1.归责原则。认证机构的法律责任可能是侵权责任,也可能是违约责任,由于两者的性质不同,所以归责原则的选择上也会不同。因此笔者认为基于归责原则的多样化,立法上必须加以区别对待:
(1)违约责任归责原则。电子认证机构根据证书申请人的申请向其签发认证证书,那么,证书申请人就与认证机构基于要约和承诺形成了法律上的合同关系。如果认证机构与证书申请人之间发生纠纷,双方均可根据合同条款提起法律诉讼。 学者们多数认为应采取过错责任原则,理由是认证机构正处于发展之中,不宜让其承担过大的风险。但笔者认为采取过错推定原则为宜。首先,虽然认证机构是新兴的服务机构,法律制度的设置给予一定的保护是合理的,但这只能够限定在一定的范围之内。相对人的利益也应该纳入我们的考虑范围之内。如果我们只考虑问题的一个方面,忽视或者轻视了另一个方面,也许都不利于扶持电子认证机构的发展。这是因为,如果对认证机构的保护是以对证书用户的损害为代价,那么这种保护只能是形式上的,实际上并不真正有利于这些电子认证机构,因为它必然会导致人们对电子认证并不安全的认识,从而影响电子认证市场的发展。其次,从法律经济学的角度上看,认证机构与证书申请人之间的信息是不对称的。认证机构拥有比申请人更加多的信息(资源),因此认证机构更具有优势,把资源分配给最有优势的人是有效率的。
但是基于公平原则的考虑,法律必须对这种天然的不平等加以矫正。最后,归责原则和法律责任是紧密相连的,法律上对认证机构给予责任限制的保护,因此再在归责原则上给予倾斜是没有必要的。
(2)侵权责任的归责原则。各国法律几乎都有明确规定,经批准合法成立的电子认证机构,在对证书上所记载的申请人签发电子认证证书时必须保证:该认证证书无认证机构所知的虚假信息;该证书合乎法律规定的所有实质要件;该认证机构于签发此证书时无逾越其许可的限制。由此,如果认证机构违反上述法定的保证义务,致申请人受到损害,即使申请人与认证机构之间所签订的合同并无如此约定,申请人仍然可以依法向认证机构请求损害赔偿。笔者认证机构的侵权行为的性质与一般的侵权行为没有太大的区别,因此认为适用过错原则是比较合理的。
2.违约形态和赔偿范围。 认证机构的违约形态一般是不完全履行。不完全履行是指债务人虽然履行了债务,但其履行不符合债务的本旨。 认证机构的违约责任大多是由于身份认证差错而对申请人造成损失。关于赔偿范围问题,犹他州签名法规定如果损失是由于证书的错误陈述造成,认证机构只对直接损失负赔偿责任,免去了间接损失和惩罚性赔偿,也免去了利润、利息和精神痛苦的赔偿。但华盛顿州的电子签名法并没有排除“利润、利息、或者机会利益的赔偿”条款。笔者认为,华盛顿州的做法比犹他州的做法更加合理。我们不难看出,犹他州的违约责任的赔偿范围与一般的侵权责任没有区别(在不存在精神赔偿的情况),这完全混淆了两者的法律性质。合同是双方当事人的合意,因此对违约责任的赔偿范围也应该相对宽松,否则违背了意思自治这一基本原则。我们不应该在法律上刻意缩减认证机构的赔偿范围,我国认证机构的违约责任的赔偿范围应该与《合同法》所规定的违约责任赔偿范围相一致。同时,我们也要考虑到申请人难以进行集体谈判,因此谈判能力较认证机构薄弱得多,在谈判中往往处于被动的境地。所以为了防止认证机构滥用其经济上的实力损害申请人的利益,应该引入法定违约金,作为证书的默认条款。[page]
3.民事赔偿责任限制制度。责任限制制度是海商法上的特有制度。航运产生之初,由于造船等技术的落后,船东要承担巨大的风险,因此为了限制船东的债务,鼓励航海事业的发展,从而创立了责任限制制度。海商法的责任限制包括单位责任限制和综合性责任限制。笔者认为,在网络商务的起步阶段,为扶植认证机构的发展而给予其某些特别保护,应当是非常必要的。如果让提供电子认证服务的机构承担过大的执业风险,将会挫伤认证机构的积极性,从而不利于电子商务以及其他电子交易的发展。因此我们认为应该大胆引进责任限制,国外的立法给予了我们最好的例证。笔者认为责任限制制度的内容应该包括下列内容:
(1)责任主体。这里的责任主体仅指根据法律可以限制自己的赔偿责任的人。除认证机构适用责任限制外,笔者认为,为了保护整个电子票据交易系统的安全,应该把责任主体范围扩展。责任主体应该包括认证机构雇佣人、证书持有人、证书申请人、证书接受人、或者证书信赖者、及其他证书使用相关的人。
(2)责任限制权利的丧失。如经证明损失是责任人故意或明知可能造成损失而轻率地作为或不作为造成的,责任人无权援引限制赔偿责任。例如认证机构与第三人串通发出了认证证明书,致使经营者信任证明书的可靠性而做了交易因此遭受了损失的,可以依据民法的规定追究认证机关的民事责任,认证机构不受责任限制的保护。
(3)责任限额,即责任主体依法对所有限制性债权的最高限额,而限制性债权是指责任主体可根据责任法律限制其赔偿责任的债权请求。确定责任限额的方法一般有如下两种:一是如海商法那样,规定一个固定责任限额;一是采用浮动责任限额,以每次认证行为所涉及的交易金额或申请人交纳的费用的一定比例确定。但要核定认证行为所涉及金额的大小是相当困难的;而另一方面,申请人交纳的费用与损失通常是没有必然联系的。相比之下,固定责任限额更可取。
(4)责任基金制度。犹他州电子签名法要求认证机构在注册时必须向犹他州的商务部提供适当的担保,这项担保确保因信赖受损害当事人获得一定的补偿。笔者认为这一制度极有借鉴意义。认证机构在电子票据交易,甚至整个电子商务的交易系统中都处在核心地位。一旦认证机构出现问题,交易系统就有可能崩溃,因此必须保证认证机构的正常运作。所以引进责任基金制度是有必要的。
[page]责任基金是指责任主体要求限制责任的申请一经法院审查认可,就须向法院提交一笔与责任限额等值的款项,作为分配给所有限制性债权的基金。责任主体设立责任基金后,向责任主体提出限制性债权的任何人,不得对责任人的任何财产行使任何权利;已设立基金的责任主体的财产被扣押,法院应该及时下令释放或退还。
4.交叉认证的法律责任。不同的认证机构产生不同的认证机构的用户群体,形成各自不同的封闭性的信任环境,这种状况无疑会对电子票据的发展造成较大的影响。因此,不同认证机构颁发的数字证书实现互通是必然的要求,而实现数字互通的主要手段主要是依靠交叉认证,通过交叉认证,使得不同认证机构的证书用户可以互相识别对方的证书,从而能够识别对方的身份,保障电子交易的安全。
