，也會阻絕有意進入核證機關業務廠商的意願，因此ETO條例中做出了法律責任限額之規定。ETO中規定，核證機關可向署長申請成為就本條例而言的認可核證機關。日本日本電子簽章與認證業務法ESCSL對於提供不實或不法服務的憑證服務供應商採取加強刑事責任之措施。但ESCSL為對服務供應商之民事責任有任何的說明。馬來西亞馬來西亞數位簽章法案（DSA）認為憑證廠商與儲存庫僅對信賴其憑證所產生的損害與損失負責，因此，DSA進一步於第60條中提出對於憑證機構所不需負責的範圍。因此其困難點在於如何判別DSA所建議規範之“合理之信賴”（Reasonable Reliance），另外亦值得注意的事，DSA並未提供此CA中因遺漏，而對於“合理之信賴”所造成的影響。除非CA撤銷在第61條中DSA所提供不需負責的損害部份。換言之，即為由DSA所認定的自然賠償其損失之部分。此外DSA第73條對於憑證廠商若提供不實、不正確或誤導使用者的資訊，將其視為犯法之行為，第74條第二款則列出了刑罰的替代責任。中國大陸網路安全法（Liability under Internet Security Law）根據2002年12月28日中華人民共和國第九屆全國人民代表大會常務委員會第十九次會議通過關於維護互聯網安全的決定，?了保障互聯網的運行安全，對有下列行為之一，構成犯罪的，依照刑法有關規定追究刑事責任：1. 侵入國家事務、國防建設、尖端科學技術領域的電腦資訊系統； 2. 利用互聯網造謠、誹謗或者發表、傳播其他有害資訊，煽動顛覆國家政權、推翻社會主義制度，或者煽動分裂國家、破壞國家統一； 3. 通過互聯網竊取、泄露國家秘密、情報或者軍事秘密： 4. 利用互聯網煽動民族仇恨、民族歧視，破壞民族團結； 5. 利用互聯網組織邪教組織、聯絡邪教組織成員，破壞國家法律、行政法規實施； 6. 利用互聯網銷售?劣?品或者對商品、服務作虛假宣傳； 7. 利用互聯網損害他人商業信譽和商品聲譽； 8. 利用互聯網侵犯他人知識產權； 9. 利用互聯網編造並傳播影響證券、期貨交易或者其他擾亂金融秩序的虛假資訊； 10. 在互聯網上建立淫穢網站、網頁，提供淫穢站點鏈結服務，或者傳播淫穢書刊、影片、音像、圖片； 11. 利用互聯網侮辱他人或者捏造事實誹謗他人； 12. 非法截獲、篡改、刪除他人電子郵件或者其他資料資料，侵犯公民通信自由和通信秘密； 13. 利用互聯網進行盜竊、詐騙、敲詐勒索。 中華人民共和國保守國家秘密法（Liability under National Legislation Concerning State Secrets）假如消費者或業者如果違反中華人民共和國保守國家秘密法，透過電子商務交易交換國家機密，則政府有無上治權可以對犯罪人施加罰則。刑法（Liability under Obscenity Legislation）依據中國人民共和國最高人民法院和最高人民檢察院（Supreme Peoples Court and Supreme Peoples Procuratorate）解釋，任何人如果製造、銷售或散播（播放）淫穢色情物品將受到刑法制裁。從事國際聯網業務的單位和個人若以牟利為目的，製作、複製、出版、販賣、傳播淫穢物品與資訊，將處三年以下有期徒刑、拘役或者管制，並處罰金；情節嚴重的，處三年以上十年以下有期徒刑。新加坡新加坡電子交易法SETA第45條規定，除非憑證廠商免除本款對其適用，否則若廠商就其發出的憑證遵守SETA之規定，即無須就該憑證上不實或偽造之數位簽章所導致的任何損失負有法律責任。SETA也允許憑證廠商在認可證書內指明法律責任限額。南韓為了保護使用者，韓國電子簽章法ESA規定已核可的CA（accredited certification authority，ACA）必須負擔使用者執行或使用憑證服務所造成的損失。然而若損害是由於不可抗力因素所造成，則憑證廠商的責任則會相對減少；若憑證廠商可以證明該項損失與其無關，即可免除損害責任之負擔。中華台北憑證機構對因其經營或提供認證服務之相關作業程序，致當事人受有損害，或致善意第三人因信賴該憑證而受有損害者，應負賠償責任。但能證明其行為無過失者，不在此限。憑證機構就憑證之使用範圍設有明確限制時，對逾越該使用範圍所生之損害，不負賠償責任。十、 消費者保護議題澳洲澳洲貿易行為法令（Trade Practices Act 1974，TPA）第五節中規定了消費者保護相關的條款。其中特別要求供應商與製造商必須針對交易標的提供保證書，以及陳述商品或勞務服務在銷售契約中的相關狀態。但是對於貿易或商業行為中以重複供給為目的之商品，或是在製造或修復過程中所使用之轉化物品，均不屬於消費契約所涵蓋之物品，例如當一個批發商重複販售其商品時，該批發商不被視為消費者。即使製造商明確地因重複供給之目的，而提供配銷商產品，然而當製造商與配銷商草擬合約時，TPA第五節相關部份則不應忽略。日本任何企業想要透過網站提供商品或服務時，都必須在網站首頁上標示註明，企業對於網站上所提供的內容與相關資料需負全部的責任，並遵守相關企業所在地的相關法規及全球網際網路規定與慣例。特別商業交易法（The Specific Commercial Transactions Law）特別商業交易法是日本消費者保護的基本大法之一，主要應用的範圍是針對郵購的服務。該法要求以郵購形式提供商品或服務的供應商，必須要在郵購目錄中詳細標示商品的規格與服務內容，若違反要求，則將受到刑法的規範，處以100萬日圓以下的罰款或易處一年以下的刑期。所謂郵購業者指的是以郵遞或其他符合日本經濟產業省（Ministry of Economy, Trade and Industry，METI）規定之方式來銷售特定商品或提供特定服務的業者，而常見的郵購方式包括以郵件、電話、傳真或其他通訊工具進行訂購，其中也包括個人電腦在內。因此只要符合下面兩項規定，則郵購供應商也可以接受消費者的電子郵件訂購。1. 特定規格的商品或服務內容； 2. 提供消費者購買的線上商品或服務。 不過上述的情況並不適用於位於日本境外的消費者，而且對於企業所在地位於日本以外的商家，也無法受到日本刑法的規範限制。但是如果該企業主要的目標顧客是針對日本消費者，特別是針對線上購物的交易模式，只要符合日本商業的標準，日本消費者還是可以獲得有效的保障。經濟產業省最近也修訂特別商業交易法內容，要求透過網路進行直接銷售的業者與個人，必須在網站上提供個人的姓名以及電子郵件地址。獎賞與陳述性法規（Premiums and Representations Law）企業也必須考慮到實際可行的廣告承諾。在日本公正取引委員會（Japanese Fair Trade Commission，JFTC）已經制定了不當獎賞與誤導性預防法規（Law for Prevention of Unreasonable Premiums and Misleading Representations concerning Products and Services and Notifications）來處理相關的商品與服務糾紛。例如獎賞與陳述性法規禁止做出誘引顧客，使之誤以為商品的品質或價格較競爭對手為佳的表示，甚至限制商品搭售的贈品價值。中國大陸中華人民共和國消費者權益保護法（PRC Consumer Protection Law）於1994年開始實施，該法提出一些在中國境內銷售商品與提供勞務時保護消費者的合法權益，當然其中也包含的電子商務交易方式。消費者權益保護法第8條規定，消費者享有知悉其購買、使用的商品或者接受的服務的真實情況的權利。第10條規定消費者享有公平交易的權利。此外，第14條也規定消費者在購買、使用商品和接受服務時，享有其人格尊嚴、民族風俗習慣得到尊重的權利。第19條經營者應當向消費者提供有關商品或者服務的真實資訊，不得作引人誤解的虛假宣傳。第21條經營者提供商品或者服務，應當按照國家有關規定或者商業慣例向消費者出具購貨憑證或者服務單據；消費者索要購貨憑證或者服務單據的，經營者必須出具。第24條經營者不得以格式合同（standard contracts）、通知、聲明、店堂告示等方式作出對消費者不公平、不合理的規定，或者減輕、免除其損害消費者合法權益應當承擔的民事責任。相對於其他法令，消費者權益保護法通過施行的時間較為近期，因此在實作上將陸續出現一些一般原則，而法院也尚未對法律做出解釋。不過除了消費者權益保護法之外，各省及地方也都有區域性的消費者權益保護法令，以制訂出商家的責任，進一步保障消費者的權益。新加坡由於迄今新加坡還沒有一個廣泛性的消費者保護立法，因此一般的網路商家通常都是依循新加坡的不公平契約條款法（Unfair Contract Terms Act，UCTA）中的規定，禁止在契約項目中免除因為個人的疏失致使他人死亡或造成健康上損害的過失責任，除非有合理的解釋，否則都無法免除因個人疏失所引起對方的損失或傷害。此外，新加坡商品銷售法（The Sale Of Goods Act，SOGA）針對網路商家與消費者之間的買賣契約，提出了幾項業者必須列出保護消費者權益的項目與條件，有助於交易雙方制訂合理的銷售契約。而UCTA也在第6條中規定，禁止網路商家在與消費者間的交易契約中，免除SOGA所提出的消費者保護要項及其責任，除此之外，商家所提供的商品必須具備令人滿意的品質，而且必須符合特定的使用目的，因此消費者的權益在UCTA與SOGA兩種法律中都可獲得相當程度的保護。但值得注意的是UCTA的保護範圍並不涵蓋於國際性的交易契約，換言之，只要商品的買賣雙方位於不同的國家，商品必須從某一個國家，運送至另一個國家，則SOGA與UCTA對於消費者的保護即不適用，面對網路化的時代，電子商務交易大多屬於全球化的交易契約，因此SOGA與UCTA的保護範圍是值得再進一步討論與商榷的。新加坡的消費者保護法（Consumer Protection “Trade Descriptions and Safety Requirements” Act，CPA）並非賦予產品的責任歸屬，而是要求不得有不實的商品描述，以及必須提供正確的宣傳資訊和安全的構成成分。網路商家所出售的商品也必須依照CPA規定提供符合銷售描述（trade description）的資訊，銷售描述包含了許多的說明，包括了與商品目的、效能、使用方法等直接或間接的相關資訊。依據CPA第4條規定，禁止販售標示不明或標示不實的商品，否則將構成犯罪行為。CPA第19條則提供了網路商家提出抗辯的依據，若不實的標示是由於信賴提供資訊的第三者，或是由於第三人的疏失，還是因為不可抗力因素所造成的，且網路商家也提供了相對的預防與補救措施，則網路商家是可以免除其過失責任的。新的消費者保護（公