电子认证法律关系

第四节　电子认证法律关系

电子认证通常由多方当事人参加，根据信息产业部电子认证服务管理办公室2005年4月发布的《电子认证业务规则规范(试行)》的规定，结合电子认证服务市场的一般规律和普遍实践，可以发现，电子认证活动主体包括以下几类:

(1)电子认证服务机构，也就是证书认证机构，是颁发证书的实体。

(2)注册机构，也就是为最终证书申请者建立注册过程的实体，对证书申请者进行身份标识和鉴别，发起或传递证书吊销请求，代表电子认证服务机构批准更新证书或更新密钥的申请。

(3)订户，从电子认证服务机构接收证书的实体。在电子签名应用中，订户即为电子签名人。

(4)依赖方，依赖于证书真实性的实体。在电子签名应用中，即为电子签名依赖方。依赖方可以是、也可以不是一个订户。

(5)其他参与者，如证书制造机构、证书库服务提供者、以及其他提供电子认证相关服务的实体。

但在上述五类主体中，对于整个电子认证法律关系来说，最为重要的、也是最能体现整个电子商务交易法律关系的主体主要有三类，即电子认证机构、电子签名人和电子签名依赖方。他们之间在电子认证过程中形成的复杂关系以及在此基础上所形成的复杂的法律关系和相应的权利、义务和责任，构成了整个电子认证法律关系的核心。

一、电子认证机构、电子签名人和电子签名依赖方之间的法律关系

(一)认证机构与电子签名人之间的法律关系

在电子交易中，签名人需要利用电子签名来证明自己的身份并保障数据的安全传输，认证机构提供证书服务，目的是表明电子签名人身份信息的真实性，使其电子签名能为他人所认可，同时也可了解其他签名人的真实身份，增加交易机会，促进交易成功。认证机构提供的证书服务是一种信息服务，认证机构与电子签名人之间通过认证证书联系起来，

认证证书是认证服务合同的格式化体现，两者之间应属合同关系.在电子认证活动中，电子签名人需向认证机构提交内容完整的申请书，提供必要的信息资料和证明文件，该过程可看作为电子签名人向认证机构发出要约;认证机构受理申请后，应遵循相关规定及程序对申请者的身份及提供的信息进行审核鉴定，经审验，如申请人提供的信息真实、完整和准确，则可批准向申请者签发认证证书，即认证机构作出承诺，申请人成为证书用户，两者之间合同关系成立。认证证书的签发、对证书生命周期内的有效管理以及收取相关费用，都应视为合同的履行行为。我国《电子认证管理办法》第二十二条规定:“电子认证服务机构受理电子签名认证申请后，应当与证书申请人签订合同，明确双方的权利义务。”由于电子认证服务的特殊性，法律对认证机构和电子签名人的权利义务设定了很多强制性条款，对两者之间的关系作了较多千预，但这并不影响合同关系的本质。

认证机构与电子签名人之间的合同是提供服务的合同，它属于无名合同。双方的权利义务在受到《合同法》及相关法律调整的同时，更多的可由双方的约定来规范。在实务操作中，由于用户更多的是对相关条款进行“接受”或“拒绝”的选择，一般很难改变认证机构业务规范，它又具有格式合同的特点。

(二)认证机构与电子签名依赖方之间的法律关系

认证机构通过签发证书提供一系列信息，包括电子签名人的名称、公钥、证书的有效期等，这些信息是进行网上交易必须的前提，是电子商务交易人所关心并且很难亲自得知的基本信息。证书信息是经过认证机构核实的真实信息，认证机构应对证书信息的真实性负法律责任。

电子签名依赖方是基于对认证证书的信赖而与交易对方进行交易的人，在实践中依赖方与认证机构之间的关系主要有三种情形:一是交易双方签名人与依赖方都是同一认证机构的用户，都持有电子认证证书;二是交易双方都持有电子认证证书，但是由不同认证机构发放的;三是依赖方不持有任何电子认证证书。

在第一种情形下，依赖方与认证机构之间存在认证服务合同，第二、三种情况，依赖方与认证机构之间没有合同，他完全是基于对认证机构的信任，而相信电子签名人。不论上述哪种情况，依赖方对认证机构的信赖都是始终存在的。

在电子认证活动中，电子签名依赖方与认证机构之间是一种利益信赖关系，其产生的经济根源在于电子签名人向认证机构的付费行为。电子认证证书的公正性是认证机构业务存在的根本条件，签名人正是源于电子认证证书的信用证明力，愿意向认证机构支付费用，如因认证机构与依赖方之间不存在服务合同，而偏袒建立服务合同的签名人一方，其签发的证书就会因公正性的缺失，而没有了证明力、生命力，认证机构也就没有存在的必要。因此，认证机构向依赖方提供信用服务，承担相应义务，是认证行为的内涵，签名人的付费行为是认证机构对依赖方承担义务的根源。

同时我们应看到认证机构对依赖方承担的义务，是有关认证法律制度规定的，是一种法定义务，不是合同约定的，须依照法律履行。在电子交易过程中，电子签名依赖方常处于弱势位置，需要法律加以重点保护的。建立完善的法律救济机制能够增强电子签名依赖方网上交易的信心，促进电子商务环境的发展。

(三)电子签名人与电子签名依赖方之间的法律关系

电子签名人与电子签名依赖方通常是网上交易的双方，他们之间是一种买卖合同关系，与普通的买卖关系并无大异，只是交易形式由面对面变为网上交易。电子认证证书是交易成立的前提，电子交易依赖方基于证书信息信任对方，与之发生买卖关系。一旦因证书信息的错误造成损失，在认证机构有过错的情况下，电子签名人或依赖方均可向其追偿。

另外，在电子认证服务过程中，为了使认证机构能够维持足够的能力来履行义务和承担责任，维护其安全运营，国家主管机关依法对认证机构实施监督管理。他们之间是一种行政法律关系，不在本书讨论的范畴。

二、电子签名人(证书拥有人)的义务和责任

在电子认证关系中，电子签名人是认证机构的客户，是接受电子认证服务的一方，他享有一定的权利，同时也承担着与电子认证服务关系特性相关的义务。

(一)电子签名人的权利

1.获得有效证书的权利

电子签名人提供了符合要求的身份证明及信息资料，并交纳了证书服务费用后，有权获得有效合格的电子认证证书。

2.中止或撤销认证证书的权利

电子签名人应有申请中止或撤销证书的权利。例如，电子签名人相信他的私钥已泄密或其他不安全情况发生时，有权向认证机构提出中止或撤销证书的申请。认证机构在收到申请后，应当在规定的时间内办理，并及时予以公布。

3.求偿权

电子签名人或者电子签名依赖方因依据电子认证服务提供者提供的电子签名认证服务从事民事活动遭受损失，电子认证服务提供者不能证明自己无过错的，承担赔偿责任。据此，电子签名人可向认证机构请求赔偿。

(二)电子签名人的义务

1.真实陈述义务

真实陈述认证机构要求提供的事项是电子签名人的基本义务，这是民法诚实信用原则的体现，也是证书产生可信赖性的前提。

电子签名人在申请证书时，应当如实提供身份证明及相关资料，真实陈述认证机构签发证书时要求提供的事项。电子签名人一旦接受了认证机构所颁发的证书，就要负担起保证证书中所含信息的真实性、准确性、完整性的义务。电子签名人对认证机构作出的所有重大陈述，无论是否经过认证机构确认，都必须是在其所知晓的范围内准确和完整的。马来西亚《1997年数字签名法》规定用户因违反诚实信用义务须向认证机构补偿，包括对重大事实的错误陈述;未能披露重要事实。美国犹他州《数字签名法》也规定:任何证书用户向任何信赖证书的人表明，证书上的记载是真实无误的，证书所有人的陈述是真实的;如果用户欺诈认证机构或者信赖证书的人，或者因过错作出了重大的书面虚假陈述，或者没有披露重要的事实，从该用户接受证书时起，对由其错误陈述或过错导致的损失应予赔偿。

我国《电子签名法》第20条规定:“电子签名人向电子认证服务提供者申请电子签名认证证书，应当提供真实、完整和准确的信息。”

2.妥善保管和及时通知义务

电子签名人在认证证书有效期间应尽合理的注意，采取必要的防范措施，妥善保管其私人密钥，不得将其披露给未经授权的第三人，防止被破坏或盗用。

与认证证书相联系的私钥是电子签名人制作个人电子签名的密钥，一旦丢失或被破坏、盗用，就会出现他人冒充签名人进行交易的危险。没有电子签名人对其私钥的独占性控制，从根本上无法保证电子签名证书的安全。电子签名人必须妥善保管其私钥，遇到有私钥失密或其他自己丧失独占性控制的情况，即应立即通知有关各方，若签名人违反了该义务，给认证机构或依赖方造成损失，应承担相应的法律责任。

新加坡《电子交易法》“用户的责任”中规定，用户有责任对其私钥保持控制，并不得向未经授权的人泄漏;如果私钥出现问题，用户须向认证机构申请中止或撤销其证书。联合国贸法会《电子签名示范法》“签名人的行为”中规定，签名人应采取合理的谨慎措施，避免他人擅自使用其签名制作数据;在知悉签名数据已经失密或出现可能已经失密的风险时，应毫不延迟地向其可以合理预计的依赖电子签名或提供电子签名服务的任何人发出通知。

我国《电子签名法》第15条规定:“电子签名人应当妥善保管电子签名制作数据。电子签名人知悉电子签名制作数据已经失密或者可能已经失密时，应当及时告知有关各方，并终止使用该电子签名制作数据。”

3.交纳费用的义务

电子认证服务是一种有偿服务，电子签名人应根据认证合同或认证机构的业务说明规定，按时交纳相关费用。

4.证书更新的配合义务

随着技术的进步，有时会出现一定的技术风险，在此情形下，认证机构为了保证证书的安全性，会要求电子签名人更换证书，签名人在收到证书更新通知时，应在规定的期限内到认证机构更新证书。

(三)电子签名人的民事法律责任

电子签名人在电子签名活动中违反电子签名法的规定，需要承担民事法律责任。电子签名人违反认证合同规定的义务，应向认证机构承担责任，这在性质上属违约责任。例如电子签名人故意提供虚假信息，欺骗电子认证服务机构，致使认证机构签发的证书上包含了错误信息，导致认证机构信誉降低或因赔偿信息依赖方而引起经济损失。

电子签名依赖方是源于对认证机构签发的电子认证证书的信赖而进行交易的，作为证书持有者，电子签名人应对认证证书及相关信息负有保证义务。电子签名人在认证活动中违反法定义务，会造成对电子签名依赖方的侵权。如电子签名人未对其私钥尽妥善保管之义务，造成私钥丢失或泄密，被假冒者利用来对电子签名依赖方进行欺诈，其应对依赖方的财产损失负侵权责任。

我国《电子签名法》第27条规定:“电子签名人知悉电子签名制作数据已经失密或者可能已经失密未及时告知有关各方、并终止使用电子签名制作数据，未向电子认证服务提供者提供真实、完整和准确的信息，或者有其他过错，给电子签名依赖方、电子认证服务提供者造成损失的，承担赔偿责任。”该条规定确立了我国法律对电子签名人法律责任的承担采用过错原则.电子签名人具有上述条款中的任何一种行为，均属有过错，应当对认证机构和依赖方由此造成的损失给予弥补。举证责任由认证机构或依赖方承担。

三、电子签名依赖方(证书信赖者)的权利、义务和责任

(一)电子签名依赖方的权利

电子签名依赖方在交易过程中，需要验证电子签名的真实性，了解对方当事人的身份等信息，他是基于对认证证书和电子签名的信任而与电子签名人发生交易。在电子认证关系中，依赖方是较为弱势的一方，为了维护电子商务的交易安全，保护电子签名依赖方的利益，各国法律大都规定了认证机构及电子签名人对电子签名依赖方的保证义务。电子签名依赖方的权利主要表现在:认证机构和电子签名人有义务保证电子认证证书及相关信息的有效性、真实性;依赖方进行电子交易时，有权查询对方的证书是否真实有效，认证机构有义务提供相关的查询服务。当认证机构或电子签名人违反相关义务，导致依赖方因信赖证书而造成损害时，依赖方有权要求赔偿。

(二)电子签名依赖方的义务

在电子认证关系中，作为善意第三人的依赖方，需要其承担的义务相对较少，主要包括:需要了解并遵循电子认证业务操作规范以及相关的证书政策:了解并遵守证书的使用目的和范围;在信赖电子签名人的证书前，须查询最新的证书废除列表，查验证书状态，以确定其是否真实有效。

联合国贸法会《电子签名示范法》第11条“信赖方的行为”中规定，依赖方如未能履行下列行为，应承担相应的法律后果:采取合理的步骤查验电子签名的可靠性;在电子签名有证书支持时，采取合理的步骤查验证书的有效性、证书的中止或撤销;遵守对证书的任何限制。

我国《电子签名法》对依赖方的义务未做明确规定，但应要求其尽到合理的注意义务，根据具体的环境，谨慎确认所接收的电子签名的合理性，这也是为了更好的规避风险，维护其自身利益所必须的。

(三)电子签名依赖方的民事责任

电子签名依赖方的责任主要是指依赖方对自己的损失承担的责任。在电子签名活动中，电子签名依赖方的地位一般比较被动，各国法律在对其进行重点保护的同时，也设定了其相应的义务，即合理的注意义务。依赖方对证书的信赖必须有合理性，应根据具体环境，对所接受的电子签名合理性予以确认。另外依赖方对交易相对人认证证书的使用，一般应在所建议的可靠程度内信任，并进行交易。若依赖方超出认证机构建议的范围，超出部分的风险，由其自行承担。

四、电子认证机构的权利和义务

(一)认证机构的权利

1.要求电子签名人提供真实资料并对相关资料进行查验的权利

在证书申请人申请电子签名认证证书时，认证机构有权要求申请者提供相关的真实资料。对个人证书申请者，认证机构一般要求其提供个人的姓名、个人身份证的原件及复印件、身份证号、联系电话、通信地址、邮编等个人资料;对单位证书申请者则要求提供单位名称、单位性质、单位地址、单位联系电话、组织机构代码、单位有效证件的原件及复印件以及经办人资料等信息。

认证机构在遵循合法程序的条件下有权对申请人提供的证明身份的有关材料进行查验、审核。对相关材料的查验既是认证机构的权利，也是其义务。我国《电子认证服务管理办法》第30条规定:“有下列情况之一的，电子认证服务机构应当对申请人提供的证明身份的有关材料进行查验，并对有关材料进行审查:(一)申请人申请电子签名认证证书;(二)证书持有人申请更新证书;证书持有人申请撤销证书。”

2.撤销其签发的电子签名认证证书的权利

为了保证证书的安全，在一定情况下，认证机构有权撤销其签发的认证证书。认证证书可应当事人的请求而撤销，也可由认证机构在发现认证信息发生变动或证书用户行为不符合认证机构规定时主动撤销证书。

我国《电子认证服务管理办法》第29条规定:“有下列情况之一的，电子认证服务机构可以撤销其签发的电子签名认证证书;(1)证书持有人申请撤销证书;(2)证书持有人提供的信息不真实;(3)证书持有人没有履行双方合同规定的义务;(4)证书的安全性不能得到保证;(5)法律、行政法规定的其他情况。”

3.求偿权

我国《电子签名法》第27条规定:“电子签名人知悉电子签名制作数据已经失密或可能已经失密未及时告知有关各方、并终止使用电子签名制作数据，未向电子认证服务提供者提供真实、完整和准确的信息，或者有其他过错，给电子签名依赖方、电子认证服务提供者造成损失的，承担赔偿责任。”由此可知，因电子签名人的过错给认证机构造成损失的，认证机构有权依双方的合同约定或依法要求赔偿。

4.收取费用的权利

作为重要的信息提供商，认证机构所提供的电子认证服务是一种有偿服务，它有权向证书申请人和证书持有人收取一定的费用。

(二)认证机构的义务

认证机构的义务包括约定义务和法定义务。约定义务指其与电子签名人在认证合同中约定的义务:法定义务指立法强制性规范确立的、不允许当事人以约定方式排除的义务。认证机构所负有的法定义务主要有以下几个方面:

1.安全谨慎的提供证书服务

制作、发放和管理认证证书是认证机构最重要的任务，保证认证证书的真实有效性是其首要义务，这就要求认证机构要对证书申请人的身份进行严格的查验，并对相关材料进行审核，保证证书信息的真实可靠。同时认证机构有义务提供证书生命周期内的管理服务。

我国《电子认证服务管理办法》第17条规定:“电子认证服务机构应当保证提供下列服务:(1)制作、签发、管理电子签名认证证书;(2)确认签发的电子签名认证证书的真实性;(3)提供电子签名认证证书目录信息查询服务;(4)提供电子签名认证证书状态信息查询服务。”第18条规定:“电子认证服务机构应当履行下列义务:(1)保证电子签名认证证书内容在有效期内完整准确;(2)保证电子签名依赖方能够证实或者了解电子签名认证证书所载内容及其他有关事项;……”

另外，当贸易双方发生纠纷时，作为交易中的第三方，认证机构有为双方出具证明资料的义务。这要求认证机构妥善保管相关信息，具备管理废除证书的功能，以备查询废除的证书等。我国《电子签名法》第24条规定:“电子认证服务提供者应当妥善保存与认证相关的信息，信息保存期限至少为电子签名认证证书失效后五年。”

2.信息披露义务

认证机构所从事的电子认证服务是一种信用服务，涉及公众的交易利益，为了标示其合法性，防止假冒，同时让使用者及时了解其业务情形，认证机构应当公开其从业资格，在其业务运行的网站上公布认证业务操作规范，公开有关认证活动的责任、义务、操作方式、相关措施及其重要的业务记录等相关信息，以便公众的监督与协作。

公开认证机构自身及用户的部分应予发布的信息，是其业务规则之一，也是其必要的义务。要求认证机构披露与其相关的信息，可以保证消费者“知”的权利，使消费者有一个可预测的交易环境，有利于的电子交易安全。

一般而言，认证机构信息披露的内容应包括:认证机构对证书的说明;用户的公钥;作废证书名单;认证业务说明;认证机构作为公司登记时应公开的有关记录;其他任何影响证书安全性能或认证机构服务能力的事实。

对认证机构的信息披露义务我国《电子签名法》作了相应规定:“取得认证资格的电子认证服务提供者，应当按照国务院信息产业主管部门的规定在互联网上公布其名称、许可证号等信息。”《电子认证服务管理办法》更对此进行详细规定:“取得认证资格的电子认证服务机构，在提供电子认证服务之前，应当通过互联网公布下列信息:(1)机构名称和法定代表人;(2)机构住所和联系办法;(3)《电子认证服务许可证》编号;(4)发证机关和发证日期;(5)《电子认证服务许可证》有效期的起止时间。”

3.业务说明及告知义务

为了维护电子签名人的正当利益和保证电子认证服务合同的正常履行，认证机构应该公开其工作流程，告知用户其所提供的服务内容及确保认证证书有效运作的必要注意事项等。如:用户身份鉴定要求;申请、签发、撤销、更新证书等操作规程，用户的责任和义务;认证机构的赔偿范围及限额，收费的标准等等。

我国《电子签名法》第19条中规定:“电子认证服务提供者应当制定、公布符合国家有关规定的电子认证规则，……电子认证业务规则应当包括责任范围、作业操作规范、信息安全保障措施等事项。”第21条规定:“电子认证服务机构在受理电子签名认证证书申请前，应当向申请人告知下列事项:(1)电子签名认证证书和电子签名的使用条件;(2)服务收费的项目和标准;(3)保存和使用证书持有人信息的权限和责任;(4)电子认证服务机构的责任范围;(5)证书持有人的责任范围;(6)其他要事先告知的事项。”

4.保密义务

认证机构在认证业务中会掌握大量的个人信息或法人信息，为保护用户的合法利益，对于这些信息认证机构负有保密义务，不得用于认证以外的其他目的。

世界各主要国家的相关法律对此都作了相关规定。如日本《电子签名与认证服务法》中规定:电子认证服务提供者不得将其在开展用户身份认证服务中获得的信息，用于除认证服务必需以外的任何其他目的。韩国《电子签名法》规定:电子认证服务提供者所收集的个人信息不得用于认证业务之外，并不得对外泄露。但是，其他法律有特别规定及本人同意的情况除外;停止认证业务者不得将在职期间内得知的他人个人信息泄露或提供给他人。

我国《电子签名法》中对此未作规定，但在《电子认证服务管理办法》中明确规定:电子认证服务机构应当遵守国家的保密规定，建立完善的保密制度。电子认证服务机构对电子签名人和电子签名依赖方的资料，有保密的义务.

5.安全保障及技术更新义务

信息产业技术和产品的发展十分迅速，为保证交易的安全，保障当事人权利，认证机构必须采用安全可靠的系统提供认证服务，保证用户使用的电子签名达到一定的技术效果要求，如在证书的有效期内，因为技术进步或者其他原因，导致证书无法达到法定或约定的技术效果，认证机构有进行技术更新的义务。

五、电子认证机构的法律责任

(一)民事责任

1.认证机构对电子签名人的法律责任

认证机构与电子签名人之间基于认证合同而产生民事法律关系，认证机构如不履行或未如实履行其约定的义务，则应承担损害赔偿、支付违约金等违约责任。同时认证机构还负有法定义务，如因其违反法定义务的行为给电子签名人造成损害，应承担侵权责任。

在认证服务中，常见的违约情况主要包括:

(1)未能及时正确的签发证书。认证机构在申请人按照要求提供相关资料并及时交纳费用后，应及时签发认证证书，如因其自身操作或技术原因，未能及时按合同提供认证证书，应承担违约责任。

(2)未能在合理期限内及时中止或撤销证书。电子签名人在发现私钥丢失或可能泄密时，主动向认证机构提出中止或撤销证书的申请，认证机构应及时中止或撤销证书，发布公告。否则要承担相应责任。

(3)证书库或作废证书表出现错误，给签名人造成损害。

(4)认证机构的私钥丢失、泄密或损坏，给签名人造成损害。

在认证服务中，常见的侵权情况主要包括:

(1)由于违法违规发放认证证书，造成电子签名人损失的。

(2)认证机构没有履行认证业务声明中载明的义务，或没有按照业务声明中的程序、标准或规范操作，造成电子签名人损失的。

(3)违反保密义务，泄露电子签名人的个人资料，侵害其隐私权等。

(4)除不可抗力及黑客行为等不可预料的因素外，因认证机构的过错，违反安全保障义务给电子签名人造成损失的。

在实践中，认证机构对电子签名人的违约责任和侵权责任常出现竞合，对其应承担何种责任，应允许受害人选择。

2.认证机构对电子签名依赖方的法律责任

电子认证机构与电子签名依赖方之间是源于法律规定的利益信赖关系，各国立法中一般都强制性的规定认证机构对电子签名依赖方的保证责任，认证机构违反法定义务而给依赖方造成财产损失时，应负侵权责任，在认证活动中，认证机构如未尽证书申请人身份查验审核义务，错误的向假冒者签发了证书;提供的证书库或作废证书列表有误;未及时中止或撤销证书;未履行业务声明中载明的义务等，造成依赖方财产损失，均应对依赖方负侵权责任。

3.电子认证机构承担法律责任的归责原则

对于认证机构法律责任的归责问题，国内学界主要有两种不同看法:一种看法认为应适用无过错责任原则，无论认证机构是否有过错，认证机构都要承担损害赔偿的责任，除非能够证明法律有规定的免责事由，并且损害与这些免责事由之间存在因果关系。另一种看法是适用过错责任原则，实行过错推定，将举证责任倒置，由认证机构证明自己已经尽到合理注意义务，否则将承担赔偿责任。

在上述两种看法中，第二种更为合理，也更为切合中国所面临的实际问题。因为目前我国电子认证行业尚处于起步阶段，如对认证机构赋予严格的责任，将不利于认证服务市场的培育和发展.为了充分促进认证市场的发展，合理保护电子签名人和电子签名依赖方的权益，对认证机构的法律责任适宜采用过错责任作为归责原则.但是我们必须同时看到由于认证业务专业性强，当认证机构与电子签名人或电子签名依赖方发生纠纷需要举证时，签名人或依赖方很难证明自己没有泄密，更难以就认证机构系统安全性不足进行举证，他们相对于认证机构总是处于弱势地位，如适用一般过错责任原则对签名人和依赖方于苛刻，不利保障其权益。因此在举证责任分配上，应将举证责任倒置，采用过错推定原则，即推定认证机构存在错误，若认证机构不能证明自己无过错的，承担赔偿责任。我国《电子签名法》第28条规定:“电子签名人或者电子签名依赖方因依据电子认证服务提供者提供的电子签名认证服务从事民事活动遭受损失，电子认证服务提供者不能证明自己无过错的，承担赔偿责任。”这一规定是对过错推定原则的充分体现。

4.电子认证机构承担民事法律责任的免责事由

一如前述，由于电子认证机构承担民事责任主要基于其存在相应的过错，因此，如果这个基础消失，则意味着电子认证机构不需要就电子签名人以及电子签名依赖方因信任其所提供的电子认证服务而发生的与其所提供的电子认证服务有关联的损害承担民事责任。电子认证机构免责的主要事由包括以下五个方面:

(1)不可抗力

不可抗力，通常作为免除责任的法定条款。根据合同法规定，不可抗力，是指不能预见、不能避免并不能克服的客观情况。在实践中，对于不可抗力的具体解释不尽相同，为明确界定，在制定时一般可包括如下内容:第一，自然灾害，包括地震、火山爆发、泥石流、雪崩、洪水、海啸、台风等自然现象;第二，社会异常事件或政府行为，包括政府颁发新的政策、法律和行政法规，战争、罢工、骚乱、瘟疫等社会异常事件。

(2)技术故障

认证机构在被行政许可后，可以认为其已具备了运行认证所必须的软、硬件环境，只要实施了合理的运行和恰当的维护，即可认为其技术是适当的。在此情况下，因无法控制引起的技术故障，可以制定为可免责的情形。导致“技术故障”的原因，除了不可抗力外，包括:关联单位如电力、电信、通讯部门所致;黑客攻击;意外的设备或网络故障。

(3)电子签名人的过错

《电子签名法》第27条:“电子签名人知悉电子签名制作数据已经失密或者可能已经失密未及时告知有关各方、并终止使用电子签名制作数据，未向电子认证服务提供者提供真实、完整和准确的信息，或者有其他过错，给电子签名依赖方、电子认证服务提供者造成损失的，承担赔偿责任。”

电子签名人本身的过错，诸如未提供真实信息、未负保密和注意义务等，可作为认证机构免除违约责任的情形。电子签名人的过错可包括:第一，未能提供真实、完整、准确的资料和信息;第二，在应用自己的密钥或使用数字证书时，未使用可依赖、安全的系统;第三，未能采取安全、合理的措施以预防证书私钥的遗失、泄密，导致被盗用、冒用、伪造或者篡改;第四，将数字证书作为限定使用范围外的其他用途使用;第五，知悉电子签名制作数据已经失密或者可能已经失密时，未及时告知有关各方并终止使用该电子签名制作数据;第六，未在证书有效期内使用证书;使用已失密或可能失密、已过有效期、被中止、被撤销或被注销的数字证书;第七，未按约定交纳服务费用。

(4)电子签名依赖方的过错

电子签名依赖方的过错，可作为认证机构免除侵权责任的情形。在制定电子认证业务规则时，应声明:对于电子签名认证证书的信赖行为，就表明电子签名依赖方已经接受电子认证业务规则的所有条款。而电子签名依赖方的过错，主要包括两个方面:第一，在信赖证书前，未对证书进行合理的查证和审核，未能在有效期内等可信赖范围内使用;第二，未能在限定范围内使用，超出了证书的使用范围和使用目的。

(5)保密义务的例外设定

《电子认证服务管理办法》第20条:“电子认证服务机构应当遵守国家的保密规定，建立完善的保密制度。电子认证服务机构对电子签名人和电子签名依赖方的资料，负有保密的义务。”

电子签名人有义务提供真实、完整、准确的材料和信息，认证机构在合理之范围内，有权通过相关方式收集电子签名人或依赖方等用户姓名(名称)、身份证号码(机构代码)、联系地址、电话号码、用户交费记录、更新记录等信息;与此同时，认证机构对该获得之资料或信息负有保密的义务。但是，根据法律、法规规定或社会公共利益或用户的授权，用户隐私保护将受到限制。在一定情形下，透露用户信息是必要的，此时应免除电子签名认证机构之责任:第一，数字证书内的所有资料以及证书的状态会被公布，数字证书内的资料不受隐私权的保护;第二，根据用户的授权或根据法律、法规的规定，需要提供用户资料的;第三，为了社会公共利益的需要，得以利用用户资料的。

5.电子认证机构的赔偿范围及数额之限定

电子认证服务提供者不能证明自己无过错应承担赔偿责任的规定，对于认证机构来说，存在着不可预见的巨额赔偿风险。而在电子认证规则中设定赔偿范围和限定赔偿数额，在法律没有明确禁止的情况下，该限定无疑是回避巨额赔偿风险的有效方法之一，尽管该限定因格式条款未必会得到司法部门的支持。

赔偿范围可设定为同时具备如下情形:①因依据认证机构提供的电子签名认证服务从事民事活动遭受损失，②非电子签名人和电子签名依赖方的过错，③电子签名认证机构的过错，对于认证机构已谨慎地遵循了国家法律、法规规定的数字证书认证业务规则，而仍有损失产生的，可予以免责。

对于赔偿限额，根据证书种类的不同，可以设置不同的赔偿限额标准，也可以设定某一份证书对于所有赔偿对象全部赔偿的最高限额，在电子认证规则实践中，有数千元至上百万元不等。

(二)行政责任

依照我国《电子签名法》的有关规定，认证机构所承担的行政责任主要有以下几种:

1.违反关于经营许可规定的责任

我国《电子签名法》第29条规定:“未经许可提供电子认证服务的，由国务院信息产业主管部门责令停止违法行为;有违法所得的，没收违法所得;违法所得三十万元以上的，处违法所得一倍以上三倍以下的罚款;没有违法所得或者违法所得不足三十万元的，处十万元以上三十万元以下的罚款。”

2.违反有关暂停或终止规定的责任

我国《电子签名法》第36条规定:“电子认证服务提供者暂停或者终止电子认证服务，未在暂停或者终止服务六十日前向国务院信息产业主管部门报告的，由国务院信息产业主管部门对其直接负责的主管人员处一万元以上五万元以下的罚款。”

3.违反认证业务规范的责任

我国《电子签名法》第31条规定:“电子认证服务提供者不遵守认证业务规则、未妥善保存与认证相关的信息，或者有其他违法行为的，由国务院信息产业主管部门责令限期改正;逾期未改正的，吊销电子认证许可证书，其直接负责的主管人员和其他直接责任人员十年内不得从事电子认证服务。吊销电子认证许可证书的，应当予以公告并通知工商行政管理部门。”

(三)刑事责任

我国《电子签名法》第32条规定:“伪造、冒用、盗用他人的电子签名，构成犯罪的，依法追究刑事责任;给他人造成损失的，依法承担民事责任。”本条规定由于没有规定具体主体，因此，如果电子认证机构及其工作人员存在伪造、冒用、盗用他人电子签名而构成的犯罪的，应当承担刑事责任。

第33条规定:“依照本法负责电子认证服务业监督管理工作的部门的工作人员，不依法履行行政许可、监督管理职责的，依法给予行政处分;构成犯罪的，依法追究刑事责任。”本条规定不适用于电子认证机构及其工作人员，而只是适用那些对电子认证服务业履行监督职责的国家部门的工作人员。

思考题

1.简述认证的重要性。

2.简述认证机构的特点。

3.简述我国《电子签名法》对提供电子认证服务的认证机构的基本条件。

4.简述电子认证机构与电子签名人之间的法律关系。

5.简述电子认证机构与电子签名依赖方之间的法律关系。

6.简述电子认证机构的义务。

【注释】

[1]胡静.电子商务认证法律问题——电子商务安全与CA认证.北京:北京邮电大学出版社，2001:80.

[2]蒋志培.网络与电子商务法.北京:法律出版社，2002:337.

[3]张楚.电子商务法初论.北京:中国人民大学出版社，2001:152.

[4]印辉.电子商务合同实务指南.北京:知识产权出版社，2002:88.

[5]王蜀黔.电子支付法律问题研究.武汉:武汉大学出版社，2005:128.

[6]胡静.电子商务认证法律问理——电子商务安全与CA认证.北京:北京邮电大学出版社，2001:117.

[7]万以娴.电子签章法律问题研究.北京:人民法院出版社，2001:204.

[8]万以娴.电子签章法律问题研究.北京:人民法院出版社，2001:215.

[9]张楚.电子商务法初论.北京:中国人民大学出版社，2001:177.