电子商务认证是一种信用服务关系,认证机构与证书持有人之间的权利义务基于眼务合同而产生,对证书信辕人所承担的责任,则因其特殊的职业义务而存在。 关键词:商法,电子商务法,认证法律关系
; }; r4 }4 Y+ q( h7 O5 N! ^8 ]0 i 一、电子商务认证是一种信用服务2 _* v$ y3 q: ?/ b3 t/ x" Q. z3 t
认证机构并不向在线当事人出售任何有形商品,也不提供资金或劳动力资源。它所提供的服务成果,只是一种无形的信息,包括交易相对人的身份、公共密钥、信用状况等情报。虽然,这些信息无法直接以具体的价格来衡量,但它是在开放型电子商务环境下进行交易所必须的前提性条件,并且是交易当事人所很难亲自获知的。与一般信息服务所不同的是,认证机构提供的是经过核实的,有关电子商务交易人所关心的基本信息,实际上它是关于交易当事人的事实状况的信息,通常包括交易人是谁、在何处、以何种电子签名方式与之交易,其信用状况如何等。因此,认证是一种信用服务,它与目前存在的信用评级公司所从事的业务有些类似。所不同的是,信用评级是一种任意性的商誉,其广告作用甚为明显,当事人可自愿采纳,信用评级公司一般不负法律资任(起码从我国的情况看)。而认证证书内的信息,则是经过核实的真实的资料,并且认证关系的直接当事人,即认证机构和证书用户,应共同对证书信息的真实性负法律责任。
! h, I: s2 l+ ?6 u9 ]8 l3 O 在传统交易环境下,交易当事人最关心的问题是谁先履行合同。一般来说,先履行义务者风险较大。而在电子商务环境下,则交易人首先要考虑的是,正在与何人进行交易,其信用如何。没有电子商务认证体系为依托,开放型电子商务就失去了生存环境,这是开放型电子商务的自身特征所要求的,也是必须以技术和法律方式给予全面解决的问题。电子认证服务的成功与否,直接影响着电子商务全球化的推广进程。这也是联合国贸法会以及各国之所以积极组织起草电子商务法的原因所在。二、认证机构与证书持有人之间的关系& R- z% O4 |$ m7 @/ k
1、认证关系的产生 认证机构所提供的在线服务,一般是以合同为基础的,或许将来电子认证技术达到了十分可靠的地步,法律或法规可能要求特定的交易必须以认证方式进行,但是,截止目前,尚未出现强制认证的情况。并且按照联合国《电子商务示范法》,"技术中立"与"媒介中立"的原则来看,这种强制是有失公平的。所以,一般而论,电子商务认证是以认证机构与证书持有人之间的合同为基础而产生的服务关系。5 Q/ i. l3 a+ d. l
电子商务认证机构一般是以中立的、可靠的第三方中介人出现,为交易双方或多方提供服务的,因而,在认证法律关系中至少有买卖双方,以及认证机构参与。换言之,认证法律关系涉及多方当事人。在有些复杂的交易或服务关系中,交易当事人可能会更多些。譬如,在以信用卡在线电子支付进行的交易中,认证机构不仅要向买卖双方相互间提供身份认证,而且还要对发卡银行、收付机构四方当事人之间提供认证服务。6 S. ?. ~! Y" \$ Q$ i) {$ t8 h
2,关于认证关系性质的争议 , A: ?' n" `0 M2 E) R
(1)信托关系说 9 l9 @3 `0 U) W; l
"就其性质而言,认证机构处于承担着与银行相类似责任的监管人或受托人的地位,"[1]该种观点是从英美法理论出发的,其着眼点主要在于,认证机构对用户应负的注意义务,但其缺陷是未能照顾到认证机构对证书信赖人所负的、公正的发布信用信息的义务。认证机构虽然并未因其服务而接收证书信赖人的报酬,却同样要负起诚实发布信息的义务。换言之,认证机构对那些不是委托人或受益人的信赖人,也负有义务。从信托关系角度说,难以解释此点。8 l# ^* p6 w- @, }
(2)非信托关系说9 [ ^- t+ l A5 T' {3 p( Q9 [, Q
非信托关系说认为,"机动车辆部门不是其颁发执照的司机的代理人,并且雇主也不会同意作其颁发了工作证章的雇员的代理人,同样,认证机构通常不愿对用户起到代理人或信托的人作用(除非法律另有规定)。"[2]然而,从实际交易看,认证机构并不参与在线用户数字签名交易之中,即它不是该种交易的当事人。在这种情况下,认证机构的"证书业务声明(CPS)"通常会规定,在认证机构与用户之间不存在委托与信托关系。" A G3 k% d1 E4 k. u+ \
(3)专业信用服务说
& c b S/ q' k% L 非信托关系说有其合理性,只不过该观点就此而止,没有进一步说明其性质,而"专业信用服务"说,则是笔者对认证关系性质的理解。就认证机构所提供的是信用信息服务而盲,容易认识。问题在于认证机构与证书信赖人之间,有可能事先并不存在服务合同的关系(如果交易一方不是证书用户,或不是本地区、本国的证书用户的话),那么其间是以何种法律关系为基础而产生权利义务的,就会产生疑义。作者认为认证信用服务,并非一般的实现某种商品使用价值的服务,而是专业化的商业信誉方面的服务,如同医生对于病人,他们都负有职业上的特殊的义务。医生对于需要急救的病人,虽然事先未曾建立服务合同关系,但必须立即进行救治,履行职业上的义务。此种职业上的义务,实际上是一种社会责任。认证机构对于信赖证书的交易人,应承担公正信息发布义务,而不因未接收其服务报酬,而偏袒与之建立了服务合同关系的证书用户一方。
0 P1 M" m" n4 m3 U6 Q8 m3 O1 Q 相反,其义务的主要接收方(或称受益方)是信赖人。这一点在认证机构因证书信息虚假,而需要向信赖人承担责任时,体现得最为明显。任何一个认证机构都应清楚,证书信息的公正性,是其业务存在的根本条件,舍弃此点;该机构就没有必要存在。另外,从其营业目的上看,认证机构属于公用企业,以向全社会提供电子商务交易信用为已任,并非单纯追求盈利的企业。其服务费用的收取,也只是以微利为原则,而不能受高额利润的引诱,作为一种特许的营业,认证机构的成功,来自于规模化的经营业绩,而决不能依靠向单个用户收取高额服务费,来维持其经营。
: D0 G, a; v! ~& B$ j6 l9 L# U 从合同法原理上讲,认证机构与证书用户之间存在着服务合同关系。该类合同属双务、有偿,要式合同(大部分为格式化的)。从认证合同的订立过程来看,要约方一般是证书的申请者,而承诺方一般是认证机构。新增用户合同的要约和承诺过程,多在离线状态进行,部分资料亦可在网上传递,: R. s S# h$ s3 X/ ~
3。证书拥有人的义务
4 w1 l3 ~% m1 f5 F' b 在认证关系中,证书拥有人(亦称签署者)是认证机构的客户,是接受认证服务的一方。它除了应履行一般的支付服务费用义务外,还应履行一些与认证服务关系的特性相应的义务。这些义务主要包括两点,即真实陈述义务和私密钥控制义务。0 @ | i) t* m' A: l3 M
(1)真实陈述之义务
' J; t: W, o* Y" N" L8 T 真实陈述认证机构要求其提供的事项与资料,是证书用户在申请证书时所应履行的基本义务。因为就其身份、地址、营业范围、证书信赖等级的真实陈述,是证书可信赖性产生的前提,否则,将构成对证书体系信赖性的损害,并因此而承担一定的法律责任。例如美国犹他州(数字签名法)第302条专门就"接收证书的用户的陈述"作了规定,从多侧面强调了对信息真实性负责的义务。" f) S% @4 u' f
(2)私密钥控制之义务) b0 S/ U$ M) v, J
当证书颁发并接收之后,用户就在真实陈述义务之外,又增加了一项私密钥控制义务。它是证书用户所应负的,针对不特定的任何人的义务,实际上是一种与认证机构的公正发布信息的义务相并列的社会责任。没有用户对其私密钥的独占性控制,认证机构就是再认真审核、公正发布信息,都无法保证电子签名证书的安全性。控制私密钥,使其处于独占之安全状态,不仅是用户保护自身利益所必须的,同时,也是维护证书体系信誉的不可或缺的措施。用户若违反了该义务,将承担相应的法律责任。/ h. c# n: ~8 G5 B" w! G/ _
美国犹他州(数字签名法)第303条对"私密钥的控制"问题作了规定。而新加坡《电子交易法》则在其第9部分专门规定了"用户的责任",这些规范实际上都是关于私密钥使用与控制方面的义务。其内容大致有以下几方面:其一,用户必须使用可信赖的系统,生成密钥对。其二,用户在获得证书时作出的所有重要陈述,必须是准确的,且应在其所知晓的范围内是完全的。其三,当签署者已经接受证书后,就将对由此产生的后果负责。其四,用户有责任对其私密钥保持控制,并不得向未经授权的人泄漏,其五,如果私密钥出现问题,用户必须向认证机构申请暂停,或撤销其证书。三、认证机构与证书信赖人之间的关系6 U2 O& u) Y0 _ P4 O, e
所谓证书信赖人,是指相信电子签名证书,并以该证书上所确定的证书拥有人为交易对方,而进行交易的当事人,证书信赖人本身可能是,也可能不是认证机构的用户,他与认证机构,要比用户与认证机构之间的关系更为复杂,当证书信赖人不是认证机构的用户时,他与认证机构之间并无服务合同的存在,但是,当他利用证书而与证书用户交易时,却又成为了证书服务关系中的对象,并且,认证机构在特定情况下还要对之承担责任,因此,有必要专门论述二者之间的关系。
9 ~; q8 Y" v# k) U, { n; b 1。认证机构与信赖人关系的分类及其分析
4 e6 n3 N; [! d v6 W2 w 在开放网络环境中,认证机构与证书信赖人之间的关系呈现为多种形态,其具体情况要以电子商务交易当事人与认证机构的关系而定,大致有以下几种;9 H8 B7 x7 L4 w4 G' q4 b. d; |' m5 U
(1)社区认证服务型! |8 y$ x+ Z* g7 B5 `
即交易双方当事人均为某认证机构的证书用户。此时,交易双方也同时都是证书信赖人,具有双重身份,并且认证机构并不是交易关系中的直接当事人,而只为其交易提供信用服务。这是一种典型的社区性在线认证服务,也是较为普遍的认证服务形式。3 \# g E7 m2 e$ v" Q* q( D
此种认证机构与其倌赖人(同时都是用户)之间的关系,比较清晰,因为他们与认证机构之间的关系,都是以认证服务合同为前提而形成的,需要注意的是,不能因为这类用户本身与认证机构事先存在着信用服务合同关系,就忽视了其作为证书信赖人的地位。他们不仅能以证书用户的身份享有权利,同时,也可以证书信赖人的身份,要求认证机构履行谨慎从事的义务,
9 s7 \* t* }8 \" s% @ (2)单方证书用户型
, i$ O; L/ H# ~; n 当交易一方是认证机构的证书用户,而另一方则不是认证机构的证书用户时,就是所谓"单方用户型认证关系"。此时,非证书用户是证书的信赖人,此种关系,多发生于消费型交易,而其中的消费者又没有登记为证书用户的情况,
" x/ k6 F7 g( @$ r 在上述关系中,证书用户(一般为商家)是以服务合同与认证机构建立了信用服务关系。而非证书交易人(一般为未申请证书的消费者),则是典型的证书信赖人,是依照认证机构的特殊职业义务,因交易关系的进行而与认证机构之间形成了信赖其信用服务的关系。认证机构的特殊职业义务,就是其向社会提供公正的交易信用服务的义务(或称社会责任),是特许之共用企业所应负的职业责任。$ C) u& G5 G) R' b& }1 \4 ?) y
(3)交叉认证关系' b+ j) D2 ?, J7 J# V) r1 i) Q
实践中还有一种情况,即虽然交易双方都是认证机构的证书用户,但其证书是由不同的认证机构分别证书的用户进行交易,即属此类。这就是所谓的交叉认证关系。该关系需要由各国或各认证机构之间的交易认证协议来解决,以便相互确认对方证书的有效性。同时,本地认证机构经过交叉认证之后,要替对方的认证机构,对自己的证书用户负信赖证书的责任。这种关系更为复杂,它涉及到认证机构的外部结构,需要由国际之间的,或认证机构之间的协议予以协调,譬如,德国、马来西亚的《数字签名法》、新加坡的《电子交易法》,都专门规定了对外国电子证书的认可条件。
* u. c) e6 k) m7 l' U% ^8 s (4)非纯粹的认证关系(或称混合认证关系)
8 ^" ], L3 G( Q! m1 { 所谓非纯粹认证关系,是指认证机构是主营其他服务的,而认证服务只是其衍生业务,譬如,金融机构颁发给其客户的数字证书,同样可用于其他的在线交易认证。有的学者称之为"品牌证书"。在此种认证关系中,认证机构不是单纯提供电子签名认证服务的,而是在认证服务的同时,也以提供交易辅助条件的形式,参与了证书用户的交易。如银行在向用户提供认证服务的同时,还可提供支付、结算等服务,这种混合型认证关系,比单纯的认证服务关系要复杂得多,它涉及到多种法律关系的相互交叉与相互制约,应注意辨别不同性质的关系及其规范的适用。
8 u. B2 e' J: ? 值得注意的是,上述分类并非是绝对的,其间有相互交叉的地方,此处只是为了便于考察其属性而暂作划分的。
5 g" z: D8 E/ I+ b' W+ j3 Z 2。证书信赖人的义务与选择
- b0 @$ v1 e; Y: K" A. {; T1 p 证书信赖人虽然不一定事先与认证机构存在合同关系,但他是认证关系的受益方之一。要求其承担相应的义务,是保障其利益的前提条件。贸法会(电子签名统一规则(草案)》第11条规定,相对方(即证书信赖人)如不能履行下列行为,应承担法律责任:(1)采取合理的步骤确认签名的真实性,(2)在电子签名有证书证明的情况下,采取合理的步骤:A确认证书是否合法有效、被中止签发或被撤销,B遵守任何有关证书的限制。* p+ x( G+ G2 {8 \, M
上述义务说明,对电子签名的信赖必须具有合理性。交易当事人应根据具体的环境,对所接收的电子签名的合理性及其程度,予以谨慎确认。电子签名的有效性,并不取决于相对方的行为,但相对人不能因此而草率行事。它是与签署人、证书机构的义务相对应的,并且是三者之间划分责任的依据之一。
" A& M7 J3 S) n+ v+ l* }3 F 证书信赖人对于交易相对人电子签名证书的使用,一般应在所建议的可靠程度内给予信任,并以此进行交易。但这只是一种任意选择权,作为证书信赖人的交易一方,可作出自己的判断,并承担相应的法律后果。
8 T% F4 ]$ w- w (1)在建议范围内行事
( N' B/ M' U) U& p8 [5 U) w 此种选择是最常见的,也是参与认证服务关系者通常所期望发生的。如果证书倌赖人按照认证机构所建议的证书信用等级,即在一定的交易额度内与证书用户(持有人)进行丁交易,一旦由于认证机构或证书用户的过错,而使证书信息不实,并给证书信赖人造成了损失,则认证机构和证书用户,可能要承担一定的赔偿责任,这是认证信用服务对电子商务交易关系保障的最明显的体现。: [% i0 u; x1 q( e9 t# m
(2)另作判断,风险自担: ^; }( l \% c# T
在实践中还会有这样的情况,即信赖人未按证书等级进行交易,而是超出了认证机构建议范围,这同样是信赖人行使其选择权的具体形式。不过,在此种情况下,认证机构不对其超出证书可靠性建议范围的交易额负责任。实际上证书建议信任度,一般是与认证机构的最高责任限度相一致的,证书信赖人不可不察。四、认证机构的主要义务
, _" }9 D" @4 j, q; f0 [/ d7 u0 [ 认证机构在网络化的商事交易中处于枢纽地位,其义务之设定与履行,关系到电子商务行业的成败。依照规范的具体程度,可将认证机构的义务分为概括性与操作性义务,前者,如认证机构之危险活动禁止原则;后者,如证书的颁发、中止、撤销等业务规则。需要说明的是,对认证机构这种涉及公众交易利益的信用服务机构,制定一些概括性的义务,以利用条款的弹性优点,来弥补规范上的缺漏或失效,是十分必要的。因为对认证机构义务规定得再详尽,都可能有遗漏之处,特别是随着技术的升级,很可能出现一些原定标准过时、被淘汰的情况。这些概括条款不仅必要,而且是有其应用价值的。5 R' g- r) ?0 d: D
还可根据规范所涉及的主体范围,分为对内与对外义务两部分。譬如,新加坡《电子交易法》的第八部分,以"认证机构的义务"为标题,自27条至35条都是相关的规定。其各条内容分别为:可靠系统、披露义务、证书的发布、发布证书的陈述、证书的中止、证书的撤销、无需登记人同意的撤销、中止通知、撤销通知等9个方面。其中除了"可靠系统"是内部规范外,其余均系对外业务规则。
+ k' M: O9 Z4 u: X 联合国贸法会《电子签名统一规则(草案)》也曾在第9条"关于证明服务提供者的行为"中,对认证机构的义务做了集中规定,其中包括6个方面:A兼顾行业政策或习惯,严格依据其所作的声明行事,B履行合理的注意义务,在证书的整个有效期内,保证所有与证书有关的,或者已被包括在证书内的重要陈述具有准确性与完整性,C提供合理的查证途径使相对方能够通过证书确认……D提供合理的查证途径,使相对方能够通过证书或其他方面确认……E为签名者提供签名器受损的通知方式,并确保可获得及时的撤销服务;F使用可靠的系统,程序、人力资源来完成其服务。 总的来说,认证机构的义务大致可概况为以下几方面:安全、真实、及时、公开、谨慎、保密等方面,安全是认证机构服务的宗旨性目标,同时也是其义务,譬如使用可靠性系统,就是安全义务的体现。真实、谨慎,是针对用户对外资料的审查核实与公布而官的,也是对证书信赖人负责的做法。公开认证机构自身及用户的应予发布的信息,是其业务规则之一,保密则是对用户的不宜泄露的信息而言的。 |