|
3.担保
认证机构的财产,除了营业所需的设备等财产之外,主要表现在责任担保金方面,即根据其业务的规模和类型,向主管部门提供一定金额的担保。当认证机构因自身的过错,给用户或信赖证书的交易人造成损失时,应以此担保负担赔偿责任。美国尤他州《数字签名法》规定,私营认证机构必须“向主管部门提交适当担保,除非认证机构是政府实体;……”从该法关于债务清偿中看,认证机构提供的担保财产形式,似乎主要是证券担保。此种担保财产形式便于变现、便于保管,但其价值却处于浮动之中,有不稳定的缺点。因此,需要根据年度审计报告,确定是否应当补充担保数额。
4.营业场所
认证机构的营业场所,一般与其业务进行地是一致的。但从业务性质上看,由于认证机构是一种在线信息服务,其场地可完全不在业务开展地,即认证机构可以跨地区,乃至跨国从事业务。是否必须在所开展业务的地区,都设立营业所,是一个值得探讨的问题。从认证机构方面看,不在业务开展地设立营业所,可能会降低成本,但也有不利因素,即用户可能对其利益的保障产生怀疑。从法律辖区的政府部门看,无论是一个国家,还是一个地区,一般都会要求这一营业所的存在,以便对之行使管辖权。美国尤他州的规定是,“在本州保有办公室,或为在本州处理业务成立了登记代理人……”。该方案采取了较灵活的方式,即要求设立营业所为原则,同时,外州认证机构的代表处,可作为在本州从事认证业务的场所来对待。这仅是美国——联邦制国家的情况,如果推而广之,国际性的认证活动,又将如何在营业场地方面进行协调,则是值得考虑的。就《示范法》关于数据电讯的发送与接收的规则来看,营业地,是数据电讯的发送与接收的推定地,其法律意义极其重要,各个法律辖区都不会在认证机构营业场地方面,放弃自己的权利,但是让每个认证机构向所有开展业务的地区都设立营业所,又不经济。笔者也同意,在各国间相互派驻专职或兼职认证机构代表,以便对本国认证机构的业务,再给予官方的认证。这种方式,既能减轻认证机构营业的成本,又可提高认证机构证书的可信度,是未来全球认证体系建立时,所必须进一步研究的问题。
5.信息公告栏
从某种意义上看,认证服务本身是一种以交易人信用为内容的信息服务。所以,信息公告栏的设置与管理极其重要。认证机构必须自备信息公告栏,或加入某一权威的公告栏,以便开展认证业务。这是设立认证机构不可缺少的条件。因为有效用户的名单,数字证书颁发、中止、撤销等重要的信息,都必须发布于其中。
电子公告和日常生活的店堂告示不但在形式上存在着很大的不同,在内容、效力和规范上也有着明显的区别。因为电子公告必须严格遵守CPS所确定的规则及认证合同双方的约定,对认证合同双方有相当的约束效力。笔者认为对于电子公告的方式、公告的信息应当给予法律上的规范。
(四)电子身份认证机构资质的取得的程序
1.申请资质
认证机构应制作认证实务作业基准(CPS),载明认证机构经营或提供电子身份认证服务的相关作业程序,送经主管机关核定后,并将其公布在认证机构设立之公开网站供公众查询,才能对外营业。关于CPS的内容我们下面会详细论述。
美国尤他州《数字签名法》201条第2、3款规定,如果符合了上面所说的5项条件(人员、设备、担保、场所、信息公告栏);向主管部门提交了许可证的书面申请;并支付了要求的规费的,主管部门应当颁发认证机构许可证。
2.审核批准
认证机构获得许可的标志,就是主管部门向符合条件的发起人,颁发认证机构许可证。该许可证是证明其可以从事认证业务的法律文件,其中要明确颁发的机关、证书机构发证数量、及可靠程度(实际是证书等级)的限制范围等事项。其许可证可以明确其范围限制于:A,确定的证书数量;B,确定由认证机构颁发的证书的建议的可靠性,及限制累积的最大额度。如果许可证的范围是有限制的,而认证机构颁发超过许可限制范围的证书,该认证机构的行为就作为未经许可的认证机构对待。
3.获准营业
认证机构获得许可后,便可以按照上级管理机构所许可、授权开展的业务范围和业务等级,利用数字证书为商务活动提供电子身份认证服务。
三、电子身份认证机构的CPS内容
(一)CPS的铨释
对于认证机构的业务声明,从中国目前电子交易市场的发展状况来看,并未进入探讨阶段。
1.认证业务声明(Certificate Practice Statement,简称CPS)是由CA机构对外公告,用来陈述CA机构如何签发数字证书及处理其他认证业务的操作准则(一份政策声明文件),其内容主要包括:说明CA机构的技术、安全措施、数字证书的使用范围、数字证书效期、数字证书注销及中止程序等,认证注销清册、认证注销清册如何公布等信息,提供使用者判别认证机构的专业技术能力及管理能力。认证业务声明可以说是认证机构认证使用人间权利义务规范的重要根据,并作为判别法律责任归属的依据。认证业务声明的概念最先在美国律师公会所制作的《数位签章指导原则》中获得明确阐明。该指导原则中将认证业务声明(CPS)界定为“认证机构用以发出认证的作业准则”,并且在说明中指出:CPS必须尽可能的详尽。这样的设计主要是鉴于对这种新兴高科技产品的运用,应适用如何的规范并不明确,因此透过要求认证机关制作一份关于其业务细节的陈述,一方面可以帮助消费者及信赖数字证书的交易相对人判断认证的适用度及可信赖度,认证机构也可藉此保护自己、并确定它与用户及其他相关人(例如注册机构)间的关系(亦即界定责任)。
然而,单纯要求认证机构制定CPS,在规范上仍有明显不足。首先,这类文件不仅冗长,且内容通常涉及高度技术性。消费者往往缺乏意愿或能力去详细阅读及比较。其次,由于没有相关规范,认证机构可能草率记载无关其利益的部分,或者故意模糊记载某些部分,以争取未来在诉讼上的空间。这样原先预期的效果,便将无法达成。有鉴于此,国际组织中网际网路工程任务小组(IETF)曾发表了一份主要目的在协助CPS撰写者的关于CPS应记载事项的标准。新加坡及香港也已经相继透过法令强制认证机构的CPS应遵循该标准的格式并包含所有其所罗列出的事项,希望藉此帮助参与交易的各方了解应注意的重要事项,通过CPS来比较认证机构所提供服务的优劣。台湾有学者认为单靠这方面的声明明显是否定的。但对于密钥产置过程的规范却没有,所以对于隐私权的保护策略的条款的解释弹性太大,谁来审查和谁来决定合理与否没有相关的规定。至于在法律的适用上,认证实务作业基准在英美法系的应用与大陆法系也有不同。如果将英美的制度直接移植,在法体系的解释上恐怕会产生困难。尤其目前认证使用到底是否由既有的法律加以规范仍有争议时,CPS的法律性质、以CPS为基础的契约关系能否适用民法既有契约类型的规范,都会是相当棘手的问题。如果国家又没有制定安全审查相关标准,那么连要判断认证机构注意义务的程度与范围都会相当困难。在目前法律规范不明的情况下,厂商的CPS中有将因自己员工过失而造成的损害,都列在“概不负责”的项目内。对此,无辜的消费者是否也只有自认倒楣。对于认证使用的规范,是目前各国共同面临到的难题,即便是政府介入管制最严的德国,虽然可能会在电子签章法中特别明定认证机构对于认证使用者需负详细说明的义务,但是仍不免面临“详细说明”如何认定的困难。
|
