1、第八章 电子签名与电子认证服务法律制度电子文件无法手书签名,这是它与书面文件的直观区别之一,也是电子商务发展中的主要法律障碍之一。2002年1月联合国正式通过了联合国国际贸易法委员会电子签名示范法,2005年4月我国正式实施了中华人民共和国电子签名法(2015年4月修正,简称电子签名法)。这些法律措施为电子商务的推广与应用打开了通道。本章从电子签名的概念入手,介绍了电子签名和数字认证的基本原理,阐述了电子签名的法律地位,并讨论了电子签名中当事各方的基本行为规范。学习目标1、掌握电子签名的概念与功能;2、熟悉可靠电子签名的使用与法律效力;3、熟悉电子签名的适用前提与适用范围;4、掌握数字证书的概
2、念与构成;5、了解电子认证服务法律关系;6、了解电子认证服务机构的监督管理。引导案例法大大在P2P网贷平台中应用电子签名深圳法大大网络科技有限公司(简称为“法大大”,https:/ Program Interface)服务,包括电子签名、实名认证、时间戳等;二是电子签名应用服务,包括电子合同服务、数字版权服务、电子证据鉴证等。2016年电子合同签署量超过2300万份,并实现了B轮投资,业务量不断攀升。法大大电子签名产品采用开放式云端SaaS服务模式,平台操作简易,业务流程如图8-1所示。图8-1 法大大电子签名业务流程引导案例法大大在P2P网贷平台中应用电子签名法大大将电子签名应用到P2P网贷
3、平台,使网贷安全性大大提升,不仅节约成本,提高效率,也使投资人和借款人的权益得到保障。法大大平台与P2P平台的关系如图8-2所示。国内最大的车贷平台微贷网引入电子签名后,法大大作为第三方为微贷网建立了具备法律效力的电子合同签署平台,使其投资人的合法权益得到更为有效的保护,并享受到包括在线仲裁等法律服务。截止2016年12月,微贷网累计交易金额突破705.4亿元。第一节 电子签名的法律关系一、问题的提出一、问题的提出在电子商务中,交易双方(或多方)可能远隔万里而互不相识,甚至在整个交易过程中自始至终不见面,传统的签名方式很难应用于这种交易。因此,人们试探采用一种电子签名机制来相互证明各自的身份,
4、这就是电子签名。1996年6月14日联合国国际贸易法委员会第29届年会通过了联合国国际贸易法委员会电子商业示范法(以下简称电子商业示范法)。第一节 电子签名的法律关系1997年和1998年,在联合国国际贸易法委员会电子商务工作组第30次、31次会议上,委员会根据电子商业示范法不偏重任何技术的原则,确定在数据电文的签名中,任何一种签名方法不应妨碍其他认证技术的使用,并提出应当就数字签名和其他电子签名日益普遍使用而引起的新的法律问题达成一致。从这一立场出发,委员会决定起草电子签名示范法,从而开始了对电子签名的深入研究。第一节 电子签名的法律关系二、电子签名的概念与功能二、电子签名的概念与功能(一)
5、电子签名的概念2002年1月24日,联合国第56届大会正式通过联合国国际贸易法委员会电子签名示范法(以下简称电子签名示范法),从而使电子签名的概念确定下来。该法给出了电子签名及其相关概念:(1)“电子签名(Electronic signature)”系指在数据电文中,以电子形式所含、所附或在逻辑上与数据电文有联系的数据,它可用于鉴别与数据电文相关的签名人和表明签名人认可数据电文所含信息。(2)“证书”系指签名人与签名制作数据之间关系的某一数据电文或其他记录。第一节 电子签名的法律关系(3)“签名人”系指持有签名制作数据的人,代表本人或所代表的人行事。(4)“认证服务提供人”系指签发证书或可能提
6、供与电子签名有关的其他服务的人。(5)“依赖方”系指可以根据某一证书或电子签名行事的人。联合国电子签名概念的起草主要考虑了三个问题:第一,概念的广泛性。起草工作组在提出电子签名的概念时,考虑到该概念使用范围较广,应有较大的涵盖面和较为灵活的解释,故将电子商务活动中的数据签名(Digital signature)、电子签名、电子签章等具有相同内容的不同表述统一起来,使这一概念可以被世界各国所接受。第一节 电子签名的法律关系第二,不偏重任何技术的原则。起草工作组综合考虑公钥加密技术的替代问题,考虑其他电子签名方式的发展问题,例如使用生物测定法或其他一些此类技术,因此,没有片面地强调某一技术。第三,
7、电子签名的实质。起草工作组认为,应区别“签名”的法律概念和“电子签名”的技术概念之间的区别,应将电子签名看作是一种与数据电文相关联的电子数据,而这一数据是在制作电子签名的过程形成的,并产生了对签名人和相关信息的核证作用,从本质上揭示了电子签名的内涵,而没有简单地将其看作是一种方法和一种结果。第一节 电子签名的法律关系(二)电子签名的功能 以纸张为基础的传统签名主要是为了履行下述功能:(1)确定一个人的身份;(2)肯定是该人自己的签名;(3)使该人与文件内容发生关系。除此之外,视所签文件的性质而定,签名还有多种其他功能。例如,签名可以证明签名人愿意受所签合同的约束;证明签名人认可其为某一案文的作
8、者;证明签名人同意一份经由他人写出的文件的内容;证明签名人曾在某个地点的事实和时间。第一节 电子签名的法律关系为了保证电子商务活动的正常进行,需要具有书面签名功能的电子签名。而正在被使用或仍在研制开发中的签名技术,其目的是为了寻求手写签名和在纸基环境中的其他认证方式(如封缄或盖章)提供功能相同的替换物。但在电子商务环境中这些技术还可能实现别的功能,这些功能是从签名功能中旁生的,但在纸基环境中却不能找到严格类似的替代物。为了确保须经过核证的电文不会仅仅由于未按照纸张文件特有的方式加以核证而否认其法律价值,联合国电子商务示范法确定了在何种情况下数据电文可视为经过了具有足够可信度的核证,而且可以生效
9、执行,视之达到了签名要求。第一节 电子签名的法律关系电子商务示范法第7条规定:(1)如法律要求要有一个人签名,则对于一项数据电文而言,倘若情况如下,即满足了该项要求:第一,使用了一种方法,鉴定了该人的身份,并且表明该人认可了数据 电文内含的信息;第二,从所有各种情况看来,包括根据任何相关协议,所用方法是可靠的,对生成或传递数据电文的目的来说也是适当的。(2)无论本条第(1)款所述要求是否采取一项义务的形式,也无论法律是不是仅仅规定了无签名时的后果,该款均将适用。第一节 电子签名的法律关系电子商务示范法第7条侧重于签名的两种基本功能:一是确定一份文件的作者,二是证实该作者同意了该文件的内容。第1
10、条第一款确立的原则是,在电子环境中,只要使用一种方法来鉴别数据电文的发端人并证实该发端人认可了该数据电文的内容,即可达到签名的基本法律功能。在保证安全可靠的基础上,第1条第2款提出了灵活性原则,数据电文的发端人与收件人之间的任何协议只要可靠,就适宜于生成或传递该数据电文所要达到的目的。第一节 电子签名的法律关系三、电子签名的法律效力三、电子签名的法律效力(一)可靠电子签名我国电子签名法第13条规定,电子签名同时符合下列条件的,视为可靠的电子签名:(1)电子签名制作数据用于电子签名时,属于电子签名人专有;(2)签署时电子签名制作数据仅由电子签名人控制;(3)签署后对电子签名的任何改动能够被发现;
11、(4)签署后对数据电文内容和形式的任何改动能够被发现。第一节 电子签名的法律关系三、电子签名的法律效力三、电子签名的法律效力(一)可靠电子签名我国电子签名法第13条规定,电子签名同时符合下列条件的,视为可靠的电子签名:(1)电子签名制作数据用于电子签名时,属于电子签名人专有;(2)签署时电子签名制作数据仅由电子签名人控制;(3)签署后对电子签名的任何改动能够被发现;(4)签署后对数据电文内容和形式的任何改动能够被发现。第13条提出了认定可靠电子签名的四个基本条件,且四个条件需要同时满足。第一节 电子签名的法律关系第一款和第二款是归属推定。如果可以证明在电子签名过程中使用的,将电子签名与电子签名
12、人可靠地联系起来的字符、编码等数据是由使用它的人或代表使用它的人专有或控制,即可满足可靠的电子签名的归属条件。第三款和第四款是完整性推定。如果可以证明在电子签名签署后对电子签名的任何改动或发现数据电文内容和形式的任何改动都能够被发现,即可满足可靠的电子签名的完整性条件。鉴于电子签名技术的迅速发展,电子签名法没有限定可靠的电子签名的具体技术,为各种电子签名技术的发展铺平了道路。此外,当事人也可以根据自己的判断,选择使用自己认为符合其约定的可靠条件的电子签名。这样的签名同样具有法律效力。第一节 电子签名的法律关系(二)可靠电子签名的法律效力我国电子签名法第14条进一步规定,可靠的电子签名与手写签名
13、或者盖章具有同等的法律效力。这是电子签名法的核心,确立了可靠的电子签名的法律效力。当一个电子签名被认定是可靠的电子签名时,该电子签名就与手写签名或者盖章具有了同等的法律效力。电子签名获得法律效力,意味着互联网上用户的身份确定成为可能。使用电子签名业务的用户将不再对与其交流信息的对方一无所知,在这个基础上,网络才有可能真正跃出媒体之外,充分运用到商务、政务、科学研究、日常生活等诸多方面,从而使“虚拟空间”真正全面地与现实世界接轨。第一节 电子签名的法律关系(三)电子签名归属的推定 当法律要求某一文件需要签名时,除非有足够和充分的证据证明该电子签名不是其本人签署或经他授权的代理人签署的,在文件上签
14、名的人即其本人或其代理人。同样,经电子签名签署的文件即表明该文件从发出到收到未发生变化,这是因为,被签署文件的完整性是电子签名所采用的技术的必然要求。第一节 电子签名的法律关系(四)未经授权使用电子签名的法律责任 未经授权使用可以分为两种情况:一是绝对无权使用,即使用人未经任何授权非法使用且签名所有人没有过错;二是相对无权使用,即使用人虽无权使用但签名所有人有过错,如本人疏于管理致他人非法使用,超越本人的授权而使用等。在绝对无权使用时,由于电子签名的所有人没有过错,该数据信息不能归属于本人,本人也不应承担法律责任。如黑客攻击获得密钥而使用,或者认证机构的内部人员非法使用用户的密钥等,由此造成对
15、相对人的损害,签名所有人是不知情也无法控制的,主观上不存在过错,因而无需对此负责。相对人所受损害应由行为人承担。第一节 电子签名的法律关系 在相对无权使用中,由于签名所有人存在疏忽或过错,因此应承担一定的责任。如果电子签名的所有人没有合理地注意保管自己的密钥,致使他人未经授权的使用,该信息及其法律后果仍应归属于签名所有人。收件人因合理信赖该签名而遭到损失时,签名所有人应予赔偿。但是,收件人如果知道该签名未经授权,如签名的所有权人已告知,或者收件人只要履行合理的注意就可以知道该签名未经授权,却仍然按该信息从事,由此产生的损害,签名的所有权人不承担责任。在收件人收到信息后,签名所有人告知其该信息未
16、经授权,并且收件人有合理的时间处理却不处理导致损失扩大的,签名所有人对扩大的部分不承担责任。第一节 电子签名的法律关系四、电子签名的适用前提与范围四、电子签名的适用前提与范围(一)适用前提鉴于电子签名的推广需要有一个过程,我国电子签名法没有规定在民事活动中的合同或者其他文件、单证等文书中必须使用电子签名,而是规定当事人可以约定使用或者不使用电子签名、数据电文。但明确规定当约定使用电子签名、数据电文的文书后,当事人不得仅因为其采用电子签名、数据电文的形式而否定其法律效力。电子签名法设定的适用范围有一定的前瞻性和包容性,即主要适用于商务活动,但又不限于商务活动,原则上涵盖使用电子签名的所有实际场合
17、。第一节 电子签名的法律关系(二)适用范围我国电子签名法使用排除法确定了电子签名的使用范围。考虑到交易安全和社会公共利益,借鉴一些国家的做法,电子签名法规定在一些特定范围内的法律文书不适用电子签名、数据电文。这些法律文书包括四个方面:(1)涉及婚姻、收养、继承等人身关系的;(2)涉及土地、房屋等不动产权益转让的;(3)涉及停止供水、供热、供气、供电等公用事业服务的;(4)法律、行政法规规定的不适用电子文书的其他情形。在我国,婚姻、收养、继承在人们生活中发生频率较低,土地、房屋等不动产在人民整体收入中所占比例较大,而停水、停热、停气、停电等公用事业服务需要更明确的通知,所以,电子签名法对此作出了
18、限制。第一节 电子签名的法律关系五、电子签名使用人的基本行为规范五、电子签名使用人的基本行为规范电子签名使用人包括电子签名人和电子签名依赖方。(一)电子签名人及其行为规范电子签名人,是指持有电子签名制作数据并以本人身份或者以其所代表的人的名义实施电子签名的人。这里的“人”应理解为包括各种类型的人或实体,无论是自然人、法人团体还是其他组织均包括在内。电子签名人应对其电子签名制作数据采取合理的谨慎措施。签名人还应采取合理的防范措施,避免他人擅自使用该签名制作数据。电子签名本身并不保证实际操作签名的人是签名人。第一节 电子签名的法律关系电子签名只是保证该签名归属于签名。在签名人知悉或理应知悉该签名制
19、作数据已经失密的情况下,签名人应毫无任何不应有的延迟,向根据合理预计可能依赖电子签名或提供电子签名服务的任何人发出通知。在使用证书支持电子签名时,签名人还应采取合理的谨慎措施,确保签名人就证书而作出的所有重大表述均精确无误和完整无缺。电子签名人应当妥善保管电子签名制作数据。电子签名人知悉电子签名制作数据已经失密或者可能已经失密时,应当及时告知有关各方,并终止使用该电子签名制作数据。电子签名人向电子认证服务提供者申请电子签名认证证书,应当提供真实、完整和准确的信息。第一节 电子签名的法律关系电子签名法第32条规定,伪造、冒用、盗用他人的电子签名,构成犯罪的,依法追究刑事责任;给他人造成损失的,依
20、法承担民事责任。(二)电子签名依赖方及其行为规范电子签名依赖方,是指基于对电子签名认证证书或者电子签名的信赖从事有关活动的人。电子签名依赖方为了自身的利益,应了解电子签名以及电子签名人认证证书内容的有效性、完整性和准确性;应采取合理的步骤核查电子签名的可靠性。电子签名依赖方应遵守对电子证书的任何限制。第二节 电子认证服务法律关系一、数字证书与电子认证服务提供者(一)数字证书 根据联合国电子签名示范法第1条,“证书”系指可证实签名人与签名生成数据有联系的某一数据电文或其他记录。我国电子签名法规定,电子签名认证证书是指可证实电子签名人与电子签名制作数据有联系的数据电文或者其他电子记录。电子签名认证
21、证书有多种形式,如数字、指纹、视网膜、DNA等。其中,最常用的认证证书是数字证书,因为它使用方便、便于记忆,价格又最便宜。第二节 电子认证服务法律关系一、数字证书与电子认证服务提供者一、数字证书与电子认证服务提供者(一)数字证书 根据联合国电子签名示范法第1条,“证书”系指可证实签名人与签名生成数据有联系的某一数据电文或其他记录。我国电子签名法规定,电子签名认证证书是指可证实电子签名人与电子签名制作数据有联系的数据电文或者其他电子记录。电子签名认证证书有多种形式,如数字、指纹、视网膜、DNA等。其中,最常用的认证证书是数字证书,因为它使用方便、便于记忆,价格又最便宜。第二节 电子认证服务法律关
22、系数字证书作为网上交易双方真实身份证明的依据,是一个经使用者数字签名的、包含证书申请者(公共密钥拥有者)个人信息及其公共密钥的文件。基于公共密钥体制(PKI)的数字证书是电子商务安全体系的核心,用途是利用公共密钥加密系统来保护与验证公众的密钥,由可信任的、公正的电子认证服务机构颁发。数字证书按照不同的分类有多种形式,如个人数字证书和单位数字证书,SSL数字证书和SET数字证书等。第二节 电子认证服务法律关系数字证书由两部分组成:申请证书主体的信息和发行证书的CA签名。证书数据包含版本信息、证书序列号、CA所使用的签名算法、发行证书CA的名称、证书的有效期限、证书主体名称、被证明的公钥信息。发行
23、证书的CA签名包括CA签名和用来生成数字签名的签名算法。顾客向CA申请证书时,可提交自己的驾驶执照、身份证或护照,经验证后,颁发证书,以此作为网上证明自己身份的依据。第二节 电子认证服务法律关系(二)电子认证服务提供者电子认证服务提供者,是指为电子签名人和电子签名依赖方提供电子认证服务的第三方机构(也可称为“电子认证服务机构”)。电子认证服务机构(Certificate Authority,CA,本书简称“认证机构”)在电子商务中具有特殊的地位。它是为了从根本上保障电子商务交易活动顺利进行而设立的,主要是为电子签名相关各方提供真实性、可靠性验证的公众服务,解决电子商务活动中交易参与各方身份、资
24、信的认定,维护交易活动的安全。在电子商务交易过程中,包括电子支付过程中,认证机构都有着不可替代的地位和作用。它不仅要对进行电子商务交易的买卖双方负责,还要对整个电子商务的交易秩序负责。第二节 电子认证服务法律关系电子认证服务机构主要提供下列服务:(1)制作、签发、管理电子签名认证证书;(2)确认签发的电子签名认证证书的真实性;(3)提供电子签名认证证书目录信息查询服务;(4)提供电子签名认证证书状态信息查询服务。例如,持卡人要与商家通信,持卡人从公开媒体上获得了商家的公共密钥,但持卡人无法确定商家不是冒充的(是有信誉的),于是持卡人请求CA对商家认证,CA对商家进行调查、验证和鉴别后,将包含商
25、家Public Key(公钥)的证书传给持卡人。同样,商家也可对持卡人进行验证,如图4-5所示。图12-5 CA 认证第二节 电子认证服务法律关系 CA 的功能主要有:接收注册请求,处理、批准/拒绝请求,颁发证书。需要注意的是,第三方认证服务机构是指完全独立于交易各方,与交易内容没有利益关系的认证服务机构。这种认证服务机构一般由信誉良好、资力雄厚的法人来担当。但在目前的网络交易中,实际还存在一种非独立方认证服务机构。例如在客户、商家、银行三角关系中,客户使用的是由某个银行发的信用卡,而商家又与此银行有业务关系(有账号)。在这情况下,客户和商家都信任银行,银行自行设立电子认证服务机构,担当CA角
26、色,接收、处理银行卡客户证书和商家证书的验证请求。这类电子认证服务机构目前在我国法律上尚没有明确的定位,也没有列入工业和信息化部的管理范围。第二节 电子认证服务法律关系二、电子认证服务机构的法定权利与义务二、电子认证服务机构的法定权利与义务 认证服务机构以其信誉为电子商务交易各方提供信用,因此认证服务机构在电子商务中是一个非常重要的独立的第三方主体,其在交易活动中的权利义务对各信赖主体的判断、选择和交易都具有关键性的影响。而仅以合同的方式来确定认证机构的权利义务尚不足以明确认证服务机构在电子商务中的地位与责任,也不利于交易的安全与秩序。因此,必须从法律上加以界定。第二节 电子认证服务法律关系(
27、一)认证机构的主要义务1、信息披露义务工业和信息化部电子认证服务管理办法规定,取得认证资格的电子认证服务机构,在提供电子认证服务之前,应当通过互联网公布下列信息:(1)机构名称和法定代表人;(2)机构住所和联系办法;(3)电子认证服务许可证编号;(4)发证机关和发证日期;(5)电子认证服务许可证有效期的起止时间。联合国电子签名示范法第9条也规定了认证服务机构应该提供合理的查证途径,使对方能够通过证书确认认证服务提供商的身份。第二节 电子认证服务法律关系 2.业务说明义务该义务要求认证服务机构公开其工作流程和为用户提供的服务及服务内容。工业和信息化部电子认证服务管理办法第15条规定,电子认证服务
28、机构应当按照工业和信息化部公布的电子认证业务规则规范的要求,制定本机构的电子认证业务规则,并在提供电子认证服务前予以公布,向工业和信息化部备案。第二节 电子认证服务法律关系业务说明的主要内容包括:(1)描述任何与认证信息发布相关的内容,包括信息库的运营者、运营者的职责、信息发布的频率以及对所发布信息的访问控制等。(2)运营信息库的实体标识,如电子认证服务机构、或独立信息库服务提供者。(3)运营者发布其业务实践、证书和证书当前状态的职责,标识出对公众可用和不可用的项、子项和元素。(4)信息发布的时间和频率。(5)对发布信息的访问控制,包括证书策略(CP)、电子认证业务规则(CPS)、证书、在线证
29、书状态协议(OCSP)和证书吊销列表(CRL)。第二节 电子认证服务法律关系3.保险义务 认证服务机构是一个高风险的行业,既面临着内部人员操作错误甚至恶意操作等机构运营带来的风险又必须提防外部攻击,技术的飞速进步也会致使机构业务发生重大变化,而且一旦发生风险往往超出认证服务机构本身的控制。因此,为了减少认证服务机构的风险和稳定交易秩序,有必要施以认证服务机构参加责任保险之义务。认证服务机构可就下列业务投保:(1)外部进攻者对被保险人用户的数字证书业务系统进行攻击,破译该电子商务安全技术、伪造证书、篡改数据而造成被保险人用户交易账户资金的损失;第二节 电子认证服务法律关系(2)病毒入侵被保险人用
30、户的数字证书业务系统而造成被保险人用户交易账户资金的损失;(3)火灾、水管爆裂致使被保险人数字证书业务系统遭到破坏,造成被保险人用户交易账户资金的损失;(4)被保险人用户的数字证书丢失,报失后,他人利用其数字证书进行交易,造成被保险人用户交易账户资金的损失。工业和信息化部电子认证业务规则规范规定,电子认证服务机构应声明以下事项:自己所负有的责任保险范围、利用其他资源来支持其运营和对潜在责任进行赔付、对其他参与者提供首方责任险或担保保护的程序。第二节 电子认证服务法律关系4.保密义务电子认证服务机构在承担信息披露义务的同时,基于保护用户合法利益的目的,应承担保密义务。工业和信息化部电子认证服务管
31、理办法第20条规定,电子认证服务机构应当遵守国家的保密规定,建立完善的保密制度。电子认证服务机构涉及的保密义务主要有两个方面:(1)业务信息保密。涉及机构运作信息的保密。(2)个人隐私保密。证书用户在申请数字证书时向认证服务机构披露的身份信息及有关信息、证书用户的私人密钥等。第二节 电子认证服务法律关系5.担保义务 认证服务机构一旦将证书发放给用户,就承担着担保证书所述信息真实的义务。这里的“真实”是指认证服务机构在证书发放时依法对用户提供的身份状况等情况予以了审查,不存在认证服务机构明知或应知是虚假信息的情况。同时,该义务要求认证服务机构没有超过其许可的限额。担保义务不仅仅针对证书持有人,也
32、适用于证书信赖人。第二节 电子认证服务法律关系(二)认证服务机构的主要权利 认证服务机构的主要权利表现在它对用户证书的管理上。但是,这里的权利在本质上更接近于职权。1、发放证书 用户认证证书的发放是应证书申请人的请求进行的,认证服务机构在收到申请后,经审查符合条件的,可以发放证书。一般认为,申请人应提供包括其姓名或名称、住址、有效身份证件或商业登记、联系方法等在内的表明其真实身份的材料和相应证据。第二节 电子认证服务法律关系2.中止证书 认证服务机构对已经发生或可能发生的影响认证安全的紧急事件,应采取措施暂时阻止证书的使用。中止证书是应用户的请求或根据有关法律文件作出,认证服务机构发现发放的证
33、书可能存在虚假的情况时,也可以中止证书,以确定情况是否属实。中止证书不能超过规定的时间。其他情况下,认证服务机构不得自行中止证书,除非当事人另有约定。认证服务机构在中止证书的同时应当在信息公告栏和可查询之处予以公告,并通知有关当事人。第二节 电子认证服务法律关系3.撤销证书 认证服务机构在用户的主体资格或行为不符合认证机构的规定时,应当终止用户证书的效力。撤销证书可以是基于当事人的请求或法律文件的规定,也可以是认证机构的决定。因此,撤销证书可分为申请撤销和决定撤销。申请撤销是认证服务机构应当事人的请求或法律文件的规定而撤销。决定撤销是在认证服务机构发现认证中的信息已发生变化时主动撤销证书,如用
34、户已死亡或解散;认证服务机构的密钥或信息系统遭到破坏,影响证书安全或用户的私人密钥遭受危险;认证服务机构发现证书虚假等情况。决定撤销应按法定或认证服务机构公开说明的程序进行,无须经证书持有人的同意,但应当通知证书持有人。撤销证书时,应公开相关信息。第二节 电子认证服务法律关系4.保存证书 认证服务机构在证书有效期满或撤销后,应当将证书保存并允许查询。认证服务机构应保存其颁发和任何吊销或撤销证书的记录,认证服务机构应尽合理的注意义务,并根据证书上建议的可靠限制,保证记录的安全。第二节 电子认证服务法律关系三、证书持有人的义务三、证书持有人的义务(一)真实告知义务 证书申请人在申请时应依法如实提供
35、有关身份信息的证明。申请人为法人或其他组织时应提供公司或组织的名称、住址、法定代表人或主要负责人的姓名和住址、联系方式、有关执照或登记证等。在持有证书期间,证书持有人在密钥可能为非授权人知道或存在危害证书安全的情况时应立即通知认证服务机构。因证书申请人违反真实陈述义务给认证机构造成损害的,应予弥补。第二节 电子认证服务法律关系三、证书持有人的义务三、证书持有人的义务(一)真实告知义务 证书申请人在申请时应依法如实提供有关身份信息的证明。申请人为法人或其他组织时应提供公司或组织的名称、住址、法定代表人或主要负责人的姓名和住址、联系方式、有关执照或登记证等。在持有证书期间,证书持有人在密钥可能为非
36、授权人知道或存在危害证书安全的情况时应立即通知认证服务机构。因证书申请人违反真实陈述义务给认证机构造成损害的,应予弥补。(二)妥善保管义务 证书持有人在证书有效期间应尽合理的注意义务,保管其私人密钥,防止将其披露给任何未经授权的第三人。第二节 电子认证服务法律关系四、围绕电子认证证书形成的两种法律关系四、围绕电子认证证书形成的两种法律关系网络交易不同于传统交易,网络交易首先要搞清楚的是在和谁作交易,他的身份是否真实,信用如何。这方面的有关事宜是由电子认证服务机构提供的认证证书来说明的。这样,围绕认证证书这个核心形成了两种法律关系:(1)电子认证服务机构与电子签名人之间的关系;(2)电子认证服务
37、机构与电子签名信赖人之间的关系。第二节 电子认证服务法律关系(一)认证服务机构与电子签名人之间的法律关系认证服务机构与其证书持有人之间是合同关系。从保障电子商务交易安全的角度而言,认证服务机构介入交易关系是必不可少的,鉴于其地位的特殊性,法律对认证服务机构和持证人之间的关系作了较多的干预,双方的权利义务有很多强制性条款,但这并不意味着这不是合同关系。双方的法律地位是平等的,是否需要订立认证合同,其内容如何,均由当事人协商确定。当事人的合同关系表现在认证证书上。当事人在线或离线申请证书,认证服务机构允诺,合同即成立。合同的标的是认证机构的服务行为,双方的权利义务载明在认证证书上,因此,证书本身虽
38、不是合同,但它是合同存在的证明。第二节 电子认证服务法律关系电子认证服务机构提供证书服务,目的是表明电子签名人身份信息的真实性,让其他网络主体相信自己,同时,他也可以了解其他电子签名人的真实身份。这是建立网络商事关系的前提。这种证书提供的服务是一种信息服务,双方的权利义务记载在证书的申请、接受等认证业务说明中,用户申请获得这样的服务,接受认证证书意味着他同意了双方的权利义务。因此,证实他们之间是合同关系。第二节 电子认证服务法律关系(二)认证服务机构与电子签名信赖方之间的关系从另一个角度讲,电子签名信赖方是指由于相信电子认证服务提供者提供的认证证书而相信电子签名人的身份真实,从而与签名人进行商
39、事交易的人。从现有的情况看,电子签名信赖方有几种情况:(1)电子签名信赖方与电子签名人都是同一电子认证服务提供者的用户,都持有电子证书;(2)电子签名信赖方与电子签名人虽然都持有电子证书,但是由不同的认证机构发放的;(3)电子签名信赖方不持有任何电子证书。第二节 电子认证服务法律关系第一种情况,电子签名信赖方与电子认证服务提供者存在认证服务合同,具有合同关系;第二和第三种情况,电子签名信赖方与电子认证服务提供者之间没有合同,纯粹是基于对电子认证服务提供者的信任而相信证书持有人。但是,不论属于何种情况,对电子认证服务提供者的信赖始终是存在的。即使在第一种情况之下,也无法否认信赖利益的存在。基于此
40、,这种法律关系应该法定化,他们之间的关系应是一种法定信赖利益关系,电子认证服务提供者对电子签名信赖方的法定义务即是其承担责任的基础。该义务集中表现在认证机构的担保义务上:第二节 电子认证服务法律关系(1)电子认证服务提供者对证书的疏漏和虚假陈述承担责任。电子签名人申请时所提交的各类身份证明,电子认证服务提供者须为合理地审查,以免遗漏,对于明知或应知是虚假情事而仍为陈述的,应承担责任。电子认证服务提供者对建议交易相关事项须以申请人真实资信状况为依据,也不得虚假陈述。但是,电子认证服务提供者已采取了各种合理措施仍不能防止遗漏或虚假情事出现的,不应承担责任。(2)电子认证服务提供者对未按其认证业务说
41、明的要求或程序进行操作承担责任。认证业务说明具有公示性,并使证书信赖人产生信赖。电子认证服务提供者违反业务说明进行操作,则有悖于诚实信用原则,由此造成真实信赖人损害的,应承担责任。第二节 电子认证服务法律关系五、交叉认证的法律关系五、交叉认证的法律关系我国电子签名法第26条规定,经国务院信息产业主管部门根据有关协议或者对等原则核准后,中华人民共和国境外的电子认证服务提供者在境外签发的电子签名认证证书与依照本法设立的电子认证服务提供者签发的电子签名认证证书具有同等的法律效力。本条确立了境外电子认证服务提供者在境外签发的电子签名认证证书的法律效力。同时也提出了一个交叉认证的问题。第二节 电子认证服
42、务法律关系(一)交叉认证的解决方式 持有同一证书的当事人进行交易,他们之间会发生单一的认证关系;当持有不同证书的当事人进行交易时,彼此就会产生交叉认证。从认证本身的要求来看,认证是为了让交易各方了解彼此的状况,而这种了解是基于对认证机构权威性的信任。如果交易一方所持证书的发证机构不为对方熟悉,这种信任就很难建立。而网络交易的全球性和认证机构的独立性必然会导致此类情况大量存在。交叉认证中既存在国内不同机构的交叉认证,也存在国际间的交叉认证。因此,如何实现认证机构之间的认证,即交叉认证就具有重大意义。第二节 电子认证服务法律关系 交叉认证的解决方式主要有三种。第一种是通过国际条约或双边协定来处理。
43、这是一种较为理想的方式。凡加入条约或协定的国家,均可承认对方认证机构发放的证书在本国的效力。第二种是行政核准方式。境外认证机构在境内开展活动,为境内企业发放证书,须获得境内行政部门的核准。在这种方式下,境外机构的认证政策和可信性条件要符合本国规定的标准,而这种标准是开放和公开的,适用于所有境外的认证机构。第三种是认证担保的方式。在没有双边协定和国际条约的情况下,境外认证机构可以通过寻求境内认证机构提供担保,以解决该问题。第二节 电子认证服务法律关系 在我国国内,各认证机构之间同样也存在交叉认证问题。解决的方案有几种,有人建议建立一个国家级的“根认证机构”来认证其他认证机构,也有人认为可建立一个
44、认证服务联盟来协调处理此类关系,可谓曰“桥认证”。但在目前,可行性较强的方式是采用认证担保方式,此方式只须认证服务机构订立担保合同即可,较为简单,涉及的关系较少,但仍然是权宜之计,问题的最终解决需要国家立法统一规定。第二节 电子认证服务法律关系(二)联合国电子签名示范法的规定 联合国电子签名示范法第12条规定了承认外国证书和电子签名的一般原则,从而为解决交叉认证提供了可适用的国际立法性文件。该法指出,在承认外国证书和电子签名时应遵循以下原则:1、不歧视原则 一国不得因为证书来源地的不同而判定该国证书和电子签名是否具有法律效力或决定其法律效力的等级。也就是说,不论证书在何地签发,电子签名在何地作
45、出都不能成为影响其法律效力的因素,外国证书和电子签名的可靠性取决于其技术上的可靠性。第二节 电子认证服务法律关系2、基本等同的可靠性原则 这是一国判断外国证书和电子签名法律效力的一般标准,本国根据示范法的标准来判断外国的证书和电子签名是否达到这样的技术标准。示范法所确认的技术标准包括公认的国际标准和其他有关因素。所谓公认的国际标准是指国际技术和商业标准,也包括政府机构或政府间采用的标准或规范。但是示范法并不要求外国证书和电子签名所具备的可靠性与本国完全一致,而是要求基本等同。第二节 电子认证服务法律关系由于证书等级的不同,各国可能对不同等级证书的法律效力有不同的规定。因此,在运用基本等同的可靠
46、性原则时应对同类等级的证书进行比较判断。但是,各国对证书等级的划分未必是相同的,所以在对外国证书的法律效力进行判断时,应将该证书与本国中最相接近的那一等级比较并结合该证书的具体情况做出判断。3、当事人约定有效的原则 有关国家应当承认当事人约定使用某类证书或签名的协议有效,不受上述两个原则的约束。考虑到电子商务的全球性和合同自由的本质,当事人的约定有利于交易的正当进行。但是示范法的这一规定并非排除法律的强制适用,如果当事人的约定违反本国法律则无效。第二节 电子认证服务法律关系六、认证机构的法律责任六、认证机构的法律责任(一)认证机构责任的限制 认证是一个高风险的行业,既有内部风险又有外部风险,并
47、且一旦发生风险往往会造成非常严重的后果。认证机构在审查当事人的真实身份时应尽合理的注意,无过错的不应承担责任,而不适宜采用无过错的责任原则。第二节 电子认证服务法律关系 具体而言,认证机构在以下几种情况下可以免责或减轻责任:(1)当事人违反认证证书发放的目的进行交易。(2)证书持有人知道其密钥已泄密或有被损坏或无用的危险时,有义务请求撤销而未提出,造成他人损失的,由其本人承担。(3)认证机构在发现根密钥或信息系统遭到破坏或可能遭到破坏,为避免更大的损失而中止或撤销用户证书,造成他人损失的可以减轻或免责。(4)认证机构在审查证书申请人身份时已尽了合理注意仍不能避免错误的,认证机构对该错误及由此产
48、生的损失免责。(5)认证机构对于假冒或仿冒该机构的证书及由此产生的损失不承担责任。第二节 电子认证服务法律关系(二)认证机构赔偿范围限制 认证机构与证书持有人和证书信赖人之间构成法定的权利义务关系,因认证机构的过错导致当事人损失的,认证机构应承担赔偿责任,认证机构与证书持有人也可以通过合同来确立彼此责任的范围和大小。第二节 电子认证服务法律关系损害赔偿有直接损失赔偿和间接损失赔偿之分。直接损失是指现有财产的减少、毁损或灭失;间接损失是指可得利益的损失,主要是利润的损失。我国合同法第113条规定:“损失赔偿额应当相当于违约所造成的损失,包括合同履行后可以获得的利益”,以及“不得超过违反合同订立一
49、方订立合同时预见到或者应当预见到的应违反合同可能造成的损失”。但该赔偿范围不完全适用于认证机构。这是因为,认证机构是开展电子商务活动的基础设施和公用事业机构,证书用户众多,如果一旦发生赔偿,认证机构很可能无法正常运营,而影响到整个交易的正常进行。因此,认证机构只能就其违约或失职行为所造成的正常的直接损失承担赔偿责任,对于当事人丧失利润或机会的损失、精神上的损失不予赔偿。第三节 电子认证服务机构的管理截止2017年底,全国已有36家机构通过了工业和信息化部的行政许可审查并获得电子认证服务许可证。根据工业和信息化部的统计,截至2017年12月31日,我国有效电子认证证书持有量合计3.41亿张,其中
50、机构证书5900万张,个人证书2.78亿张,设备证书364万张;主要应用于网上税收、工商管理、社区服务、招标采购、网上银行、企业供应链管理、电子商务平台等领域。第三节 电子认证服务机构的管理一、电子认证服务提供者的资质管理一、电子认证服务提供者的资质管理对电子认证服务提供者资质管理是政府监控认证活动的重要手段,只有具有较高经营条件的组织才可承担电子认证服务业务。为此,电子签名法和工业和信息化部电子认证服务管理办法(2015年修订)作出了相应规定。(1)业务许可。我国政府对电子认证业务经营实行许可制度,电子认证服务提供者从事电子认证服务活动必须取得工业和信息化部颁发的电子认证服务许可证,未取得电
