电子认证规则

五、电子认证规则

电子信息技术的发展极大地增强了人们获得信息的能力，同时也增加了某些敏感或有价值的数据被滥用的风险。电子签名虽然能够从技术上确认网络中的各种交易信息的发出者及其身份，但数据信息有可能被人中途截获并篡改，电子签名所使用的技术，如密钥有可能被盗、丢失或破译，交易系统可能出错或受到攻击，甚至发件人也可能出于主观恶意而否认自己的行为。因此，如何确保交易对方的主体资格以及交易数据资料的安全，是电子交易各方都极为关注的问题。在计算机系统或通信中，认证是数据安全措施的一个重要组成部分，是电子商务活动中的一种重要的安全保障机制。随着互联网等开放性网络的广泛应用，认证机构及其服务的作用，将会显得更加重要。因此，构建网络社会统一实体私法规范的一个方面，就是构建电子认证法律规范。

(一)电子认证概述

1.认证机构的含义及功能

认证机构(certificate authority，简称CA)，又称“认证中心”、“验证机构”、“认证证书管理中心”等。根据联合国贸法会《电子签名示范法》第2条，认证机构是指以验证数字签名为目的，颁发与加密密钥相关身份证书的任何单位或者个人。

与电子签名一样，电子认证也是电子商务活动中的安全保障机制，它解决的是电子签名者的可信度问题，即交易对方是否确实就是签署的名字所代表的人，其资信是否可靠。电子认证是由特定的第三方机构提供的，主要应用于电子交易的信用安全方面，以保障开放性网络环境中交易人身份的真实可靠并确定某个人的身份信息或者是特定的信息在传输过程中未被修改或者替换，是一种对电子签名及其签名者的真实身份进行验证的服务。^[87]

2.电子认证的效力

经过认证机构认证的电子签名，申请认证的人可以相信其真实性和有效性。如果最终发现该电子签名不是真实的，在一定情况下，申请人可以要求认证机构赔偿损失，这是认证的最基本的效力。但是，认证并不具有公信力，即申请人相信了一个认证机构所作的认证的真实性后，其他的当事人并不一定要相信，经过认证的电子签名并不当然具有真实性和有效性。^[88]

3.电子认证相关国际国内立法概述

1996年，联合国国际贸易法委员会通过了《电子商务示范法》，在示范法的影响之下，各国相继制定了各自的电子商务立法和电子签名法，其中，多数立法都对认证机构做了规定。

《欧盟电子签名统一框架指令》结构紧凑，由15个条款和4个附件组成，主要用于指导和协调欧盟各国的电子签名立法。其中比较有特色的主要的四个方面:电子认证服务的市场准入、电子认证服务管理的国际协调、认证中的数据保护、电子认证书内容的规范。电子商务的本质决定了与电子商务相关的服务必然逐步显现国际化的趋势，电子认证服务也毫不例外，从长远的角度看，电子认证在国际范围内的统一和标准化是必然的趋势，在这一过程中，会产生不断的协调、互相渗透、交叉认证、竞争和兼并，这是电子商务自身的要求，也是市场竞争的要求和结果。

所以，欧盟的电子签名统一框架指令在这方面可谓目光远大，分别在其第3条和第7条中，对电子认证服务的市场准入、电子认证服务管理的国际协调进行了规定。其第3条第1款明确规定“成员国不得为证书服务规定任何事先授权”。此外，该条其他款还规定了认证服务管理的客观透明、适当和非歧视的原则。以另一个方面，该条第7款也明确指出“成员国可以对电子签名在公用部门的使用而附加一些可能的附属要求，这些要求应该是合格、透明、客观和非歧视的”。而其第7条第1款则明确规定:“成员国应保证在第三国设立的认证机构配发的资格证书能和在联盟内设立的认证机构配发的证书一样在法律上被承认，如果:(A)该认证机构履行了在规定项下的要求并经设立在成员国境内的非官方认证机构认证;(B)认证机构在联盟内设立并履行了本指令项下的要求对证书进行担保;(C)该证书可认证机构根据联盟与第三国或国际组织的双边或多边协议而得到承认。”基于这样的准则，就可以基本上确保国际间认证服务的相互认可，从而为电子商务的国际化铺就通途，应该说，这些基本原则和技术处理应在世界范围内得到推广。我国的电子签字法中对国际间的电子签字证书的认证方面涉及不多，只是明确了有关原则。欧盟的经验必定会在这一方面产生积极的影响。

日本2000年制定的《电子签名与认证服务法》主要的篇幅都用于规范认证服务，这一点与欧盟的电子签名统一框架指令十分类似。在其第二章、第三章和第四章中，以指定认证服务的许可，境外指定认证服务的许可、指定调查机构的调查、调查机构的成立批准等几个方面对认证服务进行了全面细致的规定，其中，对于认证服务的许可、境外认证服务的许可，与欧盟不同的是，日本采用了须经官方许可的做法，并且对许可的条件、不予许可的情形、许可资格的续殿、继承。变更、中止等都做了严格的规定，为了保证相关机制的运转，该法中还明确了指定调查机构的权利与义务，形成了一个很有特色的监管模式。此外，中国台湾的《电子签章法》对于认证机构的管理，采取尊重市场机制的低度管理制度，但要求认证机关应依主管机关制定的作业基准运行并对外公布，以保护消费者权益。

(二)电子认证机构的设立和管理

1.由政府或政府授权的机构组建，以政府信誉为保障，即政府主导型

多数发展中国家，由于技术资金处于劣势、市场发育不完善，同时又要加快发展，因而多采用政府干预，以发展本国认证体系，如马来西亚。但是，一些发达国家也保留了浓厚的政府介入特色，规定由信息通信部发放许可。如韩国、日本都属于对认证机构实施许可、审批的国家。其具体做法大致如下:(1)以法律授权政府相关的机构(通常为商务署)，对认证机构进行管理，颁发许可证;(2)规定认证机构所必须具备的可靠条件，包括硬件、软件、业务人员等方面;(3)政府允许符合法定条件的认证机构承担有限责任;(4)法律上推定经认证机构核实的电子签名具有证据力。该种方法充分显示了政府的行政力量，其目的是让安全数字签名完全成为手书签名的替代品，进而促使广大的消费者进入电子商务领域。

我国《电子签名法》属于政府主导型。《电子签名法》第17条规定了电子认证服务提供者应当具备的条件。且第18条规定:“从事电子认证服务，应当向国务院信息产业主管部门提出申请，并提交符合本法第17条规定条件的相关材料。国务院信息产业主管部门接到申请后经依法审查，征求国务院商务主管部门等有关部门的意见后，自接到申请之日起45日内作出许可或者不予许可的决定。予以许可的，颁发电子认证许可证书;不予许可的，应当书面通知申请人并告知理由。”这样的规定应该说是比较适应我国目前的商业和网络环境的。纯粹市场的解决方案不仅有赖于市场的培育和成熟，而且有赖于市场监管机制的健全。由于我国市场培育尚远未成熟，企业信誉相对较弱，因此在电子认证中需要以政府的信誉作补充。为了保障我国电子商务的健康发展，由政府组建的或者授权的机构担任电子签名的安全认证机构还是必要的。从我国的情况看，完全采取市场竞争的方式发展电子签名安全认证机构在近期还不现实。

2.以市场为导向，通过市场方式建立并在市场竞争中优胜劣汰，即行业自律型

这种模式是市场自由、技术中立原则的充分体现，即政府完全不介入、不干预，认证机构通过市场竞争建立信誉，以求生存和发展。采用这一管理模式的多为拥有雄厚的技术和资金优势，市场发育成熟，社会信用制度健全，民间认证体系已趋完善的国家。澳大利亚、美国的加利福尼亚州就是采用这种方法的典型代表。其具体做法是，政府只宣布承认计算机网络通讯记录的书面效力，认可电子签名与手写签名有同等效力，说明电子签名安全性的原则性标准，至于采用何种电子技术作出签名，由谁来充当网络交易中的认证人，政府一般不过问，可由交易当事人自己决定，认证机构自愿领取执照，但持照经营的机构在承担赔偿责任时限于认证书中所规定的责任限额。^[89]这种对电子商务的概括性规范，被称为“最低限度主义方法”，它在适应新技术发展方面有灵活性，但却留下很多重要问题没有规定。比如交易中的风险责任分担等关键性法律问题就不是靠当事人的协议所能完全解决的。这种自由宽松的交易环境，虽有利于电子商务企业施展才华，却不利于广大消费者的参与。

3.以政府或政府授权机构组建的认证机构作为认证体系的核心，同时接受其他机构的申请，即政府监管与市场培育相结合

采用这种方式管理认证机构的国家多数规定了自愿认可制度，即法律规定认证机构并不一定取得许可，但是经过政府许可的认证机构可享受责任限额等优惠条件。政府对认证机构管理只实行有限介入，不进行全面干预。如新加坡、英国、奥地利等国家。认证机构的管理机关由政府主管部门(如财政部或商务部等)和全国认证机构协会来承担，后者是根据法律而成立的行业协会，并不具体从事认证业务，协会负责成立一个电子认证标准审查委员会，具体对适用于电子认证行业的标准负责开发、修订与确认，并且负责对其会员所采用的密码、标准的选定。任何官方的和非官方的实体，都可以成为认证机构，但它必须是在全国认证协会登记的成员。

(三)电子认证机构的法律责任

1.关于电子认证机构法律责任的不同主张

认证机构处于整个数字签名认证法律关系的中心地位。数据电文和数字签名的真实性、完整性和不可否认性，都基于对电子签名的有效认证，其依据就是认证机构颁发的电子签名认证证书。认证机构的工作就是通过颁发证书用以证明证书上所载公钥与签名人之间的关系，并以其专业能力和执业资格使依赖方据以验证数字签名的真实性和完整性。那么，认证机构到底应负怎样的法律责任呢?

有学者认为，从消费者权益保护的角度考虑，在法律上对认证机构的责任予以规定是有必要的，因为，如果让认证机构以合同形式处理与证书用户之间的风险责任问题，可能会出现不利于用户的格式合同，损害弱小用户的利益。但如果让认证机构承担过重的责任，又势必会影响到电子商务这一新兴行业的发展。^[90]因此，其具体的风险分配问题应谨慎行事。也有学者认为，认证机构在从事签发电子凭证，证明电子签名正确性的业务活动中，承担着很大的法律责任的风险。例如，如果申请电子凭证的一方提供了虚假的身份信息，而安全认证机构没有通过仔细核查发现，没有及时告知接收电子签名文件的一方，就需要承担责任。又如，当某个电子凭证已经失效，认证机构没有及时告知对方，也需人承担责任。在电子商务中，认证机构的地位类似于网络服务提供者，既重要又危机四伏，如果不对其法律责任的风险加以适当的限制，认证机构就可能很难生存下去，认证市场也会萎缩、消亡。^[91]因此，对安全认证机构的责任需要加以适当限定。

2.电子认证机构法律责任的国际国内立法

从国际组织和各国的立法来看，大多立法都对认证机构的法律责任进行了一定的限制。例如，联合国《电子签名示范法》第9条第1款规定了认证机构的主要义务，即尽合理注意义务签发证书，并提供其他服务。第2条规定了认证机构如未满足第1款规定的义务并造成损失时应承担责任，但在该条第1款d项中规定认证机构被允许在证书中对自己的责任作出限制，因此，只要认证机构能够提供合理的方法使某个信赖方知晓该责任限制，便可以在该限制范围内承担责任。

综观各国的电子签名立法，多数国家的立法在认证机构的法律责任方面基本遵循了示范法的样本。例如，美国犹他州《数字签名法》规定，认证机构只要遵守了该法，就不对虚假的和伪造的数字签名负责;当证书存在错误陈述时，认证机构只对证书中写明的信赖程度负责，并只承担直接损失，不承担间接损失、惩罚性损害赔偿和精神损害赔偿。

欧共体电子签名指令规定，认证机构的民事法律责任主要是，签发权威性证书的认证机构，除非证明自己没有过错，应当对证书内容的完整性和准确性、签名生成数据持有人的身份、签名生成数据和签名验证数据的对应关系以及对因未及时撤销证书而造成的损失负责。不过，认证机构可以事先限制证书的使用范围和责任限额。英国电子签名条例也有类似规定。

新加坡《电子交易法》虽然没有为安全认证机构规定一般的责任限制，但是规定经政府管理机构许可的安全认证机构可以在其签发的电子凭证中说明其承担责任的限额，因此被许可的安全认证机构的责任风险实际上受到了限制。但此项规定，引起了新加坡商业界和法律界人士的强烈批评。有学者认为，这种对认证机构特别保护的规定，还不如代之以利用合同或侵权的一般原则来解决这一问题。另一些学者则认为，之所以给予认证机构以赔偿金额限制，目的是使认证机构承担的风险相当于银行发行自动柜员机卡或信用卡所承担的风险。在网络商务的起步阶段，为扶植认证机构的发展而给予其某些特别保护，也无可厚非。另一方面，在认证机构签发给当事人的证书被盗并被他人用以欺诈的情况下，如果欺诈是在当事人将证书被盗的情形通知认证机构之前发生的，则认证机构对当事人因欺诈而导致的损失不负责任。

3.我国《电子签名法》对电子认证机构法律责任的规定

我国《电子签名法》对认证机构的法律责任的规定主要集中于第28、30、31条，其第28条规定，电子签名人或者电子签名依赖方因依据认证机构提供的电子签名认证服务从事民事活动遭受损失，认证机构不能证明自己无过错的，承担赔偿责任。在民事案件的举证责任上，一般实行“谁主张、谁举证”的原则，但该条却采取了举证责任倒置的规定，规定由电子认证机构负举证责任。这主要是考虑到在虚拟环境下，电子签名人虽具备获取证据的可能性，但实际上往往不具备获得证据的能力，或者较电子认证机构而言远离证据，实际获得证据所要付出的成本将使诉讼活动变得毫无快捷和经济性，因此，规定由电子认证机构承担举证责任。认证机构作为保障电子商务交易安全的专业服务提供商，因其行为直接影响交易双方的利益，且就技术和过程掌控能力而言，在三者中处于优势地位，而且，我国目前的电子认证中认证机构繁多而且混乱，考虑到这些因素，我国《电子签名法》没有限定认证机构的法律责任，而是规定了较为严格的过错推定责任认定制度，要求认证人“证明自己无过错”方可解脱责任，这一规定显然表明了我国政府规范电子商务改善网络环境的决心。电子认证服务是一个高风险的行业，因此，积极研究责任防范和“无过错”证据证明方法对于认证机构有着十分重要的意义。

此处对于赔偿没有作具体规定，一般来说，应以对方遭受损失的数额为准。认证机构应注意到此规定，在认证活动中尽到自己的法律义务与责任，否则在当下电子商务蓬勃发展交易标的日渐增长的情况下，就有面对巨额赔偿责任的危险。当然，由于电子认证机构是开展电子商务活动的基础设施和公用事业机构，证书用户众多，如果一旦发生赔偿，电子认证机构很可能根本无法正常运行，从而影响到整个交易的发展，因此，电子认证机构只能就违约或失职行为导致的直接损失承担赔偿责任，对电子签名人丧失利润或商业机会的损失、精神上的损失则一般不予赔偿。需要注意的是，我国《电子签名法》并没有禁止认证机构在服务合同中增加限制自身责任风险的条款。这是法律留出的自由裁量的余地，还是一个没有规定可循的空白区域?新法规的出台，为认证服务从业者和法律界人士提出了值得讨论和思考的问题。