作者:陳韶光
北京市法學會電子商務法治研究會 監事長
北京天威誠信電子商務服務有限公司 董事長
摘要:
《中華人民共和國電子簽名法》被稱為“中國首部真正意義上的信息化法律”,極大地促進了電子商務在我國的快速發展。這其中,電子認證服務起到了不可磨滅的作用。但實踐中,對電子認證服務的理解和認識還存在很多誤區和不足。本文從對電子認證服務的行政許可、運營監管、業務承接、過錯推定責任承擔等方面澄清電子認證服務的本質,綜合呈現電子認證服務的公信力。
關鍵詞:
可靠的電子簽名、電子認證服務、過錯推定責任、業務連續性
正文:
2005年4月1日《中華人民共和國電子簽名法》(以下簡稱“《電子簽名法》”)施行,明確了可靠的電子簽名與手寫簽名或者蓋章具有同等法律效力。目前,可靠的電子簽名是依托PKI/CA實現的,是需要第三方認證的電子簽名形式。依據《電子簽名法》第十六條:“電子簽名需要第三方認證的,由依法設立的電子認證服務提供者提供認證服務。”的規定,我國開始對電子認證服務行業實施行政許可。
PKI(public key infrastructure)公鑰基礎設施,從技術上解決了網絡通信安全的種種障礙,CA(certificate authority)認證中心,即電子認證服務提供者,從運營、管理、規范、法律、人員等多個角度綜合解決網絡信任問題。
為保障電子認證服務能夠有效地解決網絡信任問題,法律、法規、部門規章等從電子認證服務機構的設立、參與電子認證服務有關各方的權利、義務、責任,以及電子認證服務的保障措施等多方面進行了規定,綜合呈現了電子認證服務的公信力。
一、電子認證服務機構的設立需要符合法定條件,并且取得相關行政許可資質。
依據《電子簽名法》、《電子認證服務管理辦法》和《電子認證服務密碼管理辦法》的規定,從電子認證服務機構的注冊資本、從業人員(包括:從事電子認證服務的專業技術人員、運營管理人員、安全管理人員、客戶服務人員)的人數及崗位技能要求、經營場所、物理環境等均應當符合法定條件。
電子認證服務機構提供認證服務的系統、技術和設備等,必須按照國家密碼主管部門的要求建設,接受主管部門的安全性審查和運營服務的監督檢查,并最終需要同時取得國家密碼管理局頒發的《電子認證服務使用密碼許可證》及工業和信息化部頒發的《電子認證服務許可證》,方能對外開展電子認證服務。
二、電子認證服務提供者提供認證服務應當接受主管部門的監督、檢查,重要信息需要履行備案、報告手續。
工業和信息化部對電子認證服務機構進行定期、不定期的監督檢查,監督檢查的內容主要包括法律、法規的符合性、安全運營管理、風險管理等。
電子認證服務機構制定的電子認證業務規則和證書策略,應當符合工業和信息化部公布的《電子認證業務規則規范》等要求, 并在提供電子認證服務前予以公布,接受公眾監督,同時向工業和信息化部備案。
取得許可資質的電子認證服務機構,在許可有效期限內不得降低其設立時所應具備的條件,并按要求將認證業務開展情況報告、財務會計報告等有關材料如實向工業和信息化部報送 。當電子認證服務機構出現重大系統或關鍵設備事故、重大財產損失、重大法律訴訟、關鍵崗位人員變動等情況時,亦應當及時向工業和信息化部報告。
三、電子認證服務機構應當保證電子認證服務業務的連續性。
依據《電子簽名法》和《電子認證服務管理辦法》的規定,電子認證服務機構擬暫停或者終止電子認證服務的,應當在暫停或者終止電子認證服務九十日前,就業務承接及其他有關事項通知有關各方;應當在暫停或者終止電子認證服務六十日前向工業和信息化部報告,并與其他電子認證服務機構就業務承接進行協商,作出妥善安排。未能就業務承接與其他電子認證服務機構達成協議的,應當申請工業和信息化部安排其他電子認證服務機構承接其業務。
電子認證服務機構有義務根據工業和信息化部的安排承接其他機構開展的電子認證服務業務。
四、在法律責任承擔上,對電子認證服務機構適用過錯推定責任原則。
過錯推定責任,是過錯責任原則的一種特殊形式。過錯推定責任仍以過錯作為承擔責任的基礎,只在行為人不能證明他們沒有過錯的情況下,推定行為人有過錯,應承擔賠償損害責任。凡在適用推定過錯責任的場合,行為人要不承擔責任必須就自己無過錯負舉證責任。
《電子簽名法》第二十八條規定:“電子簽名人或者電子簽名依賴方因依據電子認證服務提供者提供的電子簽名認證服務從事民事活動遭受損失,電子認證服務提供者不能證明自己無過錯的,應當承擔賠償責任。”對電子認證服務機構適用過錯推定責任原則,加大了對電子簽名人及電子簽名依賴方的法律保護。
綜上所述,電子認證服務是依托現代信息技術及密碼技術,遵循現行法律、法規標準,保障電子簽名的可靠性、數據電文的真實性、合法性,實現解決網絡信任問題。
