问题:若本案诉诸法律,你认为哪一方胜诉?
王某因装修工程欠方某8000元款项,并口头承诺在2007年5月底还清,双方均未有书面证据证明该笔款项。至承诺期限之日,王某仍未支付方某欠款。经方某多次催讨及协商,王某总以各种理由推脱,并发短信给方某说:“再等一段时间”,“等项目完工了再还你”,“不就是8000元钱嘛,早晚会给你的”等。为追回欠款,方某将王某告上法院。
王某向法院提交了如下证据:
1.手机短信照片。
2.方某与王某的通话录单,内容为双方几次协商录音。
原告蔡先生在被告某市银行网站自助开通了网上银行,并申请了数字证书。一天蔡先生上网查询时,发现自己账户里的16多万元钱不翼而飞。后经调查发现,王某利用病毒木马程序窃取了蔡先生的账号、密码和数字证书,然后用窃得的数字证书登录银行网站转走了蔡先生账户里的资金。由于被盗资金难以追回,蔡先生将某市银行告上法院。试分析银行是否应当承担责任。
第一节 电子认证概述
一、电子认证与电子签名
有一天,作为公司职员的你收到一封来自正在海外度假的公司董事长的电子邮件,该邮件以公司董事长的身份任命你作为公司的副总经理。你收到这封邮件后,是相信它是真实的还是其他人的恶作剧呢?
在电子商务活动中,当事人通过电子技术来完成合同的订立过程,尤其是依靠网络技术完成合同的订立。由于网络的虚拟性,当事人都无法确定对方身份的真实性,无法确保和自己交易的对方在事实上就是该名称所代表的对方本人,而非其他人冒充。于是,人们在实践中发展出一种有效的方法来解决这个难题,即寻找一位可靠的第三方负责对信息发送和接受方利用某种特定的技术去鉴别他们身份的真伪。该第三方就是电子认证机构。
所谓电子认证,就是特定机构对电子签名及其签署者的真实性进行验证的具有法律意义的服务。这个特定机构就是“认证机构” (Certification Authority,简称CA)。持有电子签名制作数据并以本人身份或者以其所代表的人的名义实施电子签名的人,称为电子签名人;基于对电子签名认证证书或者电子签名的信赖从事有关活动的人,称为电子签名依赖方或信赖方;可证实电子签名人与电子签名制作数据有联系的数据电文或者其他电子记录,称为电子签名认证证书;在电子签名过程中使用的、将电子签名与电子签名人可靠地联系起来的字符、编码等数据,是电子签名数据。
电子签名和电子认证都是电子商务的保障。电子签名的目的是保护数据电文的安全,防止其内容的仿冒、更改或否认。法律强调对电子签名安全技术标准的认定。电子认证的目的是把电子签名与交易方(信赖方)联系起来,以确保交易方(信赖方)得到的电子签名来自于该电子签名的真正代表方,也就是来自于真正的签署方,而不是别人假冒。
也就是说,电子签名主要用于数据电文本身的安全,使之不被否认或篡改,是一种技术手段上的保证;电子认证是特定机构对电子签名及其签署者进行验证服务,主要应用于交易关系的信用安全方面,保证交易人的真实与可靠,是一种组织制度上的保证。
二、电子认证的分类
1.个人证书
用户使用此证书向依赖方表明个人的身份,同时应用系统也可以通过证书获得用户的其他信息。
2.服务器证书
主要颁发给Web 站点或其他需要安全鉴别的服务器,证明服务器的身份信息。
3.代码签名证书
为软件开发商提供对软件代码做数字签名的技术,可以有效防止软件代码被篡改,使用户免遭病毒与黑客程序的侵扰,同时可以保护软件开发商的版权利益。
4.单位证书
颁发给独立的单位、组织,在互联网上证明该单位、组织的身份。单位数字证书根据各个单位的不同需要,可以分为单位证书和单位员工证书。单位证书对外代表整个单位,单位员工证书对外代表单位中具体的某一位员工。
5.网站证书
为了确保通信安全,保证浏览者与网站之间交互的所有数据信息以加密方式传输,防止机密信息泄露;让所有访问网站的用户都能确定网站是真实可靠的网站。
此外,还有用于虚拟专用网的VPN(Virtual Private Net)证书、应用于无线通信技术的WAP(Wireless Application Protocol)证书、应用于电子邮件的EMAIL 证书,等等。
三、电子认证证书的内容
电子签名认证证书应当准确载明下列内容:
(1)签发电子签名认证证书的电子认证服务机构名称;
(2)证书持有人名称;
(3)证书序列号;
(4)证书有效期;
(5)证书持有人的电子签名验证数据;
(6)电子认证服务机构的电子签名;
(7)法律法规规定的其他内容。
第二节 电子认证法律关系
一、电子认证程序
电子认证是对于电子签名的真实性进行验证。根据电子签名种类的不同,电子认证的对象也不同,如生理特征签名认证、电子化签名认证和数字签名认证。在对生理特征签名进行认证时,签名人先将其所采用的生理特征样本提交给认证机构,以便其文件接受方(信赖方)在鉴别签名时可以到认证机构的网站,把自己收到的签名与签署方提交给认证机构的样本加以对照。如签署方使用的是电子化签名,那么其向认证机构提交的是电子化签名的原本样式;如果采用的是数字签名,则向认证机构提交的是公用密钥。下面以对数字签名的认证为例,说明电子认证程序:
第一步:发件人(电子签名人)在实施电子签名前,利用密钥制造系统产生密钥对,密钥对中的私人密钥由发件人自己保管。发件人把他的身份信息和密钥对中的公用密钥送给一个经合法注册、具有从事电子认证服务许可证的第三方,也就是CA 认证中心,申请该认证中心登记并由其签发电子证书。
第二步:认证机构根据有关的法律规定和认证规则以及自己和当事人之间的约定,对申请进行审查。如果符合要求,即发给申请方一个“认证证书”,证明申请方的身份、他的公开密钥以及其他有关的信息。
第三步:发件人(签署方)把电子签名文件和电子证书一起发给收件方(电子签名依赖方)。
第四步:收件方接到电子签名文件和电子证书后,根据电子证书中的内容,向相应的认证机构提出申请,请求认证机构将对方的公开密钥发给自己。
第五步:收件方通过对公用密钥和电子签名的验证,即可确信电子签名文件的真实性和可信性。
二、电子认证法律关系
所谓电子认证法律关系,是指在电子认证活动中,签名方与认证机构、依赖方与认证机构,以及签名方与依赖方的权利义务关系。签名方即申请方、签署方,认证机构即电子认证服务提供者,信赖方即依赖方。
1.电子认证法律关系的主体
(1)签名方。
电子签名方是指持有电子签名制作数据,并以本人身份或者以其所代表的人的名义实施电子签名的人;电子签名方是向认证机构申请数字证书的申请方,其和认证机构的关系性质存在很多争议。电子签名方又是用数字证书向信赖方签发证书的签署方。
(2)认证机构。
电子认证服务机构是指为电子签名人和电子签名依赖方提供电子认证服务的第三方机构。电子认证服务,是指为电子签名相关各方提供真实性、可靠性验证的公众服务活动。
(3)依赖方。
电子签名依赖方是指基于对电子签名认证证书或者电子签名的信赖,从事有关活动的人,是接受电子签名的一方。
2.电子认证法律关系的客体电子认证法律关系的客体是电子认证服务。认证机构根据签名方的申请,用自己的资金、技术、设备和行为,为申请人提供认证服务,申请人根据完成的工作情况支付一定的报酬。认证服务是当事人权利义务共同指向的对象,即各方的权利义务是基于认证服务产生的。
3.电子认证法律关系的内容
(1)签名方与认证机构的权利义务。
认证机构接受签名方的委托,为电子商务签名方制作数字证书。签名方与认证机构二者之间的关系到底属于何种性质,理论界尚存在争议,但一般认为二者权利义务如下:
①签名方的义务
(a)真实陈述的义务:在认证机构为签名方提供的数字证书里主要有三方面内容:
证书所有者的信息、证书所有者的私钥和颁发数字证书的认证机构的签名。因此,签名方提供真实的信息是有效数字证书的前提。证书申请方根据申请的数字证书类别不同,向认证机构提供相应的信息,如申请个人证书应向认证机构提供身份信息、联系方式等信息;若申请服务器证书,应向认证机构提供申请者工商登记资料、IP 地址、域名等信息。
《电子签名法》第二十条规定,电子签名人向电子认证服务提供者申请电子签名认证证书,应当提供真实、完整和准确的信息。认证机构一般要求申请人对其所提交的资料进行真实性承诺。
(b)妥善保管的义务:认证机构颁发给申请人证书以后,作为申请人的签名方应当妥善保管数字证书,这实际上就是保护私钥的安全。一旦用户私钥失密,就可能出现他人假冒证书所有人进行签名的危险。这样,即使认证机构再认真审核、发布信息,都无法保证数字证书的安全性。《电子签名法》第十五条规定,电子签名人应当妥善保管电子签名制作数据。电子签名人知悉电子签名制作数据已经失密或者可能已经失密时,应当及时告知有关各方,并终止使用该电子签名制作数据。大多数情况下,认证机构都会提醒数字证书所有人注意保管和安全使用自己的数字证书,以防被他人获取。《电子签名法》规定,电子签名人知悉电子签名制作数据已经失密或者可能已经失密,未及时告知有关各方并终止使用电子签名制作数据,未向电子认证服务提供者提供真实、完整和准确的信息,或者有其他过错,给电子签名依赖方、电子认证服务提供者造成损失的,应承担赔偿责任。
(c)缴纳费用的义务:认证机构为申请人颁发数字证书并收取相应的费用。根据申请类型的不同,认证机构收取的费用也不同,一般按年计费。
②认证机构的义务。
(a)谨慎审核的义务:认证机构应当对证书申请人提交信息的真实性进行审核。现实中,虽然可以通过网络填写申请表格向认证机构申请数字证书,但仍然需要申请人或其代理人到认证机构指定的数字证书注册机构(Registration Authority,RA)进行实地审核。审核员复核申请表内容与录入员录入的信息是否一致,并审批申请人是否具有证书申请资格。《电子签名法》第二十条规定,电子认证服务提供者收到电子签名认证证书申请后,应当对申请人的身份进行查验,并对有关材料进行审查。
(b)提供证书信息真实、准确、完整的义务:电子认证服务提供者收到电子签名认证证书申请后,应当对申请人的身份进行查验,并对有关材料进行审查,认证机构签发的电子签名认证证书应当准确无误,电子认证服务提供者应当保证电子签名认证证书内容在有效期内真实、完整、准确。
(c)保障安全的义务:电子认证机构提供认证服务均是基于电子认证机构的认证系统。安全可靠的系统是发展电子商务的基础条件之一。《电子签名法》第十九条规定,电子认证服务提供者应当制定、公布符合国家有关规定的电子认证业务规则,并向国务院信息产业主管部门备案。电子认证业务规则应当包括责任范围、作业操作规范、信息安全保障措施等事项。电子认证服务机构在成立时应当具备的条件之一就是:已经拥有国家有关认证检测机构出具的技术设备、物理环境符合国家有关安全标准的凭证。
(2)依赖方与认证机构之间的权利义务
①认证机构的义务。
(a)保证证书内容在有效期内真实、有效、完整:认证机构在为申请人签发、制作数字证书后,同时也就承担了管理数字证书的义务,以保证数字证书在有效期内内容完整。
申请人数字证书所载内容发生变更时,认证机构应当及时更新。(b)保证依赖方能通过有效途径验证证书所载内容及相关事项:在电子认证服务中,有时依赖方和签名方都是同一认证机构的用户,这时,依赖方相对信任认证机构的数字证书。有时依赖方不是认证机构的用户,依赖方在审查数字证书时就要确认数字证书的真伪,这时,认证机构应当提供有效途径保证依赖方能够查验证书所载内容。
