|
在网络上承担身份认证任务的被称为认证机构(certificate authority,CA),根据联合国贸法会的《统一电子签名规则》第2条的规定,认证机构是指以验证数字签名为目的,颁发与加密密匙相关身份证书的任何单位或者个人。美国的《统一电子交易法》规定与上述规定类似。根据以往经验,基于认证机构必须在社会上建立自己的信任度和中立性,所以认证机构一般由独立的、不以盈利为目的的第三方担任,它的主要功能包括:签发和管理电子商务证书;产生、管理使用者密钥、CA密钥等。当参加电子交易的各方向认证机构申请电子商务证书时,需提交有关身份证明经认证机构验证,然后签发证书。证书上记载的项目包括持证人的名字、证书的有效期限以及他的公开密钥等。在电子交易进行时,一方可以向对方提交证书证明自己的身份,对方可要求认证机构验证双方身份。
很显然,认证机构的重要作用是保证电子交易的安全。从国外的经验来看,认证机构应当是专业的、独立的和非营利性的机构。因其专业能有效地为客户提供服务;它的完全独立和非营利,使其处于一个独立第三人的超然位置,更容易获得交易双方的公平信任。
美国目前最出名的认证机构是总部位于美国加州Mountain View的Versign公司。该公司成立于1995年4月,其提供的数字证书服务已经遍布世界60多个国家和地区,接受该公司数字证书服务的公司用户已经超过数万家,个人用户已经超过百万人。我国较早开展认证研究的是中国银行的网上银行开发项目。1998年,中国银行与世纪互联及瑞得在线两家ISP合作试验网上交易。客户首先向中国银行申请CA认证并在自己计算机上安装CA认证软件,从而具备网上交易条件。然后,客户就可以进入与银行有合作关系的网上商店购物,款项由银行向商家支付。但由于相关的国家安全标准尚未确定以及缺少网上交易的经验,此项研究尚未进入推广阶段。
关于认证机构的另一个重要问题就是:如果由于认证机构的过错或者过失,造成电子交易失败,认证机构是否应当承担法律责任?如果应当承担,那么其责任的性质是什么?是违约责任还是法定责任?有无范围的限制?这些都是我们必须解决的法律问题。
研究认证机构法律责任的性质和范围应当从研究认证机构的作用入手。认证机构在电子交易双方当事人之间所起的作用与见证人相似,它见证的是交易双方当事人的身份真实性,这是当事人双方同意进行交易的基础,因此如果交易双方因认证机构过错或者技术瑕疵导致认证的结果产生虚假,认证机构应当对受损失方承担赔偿责任。由于认证机构的责任可以由法律规定产生,所以这种责任的来源可以是基于法律规定所产生的责任;同时因参与认证是基于当事人与认证机构之间的协议,所以责任的来源也也可以是基于违约所产生的责任。
值得强调的是,由于认证工作是新生事物,其中有很多不可预测的技术因素,如果对认证机构规定的责任过重有可能阻碍电子认证服务的开展,从而影响电子交易的发展。因此,合理地分配认证机构和电子交易双方当事人之间的法律责任,对于整个电子商务的发展都是十分重要的。从国外的立法经验来看,这个问题被充分注意到。例如美国犹他州的《数字签名法》规定,认证机构所承担的是有限责任,而且只要认证机构遵守了《数字签名法》规定义务,就可以免除因虚假或者伪造的数字签名所造成损失的责任。
笔者认为,目前立法应当仅规定认证机构法律责任的归责原则就已经足够了,至于具体承担责任的范围和赔偿程度可以留给当事人在双方的协议中自行约定。
2、 电子签名和数字签名
|
