电子签名认证中的消费者权益保护
刘满达
【摘要】为保护消费者权益,增加电子签名认证的被信赖度,在未经授权签名的情况下,私钥持有者应享有一定的责任限制。在电子认证业务上,电子认证机构应权衡有效的市场营销与清晰的信息通道之间的成本与收益,如因关联单位、黑客攻击、设备或网络故障等造成的技术故障不宜断然作为电子认证机构的免责理由。面对电子认证机构在纠纷发生时的实际举证优势,有必要出台一套有助于提升用户举证地位的简便方案。
【关键词】电子签名;电子认证机构;消费者;权益
【全文】
近十余年来,国际上各主要国家和地区都制定了关于电子签名的法律,而在我国,作为信息化领域里的第一部法律,《电子签名法》自2005年4月1日起施行,与其相配套的《电子认证服务管理办法》也于同日实施。目前国内被批准的电子认证机构达100多家。但问题是,《电子签名法》与《电子认证服务管理办法》已实施近四年,为何我国的电子认证业务仍步履维艰、和者寥寥?除大众认知度不高、B2B市场发展缓慢和技术不成熟等原因外,相关法律机制本身是否也存在某些没有或难以解决的痼疾?法律规则设计的基点并不在于精巧和严密,而是能否给参与者以实际的利益。在目前的电子签名认证机制中,用户在数字证书吊销前承担未经授权签名的所有责任,意思自治原则被法律和电子认证机构所异化,用户在举证上的弱势地位这三个简单而最基本的问题一直未被重视甚至未予提及。本文拟就这些涉及消费者权益保护的法律问题作一探讨,以求教于同仁。
一、未经授权签名情形下的责任分担
电子签名与电子认证是一个问题的两个方面:在电子商务中,双方使用电子签名时,往往需要第三方(电子认证机构)对电子签名人的身份进行认证,向交易对方提供信誉保证。那么,在发生未经授权签名的情形时,该如何进行责任分担,此为电子签名认证中一个最为棘手的问题,尤其在欺诈情况下最为人们所关注。一个欺诈者可能窃取某人的私钥并生成电子文件,而他人则可能基于这种表面上有效的文件与之订立合同从而被骗受损。在这种情形之下,该项损失应由谁承担?对此,我国《电子签名法》第32条仅规定,伪造、冒用、盗用他人的电子签名,构成犯罪的,依法追究刑事责任;给他人造成损失的,依法承担民事责任。在有纸世界中,交易的一方通常不受欺诈性签名的约束。然而,该原则在电子环境中不可能完全适用。因为公钥基础建设(PKI)的完整性依赖于私钥的安全性,如果私钥持有者为该私钥的欺诈使用不承担任何责任,其也许就不会充分维护私钥的安全性。各国的相关立法对此也深有所虑,并予以明确规定,例如马来西亚《数字签名法》第43条、美国犹他州《数字签名法》第305条、我国《电子签名法》第15条等明确规定了私钥持有者的妥善保管义务。
