|
3.新加坡《电子交易法》。该法在第八部分专门规定了“认证机构的义务”,依照其中第30条的规定,认证机构在颁发证书时的义务包括:(1)向证书信赖人声明,在颁发证书时认证机构遵守了本法的规定,而且在公布证书或以其他方式将证书提供给证书信赖人之后,证书内载明的用户已接收证书;(2)声明其已确信证书用户的私密钥与证书中所载的公开密钥相符;(3)保证证书中所有信息准确无误,除非认证机构在证书中声明或通过证书的附加材料说明,某些信息的准确性未经核实;(4)声明认证机构并不知道存在某些重要事实,这些事实如在证书中载明,将会对上述(1)到(3)项信息的可靠性造成不利影响。
(二)我国应采取的立法对策
通过比较上述三个立法例,可以发现认证机构的义务通常都包括如下几项:1. 确保数字证书中所载的信息或其他有关证书的重要信息准确无误。电子认证在性质上属于一种信息服务,认证机构向网上交易参与者提供的数字证书可以理解为一种信息产品 ,它必须保证这种信息在质量上是合格的,不能包含错误信息,否则将给证书信赖人造成不测之损害。2.确保证书拥有人的私密钥与公开密钥的有效性。颁发数字证书的目的就在于支持数字签名,而数字签名是由证书拥有人以其私密钥创设的,因此,私密钥是否可用直接决定了数字签名能否产生。如果私密钥是有效的,认证机构还应确保它与证书中记载的公开密钥构成功能密钥对。只有这样,证书信赖人才能用证书中的公开密钥验证证书拥有人的数字签名,或者用该公开密钥加密电文发送给证书拥有人。可以说,公开密钥与私密钥是否有效,直接决定了认证机构的服务是否合格。3. 认证机构的告知义务。告知义务包括两种:一种是对证书申请人的告知义务。在颁发证书前,认证机构应向证书申请人提供其身份信息,告知申请人有关证书使用期限、证书是否存在使用范围或交易数额方面的限制。在颁发证书时,应告知申请人有关证书的使用方法、注意事项、申请中止或撤销证书的程序以及如何申诉等信息。另一种是对证书信赖人的告知义务。认证机构同样也要以适当方式向证书信赖人表明其身份,说明证书的使用是否存在限制以及证书的有效期等。
笔者认为,在我国将来制定电子商务法时,必须将上述三项义务明确规定为认证机构在颁发证书时应承担的基本义务。除此之外,认证机构在颁发证书时还应承担以下几项义务:1.隐私保护义务。 认证机构在证书颁发业务中,只能向证书申请人收集与证书操作有关的个人信息,而且必须对这些个人信息进行保密,不能随便向第三人提供,除非证书业务需要这么做,否则,认证机构就是侵犯了证书申请的隐私权。2. 不得存储、复制证书申请人的私密钥。证书申请人的私密钥是用来表明其身份的工具,只能由其本人掌握,未经其许可,任何人,包括认证机构,都不得掌握该私密钥,否则,就可能发生未经授权使用电子签名之行为。3. 以适当方式向证书申请人提交证书。这是一项合同债务,证书申请人向认证机构支付费用,作为对价,认证机构应当向申请人提交证书。
|
