|
3.安全及隐私保护原则:为了促进商务交易各方对电子身份证书的信赖,法律应明确规范电子身份机构必须从技术、管理、流程、风险控制等方面构建安全可靠的认证环境,以及电子身份机构队对因安全失误给用户造成的损害依法进行赔偿的责任。电子身份认证机构要求申请者提供的资料,也必须以签发数字证书所需的内容为限,不得要求申请者提供不必要的其它资料以及隐私;在保证电子商务交易正常的公开性和公信力的同时,要保证当事人的个人隐私资料不被泄漏或被用于非法目的;在法律许可的范围内,满足用户进行匿名交易的要求。
4.契约自主原则:本原则由两方面的意思,其一,对于不牵涉国家安全和由其它法律所特殊规定的电子商务行为,应依照契约自主的原则,由交易双方自行选择、决定数字签名和电子身份认证应采用的技术和程序。法律不宜强行干涉交易双方的契约原则,不应硬性规定交易者在交易中必须使用电子身份认证技术进行身份认证,或必须使用某种特定的电子身份认证技术或选择某家认证机构。交易双方按自愿原则,以其共同信赖、共同遵守作为事后相关法律责任的基础,当然也要为自己的自由选择承担法律后果。其二,指认证机构与其证书使用者之间,也可以以契约方式规范双方的权利和义务。真正做到“认证机构契约化”。
5.权责平衡原则:为避免认证机构不至于陷入和承担极大的经营风险,从而阻碍电子身份认证行业的健康发展,也避免使用者预期不需要为保管数字证书的不周而负责,进而疏忽其应尽的管理责任,应在权责平衡原则下,认定认证机构及使用者各应尽的责任与义务。
(二)关于从立法上加强对电子身份认证的监管的建议
建立一套完整的公钥体系,因为如何证明CA机构的证书本身的合法性,必然涉及CA机构和上级CA机构关于用认证机构的私钥签发数字证书的问题。即就认证机构本身的问题提出挑战,因为金字塔式的根CA认证机构的数字证书的合法性问题无法通过技术本身得到解决,只有通过立法来监管。参照国外国家推动公钥基础建设的经验,建立国家总认证机构(Root CA)作为电子身份认证体系最高的信任来源,并办理相关的技术审验业务,做到“国家监管一体化”。
建立一个根CA机构很有必要,因为中国目前的状况是,各部门都成立自己的认证机构,其标准很难统一和确定,稳定性也很有动摇。因此,有必要以一个大家都可接受的标准和机构来承担这一重任。从我国目前的现状来分析,我国的金融认证服务市场已经启动,由中国人民银行支付科技司牵头,工商银行、农业银行、建设银行、交通银行、光大银行等11家商业银行已开始共同建设金融认证中心。该认证中心为各商业银行统一标准,并形成资源共享的合作优势。
笔者认为,认证机构应当在市场经济下运作,但要保证其权威性单靠市场是不足以为取,要制订相关政策来指导其行为,由国务院进行监管应是可取的。
另一个重要问题是为了规范电子身份认证行为,应以国家名义制订有关认证机构基本义务、责任和要求的管理制度,包括签发证书时必须的相应建立的档案、认证机构终止其业务时必须办理的手续、签发数字证书时建立的保密要求,对认证机构的职能的管理办法,以及对认证机构应该具备的技术设备的要求。本作者认为,建立了电子身份认证法律,也有了一套严格的认证体系,没有相应配套的管理体制,也不足以为取。
(三)关于认证机构的责任补救和限制
1.美国尤他州《数字签名法》规定的认证机构责任方案,曾受到多方面的批评。于是,出现了对之进行改良的方案,即适当减少对认证机构责任的限制,从而扩大对信赖人(多为消费者)的保护。华盛顿州的立法,就是这方面的例子。与美国尤他州法不同,华盛顿州立法并没有采用排除“利润,利息,或机会利益的赔偿”的条款。它在两方面比尤他州法有所进步。首先,允许利息包含在赔偿之列,华盛顿州选择了对用户的保护,以免其银行账户被错误的提取。如果银行没有认真检查冒充他人,并得到证书的恶意第三人的信用证,让该人凭此证书从银行提走了款项,认证机构将对该损失,在其证书的可靠限度内负责任。这就为在线银行,营造了比尤他州制度更友好的环境(从消费者的角度)。其二,对于企业来说,通过允许利润与机会利益的赔偿,是一种较好的保护,而这些都曾被排除在美国尤他州法之外。当然,这仅是不同的立法指导思想,在认证机构的具体责任制度上的反映,在其他方面还有许多具体规定的不同。我国中央银行《金融机构安全认证指南》(草案2稿)中,所采取的是限额责任方式。其具体规定为,“无论签署方或可信方的何种权利或义务,对每次证书应用来说,CA不承担50万元人民币以上的任何责任。”与美国尤他州、华盛顿州的限类赔偿方案相比,此方案便于计算,能使当事人预期交易的风险,但它并没有充分体现民商法的等价赔偿原则,可能会产生限制交易额,而增加交易次数的后果。在电子商务的试运行阶段,这种谨慎方法是可取的。随着电子商务广泛纵深的发展,其负面影响将会逐步显露出来。笔者认为这种弊端会导致当事人因为证书的原因造成损失,为了得到赔偿而分次使用证书,会给认证公司带来很多问题。
2.证书责任分配矛盾的化解
(1)考虑到消费者保护的问题,从法律上规定认证机构的责任及其限度是必要的,也是可行的。如果让认证机构以合同形式处理与证书用户之间的风险责任问题,就可能出现极其不利于用户的格式合同,从而损害弱小用户的利益。然而,在线认证机构毕竟是新生的实体,其风险程度,还未能完全预知,并且相应的保险种类也尚未建立。如果令该机构承担过重的责任,将会使认证机构裹足不前,同样也会影响电子商务的发展。这是电子商务立法中难以两全其美的问题。其风险的公平分配,尚有待于电子商务市场的成熟,保险业务的配套,而并不是靠立法者灵感的迸发所能解决的问题。从认证机构与用户对证书的实际应用而言,存在着以合同形式限制自身责任的可能性。VeriSign公司已经建立了三种用户等级,第一等级数字证书赔偿金$100.00US,第二级数字证书$5000.00US,第三级数字证书$100000.00US.
(2)目前许多数字签名法规定公开密钥证书可标明届满日期、姓名、可靠程度、以及其他信息。从技术上如果再加上证书签署事项的限制,用户则可以从以下声明中选择加进其证书中:证书不能用于有效签署一年以上的合同;证书不能用于不动产交易;证书只能用来辨别用户的身份,不能用于签署合同。如果证书可以该种方式限制,可将现有的两种证书签名(签署了或没有)推定,转化按等级评价,使交易的签署只能在证书签名所能支持的具体交易范围进行。这既符合用户的实际需要,从技术上又是可行的,它可以避免简单的是和否的两极推定,使认证机构的责任分配走出两难选择之中,形成证书等级与交易范围相结合的多元化的责任分配体系。
(四) 关于电子身份认证机构的立法模式
有的学者指出,我国市场发育在初步,企业信用较弱,需要政府信用补充和强化,而以行政手段介入新兴的市场也是我国立法的一贯做法,因此主张由完全的市场充分发展和竞争产生CA体系在当前难以展开,而政府的介入是必要的和可预见的。首先应当组建国家级的CA认证中心,负责全国电子身份证书的注册、发放、验证和管理工作,然后,按照统一规则、统一布局的原则,在各行业设立横向的职能认证机构,在各地区设立纵向的分支认证机构,从而形成类似于企业管理中的直线知职能制结构。
|
