欧盟电子签名指令根据电子签名保证真实性的能力将电子签名分成三种:(1)简单的电子签名 ;(2)一般的先进电子签名 ,和(3)严格的先进电子签名,即建立在合格的认证证书基础上、由安全的签名生成设备生成的先进的电子签名 。
只要通过电子签名可以确认其发件人,即可被认为是一般的先进电子签名。使用简单的公钥匙技术即可满足一般的先进电子签名条件 。严格的先进电子签名则必须在一般的先进电子签名的基础上,由满足欧盟电子签名指令附件二中所规定的技术和人员配备条件的认证服务提供者发出。为了引导认证服务提供者不断提高其服务水平,使其更具备市场所需要的信赖、安全和质量 ,欧盟允许甚至鼓励其成员国建立或者继续保有对认证服务提供者的认证体系,即认证服务提供者可以申请获得其所在国有关机构的认证 。这样,在那些拥有对认证服务提供者的认证体系的成员国中,事实上形成了第四种电子签名,即由获得有关机构认证的电子认证服务提供者所颁发的电子签名。例如,德国即对由对认证服务提供者提供认证并规定了获得认证所需满足复杂的条件 。经认证的电子签名服务机构所有权彰显邮电通讯管理局 所颁发的认证标志,其签发的合格电子签名被称为“经认证的电子签名服务机构所颁发的合格电子签名”。这种电子签名被认为具有很高的安全性,其在法庭上拥有明显较高的证据力,人们可以对其作“安全推定” 。但是,法律没有规定是否在某些情况下必须使用经认证的电子签名服务机构颁发的合格的电子签名。
尽管欧盟电子签名指令原则上允许一切形式的电子签名,但其规定以及附件内容明显透露了欧盟对严格的先进电子签名的偏好。根据欧盟指令,即使认证服务提供者并不申请获得有关主管部门的认证,仍然必须证明其有能力提供认证服务 ,并且拥有及时的和安全的目录,在必要时有能力立即撤销已经发出的电子签名 ;而且,认证服务提供者必须在发出证书之前检查其客户的身份 ,保存与合格的证书有关的一切信息,便于在发生由电子签名引起的损害时追究责任 。因此,有人认为,尽管欧盟指令中没有强制使用特定的算法或者特定的证书标准,实际上仍然没有能够做到技术中立 。
同样,欧盟指令在电子认证服务提供者的管理上也采取了放宽入门标准、鼓励先进的政策。欧盟指令禁止各成员国设立许可限制 ,但成员国可以引入或者维持一个自愿认证体系,由认证服务提供者自行选择是否申请认证。该认证体系必须做到客观、透明、合理以及非歧视性 。另外,欧盟指令要求成员国设立相应的监督体系,对有权颁发政府认可的合格电子签名证书的电子签名服务机构实行监督 。
欧盟电子签名指令与美国《联邦
电子签名法》的另一个重要区别在于,其对认证服务提供者的责任作了规定。根据欧盟指令,认证服务提供者在一定情况下必须对使用合格的证书对第三人造成的损失承担赔偿责任 。对于任何人基于对合格的证书的合理信赖而遭受的损失,例如证书签发时所包含的信息不准确,认证服务提供者必须承担赔偿责任,除非其能够证明自己行为没有疏忽。因此,不论是电子签名的发件人还是收件人,在认证服务提供者使用了不可靠的技术而遭受损害的情况下都至少可以获得部分赔偿。欧盟电子签名指令中虽然包含了电子签名服务机构的责任条款,但只规定了成员国所应采纳的一些最低条款。一些对于电子交易当事人和电子商务环境意义重大的问题,例如在制作电子签名过程中使用不合适的产品(可能导致电子签名证书被伪造),泄漏签名钥匙(导致合格的电子签名可以被随意伪造、复制)等,没有在欧盟电子签名指令中得到规范。另外,欧盟指令中对电子签名法律关系中责任的规定只适用于合格的证书,不涉及简单的电子证书,在一次透露出其提倡使用先进的电子签名的意图。
欧盟指令同样十分重视在电子交易中对消费者的保护,明确指出应当在消费者和企业的需求之间建立平衡 。与
《联邦电子签名法》不同的是,欧盟指令没有直接给予消费者以特殊权利,而是通过对具有较高技术标准的电子签名,具备一定技术、资金和人员管理条件的认证服务提供者的倡导,从而保障电子签名的真实性,避免和减少消费者在电子交易中权益受到损害;特别是对电子认证服务提供者的责任作了详细规定,保证消费者在遭受损失时可以获得相应的赔偿。