|
笔者认为,数字证书持有人的权利问题并不是仅依靠CPS的规定便可以实现,毕竟证书持有人的地位处于弱势,虽然在司法实践中有保护弱者权利的趋势。但从CPS的规定中也可以看到对于认证公司很多的免责条款,这些免责条款对于数字证书持有人的权利实现是很大的障碍。CPS中有利于认证公司一方的免责条款必须通过法律来确定和限制,否则无法保证合同的公平原则
(三)数字证书持有人的义务
在认证关系中,证书拥有人是认证机构的客户,是接受认证服务的一方。它除了应履行一般的支付服务费用义务外,还应履行一些与认证服务关系的特性相应的义务。这些义务主要包括以下内容:
1.真实陈述义务。用户申请数字证书时,必须按照认证机构的要求提供正确、真实、详细的身份证明文件与资料,对其身份、地址、营业范围和证书信赖等级等作真实陈述。这是数字证书可信赖性产生的前提。如果失去这一点,整个电子身份认证体系的权威性、可靠性将受到动摇。但是笔者认为为了鉴别身份,发放数字证书的机构严格要求消费者提供相关个人资讯,对于这些资料如何保护与利用是一大问题,尤其当认证机构结束营业时,这些资料的处置会发生资料外泄的问题。
2.密钥保护义务。用户必须依照认证机构的认证业务声明(CPS)、数字证书申请业务声明的要求,妥善安全地保护其密钥,使其处于自己的绝对的独占性控制之下。这一义务,不仅是保护用户自身权益的需要,也是维护证书信誉体系的内在要求。但笔者认为私钥是消费者自行备置的,并且被假设为仅有唯一的一把,只有所有人可以使用,但是消费者本身并没有产置密钥对的技术,并且对于密钥保管的相关知识甚至能力亦不充足,因此,当私钥在产制过程中被复制或在使用过程中遗失、泄漏或被窜改、盗用时,要求消费者全部自行负责或必须负起证明被骇客入侵的责任,都是很困难的。此外,当认证机关本身用来签署数字认证的私钥外泄或被盗用时,更会有数字认证被伪造的问题
3.正确使用义务。用户通过网络以证书方式来保证电子交易的法律效力时(如SET电子商务交易),必须按照认证业务声明(CPS)的规定和要求,依据建议的操作流程,合法且正确地使用私有密钥和数字证书。不得以不当方式使用数字证书,或将数字证书用于非法目的,以及超出数字证书法律效力和使用条件、适用范围、信用等级而滥用数字证书。
4.及时申告义务。当与数字证书相对应的用户私有密钥有遭盗用、冒用、暴露及遗失等不安全的情况发生时,用户必须依照规定,立即向认证机构办理申告,通知其及时采取相应的安全措施。
笔者认为数字认证服务是一新型产业,市场发展尚未成熟,许多风险尚难以分析掌握。现有法律规范存有许多盲点。因此在认证机构、认证用户及信赖认证的交易相对人三者之间的权利义务界定上,具有相当的不确定性,在这样的情形下,认证机构往往会利用契约尽可能的将风险转嫁到经济实力及信息都处于弱势的用户身上。要解决这一问题,还需要在理论和司法实践上进行长期的探索。
五、电子身份认证机构对数字证书信赖者的责任
(一)认证机构与信赖人之间的关系
证书信赖人是指相信数字证书,并以该证书上所确定的证书拥有人为交易对方,而进行交易的当事人。证书信赖人本身可能是,也可能不是认证机构的用户,他与认证机构,要比用户与认证机构之间的关系更为复杂。当证书信赖人不是认证机构的用户时,他与认证机构之间并无服务合同存在。但是,当他利用证书而与证书用户交易时,却又成为了证书服务关系中的对象,并且,认证机构在特定情况下还要对他承担责任。所以,讨论这两者的关系很重要②。
为了理清认证机构与信赖人关系,我们从他们关系的分类来分析
在开放网络环境中,认证机构与证书信赖人之间的关系较呈现为多种形态,其具体情况要以电子商务交易当事人与认证机构的关系而定,大致有以下几种:
1.社区认证服务型。即交易双方当事人均为某认证机构的证书用户。此时,交易双方也同时都是证书信赖人,具有双重身份,并且认证机构并不是交易关系中的直接当事人,而只为其交易提供信用服务。这是一种典型的社区性在线认证服务,也是较为普遍的认证服务形式。此种认证机构与其信赖人(同时都是用户)之间的关系,比较单纯,因为他们与认证机构之间的关系,是以认证服务合同为前提而形成的。需要注意的是,不能因为这类用户本身与认证机构事先存在着信用服务合同关系,就忽视了其作为证书信赖人的地位。他们不仅能以证书用户的身份享有权利,同时,也可以证书信赖人的身份,要求认认证机构履行谨慎从事的义务。另外,其合同的订立,可能是以格式化的表格或认证业务声明中的条款所构成的,与一般的服务合同的定立程序有所区别,应根据其业务运作惯例予以研究、确定。
2.单方证书用户型。当交易一方是认证机构的证书用户,而另一方则不是认证机构的证书用户时,就是笔者所说的“单方用户型认证关系”。此时,非证书用户是证书的信赖人。此种关系,多发生于消费交易,而其中的消费者又没有登记为证书用户的情况。在这种关系中,证书用户(一般为商家)是以服务合同与认证机构建立了信用服务关系。而非证书交易人(一般为未申请证书的消费者),则是典型的证书信赖人,是依照认证机构的特殊职业义务,因交易关系的进行,而与认证机构之间形成了信赖其信用服务的关系。认证机构的特殊职业义务,就是其向社会提供公正的交易信用服务的义务(或称社会责任),是特许的共用企业所应负的职业责任。
3.交叉认证关系。这种情况指交易双方都是认证机构的证书用户,但其证书是由不同的认证机构分别颁发的。此种证书交易关系,可能在本地区发生,而在国际贸易中出现的可能性更大。本地区证书用户者,如持工商银行证书的用户与持中国银行证书的用户进行交易;跨国用户者,如持美国证书的用户与持中国证书的用户进行交易,即属此类。这就是所谓的交叉认证关系。该关系需要由各国或各认证机构之间的交易认证协议来解决,以便相互确认对方证书的有效性。同时,本地认证机构经过交叉认证之后,要替对方的认证机构,对自己的证书用户,负信赖证书的责任。这种关系更为复杂,它涉及到认证机构的外部结构,需要由国际性之间的,或认证机构之间的协议予以协调。
4.非纯粹的认证关系(或称混合认证关系)。所谓非纯粹认证关系,是指认证机构是主营其他服务的,而认证服务只是其衍生业务。譬如,金融机构颁发给其客户的数字证书,同样可用于其他的在线交易认证。有的学者称之为“品牌证书” 。在此种认证关系中,认证机构不是单纯提供数字签名认证服务的,而是在认证服务的同时,也以提供交易辅助条件的形式,参与了证书用户的交易之中。如银行在向用户提供认证服务的同时,还可提供支付、结算等服务。这种混合型认证关系,比单纯的认证服务关系要复杂得多,它涉及到多种法律关系的相互交叉,与相互制约,在分析此类案例时,应注意辨别不同性质的关系,及其规范的适用。
(二)认证机构对数字证书信赖者的责任
|
