由于电子签名的责任问题悬而未决,欧美的相关法律也没有提供一个特别有助于促进电子签名使用的法律框架。欧盟《电子签名指令》所设计的上述双轨制方法,为欧洲的电子签名服务提供者制造了一个待遇有别的“竞技场”。无独有偶,美国《电子签名法》除了因为政策上的考虑而对保险业存有例外,甚至根本没有处理电子签名的责任问题。
构建一种足够妥适的电子签名的责任承担方案,以便消费者使用电子签名以及为商家提供必要的服务从而使商家与消费者之间形成一种“零和关系”或利益平衡,本身就是一项复杂的系统工程。然而,尽管存在可以预计的困难,这种对电子签名法律中极为突出的责任问题的轻忽仍然是令人失望的。仅仅赋予电子签名文件以普通的法律认可是不够的,因为如果电子认证机构受到黑客攻击而瘫痪或因破产而无力维护安全,这种敏感而重要的电子签名文件就没有什么用处了,消费者将遭受重大风险并失去对电子签名的信心。对此,笔者认为,可能的解决方案有如下三种。
第一,如果欺诈者明显得到了电子认证用户的授权,或窃取行为因用户的重大疏忽或欺诈而实质上得到了帮助,则有关损失由用户承担。用户有妥善保管电子签名制作数据之责,如其知悉电子签名制作数据已经失密或者可能已经失密时,应当及时告知有关各方,并终止使用该电子签名制作数据,对其一切授权(明示或默示)使用的电子签名承担责任。至于用户的欺诈或重大疏忽,应由认证机构负责举证。“重大疏忽”一般是指电子签名制作数据遗失或泄密时未及时通知认证机构,同时还需结合电子认证机构与用户订立的有关电子认证证书合同安排的相关条款予以解释。
第二,参照国外电子资金划拨业务的做法,[4]使电子认证用户的责任在一项电子签名认证中也受到一定的限制。当然,损失风险具体如何分担,用户的通知期限和责任承担限额究竟以多少为宜,这应是我国立法部门必须予以斟酌的。有学者建议,虽然电子资金划拨与电子签名认证有较大不同,但似可借鉴美国华盛顿州《电子认证法》的做法,即如果银行没有认真检查冒充他人并得到证书的恶意第三人的信用证,让该人凭此证书从银行提走了款项,电子认证机构将对该损失在其证书的可靠限度内负责。[5]应该注意的是,美国华盛顿州《电子认证法》中所涉“银行”无疑兼具认证机构和信赖人两种身份,而电子认证机构的责任限额事实上又是针对电子认证机构本身的过错导致签名人或信赖人损失而确定的,且不同证书(机构证书、个人证书、服务器证书等)的责任限额也不一致;同时,欲确定银行是否履行谨慎的审查和认证之责,确定电子签名的来源及其在传送中没有被修改或替换,至少在表面上还涉及较为复杂的证明程序,因此还不如直接为用户设置一个适当通知情形下的责任限额来得简便。
第三,在我国工业和信息化部之下设立诸如“电子签名认证业申诉委员会”的独立机构,由经授权的专业调查员对相关事宜进行调查,并可责成电子认证机构给予受损用户一定数额的补偿。如果将用户起诉电子认证机构视为一种平行的民事救济途径,则用户通过消费者组织申诉在某种程度上是一种自下而上的救济手段,而在我国国情下,用户求助于经充分法律授权的专业调查员这种自上而下的救济方式可能更为有效,也更具专业性。
