2.3 电子认证法律制度

2.3.1 电子认证概述

1．电子认证机构在电子商务和政务中的功能

电子认证，指的是认证机构通过电子加密技术，对电子签名、数字摘要、数字证书进行认证，从而为电子商务交易活动中的各方和政务系统的相关主体提供身份确认、数据电文真实完整保证的活动。

电子认证在现代社会中发挥着极大的作用。电子认证与电子签名的结合，解决了单纯依靠电子签名无法解决的交易主体信用度确认的问题，为电子交易活动提供了有效的安全保障。电子认证为电子交易活动所提供的安全保障主要表现在其对电子签名人的资信状况提供了有效证明，从而有效地规避了电子签名人抵赖否认和电子签名恶意欺诈的风险。

而在政务领域，通过电子认证机构对公共密钥的认证和辨别，合理地对政务系统中的相关权限、可访问资源进行管理和限制，可以有效地减少密钥丢失、损毁或解密所造成的不确定性，并对可能出现的风险进行预防，以保证政务系统的有效、安全运作。

2．国内电子认证行业的立法情况

为了保障电子商务活动的有序开展，2003年4月，由国务院法制办牵头，我国《电子签名法》进入了正式起草阶段；2004年8月召开的第十届全国人民代表大会常务委员会第十一次会议通过了我国的《电子签名法》，并于2005年4月1日起正式开始实施。《电子签名法》作为我国第一部电子商务领域的专门立法，在内容上对电子签名的法律效力进行了明确，对电子签名的行为进行了规范，同时对认证机构的法律地位和认证程序做出了明确，对认证机构的行业准入设置条件，且对国务院信息产业主管部门是电子签名认证机构的监管机关的身份做出了明确。

《电子签名法》中规定了国务院信息产业部在电子认证服务监督管理方面明确的职责权限。根据《电子签名法》的授权，国务院信息产业部于2005年2月颁布了《电子认证服务管理办法》，从而细化了对电子认证服务的规范，为电子认证服务业的发展奠定了坚实的基础。于2005年4月1日与《电子签名法》配套实施的《电子认证服务管理办法》的主要内容有以下几个方面。

① 电子认证服务机构的资质条件、申请程序和许可证管理；

② 电子认证服务的业务和职责规定；

③ 电子签名认证证书的规定；

④ 电子认证业务的承接；

⑤ 监督管理的内容，违法行为的处罚等。

除此之外，我国还相继出台了《电子认证服务密码管理办法》《电子认证业务规则规范（试行）》等与之相配套的法律规范。综上我们可以看出，目前我国已基本建立了电子认证服务的法律体系。

2.3.2 电子签名认证过程中各方当事人的法律关系

1．电子签名人与电子签名认证机构的认证服务合同关系

在电子交易活动中，电子签名人需要通过电子认证机构对其电子签名进行认证，从而证明其身份、实现数据电文的安全传输，为交易的顺利达成提供有效保障。电子认证机构所提供的认证服务是通过认证证书实现的，其中认证证书就是电子签名人与电子签名认证机构的认证服务合同的格式化表现。

在完整的电子认证活动中，首先需要电子签名人向电子签名认证机构提出申请，并向电子签名认证机构提供必要的信息和相关文件，即电子签名人向电子签名认证机构发出要约。待经电子签名认证机构进行审核，且在电子签名认证机构认定电子签名人的信息完整、准确的情况下，受理电子签名人签发认证申请，即电子签名认证机构做出承诺，此时二者之间的合同关系成立。在此之后，电子签名认证机构对认证证书的签发、后续管理和收取相关费用的行为，都是对合同的履行。

由于电子商务活动较之传统商业活动具有特殊性，且电子认证活动其本身也具有特殊性，法律对电子签名人与电子签名认证机构的认证服务合同关系设定了较多的硬性条款，具体内容将在下文中做出详细介绍。

2．电子签名认证机构与电子签名依赖方的利益信赖关系

电子签名依赖方基于对电子签名认证机构的信赖，与交易相对人进行电子交易，因此电子签名认证机构与电子签名依赖方之间存在着利益信赖关系。二者之间的利益信赖关系主要有以下三种具体情形。

（1）交易双方作为电子签名人均获得电子签名认证证书，且双方同属于同一电子签名认证机构的用户。在这一情形下，依赖方与认证机构之间存在有认证服务合同。

（2）交易双方作为电子签名人均获得电子签名认证证书，但双方分别为两家电子签名认证机构的用户。在这一情形下，依赖方与认证机构之间没有合同，电子签名依赖方完全是基于对认证机构的信任，而相信电子签名人。

（3）一方交易者持有电子签名认证证书，而电子签名依赖方并没有电子签名认证证书。在这一情形下，依赖方与认证机构之间同样没有合同，电子签名依赖方完全是基于对认证机构的信任，而相信电子签名人。

电子签名认证机构与电子签名依赖方之间存在着利益信赖关系的基础，就是电子签名认证机构所签发证书的公正性。而这一利益信赖关系也正是电子签名认证行为的内涵。

3．电子签名人与电子签名依赖方的交易关系

电子签名人与电子签名依赖方是电子合同的当事人双方，二者之间的交易关系与传统商业交易并没有太大的区别，只不过双方之间的交易关系是通过数据网络建立的。

在电子交易中，电子签名认证证书是交易顺利达成的基础，正是基于对电子签名认证机构的信赖，电子签名依赖方愿意与电子签名人达成交易。若在交易活动中，由于电子签名认证证书包含错误信息给双方造成损失，且电子签名认证机构存在过错的情况下，电子签名人和电子签名依赖方均可以向电子签名认证机构请求赔偿。

2.3.3 电子签名认证机构的权利义务和违约责任的归责原则及免责情形

1．电子签名认证机构的权利和义务

1）电子签名认证机构的权利

电子签名认证机构所享有的权利主要有以下四个方面。

（1）要求电子签名人提供真实有效的信息和相关文件，并对其进行查验和审查的权利。

其中要求电子签名人提供的信息和相关文件包括：个人电子认证申请人的姓名、身份证的原件及复印件、联系电话、通信地址等相关个人资料；而法人或非法人机构电子认证申请人则要提供机构名称、机构性质、机构有效证件的原件及复印件、机构联系电话、机构通信地址、组织机构代码等相关资料。

我国《电子认证服务管理办法》第三十条规定，有下列情况之一的，电子认证服务机构应当对申请人提供的证明身份的有关材料进行查验，并对有关材料进行审查：（一）申请人申请电子签名认证证书；（二）证书持有人申请更新证书；（三）证书持有人申请撤销证书。

（2）收取提供电子签名认证服务费用的权利。

（3）在特定情形下，撤销其所签发的电子签名认证证书的权利。

我国《电子认证服务管理办法》第二十九条规定，有下列情况之一的，电子认证服务机构可以撤销其签发的电子签名认证证书：（一）证书持有人申请撤销证书；（二）证书持有人提供的信息不真实；（三）证书持有人没有履行双方合同规定的义务；（四）证书的安全性不能得到保证；（五）法律、行政法规规定的其他情况。

（4）请求赔偿的权利。

我国《电子签名法》第二十七条规定，电子签名人知悉电子签名制作数据已经失密或可能已经失密未及时告知有关各方，并终止使用电子签名制作数据，未向电子认证服务提供者提供真实、完整和准确的信息，或者有其他过错，给电子签名依赖方、电子认证服务提供者造成损失的承担赔偿责任。

2）电子签名认证机构的义务

电子签名认证机构应履行的法定义务主要有以下五个方面。

（1）对业务进行合理说明和告知的义务。

我国《电子签名法》第十九条规定，电子认证服务提供者应当制定、公布符合国家有关规定的电子认证业务规则，并向国务院信息产业主管部门备案。电子认证业务规则应当包括责任范围、作业操作规范、信息安全保障措施等事项。

我国《电子签名法》第二十一条规定，电子认证服务提供者签发的电子签名认证证书应当准确无误，并应当载明下列内容：（一）电子认证服务提供者名称；（二）证书持有人名称；（三）证书序列号；（四）证书有效期；（五）证书持有人的电子签名验证数据；（六）电子认证服务提供者的电子签名；（七）国务院信息产业主管部门规定的其他内容。

我国《电子签名法》第二十三条规定，电子认证服务提供者拟暂停或者终止电子认证服务的，应当在暂停或者终止服务九十日前，就业务承接及其他有关事项通知有关各方。

电子认证服务提供者拟暂停或者终止电子认证服务的，应当在暂停或者终止服务六十日前向国务院信息产业主管部门报告，并与其他电子认证服务提供者就业务承接进行协商，做出妥善安排。

电子认证服务提供者未能就业务承接事项与其他电子认证服务提供者达成协议的，应当申请国务院信息产业主管部门安排其他电子认证服务提供者承接其业务。

电子认证服务提供者被依法吊销电子认证许可证书的，其业务承接事项的处理按照国务院信息产业主管部门的规定执行。

（2）对电子签名人进行有效审查的义务。

我国《电子签名法》第二十条规定，电子签名人向电子认证服务提供者申请电子签名认证证书，应当提供真实、完整和准确的信息。电子认证服务提供者收到电子签名认证证书申请后，应当对申请人的身份进行查验，并对有关材料进行审查。

（3）保证电子签名认证服务安全性的义务。

我国《电子签名法》第二十二条规定，电子认证服务提供者应当保证电子签名认证证书内容在有效期内完整、准确，并保证电子签名依赖方能够证实或者了解电子签名认证证书所载内容及其他有关事项。

我国《电子认证服务管理办法》第十七条规定，电子认证服务机构应当保证提供下列服务：（一）制作、签发、管理电子签名认证证书；（二）确认签发的电子签名认证证书的真实性；（三）提供电子签名认证证书目录信息查询服务；（四）提供电子签名认证证书状态信息查询服务。

我国《电子认证服务管理办法》第十八条规定，电子认证服务机构应当履行下列义务：（一）保证电子签名认证证书内容在有效期内完整准确；（二）保证电子签名依赖方能够证实或者了解电子签名认证证书所载内容及其他有关事项；（三）妥善保存与电子认证服务相关的信息。

其中，妥善保存与电子认证相关的信息的具体要求在我国《电子签名法》第二十四条中给出明确规定：电子认证服务提供者应当妥善保存与认证相关的信息，信息保存期限至少为电子签名认证证书失效后五年。

（4）信息披露的义务。

电子签名认证机构应进行信息披露的内容包括：认证机构根证书的说明、用户的公钥、作废证书名单、认证业务说明、认证机构作为公司登记时应公开的有关记录、其他任何影响证书安全性能或认证机构服务能力的事实。

我国《电子认证服务管理办法》第十条规定，工业和信息化部应当自接到申请之日起四十五日内做出准予许可或者不予许可的书面决定。不予许可的，应当书面通知申请人并说明理由；准予许可的，颁发《电子认证服务许可证》，并公布下列信息：（一）《电子认证服务许可证》编号；（二）电子认证服务机构名称；（三）发证机关和发证日期。电子认证服务许可相关信息发生变更的，工业和信息化部应当及时公布。《电子认证服务许可证》的有效期为五年。

（5）重要信息的保密义务。

我国《电子认证服务管理办法》第二十条规定，电子认证服务机构应当遵守国家的保密规定，建立完善的保密制度。电子认证服务机构对电子签名人和电子签名依赖方的资料，负有保密义务。

2．许可认证机构的法律责任

电子签名认证机构要想获得从业许可，需要具备一定的条件。根据我国《电子签名法》第十七条的规定，提供电子认证服务，应当具备下列条件：（一）取得企业法人资格；（二）具有与提供电子认证服务相适应的专业技术人员和管理人员；（三）具有与提供电子认证服务相适应的资金和经营场所；（四）具有符合国家安全标准的技术和设备；（五）具有国家密码管理机构同意使用密码的证明文件；（六）法律、行政法规规定的其他条件。

我国《电子签名法》第十八条规定，从事电子认证服务，应当向国务院信息产业主管部门提出申请，并提交符合本法第十七条规定条件的相关材料。国务院信息产业主管部门接到申请后经依法审查，征求国务院商务主管部门等有关部门的意见后，自接到申请之日起四十五日内做出许可或者不予许可的决定。予以许可的，颁发电子认证许可证书；不予许可的，应当书面通知申请人并告知理由。取得认证资格的电子认证服务提供者，应当按照国务院信息产业主管部门的规定在互联网上公布其名称、许可证号等信息。

1）认证机构对电子签名人的法律责任

在电子签名认证服务中，常见的对电子签名人造成违约的情形包括：未及时有效地签发证书、未能在合理期限内及时中止或撤销证书、证书库或作废证书表出现错误、认证机构的私钥丢失或损坏等其他情形。因以上行为给电子签名人造成的损害，电子签名认证机构要承担违约责任。

在电子签名认证服务中，常见的对电子签名人造成侵权的情形包括：由于违法违规发放认证证书；认证机构没有履行认证业务声明中载明的义务，或没有按照业务声明中的程序、标准或规范操作；违反保密义务，泄露电子签名人的个人资料，侵害其隐私权；除不可抗力因素外，因电子签名认证机构的过错，出现违反安全保障义务的其他情形。因以上行为给电子签名人造成损失的，电子签名认证机构同样需要承担违约责任。

2）认证机构对电子签名依赖方的法律责任

在电子签名认证活动中，认证机构违反法定义务而给电子签名依赖方造成损失的，应对电子签名依赖方承担侵权责任。常见的对电子签名依赖方造成侵权的情形包括：电子签名认证机构未对认证证书申请人身份进行查验审核而错误签发证书；证书库或作废证书列表存在错误；未及时中止或撤销认证证书；未履行业务声明中载明的相关义务等其他情形。

我国《电子签名法》第二十九条规定，未经许可提供电子认证服务的，由国务院信息产业主管部门责令停止违法行为；有违法所得的，没收违法所得；违法所得三十万元以上的，处违法所得一倍以上三倍以下的罚款；没有违法所得或者违法所得不足三十万元的，处十万元以上三十万元以下的罚款。

我国《电子签名法》第三十条规定，电子认证服务提供者暂停或者终止电子认证服务，未在暂停或者终止服务六十日前向国务院信息产业主管部门报告的，由国务院信息产业主管部门对其直接负责的主管人员处一万元以上五万元以下的罚款。

我国《电子签名法》第三十一条规定，电子认证服务提供者不遵守认证业务规则、未妥善保存与认证相关的信息，或者有其他违法行为的，由国务院信息产业主管部门责令限期改正；逾期未改正的，吊销电子认证许可证书，其直接负责的主管人员和其他直接责任人员十年内不得从事电子认证服务。吊销电子认证许可证书的，应当予以公告并通知工商行政管理部门。

3．自建认证机构的法律责任

随着电子认证的不断发展，一些有庞大电子签名认证需求的大型企业会根据自己业务的需要，开发自己专用的电子签名认证系统供其内部使用以向消费者提供安全的电子交易服务。自建认证机构在银行也最为常见，银行通过向其客户提供数字证书来保证电子银行交易的安全。

自建认证机构存在诸多弊端，其中最为突出的问题表现在自建认证机构是电子签名认证证书的提供者，同时又与电子签名人进行交易，即其兼具电子签名认证机构和电子签名依赖方的双重角色，在举证时其所提供的电子签名证据的法律效力很难认定。

由于自建认证机构并不属于独立的第三方电子签名认证机构，因此对自建认证机构违约行为的处理，并不能适用《电子签名法》。但由于在自建认证机构与电子签名人之间存在着合同关系，当自建认证机构未履行或未完全履行合同义务的情况下，可以参照适用《合同法》对自建认证机构应向电子签名人承担的法律责任进行具体判断。

对自建认证机构侵权行为，可以参照自建认证机构与电子签名人之间的合同关系处理。电子签名认证机构与电子签名依赖方之间存在着信赖利益关系，电子签名认证机构对电子签名依赖方同样负有义务。因此当自建认证机构在主观故意的前提下发生违法行为，并对电子签名依赖方造成损失时，电子签名依赖方可以要求自建认证机构对其进行赔偿。

4．电子签名认证机构的归责原则及免责情形

1）电子签名认证机构的归责原则

我国《电子签名法》第二十八条规定，电子签名人或者电子签名依赖方因依据电子认证服务提供者提供的电子签名认证服务从事民事活动遭受损失，电子认证服务提供者不能证明自己无过错的，承担赔偿责任。

从中我们可以看出，电子签名认证机构的归责原则采用的是过错推定原则。即在违法行为与损害事实之间存在因果关系的情况下，若电子签名认证机构无法证明自己对损害的发生不存在过错的，则推定电子签名认证机构在损害事实中存在过错，要承担相应的赔偿责任。

在电子签名法律关系中，电子签名认证机构与电子签名人和电子签名依赖方之间存在着严重的信息不对称，因此电子签名人和电子签名依赖方都处于弱势地位。采用过错推定原则正是从法律层面对电子签名人和电子签名依赖方进行合理的保护。

2）电子签名认证机构的免责情形

在我国的《电子签名法》和《电子认证服务管理办法》中并没有对电子签名认证机构的免责情形做出规定，因此根据我国民事法律的相关原理，电子签名认证机构的免责情形有以下四种。

（1）不可抗力。即在不可预见、不能避免、无法克服的情况下，电子签名认证机构对电子签名人和电子签名依赖方的损失不需承担法律责任。在本章2.1.4节中已对电子合同中的不可抗力做出详细说明。

（2）紧急避险。这是指电子签名认证机构在发现与电子签名相关的数据电文面临重大风险或已经泄露的情况下，为避免损失的进一步扩大，电子签名认证机构及时告知电子签名人和电子签名依赖方并对出现问题的电子签名中止使用，由此使电子签名人和电子签名依赖方遭受损失的，电子签名认证机构可以免除或减轻相应的责任。

（3）由电子签名人或电子签名依赖方的过错导致的。在这一情形下，电子签名人或电子签名依赖方所遭受的损失，由其自行承担；电子签名认证机构并不承担法律责任。

（4）合同中约定的免责情形。即在电子认证服务合同中，电子签名人与电子签名认证机构事先约定了并不违反法律禁止性规定的免责情形；当约定情形出现时，电子签名认证机构不承担法律责任。