理论研讨

电子签名认证的责任分担
发布时间:2010/11/2    来源:zsliuhelaw.com    作者:管理员    点击次数:4050
[内容摘要]区分电子签名认证中不同法律关系的性质,理清电子签名认证中的各种法律关系,确定电子签名认证机构、电子签名人和电子签名依赖方的法律责任,有利于我们明确电子签名认证中的责任归属,完善相应的法律制度。
[关键词]电子签名认证 电子签名人 电子签名认证机构 电子签名依赖方 法律关系
   
       认证(Certification)是电子签名中的一项重要的制度,其目标乃是着眼于“安全”。电子商务中安全问题的解决是需要依靠两个方面的:技术方面,在技术上建立电子商务的安全认证机制,确认用户的真实性,信息、数据的保密性,完整性和不变性;与此同时,利用现代密码技术,加密、解密技术和电子签名技术等,来保证电子商务活动的安全;法律方面,法律方面对于安全的保障是指,当电子商务活动出现差错时,如何运用法律的手段解决有关交易各方的责任和权利义务等问题。电子商务利用现代电子通讯的手段而产生的法律问题,最终还是需要通过立法来解决,然而五年前颁布实施的《电子签名法》和《电子认证服务管理办法》对电子签名各方的责任和权利义务的规定并不完善,本文希望通过对电子签名认证中各方之间法律关系的分析,进一步明晰各自的权利义务和责任分担。
      一、电子签名认证中的法律关系
      电子签名认证是指由从事认证服务的第三方机构对电子签章及签署者的真实性等数字信息进行的具有法律意义的鉴别。[1]电子签名的认证过程中存在着这样三方主体,即认证机构、签名人和证书依赖方。而法律关系的本质在于,因法律规定而在当事人之间发生的权利、义务关系。[2]
      (一)电子签名人与电子签名依赖方的法律关系
      电子签名人和电子签名依赖方是电子签名的使用者,他们利用电子签名和电子签名认证机构提供的服务来确保从电子签名人一方发出的数据电文的真实可信。电子签名人和电子签名依赖方在事实上可能是某个买卖或租赁合同的双方,他们之间存在着合同关系。但在电子签名认证这个环节中,他们两者仅仅是因各自与从事认证服务的电子签名认证机构的关系而出现在认证环节之中,在电子签名认证中彼此之间并不存在产生法律关系的法律事实。但现实中也存在着一些特殊的情况,中国金融业网银实务中既存在着采用第三方认证机构(中国金融认证中心,CFCA)对客户、银行进行双方认证,也存在着各家银行采用自设的认证机构仅对客户身份进行单方认证的,如工行、建行等,而且这几家银行的网银市场的占有比例已很大,故立法对这一既成事实做出了迁就,《电子签名法》第16条规定“电子签名需要第三方认证的,由依法设立的电子认证服务提供者提供认证服务”,也可以理解为:如果网银客户同意并信任网银服务提供者(银行)提供的内部电子认证,也可以不需要第三方认证。而此时就内部认证服务而言,银行与网银客户之间的关系就是电子签名认证机构和电子签名认证人的关系。但是随后由信息产业部出台的《电子认证服务管理办法》却明确规定了电子签名认证的从业必须经过一系列审核并且具备该部颁发的从业执照。这样一来,正在提供认证服务的银行无疑是未经审核和无照经营认证服务的。这就与《电子签名法》的授权规定产生的冲突,银行认证的法律地位再次模糊。笔者认为,在没有部门办法出台的时候,银行业认证行为的合法性可以通过对法条的解释而获得,但是部门办法的明文规定,加之签名法16条也规定是“依法设立”才可以提供认证服务,即未按照部门办法设立的银行内部认证机构是不可以提供认证服务的。然而,我们又可以看到银行设立认证服务时相关法规并未出台,而且它一定也是依法经相关部门批准才设立该服务的。我们是否可以承认相关法规出台前依法设立的银行认证服务在有法可依的现在依然是合法的呢,这值得我们讨论,希望不久的将来通过相关法律的修订这个问题得以解决。
      (二)电子签名认证机构与电子签名依赖方的法律关系
      电子签名依赖方,是指基于对电子签名认证证书或者电子签名的信赖从事有关活动的人。[3]电子签名依赖方可能是电子签名认证机构的客户,还有可能是与电子签名认证机构不存在服务合同关系的典型的认证证书信赖人。但若他因信赖认证证书而与电子签名证书申请人进行交易时,就成为了证书服务关系中的对象,因此在特定情况在认证机构对他需承担责任。基于现实网络环境中两者关系的复杂性,其主要呈现以下几种模式:
      1.双重认证关系型
      这种关系是最普遍的认证服务形式,即交易双方当事人都为认证机构的证书用户。这表明交易双方同时既是认证机构的证书申请人又是证书信赖人,身具双重身份。此时认证机构只为交易双方提供认证服务,而并不直接参与交易活动。这种关系是基于认证服务合同的存在而产生的,交易双方当事人既可以享受因其证书申请人的身份而获得的权利,又可以基于他们所处的证书信赖人的地位要求认证机构履行谨慎从业的义务,保证电子签名认证证书内容在有效期内完整、准确。
      2.单方认证用户型
      此时交易的一方是认证机构的证书用户,而另一方作为非证书用户是纯粹的电子签名依赖方。这种关系通常形成于消费关系型交易中[4],而消费者大多不是认证机构的证书用户。在这种情况下,证书用户以服务合同与认证机构建立了信用服务关系。而电子签名依赖方则是因交易关系的进行基于认证机构的特殊职业义务,与认证机构形成了信赖其信用服务的关系。《电子签名法》对这种特殊职业义务的规定是,“电子认证服务提供者应当保证电子签名认证证书内容在有效期内完整、准确,并保证电子签名依赖方能够证实或者了解电子签名认证证书所载内容及其他有关事项”。这既是认证服务机构的法定义务也是其一项重要的社会责任。
      3.交叉认证关系型
      这种关系中,虽然交易双方都是认证机构的证书用户,但是双方的证书是由不用的认证机构分别颁发的。在国际贸易中经常出现这种情况。这种关系的处理问题就需要通过各国或各认证机构之间签署相应的交易认证协议相互确认对方证书的有效性来解决。《电子签名法》对这种情况也做出了相应的规定,“经国务院信息产业主管部门根据有关协议或者对等原则核准后,中华人民共和国境外的电子认证服务提供者在境外签发的电子签名认证证书与依照本法设立的电子认证服务提供者签发的电子签名认证证书具有同等的法律效力”。
      4.混合认证关系型
      所谓混合认证关系,是指认证机构主营的是其他业务,认证服务只是作为它的一个衍生业务。比如金融机构颁发给其客户的电子认证证书,也可以应用于其他的在线交易认证。有的学者称之为“品牌证书”。[5]在这种交易关系中,认证机构不只是提供纯粹的电子签名认证服务,同时也以提供一定的交易辅助条件的形式参与了证书用户的交易活动。如银行在向用户提供认证服务的同时,还可提供支付、结算等服务。
    可见,除非交易双方为同一认证机构的用户,否则认证机构与证书信赖人之间无基础合同关系,认证机构依据法律规定履行自己对公众的义务。网络环境中认证机构通过相当开放的方式提供认证信息,在这种法律关系中,证书信赖人作为认证机构的义务履行对象是不特定的,凡是与证书申请人进行交易的人都可成为认证机构的权利人。有人认为,认证机构与证书信赖人之间,存在基于信赖人对认证机构信息系统的使用而产生的合同关系。[6]可见,信息访问是合同的缔结过程,经认证的可靠信息则构成合同的内容。合同说虽然在一定程度上有利于处理双方的关系,但在理论与实践中,认证机构的义务不是因合同约定而产生的,而是由有关的认证法律制度所规定的,属于法定的义务,须依法履行。
     (三)电子签名人与电子签名认证机构的法律关系
      认证机构接受证书申请人的申请,对申请人的情况进行核实,对符合条件的申请人签发电子证书,承担对其身份等认证的工作。对于这种关系的性质,有以下几种学说:
      1.信托关系说
      这种观点的依据来自英美法理论,认证机构对用户应负的注意义务是该理论的着眼点。信托是源于英美法的一种财产转移与管理设计。委托人将财产转移或为其他处分给受托人,委托受托人为受益人的利益或特定目的而管理和处分该财产。[7]通过分析认证机构的工作内容,认证机构、证书申请人、证书信赖人之间并不具备信托关系的特征。首先,申请人与认证机构之间不具有明显的委托关系,认证机构所进行的签发证书、认证等活动,是依据法律及认证规则作出,而非受申请人委托作出。其次,认证机构与证书信赖人之间的关系并非合同关系,认证机构在与其交往时法律地位是独立的,不代表任何一方利益,属于中立的第三方。而信托关系中,受托人与第三人之间形成交易合同关系,且受托人的行为是为委托人谋取利益,而绝非中立,从法律关系看具有非独立性。再次,信托中委托人与第三人原则上不直接发生法律关系,而认证关系中,恰是因为证书申请人与证书信赖人在线的交易行为才产生认证的要求。另外。认证机构对证书信赖人负有公正发布信用信息的义务,即认证机构对那些不是委托人或受益人的信赖人,也负有义务,这也有异于信托关系。因此,认证关系并非信托关系。
      2.非信托关系说
      这种观点认为除非有法律的专门规定,认证机构一般都不愿对证书申请人起到受托人的作用.因为。在电子商务交易中。认证机构并不参与用户基于电子签名所进行的交易。那么认证机构就不是电子商务交易的当事人,因而。在认证机构与用户之间就不存在信托关系。但该学说仍未说明认证机构与申请人之间的关系性质。
      3.专业信用服务说
      这种观点是以非信托关系说为基础。通过进一步分析认证关系的性质而确立的观点。专业信用服务说认为认证机构并不向在线当事人出售任何有形商品,它所提供的是无形的专业服务成果信息,通常包括交易相对人的身份、公共密钥、信用状况等信息。这些信息是无法用价格来衡量的,但却是开放型网络交易环境中进行交易的前提。认证机构与证书信赖人之间,有可能事先并不存在服务合同的关系(如果交易一方不是证书用户,或不是本地区、本国的证书用户的话)。而认证信用服务,如同医生对于病人,他们都负有职业上的特殊的义务。
      笔者认为,电子签名人与电子签名认证机构之间的关系是一种合同关系。电子签名人向电子签名认证机构申请认证证书,目的是使他的电子签名为第三方所认可、接受。电子签名认证机构接受申请,进行审查之后,依照相关规定向申请人颁发证书,并承担证书的管理和公、私钥的保密等义务。申请人因此支付相应的报酬。两者间形成电子签名认证合同。合同的标的是一种无形的信息。与一般的信息服务不同,电子签名认证机构提供的信息是经过核实的,即关于电子签名人身份的可靠信息。可见,电子签名认证是一种信用服务,电子签名认证机构与电子签名人之间的关系是服务合同关系。作为合同标的的无形信息就是服务成果,即公钥、证书等。
      电子签名认证机构收取费用向证书申请人提供服务,承担认证工作,同时他又对第三人承担发布完整、准确信息的义务,而无须事先与之成立合同关系。电子签名认证机构在电子商务中不加入交易的任何一方,处于中立地位,以自身的资产独立承担责任,向社会提供电子签名认证信息,确保信息完整、准确,并因信息虚假而承担责任。《电子认证服务管理办法》(以下简称《管理办法》)第18条对电子签名认证机构的义务作了如下规定:保证电子签名认证证书内容在有效期内完整、准确;保证电子签名依赖方能够证实或者了解电子签名认证证书所载内容及其他有关事项;妥善保存与电子认证服务相关的信息。
电子签名人是电子签名认证机构的客户,是接受认证服务的一方,他的义务主要包括两点:即真实陈述的义务和私密钥保管义务。真实陈述电子签名认证机构颁发证书时要求其提供的事项,是电子签名人在申请证书时所应履行的基本义务。因为就其身份、地址、营业范围、证书信赖等级的真实陈述,是证书可信赖性产生的前提,否则,将构成对证书体系信赖性的损害,并因此而承担一定的法律责任。[8]私密钥保管义务是与认证机构的公正发布信息义务相并列的社会责任,没有用户对其私密钥的独占性控制,认证机构就是再认真审核、公正发布信息,都无法保证电子签名证书的安全性。[9]
      二、电子签名认证中各方的法律责任
      电子签名的使用,是开放网络环境中商事交易法律行为的事实构成要素之一。电子签名一经做出,就会产生一定的法律后果。一项电子签名由谁做出,其责任归属于谁,直接关系到交易各方的切身利益。分析电子签名认证中各方的法律责任对当事人利益的保护有重要的意义。
      (一)电子签名人的法律责任
      我国的《电子签名法》中,对电子签名人应履行以下义务规定如下:
      1.电子签名人向电子认证服务提供者申请电子签名认证证书,应当提供真实、完整和准确的信息。(第20条)
      2.电子签名人应当妥善保管电子签名制作数据。(第15条)
      3.电子签名人知悉电子签名制作数据已经失密或者可能已经失密时,应当及时告知有关各方,并终止使用该电子签名制作数据。(第15条)
      与义务相对应,电子签名人应负有的法律责任是:
      电子签名人知悉电子签名制作数据已经失密或者可能已经失密未及时告知有关各方、并终止使用电子签名制作数据,未向电子认证服务提供者提供真实、完整和准确的信息,或者有其他过错,给电子签名依赖方、电子认证服务提供者造成损失的,承担赔偿责任。(第27条)
      电子签名人一般应对两种签名负责,一是对自己直接签署的电子签名,这是行为者自负后果的归责表现。二是还要对其独占控制的信息系统生成的电子签名负责,因为签名的拥有者,负有妥善保管电子签名制作数据的义务,即必须将电子签名保持于其独占控制之下[10]
      电子签名在未授权的情况下被非法使用的,签名拥有者的责任如何,签名信赖人和认证机构的损失如何补救,我国法律皆未作明确规定。但是我们可以在国外的法律中找到相关的规定。“尽管金钥持有人尽合理的注意义务,其他当事方仍有可能发现私钥。金钥可能遭‘蛮力攻击’(brute force attack)而破解。”[11]以美国各州立法为例,佐治亚州《电子记录与电子签名法》规定,在未授权使用电子签名的情况下,除电子签名的合法拥有者存有疏忽、粗心大意及故意外,可向未授权使用人行使下列救济方法:“(1)赔偿实际损失;(2)衡平救济,包括,但不限于发布禁令、返还财物;(3)在相关法律明文规定的情况下施以惩罚性赔偿。(4)合理的律师费用和支出,以及;(5)法庭认为的其它公平合理的救济措施”[12]。与佐治亚州不同,伊利诺斯州《电子商务安全法》不仅详尽地规定了未授权使用电子签名的法律后果,而且还列举未授权使用电子签名的情况。同时伊利诺斯州《电子交易安全法》规定,上述刑事责任的承担并不免除未经授权使用人承担民事责任,受害人仍可寻求民事救济方法以寻求补偿[13]。联合国国际贸易委员会《电子签名统一规则(2001)》规定每一签名者应尽合理的注意义务以防止签名器被无权使用,否则应对造成的损失承担责任。
      (二)电子签名认证机构的法律责任
      电子签名认证机构责任的产生是基于认证机构的职业义务的,这是一种法定义务。也就是说,从事电子签名认证服务的机构,必须向社会确保其证书中所载信息的真实性与可靠性,否则,电子商务环境下的信用制度将无从建立。除此之外,电子签名证书责任的承担还应具备两项事实,即交易的进行和损失的发生,并且交易额没有超出证书建议的可信赖程度范围。
      根据所产生债的性质不同,电子签名认证机构的法律责任可以分为:
      第一,电子签名认证机构对证书持有人的违约责任。这是指认证机构因不履行或未如实履行其约定义务而导致的损害赔偿、支付违约金等责任。认证机构可因不履行下列义务对证书持有人遭受的损失承担违约责任:1.对证书申请人以及证书持有人身份的调查、审核义务。电子签名认证机构因电子证书记载信息错误造成证书持有人判断错误并遭受损失的,或者因没有履行认证服务声明中的义务并造成了证书持有人损失的,应当承担损害赔偿或违约金责任。2.信息保密义务。若电子签名认证机构违反保密义务,侵犯证书持有人的隐私或个人信息资料等。3.安全保障义务。除不可抗力以及黑客行为等不可预料之因素外,认证机构对由于自身的过错,违反安全保障义务给证书持有人造成损失的应予以赔偿。
      第二,认证机构对证书持有人和电子签名依赖方的侵权责任。电子签名认证机构因违反法定义务的行为对他人造成的财产或人身损害所应承担的民事法律责任。其具体包括:1.由于违法违规发放认证证书,并造成证书持有人或其他相关利益人损失的,认证机构应承担损害赔偿责任。2.认证机构没有履行认证业务声明中载明的义务,或没有严格按照认证业务声明公告的程序、标准或规范操作,对证书持有人或相关信赖人造成的损失应承担损害赔偿责任。
      若电子签名认证机构发生泄漏证书拥有者的个人信息或私钥的行为,从犯罪构成上看,该行为是符合关与侵犯商业秘密罪的犯罪构成的。侵犯商业秘密罪的客观表现有三个方面,其中之一为“……违反约定或者违反权利人有关保守商业秘密的要求,披露、使用或者允许他人使用其所掌握的商业秘密的……”,刑法还规定“……本条所称商业秘密,是指不为公众所知悉,能为权利人带来经济利益,具有实用性并经权利人采取保密措施的技术信息和经营信息……”,据此,证书拥有者的个人信息或私钥应当属于商业秘密范畴。当认证机构主观上有过错,客观上发生了泄露行为,且“给商业秘密的权利人造成重大损失的”,应追究其刑事责任。此外《电子签名法》第32条规定若认证中心人员伪造、冒用、盗用他人的电子签名,构成犯罪的,依法追究刑事责任;给他人造成损失的,依法承担民事责任。
      (三)电子签名依赖方的法律责任
      电子签名依赖方的责任与义务《电子签名法》未作规定。电子签名人与电子签名依赖方之间一般表现为商务合同关系,主要受《合同法》的调整,虽然身为较为被动的一方,但电子签名依赖方仍负有一定的义务,即作为善意的谨慎商人尽到合理的注意义务。
      综上可见电子签名依赖方的责任如下:如果信赖方没有采取合理措施查证电子签名的可靠性;或者在有证书支持电子签名的情况下,未采取合理的措施查证证书的有效性、证书的中止或撤销;并未注意关于证书的任何限制,那么他将承担因其自身疏忽而导致的法律后果。
      三、我国电子签名责任分担亟待完善
      (一)完善认证机构的业务规则
      我国《电子签名法》第十九条规定,“电子认证服务提供者应当制定、公布符合国家有关规定的电子认证业务规则,并向国务院信息产业主管部门备案。 电子认证业务规则应当包括责任范围、作业操作规范、信息安全保障措施等事项。”这表明,国家允许电子认证机构按照规定制定相应的电子认证业务规则,并承认其效力。而在电子认证业务规则中,理应包括责任范围。对此可以理解为:对责任范围的相关业务规则条款,只要不与法律、法规相抵触,同样也是有效的。这就从法律上为电子认证机构提供了一定自由的空间,制定一个完善的业务规则将会限定电子认证机构的责任范围,从而避免众多的法律风险。
      (二)完善认证诉讼中的证据规则
      我国《电子签名法》没有明确规定证据倒置规则,但其第28条引进了过错推定原则规定为:“电子签名人或者电子签名依赖方因依据电子认证服务提供者提供的电子签名认证服务从事民事活动遭受损失,电子认证服务提供者不能证明自己无过错的,承担赔偿责任。”虽然该条规定本身并无不当,甚至在似乎扭转了用户的举证弱势地位,但在实际操作中并非如此。一方面,几乎在所有情况下,如电子签名过程中某个环节出错或电子签名受到质疑、电子签名制作数据被黑客窃用等,用户往往缺乏足够的证据来证明自己的陈述。另一方面,虽然我国《电子签名法》将举证责任加诸电子认证机构,但一旦发生争议,认证机构若要证明认证技术和密码使用符合国家标准,存储介质安全可靠,系统运作正常,信息未被内部人员泄密,认证证书的制作、签发、注销和管理并未出现异常,认证机构的所有日志信息均处于严格保护状态等,并非难事,而用户实际上不可能证明此类记录和信息不是事实的真实反映。其结果是,用户提出相反证据的可能性主要是理论上的,实际上其往往不具有找到这种证据的能力。因此,如何实质性地改善现有的证据规则是目前立法机构所面临的一项艰巨任务。
 
 
参考文献
【1】李双元、王海浪:《电子商务法》,北京大学出版社2004年版。
【2】苏丹、陈萱:《电子商务概论》,电子工业出版社2006年版。
【3】Mohan A著,贺军译,《数字签名》清华大学出版社2003年版。
【4】安建、张穹、杨学山主编:《中华人民共和国电子签名法释义》,法律出版社2005年版。
【5】关振胜:《<电子签名法>与数字签名的技术实现》,《电子商务》2006年第1期。
【6】高富平主编:《电子合同与电子签名法研究报告》,北京大学出版社2005年版。
【7】刘政伟:《一叶知秋—解析<电子签名法>颁布的意义及其影响》,《兰台世界》2005年第8期。


[1] 齐爱民、徐亮:《电子商务法原理与实务》,武汉大学出版社,2001年,第186页。
[2] 梁慧星:《民法总论》,法律出版社,1998年,第48页。
[3] 《中华人民共和国电子签名法》第34条第2项。
[4] 张丽:《电子认证中的法律关系分析》,《科技与经济》2006年第5期。
[5] 张楚:《论电子商务认证法律关系》,《北京邮电大学学报(社会科学版)》2001年第4期。
[6] 李双元:《电子商务法若干问题研究》,北京大学出版社,2003年,第96页。
[7] 郭明瑞、房绍坤:《新合同法原理》,中国人民大学出版社,2000年,第710页。
[8] 张楚:《电子商务法初论》,中国政法大学出版社,2000年,第251页。
[9] 张楚:《电子商务法初论》,中国政法大学出版杜,2000年,第252页。
[10] see《Utah Digital Signature Act》§46—3—40
[11] W.Everett Lupton,The Digital signature:Your Identity by the Numbers.The Richmond Joumal of Law and Technology,Volume VI Issue2.Fall 1999
[12] see《Georgia Electronic Records and Signatures Act》§l0—12—5(2001)
[13] Julian Epstein,Cleaning up a mess on the web:A comparison of federal and state digital signature laws.Journal Of Legislation And Public Policy.Volume 5 Number 2,spring 2002.
分享到:
返回
关注微信公众号持续了解浙江六和(舟山)律师事务所资讯
 

六和舟山律师

公众号介绍:六和舟山律师,身和同往,口和无净,意和同悦,戒和同修,见和同解,利和同均,以和的文化传播文明的律师事务所

公众号主体:浙江六和(舟山)律师事务所


微信扫描关注