三、电子签名认证中用户的证据地位
赋予电子签名文件以证明力对合法用户有何负面影响,这是一个值得探讨的问题。作为一种政策导向,为了使电子签名能够获得相当的证据价值,鼓励大众利用电子签名进而积极实现商务电子化,各国法律都不约而同地选择推定方式来处理电子证据的可靠性、完整性和关联性。各国法律都设制了这么一个推定:一个人持有一个用于签署一份文件的独特钥匙对,并以之签署了该份文件。如美国犹他州《数字签名法》第401条第3款规定,如果公钥是主管部门的储存库或其他承认的储存库中证书上列明的,且该证书在签署时未被撤销、中止或期满,则以公钥证实的数字签名,被推定用户是以承认信息的真实性并愿受其内容的约束的意愿而附加的。
可见,电子签名文件在某种程度上被赋予了与公证文书同等的证据力。倘若某人是欺诈性签名的受害者,但却让其承受该签名下的义务,那是不公平的。因为质疑该文件的人只能以明确而确信的证据才可克服该文件真实性的推定,如须证明电子签名不能通过参考认证机构颁发的证书予以证实,私钥合法持有者在签名时已丧失对该私钥的独占控制,对推定的依赖根据有关情况在商业上不合理等。相反,在有纸环境下,一个人只需简单地凭视觉(特殊情况下凭笔迹鉴定)以否定是其真实签名即可克服一份纸面签名文件有效性的推定。因此,赋予电子签名文件以此种地位无疑对辩驳电子文件有效性的欺诈受害者(该文件以受害者的私钥签署)造成了一种不合理的证据负担。
我国《电子签名法》没有明确规定证据倒置规则,但借鉴欧盟《电子签名指令》第6条[13]的规定,在其第28条引进了过错推定原则规定为:“电子签名人或者电子签名依赖方因依据电子认证服务提供者提供的电子签名认证服务从事民事活动遭受损失,电子认证服务提供者不能证明自己无过错的,承担赔偿责任。”该条规定得到了不少学者的称许。[14]然而,虽然该条规定本身并无不当,甚至在表面上似乎扭转了用户的举证弱势地位,但在实际操作上并非如此简单。一方面,众所周知,几乎在所有情况下,如电子签名过程中某个环节出错或电子签名受到质疑、电子签名制作数据被黑客窃用等,用户往往缺乏足够的资源来证明自己的陈述。原因在于,所有相关验证数据和其他认证信息是由电子认证机构记录和保存的,这也是我国《电子签名法》第24条和《电子认证服务管理办法》第18条所规定的电子认证机构的义务之一,甚至加/解密密钥对一般也是由认证机构生成、备份和恢复的,何况“具有符合国家安全标准的技术和设备”及“具有国家密码管理机构同意使用的证明文件”都是电子认证机构的资质条件。另一方面,虽然我国《电子签名法》将举证责任加诸电子认证机构,但一旦发生争议,认证机构若要证明认证技术和密码使用符合国家标准,存储介质安全可靠,系统运作正常,信息未被内部人员泄密,认证证书的制作、签发、注销和管理并未出现异常,认证机构的所有日志信息均处于严格保护状态等,并非难事,而用户实际上不可能证明此类记录和信息不是事实的真实反映。其结果是,用户几乎没有证据来支持自己的主张。因此,用户提出相反证据的可能性主要是理论上的,其往往不具有找到这种证据的能力。
