那么,私钥持有者应承担多大的责任?根据国内外电子认证机构的通行做法,电子认证机构因自己的原因(如证书信息与用户提交的信息资料不一致,使用户无法正常验证证书状态)导致用户利益受损的,其对所有当事人实体(包括但不限于用户、申请人或信赖方)的合计责任不超过证书适用的责任封顶,而用户应当承担在证书吊销之前所有使用数字证书而造成的责任。各国和地区的法律(如美国犹他州《数字签名法》第309条、马来西亚《数字签名法》第61条、新加坡《电子交易法》第45条、我国香港《电子交易条例》第42条等)也规定,在出现虚假或伪造的数字签名时,如电子认证机构遵守了法律的要求,则对因信赖虚假或伪造的数字签名所导致的任何损失,不承担任何赔偿责任。这意味着,一个因疏忽而遗失了私钥的人应承担无限责任。此种责任分担规则无疑增加了消费者面对巨大损失的负担。有学者对此戏言:“奶奶选取了一个密码,却失去了她的房子。”[1]
电子签名立法能够并且应该实现以下两项目标:一是排除电子商务实际的和可预见的障碍;二是通过建立在线交易当事人所需的“信任”和“可预见性”以实现和促进电子商务良好的公共政策目标。[2]然而,迄今为止,各国的电子签名立法均将重心放在上述第一项目标的实现上,即如何使数据电文、电子合同、电子证据、电子签名等获得法律的认可,而对于上述后一项目标则显得过于轻忽。
我国的《电子签名法》和《电子认证服务管理办法》对未经授权签名情形下的损失分担均未有规定。其中,《电子签名法》第27条仅规定:“电子签名人知悉电子签名制作数据已经失密或者可能已经失密时未及时告知有关各方、并终止使用该电子签名制作数据,未向认证服务提供者提供真实、完整和准确的信息,或者有其他过错,给依赖方、认证服务提供者造成损失的,承担赔偿责任。”但问题是,电子签名人未及时通知的后果是什么?由此造成自己的损失是否应由自己承担全部责任?是否应规定一个通知期限和责任承担限额?
欧盟《电子签名指令》第6条虽然规定了详细的责任规则,但这些规则仅适用于“资格证书”。即电子认证机构对任何合理信赖资格证书的人负责,并对自己无过失负举证责任。但是,通过对各个证书分派一个责任上限,电子认证机构即可限定自己承担的与发放的证书相关的任何责任请求。然而,该条规定对其他人(包括普通电子证书的提供者)的责任没有作出规定,由此亦可得知欧盟的双轨制方法是非常明显的:被规范的高级电子签名证书的提供者面临一种较严格的责任标准,但可得到赔偿数额限制;普通电子签名证书的提供者则根据国家责任规则承担相应的责任。相反,美国《电子签名法》没有触及电子签名的责任问题,唯一的例外是在该法第101条限定了保险代理人和经纪人的责任。[3]根据美国《电子签名法》第101条(j)款的规定,依当事人指示行事的保险代理人和经纪人,以电子记录或电子签名形式订立合同的,在下列情况下,可以不对当事人依合同同意的电子程序中的任何缺陷承担责任:代理人或经纪人没有疏忽大意或故意的侵权行为;代理人或经纪人没有参与该电子程序的开发或确立;代理人或经纪人没有违反该电子程序的行为。
