试论电子签名法律关系当事人的法律责任

试论电子签名法律关系当事人的

法律责任

Researchonthelegalresponsibilityofthe

partiesinElectronicSignatures

专业:经济法学

研究生:吴博健指导教师:李士萍副教授

天津大学文法学院

二〇一二年五月

独创性声明

本人声明所呈交的学位论文是本人在导师指导下进行的研究工作和取得的研究成果,除了文中特别加以标注和致谢之处外,论文中不包含其他人已经发表或撰写过的研究成果,也不包含为获得天津大学或其他教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示了谢意。

学位论文作者签名:签字日期:年月日

学位论文版权使用授权书本学位论文作者完全了解天津大学有关保留、使用学位论文的规定。特授权可以将学位论文的全部或部分内容编入有关数据库进行检索,并采用影印、缩印或扫描等复制手段保存、汇编以供查阅和借阅。同意学校向国家有关部门或机构送交论文的复印件和磁盘。

(保密的学位论文在解密后适用本授权说明)

学位论文作者签名:

签字日期:年月日导师签名:签字日期:年月日

中文摘要

在电子签名活动中,主要涉及到三方当事人:电子签名人、电子签名认证机构和电子签名依赖方。一些发达国家和地区纷纷制定了电子签名及其认证或电子商务方面的法律,我国也于2005年实施了《电子签名法》以及与之相配套的《电子认证服务管理办法》,解决了电子签名及其认证领域法律空白的问题。然而,目前的法律规范涉及较多的是行政管理方面的内容,而对于民事法律关系和民事责任的规定却少之甚少,在关于法律责任总共的七条规定中,更多的是关于电子签名认证机构在电子签名法律关系中的法律责任问题,对电子签名人的法律责任规定只有一条,对电子签名依赖方的法律责任没有规定。这不利于电子签名认证行业责任承担问题的真正解决。因此,本文着重从民事角度对电子签名认证法律责任承担机制展开研究,主要从电子签名认证过程中各方当事人之间的法律关系、权利与义务以及责任的性质与如何承担进行论述。论文从电子签名中各方当事人法律关系性质的分析到各方当事人法律责任的分析,进而探讨法律责任承担方面的不足并提出了完善我国电子签名认证法律责任承担机制的建议。本文分析了我国电子签名认证立法的现状、意义及存在的问题。电子签名认证机构与电子签名人之间是一种信用服务合同关系,按照过错责任原则承担违约责任。电子签名认证机构与电子签名依赖方之间是一种法定信赖利益关系,按照过错推定原则承担侵权责任。电子签名人与电子签名依赖方是一种潜在或直接的合同关系,按照过错责任原则承担违约责任。在法律责任承担机制方面,在借鉴国内外相关立法经验的基础上提出了以举证责任缓和弥补过错推定不足,对电子签名认证机构的责任限制,构建责任保险制度,电子签名中无力举证时的责任分配等四项建议,以期为《电子签名法》的有效实施及完善提出一些建设性意见。

关键词:电子签名;认证机构;法律关系;法律责任;责任限制

ABSTRACT

Electronicsignaturemainlycontainsthreeparties:electronicsignatory,electronicsignaturescertificationauthorityandelectronicsignaturesrelyingparty.Somedevelopedcountriesandregionshavedevelopedlawsofelectronicsignatureauthenticationore-commerce,Chinahasalsopromulgatedandin2004,approachtofillthelegislativegapsofelectronicsignatureanditscertification.However,mostofcurrentlawsandregulationsinvolvedareaboutadministrativeaspects,andforcivillegalrelations,andcivilliabilityprovisionsarenotenough.Inthetotalofthesevenprovisions,thereisonlyonetermonelectronicsignatory,andthereisn’ttheliabilityoftheelectronicsignaturerelyingparty.Thisisnotgoodtosolvetheproblemofelectronicsignaturecertificationindustryliabilityrisks.Therefore,thisarticlefocusesonacivilpointofviewaboutthemechanismofelectronicsignaturecertificationliability.Itmainlydiscussesthelegalrelationshipbetweenthethreepartiesintheelectronicsignatureauthenticationprocess,howtotaketherightsandobligationsandresponsibilities.Ontheonehand,combinedwiththelegalprinciples,inaccordancewithrelevantlaws,conductingadetailedanalysisofthenatureofelectronicsignaturesthelegalresponsibilityoftheparties;Ontheotherhand,relatedtoexistingconditions,exploringtheelectronicsignatureresponsibilityofdifferenttypesofcertificationbodiesintheprocess.Theelectronicsignaturecertificationauthorityandtheelectronicsignatoryisakindofcreditservicecontractrelations,accordingtotheprincipleoffaultliabilityforbreachofduty.Theelectronicsignaturecertificationauthorityandrelyingpartyisakindoftrustbetweenthelegalrelationshipofinterests,accordingtofault-presumingprincipleassumetortliability.Theelectronicsignatoryandrelyingpartyisapotentialordirectcontractrelations,accordingtotheprincipleoffaultliabilityforbreachofduty.TheauthorcomesupwiththeproposalonimprovingthelegalresponsibilitysystemofChina'selectronicsignaturecertification.Theauthoranalyzesthestatusofthelegislationofelectronicsignaturecertification,significanceandproblems.Onthebasisoflegislativeexperienceitcomesupwithfourproposals.

Keywords:Electronicsignatures;certificationauthority;legalrelation;legalliability;Limitationofliability

第一章录绪论................................................................................................................1

1.1.1选题背景.................................................................................................1

1.1.2选题意义.................................................................................................11.1选题背景与意义............................................................................................1

1.2国内外研究综述............................................................................................2

1.2.1国内研究综述.........................................................................................2

1.2.2国外文献综述.........................................................................................4

1.3本文研究的主要内容、研究方法及创新点................................................4

第二章电子签名相关法律问题界定..........................................................................7

2.1电子签名的内涵............................................................................................7

2.1.1电子签名的内涵.....................................................................................7

2.1.2电子签名的法律功能.............................................................................8

2.2电子签名与电子认证的关系........................................................................9

第三章电子签名涉及的法律关系..........................................................................11

3.1.1电子签名人...........................................................................................11

3.1.2电子签名认证机构...............................................................................11

3.1.3电子签名依赖方...................................................................................12

3.2电子签名人与电子签名认证机构的认证服务合同关系..........................12

3.3电子签名认证机构与电子签名依赖方的信赖利益关系..........................13

3.4电子签名人与电子签名依赖方的交易关系..............................................14

第四章电子签名中各方当事人的法律责任分析..................................................15

4.1.1电子签名人的权利和义务...................................................................15

4.1.2电子签名人违反法定义务所应承担的法律责任...............................16

4.2电子签名认证机构的法律责任分析..........................................................16

4.2.1电子签名认证机构的权利和义务.......................................................16

4.2.2许可认证机构的法律责任...................................................................18

4.2.3自建认证机构的法律责任...................................................................22

4.2.4电子签名认证机构的归责原则及免责情形.......................................23

4.3电子签名依赖方的法律责任分析..............................................................26

4.3.1电子签名依赖方的权利和义务...........................................................264.1电子签名人的法律责任分析......................................................................153.1电子签名涉及的各方当事人......................................................................11

第一章录绪论................................................................................................................1

1.1.1选题背景.................................................................................................1

1.1.2选题意义.................................................................................................11.1选题背景与意义............................................................................................1

1.2国内外研究综述............................................................................................2

1.2.1国内研究综述.........................................................................................2

1.2.2国外文献综述.........................................................................................4

1.3本文研究的主要内容、研究方法及创新点................................................4

第二章电子签名相关法律问题界定..........................................................................7

2.1电子签名的内涵............................................................................................7

2.1.1电子签名的内涵.....................................................................................7

2.1.2电子签名的法律功能.............................................................................8

2.2电子签名与电子认证的关系........................................................................9

第三章电子签名涉及的法律关系..........................................................................11

3.1.1电子签名人...........................................................................................11

3.1.2电子签名认证机构...............................................................................11

3.1.3电子签名依赖方...................................................................................12

3.2电子签名人与电子签名认证机构的认证服务合同关系..........................12

3.3电子签名认证机构与电子签名依赖方的信赖利益关系..........................13

3.4电子签名人与电子签名依赖方的交易关系..............................................14

第四章电子签名中各方当事人的法律责任分析..................................................15

4.1.1电子签名人的权利和义务...................................................................15

4.1.2电子签名人违反法定义务所应承担的法律责任...............................16

4.2电子签名认证机构的法律责任分析..........................................................16

4.2.1电子签名认证机构的权利和义务.......................................................16

4.2.2许可认证机构的法律责任...................................................................18

4.2.3自建认证机构的法律责任...................................................................22

4.2.4电子签名认证机构的归责原则及免责情形.......................................23

4.3电子签名依赖方的法律责任分析..............................................................26

4.3.1电子签名依赖方的权利和义务...........................................................264.1电子签名人的法律责任分析......................................................................153.1电子签名涉及的各方当事人......................................................................11

4.3.2电子签名依赖方违反法定义务的法律责任.......................................27

第五章完善我国电子签名法中责任承担的建议..................................................28

5.1以举证责任缓和弥补过错推定不足..........................................................28

5.2对电子签名认证机构的责任限制..............................................................29

5.3构建业务责任保险制度..............................................................................31

5.4电子签名中无力举证时的责任分配..........................................................32结语..........................................................................................................................34参考文献......................................................................................................................35发表论文和参加科研情况说明..................................................................................38致谢..........................................................................................................................39

第一章绪论

1.1选题背景与意义

1.1.1选题背景

随着网络信息技术的成熟和发展,互联网络、现代通信和电子信息渗透到人们生活、工作的各个层面,改变着整个社会的运行模式和行为方式。互联网技术正以前所未有的方式推动着社会发展,改变了传统的事务处理方式,其以电子数据的方式通过在线行为实现信息的交流,使人类拥有了一种可以多主体、同步、跨地域交换信息的方式,对社会生活的各个方面发挥着强大的变革作用,使人类社会正经历着一场前所未有的全方位地深刻变革,尤其是在电子支付领域。我国的信息化、电子化建设迅速发展,已取得重大的成就,并在社会各个领域中发挥了日益重要的作用。据2011年12月的中国互联网络发展状况统计调查结果显示,我国现有网民总数约为5亿,我国互联网络正保持着持续快速发展的态势。2011年中国网络购物市场交易规模接近8000亿,达7735.6亿元,占到社会消费品零售总额的4.3%;同时,网络购物用户规模将达到1.87亿人,在宽带网民中的渗透率为41.6%,我国电子商务呈现出快速线性增长的趋势。[1]电子认证服务业是伴随着互联网及电子商务的发展而兴起的,其主要功能是解决电子商务中所出现的安全和信任问题(身份认证,信息的保护,信赖的公信力)。自1996年我国电子认证行业进入发展阶段以来,经历了起步阶段的曲折探索、新世纪初的泡沫发展和现在的规范发展阶段,在这个时期全国各地在不同领域内纷纷建立起电子认证中心,其中尤以京沪津,广东,湖北等地区所建立的大型电子认证服务机构为典型。在规模庞大的在线行为中,电子签名认证这种通过交易各方都信赖的第三方支持,证明电子签名人的身份和信息的真实性,从而消除交易双方疑虑,为交易达成起到桥梁作用的认证形式在整个电子商务环境以及其他在线行为中处于重要地位。与此同时,因电子签名认证引发的民事纠纷也频频见诸新闻之中,涉及到的责任划分不清、救济方式不完善等问题也给我国的法律带来了一系列严峻的考验。

1.1.2选题意义

交易行为的效力在法律上得不到保障,增加了在线行为的安全风险,严重冲击了法律实现的基石,构成了信息网络时代交易行为在法律上必须首先解决的关

键问题。事实上,这种安全风险已经成为社会公众进行在线行为的主要顾虑。在艾瑞市场咨询公司发布的《艾瑞2010-2011年中国网上支付用户行为研究报告》中指出:大部分的网民对网上支付是感兴趣的,具有担保的交易方式最能增强用户的支付安全感,除此之外,手机短信确认密码、银行扣款通知,以及一些安全控件等也能够从心理上增强用户在网上支付时的安全体验。[2]因此,法律规范必须随着信息技术的发展做出相应地调整,构建与传统法律价值功能相同的规则体系规制在线行为,以满足信息时代的要求,实现法的价值和作用。而解决在线行为的法律效力,就要鉴别在线行为人的身份和保证电子信息的完整性、真实性和不可抵赖性,以确认行为人的权利能力、行为能力和意思表示内容,增强电子信息的客观性和证据力。为此,人们创造出以非对称密钥系统为主的电子签名技术,使在线行为下的电子信息具备了可溯源性、可信性和不可否认性。这种可靠的电子签名技术也被电子认证机构作为其技术手段进行了广泛的应用。但是技术手段不具有天然的拘束力,永远不能使其自身法律化,需要由法律来规定其效力。因此,从法律角度给予电子签名肯定地位,为在线行为提供法律保障,成为国际信息化立法的重要内容。2004年8月28日,侧重于电子商务领域的《电子签名法》经全国人大常委会审议批准通过,开创了我国信息化法律体系建构的先河。《电子签名法》以成文法的形式确立了电子签名的法律效力,使电子签名在法律的框架内有章可循,填补了我国电子签名法律的空白。2005年2月8日,信息产业部又颁布了与《电子签名法》配套的《电子认证服务管理办法》,并于2005年4月l日与《电子签名法》同时生效。虽然二者共同为我国建立起了电子签名法律制度的基本框架,但对于最重要的责任承担问题,规定的还很不完善。在各种错综复杂的法律关系中,责任是否要追究,如何追究、追究的程度怎样、基于何种合法性的理由予以追究等等都没有明确的规定。我国的电子签名法也只是在第四章中大致的规划出了可能出现的几种责任,而且大部分都是针对行政责任,更多的也只是行政措施,对于最为有效的解决私法责任的民事责任规定的很少,只规定了电子签名人因自身过错导致电子签名依赖方和认证机构产生损失的赔偿责任。另外,我国法律对认证机构的适用也局限于合法的认证机构,而对在实践中存在的自建认证机构则形成了大量的法律空白。因此,我国的电子签名法律制度仍有许多不足之处,在实施中存在着不少问题,还需要进一步探索和完善。

1.2国内外研究综述

1.2.1国内文献综述

我国学者对于电子签名法律关系的研究主要围绕认证机构展开,目前可以分为两个层次。

其中一个层次是从整体上研究电子签名法律关系,这类研究的范围很广,力图面面俱到,可是又往往面面都达不到,其论述只停留于表面,没有对具体问题进行深入的探讨。此方面的文献主要集中于电子商务法律领域。胡静(2001)认为“我国电子签名认证机构应引入保险制度”[3],并着重讨论了广东省电子商务认证中心提出解决保险的办法。孙晔和张楚(2001)认为“在由政府主导监管电子签名认证机构模式中,美国尤他州数字签名法对我国有很好的启发作用。由于历史原因,我国的“老字号”企业都没有“原汁原味”的流传下来,几乎不存在类似国外的那些历史悠久、信誉卓著的大型企业。换言之,企业的信誉得不到承认。因此,我国不能完全由企业主导电子签名认证行业,而需要以政府的信誉作补充。因为在电子商务中,信誉至关重要,完全将认证行业交由企业自行发展,而没有相应的法律的规范和政府机关的管理,就我国目前的企业发展情况来说是不可能实现的。”中国政法大学唐建国(2006)认为“为了统一全国的认证服务市场,避免出现重复认证的混乱局面,根本途径是建立交叉认证机制,建立具有普适性的电子认证机构组织体系和技术标准体系,以便在不同认证机构之间相互承认对方认证的有效性,避免认证资源的浪费。”暨南大学刘媛(2006)认为“由于电子签名认证仍存在一定的安全风险,故应根据意思自治原则,由电子认证申请人来选择自己对认证行为担保的风险的大小。”[6]

其二是针对电子签名法律关系中的某一方面来重点探讨。从文献的年份可以看出,2005年《电子签名法》的颁布成为研究层次的分界点。比较典型的是对电子签名认证机构民事责任的研究。探讨电子签名认证机构民事法律问题必然离不开对其民事责任的论述,学者们从债法理论中合同之债和侵权之债的角度分别展开研究,认为电子签名认证机构对其提供认证服务的电子签名人承担违约责任,而对电子签名依赖方承担侵权责任。张楚教授的博士毕业论文《电子商务法初论》拉开了我国正式研究电子签名法律的序幕,对国外电子签名制度进行了深入的分析,并对我国电子商务以及电子签名的发展进行了研究和展望。华东政法大学陈琦(2011)认为“对于认证机构的侵权行为采取的是过错推定原则,解决了实体法层面上主观状态如何影响责任承担的问题,相应的,在程序法层面上,举证责任的分配应当与实体归责原则相适应”。[7]贵州大学戴玲(2007)认为“电子签名认证机构对电子签名人的归责原则是过错推定责任原则。不同的是,电子签名人由于存在合同关系,承担的是违约责任,而电子签名依赖方不存在合同关系,承担的是侵权责任,但归责原则都是过错责任原则的特殊形式,过错推定责任原则。”[8]西南政法大学戚永福(2008)将“认证机构对电子签名用户的责任和电子签名依赖方的责任”进行分别阐述,将认证机构对电子签名依赖方的责任认定为一般侵权责任。[9]然而学者们的关注重点大多集中在电子认证机构自身的责[5][4]

任承担问题,没有将三方当事人联系起来,这样孤立的研究一个多方法律关系不免僵硬,片面。在此类研究中,虽然认同对认证机构实行责任限制,但是对认证机构责任限制问题缺乏深入的分析,也未形成完善的制度构建体系;对认证机构自身的剖析也不够深入,不能涵盖当前存在的自建认证机构的问题。我国《电子签名法》对电子认证机构的责任问题规定不完善,对进一步推动电子商务的发展而言是不利的。

1.2.2国外文献综述

国外电子商务起步较早,对于电子签名的研究也相对完善。由于早期的电子商务法律过分的注重保护作为新兴产业的电子认证的发展,以至于在立法中存在重视认证机构权益忽视甚至是牺牲认证关系其他参与方利益的情况,如美国《犹他州数字签名法》第309条就免除了认证机构所应承担的间接损失,而且排除了储蓄利息,对用户特别苛刻。随着信息时代电子商务的飞速发展,对于认证机构的责任限制问题也为人们所重新审视,如何完善认证机构的责任承担机制成为关注的重点。近年来随着司法实践及学术研究的不断深入,越来越多的学者都对此予以撰文研究,大量的电子商务法律专著和文章涌现:如LonnieEldridge的“Internetcommerceandmeltdownofcertificationauthorities:istheWashingtonstatesolutionagoodmodel?”解释了电子签名所使用的技术,并以华盛顿州的电子商务立法为依据探讨了电子认证机构承担民事责任的范围和责任限制问题,认为“该法可以作为其他国家参考的模型”。MichaelJ.Osty&MichaelJ.Pulcanio的“TheLiabilityofCertificationAuthoritytoRelyithirdParties”则综合美国各州的立法情况,总结了电子签名认证机构对电子签名人及电子签名依赖方的责任,认为“所有的国家立法必须解决的核证机关的赔偿责任,因为身份验证将对交易当事人的财产安全”。IanA.Rambarran在“IAccept,ButDoThey?…TheNeedForElectronicsignatureLegislationonMainlandChina”一文中,从国外的角度来考察中国电子商务立法,并提出了完善意见,作者根据自己丰富的实践经验论述了互联网的运作模式,电子合同如何制订,如何证明电子合同的真实性,电子邮件的风险如何避免,互联网上知识产权如何保护,数据保护等问题,对我国电子商务的发展有一定的指导借鉴意义。

1.3本文研究的主要内容、研究方法及创新点

电子签名认证之所以能作为电子商务开展的重要保障,主要是因其可靠性与安全性。但是,随着技术的进步,计算机性能的大幅提升和解密算法的优化,使得目前可靠的加密算法在未来极有可能被破解,从而导致交易风险的发生。由于

管理上存在的漏洞,也存在人为造成电子认证出现问题的情况。在电子签名认证中产生纠纷也就不可避免。因此,本文主要围绕电子签名法律关系当事人各方的责任展开讨论,从权利义务角度出发,对认证关系各方的责任进行研究,以期对我国电子签名法提供完善建议和对实践中存在的问题贡献解决方案。

本文采用了比较法、实证法等作为研究方法。比较法是在搜集资料和进行分类的基础上,确定需要进行比较的问题和比较的标准,然后进行描述、解释、并列和比较,最后得出结论。文中主要通过对美国、欧洲一些国家的立法状况进行研究,并与我国立法进行对比,寻求完善。实证法是结合现实中的做法、现象进行论证的方法,主要是对现实中存在的自建电子签名认证机构责任的论证。

本文的结构分为五个部分:

第一部分,为本文的绪论。首先介绍了我国目前互联网以及网络平台交易的使用已初具规模,因电子签名认证引发的民事纠纷也频频见诸新闻之中,涉及到的责任划分不清、救济方式不完善等问题给我国的法律带来了一系列严峻的考验。进而,联系到我国的电子签名法也只是在第四章中大致的规划出了可能出现的几种责任,而且大部分都是针对行政责任,更多的也只是行政措施,对解决私法责任最为有效的民事责任规定很少,只规定了电子签名人因自身过错导致电子签名依赖方和认证机构产生损失的赔偿责任的现状,得出电子签名法律关系中当事人责任承担的规定亟需完善的结论。并在下文中介绍了国内外学者对电子签名认证责任机制的研究情况。

第二部分,简要介绍了电子签名的内涵和电子签名与电子认证的关系。本文按照电子签名概念立法技术发展的顺序,介绍了从“技术中立”到“折中原则”的电子签名概念的演变。结合传统签名的功能,总结出电子签名的法律功能。根据电子签名技术不能依其本身来证明与签发者的唯一对应,不足以使信息达到完全的信任度的技术特点,提出了电子签名认证的现实要求,从而论证了电子签名与电子签名认证之间的关系。

第三部分,论证了电子签名认证过程中各方当事人之间的法律关系。首先,本文介绍了电子签名认证中的三方当事人,在此创造性的将电子签名认证机构分为自建CA和许可CA两种类型。在前文基础上分别对电子签名认证机构与电子签名人、电子签名认证机构与电子签名依赖方以及电子签名人与电子签名依赖方之间的法律关系进行分析,从民事角度将认证机构与证书用户之间的法律关系界定为认证服务合同关系,将电子签名认证机构与电子签名依赖方之间的法律关系界定为一种法定信赖利益关系,将电子签名人与电子签名依赖方之间的法律关系界定为一种潜在或直接的商务合同关系。

第四部分,为本文的重点之一,分析电子签名认证过程中各方当事人法律责

任的承担。本文通过对权利义务的阐述,引出责任的承担方式。认定电子签名人由于过错给电子签名依赖方、电子签名认证机构造成损失的,应承担赔偿责任。在探讨电子签名认证机构的责任时,将许可CA对电子签名人的责任定性为违约责任,着重分析违约责任时,根据合同成立阶段的不同将该责任划分为三个层次分别予以分析;将许可CA对电子签名依赖方的责任定性为侵权责任。将自建CA对电子签名人的责任定性为违约责任,将自建CA对电子签名依赖方的责任定性为侵权责任,并从侵权责任的四大构成要件作了具体分析。在接下去的部分中,分析认证机构责任承担的归责原则和责任限制与免除情形。最后分析了电子签名依赖方的责任承担问题。

第五部分,为本文的重点之二,提出了完善我国电子签名认证法律责任承担机制的建议。本文分析了我国电子签名认证立法的现状、意义及存在的问题,在法律责任承担机制方面,在借鉴国内外相关立法经验的基础上提出了以举证责任缓和弥补过错推定不足,对电子签名认证机构的责任限制,构建责任保险制度,电子签名中无力举证时的责任分配等四项建议。

本文的创新点在于:紧贴立法动态和现实问题。结合实践中大量存在的自建认证机构在处理相关电子认证纠纷中法律适用不规范的问题,提出了自建认证机构的责任承担方式。

第二章电子签名相关法律问题界定

2.1电子签名的内涵和功能

2.1.1电子签名的内涵

电子签名作为电子签名认证法律关系中的核心概念对于研究的展开具有重要的意义,但从国际上的立法和研究实践来看,电子签名始终没有一个能得到全世界一致认可的表述。

电子签名概念首次在法律文件中出现是在1996年由联合国贸易法律委员会制订的《电子商务示范法》中,规定:“法律规定需要签名的,如果数据信息符合以下条件,则符合签名要求:(1)使用了某种方法确定此人,并能说明此人已经同意该信息数据中的内容;(2)该方法是可信的,并且对生成或者传送该信息的目的是合适的。”在该定义中,没有涉及该用何种电子技术或电子手段来实施电子签名行为。这种概念定义的方法开创了一种充分尊重技术自由的立法方式——“功能等同法”[10],在功能等同法的指引下,将新技术所能实现的功能与从传统手写签名功能中提炼出来的抽象标准进行对比,能够完全实现传统签名功能的技术就能得到法律的认可。电子签名所采用的技术,只要它能够达到鉴别、确定签字人的身份和表明签字人对该数据电文内容认可的要求,通过该技术实现的电子签名就能得到法律效力的认可。之所以这样规定是因为电子技术的发展迅速,立法一方面要保证电子签名根本上的安全,实现其法律功能,另一方面,立法又难以涵盖所有的新技术。为了不阻碍新技术、新手段的出现和应用,立法通过功能等同法的规定来避免对于技术进步的限制。

这种功能等同的立法方式,不对技术标准进行任何的价值评价,凡能实现签名功能的技术手段均能得到平等的法律效力确认。因此,又被称为最低要求主义、技术中立主义[11]。遵循功能等同法,实现电子签名功能的技术是完全开放的,将技术选择权交由市场和电子签名用户。这样有利于促进应用更为先进的技术于电子签名之中,同时也最大程度的减少法律对技术发展的消极作用。但是,随着实践中出现的技术泛滥导致电子签名可靠性下降的问题,功能等同的立法方式已不能起到保障电子签名认证发展的作用。同时,这种不重视推广成熟技术应用的做法也无法应对社会对于认证行业发展完善的需要。

在功能等同法的作用日益下降的同时,为了适应社会的需要,一种兼顾不限制技术发展与保障电子签名可靠性的电子签名概念立法技术诞生了。联合国贸易法律委员会2001年制定的《电子签名示范法》是一典型代表,其将电子签名明确定义为:“在数据电文中,以电子形式所含、所附或在逻辑上与数据电文有联

系的数据,它可用于鉴别与数据电文有关的签字人和表明此人认可数据电文所含信息。”在在该立法方式的指引下,法律虽然认可所有能实现签名功能的电子签名技术,但对各种各样形式的电子签名的法律效力并不普遍予以承认,而是通过法律规定的形式对电子签名的签发程序和安全标准进行规范。对于签名技术能够达到特定安全等级,且制作程序合法,满足法律要求的安全性标准的电子签名技术才给予肯定的法律地位。这是一种将“功能等同”与“技术特定”相结合的折中型立法方式。[12]折中型立法是在功能等同法提倡的不限制技术进步的基础上,提出对电子签名更加规范的安全性要求。对那些采用适当的技术手段,安全可靠性达到法律要求的标准、能够更好地实现签名功能的电子签名给予充分的法律肯定,通过法律的指导意义以使其得到社会的广泛认可。折中型立法既保留了功能等同法要求的不对技术价值评价特点,又对技术标准做出了引导性规定,从而提高了电子签名的可靠性和可操作性。《电子签名示范法》将功能等同与技术特定很好的结合起来,实现了两种立法技术的平衡。

反观我国《电子签名法》,该法中的电子签名是指“数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据”。该定义从传统签名的功能出发,只要求能够识别签名人身份并表明签名人认可其中内容,并未规定技术手段的内容。但又规定有“可靠的电子签名”这一概念,作为指导性的规定,并确定了“可靠的电子签名与手写签名或者盖章具有同等的法律效力。”因此,我国《电子签名法》对电子签名概念采取了以功能等同法和技术特定法为参照的折中型模式,一方面没有限定具体技术实现手段,另一方面又确定了“可靠的电子签名”的法律效力,既不对电子签名技术发展产生消极作用,又能通过法律对技术使用的指导规范作用保障电子签名的可靠性。

2.1.2电子签名的法律功能

在私法领域,做出法律行为虽不必然要求有传统的手写签名或盖章,但在要式法律行为中签名则是必不可少的要件,许多国家甚至规定签名是合同生效的要求之一。[13]签名行为代表了签名人的意思表示,当事人一旦做出签名就表明其对该行为或文件的认可。并且,通过现代笔迹鉴定技术完全能实现对不同人的笔迹的识别,能有效防止当事人否认。当发生争议进入到诉讼程序时,通过现有技术对签名、盖章真伪的鉴定,伪造的签名、盖章将无法获得仲裁委员会或法院的认

[14]可。数字签名作为电子签名的成熟形式,电子签名人通过私钥加密来签署数据,电子签名依赖方使用与私钥对应的公钥解密,通过比对信息实现对签名以及数据电文的验证。因为电子签名是签名人专有使用,能够通过认证机构来确定电子签名人的身份,并推定电子签名人的签名行为是对该数据电文效力的承认。由于非

对称加密技术的哈希算法具有不可逆推性,运用该技术的电子签名还能验证数据电文是否在网络发送过程中被篡改,保证数据电文在流通环节的完整可靠,同时也使数字签名一旦做出便不可通过质疑其完整性进行否认。数字签名技术以上特性使得电子签名人一旦做出签名,其行为就要受到该签名的约束。因此,电子签名的法律功能包括:(l)确定电子签名人的身份;(2)表明电子签名人对数据内容的认可;(3)保证数据电文的可靠、完整性[15]。

2.2电子签名与电子认证的关系

互联网的便捷已经得到公众的认可,但是黑客攻击、垃圾邮件、电脑病毒传播等问题也随之出现。电子商务系统安全的威胁主要来自信息在互联网间传播的过程,导致了公众对于电子商务信任的缺失及对使用互联网发送重要私密信息的不安。[16]人们使用互联网从事商务活动最大的顾虑是安全问题,电子签名的应用被普遍认为是解决这一问题的技术手段之一。[17]

就电子签名对电子商务发展所起的作用来说,它有效地解决了信息的归属和交易人身份的确认问题,保证了通过互联网传递的意思表示的安全,使之不被否认或篡改,这是一种技术手段上的、工具性的保障,通过加强电子签名自身的防御能力来获得交易当事人对信息真实性和完整性的认可,是一种自发式的认证。而正是由于这种自发式认证的特点,使得电子签名存在先天性的不足,即电子签名技术不能根据其本身来证明与签发者的唯一对应,不足以使信息达到完全的信任度[18]。电子签名虽然能使信息在通过网络传递的过程中不被改动,或者一旦被改动则可立即被发现,但由于它本身的特点,其不能表明信息加密发送时发送者的主体,而这种主体的确定性与真实性对于商事行为来说至关重要。对于通过互联网进行的电子商务来说,最为关键也是最为薄弱的一个环节就是对信息发送者身份真实性的确认。可以说,如果连基本的当事人主体身份真实性都不能得到保证,那么一切在技术安全性上采取的措施都是没有任何意义的。

为了解决在电子签名过程中当事人身份确定上的问题,避免在进行电子商务时因为网上交易匿名性的特点而造成交易双方抵赖和欺诈,从而影响电子商务运行的安全性和可信性,一种基于第三方独立机构认证的电子签名认证方式应运而生。它通过一个处于中立地位的公正第三方(EntrustedThirdParty,ETF)--认证机构(CertificationAuthority)的认证行为,把电子签名与签发者的身份唯一对应起来,从而保障了网上交易的安全。具体而言,即:通过认证机构保管公开密钥、核发电子签名,使得电子签名依赖方(relyingparty)得以向认证机构检验查实,信赖电子签名的法律效力,确认证书用户的身份,从而确保网络交易的秩序和安全。[19]相对于电子签名侧重于技术层面、属于自发式认证的特点而

言,电子认证则主要着眼于通过认证机构的建立与运作,来实现一种组织制度上的保障[20]。电子认证的作用有以下两个方面:一方面,对外防止欺诈,通过第三方认证机构向用户提供可靠的证书目录,保证证书目录中的用户名字与公开密钥的真实性和一一对应,从而在交易当事人之间建立起必要的信心,这就可以防范在电子商务运行中极易出现的交易当事人以外的人故意欺诈而造成的信用风险;另一方面,对内防止否认,通过认证形成一种证据效用,使交易当事人无法否认签发电子签名时对于电子数据的真实意思表示,防止交易当事人之间可能出现的抵赖纠纷,从而保证网上交易的稳定性。[21]

综上所述,电子签名是保证电子商务安全运行的基础,是电子认证服务的客体,而电子认证则为网上交易提供认证服务,保障着电子签名的有效性,可靠性以及电子商务的安全性。有了可靠的电子签名技术及认证,发展电子商务就有了重要的保障,通过《电子签名法》的颁布就可以把电子交易行为纳入到已经建立起来的法律、信用评价等各种传统交易中的安全保障机制。这样,电子交易至少可以与现实交易同样的安全,也使电子交易更容易被公众接受。[22]

第三章电子签名涉及的法律关系

3.1电子签名涉及的各方当事人

3.1.1电子签名人

电子签名人指持有电子签名制作数据并使用该制作数据进行电子签名行为证明自己身份的人。电子签名人须持有与其身份对应的专有且处于保密状态的电子签名制作数据。

由于功能等同法曾经在电子签名领域的影响,能够用于实施电子签名的技术手段有很多,但出于技术成本和可操作性的原因,实践中采用较多的是更为成熟的基于PKI的数字签名技术。基于PKI的数字签名技术以公/私钥密码(非对称加密)技术理论为基础,具体来讲,电子签名人通过向电子签名认证机构申请,获得一对私钥和公钥,私钥由签名人控制,而公钥通过认证机构服务器向公众公开。电子签名人用私钥对数据电文进行加密,形成电子签名。电子签名依赖方用认证机构公开的公钥对该加密电文进行解密,通过比对解密后的信息是否一致来实现验证。由于电子签名人的私钥一般情况下应处于保密的状态,别人不可能获得签名信息,因而电子签名人一般不可否认其电子签名。

3.1.2电子签名认证机构

电子签名认证机构(CertificateAuthority,简称CA)是指为电子签名人和电子签名依赖方提供电子认证服务的第三方机构,在《电子签名法》中又称为“电子认证服务提供者”,在实践中也称为认证中心。电子签名认证机构是一种公正的可信任的第三方机构,它不参与双方的交易,只为电子签名人和电子签名依赖方提供认证服务。

《电子签名法》要求电子签名认证机构在设立之时需先向国务院信息产业主管部门提出申请;在取得认证资格后,电子签名认证服务机构应当按照工信部的要求在网上公布其认证资质信息。电子签名认证系统主要由证书管理服务器、密钥管理服务器和目录服务器组成。证书管理服务器主要负责数字签名证书的签发和废除;密钥管理中心负责生密钥对的生成、存储、分发、备份、更新、撤消、归档和恢复等;目录服务器用来公示有效证书和过期证书等业务相关信息。

实践中,我国电子签名认证机构存在两种类型--依据《电子签名法》并经有关部门许可成立的第三方认证机构(许可认证机构)和交易中某一方自设的认证

[23]

机构(自建认证机构)。

许可认证机构认证中颁发的电子签名,是由依据《电子签名法》或其他相关法律规定成立的,具备电子认证服务资质的专业机构做出的。这种认证模式下进行的电子签名受《电子签名法》的保护,具有法律效力和证据效力。由于电子签名行为的特殊性,各方当事人之间不仅存在合同的约定义务,还存在法定的附遂义务、违反合同义务承担的违约责任和违反法定的附遂义务所承担的侵权责任。

目前国内正在运行的电子签名认证机构大约有上百家,截止到2011年底,真正通过信息产业部审批的只有三十二家[24],大量自建认证机构在没有得到批准的情况下运营。这种现象伴随着《电子签名法》的实施过程而产生。自建认证机构在商业机构的内部使用无可厚非,但是如果对社会公众使用的话则是明显的违法行为。与许可认证机构不同,在自建认证机构中,由于交易一方同时承担着电子签名认证机构这一角色,他们大多没有获得电子认证服务许可证。因此,在这种模式下进行的电子签名,其法律效力、运营投入、应用风险等方面与在许可认证机构进行的电子签名存在较大差异。因为自建认证机构身份的特殊性,其对社会不特定公众提供的认证服务属于违法行为,故本文在此不再赘述,主要还是讨论自建认证机构通过“电子签名”这一技术手段来实现认证效果的情况。

3.1.3电子签名依赖方

电子签名依赖方,是指基于对电子签名认证的公信力的信赖从事有关活动的人。[25]电子交易因为无纸化的特点,其安全性始终为交易方所顾虑。随着电子认证业务的出现,由于认证机构的中立性与可靠性,通过电子签名认证机构为第三方担保的电子签名也为电子商务群体承认。因信赖电子签名技术本身的可靠性与电子签名认证机构的权威性,而从事电子商务交易的人,就是电子签名依赖方。

根据主体关联程度不同,电子签名依赖方可分为三类:第一类,电子签名依赖方与电子签名人为同一电子签名认证机构的用户。第二类,电子签名依赖方拥有与电子签名人不属于同一电子签名认证机构的证书。第三类,电子签名依赖方不持有任何电子签名证书。本文所指的电子签名依赖方是指,基于对电子签名人所拥有的经过认证的电子签名证书的可靠性的信任,与电子签名人直接建立法律关系的相对方。[26]总体上讲,电子签名依赖方是较为被动的一方,电子签名认证机构对于其认证行为向电子签名依赖方负法律责任。

3.2电子签名人与电子签名认证机构的认证服务合同关系

在进行电子商务交易时,为了保障交易的顺利进行,增加交易双方的安全感,有效的工具是电子签名认证。在使用电子签名之前,电子签名人要通过一定的程

第三章电子签名涉及的法律关系

序向电子签名认证机构申请自己的电子签名,电子签名认证机构接受申请人提交的申请材料之后,谨慎地予以核查,符合认证条件的则接受申请其请求,双方签订认证服务合同,按照合同约定履行义务,电子签名认证机构向认证申请人颁发与其身份对应的唯一的数字签名证书。电子签名人就可在接下来进行的交易中通过在自己认可的文件上附加自己的电子签名,表示该文件是由本人做出,并认可该文件。在签订的电子认证服务合同中,应当载明电子认证机构的名称,电子签名证书持有人名称、序列号、有效期以及国务院信息产业主管部门规定的其他内容。该认证服务合同签订之后,电子签名申请人与电子签名认证机构发生了合同关系,合同双方针对合同履行而产生的纠纷适用《合同法》调整。我国《电子认证服务管理办法》中也有类似要求。①综上,电子签名人与电子签名认证机构之间构成认证服务合同关系。

在实践中,由于电子签名认证申请主体的广泛性和不确定性,电子签名认证机构为了更好地实现社会服务价值和自身经营收益,其认证服务合同一般采取格式合同的形式,即由认证机构预先划定有关条款,电子签名申请人要么接受合同规定,要么不适用该认证机构的服务,很少能对合同本身进行调整。格式合同在制定过程中缺乏必要的协商,作为合同制定方的电子签名认证机构处于相对主动的地位,为了恢复合同双方原有的平等地位,就要求当合同双方对电子签名认证合同理解不一致时,合同解释应有利于电子签名人。

3.3电子签名认证机构与电子签名依赖方的信赖利益关系

“信赖利益理论”由美国法学家富勒提出,他将“信赖利益”归结为损害赔偿责任的根本原因。富勒认为,若受害人因信赖侵害方的承诺而改变了自己的利益状态,放弃了其他获得利益的途径或者放弃了与其他主体订立合同的机会,那

[27]么侵害方就应对受害方因信赖该承诺而产生的损失负责。由此,信赖利益理论

在以后的研究中开始受到广泛关注,在英美法系和大陆法系的私法领域“信赖利益原则”也都得到承认。当然,因为法的渊源不同,从“信赖利益”这一概念提出之始,大陆法系和英美法系对“信赖利益”的诠释就存在不小的争论。王泽鉴先生认为大陆法系的“信赖利益”“指当事人相信法律行为有效成立,而因某种事实之法身,该法律行为(尤其是契约)不成立或无效而生之损失,又称为消极利益之损害”。[28]这种学说侧重于对“利益”的强调。美国在其《合同法重述》第2版所作表述代表了英美法系的观点,该法规定“信赖利益指通过使信赖方恢复到合同未成立时他本应处的状态,补偿其因信赖合同而遭受的损失。”[29]该法①《电子认证服务管理办法》要求电子签名认证机构在受理电子签名认证申请后,应当与认证申请人签订书面合同,明确双方的权利义务。

第三章电子签名涉及的法律关系

强调了信赖利益的本质是对信赖而产生的损失。由此可见,在两大法系的理论学说和立法实践中都认可了“信赖利益”的存在,但对于“信赖利益”的表述并不一致。本文认为,“信赖利益”体现的是因信赖对方的行为而对自己利益所产生的影响,该影响一般是指应获得的利益。

电子签名依赖方与电子签名认证机构之间是一种信赖利益关系。电子签名依赖方在未进行电子交易时与电子签名认证机构不存在法律关系。随着交易的进行,电子签名认证机构与电子签名依赖方,因为电子签名依赖方信赖电子签名人所持有电子签名的身份确认功能与电子签名人进行交易行为而发生信赖利益关系,是电子签名认证机构的权威性认证担保了电子签名人主体身份的真实性。正是这种基于对电子签名认证机构认证行为的信赖而选择与电子签名人进行交易的行为,导致电子签名依赖方丧失了订立其他合同的机会,那么电子签名认证机构就应对电子签名依赖方因信赖其认证而遭受的损害负责。在电子商务中,电子签名依赖方通过电子签名认证机构公布的电子签名人的公钥确定电子签名人的身份,从而相信电子签名人的身份的真实性,进而推定其订立合同意思表示的真实性,才敢于同电子签名人签订合同。电子签名依赖方之所以订立合同正是出于对电子签名认证机构的信赖,因此,其两者之间存在信赖利益关系。

3.4电子签名人与电子签名依赖方的交易关系

我国目前的电子商务形式主要有B2B、B2C、C2C。B2B(BusinesstoBusiness),是指商家与商家建立的商业关系。例如我们在肯德基中只能够买到百事可乐,这是因为肯德基与百事可乐是商业伙伴的关系。商家建立商业伙伴关系是希望通过各自优势资源的合理配置来形成互补,达到双赢。B2C(BusinesstoConsumer),指供应商直接把商品卖给用户。典型的就是去麦当劳用餐,因为你是作为一个客户来直接购买麦当劳的产品。C2C(CustomertoConsumer),指客户之间自己把东西放上网去卖,例如淘宝。在以上电子商务形式中,电子签名人和电子签名依赖方是直接参与者,他们之间存在潜在或直接的合同关系。电子签名人向电子签名认证机构申请认证服务,获得与自己身份对应的电子签名制作数据,并据此做出电子签名。电子签名依赖方在进行电子商务交易签订合同时是根据其对该电子签名的信任,与电子签名人进行交易。交易双方是平等的商事主体,合同双方的法律地位平等,按照公平、平等、诚实信用原则指导、规范行为。电子签名人与电子签名依赖方只是通过电子签名这一工具来确认双方身份,从而促成合同的缔结,其关系仍应由其进行的商事行为决定,因此,电子签名人与电子签名依赖方实质上仍属于商事合同关系。

第四章电子签名中当事人的法律责任分析

责任是基于一定的义务而产生的法律的负担。《布莱克法律词典》中的法律责任词条,大意如下:“法律责任是因某种行为而产生的受惩罚的义务及对引起

[30]的损害予以赔偿或用别的方法予以补偿的义务。”美国法学家凯尔森认为:“法

律责任是与法律义务相对应的概念,人们对自己的行为负法律责任,就意味着如果他做了违反法律义务的事,就应受到法律制裁。”[31]正是基于权利、义务、责任三者之间的不可分割的关系,它们就像天平一样,权利和义务构成了两端,责任则是起到了支撑和平衡作用的支点。

4.1电子签名人的法律责任分析

4.1.1电子签名人的权利和义务

1.电子签名人的权利

(一)服务选择权

电子签名人可以依自己的意愿自由选择使用哪家认证机构的服务,自由决定申请、中止认证服务。

(二)专有使用权

电子签名人对其电子签名享有专有使用权,有权要求他人停止非法阻碍电子签名人使用电子签名或非法冒用、盗用电子签名的行为。造成损失的,电子签名人有权请求排除妨碍和赔偿损失。

(三)知情权

在使用电子签名之前,电子签名人有权从电子签名认证机构获得与自己权利义务相关的信息。

2.电子签名人的义务

为了规范电子签名人在电子签名使用过程中的行为,确保电子商务的安全,电子签名人必须在使用过程中尽到谨慎合理的注意义务。其中主要包括以下几个方面:

(一)支付报酬的义务

主要是指服务费用的支付。为了获得电子签名认证服务,签名人应向电子认证机构交纳一定的服务费用以及其他双方当事人约定的费用。

(二)真实陈述的义务

电子签名人在提出认证申请时,需要向认证机构提交有关的个人信息,该信

息必须真实、完整,否则电子签名人应对其虚假陈述行为造成的损失承担责任。

(三)妥善保管义务

认证机构将电子签名制作数据交付之后,电子签名人须妥善保管,应尽到充分的谨慎,防止他人获得自己的电子签名制作数据。当知悉电子签名制作数据已经或存在较大风险失密的情况下,应及时通知其他各方关系人。

4.1.2电子签名人违反法定义务所应承担的法律责任

电子签名人提出认证申请时应当提供真实、完整和准确的个人信息,若因提供信息不实、不完整而给电子签名认证机构和电子签名依赖方造成损失的,应当承担法律责任。遗憾的是,我国《电子签名法》没有具体规定责任承担方式和责任承担范围。参照《民法通则》的有关规定,电子签名人由于过错给电子签名依赖方、电子签名认证机构造成损失的,应承担赔偿责任,该赔偿是以金钱的方式赔偿电子签名认证机构的全部损失,包括电子签名认证机构因该错误认证导致的业务赔偿和因错误认证造成的消极社会影响导致社会评价降低,造成的业务流失损失。

电子签名人因自身过错,导致签名数据泄露,且当电子签名人获知签名制作数据已经失密或者存在较大失密风险时未及时告知其他关系人,因未及时告知使本应当终止使用的电子签名继续使用,造成其他关系方因该失密电子签名的使用而遭受损失的,电子签名人应承担赔偿责任。因为,电子签名人不但要承担因签署电子签名产生的法律负责,而且有义务尽最大的努力使电子签名制作数据处于保密状态,独自占有。电子签名数据脱离了电子签名人的控制,则认为电子签名人未尽到必要的注意义务,电子签名人具有过错,其不利后果应由其本人承担。如果电子签名人不承担责任,对于善意第三人--电子签名依赖方是不公平的。若电子签名人尽到必要的注意义务,妥善保管电子签名数据但仍泄露的,例如因黑客攻击,网络漏洞等原因,则电子签名人可免责。因此,电子签名人承担责任的主观要件是有过错,即适用过错责任原则。

4.2电子签名认证机构的法律责任分析

4.2.1电子签名认证机构的权利和义务

1.电子签名认证机构的权利

电子签名认证机构作为认证服务提供方,其权利主要针对是否能保证其认证的可靠性。

(一)获得真实认证信息的权利

电子签名认证机构有权要求认证申请人提供真实的个人信息资料。不同申请

第四章电子签名中当事人的法律责任分析

主体提供的信息略有差异。个人认证申请者,应提交真实的姓名、身份证、联系方式、通信地址等个人资料;组织认证申请者,应提交真实的单位名称、行业类别、单位地址、单位邮箱、电话以及负责人信息,如是已注册的组织,还应提交有效注册文件。

(二)获得认证费用的权利

电子签名认证服务是有偿服务,认证合同是双务,有偿合同,电子签名认证机构有权根据电子认证合同收取服务费用,以维持机构的运营。

(三)依法请求赔偿的权利

电子签名人因违约给电子签名认证机构造成损失的,认证机构有权按照合同约定求偿。

2.电子签名认证机构的义务

电子签名认证机构掌握着所有的认证信息,处于技术垄断的地位,为了平衡认证关系各方的地位,实现公平、平等的法律诉求,本文认为电子签名认证机构应履行以下义务。

(一)信息审查义务

认证机构应当对认证申请人提供的个人申请信息进行充分审查,若查明申请材料包含不实信息,有权要求申请人进行补正,补正不能的,应拒绝提供认证服务。

(二)业务流程明示义务

为了方便业务办理,在申请电子认证服务时,电子签名认证机构应通过CPS(认证业务规则)的形式公开其工作流程和为用户提供的服务以及服务的主要内容,这些内容往往构成认证服务合同的一部分。主要包括:用户身份鉴定要求;认证类别及电子签名操作方法说明;保密制度;安全控制规程;用户责任和义务等内容。我国《电子签名法》将认证业务说明内容归纳到了业务规则中并要求向国务院信息产业主管部门备案。

(三)信息披露义务

电子签名认证的本质是一种第三方权威,公信力是其生存的基础。认证机构充分的信息公开是获得公众信任的必要条件。因此,电子签名认证机构应当充分的公示其认证资质及经营情况。②

美国《犹他州数字签名法》中规定的认证机构披露内容可以作为电子签名认证立法典范③,通过和美国《犹他州数字签名法》多达数十项规定的对比,我国②我国《电子认证管理办法》中要求电子认证机构签发的电子签名认证证书应当载明电子认证机构名称、证书持有人名称、证书序列号、证书有效期、证书持有人的电子签名验证数据、电子认证机构的电子签名等内容。

③美国《犹他州数字签名法》中规定认证机构应披露的内容,包括:认证机构的名称、地址和电话号码;认证机构的标识名称;认证机构现行的公开密钥;根据最近认证机构活动做出的业务审计结果,对认证所

第四章电子签名中当事人的法律责任分析

看似详细的披露内容在《犹他州数字签名法》近乎苛刻的要求面前是远远不够的,我国与先进国家的电子签名法律规定还有很大差距。一方面,我国目前对电子签名认证机构还不具备丰富的实践经验和立法经验;另一方面,这种较为开放的立法也留给其他机关一些发挥的空间。

(四)安全保障义务

电子认证是专业性较强的行业并随科技的发展而不断更新,为了保障认证的可靠性,认证机构要保证自身运行的安全。对电子认证机构来说,其必须有足够的抗风险能力,采用科学的管理和安全可靠的技术系统提供电子认证服务。为了保证认证行为的可靠性,电子签名认证机构须聘用熟悉有关密码技术的技术人员,具有充足的资金增强抗风险能力,具有固定的办公场所维持经营的稳定,采用的密码技术和硬件设备达到国家安全标准,获得国家商用密码管理办公室同意使用密码的批准等其他条件。

(五)保密义务

用户在申请电子认证业务时,会向电子签名认证机构提交个人详细信息。这些信息会涉及到个人隐私或商业秘密,因此,电子签名认证机构应当遵守国家的保密规定,建立完善的保密制度,有义务保障申请信息的不外泄,除非当事人之间达成相反的约定或有关国家机关的正式要求。

(六)依法承担责任的义务

电子认证机构在提供电子认证服务过程中,可能会因自己的过错给电子签名人或电子签名依赖方造成损失。电子认证机构承担何种责任,向谁承担责任,责任是否有限制,归责原则如何,将在下文进行详细的探讨。

4.2.2许可认证机构的法律责任

1、许可认证机构(以下简称“许可CA”)对电子签名人的违约责任

电子签名认证机构与电子签名人之间的法律关系是认证服务合同关系,其法律责任为违约责任。在合同签订的不同阶段,许可CA作为合同的一方当事人对电子签名人承担的民事责任也不同。

(一)合同成立前的缔约过失责任

在签订合同之前,合同双方要进行充分的协商,交换意见之后才能达成意思作归类,以及审计的日期;认证机构的证书在许可后被撤销的,应包括该撤销证书中包含的公开秘钥、撤销日期和撤销理由;认证机构的适当的保证金额;认证机构的许可证被撤销或被中止的,应包括撤销或中止的日期和理由;认证机构许可上具有限制的,应包括该限制;任何实质影响认证机构开展义务能力的活动事件,任何实质影响主管部门提供或承认的储存库里列举十个证书的有效性的活动或事件;证书含有用于确认一个或多个由认证机构所颁发证书真实性公开密钥,且该证书被撤销或正处于中止状态时,该包括证书的撤销或中止时间;认证机构按主管的规章要求形式提交声明的,应包括当前日期一年以前迄今,包括额外规章或政策,且长度不超过两千字的声明;以及主管部门要求的其他信息;主管部门应在其公告栏中保持电子数据库,包含根据本条规定的,对每一个许可之认证机构的信息披露。

第四章电子签名中当事人的法律责任分析

表示的一致。最终成立的合同是在这一系列的准备过程中的最后一步。[32]在合同成立前主要涉及缔约过失责任,我国《合同法》具体规定了三种缔约过失责任形式。缔约过失责任是违反先合同义务的结果[33]。先合同义务,是指“为适当履行合同义务或保护另一方当事人权益,基于诚实信用原则而产生的义务,包括作为义务和不作为义务[34]。在认证合同签订之前,电子签名认证机构应承担的先合同义务主要有:

第一,当认证申请人提出申请要求,认证机构应接收申请人的申请材料,并及时审核。在实践中,认证申请人可当面向电子签名认证机构提出申请,电子签名认证机构提供相关咨询服务。电子签名认证机构也可将申请所需的资料和申请方式在网站上予以公布,由申请人自行操作。此处,审核申请材料既是认证机构的权力,更是义务。

第二,认证机构在办理认证申请的过程中,应保证申请材料不被泄露。电子签名申请人提供的个人信息,可能涉及隐私或商业秘密,电子签名认证机构有义务保护该信息。

缔约过失责任是一种法定之债,独立于侵权责任、违约责任等债,是一种独立的请求权[35]。电子签名人可因信赖认证服务合同的成功订立,但该合同并未成立而产生利益损失为由,提起缔约过失责任请求权。该请求权范围包括直接损失和间接损失。其中,直接损失一般包括认证申请费用、因认证机构缔约过失行为造成的财产损失等;间接损失则主要是指丧失与其他认证机构成功订立合同的机会成本损失[36]。

(二)合同履行过程中的违约责任

违约责任以合同的有效存续为前提,是在合同成立之后至合同义务履行完毕期间,合同双方因未适当履行合同义务给对方造成损失而应承担的民事责任。[37]电子签名认证提供的是一种以合同为基础而产生的信用服务。[38]许可CA与电子签名人根据双方合意达成协议,合同生效后制约双方的行为。电子签名人与电子签名认证机构之间的认证服务合同的标的是认证信息服务,是经过权威认证的、可靠的电子签名人身份信息。[39]许可CA有义务保证该信息的可靠性以及认证过程的顺利进行,许可CA的违约责任主要源自安全保障、谨慎审核、信息披露、保密等义务。对于许可CA做出违反上述义务并造成损害事实的行为,电子签名人可以依据《合同法》和认证服务合同中的约定要求许可CA承担违约责任。

对因违约行为造成损失的损害赔偿应当遵循完全赔偿的原则,在电子签名认证机构未适当履行合同义务,并因此给电子签名人造成损失的,赔偿额应相当于因违约造成的损失。另外,赔偿额不得超过许可CA订立合同时能够预见到或者④假借订立合同,恶意进行磋商,故意隐瞒与订立合同有关的重要事实或者提供虚假情况,泄露或不正当地使用订立合同过程知悉的商业秘密。

应当预见到的因其违约行为可能造成的损失。这样,就把赔偿额度划定在可以预见到或者应当预见到的损失内。例如,电子签名认证机构在审查认证申请信息时,能够预见到该电子签名是用于特定交易的,此时赔偿范围限于电子签名人在该交易中所受的可得利益损失。在审查认证申请信息时,电子签名认证机构不能预见到该电子签名是用于特定交易的,则对预期利益的损失不予赔偿。

(三)违反后合同义务的民事责任

后合同义务,是指基于诚实信用原则,由法律规定,在合同履行完毕后合同

[41]双方仍须履行的某种作为或不作为义务。后合同责任的发生依据是法定的后合

同义务,因此,后合同责任不同于违约责任,它是一种法定之债。后合同责任是合同履行完毕之后,国家强制给电子签名认证机构的负担,是一种独立的责任形式。具体到许可CA来说,主要表现在信息保密义务和妥善保管义务。

保密义务始终贯穿于电子签名认证过程中,从开始申请到认证期满。保密义务不仅是法定义务,更是诚实信用原则要求的衍生。我国在《电子签名法》中强调电子签名认证服务机构应当按照国家的保密规定从事认证活动,并建立健全的保密制度,保护认证过程中的信息资料的安全性。许可CA因过错导致前述信息泄露的,应承担赔偿责任。

许可CA对社会公众负有提供信息查询的义务,对于失效的电子签名,许可CA在一定期限内仍应该提供查询服务。这是其公共服务属性的一种要求,也是诚实信用原则的体现。我国《电子签名法》中要求电子认证机构应当在认证证书过期或失效后,至少五年内仍需保存认证信息,并提供查询。若在该义务期限内,许可CA因自身原因无法提供查询服务,给电子签名依赖方造成损失的,应当承担赔偿责任。

2.许可CA对电子签名依赖方的侵权责任

经过前文分析,电子签名认证机构与电子签名依赖方的关系可认定为信赖利益关系。许可CA侵犯电子签名依赖方信赖利益的,应承担侵权责任。具体而言,主要包括以下几种情形:

第一,因未尽到谨慎审查义务,错误颁发电子签名,导致电子签名依赖方损失。在颁发电子签名之前,许可CA应当严格谨慎对于电子签名人的申请材料进行审核。电子签名依赖方因信赖错误颁发的电子签名造成损失的,许可CA应当予以赔偿。

第二,因许可CA管理漏洞导致电子签名制作数据失密,以至电子签名依赖方发生损失。电子签名人对私钥有独占使用权,如果因许可CA的管理漏洞或保密技术的缺陷导致电子签名制作数据泄密,从而使他人获得此电子签名制作数据,假冒电子签名人的身份进行交易并最终导致电子签名人及依赖方利益受到损

害的,认证机构应当承担责任。

第三,因公示的有效签名信息与失效签名信息错误导致电子签名依赖方损失。许可CA公示有效签名信息与失效签名信息的作用在于便于电子签名依赖方查询电子签名的状态,进行必要的审查。若因为该列表公示内容的错误,导致电子签名依赖方遭受损失的,签名认证机构应当承担法律责任。

第四,因未及时处理中止、终止或撤销电子签名请求,导致电子签名人或依赖方财产损失。电子签名人知悉其电子签名制作数据已经失密或者有较大失密风险时,申请中止、终止或撤销该电子签名的,许可CA应及时予以处理。由于许可CA的过错导致中止、终止或撤销行为不合理的延迟,导致电子签名人身份被盗用造成损失或电子签名依赖方由于信任该电子签名造成损失的,许可CA应当承担法律责任。

对电子签名认证机构侵权造成的损害赔偿范围的确定,应坚持全部赔偿和限额赔偿相结合的原则。完全赔偿能够对电子签名依赖方的损失进行全面、充分的救济,既要赔偿电子签名依赖方的直接损失,又要赔偿间接损失。在充分保护了电子签名依赖方利益的同时,我们也不能忽视电子签名认证机构本身也承担着非常高的行业风险,如果将电子认证过程中的损失赔偿责任过分的倾向于认证机构,是不利于电子签名认证行业起步阶段的发展的,因此,如何去解决这一问题还需要进一步讨论。

3.违约责任与侵权责任的竞合

违约责任与侵权责任本是法律所规定的两种民事责任,两者分别有自己独特的适用前提和适用范围。但这两种民事责任在特定的情况下也会产生竞合的效果,即行为人所实施的某一违法行为,具有违约行为和侵权行为的双重特征,从

[40]而在法律上导致了违约责任和侵权责任的共同产生。这种情况也出现在电子签

名认证的法律关系中,当电子签名认证机构的认证行为同时侵犯了电子签名人个人的信息隐私权或法人等其他经济组织的商业秘密,并给电子签名人带来损害时,即发生违约责任和侵权责任的竞合。首先,电子签名人在申请电子签名认证时,需要提交相关的申请信息,当电子签名人为个人时,提交的个人信息中免不了会包含涉及个人隐私的信息,当电子签名人为法人或者其他经济组织时,提交的申请信息也有可能涉及自己的商业秘密。我们都知道,无论是个人的隐私权,还是经济组织的商业秘密,同样都受到法律的保护,这是法律赋予他们的权利,不受任何人的非法侵犯。所以,电子签名认证机构对整个审查认证申请信息的过程和内容,对电子签名人都负有保密义务,这是毋庸置疑的。倘若由于电子签名认证机构的失误,对个人信息或者商业秘密造成了泄漏,违反了信息保密义务,不仅侵犯了电子签名人的合法权益,并因此造成损害的,电子签名认证机构即构

成违约责任和侵权责任的竞合。根据民法的相关规定,当事人一方,即电子签名人可基于违约责任,也可基于侵权责任向认证机构提起诉讼,请求赔偿。

4.2.3自建认证机构的法律责任

1.自建认证机构(以下简称“自建CA”)对电子签名人的违约责任

与许可CA不同,在自建CA中,由于交易一方同时承担着电子签名认证机构这一角色,他们大多没有获得电子认证服务许可证。因此,在这种模式下进行的电子签名,其法律效力、运营投入、应用风险等方面与在许可CA下进行的电子签名存在较大差异。因为自建CA身份的特殊性,其对社会不特定公众提供的认证服务属于违法行为,故本文在此不再赘述,我们主要讨论的是自建CA与电子签名依赖方是同一集团内部的不同利益主体的情况下,自建CA通过“电子签名”这一技术手段来实现认证效果的情况。

自建CA在承担法律责任方面与许可CA存在差别。在自建CA中,一些重要的交易信息完全由认证机构掌控,这就导致信息严重不对称。按照目前法院对相关案例的处理情况来看,举证是按照一般的“谁主张,谁举证”原则,即当电子签名人与自建CA发生纠纷要求赔偿的时候,需要电子签名人来举证,而电子签名人举证确实很有难度。但如果使用了许可CA的认证服务,根据《电子签名法》第二十八条的内容规定实行举证责任倒置。这是自建CA和许可CA最大的不同。

由于自建CA身份上的瑕疵,其不在《电子签名法》的保护范围之内。所以当自建CA与签名人和依赖方产生纠纷的时候,自建CA不能作为一个独立的主体来承担责任,而只能由其背后提供自建CA服务的服务方(交易中的某一方)来承担责任。就自建CA与签名人的关系来看,自建CA与签名人之间不是典型的认证服务合同关系。两者的电子签名认证关系存在于服务方和签名人之间的一个合同关系中,即电子签名认证是作为双方合同关系中的一项来进行的,合同乃是自建CA与电子签名人之间关系存在的基础。因此,我们可以将自建CA与签名人之间的关系看作是在合同关系项下的一项内容。这种情况下发生纠纷,则应按照合同法律关系中违约的情况来处理。我国《电子签名法》规制的电子签名认证行为是针对公共对象的,自建CA(交易一方)向交易另一方提供电子认证服务的这些客户并不是传统意义上的公众,而是交易一方业务范围内的内部客户,所以自建CA不能在严格意义上说是一种电子签名认证服务机构。在这种情况下是不能适用《电子签名法》的,但是我们可以参照《合同法》相关内容进行保障。

2.自建CA对电子签名依赖方的侵权责任

在处理自建CA与电子签名依赖方的纠纷时,我们可以仿照自建CA与签名人的合同关系原理,将自建CA“还原”为交易一方。电子签名认证机构与依赖方

之间是一种信赖利益关系,电子签名认证机构作出的认证行为是依赖方与电子签名人进行交易的信赖基础。因此,依赖方在受到因信赖自建CA原因导致的损失时,当然有权向认证机构提出赔偿请求。有学者将其称之为“广义的侵权责任”。

[42]自建CA作为实质上的电子签名认证机构,也对电子签名依赖方负有注意义务。这种义务的产生是基于诚实信用原则。当电子签名依赖方根据电子签名做出交易行为时,自建CA就有义务尽到必要的注意,保证该电子签名认证行为的真实有效性。

自建CA的侵权责任属于一般侵权责任,包括以下四个要件:

第一,损害事实的客观存在。自建CA违法行为直接的侵害对象是保护签名依赖方的法律本身,间接的侵害对象是电子签名依赖方依据法律规定享有的信赖利益,一定情况下还包括返还利益。

第二,行为具有违法性。就违法行为的表现而言,包括作为和不作为两种形式,不作为指的是自建CA消极地不履行保护电子签名依赖方利益等法律规定的义务,作为指的是自建CA故意违反保护依赖方利益等法律规定的义务,例如其内部工作人员与他人恶意串通涂改证书相关信息、因受贿而向明知提供不真实身份信息的申请人颁发证书,等等。

第三,违法行为与损害后果之间有因果关系。在自建CA侵权的情况下,尽管直接造成电子签名依赖方利益损失的是与之交易的电子签名人,但损失是由自建CA和电子签名人的过错共同作用造成的,我们可以这样理解,自建CA的违法行为是电子签名人侵害电子签名依赖方权益的介入因素,据此,可以认定违法行为与损害结果之间存在因果关系。

第四,主观上有过错。主观上的过错有故意和过失两种,自建CA对自身违法行为的心理态度,绝大多数出自过失,但也不排除故意。自建CA违反法律规定的合理注意义务以及其他法定义务时,往往是一般的过失,表现为未能预见损害结果或者已经预见但轻信能够避免;当自建CA能够预见自己行为将导致损害结果不可避免地发生,但仍执意违反法定义务并希望或放任损害结果发生时,这就构成心理上故意。

4.2.4电子签名认证机构的归责原则及免责情形

1.违约责任归责原则

英美法系和大陆法系因为对违约责任基础理解不同,在违约责任归责原则上有不同的观点。英美法系采纳“严格责任原则”,认为违约责任来源于合同双方的意思表示,意思表示一旦达成合意,双方就应对自己的行为负责,而不过问过错与否。大陆法系秉承“私法自治”的观点,认为民事主体有权利在不违背法律

第四章电子签名中当事人的法律责任分析

禁止性规定的前提下根据自己的意志从事私法行为。因自身过错导致他人损失的,须对该损侵害结果负责。并且,民事主体应只负责自己认识能力范围内的损失。随着世界一体化的趋势逐渐加强,两大法系之间也开始出现互相渗透,表现在违约责任归责原则上,就是不同法系中归责原则的交叉适用。在英国,按照不同的责任类型,合同义务被区分为严格合同义务和有限制的合同义务。其中,严格义务适用严格责任,有限制的合同义务适用过错责任,要求当事人尽到合理的注意[43]。涉及专业服务纠纷的案件尤其强调适用有限制的合同义务。主要是因为专业服务机构并不能完全保证其提供的意见或服务的结果完全按照预想的情况发展,只要其尽到合理的注意义务,便能排除严格合同责任。在德国,合同债务人的过失标准在于,债务人应当具有平均谨慎程度,该平均谨慎程度要求达到其所处行业或者领域的通常期待标准即可[44]。法国法将合同义务分为结果性合同义务和方式性合同义务[45]。其认为,结果性义务指合同中约定的义务包括具体结果的发生;方式性义务指合同约定的义务不以某一特定事实的发生为实现,只要义务人尽一切可能去追求该结果即可。若违反结果性义务,不问其有无过错。违反方式性合同义务,则要求“过错”作为违约行为的构成要件。

我国《合同法》中的归责原则是以无过错原则为主,过错责任原则、公平原则为辅的综合体系。在我国《电子签名法》中第二十八条中规定了过错推定原则⑤。参考国际相关立法,电子签名认证服务合同属于专业服务合同,通过上文分析,电子签名认证服务合同本质与英国法有限制的合同义务和法国法的方式性合同相似。考虑到电子签名人和依赖方的举证能力有限,因此,电子签名认证机构违约责任归责原则适用过错责任原则的特殊形式,过错推定原则是合理的。电子签名认证机构与电子签名人之间本质上是合同关系,与普通民事合同一样,义务按照合同的约定履行,违反约定未履行义务的应承担违约责任。

2.侵权责任归责原则

在侵权法领域,学者们对于侵权责任归责原则持有多种观点。我国《侵权行为法》目前是将侵权责任归责原则分为三类:过错责任原则、无过错责任原则和公平责任原则。在过错责任原则中,又分为一般过错责任原则和过错推定原则。在《侵权行为法》中,以一般过错原则为主,以例外规定适用过错推定、无过错责任和公平责任原则。

在我国《电子签名法》中仅有的几条关于民事责任的条款中规定:“电子签名人或者电子签名依赖方因依据电子认证服务者提供的电子签名认证服务从事民事活动遭受损失,电子认证服务者不能证明自己无过错的,承担赔偿责任”。这是典型的对举证责任实行“举证责任倒置”,该规则适用于电子签名认证机构⑤第二十八条电子签名人或者电子签名依赖方因依据电子认证服务提供者提供的电子签名认证服务从事民事活动遭受损失,电子认证服务提供者不能证明自己无过错的,承担赔偿责任。

第四章电子签名中当事人的法律责任分析

的侵权行为。为了配合该条款的规定,电子签名认证机构侵权责任归责原则应适用过错推定原则。

电子签名认证机构的服务对象是社会公众,提供的是一种权威性服务。电子签名认证行业对技术性要求较高,其服务依赖于密码算法技术和计算机硬件设备,认证的可靠性受现有技术条件和硬件配置限制。随着技术发展速度的加快,现有技术水平在未来不能预见的风险也加大。此外,认证机构所提供的服务可靠性还依赖于电子签名人的申请服务信息是否真实。所以,认证的可靠性在一定程度上与签名人的行为相关。因而不能运用不论过错便一概惩罚的无过错责任原则。

在电子签名认证法律关系中,电子签名依赖方处于天然的弱势地位,依赖方对电子签名认证机构缺乏必要的了解。电子签名认证作为一种信息认证服务,本身专业性较强,对证书的颁发、管理等工作又是在认证机构和电子签名人之间发生的,电子签名依赖方作为非专业人员,不可能完全掌握认证机构的内部工作机制。由于电子签名认证机构与电子签名依赖方之间存在严重的信息不对称,依赖方只能根据认证机构公示的内容进行查询,而这些信息完全掌握在认证机构手中,认证机构处在有利的举证位置上。因此,要求电子签名依赖方承担举证责任,证明认证机构的过错是不现实的,也是不公平的。实行举证责任倒置将有利于改变双方不平等的举证地位。

3.电子签名认证机构责任的免除

我国《电子签名法》中并未规定电子签名认证机构的免责条件,根据民法原理,电子签名认证机构可在下列情况免责。

(一)免责条款规定

免责条款一般规定在合同当中,对电子签名认证机构与电子签名申请人产生效力。根据意思自治原则,只要不违反法律禁止性规定,合同双方可以自行约定认证服务合同的内容,也可约定免责条款。针对认证合同多为格式合同的情况,此处应以约定限制责任条款为宜。

(二)不可抗力

不可抗力,指不能预见、不能避免并且不能克服的情况,包括自然灾害事件、法律修改、政府行为等。不可抗力,属于法定免责条件,当事人也可在认证服务合同中进行说明。因技术发展,设备更新,对于黑客攻击、解密算法的改进等外部因素造成的损失也应考虑在内。

(三)紧急避险

当电子签名认证机构发现电子签名的制作数据已经泄露或者存在重大安全漏洞时,为避免损失进一步扩大而中止该电子签名的使用并及时通知关系人的,

第四章电子签名中当事人的法律责任分析

由此造成电子签名人及依赖方损失的,认证机构可减轻或免除责任。

(四)电子签名依赖方过错

电子签名依赖方对电子签名的真实性、有效性,电子签名使用方式、目的等未尽合理注意,查验的,由此造成的损失,自行承担责任。

(五)电子签名人过错

电子签名申请人在申请认证时存在欺诈行为,导致认证机构虽已尽到合理注意仍不能避免错误发生,对于由此造成的损失,认证机构免责。电子签名人超出电子签名的使用范围使用电子签名导致损失,认证机构当然免责。电子签名人在密钥失控时未尽到及时告知义务,使得电子签名依赖方仍信赖该签名的可靠性进行交易,造成损失的,认证机构按过错程度承担责任。

4.3电子签名依赖方的法律责任分析

4.3.1电子签名依赖方的权利和义务

1.电子签名依赖方的权利

电子签名依赖方是与其他两方当事人相比是较为被动的一方,其权利多为请求权。

(一)知情权

电子签名依赖方作为信息接收方有权知悉电子签名证书的有效性、真实性。因此,电子签名认证机构就必须本着一般注意义务披露一切必要的信息。

(二)求偿权

在电子签名使用过程中,因电子签名认证机构和电子签名人的过错造成签名依赖方损失的,电子签名依赖方有权向过错方请求赔偿。

2.电子签名依赖方的义务

作为认证关系参与方之一,要求依赖方也要承担相应的义务,这也是权利义务平衡的体现。电子签名依赖方应根据其所能获得的信息,对接收的电子签名的可靠性予以确认。尽管电子签名的可靠性与电子签名依赖方无关,但电子签名依赖方也应进行必要的查验,这是与其知情权相对应的。联合国贸易法律委员会《电子签名示范法》第11条正是从这一立场出发,对电子签名依赖方的行为作出了规定。⑥由于电子签名认证合同具有保护第三人利益的作用,因此,电子签名认证合同对电子签名依赖方原则上没有设定任何负担。上文提到的电子签名依赖方的义务实际上并非源于电子认证合同自身,而是依赖方从保护自己利益的角度出发,尽到的一个善良人的合理注意义务。

⑥要求电子签名依赖方“采取合理的步骤核查电子签名的可靠性;或在电子签名有证书支持时,采取合理的步骤,核查证书的有效性或证书的中止或撤消;以及遵守对证书的限制。”

第四章电子签名中当事人的法律责任分析

4.3.2电子签名依赖方违反法定义务的法律责任

电子签名作为信息时代的产物,其优越性是显而易见的,为了尽快普及电子签名的使用,保护交易安全,立法更多地倾向于保护电子签名依赖方。我国《电子签名法》没有对电子签名依赖方的法律责任进行规定,从其他的国家立法中也很少发现有对电子签名依赖方法律责任的详细规定。站在公平的角度,电子签名依赖方虽然可以信赖电子签名认证机构的权威性认证,与电子签名人进行交易,但其仍要尽到诚实、谨慎的义务。电子签名依赖方应尽到必要的审慎来查验电子签名的可靠性,一般来讲,从形式上审查电子签名的有效期限,是否被声明作废等操作是完全能够实现的。如电子签名存在明显或者通过一般审慎就能发现的瑕疵,电子签名依赖方仍信赖该签名进行交易,导致自己受到损失的,则认定其未尽到必要的谨慎义务,损失由自己承担。

第五章完善我国电子签名法中责任承担的建议

第五章完善我国电子签名法中责任承担的建议

5.1以举证责任缓和弥补过错推定不足

归责原则中暗藏的证明责任为责任认定提供了工具,其方式方法是否得当直接影响着责任问题解决的质量。目前,我国的《电子签名法》在第二十八条中规定了电子认证服务提供者的赔偿责任。从“电子认证服务提供者不能证明自己无过错的,承担赔偿责任”的规定中可以看出,这是典型的过错推定原则的应用。站在认证服务使用者的角度,这种过错推定原则当然是对其利益进行了较大程度的保护,但是对电子签名认证机构的经营风险却大大提高了。在互联网络这一开放的环境下,由于网络技术本身的特性,使得任何安全措施都是相对的。现在的黑客行为完全可以做到“无声无息”,让被侵入者完全没有察觉。因此,这种将系统风险和技术风险的不利后果完全归于电子签名认证机构的做法是不公平的。除此以外,这样的规定还会导致电子签名认证服务机构将大量的精力与资金投入到认证资料的收集和储存上,考虑到电子商务正处于起步阶段,这样过于严格的责任会影响到电子认证产业的发展。因此,不论是站在国内的行业发展角度考虑,还是站在顺应国际电子商务法律发展趋势的角度考虑,我国都应该对此进行完善。

针对上述情况我们可以借鉴医疗侵权纠纷中涉及医患双方信息不对称时讨论较多的“举证责任缓和”制度。举证责任缓和制度的核心在于,在法律规定的情况下,当举证责任承担方的技术或者其他方面的障碍导致其无法达到法律所要求的证明标准时,适当的降低举证责任承担方所应承担的证明标准,在举证责任承担方达到该标准时,将举证责任进行转换,由对方来承担举证责任,[46]以达到平衡双方当事人之间诉讼地位的作用。具体来说,我们的法官在审理案件时可依高度盖然性的经验法则为基础,从特定的结果出发,推断出医疗机构存在过错。比如说,患者在医院手术后,发现身体里留有手术工具,患者证明了这一事实后,法官就可以经验推断出患者身体里的工具是医务人员基于过失所为。因为在一般情况下,手术工具不会有别的途径进入人的体内。此时,举证的担子就落在医疗机构身上,医疗机构必须能够证明还有其他的事由可以导致相同结果的发生,否则法官基于其“心中的确认”就可认定医疗机构存在过失。但是只要医院提出的证据能够动摇法官“心中的确认”,那么提供证据的责任就又回到原告身上。原告必须提供证据来保证法官不动摇,否则将承担不利后果。需要指出,“举证责任倒置”与“举证责任缓和”是有区别的:一是举证责任倒置改变了举证责任的

分配,而举证责任缓和只是适当地减轻了举证方的举证责任,正如上面例子中所说的那样,当被告提出反证排除法官所依据的高度盖然性经验法则时,原告需再次举证,因此实质举证责任还是由原告承担。二是被告提出的反证并不要求足以证明自己的行为不存在过错,只要能够动摇法官,使他对适用经验法则产生怀疑,进而排斥经验法则的适用即可。而举证责任倒置,它推定医院方存在过错后,医院方必须提供足够充分的证据来推翻推定,而不仅仅是动摇法官,否则就要承担不利后果,相比之下,举证责任倒置对医疗机构提出的要求更严格。

因此,当电子签名认证机构在电子签名人或者电子签名依赖方因其认证服务行为遭受损失时,如果电子签名认证机构能证明自己确实已经尽到了必要的注意义务,如对客户信息进行了必要的保密措施,对数据传输网络的安全性进行了检测等,而转由电子签名人或者电子签名依赖方来举证证明认证机构的服务存在问题,并最终导致了损失的发生。我们可以考虑适当的降低电子签名人或电子签名依赖方的证明标准,即只需证明在电子签名的使用中非因自身原因导致损失发生,就可认定电子签名认证机构的认证行为存在瑕疵。这样,一方面可以照顾到我国正处于起步阶段的电子签名认证行业,使其避免承担过于严格的责任和过大的风险,另一方面,也保证了损失承受人的求偿权不至于遭受不合理的牺牲。就电子签名认证机构的法律责任应具体分析,寻找认证机构与电子签名人和依赖方之间利益的相对平衡点,不能搞“一刀切”的做法。

5.2对电子签名认证机构的责任限制

放眼国际,各国的电子商务立法基本都考虑到了对电子签名认证机构的责任需要加以适当的限制。[47]我国《电子签名法》并未明确规定电子签名认证服务提供者承担的法律责任的限额。同时,我国《电子签名法》对于赔偿范围也没有作具体规定,一般来说,应以对方遭受损失的数额为准。这就要求电子签名认证机构应在认证活动中更加谨慎,否则在电子商务蓬勃发展、电子交易标的额度越来越大的情况下,就有承担巨额赔偿责任的风险[48]。《电子签名法》的立法现状也与我国《电子签名法》规制电子认证机构行为,促进电子认证行业乃至电子商务领域的发展初衷相背离。值得注意的是,《电子签名法》并没有完全封锁认证机构责任限制的渠道,其中并未禁止电子签名认证机构在服务合同中增加限制自身责任的条款。“法无规定即许可”,这就意味着,电子签名认证机构可以通过事先限制电子签名认证证书的使用范围和责任限额的方式达到限制责任的目的。从原信息产业部制定的《电子认证业务规则规范(试行)》仅要求各认证机构参照该规范编制各自的CPS(CertificationPracticesStatement,电子认证业务规则)并向原信息产业部备案来看,该规范属于指导性的CPS范本,各认证机构可自行

[49]决定其中条文的取舍。这种合同中的限制由于没有统一的法律或者行业规范加

以明确,在限额的确定上就会产生差异。实际上,一些认证机构已经在其CPS中规定了责任限额,例如,北京数字认证股份有限公司(BJCA)的CPS规定其对所有当事实体的合计责任不超过证书适用的责任封顶。其责任上限:个人证书800元,机构证书4000元,服务器证书12000元。深圳市电子商务安全证书管理有限公司(SZCA)的CPS规定的赔偿限额是:个人类证书不超过800元,单位类证书不超过4000元,设备类证书不超过8000元。这种把责任限制权力完全交由认证机构的做法,在目前的市场环境下极有可能走向极端,造成认证市场混乱和认证机构之间的恶性竞争。就目前这种规定不统一的现状来看,通过法律来统一规定或指导规定就尤为具有价值。

美国在电子签名机构责任限制的立法方面走在了前列,值得我们借鉴。其《犹他州数字签名法》第308条规定主要有两方面:其—,通过在证书中明示“建议的信赖额度”条款的方式,建议人们在不超过证书风险总额的限度内信赖该签名进行交易。其二,除了认证机构具有过错,认证机构不对用户因被盗用、冒用数字签名产生的损失负责;认证机构不对签名人因虚假陈述获得的签名证书导致的损害负责;认证机构承担惩罚性赔偿责任等。[50]第309条规定了由于信赖在电子签名认证机构错误的对数字签名的确认事实而遭受损失的,电子签名认证机构将不赔偿超过其在电子签名证书中建议的信赖额度范围的部分。[51]也就是说,建议的信赖额度的功能是通过预先告知交易关系人该电子签名的保障金额范围,经由交易人进行交易的默认形式,将认证机构的风险限制在一定范围内。

借鉴美国《犹他州数字签名法》第308,309条的规定并结合我国实际情况,对电子签名认证机构的责任限制应着眼于以下:

第一,参照“建议的信赖限度”制度,建立适合我国实际的“信赖限度制度”。根据我国《电子签名法》第19条的规定,各电子签名认证机构有权在自己的认证服务协议或业务声明中制订其责任范围事项。我国的电子签名认证机构可以通过对客户信用情况进行评价,分为不同的信用等级,并配置不同的认证信用额度,这些额度与责任范围相关联。通过该“建议的信赖限度”制度的建立,针对不同的客户群体,限定自己的责任范围,从而降低风险。

第二,由法律直接限定认证机构赔偿的最高限额。责任限额制度,多见于海上运输、航空运输、铁路运输以及国家赔偿等领域。责任限制,指依据法律规定,赔偿责任人只在一定限额范围内承担赔偿责任。设立限制性赔偿责任的初衷,是对特殊行业提供特殊的保护,以此来促进该行业的发展。因而,可以考虑该项制度在电子签名认证领域适用。具体来说,通过法律规定一个具体明确的责任限额,规定电子签名认证机构在不同情况下承担赔偿责任的最高额,可以根据电子签名

人选择的业务种类以及所缴付的服务费用等作为参考。电子签名依赖方因认证机构过错产生的损失,可根据交易金额确定损失赔偿的限额。特别要强调的是,只有当事人没有重大过错的情况下才能适用,而并非所有情况都适用责任限额制度。在当事人存在重大过失或故意的情况下,将不能够援引责任限额制度来减轻其应负的赔偿责任[52]。例如,电子签名认证机构与电子签名人恶意串通,致使电子签名依赖方合理信赖电子签名的可靠性而进行交易,因此使电子签名依赖方遭受损失的,认证机构将不得援用责任限额制度,电子签名依赖方可要求认证机构与签名人赔偿全部损失。

5.3构建业务责任保险制度

电子签名认证机构服务的领域大多与电子商务相关,认证行为的可靠性直接关系到商事行为的顺利进行。电子签名认证机构若因自己的过错给认证关系各方造成损失,在目前的法律环境下,电子签名认证机构需要承担全部赔偿的责任。而电子签名认证机构处理的认证业务所涉及的金额通常较大,认证过程中任何一个环节出现问题,都会使电子签名认证机构承担巨额赔偿的风险。这种潜在的高额赔偿一旦转化为现实,多数认证机构是很难应对的。同时,这种现状也加大了期望通过电子签名认证保证交易顺利进行的交易方的顾虑。这时,保险制度的引入就显得尤为必要。在实践中,业务责任保险制度在董事的经营管理,律师执业及注册会计师执业等领域都有所涉及。这对于同样具有较高经营风险的电子签名认证机构而言是一种很值得借鉴的制度。保险制度的作用在于分散风险,它能够用少部分的投资来规避巨额风险。从认证机构的角度来看,业务责任保险可以分摊电子签名认证机构的经营风险,是降低认证机构责任风险的重要途径。从受害方角度来看,业务责任保险可以使受害者得到有效和及时的赔付。与电子签名认证机构相比,保险机构具有更大的经济规模和较强的债务赔付能力,受害人通过保险机构可以顺利实现债权。

业务责任保险制度虽能解决一部分问题,但开创新制度的巨大成本和实践中与其他制度的协调性的成本是我们不能忽略的,在建立一个新型保险制度的同时,保险机构自身也需要有足够的业务能力和偿债能力。因此,我们应充分利用现有制度的基础,在已有的制度资源上进行探索。针对认证机构内部工作人员过错造成电子签名人及依赖方的损失,我们可以参考“第三人责任险”,建立针对电子签名认证机构内部工作人员责任的“第三人责任险”。由保险机构根据风险评估情况,拟订保险费率,对工作人员的过失情形及赔付事由做出合理界定,制定认证责任险。在发生符合规定情形的理赔事由时,由保险机构对受害人承担赔偿责任。若因认证机构内部工作人员的重大过失或故意造成的损害,由保险机构

第五章完善我国电子签名法中责任承担的建议

先行赔付之后再向该过错工作人员追偿,不足部分由认证机构补充。也可考虑政府暂时介入电子签名认证保险领域,设立由政府直接管理的专门保险机构。作为试验性的经营,该保险机构应初步拟定保险费率,制定认证责任险种,根据实际经营中出现的问题及时予以调整,逐步完善保险机构经营模式。政府还应积极引导其他商业保险机构进入认证责任险领域,最终形成以商业保险为主,政府指导为辅的责任保险机制,为电子认证行业的健康发展提供有力支持。

5.4电子签名中的公平责任

电子签名相对于传统的手写签名来说,具有验证的复杂性更高、伪造难度更大的特点,但是电子签名人私钥被盗使电子签名被伪造的风险和在开放的互联网络进行传输时电子签名数据因黑客攻击而被泄露或被仿冒的风险也更高。电子签名的可靠性主要是指电子签名制作数据具有专有且唯一性。电子签名制作数据具有保密性,防篡改性,其中某一特性的缺失都能给欺诈行为制造机会。一旦出现这种技术性纠纷,其举证难度比手写签名更大。虽然《电子签名法》中笼统的对刑事责任和民事赔偿责任做了规定,但基于技术原因,实践当中很有可能追踪不到攻击者或仿冒者,也就找不到责任人。

由于私钥的失窃、黑客的攻击、签名系统本身的缺陷、密码分析算法的改进或计算机运算能力的增强致使密码体系不再安全等原因导致的损失发生时,在法律没有规定的情况下,让认证机构承担无过错责任是不合法,也是不公平的。从现有的法律资源来看,《民法通则》第132条的规定可以借鉴。这是基于公平责任原则作出的规定。公平责任是指在当事人对造成的损害都无过错,又不能适用无过错责任要求加害人承担赔偿责任,但若不对受害人遭受的损失进行救济又显失公平的情况下,由人民法院根据当事人的财产状况及其他实际情况,责令加害

[53]人对受害人的财产损失给与适当补偿的一种责任形式。在通过电子签名进行交⑧⑦

易时,欺诈人非法使用电子签名人的身份信息,成功骗过电子签名认证机构的审核,即使认证机构尽到必要的审慎义务还是不能识别出欺诈行为,避免向欺诈人提供认证。与此同时,电子签名人还没意识到自己身份已被假冒,也就未能警告有关各方。这种情况下,当事方均无过错,若能确定欺诈人,则可追究其民事责任甚至刑事责任。但一般情况下确定欺诈人的难度较大,举证方无力举证欺诈人身份,宜根据公平责任原则分担责任。具体来说,应由电子签名认证机构和电子签名人承担主要责任,电子签名依赖方承担次要责任。因为在实践中,电子签名人和电子签名认证机构往往能够主动采取规避风险的措施,而电子签名依赖方相⑦《电子签名法》第32条规定:“伪造、冒用、盗用他人的电子签名,构成犯罪的,依法追究刑事责任;给他人造成损失的,依法承担民事责任”,

⑧“当事人对造成损害都没有过错的,可以根据实际情况,由当事人分担民事责任”。

第五章完善我国电子签名法中责任承担的建议

对被动。而且三方当事人按份平担责任,也不利于鼓励善意第三人即电子签名依赖方进行电子交易。

再次需要强调的是,在电子认证行业和电子商务发展初期,各国立法者为了推动电子商务发展,鼓励交易,基本上都倾向于对电子签名依赖方利益的保护。我国《电子签名法》中也没有规定电子签名依赖方法律责任的条文。但这并不意味着电子签名依赖方无论在什么情况下都只承担次要责任,或没有责任。联合国贸易法律委员会《电子签名示范法》、新加坡《电子交易法》、马来西亚《数字签名法》等都规定了依赖方承担未经授权的签名不真实的风险责任。也就是说,当依赖方知道或应当知道可靠电子签名系无授权作出或不真实,其仍信赖该签名

[54]导致的损失由其自己负责,即在电子签名依赖方没有尽到合理审查电子签名义⑨

务时以及知道或应当知道电子签名由未经授权的人签署却仍然信赖该签名而与无权签名人交易受到的损失由自己承担。

⑨例如新加坡《电子交易法》22条规定依赖方承担未经授权的签名不真实的风险责任的四种情况:“(1)依赖于数字签名签署的电子记录的个人知道或已经注意到有关事实,包括证书上列举的事实和包含在其他附录中的事实;(2)如果知道数字签名签署的电子记录的价值及其重要性;(3)依赖数字签名签署的电子记录的个人和登记人之间有处理过程,己经可以获得的数字签名之外的签署是否可靠的其他情况;(4)使用任何交易方式,尤其是使用可靠系统或其他电子交易方式执行交易。”

结语

结语

《电子签名法》作为我国第一部真正意义上的信息化法律,填补了多年来电子商务立法领域的空白。[55]目前,工信部已经为分布在全国各省的32家大型电子认证服务机构颁发了电子认证服务许可证。从开始单纯的电子交易支付,到网上征税、网上招标、网上采购方面,从电子商务到电子政务,都可以看到电子签名的应用。

为了保障电子签名的可靠使用,电子签名认证机构起着至关重要的作用,围绕电子签名认证的民事责任承担是对电子签名各方当事人权益保障的重要方式。具体来说,电子签名人与电子签名认证机构之间是合同关系,其民事责任属于违约责任范畴。根据合同履行过程中的不同阶段产生了不同的责任效果。电子签名依赖方与电子签名认证机构之间是信赖法律关系,因电子签名依赖方信赖电子签名认证机构认证的电子签名的真实性进而与电子签名人签订合同。其民事责任主要是侵权责任。

针对我国电子签名认证行业有关的行为规范和责任的范围等问题还有待完善。在本文最后一部分中提出了以举证责任缓和弥补过错推定不足,对电子签名认证机构的责任限制,构建责任保险制度,电子签名中无力举证时的责任分配等四项建议。

我国正处于电子商务的发展时期,电子签名认证行业配套的法律法规也尚待健全。电子签名认证机构作为电子商务中必不可少的一方,越来越为人们所重视,发展前景广阔。因此,对相关法律法规的完善势在必行。我们相信在广大学者与立法机关的共同努力下,我国电子签名认证行业一定会健康发展。

参考文献

[1][DB/OL]艾瑞2010-2011年中国网上支付用户行为研究报

告.http://wenku.baidu.com/view/f575db2158fb770bf78a5545.html,2012,4,14

[2]同[1]

[3]胡静,电子商务认证法律问题,北京:北京邮电大学出版社,2001:58

[4]孙哗,张楚,美国电子商务法,北京:北京邮电大学出版社,2001:142

[5]唐建国,电子签名相关法律问题研究:[硕士学位论文],北京;中国政法大学,2006

[6]刘媛,论美国犹他州数字签名法及对我国数字签名法的启示:[硕士学位论文],广州;

暨南大学,2006

[7]陈琦,电子签名认证机构的责任认定机制:[硕士学位论文],上海;华东政法大学,2011

[8]戴玲,电子签名法中当事各方法律责任研究:[硕士学位论文],贵州;贵州大学,2007

[9]戚永福,电子签名认证法律责任承担机制研究:[硕士学位论文],重庆;西南政法大学,

2008

[10]唐建国,电子签名相关法律问题研究:[硕士学位论文],北京;中国政法大学,2006

[11]李适时,各国电子商务法,北京:中国法制出版社,2003.27

[12]欧阳武,齐爱民,张海龙,中国电子签名法原理与条文解析,北京:人民法院出版社,

2005.12

[13]邵贞,朱明,议电子签名的性质及其法律效力,法制与社会,2009,(5):95

[14]陈强,电子签名法律效力问题研究,商场现代化,2011,2:109

[15]熊丙万,杨莹.电子签名法律制度考,信息网络安全,2010,08:26

[16]AashiahSrivastava.IsInternetSecurityaMajorIssuewithRespecttotheSlowAcceptance

RateofDigitalSignatures.ComputerLaw&SecurityReport,Vo1.21,No.6(2005):393

[17]刘满达,电子签名的法律效力认定,法学,2011,2:145

[18]魏士糜,电子合同法理论与实务,北京:北京邮电大学出版社,2001:90

[19]齐爱民,电子合同的民法原理,湖北:武汉大学出版社,2002:63

[20]李双元,王海浪,电子商务法若干问题研究,北京:北京大学出版社,2003:89.

[21]张楚,电子商务法初论,北京:中国政法大学出版社,2000:199-201

[22]欧阳武,旷野,贯彻《电子签名法》为电子商务发展奠定坚实基础,网络信息安全,2011,03:2

[23]参见《中华人民共和国电子签名法》,第34条.

[24][DB/OL]获得电子认证服务行政许可的认证机构名

单.http://search.miit.gov.cn:8080/gips/contentSearch?id=12432542.

[25]朱明,电子签名法的法理探讨,学理论,2009,11:230

[26]高富平,电子商务法律指南,北京:法律出版社,2003:221

[27]张盛伟,浅谈信赖利益保护是否以过错为要件——以意思表示之撤销为视角,宁波大学学报人文科学版,2010,(6):23

[28]王泽鉴,民法学说与判例研究(五),北京:中国政法大学出版社,1998:212

[29]韩世远,违约损害赔偿研究,北京:法律出版社,2006:175

[30]BryanA.Garner.Black’sLawDictionary,ThomsonWestPublishingCo.2007:1179

[31]凯尔森,法与国家的一般理论,北京:中国大百科全书出版社,1996:73

[32]罗伯特.霍恩,海因.科茨.G.莱塞,德国民商法导论,北京:中国大百科全书出版社,1996:

81

[33]隋彭生,合同法要义(第二版),北京:中国政法大学出版社,2005:102

[34]王泽鉴,民法学与判例研究第八册,北京:中国政法大学出版社,2009:120

[35]史尚宽,债法总论,北京:中国政法大学出版社,2000:289

[36]王泽鉴,民法学说与判例研究,北京:中国政法大学出版社,1998:331

[37]隋彭生,合同法要义(第二版),北京:中国政法大学出版社,2005:360

[38]赵明,电子签名相关法律问题研究,辽宁科技学院学报,2010,9:49

[39]李伟,电子签名认证的责任分担,法治研究,2010,7:104

[40]王利明,违约责任论,北京:中国政法大学出版社,1997:279

[41]杨立新,中华人民共和国合同法解释与适用(上),吉林:吉林人民出版社,1999:323

[42]刘颖,孙志煜,论电子认证机构民事责任的归责原则,暨南学报(哲学社会科学版),2007,

6:31

[43]A.L.科宾,科宾论合同,北京:中国政法大学出版社,1997:652

[44]尹田,法国现代合同法,北京:法律出版社,1995:303-307

[45]刘岭,过错在各国违约归责体系中的位置探究:[硕士学位论文],北京;中国政法大学硕士学位论文,2009

[46]杨立新,论医疗过失的证明及举证责任,法学杂志,2009,06:2

[47]齐爱民,电子商务法,辽宁:东北财经大学出版社,2009:84

[48]李伟,电子签名认证的责任分担,法治研究,2010,7:104

[49]刘满达,电子签名认证中消费者权益的保护,法学,2009,1:157

[50][DB/OL]犹他州数字签名法

http://www.jus.unitn.it/users/pascuzzi/privcomp97-98/documento/firma/utah/udsa.html.

[51]刘颖,郑正坚,论“建议的信赖限度”——美国《犹他州数字签名法》第309条评析,

暨南学报(人文科学与社会科学版),2004,(5):50

[52]韩世远,履行障碍法的体系,北京:法律出版社,2006:31

[53]杨立新,侵权法论,北京:人民法院出版社,2005:578

[54]戴玲,电子签名法中当事各方法律责任研究:[硕士学位论文],贵州;贵州大学硕士,2007:25

[55]欧阳武,旷野,贯彻《电子签名法》为电子商务发展奠定坚实基础,网络信息安全,2011,03:2

发表论文和参加科研情况说明

发表论文和参加科研情况说明

李士萍,吴博健.试论我国电子签名认证机构的民事责任,《法制与社会》2012年第5月期。

试论电子签名法律关系当事人的

法律责任

Researchonthelegalresponsibilityofthe

partiesinElectronicSignatures

专业:经济法学

研究生:吴博健指导教师:李士萍副教授

天津大学文法学院

二〇一二年五月

独创性声明

本人声明所呈交的学位论文是本人在导师指导下进行的研究工作和取得的研究成果,除了文中特别加以标注和致谢之处外,论文中不包含其他人已经发表或撰写过的研究成果,也不包含为获得天津大学或其他教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示了谢意。

学位论文作者签名:签字日期:年月日

学位论文版权使用授权书本学位论文作者完全了解天津大学有关保留、使用学位论文的规定。特授权可以将学位论文的全部或部分内容编入有关数据库进行检索,并采用影印、缩印或扫描等复制手段保存、汇编以供查阅和借阅。同意学校向国家有关部门或机构送交论文的复印件和磁盘。

(保密的学位论文在解密后适用本授权说明)

学位论文作者签名:

签字日期:年月日导师签名:签字日期:年月日

中文摘要

在电子签名活动中,主要涉及到三方当事人:电子签名人、电子签名认证机构和电子签名依赖方。一些发达国家和地区纷纷制定了电子签名及其认证或电子商务方面的法律,我国也于2005年实施了《电子签名法》以及与之相配套的《电子认证服务管理办法》,解决了电子签名及其认证领域法律空白的问题。然而,目前的法律规范涉及较多的是行政管理方面的内容,而对于民事法律关系和民事责任的规定却少之甚少,在关于法律责任总共的七条规定中,更多的是关于电子签名认证机构在电子签名法律关系中的法律责任问题,对电子签名人的法律责任规定只有一条,对电子签名依赖方的法律责任没有规定。这不利于电子签名认证行业责任承担问题的真正解决。因此,本文着重从民事角度对电子签名认证法律责任承担机制展开研究,主要从电子签名认证过程中各方当事人之间的法律关系、权利与义务以及责任的性质与如何承担进行论述。论文从电子签名中各方当事人法律关系性质的分析到各方当事人法律责任的分析,进而探讨法律责任承担方面的不足并提出了完善我国电子签名认证法律责任承担机制的建议。本文分析了我国电子签名认证立法的现状、意义及存在的问题。电子签名认证机构与电子签名人之间是一种信用服务合同关系,按照过错责任原则承担违约责任。电子签名认证机构与电子签名依赖方之间是一种法定信赖利益关系,按照过错推定原则承担侵权责任。电子签名人与电子签名依赖方是一种潜在或直接的合同关系,按照过错责任原则承担违约责任。在法律责任承担机制方面,在借鉴国内外相关立法经验的基础上提出了以举证责任缓和弥补过错推定不足,对电子签名认证机构的责任限制,构建责任保险制度,电子签名中无力举证时的责任分配等四项建议,以期为《电子签名法》的有效实施及完善提出一些建设性意见。

关键词:电子签名;认证机构;法律关系;法律责任;责任限制

ABSTRACT

Electronicsignaturemainlycontainsthreeparties:electronicsignatory,electronicsignaturescertificationauthorityandelectronicsignaturesrelyingparty.Somedevelopedcountriesandregionshavedevelopedlawsofelectronicsignatureauthenticationore-commerce,Chinahasalsopromulgatedandin2004,approachtofillthelegislativegapsofelectronicsignatureanditscertification.However,mostofcurrentlawsandregulationsinvolvedareaboutadministrativeaspects,andforcivillegalrelations,andcivilliabilityprovisionsarenotenough.Inthetotalofthesevenprovisions,thereisonlyonetermonelectronicsignatory,andthereisn’ttheliabilityoftheelectronicsignaturerelyingparty.Thisisnotgoodtosolvetheproblemofelectronicsignaturecertificationindustryliabilityrisks.Therefore,thisarticlefocusesonacivilpointofviewaboutthemechanismofelectronicsignaturecertificationliability.Itmainlydiscussesthelegalrelationshipbetweenthethreepartiesintheelectronicsignatureauthenticationprocess,howtotaketherightsandobligationsandresponsibilities.Ontheonehand,combinedwiththelegalprinciples,inaccordancewithrelevantlaws,conductingadetailedanalysisofthenatureofelectronicsignaturesthelegalresponsibilityoftheparties;Ontheotherhand,relatedtoexistingconditions,exploringtheelectronicsignatureresponsibilityofdifferenttypesofcertificationbodiesintheprocess.Theelectronicsignaturecertificationauthorityandtheelectronicsignatoryisakindofcreditservicecontractrelations,accordingtotheprincipleoffaultliabilityforbreachofduty.Theelectronicsignaturecertificationauthorityandrelyingpartyisakindoftrustbetweenthelegalrelationshipofinterests,accordingtofault-presumingprincipleassumetortliability.Theelectronicsignatoryandrelyingpartyisapotentialordirectcontractrelations,accordingtotheprincipleoffaultliabilityforbreachofduty.TheauthorcomesupwiththeproposalonimprovingthelegalresponsibilitysystemofChina'selectronicsignaturecertification.Theauthoranalyzesthestatusofthelegislationofelectronicsignaturecertification,significanceandproblems.Onthebasisoflegislativeexperienceitcomesupwithfourproposals.

Keywords:Electronicsignatures;certificationauthority;legalrelation;legalliability;Limitationofliability

第一章录绪论................................................................................................................1

1.1.1选题背景.................................................................................................1

1.1.2选题意义.................................................................................................11.1选题背景与意义............................................................................................1

1.2国内外研究综述............................................................................................2

1.2.1国内研究综述.........................................................................................2

1.2.2国外文献综述.........................................................................................4

1.3本文研究的主要内容、研究方法及创新点................................................4

第二章电子签名相关法律问题界定..........................................................................7

2.1电子签名的内涵............................................................................................7

2.1.1电子签名的内涵.....................................................................................7

2.1.2电子签名的法律功能.............................................................................8

2.2电子签名与电子认证的关系........................................................................9

第三章电子签名涉及的法律关系..........................................................................11

3.1.1电子签名人...........................................................................................11

3.1.2电子签名认证机构...............................................................................11

3.1.3电子签名依赖方...................................................................................12

3.2电子签名人与电子签名认证机构的认证服务合同关系..........................12

3.3电子签名认证机构与电子签名依赖方的信赖利益关系..........................13

3.4电子签名人与电子签名依赖方的交易关系..............................................14

第四章电子签名中各方当事人的法律责任分析..................................................15

4.1.1电子签名人的权利和义务...................................................................15

4.1.2电子签名人违反法定义务所应承担的法律责任...............................16

4.2电子签名认证机构的法律责任分析..........................................................16

4.2.1电子签名认证机构的权利和义务.......................................................16

4.2.2许可认证机构的法律责任...................................................................18

4.2.3自建认证机构的法律责任...................................................................22

4.2.4电子签名认证机构的归责原则及免责情形.......................................23

4.3电子签名依赖方的法律责任分析..............................................................26

4.3.1电子签名依赖方的权利和义务...........................................................264.1电子签名人的法律责任分析......................................................................153.1电子签名涉及的各方当事人......................................................................11

第一章录绪论................................................................................................................1

1.1.1选题背景.................................................................................................1

1.1.2选题意义.................................................................................................11.1选题背景与意义............................................................................................1

1.2国内外研究综述............................................................................................2

1.2.1国内研究综述.........................................................................................2

1.2.2国外文献综述.........................................................................................4

1.3本文研究的主要内容、研究方法及创新点................................................4

第二章电子签名相关法律问题界定..........................................................................7

2.1电子签名的内涵............................................................................................7

2.1.1电子签名的内涵.....................................................................................7

2.1.2电子签名的法律功能.............................................................................8

2.2电子签名与电子认证的关系........................................................................9

第三章电子签名涉及的法律关系..........................................................................11

3.1.1电子签名人...........................................................................................11

3.1.2电子签名认证机构...............................................................................11

3.1.3电子签名依赖方...................................................................................12

3.2电子签名人与电子签名认证机构的认证服务合同关系..........................12

3.3电子签名认证机构与电子签名依赖方的信赖利益关系..........................13

3.4电子签名人与电子签名依赖方的交易关系..............................................14

第四章电子签名中各方当事人的法律责任分析..................................................15

4.1.1电子签名人的权利和义务...................................................................15

4.1.2电子签名人违反法定义务所应承担的法律责任...............................16

4.2电子签名认证机构的法律责任分析..........................................................16

4.2.1电子签名认证机构的权利和义务.......................................................16

4.2.2许可认证机构的法律责任...................................................................18

4.2.3自建认证机构的法律责任...................................................................22

4.2.4电子签名认证机构的归责原则及免责情形.......................................23

4.3电子签名依赖方的法律责任分析..............................................................26

4.3.1电子签名依赖方的权利和义务...........................................................264.1电子签名人的法律责任分析......................................................................153.1电子签名涉及的各方当事人......................................................................11

4.3.2电子签名依赖方违反法定义务的法律责任.......................................27

第五章完善我国电子签名法中责任承担的建议..................................................28

5.1以举证责任缓和弥补过错推定不足..........................................................28

5.2对电子签名认证机构的责任限制..............................................................29

5.3构建业务责任保险制度..............................................................................31

5.4电子签名中无力举证时的责任分配..........................................................32结语..........................................................................................................................34参考文献......................................................................................................................35发表论文和参加科研情况说明..................................................................................38致谢..........................................................................................................................39

第一章绪论

1.1选题背景与意义

1.1.1选题背景

随着网络信息技术的成熟和发展,互联网络、现代通信和电子信息渗透到人们生活、工作的各个层面,改变着整个社会的运行模式和行为方式。互联网技术正以前所未有的方式推动着社会发展,改变了传统的事务处理方式,其以电子数据的方式通过在线行为实现信息的交流,使人类拥有了一种可以多主体、同步、跨地域交换信息的方式,对社会生活的各个方面发挥着强大的变革作用,使人类社会正经历着一场前所未有的全方位地深刻变革,尤其是在电子支付领域。我国的信息化、电子化建设迅速发展,已取得重大的成就,并在社会各个领域中发挥了日益重要的作用。据2011年12月的中国互联网络发展状况统计调查结果显示,我国现有网民总数约为5亿,我国互联网络正保持着持续快速发展的态势。2011年中国网络购物市场交易规模接近8000亿,达7735.6亿元,占到社会消费品零售总额的4.3%;同时,网络购物用户规模将达到1.87亿人,在宽带网民中的渗透率为41.6%,我国电子商务呈现出快速线性增长的趋势。[1]电子认证服务业是伴随着互联网及电子商务的发展而兴起的,其主要功能是解决电子商务中所出现的安全和信任问题(身份认证,信息的保护,信赖的公信力)。自1996年我国电子认证行业进入发展阶段以来,经历了起步阶段的曲折探索、新世纪初的泡沫发展和现在的规范发展阶段,在这个时期全国各地在不同领域内纷纷建立起电子认证中心,其中尤以京沪津,广东,湖北等地区所建立的大型电子认证服务机构为典型。在规模庞大的在线行为中,电子签名认证这种通过交易各方都信赖的第三方支持,证明电子签名人的身份和信息的真实性,从而消除交易双方疑虑,为交易达成起到桥梁作用的认证形式在整个电子商务环境以及其他在线行为中处于重要地位。与此同时,因电子签名认证引发的民事纠纷也频频见诸新闻之中,涉及到的责任划分不清、救济方式不完善等问题也给我国的法律带来了一系列严峻的考验。

1.1.2选题意义

交易行为的效力在法律上得不到保障,增加了在线行为的安全风险,严重冲击了法律实现的基石,构成了信息网络时代交易行为在法律上必须首先解决的关

键问题。事实上,这种安全风险已经成为社会公众进行在线行为的主要顾虑。在艾瑞市场咨询公司发布的《艾瑞2010-2011年中国网上支付用户行为研究报告》中指出:大部分的网民对网上支付是感兴趣的,具有担保的交易方式最能增强用户的支付安全感,除此之外,手机短信确认密码、银行扣款通知,以及一些安全控件等也能够从心理上增强用户在网上支付时的安全体验。[2]因此,法律规范必须随着信息技术的发展做出相应地调整,构建与传统法律价值功能相同的规则体系规制在线行为,以满足信息时代的要求,实现法的价值和作用。而解决在线行为的法律效力,就要鉴别在线行为人的身份和保证电子信息的完整性、真实性和不可抵赖性,以确认行为人的权利能力、行为能力和意思表示内容,增强电子信息的客观性和证据力。为此,人们创造出以非对称密钥系统为主的电子签名技术,使在线行为下的电子信息具备了可溯源性、可信性和不可否认性。这种可靠的电子签名技术也被电子认证机构作为其技术手段进行了广泛的应用。但是技术手段不具有天然的拘束力,永远不能使其自身法律化,需要由法律来规定其效力。因此,从法律角度给予电子签名肯定地位,为在线行为提供法律保障,成为国际信息化立法的重要内容。2004年8月28日,侧重于电子商务领域的《电子签名法》经全国人大常委会审议批准通过,开创了我国信息化法律体系建构的先河。《电子签名法》以成文法的形式确立了电子签名的法律效力,使电子签名在法律的框架内有章可循,填补了我国电子签名法律的空白。2005年2月8日,信息产业部又颁布了与《电子签名法》配套的《电子认证服务管理办法》,并于2005年4月l日与《电子签名法》同时生效。虽然二者共同为我国建立起了电子签名法律制度的基本框架,但对于最重要的责任承担问题,规定的还很不完善。在各种错综复杂的法律关系中,责任是否要追究,如何追究、追究的程度怎样、基于何种合法性的理由予以追究等等都没有明确的规定。我国的电子签名法也只是在第四章中大致的规划出了可能出现的几种责任,而且大部分都是针对行政责任,更多的也只是行政措施,对于最为有效的解决私法责任的民事责任规定的很少,只规定了电子签名人因自身过错导致电子签名依赖方和认证机构产生损失的赔偿责任。另外,我国法律对认证机构的适用也局限于合法的认证机构,而对在实践中存在的自建认证机构则形成了大量的法律空白。因此,我国的电子签名法律制度仍有许多不足之处,在实施中存在着不少问题,还需要进一步探索和完善。

1.2国内外研究综述

1.2.1国内文献综述

我国学者对于电子签名法律关系的研究主要围绕认证机构展开,目前可以分为两个层次。

其中一个层次是从整体上研究电子签名法律关系,这类研究的范围很广,力图面面俱到,可是又往往面面都达不到,其论述只停留于表面,没有对具体问题进行深入的探讨。此方面的文献主要集中于电子商务法律领域。胡静(2001)认为“我国电子签名认证机构应引入保险制度”[3],并着重讨论了广东省电子商务认证中心提出解决保险的办法。孙晔和张楚(2001)认为“在由政府主导监管电子签名认证机构模式中,美国尤他州数字签名法对我国有很好的启发作用。由于历史原因,我国的“老字号”企业都没有“原汁原味”的流传下来,几乎不存在类似国外的那些历史悠久、信誉卓著的大型企业。换言之,企业的信誉得不到承认。因此,我国不能完全由企业主导电子签名认证行业,而需要以政府的信誉作补充。因为在电子商务中,信誉至关重要,完全将认证行业交由企业自行发展,而没有相应的法律的规范和政府机关的管理,就我国目前的企业发展情况来说是不可能实现的。”中国政法大学唐建国(2006)认为“为了统一全国的认证服务市场,避免出现重复认证的混乱局面,根本途径是建立交叉认证机制,建立具有普适性的电子认证机构组织体系和技术标准体系,以便在不同认证机构之间相互承认对方认证的有效性,避免认证资源的浪费。”暨南大学刘媛(2006)认为“由于电子签名认证仍存在一定的安全风险,故应根据意思自治原则,由电子认证申请人来选择自己对认证行为担保的风险的大小。”[6]

其二是针对电子签名法律关系中的某一方面来重点探讨。从文献的年份可以看出,2005年《电子签名法》的颁布成为研究层次的分界点。比较典型的是对电子签名认证机构民事责任的研究。探讨电子签名认证机构民事法律问题必然离不开对其民事责任的论述,学者们从债法理论中合同之债和侵权之债的角度分别展开研究,认为电子签名认证机构对其提供认证服务的电子签名人承担违约责任,而对电子签名依赖方承担侵权责任。张楚教授的博士毕业论文《电子商务法初论》拉开了我国正式研究电子签名法律的序幕,对国外电子签名制度进行了深入的分析,并对我国电子商务以及电子签名的发展进行了研究和展望。华东政法大学陈琦(2011)认为“对于认证机构的侵权行为采取的是过错推定原则,解决了实体法层面上主观状态如何影响责任承担的问题,相应的,在程序法层面上,举证责任的分配应当与实体归责原则相适应”。[7]贵州大学戴玲(2007)认为“电子签名认证机构对电子签名人的归责原则是过错推定责任原则。不同的是,电子签名人由于存在合同关系,承担的是违约责任,而电子签名依赖方不存在合同关系,承担的是侵权责任,但归责原则都是过错责任原则的特殊形式,过错推定责任原则。”[8]西南政法大学戚永福(2008)将“认证机构对电子签名用户的责任和电子签名依赖方的责任”进行分别阐述,将认证机构对电子签名依赖方的责任认定为一般侵权责任。[9]然而学者们的关注重点大多集中在电子认证机构自身的责[5][4]

任承担问题,没有将三方当事人联系起来,这样孤立的研究一个多方法律关系不免僵硬,片面。在此类研究中,虽然认同对认证机构实行责任限制,但是对认证机构责任限制问题缺乏深入的分析,也未形成完善的制度构建体系;对认证机构自身的剖析也不够深入,不能涵盖当前存在的自建认证机构的问题。我国《电子签名法》对电子认证机构的责任问题规定不完善,对进一步推动电子商务的发展而言是不利的。

1.2.2国外文献综述

国外电子商务起步较早,对于电子签名的研究也相对完善。由于早期的电子商务法律过分的注重保护作为新兴产业的电子认证的发展,以至于在立法中存在重视认证机构权益忽视甚至是牺牲认证关系其他参与方利益的情况,如美国《犹他州数字签名法》第309条就免除了认证机构所应承担的间接损失,而且排除了储蓄利息,对用户特别苛刻。随着信息时代电子商务的飞速发展,对于认证机构的责任限制问题也为人们所重新审视,如何完善认证机构的责任承担机制成为关注的重点。近年来随着司法实践及学术研究的不断深入,越来越多的学者都对此予以撰文研究,大量的电子商务法律专著和文章涌现:如LonnieEldridge的“Internetcommerceandmeltdownofcertificationauthorities:istheWashingtonstatesolutionagoodmodel?”解释了电子签名所使用的技术,并以华盛顿州的电子商务立法为依据探讨了电子认证机构承担民事责任的范围和责任限制问题,认为“该法可以作为其他国家参考的模型”。MichaelJ.Osty&MichaelJ.Pulcanio的“TheLiabilityofCertificationAuthoritytoRelyithirdParties”则综合美国各州的立法情况,总结了电子签名认证机构对电子签名人及电子签名依赖方的责任,认为“所有的国家立法必须解决的核证机关的赔偿责任,因为身份验证将对交易当事人的财产安全”。IanA.Rambarran在“IAccept,ButDoThey?…TheNeedForElectronicsignatureLegislationonMainlandChina”一文中,从国外的角度来考察中国电子商务立法,并提出了完善意见,作者根据自己丰富的实践经验论述了互联网的运作模式,电子合同如何制订,如何证明电子合同的真实性,电子邮件的风险如何避免,互联网上知识产权如何保护,数据保护等问题,对我国电子商务的发展有一定的指导借鉴意义。

1.3本文研究的主要内容、研究方法及创新点

电子签名认证之所以能作为电子商务开展的重要保障,主要是因其可靠性与安全性。但是,随着技术的进步,计算机性能的大幅提升和解密算法的优化,使得目前可靠的加密算法在未来极有可能被破解,从而导致交易风险的发生。由于

管理上存在的漏洞,也存在人为造成电子认证出现问题的情况。在电子签名认证中产生纠纷也就不可避免。因此,本文主要围绕电子签名法律关系当事人各方的责任展开讨论,从权利义务角度出发,对认证关系各方的责任进行研究,以期对我国电子签名法提供完善建议和对实践中存在的问题贡献解决方案。

本文采用了比较法、实证法等作为研究方法。比较法是在搜集资料和进行分类的基础上,确定需要进行比较的问题和比较的标准,然后进行描述、解释、并列和比较,最后得出结论。文中主要通过对美国、欧洲一些国家的立法状况进行研究,并与我国立法进行对比,寻求完善。实证法是结合现实中的做法、现象进行论证的方法,主要是对现实中存在的自建电子签名认证机构责任的论证。

本文的结构分为五个部分:

第一部分,为本文的绪论。首先介绍了我国目前互联网以及网络平台交易的使用已初具规模,因电子签名认证引发的民事纠纷也频频见诸新闻之中,涉及到的责任划分不清、救济方式不完善等问题给我国的法律带来了一系列严峻的考验。进而,联系到我国的电子签名法也只是在第四章中大致的规划出了可能出现的几种责任,而且大部分都是针对行政责任,更多的也只是行政措施,对解决私法责任最为有效的民事责任规定很少,只规定了电子签名人因自身过错导致电子签名依赖方和认证机构产生损失的赔偿责任的现状,得出电子签名法律关系中当事人责任承担的规定亟需完善的结论。并在下文中介绍了国内外学者对电子签名认证责任机制的研究情况。

第二部分,简要介绍了电子签名的内涵和电子签名与电子认证的关系。本文按照电子签名概念立法技术发展的顺序,介绍了从“技术中立”到“折中原则”的电子签名概念的演变。结合传统签名的功能,总结出电子签名的法律功能。根据电子签名技术不能依其本身来证明与签发者的唯一对应,不足以使信息达到完全的信任度的技术特点,提出了电子签名认证的现实要求,从而论证了电子签名与电子签名认证之间的关系。

第三部分,论证了电子签名认证过程中各方当事人之间的法律关系。首先,本文介绍了电子签名认证中的三方当事人,在此创造性的将电子签名认证机构分为自建CA和许可CA两种类型。在前文基础上分别对电子签名认证机构与电子签名人、电子签名认证机构与电子签名依赖方以及电子签名人与电子签名依赖方之间的法律关系进行分析,从民事角度将认证机构与证书用户之间的法律关系界定为认证服务合同关系,将电子签名认证机构与电子签名依赖方之间的法律关系界定为一种法定信赖利益关系,将电子签名人与电子签名依赖方之间的法律关系界定为一种潜在或直接的商务合同关系。

第四部分,为本文的重点之一,分析电子签名认证过程中各方当事人法律责

任的承担。本文通过对权利义务的阐述,引出责任的承担方式。认定电子签名人由于过错给电子签名依赖方、电子签名认证机构造成损失的,应承担赔偿责任。在探讨电子签名认证机构的责任时,将许可CA对电子签名人的责任定性为违约责任,着重分析违约责任时,根据合同成立阶段的不同将该责任划分为三个层次分别予以分析;将许可CA对电子签名依赖方的责任定性为侵权责任。将自建CA对电子签名人的责任定性为违约责任,将自建CA对电子签名依赖方的责任定性为侵权责任,并从侵权责任的四大构成要件作了具体分析。在接下去的部分中,分析认证机构责任承担的归责原则和责任限制与免除情形。最后分析了电子签名依赖方的责任承担问题。

第五部分,为本文的重点之二,提出了完善我国电子签名认证法律责任承担机制的建议。本文分析了我国电子签名认证立法的现状、意义及存在的问题,在法律责任承担机制方面,在借鉴国内外相关立法经验的基础上提出了以举证责任缓和弥补过错推定不足,对电子签名认证机构的责任限制,构建责任保险制度,电子签名中无力举证时的责任分配等四项建议。

本文的创新点在于:紧贴立法动态和现实问题。结合实践中大量存在的自建认证机构在处理相关电子认证纠纷中法律适用不规范的问题,提出了自建认证机构的责任承担方式。

第二章电子签名相关法律问题界定

2.1电子签名的内涵和功能

2.1.1电子签名的内涵

电子签名作为电子签名认证法律关系中的核心概念对于研究的展开具有重要的意义,但从国际上的立法和研究实践来看,电子签名始终没有一个能得到全世界一致认可的表述。

电子签名概念首次在法律文件中出现是在1996年由联合国贸易法律委员会制订的《电子商务示范法》中,规定:“法律规定需要签名的,如果数据信息符合以下条件,则符合签名要求:(1)使用了某种方法确定此人,并能说明此人已经同意该信息数据中的内容;(2)该方法是可信的,并且对生成或者传送该信息的目的是合适的。”在该定义中,没有涉及该用何种电子技术或电子手段来实施电子签名行为。这种概念定义的方法开创了一种充分尊重技术自由的立法方式——“功能等同法”[10],在功能等同法的指引下,将新技术所能实现的功能与从传统手写签名功能中提炼出来的抽象标准进行对比,能够完全实现传统签名功能的技术就能得到法律的认可。电子签名所采用的技术,只要它能够达到鉴别、确定签字人的身份和表明签字人对该数据电文内容认可的要求,通过该技术实现的电子签名就能得到法律效力的认可。之所以这样规定是因为电子技术的发展迅速,立法一方面要保证电子签名根本上的安全,实现其法律功能,另一方面,立法又难以涵盖所有的新技术。为了不阻碍新技术、新手段的出现和应用,立法通过功能等同法的规定来避免对于技术进步的限制。

这种功能等同的立法方式,不对技术标准进行任何的价值评价,凡能实现签名功能的技术手段均能得到平等的法律效力确认。因此,又被称为最低要求主义、技术中立主义[11]。遵循功能等同法,实现电子签名功能的技术是完全开放的,将技术选择权交由市场和电子签名用户。这样有利于促进应用更为先进的技术于电子签名之中,同时也最大程度的减少法律对技术发展的消极作用。但是,随着实践中出现的技术泛滥导致电子签名可靠性下降的问题,功能等同的立法方式已不能起到保障电子签名认证发展的作用。同时,这种不重视推广成熟技术应用的做法也无法应对社会对于认证行业发展完善的需要。

在功能等同法的作用日益下降的同时,为了适应社会的需要,一种兼顾不限制技术发展与保障电子签名可靠性的电子签名概念立法技术诞生了。联合国贸易法律委员会2001年制定的《电子签名示范法》是一典型代表,其将电子签名明确定义为:“在数据电文中,以电子形式所含、所附或在逻辑上与数据电文有联

系的数据,它可用于鉴别与数据电文有关的签字人和表明此人认可数据电文所含信息。”在在该立法方式的指引下,法律虽然认可所有能实现签名功能的电子签名技术,但对各种各样形式的电子签名的法律效力并不普遍予以承认,而是通过法律规定的形式对电子签名的签发程序和安全标准进行规范。对于签名技术能够达到特定安全等级,且制作程序合法,满足法律要求的安全性标准的电子签名技术才给予肯定的法律地位。这是一种将“功能等同”与“技术特定”相结合的折中型立法方式。[12]折中型立法是在功能等同法提倡的不限制技术进步的基础上,提出对电子签名更加规范的安全性要求。对那些采用适当的技术手段,安全可靠性达到法律要求的标准、能够更好地实现签名功能的电子签名给予充分的法律肯定,通过法律的指导意义以使其得到社会的广泛认可。折中型立法既保留了功能等同法要求的不对技术价值评价特点,又对技术标准做出了引导性规定,从而提高了电子签名的可靠性和可操作性。《电子签名示范法》将功能等同与技术特定很好的结合起来,实现了两种立法技术的平衡。

反观我国《电子签名法》,该法中的电子签名是指“数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据”。该定义从传统签名的功能出发,只要求能够识别签名人身份并表明签名人认可其中内容,并未规定技术手段的内容。但又规定有“可靠的电子签名”这一概念,作为指导性的规定,并确定了“可靠的电子签名与手写签名或者盖章具有同等的法律效力。”因此,我国《电子签名法》对电子签名概念采取了以功能等同法和技术特定法为参照的折中型模式,一方面没有限定具体技术实现手段,另一方面又确定了“可靠的电子签名”的法律效力,既不对电子签名技术发展产生消极作用,又能通过法律对技术使用的指导规范作用保障电子签名的可靠性。

2.1.2电子签名的法律功能

在私法领域,做出法律行为虽不必然要求有传统的手写签名或盖章,但在要式法律行为中签名则是必不可少的要件,许多国家甚至规定签名是合同生效的要求之一。[13]签名行为代表了签名人的意思表示,当事人一旦做出签名就表明其对该行为或文件的认可。并且,通过现代笔迹鉴定技术完全能实现对不同人的笔迹的识别,能有效防止当事人否认。当发生争议进入到诉讼程序时,通过现有技术对签名、盖章真伪的鉴定,伪造的签名、盖章将无法获得仲裁委员会或法院的认

[14]可。数字签名作为电子签名的成熟形式,电子签名人通过私钥加密来签署数据,电子签名依赖方使用与私钥对应的公钥解密,通过比对信息实现对签名以及数据电文的验证。因为电子签名是签名人专有使用,能够通过认证机构来确定电子签名人的身份,并推定电子签名人的签名行为是对该数据电文效力的承认。由于非

对称加密技术的哈希算法具有不可逆推性,运用该技术的电子签名还能验证数据电文是否在网络发送过程中被篡改,保证数据电文在流通环节的完整可靠,同时也使数字签名一旦做出便不可通过质疑其完整性进行否认。数字签名技术以上特性使得电子签名人一旦做出签名,其行为就要受到该签名的约束。因此,电子签名的法律功能包括:(l)确定电子签名人的身份;(2)表明电子签名人对数据内容的认可;(3)保证数据电文的可靠、完整性[15]。

2.2电子签名与电子认证的关系

互联网的便捷已经得到公众的认可,但是黑客攻击、垃圾邮件、电脑病毒传播等问题也随之出现。电子商务系统安全的威胁主要来自信息在互联网间传播的过程,导致了公众对于电子商务信任的缺失及对使用互联网发送重要私密信息的不安。[16]人们使用互联网从事商务活动最大的顾虑是安全问题,电子签名的应用被普遍认为是解决这一问题的技术手段之一。[17]

就电子签名对电子商务发展所起的作用来说,它有效地解决了信息的归属和交易人身份的确认问题,保证了通过互联网传递的意思表示的安全,使之不被否认或篡改,这是一种技术手段上的、工具性的保障,通过加强电子签名自身的防御能力来获得交易当事人对信息真实性和完整性的认可,是一种自发式的认证。而正是由于这种自发式认证的特点,使得电子签名存在先天性的不足,即电子签名技术不能根据其本身来证明与签发者的唯一对应,不足以使信息达到完全的信任度[18]。电子签名虽然能使信息在通过网络传递的过程中不被改动,或者一旦被改动则可立即被发现,但由于它本身的特点,其不能表明信息加密发送时发送者的主体,而这种主体的确定性与真实性对于商事行为来说至关重要。对于通过互联网进行的电子商务来说,最为关键也是最为薄弱的一个环节就是对信息发送者身份真实性的确认。可以说,如果连基本的当事人主体身份真实性都不能得到保证,那么一切在技术安全性上采取的措施都是没有任何意义的。

为了解决在电子签名过程中当事人身份确定上的问题,避免在进行电子商务时因为网上交易匿名性的特点而造成交易双方抵赖和欺诈,从而影响电子商务运行的安全性和可信性,一种基于第三方独立机构认证的电子签名认证方式应运而生。它通过一个处于中立地位的公正第三方(EntrustedThirdParty,ETF)--认证机构(CertificationAuthority)的认证行为,把电子签名与签发者的身份唯一对应起来,从而保障了网上交易的安全。具体而言,即:通过认证机构保管公开密钥、核发电子签名,使得电子签名依赖方(relyingparty)得以向认证机构检验查实,信赖电子签名的法律效力,确认证书用户的身份,从而确保网络交易的秩序和安全。[19]相对于电子签名侧重于技术层面、属于自发式认证的特点而

言,电子认证则主要着眼于通过认证机构的建立与运作,来实现一种组织制度上的保障[20]。电子认证的作用有以下两个方面:一方面,对外防止欺诈,通过第三方认证机构向用户提供可靠的证书目录,保证证书目录中的用户名字与公开密钥的真实性和一一对应,从而在交易当事人之间建立起必要的信心,这就可以防范在电子商务运行中极易出现的交易当事人以外的人故意欺诈而造成的信用风险;另一方面,对内防止否认,通过认证形成一种证据效用,使交易当事人无法否认签发电子签名时对于电子数据的真实意思表示,防止交易当事人之间可能出现的抵赖纠纷,从而保证网上交易的稳定性。[21]

综上所述,电子签名是保证电子商务安全运行的基础,是电子认证服务的客体,而电子认证则为网上交易提供认证服务,保障着电子签名的有效性,可靠性以及电子商务的安全性。有了可靠的电子签名技术及认证,发展电子商务就有了重要的保障,通过《电子签名法》的颁布就可以把电子交易行为纳入到已经建立起来的法律、信用评价等各种传统交易中的安全保障机制。这样,电子交易至少可以与现实交易同样的安全,也使电子交易更容易被公众接受。[22]

第三章电子签名涉及的法律关系

3.1电子签名涉及的各方当事人

3.1.1电子签名人

电子签名人指持有电子签名制作数据并使用该制作数据进行电子签名行为证明自己身份的人。电子签名人须持有与其身份对应的专有且处于保密状态的电子签名制作数据。

由于功能等同法曾经在电子签名领域的影响,能够用于实施电子签名的技术手段有很多,但出于技术成本和可操作性的原因,实践中采用较多的是更为成熟的基于PKI的数字签名技术。基于PKI的数字签名技术以公/私钥密码(非对称加密)技术理论为基础,具体来讲,电子签名人通过向电子签名认证机构申请,获得一对私钥和公钥,私钥由签名人控制,而公钥通过认证机构服务器向公众公开。电子签名人用私钥对数据电文进行加密,形成电子签名。电子签名依赖方用认证机构公开的公钥对该加密电文进行解密,通过比对解密后的信息是否一致来实现验证。由于电子签名人的私钥一般情况下应处于保密的状态,别人不可能获得签名信息,因而电子签名人一般不可否认其电子签名。

3.1.2电子签名认证机构

电子签名认证机构(CertificateAuthority,简称CA)是指为电子签名人和电子签名依赖方提供电子认证服务的第三方机构,在《电子签名法》中又称为“电子认证服务提供者”,在实践中也称为认证中心。电子签名认证机构是一种公正的可信任的第三方机构,它不参与双方的交易,只为电子签名人和电子签名依赖方提供认证服务。

《电子签名法》要求电子签名认证机构在设立之时需先向国务院信息产业主管部门提出申请;在取得认证资格后,电子签名认证服务机构应当按照工信部的要求在网上公布其认证资质信息。电子签名认证系统主要由证书管理服务器、密钥管理服务器和目录服务器组成。证书管理服务器主要负责数字签名证书的签发和废除;密钥管理中心负责生密钥对的生成、存储、分发、备份、更新、撤消、归档和恢复等;目录服务器用来公示有效证书和过期证书等业务相关信息。

实践中,我国电子签名认证机构存在两种类型--依据《电子签名法》并经有关部门许可成立的第三方认证机构(许可认证机构)和交易中某一方自设的认证

[23]

机构(自建认证机构)。

许可认证机构认证中颁发的电子签名,是由依据《电子签名法》或其他相关法律规定成立的,具备电子认证服务资质的专业机构做出的。这种认证模式下进行的电子签名受《电子签名法》的保护,具有法律效力和证据效力。由于电子签名行为的特殊性,各方当事人之间不仅存在合同的约定义务,还存在法定的附遂义务、违反合同义务承担的违约责任和违反法定的附遂义务所承担的侵权责任。

目前国内正在运行的电子签名认证机构大约有上百家,截止到2011年底,真正通过信息产业部审批的只有三十二家[24],大量自建认证机构在没有得到批准的情况下运营。这种现象伴随着《电子签名法》的实施过程而产生。自建认证机构在商业机构的内部使用无可厚非,但是如果对社会公众使用的话则是明显的违法行为。与许可认证机构不同,在自建认证机构中,由于交易一方同时承担着电子签名认证机构这一角色,他们大多没有获得电子认证服务许可证。因此,在这种模式下进行的电子签名,其法律效力、运营投入、应用风险等方面与在许可认证机构进行的电子签名存在较大差异。因为自建认证机构身份的特殊性,其对社会不特定公众提供的认证服务属于违法行为,故本文在此不再赘述,主要还是讨论自建认证机构通过“电子签名”这一技术手段来实现认证效果的情况。

3.1.3电子签名依赖方

电子签名依赖方,是指基于对电子签名认证的公信力的信赖从事有关活动的人。[25]电子交易因为无纸化的特点,其安全性始终为交易方所顾虑。随着电子认证业务的出现,由于认证机构的中立性与可靠性,通过电子签名认证机构为第三方担保的电子签名也为电子商务群体承认。因信赖电子签名技术本身的可靠性与电子签名认证机构的权威性,而从事电子商务交易的人,就是电子签名依赖方。

根据主体关联程度不同,电子签名依赖方可分为三类:第一类,电子签名依赖方与电子签名人为同一电子签名认证机构的用户。第二类,电子签名依赖方拥有与电子签名人不属于同一电子签名认证机构的证书。第三类,电子签名依赖方不持有任何电子签名证书。本文所指的电子签名依赖方是指,基于对电子签名人所拥有的经过认证的电子签名证书的可靠性的信任,与电子签名人直接建立法律关系的相对方。[26]总体上讲,电子签名依赖方是较为被动的一方,电子签名认证机构对于其认证行为向电子签名依赖方负法律责任。

3.2电子签名人与电子签名认证机构的认证服务合同关系

在进行电子商务交易时,为了保障交易的顺利进行,增加交易双方的安全感,有效的工具是电子签名认证。在使用电子签名之前,电子签名人要通过一定的程

第三章电子签名涉及的法律关系

序向电子签名认证机构申请自己的电子签名,电子签名认证机构接受申请人提交的申请材料之后,谨慎地予以核查,符合认证条件的则接受申请其请求,双方签订认证服务合同,按照合同约定履行义务,电子签名认证机构向认证申请人颁发与其身份对应的唯一的数字签名证书。电子签名人就可在接下来进行的交易中通过在自己认可的文件上附加自己的电子签名,表示该文件是由本人做出,并认可该文件。在签订的电子认证服务合同中,应当载明电子认证机构的名称,电子签名证书持有人名称、序列号、有效期以及国务院信息产业主管部门规定的其他内容。该认证服务合同签订之后,电子签名申请人与电子签名认证机构发生了合同关系,合同双方针对合同履行而产生的纠纷适用《合同法》调整。我国《电子认证服务管理办法》中也有类似要求。①综上,电子签名人与电子签名认证机构之间构成认证服务合同关系。

在实践中,由于电子签名认证申请主体的广泛性和不确定性,电子签名认证机构为了更好地实现社会服务价值和自身经营收益,其认证服务合同一般采取格式合同的形式,即由认证机构预先划定有关条款,电子签名申请人要么接受合同规定,要么不适用该认证机构的服务,很少能对合同本身进行调整。格式合同在制定过程中缺乏必要的协商,作为合同制定方的电子签名认证机构处于相对主动的地位,为了恢复合同双方原有的平等地位,就要求当合同双方对电子签名认证合同理解不一致时,合同解释应有利于电子签名人。

3.3电子签名认证机构与电子签名依赖方的信赖利益关系

“信赖利益理论”由美国法学家富勒提出,他将“信赖利益”归结为损害赔偿责任的根本原因。富勒认为,若受害人因信赖侵害方的承诺而改变了自己的利益状态,放弃了其他获得利益的途径或者放弃了与其他主体订立合同的机会,那

[27]么侵害方就应对受害方因信赖该承诺而产生的损失负责。由此,信赖利益理论

在以后的研究中开始受到广泛关注,在英美法系和大陆法系的私法领域“信赖利益原则”也都得到承认。当然,因为法的渊源不同,从“信赖利益”这一概念提出之始,大陆法系和英美法系对“信赖利益”的诠释就存在不小的争论。王泽鉴先生认为大陆法系的“信赖利益”“指当事人相信法律行为有效成立,而因某种事实之法身,该法律行为(尤其是契约)不成立或无效而生之损失,又称为消极利益之损害”。[28]这种学说侧重于对“利益”的强调。美国在其《合同法重述》第2版所作表述代表了英美法系的观点,该法规定“信赖利益指通过使信赖方恢复到合同未成立时他本应处的状态,补偿其因信赖合同而遭受的损失。”[29]该法①《电子认证服务管理办法》要求电子签名认证机构在受理电子签名认证申请后,应当与认证申请人签订书面合同,明确双方的权利义务。

第三章电子签名涉及的法律关系

强调了信赖利益的本质是对信赖而产生的损失。由此可见,在两大法系的理论学说和立法实践中都认可了“信赖利益”的存在,但对于“信赖利益”的表述并不一致。本文认为,“信赖利益”体现的是因信赖对方的行为而对自己利益所产生的影响,该影响一般是指应获得的利益。

电子签名依赖方与电子签名认证机构之间是一种信赖利益关系。电子签名依赖方在未进行电子交易时与电子签名认证机构不存在法律关系。随着交易的进行,电子签名认证机构与电子签名依赖方,因为电子签名依赖方信赖电子签名人所持有电子签名的身份确认功能与电子签名人进行交易行为而发生信赖利益关系,是电子签名认证机构的权威性认证担保了电子签名人主体身份的真实性。正是这种基于对电子签名认证机构认证行为的信赖而选择与电子签名人进行交易的行为,导致电子签名依赖方丧失了订立其他合同的机会,那么电子签名认证机构就应对电子签名依赖方因信赖其认证而遭受的损害负责。在电子商务中,电子签名依赖方通过电子签名认证机构公布的电子签名人的公钥确定电子签名人的身份,从而相信电子签名人的身份的真实性,进而推定其订立合同意思表示的真实性,才敢于同电子签名人签订合同。电子签名依赖方之所以订立合同正是出于对电子签名认证机构的信赖,因此,其两者之间存在信赖利益关系。

3.4电子签名人与电子签名依赖方的交易关系

我国目前的电子商务形式主要有B2B、B2C、C2C。B2B(BusinesstoBusiness),是指商家与商家建立的商业关系。例如我们在肯德基中只能够买到百事可乐,这是因为肯德基与百事可乐是商业伙伴的关系。商家建立商业伙伴关系是希望通过各自优势资源的合理配置来形成互补,达到双赢。B2C(BusinesstoConsumer),指供应商直接把商品卖给用户。典型的就是去麦当劳用餐,因为你是作为一个客户来直接购买麦当劳的产品。C2C(CustomertoConsumer),指客户之间自己把东西放上网去卖,例如淘宝。在以上电子商务形式中,电子签名人和电子签名依赖方是直接参与者,他们之间存在潜在或直接的合同关系。电子签名人向电子签名认证机构申请认证服务,获得与自己身份对应的电子签名制作数据,并据此做出电子签名。电子签名依赖方在进行电子商务交易签订合同时是根据其对该电子签名的信任,与电子签名人进行交易。交易双方是平等的商事主体,合同双方的法律地位平等,按照公平、平等、诚实信用原则指导、规范行为。电子签名人与电子签名依赖方只是通过电子签名这一工具来确认双方身份,从而促成合同的缔结,其关系仍应由其进行的商事行为决定,因此,电子签名人与电子签名依赖方实质上仍属于商事合同关系。

第四章电子签名中当事人的法律责任分析

责任是基于一定的义务而产生的法律的负担。《布莱克法律词典》中的法律责任词条,大意如下:“法律责任是因某种行为而产生的受惩罚的义务及对引起

[30]的损害予以赔偿或用别的方法予以补偿的义务。”美国法学家凯尔森认为:“法

律责任是与法律义务相对应的概念,人们对自己的行为负法律责任,就意味着如果他做了违反法律义务的事,就应受到法律制裁。”[31]正是基于权利、义务、责任三者之间的不可分割的关系,它们就像天平一样,权利和义务构成了两端,责任则是起到了支撑和平衡作用的支点。

4.1电子签名人的法律责任分析

4.1.1电子签名人的权利和义务

1.电子签名人的权利

(一)服务选择权

电子签名人可以依自己的意愿自由选择使用哪家认证机构的服务,自由决定申请、中止认证服务。

(二)专有使用权

电子签名人对其电子签名享有专有使用权,有权要求他人停止非法阻碍电子签名人使用电子签名或非法冒用、盗用电子签名的行为。造成损失的,电子签名人有权请求排除妨碍和赔偿损失。

(三)知情权

在使用电子签名之前,电子签名人有权从电子签名认证机构获得与自己权利义务相关的信息。

2.电子签名人的义务

为了规范电子签名人在电子签名使用过程中的行为,确保电子商务的安全,电子签名人必须在使用过程中尽到谨慎合理的注意义务。其中主要包括以下几个方面:

(一)支付报酬的义务

主要是指服务费用的支付。为了获得电子签名认证服务,签名人应向电子认证机构交纳一定的服务费用以及其他双方当事人约定的费用。

(二)真实陈述的义务

电子签名人在提出认证申请时,需要向认证机构提交有关的个人信息,该信

息必须真实、完整,否则电子签名人应对其虚假陈述行为造成的损失承担责任。

(三)妥善保管义务

认证机构将电子签名制作数据交付之后,电子签名人须妥善保管,应尽到充分的谨慎,防止他人获得自己的电子签名制作数据。当知悉电子签名制作数据已经或存在较大风险失密的情况下,应及时通知其他各方关系人。

4.1.2电子签名人违反法定义务所应承担的法律责任

电子签名人提出认证申请时应当提供真实、完整和准确的个人信息,若因提供信息不实、不完整而给电子签名认证机构和电子签名依赖方造成损失的,应当承担法律责任。遗憾的是,我国《电子签名法》没有具体规定责任承担方式和责任承担范围。参照《民法通则》的有关规定,电子签名人由于过错给电子签名依赖方、电子签名认证机构造成损失的,应承担赔偿责任,该赔偿是以金钱的方式赔偿电子签名认证机构的全部损失,包括电子签名认证机构因该错误认证导致的业务赔偿和因错误认证造成的消极社会影响导致社会评价降低,造成的业务流失损失。

电子签名人因自身过错,导致签名数据泄露,且当电子签名人获知签名制作数据已经失密或者存在较大失密风险时未及时告知其他关系人,因未及时告知使本应当终止使用的电子签名继续使用,造成其他关系方因该失密电子签名的使用而遭受损失的,电子签名人应承担赔偿责任。因为,电子签名人不但要承担因签署电子签名产生的法律负责,而且有义务尽最大的努力使电子签名制作数据处于保密状态,独自占有。电子签名数据脱离了电子签名人的控制,则认为电子签名人未尽到必要的注意义务,电子签名人具有过错,其不利后果应由其本人承担。如果电子签名人不承担责任,对于善意第三人--电子签名依赖方是不公平的。若电子签名人尽到必要的注意义务,妥善保管电子签名数据但仍泄露的,例如因黑客攻击,网络漏洞等原因,则电子签名人可免责。因此,电子签名人承担责任的主观要件是有过错,即适用过错责任原则。

4.2电子签名认证机构的法律责任分析

4.2.1电子签名认证机构的权利和义务

1.电子签名认证机构的权利

电子签名认证机构作为认证服务提供方,其权利主要针对是否能保证其认证的可靠性。

(一)获得真实认证信息的权利

电子签名认证机构有权要求认证申请人提供真实的个人信息资料。不同申请

第四章电子签名中当事人的法律责任分析

主体提供的信息略有差异。个人认证申请者,应提交真实的姓名、身份证、联系方式、通信地址等个人资料;组织认证申请者,应提交真实的单位名称、行业类别、单位地址、单位邮箱、电话以及负责人信息,如是已注册的组织,还应提交有效注册文件。

(二)获得认证费用的权利

电子签名认证服务是有偿服务,认证合同是双务,有偿合同,电子签名认证机构有权根据电子认证合同收取服务费用,以维持机构的运营。

(三)依法请求赔偿的权利

电子签名人因违约给电子签名认证机构造成损失的,认证机构有权按照合同约定求偿。

2.电子签名认证机构的义务

电子签名认证机构掌握着所有的认证信息,处于技术垄断的地位,为了平衡认证关系各方的地位,实现公平、平等的法律诉求,本文认为电子签名认证机构应履行以下义务。

(一)信息审查义务

认证机构应当对认证申请人提供的个人申请信息进行充分审查,若查明申请材料包含不实信息,有权要求申请人进行补正,补正不能的,应拒绝提供认证服务。

(二)业务流程明示义务

为了方便业务办理,在申请电子认证服务时,电子签名认证机构应通过CPS(认证业务规则)的形式公开其工作流程和为用户提供的服务以及服务的主要内容,这些内容往往构成认证服务合同的一部分。主要包括:用户身份鉴定要求;认证类别及电子签名操作方法说明;保密制度;安全控制规程;用户责任和义务等内容。我国《电子签名法》将认证业务说明内容归纳到了业务规则中并要求向国务院信息产业主管部门备案。

(三)信息披露义务

电子签名认证的本质是一种第三方权威,公信力是其生存的基础。认证机构充分的信息公开是获得公众信任的必要条件。因此,电子签名认证机构应当充分的公示其认证资质及经营情况。②

美国《犹他州数字签名法》中规定的认证机构披露内容可以作为电子签名认证立法典范③,通过和美国《犹他州数字签名法》多达数十项规定的对比,我国②我国《电子认证管理办法》中要求电子认证机构签发的电子签名认证证书应当载明电子认证机构名称、证书持有人名称、证书序列号、证书有效期、证书持有人的电子签名验证数据、电子认证机构的电子签名等内容。

③美国《犹他州数字签名法》中规定认证机构应披露的内容,包括:认证机构的名称、地址和电话号码;认证机构的标识名称;认证机构现行的公开密钥;根据最近认证机构活动做出的业务审计结果,对认证所

第四章电子签名中当事人的法律责任分析

看似详细的披露内容在《犹他州数字签名法》近乎苛刻的要求面前是远远不够的,我国与先进国家的电子签名法律规定还有很大差距。一方面,我国目前对电子签名认证机构还不具备丰富的实践经验和立法经验;另一方面,这种较为开放的立法也留给其他机关一些发挥的空间。

(四)安全保障义务

电子认证是专业性较强的行业并随科技的发展而不断更新,为了保障认证的可靠性,认证机构要保证自身运行的安全。对电子认证机构来说,其必须有足够的抗风险能力,采用科学的管理和安全可靠的技术系统提供电子认证服务。为了保证认证行为的可靠性,电子签名认证机构须聘用熟悉有关密码技术的技术人员,具有充足的资金增强抗风险能力,具有固定的办公场所维持经营的稳定,采用的密码技术和硬件设备达到国家安全标准,获得国家商用密码管理办公室同意使用密码的批准等其他条件。

(五)保密义务

用户在申请电子认证业务时,会向电子签名认证机构提交个人详细信息。这些信息会涉及到个人隐私或商业秘密,因此,电子签名认证机构应当遵守国家的保密规定,建立完善的保密制度,有义务保障申请信息的不外泄,除非当事人之间达成相反的约定或有关国家机关的正式要求。

(六)依法承担责任的义务

电子认证机构在提供电子认证服务过程中,可能会因自己的过错给电子签名人或电子签名依赖方造成损失。电子认证机构承担何种责任,向谁承担责任,责任是否有限制,归责原则如何,将在下文进行详细的探讨。

4.2.2许可认证机构的法律责任

1、许可认证机构(以下简称“许可CA”)对电子签名人的违约责任

电子签名认证机构与电子签名人之间的法律关系是认证服务合同关系,其法律责任为违约责任。在合同签订的不同阶段,许可CA作为合同的一方当事人对电子签名人承担的民事责任也不同。

(一)合同成立前的缔约过失责任

在签订合同之前,合同双方要进行充分的协商,交换意见之后才能达成意思作归类,以及审计的日期;认证机构的证书在许可后被撤销的,应包括该撤销证书中包含的公开秘钥、撤销日期和撤销理由;认证机构的适当的保证金额;认证机构的许可证被撤销或被中止的,应包括撤销或中止的日期和理由;认证机构许可上具有限制的,应包括该限制;任何实质影响认证机构开展义务能力的活动事件,任何实质影响主管部门提供或承认的储存库里列举十个证书的有效性的活动或事件;证书含有用于确认一个或多个由认证机构所颁发证书真实性公开密钥,且该证书被撤销或正处于中止状态时,该包括证书的撤销或中止时间;认证机构按主管的规章要求形式提交声明的,应包括当前日期一年以前迄今,包括额外规章或政策,且长度不超过两千字的声明;以及主管部门要求的其他信息;主管部门应在其公告栏中保持电子数据库,包含根据本条规定的,对每一个许可之认证机构的信息披露。

第四章电子签名中当事人的法律责任分析

表示的一致。最终成立的合同是在这一系列的准备过程中的最后一步。[32]在合同成立前主要涉及缔约过失责任,我国《合同法》具体规定了三种缔约过失责任形式。缔约过失责任是违反先合同义务的结果[33]。先合同义务,是指“为适当履行合同义务或保护另一方当事人权益,基于诚实信用原则而产生的义务,包括作为义务和不作为义务[34]。在认证合同签订之前,电子签名认证机构应承担的先合同义务主要有:

第一,当认证申请人提出申请要求,认证机构应接收申请人的申请材料,并及时审核。在实践中,认证申请人可当面向电子签名认证机构提出申请,电子签名认证机构提供相关咨询服务。电子签名认证机构也可将申请所需的资料和申请方式在网站上予以公布,由申请人自行操作。此处,审核申请材料既是认证机构的权力,更是义务。

第二,认证机构在办理认证申请的过程中,应保证申请材料不被泄露。电子签名申请人提供的个人信息,可能涉及隐私或商业秘密,电子签名认证机构有义务保护该信息。

缔约过失责任是一种法定之债,独立于侵权责任、违约责任等债,是一种独立的请求权[35]。电子签名人可因信赖认证服务合同的成功订立,但该合同并未成立而产生利益损失为由,提起缔约过失责任请求权。该请求权范围包括直接损失和间接损失。其中,直接损失一般包括认证申请费用、因认证机构缔约过失行为造成的财产损失等;间接损失则主要是指丧失与其他认证机构成功订立合同的机会成本损失[36]。

(二)合同履行过程中的违约责任

违约责任以合同的有效存续为前提,是在合同成立之后至合同义务履行完毕期间,合同双方因未适当履行合同义务给对方造成损失而应承担的民事责任。[37]电子签名认证提供的是一种以合同为基础而产生的信用服务。[38]许可CA与电子签名人根据双方合意达成协议,合同生效后制约双方的行为。电子签名人与电子签名认证机构之间的认证服务合同的标的是认证信息服务,是经过权威认证的、可靠的电子签名人身份信息。[39]许可CA有义务保证该信息的可靠性以及认证过程的顺利进行,许可CA的违约责任主要源自安全保障、谨慎审核、信息披露、保密等义务。对于许可CA做出违反上述义务并造成损害事实的行为,电子签名人可以依据《合同法》和认证服务合同中的约定要求许可CA承担违约责任。

对因违约行为造成损失的损害赔偿应当遵循完全赔偿的原则,在电子签名认证机构未适当履行合同义务,并因此给电子签名人造成损失的,赔偿额应相当于因违约造成的损失。另外,赔偿额不得超过许可CA订立合同时能够预见到或者④假借订立合同,恶意进行磋商,故意隐瞒与订立合同有关的重要事实或者提供虚假情况,泄露或不正当地使用订立合同过程知悉的商业秘密。

应当预见到的因其违约行为可能造成的损失。这样,就把赔偿额度划定在可以预见到或者应当预见到的损失内。例如,电子签名认证机构在审查认证申请信息时,能够预见到该电子签名是用于特定交易的,此时赔偿范围限于电子签名人在该交易中所受的可得利益损失。在审查认证申请信息时,电子签名认证机构不能预见到该电子签名是用于特定交易的,则对预期利益的损失不予赔偿。

(三)违反后合同义务的民事责任

后合同义务,是指基于诚实信用原则,由法律规定,在合同履行完毕后合同

[41]双方仍须履行的某种作为或不作为义务。后合同责任的发生依据是法定的后合

同义务,因此,后合同责任不同于违约责任,它是一种法定之债。后合同责任是合同履行完毕之后,国家强制给电子签名认证机构的负担,是一种独立的责任形式。具体到许可CA来说,主要表现在信息保密义务和妥善保管义务。

保密义务始终贯穿于电子签名认证过程中,从开始申请到认证期满。保密义务不仅是法定义务,更是诚实信用原则要求的衍生。我国在《电子签名法》中强调电子签名认证服务机构应当按照国家的保密规定从事认证活动,并建立健全的保密制度,保护认证过程中的信息资料的安全性。许可CA因过错导致前述信息泄露的,应承担赔偿责任。

许可CA对社会公众负有提供信息查询的义务,对于失效的电子签名,许可CA在一定期限内仍应该提供查询服务。这是其公共服务属性的一种要求,也是诚实信用原则的体现。我国《电子签名法》中要求电子认证机构应当在认证证书过期或失效后,至少五年内仍需保存认证信息,并提供查询。若在该义务期限内,许可CA因自身原因无法提供查询服务,给电子签名依赖方造成损失的,应当承担赔偿责任。

2.许可CA对电子签名依赖方的侵权责任

经过前文分析,电子签名认证机构与电子签名依赖方的关系可认定为信赖利益关系。许可CA侵犯电子签名依赖方信赖利益的,应承担侵权责任。具体而言,主要包括以下几种情形:

第一,因未尽到谨慎审查义务,错误颁发电子签名,导致电子签名依赖方损失。在颁发电子签名之前,许可CA应当严格谨慎对于电子签名人的申请材料进行审核。电子签名依赖方因信赖错误颁发的电子签名造成损失的,许可CA应当予以赔偿。

第二,因许可CA管理漏洞导致电子签名制作数据失密,以至电子签名依赖方发生损失。电子签名人对私钥有独占使用权,如果因许可CA的管理漏洞或保密技术的缺陷导致电子签名制作数据泄密,从而使他人获得此电子签名制作数据,假冒电子签名人的身份进行交易并最终导致电子签名人及依赖方利益受到损

害的,认证机构应当承担责任。

第三,因公示的有效签名信息与失效签名信息错误导致电子签名依赖方损失。许可CA公示有效签名信息与失效签名信息的作用在于便于电子签名依赖方查询电子签名的状态,进行必要的审查。若因为该列表公示内容的错误,导致电子签名依赖方遭受损失的,签名认证机构应当承担法律责任。

第四,因未及时处理中止、终止或撤销电子签名请求,导致电子签名人或依赖方财产损失。电子签名人知悉其电子签名制作数据已经失密或者有较大失密风险时,申请中止、终止或撤销该电子签名的,许可CA应及时予以处理。由于许可CA的过错导致中止、终止或撤销行为不合理的延迟,导致电子签名人身份被盗用造成损失或电子签名依赖方由于信任该电子签名造成损失的,许可CA应当承担法律责任。

对电子签名认证机构侵权造成的损害赔偿范围的确定,应坚持全部赔偿和限额赔偿相结合的原则。完全赔偿能够对电子签名依赖方的损失进行全面、充分的救济,既要赔偿电子签名依赖方的直接损失,又要赔偿间接损失。在充分保护了电子签名依赖方利益的同时,我们也不能忽视电子签名认证机构本身也承担着非常高的行业风险,如果将电子认证过程中的损失赔偿责任过分的倾向于认证机构,是不利于电子签名认证行业起步阶段的发展的,因此,如何去解决这一问题还需要进一步讨论。

3.违约责任与侵权责任的竞合

违约责任与侵权责任本是法律所规定的两种民事责任,两者分别有自己独特的适用前提和适用范围。但这两种民事责任在特定的情况下也会产生竞合的效果,即行为人所实施的某一违法行为,具有违约行为和侵权行为的双重特征,从

[40]而在法律上导致了违约责任和侵权责任的共同产生。这种情况也出现在电子签

名认证的法律关系中,当电子签名认证机构的认证行为同时侵犯了电子签名人个人的信息隐私权或法人等其他经济组织的商业秘密,并给电子签名人带来损害时,即发生违约责任和侵权责任的竞合。首先,电子签名人在申请电子签名认证时,需要提交相关的申请信息,当电子签名人为个人时,提交的个人信息中免不了会包含涉及个人隐私的信息,当电子签名人为法人或者其他经济组织时,提交的申请信息也有可能涉及自己的商业秘密。我们都知道,无论是个人的隐私权,还是经济组织的商业秘密,同样都受到法律的保护,这是法律赋予他们的权利,不受任何人的非法侵犯。所以,电子签名认证机构对整个审查认证申请信息的过程和内容,对电子签名人都负有保密义务,这是毋庸置疑的。倘若由于电子签名认证机构的失误,对个人信息或者商业秘密造成了泄漏,违反了信息保密义务,不仅侵犯了电子签名人的合法权益,并因此造成损害的,电子签名认证机构即构

成违约责任和侵权责任的竞合。根据民法的相关规定,当事人一方,即电子签名人可基于违约责任,也可基于侵权责任向认证机构提起诉讼,请求赔偿。

4.2.3自建认证机构的法律责任

1.自建认证机构(以下简称“自建CA”)对电子签名人的违约责任

与许可CA不同,在自建CA中,由于交易一方同时承担着电子签名认证机构这一角色,他们大多没有获得电子认证服务许可证。因此,在这种模式下进行的电子签名,其法律效力、运营投入、应用风险等方面与在许可CA下进行的电子签名存在较大差异。因为自建CA身份的特殊性,其对社会不特定公众提供的认证服务属于违法行为,故本文在此不再赘述,我们主要讨论的是自建CA与电子签名依赖方是同一集团内部的不同利益主体的情况下,自建CA通过“电子签名”这一技术手段来实现认证效果的情况。

自建CA在承担法律责任方面与许可CA存在差别。在自建CA中,一些重要的交易信息完全由认证机构掌控,这就导致信息严重不对称。按照目前法院对相关案例的处理情况来看,举证是按照一般的“谁主张,谁举证”原则,即当电子签名人与自建CA发生纠纷要求赔偿的时候,需要电子签名人来举证,而电子签名人举证确实很有难度。但如果使用了许可CA的认证服务,根据《电子签名法》第二十八条的内容规定实行举证责任倒置。这是自建CA和许可CA最大的不同。

由于自建CA身份上的瑕疵,其不在《电子签名法》的保护范围之内。所以当自建CA与签名人和依赖方产生纠纷的时候,自建CA不能作为一个独立的主体来承担责任,而只能由其背后提供自建CA服务的服务方(交易中的某一方)来承担责任。就自建CA与签名人的关系来看,自建CA与签名人之间不是典型的认证服务合同关系。两者的电子签名认证关系存在于服务方和签名人之间的一个合同关系中,即电子签名认证是作为双方合同关系中的一项来进行的,合同乃是自建CA与电子签名人之间关系存在的基础。因此,我们可以将自建CA与签名人之间的关系看作是在合同关系项下的一项内容。这种情况下发生纠纷,则应按照合同法律关系中违约的情况来处理。我国《电子签名法》规制的电子签名认证行为是针对公共对象的,自建CA(交易一方)向交易另一方提供电子认证服务的这些客户并不是传统意义上的公众,而是交易一方业务范围内的内部客户,所以自建CA不能在严格意义上说是一种电子签名认证服务机构。在这种情况下是不能适用《电子签名法》的,但是我们可以参照《合同法》相关内容进行保障。

2.自建CA对电子签名依赖方的侵权责任

在处理自建CA与电子签名依赖方的纠纷时,我们可以仿照自建CA与签名人的合同关系原理,将自建CA“还原”为交易一方。电子签名认证机构与依赖方

之间是一种信赖利益关系,电子签名认证机构作出的认证行为是依赖方与电子签名人进行交易的信赖基础。因此,依赖方在受到因信赖自建CA原因导致的损失时,当然有权向认证机构提出赔偿请求。有学者将其称之为“广义的侵权责任”。

[42]自建CA作为实质上的电子签名认证机构,也对电子签名依赖方负有注意义务。这种义务的产生是基于诚实信用原则。当电子签名依赖方根据电子签名做出交易行为时,自建CA就有义务尽到必要的注意,保证该电子签名认证行为的真实有效性。

自建CA的侵权责任属于一般侵权责任,包括以下四个要件:

第一,损害事实的客观存在。自建CA违法行为直接的侵害对象是保护签名依赖方的法律本身,间接的侵害对象是电子签名依赖方依据法律规定享有的信赖利益,一定情况下还包括返还利益。

第二,行为具有违法性。就违法行为的表现而言,包括作为和不作为两种形式,不作为指的是自建CA消极地不履行保护电子签名依赖方利益等法律规定的义务,作为指的是自建CA故意违反保护依赖方利益等法律规定的义务,例如其内部工作人员与他人恶意串通涂改证书相关信息、因受贿而向明知提供不真实身份信息的申请人颁发证书,等等。

第三,违法行为与损害后果之间有因果关系。在自建CA侵权的情况下,尽管直接造成电子签名依赖方利益损失的是与之交易的电子签名人,但损失是由自建CA和电子签名人的过错共同作用造成的,我们可以这样理解,自建CA的违法行为是电子签名人侵害电子签名依赖方权益的介入因素,据此,可以认定违法行为与损害结果之间存在因果关系。

第四,主观上有过错。主观上的过错有故意和过失两种,自建CA对自身违法行为的心理态度,绝大多数出自过失,但也不排除故意。自建CA违反法律规定的合理注意义务以及其他法定义务时,往往是一般的过失,表现为未能预见损害结果或者已经预见但轻信能够避免;当自建CA能够预见自己行为将导致损害结果不可避免地发生,但仍执意违反法定义务并希望或放任损害结果发生时,这就构成心理上故意。

4.2.4电子签名认证机构的归责原则及免责情形

1.违约责任归责原则

英美法系和大陆法系因为对违约责任基础理解不同,在违约责任归责原则上有不同的观点。英美法系采纳“严格责任原则”,认为违约责任来源于合同双方的意思表示,意思表示一旦达成合意,双方就应对自己的行为负责,而不过问过错与否。大陆法系秉承“私法自治”的观点,认为民事主体有权利在不违背法律

第四章电子签名中当事人的法律责任分析

禁止性规定的前提下根据自己的意志从事私法行为。因自身过错导致他人损失的,须对该损侵害结果负责。并且,民事主体应只负责自己认识能力范围内的损失。随着世界一体化的趋势逐渐加强,两大法系之间也开始出现互相渗透,表现在违约责任归责原则上,就是不同法系中归责原则的交叉适用。在英国,按照不同的责任类型,合同义务被区分为严格合同义务和有限制的合同义务。其中,严格义务适用严格责任,有限制的合同义务适用过错责任,要求当事人尽到合理的注意[43]。涉及专业服务纠纷的案件尤其强调适用有限制的合同义务。主要是因为专业服务机构并不能完全保证其提供的意见或服务的结果完全按照预想的情况发展,只要其尽到合理的注意义务,便能排除严格合同责任。在德国,合同债务人的过失标准在于,债务人应当具有平均谨慎程度,该平均谨慎程度要求达到其所处行业或者领域的通常期待标准即可[44]。法国法将合同义务分为结果性合同义务和方式性合同义务[45]。其认为,结果性义务指合同中约定的义务包括具体结果的发生;方式性义务指合同约定的义务不以某一特定事实的发生为实现,只要义务人尽一切可能去追求该结果即可。若违反结果性义务,不问其有无过错。违反方式性合同义务,则要求“过错”作为违约行为的构成要件。

我国《合同法》中的归责原则是以无过错原则为主,过错责任原则、公平原则为辅的综合体系。在我国《电子签名法》中第二十八条中规定了过错推定原则⑤。参考国际相关立法,电子签名认证服务合同属于专业服务合同,通过上文分析,电子签名认证服务合同本质与英国法有限制的合同义务和法国法的方式性合同相似。考虑到电子签名人和依赖方的举证能力有限,因此,电子签名认证机构违约责任归责原则适用过错责任原则的特殊形式,过错推定原则是合理的。电子签名认证机构与电子签名人之间本质上是合同关系,与普通民事合同一样,义务按照合同的约定履行,违反约定未履行义务的应承担违约责任。

2.侵权责任归责原则

在侵权法领域,学者们对于侵权责任归责原则持有多种观点。我国《侵权行为法》目前是将侵权责任归责原则分为三类:过错责任原则、无过错责任原则和公平责任原则。在过错责任原则中,又分为一般过错责任原则和过错推定原则。在《侵权行为法》中,以一般过错原则为主,以例外规定适用过错推定、无过错责任和公平责任原则。

在我国《电子签名法》中仅有的几条关于民事责任的条款中规定:“电子签名人或者电子签名依赖方因依据电子认证服务者提供的电子签名认证服务从事民事活动遭受损失,电子认证服务者不能证明自己无过错的,承担赔偿责任”。这是典型的对举证责任实行“举证责任倒置”,该规则适用于电子签名认证机构⑤第二十八条电子签名人或者电子签名依赖方因依据电子认证服务提供者提供的电子签名认证服务从事民事活动遭受损失,电子认证服务提供者不能证明自己无过错的,承担赔偿责任。

第四章电子签名中当事人的法律责任分析

的侵权行为。为了配合该条款的规定,电子签名认证机构侵权责任归责原则应适用过错推定原则。

电子签名认证机构的服务对象是社会公众,提供的是一种权威性服务。电子签名认证行业对技术性要求较高,其服务依赖于密码算法技术和计算机硬件设备,认证的可靠性受现有技术条件和硬件配置限制。随着技术发展速度的加快,现有技术水平在未来不能预见的风险也加大。此外,认证机构所提供的服务可靠性还依赖于电子签名人的申请服务信息是否真实。所以,认证的可靠性在一定程度上与签名人的行为相关。因而不能运用不论过错便一概惩罚的无过错责任原则。

在电子签名认证法律关系中,电子签名依赖方处于天然的弱势地位,依赖方对电子签名认证机构缺乏必要的了解。电子签名认证作为一种信息认证服务,本身专业性较强,对证书的颁发、管理等工作又是在认证机构和电子签名人之间发生的,电子签名依赖方作为非专业人员,不可能完全掌握认证机构的内部工作机制。由于电子签名认证机构与电子签名依赖方之间存在严重的信息不对称,依赖方只能根据认证机构公示的内容进行查询,而这些信息完全掌握在认证机构手中,认证机构处在有利的举证位置上。因此,要求电子签名依赖方承担举证责任,证明认证机构的过错是不现实的,也是不公平的。实行举证责任倒置将有利于改变双方不平等的举证地位。

3.电子签名认证机构责任的免除

我国《电子签名法》中并未规定电子签名认证机构的免责条件,根据民法原理,电子签名认证机构可在下列情况免责。

(一)免责条款规定

免责条款一般规定在合同当中,对电子签名认证机构与电子签名申请人产生效力。根据意思自治原则,只要不违反法律禁止性规定,合同双方可以自行约定认证服务合同的内容,也可约定免责条款。针对认证合同多为格式合同的情况,此处应以约定限制责任条款为宜。

(二)不可抗力

不可抗力,指不能预见、不能避免并且不能克服的情况,包括自然灾害事件、法律修改、政府行为等。不可抗力,属于法定免责条件,当事人也可在认证服务合同中进行说明。因技术发展,设备更新,对于黑客攻击、解密算法的改进等外部因素造成的损失也应考虑在内。

(三)紧急避险

当电子签名认证机构发现电子签名的制作数据已经泄露或者存在重大安全漏洞时,为避免损失进一步扩大而中止该电子签名的使用并及时通知关系人的,

第四章电子签名中当事人的法律责任分析

由此造成电子签名人及依赖方损失的,认证机构可减轻或免除责任。

(四)电子签名依赖方过错

电子签名依赖方对电子签名的真实性、有效性,电子签名使用方式、目的等未尽合理注意,查验的,由此造成的损失,自行承担责任。

(五)电子签名人过错

电子签名申请人在申请认证时存在欺诈行为,导致认证机构虽已尽到合理注意仍不能避免错误发生,对于由此造成的损失,认证机构免责。电子签名人超出电子签名的使用范围使用电子签名导致损失,认证机构当然免责。电子签名人在密钥失控时未尽到及时告知义务,使得电子签名依赖方仍信赖该签名的可靠性进行交易,造成损失的,认证机构按过错程度承担责任。

4.3电子签名依赖方的法律责任分析

4.3.1电子签名依赖方的权利和义务

1.电子签名依赖方的权利

电子签名依赖方是与其他两方当事人相比是较为被动的一方,其权利多为请求权。

(一)知情权

电子签名依赖方作为信息接收方有权知悉电子签名证书的有效性、真实性。因此,电子签名认证机构就必须本着一般注意义务披露一切必要的信息。

(二)求偿权

在电子签名使用过程中,因电子签名认证机构和电子签名人的过错造成签名依赖方损失的,电子签名依赖方有权向过错方请求赔偿。

2.电子签名依赖方的义务

作为认证关系参与方之一,要求依赖方也要承担相应的义务,这也是权利义务平衡的体现。电子签名依赖方应根据其所能获得的信息,对接收的电子签名的可靠性予以确认。尽管电子签名的可靠性与电子签名依赖方无关,但电子签名依赖方也应进行必要的查验,这是与其知情权相对应的。联合国贸易法律委员会《电子签名示范法》第11条正是从这一立场出发,对电子签名依赖方的行为作出了规定。⑥由于电子签名认证合同具有保护第三人利益的作用,因此,电子签名认证合同对电子签名依赖方原则上没有设定任何负担。上文提到的电子签名依赖方的义务实际上并非源于电子认证合同自身,而是依赖方从保护自己利益的角度出发,尽到的一个善良人的合理注意义务。

⑥要求电子签名依赖方“采取合理的步骤核查电子签名的可靠性;或在电子签名有证书支持时,采取合理的步骤,核查证书的有效性或证书的中止或撤消;以及遵守对证书的限制。”

第四章电子签名中当事人的法律责任分析

4.3.2电子签名依赖方违反法定义务的法律责任

电子签名作为信息时代的产物,其优越性是显而易见的,为了尽快普及电子签名的使用,保护交易安全,立法更多地倾向于保护电子签名依赖方。我国《电子签名法》没有对电子签名依赖方的法律责任进行规定,从其他的国家立法中也很少发现有对电子签名依赖方法律责任的详细规定。站在公平的角度,电子签名依赖方虽然可以信赖电子签名认证机构的权威性认证,与电子签名人进行交易,但其仍要尽到诚实、谨慎的义务。电子签名依赖方应尽到必要的审慎来查验电子签名的可靠性,一般来讲,从形式上审查电子签名的有效期限,是否被声明作废等操作是完全能够实现的。如电子签名存在明显或者通过一般审慎就能发现的瑕疵,电子签名依赖方仍信赖该签名进行交易,导致自己受到损失的,则认定其未尽到必要的谨慎义务,损失由自己承担。

第五章完善我国电子签名法中责任承担的建议

第五章完善我国电子签名法中责任承担的建议

5.1以举证责任缓和弥补过错推定不足

归责原则中暗藏的证明责任为责任认定提供了工具,其方式方法是否得当直接影响着责任问题解决的质量。目前,我国的《电子签名法》在第二十八条中规定了电子认证服务提供者的赔偿责任。从“电子认证服务提供者不能证明自己无过错的,承担赔偿责任”的规定中可以看出,这是典型的过错推定原则的应用。站在认证服务使用者的角度,这种过错推定原则当然是对其利益进行了较大程度的保护,但是对电子签名认证机构的经营风险却大大提高了。在互联网络这一开放的环境下,由于网络技术本身的特性,使得任何安全措施都是相对的。现在的黑客行为完全可以做到“无声无息”,让被侵入者完全没有察觉。因此,这种将系统风险和技术风险的不利后果完全归于电子签名认证机构的做法是不公平的。除此以外,这样的规定还会导致电子签名认证服务机构将大量的精力与资金投入到认证资料的收集和储存上,考虑到电子商务正处于起步阶段,这样过于严格的责任会影响到电子认证产业的发展。因此,不论是站在国内的行业发展角度考虑,还是站在顺应国际电子商务法律发展趋势的角度考虑,我国都应该对此进行完善。

针对上述情况我们可以借鉴医疗侵权纠纷中涉及医患双方信息不对称时讨论较多的“举证责任缓和”制度。举证责任缓和制度的核心在于,在法律规定的情况下,当举证责任承担方的技术或者其他方面的障碍导致其无法达到法律所要求的证明标准时,适当的降低举证责任承担方所应承担的证明标准,在举证责任承担方达到该标准时,将举证责任进行转换,由对方来承担举证责任,[46]以达到平衡双方当事人之间诉讼地位的作用。具体来说,我们的法官在审理案件时可依高度盖然性的经验法则为基础,从特定的结果出发,推断出医疗机构存在过错。比如说,患者在医院手术后,发现身体里留有手术工具,患者证明了这一事实后,法官就可以经验推断出患者身体里的工具是医务人员基于过失所为。因为在一般情况下,手术工具不会有别的途径进入人的体内。此时,举证的担子就落在医疗机构身上,医疗机构必须能够证明还有其他的事由可以导致相同结果的发生,否则法官基于其“心中的确认”就可认定医疗机构存在过失。但是只要医院提出的证据能够动摇法官“心中的确认”,那么提供证据的责任就又回到原告身上。原告必须提供证据来保证法官不动摇,否则将承担不利后果。需要指出,“举证责任倒置”与“举证责任缓和”是有区别的:一是举证责任倒置改变了举证责任的

分配,而举证责任缓和只是适当地减轻了举证方的举证责任,正如上面例子中所说的那样,当被告提出反证排除法官所依据的高度盖然性经验法则时,原告需再次举证,因此实质举证责任还是由原告承担。二是被告提出的反证并不要求足以证明自己的行为不存在过错,只要能够动摇法官,使他对适用经验法则产生怀疑,进而排斥经验法则的适用即可。而举证责任倒置,它推定医院方存在过错后,医院方必须提供足够充分的证据来推翻推定,而不仅仅是动摇法官,否则就要承担不利后果,相比之下,举证责任倒置对医疗机构提出的要求更严格。

因此,当电子签名认证机构在电子签名人或者电子签名依赖方因其认证服务行为遭受损失时,如果电子签名认证机构能证明自己确实已经尽到了必要的注意义务,如对客户信息进行了必要的保密措施,对数据传输网络的安全性进行了检测等,而转由电子签名人或者电子签名依赖方来举证证明认证机构的服务存在问题,并最终导致了损失的发生。我们可以考虑适当的降低电子签名人或电子签名依赖方的证明标准,即只需证明在电子签名的使用中非因自身原因导致损失发生,就可认定电子签名认证机构的认证行为存在瑕疵。这样,一方面可以照顾到我国正处于起步阶段的电子签名认证行业,使其避免承担过于严格的责任和过大的风险,另一方面,也保证了损失承受人的求偿权不至于遭受不合理的牺牲。就电子签名认证机构的法律责任应具体分析,寻找认证机构与电子签名人和依赖方之间利益的相对平衡点,不能搞“一刀切”的做法。

5.2对电子签名认证机构的责任限制

放眼国际,各国的电子商务立法基本都考虑到了对电子签名认证机构的责任需要加以适当的限制。[47]我国《电子签名法》并未明确规定电子签名认证服务提供者承担的法律责任的限额。同时,我国《电子签名法》对于赔偿范围也没有作具体规定,一般来说,应以对方遭受损失的数额为准。这就要求电子签名认证机构应在认证活动中更加谨慎,否则在电子商务蓬勃发展、电子交易标的额度越来越大的情况下,就有承担巨额赔偿责任的风险[48]。《电子签名法》的立法现状也与我国《电子签名法》规制电子认证机构行为,促进电子认证行业乃至电子商务领域的发展初衷相背离。值得注意的是,《电子签名法》并没有完全封锁认证机构责任限制的渠道,其中并未禁止电子签名认证机构在服务合同中增加限制自身责任的条款。“法无规定即许可”,这就意味着,电子签名认证机构可以通过事先限制电子签名认证证书的使用范围和责任限额的方式达到限制责任的目的。从原信息产业部制定的《电子认证业务规则规范(试行)》仅要求各认证机构参照该规范编制各自的CPS(CertificationPracticesStatement,电子认证业务规则)并向原信息产业部备案来看,该规范属于指导性的CPS范本,各认证机构可自行

[49]决定其中条文的取舍。这种合同中的限制由于没有统一的法律或者行业规范加

以明确,在限额的确定上就会产生差异。实际上,一些认证机构已经在其CPS中规定了责任限额,例如,北京数字认证股份有限公司(BJCA)的CPS规定其对所有当事实体的合计责任不超过证书适用的责任封顶。其责任上限:个人证书800元,机构证书4000元,服务器证书12000元。深圳市电子商务安全证书管理有限公司(SZCA)的CPS规定的赔偿限额是:个人类证书不超过800元,单位类证书不超过4000元,设备类证书不超过8000元。这种把责任限制权力完全交由认证机构的做法,在目前的市场环境下极有可能走向极端,造成认证市场混乱和认证机构之间的恶性竞争。就目前这种规定不统一的现状来看,通过法律来统一规定或指导规定就尤为具有价值。

美国在电子签名机构责任限制的立法方面走在了前列,值得我们借鉴。其《犹他州数字签名法》第308条规定主要有两方面:其—,通过在证书中明示“建议的信赖额度”条款的方式,建议人们在不超过证书风险总额的限度内信赖该签名进行交易。其二,除了认证机构具有过错,认证机构不对用户因被盗用、冒用数字签名产生的损失负责;认证机构不对签名人因虚假陈述获得的签名证书导致的损害负责;认证机构承担惩罚性赔偿责任等。[50]第309条规定了由于信赖在电子签名认证机构错误的对数字签名的确认事实而遭受损失的,电子签名认证机构将不赔偿超过其在电子签名证书中建议的信赖额度范围的部分。[51]也就是说,建议的信赖额度的功能是通过预先告知交易关系人该电子签名的保障金额范围,经由交易人进行交易的默认形式,将认证机构的风险限制在一定范围内。

借鉴美国《犹他州数字签名法》第308,309条的规定并结合我国实际情况,对电子签名认证机构的责任限制应着眼于以下:

第一,参照“建议的信赖限度”制度,建立适合我国实际的“信赖限度制度”。根据我国《电子签名法》第19条的规定,各电子签名认证机构有权在自己的认证服务协议或业务声明中制订其责任范围事项。我国的电子签名认证机构可以通过对客户信用情况进行评价,分为不同的信用等级,并配置不同的认证信用额度,这些额度与责任范围相关联。通过该“建议的信赖限度”制度的建立,针对不同的客户群体,限定自己的责任范围,从而降低风险。

第二,由法律直接限定认证机构赔偿的最高限额。责任限额制度,多见于海上运输、航空运输、铁路运输以及国家赔偿等领域。责任限制,指依据法律规定,赔偿责任人只在一定限额范围内承担赔偿责任。设立限制性赔偿责任的初衷,是对特殊行业提供特殊的保护,以此来促进该行业的发展。因而,可以考虑该项制度在电子签名认证领域适用。具体来说,通过法律规定一个具体明确的责任限额,规定电子签名认证机构在不同情况下承担赔偿责任的最高额,可以根据电子签名

人选择的业务种类以及所缴付的服务费用等作为参考。电子签名依赖方因认证机构过错产生的损失,可根据交易金额确定损失赔偿的限额。特别要强调的是,只有当事人没有重大过错的情况下才能适用,而并非所有情况都适用责任限额制度。在当事人存在重大过失或故意的情况下,将不能够援引责任限额制度来减轻其应负的赔偿责任[52]。例如,电子签名认证机构与电子签名人恶意串通,致使电子签名依赖方合理信赖电子签名的可靠性而进行交易,因此使电子签名依赖方遭受损失的,认证机构将不得援用责任限额制度,电子签名依赖方可要求认证机构与签名人赔偿全部损失。

5.3构建业务责任保险制度

电子签名认证机构服务的领域大多与电子商务相关,认证行为的可靠性直接关系到商事行为的顺利进行。电子签名认证机构若因自己的过错给认证关系各方造成损失,在目前的法律环境下,电子签名认证机构需要承担全部赔偿的责任。而电子签名认证机构处理的认证业务所涉及的金额通常较大,认证过程中任何一个环节出现问题,都会使电子签名认证机构承担巨额赔偿的风险。这种潜在的高额赔偿一旦转化为现实,多数认证机构是很难应对的。同时,这种现状也加大了期望通过电子签名认证保证交易顺利进行的交易方的顾虑。这时,保险制度的引入就显得尤为必要。在实践中,业务责任保险制度在董事的经营管理,律师执业及注册会计师执业等领域都有所涉及。这对于同样具有较高经营风险的电子签名认证机构而言是一种很值得借鉴的制度。保险制度的作用在于分散风险,它能够用少部分的投资来规避巨额风险。从认证机构的角度来看,业务责任保险可以分摊电子签名认证机构的经营风险,是降低认证机构责任风险的重要途径。从受害方角度来看,业务责任保险可以使受害者得到有效和及时的赔付。与电子签名认证机构相比,保险机构具有更大的经济规模和较强的债务赔付能力,受害人通过保险机构可以顺利实现债权。

业务责任保险制度虽能解决一部分问题,但开创新制度的巨大成本和实践中与其他制度的协调性的成本是我们不能忽略的,在建立一个新型保险制度的同时,保险机构自身也需要有足够的业务能力和偿债能力。因此,我们应充分利用现有制度的基础,在已有的制度资源上进行探索。针对认证机构内部工作人员过错造成电子签名人及依赖方的损失,我们可以参考“第三人责任险”,建立针对电子签名认证机构内部工作人员责任的“第三人责任险”。由保险机构根据风险评估情况,拟订保险费率,对工作人员的过失情形及赔付事由做出合理界定,制定认证责任险。在发生符合规定情形的理赔事由时,由保险机构对受害人承担赔偿责任。若因认证机构内部工作人员的重大过失或故意造成的损害,由保险机构

第五章完善我国电子签名法中责任承担的建议

先行赔付之后再向该过错工作人员追偿,不足部分由认证机构补充。也可考虑政府暂时介入电子签名认证保险领域,设立由政府直接管理的专门保险机构。作为试验性的经营,该保险机构应初步拟定保险费率,制定认证责任险种,根据实际经营中出现的问题及时予以调整,逐步完善保险机构经营模式。政府还应积极引导其他商业保险机构进入认证责任险领域,最终形成以商业保险为主,政府指导为辅的责任保险机制,为电子认证行业的健康发展提供有力支持。

5.4电子签名中的公平责任

电子签名相对于传统的手写签名来说,具有验证的复杂性更高、伪造难度更大的特点,但是电子签名人私钥被盗使电子签名被伪造的风险和在开放的互联网络进行传输时电子签名数据因黑客攻击而被泄露或被仿冒的风险也更高。电子签名的可靠性主要是指电子签名制作数据具有专有且唯一性。电子签名制作数据具有保密性,防篡改性,其中某一特性的缺失都能给欺诈行为制造机会。一旦出现这种技术性纠纷,其举证难度比手写签名更大。虽然《电子签名法》中笼统的对刑事责任和民事赔偿责任做了规定,但基于技术原因,实践当中很有可能追踪不到攻击者或仿冒者,也就找不到责任人。

由于私钥的失窃、黑客的攻击、签名系统本身的缺陷、密码分析算法的改进或计算机运算能力的增强致使密码体系不再安全等原因导致的损失发生时,在法律没有规定的情况下,让认证机构承担无过错责任是不合法,也是不公平的。从现有的法律资源来看,《民法通则》第132条的规定可以借鉴。这是基于公平责任原则作出的规定。公平责任是指在当事人对造成的损害都无过错,又不能适用无过错责任要求加害人承担赔偿责任,但若不对受害人遭受的损失进行救济又显失公平的情况下,由人民法院根据当事人的财产状况及其他实际情况,责令加害

[53]人对受害人的财产损失给与适当补偿的一种责任形式。在通过电子签名进行交⑧⑦

易时,欺诈人非法使用电子签名人的身份信息,成功骗过电子签名认证机构的审核,即使认证机构尽到必要的审慎义务还是不能识别出欺诈行为,避免向欺诈人提供认证。与此同时,电子签名人还没意识到自己身份已被假冒,也就未能警告有关各方。这种情况下,当事方均无过错,若能确定欺诈人,则可追究其民事责任甚至刑事责任。但一般情况下确定欺诈人的难度较大,举证方无力举证欺诈人身份,宜根据公平责任原则分担责任。具体来说,应由电子签名认证机构和电子签名人承担主要责任,电子签名依赖方承担次要责任。因为在实践中,电子签名人和电子签名认证机构往往能够主动采取规避风险的措施,而电子签名依赖方相⑦《电子签名法》第32条规定:“伪造、冒用、盗用他人的电子签名,构成犯罪的,依法追究刑事责任;给他人造成损失的,依法承担民事责任”,

⑧“当事人对造成损害都没有过错的,可以根据实际情况,由当事人分担民事责任”。

第五章完善我国电子签名法中责任承担的建议

对被动。而且三方当事人按份平担责任,也不利于鼓励善意第三人即电子签名依赖方进行电子交易。

再次需要强调的是,在电子认证行业和电子商务发展初期,各国立法者为了推动电子商务发展,鼓励交易,基本上都倾向于对电子签名依赖方利益的保护。我国《电子签名法》中也没有规定电子签名依赖方法律责任的条文。但这并不意味着电子签名依赖方无论在什么情况下都只承担次要责任,或没有责任。联合国贸易法律委员会《电子签名示范法》、新加坡《电子交易法》、马来西亚《数字签名法》等都规定了依赖方承担未经授权的签名不真实的风险责任。也就是说,当依赖方知道或应当知道可靠电子签名系无授权作出或不真实,其仍信赖该签名

[54]导致的损失由其自己负责,即在电子签名依赖方没有尽到合理审查电子签名义⑨

务时以及知道或应当知道电子签名由未经授权的人签署却仍然信赖该签名而与无权签名人交易受到的损失由自己承担。

⑨例如新加坡《电子交易法》22条规定依赖方承担未经授权的签名不真实的风险责任的四种情况:“(1)依赖于数字签名签署的电子记录的个人知道或已经注意到有关事实,包括证书上列举的事实和包含在其他附录中的事实;(2)如果知道数字签名签署的电子记录的价值及其重要性;(3)依赖数字签名签署的电子记录的个人和登记人之间有处理过程,己经可以获得的数字签名之外的签署是否可靠的其他情况;(4)使用任何交易方式,尤其是使用可靠系统或其他电子交易方式执行交易。”

结语

结语

《电子签名法》作为我国第一部真正意义上的信息化法律,填补了多年来电子商务立法领域的空白。[55]目前,工信部已经为分布在全国各省的32家大型电子认证服务机构颁发了电子认证服务许可证。从开始单纯的电子交易支付,到网上征税、网上招标、网上采购方面,从电子商务到电子政务,都可以看到电子签名的应用。

为了保障电子签名的可靠使用,电子签名认证机构起着至关重要的作用,围绕电子签名认证的民事责任承担是对电子签名各方当事人权益保障的重要方式。具体来说,电子签名人与电子签名认证机构之间是合同关系,其民事责任属于违约责任范畴。根据合同履行过程中的不同阶段产生了不同的责任效果。电子签名依赖方与电子签名认证机构之间是信赖法律关系,因电子签名依赖方信赖电子签名认证机构认证的电子签名的真实性进而与电子签名人签订合同。其民事责任主要是侵权责任。

针对我国电子签名认证行业有关的行为规范和责任的范围等问题还有待完善。在本文最后一部分中提出了以举证责任缓和弥补过错推定不足,对电子签名认证机构的责任限制,构建责任保险制度,电子签名中无力举证时的责任分配等四项建议。

我国正处于电子商务的发展时期,电子签名认证行业配套的法律法规也尚待健全。电子签名认证机构作为电子商务中必不可少的一方,越来越为人们所重视,发展前景广阔。因此,对相关法律法规的完善势在必行。我们相信在广大学者与立法机关的共同努力下,我国电子签名认证行业一定会健康发展。

参考文献

[1][DB/OL]艾瑞2010-2011年中国网上支付用户行为研究报

告.http://wenku.baidu.com/view/f575db2158fb770bf78a5545.html,2012,4,14

[2]同[1]

[3]胡静,电子商务认证法律问题,北京:北京邮电大学出版社,2001:58

[4]孙哗,张楚,美国电子商务法,北京:北京邮电大学出版社,2001:142

[5]唐建国,电子签名相关法律问题研究:[硕士学位论文],北京;中国政法大学,2006

[6]刘媛,论美国犹他州数字签名法及对我国数字签名法的启示:[硕士学位论文],广州;

暨南大学,2006

[7]陈琦,电子签名认证机构的责任认定机制:[硕士学位论文],上海;华东政法大学,2011

[8]戴玲,电子签名法中当事各方法律责任研究:[硕士学位论文],贵州;贵州大学,2007

[9]戚永福,电子签名认证法律责任承担机制研究:[硕士学位论文],重庆;西南政法大学,

2008

[10]唐建国,电子签名相关法律问题研究:[硕士学位论文],北京;中国政法大学,2006

[11]李适时,各国电子商务法,北京:中国法制出版社,2003.27

[12]欧阳武,齐爱民,张海龙,中国电子签名法原理与条文解析,北京:人民法院出版社,

2005.12

[13]邵贞,朱明,议电子签名的性质及其法律效力,法制与社会,2009,(5):95

[14]陈强,电子签名法律效力问题研究,商场现代化,2011,2:109

[15]熊丙万,杨莹.电子签名法律制度考,信息网络安全,2010,08:26

[16]AashiahSrivastava.IsInternetSecurityaMajorIssuewithRespecttotheSlowAcceptance

RateofDigitalSignatures.ComputerLaw&SecurityReport,Vo1.21,No.6(2005):393

[17]刘满达,电子签名的法律效力认定,法学,2011,2:145

[18]魏士糜,电子合同法理论与实务,北京:北京邮电大学出版社,2001:90

[19]齐爱民,电子合同的民法原理,湖北:武汉大学出版社,2002:63

[20]李双元,王海浪,电子商务法若干问题研究,北京:北京大学出版社,2003:89.

[21]张楚,电子商务法初论,北京:中国政法大学出版社,2000:199-201

[22]欧阳武,旷野,贯彻《电子签名法》为电子商务发展奠定坚实基础,网络信息安全,2011,03:2

[23]参见《中华人民共和国电子签名法》,第34条.

[24][DB/OL]获得电子认证服务行政许可的认证机构名

单.http://search.miit.gov.cn:8080/gips/contentSearch?id=12432542.

[25]朱明,电子签名法的法理探讨,学理论,2009,11:230

[26]高富平,电子商务法律指南,北京:法律出版社,2003:221

[27]张盛伟,浅谈信赖利益保护是否以过错为要件——以意思表示之撤销为视角,宁波大学学报人文科学版,2010,(6):23

[28]王泽鉴,民法学说与判例研究(五),北京:中国政法大学出版社,1998:212

[29]韩世远,违约损害赔偿研究,北京:法律出版社,2006:175

[30]BryanA.Garner.Black’sLawDictionary,ThomsonWestPublishingCo.2007:1179

[31]凯尔森,法与国家的一般理论,北京:中国大百科全书出版社,1996:73

[32]罗伯特.霍恩,海因.科茨.G.莱塞,德国民商法导论,北京:中国大百科全书出版社,1996:

81

[33]隋彭生,合同法要义(第二版),北京:中国政法大学出版社,2005:102

[34]王泽鉴,民法学与判例研究第八册,北京:中国政法大学出版社,2009:120

[35]史尚宽,债法总论,北京:中国政法大学出版社,2000:289

[36]王泽鉴,民法学说与判例研究,北京:中国政法大学出版社,1998:331

[37]隋彭生,合同法要义(第二版),北京:中国政法大学出版社,2005:360

[38]赵明,电子签名相关法律问题研究,辽宁科技学院学报,2010,9:49

[39]李伟,电子签名认证的责任分担,法治研究,2010,7:104

[40]王利明,违约责任论,北京:中国政法大学出版社,1997:279

[41]杨立新,中华人民共和国合同法解释与适用(上),吉林:吉林人民出版社,1999:323

[42]刘颖,孙志煜,论电子认证机构民事责任的归责原则,暨南学报(哲学社会科学版),2007,

6:31

[43]A.L.科宾,科宾论合同,北京:中国政法大学出版社,1997:652

[44]尹田,法国现代合同法,北京:法律出版社,1995:303-307

[45]刘岭,过错在各国违约归责体系中的位置探究:[硕士学位论文],北京;中国政法大学硕士学位论文,2009

[46]杨立新,论医疗过失的证明及举证责任,法学杂志,2009,06:2

[47]齐爱民,电子商务法,辽宁:东北财经大学出版社,2009:84

[48]李伟,电子签名认证的责任分担,法治研究,2010,7:104

[49]刘满达,电子签名认证中消费者权益的保护,法学,2009,1:157

[50][DB/OL]犹他州数字签名法

http://www.jus.unitn.it/users/pascuzzi/privcomp97-98/documento/firma/utah/udsa.html.

[51]刘颖,郑正坚,论“建议的信赖限度”——美国《犹他州数字签名法》第309条评析,

暨南学报(人文科学与社会科学版),2004,(5):50

[52]韩世远,履行障碍法的体系,北京:法律出版社,2006:31

[53]杨立新,侵权法论,北京:人民法院出版社,2005:578

[54]戴玲,电子签名法中当事各方法律责任研究:[硕士学位论文],贵州;贵州大学硕士,2007:25

[55]欧阳武,旷野,贯彻《电子签名法》为电子商务发展奠定坚实基础,网络信息安全,2011,03:2

发表论文和参加科研情况说明

发表论文和参加科研情况说明

李士萍,吴博健.试论我国电子签名认证机构的民事责任,《法制与社会》2012年第5月期。


相关内容

  • 电子签名的法律效力问题
  • 遇到电子商务法问题?赢了网律师为你免费解惑!访问>>http://s.yingle.com 电子签名的法律效力问题 在电子商务活动中,参与交易的各方可能在整个交易过程中自始至终不见面,传统的签字方式很难应用于这种网上交易.因此,如何使彼此的要约.承诺具有可信赖性,当债务与合同义务发生不履 ...

  • 电子合同及其法律效力研究
  • 摘 要:电子商务在全球范围内已蓬勃兴起,发达国家和地区已经将其视为推行全球经济一体化和主导世界经济的重要战略措施,把电子商务的发展看作未来世界经济发展的一个重要推动力.为了适应经济发展,提高综合竞争力,我国也迫切需要完善电子商务的相关法律法规,使电子商务在经济发展过程中发挥更大的积极作用.本文在文献 ...

  • 电子商务法规课后题
  • 第1章 一.单选题 1.电子商务法的调整对象是( C ) A .商家与消费者之间的服务关系 B .电子商务交易活动中发生的各种社会关系 C .实体社会中的各种商事活动的法律规范 D .企业与员工之间的劳务关系 2.参加电子商务交易的各方可以自行选择交易的方式和内容,这符合电子商务法的( B ) A ...

  • 电子商务合同的法律问题和立法研究
  • 电子商务合同的法律问题和立法研 究 高云 目 录 一 电子商务和立法 (一).电子商务的概念.起源和发展:(二).发展电子商务所面临的法律障碍 二 电子商务合同主体的法律问题 (一).电子签名和数字签名:1.世界各国的立法方案:2.联合国的立法方案:对我国立法模式和内容初探(二).身份认证制度:1. ...

  • 离职短信能否作为证据使用
  • 离职短信能否作为证据使用 本文一起分享日常HR 工作中典型劳动关系短信离职解除劳动关系的案例.员工给公司人事经理的离职短信能作为证据使用吗?案件当事人以手机短信作为证据呈交法院能被支持吗?很多人对此都存在不同理解.笔者以案例分析为基础,同时结合我国审判实践及现有规定,对离职短信解除劳动关系的认定与对 ...

  • 电子商务考试电子商务法律与法规试题及答案三
  • 判断题 1.电子商务法不仅调整交易形式,而且调整交易本身以及交易引起的特殊法律问题,如电子签名问题等.( ) 2.因数据电文具有法律上的证据价值,意味着用数据电文缔结的合同,是合法有效的合同.( ) 3.数字签名是一种基于非对称加密的电子签名,是广义的电子签名.( ) 4.为了确保认证证书来源和内容 ...

  • 电子商务法试题(1)
  • 一.单项选择题(每小题1分) 1.ICP在经营活动中,侵权责任分担的原则是( ) A.无过错责任 B.部分过错责任 C.主观过错责任 D.过错责任 2.我国对非经营性互联网信息服务实行( ) A.许可制度 B.备案制度 C.注册制度 D.登记制度 3.下列不属于要约邀请的是( ) ... A.寄送的 ...

  • 电子商法律基础知识试卷--有答案0408
  • 电大附属职业技术学校2013-2014学年 考试 13级电子商务专业<电子商务法律基础知识> 试 卷 班级:姓名: 一.选择题.(1题2分,共34分) 1.1996年12月联合国国际贸易法委员会制定通过了( C ),为各国电子商务立法提供了一个范本. A <信息技术协议> B ...

  • 2016年[电子商业汇票业务管理办法]
  • 2016年<电子商业汇票业务管理办法> 第一章 总 则 第一条 为规范电子商业汇票业务,保障电子商业汇票活动中当事人的合法权益,促进电子商业汇票业务发展,依据<中华人民共和国中国人民银行法>.<中华人民共和国票据法>.<中华人民共和国电子签名法>.&l ...