|
2.美国犹他州的立法例。犹他州在1995年制定《数字签名法》后,又在2001年制定了《数字签名管理规则》 ,专门用于调整电子认证法律关系。该规则在第301条对数字证书的内容与形式作了非常详细的规定,依该条第1款的规定,一份数字证书应包括以下内容:(1)关于证书的形式与类型符合本规则要求的声明;(2)关于认证机构已经获得本州许可的声明;(3)证书的序列号(serial number, 也可译作编号);(4)签署人的通用名称及其全球统一专有名称;(5)签署人的公开密钥;(6)签名算法(algorithms) ;(7)证书颁发与接收的日期;(8)证书届满日期;(9)认证机构的全球统一专有名称;(10)用来签发证书的签名算法;(11)推荐的证书可信度;(12)用于公布证书撤销或中止信息的公告栏的专有名称,或者有关获得证书撤销或中止通知的途径之说明;(13)如果证书业务规程将对证书产生约束力,指明它存在于何处、它的形式与结构、它的作者身份及制定时间等。
3.德国的立法例。德国《数字签名法》也在第7条专门规定了数字证书的内容。按该条第1款的规定,数字证书应当包含如下信息:(1)证书拥有人的名称或者分配给该证书拥有人的假名;(2)证书拥有人的公开密钥;(3)公开密钥所采用的算法;(4)证书的序列号;(5)证书有效期的起点与终点;(6)认证机构的名称;(7)有关证书使用范围是否存在限制的说明。除此以外,依该条第2款之规定,经证书申请人的主动请求证书中还可以包括有关证书拥有人对第三人的代理权及其职业许可或其他许可的信息。而该条第3款则特别强调除非当事人一致同意,证书中不得包含上述内容以外的其他内容。
在以上所介绍的有关数字证书基本内容的三个立法例中,犹他州《数字签名管理规则》尽管规定得非常详细,但显得过于臃肿,有些事项不是特别重要,本来不必载入证书,却被要求载入证书;而欧盟《1999年电子签名指令》的规定在有些地方比较晦涩;相对而言,德国《数字签名法》第7条第1款的规定比较合理,该款包含了确保数字证书正常发挥作用所必需的记载事项,而把其他事项放在作为任意性条款的第2款中加以规定。
(三)我国应采取的立法对策
笔者认为,我国将来制定电子商务法时,对于数字证书的内容, 应当区分为必要记载事项与任意记载事项。其中必要记载事项是数字证书正常发挥作用所必需的,不可或缺。而任意记载事项则不是证书发挥作用所必需的,认证机构可以自主决定是否将其记载于证书中。
1. 数字证书的必要记载事项。数字证书的必要记载事项应包含以下几项:(1)证书的编号,记载证书编号可以将该证书与其他证书区别开来,从而便于查找与管理证书;(2)证书拥有人的姓名或名称, 只有记载证书拥有人的姓名或名称,才能通过证书最终确定数据电讯签署人的身份;(3)证书拥有人的公开密钥,公开密钥是将证书拥有人的数字签名与其真实身份联系起来的桥梁,必须在证书中将其提供给网上公众,作为他们验证证书拥有人所作出的数字签名的工具;(4)公开密钥所使用的算法;(5)证书的有效期及其起点与终点,证书都有有效期,一旦有效期届满,就不能对证书拥有人产生约束力,证书信赖人也就不能依据该证书向证书拥有人主张权利, 因此,必须在证书中载明其有效期,让证书信赖人了解证书的效力状况;(6)认证机构的名称,数字证书的可靠性取决于认证机构的信誉,只有在证书中载明证书是由哪个机构颁发的,信赖人才能知道该证书的可靠程度,而且认证机构还要对其所颁发的证书负责,只有在证书中明确记载其名称才能确定责任的承担者;(7)认证机构所作的数字签名,认证机构必须对数字证书进行签名,否则仍然无法确定证书是否由该认证机构所颁发。
|
