电子认证合同关系及民事责任分析

发布时间:2019-08-23 04:52:15


  摘 要

  电子认证立法虽说在我国还未出现,但在绝大多数发达国家及不少发展中国家中已成为一个非常活跃的领域。本文研究的是电子认证法中核心的问题,即电子认证合同关系、电子认证活动中的违约责任侵权责任

  本文绪论部分简介了电子商务、电子政务、电子认证及相关立法的概况。将现有的电子认证立法分为技术特定式、技术中立式及折衷式三类,分别进行了简单的述评。

  第一章研究了电子认证合同关系。首先将电子认证关系定性为一种合同关系;接着分析了电子认证合同的订立过程,要约方一般是证书的申请者,而承诺方一般是认证机构,要约和承诺的过程大多数情况下是在离线状态进行,有时也可在网上进行;然后分析了电子认证合同的特点,即电子认证合同属提供服务的、双务、有偿、要式合同,基本上属格式合同,在有些国家还属无名合同;最后归纳了认证机构及签署者各自的权利、义务。

  第二章论述了电子认证活动中的违约责任。首先列举了电子认证活动中的违约行为;接着论证了电子认证活动中的违约责任应采过错责任原则及可能有的不可抗力、黑客攻击造成的技术故障、债权人过错等免责事由;然后讨论了认证机构之违约赔偿对象和赔偿范围,指出赔偿范围的确定应坚持完全赔偿原则和合理预见规则,并介绍了美国犹他州规定的赔偿范围及华盛顿州对其的改进,分析了Verisign公司有关违约赔偿范围的格式条款,讨论了认证机构责任之最高限额;最后简略地提及了签署者之违约损害赔偿范围。

  第三章论述了电子认证活动中的侵权责任。首先介绍了新加坡、美国犹他州、我国香港地区的电子认证立法中规定的认证机构及签署者对信赖方的义务;接着列举了电子认证活动中的侵权行为并指出了这些侵权行为的特点,即属广义的、特殊的、消极的侵权行为,讨论了电子认证活动中的侵权责任与违约责任的竞合问题并认为应允许受害方有选择权;然后论证了认证机构之侵权责任应采过错推定责任及可能有的免责事由,对受害方过错进行了分析,并讨论了认证机构的法定免责-避风港问题;最后讨论了认证机构的侵权赔偿对象、范围及签署者的侵权赔偿问题。

  在结论中对电子认证合同关系及电子认证活动中的民事责任进行了总结,并呼吁尽快制定我国的电子认证法。

  限于篇幅,本文虽建立了一个较完整的体系,但在论述时并没有做到面面俱到,而是将重点放在认证机构一方,对签署者一方的有关问题只是简略地提及。

  前 言

  “网络法”是20世纪90年代中后期,随着国际互联网络的广泛应用及电子商务的迅速发展而产生的一个新的“法学概念”。国外从1997年起,已经出版了一批有关“网络法”的学术专著,多数发达国家及一部分发展中国家已经开始了“网络法”的制定与完善。它也已成为国际法的一个重点。在这一领域,中国显然是滞后的。

  郑成思先生认为,网络法无论在学术上还是在立法实践中,都是“解决因互联网络而带来的新问题”的有关法律的总称。国际上目前制定(或完善)中的“网络法”,一般包含以下六个方面:

  1.在知识产权法中,新增受保护客体及专有权内容,并增加有关单行法,或实行知识产权法“法典化”,以便一揽子解决网络给知识产权保护带来的新问题。

  2.修订原有商法典或制定单行法,以规范电子商务活动。

  3.对网上信息的法律控制。

  4.网上消费者权益保护

  5.确定“在线服务商”的侵权责任。

  6.解决涉外民事诉讼中的新问题。

  互联网的出现,使原有的法律关系受到冲击和挑战。以网络为平台发生的权利义务关系,有些能用原有的法律调整,如订立合同条款,在书面与网络形式表达并无不同,但书面签名与电子签名就不同,所以网络会给法律提出新的问题。网络法要解决的就是这些新的问题,即现有法律不能调整的法律关系。

  本文内容主要包括三个方面:对电子认证合同关系的研究、电子认证活动中的违约责任及电子认证活动中的侵权责任,其核心是探讨电子认证机构可能有的民事责任。这些问题应属上述第二方面的内容,即电子商务法的内容。期望通过本文的研究,探索已有的立法之规律,为我国的相关立法提供参考资料。

  绪 论

  电子商务、电子政务、电子认证及相关立法概述

  一、电子商务的概念

  21世纪将是网络的时代。网络正以惊人的速度,将其触角延伸到全球的每一个角落,拓展到社会的无数个领域。网络时代,最具明丽色彩的当属网络与商务的结合。只要轻轻一点鼠标,任何一个商人都可以与分布全球的无数个潜在的交易对手联系在一起,这是自商务产生以来最具有革命性、最令人激动的商务活动了。我国使用网络的人1997年末仅30万,1999年上半年已发展到400万,即以每年10倍的速度发展。国外网络用户(包括企业)的发展速度,也同样是惊人的。

  电子商务,是指在网络平台基础上直接进行在线交易,利用数字化技术将企业、海关、运输、金融、商检和税务等有关部门有机连接起来,实现从浏览、洽淡、签约、交货到付款等全部或部分业务自动化处理。电子商务相对于传统商务形式,克服了地域上和时间上的限制,以其高效率、低成本优势成为商务发展的新趋势。

  二、电子认证的概念

  在电子商务中,如何确定要进行交易的贸易方,正是进行交易所期望的贸易方,这一问题是保证电子商务顺利进行的关键。在传统的纸面贸易中,贸易双方通过在交易合同或贸易单据等上手写签名或印章来鉴别贸易伙伴,确定合同、单据的可靠性,预防抵赖行为的发生。而在无纸化的电子商务方式下,通过手写签名和印章进行贸易方的鉴别已是不可能的,电子认证手段也就应运而生了。电子认证就是由认证机构以加密技术为基础,以数字签名、数字证书、数字摘要等为手段,向电子商务中的交易各方提供身份确认、文件的真实性与完整性的确认等服务的活动。电子认证是确保电子交易顺利进行的必不可少的保证,它最基本的活动是由认证机构向用户颁发数字证书。数字证书可以将拥有它的实体从其它许多团体中识别出来。这个识别过程可以自动、可靠地进行,这比目前常用的复杂的用户名及口令要方便可靠得多,由它们可以通过一个不太可靠的网络建立一个可靠的连接。

  认证机构是签发数字证书的中心,外国的如美国的Verisign, United States Postal Service, IBM World Registry Belsign; 加拿大的Canada Post Corporation;瑞士的Swiss key digital ID certification authority等;我国现有三家主要的电子认证机构,它们是上海市电子商务安全证书管理中心有限公司、北京的国富安电子商务安全认证中心及广东省电子商务认证中心。另外,各大商业银行在开展网上银行业务时也会颁发相应的数字证书。

  电子签名,是指附加于数据信息中的,或与之有逻辑上联系的、电子形式的数据,它可用来证明数据信息签署者的身份,并表明签署者同意数据信息中所包含的信息内容。有多种技术可以实现电子签名,例如数字签名技术,指纹、视网膜纹、脑电波或声波的数字化处理技术及生物笔迹鉴别法等。电子签名如果采用了数字签名的技术就直接称为数字签名。数字签名是电子签名之一种。数字签名技术是诸多电子签名技术中唯一比较成熟可以推向市场、被大规模地应用的,其他几种技术因种种原因都还不实用。

  三、非对称加密技术与数字签名、数字证书的概念

  电子认证的核心技术是非对称加密技术。在非对称加密体系中,密钥被分解成一对,一个密钥对外公开,称为公钥,另一个仅持有人知道,称为私钥;公钥和私钥互不相同,用公钥加密的信息须用私钥才能解密,反之用私钥加密的信息须用公钥才能解密,并且不能根据一个密钥来推算得出另一个密钥。这样,每个用户只需要一对密钥,就可以实现与成百上千的网上用户的保密通信。

  密钥的生成有两种模式,即用户自己产生密钥对和认证机构(CA)为用户产生密钥对:(1)用户自己产生密钥对。这种方式适用于分布式密钥生成模式。用户选取产生密钥的方法,负责私钥的存放;还应向认证机构(CA)提交自己的公钥和身份证,认证机构(CA)对用户进行身份认证,对密钥的强度和持有者进行审查;审查通过后,对用户的公钥产生证书;然后将证书发放给用户;最后认证机构(CA)负责将证书发布到相应的目录服务器上。在某些情况下,用户自己产生了密钥对后到注册机构(RA) 去进行证书申请。此时,注册机构(RA)完成对用户的身份认证,通过后,以数字签名的方式向认证机构(CA)提供用户的公钥及相关信息;认证机构(CA)完成对公钥强度检测后产生证书,并将签名的证书返给注册机构(RA),再由注册机构(RA)发放给用户或者认证机构(CA)通过电子邮件方式将证书发放给用户。(2)认证机构(CA)为用户产生密钥对。这种方式适用于集中式密钥生成模式。用户到认证机构(CA)产生并获得密钥对之后,认证机构(CA)应自动销毁本地的用户密钥对拷贝;用户取得密钥对后,保存好自己的私钥,将公钥送至认证机构(CA)或注册机构(RA),按上述方式申请证书。

  利用非对称加密技术及其它一些辅助技术可实现数字签名。数字签名能确认以下两点:(1)信息确实是由签名者发送的,即确认对方的身份,防假冒,防抵赖;(2)信息自签发后到收到为止未曾做过任何修改,保证信息的完整性、防篡改性。

  数字证书是指为支持数字签名而签发的记录,其内容主要有:证书拥有者的姓名;证书拥有者的公开密钥;公开密钥的有效期;签名算法;颁发数字证书的单位;颁发数字证书的单位的数字签名。

  签署者是指被颁发数字证书且持有与列示于证书中的公钥相对应的私钥的人或单位。

  信赖方指信赖数字证书的人或单位。

  四、认证机构的业务

  认证机构是承担网上安全电子交易认证服务、能签发数字证书并能确认用户身份的服务机构。其主要开展以下业务: (1)颁发证书:其中包括了生成密钥对,保证不同的证书持有者应有不同的密钥对;(2)管理证书:记录所有颁发过的证书以及所有被撤销的证书,根据证书的有效期自动地撤销证书;(3)用户管理:对于每一个新提交的申请,都要和存储器中现存的签署者标识名相对照,如出现重复,就予以拒绝,这里的存储器指的是存放现有有效证书的数据库;(4)撤销证书;特指在证书有效期内使其无效,并发布于作废证书表;(5)验证申请者身份:对每一个申请者进行必要的身份认证;(6)制定政策:政策的内容主要是认证机构对信赖它的各方所作的承诺及所负的责任;(7)中止证书:特指在证书的有效期内使证书暂时中止使用。

  五、认证机构在电子政务中的作用

  随着互联网的发展,电子政务也会逐渐普及。电子政务指政府机关在互联网上进行办公,向单位和个人提供政府机关的各种服务。电子政务可有效地节约各方的人力、物力及时间。目前电子政务所能提供的服务包括工商、税务、海关、教育、医疗及社会保险等方面。

  显而易见的是,在电子政务中也存在身份识别及数据的完整性、防抵赖性问题,因此,与在电子商务中的重要地位一样,数字认证在电子政务中也同样具有非常重要的地位。政府机关及其相对方都需要以数字签名表明自己的身份,因而双方都需要认证机构提供证书服务。据笔者了解,国家知识产权局计划于2001年底开通电子申请专利业务,其中身份的认证及数据的保密传输是非常关键的问题,直接关系着专利申请人的利益和政府机关的威信。北京市中关村科技园区海淀园管委会已经开通了网上办公系统,并要求使用北京数字认证机构颁发的数字证书来保证电子政务的安全可靠。

  中关村科技园区海淀园管委会目前可提供的办公项目如下:

  1、入园申请;

  2、注册登记,包括:统计、财政、高企协、外企协、党组织、工会、团组织等;

  3、运营管理,包括:高新技术产品认证、技术合同认定登记、新技术企业技术性收入的申报与审核、新技术企业年审复核、外资新技术企业年审复核、海淀中小企业创新基金申请和审批、国家中小企业创新基金申请和推荐、园区企业人员因公出国手续办理、园区企业邀请外商来华访问手续办理、外商访问园区安排与记录、人才引进与居住手续办理和办理因公出国查询等;

  4、网上报表,目前可上网申报的报表仅限统计和财政两个部门,国税、地税还需到园区国税、地税窗口进行报盘;

  5、组织生活;

  6、咨询服务。

  目前,海淀园管委会的网上办公系统对于尚未办理证书的用户,还允许通过输入用户号和密码,从“非CA证书进入”进入办公;但为了该办公系统的安全,该系统将逐渐过渡到“CA证书进入”而停止“非CA证书进入”。

  六、电子认证立法概况

  有关电子认证的立法少部分是直接就冠以电子认证法的名称,大部分则是含于电子签名法或数字签名法中。

  (一)美国

  美国电子商务起步最早,有关电子认证的立法也最丰富,各州立法中规定了电子认证规则的法案有:佛罗里达州的《电子签名法》(1996年),伊利诺斯州的《电子商务安全法》(1997年),明尼苏打州的《电子认证法》(1996年),密西西比州的《数字签名法》(1997年),密苏里州的《数字签名法》(1998年),纽约州的《电子签名与记录法》(1999年),北卡罗莱纳州的《电子商务法》(1998年),俄勒冈州的《电子签名法》(1997年),宾夕法尼亚州的《电子交易法》(1999年),犹他州的《数字签名法》(1995年),华盛州的《电子认证法》(1996年),西弗击尼亚州的《电子签名认证法》(1998年),这些法案里都详细、具体地规定了认证机构的责任。

  (二)阿根廷

  1998年通过了两部有关政府公务电子化的法律文件,即“关于阿根廷政府的认证机构的规定”和“公务部门公钥体制标准的总统令”。

  (三)哥伦比亚

  哥伦比亚有一项目前正在审议的《电子商务、数字签名和认证机构法律草案》,规定了认证机构的定义及职能。

  (四)意大利

  意大利于1997年通过了《意大利数字签名法》。为了实施该法,又于1998年和1999年分别颁布了总统令,该总统令规定了数字签名与手书签名有相同的效力,以及对认证机构的要求等。

  (五)英国

  1997年,英国提出了一项关于经许可的提供加密服务的第三方认证机构的立法动议。

  (六)法国

  法国曾提出过一项关于第三方认证机构的立法动议。

  (七)丹麦

  丹麦已提出了待审议的《数字签名法草案》。该草案的内容包括:数字签名的定义及其效力,认证机构的选任及其权限与责任。

  (八)瑞典

  1998年,瑞典政府中的一个数字签名工作组提交了一份“咨询报告”,其中分析了有关认证机构的各种问题。

  (九)荷兰

  荷兰于1998年提出了有关第三方认证机构的国家方案。

  (十)德国

  德国1997年通过了《数字签名法》,该法基本上属于技术规章,它虽然规定了认证机构之工作程序,但却并没确定数字签名之法律效力,也没涉及认证机构之法律责任。

  (十一)俄罗斯

  俄罗斯于1995年通过了《俄罗斯联邦信息法》,赋予通过电子签名认证的、经由自动信息与通讯系统传输与存储的电子文件的法律效力,并规定电子签名的认证必须经过许可。

  (十二)芬兰

  1998年,芬兰提出了一项“国家加密政策与加密报告指南”的立法动议,其中涉及到了对用户身份安全证书与加密服务的许可和机构体制。

  (十三)新加坡

  新加坡于1998年通过了《新加坡电子交易法》,1999年通过了《新加坡电子交易(认证机构)规则》和《新加坡认证机构安全方针》。该国《电子交易法》规定了认证机构及其限定性责任;认证机构的许可证由指定的管理机关颁发,可以自愿申请;由取得许可的认证机构核发的认证证书,具有较强的证据效力。《电子交易(认证机构)规则》授权成立了认证机构管理署,而国家计算机委员会是认证机构管理署的主管机关。该规则还规定了认证机构的内部管理结构、评估标准、申请费用、证书的证据推定效力以及限定性责任等,其目的是在新加坡建立一个符合国际水准的市场型认证服务体系。

  (十四)马来西亚

  马来西亚于1997年通过了《数字签名法》,该法承认数字签名的法律效力,要求认证机构必须持有许可证,方可从事营业。为了全面推广电子商务、实施《数字签名法》,马来西亚于1997年12月,宣布由政府全资拥有的非盈利性开发与研究公司“伯哈德”作为最先设立的公开密钥认证机构正式运营,颁发数字证书,以利于安全电子交易的进行。

  (十五)日本

  1998年6月日本电子商务促进委员会,发布了“认证机构指南”及“交叉认证指南”。在前一个指南中规定了对认证机构在管理、操作、系统和设备方面的要求,后一指南则建议:在不同行业或区域的证书可以交叉承认其效力,以避免大量的多重证书的产生。

  (十六)韩国

  韩国于1999年通过了《电子商务基本法》,其中涉及到了认证机构的定义及对认证机构的管理与控制。

  (十七)爱尔兰

  爱尔兰通过了《2000年爱尔兰电子商务法案》,其中规定了认证机构的任命、监督管理与责任。

  (十八)奥地利

  《奥地利联邦电子签名法》于2000年1月1日通过并生效,其中规范了认证机构颁发数字证书以提供认证服务的合同。

  (十九)欧盟

  1999年,欧盟发布了《关于电子签名的共同框架的指令》,里面规定有认证机构的责任。

,并经过了多次修改,其中对认证机构应承担的义务,做了较详细的规定。

  (二十一)我国香港地区

,其中第X部分“关于认可核证机关的一般条文”规定了认证机构的责任。

  七、电子认证立法模式述评

  目前世界各国已经推出的有关电子认证的立法,不仅名目繁多,而且内容迥异,简直可称还处于一种无序的状态。但是德国学者Aalberts 和van der Hof经过研究,还是从立法中所采用的技术方案入手,将这些立法分为三大类:技术特定方式;最低要求主义或叫技术中立方式;折衷方式(技术特定方式和技术中立方式并用)。

  (一)技术特定式立法

  这种方式将数字签名技术作为电子签名的法定技术,集中规定了数字签名的技术规则和法律效果,又可分为三小类:纯技术标准型、确认法律效果型和组织机构型。

  1.纯技术标准型

  这种立法方式将数字签名技术作为安全电子商务的技术标准。它涉及到了数字签名的一般应用,但却并没解决由此而产生的一系列法律后果的问题,不包含有关责任分配的条款。这方面的例子是德国的《数字签名法》。

  2.确认法律效果型

  这种立法方式不但规定了对于数字签名的法律确认,而且详细规定了有关责任分配的条款。这方面的例子有美国犹他州的《数字签名法》、明尼苏打州的《电子认证法》及华顿州的《电子认证法》等。

  3.组织机构型

  这种立法模式并没将数字签名作为一个技术标准,而是对认证机构的组织提出一系列要求,例如规范它们的管理、操作、系统和设备的安全性等。其目的是通过确保认证机构的可靠性与安全性来加强人们对电子商务的信心。这种模式不包含明确的对认证活动各方的责任分配,而是建议认证机构自己制定政策以明确认证机构自身与证书使用者之间的权利义务分配,并要求将该政策在认证机构的认证业务声明(CPS)中公开。这方面的例子是日本电子商务促进委员会的《认证机构指南》 .

  技术特定立法有其优越性也有其明显的缺陷:数字签名技术是目前唯一比较成熟、能够推向市场的电子签名技术,将其作为法定技术标准,可使电子交易在稳定、明确的环境下进行,消除对于在开放电脑网络上进行交易存在的风险忧虑。其主要缺陷是限制了其他同类技术的发展和应用。

  (二)技术中立式立法

  这种立法模式又称最低要求主义、功能等价方式,此方式并不确定具体的技术方案,而是采技术中立的立场,对广义范围的电子签名给予法律确认。这种立法方式由于不特别地确认数字签名技术作为法定技术,因此也就没有关于认证活动各方责任分配的内容。

  这方面的例子有:、澳大利亚《电子交易法案》、加拿大《统一电子商务法案》、美国《统一电子交易法案》、英国《电讯法案》。

  技术中立式立法的优点在于由市场和用户对电子签名技术手段的优劣作出判断和选择,有利于各种电子签名技术的自由发展。其缺点是法律仅仅对广义的电子签名的法律效力予以确认,而没有具体的责任分配条款,其规定过于笼统,可操作性不强,在实践中的作用很有限。

  (三)折衷式立法

  这种立法模式下,一个层面提供了对于一种广义的电子签名的法律确认,另一个层面提供了应用数字签名或以数字签名为范例的安全电子签名的法律后果,通常包含有责任分配的条款,其具体内容与美国犹他州《数字签名法》相似,但都没有犹他州《数字签名法》详细。

  安全电子签名,又称强化电子签名,是指经过一定的安全应用程序,能够达到传统签名的等价功能的电子签名方式。其具体形式是开放型的,任何能够达到同一效果的技术形式,都可囊括于内。安全电子签名是电子签名的下位概念,而数字签名又是安全电子签名的下位概念。

  这方面的例子有:欧盟《关于电子签名的共同框架的指令》、新加坡《电子交易法》、。

  折衷式立法不失为一种理想的模式,它结合了技术特定与技术中立方案的优点,避免了二者的缺点,既能够切实地满足当前电子商务实践的需要,又为将来的技术发展预留了空间。

  第一章 电子认证合同关系研究

  第一节 电子认证关系的定性

  在电子认证关系中,签署者要向认证机构提出申请、提供所需的资料并交费,而认证机构则遵循一定的程序对申请资料进行审核,对符合条件的申请者颁发数字证书并对证书进行管理。对这样一种关系的定性,目前学者们主要提出了“信托关系说”、“非信托关系说”和“专业信用服务说”等学说,下面分别加以介绍并提出作者自己的观点。

  一、信托关系说

  “就其性质而言,。 该种观点是从英美法理论出发的,其着眼点主要在于认证机构对用户应负的注意义务。但其缺陷是未能照顾到认证机构对证书信赖人所负的、公正地发布信用信息的义务。认证机构虽然并未接收证书信赖人的服务报酬,却同样要负起诚实发布信息的义务。换言之,认证机构对那些不是委托人或受益人的信赖人,也负有义务。从信托关系说角度,难以解释这一点。

  二、非信托关系说

  非信托关系说认为,“机动车辆部门不是其颁发执照的司机的代理人,并且雇主也不会同意做其颁发了工作证章的雇员的代理人。同样,认证机构通常不愿对用户起到代理人或信托人的作用(除非有法律规定)”。 从实际交易看,认证机构并不参与在线用户数字签名交易之中,即它们不是该种交易的当事人,也没有参与签署、时间戳或该信息的通讯。在这种情况下,“认证业务声明(CPS)”可能规定,在认证机构与用户之间不存在委托与信托关系。

  三、专业信用服务说

  非信托关系说有其合理性,但仅是对信托关系说进行了否定,却并没有进一步说明认证关系的具体性质。问题的关键在于,认证机构与证书信赖方之间有可能并不存在服务合同关系,那么其间是以何种法律关系为基础而产生权利义务的呢?张楚先生认为,认证业务属专业化的商业信誉方面的服务,如同医生对病人,他们都负有职业上的特殊的义务,医生对于需要急救的病人,虽然事先未曾建立服务合同关系,但必须立即进行救治,履行职业上的义务,此种职业上的义务,实际上是一种社会责任。认证机构对于信赖证书的交易人,应承担公正信息发布义务,而不因未接收其服务报酬,而偏袒与之建立了服务合同关系的证书用户一方。任何一个认证机构都应当知道。证书信息的公正性,是其业务存在的根本条件,舍弃此点,该机构就没有必要存在。

  四、电子认证与公证之比较

  电子认证与公证都是提供一种证明性的服务,二者有相似之处,在美国犹他州,法律甚至赋予以数字签名的文件与经过公证的文件相类似的法律效力;公证部门也应对因信赖其错误的公证书而致的损害承担赔偿责任。不过,二者还是有很重要的差别的:一份公证书所公证的往往是一份文件,一项交易,即使出现错误,所造成的损失是比较明确、十分有限的,而一份数字证书能证明的可能是成百上千份文件与交易,一旦发生错误,所造成的损失是难以预料的。

  五、电子认证责任与注册会计师之审计责任之比较

  (一)注册会计师之审计责任及其归责原则

  这里的审计责任特指注册会计师在其审计业务中可能负的民事责任,具体是指注册会计师在审计业务中违反法律规定,出具了虚假报告并由此给委托人、其他利害关系人造成损失而应当承担的赔偿责任。

  注册会计师的审计责任所采取的归责原则是过错责任原则,但实行举证责任倒置的办法。当注册会计师提供了虚假报告时,由于受害人(通常是普通的公众投资人)很难掌握确切的证据以证明注册会计师有过错,因此,如果严格拘泥于原告承担举证责任,受害人实际上很难行使起诉的权利,这样不利于保护中小投资人的利益,也不利于维护一个良好的资本市场秩序。因此,许多国家的证券法或者公司法的司法实践,往往将举证责任转移到注册会计师身上。当审计结果与实际不符时,除非注册会计师能证明其符合免责条件,即严格恪守了审计准则,否则,就需要承担赔偿责任。

  (二)电子认证责任与审计责任之异同

  电子认证与注册会计师的审计业务有相似点,主要的是:①二者的功能都是提供一种专业性的信息服务,都是为了稳固市场经济秩序、保障交易安全;②二者承担的民事责任的归责原则都应是过错责任原则,并应采举证倒置的办法。

  电子认证业与注册会计师的审计业务也有区别:①电子认证提供的是一种身份证明的服务,主要用于解决交易文件的真实性、防抵赖性、完整性等问题,虽然也会兼顾到申请者的资信状况,但不是其主要目的,而审计报告反映的主要是资信状况和经营情况;②审计业已有相应的审计保险制度来分散风险,而电子认证业由于刚起步,相应的责任保险制度还正在建立之中。

  电子认证与注册会计师的审计业务的上述异同在下面讨论电子认证活动中的责任问题时将很有启发作用。

  六、认证合同关系说

  我认为,认证关系就是认证关系,它虽与信托关系、公证关系等有相似之处,但它更因自己的特质已成为当代民商事法律关系中的基本的一种,用其它民商事法律关系来给它定性必定是徒劳的。这与“著作权既非单纯的财产权,更非单纯的精神权利,也非二者的简单的相加,而是一种有着自己特质的基本的民事权利之一种”的论断是相似的。认证关系根本上是一种新的合同关系,其基本构成是认证机构与签署者之间的权利、义务关系;认证机构同时还要向广大的信赖方承担义务,这在表面上是法律的硬性规定,是法定义务,但根源还是在签名方在付费获取数字证书时与认证机构间达成的一种不言而喻的共识,“签名方付了费”是认证机构向信赖方负责的经济根源。毕竟认证机构不是公益事业,更非慈善机构,它虽是“微利运行”,但毕竟还是要赢利的,在能赢利的前提下,承担点义务又算什么呢?

  第二节 电子认证合同的订立

  合同的订立是指当事人按照要约和承诺的程序达成协议的行为和过程。电子认证合同也有一个要约和承诺的过程。

  一、电子认证合同中的要约与要约邀请

  要约是希望和他人订立合同的意思表示,该意思表示应当符合下列规定:(一)内容具体确定;(二)表明经受要约人承诺,要约人即受该意思表示约束。

  要约邀请是希望他人向自己发出要约的意思表示。寄送的价目表、拍卖公告、招标公告、招标说明书、商品广告为要约邀请。

  在电子认证活动中,认证机构的网页上一般都有公司的业务介绍、数字证书的申请及应用的演示等,这些实际上是属于要约邀请。认证机构的网站一般都提供空白的数字证书申请表并允许客户下载,这种空白的数字证书申请表也属于要约邀请。

  在电子认证合同的订立过程中,要约通常是由客户一方发出的,认证机构则是作为受要约方,其过程如下:申请者到认证机构的证书审批受理点提交一份内容完整的带个人签名的申请书,该申请书可以从认证机构的网站下载,也可在受理点领取,申请书一般都包括用户责任书,此用户责任书是由认证机构一方制定的格式条款。对于个人身份证书,还要求提供身份证明文件,例如:签署者的带照片的身份证、护照、军官证或学生证等。对于单位证书,则要提供单位的授权委托信、官方或有关职能部门的注册、证明及登记文件,申请者决策层的意见(如:董事会的决议)和申请者本人的身份证明文件及认证机构可能需要的其他文件。上述要约过程是在离线状态下实施的,而并非在网上进行。

  二、电子认证合同中的承诺

  承诺是受要约人同意要约的意思表示。

  电子认证合同订立过程中的承诺即认证机构对数字证书申请的批准。在做出该承诺的过程中,认证机构要做以下身份识别和鉴定:

  在个人证书的情况,受理点要判断申请者的身份证明文件是否有效及该申请者本人与身份证明文件及其复印件中的人是否为同一人。

  在单位证书的情况,受理点首先要判断申请者本人的身份,其过程与上面所述对个人证书申请者的判断相同;其次,受理点要判断授权委托书、单位的注册、证明或登记文件(如工商执照、ICP营运证、税务登记等)的真实性及这些文件的复印件与原件内容的同一性。

  如果经过鉴定,上述个人及单位的身份属实,则认证机构通常就会批准对数字证书的申请也即做出了承诺,其形式是在数字证书申请表签署同意申请的意见,电子认证合同即告成立。如果上述个人及单位的身份不属实或虽属实但与认证机构的存储器中现存的签署者标识名有重复,则认证机构就不批准对数字证书的申请也即拒绝了要约,电子认证合同就无从成立。

  上述承诺过程也是在离线状态下实施的,而并非在网上进行。

  三、在线状态的要约与承诺

  认证机构在某些情况下也支持在线证书申请。在线证书申请,在安全性和身份认证得到保证的情况下,允许申请人通过Internet提交他们的个人信息或单位信息,申请者无须亲自到认证机构受理点所在地进行物理身份验证。这种申请方式适用于已确定身份的客户群体以及部分证书的更新流程。在这种申请方式下,电子认证合同的要约和承诺均在网上进行。

  第三节 电子认证合同的特征

  一、电子认证合同属提供服务的合同

  提供服务的合同是指当事人一方按照约定为另一方提供服务的合同,这是与转移财产权的合同、完成工作的合同相比较而言的。电子认证合同表面上看主要是认证机构应签署者的申请而向其颁发数字证书,签署者向认证机构交费,这有点类似转移财产权的合同和完成工作的合同;但这只是表面现象,电子认证合同的实质是签署者向认证机构交费而认证机构为其提供一种身份认证的服务,认证机构不仅有颁发证书的义务,而且在特定条件下还有中止和撤销证书的义务,中止和撤销证书的活动就无法用转移财产权的合同或是完成工作的合同来解释了。因此从整体上来看,电子认证合同应属提供服务的合同。

  二、电子认证合同基本上属格式合同

  格式合同,又称定式合同、标准合同,是指合同条款由当事人一方预先拟定,对方只能表示全部同意或者不同意的合同,亦即一方当事人要么从整体上接受合同条件,要么不订立合同。电子认证合同基本上属格式合同,格式的特点表现在以下几方面:1.数字证书的项目由认证机构预定且不能改变;2.认证费用由认证机构预定而不能讨价还价;3.签署者和认证机构之责任条款由认证机构单方制定并且不容进一步协商,而这是电子认证合同中最关键的内容。此责任条款可出现在认证业务声明中,例如美国的Verisign 公司就在其认证业务声明中规定了免责条款;也可直接以“责任书”形式出现,例如上海市电子商务安全证书管理中心有限公司就采取这种做法;还可以《电子认证中心数字证书章程》的形式出现,例如广东省电子商务认证中心就采取了此种做法。对此责任条款只有“我接受”和“我拒绝”两种选择,选择“我接受”则继续证书申请的下一个步骤,选择“我拒绝”则终止证书的申请。

  但电子认证合同中还是有允许客户选择的内容,例如证书的信赖等级,Verisign公司已经建立了三种用户等级:对于第一等级,用户只能依赖它“做网页浏览和个人电子邮件,在这种环境下只是稍微增加了安全”;第二等级证书持有人,使用更详细的证明证书于“组织内的电子邮件、小额、小风险的交易、个人之间的电子邮件、口令更改、软件确认,以及在线订购服务”;第三等级是用于“电子银行、电子数据交换(EDI)、软件确认,以及基于会员的在线服务。” 另外,密钥的位数也有512、1024及2048位等几种选择,密钥位数越大,加密后的文件的安全度就越高。我国的几家主要的电子认证机构也都提供了不同种类的数字证书来满足客户的不同需要。

  三、电子认证合同是双务合同

  双务合同是指当事人双方相互承担对待给付义务的合同,也即双方的义务具有对应关系,一方的义务就是对方的权利,反之亦然。一方承担义务的目的就是为了获取对应的权利。在电子认证合同中,认证机构的义务基本上就是签署者的权利,而认证机构的权利又基本上就是签署者的义务,双方互负对待给付义务,因此电子认证合同属双务合同。

  四、电子认证合同属有偿合同

  有偿合同是指当事人之间互为对价给付的合同。在电子认证合同中,签署者交纳费用获取证书和认证服务,而认证机构则收取费用然后颁发证书并提供认证服务。

  五、电子认证合同目前在有些国家还属无名合同

  无名合同是指法律没有规定其名称和具体规则的合同。在采技术中立方式立法的国家,法律仅对广义的电子签名的法律效力预以确认,并不具体规定数字签名及认证机构的规则,因此在这些国家电子认证合同属无名合同,只能适用合同法的一般规定(总则)或最相类似的有名合同之规定。在我国,由于目前还没有电子认证立法,因此电子认证合同也属于无名合同。

  六、电子认证合同属要式合同

  要式合同是指法律规定或者当事人约定应当或者必须采取一定形式的合同。电子认证合同的订立过程中,证书的申请者必须提交一份内容完整的带个人签名的申请书,该申请书的格式和项目都是由认证机构预先设定的,认证机构在对申请者进行身份识别和鉴定后,批准数字证书申请的,将会在该申请书上签署同意或批准申请的意见,此时电子认证合同即告成立。

  可见,电子认证合同要求采用数字证书申请书这一形式,该申请书可以是纸质的,此时就属书面形式;该申请书也可在线填写并提交、获得批准,此时应属在线形式或称网上形式。

  第四节 电子认证合同的效力

  电子认证合同的双方主体分别是认证机构及签署者,下面根据电子认证业务的实践及各国有关立法归纳双方的主要权利、义务。

  一、认证机构的权利、义务

  (一)认证机构的权利

  1.要求申请者提供真实资料的权利:对个人申请人,一般要求提供个人的姓名、身份证号、联系电话、寻呼、通信地址、邮政编码、电子邮箱等资料;对单位申请人,除对具体的申请人要求提供上述个人资料外,还要求提供单位名称、单位主页地址、单位营业执照号、工商税号、单位地址、单位电子邮箱、单位所属行业类别、电话、传真等资料;认证机构在遵循合法程序的条件下有权对上述内容进行调查、审核。

  2.收取费用的权利:认证机构有权向签署者收取费用。

  (二)认证机构的义务

  1.颁发证书的义务:认证机构应向符合条件的申请者颁发证书,并将证书内容公布于认证机构的存储器内。认证机构在向申请人颁发证书前应确认下列情况:(1)列于即将颁发的证书中的人就是未来的签署者;(2)将颁发证书中的信息是正确的;(3)未来的签署者合法拥有私密钥,此私密钥与证书中列的公开密钥构成功能性密钥对并且可以用来生成数字签名;(4)证书中所列的公开密钥可以用来验证由签署者拥有的私密钥生成的数字签名;(5)数字证书中所使用的公钥算法在现有技术条件下不会被攻破。

  2.中止证书的义务:在证书的有效期间内,收到签署者或其代理人的有关中止证书的申请后,认证机构应中止该证书,并在指定地点发布中止的通知。

  3.撤销证书的义务:在证书的有效期间内,在下列情况下,认证机构应撤销证书:(1)收到撤销证书的申请,并证实申请是由签署者或其授权代理人发出;(2)收到证实签署者已经死亡的证明复印件或其它有关证明;(3)有证明签署者已经解散或不复存在的有关证明;(4)证书中陈述的重要事实有虚假;(5)不符合颁发证书的要求;(6)认证机构的私密钥或可信赖系统存在严重影响证书可靠性的情况。在撤销证书时,认证机构须在指定地点发布撤销通知,一般都是在作废证书表中列明。

  需要指出的是,电子认证合同的内容不仅包括发放证书,还包括管理证书,如中止证书和撤销证书,可以说,中止证书和撤销证书的义务是基于确保证书内容真实、准确性的义务而派生出来的。

  4.使用可信赖系统的义务:认证机构应该使用可信赖系统来完成上述证书的颁发、中止和撤销等项操作。所谓可信赖系统是指计算机的硬件、软件和程序,它们满足以下要求:(1)是相当安全的,可防止侵扰和滥用;(2)具有较高的可用性和可靠性,并提供了正确的操作;(3)非常适合执行它们的固有功能;(4)符合通常公认的安全程序。

  5.妥善保管自身私钥的义务:认证机构自身的私钥对于验证该认证机构作为颁发数字证书的机构之身份具有不可或缺的作用,一旦丢失,该认证机构所发出的所有数字证书都将作废,因此应妥善保管。

  6.信息发布的义务:认证机构应及时公布有关的信息,例如自身的政策或认证业务声明,证书的发布、中止及撤销的信息等,发布的方式应是醒目的、易发现的。

  7.制定及在特定情况下实施灾难恢复计划的义务:灾难恢复计划是指认证机构在遭到攻击,发生通信网络资源毁坏,计算机设备系统不能提供正常服务,软件被破坏,数据库被篡改等现象或因不可抗力造成灾难时,修复设备系统的计划。由于实践中黑客的活动十分猖獗,因此认证机构制定此灾难恢复计划是十分必要的。一旦出现上述灾难,认证机构应积极有效地实施灾难恢复计划。

  二、签署者的权利、义务

  (一)签署者的权利

  1.获得有效合格的数字证书的权利:签署者在提供了符合要求的信息资料并交费后,有权利取得有效的、具有所需功能的数字证书。

  2.提出中止或撤销数字证书的权利:在前述的有关认证机构应中止或撤销数字证书的条件下,签署者或其代理人有权提出中止或撤销证书的申请。

  (二)签署者的义务

  1.对证书内容真实性的保证:签署者一旦接受了认证机构所颁发的证书,就要负担起保证证书中所含信息的真实性、准确性、完整性的义务。

  2.私密钥控制之义务:签署者对其私密钥应保持控制,并不得向未经授权的人泄露,否则,“认证机构就是再认真审核、公正发布信息,都无法保证电子签名的安全性。”

  3.使用可信赖系统之义务:签署者在应用自己的密钥对时,也应使用可信赖系统。

  4.交纳费用的义务:签署者应向认证机构交纳服务费用,主要在接受证书时交纳,有的认证机构可能要求签署者在中止或撤销证书时也要交纳费用。

  5.及时通知的义务:如果签署者的私密钥出现问题,例如遗失、遗忘或者泄密等,签署者应及时通知认证机构并申请中止或撤销其证书。

  第二章 电子认证活动中的违约责任

  第一节 电子认证活动中之违约行为

  一、民事责任和违约责任的概念

  民事责任,是指民事主体违反民事义务所应承担的法律后果。民事责任以民事义务的存在为前提,是对违反民事义务行为的法律制裁。 民事责任主要有违约责任和侵权责任两种类型。电子认证活动中的民事责任也有违约责任和侵权责任两种类型,本章论述违约责任,下一章论述侵权责任。

  违约责任是指在当事人不履行合同债务时,所应承担的赔偿损害、支付违约金等责任,是保障债权的实现和债务的履行的重要措施,本文主要讨论损害赔偿这种形式。

  如前所述,电子认证关系应定性为一种合同关系,既为合同关系,那么任何一方当事人不履行合同债务或其履行不符合合同约定或法律规定时,就会产生违约责任。

  二、电子认证活动中之违约行为

  根据上一章对电子认证合同效力的分析,在电子认证活动中主要可能出现下列违约行为。

  (一)认证机构之违约行为

  1.发放证书的迟延或失败

  如果一个证书的申请者按照认证机构之要求提供了所需信息并交了费,但或者由于认证机构之很简单的操作失误,或者由于认证机构之系统设备设计上的缺陷或临时发生的故障,认证机构有可能在发放数字证书时发生迟延或失败。在市场上存在多家可供选择的认证机构的情况下,该申请者可能转而向别的认证机构申请而避免损失;但如果当时当地该家认证机构处于垄断地位的话,该申请者很可能因为欠缺数字证书的认证而耽误交易或使交易失败。即使市场上存在可供选择的认证机构,但如果在特定的电子交易中对方只相信特定认证机构的证书,而申请者又因为该认证机构自身的原因而经过迟延才拿到证书或最终得不到证书,该申请者的交易也会被迟延或取消。上述两种情况都会使申请者向认证机构提出违约损害赔偿之诉,因为认证机构与申请者间关于发故数字证书实质是一种合同关系,申请者应提供正确的信息并交费,而认证机构应及时、正确地发放证书。

  2.认证机构之私钥损坏或失控

  认证机构之私钥损坏或失控的后果之一是其发出的所有证书都应被撤销,这里认证机构违反的也可说是其与签署者之间的合同义务,对因此造成的签署者的损失认证机构应负违约责任。

  3.存储器或作废证书表之失灵

  如果认证机构的存储器或作废证书表中出现了错误信息,例如把不应撤销的A之证书列入了作废证书表;或者存储器或作废证书表失灵而根本用不成,那么认证机构也属违反了其与签署者间的合同义务,应负违约之责。

  4.中止或撤销证书之不成功

  假设一个签署者的私钥被损坏了或遗失了,此时签署者保护自己的最好方法当然是尽快申请由认证机构将其证书中止或撤销。如果认证机构出现不合理的迟延甚至失败,那就应该对签署者由此而遭受的损失负违约之责。

  5.认证机构产生了重复的密钥对

  如果认证机构由于工作上的差错,向两个不同的申请者颁发了完全相同的密钥对,也属违反了其对签署者的合同义务,应负违约之责。

  (二)签署者之违约行为

  签署者之违约行为主要是提供了错误信息,不论签署者是故意还是过失地向认证机构提供了虚假的信息,都构成对与认证机构之间的合同义务的违反,应向认证机构负违约之责。签署者之违约行为还可表现为不交费或迟延交费,没有使用可信赖系统,私密钥失控及在私密钥失控的情况下怠于通知认证机构等。

  私钥的保管在数字认证中非常重要,由用户自己生成私钥,私钥生成后就直接由用户进行保管,不需要在用户与认证机构之间传递,这样泄密的风险就相对小一些。如果因私钥的损坏、泄漏而导致了虚假或错误的数字签名,那么责任的认定就相对容易一些,肯定是在用户一方。由认证机构生成私钥,私钥生成后还需由认证机构传递给用户,并且有时认证机构还会应用户之要求备份并保管私钥,这样私钥泄漏的风险就相对大些。如果因私钥的泄漏、损坏而导致了虚假或错误的数字签名,那么责任的认定就相对复杂一些,可能在用户一方,也可能在认证机构一方。但由于认证机构的计算机等设备性能一般都较先进,安全可靠性高,因此由认证机构生成的私钥的质量相对于用户自己生成的私钥要高一些,从这个角度讲,私钥被破解而泄密的风险又相对小一些。

  第二节 电子认证话动中的违约责任之归责原则

  一、过错责任原则和无过错责任原则的概念

  (一)过错责任原则

  过错责任原则,是指在一方违反合同规定的义务,不履行和不适当履行合同时,应以过错作为确定责任承担的决定性因素。民法上的过错是指行为人通过违反义务的行为所表现出来的一种应受非难的心理状态,其主要有故意和过失两种形式。故意,是指行为人预见到自己行为的有害后果,仍然希望或放任有害结果的发生。过失,是指行为人应当预见自己的行为可能发生有害后果而没有预见(疏忽大意的过失),或虽然预见到了却轻信此种结果可以避免(过于自信的过失)的心理状态。

  违约责任中过错责任原则为大陆法系各国民法所普通采用,并广泛采取推定过错的方式,即由违约当事人负举证责任证明其没有过错。

  (二)无过错责任原则

  无过错责任原则,是指无论违约方主观上有无过错,只要其违反合同债务的行为给对方当事人造成了损害,依法应承担违约责任的,就应承担违约责任。

  在英美法系国家违约责任通常实行无过错责任原则,而在大陆法系国家仅在几种特定情况下对违约责任实行无过错责任原则。

  二、电子认证活动中的违约责任应采过错责任原则

  关于电子认证活动中的违约责任之归责原则,在大陆法系,仍应采过错责任原则。在大陆法系国家违约责任通常适用过错责任原则,但为了保护无过错受害人的利益,在下列情况下适用无过错责任原则:(1)金钱债务的迟延责任;(2)不能交付种类物;(3)承运人对于通常事变造成的承运货物毁损灭失或迟延送达责任;(4)旅客运送人对于运送过程中发生的通常事变给旅客造成的损害责任;(5)旅店主对于通常事变给旅客携带的物品造成损害的责任;(6)饮食店主或浴池业主对于通常事变给顾客携带的一般物品造成损失的责任;(7)债权人受领迟延责任;(8)迟延履行责任等。 电子认证这类合同并不属于现在已有的应适用无过错责任原则的数种特定情况。

  那么电子认证活动应否成为一种新的采取无过错责任原则的情形呢?我认为答案应是否定的。首先,大陆法系中规定的几种采无过错责任原则的合同大都属受害方的人身或现有财产遭到了损害,而电子认证活动之主要目的是为电子交易双方提供身份认证,受害方的损害大部分属可得利益的损失,两者相比,认证活动中违约的危害要更间接一些,若采用无过错责任原则对认证机构失之过苛;其次,认证机构只是提供各种身份信息的类似公用事业的机构,它收取的费用往往是低廉的,因而加于它的责任风险亦不应过高;再次,电子认证业刚刚起步,还没有形成规模效应,认证机构与铁路运输这样的垄断性行业的地位是不可比的,而且从发展的眼光看,由于网络的开放性,认证业可能始终不会形成寡头垄断的局面;最后,与认证业务相配套的责任保险还不完善,这也导致不宜对电子认证合同采无过错责任。

  在英美法系,一般违约责任的归责原则采用无过错责任原则。“过错”很少与普通法合同法发生联系,然而却有一些特殊合同,无论何时均不得视为会产生绝对的或者严格的责任,其合同债务所要求的只不过是尽合理之注意,在这类案件中,,尤其是在专业服务场合更是如此;专业人员没有过失而被认定承担责任,这是非常罕见的,换言之,专业人员并非“担保”作出的意见或所提供的服务的绝对可靠性,他们并不一般性地“担保”结果。 具体到美国,提供服务的合同适用普通法,其中对提供专业性服务的合同采取的是过错责任。如前所述,电子认证合同应属提供服务的合同,而且显而易见的是,这种服务具有相当的专业性,因此在英美法系,电子认证合同的违约责任也采过错责任原则。

  三、免责事由

  免责事由又称为免责条件,是指当事人即使违约也不承担责任的情形。免责事由可分为不可抗力、免责条款和债权人的过错三种类型。

  (一)不可抗力

  不可抗力,是指不能预见、不能避免并不能克服的客观情况。不可抗力既可以是自然现象或者自然灾害,如地震、火山爆发、滑坡、泥石流、雪崩、洪水、海啸、台风等自然现象;也可以是社会现象、社会异常事件或者政府行为,如合同订立后政府颁发新的政策、法律和行政法规,致使合同无法履行,再如战争、罢工、骚乱等社会异常事件。不可抗力一般是法定的免责条款,例如我国《合同法》第117条规定:“因不可抗力不能履行合同的,根据不可抗力的影响,部分或者全部免除责任,但法律另有规定的除外。”

  在电子认证活动中,认证机构由于不可抗力因素而暂停或终止全部或部分证书服务的,也可根据不可抗力的影响而部分或者全部免除违约责任。

  由于法律无法具体规定或者列举不可抗力的内容和种类,加上不可抗力本身的弹性较大,在理解上容易产生歧义,因而允许当事人在合同中订立不可抗力条款,根据交易的情况约定不可抗力的内容和种类。电子认证合同中的不可抗力条款往往出现在与数字证书申请表一起提供给客户的“责任书”中,也可被规定在认证机构的认证业务声明中。

  第三人的行为即使对合同当事人是不可预见和不可避免的,也不属不可抗力,不能成为免责事由。例如我国《合同法》第121条规定:“当事人一方因第三人的原因造成违约的,应当向对方承担违约责任。当事人一方和第三人之间的纠纷,依照法律规定或者按照约定解决。”在电子认证活动中,若因第三方如电信部门的行为而造成认证机构的操作失败或迟延的,认证机构不能以不可抗力为由而免除违约责任。

  (二)免责条款

  免责条款是指当事人在合同中约定的免除将来可能发生的违约责任的条款。免责条款不得违反法律的强制性规定和社会公共利益。

  电子认证合同中的免责条款通常都是由认证机构制定的格式条款,客户方只能表示接受或者拒绝,不能自由协商更改。由于电子认证属于一项技术性特别强的工作,这里一个突出的问题是认证机构可否以格式条款的形式免除因技术故障而致的违约责任。电子资金转帐与电子认证相类似,都是技术性很强的工作,也存在对因技术故障造成的违约的免责问题,美国对此持肯定态度。美国《电子资金转帐法》第910条规定,“金融机构没有遵照消费者正确指令,按帐户条件,以正确的金额,及时的方式进行电子资金转帐……由此直接造成的一切损失,对消费者负有责任。”但如果金融机构能够证明没有转帐是由于下列原因之一,则对承担责任有完全的辩护权:“(1)不可抗拒力或其他无法控制的情况,对防止发生此类事件已作了合理的关心,并按情况需要作了努力;或(2)技术故障,消费者在试图启动电子资金转帐时,或在事先授权的转帐情况下,在这种转帐应该发生时,已经知道这种故障。” 对电子资金转帐的这种规定对电子认证来说应是可以参考的。

  技术故障可能的原因主要有以下几种:①不可抗力;②关联单位(如电信部门)的失误;③认证机构自身的失误;④黑客攻击。对不可抗力造成的技术故障,认证机构当然可以免责;对由于关联单位的失误造成的技术故障,根据合同法的原理,认证机构不能免责,应先向签署者承担责任然后向关联单位追偿;各国电子认证法一般都对认证机构的技术设备提出较高的要求,如果认证机构没有遵守此要求而造成了技术故障,认证机构不能免责;对于黑客攻击造成的技术故障,我认为应该能够免责,因为黑客攻击往往造成大规模的计算机系统瘫痪,这种情况有点类似于不可抗力,并且对黑客,认证机构往往无法进行追偿,这一点与关联单位的失误而造成的技术故障不同。

  我认为在电子认证合同中,不能笼统地判定技术故障造成的违约是否能够免责,而应区别不同的情况来分析。因此,在电子认证合同中以格式条款的形式绝对地规定技术故障造成的违约可以免责是行不通的,在特定情况下可能因违反法律的强制性规定而被判无效。

  (三)债权人过错

  如果合同不履行或者不完全履行是由对方即债权人的过错造成的,不履行或者不完全履行的一方免除违约责任。在电子认证合同中也存在因债权人过错而免责的情况,例如签署者有使用可信赖系统的义务,若因签署者的计算机系统达不到要求而使认证机构不能履行或不能完全履行颁发证书、管理证书及发布信息的义务,则认证机构可以免责。这方面最简单的例子如签署者的计算机配置太低或使用的软件不合适或有缺陷。

  第三节 认证机构之违约赔偿范围

  一、认证机构之违约赔偿对象

  认证机构之违约赔偿对象首先包括申请证书的签署者,这是不用解释的。需要分析的是信赖方和被假冒者能否向认证机构提出违约赔偿之要求。

  合同关系的相对性是指合同关系只能发生在合同当事人之间,只能由合同当事人一方(债权人)向另一方(债务人)提出请求或者提起诉讼。除法律另有规定或者当事人另有约定外,合同当事人以外的第三人不能依据合同向合同当事人提出请求或者提起诉讼,也不对合同当事人承担义务或者责任。根据合同关系的相对性,违约责任只能发生在合同当事人之间。此处应考虑的合同关系相对性的例外是为第三人利益的合同。显然电子认证合同并非是为了信赖方的利益而签订的,更非为了被假冒方的利益而签订的,因此,对电子认证合同仍应坚持合同关系相对性规则,信赖方及被假冒方不能成为认证机构的违约赔偿对象。信赖方及被假冒方可以成为认证机构的侵权赔偿对象,这将在下一章详细讨论。

  二、认证机构之违约赔偿范围

  (一)完全赔偿原则和合理预见规则

  完全赔偿原则,是指违约方对于受害人因违约行为所遭受的全部损失应当承担全部赔偿责任。完全赔偿原则是现代各国违约损害赔偿的基本原则,也是各国立法的通例。完全赔偿原则要求不但要赔偿现有财产的损失,还应赔偿可得利益的损失。现有财产损失就是因一方违约给对方造成的财产减少和支出的增加;可得利益损失是指如合同正常履行受损害方可以获取的利益的损失,主要是指利润的损失。

  合理预见规则,是指违约损害赔偿的范围以违约方在订立合同时预见或者应当预见到的损失为限,或者说,违约方对违约所造成损失的赔偿责任不得超过违反合同一方订立合同时预见到或者应当预见到的因违反合同可能造成的损失的原则。合理预见规则是限制违约损害赔偿范围的一项重要规则,我国《合同法》第113条对之做了规定。

  电子认证合同中的违约损害赔偿范围的确定也应坚持完全赔偿原则和合理预见规则。

  (二)美国犹他州《数字签名法》规定的违约损害赔偿范围

  美国犹他州《数字签名法》第308条规定,通过在证书中明确建议的可靠性限制,其颁发者认证机构和接收者用户,建议人们仅在不超过证书的风险总额的限度内交易或对之信赖;除了认证机构违反了法定条件之外,许可之认证机构不对所颁发的证书中因其虚假陈述或错误而对超过证书中明确建议的可靠性程度的数额负责,并且许可之认证机构不对惩罚或警戒性损害赔偿负责,但州政府的强制性要求除外。需要说明的是,所谓认证机构违反法定条件,是指其没有达到机构设立、自身管理、证书业务等方面的规范。

  关于证书的错误陈述,认证机构只对证书中写明的信赖程度负责。认证机构只对直接损失负赔偿责任:免去了间接损失和惩罚性赔偿;免去了利润、利息或机会利益的赔偿;也免去了精神痛苦与损害的赔偿。从赔偿范围中排除储蓄利息(它是以个人银行帐号为前提的),对用户特别苛刻,而使用银行交易的消费者,是潜在的最普遍的用户。

  (三)美国华盛顿州《电子认证法》规定的违约损害赔偿范围

  美国犹他州《数字签名法》规定的认证机构责任方案,曾受到多方面的批评。于是,出现了对之进行改良的方案,即适当减少对认证机构责任的限制,从而扩大对用户(多为消费者)的保护。华盛顿州的立法,就是这方面的例子。与美国犹他州法不同,华盛顿州立法并没有采用排除“利润,利息,机会利益的赔偿”的条款,它在两方面比犹他州法有所进步:首先,允许利息包含在赔偿之列,华盛顿州选择了对用户的保护,以免其银行账户被错误的提取。如果银行没有认真检查冒充他人,并得到证书的恶意第三人的信用证,让该人凭此证书从银行提走了款项,认证机构将对该损失,在其证书的可靠限度内负责任。这就为在线银行,营造了比犹他州制度更友好的环境(从消费者的角度)。其二,对于企业来说,通过允许利润与机会利益的赔偿,是一种较好的保护,而这些都曾被排除在美国犹他州法之外。

  (四)对认证机构之违约赔偿范围的总结

  根据上述讨论,可总结出认证机构可能之违约赔偿范围:(1)认证机构应对因自己在证书之颁发、管理方面的失误而致的签署者现有财产的减损负赔偿责任。这种情形实际上也构成侵权责任,属违约责任与侵权责任的竞合,这种情形下原告可任选一种责任形式起诉,下一章还将详细讨论这一问题;(2)若认证机构在颁发证书时明确知道签署者是要用于特定的交易的,而且该证书对于交易是必不可少的条件,则认证机构应对因自己的失误而导致的签署者在该交易中之可得利益损失而进行赔偿;反之,若在颁发证书时认证机构并不清楚证书的具体用途或虽然知道其具体用途但并非该交易的必备条件,则认证机构对因自己的失误而导致的签署者的可得利益之损失可不予赔偿。

  如果认证机构不是故意地造成错误认证,则上述(1)、(2)中的应予赔偿的现有财产的损失及可得利益的损失之和的数额不应超过证书中列明的可靠性限制;反之,如果认证机构属故意造成错误认证则(1)、(2)中的应予赔偿的现有财产的损失及可得利益的损失之和的数额可以超过证书中列明的可靠性限制。

  三、对有关违约赔偿范围的格式条款之分析

  (一)不公平合同条款概述

  一般来说,不论是在商业性合同中还是在消费者合同中,不公平条款常常表现为以下几种形式:(1)直接限制责任之条款;(2)赋予供应商以任意解除合同之权利的条款;(3)限制对方权利之条款;(4)就与契约无关之事项限制一方权利之条款;(5)放弃权利条款;(6)强行代理之条款;(7)限制消费者寻求法律救济之手段之条款;(8)其他明显异常的条款。

  对不公平合同条款的法律规制是出于以下理念:二十世纪以来,格式合同大量涌现,这种合同的一方往往是居于垄断地位的经济组织,合同条款一般都是它们单方制定,难保不含有损害相对方利益之内容;合同的另一方处于弱者地位,面临的选择是:要么接受,要么走开。这种情况下如果一味坚持传统的契约自由原则,势必违背正义之要求。于是,各国都开始借助立法来对不公平合同条款进行规制,以达到“强化弱者、弱化强者的契约自由权,以弥补他们在经济上的强弱势差,实现平均正义” 的效果。

  (二)对Verisign公司之格式条款的分析

  认证机构往往在其认证业务声明中尽量限制自己的责任。目前在全球处于领导地位的认证中心,是美国的Verisign公司,该公司所提供的数字证书服务,已经遍及全世界60多个国家,接受该公司的服务器数字证书的Web站点,已超过几万个,而使用该公司个人数字证书的用户,已有几百万名。该公司的业务声明规定:没有任何一方会对另一方承担间接损害赔偿、专项损害赔偿或附带损害赔偿的责任,无论该责任是可以预见的还是不可预见的;无论该责任是产生于对任何明示或默示担保的违反,对合同义务的违反还是源于侵权法中的虚假表述、过失及严格责任等等,除非是因为一方的故意不当行为或损害达到了人身伤亡的程度。各方都应同意Verisign公司的责任最高限额不超过客户所付给本公司的费用,除非损害是由本公司的故意不当行为所致。某些司法管辖区不允许限制或免除附带损害赔偿或间接损害赔偿,那么上述声明就不适用于这些地区。

  由上述格式条款可以看出,Verisign公司将其赔偿范围限定为:对故意不当行为所造成的损害,赔偿全部损失,包括间接损害、专项损害及附带损害;而对非故意不当行为所造成的损害,只赔偿直接损失,排除对间接损害、专项损害及附带损害的赔偿。,主要原因如下:如前所述,美国华盛顿州的《电子认证法》将利息、企业的利润与机会利益都包含在在赔偿范围内,而利息、企业的利润与机会利益显然不属于直接损害,因此Verisign公司的格式条款在华盛顿州就很有可能被判违法,而华盛顿州的电子认证立法是对犹他州《数字签名法》之改良,在其后的立法中肯定还有别的州效仿华盛顿州的作法,在这些州里,Versign 公司的格式条款也有可能被判违法。

  通过对Verisign公司的格式条款之分析可看出,在电子认证活动过程中,制度的设计需要使认证机构与其客户间在责任风险的分配上保持一种巧妙的平衡:创设电子认证法律制度的积极性首先来自于掌握电子认证这种高技术的实力集团,它们要把技术推向市场,要通过认证业务的开展来盈利,因此最先制定出来的电子认证法往往代表认证机构的利益多些而反映客户即消费者一方的利益少些,犹他州的《数字签名法》就是一个典型的例子。这样的法律出台后,由于没有合适地照顾到消费者的利益,必然遭到学术界、律师界的批评,于是就会出现修正,例如华盛顿州的《电子认证法》。而修正得以成功进行的经济根源还在于:认证机构也会认识到,如果条件过于苛刻,那么客户就不会情愿接受有关认证服务,认证机构也就难以保持正常的运行。而对客户一方的利益进行保护的度就在于:认证机构感觉到不论怎样,它还是可以赢利的。

  我国电子认证业刚刚起步,各认证机构在制定格式条款时应借鉴国际上已有的关于合同双方责任分配的经验,充分考虑消费者利益,达成合理的制度设计,争取“双赢”的结果。

  四、电子认证机构责任之最高限额

  现有的各国电子认证立法在认证机构的责任之最高限额的问题上都没有明确规定。美国犹他州《数字签名法实施细则》虽然规定认证机构在申请注册时应交纳75000美元的担保,但并没有明确规定认证机构的责任总额就止于75000美元;而如果认证机构是由政府组建的,连这75000美元担保也不用要了。 我认为,还是应该明确认证机构的责任之最高限额,还应明确认证机构的投资方的有限责任,即投资方只在其投资金额内对认证机构的债务承担责任,这样一旦认证机构的财产不足以支付赔偿就进入破产程序,否则,如果真的出现巨额索赔的话,无论是对私营的还是官方的认证机构,负担都太重了。明确认证机构的有限责任性质,也可增强客户一方的风险意识。

  五、签署者之违约损害赔偿范围

  签署者之违约赔偿责任可以产生于下列情形,签署者向认证机构提供了虚假信息或签署者的私密钥失控而造成认证机构在线发布的证书有缺陷,此时信赖方若因信赖证书而遭受了财产损失,就会向认证机构提出侵权损害赔偿的要求,认证机构在向信赖方做出赔偿后,就会转而向签署者要求违约损害赔偿,赔偿的范围包括前述侵权损害赔偿及认证机构所受的其他损失。

  第三章 电子认证活动中的侵权责任

  第一节 认证机构及签署者对信赖方的法定义务

  技术特定式和折衷式电子认证立法一般都强制性地规定认证机构及签署者对信赖方的保证义务,这是基于电子认证之维护电子商务安全的目的而做出的。

  一、新加坡《电子交易法》的规定。

  新加坡《电子交易法》第30条规定了对合理信赖证书或可由证书中的公开密钥验证的数字签名的人的表示和保证:对于任何合理信赖可由证书中公开密钥核实的证书或数字签名的人来说,认证机构通过颁发证书表明,认证机构是依照证书中的相应认证业务声明而颁发的证书,或者信赖证书或数字签名的人已经注意到这一点。如果没有认证业务声明,则认证机构表明,下列情况已经确认:(1)在签署证书的过程中,认证机构遵照了法案的所有适当要求行事,而且,如果认证机构已颁发了证书或信赖人可以其它方式使用此证书,则证书中所列的签署者已经承认该证书;(2)在证书中签名的签署者拥有与证书中所列的公开密钥相对应的私密钥;(3)签署者的私密钥和公开密钥构成了功能密钥对;(4)如果认证机构没有在证书中声明某些指定信息的正确性未经确认,则证书中的所有信息都是正确的。认证机构没有认识到的一些包含于证书中的重要事实,将会相应影响到前述法律效果。

  该法第28条规定:认证机构必须披露自身的认证机构证书、有关认证业务声明、认证机构证书撤销或暂停的通知,以及其它一些影响认证机构行使职责的重要事项。

  该法第38条规定了认为签署者已经接受证书情况和由此产生的后果。

  二、美国犹他州《数字签名法》的规定

  美国犹他州《数字签名法》第304条规定:通过颁发证书,许可之认证机构向所有信赖证书里包含的信息的人证明,认证机构已遵守了颁发证书的所有有效的要求;通过发布证书,许可之认证机构向公告栏和所有信赖证书里包含的信息的人证明,认证机构已经向用户颁发了证书。

  该法第302条规定:通过接收许可之认证机构颁发的证书,证书上确定的用户,向所有信赖证书里包含的信息的人证明:(1)每一个通过与证书上所列公开密钥相对应的私钥而生成的数字签名,对用户都是法律上有效的签名,除非证书:(a)被中止了;(b)被认证机构撤销了;(c)过期失效了。(2)没有未经授权的人使用与证书上所列公开密钥相对应的私钥;(3)用户对认证机构作出的包含于证书的所有重要信息的陈述,都是真实的;(4)证书中包含的信息是真实的。

  该法第203条规定认证机构应当向全社会公开其从业资格及其重要的业务记录,其内容与新加坡《电子交易法》第28条之规定相似,但要更为详细具体。

  三、香港《电子交易条例》的规定

  香港《电子交易条例》第38条规定了信息的正确性的推定:如某认可核证机关发出的认可证书已在储存库内公布,除非有相反证据证明,否则须推定该证书包含的信息正确,但识别为未经该机关核实的登记人信息除外。

  该法第39条规定了发出认可证书时的表述:凡认可核证机关发出认可证书,即属向任何合理地依据该证书所包含的信息的人,或向任何合理地依据该证书内列出的公开密码匙所能核实的数码签署的人,表述该机关已按照该证书内以提述方式所收纳的适用的核证作业准则发出该证书,或该机关已按照为该人所知悉的适用的核证作业准则发出该证书。

  该法第40条规定了公布认可证书时的表述:凡认可核证机关公布的认可证书,即属向任何合理地依据该证书所包含的信息的人,表述该机关已向有关登记人发出该证书。

  上述规定大同小异,其中以新加坡对认证机构义务的规定及美国犹他州对签署者义务的规定最为完善。正是有了这些法定义务,当认证机构或签署者违反这些法定义务而给信赖方造成财产损失时,就有可能负侵权责任。

  第二节 电子认证活动中的侵权行为

  一、侵权责任和侵权行为之概念

  侵权责任是加害人因侵权行为造成他人财产或人身损害依法承担的民事责任,其形式有赔偿损失、停止侵害、排除妨碍、消除危险、返还原物、恢复原状、消除影响、恢复名誉及赔礼道歉等,本文主要讨论赔偿损失。

  侵权行为是指行为人由于过错侵害他人的财产和人身依法应承担民事责任的行为,以及依法律的特别规定应当承担民事责任的其他致害行为。

  二、电子认证活动中的侵权行为

  1.错误地向假冒者颁发证书而致人财产损失

  一般来说,如果认证机构尽到职责,假冒者的申请是不能得逞的。但如果认证机构的雇员疏忽大意,错误地向假冒者颁发证书并非是不可能的。

  在这种情况下,假冒者可能利用数字证书进行欺诈活动,或与信赖方进行交易,或从作为信赖方的银行那里转移资金,这些都有可能使被假冒者及信赖方的财产受到损失,从而使二者对认证机构提起侵权之诉。

  2.认证机构之私钥失控而致人财产损失

  私钥失控的表现形式可以是丢失、泄密或被未授权的人使用等,其结果之一是可能落入犯罪分子控制之中,而这些犯罪分子可有意地生成错误的证书来假冒真实的签署者或虚构一个签署者而使信赖方受到损失进而对认证机构提起侵权之诉。

  3.签署者之私钥失控而致人财产损失

  这种侵权行为特指签署者对自己之私钥应尽妥善保管之义务,若私钥遗失而被假冒者利用来对信赖方进行欺诈,则签署者应对信赖方之财产损失负侵权之责。

  4.存储器与作废证书表之失误而致人财产损失

  存储器中保存的是现有的有效的证书,而作废证书表中保存的是已被撤销并不得再被申请的证书,若这两个数据库中信息有误或是正常的使用被阻断,都有可能给签署者及信赖方造成财产损失,而使信赖方对认证机构提起侵权之诉。

  5.中止与撤销证书的失误而致人财产损失

  当签署者私钥失控后,签署者主要的保护自己免受假冒的途径就是向认证机构申请中止或撤销自己的数字证书,若认证机构在中止或撤销证书过程中不合理地迟延或失败,则有可能给信赖方造成财产损失而负侵权之责。

  上述五种侵权行为都不是由于认证机构或签署者的过错而直接导致受害方的财产受损,直接导致受害方财产损失的是欺诈者的诈骗行为,但认证机构及签署者的过错是诈骗能够得逞之必不可少的条件,所以在这种情况下认证机构或签署者与欺诈者对受害方的财产损失均有过错,应当承担连带责任。当然,如果以后能够抓到欺诈者,已经承担赔偿责任的认证机构或签署者可再向欺诈者索赔。

  上述五种侵权行为在英美法系中属于过失虚假表述。过失虚假表述指因过失而做出了虚假表述并由此而导致信赖方的财产损失。这种情况常常发生在商业活动和职业关系中,如金融投资,税务和财务当中。在过失虚假表述的情况下,被告不仅要对特定对象负责,还要对那些不特定的,但可以预见到要受被告的过失虚假表述影响的人负责。比如,某会计师为一个公司做帐,公司告诉会计师,这个帐将用来向银行申请贷款。会计师做帐时因疏忽而夸大了公司的盈利额。如果任何一个银行根据会计师做的帐贷款给这个公司,后来这个公司却破了产,那么,会计师就要为自己做帐过程中的过失虚假表述负责。

  三、电子认证活动中的侵权行为的特征

  (一)电子认证活动中的侵权行为属广义的侵权行为

  狭义侵权行为是指基于故意或过失不法侵害他人权利的行为。广义侵权行为是指除违约行为以外的一切发生民事责任的客观违法行为。显然,前面所列电子认证活动中的认证机构或签署者因自己的过错而导致信赖方财产损失的行为与现有的侵权行为类型有很大不同,但上述行为又不能归入违约行为,因为认证机构与信赖方之间,前述特定情况下的签署者与信赖方之间并不存在合同关系,于是电子认证活动中的侵权行为就应归入广义的侵权行为。

  (二)电子认证活动中的侵权行为属特殊侵权行为

  行为人以自己的行为不法致人损害时,适用民法上的一般责任条款,称为一般侵权行为。当事人基于与自己有关的他人行为、事件或者其他特别原因致人损害,依照民法上的特别责任条款或者民事特别法的规定而应负赔偿责任,称为特殊侵权行为。电子认证活动中的侵权行为必须在制定了电子认证法,并于其中明确规定认证机构及签署者对信赖方的法定义务之后才有可能构成,因此属特殊侵权行为。

  (三)电子认证活动中的侵权行为一般是消极侵权行为

  以一定的作为致人损害,称为积极侵权行为。通常为对他人负有不作为义务的人,以不法的作为侵害他人的权利。

  以一定的不作为致人损害,称为消极侵权行为。通常指负有某种作为义务者,因未实施或者未正确实施义务所要求的行为而致损害发生。大陆法上的特种侵权行为,多为消极侵权行为。在电子认证活动中,认证机构和签署者都负有向信赖方保证证书的真实性、准确性的义务,若因自己的过错而致证书失实而给信赖方造成了财产损失,就应负侵权之责。显然这种侵权行为属消极的侵权行为。

  四、违约责任与侵权责任的划分

  违约责任是违反合同约定义务的法律后果,而侵权责任是违反法定义务的法律后果,两者划分的界限在于加害方与受害方之间是否存在合同关系。如果加害方与受害方之间存在合同关系,那么一般应属违约责任;如果加害方与受害方之间不存在合同关系,那么一般应属侵权责任。例如,在认证机构与签署者间存在电子认证合同关系,签署者本应提供准确的个人信息却由于过错而提供了不准确的个人信息,而认证机构本应及时发放或中止数字证书但却由于过错而没能完成,这些都属于对合同义务的违反而应负违约责任。又如,在认证机构与信赖方之间,签署者与信赖方之间并不存在电子认证合同关系,但是法律基于电子认证制度之维护交易安全的目的,规定了认证机构及签署者针对第三方所负有的法定义务,例如认证机构及签署者都有义务向信赖方保证数字证书中的身份信息是真实而准确的,认证机构及签署者都应妥善保管自身的私密钥,认证机构及签署者违反了上述义务而由此给信赖方造成财产损失的,则应负侵权责任。

  五、违约责任与侵权责任的竞合

  违约责任与侵权责任的竞合,是指行为人的某一行为既违反了合同法规范又违反了侵权行为法的规范,从而产生两种责任,行为人如何承担责任的情况,这是民法上长期争议并无定论的难题。处理违约责任与侵权责任竞合问题的立法模式主要有:禁止竞合模式、允许竞合模式和有限制选择诉讼模式 .禁止竞合模式以法国民法为代表。法国民法认为,只有在没有合同关系存在时才产生侵权责任,在违约场合只能寻求合同补救方法。因此,两类责任是不相容的,不存在竞合问题。允许竞合模式以德国民法为代表。德国民法认为,侵权法与合同法不仅适用于典型的侵权行为与违约行为,而且共同适用于双重违法行为。受害人基于双重违法行为而产生两个请求权,并有权选择行使。如果一项请求权因时效届满而被驳回时,还可行使另一项请求权。但是,受害人的双重请求权因其中一项请求权的实现而消灭。有限制选择诉讼模式以英国法为代表。英国法承认责任竞合,但解决责任竞合的制度只是某种诉讼制度,它主要涉及诉讼形式的选择权,而不是涉及实体法上的请求权的竞合问题。此外,英国法对上述选择之诉原则还规定了以下严格限制:选择之诉需要在当事人之间存在着有偿合同关系;合同当事人以外的第三人只能提起侵权之诉;当事人的疏忽行为和非暴力行为造成财产损失时不构成侵权行为。

  在电子认证活动中,违约责任与侵权责任的竞合发生在认证机构与签署者之间,主要表现是认证机构在违反了合同义务而直接构成违约的同时,还使签署者现有的财产遭到了减损。例如,在签署者有合理的理由要求认证机构撤销证书的情况下,由于认证机构的失误而使撤销迟延,假冒者遂利用该未及撤销的证书从交易相对方提取货物或从银行转移了资金,这些都将使签署者的现有财产受到减损,认证机构同时也应负侵权之责。我认为,电子认证活动中的不法行为给受害人带来的一般都是财产损害而非人身或精神损害,在该不法行为既构成违约行为,又构成侵权行为时,受害人主张违约责任抑或侵权责任,都有法律依据,自然应该允许受害人选择,但是不能双重请求。

  第三节 认证机构侵权责任之归责原则

  一、认证机构之侵权责任应采过错责任原则

  (一)无过错责任原则的排除

  目前,有电子认证立法的国家都将过错责任原则作为认证机构之侵权责任的归责原则而排除了无过错责任的适用。这是因为,认证机构的侵权行为比起工业灾害、汽车事故及商品瑕疵致人损害等实行无过错责任的侵权行为来,其危害性要小得多,只能是财产损害,而且认证机构的侵权并不会直接造成受害方财产的减损,而往往是假冒方利用错误的认证施行诈欺而使受害方现有财产受到减损。采用无过错责任对认证机构来说过于严厉了,将会打击认证机构拓展业务的积极性。

  (二)过错推定责任的确立

  严格责任是英美法中的概念。在英国法中,严格责任是“侵权行为法中的一个术语,指一种比由于没有尽到合理的注意而须负责的一般责任标准更加严格的一种责任标准”。 在美国,,出卖人应当对于不正常地威胁消费者人身安全的任何有缺陷或者有危险的产品负责任。

  有些国家曾经建议对认证机构的侵权行为采用较为严格的责任。例如,。,曾提出一项试验性的解决方案对认证机构实行“可辩驳的严格责任”。该方案认为,法律应假定认证机构对不当的认证负责,但此假定可通过证明“认证机构已经尽了最大努力而仍然没能避免错误的发生”来予以辩驳。美国对该方案持反对意见,。然而,应该认识到该归责原则仍有其潜在的威胁。

  这里的“可辩驳之严格责任”是美国学者依英美法习惯的称谓,其实质应为过错推定责任,属过错责任原则之特例。那么认证机构的侵权责任应否采用过错推定责任呢?我认为应该。理由如下:①过错推定责任产生的原因是进入19世纪末期以后,由于大工业的发展,工业事故和交通事故大幅度地增长,从而加大了受害人举证的难度而不利于妥善地保护受害人利益。而认证业务基本上属于一种专业性较强的信息服务,普通的信赖方能够了解认证机构所具有的对外功能,但并不一定了解认证机构的内部工作机制和操作规范。因此,当出现了错误认证时,由信赖方拿出确切的证据来证明认证机构有过错往往是很困难的;这种情况下只有实行举证责任倒置,让认证机构来证明自身无过错而免责,若认证机构不能证明自己无过错,那它就应承担赔偿责任。从认证机构的角度来说,有关电子认证的法律就是基于它们的积极推动而制定的,有关电子认证的行业规范更是其直接制定,因此认证机构处在最有利的防范风险、避免责任的位置上,对它来说,实行过错推定责任并不过分。在这方面,电子认证业务与注册会计师的审计业务十分相似。②在前面论述的电子认证活动中的违约责任中,实行的归责原则也是过错责任原则。而在违约责任的过错责任原则里,实行的也是举证倒置的办法,受害人对违约方主观上是否有过错不负举证责任,违约方只有证明自己没有过错才能免责,否则推定其有过错。在电子认证活动中,违约责任解决的主要是对签署者的救济,而侵权责任解决的主要是对信赖方的救济。在发达的电子商务中,签署者与信赖方是相对的而非绝对的。假设有商人A和商人B,二者分别向Verisign公司申请了数字证书a和b,商人A对其本身的证书a来说属签署者,而对B的证书b来说则属于信赖方;商人B对A的证书a来说属信赖方,而对其本身的证书b来说又属签署者。由此看来,法律应对信赖方和签署者给予同等的保护才是公平、合理且有效率的。因而,在违约责任制度里受救济的签署者与在侵权责任制度里受救济的信赖方所面临的举证责任制度应是一致的,都应是举证责任倒置的办法。从这个角度来考虑,对认证机构的侵权责任也应实行推定过错责任。

  二、抗辩事由

  侵权责任的抗辩事由也即免责事由,指被告针对原告要求承担侵权民事责任的请求而提出的证明原告的诉讼请求不成立或不完全成立的事实。认证机构的侵权责任的抗辩事由与违约责任的免责事由相似,也包括不可抗力、黑客攻击造成的技术故障及受害方的过错等。其中前两项内容完全相同,这里重点讨论侵权责任中的受害方的过错。

  电子认证活动中的信赖方的过错可能表现为下列情况:

  ①信赖方在信赖数字证书前,没有认真检查最新的作废证书表来验明证书的状态,由此导致使用了作废的证书;

  ②信赖方对证书的信任超出了证书的使用目的范围或可靠性限制。

  认证机构一般都会在自己的认证业务声明中明确规定,信赖方应认真检查作废证书表以确保证书有效并在证书的可信赖范围内行事,否则认证机构对信赖方的损失不负赔偿责任。此声明并不违反有关法律的强制性规定,其内容在实践中也应是每个信赖方在准备依据证书确认相对方身份时所应具备的基本常识,因此,上述认证机构的负责声明应是合法有效的。

  三、认证机构的法定免责-避风港问题

  美国犹他州《数字签名法》第308条2(1)规定:除非许可之认证机构放弃本款的使用,许可之认证机构就与虚假或伪造的数字签名有关的事宜已遵守本法所有重要规定的,该许可之认证机构对依赖虚假或伪造的数字签名所导致的任何损失没有责任。

  马来西亚《1997年数字签名法案》第61条(a)规定:除非特许认证机构放弃使用本条规定,否则在出现假冒或错误的数字签名的情形下,如果特许认证机构是根据本法案的要求行事的,则对因信赖假冒用户人的或错误的数字签名所造成的任何损失,认证机构不承担任何赔偿责任。

  新加坡《电子交易法》第45条(a)规定:除非授权认证机构放弃适用本条规定,否则如果授权认证机构遵守本法规定,该机构对于依赖一项虚假陈述或伪造的数字签名而造成的损失不承担责任 .

  我国香港特别行政区《电子交易条例》第42条(1)规定:除非认可核证机关免除本款对其适用,否则该机关如已就其发出的认可证书遵守本条例的规定及遵守业务守则,即无需就因依据该证书证明的虚假或伪造的登记人数码签署所导致的任何损失负有法律责任 .

  前述四部法律有关认证机构免责问题的规定基本一样,即都规定如果认证机构遵守了该法律的规定则不用对错误的或虚假的数字签名负责。下面试分析此规定的原因:

  首先,数字认证是一个新兴的产业,没有经验可循;而认证机构要面对人数众多的用户,虽然目前的加密技术已经成熟到完全能满足认证机构需要的程度,但计算机系统并不是绝对地可靠的,同时由于机器是由人来操作的,因而还存在一个人的失误的可能性,而一旦出现错误或虚假的认证需要赔偿的数额却可能很大,从这方面讲,认证业属于一个风险较大的行业,似不应对其规定过于严格的责任。

  其次,上述几部法律都属于非常详细的立法,有关认证机构的系统设备、人员、规章制度等的要求都比较完备,而且比较严格,在这个前提下来规定这样一个免责条款也属无可厚非的。此一条款好象给了认证机构一个避风港,使认证机构能够清楚地意识到其只需遵守法律的明确规定即可,而不用为众多未知的风险而惶惶不可终日。此种规定必能增强认证机构的信心,促进认证业的健康发展。

  第四节 电子认证活动中的侵权赔偿范围

  一、认证机构之侵权赔偿对象

  假设某人假冒他人名义向认证机构申请证书,认证机构未尽到法定的义务而颁发了证书,假冒者利用该证书以被假冒者名义进行欺诈性的交易而致被假冒者财产损失,那么受害的被假冒者就会成为认证机构的侵权赔偿对象;在认证机构的作废证书表失灵的情况下,信赖方可能因此遭受财产损失而成为侵权赔偿对象;如果签署者因私密钥遗失而向认证机构申请撤销证书,而认证机构由于失误而发生了迟延并由此给签署者造成了现有财产的损失,那么签署者也会成为认证机构之侵权赔偿对象;因此,认证机构之侵权赔偿对象包括三类人:签署者、信赖方及被假冒者。

  二、认证机构之侵权赔偿范围

  对认证机构之侵权赔偿范围的确定,也应坚持完全赔偿的原则。既要赔偿现有财产的损失,又要赔偿可得利益的损失。

  判断是否为“可得利益”,应看其是否具备以下条件:(1)利益必须是当事人已经预见或者能够预见的利益。不能预见到的利益,不能算作可得利益;(2)必须是可以期待、必然能够得到的利益。如果不可期待、非必然能够得到的利益,也不能算作可得利益;(3)作为计入赔偿范围的“可得利益”,还必须是直接因违法行为所丧失的“可得利益”,也就是说如果不发生这种违法行为,即不致失去此利益。 具体到电子认证活动中,可得利益应包括利润、利息和机会利益等。美国犹他州《数字签名法》排除对利润、利息及机会利益的赔偿的做法曾受到多方面的批评,后来的立法如华盛顿州的《电子认证法》修正了这一做法。但是在实践中也不可能对所有的利润、利息及机会利益等都给予赔偿,我认为可以划定一个如下的具体标准:对现有财产的损失,认证机构都应给予赔偿;而对可得利益的损失,只有认证机构在进行电子认证活动时能明确知道其所提供的数字证书、认证服务是给某人用于某具体交易的,才应对其错误认证所致的受害方(可以是签署者,也可以是信赖方)在该交易中所受的可得利益损失予以赔偿。反之,如果认证机构不清楚自己的认证服务将用于哪些具体交易,对该交易中的可得利益也就不能预见,因而也就不对可得利益负赔偿责任。如果认证机构不是故意地造成错误认证,那么认证机构所赔偿的现有财产的损失和可得利益的损失之和不应超过证书中列明的可靠性限制;如果认证机构属故意地造成错误认证,那么它所赔偿的现有财产的损失和可得利益的损失之和可以超过证书中列明的可靠性限制。

  三、签署者之侵权赔偿问题

  如前所述,签署者对所有信赖证书的人负有保证证书中信息的真实、准确、有效的法定义务,若其违反了这些义务并由此造成了信赖方的损失,也应对信赖方负侵权之责。由于签署者不象认证机构那样居于专业性服务机构的地位,因此对签署者不应实行过错推定责任,而应采一般的过错责任原则,实行“谁主张、谁举证”的举证责任制度。前述的不可抗力、黑客攻击造成的技术故障及受害方的过错也可成为签署者的抗辩事由。签署者之侵权赔偿范围不适用前述的认证机构之侵权赔偿范围,而应根据实际案情具体分析。