电子签名与认证提供者的法律责任(下)

百　家　争　鸣　Ｎ　ＩＮＦＯ　ＳＩ：ＣＵＲＩＴＹ　Ｉ下）　的法律责　■北京市明诚律师事务所田凤常　我国的《电子签名法》中，对上述二方在数字签名使　用和认证上应各负有的义务的规定是较为一致的，并规定了　其各自应负的法律责任：　电子签名人应履行以下义务：　１，电子签名人向电子认证服务提供者申请电子签名认证证　书，应当提供真实、完整和准确的信息。（第二十条）　任何人故意向认证机构陈述虚假身份或虚假认征，以便　请求发布一项证书或撤销、中止一项证书的行为违法，应处　以１万元以下的罚金或６个月以下监禁，或者二者并用。　第九部分登记人的责任　３６．创设配对密钥　（１）如果登记人创没了一对配对密钥，而且其中的公　共密钥于认证机构发布的证书内载明，并为登记人接收，则　登记人应使用可靠系统创设密钥；　（２）本条规定不适用于认证机构的系统提供的配对密钥　的情况。　３７，获取证书　２．电子签名人应当妥善保管电子签名制作数据。（第十　五条）　３，电子签名人知悉电子签名制作数据已经失密或者可能已　经失密时，应当及时告知有关各方，并终止使用该电子签名制　作数据。（第十五条）　与义务相对应，电子签名人应负有的法律责任是：　登记人为获取证书提供给授权机构的所有资料和陈述，　包括登记人已知的信息和在证书中将要表明的信息，不论该　陈述身份为认证机构确认与否，都应在其理解和信赖的范围　内保证准确和完整。　３８．接收证书　（１）登｝己人应视为已经收到证书，如果他　ａ公布一项证书或授权公布证书；　ｉ向一个或一个以上的个人；　电子签名人知悉电子签名制作数据已经失密或者可能已经　失密未及时告知有关各方、并终止使用电子签名制作数据，未　向电子认证服务提供者提供真实、完整和准确的信息，或者有　其他过错，给电子签名依赖方、电子认证服务提供者造成损失　的，承担赔偿责任。（第二十七条）　新加坡《电子交易法》中对电子签名人的义务和责任的规　定如下：　２５．以欺诈为目的的发布　ｉｉ向一个储存库。　或　任何人以欺诈或非法目的故意创设、发布或以其他方式　公开一项证书的行为，是违法行为，应处以２万元以下的罚　金或２年以Ｆ监禁，或者二者并用。　２６．虚假或未经授权的清求　ｂ在其他情况下，在知道或注意到证书内容时，宣告接收　证书　（２）证书内载明的登记人接收自己户认证机构发布的证　维普资讯 http://www.cqvip.com

百　家　争　鸣　ＮＧＴＩＮＦＯ　ＳＥＣＵＲＩＴＹ　书，应ｒ口Ｊ所有合理依赖证书内容的人证实：　４．保证认证证书内容在有效期内完整、准确，并保证依　赖方能够征实或者了解认汪征书所载　容及其他有关事项。　（第二十二条）　５．妥善保存与认证相关的信息，至少为电子签名时效后五　ａ登记人正确持有与证实内所列公共密钥相符的私密钥；　ｂ登记人向认证机构所作的全部陈述以及证实内包含的信　息材料真实有效；并且　Ｃ证书内有关登记人所应了解的信息证书有效。　３９．私密钥的管理　（１）登记人通过认证机构发布的证书，并机构身份识别，　年。（第二十五条）　６．妥善解决认证人暂停或终止服务的后续工作。（第二十　三条）　就承担了合理蓬『真的义务，以保持与证书内所列公共密钥相符　的私密钥的控制，并防止其向未经授予创设登记人数码签署的　各国立法中对认证提供者的义务的规定都基本遵循了示范　法的样本。而认征提供者到底应负怎样的法律责任呢？认征　机构在从事签发电子凭证，征明电子签名正确性的业务活动　中，承担着很大的法律责任的风险。例如，如果申请电子凭证　的一方提供了虚假的身份信息，而安全认征机构没有通过仔绌　核查发现，没有及时告知接收电子签名文件的一方，就需要承　担责任。又如，当某个电子凭证已经失效，认证机构又没有及　权利向其他人泄露。　（２）上述责任在证书的有效期内和证书中止期间一直　存在。　４（１．中止或撤销证书的开始　如果在证书中与公共密钥配对的私密钥被泄露给第三人，　则接受证书的登记人应尽快请求发证机构中止或撤销证书。　可以看到，对于义务的规定与我国是基本相同的，而仅　仅就“以欺诈为目的的发布”和“虚假或未经授权的请求”　时告知对方，也需人承担责任。在电子商务中，认征机构的地　位类似于刚络服务提供者，既重要又危机四伏，如果不对其法　律责任的风险加以适当的，安全认征机构就可能很难生存　本身进行处罚，至于此种行为可能给电子签名依赖方、电子　认证服务提供者造成的损失，则并没有规定应负责任。这样　就对电子签名人的法律责任给出了一个限度。而我国的规定　相较起来更加严格。　下去，认征市场也会萎缩、消亡，因此，各国电子商务立法基　本部考虑到对安全认证机构的责任需要加以适当限定。例如欧　共体电子签名指令规定，认证机构的民事法律责任主要是，签　发权威陛证书的认证机构，除非证明自己没有过错，应当对证　电子签名依赖方的责任与义务《电子签名法》未作规　定。这是较为被动的一方，它应以合理方式对电子签名进行　验证。电子签名人与电子签名依赖方之间一般表现为商务合　同关系，主要受《合同法》的调整，一般要求其作为善意　的谨慎商人尽到合理的注意义务即可。　电子认证服务提供者，处于整个数字签名认汪法律关系　的中心地位。数据电文和数字签名的真实性、完整性和不可　否认性，部基于对电子签名的有效认证，其依据就是认证人　颁发的电子签名认证证书。认证人的工作就是通过颁发证书　用以证明证书上所载公钥与签名人之间的关系，并以其专业　书内容的完整性和准确性、签名生成数据持有人的身份、签名　生成数据和签名验征数据的对应关系以及对因未及时撤销证书　而造成的损失负责。不过，认证机构可以事先证书的使用　范围和责任限额。英国电子签名条例也有类似规定：新加坡　《电子交易法》规定：　４４．标准依据限额　（１）授权认证机构向登记人发布证书时，可以在证书　中载明一项供参考的标准依据限额　、　（２）授权认证机构可以在不　的证书中止不Ｉ刮地点依据　限额。　能力和执业资格使依赖方据以验证数字签名的真卖ｌ生和完整　性。我国《电子签名法》规定其义务如下：　４５．授权认证机构的责任　除非授权认证机构放弃适用本条规定，否则　ａ如果授权认证机构遵守本法规定，依赖一项虚假陈述或　１．依法申请许可资格，遵守信息产业部的管理规　则，并接受信息产业部的监督。（第十、第二十四条）　２．公开其名称、许可证号、电子认证业务规则，包括责任　伪造的数字签名而造成损失，该机构对损失不承担责任；　ｂ如果标准依据限额是由于下列原因造成扩大的费用，该　机构不承担证书内载明的额外费用：　ｉ由于依赖证书中关于授权认证机构应当遵守的陈述错误　而造成损失；　范围、作业操作规范、信息安全保障措施。（第十第三款、　第十九条）　３．以合法的手段，审查签名人的身份及相关情况。（第二　十条第二款）　ｉｉ未能遵守第２９条和３０条证书发布的规定　维普资讯 http://www.cqvip.com

百　家争鸣　Ｎ０ＴＩＮＦＯ　ＳＥＣＵＲＩＴＹ　虽然没有为安全认证机构规定一般的责任，但是　规定经管理机构许可的安全认证机构可以在其签发的　电子凭证中说明其承担责任的限额，因此被许可的安全认　证机构的责任风险实际上受到了。此项规定，但却引　起了新加坡商业界和法律界人士的强烈批评。还有学者认　为，这种对认证机构特别保护的规定，还不如代之以利用　合同或侵权的一般原则来解决这一问题。另一些学者则认　为，之所以给予认证机构以赔偿金额，目的是使认证　机构承担的风险相当于银行发行自动柜员机卡或信用卡所　承担的风险而不是更大。在网络商务的起步阶段，为扶植　认证机构的发展而给予其某些特别保护，也无可厚非。另　一方面，在认证机构签发给当事人的证书被盗并被他人用　以欺诈的情况下，如果欺诈是在当事人将证书被盗的情形　通知认证机构之前发生的，则认证机构对当事人因欺诈而　导致的损失不负责任。　我国《电子签名法》对认证提供者的法律责任规定　如下：　第二十电子签名人或者电子签名依赖方因依据电子　认证服务提供者提供的电子签名认证服务从事民事活动遭受损　失，电子认证服务提供者不能证明自己无过错的，承担赔偿　责任。　第三十条电子认证服务提供者暂停或者终止电子认证服　务，未在暂停或者终止服务六十日前向信息产业主管　部门报告的，由信息产业主管部门对其直接负责的主　管人员处一万元以上五万元以下的罚款。　第三十一条电子认证服务提供者不遵守认证业务规则　未妥善保存与认证相关的信息，或者有其他违法行为的，由　信息产业主管部门责令限期改正；逾期未改正的，吊　销电子认证许可证书，其直接负责的主管人员和其他直接责　任人员十年内不得从事电子认证服务。吊销电子认证许可证　书的，应当予以公告并通知工商行政管理部门。　可以看到，我国《电子签名法》并不限定认证服务提供　者的法律责任，认证服务提供者在认证活动中所负的风险是较　大的。这是否会阻碍我国认证服务市场的发展呢？在《中华人　民共和国电子签名法》的草案中，曾依照新加坡的模式对认证　服务提供者的责任进行，因为何种原因取消了这种风险保　护？新浪科技２《ｘＨ年９月２１日以“７（）家ＣＡ需电子签名法放行　百万证书等待转正”为标题对《电子签名法》施行前夕的中国　认证服务市场现况作了报道。文中提到：　“我国电子签名法的出台是在国内已经有了７（）多家的电子　认证服务机构及已发出去上百万张数字证书之后的，这些认　Ｉ正机构有行业的、区域的，也有完全市场化的；这些数字Ｉ正书　有发给企业的、个人的，也有发给服务器的，这部签钇法如何　面对这些“既成事实”就成了大家关注它的另一个方面　”专　门认证咨询服务业务的北京德法智诚咨询有限公一】ＣＴＯ乔聪　军这样认为。　我国目前有近９千万网民，其中２千万　上交易　户，　民数量仍在持续发展，　上交易数量不断增大，并且已有七　十多家认证机构，已发出上百万张数字征书，很明显我国面　对这个已有一定规模的认征市场的首要任务是规范市场行为，　筛选其中合格的认证服务提供者　这就决定了我国对认证提　供者的法律责任认定的态度。《电子签名法　表明了我国政　府规范电子商务改善　络环境的决心。　电子认证服务提供者作为保障电子商务交易安全的专业服　务提供商，因其行为直接影响交易双方的利益，且就技术和　过程掌控能力而言，在三者中处于优势地位，所以，《电　子签名法》规定了较为严格的过错推定责任认定制度，要求　认｜正人“证明自己无过错”方可解脱责任：电子认征服务　将是一个高风险的行业，积极研究责任防范和“无过错”证　据证明方法对于认证人有着十分重要的意义．＝　但从《电子签名法》条文中也能看到，并没有禁止认　证服务提供者在服务合ＩＪＪ中增加自身责任胍险的条款：　这是法律留出的自由裁量的余地，还是一个没有规定可循的　空白区域？新法规的出台，给了认征服务从业者和法律界人　士值得讨论和思考的问题。　《电子签名法》第二十规定，电子签名人或者电　子签名依赖方因依据电子认证服务提供者提供的电子签钇　认证服务从事民事活动遭受损失，电子认证服务提供者不　能证明自己无过错的，承担赔偿责任。此处对于赔偿没有作　具体规定，一般来ｉ兑，应以对方遭受损失的数额为准。认证　提供者应注意到此规定，在认证活动中尽到自己的法律义　务与责任，否则在当下电子商务蓬勃发展交易标的日渐增　长的情况下，就有面对巨额赔偿责任的危险　第三十条和第　三十一条还对认征提供者在从业中的违规情况的处罚作出　了明确规定。　对于涉及电子签名的其他违规与犯罪行为，《电子签名　法》同样作出了规定：　第二十九条未经许可提供电子认征服务的，由　信息产业主管部门责令停止违法行为；有违法所得的，没收　违法所得；违法所得三十万元以上的，处违法所得一倍以上　（下转４　２页）　维普资讯 http://www.cqvip.com

ＩＯ　百Ｎ０　ＴＩＮ家ＦＯ　　Ｓ争ＥＣ　ＵＲＩ鸣ＴＹ　软件专利制度。专利制度是法律制度的组成部分，而法律制　度应当适应于社会和经济发展水平，为社会和经济的发展服　由于担心软件的知识产权瑕疵而放弃开源软件。软件专利地　图也为这些用户提供了一个比对的指引，至少可以在某种程　度上消除一部分由于专利模糊而带来的法律风险。这对于开　源软件的推广具有帮助。　务。审视各国专利制度，部是研究和建立核心软件专利地图　库，指引开源软件的开发。地图者，行路的指引也。所谓　的软件专利地图，是指经过定期检索而建立的专利数据库，　主要包括在主要国家已经授权的软件专利。专利的全面检索　是一个复杂和技术性非常强的工作，一般的企业或软件工程　师很难以胜任。软件专利地图为他们提供了一个简单和比较　对于Ｌｉｎｕｘ等重要的开源软件，在核心代码层次上，采　取统一的标准，或则进一步，采用通用的核心代码平台。采　用标准的意义主要是为了维护软件发展的统一性和兼容性，　同时，对于规范软件的技术标准和方案也具有意义，从而在　软件的核心层次上，减少知识产权风险。在核心代码层次上　明确的工具。软件开发者在开发软件之前，应当检索和浏览　专利地图库，对比享有专利的技术方案与自己所采用的技术　方案是否构成全面覆盖，如是，则构成侵权。软件开发者　应当避开可能构成专利侵权的技术方案，如果无法避免，则　应当通过许可证的方式获得授权。软件专利地图对于软件的　如果出现知识产权问题，可能会威胁到软件的存在。统一的　标准，往往是经过充分研究和验证，比一个机构或个人更具　有负责的精神，在知识产权方面，具有一定意义上的可靠性。　通用的核心代码平台，则是进一步的发展，不但保持了技术　方案的统一，而且保持了核心代码的一致。基于其所承担的　使用者也具有重要意义。一个重要的项目在采用开源软件的　时候，往往对软件的知识产权问题没有一个准确和清晰的判　断，尤其是很多开源软件的发放者对于软件拒绝提供任何的　担保（如ＧＰＬ）。这使得很多对开源软件具有热情的用户，　责任，通用的核心代码平台的开发者一般应当是具有代表性　和相应资质的社会服务机构，应当有能力保汪代码知ｉ只产权　的无瑕疵性。粤　（上接３　８页）　三倍以下的罚款；没有违法所得或者违法所得不足三十万元　的，处十万元以上三十万元以下的罚款。　法》规定，可靠的电子签名与手写签名或者盖章具有同等的　法律效力（第十四条），在依赖电子签名进行的电子商务活　动中，是否可参照我国《刑法》中关于合Ｉ叫欺诈的条款值　得注意。我们期待着《电子签名法》的实施细贝ｉ　ｚ＂　皂够解决　这一问题。　此条使我国电子认证服务市场的准入制度更加严密，旨　在保证市场的有序活动，防止其因未经许可的认证提供者的　非法经营活动受到影响。　第三十二条伪造、冒用、盗用他人的电子签名，构　《电子签名法》对负责电子认汪服务业监督管理工作的　部门的工作人员的违法行为的处罚也作了规定：　成犯罪的，依法追究刑事责任；给他人造成损失的，依法　承担民事责任。　第三十三条依照本法负责电子认ｉ醐艮务业监督管理工作　那么应承担何种刑事责任，受到何种处罚呢？新加坡　《电子交易法》对伪造冒用电子签名的行为的处罚有明确　规定：　的部门的工作人员，不依法履行行政许可、监督管理职责　的，依法给予行政处分；构成犯罪的，依法追究刑事责任。　因为是信息产业主管部门对电子认证服务提供者依　法实施监督管理，所以对于此类工作人员的犯罪行为的规定　和量刑应可根据我国《刑法》　２５．以欺诈为目的的发布　任何人以欺诈或非法目的故意创设、发布或以其他方式　公开一项证书的行为，是违法行为，应处以２万元以下的　罚金或２年以下监禁，或者二者并用。　２６．虚假或未经授权的请求　任何人故意向认证机构陈述虚假身份或虚假认证，以便　请求发布一项证书或撤销、中止一项证书的行为违法，应　处以ｌ万元以下的罚金或６个月以下监禁，或者二者并用。　总之，围绕电子签名的法律行为，所涉及的各方会因不　同情形分别相应的法法律责任：民事赔偿责任；行政处分；　罚款；以至追究刑事责任。我国《电子签名法》的出台，　引起了各界的强烈关注，毫无疑问是我国电子商务发展中的里　程碑式的事件，对于规范电子签名的使用、电子签名认征眼务　市场的活动有重大意义，也使我们看到了未来我国电子商务发　而我国法律中没有明确的量刑标准。因《电子签名　展的巨大潜力和远景。粤