《电子签名法》第16条至第25条提到了电子认证服务提供者,规定了电子认证服务提供者的申请条件、许可流程、应履行的义务、电子签名认证证书的内容、业务暂停与终止、主管部门等内容。在《电子签名法》颁布以后,我国信息产业部于2005年2月8日发布了《电子认证服务管理办法》;国家密码管理局于2005年 3月31日发布了《电子认证服务密码管理办法》。上述法律和规章自2005年4月1日起开始施行。
从上述规定的内容来看,《电子签名法》所指的电子认证服务提供者仅限于获得工信部颁发的《电子认证服务许可证》的企业法人,即业界所说的CA机构。现在在工信部官网上公示的有37家CA机构,其他的第三方服务机构不属于《电子签名法》中的电子认证服务提供者。之所以要强调这个问题,是因为在实践中某些机构混淆视听,在未获得《电子认证服务许可证》的情况下,宣传自己是《电子签名法》提及的“电子认证服务提供者”,这是不正确的。
虽然《电子签名法》第二十六条规定“经国务院信息产业主管部门根据有关协议或者对等原则核准后,中华人民共和国境外的电子认证服务提供者在境外签发的电子签名认证证书与依照本法设立的电子认证服务提供者签发的电子签名认证证书具有同等的法律效力”,但是尚未有境外的电子认证服务提供者被工信部核准或许可,因此现在境外的电子认证服务提供者在境外签发的电子签名认证证书的法律效力不被我国《电子签名法》及相关部门规章认可。
时间戳的应用问题
在电子商务交易文件中,时间是十分重要的信息。在书面合同中,文件签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容。数字时间戳服务 (digital timestamp service,简称DTS)是网上电子商务安全服务项目之一,能提供电子文件的日期和时间信息的安全保护。时间戳(timestamp),通常是一个字符序列,唯一地标识某一刻的时间。数字时间戳技术是数字签名技术一种变种的应用,也通常在数字签名系统中被采用,现有的CA机构在数字证书应用时也同时提供了时间戳服务,以确保时间信息不被篡改和伪造。但现在市场上仅仅提供时间戳服务而不提供数字证书服务的机构并非《电子签名法》中所指的“电子认证服务提供者”,因为其未获得工信部颁发的《电子认证服务许可证》,也不能证明文件签署者或服务使用者的主体身份,在技术上和法律效力上都存在局限性。
信息保存期限的问题
《电子签名法》第24条规定:“电子认证服务提供者应当妥善保存与认证相关的信息,信息保存期限至少为电子签名认证证书失效后五年。”
大大君认为《电子签名法》规定的电子认证服务提供者的信息保存期限时间太短。《民法通则》第137条规定:“诉讼时效期间从知道或者应当知道权利被侵害时起计算。但是,从权利被侵害之日起超过二十年的,人民法院不予保护。”从此规定来看,经过电子签名的文件在签署后如果发生纠纷,可能追溯相关的数字证书认证信息,如果CA机构信息保存时间过短,则不利于数字签名技术的推广使用。因此大大君认为信息保存期限至少为电子签名认证证书失效后20年较为妥当。
电子认证服务各方法律责任的承担
我国的《电子签名法》中,对电子签名人和电子认证服务提供者在数字签名使用和认证上应各负有的义务的规定是较为一致的,并规定了其各自应负的法律责任,而对于电子签名依赖方的责任与义务《电子签名法》未作规定。电子签名依赖方是较为被动的一方,它应以合理方式对电子签名进行验证。电子签名人与电子签名依赖方 之间一般表现为商务合同关系,主要受《合同法》的调整,一般要求其作为善意的谨慎商人尽到合理的注意义务即可。
电子签名人应负有的法律责任是:电子签名人知悉电子签名制作数据已经失密或者可能已经失密未及时告知有关各方、并终止使用电子签名制作数据,未向电子认证服务提供者提供真实、完整和准确的信息,或者有其他过错,给电子签名依赖方、电子认证服务提供者造成损失的,承担赔偿责任。
而根据《电子签名法》第28条规定,对于电子认证服务提供者适用过错推定原则,电子签名人或者电子签名依赖方因依据电子签名认证服务从事民事活动遭受损失,电子认证服务提供者不能证明自己无过错的,承担赔偿责任。
大大君认为应从如下两方面来证明电子认证服务提供者不存在过错:
第一,电子认证服务提供者证明其已履行了法定义务,具体包括:(1)依法申请许可资格,遵守国务院信息产业部的管理规则;(2)公开其名称、许可证号、电子认证业务规则,包括责任范围、作业操作规范、信息安全保障措施。(3)以合法的手段,审查签名人的身份及相关情况。(4)保证认证证书内容在有效期内完整、准确,并保证依赖方能够证实或者了解认证证书所载内容及其他有关事项。(5)妥善保存与认 证相关的信息,至少为电子签名时效后五年;(6)妥善解决认证人暂停或终止服务的后续工作。
第二,证明电子签名人或电子签名依赖方存在导致损失的过错行为。
从世界各国立法来看,各国电子商务立法基本都考虑到对认证机构的责任需要加以适当限定。例如欧共体电子签名指令规定,认证机构的民事法律责任主要是,签发权威性证书的认证机构,除非证明自己没有过错,应当对证书内容的完整性和准确性、签名生成数据持有人的身份、签名生成数据和签名验证数据的对应关系以及对因未及时撤销证书而造成的损失负责。不过,认证机构可以事先限制证书的使用范围和责任限额。英国电子签名条例也有类似规定。我国《电子签名法》没有明确电子认证服务提供者承担民事法律责任的范围,将来立法应予以完善;另外,我国《电子签名法》没有禁止CA机构通过协议约定事先限制证书的使用范围和责任限额。至于完全免责的约定,大大君认为不能排除《电子签名法》第28条过错推定原则的适用。
在互联网蓬勃发展的今天,电子签名技术已开始越来越广泛的应用到了互联网金融、电子商务、电子合同、电子公文流转、旅游、O2O、物流等诸多领域,司法系统不应再对《电子签名法》保持沉默和漠视的态度,希望这一系列的文章能够抛砖引玉,引起更多司法界同仁对于与电子签名相关法律问题的关注和思考。