认证机构对于签名方和依赖方二者承担的共同义务有:(a)保密的义务。认证机构在提供认证服务的过程中,会接触到大量申请人的信息,其中很多是非公开信息,一旦泄漏就会给用户带来生活或生产经营活动的重大影响。因此,《电子认证服务管理办法》第二十条规定,电子认证服务机构应当遵守国家的保密规定,建立完善的保密制度。电子认证服务机构对电子签名人和电子签名依赖方的资料有保密的义务。(b)妥善保存与电子认证服务相关的信息。电子认证机构应当妥善保管在提供电子认证服务时产生的相关信息,这些信息可能涉及签名方和依赖方。《电子签名法》第二十四条规定,电子认证服务提供者应当妥善保存与认证相关的信息,信息保存期限至少为电子签名认证证书失效后五年。(c)及时通知与处理的义务。数据电文信息传输的迅速性要求认证机构在办理证书业务时必须及时、准确,最大限度避免因认证机构业务迟延给签名方或依赖方造成损失。根据《电子签名法》第二十三条,电子认证服务提供者拟暂停或者终止电子认证服务的,应当在暂停或者终止服务九十日前,就业务承接及其他有关事项通知有关各方。
电子认证服务提供者拟暂停或者终止电子认证服务的,应当在暂停或者终止服务六十日前向国务院信息产业主管部门报告,并与其他电子认证服务提供者就业务承接进行协商,作出妥善安排。电子认证服务提供者未能就业务承接事项与其他电子认证服务提供者达成协议的,应当申请国务院信息产业主管部门安排其他电子认证服务提供者承接其业务。电子认证服务提供者被依法吊销电子认证许可证书的,其业务承接事项的处理按照国务院信息产业主管部门的规定执行。根据《电子认证服务管理办法》,电子认证服务机构有根据工业和信息化部(原信息产业部)的安排承接其他机构开展的电子认证服务业务的义务。
②依赖方的义务。
依赖方在接收签名方的数据信息后,应当采取合理的步骤确认签名的真实性,依赖人应在认证机构所建议的证书信用等级范围内与签名方发生业务。
(3)签名方与依赖方之间的关系
电子签名人与电子签名依赖方之间一般表现为合同关系,主要适用《合同法》调整,一般要求向对方作为善意人尽到合理的注意义务即可。
第三节 电子认证机构
张同学想毕业以后成立一家电子商务公司,主要为客户签发数字证书。他需要具备什么条件才能成立呢?
一、电子认证机构的设立
1.电子认证服务机构的设立模式
世界上对电子认证服务机构的设立模式主要有三种:
(1)强制性许可制度。
电子认证服务机构必须满足一定的设立条件,经过政府的许可,才能开展认证业务。
采用这种制度主要考虑到电子认证业务关系到整个电子交易的公平与安全,因此政府加强监管,如韩国、日本、德国、马来西亚,以及我国台湾和香港地区。
(2)自由进入市场。
这种方式是完全依靠市场调节,通过行业自律予以规范,如美国。这种制度适用于信用制度比较完善、市场调节功能比较健全,尤其是行业自律机构能够真正发挥作用的国家。
(3)非强制性许可制度。
这种模式介于第一种和第二种模式之间。经过政府认证的电子认证服务机构,政府会给予一定的优惠,如果不经过认证,则没有优惠,但仍可以运营,如奥地利、新加坡。
我国由于信用体系相对不健全,靠市场引导行业自律的条件还不具备,因此我国《电子签名法》规定采用强制性许可制度,并对电子认证服务应当具备的条件做出了规定。
2.我国电子认证服务机构的设立条件
电子认证服务机构根据《公司法》、《电子签名法》等法律法规的要求设立,电子认证服务机构具有独立的企业法人资格。它的设立需要具备以下几个条件:
(1)具有与提供电子认证服务相适应的专业技术人员和管理人员。
电子认证服务机构的人员主要有两类:专业技术人员和管理人员。前者要具备电子认证所要求的技术;后者应当符合《公司法》规定的人员要求,尤其是公司的高层管理人员,应当符合公司法的任职条件。根据《电子认证服务管理办法》,从事电子认证服务的专业技术人员、运营管理人员、安全管理人员和客户服务人员应不少于三十名。
(2)具有与提供电子认证服务相适应的资金和经营场所。
电子认证服务不同于一般的服务,因此,要求电子认证服务机构提供的资金也相对较高。《电子认证服务管理办法》规定,电子认证服务机构的注册资金不得低于人民币三千万元,并且具有固定的经营场所和满足电子认证服务要求的物理环境。
物理环境建设标准具体分为建设参照标准规范、可验收标准规范和可检测标准规范。
(3)具有符合国家安全标准的技术和设备。
鉴于电子技术产品的升级换代速度非常快,电子认证服务机构提供认证服务的技术和设备也应当不断改进。《电子签名法》要求电子认证服务机构应当具有符合国家安全标准的技术和设备。
(4)具有国家密码管理机构同意使用密码的证明文件。
查查看 目前我国密码管理机构具体是什么机构?它有哪些权利?
根据国务院《商用密码管理条例》的规定,商用密码产品的科研、生产、销售和使用,由国家实行专控管理。电子认证服务离不开密码产品,因此电子认证服务机构必须出具国家密码管理机构统一使用密码的证明文件,并且认证系统密码及其相关安全技术规范,应当符合《证书认证系统密码及其相关安全技术规范(试行)》的规定。
(5)法律、行政法规规定的其他条件。
电子认证服务机构还应符合《公司法》有关组织机构的规定等。国务院以及其所属部门可以根据需要,要求电子认证服务机构的设立达到其他条件。
3.我国电子认证服务机构的设立程序
电子认证服务机构具备上述条件的,应当向电子认证服务审批机构提交下列材料:
(1)书面申请;
(2)专业技术人员和管理人员证明;
(3)资金和经营场所证明;
(4)国家有关认证检测机构出具的技术设备、物理环境符合国家有关安全标准的凭证;(5)国家密码管理机构同意使用密码的证明文件。
电子认证服务审批机构对提交的申请材料进行形式审查,依法作出是否受理的决定。电子认证服务审批机构对决定受理的申请材料进行实质审查,要对有关内容进行核实的,指派两名以上工作人员实地进行核查。电子认证服务审批机构对与申请人有关事项书面征求中华人民共和国商务部等有关部门的意见。
电子认证服务审批机构应自接到申请之日起四十五日内,作出许可或者不予许可的书面决定。不予许可的,说明理由并书面通知申请人;给予许可的,颁发《电子认证服务许可证》,并公布下列信息:
(1)《电子认证服务许可证》编号;
(2)电子认证服务机构名称;
(3)发证机关和发证日期。
电子认证服务许可相关信息发生变更的,电子认证服务审批机构应当及时公布。
《电子认证服务许可证》的有效期为五年。
取得电子认证服务许可的,应当持《电子认证服务许可证》到工商行政管理机关办理相关手续。取得认证资格的电子认证服务提供者,应当按照国务院信息产业主管部门的规定,在互联网上公布其名称、许可证号等信息。
二、电子认证机构的运行与管理
1.电子认证服务管理
取得认证资格的电子认证服务机构,在提供电子认证服务之前,应当通过互联网公布下列信息:
(1)机构名称和法定代表人;
(2)机构住所和联系办法;
(3)《电子认证服务许可证》编号;
(4)发证机关和发证日期;
(5)《电子认证服务许可证》有效期的起止时间。
电子认证服务机构应当按照公布的电子认证业务规则提供电子认证服务。
电子认证服务机构应当保证提供下列服务:
①制作、签发、管理电子签名认证证书;
②确认签发的电子签名认证证书的真实性;
③提供电子签名认证证书目录信息查询服务;
④提供电子签名认证证书状态信息查询服务。
2.证书的管理
电子认证服务机构根据申请,向申请人签发电子签名认证证书,并负责管理电子签名认证证书,保证证书正常使用。但有下列情况之一的,电子认证服务机构可以撤销其签发的电子签名认证证书:
(1)证书持有人申请撤销证书;
(2)证书持有人提供的信息不真实;
(3)证书持有人没有履行双方合同规定的义务;
(4)证书的安全性不能得到保证;
(5)法律、行政法规规定的其他情况。
证书持有人的信息发生变更,应及时通知电子认证服务机构变更认证证书相关内容。电子认证服务机构应当对申请人提供的证明身份的有关材料进行查验,并对有关材料进行审查。电子认证服务机构更新或者撤销电子签名认证证书时,应当予以公告。
3.电子认证机构的监管
电子认证服务机构在《电子认证服务许可证》的有效期内变更法人名称、住所、注册资本、法定代表人的,应自完成相关变更手续之日起五日内按规定公布变更后的信息,并自公布之日起十五日内向工业和信息化部(原信息产业部)备案。
电子认证服务机构应当按照工业和信息化部(原信息产业部)公布的《电子认证业务规则规范》的要求,制定本机构的电子认证业务规则,并在提供电子认证服务前予以公布,向工业和信息化部(原信息产业部)备案。
电子认证业务规则发生变更的,电子认证服务机构应当予以公布,并自公布之日起三十日内向工业和信息化部(原信息产业部)备案。
电子认证服务机构应当建立完善的安全管理和内部审计制度,并接受工业和信息化部(原信息产业部)的监督管理。
三、电子认证机构的法律责任
电子认证服务机构向工业和信息化部(原信息产业部)隐瞒有关情况、提供虚假材料或者拒绝提供反映其活动的真实材料的,由工业和信息化部(原信息产业部)依据职权责令改正,并处警告或者五千元以上一万元以下罚款。
电子签名人或者电子签名依赖方因依据电子认证服务提供者提供的电子签名认证服务从事民事活动遭受损失,电子认证服务提供者不能证明自己无过错的,应承担赔偿责任。
未经许可提供电子认证服务的,由国务院信息产业主管部门责令停止违法行为;有违法所得的,没收违法所得;违法所得三十万元以上的,处违法所得一倍以上三倍以下的罚款;没有违法所得或者违法所得不足三十万元的,处十万元以上三十万元以下的罚款。
电子认证服务提供者暂停或者终止电子认证服务,未在暂停或者终止服务六十日前向国务院信息产业主管部门报告的,由国务院信息产业主管部门对其直接负责的主管人员处一万元以上五万元以下的罚款。
电子认证服务提供者不遵守认证业务规则,未妥善保存与认证相关的信息,或者有其他违法行为的,由国务院信息产业主管部门责令限期改正;逾期未改正的,吊销电子认证许可证书,其直接负责的主管人员和其他直接责任人员十年内不得从事电子认证服务。吊销电子认证许可证书的,应当予以公告并通知工商行政管理部门。
前引案例分析
被告某市银行是否应当承担责任,主要看造成资金被盗的后果是由于何种原因引起。网上银行交易中使用密码的行为,应视为原告本人的行为。原告杜某有义务对密码保护负责,发生网上银行被盗的情形与原告未能妥善保管密码有直接关系,应由其对密码的使用承担责任。在被盗的过程中,还要看被告银行是否存在过错,也就是银行的系统是否存在瑕疵导致王某利用盗窃的证书转账。在本案中,原告没有证据证明被告银行存在过错,故法院判决银行不承担责任,驳回原告起诉。但在类似案例中,也有人认为银行作为技术优势方不能保障其系统安全性,也应承担部分责任。
本章小结
电子认证的目的是防止假冒电子签名人,是特定机构对电子签名及其签署者进行验证的服务,主要应用于交易关系的信用安全方面,保证交易人的真实与可靠。它是一种组织制度上的保证。电子认证可以分为个人证书、服务器证书、代码签名证书、网站证书和单位证书,等等。
电子认证主要包括签名方、依赖方和认证机构三方。电子认证法律关系,也就是这三方之间的权利义务关系。
我国对于电子认证机构采用强制许可制度,并对电子认证服务应当具备的条件以及法律责任作了相应的规定。
1.据报道,有人假借微软公司的名义对着名的数字安全证书公司VeriSign 进行了欺诈活动,使其颁发了两个带有微软公司名字的数字证书。这两个证书有可能被一些别有用心的人用来传播病毒和其他恶意攻击程序。他们可能会利用得到的数字证书,将自己的攻击程序伪装成微软公司的软件传播出去。
VeriSign 公司于今年1月29日和30日向一名自称是微软员工的人颁发了两个数字证书,而事实上这个人根本不是微软公司的员工。由于数字证书的主要用途就是在电子商务和通讯中证明各方的身份,因此一旦有人非法得到了证书,后果将非常可怕。举个例子,你可以在发送电子邮件的时候将自己的数字证书一同发出去,这样收信人就知道这封信的主人是否真实可靠。同样道理,你可以在软件代码和其他信息里附上你的数字证书,这样接收方就会毫不怀疑地认为接收你的信息了。
试分析:假设持有证书的这个人以微软公司员工的名义传播恶意软件,谁应当承担责任?
2.2005年8月,王某申请了市商业银行的网上电子银行数字证书,在网上从事转账、网上交易等活动。该数字证书是由某市天地数字认证中心受市商业银行委托签发的。郭某是王某的同事,同时也是一名电脑高手。他利用自己的技术制作了与王某同样的数字证书,并使假的证书具有同真证书同样的功能。这些情况,王某均不知情。之后,郭某辞去公司职务,在离开之后用该数字证书将王某十多万元存款转出后,逃之夭夭。
讨论分析:
1.该案中有几种法律关系?
2.对于王某而言,可以要求谁承担法律责任,理由是什么。
3.郭某应当承担什么责任?
