认证机构的义务大致可概况为以下几方面:安全、真实、及时、公开、谨慎、保密等方面。安全是认证机构服务的宗旨性目标,同时也是其义务,譬如使用可靠性系统,就是安全义务的体现。真实、谨慎,是针对用户对外资料的审查核实与公布而言的,也是对证书信赖人负责的作法。公开认证机构自身及用户的应予发布的信息,是其业务规则之一。保密则是对用户的不宜泄露的信息而言的。
一、 电子商务认证是一种信用服务
认证机构并不向在线当事人出售任何有形商品,也不提供资金或劳动力资源。它所提供的服务成果,只是一种无形的信息,包括交易相对人的身份、公共密钥、信用状况等情报。虽然,这些信息无法直接以具体的价格来衡量,但它是在开放型电子商务环境下进行交易所必须的前提性条件,并且是交易当事人所很难亲自获知的。与一般信息服务所不同的是,认证机构提供的是经过核实的,有关电子商务交易人所关心的基本信息。实际上它是关于交易当事人的事实状况的信息,通常包括交易人是谁、在何处、以何种电子签名方式与之交易,其信用状况如何等。因此,认证是一种信用服务,它与目前存在的信用评级公司所从事的业务有些类似。所不同的是,信用评级是一种任意性的商誉,其广告作用甚为明显,当事人可自愿采纳,信用评级公司一般不负法律责任(起码从我国的情况看)。而认证证书内的信息,则是经过核实的真实的资料,并且认证关系的直接当事人,即认证机构和证书用户,应共同对证书信息的真实性负法律责任。
在传统交易环境下,交易当事人最关心的问题是谁先履行合同。一般来说,先履行义务者风险较大。而在电子商务环境下,交易人则首先要考虑的是,正在与何人进行交易,其信用如何。没有电子商务认证体系为依托,开放型电子商务就失去了生存环境。这是开放型电子商务的自身特征所要求的,也是必须以技术和法律方式给予全面解决的问题。电子认证服务的成功与否,直接影响着电子商务的全球化的推广进程。这也是联合国贸法会以及各国之所以积极组织起草电子商务法的原因所在。
二、认证机构与证书持有人之间的关系
(一)认证关系的产生
认证机构所提供的在线服务,一般是以合同为基础的。或许将来电子认证技术达到了十分可靠的地步,法律或法规可能要求特定的交易必须以认证方式进行。但是,截止目前,尚未出现强制认证的情况。并且按照联合国《电子商务示范法》"技术中立"与"媒介中立"的原则来看,这种强制是有失公平的。所以,一般而论,电子商务认证是以认证机构与证书持有人之间的合同为基础,而产生的服务关系。
电子商务认证机构一般是以中立的、可靠的第三方中介人出现,为交易双方或多方提供服务的。因而,在认证法律关系中至少有买卖双方,以及认证机构参与。换言之,认证法律关系涉及多方当事人。在有些复杂的交易或服务关系中,交易当事人可能会更多些。譬如,在以信用卡在线电子支付进行的交易中,认证机构不仅要向买卖双方相互间提供身份认证,而且还要对发卡银行、收付机构四方当事人之间提供认证服务。
(二)关于认证关系性质的争议
1,信托关系说
"就其性质而言,认证机构处于承担着与银行相类似责任的监管人或受托人的地位"(1)。该种观点是从英美法理论出发的,其着眼点主要在于,认证机构对用户应负的注意义务。但其缺陷是未能照顾到认证机构对证书信赖人所负的,公正的发布信用信息的义务。认证机构虽然并未因其服务而接收证书信赖人的报酬,却同样要负起诚实发布信息的义务。换言之,认证机构对那些不是委托人或受益人的信赖人,也负有义务。从信托关系说角度,难以解释此点。
2非信托关系说
非信托关系说认为,"机动车辆部门不是其颁发执照的司机的代理人,并且雇主也不会同意作其颁发了工作证章的雇员的代理人。同样,认证机构通常不愿对用户起到代理人或信托人的作用(除非法律另有规定)"(2)。然而,从实际交易看,认证机构并不参与在线用户数字签名交易之中,即它不是该种交易的当事人。在这种情况下,认证机构的"证书业务声明(CPS)"通常会规定,在认证机构与用户之间不存在委托与信托关系。
3,专业信用服务说
非信托关系说,有其合理性,只不过该观点就此而止,没有进一步说明其性质。而"专业信用服务"说,则是笔者对认证关系性质的理解。就认证机构所提供的是信用信息服务而言,容易认识。问题在于认证机构与证书信赖人之间,有可能事先并不存在服务合同关系(如果交易一方不是证书用户,或不是本地区、本国的证书用户的话),那么其间是以何种法律关系为基础而产生权利义务的,就会产生疑义。作者认为认证信用服务,并非一般的实现某种商品使用价值的服务,而是专业化的商业信誉方面的服务,如同医生对于病人,他们都负有职业上的特殊的义务。医生对于需要急救的病人,虽然事先未曾建立服务合同关系,但必须立即进行救治,履行职业上的义务。此种职业上的义务,实际上是一种社会责任。认证机构对于信赖证书的交易人,应承担公正信息发布义务,而不因未接收其服务报酬,而偏袒与之建立了服务合同关系的证书用户一方。相反,其义务的主要接收方(或称受益方),是信赖人。这一点在认证机构因证书信息虚假,而需要向信赖人承担责任时,体现得最为明显。任何一个认证机构都应清楚,证书信息的公正性,是其业务存在的根本条件,舍弃此点,该机构就没有必要存在。另外,从其营业目的上看,认证机构属于公用企业,以向全社会提供电子商务交易信用为己任,并非单纯追求盈利的企业。其服务费用的收取,也只是以微利为原则,而不能受高额利润的引诱。作为一种特许的营业,认证机构的成功,来自于规模化的经营业绩,而决不能依靠向单个用户收取高额服务费,来维持其经营。
从合同法原理上讲,认证机构与证书用户之间存在着服务合同关系。该类合同属双务、有偿、要式合同(大部分为格式化的)。从认证合同的订立过程来看,要约方一般是证书的申请者,而承诺方一般是认证机构。新增用户合同的要约和承诺过程,多在离线状态进行,部分资料亦可在网上传递。
三、认证机构与证书信赖人之间的关系
所谓证书信赖人,是指相信电子签名证书,并以该证书上所确定的证书拥有人为交易对方,而进行交易的当事人。证书信赖人本身可能是,也可能不是认证机构的用户,他与认证机构,要比用户与认证机构之间的关系更为复杂。当证书信赖人不是认证机构的用户时,他与认证机构之间并无服务合同存在。但是,当他利用证书而与证书用户交易时,却又成为了证书服务关系中的对象,并且,认证机构在特定情况下还要对之承担责任。因此,有必要专门论述二者之间的关系。
(一)认证机构与信赖人关系的分类及其分析
在开放网络环境中,认证机构与证书信赖人之间的关系较呈现为多种形态,其具体情况要以电子商务交易当事人与认证机构的关系而定,大致有以下几种。
1,社区认证服务型
即交易双方当事人均为某认证机构的证书用户。此时,交易双方也同时都是证书信赖人,具有双重身份,并且认证机构并不是交易关系中的直接当事人,而只为其交易提供信用服务。这是一种典型的社区性在线认证服务,也是较为普遍的认证服务形式。
此种认证机构与其信赖人(同时都是用户)之间的关系,比较清晰,因为他们与认证机构之间的关系,都是以认证服务合同为前提而形成的。需要注意的是,不能因为这类用户本身与认证机构事先存在着信用服务合同关系,就忽视了其作为证书信赖人的地位。他们不仅能以证书用户的身份享有权利,同时,也可以证书信赖人的身份,要求认证机构履行谨慎从事的义务。
2,单方证书用户型
当交易一方是认证机构的证书用户,而另一方则不是认证机构的证书用户时,就是所谓"单方用户型认证关系"。此时,非证书用户是证书的信赖人。此种关系,多发生于消费型交易,而其中的消费者又没有登记为证书用户的情况。
在上述关系中,证书用户(一般为商家)是以服务合同与认证机构建立了信用服务关系。而非证书交易人(一般为未申请证书的消费者),则是典型的证书信赖人,是依照认证机构的特殊职业义务,因交易关系的进行,而与认证机构之间形成了信赖其信用服务的关系。认证机构的特殊职业义务,就是其向社会提供公正的交易信用服务的义务(或称社会责任),是特许之共用企业所应负的职业责任。
3,交叉认证关系
实践中还有一种情况,即虽然交易双方都是认证机构的证书用户,但其证书是由不同的认证机构分别颁发的。此种证书交易关系,可能在本地区发生,而在国际贸易中出现的可能性更大。本地区证书用户者,如持工商银行证书的用户与持中国银行证书的用户进行交易;跨国用户者,如持美国证书的用户与持中国证书的用户进行交易,即属此类。这就是所谓的交叉认证关系。该关系需要由各国或各认证机构之间的交易认证协议来解决,以便相互确认对方证书的有效性。同时,本地认证机构经过交叉认证之后,要替对方的认证机构,对自己的证书用户,负信赖证书的责任。这种关系更为复杂,它涉及到认证机构的外部结构,需要由国际之间的,或认证机构之间的协议予以协调。譬如,德国、马来西亚的《数字签名法》、新加坡的《电子交易法》,都专门规定了对外国电子证书的认可条件。
(二)证书信赖人的义务与选择
证书信赖人虽然不一定事先与认证机构存在合同关系,但他是认证关系的受益方之一。要求其承担相应的义务,是保障其利益的前提条件。贸法会〈电子签名统一规则(草案)〉第11条规定,相对方(即证书信赖人)如不能履行下列行为,应承担法律责任:(1)采取合理的步骤确认签名的真实性;(2)在电子签名有证书证明的情况下,采取合理的步骤:A,确认证书是否合法有效、被中止签发、或被撤销;和B,遵守任何有关证书的限制。
上述义务说明,对电子签名的信赖必须具有合理性。交易当事人应根据具体的环境,对所接收的电子签名的合理性及其程度,予以谨慎确认。电子签名的有效性,并不取决于相对方的行为。但相对人不能因此而草率行事。它是与签署人、证书机构的义务相对应的,并且是三者之间划分责任的依据之一。
证书信赖人对于交易相对人电子签名证书的使用,一般应在所建议的可靠程度内给予信任,并以此进行交易。但这只是一种任意选择权,作为证书信赖人的交易一方,可作出自己的判断,并承担相应的法律后果。
