电子签名认证机构
就传统手写签名(章)而言,公证无疑是防止虚假签名及其争议的有效手段。同样,如能在电子商务中引入第三方公证服务,则其真实性将得到更有效的保障。此即为前述比较法上的安全认证机构(Certificate Authority),其主要职能在于对公开密钥行使辨别及认证。认证机构法律制度在各国电子签名法中都占有重要地位。
(一)认证机构的设置
安全认证机构的设置主要有两种途径:一种是由政府组建或者由政府授权的机构担任,以政府信用作为担保;另一种则是通过市场的方式建立,在市场竞争中建立信用。前者有利于维护认证机构的权威性,而后者则有利于技术发展和市场竞争。《电子签名法》第16条采用了后一种做法:“电子签名需要第三方认证的,由依法设立的电子认证服务提供者提供认证服务。”为确保认证机构的权威性与公正性,《电子签名法》第18条对于认证结构的市场准入采用了行政许可方式:“从事电子认证服务,应当向国务院信息产业主管部门提出申请,并提交符合本法第十七条规定条件的相关材料。国务院信息产业主管部门接到申请后经依法审查,征求国务院商务主管部门等有关部门的意见后,自接到申请之日起四十五日内作出许可或者不予许可的决定。予以许可的,颁发电子认证许可证书;不予许可的,应当书面通知申请人并告知理由。”基于此,截至2010年5月31日,共有30家认证机构获得了工业和信息化部颁发的服务许可证,市场上有效电子认证证书持有量达到11,423,482张,并且每年还在以50%以上的速度增长。
(二)认证机构的义务与责任
认证机构作为电子签名真实性的确认机构,对交易的顺利进行起着重要作用,因此《电子签名法》对认证机构的义务和责任作了严格规定。其具体包括保证信息真实义务(第21、22条)、及时通知义务(第23条)和保存义务(第24条);违反法律规定时可能承担的责任包括民事责任(第28、32条)、行政责任(第29、30、31条)和刑事责任(第32、33条)。现就其中部分重要问题予以分析。
1、违反个人信息保密义务的民事责任
认证机构因业务需要,掌握着证书持有人的个人信息,如果这些个人信息被恶意利用,无疑会对证书持有人的合法权益造成巨大威胁。对此,许多国家在电子签名立法中都对认证机构的保密义务进行了规定。如新加坡《电子商务指令》第48条规定:“除非为本法下的其他目的,或符合成文法规定的某项指控,或者为执行法院判令,否则,任何在本法规定下有权进入电子记录、书籍、商标、通信、信息、文件或其他材料的人(主要指各认证机构),都不得将其内容泄露给他人。”我国《电子签名法》并未对认证机构的保密义务进行规定,但证书持有人可选择如下两种方式维护自身权益:
一是请求认证机构承担违约责任。《合同法》第60条第2款规定:“当事人应当遵循诚实信用原则,根据合同的性质、目的和交易习惯履行通知、协助、保密等义务。”认证机构作为电子认证服务合同的一方当事人,当然负有对证书持有人的个人信息进行保护的义务。如果其不当使用证书持有人的个人信息,给证书持有人造成了损失,证书持有人可以追究其违约责任。
二是请求认证机构承担侵权责任。《侵权责任法》第2条确认了民事主体广泛民事权益,包括姓名权、名誉权、荣誉权、肖像权、隐私权……等人身、财产权益。如果认证机构对证书持有人个人信息的利用侵犯了证书持有人的上述权利,证书持有人可以依据《侵权责任法》第6条第1款请求认证机构承担过错责任。不过,从诉讼中证明负担和证明标准上看,只要受害人能证明认证机构泄露个人信息的事实,就应当推动认证机构有过错,除非认证机构能够反驳。
2、因认证信息不真实的民事责任
《电子签名法》第28条规定了认证机构的特殊侵权责任:“电子签名人或者电子签名依赖方因依据电子认证服务提供者提供的电子签名认证服务从事民事活动遭受损失,电子认证服务提供者不能证明自己无过错的,承担赔偿责任。”该条使用“过错推定”的归责原则,属于《侵权责任法》第6条第2款规定的过错推定责任之一。如果出现认证信息不实之情形,认证机构只有在证明自己没有过错时,才能免责。这就加强了对电子签名人和电子签名依赖方的保护,起到了促进电子商务交易的作用。比较法上,韩国电子签名法第26条也有类似规定:认证机关因与认证行为有关的活动造成证书持有人及信赖人损失的,应当承担赔偿责任;但是该损害是因不可抗力产生的,可以减轻责任,认证机关能够证明自己无过错的,可以免除责任。
3、责任限制
认证机构对电子签名人或信赖方造成的损失(第28条),不仅包括固有利益的损失,还包括预期利益的损失,而对于预期利益的损失,认证机构往往是难以预料的——一个普通电子签名可能肩负着数额过亿的交易任务,再加上过错推定原则的适用,认证机构可能承担的赔偿数额与其收入完全不成比例。此时如果不对认证机构的赔偿责任进行限制,可能会影响人们设立认证机构的积极性,阻碍认证行业的发展。因此,有国家在电子签名立法中明确对认证机构的责任进行了限制,如新加坡《电子商务指令》第44条、第45条规定,在一定条件下认证机构不承担高于赔偿限额的责任。我们认为,此种模式值得参考。
《电子签名法》对此并没有做出规定,但认证机构仍可通过合同安排限制责任大小。对于电子签名人,认证机构可以在合同中与其约定赔偿限额,也可以根据《合同法》第113条的规定在损失发生时要求缩小赔偿范围:“当事人一方不履行合同义务或者履行合同义务不符合约定,给对方造成损失的,损失赔偿额应当相当于因违约所造成的损失,包括合同履行后可以获得的利益,但不得超过违反合同一方订立合同时预见到或者应当预见到的因违反合同可能造成的损失。”
但是,对于电子签名的信赖方,由于其与认证机构之间并没有合同关系,因此认证机构不能用上述方式限制自己的责任。《电子签名法》中损害赔偿限额规定的缺失,不仅给认证机构带来了巨大经营风险,而且使电子签名人与电子签名的信赖方之间,在所能获得的赔偿数额上出现了巨大的利益失衡,而这种失衡显然缺乏正当性。对此,《电子签名法》有待进一步完善,尤其是应当与《侵权责任法》中其它适用过错推定责任、严格责任情形的责任限制规则相协调。