版权声明:如有转载,必须注明:“来源:中国高级律师网:www.lawyerstar.com 作者:游植龙律师

 

电子签名认证机构的法律责任及风险防范

—— 广东经纶律师事务所 游植龙高级律师

本文刊登于《广东律师》2009年第3期,入编《信息网络与高新技术法律前沿2009》

■ 电子签名认证机构许可制度

200541实施的《中华人民共和国电子签名法》明确规定了“可靠的电子签名与手写签名或者盖章具有同等的法律效力。”它赋予了可靠的电子签名的法律效力。

什么是可靠的电子签名?根据《电子签名法》第十三条的规定,电子签名同时符合下列条件的,视为可靠的电子签名:(一)电子签名制作数据用于电子签名时,属于电子签名人专有;(二)签署时电子签名制作数据仅由电子签名人控制;(三)签署后对电子签名的任何改动能够被发现;(四)签署后对数据电文内容和形式的任何改动能够被发现。也就说,可靠的电子签名应当可以确认用户的身份真实性、内容和形式的完整性、不可抵赖性。虽然交易各方当事人可以选择使用符合其约定的可靠条件的电子签名,但是对电子签名本身的认证问题,不是靠交易各方自己所能完成的,而需要由一个具有权威性和公正性的第三方——认证服务机构以其专业能力和执业资格使依赖方据以验证电子签名的真实性和完整性,从而为网上交易建立一种安全可靠的保护机制。

在我国,电子商务、电子签名制度、市场发展尚不完善,企业信用缺失,为了保证认证机构的权威性和防范市场风险,对认证服务机构采取了政府主导型制度,由政府主管部门对认证机构实行许可和审批。认证机构从事电子认证服务,应当向国务院信息产业主管部门提出申请,由国务院信息产业主管部门接到申请后经依法审查,征求国务院商务主管部门等有关部门的意见后作出是否许可的决定。为了保证电子认证服务的安全有效运作,认证机构必须具备运行认证所必须的软、硬件环境和一定的承担民事责任的能力,根据信息产业部电子认证服务管理办法》规定,电子认证服务机构,应当具备下列条件:(一)具有独立的企业法人资格;(二)从事电子认证服务的专业技术人员、运营管理人员、安全管理人员和客户服务人员不少于三十名;(三)注册资金不低于人民币三千万元;(四)具有固定的经营场所和满足电子认证服务要求的物理环境;(五)具有符合国家有关安全标准的技术和设备;(六)具有国家密码管理机构同意使用密码的证明文件;(七)法律、行政法规规定的其他条件。

■ 电子签名认证机构过错责任推定

由于电子签名认证是一个新兴的产业,没有经验可循;而认证机构要面对人数众多的用户,由于系统的安全性以及操作可能存在的失误,有可能出现错误或虚假的认证,而一旦此种情况出现的话,造成的损失可能很大,那么认证机构给予相关损失方需要赔偿的数额就会很大,而其从认证服务活动中收取的服务费用却未必很多,从这方面讲,认证业属于风险较大的一个行业。如果不对认证机构法律责任的风险加以适当的限制,认证机构就可能很难生存下去,为了护持电子认证服务的发展,就不应对其规定过于严格的责任。而与此同时,由于认证机构作为保障电子商务交易安全的专业服务提供商,其行为直接影响交易各方的利益,为了促使认证机构严格履行自己应尽的注意和谨慎义务就必须让它承担必要的法律责任。为了平衡这种关系,我国对认证机构规定了严格的过错责任推定制度,《电子签名法》第二十八条规定:“电子签名人或者电子签名依赖方因依据电子认证服务提供者提供的电子签名认证服务从事民事活动遭受损失,电子认证服务提供者不能证明自己无过错的,承担赔偿责任。”它要求认证机构“证明自己无过错”方可免除赔偿责任。

我国《民法通则》确定了三大归责原则,即过错责任原则、无过错责任原则、公平原则。过错责任原则以行为人主观上的过错为承担民事责任的基本条件,即有过错才承担责任。无过错责任又称无过失责任,是指在某些情况下,不论行为人主观上有无过错,只要给他人造成了损害,就应承担民事责任。而公平责任原则是指在行为人双方对损害的发生都没有过错的情况下,由双方合理分担损失的民事责任。在通常情况下,适用过错责任原则时,受害人请求赔偿损失,必须全面举证证明致害人承担民事责任的四个构成要件,即①须有违法行为;②须有损害后果;③违法行为与损害后果之间有因果关系;④行为人须有过错。适用无过错责任原则时,受害人只要证明损害事实与致害人的行为有因果关系即可。公平原则适用于既不能适用过错责任又不能适用无过责任或者无法确定当事人过错的情况。

过错推定责任原则是过错责任原则的一种特殊表现形式。二者的最大区别,就是举证责任的不同,过错责任一般实行“谁主张,谁举证”的原则,但在过错推定责任的情况下,则实行举证责任倒置的原则。致害人承担民事责任同样要求具备过错责任的四个构成要件,但对过错问题的认定则实行举证责任倒置原则,即受害人只需证明加害人实施了加害行为,造成了损害后果,加害行为与损害后果间存在因果关系,无须证明加害人的主观是否存在过错,就可推定加害人存在过错,应承担相应的责任。致害人认为自己无过错的,应负举证责任,致害人没有证据或所举证据不足以证明自己没有过错的,应承担民事责任,能举证证明自己没有过错的,则免除致害人的民事责任,或兼采公平责任原则,由致害人承担适当的民事责任。因此,过错推定责任原则的特殊性在于举证责任的不同,它实行的是举证责任倒置。

从过错责任推定原则来看,我国对于电子签名认证机构的要求是比较严格的,也就是说,电子签名认证机构应当尽到必要的谨慎和注意义务,否则应当承担相应的赔偿责任。电子认证服务毕竟是一个新兴的行业,为了护持这个新兴行业的发展,针对其潜在的巨大风险,我们应当允许它有一个“避风港”,让其有一个存在与发展的空间。实际上,根据《电子签名法》第十九条规定,“电子认证服务提供者应当制定、公布符合国家有关规定的电子认证业务规则,并向国务院信息产业主管部门备案。 电子认证业务规则应当包括责任范围、作业操作规范、信息安全保障措施等事项。”也就是说,国家允许电子认证机构按照规定制定相应的电子认证业务规则,并承认其效力。而在电子认证业务规则中,应当包括责任范围。我们可以理解为:对责任范围的相关业务规则条款,只要不与法律、法规相抵触,同样也是有效的。这就从法律上为电子认证机构提供了一定的自由空间,让其制定业务规则,限定责任范围,提供了有效的“避风港”。那么,电子认证服务机构如何充分利用这一自由,防范可能存在的巨额赔偿风险呢?

■ 电子认证主体

根据信息产业部电子认证服务管理办公室20054月发布的《电子认证业务规则规范(试行)》,电子认证活动主体包括:

1)电子认证服务机构,也就是证书认证机构,是颁发证书的实体。

2)注册机构,也就是为最终证书申请者建立注册过程的实体,对证书申请者进行身份标识和鉴别,发起或传递证书吊销请求,代表电子认证服务机构批准更新证书或更新密钥的申请。

3)订户,从电子认证服务机构接收证书的实体。在电子签名应用中,订户即为电子签名人。

4)依赖方,依赖于证书真实性的实体。在电子签名应用中,即为电子签名依赖方。依赖方可以是、也可以不是一个订户。

5)其他参与者,如证书制造机构、证书库服务提供者、以及其他提供电子认证相关服务的实体。

在上述电子签名认证活动主体中,电子签名认证机构所应承担的法律责任,基本上是电子签名认证机构对于电子签名人(用户或订户)、电子签名依赖方的责任,因而《电子签名法》第二十八条只规定电子认证服务提供者对于“电子签名人或者电子签名依赖方因依据电子认证服务提供者提供的电子签名认证服务从事民事活动遭受损失”不能证明自己无过错的,承担赔偿责任。

■ 电子签名认证机构的风险防范

从电子签名认证机构与电子签名人的关系上看,首先是一种合同关系,其对于电子签名人的责任,首先体现为一种违约责任;而电子签名认证机构对于依赖方的法律责任,基本上是一种侵权责任。

不论是对于电子签名人的违约责任还是对于依赖方的侵权责任,利用法律给予的制定电子认证业务规则的权能,限定责任范围,回避可能存在的法律风险,对于电子签名认证机构来说,将是比较有效的方法。

制定电子认证业务规则的责任范围,可包含如下内容:

1、不可抗力

不可抗力,通常作为免除责任的法定条款。根据合同法规定,不可抗力,是指不能预见、不能避免并不能克服的客观情况。

在实践中,对于不可抗力的具体解释不尽相同,为明确界定,在制定时一般可包括如下内容:(1)自然灾害,包括地震、火山爆发、泥石流、雪崩、洪水、海啸、台风等自然现象;(2)社会异常事件或政府行为,包括政府颁发新的政策、法律和行政法规,战争、罢工、骚乱、瘟疫等社会异常事件。

2、技术故障

认证机构在被行政许可后,可以认为其已具备了运行认证所必须的软、硬件环境,只要实施了合理的运行和恰当的维护,即可认为其技术是适当的。在此情况下,因无法控制引起的技术故障,可以制定为可免责的情形。

导致“技术故障”的原因,除了不可抗力外,包括:关联单位如电力、电信、通讯部门所致;黑客攻击;意外的设备或网络故障。

3、电子签名人的过错

电子签名法》第二十七条:“电子签名人知悉电子签名制作数据已经失密或者可能已经失密未及时告知有关各方、并终止使用电子签名制作数据,未向电子认证服务提供者提供真实、完整和准确的信息,或者有其他过错,给电子签名依赖方、电子认证服务提供者造成损失的,承担赔偿责任。”

电子签名人本身的过错,诸如未提供真实信息、未负保密和注意义务等,可作为认证机构免除违约责任的情形。电子签名人的过错可包括:

1)未能提供真实、完整、准确的资料和信息;

2)在应用自己的密钥或使用数字证书时,未使用可依赖、安全的系统;

3)未能采取安全、合理的措施以预防证书私钥的遗失、泄密,导致被盗用、冒用、伪造或者篡改;

4)将数字证书作为限定使用范围外的其他用途使用;

5知悉电子签名制作数据已经失密或者可能已经失密时,未及时告知有关各方并终止使用该电子签名制作数据;

6)未在证书有效期内使用证书;使用已失密或可能失密、已过有效期、被中止、被撤销或被注销的数字证书;

7)未按约定交纳服务费用。

4、电子签名依赖方的过错

电子签名依赖方的过错,可作为认证机构免除侵权责任的情形。在制定电子认证业务规则时,应声明:对于电子签名认证证书的信赖行为,就表明电子签名依赖方已经接受电子认证业务规则的所有条款。而电子签名依赖方的过错,包括:

1)在信赖证书前,未对证书进行合理的查证和审核,未能在有效期内等可信赖范围内使用;

2)未能在限定范围内使用,超出了证书的使用范围和使用目的。

5、保密义务的例外设定

《电子认证服务管理办法》第二十条:“电子认证服务机构应当遵守国家的保密规定,建立完善的保密制度。  电子认证服务机构对电子签名人和电子签名依赖方的资料,负有保密的义务。”

电子签名人有义务提供真实、完整、准确的材料和信息,认证机构在合理之范围内,有权通过相关方式收集电子签名人或依赖方等用户姓名(名称)、身份证号码(机构代码)、联系地址、电话号码、用户交费记录、更新记录等信息;与此同时,认证机构对该获得之资料或信息负有保密的义务。但是,根据法律、法规规定或社会公共利益或用户的授权,用户隐私保护将受到限制。在一定情形下,透露用户信息是必要的,此时应免除电子签名认证机构之责任:

1)数字证书内的所有资料以及证书的状态会被公布,数字证书内的资料不受隐私权的保护;

2)根据用户的授权或根据法律、法规的规定,需要提供用户资料的;

3)为了社会公共利益的需要,得以利用用户资料的。

6、数字证书使用范围的限定

数字证书因不同的使用目的,分为不同的种类,如自然人证书、单位证书、设备证书等;也因不同的用途,如分别用于电子政务、电子商务的证书,应在限定范围内使用

根据法律、法规规定或事务本身的性质所限,也存在不能适用电子签名数字证书的情形。《电子签名法》第三条规定,电子签名、数据电文不适用下列文书:

(一)涉及婚姻、收养、继承等人身关系的;

(二)涉及土地、房屋等不动产权益转让的;

(三)涉及停止供水、供热、供气、供电等公用事业服务的;

(四)法律、行政法规规定的不适用电子文书的其他情形。

因而,有必要在电子认证业务规则中,适应证书的使用范围和使用目的,对证书的使用范围和情形做出明确的规定,以便电子签名人和依赖方等相关方进行适当的使用和核查。对于相关各方未能在限定范围内使用,可作为电子签名认证机构的免责抗辩事由。

7、赔偿范围及数额的限定

电子认证服务提供者不能证明自己无过错应承担赔偿责任的规定,对于认证机构来说,存在着不可预见的巨额赔偿风险。而在电子认证规则中设定赔偿范围和限定赔偿数额,在法律没有明确禁止的情况下,该限定无疑是回避巨额赔偿风险的有效方法之一,尽管该限定因格式条款未必会得到司法部门的支持。

赔偿范围可设定为同时具备如下情形:①因依据认证机构提供的电子签名认证服务从事民事活动遭受损失,②非电子签名人和电子签名依赖方的过错,③电子签名认证机构的过错,对于认证机构已谨慎地遵循了国家法律、法规规定的数字证书认证业务规则,而仍有损失产生的,可予以免责。

对于赔偿限额,根据证书种类的不同,可以设置不同的赔偿限额标准,也可以设定某一份证书对于所有赔偿对象全部赔偿的最高限额,在电子认证规则实践中,有数千元至上百万元不等。

■ 电子签名认证机构自身的防护

除了制定电子认证业务规则责任范围外,认证机构必须尽谨慎义务,切实遵循认证业务规则的各项规范和操作程序,确保运行认证所必须的软、硬件环境符合规定和安全要求,履行各项义务包括颁发、中止、撤销证书,保证证书完整、准确,隐私保护,发布信息,告知、查验等。其中,在实践中应着重注意的是:

1、履行告知义务

《电子认证服务管理办法》第二十一条:“电子认证服务机构在受理电子签名认证证书申请前,应当向申请人告知下列事项:

(一)电子签名认证证书和电子签名的使用条件;

(二)服务收费的项目和标准;

(三)保存和使用证书持有人信息的权限和责任;

(四)电子认证服务机构的责任范围;

(五)证书持有人的责任范围;

(六)其他需要事先告知的事项。”

认证机构对申请人的告知义务履行后,应由申请人书面确认并存档。从告知内容看,不论是证书使用条件、服务收费,还是责任范围,基本上都是为限定认证机构的责任范围服务的,这是有利于认证机构的。该告知义务的确认,实际上是对电子签名认证机构自身的保护。

2履行查验义务

《电子签名法》第二十条:“电子签名人向电子认证服务提供者申请电子签名认证证书,应当提供真实、完整和准确的信息。

电子认证服务提供者收到电子签名认证证书申请后,应当对申请人的身份进行查验,并对有关材料进行审查。”

要保证电子签名认证证书内容在有效期内的完整、准确,履行对申请人的身份查验义务就显得尤为重要。而谨慎地履行了对申请人的身份查验义务,一旦发生虚假、欺诈信息时,便可作为免责抗辩事由。

对于公民个人的身份材料,可通过公安部门查验;对于企事业法人、机关、社会团体等单位资料,可通过工商、编委、民政登记机关等部门查验。对于申请人提供的地址、电话、邮箱等联系方式,应结合从相关部门取得的查验信息进行对比,甚至进行实地查看、电话核对,查证其是否有效、可靠,并记录存档。

3、对数字证书进行投保

无论如何,对于电子签名认证机构而言,其存在的赔偿风险是不可避免的,为了增强电子签名认证机构的赔偿能力,给予电子签名认证机构良好的生存环境,除了责任的防范外,可与保险机构合作,为每一份证书投保,当发生约定的赔偿责任时由保险机构理赔,以减轻电子签名认证机构的赔偿责任,也不失为一个好的选择。   2009.02.03

本文作者:游植龙
广东经纶律师事务所 合伙人、一级律师
中华全国律师协会信息网络与高新技术专业委员会 委员
广州市律师协会婚姻家庭法律专业委员会 主任
联系电话:13802726525 邮件:oklawyer@126.com

参考文献:[1]郭德忠:“电子认证合同关系及民事责任分析”,法律教育网。

==> 中国高级律师网