电子签名认证中的意思自治原则被异化的另一表现是电子认证协议本身所造成的“价值剥离”。作为我国《电子签名法》的配套法规,《电子认证服务管理办法》第15条规定,电子认证服务机构应当按照原信息产业部2005年4月公布的《电子认证业务规则规范(试行)》的要求,制定本机构的电子认证业务规则(以下简称CPS),并在提供电子认证服务前予以公布,向原信息产业部备案。而《电子认证业务规则规范(试行)》对CPS的基本框架、主要内容和编写格式都有较明确的规定,国内各电子认证机构基本上也据此设计了自己的cPS,但在某些关键问题上却有意无意地免去了自己应承担的义务,而对免责事项又予以了细化甚至渲染。如针对《电子认证业务规则规范(试行)》规定的不可抗力条款,[11]除中国金融认证中心2008年3月制定的CPS外,国内其他认证机构都规避了“业务连续性和灾难恢复”的义务并极力扩展免责事由。如北京数字证书认证中心与天津电子认证服务中心分别于2005年7月和2006年12月发布的CPS第9.7.3条规定,由于客观意外或其他不可抗力事件原因,因中心的设备或网络等技术故障而导致电子签名认证证书签字延误、中断、无法签发,或暂停、终止全部或部分服务的,应当免除中心的赔偿责任。“技术故障”引起原因包括但不限于不可抗力、关联单位(如电子、电信通讯部门)而致、黑客攻击、设备或网络故障。可见,从该条既严密又宽泛之规定来看,很难想象认证机构还留有多少责任空间,由此,各认证机构长期以来出现门前冷落而少有问津的现象也就不足为奇了。对此,应该注意以下三点。
第一,从原信息产业部《电子认证业务规则规范(试行)》仅规定各认证机构参照该规范编制各自的CPS并向原信息产业部备案来看,该规范属于推荐性的CPS范本,各认证机构自可决定其中条文的取舍。
第二,CPS往往以并入条款的形式而成为认证服务协议的最重要组成部分。只要电子认证机构向潜在的用户履行了充分提示和告知的义务,则其与用户之间的服务协议应属有效,因为在某种程度上来说,用户才是判断协议是否公平合理的最佳法官。在法律允许的范围内,被并入的信息应具有同样的效果,就像它被完全地表达于并入的信息一样。按美国1996年《数字签名指南》第1.15条的规定,如能确认将要被并入的信息、使接受方能完整地接近和得到并入的信息及表达它要成为合并信息的一部分,则某一信息可成为另一信息的一部分。实践中,各电子认证机构均在其首页上展示了其CPS,而且在数字证书申请责任书或电子认证协议书上说明“申请人需了解CPS中与证书相关的权利、义务、法律责任条款”或“未尽事宜以CPS相关规定为准”,并告知潜在用户登陆相关网站查询。因此,潜在用户在了解相关政策后可基于自愿作出是否申请证书的决定。
第三,因关联单位(如电子、电信通讯部门)而致、黑客攻击、设备或网络故障等造成的技术故障不宜断然作为电子认证机构的免责理由。电子认证机构能否因第三人(电子、电信通讯部门等)的原因而免责,应视造成该第三人服务终止或中断的原因是否为不可抗力而定。而黑客攻击、病毒入侵、设备或网络故障等造成的技术故障则不宜作为电子认证机构的免责事由,因为技术、设备和网络的维护和建设均应属于电子认证机构当然之义务。电子认证机构必须采取安全可靠的技术和严格高效的管理来保证自身的被信赖度,这也是其生存和发展的基点。诚然,电子认证机构将由此承担较大的技术风险,但这种技术风险可归于保险公司的“黑客险”或“计算机险”而得以分担。然而,由于黑客攻击、病毒入侵的风险客观上难以控制,加上风险信息的复杂性、保险技术标准的开发等原因,目前国内外开展此类保险业务的公司仍较为鲜见。[12]因此,保险公司相关业务的拓展同样面临着挑战与机遇。
