|
(3)数字证书管理(Certificates Management)
CA机构的核心业务是数字证书管理,从数字证书的申请、签发、启用、使用,安全稽核到作废、更新,构成了认证机构的全部业务流程,认证机构必须在CPS尽可能地说明和描述执行每个环节的适用条件和程序。这也是数字证书用户在申请数字证书时最关心的内容。数字证书的管理是否科学合理、严密周全、安全可靠和方便快捷,对于用户和证书信赖者进行电子交易的安全性、可靠性及保密性起着至关重要的作用。数字证书管理实际是认证机构提供认证服务的主要承诺和合同要约,除用户应认真核查审阅外,认证机构也必须真实描述,按照承诺条款进行操作,并对每一环节加强安全稽查并保留稽查纪录。
(4)安全措施(Security Control)
为保证用户数据的安全,认证机构的系统设备应置于安全稳固的建筑物内,使用独立的硬件、软件环境,并具备防火、防磁、防潮、防水能力和可靠的温控设备、电源系统、门禁保安系统、监控监视系统和警报系统,并只有经过授权的操作人员才可以进入执行相关操作。认证机构颁发数字证书必须在具备严密性、安全性的操作流程下进行。因此认证机构的工作人员和操作人员,必须选用适任而且职责独立的可信赖人员,严格按照认证机构内部的证书认证操作规范和操作流程实施认证工作。认证机构的工作人员根据不同岗位应具备相应的适用条件和工作经历,并经严格审查后才可上岗录用,工作期间还应接受不间断的培训。
以上各种关系,连同服务费等问题,共同构成了认证服务合同各方主要的法律关系,使明确责任和义务的基本的约束条款并对责任与义务进行了确定性的分配
笔者在此想就认证机构的责任问题谈一些看法,CPS中规定内容有,认证机构对于用户所交付资料的真实性和合法性不负责任。CA机构不保证数字证书的资料或由其所汇编、公布或发行资料的正确、可信、完整、商品性或目的性,及时数字证书的内容完全符合CPS规定,也不承担数字证书所述内容与资料所造成的对他人侵权的任何责任,也不保证任何数字证书或信息的不可否认性。在任何情况下,CA机构所属的认证链内的CA机构与其上级的CA,对所有当事人的责任都规定有责任上限。笔者认为这些规定只是CA机构的单方意思表示,虽然从表面看是绝对的契约自由,用户可以选择放弃。但是,对于用户来说,如果必须进行电子交易,而且必须选择其一CA机构作为其认证机构,那么这些本身对于数字证书信赖方(也可能就是数字证书申请方)不利,而对于CA机构本身有利的责任限制条款对于他来讲显然有失公平性。认证机构的CPS规定的审查义务、机密信息、认证机构的义务及对该义务的限制,在CA机构CPS终止后仍继续有效。这点也很难让人理解。
笔者认为作为数字证书的用户,除了认证机构技术上的先进性和可靠性外,认证机构内部的安全管理措施也是用户关心的重要内容。国外起步较早的认证机构一般在这方面都有比较严格的规定和要求,而我国这一环节还相对滞后并亟待改进。
四、数字证书持有人的权利义务
(一)密钥的法律性质
密钥就是在利用某种加密算法、解密算法对数据进行加密、解密处理所需要的密码参数。在公钥身份认证体系中,密钥分为私有密钥和公有密钥并成对出现。公钥指用以制作和验证数字签名的一组具有配对关系的对外公开用以验证签名者身份及数字证书真伪数字资料。私钥指用以制作和验证数字签名的一組具有配对关系的数字资料,由签名者保管。证书申请人向CA机构申请证书时,CA机构向其颁发唯一对应的一对私钥与公钥,(用户的公钥包含在认证机构签发的数字证书之中)。私钥由证书拥有人个人持有,公钥(数字证书)可公开发行并且其真实性、有效性可通过访问CA机构得到确认。电子商务交易双方可以通过数字证书验证对方的数字签名。
私钥是进行个人数字签名的必要工具,私钥处于拥有人独占和绝对控制之下。公钥是和私钥对应,所有参与者都可访问。除另有约定外,数字证书是认证机构动产,数字证书一般包含版权的通知。而所有CA机构根节点的公钥,都是CA机构的财产。对于私钥来讲,不论私钥以何种媒介存放或保护,私钥都为合法使用或有权使用该密钥的用户动产。CA机构允许依赖方使用值得信赖的硬件或软件来使用该密钥。但笔者认为,从理论方面讲,公钥指令人信赖的信息同时也是财产,从归属方面来讲,是财产,从实用性来讲是信息。但是确定财产的法律性质只要由其归属便很明确,而信息本身的特点就是传播性、易知性。如果公钥是认证机构的财产,则认证机构可以对其财产进行转让,事实是根本不可能,它对于要进行交易的参与者来说,谁都有权访问但谁都不可能通过合法转让的方式据为己有。
对于密钥的法律性质问题还有待于进一步研究。
(二)数字证书持有人的权利
数字证书持有人作为接受CA机构认证服务的一方,根据CPS条款的约定及有关法律规范,享用下述的一般性权利。
1.选择某种认证技术和认证机构的权利。在立法上保持技术中立,具有充足的合理性,并已被多个国家的电子商务法律所肯定。在被法律所认可的的认证技术和认证机构中,数字证书用户有权根据自己和交易伙伴的需要、意愿,根据对各种认证技术和各个认证机构的特点和资质,从中自行选用所信赖的认证服务。
2.对认证服务的知情权。数字证书持有人和认证机构签订认证服务合同后,便自然获得消费者对认证服务的知情权。认证机构有义务向证书持有人公布认证事务准则(CPS)、认证操作流程、认证服务所基于的硬软件架构、数字证书的管理体系和政策、有关安全防范措施等一系列内容和具体细节。除法律所禁止或妨碍他人权利的情况下,认证机构不得阻碍、干涉证书持有人合法的知情权。
3.享有接受CPS所规定的认证服务的权利。无疑这是证书持有人的接受认证服务的唯一目的,也是其应享有的最主要权利。依据CPS和其他事先约定,数字证书用户有权要求认证机构向其提供数字证书的注册、颁发、启用、公布、审核和管理服务,保证证书信赖者可以随时从认证机构准确无误地核实证书持有人的证书及其它有关资料。如数字证书持有人私人密钥出现泄漏,或遭盗用、冒用、伪造或篡改,或者用户不希望继续使用证书,有权要求CA机构按照CPS的规定,立即中止、废除或更新数字证书。用户还有权要求CA机构提供有效的安全防范措施,确保认证服务的安全与可靠。
4.依法享有隐私权不受侵害。用户申请书字证书时,只需向认证机构提供必要的信息和资料,有权拒绝提供其它不必要和无关的信息;认证机构对用户的信息必须妥加管理和使用,不可随意泄漏、散发或用于其它未声明的或非法目的。
5.因认证机构过错而获赔的权利。如认证机构出现故意和重大过失,未按认证事务准则和有关操作规定办理注册和认证证书的颁发、公布、管理、终止和废除等业务,导致用户资料泄漏、被冒用、篡改和任意使用,或认证错误而造成用户损失,用户有权要求其进行赔偿。
6.要求CA机构按照CPS内容遵守其它规定。
|
