作者:陈韶光
北京市法学会电子商务法治研究会 监事长
北京天威诚信电子商务服务有限公司 董事长
摘要:
《中华人民共和国电子签名法》被称为“中国首部真正意义上的信息化法律”,极大地促进了电子商务在我国的快速发展。这其中,电子认证服务起到了不可磨灭的作用。但实践中,对电子认证服务的理解和认识还存在很多误区和不足。本文从对电子认证服务的行政许可、运营监管、业务承接、过错推定责任承担等方面澄清电子认证服务的本质,综合呈现电子认证服务的公信力。
关键词:
可靠的电子签名、电子认证服务、过错推定责任、业务连续性
正文:
2005 年 4 月 1 日《中华人民共和国电子签名法》(以下简称“《电子签名法》”) 施行,明确了可靠的电子签名与手写签名或者盖章具有同等法律效力。目前,可靠的电子签名是依托 PKI/CA 实现的,是需要第三方认证的电子签名形式。依据《电子签名法》第十六条:“电子签名需要第三方认证的,由依法设立的电子认证服务提供者提供认证服务。”的规定,我国开始对电子认证服务行业实施行政许可。
PKI(public key infrastructure)公钥基础设施,从技术上解决了网络通信安全的种种障碍,CA(certificate authority)认证中心,即电子认证服务提供者,从运营、管理、规范、法律、人员等多个角度综合解决网络信任问题。
为保障电子认证服务能够有效地解决网络信任问题,法律、法规、部门规章等从电子认证服务机构的设立、参与电子认证服务有关各方的权利、义务、责任,以及电子认证服务的保障措施等多方面进行了规定,综合呈现了电子认证服务的公信力。
一、电子认证服务机构的设立需要符合法定条件,并且取得相关行政许可资质。
依据《电子签名法》、《电子认证服务管理办法》和《电子认证服务密码管理办法》的规定,从电子认证服务机构的注册资本、从业人员(包括:从事电子认证服务的专业技术人员、运营管理人员、安全管理人员、客户服务人员)的人数及岗位技能要求、经营场所、物理环境等均应当符合法定条件。
电子认证服务机构提供认证服务的系统、技术和设备等,必须按照国家密码主管部门的要求建设,接受主管部门的安全性审查和运营服务的监督检查,并最终需要同时取得国家密码管理局颁发的《电子认证服务使用密码许可证》及工业和信息化部颁发的《电子认证服务许可证》,方能对外开展电子认证服务。
二、电子认证服务提供者提供认证服务应当接受主管部门的监督、检查,重要信息需要履行备案、报告手续。
工业和信息化部对电子认证服务机构进行定期、不定期的监督检查,监督检查的内容主要包括法律、法规的符合性、安全运营管理、风险管理等。
电子认证服务机构制定的电子认证业务规则和证书策略,应当符合工业和信息化部公布的《电子认证业务规则规范》等要求, 并在提供电子认证服务前予以公布,接受公众监督,同时向工业和信息化部备案。
取得许可资质的电子认证服务机构,在许可有效期限内不得降低其设立时所应具备的条件,并按要求将认证业务开展情况报告、财务会计报告等有关材料如实向工业和信息化部报送 。当电子认证服务机构出现重大系统或关键设备事故、重大财产损失、重大法律诉讼、关键岗位人员变动等情况时,亦应当及时向工业和信息化部报告。
三、电子认证服务机构应当保证电子认证服务业务的连续性。
依据《电子签名法》和《电子认证服务管理办法》的规定,电子认证服务机构拟暂停或者终止电子认证服务的,应当在暂停或者终止电子认证服务九十日前,就业务承接及其他有关事项通知有关各方;应当在暂停或者终止电子认证服务六十日前向工业和信息化部报告,并与其他电子认证服务机构就业务承接进行协商,作出妥善安排。未能就业务承接与其他电子认证服务机构达成协议的,应当申请工业和信息化部安排其他电子认证服务机构承接其业务。
电子认证服务机构有义务根据工业和信息化部的安排承接其他机构开展的电子认证服务业务。
四、在法律责任承担上,对电子认证服务机构适用过错推定责任原则。
过错推定责任,是过错责任原则的一种特殊形式。过错推定责任仍以过错作为承担责任的基础,只在行为人不能证明他们没有过错的情况下,推定行为人有过错,应承担赔偿损害责任。凡在适用推定过错责任的场合,行为人要不承担责任必须就自己无过错负举证责任。
《电子签名法》第二十八条规定:“电子签名人或者电子签名依赖方因依据电子认证服务提供者提供的电子签名认证服务从事民事活动遭受损失,电子认证服务提供者不能证明自己无过错的,应当承担赔偿责任。”对电子认证服务机构适用过错推定责任原则,加大了对电子签名人及电子签名依赖方的法律保护。
综上所述,电子认证服务是依托现代信息技术及密码技术,遵循现行法律、法规标准,保障电子签名的可靠性、数据电文的真实性、合法性,实现解决网络信任问题。