电子认证合同关系及民事责任分析(下)
发布日期:2004-06-11 文章来源: 互联网
第一节 电子认证活动中之违约行为
一、民事责任和违约责任的概念
民事责任,是指民事主体违反民事义务所应承担的法律后果。民事责任以民事义务的存在为前提,是对违反民事义务行为的法律制裁。 民事责任主要有违约责任和侵权责任两种类型。电子认证活动中的民事责任也有违约责任和侵权责任两种类型,本章论述违约责任,下一章论述侵权责任。
违约责任是指在当事人不履行合同债务时,所应承担的赔偿损害、支付违约金等责任,是保障债权的实现和债务的履行的重要措施,本文主要讨论损害赔偿这种形式。
如前所述,电子认证关系应定性为一种合同关系,既为合同关系,那么任何一方当事人不履行合同债务或其履行不符合合同约定或法律规定时,就会产生违约责任。
二、电子认证活动中之违约行为
根据上一章对电子认证合同效力的分析,在电子认证活动中主要可能出现下列违约行为。
(一)认证机构之违约行为
1.发放证书的迟延或失败
如果一个证书的申请者按照认证机构之要求提供了所需信息并交了费,但或者由于认证机构之很简单的操作失误,或者由于认证机构之系统设备设计上的缺陷或临时发生的故障,认证机构有可能在发放数字证书时发生迟延或失败。在市场上存在多家可供选择的认证机构的情况下,该申请者可能转而向别的认证机构申请而避免损失;但如果当时当地该家认证机构处于垄断地位的话,该申请者很可能因为欠缺数字证书的认证而耽误交易或使交易失败。即使市场上存在可供选择的认证机构,但如果在特定的电子交易中对方只相信特定认证机构的证书,而申请者又因为该认证机构自身的原因而经过迟延才拿到证书或最终得不到证书,该申请者的交易也会被迟延或取消。上述两种情况都会使申请者向认证机构提出违约损害赔偿之诉,因为认证机构与申请者间关于发故数字证书实质是一种合同关系,申请者应提供正确的信息并交费,而认证机构应及时、正确地发放证书。
2.认证机构之私钥损坏或失控
认证机构之私钥损坏或失控的后果之一是其发出的所有证书都应被撤销,这里认证机构违反的也可说是其与签署者之间的合同义务,对因此造成的签署者的损失认证机构应负违约责任。
3.存储器或作废证书表之失灵
如果认证机构的存储器或作废证书表中出现了错误信息,例如把不应撤销的A之证书列入了作废证书表;或者存储器或作废证书表失灵而根本用不成,那么认证机构也属违反了其与签署者间的合同义务,应负违约之责。
4.中止或撤销证书之不成功
假设一个签署者的私钥被损坏了或遗失了,此时签署者保护自己的最好方法当然是尽快申请由认证机构将其证书中止或撤销。如果认证机构出现不合理的迟延甚至失败,那就应该对签署者由此而遭受的损失负违约之责。
5.认证机构产生了重复的密钥对
如果认证机构由于工作上的差错,向两个不同的申请者颁发了完全相同的密钥对,也属违反了其对签署者的合同义务,应负违约之责。
(二)签署者之违约行为
签署者之违约行为主要是提供了错误信息,不论签署者是故意还是过失地向认证机构提供了虚假的信息,都构成对与认证机构之间的合同义务的违反,应向认证机构负违约之责。签署者之违约行为还可表现为不交费或迟延交费,没有使用可信赖系统,私密钥失控及在私密钥失控的情况下怠于通知认证机构等。
私钥的保管在数字认证中非常重要,由用户自己生成私钥,私钥生成后就直接由用户进行保管,不需要在用户与认证机构之间传递,这样泄密的风险就相对小一些。如果因私钥的损坏、泄漏而导致了虚假或错误的数字签名,那么责任的认定就相对容易一些,肯定是在用户一方。由认证机构生成私钥,私钥生成后还需由认证机构传递给用户,并且有时认证机构还会应用户之要求备份并保管私钥,这样私钥泄漏的风险就相对大些。如果因私钥的泄漏、损坏而导致了虚假或错误的数字签名,那么责任的认定就相对复杂一些,可能在用户一方,也可能在认证机构一方。但由于认证机构的计算机等设备性能一般都较先进,安全可靠性高,因此由认证机构生成的私钥的质量相对于用户自己生成的私钥要高一些,从这个角度讲,私钥被破解而泄密的风险又相对小一些。
第二节 电子认证话动中的违约责任之归责原则
一、过错责任原则和无过错责任原则的概念
(一)过错责任原则
过错责任原则,是指在一方违反合同规定的义务,不履行和不适当履行合同时,应以过错作为确定责任承担的决定性因素。民法上的过错是指行为人通过违反义务的行为所表现出来的一种应受非难的心理状态,其主要有故意和过失两种形式。故意,是指行为人预见到自己行为的有害后果,仍然希望或放任有害结果的发生。过失,是指行为人应当预见自己的行为可能发生有害后果而没有预见(疏忽大意的过失),或虽然预见到了却轻信此种结果可以避免(过于自信的过失)的心理状态。
违约责任中过错责任原则为大陆法系各国民法所普通采用,并广泛采取推定过错的方式,即由违约当事人负举证责任证明其没有过错。
(二)无过错责任原则
无过错责任原则,是指无论违约方主观上有无过错,只要其违反合同债务的行为给对方当事人造成了损害,依法应承担违约责任的,就应承担违约责任。
在英美法系国家违约责任通常实行无过错责任原则,而在大陆法系国家仅在几种特定情况下对违约责任实行无过错责任原则。
二、电子认证活动中的违约责任应采过错责任原则
关于电子认证活动中的违约责任之归责原则,在大陆法系,仍应采过错责任原则。在大陆法系国家违约责任通常适用过错责任原则,但为了保护无过错受害人的利益,在下列情况下适用无过错责任原则:(1)金钱债务的迟延责任;(2)不能交付种类物;(3)承运人对于通常事变造成的承运货物毁损灭失或迟延送达责任;(4)旅客运送人对于运送过程中发生的通常事变给旅客造成的损害责任;(5)旅店主对于通常事变给旅客携带的物品造成损害的责任;(6)饮食店主或浴池业主对于通常事变给顾客携带的一般物品造成损失的责任;(7)债权人受领迟延责任;(8)迟延履行责任等。 电子认证这类合同并不属于现在已有的应适用无过错责任原则的数种特定情况。
那么电子认证活动应否成为一种新的采取无过错责任原则的情形呢?我认为答案应是否定的。首先,大陆法系中规定的几种采无过错责任原则的合同大都属受害方的人身或现有财产遭到了损害,而电子认证活动之主要目的是为电子交易双方提供身份认证,受害方的损害大部分属可得利益的损失,两者相比,认证活动中违约的危害要更间接一些,若采用无过错责任原则对认证机构失之过苛;其次,认证机构只是提供各种身份信息的类似公用事业的机构,它收取的费用往往是低廉的,因而加于它的责任风险亦不应过高;再次,电子认证业刚刚起步,还没有形成规模效应,认证机构与铁路运输这样的垄断性行业的地位是不可比的,而且从发展的眼光看,由于网络的开放性,认证业可能始终不会形成寡头垄断的局面;最后,与认证业务相配套的责任保险还不完善,这也导致不宜对电子认证合同采无过错责任。
在英美法系,一般违约责任的归责原则采用无过错责任原则。“过错”很少与普通法合同法发生联系,然而却有一些特殊合同,无论何时均不得视为会产生绝对的或者严格的责任,其合同债务所要求的只不过是尽合理之注意,在这类案件中,法院坚持认为应证明被告有过错始得使之承担责任,尤其是在专业服务场合更是如此;专业人员没有过失而被认定承担责任,这是非常罕见的,换言之,专业人员并非“担保”作出的意见或所提供的服务的绝对可靠性,他们并不一般性地“担保”结果。 具体到美国,提供服务的合同适用普通法,其中对提供专业性服务的合同采取的是过错责任。如前所述,电子认证合同应属提供服务的合同,而且显而易见的是,这种服务具有相当的专业性,因此在英美法系,电子认证合同的违约责任也采过错责任原则。
三、免责事由
免责事由又称为免责条件,是指当事人即使违约也不承担责任的情形。免责事由可分为不可抗力、免责条款和债权人的过错三种类型。
(一)不可抗力
不可抗力,是指不能预见、不能避免并不能克服的客观情况。不可抗力既可以是自然现象或者自然灾害,如地震、火山爆发、滑坡、泥石流、雪崩、洪水、海啸、台风等自然现象;也可以是社会现象、社会异常事件或者政府行为,如合同订立后政府颁发新的政策、法律和行政法规,致使合同无法履行,再如战争、罢工、骚乱等社会异常事件。不可抗力一般是法定的免责条款,例如我国《合同法》第117条规定:“因不可抗力不能履行合同的,根据不可抗力的影响,部分或者全部免除责任,但法律另有规定的除外。”
在电子认证活动中,认证机构由于不可抗力因素而暂停或终止全部或部分证书服务的,也可根据不可抗力的影响而部分或者全部免除违约责任。
由于法律无法具体规定或者列举不可抗力的内容和种类,加上不可抗力本身的弹性较大,在理解上容易产生歧义,因而允许当事人在合同中订立不可抗力条款,根据交易的情况约定不可抗力的内容和种类。电子认证合同中的不可抗力条款往往出现在与数字证书申请表一起提供给客户的“责任书”中,也可被规定在认证机构的认证业务声明中。
第三人的行为即使对合同当事人是不可预见和不可避免的,也不属不可抗力,不能成为免责事由。例如我国《合同法》第121条规定:“当事人一方因第三人的原因造成违约的,应当向对方承担违约责任。当事人一方和第三人之间的纠纷,依照法律规定或者按照约定解决。”在电子认证活动中,若因第三方如电信部门的行为而造成认证机构的操作失败或迟延的,认证机构不能以不可抗力为由而免除违约责任。
(二)免责条款
免责条款是指当事人在合同中约定的免除将来可能发生的违约责任的条款。免责条款不得违反法律的强制性规定和社会公共利益。
电子认证合同中的免责条款通常都是由认证机构制定的格式条款,客户方只能表示接受或者拒绝,不能自由协商更改。由于电子认证属于一项技术性特别强的工作,这里一个突出的问题是认证机构可否以格式条款的形式免除因技术故障而致的违约责任。电子资金转帐与电子认证相类似,都是技术性很强的工作,也存在对因技术故障造成的违约的免责问题,美国对此持肯定态度。美国《电子资金转帐法》第910条规定,“金融机构没有遵照消费者正确指令,按帐户条件,以正确的金额,及时的方式进行电子资金转帐……由此直接造成的一切损失,对消费者负有责任。”但如果金融机构能够证明没有转帐是由于下列原因之一,则对承担责任有完全的辩护权:“(1)不可抗拒力或其他无法控制的情况,对防止发生此类事件已作了合理的关心,并按情况需要作了努力;或(2)技术故障,消费者在试图启动电子资金转帐时,或在事先授权的转帐情况下,在这种转帐应该发生时,已经知道这种故障。” 对电子资金转帐的这种规定对电子认证来说应是可以参考的。
技术故障可能的原因主要有以下几种:①不可抗力;②关联单位(如电信部门)的失误;③认证机构自身的失误;④黑客攻击。对不可抗力造成的技术故障,认证机构当然可以免责;对由于关联单位的失误造成的技术故障,根据合同法的原理,认证机构不能免责,应先向签署者承担责任然后向关联单位追偿;各国电子认证法一般都对认证机构的技术设备提出较高的要求,如果认证机构没有遵守此要求而造成了技术故障,认证机构不能免责;对于黑客攻击造成的技术故障,我认为应该能够免责,因为黑客攻击往往造成大规模的计算机系统瘫痪,这种情况有点类似于不可抗力,并且对黑客,认证机构往往无法进行追偿,这一点与关联单位的失误而造成的技术故障不同。
我认为在电子认证合同中,不能笼统地判定技术故障造成的违约是否能够免责,而应区别不同的情况来分析。因此,在电子认证合同中以格式条款的形式绝对地规定技术故障造成的违约可以免责是行不通的,在特定情况下可能因违反法律的强制性规定而被判无效。
(三)债权人过错
如果合同不履行或者不完全履行是由对方即债权人的过错造成的,不履行或者不完全履行的一方免除违约责任。在电子认证合同中也存在因债权人过错而免责的情况,例如签署者有使用可信赖系统的义务,若因签署者的计算机系统达不到要求而使认证机构不能履行或不能完全履行颁发证书、管理证书及发布信息的义务,则认证机构可以免责。这方面最简单的例子如签署者的计算机配置太低或使用的软件不合适或有缺陷。
第三节 认证机构之违约赔偿范围
一、认证机构之违约赔偿对象
认证机构之违约赔偿对象首先包括申请证书的签署者,这是不用解释的。需要分析的是信赖方和被假冒者能否向认证机构提出违约赔偿之要求。
合同关系的相对性是指合同关系只能发生在合同当事人之间,只能由合同当事人一方(债权人)向另一方(债务人)提出请求或者提起诉讼。除法律另有规定或者当事人另有约定外,合同当事人以外的第三人不能依据合同向合同当事人提出请求或者提起诉讼,也不对合同当事人承担义务或者责任。根据合同关系的相对性,违约责任只能发生在合同当事人之间。此处应考虑的合同关系相对性的例外是为第三人利益的合同。显然电子认证合同并非是为了信赖方的利益而签订的,更非为了被假冒方的利益而签订的,因此,对电子认证合同仍应坚持合同关系相对性规则,信赖方及被假冒方不能成为认证机构的违约赔偿对象。信赖方及被假冒方可以成为认证机构的侵权赔偿对象,这将在下一章详细讨论。
二、认证机构之违约赔偿范围
(一)完全赔偿原则和合理预见规则
完全赔偿原则,是指违约方对于受害人因违约行为所遭受的全部损失应当承担全部赔偿责任。完全赔偿原则是现代各国违约损害赔偿的基本原则,也是各国立法的通例。完全赔偿原则要求不但要赔偿现有财产的损失,还应赔偿可得利益的损失。现有财产损失就是因一方违约给对方造成的财产减少和支出的增加;可得利益损失是指如合同正常履行受损害方可以获取的利益的损失,主要是指利润的损失。
合理预见规则,是指违约损害赔偿的范围以违约方在订立合同时预见或者应当预见到的损失为限,或者说,违约方对违约所造成损失的赔偿责任不得超过违反合同一方订立合同时预见到或者应当预见到的因违反合同可能造成的损失的原则。合理预见规则是限制违约损害赔偿范围的一项重要规则,我国《合同法》第113条对之做了规定。
电子认证合同中的违约损害赔偿范围的确定也应坚持完全赔偿原则和合理预见规则。
(二)美国犹他州《数字签名法》规定的违约损害赔偿范围
美国犹他州《数字签名法》第308条规定,通过在证书中明确建议的可靠性限制,其颁发者认证机构和接收者用户,建议人们仅在不超过证书的风险总额的限度内交易或对之信赖;除了认证机构违反了法定条件之外,许可之认证机构不对所颁发的证书中因其虚假陈述或错误而对超过证书中明确建议的可靠性程度的数额负责,并且许可之认证机构不对惩罚或警戒性损害赔偿负责,但州政府的强制性要求除外。需要说明的是,所谓认证机构违反法定条件,是指其没有达到机构设立、自身管理、证书业务等方面的规范。
关于证书的错误陈述,认证机构只对证书中写明的信赖程度负责。认证机构只对直接损失负赔偿责任:免去了间接损失和惩罚性赔偿;免去了利润、利息或机会利益的赔偿;也免去了精神痛苦与损害的赔偿。从赔偿范围中排除储蓄利息(它是以个人银行帐号为前提的),对用户特别苛刻,而使用银行交易的消费者,是潜在的最普遍的用户。
(三)美国华盛顿州《电子认证法》规定的违约损害赔偿范围
美国犹他州《数字签名法》规定的认证机构责任方案,曾受到多方面的批评。于是,出现了对之进行改良的方案,即适当减少对认证机构责任的限制,从而扩大对用户(多为消费者)的保护。华盛顿州的立法,就是这方面的例子。与美国犹他州法不同,华盛顿州立法并没有采用排除“利润,利息,机会利益的赔偿”的条款,它在两方面比犹他州法有所进步:首先,允许利息包含在赔偿之列,华盛顿州选择了对用户的保护,以免其银行账户被错误的提取。如果银行没有认真检查冒充他人,并得到证书的恶意第三人的信用证,让该人凭此证书从银行提走了款项,认证机构将对该损失,在其证书的可靠限度内负责任。这就为在线银行,营造了比犹他州制度更友好的环境(从消费者的角度)。其二,对于企业来说,通过允许利润与机会利益的赔偿,是一种较好的保护,而这些都曾被排除在美国犹他州法之外。
(四)对认证机构之违约赔偿范围的总结
根据上述讨论,可总结出认证机构可能之违约赔偿范围:(1)认证机构应对因自己在证书之颁发、管理方面的失误而致的签署者现有财产的减损负赔偿责任。这种情形实际上也构成侵权责任,属违约责任与侵权责任的竞合,这种情形下原告可任选一种责任形式起诉,下一章还将详细讨论这一问题;(2)若认证机构在颁发证书时明确知道签署者是要用于特定的交易的,而且该证书对于交易是必不可少的条件,则认证机构应对因自己的失误而导致的签署者在该交易中之可得利益损失而进行赔偿;反之,若在颁发证书时认证机构并不清楚证书的具体用途或虽然知道其具体用途但并非该交易的必备条件,则认证机构对因自己的失误而导致的签署者的可得利益之损失可不予赔偿。
如果认证机构不是故意地造成错误认证,则上述(1)、(2)中的应予赔偿的现有财产的损失及可得利益的损失之和的数额不应超过证书中列明的可靠性限制;反之,如果认证机构属故意造成错误认证则(1)、(2)中的应予赔偿的现有财产的损失及可得利益的损失之和的数额可以超过证书中列明的可靠性限制。
三、对有关违约赔偿范围的格式条款之分析
(一)不公平合同条款概述
一般来说,不论是在商业性合同中还是在消费者合同中,不公平条款常常表现为以下几种形式:(1)直接限制责任之条款;(2)赋予供应商以任意解除合同之权利的条款;(3)限制对方权利之条款;(4)就与契约无关之事项限制一方权利之条款;(5)放弃权利条款;(6)强行代理之条款;(7)限制消费者寻求法律救济之手段之条款;(8)其他明显异常的条款。
对不公平合同条款的法律规制是出于以下理念:二十世纪以来,格式合同大量涌现,这种合同的一方往往是居于垄断地位的经济组织,合同条款一般都是它们单方制定,难保不含有损害相对方利益之内容;合同的另一方处于弱者地位,面临的选择是:要么接受,要么走开。这种情况下如果一味坚持传统的契约自由原则,势必违背正义之要求。于是,各国都开始借助立法来对不公平合同条款进行规制,以达到“强化弱者、弱化强者的契约自由权,以弥补他们在经济上的强弱势差,实现平均正义” 的效果。
(二)对Verisign公司之格式条款的分析
认证机构往往在其认证业务声明中尽量限制自己的责任。目前在全球处于领导地位的认证中心,是美国的Verisign公司,该公司所提供的数字证书服务,已经遍及全世界60多个国家,接受该公司的服务器数字证书的Web站点,已超过几万个,而使用该公司个人数字证书的用户,已有几百万名。该公司的业务声明规定:没有任何一方会对另一方承担间接损害赔偿、专项损害赔偿或附带损害赔偿的责任,无论该责任是可以预见的还是不可预见的;无论该责任是产生于对任何明示或默示担保的违反,对合同义务的违反还是源于侵权法中的虚假表述、过失及严格责任等等,除非是因为一方的故意不当行为或损害达到了人身伤亡的程度。各方都应同意Verisign公司的责任最高限额不超过客户所付给本公司的费用,除非损害是由本公司的故意不当行为所致。某些司法管辖区不允许限制或免除附带损害赔偿或间接损害赔偿,那么上述声明就不适用于这些地区。
由上述格式条款可以看出,Verisign公司将其赔偿范围限定为:对故意不当行为所造成的损害,赔偿全部损失,包括间接损害、专项损害及附带损害;而对非故意不当行为所造成的损害,只赔偿直接损失,排除对间接损害、专项损害及附带损害的赔偿。这样的格式条款有可能被法院判为不公平条款,主要原因如下:如前所述,美国华盛顿州的《电子认证法》将利息、企业的利润与机会利益都包含在在赔偿范围内,而利息、企业的利润与机会利益显然不属于直接损害,因此Verisign公司的格式条款在华盛顿州就很有可能被判违法,而华盛顿州的电子认证立法是对犹他州《数字签名法》之改良,在其后的立法中肯定还有别的州效仿华盛顿州的作法,在这些州里,Versign 公司的格式条款也有可能被判违法。
通过对Verisign公司的格式条款之分析可看出,在电子认证活动过程中,制度的设计需要使认证机构与其客户间在责任风险的分配上保持一种巧妙的平衡:创设电子认证法律制度的积极性首先来自于掌握电子认证这种高技术的实力集团,它们要把技术推向市场,要通过认证业务的开展来盈利,因此最先制定出来的电子认证法往往代表认证机构的利益多些而反映客户即消费者一方的利益少些,犹他州的《数字签名法》就是一个典型的例子。这样的法律出台后,由于没有合适地照顾到消费者的利益,必然遭到学术界、律师界的批评,于是就会出现修正,例如华盛顿州的《电子认证法》。而修正得以成功进行的经济根源还在于:认证机构也会认识到,如果条件过于苛刻,那么客户就不会情愿接受有关认证服务,认证机构也就难以保持正常的运行。而对客户一方的利益进行保护的度就在于:认证机构感觉到不论怎样,它还是可以赢利的。
我国电子认证业刚刚起步,各认证机构在制定格式条款时应借鉴国际上已有的关于合同双方责任分配的经验,充分考虑消费者利益,达成合理的制度设计,争取“双赢”的结果。
四、电子认证机构责任之最高限额
现有的各国电子认证立法在认证机构的责任之最高限额的问题上都没有明确规定。美国犹他州《数字签名法实施细则》虽然规定认证机构在申请注册时应交纳75000美元的担保,但并没有明确规定认证机构的责任总额就止于75000美元;而如果认证机构是由政府组建的,连这75000美元担保也不用要了。 我认为,还是应该明确认证机构的责任之最高限额,还应明确认证机构的投资方的有限责任,即投资方只在其投资金额内对认证机构的债务承担责任,这样一旦认证机构的财产不足以支付赔偿就进入破产程序,否则,如果真的出现巨额索赔的话,无论是对私营的还是官方的认证机构,负担都太重了。明确认证机构的有限责任性质,也可增强客户一方的风险意识。
五、签署者之违约损害赔偿范围
签署者之违约赔偿责任可以产生于下列情形,签署者向认证机构提供了虚假信息或签署者的私密钥失控而造成认证机构在线发布的证书有缺陷,此时信赖方若因信赖证书而遭受了财产损失,就会向认证机构提出侵权损害赔偿的要求,认证机构在向信赖方做出赔偿后,就会转而向签署者要求违约损害赔偿,赔偿的范围包括前述侵权损害赔偿及认证机构所受的其他损失。
第三章 电子认证活动中的侵权责任
第一节 认证机构及签署者对信赖方的法定义务
技术特定式和折衷式电子认证立法一般都强制性地规定认证机构及签署者对信赖方的保证义务,这是基于电子认证之维护电子商务安全的目的而做出的。
一、新加坡《电子交易法》的规定。
新加坡《电子交易法》第30条规定了对合理信赖证书或可由证书中的公开密钥验证的数字签名的人的表示和保证:对于任何合理信赖可由证书中公开密钥核实的证书或数字签名的人来说,认证机构通过颁发证书表明,认证机构是依照证书中的相应认证业务声明而颁发的证书,或者信赖证书或数字签名的人已经注意到这一点。如果没有认证业务声明,则认证机构表明,下列情况已经确认:(1)在签署证书的过程中,认证机构遵照了法案的所有适当要求行事,而且,如果认证机构已颁发了证书或信赖人可以其它方式使用此证书,则证书中所列的签署者已经承认该证书;(2)在证书中签名的签署者拥有与证书中所列的公开密钥相对应的私密钥;(3)签署者的私密钥和公开密钥构成了功能密钥对;(4)如果认证机构没有在证书中声明某些指定信息的正确性未经确认,则证书中的所有信息都是正确的。认证机构没有认识到的一些包含于证书中的重要事实,将会相应影响到前述法律效果。
该法第28条规定:认证机构必须披露自身的认证机构证书、有关认证业务声明、认证机构证书撤销或暂停的通知,以及其它一些影响认证机构行使职责的重要事项。
该法第38条规定了认为签署者已经接受证书情况和由此产生的后果。
二、美国犹他州《数字签名法》的规定
美国犹他州《数字签名法》第304条规定:通过颁发证书,许可之认证机构向所有信赖证书里包含的信息的人证明,认证机构已遵守了颁发证书的所有有效的要求;通过发布证书,许可之认证机构向公告栏和所有信赖证书里包含的信息的人证明,认证机构已经向用户颁发了证书。
该法第302条规定:通过接收许可之认证机构颁发的证书,证书上确定的用户,向所有信赖证书里包含的信息的人证明:(1)每一个通过与证书上所列公开密钥相对应的私钥而生成的数字签名,对用户都是法律上有效的签名,除非证书:(a)被中止了;(b)被认证机构撤销了;(c)过期失效了。(2)没有未经授权的人使用与证书上所列公开密钥相对应的私钥;(3)用户对认证机构作出的包含于证书的所有重要信息的陈述,都是真实的;(4)证书中包含的信息是真实的。
该法第203条规定认证机构应当向全社会公开其从业资格及其重要的业务记录,其内容与新加坡《电子交易法》第28条之规定相似,但要更为详细具体。
三、香港《电子交易条例》的规定
香港《电子交易条例》第38条规定了信息的正确性的推定:如某认可核证机关发出的认可证书已在储存库内公布,除非有相反证据证明,否则须推定该证书包含的信息正确,但识别为未经该机关核实的登记人信息除外。
该法第39条规定了发出认可证书时的表述:凡认可核证机关发出认可证书,即属向任何合理地依据该证书所包含的信息的人,或向任何合理地依据该证书内列出的公开密码匙所能核实的数码签署的人,表述该机关已按照该证书内以提述方式所收纳的适用的核证作业准则发出该证书,或该机关已按照为该人所知悉的适用的核证作业准则发出该证书。
该法第40条规定了公布认可证书时的表述:凡认可核证机关公布的认可证书,即属向任何合理地依据该证书所包含的信息的人,表述该机关已向有关登记人发出该证书。
上述规定大同小异,其中以新加坡对认证机构义务的规定及美国犹他州对签署者义务的规定最为完善。正是有了这些法定义务,当认证机构或签署者违反这些法定义务而给信赖方造成财产损失时,就有可能负侵权责任。
第二节 电子认证活动中的侵权行为
一、侵权责任和侵权行为之概念
侵权责任是加害人因侵权行为造成他人财产或人身损害依法承担的民事责任,其形式有赔偿损失、停止侵害、排除妨碍、消除危险、返还原物、恢复原状、消除影响、恢复名誉及赔礼道歉等,本文主要讨论赔偿损失。
侵权行为是指行为人由于过错侵害他人的财产和人身依法应承担民事责任的行为,以及依法律的特别规定应当承担民事责任的其他致害行为。
二、电子认证活动中的侵权行为
1.错误地向假冒者颁发证书而致人财产损失
一般来说,如果认证机构尽到职责,假冒者的申请是不能得逞的。但如果认证机构的雇员疏忽大意,错误地向假冒者颁发证书并非是不可能的。
在这种情况下,假冒者可能利用数字证书进行欺诈活动,或与信赖方进行交易,或从作为信赖方的银行那里转移资金,这些都有可能使被假冒者及信赖方的财产受到损失,从而使二者对认证机构提起侵权之诉。
2.认证机构之私钥失控而致人财产损失
私钥失控的表现形式可以是丢失、泄密或被未授权的人使用等,其结果之一是可能落入犯罪分子控制之中,而这些犯罪分子可有意地生成错误的证书来假冒真实的签署者或虚构一个签署者而使信赖方受到损失进而对认证机构提起侵权之诉。
3.签署者之私钥失控而致人财产损失
这种侵权行为特指签署者对自己之私钥应尽妥善保管之义务,若私钥遗失而被假冒者利用来对信赖方进行欺诈,则签署者应对信赖方之财产损失负侵权之责。
4.存储器与作废证书表之失误而致人财产损失
存储器中保存的是现有的有效的证书,而作废证书表中保存的是已被撤销并不得再被申请的证书,若这两个数据库中信息有误或是正常的使用被阻断,都有可能给签署者及信赖方造成财产损失,而使信赖方对认证机构提起侵权之诉。
5.中止与撤销证书的失误而致人财产损失
当签署者私钥失控后,签署者主要的保护自己免受假冒的途径就是向认证机构申请中止或撤销自己的数字证书,若认证机构在中止或撤销证书过程中不合理地迟延或失败,则有可能给信赖方造成财产损失而负侵权之责。
上述五种侵权行为都不是由于认证机构或签署者的过错而直接导致受害方的财产受损,直接导致受害方财产损失的是欺诈者的诈骗行为,但认证机构及签署者的过错是诈骗能够得逞之必不可少的条件,所以在这种情况下认证机构或签署者与欺诈者对受害方的财产损失均有过错,应当承担连带责任。当然,如果以后能够抓到欺诈者,已经承担赔偿责任的认证机构或签署者可再向欺诈者索赔。
上述五种侵权行为在英美法系中属于过失虚假表述。过失虚假表述指因过失而做出了虚假表述并由此而导致信赖方的财产损失。这种情况常常发生在商业活动和职业关系中,如金融投资,税务和财务当中。在过失虚假表述的情况下,被告不仅要对特定对象负责,还要对那些不特定的,但可以预见到要受被告的过失虚假表述影响的人负责。比如,某会计师为一个公司做帐,公司告诉会计师,这个帐将用来向银行申请贷款。会计师做帐时因疏忽而夸大了公司的盈利额。如果任何一个银行根据会计师做的帐贷款给这个公司,后来这个公司却破了产,那么,会计师就要为自己做帐过程中的过失虚假表述负责。
三、电子认证活动中的侵权行为的特征
(一)电子认证活动中的侵权行为属广义的侵权行为
狭义侵权行为是指基于故意或过失不法侵害他人权利的行为。广义侵权行为是指除违约行为以外的一切发生民事责任的客观违法行为。显然,前面所列电子认证活动中的认证机构或签署者因自己的过错而导致信赖方财产损失的行为与现有的侵权行为类型有很大不同,但上述行为又不能归入违约行为,因为认证机构与信赖方之间,前述特定情况下的签署者与信赖方之间并不存在合同关系,于是电子认证活动中的侵权行为就应归入广义的侵权行为。
(二)电子认证活动中的侵权行为属特殊侵权行为
行为人以自己的行为不法致人损害时,适用民法上的一般责任条款,称为一般侵权行为。当事人基于与自己有关的他人行为、事件或者其他特别原因致人损害,依照民法上的特别责任条款或者民事特别法的规定而应负赔偿责任,称为特殊侵权行为。电子认证活动中的侵权行为必须在制定了电子认证法,并于其中明确规定认证机构及签署者对信赖方的法定义务之后才有可能构成,因此属特殊侵权行为。
(三)电子认证活动中的侵权行为一般是消极侵权行为
以一定的作为致人损害,称为积极侵权行为。通常为对他人负有不作为义务的人,以不法的作为侵害他人的权利。
以一定的不作为致人损害,称为消极侵权行为。通常指负有某种作为义务者,因未实施或者未正确实施义务所要求的行为而致损害发生。大陆法上的特种侵权行为,多为消极侵权行为。在电子认证活动中,认证机构和签署者都负有向信赖方保证证书的真实性、准确性的义务,若因自己的过错而致证书失实而给信赖方造成了财产损失,就应负侵权之责。显然这种侵权行为属消极的侵权行为。
四、违约责任与侵权责任的划分
违约责任是违反合同约定义务的法律后果,而侵权责任是违反法定义务的法律后果,两者划分的界限在于加害方与受害方之间是否存在合同关系。如果加害方与受害方之间存在合同关系,那么一般应属违约责任;如果加害方与受害方之间不存在合同关系,那么一般应属侵权责任。例如,在认证机构与签署者间存在电子认证合同关系,签署者本应提供准确的个人信息却由于过错而提供了不准确的个人信息,而认证机构本应及时发放或中止数字证书但却由于过错而没能完成,这些都属于对合同义务的违反而应负违约责任。又如,在认证机构与信赖方之间,签署者与信赖方之间并不存在电子认证合同关系,但是法律基于电子认证制度之维护交易安全的目的,规定了认证机构及签署者针对第三方所负有的法定义务,例如认证机构及签署者都有义务向信赖方保证数字证书中的身份信息是真实而准确的,认证机构及签署者都应妥善保管自身的私密钥,认证机构及签署者违反了上述义务而由此给信赖方造成财产损失的,则应负侵权责任。
五、违约责任与侵权责任的竞合
违约责任与侵权责任的竞合,是指行为人的某一行为既违反了合同法规范又违反了侵权行为法的规范,从而产生两种责任,行为人如何承担责任的情况,这是民法上长期争议并无定论的难题。处理违约责任与侵权责任竞合问题的立法模式主要有:禁止竞合模式、允许竞合模式和有限制选择诉讼模式 .禁止竞合模式以法国民法为代表。法国民法认为,只有在没有合同关系存在时才产生侵权责任,在违约场合只能寻求合同补救方法。因此,两类责任是不相容的,不存在竞合问题。允许竞合模式以德国民法为代表。德国民法认为,侵权法与合同法不仅适用于典型的侵权行为与违约行为,而且共同适用于双重违法行为。受害人基于双重违法行为而产生两个请求权,并有权选择行使。如果一项请求权因时效届满而被驳回时,还可行使另一项请求权。但是,受害人的双重请求权因其中一项请求权的实现而消灭。有限制选择诉讼模式以英国法为代表。英国法承认责任竞合,但解决责任竞合的制度只是某种诉讼制度,它主要涉及诉讼形式的选择权,而不是涉及实体法上的请求权的竞合问题。此外,英国法对上述选择之诉原则还规定了以下严格限制:选择之诉需要在当事人之间存在着有偿合同关系;合同当事人以外的第三人只能提起侵权之诉;当事人的疏忽行为和非暴力行为造成财产损失时不构成侵权行为。
在电子认证活动中,违约责任与侵权责任的竞合发生在认证机构与签署者之间,主要表现是认证机构在违反了合同义务而直接构成违约的同时,还使签署者现有的财产遭到了减损。例如,在签署者有合理的理由要求认证机构撤销证书的情况下,由于认证机构的失误而使撤销迟延,假冒者遂利用该未及撤销的证书从交易相对方提取货物或从银行转移了资金,这些都将使签署者的现有财产受到减损,认证机构同时也应负侵权之责。我认为,电子认证活动中的不法行为给受害人带来的一般都是财产损害而非人身或精神损害,在该不法行为既构成违约行为,又构成侵权行为时,受害人主张违约责任抑或侵权责任,都有法律依据,自然应该允许受害人选择,但是不能双重请求。
第三节 认证机构侵权责任之归责原则
一、认证机构之侵权责任应采过错责任原则
(一)无过错责任原则的排除
目前,有电子认证立法的国家都将过错责任原则作为认证机构之侵权责任的归责原则而排除了无过错责任的适用。这是因为,认证机构的侵权行为比起工业灾害、汽车事故及商品瑕疵致人损害等实行无过错责任的侵权行为来,其危害性要小得多,只能是财产损害,而且认证机构的侵权并不会直接造成受害方财产的减损,而往往是假冒方利用错误的认证施行诈欺而使受害方现有财产受到减损。采用无过错责任对认证机构来说过于严厉了,将会打击认证机构拓展业务的积极性。
(二)过错推定责任的确立
严格责任是英美法中的概念。在英国法中,严格责任是“侵权行为法中的一个术语,指一种比由于没有尽到合理的注意而须负责的一般责任标准更加严格的一种责任标准”。 在美国,严格责任是法院在产品责任案件中适用的概念,出卖人应当对于不正常地威胁消费者人身安全的任何有缺陷或者有危险的产品负责任。
有些国家曾经建议对认证机构的侵权行为采用较为严格的责任。例如,参加联合国贸法会电子商务工作组的一些国家支持对认证机构的不当认证施用严格责任。在1997年2月的联合国贸法会议上,曾提出一项试验性的解决方案对认证机构实行“可辩驳的严格责任”。该方案认为,法律应假定认证机构对不当的认证负责,但此假定可通过证明“认证机构已经尽了最大努力而仍然没能避免错误的发生”来予以辩驳。美国对该方案持反对意见,而且似乎在1998年1月的联合国贸法会会议上支持该方案的力量有所削弱。然而,应该认识到该归责原则仍有其潜在的威胁。
这里的“可辩驳之严格责任”是美国学者依英美法习惯的称谓,其实质应为过错推定责任,属过错责任原则之特例。那么认证机构的侵权责任应否采用过错推定责任呢?我认为应该。理由如下:①过错推定责任产生的原因是进入19世纪末期以后,由于大工业的发展,工业事故和交通事故大幅度地增长,从而加大了受害人举证的难度而不利于妥善地保护受害人利益。而认证业务基本上属于一种专业性较强的信息服务,普通的信赖方能够了解认证机构所具有的对外功能,但并不一定了解认证机构的内部工作机制和操作规范。因此,当出现了错误认证时,由信赖方拿出确切的证据来证明认证机构有过错往往是很困难的;这种情况下只有实行举证责任倒置,让认证机构来证明自身无过错而免责,若认证机构不能证明自己无过错,那它就应承担赔偿责任。从认证机构的角度来说,有关电子认证的法律就是基于它们的积极推动而制定的,有关电子认证的行业规范更是其直接制定,因此认证机构处在最有利的防范风险、避免责任的位置上,对它来说,实行过错推定责任并不过分。在这方面,电子认证业务与注册会计师的审计业务十分相似。②在前面论述的电子认证活动中的违约责任中,实行的归责原则也是过错责任原则。而在违约责任的过错责任原则里,实行的也是举证倒置的办法,受害人对违约方主观上是否有过错不负举证责任,违约方只有证明自己没有过错才能免责,否则推定其有过错。在电子认证活动中,违约责任解决的主要是对签署者的救济,而侵权责任解决的主要是对信赖方的救济。在发达的电子商务中,签署者与信赖方是相对的而非绝对的。假设有商人A和商人B,二者分别向Verisign公司申请了数字证书a和b,商人A对其本身的证书a来说属签署者,而对B的证书b来说则属于信赖方;商人B对A的证书a来说属信赖方,而对其本身的证书b来说又属签署者。由此看来,法律应对信赖方和签署者给予同等的保护才是公平、合理且有效率的。因而,在违约责任制度里受救济的签署者与在侵权责任制度里受救济的信赖方所面临的举证责任制度应是一致的,都应是举证责任倒置的办法。从这个角度来考虑,对认证机构的侵权责任也应实行推定过错责任。
二、抗辩事由
侵权责任的抗辩事由也即免责事由,指被告针对原告要求承担侵权民事责任的请求而提出的证明原告的诉讼请求不成立或不完全成立的事实。认证机构的侵权责任的抗辩事由与违约责任的免责事由相似,也包括不可抗力、黑客攻击造成的技术故障及受害方的过错等。其中前两项内容完全相同,这里重点讨论侵权责任中的受害方的过错。
电子认证活动中的信赖方的过错可能表现为下列情况:
①信赖方在信赖数字证书前,没有认真检查最新的作废证书表来验明证书的状态,由此导致使用了作废的证书;
②信赖方对证书的信任超出了证书的使用目的范围或可靠性限制。
认证机构一般都会在自己的认证业务声明中明确规定,信赖方应认真检查作废证书表以确保证书有效并在证书的可信赖范围内行事,否则认证机构对信赖方的损失不负赔偿责任。此声明并不违反有关法律的强制性规定,其内容在实践中也应是每个信赖方在准备依据证书确认相对方身份时所应具备的基本常识,因此,上述认证机构的负责声明应是合法有效的。
三、认证机构的法定免责-避风港问题
美国犹他州《数字签名法》第308条2(1)规定:除非许可之认证机构放弃本款的使用,许可之认证机构就与虚假或伪造的数字签名有关的事宜已遵守本法所有重要规定的,该许可之认证机构对依赖虚假或伪造的数字签名所导致的任何损失没有责任。
马来西亚《1997年数字签名法案》第61条(a)规定:除非特许认证机构放弃使用本条规定,否则在出现假冒或错误的数字签名的情形下,如果特许认证机构是根据本法案的要求行事的,则对因信赖假冒用户人的或错误的数字签名所造成的任何损失,认证机构不承担任何赔偿责任。
新加坡《电子交易法》第45条(a)规定:除非授权认证机构放弃适用本条规定,否则如果授权认证机构遵守本法规定,该机构对于依赖一项虚假陈述或伪造的数字签名而造成的损失不承担责任 .
我国香港特别行政区《电子交易条例》第42条(1)规定:除非认可核证机关免除本款对其适用,否则该机关如已就其发出的认可证书遵守本条例的规定及遵守业务守则,即无需就因依据该证书证明的虚假或伪造的登记人数码签署所导致的任何损失负有法律责任 .
前述四部法律有关认证机构免责问题的规定基本一样,即都规定如果认证机构遵守了该法律的规定则不用对错误的或虚假的数字签名负责。下面试分析此规定的原因:
首先,数字认证是一个新兴的产业,没有经验可循;而认证机构要面对人数众多的用户,虽然目前的加密技术已经成熟到完全能满足认证机构需要的程度,但计算机系统并不是绝对地可靠的,同时由于机器是由人来操作的,因而还存在一个人的失误的可能性,而一旦出现错误或虚假的认证需要赔偿的数额却可能很大,从这方面讲,认证业属于一个风险较大的行业,似不应对其规定过于严格的责任。
其次,上述几部法律都属于非常详细的立法,有关认证机构的系统设备、人员、规章制度等的要求都比较完备,而且比较严格,在这个前提下来规定这样一个免责条款也属无可厚非的。此一条款好象给了认证机构一个避风港,使认证机构能够清楚地意识到其只需遵守法律的明确规定即可,而不用为众多未知的风险而惶惶不可终日。此种规定必能增强认证机构的信心,促进认证业的健康发展。
第四节 电子认证活动中的侵权赔偿范围
一、认证机构之侵权赔偿对象
假设某人假冒他人名义向认证机构申请证书,认证机构未尽到法定的义务而颁发了证书,假冒者利用该证书以被假冒者名义进行欺诈性的交易而致被假冒者财产损失,那么受害的被假冒者就会成为认证机构的侵权赔偿对象;在认证机构的作废证书表失灵的情况下,信赖方可能因此遭受财产损失而成为侵权赔偿对象;如果签署者因私密钥遗失而向认证机构申请撤销证书,而认证机构由于失误而发生了迟延并由此给签署者造成了现有财产的损失,那么签署者也会成为认证机构之侵权赔偿对象;因此,认证机构之侵权赔偿对象包括三类人:签署者、信赖方及被假冒者。
二、认证机构之侵权赔偿范围
对认证机构之侵权赔偿范围的确定,也应坚持完全赔偿的原则。既要赔偿现有财产的损失,又要赔偿可得利益的损失。
判断是否为“可得利益”,应看其是否具备以下条件:(1)利益必须是当事人已经预见或者能够预见的利益。不能预见到的利益,不能算作可得利益;(2)必须是可以期待、必然能够得到的利益。如果不可期待、非必然能够得到的利益,也不能算作可得利益;(3)作为计入赔偿范围的“可得利益”,还必须是直接因违法行为所丧失的“可得利益”,也就是说如果不发生这种违法行为,即不致失去此利益。 具体到电子认证活动中,可得利益应包括利润、利息和机会利益等。美国犹他州《数字签名法》排除对利润、利息及机会利益的赔偿的做法曾受到多方面的批评,后来的立法如华盛顿州的《电子认证法》修正了这一做法。但是在实践中也不可能对所有的利润、利息及机会利益等都给予赔偿,我认为可以划定一个如下的具体标准:对现有财产的损失,认证机构都应给予赔偿;而对可得利益的损失,只有认证机构在进行电子认证活动时能明确知道其所提供的数字证书、认证服务是给某人用于某具体交易的,才应对其错误认证所致的受害方(可以是签署者,也可以是信赖方)在该交易中所受的可得利益损失予以赔偿。反之,如果认证机构不清楚自己的认证服务将用于哪些具体交易,对该交易中的可得利益也就不能预见,因而也就不对可得利益负赔偿责任。如果认证机构不是故意地造成错误认证,那么认证机构所赔偿的现有财产的损失和可得利益的损失之和不应超过证书中列明的可靠性限制;如果认证机构属故意地造成错误认证,那么它所赔偿的现有财产的损失和可得利益的损失之和可以超过证书中列明的可靠性限制。
三、签署者之侵权赔偿问题
如前所述,签署者对所有信赖证书的人负有保证证书中信息的真实、准确、有效的法定义务,若其违反了这些义务并由此造成了信赖方的损失,也应对信赖方负侵权之责。由于签署者不象认证机构那样居于专业性服务机构的地位,因此对签署者不应实行过错推定责任,而应采一般的过错责任原则,实行“谁主张、谁举证”的举证责任制度。前述的不可抗力、黑客攻击造成的技术故障及受害方的过错也可成为签署者的抗辩事由。签署者之侵权赔偿范围不适用前述的认证机构之侵权赔偿范围,而应根据实际案情具体分析。
相关法律问题
- 违约当事人也可以请求解除合同吗?如果可以,该承担哪些民事责任? 4个回答
5 - 我把人打伤被叛如果坚持不负民事责任会有什么后果 3个回答5
- 民事责任认定 1个回答0
- 民事责任 7个回答0
- 承担刑事责任后应承担多少民事责任 5个回答0
5发布咨询
相关文章
相关法律知识