正   文

电子签名与认证提供者的法律责任

  

  编者按:《电子签名法》结束了多年来电子认证服务没有法律依据、没有运作规范、没有主管部门的“三无”状态。明确了电子签名的法律效力,明确了电子认证服务机构的法律地位,用户使用电子签名有了法律保障。为了进一步剖析《电子签名法》,使广大公众更好地了解电子认证服务机构,《信息网络安全》杂志近期刊登了一篇题为《电子签名与认证提供者的法律责任》的文章。此文的作者是一位资深律师,他参考世界各国的相关法律文件、法规条例,引经据典,深入解析了电子认证服务机构的法律责任,希望此文能起到答疑解惑的效果。

  作者 北京市明诚律师事务所 田凤常

  从国际上来看,电子签名法的立法活动十分迅速。1996年,联合国国际贸易法委员会推出《电子商务示范法》;马来西亚早在九十年代中期就提出了建设“信息走廊”的计划,并于1997年制订了《数字签名法》,是亚洲最早的电子商务立法;意大利1997年《数字签名法》;德国1997年的《数字签名法》和《数字签名条例》;1998年,新加坡颁布了主要涉及“电子签名”的《电子交易法》,又于1999年制订了“新加坡电子交易(认证机构)规则”和“新加坡认证机构安全方针”;加拿大1999年的《统一电子商务法》;澳大利亚1999年3月15日生效的《电子交易法》;韩国1999年的《电子商务基本法》;1999年12月13日,欧盟通过了关于电子签名的最终指令:《欧盟电子签名统一框架指令》;西班牙2000年2月29日生效的《电子签名与认证服务法》;日本政府于2000年6月推出《数字化日本之发端行动纲领》;2000年6月30日,美国总统克林顿正式签署了《国际与国内商务电子签章法》,这是美国历史上第一部联邦级的电子签名法;印度2000年10月的《电子签名和电子交易法》;我国香港2000年的《电子交易条例》和我国台湾2001年的《电子签章法》;2001年,联合国贸法会审议通过《电子签名示范法》;2001年2月16日,德国议员投票通过了使电子签名具有与手写签名同样的法律效力的议案,使德国成为第一个电子签名合法化的欧洲国家;日本的《电子签名与认证服务法》于2001年4月生效;2002年8月16日,波兰电子签名法正式生效,电子签名在波兰将与书写签名具有同等的法律效力。

  自俄罗斯1995年1月25日的《数字签名法》和1995年美国尤他州颁布的《数字签名法》(Utah Digital SignatureAct)至今,关于电子签名的立法在短短几年内便席卷全球,令人惊叹。这罕见的景观背后,是蓬勃发展的电子商务的巨大推动力。安全可靠的运作环境直接关系着电子商务的发展远景,它需要扫除法律障碍,在虚拟的交易环境中保证交易的真实可信。电子签名自然成为其中的重要环节,可说是电子商务进化的必经之路。在这样的环境下,我国刚刚颁布的《中华人民共和国电子签名法》顺应时势,是我国信息产业发展中的重要事件。

  而认证(Certification)又是电子签名中的一项重要制度,其日标仍然是着眼于“安全”。大家知道,电子商务安全问题的解决是两个方面的问题:技术方面,从技术上建立电子商务的安全认证机制,确认用户的真实性,信息/数据的保密性,完整性和不变性(抗抵赖);同时,利用现代密码技术,加密/解密技术及电子签名技术等,来保证电子商务活动的安全。法律方面,法律方面的安全保障是指,在电子商务活动出现差错时,如何运用法律手段解决有关交易各方的责任和权利/义务等问题。电子商务使用现代电子通讯手段所产生的法律问题,最终还是要通过立法来解决。网上交易除了交易双方以数字签名识别彼此的身份和确保传输信息的完整性外,对数字签名本身的认证问题,不是靠交易双方自己能完成的,而需要由一个具有权威性和公正性的第三方来完成,从而为网上交易建立一种有效、可靠的保护机制,这也是数字签名制度的核心。此第三方一般被称为认证机构(CertificationServiceProvider)。认证机构是电子签名安全的技术保障体系,它承担网上安全电子交易认证服务,能签发数字凭证并能确认用户身份,它认证的是所给公钥与私钥是否具有关联性且处于一种有效密钥的最新状态,这种关联性和最新性对数字签名的证实和信用是非常重要的。

  各国在关于电子签名的立法中都对认证机构做了规定:

  马来西亚数字签名法采用了以公共密钥技术为基础并配套建立认证机制的技术模式。该法用大量篇幅对认证市场进行规范,认证机构的管理由马来西亚政府部长任命的官员或人士来负责,该法将其称为监控人。监控人可以根据工作的需要在部长的许可下组织自己的监控工作机构。该法还规定应根据有关法律成立全国性认证机构进行具体的认证工作。该法同时对认证工作进行了极为详细的规定,包括许可证的申请手续,生效与拒绝、撤消、遗失、有限期延长、放弃等问题。

  而德国数字签名法则明确规定,验证服务营业无须批准,只要达到一定的从业标准,即可以经营该业务。政府并不组建或授权安全认证机构,有能力的组织都可以进入安全认证市场。

  新加坡《电子交易法》中也反映出,政府并不组建或授权安全认证机构,有能力的组织都可以进入安全认证的市场(新加坡境外的安全认证机构要进入其市场则必须经新加坡政府管理机构的批准),凭借自己的市场竞争能力建立信用。但是,新加坡在安全认证市场管理方面还是非常严格的。首先,《电子交易法》规定,政府任命一个安全认证机构的管理机构,负责许可、证明、管理和监督安全认证机构的活动。其二,“电子商务法”规定了所有从事安全认证业务(例如签发电子凭证)的机构都必须遵循的统一标准。其三,安全认证机构可以自愿向管理机构申请许可,虽然管理机构的许可并不妨碍安全认证机构进入市场,但是得到许可的安全认证机构可以享受某种“优惠”,尤其是可以享受法律规定的责任限制。

  于1999年末制定的《欧盟电子签名统一框架指令》结构紧凑,由15个条款和4个附件组成,主要用于指导和协调欧盟各国的电子签名立法。其中比较有特色的主要的四个方面:电子认证服务的市场准入、电子认证服务管理的国际协调、认证中的数据保护、电子认证书内容的规范。电子商务的本质决定了与电子商务相关的服务必然逐步显现国际化的趋势,电子认证业务也毫不例外,从长远的角度看,电子认证在国际范围内的统一和标准化是必然的趋势,在这—过程中,会产生不断的协调、互相渗透、交叉认证、竞争和兼并,这是电子商务自身的要求,也是市场竞争的要求和结果。所以,欧盟的电子签名统一框架指令在这方面可谓目光远大,分别在其第三条和第七条中,对电子认证服务的市场准入、电子认证业务管理的国际协调进行了规定。其第三条第一款明确规定“成员国不得为证书服务规定任何事先授权。”此外,该条其他款还规定了认证服务管理的客观透明、适当和非歧视的原则。以另--+方面,该条第七款也明确指出“成员国可以对电子签名在公用部门的使用而附加—些可能的附属要求,这些要求应该是合格、透明、客观和非歧视的”。而其第7条第一款则明确规定:“成员国应保证在第三国设立的认证机构配发的资格证书能和在联盟内设立的认证机构配发的证书—样在法律上被承认,如果:(A)该认证机构履行了在规定项下的要求并经设立在成员国境内的非官方认证机构认证;(B)认证机构在联盟内设立并履行了本指令项下的要求对证书进行担保;(C)该证书可认证机构根据联盟与第三国或国际组织的双边或多边协议而得到承认。”基于这样的准则,就可以基本上确保国际间认证业务的相互认可,从而为电子商务的国际化铺就通途,应该说,这些基本原则和技术处理应在世界范围内得到推广。我国的电子签字法中对国际间的电子签字证书的认证方面涉及不多,只是明确了有关原则。欧盟的经验必定会在这一方面产生积极的影响。

  日本2000年制定的《电子签名与认证服务法》主要的篇幅都用于规范认证服务,这一点与欧盟的电子签名统一框架指令十分类似。在其第二章、第三章和第四章中,以指定认证服务的许可,境外指定认证服务的许可、指定调查机构的调查、调查机构的成立批准等几个方面对认证服务进行了全面细致的规定,其中,对于认证业务的许可、境外认证服务的许可,与欧盟不同的是,日本采用了须经官方许可的做法,并且对许可的条件、不予许可的情形、许可资格的续殿、继承。变更、中止等都做了严格的规定,为了保证相关机制的运转,该法中还明确了指定调查机构的权利与义务,形成了一个很有特色的监管模式。

  中国台湾的《电子签章法》对于认证机构的管理,采取尊重市场机制的低度管理制度,但要求认证机关应依主管机关制定的作业基准运行并对外公布,以保护消费者权益。

  可以看到,各国对认证机构的管理各有其政策。总的来说,可分为以下类别:

  一是行业自律型。这是市场自由、技术中立原则的充分体现。即政府完全不介入、不干预,认证机构通过市场竞争建立信誉,以求生存和发展。采用这一管理模式的多为拥有雄厚的技术和资金优势,市场发育成熟,社会信用制度健全,民间认证体系已趋完善的国家。澳大利亚、美国的加利弗尼亚州是采用这种方法的典型代表,追随者也不在少数。其具体做法是,政府只宣布承认计算机网络通讯记录的书面签名安全性的原则性标准,至于采用何种电子技术做出签名,由谁来充当网络交易中的认证人,政府一般不过问,可由交易当事人自己决定。这种对电子商务的概括性规范,被称为“最低限度主义方法”,它在适应新技术发展方面有灵活性,但却留下很多重要问题没有规定。比如交易中的风险责任分担等关键性法律问题就不是靠当事人的协议所能完全解决的。这种自由宽松的交易环境,或许有利于电子商务企业施展才华,却不利于广大消费者的参与。

  二是政府监管与市场培育相结合。采用这种方式管理认证机构的国家多数规定了自愿认可制度,即法律规定认证机构并不一定取得许可,但是经过政府许可的认证机构可享受责任限额等优惠条件。政府对认证机构管理只实行有限介入,不进行全面干预。如新加坡、英国、奥地利等国家。该方案设想如下:认证机构的管理机关应当由政府主管部门(如财政部或商务部等)和全国认证机构协会来承担,后者是根据法律而成立的行业协会,并不具体从事认证业务,协会负责成立一个电子认证标准审查委员会,具体对适用于电子认证行业的标准负责开发、修订与确认,并且负责对其会员所采用的密码、标准的选定。任何官方的和非官方的实体,都可以成为认证机构,但它必须是在全国认证协会登记的成员。这一方案采取了官方监督,

  三是政府主导型。多数发展中国家,由于技术资金处于劣势、市场发育不完善,同时又要加快发展,因而多采用政府干预,以发展本国认证体系,如马来西亚。但是,—些发达国家也保留了浓厚的政府介入特色,规定由信息通信部或者相关大臣发放许可。如韩国、日本都属于对认证机构实施许可、审批的国家。其具体做法大致如下:(1)以法律授权政府相关的机构(通常为商务署),对认证机构进行管理,颁发许可证;(2)规定认证机构所必须具备的可靠条件,包括硬件、软件、业务人员等方面;(3)政府允许符合法定条件的认证机构承担有限责任;(4)法律上推定经认证机构核实的电子签名具有证据力。该种方法充分显示了政府的行政力量,其目的是让安全数字签名完全成为手书签名的替代品,进而促使广大的消费者进入电子商务领域。

  我国的《电子签名法》应属于政府主导型。《中华人民共和国电子签名法》第十七条规定了电子认证服务提供者应当具备的条件,第十八条规定:“从事电子认证服务,应当向国务院信息产业主管部,、)提出申请,并提交符合本法第十七条规定条件的相关材料。国务院信息产业主管部门接到申请后经依法审查,征求国务院商务主管部门等有关部门的意见后,自接到申请之日起四十五日内作出许可或者不予许可的决定。予以许可的,颁发电子认证许可证书;不予许可的,应当书面通知申请人并告知理由。”这样的规定应该说是比较适应我国目前的商业和网络环境的。纯粹市场的解决方案不仅有赖于市场的培育和成熟,而且有赖于市场监管机制的健全。由于我国市场培育尚远未成熟,企业信誉相对较弱,因此在电子认证中需要以政府的信誉作补充。为了保障我国电子商务的健康发展,由政府组建的或者授权的机构担任电子签名的安全认证机构还是必要的。从我国的情况看,完全采取市场竞争的方式发展电子签名安全认证机构恐怕在近期还不现实。

  与认证提供者在电子签名中捞演的重要角色紧密相连的是在认证中所负有的法律责任。联合国国际贸易法委员会2001年的《电子签名示范法》作为先锋和纲领陛的文件对电子签名中的各方的责任和义务做出了规定要求签名人应当尽合理注意避免其签名数据未经授权被他人使用;在签名人知道签名数据已经处于不安全状态,或者签名人了解的情况导致出现了签名数据可能已经处于不安全状态时,他应当未经不合理迟延地通知其可能预料到的依赖电子签名行事的或为电子签名提供支持服务的任何人。如果签名人没有履行上述义务,他将承担由此引起的一切法律责任。

  在对认证服务提供者方面:如果认证服务提供者为一项需经认证程序方有法律效力的电子签名而提供证明服务时,他应当尽以下义务:即认证服务方必须按照其自身的行为规范向客户提供服务;保证与认证服务有关的所有主要承诺准确和完整;提供合理可行的方式使依赖方能够从证书中获得确认:a.认证服务上的身份,b.签名人(证书所载的)在发证时掌握着签名生成数据,c.签名生成数据在发证时及之前始终有效;使依赖方能方便得到有关情况(如:识别签名人的方法,对签名制作数据/证书的使用的限制,签名制作数据是否安全/有效,认证服务商的责任范围,以及有关发出通知/撤销,等其他情况);在提供服务时使用可信赖的系统、程序和人力资源等。联合国国际贸易法委员会2001年的《电子签名示范法》规定,认证方证明服务提供者将因未能履行上述义务负法律责任。

  在《电子签名示范法》中,有信赖利益的一方同样负有相应的义务:如果信赖方没有采取合理步骤查证电子签名的可靠性;或者在有一证书支持电子签名的情况下,未采取合理步骤:查证证书的有效性、证书的中止或撤销;并且注意关于证书的任何限制,那么他将承担因其自身疏忽导致的法律后果。

  (转载自信息网络安全杂志2006年第10期)

客服电话:400-880-9888 销售热线:010-59798680

PC版 微博 微信公众号:CFCA-4008809888