电子签名与认证提供者的法律责任
作者:田凤常 (北京市共和律师事务所)
最近通过的中华人民共和国电子签字法《电子签名法》,应该说在诸多方面参考了国际经验及各国的电子商务立法实践。其雏形原自1996年联合国国际贸易法委员会的电子商务示范法和2001年年联合国国际贸易法委员会的电子签名示范法。记得2002年夏在一次信息网络/高新技术专业委员会与经贸部电子商务司的有关官员一同对当时的稿子进行研究讨论时,我就发现当时的稿子的版本里充满了翻译的痕迹,特别是有些不当的翻译内容。我代表信息网络/高新技术专业委员会,从律师的角度也了我们的有关修改意见。而即将于2005年4月生效的电子签字法不论从形式上还是从实质内容方面都是一种全新的,适合中国国情的电子签字法。
从国际上来看,电子签字法的立法活动十分迅速。1996年,联合国国际贸易法委员会推出《电子商务示范法》;马来西亚早在九十年代中期就提出了建设"信息走廊"的计划,并于1997年制订了《数字签名法》,是亚洲最早的电子商务立法;意大利1997年《数字签名法》;德国1997年的《数字签名法》和《数字签名条例》;1998年,新加坡颁布了主要涉及“电子签名”的《电子交易法》,又于1999年制订了"新加坡电子交易(认证机构)规则"和"新加坡认证机构安全方针";加拿大1999年的《统一电子商务法》;澳大利亚1999年3月15日生效的《电子交易法》;韩国1999年的《电子商务基本法》;1999年12月13日,欧盟通过了关于电子签名的最终指令:《欧盟电子签名统一框架指令》;西班牙2000年2月29日生效的《电子签名与认证服务法》;日本政府于2000年6月推出《数字化日本之发端行动纲领》;2000年6月30日,美国总统克林顿正式签署了《国际与国内商务电子签章法》,这是美国历史上第一部联邦级的电子签名法;印度2000年10月的《电子签名和电子交易法》;我国香港2000年的《电子交易条例》和台湾2001年的《电子签章法》;2001年,联合国贸法会审议通过《电子签名示范法》;2001年2月16 日,德国议员投票通过了使电子签名具有与手写签名同样的法律效力的议案,使德国成为第一个电子签名合法化的欧洲国家;日本的《电子签名与认证服务法》于2001年4月生效;2002年8月16日,波兰电子签名法正式生效,电子签名在波兰将与书写签名具有同等的法律效力。自俄罗斯1995年1月25日的《数字签名法》和1995年美国尤他州颁布的《数字签名法》(Utah Digital Signature Act)至今,关于电子签名的立法在短短几年内便席卷全球,令人惊叹。这罕见的景观背后,是蓬勃发展的电子商务的巨大推动力。安全可靠的运作环境直接关系着电子商务的发展远景,它需要扫除法律障碍,在虚拟的交易环境中保证交易的真实可信。电子签名自然成为其中的重要环节,可说是电子商务进化的必经之路。在这样的环境下,我国刚刚颁布的《中华人民共和国电子签名法》顺应时势,是我国信息产业发展中的重要事件。
而认证(Certification)又是电子签名中的一项重要制度,其目标仍然是着眼于“安全”。大家知道,电子商务安全问题的解决是两个方面的问题:一 技术方面,从技术上建立电子商务的安全认证机制,确认用户的真实性,信息/数据的保密性,完整性和不变性(抗抵赖);同时,利用现代密码技术,加密/解密技术及电子签名技术等,来保证电子商务活动的安全。二 法律方面,法律方面的安全保障是指,在电子商务活动出现差错时,如何运用法律手段解决有关交易各方的责任和权利/义务等问题。电子商务使用现代电子通讯手段所产生的法律问题,最终还是要通过立法来解决。 网上交易除了交易双方以数字签名识别彼此的身份和确保传输信息的完整性外,对数字签名本身的认证问题,不是靠交易双方自己能完成的,而需要由一个具有权威性和公正性的第三方来完成,从而为网上交易建立一种有效、可靠的保护机制,这也是数字签名制度的核心。此第三方一般被称为认证机构(Certification Service Provider)。认证机构是电子签名安全的技术保障体系,它承担网上安全电子交易认证服务,能签发数字凭证并能确认用户身份,它认证的是所给公钥与私钥是否具有关联性且处于一种有效密钥的最新状态,这种关联性和最新性对数字签名的证实和信用是非常重要的。
各国在关于电子签名的立法中都对认证机构做了规定:
马来西亚数字签名法采用了以公共密钥技术为基础并配套建立认证机制的技术模式。该法用大量篇幅对认证市场进行规范,认证机构的管理由马来西亚政府部长任命的官员或人士来负责,该法将其称为监控人。监控人可以根据工作的需要在部长的许可下组织自己的监控工作机构。该法还规定应根据有关法律成立全国性认证机构进行具体的认证工作。该法同时对认证工作进行了极为详细的规定,包括许可证的申请手续,生效与拒绝、撤消、遗失、有限期延长、放弃等问题。
而德国数字签名法则明确规定,验证服务营业无须批准,只要达到一定的从业标准,即可以经营该业务。政府并不组建或授权安全认证机构,有能力的组织都可以进入安全认证市场。
新加坡《电子交易法》中也反映出,政府并不组建或授权安全认证机构,有能力的组织都可以进入安全认证的市场(新加坡境外的安全认证机构要进入其市场则必须经新加坡政府管理机构的批准),凭借自己的市场竞争能力建立信用。但是,新加坡在安全认证市场管理方面还是非常严格的。首先,《电子交易法》规定,政府任命一个安全认证机构的管理机构,负责许可、证明、管理和监督安全认证机构的活动。其二,“电子商务法”规定了所有从事安全认证业务(例如签发电子凭证)的机构都必须遵循的统一标准。其三,安全认证机构可以自愿向管理机构申请许可,虽然管理机构的许可并不妨碍安全认证机构进入市场,但是得到许可的安全认证机构可以享受某种“优惠”,尤其是可以享受法律规定的责任限制。
于99年末制定的《欧盟电子签名统一框架指令》结构紧凑,由15个条款和4个附件组成,主要用于指导和协调欧盟各国的电子签名立法。其中比较有特色的主要的四个方面:电子认证服务的市场准入、电子认证服务管理的国际协调、认证中的数据保护、电子认证书内容的规范。 电子商务的本质决定了与电子商务相关的服务必然逐步显现国际化的趋势,电子认证服务也毫不例外,从长远的角度看,电子认证在国际范围内的统一和标准化是必然的趋势,在这一过程中,会产生不断的协调、互相渗透、交叉认证、竞争和兼并,这是电子商务自身的要求,也是市场竞争的要求和结果。所以,欧盟的电子签名统一框架指令在这方面可谓目光远大,分别在其第三条和第七条中,对电子认证服务的市场准入、电子认证服务管理的国际协调进行了规定。其第三条第一款明确规定"成员国不得为证书服务规定任何事先授权。"此外,该条其他款还规定了认证服务管理的客观透明、适当和非歧视的原则。以另一个方面,该条第七款也明确指出"成员国可以对电子签名在公用部门的使用而附加一些可能的附属要求,这些要求应该是合格、透明、客观和非歧视的"。而其第7条第一款则明确规定:“成员国应保证在第三国设立的认证机构配发的资格证书能和在联盟内设立的认证机构配发的证书一样在法律上被承认,如果:(A)该认证机构履行了在规定项下的要求并经设立在成员国境内的非官方认证机构认证;(B)认证机构在联盟内设立并履行了本指令项下的要求对证书进行担保;(C)该证书可认证机构根据联盟与第三国或国际组织的双边或多边协议而得到承认。”基于这样的准则,就可以基本上确保国际间认证服务的相互认可,从而为电子商务的国际化铺就通途,应该说,这些基本原则和技术处理应在世界范围内得到推广。我国的电子签字法中对国际间的电子签字证书的认证方面涉及不多,只是明确了有关原则。欧盟的经验必定会在这一方面产生积极的影响。
日本2000年制定的《电子签名与认证服务法》主要的篇幅都用于规范认证服务,这一点与欧盟的电子签名统一框架指令十分类似。在其第二章、第三章和第四章中,以指定认证服务的许可,境外指定认证服务的许可、指定调查机构的调查、调查机构的成立批准等几个方面对认证服务进行了全面细致的规定,其中,对于认证服务的许可、境外认证服务的许可,与欧盟不同的是,日本采用了须经官方许可的做法,并且对许可的条件、不予许可的情形、许可资格的续殿、继承。变更、中止等都做了严格的规定,为了保证相关机制的运转,该法中还明确了指定调查机构的权利与义务,形成了一个很有特色的监管模式。
中国台湾的《电子签章法》对于认证机构的管理,采取尊重市场机制的低度管理制度,但要求认证机关应依主管机关制定的作业基准运行并对外公布,以保护消费者权益。
可以看到,各国对认证机构的管理各有其政策。总的来说,可分为以下类别:
一是行业自律型。这是市场自由、技术中立原则的充分体现。即政府完全不介入、不干预,认证机构通过市场竞争建立信誉,以求生存和发展。采用这一管理模式的多为拥有雄厚的技术和资金优势,市场发育成熟,社会信用制度健全,民间认证体系已趋完善的国家。澳大利亚、美国的加利弗尼亚州是采用这种方法的典型代表,追随者也不在少数。其具体做法是,政府只宣布承认计算机网络通讯记录的书面效力,认可电子签名与手写签名有同等效力,说明电子签名安全性的原则性标准,至于采用何种电子技术做出签名,由谁来充当网络交易中的认证人,政府一般不过问,可由交易当事人自己决定。这种对电子商务的概括性规范,被称为“最低限度主义方法”,它在适应新技术发展方面有灵活性,但却留下很多重要问题没有规定。比如交易中的风险责任分担等关键性法律问题就不是靠当事人的协议所能完全解决的。这种自由宽松的交易环境,或许有利于电子商务企业施展才华,却不利于广大消费者的参与。
二是政府监管与市场培育相结合。采用这种方式管理认证机构的国家多数规定了自愿认可制度,即法律规定认证机构并不一定取得许可,但是经过政府许可的认证机构可享受责任限额等优惠条件。政府对认证机构管理只实行有限介入,不进行全面干预。如新加坡、英国、奥地利等国家。该方案设想如下:认证机构的管理机关应当由政府主管部门(如财政部或商务部等)和全国认证机构协会来承担,后者是根据法律而成立的行业协会,并不具体从事认证业务,协会负责成立一个电子认证标准审查委员会,具体对适用于电子认证行业的标准负责开发、修订与确认,并且负责对其会员所采用的密码、标准的选定。任何官方的和非官方的实体,都可以成为认证机构,但它必须是在全国认证协会登记的成员。这一方案采取了官方监督,
三是政府主导型。多数发展中国家,由于技术资金处于劣势、市场发育不完善,同时又要加快发展,因而多采用政府干预,以发展本国认证体系,如马来西亚。但是,一些发达国家也保留了浓厚的政府介入特色,规定由信息通信部或者相关大臣发放许可。如韩国、日本都属于对认证机构实施许可、审批的国家。其具体做法大致如下:(1)以法律授权政府相关的机构(通常为商务署),对认证机构进行管理,颁发许可证;(2)规定认证机构所必须具备的可靠条件,包括硬件、软件、业务人员等方面;(3)政府允许符合法定条件的认证机构承担有限责任;(4)法律上推定经认证机构核实的电子签名具有证据力。该种方法充分显示了政府的行政力量,其目的是让安全数字签名完全成为手书签名的替代品,进而促使广大的消费者进入电子商务领域。
我国的《电子签名法》应属于政府主导型。《中华人民共和国电子签名法》第十七条规定了电子认证服务提供者应当具备的条件,第十八条规定:“从事电子认证服务,应当向国务院信息产业主管部门提出申请,并提交符合本法第十七条规定条件的相关材料。国务院信息产业主管部门接到申请后经依法审查,征求国务院商务主管部门等有关部门的意见后,自接到申请之日起四十五日内作出许可或者不予许可的决定。予以许可的,颁发电子认证许可证书;不予许可的,应当书面通知申请人并告知理由。”这样的规定应该说是比较适应我国目前的商业和网络环境的。纯粹市场的解决方案不仅有赖于市场的培育和成熟,而且有赖于市场监管机制的健全。由于我国市场培育尚远未成熟,企业信誉相对较弱,因此在电子认证中需要以政府的信誉作补充。为了保障我国电子商务的健康发展,由政府组建的或者授权的机构担任电子签名的安全认证机构还是必要的。从我国的情况看,完全采取市场竞争的方式发展电子签名安全认证机构恐怕在近期还不现实。
与认证提供者在电子签名中扮演的重要角色紧密相连的是在认证中所负有的法律责任。联合国国际贸易法委员会2001年的《电子签名示范法》作为先锋和纲领性的文件对电子签名中的各方的责任和义务做出了规定: 要求签名人应当尽合理注意避免其签名数据未经授权被他人使用;在签名人知道签名数据已经处于不安全状态,或者签名人了解的情况导致出现了签名数据可能已经处于不安全状态时,他应当未经不合理迟延地通知其可能预料到的依赖电子签名行事的或为电子签名提供支持服务的任何人。如果签名人没有履行上述义务,他将承担由此引起的一切法律责任。
在对认证服务提供者方面:如果认证服务提供者为一项需经认证程序方有法律效力的电子签名而提供证明服务时,他应当尽以下义务:即认证服务方必须按照其自身的行为规范向客户提供服务;保证与认证服务有关的所有主要承诺准确和完整;提供合理可行的方式使依赖方能够从证书中获得确认:a.认证服务上的身份,b.签名人(证书所载的)在发证时掌握着签名生成数据,c.签名生成数据在发证时及之前始终有效;使依赖方能方便得到有关情况(如:识别签名人的方法,对签名制作数据/证书的使用的限制,签名制作数据是否安全/有效,认证服务商的责任范围,以及有关发出通知/撤销,等其他情况);在提供服务时使用可信赖的系统、程序和人力资源 等。联合国国际贸易法委员会2001年的《电子签名示范法》规定,认证方证明服务提供者将因未能履行上述义务负法律责任。
在《电子签名示范法》中,有信赖利益的一方同样负有相应的义务:如果信赖方没有采取合理步骤查证电子签名的可靠性;或者在有一证书支持电子签名的情况下,未采取合理步骤:查证证书的有效性、证书的中止或撤销;并且注意关于证书的任何限制,那么他将承担因其自身疏忽导致的法律后果。
我国的《电子签名法》中,对上述二方在数字签名使用和认证上应各负有的义务的规定是较为一致的,并规定了其各自应负的法律责任:
电子签名人应履行以下义务:
1、电子签名人向电子认证服务提供者申请电子签名认证证书,应当提供真实、完整和准确的信息。——第二十条
2、电子签名人应当妥善保管电子签名制作数据。——第十五条
3、电子签名人知悉电子签名制作数据已经失密或者可能已经失密时,应当及时告知有关各方,并终止使用该电子签名制作数据。——第十五条
与义务相对应,电子签名人应负有的法律责任是:
电子签名人知悉电子签名制作数据已经失密或者可能已经失密未及时告知有关各方、并终止使用电子签名制作数据,未向电子认证服务提供者提供真实、完整和准确的信息,或者有其他过错,给电子签名依赖方、电子认证服务提供者造成损失的,承担赔偿责任。——第二十七条
新加坡《电子交易法》中对电子签名人的义务和责任的规定如下:
25 以欺诈为目的的发布
任何人以欺诈或非法目的故意创设、发布或以其他方式公开一项证书的行为,是违法行为,应处以2万元以下的罚金或2年以下监禁,或者二者并用。
26 虚假或未经授权的请求
任何人故意向认证机构陈述虚假身份或虚假认证,以便请求发布一项证书或撤销、中止一项证书的行为违法,应处以1万元以下的罚金或6个月以下监禁,或者二者并用。
第九部分 登记人的责任
36 创设配对密钥
(1)如果登记人创设了一对配对密钥,而且其中的公共密钥于认证机构发布的证书内载明,并为登记人接收,则登记人应使用可靠系统创设密钥;
(2)本条规定不适用于认证机构的系统提供的配对密钥的情况。
37 获取证书
登记人为获取证书提供给授权机构的所有资料和陈述,包括登记人已知的信息和在证书中将要表明的信息,不论该陈述身份为认证机构确认与否,都应在其理解和信赖的范围内保证准确和完整。
38 接收证书
(1)登记人应视为已经收到证书,如果他
a 公布一项证书或授权公布证书;
i 向一个或一个以上的个人;
ii 向一个储存库。
或
b 在其他情况下,在知道或注意到证书内容时,宣告接收证书
(2)证书内载明的登记人接收自己户认证机构发布的证书,应向所有合理依赖证书内容的人证实:
a 登记人正确持有与证实内所列公共密钥相符的私密钥;
b 登记人向认证机构所作的全部陈述以及证实内包含的信息材料真实有效;并且
c 证书内有关登记人所应了解的信息证书有效。
39 私密钥的管理
(1)登记人通过认证机构发布的证书,并机构身份识别,就承担了合理谨慎的义务,以保持与证书内所列公共密钥相符的私密钥的控制,并防止其向未经授予创设登记人数码签署的权利其他人泄露。
(2)上述责任在证书的有效期内和证书中止期间一直存在。
40 中止或撤销证书的开始
如果在证书中与公共密钥配对的私密钥被泄露给第三人,则接受证书的登记人应尽快请求发证机构中止或撤销证书。
可以看到,对于义务的规定与我国是基本相同的,而仅仅就“以欺诈为目的的发布”和“虚假或未经授权的请求”本身进行处罚,至于此种行为可能给电子签名依赖方、电子认证服务提供者造成的损失,则并没有规定应负责任。这样就对电子签名人的法律责任给出了一个限度。而我国的规定相较起来更加严格。
电子签名依赖方的责任与义务《电子签名法》未作规定。这是较为被动的一方,它应以合理方式对电子签名进行验证。电子签名人与电子签名依赖方之间一般表现为商务合同关系,主要受《合同法》的调整,一般要求其作为善意的谨慎商人尽到合理的注意义务即可。
电子认证服务提供者,处于整个数字签名认证法律关系的中心地位。数据电文和数字签名的真实性、完整性和不可否认性,都基于对电子签名的有效认证,其依据就是认证人颁发的电子签名认证证书。认证人的工作就是通过颁发证书用以证明证书上所载公钥与签名人之间的关系,并以其专业能力和执业资格使依赖方据以验证数字签名的真实性和完整性。我国《电子签名法》规定其义务如下:
1、依法申请许可资格,遵守国务院信息产业部的管理规则,并接受信息产业部的监督。(第十八条、第二十四条)
2、公开其名称、许可证号、电子认证业务规则,包括责任范围、作业操作规范、信息安全保障措施。(第十八条第三款、第十九条)
3、以合法的手段,审查签名人的身份及相关情况。(第二十条第二款)
4、保证认证证书内容在有效期内完整、准确,并保证依赖方能够证实或者了解认证证书所载内容及其他有关事项。(第二十二条)
5、妥善保存与认证相关的信息,至少为电子签名时效后五年。(第二十五条)
6、妥善解决认证人暂停或终止服务的后续工作。(第二十三条)
各国立法中对认证提供者的义务的规定都基本遵循了示范法的样本。而认证提供者到底应负怎样的法律责任呢?认证机构在从事签发电子凭证,证明电子签名正确性的业务活动中,承担着很大的法律责任的风险。例如,如果申请电子凭证的一方提供了虚假的身份信息,而安全认证机构没有通过仔细核查发现,没有及时告知接收电子签名文件的一方,就需要承担责任。又如,当某个电子凭证已经失效,认证机构又没有及时告知对方,也需人承担责任。在电子商务中,认证机构的地位类似于网络服务提供者,既重要又危机四伏,如果不对其法律责任的风险加以适当的限制,安认证机构就可能很难生存下去,认证市场也会萎缩、消亡,因此,各国电子商务立法基本都考虑到对安全认证机构的责任需要加以适当限定。例如欧共体电子签名指令规定,认证机构的民事法律责任主要是,签发权威性证书的认证机构,除非证明自己没有过错,应当对证书内容的完整性和准确性、签名生成数据持有人的身份、签名生成数据和签名验证数据的对应关系以及对因未及时撤销证书而造成的损失负责。不过,认证机构可以事先限制证书的使用范围和责任限额。英国电子签名条例也有类似规定。新加坡电子交易法规定:
44 标准依据限额
(1)授权认证机构向登记人发布证书时,可以在证书中载明一项供参考的标准依据限额。
(2)授权认证机构可以在不同的证书中止不同地点依据限额。
45 授权认证机构的责任限制
除非授权认证机构放弃适用本条规定,否则
a 如果授权认证机构遵守本法规定,依赖一项虚假陈述或伪造的数字签名而造成损失,该机构对损失不承担责任;
b 如果标准依据限额是由于下列原因造成扩大的费用,该机构不承担证书内载明的额外费用:
i 由于依赖证书中关于授权认证机构应当遵守的陈述错误而造成损失;
ii 未能遵守第29条和30条证书发布的规定。
虽然没有为安全认证机构规定一般的责任限制,但是规定经政府管理机构许可的安全认证机构可以在其签发的电子凭证中说明其承担责任的限额,因此被许可的安全认证机构的责任风险实际上受到了限制。此项规定,但却引起了新加坡商业界和法律界人士的强烈批评。还有学者认为,这种对认证机构特别保护的规定,还不如代之以利用合同或侵权的一般原则来解决这一问题。另一些学者则认为,之所以给予认证机构以赔偿金额限制,目的是使认证机构承担的风险相当于银行发行自动柜员机卡或信用卡所承担的风险而不是更大。在网络商务的起步阶段,为扶植认证机构的发展而给予其某些特别保护,也无可厚非。另一方面,在认证机构签发给当事人的证书被盗并被他人用以欺诈的情况下,如果欺诈是在当事人将证书被盗的情形通知认证机构之前发生的,则认证机构对当事人因欺诈而导致的损失不负责任。
我国《电子签名法》对认证提供者的法律责任规定如下:
第二十八条 电子签名人或者电子签名依赖方因依据电子认证服务提供者提供的电子签名认证服务从事民事活动遭受损失,电子认证服务提供者不能证明自己无过错的,承担赔偿责任。
第三十条 电子认证服务提供者暂停或者终止电子认证服务,未在暂停或者终止服务六十日前向国务院信息产业主管部门报告的,由国务院信息产业主管部门对其直接负责的主管人员处一万元以上五万元以下的罚款。
第三十一条 电子认证服务提供者不遵守认证业务规则、未妥善保存与认证相关的信息,或者有其他违法行为的,由国务院信息产业主管部门责令限期改正;逾期未改正的,吊销电子认证许可证书,其直接负责的主管人员和其他直接责任人员十年内不得从事电子认证服务。吊销电子认证许可证书的,应当予以公告并通知工商行政管理部门。
可以看到,我国《电子签名法》并不限定认证服务提供者的法律责任,认证服务提供者在认证活动中所负的风险是较大的。这是否会阻碍我国认证服务市场的发展呢?在《中华人民共和国电子签名法》的草案中,曾依照新加坡的模式对认证服务提供者的责任进行限制,因为何种原因取消了这种风险保护?新浪科技2004年9月21日以“70家CA需电子签名法放行 百万证书等待转正”为标题对《电子签名法》施行前夕的中国认证服务市场现况作了报道。文中提到:
“我国电子签名法的出台是在国内已经有了70多家的电子认证服务机构及已发出去上百万张数字证书之后的,这些认证机构有行业的、区域的,也有完全市场化的;这些数字证书有发给企业的、个人的,也有发给服务器的,这部签名法如何面对这些“既成事实”就成了大家关注它的另一个方面。”专门认证咨询服务业务的北京德法智诚咨询有限公司CTO乔聪军这样认为。
我国目前有近9千万网民,其中2千万网上交易用户,网民数量仍在持续发展,网上交易数量不断增大,并且已有七十多家认证机构,已发出上百万张数字证书,很明显我国面对这个已有一定规模的认证市场的首要任务是规范市场行为,筛选其中合格的认证服务提供者。这就决定了我国对认证提供者的法律责任认定的态度。《电子签名法》表明了我国政府规范电子商务改善网络环境的决心。
电子认证服务提供者作为保障电子商务交易安全的专业服务提供商,因其行为直接影响交易双方的利益,且就技术和过程掌控能力而言,在三者中处于优势地位,所以,《电子签名法》规定了较为严格的过错推定责任认定制度,要求认证人“证明自己无过错”方可解脱责任。电子认证服务将是一个高风险的行业,积极研究责任防范和“无过错”证据证明方法对于认证人有着十分重要的意义。
但从《电子签名法》条文中也能看到,并没有禁止认证服务提供者在服务合同中增加限制自身责任风险的条款。这是法律留出的自由裁量的余地,还是一个没有规定可循的空白区域?新法规的出台,给了认证服务从业者和法律界人士值得讨论和思考的问题。
《电子签名法》第二十八条规定,电子签名人或者电子签名依赖方因依据电子认证服务提供者提供的电子签名认证服务从事民事活动遭受损失,电子认证服务提供者不能证明自己无过错的,承担赔偿责任。此处对于赔偿没有作具体规定,一般来说,应以对方遭受损失的数额为准。认证提供者应注意到此规定,在认证活动中尽到自己的法律义务与责任,否则在当下电子商务蓬勃发展交易标的日渐增长的情况下,就有面对巨额赔偿责任的危险。第三十条和第三十一条还对认证提供者在从业中的违规情况的处罚作出了明确规定。
对于涉及电子签名的其他违规与犯罪行为,《电子签名法》同样作出了规定:
第二十九条 未经许可提供电子认证服务的,由国务院信息产业主管部门责令停止违法行为;有违法所得的,没收违法所得;违法所得三十万元以上的,处违法所得一倍以上三倍以下的罚款;没有违法所得或者违法所得不足三十万元的,处十万元以上三十万元以下的罚款。
此条使我国电子认证服务市场的准入制度更加严密,旨在保证市场的有序活动,防止其因未经许可的认证提供者的非法经营活动受到影响。
第三十二条 伪造、冒用、盗用他人的电子签名,构成犯罪的,依法追究刑事责任;给他人造成损失的,依法承担民事责任。
那么应承担何种刑事责任,受到何种处罚呢?新加坡《电子交易法》对伪造冒用电子签名的行为的处罚有明确规定:
25 以欺诈为目的的发布
任何人以欺诈或非法目的故意创设、发布或以其他方式公开一项证书的行为,是违法行为,应处以2万元以下的罚金或2年以下监禁,或者二者并用。
26 虚假或未经授权的请求
任何人故意向认证机构陈述虚假身份或虚假认证,以便请求发布一项证书或撤销、中止一项证书的行为违法,应处以1万元以下的罚金或6个月以下监禁,或者二者并用。
而我国法律中没有明确的量刑标准。因《电子签名法》规定,可靠的电子签名与手写签名或者盖章具有同等的法律效力(第十四条),在依赖电子签名进行的电子商务活动中,是否可参照我国《刑法》中关于合同欺诈的条款值得注意。我们期待着《电子签名法》的实施细则能够解决这一问题。
《电子签名法》对负责电子认证服务业监督管理工作的部门的工作人员的违法行为的处罚也作了规定:
第三十三条 依照本法负责电子认证服务业监督管理工作的部门的工作人员,不依法履行行政许可、监督管理职责的,依法给予行政处分;构成犯罪的,依法追究刑事责任。
因为是国务院信息产业主管部门对电子认证服务提供者依法实施监督管理,所以对于此类工作人员的犯罪行为的规定和量刑应可根据我国《刑法》
总之,围绕电子签名的法律行为,所涉及的各方会因不同情形分别相应的法法律责任:民事赔偿责任;行政处分;罚款;以至追究刑事责任。我国《电子签名法》的出台,引起了各界的强烈关注,毫无疑问是我国电子商务发展中的里程碑式的事件,对于规范电子签名的使用、电子签名认证服务市场的活动有重大意义,也使我们看到了未来我国电子商务发展的巨大潜力和远景。新法规也引起了我们对涉及电子签名的诸多法律问题的思考,我国的《电子签名法》与世界各国的对应法律相比有何不同之处?我国法律有怎样的特点?在2005年4月1日新法规施行之后,会给现有状况带来怎样的影响?在实践中是否会产生问题?希望通过这样的讨论,能与诸位相互交流借鉴,以我们的共同努力,创造安全、高效、值得信赖的理想电子商务环境。