电子认证合同关系及民事责任分析(中)
发布日期:2004-06-11 文章来源: 互联网
认证机构是承担网上安全电子交易认证服务、能签发数字证书并能确认用户身份的服务机构。其主要开展以下业务: (1)颁发证书:其中包括了生成密钥对,保证不同的证书持有者应有不同的密钥对;(2)管理证书:记录所有颁发过的证书以及所有被撤销的证书,根据证书的有效期自动地撤销证书;(3)用户管理:对于每一个新提交的申请,都要和存储器中现存的签署者标识名相对照,如出现重复,就予以拒绝,这里的存储器指的是存放现有有效证书的数据库;(4)撤销证书;特指在证书有效期内使其无效,并发布于作废证书表;(5)验证申请者身份:对每一个申请者进行必要的身份认证;(6)制定政策:政策的内容主要是认证机构对信赖它的各方所作的承诺及所负的责任;(7)中止证书:特指在证书的有效期内使证书暂时中止使用。
五、认证机构在电子政务中的作用
随着互联网的发展,电子政务也会逐渐普及。电子政务指政府机关在互联网上进行办公,向单位和个人提供政府机关的各种服务。电子政务可有效地节约各方的人力、物力及时间。目前电子政务所能提供的服务包括工商、税务、海关、教育、医疗及社会保险等方面。
显而易见的是,在电子政务中也存在身份识别及数据的完整性、防抵赖性问题,因此,与在电子商务中的重要地位一样,数字认证在电子政务中也同样具有非常重要的地位。政府机关及其相对方都需要以数字签名表明自己的身份,因而双方都需要认证机构提供证书服务。据笔者了解,国家知识产权局计划于2001年底开通电子申请专利业务,其中身份的认证及数据的保密传输是非常关键的问题,直接关系着专利申请人的利益和政府机关的威信。北京市中关村科技园区海淀园管委会已经开通了网上办公系统,并要求使用北京数字认证机构颁发的数字证书来保证电子政务的安全可靠。
中关村科技园区海淀园管委会目前可提供的办公项目如下:
1、入园申请;
2、注册登记,包括:统计、财政、高企协、外企协、党组织、工会、团组织等;
3、运营管理,包括:高新技术产品认证、技术合同认定登记、新技术企业技术性收入的申报与审核、新技术企业年审复核、外资新技术企业年审复核、海淀中小企业创新基金申请和审批、国家中小企业创新基金申请和推荐、园区企业人员因公出国手续办理、园区企业邀请外商来华访问手续办理、外商访问园区安排与记录、人才引进与居住手续办理和办理因公出国查询等;
4、网上报表,目前可上网申报的报表仅限统计和财政两个部门,国税、地税还需到园区国税、地税窗口进行报盘;
5、组织生活;
6、咨询服务。
目前,海淀园管委会的网上办公系统对于尚未办理证书的用户,还允许通过输入用户号和密码,从“非CA证书进入”进入办公;但为了该办公系统的安全,该系统将逐渐过渡到“CA证书进入”而停止“非CA证书进入”。
六、电子认证立法概况
有关电子认证的立法少部分是直接就冠以电子认证法的名称,大部分则是含于电子签名法或数字签名法中。
(一)美国
美国电子商务起步最早,有关电子认证的立法也最丰富,各州立法中规定了电子认证规则的法案有:佛罗里达州的《电子签名法》(1996年),伊利诺斯州的《电子商务安全法》(1997年),明尼苏打州的《电子认证法》(1996年),密西西比州的《数字签名法》(1997年),密苏里州的《数字签名法》(1998年),纽约州的《电子签名与记录法》(1999年),北卡罗莱纳州的《电子商务法》(1998年),俄勒冈州的《电子签名法》(1997年),宾夕法尼亚州的《电子交易法》(1999年),犹他州的《数字签名法》(1995年),华盛州的《电子认证法》(1996年),西弗击尼亚州的《电子签名认证法》(1998年),这些法案里都详细、具体地规定了认证机构的责任。
(二)阿根廷
1998年通过了两部有关政府公务电子化的法律文件,即“关于阿根廷政府的认证机构的规定”和“公务部门公钥体制标准的总统令”。
(三)哥伦比亚
哥伦比亚有一项目前正在审议的《电子商务、数字签名和认证机构法律草案》,规定了认证机构的定义及职能。
(四)意大利
意大利于1997年通过了《意大利数字签名法》。为了实施该法,又于1998年和1999年分别颁布了总统令,该总统令规定了数字签名与手书签名有相同的效力,以及对认证机构的要求等。
(五)英国
1997年,英国提出了一项关于经许可的提供加密服务的第三方认证机构的立法动议。
(六)法国
法国曾提出过一项关于第三方认证机构的立法动议。
(七)丹麦
丹麦已提出了待审议的《数字签名法草案》。该草案的内容包括:数字签名的定义及其效力,认证机构的选任及其权限与责任。
(八)瑞典
1998年,瑞典政府中的一个数字签名工作组提交了一份“咨询报告”,其中分析了有关认证机构的各种问题。
(九)荷兰
荷兰于1998年提出了有关第三方认证机构的国家方案。
(十)德国
德国1997年通过了《数字签名法》,该法基本上属于技术规章,它虽然规定了认证机构之工作程序,但却并没确定数字签名之法律效力,也没涉及认证机构之法律责任。
(十一)俄罗斯
俄罗斯于1995年通过了《俄罗斯联邦信息法》,赋予通过电子签名认证的、经由自动信息与通讯系统传输与存储的电子文件的法律效力,并规定电子签名的认证必须经过许可。
(十二)芬兰
1998年,芬兰提出了一项“国家加密政策与加密报告指南”的立法动议,其中涉及到了对用户身份安全证书与加密服务的许可和机构体制。
(十三)新加坡
新加坡于1998年通过了《新加坡电子交易法》,1999年通过了《新加坡电子交易(认证机构)规则》和《新加坡认证机构安全方针》。该国《电子交易法》规定了认证机构及其限定性责任;认证机构的许可证由指定的管理机关颁发,可以自愿申请;由取得许可的认证机构核发的认证证书,具有较强的证据效力。《电子交易(认证机构)规则》授权成立了认证机构管理署,而国家计算机委员会是认证机构管理署的主管机关。该规则还规定了认证机构的内部管理结构、评估标准、申请费用、证书的证据推定效力以及限定性责任等,其目的是在新加坡建立一个符合国际水准的市场型认证服务体系。
(十四)马来西亚
马来西亚于1997年通过了《数字签名法》,该法承认数字签名的法律效力,要求认证机构必须持有许可证,方可从事营业。为了全面推广电子商务、实施《数字签名法》,马来西亚于1997年12月,宣布由政府全资拥有的非盈利性开发与研究公司“伯哈德”作为最先设立的公开密钥认证机构正式运营,颁发数字证书,以利于安全电子交易的进行。
(十五)日本
1998年6月日本电子商务促进委员会,发布了“认证机构指南”及“交叉认证指南”。在前一个指南中规定了对认证机构在管理、操作、系统和设备方面的要求,后一指南则建议:在不同行业或区域的证书可以交叉承认其效力,以避免大量的多重证书的产生。
(十六)韩国
韩国于1999年通过了《电子商务基本法》,其中涉及到了认证机构的定义及对认证机构的管理与控制。
(十七)爱尔兰
爱尔兰通过了《2000年爱尔兰电子商务法案》,其中规定了认证机构的任命、监督管理与责任。
(十八)奥地利
《奥地利联邦电子签名法》于2000年1月1日通过并生效,其中规范了认证机构颁发数字证书以提供认证服务的合同。
(十九)欧盟
1999年,欧盟发布了《关于电子签名的共同框架的指令》,里面规定有认证机构的责任。
(二十)联合国
联合国已制定了《统一电子签名规则(草案)》,并经过了多次修改,其中对认证机构应承担的义务,做了较详细的规定。
(二十一)我国香港地区
香港立法会于2000年初颁布了《电子交易条例》,其中第X部分“关于认可核证机关的一般条文”规定了认证机构的责任。
七、电子认证立法模式述评
目前世界各国已经推出的有关电子认证的立法,不仅名目繁多,而且内容迥异,简直可称还处于一种无序的状态。但是德国学者Aalberts 和van der Hof经过研究,还是从立法中所采用的技术方案入手,将这些立法分为三大类:技术特定方式;最低要求主义或叫技术中立方式;折衷方式(技术特定方式和技术中立方式并用)。
(一)技术特定式立法
这种方式将数字签名技术作为电子签名的法定技术,集中规定了数字签名的技术规则和法律效果,又可分为三小类:纯技术标准型、确认法律效果型和组织机构型。
1.纯技术标准型
这种立法方式将数字签名技术作为安全电子商务的技术标准。它涉及到了数字签名的一般应用,但却并没解决由此而产生的一系列法律后果的问题,不包含有关责任分配的条款。这方面的例子是德国的《数字签名法》。
2.确认法律效果型
这种立法方式不但规定了对于数字签名的法律确认,而且详细规定了有关责任分配的条款。这方面的例子有美国犹他州的《数字签名法》、明尼苏打州的《电子认证法》及华顿州的《电子认证法》等。
3.组织机构型
这种立法模式并没将数字签名作为一个技术标准,而是对认证机构的组织提出一系列要求,例如规范它们的管理、操作、系统和设备的安全性等。其目的是通过确保认证机构的可靠性与安全性来加强人们对电子商务的信心。这种模式不包含明确的对认证活动各方的责任分配,而是建议认证机构自己制定政策以明确认证机构自身与证书使用者之间的权利义务分配,并要求将该政策在认证机构的认证业务声明(CPS)中公开。这方面的例子是日本电子商务促进委员会的《认证机构指南》 .
技术特定立法有其优越性也有其明显的缺陷:数字签名技术是目前唯一比较成熟、能够推向市场的电子签名技术,将其作为法定技术标准,可使电子交易在稳定、明确的环境下进行,消除对于在开放电脑网络上进行交易存在的风险忧虑。其主要缺陷是限制了其他同类技术的发展和应用。
(二)技术中立式立法
这种立法模式又称最低要求主义、功能等价方式,此方式并不确定具体的技术方案,而是采技术中立的立场,对广义范围的电子签名给予法律确认。这种立法方式由于不特别地确认数字签名技术作为法定技术,因此也就没有关于认证活动各方责任分配的内容。
这方面的例子有:联合国贸法会的《电子商务示范法》、澳大利亚《电子交易法案》、加拿大《统一电子商务法案》、美国《统一电子交易法案》、英国《电讯法案》。
技术中立式立法的优点在于由市场和用户对电子签名技术手段的优劣作出判断和选择,有利于各种电子签名技术的自由发展。其缺点是法律仅仅对广义的电子签名的法律效力予以确认,而没有具体的责任分配条款,其规定过于笼统,可操作性不强,在实践中的作用很有限。
(三)折衷式立法
这种立法模式下,一个层面提供了对于一种广义的电子签名的法律确认,另一个层面提供了应用数字签名或以数字签名为范例的安全电子签名的法律后果,通常包含有责任分配的条款,其具体内容与美国犹他州《数字签名法》相似,但都没有犹他州《数字签名法》详细。
安全电子签名,又称强化电子签名,是指经过一定的安全应用程序,能够达到传统签名的等价功能的电子签名方式。其具体形式是开放型的,任何能够达到同一效果的技术形式,都可囊括于内。安全电子签名是电子签名的下位概念,而数字签名又是安全电子签名的下位概念。
这方面的例子有:欧盟《关于电子签名的共同框架的指令》、新加坡《电子交易法》、联合国贸法会《统一电子签名规则草案》等。
折衷式立法不失为一种理想的模式,它结合了技术特定与技术中立方案的优点,避免了二者的缺点,既能够切实地满足当前电子商务实践的需要,又为将来的技术发展预留了空间。
第一章 电子认证合同关系研究
第一节 电子认证关系的定性
在电子认证关系中,签署者要向认证机构提出申请、提供所需的资料并交费,而认证机构则遵循一定的程序对申请资料进行审核,对符合条件的申请者颁发数字证书并对证书进行管理。对这样一种关系的定性,目前学者们主要提出了“信托关系说”、“非信托关系说”和“专业信用服务说”等学说,下面分别加以介绍并提出作者自己的观点。
一、信托关系说
“就其性质而言,认证机构处于承担着与银行相类似责任的监管人或受托人的地位”。 该种观点是从英美法理论出发的,其着眼点主要在于认证机构对用户应负的注意义务。但其缺陷是未能照顾到认证机构对证书信赖人所负的、公正地发布信用信息的义务。认证机构虽然并未接收证书信赖人的服务报酬,却同样要负起诚实发布信息的义务。换言之,认证机构对那些不是委托人或受益人的信赖人,也负有义务。从信托关系说角度,难以解释这一点。
二、非信托关系说
非信托关系说认为,“机动车辆部门不是其颁发执照的司机的代理人,并且雇主也不会同意做其颁发了工作证章的雇员的代理人。同样,认证机构通常不愿对用户起到代理人或信托人的作用(除非有法律规定)”。 从实际交易看,认证机构并不参与在线用户数字签名交易之中,即它们不是该种交易的当事人,也没有参与签署、时间戳或该信息的通讯。在这种情况下,“认证业务声明(CPS)”可能规定,在认证机构与用户之间不存在委托与信托关系。
三、专业信用服务说
非信托关系说有其合理性,但仅是对信托关系说进行了否定,却并没有进一步说明认证关系的具体性质。问题的关键在于,认证机构与证书信赖方之间有可能并不存在服务合同关系,那么其间是以何种法律关系为基础而产生权利义务的呢?张楚先生认为,认证业务属专业化的商业信誉方面的服务,如同医生对病人,他们都负有职业上的特殊的义务,医生对于需要急救的病人,虽然事先未曾建立服务合同关系,但必须立即进行救治,履行职业上的义务,此种职业上的义务,实际上是一种社会责任。认证机构对于信赖证书的交易人,应承担公正信息发布义务,而不因未接收其服务报酬,而偏袒与之建立了服务合同关系的证书用户一方。任何一个认证机构都应当知道。证书信息的公正性,是其业务存在的根本条件,舍弃此点,该机构就没有必要存在。
四、电子认证与公证之比较
电子认证与公证都是提供一种证明性的服务,二者有相似之处,在美国犹他州,法律甚至赋予以数字签名的文件与经过公证的文件相类似的法律效力;公证部门也应对因信赖其错误的公证书而致的损害承担赔偿责任。不过,二者还是有很重要的差别的:一份公证书所公证的往往是一份文件,一项交易,即使出现错误,所造成的损失是比较明确、十分有限的,而一份数字证书能证明的可能是成百上千份文件与交易,一旦发生错误,所造成的损失是难以预料的。
五、电子认证责任与注册会计师之审计责任之比较
(一)注册会计师之审计责任及其归责原则
这里的审计责任特指注册会计师在其审计业务中可能负的民事责任,具体是指注册会计师在审计业务中违反法律规定,出具了虚假报告并由此给委托人、其他利害关系人造成损失而应当承担的赔偿责任。
注册会计师的审计责任所采取的归责原则是过错责任原则,但实行举证责任倒置的办法。当注册会计师提供了虚假报告时,由于受害人(通常是普通的公众投资人)很难掌握确切的证据以证明注册会计师有过错,因此,如果严格拘泥于原告承担举证责任,受害人实际上很难行使起诉的权利,这样不利于保护中小投资人的利益,也不利于维护一个良好的资本市场秩序。因此,许多国家的证券法或者公司法的司法实践,往往将举证责任转移到注册会计师身上。当审计结果与实际不符时,除非注册会计师能证明其符合免责条件,即严格恪守了审计准则,否则,就需要承担赔偿责任。
(二)电子认证责任与审计责任之异同
电子认证与注册会计师的审计业务有相似点,主要的是:①二者的功能都是提供一种专业性的信息服务,都是为了稳固市场经济秩序、保障交易安全;②二者承担的民事责任的归责原则都应是过错责任原则,并应采举证倒置的办法。
电子认证业与注册会计师的审计业务也有区别:①电子认证提供的是一种身份证明的服务,主要用于解决交易文件的真实性、防抵赖性、完整性等问题,虽然也会兼顾到申请者的资信状况,但不是其主要目的,而审计报告反映的主要是资信状况和经营情况;②审计业已有相应的审计保险制度来分散风险,而电子认证业由于刚起步,相应的责任保险制度还正在建立之中。
电子认证与注册会计师的审计业务的上述异同在下面讨论电子认证活动中的责任问题时将很有启发作用。
六、认证合同关系说
我认为,认证关系就是认证关系,它虽与信托关系、公证关系等有相似之处,但它更因自己的特质已成为当代民商事法律关系中的基本的一种,用其它民商事法律关系来给它定性必定是徒劳的。这与“著作权既非单纯的财产权,更非单纯的精神权利,也非二者的简单的相加,而是一种有着自己特质的基本的民事权利之一种”的论断是相似的。认证关系根本上是一种新的合同关系,其基本构成是认证机构与签署者之间的权利、义务关系;认证机构同时还要向广大的信赖方承担义务,这在表面上是法律的硬性规定,是法定义务,但根源还是在签名方在付费获取数字证书时与认证机构间达成的一种不言而喻的共识,“签名方付了费”是认证机构向信赖方负责的经济根源。毕竟认证机构不是公益事业,更非慈善机构,它虽是“微利运行”,但毕竟还是要赢利的,在能赢利的前提下,承担点义务又算什么呢?
第二节 电子认证合同的订立
合同的订立是指当事人按照要约和承诺的程序达成协议的行为和过程。电子认证合同也有一个要约和承诺的过程。
一、电子认证合同中的要约与要约邀请
要约是希望和他人订立合同的意思表示,该意思表示应当符合下列规定:(一)内容具体确定;(二)表明经受要约人承诺,要约人即受该意思表示约束。
要约邀请是希望他人向自己发出要约的意思表示。寄送的价目表、拍卖公告、招标公告、招标说明书、商品广告为要约邀请。
在电子认证活动中,认证机构的网页上一般都有公司的业务介绍、数字证书的申请及应用的演示等,这些实际上是属于要约邀请。认证机构的网站一般都提供空白的数字证书申请表并允许客户下载,这种空白的数字证书申请表也属于要约邀请。
在电子认证合同的订立过程中,要约通常是由客户一方发出的,认证机构则是作为受要约方,其过程如下:申请者到认证机构的证书审批受理点提交一份内容完整的带个人签名的申请书,该申请书可以从认证机构的网站下载,也可在受理点领取,申请书一般都包括用户责任书,此用户责任书是由认证机构一方制定的格式条款。对于个人身份证书,还要求提供身份证明文件,例如:签署者的带照片的身份证、护照、军官证或学生证等。对于单位证书,则要提供单位的授权委托信、官方或有关职能部门的注册、证明及登记文件,申请者决策层的意见(如:董事会的决议)和申请者本人的身份证明文件及认证机构可能需要的其他文件。上述要约过程是在离线状态下实施的,而并非在网上进行。
二、电子认证合同中的承诺
承诺是受要约人同意要约的意思表示。
电子认证合同订立过程中的承诺即认证机构对数字证书申请的批准。在做出该承诺的过程中,认证机构要做以下身份识别和鉴定:
在个人证书的情况,受理点要判断申请者的身份证明文件是否有效及该申请者本人与身份证明文件及其复印件中的人是否为同一人。
在单位证书的情况,受理点首先要判断申请者本人的身份,其过程与上面所述对个人证书申请者的判断相同;其次,受理点要判断授权委托书、单位的注册、证明或登记文件(如工商执照、ICP营运证、税务登记等)的真实性及这些文件的复印件与原件内容的同一性。
如果经过鉴定,上述个人及单位的身份属实,则认证机构通常就会批准对数字证书的申请也即做出了承诺,其形式是在数字证书申请表签署同意申请的意见,电子认证合同即告成立。如果上述个人及单位的身份不属实或虽属实但与认证机构的存储器中现存的签署者标识名有重复,则认证机构就不批准对数字证书的申请也即拒绝了要约,电子认证合同就无从成立。
上述承诺过程也是在离线状态下实施的,而并非在网上进行。
三、在线状态的要约与承诺
认证机构在某些情况下也支持在线证书申请。在线证书申请,在安全性和身份认证得到保证的情况下,允许申请人通过Internet提交他们的个人信息或单位信息,申请者无须亲自到认证机构受理点所在地进行物理身份验证。这种申请方式适用于已确定身份的客户群体以及部分证书的更新流程。在这种申请方式下,电子认证合同的要约和承诺均在网上进行。
第三节 电子认证合同的特征
一、电子认证合同属提供服务的合同
提供服务的合同是指当事人一方按照约定为另一方提供服务的合同,这是与转移财产权的合同、完成工作的合同相比较而言的。电子认证合同表面上看主要是认证机构应签署者的申请而向其颁发数字证书,签署者向认证机构交费,这有点类似转移财产权的合同和完成工作的合同;但这只是表面现象,电子认证合同的实质是签署者向认证机构交费而认证机构为其提供一种身份认证的服务,认证机构不仅有颁发证书的义务,而且在特定条件下还有中止和撤销证书的义务,中止和撤销证书的活动就无法用转移财产权的合同或是完成工作的合同来解释了。因此从整体上来看,电子认证合同应属提供服务的合同。
二、电子认证合同基本上属格式合同
格式合同,又称定式合同、标准合同,是指合同条款由当事人一方预先拟定,对方只能表示全部同意或者不同意的合同,亦即一方当事人要么从整体上接受合同条件,要么不订立合同。电子认证合同基本上属格式合同,格式的特点表现在以下几方面:1.数字证书的项目由认证机构预定且不能改变;2.认证费用由认证机构预定而不能讨价还价;3.签署者和认证机构之责任条款由认证机构单方制定并且不容进一步协商,而这是电子认证合同中最关键的内容。此责任条款可出现在认证业务声明中,例如美国的Verisign 公司就在其认证业务声明中规定了免责条款;也可直接以“责任书”形式出现,例如上海市电子商务安全证书管理中心有限公司就采取这种做法;还可以《电子认证中心数字证书章程》的形式出现,例如广东省电子商务认证中心就采取了此种做法。对此责任条款只有“我接受”和“我拒绝”两种选择,选择“我接受”则继续证书申请的下一个步骤,选择“我拒绝”则终止证书的申请。
但电子认证合同中还是有允许客户选择的内容,例如证书的信赖等级,Verisign公司已经建立了三种用户等级:对于第一等级,用户只能依赖它“做网页浏览和个人电子邮件,在这种环境下只是稍微增加了安全”;第二等级证书持有人,使用更详细的证明证书于“组织内的电子邮件、小额、小风险的交易、个人之间的电子邮件、口令更改、软件确认,以及在线订购服务”;第三等级是用于“电子银行、电子数据交换(EDI)、软件确认,以及基于会员的在线服务。” 另外,密钥的位数也有512、1024及2048位等几种选择,密钥位数越大,加密后的文件的安全度就越高。我国的几家主要的电子认证机构也都提供了不同种类的数字证书来满足客户的不同需要。
三、电子认证合同是双务合同
双务合同是指当事人双方相互承担对待给付义务的合同,也即双方的义务具有对应关系,一方的义务就是对方的权利,反之亦然。一方承担义务的目的就是为了获取对应的权利。在电子认证合同中,认证机构的义务基本上就是签署者的权利,而认证机构的权利又基本上就是签署者的义务,双方互负对待给付义务,因此电子认证合同属双务合同。
四、电子认证合同属有偿合同
有偿合同是指当事人之间互为对价给付的合同。在电子认证合同中,签署者交纳费用获取证书和认证服务,而认证机构则收取费用然后颁发证书并提供认证服务。
五、电子认证合同目前在有些国家还属无名合同
无名合同是指法律没有规定其名称和具体规则的合同。在采技术中立方式立法的国家,法律仅对广义的电子签名的法律效力预以确认,并不具体规定数字签名及认证机构的规则,因此在这些国家电子认证合同属无名合同,只能适用合同法的一般规定(总则)或最相类似的有名合同之规定。在我国,由于目前还没有电子认证立法,因此电子认证合同也属于无名合同。
六、电子认证合同属要式合同
要式合同是指法律规定或者当事人约定应当或者必须采取一定形式的合同。电子认证合同的订立过程中,证书的申请者必须提交一份内容完整的带个人签名的申请书,该申请书的格式和项目都是由认证机构预先设定的,认证机构在对申请者进行身份识别和鉴定后,批准数字证书申请的,将会在该申请书上签署同意或批准申请的意见,此时电子认证合同即告成立。
可见,电子认证合同要求采用数字证书申请书这一形式,该申请书可以是纸质的,此时就属书面形式;该申请书也可在线填写并提交、获得批准,此时应属在线形式或称网上形式。
第四节 电子认证合同的效力
电子认证合同的双方主体分别是认证机构及签署者,下面根据电子认证业务的实践及各国有关立法归纳双方的主要权利、义务。
一、认证机构的权利、义务
(一)认证机构的权利
1.要求申请者提供真实资料的权利:对个人申请人,一般要求提供个人的姓名、身份证号、联系电话、寻呼、通信地址、邮政编码、电子邮箱等资料;对单位申请人,除对具体的申请人要求提供上述个人资料外,还要求提供单位名称、单位主页地址、单位营业执照号、工商税号、单位地址、单位电子邮箱、单位所属行业类别、电话、传真等资料;认证机构在遵循合法程序的条件下有权对上述内容进行调查、审核。
2.收取费用的权利:认证机构有权向签署者收取费用。
(二)认证机构的义务
1.颁发证书的义务:认证机构应向符合条件的申请者颁发证书,并将证书内容公布于认证机构的存储器内。认证机构在向申请人颁发证书前应确认下列情况:(1)列于即将颁发的证书中的人就是未来的签署者;(2)将颁发证书中的信息是正确的;(3)未来的签署者合法拥有私密钥,此私密钥与证书中列的公开密钥构成功能性密钥对并且可以用来生成数字签名;(4)证书中所列的公开密钥可以用来验证由签署者拥有的私密钥生成的数字签名;(5)数字证书中所使用的公钥算法在现有技术条件下不会被攻破。
2.中止证书的义务:在证书的有效期间内,收到签署者或其代理人的有关中止证书的申请后,认证机构应中止该证书,并在指定地点发布中止的通知。
3.撤销证书的义务:在证书的有效期间内,在下列情况下,认证机构应撤销证书:(1)收到撤销证书的申请,并证实申请是由签署者或其授权代理人发出;(2)收到证实签署者已经死亡的证明复印件或其它有关证明;(3)有证明签署者已经解散或不复存在的有关证明;(4)证书中陈述的重要事实有虚假;(5)不符合颁发证书的要求;(6)认证机构的私密钥或可信赖系统存在严重影响证书可靠性的情况。在撤销证书时,认证机构须在指定地点发布撤销通知,一般都是在作废证书表中列明。
需要指出的是,电子认证合同的内容不仅包括发放证书,还包括管理证书,如中止证书和撤销证书,可以说,中止证书和撤销证书的义务是基于确保证书内容真实、准确性的义务而派生出来的。
4.使用可信赖系统的义务:认证机构应该使用可信赖系统来完成上述证书的颁发、中止和撤销等项操作。所谓可信赖系统是指计算机的硬件、软件和程序,它们满足以下要求:(1)是相当安全的,可防止侵扰和滥用;(2)具有较高的可用性和可靠性,并提供了正确的操作;(3)非常适合执行它们的固有功能;(4)符合通常公认的安全程序。
5.妥善保管自身私钥的义务:认证机构自身的私钥对于验证该认证机构作为颁发数字证书的机构之身份具有不可或缺的作用,一旦丢失,该认证机构所发出的所有数字证书都将作废,因此应妥善保管。
6.信息发布的义务:认证机构应及时公布有关的信息,例如自身的政策或认证业务声明,证书的发布、中止及撤销的信息等,发布的方式应是醒目的、易发现的。
7.制定及在特定情况下实施灾难恢复计划的义务:灾难恢复计划是指认证机构在遭到攻击,发生通信网络资源毁坏,计算机设备系统不能提供正常服务,软件被破坏,数据库被篡改等现象或因不可抗力造成灾难时,修复设备系统的计划。由于实践中黑客的活动十分猖獗,因此认证机构制定此灾难恢复计划是十分必要的。一旦出现上述灾难,认证机构应积极有效地实施灾难恢复计划。
二、签署者的权利、义务
(一)签署者的权利
1.获得有效合格的数字证书的权利:签署者在提供了符合要求的信息资料并交费后,有权利取得有效的、具有所需功能的数字证书。
2.提出中止或撤销数字证书的权利:在前述的有关认证机构应中止或撤销数字证书的条件下,签署者或其代理人有权提出中止或撤销证书的申请。
(二)签署者的义务
1.对证书内容真实性的保证:签署者一旦接受了认证机构所颁发的证书,就要负担起保证证书中所含信息的真实性、准确性、完整性的义务。
2.私密钥控制之义务:签署者对其私密钥应保持控制,并不得向未经授权的人泄露,否则,“认证机构就是再认真审核、公正发布信息,都无法保证电子签名的安全性。”
3.使用可信赖系统之义务:签署者在应用自己的密钥对时,也应使用可信赖系统。
4.交纳费用的义务:签署者应向认证机构交纳服务费用,主要在接受证书时交纳,有的认证机构可能要求签署者在中止或撤销证书时也要交纳费用。
5.及时通知的义务:如果签署者的私密钥出现问题,例如遗失、遗忘或者泄密等,签署者应及时通知认证机构并申请中止或撤销其证书。
相关法律问题
- 违约当事人也可以请求解除合同吗?如果可以,该承担哪些民事责任? 4个回答
5 - 我把人打伤被叛如果坚持不负民事责任会有什么后果 3个回答5
- 民事责任认定 1个回答0
- 民事责任 7个回答0
- 承担刑事责任后应承担多少民事责任 5个回答0
5发布咨询
相关文章
相关法律知识