（经济法学专业论文）电子认证法律问题研究.pdf

中文摘要 电子签名在网络环境下实现了传统手写签名的功能，而对签名人 身份真实性的确认则是通过电子认证来完成的。电子认证在网络贸易 中发挥着维护交易安全的作用。本文着力于探讨电子认证相关的法律 问题，结合各国电子认证立法对认证行为中产生的法律关系和各方的 法律责任进行了比较研究，并我国现行立法提出一些完善意见。 第一章从电子签名和电子认证的关系入手，阐述了电子认证在电 子商务中的安全保障作用。同时对以认证机构和电子证书为核心的认 证制度进行了概述。本章还对目前各国在电子认证立法方面的情况作 了介绍。 第二章明晰了电子认证法律关系的性质，并对电子认证机构与证 书用户以及信赖人三方之间的法律关系作了分析。在此基础上，探讨 了电子认证各方应尽的法律义务。 第三章在探讨了电子认证机构将面临的风险之后，围绕电子认证 中所产生的民事法律责任展开论述。包括电子认证各方的违约责任、 侵权责任，并涉及归责原则的认定。本章最后一节涉及国外立法对电 子认证机构责任限制及法定免责的规定。 第四章着重研究电子认证的市场准入和退出制度。作为跨境服务 的准入问题，对境外证书的承认也纳入到该章节进行讨论。 第五章是对我国电子认证立法的述评，包括对我国电子认证立法 进程的介绍以及电子签名法、电子认证服务管理办法的内容综 述。最后，在前文对各国电子认证立法的比较分析基础上，归纳出我 国新法尚待完善的地方。这是本章的重点，这也是本论文的创新之处。 【关键词】电子认证认证机构电子证书 a b s t r a c t e l e c t r o n i cs i g n a t u r er e a l i z e st h ef u n c t i o no f t r a d i t i o n a ls i g n a t u r ei n n e t w o r k b u tt h ea u t h e n t i c a t i o no f i d e n t i t ys t i l lr e l i e so nan e u t r a lt h i r d p a r t ，t h a t sw h ye l e c t r o n i cc e r t i f i c a t i o np l a y sav e r y i m p o r t a n tr o l ei nt h e p r o t e c t i o n i n s e c u r i t yo ft r a d e o n l i n e t h i sa r t i c l ec o n c e n t r a t e so nt l l e l e g a lp r o b l e m sr e l a t i n gt oe l e c t r o n i cc e r t i f i c a t i o n ，m a k i n gac o m p a r i s o n o nt h e l e g a lr e l a t i o n s h i pa n do b l i g a t i o no fe a c hp a r tt h a to c c u r si n c e r t i f i c a t i o na c t i v i t i e s a c c o r d i n gt ol e g i s l a t i o n so f t h i sf i e l di nd i f f e r e n t c o u n t r i e s a u t h o ra l s o p u t s f o r w a r dh e ro w no p i n i o no nt h e c u r r e n t l e g i s l a t i o no f o u rc o u n t r y s t a r t i n gf r o m t h er e l a t i o nb e t w e e ne l e c t r o n i cs i g n a t u r ea n de l e c t r o n i c c e r t i f i c a t i o n ，c h a p t e ro n es e t sf o r t ht h ef u n c t i o no fe l e c t r o n i cc e r t i f i c a t i o n a sa s e c u r i t yg u a r d i ne - b u s i n e s s t h i s p a r t a l s o g i v e s a g e n e r a i n t r o d u c t i o nt oe l e c t r o n i cc e r t i f i c a t i o ns y s t e ma sw e l la sl e g i s l a t i o n so f t h i sf i e l di no t h e rc o u n t r i e s c h a p t e rt w oc l a r i f i e st h el e g a lc h a r a c t e ro fe l e c t r o n i cc e r t i f i c a t i o n ， a n a l y z i n gt h er e l a t i o n s h i pb e t w e e nc e r t i f i c a t i o na u t h o r i t y , c e r t i f i c a t eu s e r a n d r e l i e r , o nt h eb a s i so f w h i c h ，d i s c u s s i n g t h el e g a lo b l i g a t i o nt h a te a c h p a r ta s s u n l e si ne l e c t r o n i cc e r t i f i c a t i o n i n c h a p t e rt h r e e ，a n a l y s i sw a s m a d eo nt h er i s k sc e r t i f i c a t i o na u t h o r i t y m a yb ec o n f r o n t e dw i t ha n dt h e na u t h o rf o c u s e so nt h ec i v i ll i a b i l i t yi n e l e c t r o n i cc e r t i f i c a t i o ni n c l u d i n gt h eb r e a c ho f c o n t r a c ta n dt o r t t h el a s t s e c t i o no ft h i sp a r ti sa b o u tl i m i ta n d e x e m p t i o n o n l i a b i l i t yr e g u l a t e di n t h ef o r e i g nl e g i s l a t i o n c h a p t e rf o u rs t u d i e st h em a r k e ta d m i t t a n c ea n dr e t r e a t i n gs y s t e mi n e l e c t r o n i cc e r t i f i c a t i o n a si tc o n c e l n st h ea d m i t t a n c eo nc r o s s b o r d e r s e r v i c e s ，t h ep r o b l e m so na c k n o w l e d g e m e n to ff o r e i g nc e r t i f i c a t e sa r e a l s oi n v o l v e di nt h i sc h a p t e r t h el a s t c h a p t e rg i v e sar e v i e w i n go fl a wm a k i n gi no h rc o u n t r y , i n c l u d i n ga no u t l i n eo f e l e c t r o n i cs i g n a t u r e sl a wa n da d m i n i s t r a t i o nr u l e s o ne l e c t r o n i cc e r t i f i c a t i o ns e r v i c e s b a s e do nt h ec o m p a r i s o na n d a n a l y s i s m e n t i o n e da b o v e ，a u t h o rs u m m a r i z e ss o m ep o i n t sw h i c hs h ee x p e c t st o b eu s e f u lf o rt h ei m p r o v e m e n to ft h en e w l y i m p l e m e n t e d l a w k e y w o r d s ie l e c t r o n i cc e r t i f i c a t i o n ，c e r t i f i c a t i o na u t h o r i t y ，e l e c t r o n i c c e r t i f i c a t e 电子认证法律问题研究 日i j吾 电子商务蓬勃发展，虚拟的网络世界带来了无限商机，也带来了一系列的安 全隐患和信任危机。电子商务的安全主要依靠两个方面来解决：一方面是技术， 利用现代加密技术，可以实现信息的保密性和完整性；另一方面则是法律保障 通过对约束当事人的行为，实现事前的规范和事后的救济。 电子签名代替了手写签名，在无纸介质的环境下确认身份，而签名人和其电 子签名之间的关联性和确定性却是这一技术本身无法解决的难题。电子认证的功 能正在于此，以其“中立的第三方”的角色，为交易的双方提供信用的保障，维 护交易的安全。 早在上世纪9 0 年代中期，国际上就开始出现了对电子签字和电子认证的法 律研究，而相关的立法活动也十分迅速。从第一部电子签名立法一1 9 9 5 年荧国 犹他州数字签名法( u t a hd i g i t a ls i g n a t u r ea c t ) 到2 0 0 1 年联合国国际贸 易法委员会( 以下简称贸法会) 审议通过的电子签名示范法，已有数十个国 家在这一领域进行了积极的探索，制订出适合国情的相关立法，赋予电子签名以 法律效力并建立起完整的电子认证制度。 我国的电子签名和电子认证法律研究始于上个世纪末，以张楚先生为代表的 一批学者首先对各国的立法成果进行了介绍，并在他们的多部论著中构架起电子 签名法律体系。我国电子认证立法则稍显滞后。2 0 0 4 年8 月人大决议通过了中 华人民共和国电子签名法，2 0 0 5 年4 月1 日起电子签名法和电子认证服 务管理办法一起正式开始实臆，这标志着我国的电子商务从此实现了有法可依， 而电子认证市场也开始进入规范化运作。 但应注意到，新法当中也有不尽周全之处，比如对电子认证的市场准入、退 出以及对境外电子证书的承认等问题的规定还有待完善。正所谓他山之石，可以 攻玉，本文贯穿了比较分析的研究方法，结合别国的研究和立法成果探讨电子认 证法律问题，以期通过借鉴已有的立法经验，对我国电子认证法律制度和立法的 完善提出一些参考性的意见。 电子认证法律问题研究 第一章电子认证概述 第一节电子签名和电子认证 一、电子签名 在经历上个世纪末互联网短暂的冬天后，电子商务在这个世纪的春天悄然复 苏，并依旧以它那迅猛的速度席卷着全球商业的每个角落，据资料显示，世界电 子贸易从2 0 0 1 年开始，以每年翻一番的速度增长，到2 0 0 3 年，全球通过互联网 进行的贸易总额已达1 2 4 万亿美元，去年更是达到6 5 万亿美元。网络泡沫之 后，中国的电子商务也有了更理性的发展。据c n n i c 统计，目前我国网民已超过 9 4 0 0 万，其中有4 0 7 的网民在年之内有上网购物活动，2 0 0 3 年网上商品销 售总额达2 1 8 5 6 亿元。而我国电子商务的交易总额在2 0 0 4 年达到4 ，4 0 0 亿人民 币。 网上商机无限，在资讯的丰富和交易的快捷上，传统贸易只能望其项背。 交易方式发生了改变，原先基于传统贸易形成的一套交易规则必然不再适应网络 环境。由于交易的双方无法象以往那样在有形合同上手写签名或签章，一种基于 网络的签名技术应运而生，解决了网上身份确认并将签名人与合同内容相关联， 这就是电子签名。所谓电子签名，是指在数据电文中，以电子形式所含、所附或 者在逻辑上与数据电文有联系的数据，它可以用于鉴别与数据电文有关的签字人 和表明此人认可该数据电文所含的信息。只要达到鉴别等功能的电子方法，都可 以叫做电子签名。较常见的电子签名有数字签名、生物签名等。但由于生物签名 成本较高。尚局限在某些保密性要求较高的部门，数字签名仍是目前国际上应用 最广的一种签名技术。 数字签名又称为非对称加密技术。在非对称加密体系中，密钥被分解成一对， 一个密钥对外公开，称为公共密钥( 即公钥) ，另一个仅持有人知道，称为私人 密钥( 即私钥) ；公钥和私钥互不相同，用公钥加密的信息须用私钥才能解密， 反之用私钥加密的信息须用公钥才能解密，并且不能根据一个密钥来推算得出另 一个密钥。这样，每个用户只需要一对密钥，就可以实现与成百上千的网上用户 的保密通信。利用非对称加密技术及其它一些辅助技术对数据电文加密的结果就 是数字签名。数字签名能确认以下两点：( 1 ) 信息确实是由签名人发送的，即确 认对方的身份，防假冒，防抵赖；( 2 ) 信息自签发后到收到为止未曾做过任何修 中国c n n i c 统计结果，h l l p ：w w w c n n i c n e t c n j d o w n l o a d 2 0 0 5 2 0 0 5 0 1 1 8 0 1 p d f , 2 0 0 5 年2 月访问 电子认证法律问题研究 改，保证信息的完整性、防篡改性。 二、电子认证和电子签名的关系 电子签名。解决了网上身份识别的问题，但交易双方凭什么信赖对方的签名 呢? 这就涉及到一个认证问题。美国律师协会的数字签名指南对认证作如下 描述：“认证是一种用于确定一个人的身份或特定信息真实性的程序。对于一个 电文，认证设计确定其来源及确定其在传送中没有被修改或替换。”。电子认证或 称为安全电子认证，是指由特定的机构以加密技术为基础，以电子签名、电子证 书、数字摘要等为手段，对电子签名及其签名人身份的真实性、文件的真实性与 完整性的确认提供具有法律意义的服务。在网络交易中，电子认证扮演着特殊的 角色和地位，它保守交易双方的秘密，并对密钥的真实性进行鉴别。其目的是保 障交易的可信和安全，手段是验证交易各方的身份、交易信息内容的完整和不可 抵赖。 电子签名从技术手段上对签名人的身份作出了确认，是一种技术手段上的， 工具性的保障，重要用于数据电文本身的安全，使它不被否认或篡改。法律规范 对之加以调整，重要表现在对符合签名基本功能的电子签名技术予以认定，从而 确立其法律效力，这实际上是对技术标准的认定。而如何解决公钥的确定性以及 私钥持有者否认签发文件的可能性问题，则是电子签名技术本身无法解决的问 题。也就是说，其中有一个解决私钥持有人信用度的问题，其中有两种情况：一 是密钥持有人主观恶意，有意否认自己的行为：二是客观原因，也即发生密钥丢 失、被窃或被解密的情况，使发件人和受件人很难解释归责问题。对应的相类似 的问题在传统的交易中也存在，就是在传统的签名或盖章的使用中，为了防止签 名或盖章的一方提供伪造虚假或被篡改的签名或盖章，或者防止发送人以各种理 由否认该签名或盖章为其本人所为。一些国家或地区采用通过具有权威性公信力 的授权机关对某印章提前备案，并提供验证证明的方式，防止抵赖或伪造等情形 发生。整个电子交易的过程中也就需要一个既有权威性和公信力的第三方制作的 电子签名以正式交易当事人的身份和电予信息的真实性、完整性和不被否认性， 这就是电子认证存在的必要性。电子认证已经成为开放性电子商务活动中不可缺 少的一环，为网络交易提供信用服务，保障电子商务的安全。 刘满达电子商务法律制度专题研讨一数字签名的法律思考 j 法学，2 0 0 0 ，1 2 为行文统一，下文所提及电子签名，若无特别说明，皆指数字签名。 张楚美国电子商务法评析 j 法律科学( 西北政法学院学报) ，2 0 0 0 ，2 电子认证法律问题研究 第二节电子认证制度 电子认证从广义上来说，是包括认证机构( c e r t i f i c a t i o na u t h e n t i c a t i o n , ， c a ) 、电子认证行为和电子证书在内的一套法律制度。电子认证行为是指由认证 机构采用电子方法以证明电子签名持有人真实身份或电子信息真实的行为，通 常，这一电子方法是通过电子证书来得以实现的。 一、电子认证机构的定义及特征 认证机构( c e r t i f i c a t i o na u t h o r i t y ，c a ) 是签发电子证书的中心，也即 交易双方信赖的第三方，如美国的v e r i s i g n ，u n i t e ds t a t e sp o s t a ls e r v i c e ， i b m w o r l dr e g i s t r yb e l s i g n ；加拿大的c a n a d ap o s tc o r p o r a t i o n ；瑞士的s w i s s k e yd i g i t a li dc e r t i f i c a t i o na u t h o r i t y 等；我国现有几十家电子认证机构， 遍布上海、广东、黑龙江、海南、湖北、北京等省份和大中型城市，其中包括上 海市电子商务安全证书管理中心有限公司、北京的国富安电子商务安全认证中心 及广东省电子商务认证中心等。另外，各大商业银行在开展网上银行业务时也会 颁发相应的电子证书。 联合国贸易法委员会在其电子签名示范法第一条定义中规定：“认证服 务提供商是指从事颁发证书或从事与电子签名相关活动的人。”。在美国犹他 州数字签名法中，将之定义为“颁布证书之人”。而在犹他州认证政策 中将认证机构定义为“由公司商业司授予执照而进行认证发布活动的机构。”德 国多元媒体法中第三章数字签名法对认证机构的定义为：“本法所称认证 机构，为能证明公开密钥与自然人之间之配属关系、并持有第四条规定之许可 之法人或自然人。” 认证机构在电子商务中具有特殊的地位。它是为了从根本上 保障电子商务活动顺利进行而设立的，主要是解决电子商务活动中交易参与各方 身份的认定，维护交易活动的安全。例如，某客户与商家签订电子合同，客户在 杜颖电子认证制度刍议【j 】当代法学，2 0 0 2 ，5 胡红钢中胃p k i 的现状及面临的问腿h a p ，舳w m i 廿u s c o m c 1 1 ，r e s 。u r c e s ，s p e c j a l i s t ，l l h g - o j a s p - 2 0 0 5 年i 月访问。 “c e r t i f i c a t i o ns e r v i c ep m v l d e rm e a n s a p e r s o n t h a ti s s u e sc e r t i f i c a t e sa n dm a yp r o v i d eo t h e rs e r v i c e sr e l a t e dt o e l e c u o n i cs i g n a t u r e s ：u n c i t r a lm o d e ll a wo ne l e c t r o n i cs i g n a t u r e sa t ：h t t p ：w w w u n c i w a lo r e n i n d e x h u n v i s i t , 耐i nj a n 2 0 0 1 3 “c e r t i f i c a t i o n a u t h o r i t y m c a i l $ a p e r s o n w h o i s s u e sac e r t i f i c a t e ”u t a h d i g i t a l s i g n a t u r e s a c t , a t ： h t t p j w w w 1 c s t a t e u t u s - - c o d e t i t l e 4 6 h i m 4 60 ) 2 0 1 i h u n ，v i s i t e d i n a p r i l , 2 0 0 3 阈凯力，张楚外国电子签名法咖北京邮电大学出版社，2 0 0 0 ，1 2 1 台】万以娴电子箍章法律问题研究 m 】人民法院出版社2 0 0 0 1 3 7 电子认证法律问题研究 公开媒体上取得了商家的公开密钥，但客户无法确定该密钥是否就是由该商家发 出，于是客户请求认证机构对商家认证，在对商家进行调查、验证和鉴别后，将 包含该商家公钥的证书传给客户。同样，商家也可以对客户进行验证。据此，信 息的接受者可以验证信息发出者的身份。 电子认证机构应当具备以下特性： ( 一) 权威性 一个认证机构必须具有权威性，否则其验证之电子签名或载有电子签名之文 件将毫无公信力而言。此权威性可来自两方面：一是来自认证机构本身之服务水 平，真正能够提供客户值得信赖的认证机构，必可在运作中逐步树立自身之权威 性。其次，系来自认证机构所处之地位，譬如私人认证机构，地方政府的认证机 构，行业认证机构或国家认证机构所处的地位不同，从而自然具有不同之权威性。 ( 二) 真实性 认证机构之职责在于提供客户信赖为真实之信息，故所提供的各类信息，必 须真实、准确、完整、可靠，且应遵守法律及行业守则，严禁为客户提供虚假信 息行为。 ( 三) 安全性 人们之所以信赖认证机构，主要原因之一即在于认证机构之安全性，若无安 全性，何来信赖之根据呢? 认证机构之安全性的最大保障与最重要之基准，即在 于是否采用相当程度的安全技术及配套设备。如此，方能防范对认证系统及资料 之非法存取或入侵。 ( 四) 隐密性 认证机构掌握了众多授权个人或实体之隐私或机密资料，从职业守则而言， 原有保密之职责，故认证机构工作人员应当具有良好之职业道德，忠于职守，保 证信息不被泄露给任何非授权个人或实体。同时，认证机构应当配备完善之安全 设备，有效地防范黑客之非法入侵等。 二、电子证书 电子证书是由认证机构签发的数据电文或相关记录以确认持有特定密钥者 身份的文件，是电子商务安全体系的核心，用途是利用公共密钥系统来保护与验 证公众的密钥。电子证书是认证机构对证书用户服务的内容，更是信赖人借以信 张楚 乜子商务法初论【m 】中国政法大学出版社- 2 0 0 0 ，7 8 电子认i j f ! 法律问题研究 任证书用户的凭证，所以，对由于电子证书的规范管理显得尤为重要。 ( 一) 证书之签发和查询 认证机构应负责接收、验收用户( 包括下级机构和最终用户) 对证书的申请， 将申请的内容进行备案，并根据申请的内容确定是否受理该证书之申请。证书用 户向认证机构申请证书时，应提交自己的有效证件，经认证机构对申请者所提供 的信息进行验证，然后通过向其签发电子证书( 证书包含了用户的姓名等信息和 他的公钥) ，以此作为网上证明自己身份的依据，保证网上交易的安全性。 证书签发实际上就是用认证机构的私钥对证书申请签名；证书以认证机构的 私钥签名以后，发送到目录服务器供用户下载和查询。认证机构通过向其用户提 供可靠的目录，保证证号上用户名称与公钥是正确的，从而解决可能的欺诈问题： 如果甲、乙均为用户，则认证机构的在线目录，将会同时包括二者的证书。该证 书之内容包括用户姓名、公钥密码、电子邮件地址以及其他信息的数字化文件。 证书的查询可以分两类：一是证书申请的查询，认证机构根据用户的查询请 求，返回当前用户证书申请的处理过程：二是用户证书的查询，这类查询由目录 服务器来完成，目录服务器根据用户的请求返回适当的证书。 ( 二) 证书的更新和中止 为了增加安全度，给证书规定一个有限期限是必要的，但应知证书使用的时 间越长，其风险就越大，为了尽量减少用户业务之中断，在原证书之期限届满之 前，认证机构会定期检查证书的有效期限，定期更新所有用户的证书，或者根据 用户的请求而更新用户的证书。 在某些时候，是否应该中止一份证书并不是可以黑自立判有绝对的答案的。 举例而言，如果一间银行作为其客户的认证机构，而该银行的自动监控系统探测 到某一特定客户的帐户有可疑的活动可能系客户的私钥有问题，在此情况下， 银行可能并不希望“废止”该客户之证书，以免事后发现其实该可疑情况并非属 实时，必须进行原属不必要的重新发证的手续过程且对客户关系不利。然而，该 证书的潜在使用者必须被告知有特殊情况，因为他们可能必须就信赖该证书而承 担相应的责任。为了解决上述不欲废止的情况，于是认证机制中有此项“中止” 之机制。在证书废止目录上可以额外的栏目填入“中止”的证书编号，如此，如 需废止时可以随时转入废止，或该项“中止”记录可完全由证书废止目录中删除。 ( 三) 证书的废止 证书作废处理系统同日常生活中的各种证件一样，证书在认证机构为其签发 6 电予认证法律问题研究 的有效期内也可能需要废止，例如，某公司的职员甲辞职离开公司，这就需要终 止甲的证书的期限。因此，认证机构应发布并维护证书废止目录，以供证书使用 者备查。 证书之废止有几种不同的情况。譬如，当用户的私钥由于泄露等原因造成申 请废止证书时，用户需要向认证机构提出证书废止的请求，认证机构根据用户的 请求确定是否将该证书废止。或者是证书已经过了有效期，认证机构自动将该证 书废止。此外，即使是证书在有效期内亦有可能由于某种原因而需要废止。 ( 四) 证书的归档 为了安全起见，必须规定证书有一个有效日期，证书过了有效期之后行将废 止。一份未将废止的证书之有效期对证书使用者而言，可以蒲以推定该有效期内： 1 、公钥系依据其被指定之日的而有效使用； 2 、公钥与其他载于证书内之信息之约束力是有效的： 3 、认证机构将会公布废止通知。 通常，证书使用的时期越长，因为密码长期未经更换，其私钥的风险就越大， 事实上，密钥对应该经常定期被更新。为了尽量减少用户业务的中断，在原证书 到期时，更换的新证书必须立即颁发。但是必须特别留意的是，绝对不能将废止 之证书随意丢弃，因为我们或许必须不时对以前的某个交易过程中产生的签名进 行验证，此时就需要查询废止的证书。基于这类考虑，认证机构还应当具备管理 证书和废止私钥的功能，即在业务上对证书进行归档。 电子证书可以看作是网上的身份证，这张身份证为远隔千里的交易参与者架 起了信用的桥梁，使得交易的双方可以放心的开展网上的远程商务。然而，如果 证书所提供的身份信息不可靠的话，很多依赖该证书而与证书拥有人开展电子交 易的当事人就会蒙受重大损失，交易安全将得不到保障。因此，电子认证机构不 能随便地发放证书。在确保认证机构在签发证书时慎重行事以确保证书信息可靠 性上，现有的电子商务法中有以下两种做法：一种是明确规定电子认证机构只有 在符合一定条件时才能签发证书，比如新加坡的电子交易法、美国犹他州 数字签名法以及德国数字签名法实施条例。 另一种是不规定签发证书的法定条件，但规定认证机构承担向证书信赖人保 证证书信息真实可靠性的义务以及相应的损害赔偿责任，比如联合国电子签名 示范法以及欧盟电子签名指令。 郑成思，薛虹电子商务法律制度专题研讨- 备国电子商务立法状况【j 1 法学2 0 0 0 ，i 2 同上 7 电子认证法律村题研究 以上立法，前一种是采用公法手段来确保电子交易安全，后者则是采用私法 手段来达到同一目的。采用私法手段对维护电子交易安全当然也能起到一定作 用：认证机构为了避免日后因证书信息不真实而承担损害赔偿责任，在颁发证书 时就会谨慎，然而，证书的使用在一定程度上涉及公共利益，完全依靠私法手段 对当事人进行事后救济是无法充分保障交易安全的。因此，应该是公法手段和私 法手段并用，在规定电子认证机构对证书信息不真实承担损害赔偿责任的同时， 规定证书颁发的法定条件，并强制认证机构遵守。 第三节各国电子认证立法概况 早在上世纪9 0 年代中期，国际上就开始出现了对电子签字和电子认证的法 律研究，而相关的立法活动也十分迅速。由于电子认证是基于电子签名产生的服 务，一般关于电子认证的法律规定都作为一个重要组成部分而存在于各国的电子 签名法当中。 一、海外主要国家电子认证立法 ( 一) 美国 美国于1 9 9 5 年通过了世界第一部电子签名法犹他州数字签名法。犹 他州数字签名法对认证机构的许可资格和条件、主管部门的管理职责、认证机 构应披露的义务都作了详尽的规定。认证机构主管机关对认证机构拥有较大行政 管理及行政处罚权。该法规定，认证机构( 无论是否经过核准) 不得以对其用户 造成不合理损失风险的方式经营业务，否则主管机关将该认证机构的行为公告周 知。 之后，各州陆续颁布的电子认证法案有：佛罗里达州的电子签名法( 1 9 9 6 年) ，伊利诺斯州的电子商务安全法( 1 9 9 7 年) ，明尼苏打州的电子认证法 ( 1 9 9 6 年) ，密西西比卅i 的数字签名法( 1 9 9 7 年) ，密苏里州的数字签名法 ( 1 9 9 8 年) ，纽约州的电子签名与记录法( 1 9 9 9 年) ，北卡罗莱纳州的电子 商务法( 1 9 9 8 年) ，俄勒冈州的电子签名法( 1 9 9 7 年) ，宾夕法尼亚州的电 子交易法( 1 9 9 9 年) ，犹他州的数字签名法( 1 9 9 5 年) ，华盛顿州的电子 认证法( 1 9 9 6 年) ，西弗击尼亚州的电子签名认证法( 1 9 9 8 年) ，这些法案 里都详细、具体地规定了认证机构的责任。 由美国律师协会科技部资讯安全委员会制定的数字签名指南( 以下简称 电子认证法律问题研究 为指南) ，于1 9 9 6 年8 月1 日公布，是一套规定电子签名有关法律事宜的统 一准则。其分为五大部分，分别对电子签名之相关名词定义、总则、认证机构、 证书注册者及证书验证者及电子签名作出了规定。关于认证机构，指南指出： 质量保障是选择及利用认证机构的最主要关注点。政府规章、专业鉴定、贸易惯 例、核查和过失错误及疏忽责任都是在认证机构惯例中保障质量手段的例子。 ( 二) 德国 德国于1 9 9 7 年6 月1 3 通过，同年8 月1 日生效之资讯服务与通讯法， 该法亦被称为多元媒体法。该法系世界上第一部对于网络应用与行为规范提 出综合性单一法律架构的成文规范，包括电信服务使用法、电信服务信息保护法 及数字签名法。其中，数字签名法规定了认证机构的设立条件和主要任务， 对认证机构的实行许可制，并就主管机关对认证机构的管理及行政处罚作出了规 定。 此外，德国联邦政府于1 9 9 7 年9 月1 1 日根提出了电子签名法相关的数字 签名法条例草案，其目的在于提供认证机构，相关电子签名程序及安全程序的 技术目录，以非强制性方式协助认证机构及使用者能依循1 9 9 7 年所通过之数 字签名法。 ( 三) 马来西亚 马来西亚于1 9 9 7 年通过了数字签名法，该法承认数字签名的法律效力， 要求认证机构必须持有许可证，方可从事营业。为了全面推广电子商务、实施数 字签名法，马来西亚于1 9 9 7 年1 2 月，宣布由政府全资拥有的非盈利性开发与 研究公司“伯哈德”作为最先设立的公开密钥认证机构正式运营，颁发电子证书， 以利于安全电子交易的进行。 ( 四) 新加坡 新加坡于1 9 9 8 年通过了新加坡电子交易法，1 9 9 9 年通过了新加坡电 子交易( 认证机构) 规则和新加坡认证机构安全方针。该国电子交易法 规定了认证机构及其限定性责任；认证机构的许可证由指定的管理机关颁发，可 以自愿申请；由取得许可的认证机构核发的认证证书，具有较强的证据效力。电 子交易( 认证机构) 规则授权成立了认证机构管理署，而国家计算机委员会是 认证机构管理署的主管机关。该规则还规定了认证机构的内部管理结构、评估标 准、申请费用、证书的证据推定效力以及限定性责任等，其目的是在新加坡建立 一个符合国际水准的市场型认证服务体系。 电子认证法律问题研究 二、国际组织的电子认证立法 ( 一) 联合国国际贸易法委员会( 以下简称贸法会) 1 9 9 6 年联合国贸法会的电子商务示范法为世界各国的电子商务法奠定 了基本原则。该法采用功能等同法，赋予数据电文与纸面合同同等的法律效力， 并对数据电文签字作了原则性规定。之后，联合国一直探索解决障碍电子交易形 式推广和应用的基础性问题电子签名的安全性、可靠性以及真实性问题，并 最终于2 0 0 1 年初颁布了电子签字示范法，对电子签名、认证证书及认证机构 等作了规范。 ( 二) 欧盟 欧盟于1 9 9 9 年i 1 月3 0 日通过了关于建立电子签名共同法律框架指令 ( 以下简称电子签名指令) ，同年1 2 月1 3 日由欧盟向成员公布。电子签名 指令旨在为电子签名以及认证机构的认证服务创设一个法律架构，以确保共同 市场内电子商务有序化。在认证机构的主管方面，设置电子签名委员会 ( e l e c t r o n i c s i g n a t u r ec o m m i t ) ，负责监管电子认证机构及维护电子认证市场 的秩序。值得注意的是，为鼓励认证机构之发展，电子签名指令规定各成员 国不得以法令规范认证机构需经事前许可。另外电子签名指令对电子认证机 构准入、电子认证服务管理的国际协调也都进行了规定。 电子认证法律问题研究 第二章电子认证基本法律问题 第一节基于电子认证所产生的各方之间的法律关系 一、电子认证法律关系的性质 在电子认证关系中，签名人要向认证机构提出申请、提供所需的资料并交费， 而认证机构则遵循一定的程序对申请资料进行审核，对符合条件的申请者颁发电 子证书并对证书进行管理。对这样一种关系的定性，目前学者们主要提出了多种 学说，下面分别加以介绍并提出笔者自己的观点。 ( 一) 信托关系说 该种观点是从英美法理论出发的，其着眼点主要在于认证机构对证书用户应 负的注意义务。但其缺陷是未能照顾到认证机构对证书信赖人所负的、公正地发 布信用信息的义务。认证机构虽然并未接收证书信赖人的服务报酬，却同样要负 起诚实发布信息的义务。换言之，认证机构对那些不是委托人或受益人的信赖人， 也负有义务。从信托关系说角度，难以解释这一点。而且，从实际交易看，认 证机构并不参与在线用户电子签名交易之中，即它们不是这种交易的当事人，也 没有参与签名或该信息的通讯。因此，笔者认为。认证机构与证书用户之间不存 在信托关系。 ( 二) 专业信用服务说 认证机构与证书信赖方之间有可能并不存在服务合同关系，那么其间是以何 种法律关系为基础而产生权利义务的呢? 认证业务属专业化的商业信誉方面的 服务，如同医生对病人，他们都负有职业上的特殊的义务，医生对于需要急救的 病人，虽然事先未曾建立服务合同关系，但必须立即进行救治，履行职业上的义 务，此种职业上的义务，实际上是一种社会责任。认证机构对于信赖证书的交易 人，应承担公正信息发布义务，而不因未接收其服务报酬，而偏袒与之建立了服 务合同关系的证书用户一方。任何一个认证机构都应当知道。证书信息的公正性， 是其业务存在的根本条件，舍弃此点，该机构就没有必要存在。 ( 三) 认证合同关系说 笔者认为，认证关系是民商事法律关系中的基本的一种，根本上说是一种新 的合同关系，其基本构成是认证机构与签名者之间的权利、义务关系；认证机构 同时还要向广大的信赖方承担义务，这在表面上是法律的硬性规定，是法定义务， 电子认证法律问题研究 但根源还是在签名方在付费获取电子证书时与认证机构间达成的一种不言而喻 的共识，即电子证书是证书用户信用的证明，会促成其交易的成功并增加交易的 机会。基于这一点，证书用户愿意向认证机构支付费用，而这正是认证机构向信 赖方负责的经济根源。 二、电子认证各方之间的法律关系 ( 一) 电子认证机构与证书用户之间的法律关系 签名人为使其签名为他人所接受，需要向认证机构为其电子签名提出认证申 请，因此认证机构必须对于签名人之真实性加以确认，签名人应向认证机构保证 其所提供之身份证明资料的真实性，同时提出证据证明其为电子签名合法拥有 者。在认证机构接受申请之后，签名人就成了证书用户，与认证机构之间形成了 合同关系。 从保障电子商务安全的角度而言，认证机构介入交易关系是必不可少的，鉴 于其地位的特殊性，法律对认证机构和证书用户之间的关系作了较多的干预，双 方的权利义务有很多强制性条款，但这并不意味着这不是合同关系。双方的法律 地位是平等的，是否需要订立合同，其内容如何，均由当事人协商确定。法律的 强制性规定体现了2 0 世纪以来公法对契约自由的渗透，但尚未改变合同的本质。 当事人的合同关系表现在电子证书上。当事人在线或离线申请证书，认证机 构允诺，合同即成立。合同的标的是认证机构的服务行为，双方的权利义务载明 在电子证书上，因此，证书本身虽不是合同，但它是合同存在的证明。 认证机构应向证书用户保证其所核发之电子证书台乎合同的宗旨，且未超越 证书用户授权范围。以美国犹他州数字签名法之规定为例，认证机构于证书 效力中止或有任何影响证书可信度之事由时，有义务立即通知申请人。 ( - - ) 电子认证机构与证书信赖人之间的法律关系 证书信赖人是指信赖证书所载的信息真实从而与证书持有人进行交易的人。 认证机构与证书信赖人之间是何种关系，有多种说法。笔者认为，认证机构和证 书信赖人之间应是利益信赖关系，这种关系的基础源于法律的规定，而非当事人 的约定。 由于网络贸易当事人的虚拟性，使得双方无法有足够的了解，任何一方的信 息均由自己提供，其真实性如何，不得而知。在安全的电子商务中，为达成交易 所需，有独立的认证机构为当事人提供交易之必要的了解是极其重要的，否则交 电子认证法律问题研究 易的信心与安全均无法建立。因此，认证机构在虚拟社会的电子商务信用体系中 起到了核心的作用。基于这样的情况，法律规定认证机构的某些法定义务须及于 从事电子商务交易的信赖人。而且，电予证书是由证书用户自行于发送数据电文 时始附加于文件之上，信赖人并未与认证机构订立任何合同，其双方的法律关系 只有靠法律加以规范。 如此，认证机构对交易第三人因为信赖其所核发之证书所遭受之损害承担赔 偿责任，必须依侵权行为之法则来判定。关于这一点，会在下章节另行探讨， 在此不作赘述。 ( 三) 电子证书用户与信赖人之间的法律关系 电子证书用户和信赖人是网上交易的直接参与者，是有着合同关系的买卖双 方。电子认证机构签发证书的时候并没有涉及具体的交易对象和交易内容，但证 书却是交易成立的前提，因为信赖人正是基于证书的存在才信任对方并与之签订 买卖合同的。所以看似证书用户和信赖人发生的法律关系已经脱离了认证环节， 但一旦证书用户或信赖人因证书信息的错误或遗漏而造成损失，在认证机构有过 错的情况下，都可以向认证机构追偿。 第二节电子认证各方当事人的权利义务分析 一、电子认证机构的权利和义务 ( 一) 认证机构的权利主要体现在以下三个方面： 1 、要求申请人提供真实资料的权利 认证机构有权要求证书用户提供姓名、身份证、联系方式，通信地址等资料， 认证机构在遵循合法程序的条件下有权地上述内容进行调查、审核。 2 、收取费用的权利 认证机构提供的是有偿的服务，收取合理的费用是其应有的权利。 3 、求偿权 证书使用人或信赖人的违约行为给认证机构造成损失的，有权要求赔偿。 ( 二) 认证机构的义务包括： l 、信息披露义务 鉴于认证机构的公信力和其信用服务，认证机构应当向全社会公开其从业资 格、其重要的业务记录，以便受到公众的监督并获得公众的协作。一般而言，认 证机构信息披露的内容应包括：认证机构根证书的说明：用户的公钥；作废证书 电予认证法律问题研究 名单；认证业务说明：认证机构作为公司登记时应公开的有关记录；其他任何影 响证书安全性能或认证机构服务能力的事实。 美国犹他州数字签名法中规定认证机构应披露的内容包括：( 1 ) 认证机 构的名称、地址和电话号码；( 2 ) 认证机构的标识名称：( 3 ) 认证机构现行的公 开密钥；( 4 ) 根据最近认证机构活动所作业务审计结果对认证所作归类，以及审 计的日期；( 5 ) 认证机构的证书在许可后被撤销的，应包括该撤销证书中包含的 公开密钥、撤销日期和撤销理由：( 6 ) 认证机构的适当的保证金额：( 7 ) 认证机 构的许可证被撤销了或被中止的，应包括撤销或中止的日期和理由i ( 8 ) 认证机 构许可上具有限制的，应包括该限制；( 9 ) 任何实质影响认证机构开展业务能力 的活动或事件，任何实质影响主管部门提供或承认的储存库里列举十个以上证书 的有效性的活动或事件；( 1 0 ) 证书含有用于确认个或多个由认证机构所颁发 证书真实性公开密钥，且该证书被撤销或正处于中止状态时，该包括该证书的撤 销或中止时间；( 1 1 ) 认证机构按主管部门的规章要求形式提交声明的，应包括 当前日期一年以前迄今，包括额外规章或政策，且长度不超过两千字节的声明； 以及：( a ) 主管部门要求的其他信息；( b ) 主管部门应在其公告栏中保持电子数 据库，包含根据本条规定的，对每一个许可之认证机构的信息披露。 联合国电子签字示范法第9 条也规定了认证机构应该提供合理的查证途 径，使对方能够