试论我国电子签名认证机构的民事责任

摘要我国现实中认证机构存在两种类型--依据《电子签名法》并经有关部门许可成立的第三方认证机构(许可CA)和交易中某一方自设的认证机构(自建CA)。因认证机构性质的不同,导致认证机构与签名人、电子签名依赖方的法律关系也不同,从而导致认证机构的责任性质及责任承担的区别。

关键词电子签名认证机构归责原则民事责任

作者简介:李士萍,天津大学文法学院副教授;吴博健,天津大学经济法学硕士研究生。

中图分类号:D923文献标识码:A文章编号:1009-0592(2012)05-261-02

电子商务的买卖双方在进行每一笔交易时,需要鉴别对方身份的可信度,因此要有一个第三方机构或个人来认证双方的身份,保证网络交易的安全。上述第三方就是我们所说的认证机构(Certification Authority,简称CA,也可译为“认证中心”)。从我国的现实情况来看,存在许可CA和自建CA两种形式的电子签名认证机构。

一、认证机构与电子签名人、签名依赖方的关系

(一)电子签名认证机构与电子签名人的关系

认证机构对签名人提供的服务是信用信息服务,认证机构提供的这种服务,并非一般的实现某种商品使用价值的服务,而是专业化的商业信誉方面的服务,类似于医生对于病人的关系,他们都负有职业上的特殊义务。①与一般的服务不同,电子签名认证是一种信用服务,电子签名认证机构提供的信息是经过核实的,即关于电子签名人身份的可靠信息。电子签名人向认证机构申请电子签名认证服务并支付一定的报酬,而认证机构将作为合同标的的信息服务交付给电子签名人,从而形成电子信息服务合同关系。如果认证机构没有履行合同或没有适当履行合同的话,其将承担违约责任。

(二)电子签名认证机构与电子签名依赖方之间的关系

我国《电子签名法》规定的电子签名依赖方是指基于对电子签名认证证书或者电子签名的信赖从事有关活动的人。在电子商务交易过程中,电子签名依赖方并未与电子认证机构发生直接的关系,电子签名依赖方之所以与CA产生联系,是由于签名人的中间环节作用。依赖方能够确认交易相对方的真实身份并且敢于和电子签名人进行交易或者其他经济往来的关键在于CA的信用担保。电子签名依赖方之所以会依赖电子签名从事活动是由于认证机构对电子签名认证的这种“信用公示”,即,双方之间存在信赖利益。具体来讲,电子签名人要求认证机构向其签发认证证书,是为了吸引潜在的依赖方与之进行交易。因此,潜在的依赖方在与电子签名人交易之时,为了核实其身份及数据信息,必然向认证机构的进行查询。而依赖方本身没有与认证机构签订任何合同,其最终是否能与电子签名人进行交易,完全取决于对认证机构所作认证的信赖程度。电子签名依赖方主要是基于对数字证书的信赖关系而与电子签名认证机构发生相关的法律关系。此外,还存在基于对其所提供的证书目录及状态查询服务所产生的合理信赖关系。

二、许可CA的责任承担

许可CA认证中涉及的电子签名,是由依据《电子签名法》或其他相关法律规定成立的,具备电子认证服务资质的专业机构做出的。这种认证模式下进行的电子签名受《电子签名法》的保护,具有法律效力和证据效力。

(一)责任性质

第一,许可CA对电子签名人的违约责任。它是指电子签名认证机构做出的不履行或未如实履行其约定义务的行为,导致其他当事方的权益受到侵害,从而承担相应的赔偿损失、支付违约金等责任。电子签名认证机构可因不履行下列义务对证书持有人遭受的损失承担违约责任:(1)对电子证书申请人以及电子证书持有人身份的调查、审核义务。电子签名认证机构因电子证书所记载的信息错误,造成电子签名人判断错误并遭受损失的,或者因没有履行认证服务声明中的义务,给电子签名人造成损失,应当承担违约责任。(2)信息保密义务。例如电子签名认证机构违反保密义务,侵犯证书持有人的隐私权、个人资料权等。(3)安全保障义务。除不可抗力以及黑客行为等不可预料的因素外,认证机构对由于过错原因,违反安全保障义务等给电子签名人造成的损失应予以赔偿。②

第二,许可CA对电子签名依赖方的侵权责任,即由于电子签名认证机构违反法定义务,对电子签名依赖方造成财产或人身损害,所应承担的民事法律责任。电子签名认证机构在认证服务过程中是站在一个中立的角度,一方面公正审查电子签名申请人的信用情况,另一方面也将真实可靠的信息向社会公众披露。电子签名认证机构不是电子签名人和电子签名依赖方的人,它没有义务,更没有理由偏向其任何一方。保证其所提供的信息的真实性和权威性是电子签名认证机构生存的关键。同时,法律、行业规范和电子签名依赖方的信赖也对电子签名认证机构的认证行为提出真实性要求。因此,如果电子认证服务机构违反“保证身份识别、数据电文的准确、机密、完整、有效的义务”而造成电子签名依赖方利益损失,就构成了侵权。电子签名认证机构责任的产生基于它的职业义务,这是一种法定义务。此外,电子签名认证机构具体责任的承担还应具备两项事实,即交易的进行和损失的发生,并且交易额没有超出证书建议的可信赖程度的范围。③

三、自建CA的责任承担

自建CA在承担法律责任方面与许可CA存在差别。当电子签名人与自建CA发生纠纷要求赔偿的时候,需要电子签名人来举证,但如果使用了许可CA的认证服务,根据《电子签名法》第二十八条的内容规定实行举证责任倒置。这是自建CA和许可CA最大的不同。

由于自建CA身份上的瑕疵,其不在《电子签名法》的保护范围之内。所以当自建CA与签名人和依赖方产生纠纷的时候,自建CA不能作为一个独立的主体来承担责任,而只能由其背后提供自建CA服务的服务方(交易中的某一方)来承担责任。就自建CA与签名人的关系来看,自建CA与签名人之间不是典型的认证服/:请记住我站域名/务合同关系。两者的电子签名认证关系存在于服务方和签名人之间的一个合同关系中,即电子签名认证是作为双方合同关系中的一项来进行的,合同乃是自建CA与电子签名人之间关系存在的基础。因此,我们可以将自建CA与签名人之间的关系看作是在合同关系项下的一项内容。我们可以参照《合同法》相关内容进行保障。

在处理自建CA与数字签名依赖方的纠纷时,我们可以仿照自建CA与签名人的合同关系原理,将自建CA“还原”为交易一方。电子 签名认证机构与依赖方之间是一种信赖关系。电子签名认证机构作出认证的主要目的是为依赖方是否与签名人进行交易提供主要依据。因此,由于认证证书的“缺陷”而致使依赖方遭受损失,依赖方当然有权向认证机构提出赔偿要求。④有学者将其称之为“广义的侵权责任”。出于自建CA作为认证机构的特殊地位的考虑,其在交易过程中一般处于优势地位。因此,为了平衡交易双方的责任地位,对自建CA的侵权责任我们应采取过错推定责任原则。

四、电子签名认证机构责任的完善

(一)对电子签名认证机构的过错推定责任实行一定的“举证责任缓和”

目前,我国的《电子签名法》在第二十八条中规定了电子认证服务提供者的赔偿责任。从法条中可以看出,这是过错推定原则。这种过错推定原则将电子签名认证机构的经营风险大大提高。由于网络技术本身的缺陷,使得任何安全措施都是相对的,并且现在的黑客行为完全可以做到“无声无息”让被侵入者完全没有察觉。因此,将这种系统风险和技术风险的不利后果完全归于电子认证服务商是不公平的。考虑到电子商务正处于起步阶段,这样过于严格的责任会影响到电子认证产业的发展。因此,不论是从国内的行业发展角度考虑,还是顺应国际电子商务立法的趋势,我国都应该对此进行完善。