【释义】 本条是关于可靠的电子签名应当具备的条件的规定。
一、本条第一款规定了可靠的电子签名应当具备以下法定条件:
1.电子签名制作数据用于电子签名时,属于电子签名人专有。电子签名制作数据是指在电子签名过程中使用的,将电子签名与电子签名人可靠地联系起来的字符、编码等数据。它是电子签名人在签名过程中掌握的核心数据。唯有通过电子签名制作数据的归属判断,才能确定电子签名与电子签名人之间的同一性和准确性。因此,一旦电于签名制作数据被他人占有,则依赖于该电子签名制作数据而生成的电子签名有可能与电子签名人的意愿不符,显然不能视为可靠的电子签名。
2.签署时电子签名制作数据仅由电子签名人控制。这一项规定是对电子签名过程中电子签名制作数据归谁控制的要求。这里所规定的控制是指一种实质上的控制,即基于电子签名人的自由意志而对电子签名制作数据的控制。在电子签名人实施电子签名行为的过程中,无论是电子签名人自己实施签名行为,还是委托他人代为实施签名行为,只要电子签名人拥有实质上的控制权,则其所实施的签名行为,满足本法此项规定的要求。
3.签署后对电子签名的任何改动能够被发现。采用数字签名技术的签名人签署后,对方当事人可以通过一定的技术手段来验证其所收到的数据电文是否是发件人所发出,发件人的数字签名有没有被改动。倘若能够发现发件人的数字签名签署后曾经被他人更改,则该项签名不能满足本法此项规定的要求,不能成为一项可靠的电子签名。
4.签署后对数据电文内容和形式的任何改动能够被发现。电子签名的一项重要功能在于表明签名人认可数据电文的内容,而要实现这一功能,必须要求电子签名在技术手段上能够保证经签名人签署后的数据电文不能被他人篡改。否则,电子签名人依据一定的技术手段实施电子签名,签署后的数据电文被他人篡改而却不能够被发现,此时出现的法律纠纷将无法依据本法予以解决。电子签名人的合法权益难以得到有效的保护。因此,要符合本法规定的可靠的电子签名的要求,必须保证电子签名签署后,对数据电文内容和形式的任何改动都能够被发现。
一项电子签名如果同时符合上述四项条件,可以视为可靠的电子签名。
二、本条第二款规定当事人可以约定选择可靠的电子签名应当具备的条件和采用的技术方案。尽管本条第一款规定了可靠的电子签名应当具备的法定条件,但并没有对达成上述法定条件的电子签名所需采取的技术作出统一规定。由于电子签名技术手段的多样性,当事人在从事电子商务或者其他活动中所约定采用的电子签名技术如能够满足当事人对于保障交易安全性的需求,本法同样承认其法律效力并予以保护。
第十四条 可靠的电子签名与手写签名或者盖章具有同等的法律效力。
【释义】 本条是关于可靠的电子签名法律效力的规定。
一、随着现代科学技术的发展,越来越多的技术手段被运用于电子签名领域。这些技术和手段主要包括计算机口令、眼虹膜网辨别技术以及数字签名技术等。在电子商务交易中以何种技术生成的电子签名才是安全可靠的,才具有法律效力,这是电子签名法应当解决的问题。从世界各国的规定来看,主要有三种模式:一是采用技术特定化方案,即只承认数字签名的法律效力;二是技术中立方案,即在法律上不规定某种技术方案,而将技术方案的选择留给当事人各方约定;三是折中方案,即一方面规定了安全可靠的电子签名应当具备的条件,另一方面则没有限定采用何种技术的电子签名才具有法律效力。采纳这一模式的理由在于:随着科技的发展,电子签名技术也会不断地发展。电子签名技术手段的优劣,应由市场和用户作出判断,立法者只需要规定原则性标准;政府直接对具体技术作出选定,风险过大,并可能导致电子商务市场的萎缩。另一方面,目前数字签名的技术已趋于成熟并且被广泛运用于电子签名领域,需要以法律手段加以推行,以利于电子商务市场的成长。
二、本条的规定借鉴了联合国贸易法委员会《电子商务示范法》以及一些国家电子商务、电子签名立法的有关规定,并与本法第十三条规定相联系,确认了可靠的电子签名具有与手写签名或者盖章同等的法律效力。
第十五条 电子签名人应当妥善保管电子签名制作数据。电子签名人知悉电子签名制作数据已经失密或者可能已经失密时,应当及时告知有关各方,并终止使用该电子签名制作数据。
【释义】 本条是关于电子签名人法律义务的规定。
一、电子签名制作数据是将电子签名与电子签名人可靠联系起来的重要手段。电子签名人应当妥善保管电子签名制作数据,一旦电子签名制作数据失密,他人有可能利用电子签名人的电子签名制作数据从事违法行为或者牟取非法利益,给电子签名人和电子签名依赖方造成损失。在实践中,电子签名制作数据的载体包括磁盘。光盘等,尽管这些载体在使用过程中需要加入电子签名人的安全指令才能启动,但是这些载体一旦丢失或者为他人窃取,则他人通过破解这些相对简单的安全指令就可以在互联网上以电子签名人的名义从事交易活动。与传统交易不同,网上交易过程中当事人之间往往并不见面,当事人之间主要凭借的是对方当事人的电子签名来验证和核实相互间的身份,电子签名制作数据的
丢失会给不法分子提供可乘之机。因此,电子签名人应当妥善保管电子签名制作数据,防止丢失或者为他人所窃取,以免给自己和对方当事人造成不必要的损失。
二、即便电子签名人尽到妥善保管的义务,电子签名制作数据仍然存在泄密的可能。本条中的"知悉电子签名制作数据已经失密或者可能已经失密"包含两层意思:一是电子签名人已经明确知道电子签名制作数据已失密,例如电子签名人发现未经自己允许,有人在互联网上以电子签名人的名义从事商业活动;二是电子签名人知悉电子签名制作数据有可能已经失密,例如电子签名人发现自己存放电子签名制作数据的磁盘丢失,在这种情况下,丢失的磁盘中的安全指令有可能被破译,电子签名制作数据有可能被他人用于非法活动。在这两种情况下,依据本条的规定,电子签名人应当做到:一是立即停止使用电子签名制作数据。因为在电子签名制作数据已经失密或者可能已经失密的情况下,电子签名人继续使用其电子签名制作数据有可能使电子签名依赖方更加难以确
从电子签名的真伪,给交易安全带来更多的不确定性。二是及时告知有关各方当事人,避免有关各方当事人因继续信赖电子签名人的签名而造成损失或者损失的进一步扩大。
第十六条 电子签名需要第三方认证的,由依法设立的电子认证服务提供者提供认证服务。
【释义】 本条是关于电子签名认证的规定。
一、电子签名可以依赖于很多技术来实现,有些电子签名可能并不需要认证,例如一些以生物识别技术生成的电子签名,其直接依据签名人的生理特征就可以辨别电子签名的真伪。在目前,各国电子商务或者电子签名立法中确认的需要认证的电子签名一般指的是数字签名。数字签名是指通过使用非对称密码加密系统对电子记录进行加密、解密变换来实现的一种电子签名,目前它在各国的电子商务实践中得到了广泛的应用。作为第三方的数字签名认证机构通过给从事交易活动的各方主体颁发数字证书、提供证书验证服务等手段来保证交易过程中各方主体电子签名的真实性和可靠性。
二、提供电子认证服务的机构必须是依法设立的,本法对电子认证服务提供者的设立条件、设立程序作出了明确规定。
第十七条 提供电子认证服务,应当具备下列条件:
(一)具有与提供电子认证服务相适应的专业技术人员和管理人员;
(二)具有与提供电子认证服务相适应的资金和经营场所;
(三)具有符合国家安全标准的技术和设备;
(四)具有国家密码管理机构同意使用密码的证明文件;
(五)法律、行政法规规定的其他条件。
【释义】 本条是关于电子认证服务提供者应当具备的条件的规定。
一、电子认证服务提供者应当具有与提供电子认证服务相适应的专业技术人员和管理人员。提供电子认证服务是一项复杂的技术工程。仅从数字签名技术的实现来看,它运用了一系列复杂的加密算法。电子认证服务提供者在提供电子认证服务的过程中涉及多级认证和交叉认证等多种技术手段。这就需要有一批懂技术的专门人才从事电子认证服务工作,才能保障电子认证活动的开展。同时,作为权威的第三方认证机构,不仅应当具备可靠的技术条件,更重要的是在策略、管理、运营等诸多方面具备良好的条件,具有合格的管理人员也是电子认证服务提供者应当具备的一个重要条件。
二、电子认证服务提供者应当具有与提供电子认证服务相适应的资金和经营场所。具备必要的资金是电子认证服务提供者开展业务的前提条件,也是电子认证服务提供者承担法律责任的重要保证。同时,由于提供电子认证服务对于安全性、保密性的要求较高,电子认证服务提供者相比较于一般企业,对经营场所的防火、防盗、防电磁辐射等方面的要求更高。电子认证机构对经营场所的安全条件一般都制定有严格的标准,以保障电子认证服务的顺利开展。
三、电子认证服务提供者应当具有符合国家安全标准的技术和设备。国家为了保障信息技术产品的安全性,先后制定了一系列的国家标准。电子认证服务提供者在提供电子认证服务过程中使用的技术和设备,应当符合国家已经制定的安全标准。
四、电子认证服务提供者提供电子认证服务应当具有国家密码管理机构同意使用密码的证明文件。我国商用密码条例规定,商用密码技术属于国家秘密。国家对商用密码产品的科研、生产、销售和使用实行专控管理。任何单位或者个人只能使用经国家密码管理机构认可的商用密码产品。由于电子认证服务提供者在经营过程中必然要使用密码技术和密码产品,电子认证服务提供者必须具有国家密码管理机构同意使用密码的证明文件。
五、法律、行政法规可以对电子认证服务提供者应当具备的条件作出其他必要的规定。本法第二十五条还规定,国务院信息产业主管部门依照本法制定电子认证服务业的具体管理办法。因此,国务院信息产业主管部门在制定具体管理办法时,可以就电子认证服务提供者应当具备的条件作出进一步具体和明确的规定。
第十八条 从事电子认证服务,应当向国务院信息产业主管部门提出申请,并提交符合本法第十七条规定条件的相关材料。国务院信息产业主管部门接到申请后经依法审查,征求国务院商务主管部门等有关部门的意见后,自接到申请之日起四十五日内作出许可或者不予许可的决定。予以许可的,颁发电子认证许可证书;不予许可的,应当书面通知申请人并告知理由。
申请人应当持电子认证许可证书依法向工商行政管理部门办理企业登记手续。
取得认证资格的电子认证服务提供者,应当按照国务院信息产业主管部门的规定在互联网上公布其名称、许可证号等信息。
【释义】 本条是关于从事电子认证服务活动的申请与受理及申请人相关义务的规定。
一、申请人提出申请,是行政许可的前提条件,是申请人从事某种特定行为之前必须履行的法定义务。行政许可是依申请而进行的行政行为,即申请程序因相对人行使其申请权而开始。申请权是一种程序上的权利,相对人有权通过合法的申请,要求行政机关作出合法的应答。无论申请人在实体法上是否符合获得许可的条件,在程序上都享有这种权利。按照行政许可法第二十九条的规定,公民、法人或者其他组织从事特定活动,依法需要取得行政许可的,应当向行政机关提出申请。本条第一款依照行政许可法明确规定,从事电子认证服务,应当向国务院信息产业主管部门提出申请,并提交符合本法第十七条规定条件的相关材料。第十七条规定了提供电子认证服务应当具备的五个条件:一是具有与提供电子认证服务相适应的专业技术人员和管理人员;二是具有与提供电子认证服务相适应的资金和经营场所;三是具有符合国家安全标准的技术和设备;四是具有国家密码管理机构同意使用密码的证明文件;五是法律、行政法规规定的其他条件。申请人申请从事电子认证服务的,应当备齐符合上述条件的相关资料,以证实其具有从事电子认证服务活动的能力。依照行政许可法第三十一条的规定,申请人申请行政许可,应当如实向行政机关提交有关材料和反映真实情况,并对其申请材料实质内容的真实性负责。行政机关也不得要求申请人提交与其申请的行政许可事项无关的技术资料和其他材料。
二、依照行政许可法的规定,行政许可符合以下条件,行政机关应当予以受理:一是申请事项属于该机关行政职权范围;二是申请资料齐全、符合法定形式。依照本条规定,国务院信息产业主管部门受理申请人从事电子认证服务活动的申请后,依法进行审查,即行政程序进人审查阶段。国务院信息产业主管部门既审查申请材料是否齐全,是否符合法定形式,还要审查申请材料的实质内容是否符合法定条件。在审查阶段,国务院信息产业主管部门还要征求国务院商务主管部门等有关部门的意见。依照行政许可法第四十二条的规定,行政许可采取统一办理或者联合办理、集中办理的,办理的时间不得超过四十五日,四十五日内不能办结的,经本级人民政府负责人批准,可以延长十五日,并应当将延长期限的理由告知申请人。本条第一款也规定国务院信息产业主管部门自接到申请之日起四十五日内作出许可或者不予许可的决定,在期限
上与行政许可法的规定相一致。予以许可的,颁发电子认证许可证书。不予许可的,应当书面通知申请人并告知理由。依照行政许可法第三十八条的规定,"申请人的申请符合法定条件、标准的,行政机关应当依法作出准予行政许可的书面决定。""行政机关依法作出不予行政许可的书面决定的,应当说明理由,并告知申请人享有依法申请行政复议或者提起行政诉讼的权利。"说明理由作为行政程序的一项制度十分必要。首先,行政机关将行政决定的理由明白、令人信服地向行政相对人说明,可以增强公众对政府的信任感,避免对立。对于行政机关而言,通过说明理由,可以促使其事先充分考虑行政许可决定的事实根据和法律依据,慎重决定,促进行政机关的自我监督,从而保证行政决定的正确性。其次,行政机关作出行政决定,特别是对行政相对人作出不利处理后,要考虑到行政相对人可能会对行政决定不服。行政相对人了解行政机关作出该决定的理由,才能认真考虑请求行政救济的可能性,确定是
否提起和如何提起行政复议或者行政诉讼。再次,对于行政复议的受理机关或者人民法院来讲,通过行政决定的理由,可以了解行政机关作出该决定的动机和依据,便于对其进行审查。另外,在行政许可决定中说明理由,还可以使行政机关在以后处理同类案件时有据可循,促成平等保护。公众也可以通过了解行政机关对特定事务在事实上和法律上的意见或者态度,提高预测性,对公众的行为具有一定的引导作用、说明理由内容应当包括事实方面和法律方面以及自由裁量是否符合法定目的。说明理由应当以明文方式作出,叙述时应当简洁、清楚。
三、依照本条第二款的规定,申请人应当持电子认证许可证书依法向工商行政管理部门办理企业登记手续。申请人取得电子认证许可证书后,还需要到工商行政管理部门进行企业登记,依法办理确定主体资格的事项,才可能开始电子认证服务活动。
四、依照本条第三款的规定,取得认证资格的电子认证服务提供者,应当按照国务院信息产业主管部门的规定在互联网上公布其名称、许可证号等信息。电子认证服务提供者应当遵守这一规定,公布相关信息。
第十九条 电子认证服务提供者应当制定、公布符合国家有关规定的电子认证业务规则,并向国务院信息产业主管部门备案。
电子认证业务规则应当包括责任范围、作业操作规范、信息安全保障措施等事项。
【释义】 本条是关于电子认证服务提供者应当制定电子认证业务规则的规定。
一、电子认证服务提供者应当制定、公布符合国家有关规定的电子认证业务规则,并向国务院信息产业主管部门备案。电子认证服务是专业性很强的活动,由电子认证服务提供者制定有关业务规则是合理的,也是符合实际的。当然,电子认证服务者不能制定损害电子签名人和电子签名依赖方利益的、不公平的"霸王条款"。为了防止这种情况出现,本条第一款规定了两项要求:一是电子认证服务者制定的电子认证业务规则要符合国家有关规定,而且还要公布;二是电子认证业务规则要向国务院信息产业主管部门备案,以接受监督。有些国家和地区的电子签名法也规定了电子认证服务提供者制定认证业务规则的义务。例如,韩国电子签名法规定,认证机构应拟订包括下列各项内容的认证业务通则,并应向信息通信部长官申报:认证业务种类、认证业务的执行方法
及步骤、认证服务的利用条件及费用其他必需事项。信息通信部长官认为认证业务通则规定的内容有碍于确保认证业务的安全和可依赖性或损害用户利益的,可命令认证机构改正。我国台湾地区电子签章法规定,认证机构应制定认证实务作业基准,认证实务作业基准应载明以下事项:足以影响认证机构所签发认证的可靠性或其业务执行的重要资讯;认证机构径行废止认证的事由;验证认证内容相关资料的留存;保护当事人个人资料的方法及程序;其他经主管机关订定的重要事项。
二、电子认证业务规则主要包括以下事项:
1.责任范围。电子认证服务提供者在提供认证服务过程中,由于未履行其应尽义务,尤其是保证其签发证书的真实、可靠性的义务,既可能产生对电子签名人的责任,也可能产生对电子签名依赖方的责任。电子认证服务提供者与电子签名人即电子签名认证证书持有者是民事合同关系,电子认证服务提供者依照合同约定承担责任。电子认证服务提供者对电子签名依赖方的责任是基于法律规定而产生的,即两者是法律上的信赖关系,电子认证服务提供者对电子签名依赖方的法定义务是其承担责任的基础。同时也应当看到,电子认证服务是一个高风险的行业,既有内部风险又有外部风险,并且一旦发生风险往往会造成非常严重的后果。电子认证服务提供者在从事电子认证服务活动时当然应当尽合理的注意,承担相应的义务,但在无过错的情况下,不应承担责任,而无过错的举证责任要由认证机构承担。这是因为电子认证服务提供者
处于中立的第三方,其行为和信誉直接关系到电子签名人与电子签名依赖方的利益,且相对于电子签名人及电子签名依赖方又处于强势地位,一些国家均规定了较为严格的责任制度,且设立了举证责任倒置的制度,即电子认证服务提供者如能证明其对于责任事项无任何过错方可免责。本法第二十八条也明确规定:"电子签名人或者电子签名依赖方因依据电子认证服务者提供的电子签名认证服务从事民事活动遭受损失,电子认证服务提供者不能证明自己无过错的,承担赔偿责任。"
从实践中看,电子签名认证合同基本上属于格式合同。格式合同,是指合同条款由当事人一方预先拟定,另一方当事人只能表示全部同意或者不同意的合同,也就是说一方当事人要么从整体上接受合同条件,要么不订立合同。比如电子认证合同作为格式合同的特征有:一是数字证书的项目由电子认证服务提供者预定且不能改变;二是认证费用由电子认证服务提供者预定而不能讨价还价;三是签署者和电子认证服务提供者的责任条款由电子认证服务提供者单方制定并且不容进一步协商,而这正是电子认证合同中最关键的内容。目前在实践中,此责任条款有的出现在认证业务声明中,例如美国的Verisign公司就在其业务声明中规定了免责条款;也可以直接以责任书的形式出现,如上海电子商务安
全证书管理中心有限公司就采取这种做法;还可以以电子认证中心数字证书章程的形式出现,如广东省电子商务主认证中心就采取此种做法。对此责任条款只有"我接受"和"我拒绝"两种选择,选择"我接受"则继续证书申请的下一个步骤,选择"我拒绝"则终止证书的申请。
另外,在电子认证合同中也有允许客户选择的内容,例如证书的信赖等级。Verisign公司已经建立了三种用户等级:对于第一等级,用户只能依赖它做网页浏览和个人电子邮件,在这种环境下只是稍微增加了安全;第二等级是证书持有人使用更详细的证明证书于"组织"内的电子邮件、小额、小风险的交易、个人之间的电子邮件、口令更改、软件确认,以及在线订购服务;第三等级是用于电子银行、电子数据交换、软件确认,以及基于会员的在线服务。另外,密钥的位数也有512.1024及2048位等多种选择,密钥位数越大,加密后的文件的安全度越高。我国的几家主要的电子认证服务提供者也都提供了不同种类的数字证书来满足客户的不同需要。
2.作业操作规范。电子认证作业操作规范包括的内容非常广泛。如对数字证书申请身份审查的内容、提供相应的身份有效证件和审查流程;数字证书类别及证书申请、签发、撤销、更新等新的操作流程;以及信息公开的要求,主要是发布相关认证信息,如证书生效、失效等公开信息。
3.信息安全保障措施。电子认证服务提供者是为Internet用户提供身份认证服务的。由于其负责接受证书申请、审核申请人身份、签发证书及管理证书等服务,与其他Internet服务提供商一样,电子认证服务提供者所提供的服务也是通过Internet,也存在安全威胁,存在被攻击的可能,如非法入侵、植入病毒、窃取密钥等外部攻击。另外,认证系统内部也存在威胁,如内部工作人员的管理,机房的安全管理,软件的管理等。这些都需要制定具体的信息安全保障措施,防范风险。例如,电子认证服务提供者的机房是整个认证系统控制核心,机房的正常运作是所有电子商务活动的基础,必须采取足够的措施保证机房的安全。如必须设置独立的机房用于安全认证管理,该机房必须受到严格的、高等级的安全保护,至少应该设置三层安全控制保护层。类似这样的信息安全保障措施应当体现在电子认证业务规则中。
第二十条 电子签名人向电子认证服务提供者申请电子签名认证证书,应当提供真实、完整和准确的信息。
电子认证服务提供者收到电子签名认证证书申请后,应当对申请人的身份进行查验,并对有关材料进行审查。
【释义】 本条是关于电子签名认证证书申请过程中电子签名人和电子认证服务提供者的有关义务的规定。
一、在电子认证关系中,电子签名人是电子认证服务提供者的客户,是接受电子认证服务的一方。电子签名人除了应履行一般的支付费用义务外,还应当履行一些与电子认证服务关系的特性相应的义务。本条第一款规定的真实诚信义务就是其中的重要方面。电子签名人申请电子签名认证证书,要负担起保证所提供的信息的真实性、准确性和完整性的义务。诚实信用义务最直接的表现是真实陈述的义务,即真实陈述电子认证服务提供者颁发证书时要求其提供的事项。这是电子签名人在申请证书时所应当履行的基本义务,因为就其身份、地址、营业范围、证书信赖等级的真实陈述,是证书可信赖性产生的前提,否则将构成对证书体系信赖性的损害,应承担相应的法律责任。
二、本条第二款规定了电子认证服务提供者的谨慎审核义务。这要求电子认证服务提供者在收到电子签名认证证书申请后,对申请者所提交的有关材料的真实性,应当谨慎地加以审核,因为证书的发布、信赖方的信赖都依赖于对这些材料真实性的审查。另外,还要严格查验申请人的身份。这些都是为了保证其所发放的证书具有可靠的权威性和信任度。对个人电子签名认证证书申请者,电子认证服务提供者一般要求其提供个人的姓名、个人身份证的原件以及复印件、身份证号、联系电话、住址、通信地址、邮政编码、电子邮箱等个人资料;对单位电子签名认证证书申请者,除对具体的经办人要求提供上述个人资料外,还要求提供申请单位资料:如单位名称、单位所属行业类别、单位地址、单位注册号码、单位组织机构代码、单位电子邮箱、电话、传真、单位有效证件的原件与复印件等资料。
第二十一条 电子认证服务提供者签发的电子签名认证证书应当准确无误,并应当载明下列内容:
(一)电子认证服务提供者名称;
(二)证书持有人名称;
(三)证书序列号;
(四)证书有效期;
(五)证书持有人的电子签名验证数据;
(六)电子认证服务提供者的电子签名;
(七)国务院信息产业主管部门规定的其他内容。
【释义】 本条是关于电子认证服务提供者签发的电于签名认证证书内容的规定。
一、电子签名认证证书是电子认证服务提供者签发的用以证明证书持有人的电子签名、身份、资格及其他有关信息的电子文件,它是电子交易当事人在互联网上从事电子商务活动的身份证和通行证。在电子商务交易中互不认识的双方当事人用其证书证明各自签名的真实性,可以在双方之间建立相互信任的基础。因此,电子签名认证证书不仅具有证明电子签名的真实性与完整性的作用,还可以为交易当事人提供身份及从事交易的资格、权限等方面的证明。基于电子签名认证证书的重要作用,电子认证服务提供者签发的电子签名认证证书应当准确无误,否则就可能产生损害电子认证、电子交易的后果,影响电子签名认证证书的权威性和信任度。
二、依照本条规定,电子签名认证证书应当载明的内容包括电子认证服务提供者和证书持有人的名称、证书序列号、证书有效期、证书持有人的电子签名验证数据和电子认证服务提供者的电子签名,以及国务院信息产业主管部门规定的其他内容。这是法律规定的电子签名认证证书应当载明的内容。电子认证服务提供者还可以根据实际需要载明其他内容,如载明证书的种类与等级等信息。
第二十二条 电子认证服务提供者应当保证电子签名认证证书内容在有效期内完整、准确,并保证电子签名依赖方能够证实或者了解电子签名认证证书所载内容及其他有关事项。
【释义】 本条是关于电子认证服务提供者有关保证义务的规定。
一、电子认证服务提供者最重要的任务就是制作、发放和管理电子签名认证证书,所以其首要义务就是保证认证证书的真实性、完整性和准确性,即所发放认证证书的公共密钥同某个确定身份的人是一一对应的,以保证发放的证书具有可靠的权威性和信任度。电子认证服务提供者要使发布的认证信息及时可靠,这其中还包括要让有关当事人能够随时证实证书申请人所拥有的身份证、许可证或者营业执照等关系该人行为能力的文书或者证件的效力。因此,本条规定了电子认证服务提供者的两项保证义务:一是保证电子签名认证证书内容在有效期内完整、准确;二是保证电子签名依赖方能够证实或者了解电子签名认证证书所载内容及其他有关事项。
二、联合国贸法会电子签名法示范法对本条规定的内容作出了更具体的规定,要求验证服务提供商应当采取合理谨慎措施,确保其作出的有关证书整个周期的或需要列入证书内的所有重大表述均精确无误和完整无缺。要提供合理可及的手段,使依赖方得以从证书中证实下列内容:(1)验证服务提供商的身份;(2)证书中所指明的签字人在签发证书时拥有对签字生成数据的控制;(3)在证书签发之时或之前签字生成数据有效。要提供合理可及的手段,使依赖方得以在适当情况下从证书或其他方面证实下列内容:(1)用以鉴别签字人的方法;(2)对签字生成数据或证书的可能用途或使用金额上的任何限制;(3)签字生成数据有效和未发生失密;(4)对验证服务提供商规定的责任范围或程度的任何限制;(5)是否存在签字人发出通知的途径;(6)是否提供了及时的撤消服务。要使用可信赖的系统、程序和人力资源提供其服务。验证服务提供商如未能满足上述要求应承担相应责任。美国犹他州数字签名法规定:通过颁发证书,许可之认证机构向所有信赖证书里包含的信息的人证明,认证机构已遵守了颁发证书的所有有效的要求;通过发布证书,许可之认证机构向公告栏和所有信赖证书里包含的信息的人证明,认证机构已经向用户颁发了证书。该法还规定:通过接收许可之认证机构颁发的证书,证书上确定的用户,向所有信赖证书里包含的信息的人证明:(1)每一个通过与证书上所列公开密钥相对应的私钥而生成的电子签名,除非证书中止、被认证机构撤消或者过期失效,对用户来讲都是法律上有效的签名;(2)没有未经授权的人使用与证书上所列公开密钥相对应的私钥;(3)用户对认证机构作出的包含于证书的所有重要信息的陈述,都是真实的;(4)证书中包含的信息是真实的。新加坡和我国香港地区也有类似的规定。
第二十三条 电子认证服务提供者拟暂停或者终止电子认证服务的,应当在暂停或者终止服务九十日前,就业务承接及其他有关事项通知有关各方。
电子认证服务提供者拟暂停或者终止电子认证服务的,应当在暂停或者终止服务六十日前向国务院信息产业主管部门报告,并与其他电子认证服务提供者就业务承接进行协商,作出妥善安排。
电子认证服务提供者未能就业务承接事项与其他电子认证服务提供者达成协议的,应当申请国务院信息产业主管部门安排其他电子认证服务提供者承接其业务。
电子认证服务提供者被依法吊销电子认证许可证书的,其业务承接事项的处理按照国务院信息产业主管部门的规定执行。
【释义】 本条是关于电子认证服务提供者的业务承接要求的规定。
一、电子签名与电子认证都是电子商务的保障。电子签名的目的是保护数据电文的安全,防止其内容的仿冒、更改或者否认。法律强调对电子签名安全技术标准的认定。电子认证的目的是把电子签名和交易联系起来,确保对方得到的电子签名不是其他人假冒的。为此,法律强调对电子认证机构的组织结构和权利、义务的分配,对认证机构的设立和监管,以及确立认证机构的归责原则及其赔偿责任。如果说电子签名主要用于数据电文本身的安全,使之不被否认或者篡改,是一种技术手段上的保证,则电子认证是以特定的机构对电子签名及其签署者的真实性进行验证服务,主要应用于交易安全方面,主要是一种组织制度上的保证。而电子商务交易活动具有连续性的特点,法律必须对电子认证服务提供者的业务事项的维持予以特别规定,才能有效地保护电子签名人
和电子签名依赖方的利益。
二、电子认证服务提供者拟暂停或者终止电子认证服务的,将会影响到相关方的利益,因此本条第一款规定,应当在暂停或者终止服务九十日前,就业务承接及其他有关事项通知有关各方。此外,电子认证服务提供者拟暂停或者终止电子认证服务的,还应当履行以下义务:
1.报告。电子认证服务提供者应当在暂停或者终止服务六十日前向国务院信息产业主管部门报告,使其了解情况。
2.协商承接。电子认证服务提供者除在法定期限内向国务院信息产业主管部门报告外,还要与其他电子认证服务提供者就业务承接进行协商,协商达成一致意见的,对业务承接事项作出妥善安排。
3.指定承接。电子认证服务提供者未能就业务承接事项与其他电子认证服务提供者达成协议的,应当申请国务院信息产业主管部门安排其他电子认证服务提供者承接其业务。
对于电子认证服务提供者被依法吊销电子认证许可证书的,其业务承接事项的处理按照国务院信息产业主管部门的规定执行。
第二十四条 电子认证服务提供者应当妥善保存与认证相关的信息,信息保存期限至少为电子签名认证证书失效后五年。
【释义】 本条是关于电子认证服务提供者应当妥善保存与认证相关的信息及保存期限的规定。
依照本法第二十条的规定,电子签名人向电子认证服务提供者申请电子签名认证证书,应当提供真实、完整和准确的信息。这些信息涉及的面比较广,既可能包括申请人的个人隐私,也可能涉及申请人的商业秘密,如果这些信息被泄露,可能会损害电子签名人的利益,因此,本条规定了电子认证服务提供者妥善保存与认证相关的信息的义务,并规定信息保存期限至少为电子签名认证证书失效后五年。如果电子认证服务提供者违反上述规定,依照本法第三十一条的规定,由国务院信息产业主管部门责令限期改正;逾期未改正的,吊销电子认证许可证书,其直接负责的主管人员和其他直接责任人员十年内不得从事电子认证服务。
第二十五条 国务院信息产业主管部门依照本法制定电子认证服务业的具体管理办法,对电子认证服务提供者依法实施监督管理。
【释义】 本条是授权国务院信息产业主管部门制定电子认证服务业的具体管理办法并依法实施监管的规定。
一、电子认证是基于数据电文的收件人需要对收讫的数据电文发送人身份及数据电文的真实性、完整性进行核实而产生的。
电子认证通过电子认证机构颁发电子认证证书,据以确认数据电文发送人制作数字签名的密钥对与发送人的联系来实施认证确认活动。鉴于电子认证机构在电子交易中的重要作用,关于其设置、资格、行为规范等,始终是各国电子商务立法关注的重点。符合一定标准的电子认证机构,才能保证其运营符合电子商务的需要。电于认证机构的运营受到切实有效的监督,才能更好地保护电子签名人和电子签名依赖方的利益。从国外看,电子认证机构的市场准入有三种情况:一是,对电子认证机构实行强制性许可制度,即从事电子认证业务必须经过主管机关批准。如马来西亚数字签名法案明确规定,"没有人可以作为认证机构开展业务或进行运营,或主张他自己可以进行认证业务的运营,除非该人持有根据本法发放的有效许可证。"日本电于签名与认证服务法规定,"欲从事或者已在从事认证服务者须获得相关大臣之许可"。韩国电子署名法规定,"信息通信部长官指定有能力安全可靠地执行认证业务的单位担任公认认证机关"。电子商务基本法规定"政府可以根据电子署名法指定一个被授权的认证机构以确保电子商务的安全和可靠,并促进电子商务交易的健康发展"。德国《信息与通信服务法》规定,"证机构开展业务,须从主管机关取得许可证。许可证经申请即予颁发。"但下列情况不予颁发许可证:如果有事实证明下述推定,即申请人不具备从事认证业务的可靠性,或者申请人没有提交具备从事认证业务所需专业知识的证明,或者有理由认为一旦开始业务活动,不能符合本法以及具有法律效力的法令规定的与认证机构开展业务有关的其他要求。我国香港和台湾地区对于电子认证的市场准入也都实行强制性许可制度。二是,对电子认证机构实行非强制性许可制度。例如,依照欧盟《电子签名指令》的规定,"成员国不得为证书服务规定任何事先授权",但是,各成员国可以建立自愿的、非强制性的许可制度,经政府许可的认证机构享有比未经许可的认证机构更多的权利。奥地利《联邦电子签名法》规定,认证服务提供者无需取得特别许可即可开展业务,但须立即通知监管机关,并将有关文件材料向监管机关报送备案,包括其安全政策、认证政策、所提供的业务以及使用的技术手段和程序等。该法还规定了认证机关自愿认证的程序和认可认证机关的相关技术安全要求。新加坡《电子交易法》规定设立电子认证机构并不一定都要取得许可,但经许可的认证机构发布证书时,可以在证书中载明一项供参考的标准依据限额,即可以享受法律规定的民事责任限制等"优惠"。三是,对电子认证机构的设立不实行许可制度,完全依赖市场调节,通过行业自律予以规范。例如美国。
二、从国外看,对电子认证机构进行监管的内容主要包括与证书发放有关记录的保存、发证、证书更新、中止和撤销、认证业务声明、安全准则和保密等。如新加坡《电子交易法》规定,为保证本法或其细则的需要,通过书面通知,监管人可以指示认证机构或其工作人员采取通知书中指定的行为,对于不遵守指示的,要追究相应的法律责任。马来西亚《数字签名法》规定,对于特许认证机构,应当每年进行一次检查,以评价其遵守本法案的情况。年度检查应由具有计算机方面专业知识、获得执照的职业会计师,或信誉良好的、从事计算机安全工作的专业人员进行。审查人员的资格条件及审查的工作程序由本法案的实施细则予以规定。监控人应在其提供并维持的有关特许认证机构信息的信息库里向公众公布审查的日期和结果。我国香港地区《电子交易条例》规定,认可核证机关必须最少每十二个月向署长提交报告一次,而该报告必须载有对该机关是否已遵守本条例中就认可核证机关适用的条文的评
估,及在该期间是否已遵守业务守则的评估。根据德国《数字签章法》的规定,主管机关可以采取相应的行政措施处理认证机构的违法行为,具体包括:(1)主管机关可以禁止认证机构使用不适当的技术设备,并且可以暂时全部或者部分禁止其业务,如果认证机构采取非法手段误导他人相信其已获得某种许可,可以禁止其全部认证业务。(2)进行营业场所检查。(3)撤回、废止或者中止许可。如果认证机构没有依法履行义务,主管机关可以撤回、废止或者中止以前发出的许可。在撤销或者废止许可或者中止认证机构业务时,主管机关可以把该认证机构的业务交给其他认证机构或者确保该认证机构与有关密钥持有人之间的业务关系已经结束。(4)中止认证证书的效力。主管机关有足够证据认为,认证证书是伪造或者其安全性不足以防止伪造,或者所采用的技术设备显示安全上有欠缺,使得数字签章或者数字资料的伪造可能难以觉察时,可以中止认证证书的效力。
三、从我国实际情况看,对电子认证服务业主要靠市场引导和行业自律的条件尚不具备,由政府部门实施适度监管是必要的。本法规定了提供电于认证服务应当具备的条件,规定了对提供电于认证服务实施行政许可制度,规定了有违法行为的电子认证服务提供者应承担的法律责任,这些规定是必要的、可行的。另外,由于我国的电子认证业务还处于发展起步阶段,政府部门对电子认证机构如何实施有效的、适度的监管,还需要在实践中进一步总结经验。为此,本条授权国务院信息产业主管部门制定电子认证服务业管理的具体办法。
第二十六条 经国务院信息产业主管部门根据有关协议或者对等原则核准后,中华人民共和国境外的电子认证服务提供者在境外签发的电子签名认证证书与依照本法设立的电子认证服务提供者签发的电子签名认证证书具有同等的法律效力。
【释义】 本条是关于我国境外的电子认证服务提供者在境外签发的电子签名认证证书的法律效力的规定。
一、在跨国境的电子商务中,最重要一个环节是对处于不同司法管辖范围内的交易人的身份进行认证。这就要涉及到电子证书的跨境认证。实现跨境认证有几种方式。第一,允许境外的认证机构在本地提供服务。第二,境内的认证机构出境提供认证服务。第三,不同司法管辖范围内的认证机构达成互认证协议。第一和第二种方式,都是服务贸易的延伸。一旦境内的认证机构出境或境外的认证机构进境,都可以被视为本地的认证机构,都应当受到本地法律的管辖。本条所称的境外的电子认证服务者是指不受本地法律管辖的电子认证服务提供者。在认证过程中出现争议时,会涉及到两种法律体系和两种司法制度协调。因此,不同国别的电子认证服务的相互认证必须由两国政府根据国际法原则协商确定解决。
二、本法规定的有关协议是指,根据两国政府间的协议,而对等原则是指别国政府或法律对中国境内的电子认证服务提供者提供的认证服务的态度。依据这两点,信息产业主管部门可以核准确认,哪些境外的认证机构签发的认证证书可以在我国境内使用
责任编辑: