|
正如有的学者所说,如何确定认证机构在认证服务关系中的责任,是有关电子商务立法的关键性问题,也是争论的焦点之一。因为它直接关系到认证机构、证书拥有者以及证书信赖人之间的交易风险的分配,是各方当事人乃至立法者都极其关注的问题。
法律责任指因违反合同或者不履行其它义务多应承担的法律后果,认证机构的责任也应当因为认证关系而产生。对于证书信赖人来说,证书责任的基础是认证机构的法定的职业义务。换言之,从事认证服务的证书机构,必须对全社会保证其证书中所载信息的真实与可靠性对社会具有公信力。 对于证书信赖人,上面关于CA机构和他的关系分类只是理论的说法,但就现实的电子交易中,证书信赖人对于拥有人数字签名证书的应在认证机构所建议的可靠程度内给予信任,并以此进行交易是一种选择,还有一种是作为证书信赖人的交易一方,可做出自己的判断,并承担相应的法律后果。第一种情况是最常见的也是参与认证服务关系的各方所期望的,按照CA机构的建议证书信赖者与证书拥有者进行交易,如果由于认证机构或证书用户的过错,而使证书信息不实给证书信赖人造成损失,认证机构和证书拥有者,可能要承担一定的赔偿责任。这是认证信用服务对电子商务交易关系保障的最明显的体现。第二种证书信赖者没有按照CA机构的建议信赖数字证书,则不对超出建议的部分承担责任。笔者认为,依照CA机构的建议来判断各方责任有其不合理性。因为从现实来看,评定数字证书的等级的标准没有统一,而且各行业认证带有明显的主观性。对于数字证书信赖方来说,靠自身了解数字证书的等级显然有一定的难度也许根本就不可行。这一点有待于进一步研究。
有学者认为CA机构和证书信赖者的关系而承担的在除此之外,证书责任的承担,还需具备两个事实要件,即交易的进行和损失的发生,并且其交易额没有超出证书建议的可信程度的范围。但本作者不同意此种观点,因为数字证书可以理解为数字证书拥有者委托CA机构来签发数字证书证实其身份真实性并以期取得数字证书信赖者信任,来保证交易的顺利进行。不管认证机构和数字证书信赖者的关系的分类如何,对于CA机构来讲,本身的义务就是保证证书的真实性,无论数字信赖者是否为CA机构的客户,一旦因为CA机构的消极行为而使数字信赖方失去信赖,那么无论交易的进行和损失的发生都应当承担责任。对于我国现状来说,为了鼓励CA机构制度的蓬勃发展,限制CA机构的责任是可以的,但并不能作为其免责的籍口。
认证机构的责任分配。认证机构的责任限度,实际上是交易风险的具体分配问题,其理论支点主要有两个,即各方当事人利益上的权衡,和公平理念的满足。目前在认证机构责任上,一般采取的是限制责任,如美国尤他州法、新加坡就是如此。但是,也有明显的反对意见,认为这样作会损害消费者的利益,挫伤其参与电子商务的热情,最终将阻碍在线业务的发展。美国尤他州《数字签名法》(第308条)关于“许可之认证机构的责任”的规定,有以下两方面:其一,通过在证书中明确建议的可靠性限制,其颁发者认证机构和接收者用户,建议人们仅在不超过证书的风险总额的限度内交易或对之信赖。其二,除了认证机构违反了法定条件之外,(1)许可之认证机构不对用户的虚假或欺诈的数字签名负责,如果关于该数字签名的虚假或欺诈,认证机构遵守了本法的要求;(2)许可之认证机构不对所颁发的证书中因其虚假陈述或错误而对超过证书中明确建议的可靠性程度的数额负责,并且(3)许可之认证机构不对惩罚或警戒性损害赔偿负责,但州政府的强制性要求除外。需要说明的是,所谓认证机构违反法定条件,是指其没有达到机构设立、自身管理、证书业务等方面的规范。从上述规定可以看出,尤他州法给于完全符合可靠系统的要求规定,以及其他数字签名法规范的认证机构的待遇,是享受有限的责任。并且其责任限制相当宽泛,只要认证机构遵守了《数字签名法》,就不对虚假的或伪造的数字签名负责。然而,这对于内部人欺诈的签名,就等于受到了保护,尽管法律条文上对此点规定得不清楚。认证机构理应对其内部欺诈承担责任,因为它处在避免该欺诈发生的最有利的地位,并且能在发生之后追查预防,将此种交易风险分配给认证机构是最经济与最有效的。关于证书的错误陈述,认证机构只对证书中写明的信赖程度负责。认证机构只对直接损失负赔偿责任:免去了间接损失和惩罚性赔偿;免去了利润,利息,或机会利益的赔偿;也免去了精神痛苦与损害的赔偿。从赔偿范围中排除储蓄利息(它是以个人银行帐号为前提的),对用户特别苛刻,而使用银行交易的消费者,是潜在的最普遍的用户。许多评论家都质疑了尤他州法风险分配方案的正确性。认为它对消费者和非熟练方用户的利益,没有足够的保护,特别是在由于拥有私密钥风险所产生的损失方面。这就要求审查何种措施在要求用户保护其私密钥方面是合理的,以及这些措施的有效性。有些学者建议,可从现行的责任制度中,引伸出许多类推,包括在电子资金传输法(EFTA)中使用的责任分配方案。EFTA与规范E规定:在信用卡和其他涉及金融交易的环境下,由于欺诈而造成的损失,仅仅只能要求消费者承担50美元(只要他们采取了适当的声明措施),相同的责任分配方案,应当在公开密钥机构中采用。然而,大多数学者承认了用于调整机构交易的EFTA,与调整公开密钥活动的法规之间,有许多不同。即使不是完全不同,也应在方法上有所修改。其不同点包括金融机构保险的可利用性(包括联邦保险),以及认证机构对基础交易,既没有相应的控制,也在其中没有利益,而认证机构往往只是提供各种不同应用信息的公共事业,它与具体的交易人之间,不应具有共同的经济的、技术的特征,和风险模式。
公开密钥体系的广泛应用,最终将取决于这些问题如何解决。如果责任风险对于认证机构过高,或不确定,他们将不愿以不合理的成本进入市场提供公开密钥服务。另一方面,如果消费者(即使是熟练的用户)认为电子商务的应用,将使他们承担不可预料的风险,就会等该种风险减少到可接受的程度,才愿意加入进来。
六、余论
电子商务的出现对现有的法律环境提出了新的要求。我国加快制订数字签名和电子身份认证法,通过法律明确和规范这一领域的法律关系显得迫在眉睫。笔者认为,电子身份认证作为保证电子商务安全可靠性的必要手段,有其特殊性和重要意义,应该作为立法保护的重点内容。笔者在本文最后就电子身份认证的立法模式提出以下建议供探讨。
(一)关于电子身份认证立法原则的建议
在电子身份认证的立法中,应该遵循适应电子商务发展需要和符合电子身份认证客观实际的原则,真正有利于规范和促进这一新生事物的发展,具体可以按以下内容分述:
1.技术中立原则:鉴于科学技术的进步日新月异,电子身份认证技术也在不断发展,国家没有必要也不应通过立法限定使用某种特定的认证技术。除了基于公钥加密技术的认证技术外(如X.509规范),任何可以确保资料在传输或储存过程中的完整性、可以鉴别使用者身份的技术,都可被采用,而不得做排他性规定,以避免阻碍其它技术的发展。
2.市场导向原则:除了政府机关按规定可以提供自然人和法人等身份认证服务及其它有关认证外,将由民间主导发展电子商务的认证服务,完全开放民间机构依法经营认证服务。
|
