从法律的角度分析电子认证服务者的义务
2014-11-10马肇岚
马肇岚
电子签名可以依赖于很多技术来实现,有些电子签名可能并不需要认证,例如一些以生物识别技术生成的电子签名,其直接依据签名人的生理特征就可以辨别电子签名的真伪。在目前,各国电子商务或者电子签名立法中确认的需要认证的电子签名一般指的是数字签名。数字签名是指通过使用非对称密码加密系统对电子记录进行加密、解密变换来实现的一种电子签名,目前它在各国的电子商务实践中得到了广泛的应用。作为第三方的数字签名认证机构通过给从事交易活动的各方主体颁发数字证书、提供证书验证服务等手段来保证交易过程中各方主体电子签名的真实性和可靠性。
一、电子认证服务提供者应当具备的条件
电子认证服务提供者,作为认证服务机构,应该具备以下条件:
(1)电子认证服务提供者应当具有与提供电子认证服务相适应的专业技术人员和管理人员。提供电子认证服务是一项复杂的技术工程。仅从数字签名技术的实现来看,它运用了一系列复杂的加密算法。电子认证服务提供者在提供电子认证服务的过程中涉及多级认证和交叉认证等多种技术手段。这就需要有一批懂技术的专门人才从事电子认证服务工作,才能保障电子认证活动的开展。同时,作为权威的第三方认证机构,不仅应当具备可靠的技术条件,更重要的是在策略、管理、运营等诸多方面具备良好的条件,具有合格的管理人员也是电子认证服务提供者应当具备的一个重要条件。
(2)电子认证服务提供者应当具有与提供电子认证服务相适应的资金和经营场所。具备必要的资金是电子认证服务提供者开展业务的前提条件,也是电子认证服务提供者承担法律责任的重要保证。同时,由于提供电子认证服务对于安全性、保密性的要求较高,电子认证服务提供者相比较于一般企业,对经营场所的防火、防盗、防电磁辐射等方面的要求更高。电子认证机构对经营场所的安全条件一般都制定有严格的标准,以保障电子认证服务的顺利开展。
(3)电子认证服务提供者应当具有符合国家安全标准的技术和设备。国家为了保障信息技术产品的安全性,先后制定了一系列的国家标准。电子认证服务提供者在提供电子认证服务过程中使用的技术和设备,应当符合国家已经制定的安全标准。
(4)电子认证服务提供者提供电子认证服务应当具有国家密码管理机构同意使用密码的证明文件。我国商用密码条例规定,商用密码技术属于国家秘密。国家对商用密码产品的科研、生产、销售和使用实行专控管理。任何单位或者个人只能使用经国家密码管理机构认可的商用密码产品。由于电子认证服务提供者在经营过程中必然要使用密码技术和密码产品,电子认证服务提供者必须具有国家密码管理机构同意使用密码的证明文件。
(5)法律、行政法规可以对电子认证服务提供者应当具备的条件作出其他必要的规定。本法第二十五条还规定,国务院信息产业主管部门依照本法制定电子认证服务业的具体管理办法。因此,国务院信息产业主管部门在制定具体管理办法时,可以就电子认证服务提供者应当具备的条件作出进一步具体和明确的规定。
二、电子签名认证证书的内容
电子认证服务提供者签发的电子签名认证证书应该包括以下几个方面的内容:
(1)电子签名认证证书是电子认证服务提供者签发的用以证明证书持有人的电子签名、身份、资格及其他有关信息的电子文件,它是电子交易当事人在互联网上从事电子商务活动的身份证和通行证。在电子商务交易中互不认识的双方当事人用其证书证明各自签名的真实性,可以在双方之间建立相互信任的基础。因此,电子签名认证证书不仅具有证明电子签名的真实性与完整性的作用,还可以为交易当事人提供身份及从事交易的资格、权限等方面的证明。基于电子签名认证证书的重要作用,电子认证服务提供者签发的电子签名认证证书应当准确无误,否则就可能产生损害电子认证、电子交易的后果,影响电子签名认证证书的权威性和信任度。
(2)电子签名认证证书应当载明的内容包括电子认证服务提供者和证书持有人的名称、证书序列号、证书有效期、证书持有人的电子签名验证数据和电子认证服务提供者的电子签名,以及国务院信息产业主管部门规定的其他内容。这是法律规定的电子签名认证证书应当载明的内容。电子认证服务提供者还可以根据实际需要载明其他内容,如载明证书的种类与等级等信息。
(3)电子认证服务提供者应当保证电子签名认证证书内容在有效期内完整、准确,并保证电子签名依赖方能够证实或者了解电子签名认证证书所载内容及其他有关事项。
三、电子认证服务提供者的有关保证义务
(1)电子认证服务提供者最重要的任务就是制作、发放和管理电子签名认证证书,所以其首要义务就是保证认证证书的真实性、完整性和准确性,即所发放认证证书的公共密钥同某个确定身份的人是一一对应的,以保证发放的证书具有可靠的权威性和信任度。电子认证服务提供者要使发布的认证信息及时可靠,这其中还包括要让有关当事人能够随时证实证书申请人所拥有的身份证、许可证或者营业执照等关系该人行为能力的文书或者证件的效力。因此,电子认证服务提供者的两项保证义务:一是保证电子签名认证证书内容在有效期内完整、准确;二是保证电子签名依赖方能够证实或者了解电子签名认证证书所载内容及其他有关事项。
(2)联合国贸法会电子签名法示范法对电子认证服务提供者的有关保证义务作出了更具体的规定,要求验证服务提供商应当采取合理谨慎措施,确保其作出的有关证书整个周期的或需要列入证书内的所有重大表述均精确无误和完整无缺。要提供合理可及的手段,使依赖方得以从证书中证实下列内容:(1)验证服务提供商的身份;(2)证书中所指明的签字人在签发证书时拥有对签字生成数据的控制;(3)在证书签发之时或之前签字生成数据有效。要提供合理可及的手段,使依赖方得以在适当情况下从证书或其他方面证实下列内容:(1)用以鉴别签字人的方法;(2)对签字生成数据或证书的可能用途或使用金额上的任何限制;(3)签字生成数据有效和未发生失密;(4)对验证服务提供商规定的责任范围或程度的任何限制;(5)是否存在签字人发出通知的途径;(6)是否提供了及时的撤消服务。要使用可信赖的系统、程序和人力资源提供其服务。验证服务提供商如未能满足上述要求应承担相应责任。美国犹他州数字签名法规定:通过颁发证书,许可之认证机构向所有信赖证书里包含的信息的人证明,认证机构已遵守了颁发证书的所有有效的要求;通过发布证书,许可之认证机构向公告栏和所有信赖证书里包含的信息的人证明,认证机构已经向用户颁发了证书。该法还规定:通过接收许可之认证机构颁发的证书,证书上确定的用户,向所有信赖证书里包含的信息的人证明:(1)每一个通过与证书上所列公开密钥相对应的私钥而生成的电子签名,除非证书中止、被认证机构撤消或者过期失效,对用户来讲都是法律上有效的签名;(2)没有未经授权的人使用与证书上所列公开密钥相对应的私钥;(3)用户对认证机构作出的包含于证书的所有重要信息的陈述,都是真实的;(4)证书中包含的信息是真实的。新加坡和我国香港地区也有类似的规定。