关键词: 电子签名 电子认证机构 消费者 权益
内容提要: 为保护消费者权益,增加电子签名认证的被信赖度,在未经授权签名的情况下,私钥持有者应享有一定的责任限制。在电子认证业务上,电子认证机构应权衡有效的市场营销与清晰的信息通道之间的成本与收益,如因关联单位、黑客攻击、设备或网络故障等造成的技术故障不宜断然作为电子认证机构的免责理由。面对电子认证机构在纠纷发生时的实际举证优势,有必要出台一套有助于提升用户举证地位的简便方案。
近十余年来,国际上各主要国家和地区都制定了关于电子签名的法律,而在我国,作为信息化领域里的第一部法律,《电子签名法》自2005年4月1日起施行,与其相配套的《电子认证服务管理办法》也于同日实施。目前国内被批准的电子认证机构达100多家。但问题是,《电子签名法》与《电子认证服务管理办法》已实施近四年,为何我国的电子认证业务仍步履维艰、和者寥寥?除大众认知度不高、B2B市场发展缓慢和技术不成熟等原因外,相关法律机制本身是否也存在某些没有或难以解决的痼疾?法律规则设计的基点并不在于精巧和严密,而是能否给参与者以实际的利益。在目前的电子签名认证机制中,用户在数字证书吊销前承担未经授权签名的所有责任,意思自治原则被法律和电子认证机构所异化,用户在举证上的弱势地位这三个简单而最基本的问题一直未被重视甚至未予提及。本文拟就这些涉及消费者权益保护的法律问题作一探讨,以求教于同仁。
一、未经授权签名情形下的责任分担
电子签名与电子认证是一个问题的两个方面:在电子商务中,双方使用电子签名时,往往需要第三方(电子认证机构)对电子签名人的身份进行认证,向交易对方提供信誉保证。那么,在发生未经授权签名的情形时,该如何进行责任分担,此为电子签名认证中一个最为棘手的问题,尤其在欺诈情况下最为人们所关注。一个欺诈者可能窃取某人的私钥并生成电子文件,而他人则可能基于这种表面上有效的文件与之订立合同从而被骗受损。在这种情形之下,该项损失应由谁承担?对此,我国《电子签名法》第32条仅规定,伪造、冒用、盗用他人的电子签名,构成犯罪的,依法追究刑事责任;给他人造成损失的,依法承担民事责任。在有纸世界中,交易的一方通常不受欺诈性签名的约束。然而,该原则在电子环境中不可能完全适用。因为公钥基础建设(PKI)的完整性依赖于私钥的安全性,如果私钥持有者为该私钥的欺诈使用不承担任何责任,其也许就不会充分维护私钥的安全性。各国的相关立法对此也深有所虑,并予以明确规定,例如马来西亚《数字签名法》第43条、美国犹他州《数字签名法》第305条、我国《电子签名法》第15条等明确规定了私钥持有者的妥善保管义务。
那么,私钥持有者应承担多大的责任?根据国内外电子认证机构的通行做法,电子认证机构因自己的原因(如证书信息与用户提交的信息资料不一致,使用户无法正常验证证书状态)导致用户利益受损的,其对所有当事人实体(包括但不限于用户、申请人或信赖方)的合计责任不超过证书适用的责任封顶,而用户应当承担在证书吊销之前所有使用数字证书而造成的责任。各国和地区的法律(如美国犹他州《数字签名法》第309条、马来西亚《数字签名法》第61条、新加坡《电子交易法》第45条、我国香港《电子交易条例》第42条等)也规定,在出现虚假或伪造的数字签名时,如电子认证机构遵守了法律的要求,则对因信赖虚假或伪造的数字签名所导致的任何损失,不承担任何赔偿责任。这意味着,一个因疏忽而遗失了私钥的人应承担无限责任。此种责任分担规则无疑增加了消费者面对巨大损失的负担。有学者对此戏言:“奶奶选取了一个密码,却失去了她的房子。”[1]
电子签名立法能够并且应该实现以下两项目标:一是排除电子商务实际的和可预见的障碍;二是通过建立在线交易当事人所需的“信任”和“可预见性”以实现和促进电子商务良好的公共政策目标。[2]然而,迄今为止,各国的电子签名立法均将重心放在上述第一项目标的实现上,即如何使数据电文、电子合同、电子证据、电子签名等获得法律的认可,而对于上述后一项目标则显得过于轻忽。
我国的《电子签名法》和《电子认证服务管理办法》对未经授权签名情形下的损失分担均未有规定。其中,《电子签名法》第27条仅规定:“电子签名人知悉电子签名制作数据已经失密或者可能已经失密时未及时告知有关各方、并终止使用该电子签名制作数据,未向认证服务提供者提供真实、完整和准确的信息,或者有其他过错,给依赖方、认证服务提供者造成损失的,承担赔偿责任。”但问题是,电子签名人未及时通知的后果是什么?由此造成自己的损失是否应由自己承担全部责任?是否应规定一个通知期限和责任承担限额?
欧盟《电子签名指令》第6条虽然规定了详细的责任规则,但这些规则仅适用于“资格证书”。即电子认证机构对任何合理信赖资格证书的人负责,并对自己无过失负举证责任。但是,通过对各个证书分派一个责任上限,电子认证机构即可限定自己承担的与发放的证书相关的任何责任请求。然而,该条规定对其他人(包括普通电子证书的提供者)的责任没有作出规定,由此亦可得知欧盟的双轨制方法是非常明显的:被规范的高级电子签名证书的提供者面临一种较严格的责任标准,但可得到赔偿数额限制;普通电子签名证书的提供者则根据国家责任规则承担相应的责任。相反,美国《电子签名法》没有触及电子签名的责任问题,唯一的例外是在该法第101条限定了保险代理人和经纪人的责任。[3]根据美国《电子签名法》第101条(j)款的规定,依当事人指示行事的保险代理人和经纪人,以电子记录或电子签名形式订立合同的,在下列情况下,可以不对当事人依合同同意的电子程序中的任何缺陷承担责任:代理人或经纪人没有疏忽大意或故意的侵权行为;代理人或经纪人没有参与该电子程序的开发或确立;代理人或经纪人没有违反该电子程序的行为。
由于电子签名的责任问题悬而未决,欧美的相关法律也没有提供一个特别有助于促进电子签名使用的法律框架。欧盟《电子签名指令》所设计的上述双轨制方法,为欧洲的电子签名服务提供者制造了一个待遇有别的“竞技场”。无独有偶,美国《电子签名法》除了因为政策上的考虑而对保险业存有例外,甚至根本没有处理电子签名的责任问题。[page]
构建一种足够妥适的电子签名的责任承担方案,以便消费者使用电子签名以及为商家提供必要的服务从而使商家与消费者之间形成一种“零和关系”或利益平衡,本身就是一项复杂的系统工程。然而,尽管存在可以预计的困难,这种对电子签名法律中极为突出的责任问题的轻忽仍然是令人失望的。仅仅赋予电子签名文件以普通的法律认可是不够的,因为如果电子认证机构受到黑客攻击而瘫痪或因破产而无力维护安全,这种敏感而重要的电子签名文件就没有什么用处了,消费者将遭受重大风险并失去对电子签名的信心。对此,笔者认为,可能的解决方案有如下三种。
第一,如果欺诈者明显得到了电子认证用户的授权,或窃取行为因用户的重大疏忽或欺诈而实质上得到了帮助,则有关损失由用户承担。用户有妥善保管电子签名制作数据之责,如其知悉电子签名制作数据已经失密或者可能已经失密时,应当及时告知有关各方,并终止使用该电子签名制作数据,对其一切授权(明示或默示)使用的电子签名承担责任。至于用户的欺诈或重大疏忽,应由认证机构负责举证。“重大疏忽”一般是指电子签名制作数据遗失或泄密时未及时通知认证机构,同时还需结合电子认证机构与用户订立的有关电子认证证书合同安排的相关条款予以解释。
第二,参照国外电子资金划拨业务的做法,[4]使电子认证用户的责任在一项电子签名认证中也受到一定的限制。当然,损失风险具体如何分担,用户的通知期限和责任承担限额究竟以多少为宜,这应是我国立法部门必须予以斟酌的。有学者建议,虽然电子资金划拨与电子签名认证有较大不同,但似可借鉴美国华盛顿州《电子认证法》的做法,即如果银行没有认真检查冒充他人并得到证书的恶意第三人的信用证,让该人凭此证书从银行提走了款项,电子认证机构将对该损失在其证书的可靠限度内负责。[5]应该注意的是,美国华盛顿州《电子认证法》中所涉“银行”无疑兼具认证机构和信赖人两种身份,而电子认证机构的责任限额事实上又是针对电子认证机构本身的过错导致签名人或信赖人损失而确定的,且不同证书(机构证书、个人证书、服务器证书等)的责任限额也不一致;同时,欲确定银行是否履行谨慎的审查和认证之责,确定电子签名的来源及其在传送中没有被修改或替换,至少在表面上还涉及较为复杂的证明程序,因此还不如直接为用户设置一个适当通知情形下的责任限额来得简便。
第三,在我国工业和信息化部之下设立诸如“电子签名认证业申诉委员会”的独立机构,由经授权的专业调查员对相关事宜进行调查,并可责成电子认证机构给予受损用户一定数额的补偿。如果将用户起诉电子认证机构视为一种平行的民事救济途径,则用户通过消费者组织申诉在某种程度上是一种自下而上的救济手段,而在我国国情下,用户求助于经充分法律授权的专业调查员这种自上而下的救济方式可能更为有效,也更具专业性。
二、电子签名认证中的意思自治
私法自治是民法的基本原则之一,以合同自由、所有权自由及遗嘱自由为其主要内容。[6]可见,意思自治是私法自治的核心内容,也是市场经济的基本原则。合同自由和合同正义是合同法的基本原则,必须相互补充、彼此协力。“政府”不再是中立的旁观者,必须扮演积极的角色,通过立法及法律的解释适用,使合同自由与合同正义获得最大的调和。[7]在处理电子签名认证内部关系上,国际上广泛给予了相对宽松的政策环境,即由市场本身去解决电子认证机构、电子签名人、信赖人之间的权利义务关系,从而贯彻意思自治原则。联合国国际贸易法委员会《电子签名示范法》第5条明确规定:“本法的规定可经由协议加以删减或改变其效力,除非依据所适用的法律,该协议无效或不产生效力。”联合国国际贸易法委员会对该条的解释是,该条不应被曲解为允许当事人减损强行法的效力;同时,虽然各国可以限制当事人约定权利义务的自治权以免影响第三方的合法权利,但也不鼓励各国制订限制当事人意思自治的强行法。[8]可见,联合国国际贸易法委员会在处理当事人意思自治与强行法之间的关系上持谨慎的态度,并将该问题交由各国自己去解决。而在如何协调电子签名认证市场的自治与政府的监管上,各国的侧重点似有不同:美国和英国采取市场自律方法,而德国和法国则倾向于严格的监管。[9]
我国《电子签名法》借鉴了国际通行做法,在以强行法并通过功能等同方法规定了电子商务具有传统商务同等效力的同时,赋予了当事人较大的自治权以保持法律的灵活性。我国《电子签名法》似乎将当事人意思自治与强行法的关系完美无缺地结合起来了,但实际上并非如此。该法将数据电文发送人确定、发送与接收的时间和地点、电子认证机构与电子签名人的权利和义务甚至电子签名的可靠性条件等问题均列入了当事人意思自治的范围,似有矫枉过正之嫌。如我国《电子签名法》第13条(移植自联合国国际贸易法委员会《电子签名示范法》第6条)规定了构成可靠电子签名的4个条件,即电子签名制作数据用于电子签名时,属于电子签名人专有;签署时电子签名制作数据仅由电子签名人控制;签署后对电子签名的任何改动能够被发现;签署后对数据电文内容和形式的任何改动能够被发现。另一方面,其第13条又允许当事人约定电子签名的可靠条件。有学者指出,这样可能会造成电子签名应用中的混乱,在判断究竟什么是可靠的电子签名上没有一个统一的标准,不利于保护当事人的合法权益。[10]其实,允许当事人以协议排除法律对可靠电子签名的要求,与法理不合,也是对“当事人意思自治”的曲解。因为既然法律规定只有可靠的电子签名才具有与手写签名或者盖章同等的法律效力,则该种签名自然应具有比一般电子签名更为严格的条件和要求。倘若任由当事人降低电子签名的可靠性要求,使电子签名制作数据不属于签名人专有和控制、签名后对电子签名及数据电文内容和形式的任何改动难以被发现,则由此形成的数据电文的真实性就值得怀疑了,也很难被司法机关作为证据所采信,反过来又使得《电子签名法》第14条关于“可靠的电子签名具有与手写签名或者盖章同等的法律效力”的规定形同虚设。
电子签名认证中的意思自治原则被异化的另一表现是电子认证协议本身所造成的“价值剥离”。作为我国《电子签名法》的配套法规,《电子认证服务管理办法》第15条规定,电子认证服务机构应当按照原信息产业部2005年4月公布的《电子认证业务规则规范(试行)》的要求,制定本机构的电子认证业务规则(以下简称CPS),并在提供电子认证服务前予以公布,向原信息产业部备案。而《电子认证业务规则规范(试行)》对CPS的基本框架、主要内容和编写格式都有较明确的规定,国内各电子认证机构基本上也据此设计了自己的cPS,但在某些关键问题上却有意无意地免去了自己应承担的义务,而对免责事项又予以了细化甚至渲染。如针对《电子认证业务规则规范(试行)》规定的不可抗力条款,[11]除中国金融认证中心2008年3月制定的CPS外,国内其他认证机构都规避了“业务连续性和灾难恢复”的义务并极力扩展免责事由。如北京数字证书认证中心与天津电子认证服务中心分别于2005年7月和2006年12月发布的CPS第9.7.3条规定,由于客观意外或其他不可抗力事件原因,因中心的设备或网络等技术故障而导致电子签名认证证书签字延误、中断、无法签发,或暂停、终止全部或部分服务的,应当免除中心的赔偿责任。“技术故障”引起原因包括但不限于不可抗力、关联单位(如电子、电信通讯部门)而致、黑客攻击、设备或网络故障。可见,从该条既严密又宽泛之规定来看,很难想象认证机构还留有多少责任空间,由此,各认证机构长期以来出现门前冷落而少有问津的现象也就不足为奇了。对此,应该注意以下三点。[page]
第一,从原信息产业部《电子认证业务规则规范(试行)》仅规定各认证机构参照该规范编制各自的CPS并向原信息产业部备案来看,该规范属于推荐性的CPS范本,各认证机构自可决定其中条文的取舍。
第二,CPS往往以并入条款的形式而成为认证服务协议的最重要组成部分。只要电子认证机构向潜在的用户履行了充分提示和告知的义务,则其与用户之间的服务协议应属有效,因为在某种程度上来说,用户才是判断协议是否公平合理的最佳法官。在法律允许的范围内,被并入的信息应具有同样的效果,就像它被完全地表达于并入的信息一样。按美国1996年《数字签名指南》第1.15条的规定,如能确认将要被并入的信息、使接受方能完整地接近和得到并入的信息及表达它要成为合并信息的一部分,则某一信息可成为另一信息的一部分。实践中,各电子认证机构均在其首页上展示了其CPS,而且在数字证书申请责任书或电子认证协议书上说明“申请人需了解CPS中与证书相关的权利、义务、法律责任条款”或“未尽事宜以CPS相关规定为准”,并告知潜在用户登陆相关网站查询。因此,潜在用户在了解相关政策后可基于自愿作出是否申请证书的决定。
第三,因关联单位(如电子、电信通讯部门)而致、黑客攻击、设备或网络故障等造成的技术故障不宜断然作为电子认证机构的免责理由。电子认证机构能否因第三人(电子、电信通讯部门等)的原因而免责,应视造成该第三人服务终止或中断的原因是否为不可抗力而定。而黑客攻击、病毒入侵、设备或网络故障等造成的技术故障则不宜作为电子认证机构的免责事由,因为技术、设备和网络的维护和建设均应属于电子认证机构当然之义务。电子认证机构必须采取安全可靠的技术和严格高效的管理来保证自身的被信赖度,这也是其生存和发展的基点。诚然,电子认证机构将由此承担较大的技术风险,但这种技术风险可归于保险公司的“黑客险”或“计算机险”而得以分担。然而,由于黑客攻击、病毒入侵的风险客观上难以控制,加上风险信息的复杂性、保险技术标准的开发等原因,目前国内外开展此类保险业务的公司仍较为鲜见。[12]因此,保险公司相关业务的拓展同样面临着挑战与机遇。
三、电子签名认证中用户的证据地位
赋予电子签名文件以证明力对合法用户有何负面影响,这是一个值得探讨的问题。作为一种政策导向,为了使电子签名能够获得相当的证据价值,鼓励大众利用电子签名进而积极实现商务电子化,各国法律都不约而同地选择推定方式来处理电子证据的可靠性、完整性和关联性。各国法律都设制了这么一个推定:一个人持有一个用于签署一份文件的独特钥匙对,并以之签署了该份文件。如美国犹他州《数字签名法》第401条第3款规定,如果公钥是主管部门的储存库或其他承认的储存库中证书上列明的,且该证书在签署时未被撤销、中止或期满,则以公钥证实的数字签名,被推定用户是以承认信息的真实性并愿受其内容的约束的意愿而附加的。
可见,电子签名文件在某种程度上被赋予了与公证文书同等的证据力。倘若某人是欺诈性签名的受害者,但却让其承受该签名下的义务,那是不公平的。因为质疑该文件的人只能以明确而确信的证据才可克服该文件真实性的推定,如须证明电子签名不能通过参考认证机构颁发的证书予以证实,私钥合法持有者在签名时已丧失对该私钥的独占控制,对推定的依赖根据有关情况在商业上不合理等。相反,在有纸环境下,一个人只需简单地凭视觉(特殊情况下凭笔迹鉴定)以否定是其真实签名即可克服一份纸面签名文件有效性的推定。因此,赋予电子签名文件以此种地位无疑对辩驳电子文件有效性的欺诈受害者(该文件以受害者的私钥签署)造成了一种不合理的证据负担。
我国《电子签名法》没有明确规定证据倒置规则,但借鉴欧盟《电子签名指令》第6条[13]的规定,在其第28条引进了过错推定原则规定为:“电子签名人或者电子签名依赖方因依据电子认证服务提供者提供的电子签名认证服务从事民事活动遭受损失,电子认证服务提供者不能证明自己无过错的,承担赔偿责任。”该条规定得到了不少学者的称许。[14]然而,虽然该条规定本身并无不当,甚至在表面上似乎扭转了用户的举证弱势地位,但在实际操作上并非如此简单。一方面,众所周知,几乎在所有情况下,如电子签名过程中某个环节出错或电子签名受到质疑、电子签名制作数据被黑客窃用等,用户往往缺乏足够的资源来证明自己的陈述。原因在于,所有相关验证数据和其他认证信息是由电子认证机构记录和保存的,这也是我国《电子签名法》第24条和《电子认证服务管理办法》第18条所规定的电子认证机构的义务之一,甚至加/解密密钥对一般也是由认证机构生成、备份和恢复的,何况“具有符合国家安全标准的技术和设备”及“具有国家密码管理机构同意使用的证明文件”都是电子认证机构的资质条件。另一方面,虽然我国《电子签名法》将举证责任加诸电子认证机构,但一旦发生争议,认证机构若要证明认证技术和密码使用符合国家标准,存储介质安全可靠,系统运作正常,信息未被内部人员泄密,认证证书的制作、签发、注销和管理并未出现异常,认证机构的所有日志信息均处于严格保护状态等,并非难事,而用户实际上不可能证明此类记录和信息不是事实的真实反映。其结果是,用户几乎没有证据来支持自己的主张。因此,用户提出相反证据的可能性主要是理论上的,其往往不具有找到这种证据的能力。
毋庸讳言,电子签名认证用户在电子认证系统中的举证责任地位与电子支付系统中消费者的地位相类似。“在电子支付方面,举证责任的解除无非是将举证的不可能从一方转移到另一方。”[15]电子认证用户的证据地位如何才能得到加强,目前的情况也不明朗。认证机构仍将继续记录所有相关认证数据,其将数据提供给用户并不能改善后者的弱势地位;而用户仍将继续声称记录和信息的数据不能反映事实的真相。因此,真正的问题是认证机构记录和信息、数据的可靠性。
时至今日,各国司法部门似乎还没有找到怀疑电子认证记录和信息可靠性的理由。原因可能有二:一是电子认证设备和软件是经过充分检测的;二是保存记录乃认证业务中的一项关键管理事项,认证机构会花大量的精力以确保其可靠性。然而,问题是,电子认证系统的可靠性并没有被某个独立机构检测过。那么,是否应实施此种检测?检测结果是否应是“电子认证系统在很大程度上是可靠的”?检测结果是否很可能是“虽然每天都发生大量的电子交易但公众却并无明显的不满”?此种检测究竟能给纠纷中的用户带来多大的益处?这些都是疑问。事实上,有关机构并未对该系统产生质疑,为确定这一基点而进行的独立检测对用户的地位也将是影响甚微。因此,立法部门宜注意以下两个方面的问题。[page]
一是信息公开问题。欲分析用户在举证责任上的真实处境,目前只能依赖于争议解决机构作出并公布的裁决以及从消费者组织处获取的信息,因此,问题的真正内涵尚无人知晓。一般来说,在没有启动认证机构内部处理程序之前,申诉是不会提交到争议解决机构或法院的;只有在无法得到内部救济或内部救济不能令用户满意时,用户才会提交仲裁或诉讼。但是,对于到底有多少申诉是通过内部程序处理的,其结果如何,缺乏深入的了解,电子认证机构也不会使这种信息公开化。所以,提交仲裁或诉讼的申诉是否仅仅是“冰山一角”或者仅仅是电子认证机构和用户之间无法解决的极少数“疑难”案件,都是讳莫如深。另一方面,消费者组织提供的信息来源于其成员的申诉以及这些组织各自的相关研究。因此,立法机构在颁发新的相关规则之前,有必要认真研究这方面的问题以加强用户的证据地位。
二是应出台一套有助于提升用户举证地位的简便方案。目前的举证规则的价值,如认证机构须证明与认证相关的信息未受技术故障或其它缺陷的影响,无疑是有限的。倘若新的立法仍然套用这一举证规则,用户将始终处于弱势地位,电子认证机构也将依然故我地以自己的保存信息作为呈堂证供。因此,如何实质性地改善现有的证据规则是目前立法机构所面临的一项艰巨任务。
注释:
[1]Ir.A·A·P·Schudelaro,Electronic Payments and Consumer Protection:Should Recommendation 97/489/EC Be Replaced with a Directive?Computer Law & Security Report,Vol.17,No.2(2001).
[2]See Thomas J.Smedinghoff & Ruth Hill Bro,Moving with Change:Electronic Signature Legislation as a Vehicle for Advancing ECommerce,the John Marshall of Computer and Information Law,Vol.17,No.3,Spring 1999.
[3]See Josh Bell,Buben Gomez,Paul Hodge,and Virtor Mayer—Schonberger,Electronic Signature Regulation:An Early Scorecard Comparing Electronic Signature Legislation in the us and the European Union,Computer Law & Security Report,Vol.17,No.6(2001).
[4]持卡人如无重大疏忽或欺诈,只要其履行了一定的通知义务,其因疏忽而泄露了信用卡号码所应承担的责任通常都有一定责任限额。如英国《银行业惯例守则》的“50英镑规则”(即在未经授权划拨时,如果持卡人发现其塑料卡遗失、被窃或第三方知悉其密码并通知了发卡银行,则持卡人的责任限制在50英镑之内,但持卡人有欺诈行为或重大疏忽的除外)、美国《电子资金划拨法》第1693(g)条的“50美元规则”(在2个营业工作日内,客户通知金融机构后,其责任不会超过实际损失和50美元两者之间的较小金额;如在2个营业工作日后通知的,则为实际损失和500美元两者之间的较小金额;但是如果向客户提交周期报表后,客户未在60日内通知金融机构,则解除未授权交易对客户责任的任何限制)以及欧盟《电子付款建议案》第6—1—2条的“150欧元规则”(如果一个电子支付工具被丢失、被窃或被欺诈性使用,持有人最多承担150欧元的损失,直到持有人通知了发行人此种情况,条件是持有人没有重大疏忽或欺诈,且持有人须按使用条款使用其支付工具)。
[5]参见张楚:《电子商务法初论》,中国政法大学出版社2000年版,第260页。
[6]参见王泽鉴:《民法概要》,中国政法大学出版社2003年版,第29页。
[7]参见王泽鉴:《债法原理(一)》,中国政法大学出版社2001年版,第76页。
[8]参见《电子签名示范法(2001)颁布指南》第111段、第114段。
[9]同前注[3].
[10]参见阿拉木斯:《反思电子签名法》。http://www.chinaeclaw.com/read Article.asp?id=3866,2008年8月18日访问。
[11]其中规定,构成不可抗力的事件包括战争、恐怖袭击、罢工、自然灾害、供应商或卖方执行失败、因特网或其他基础设施的瘫痪。不可抗力条款的起草应与框架的其他部分相一致,并达到适用的服务级别协议。例如,业务连续性和灾难恢复的责任和能力可以将某些事件置于组织的可控范围之内,如在停电时启用备份电源的义务。
[12]近年来,保险公司已开始为电子商务提供专有的保险项目。1999年伦敦劳埃德保险公司与电脑安全管理企业counterpane合作,首创“黑客保险”,承保因电脑黑客入侵导致客户资料被盗而造成的损失。美国国际集团、美国亚特兰大网上保险信托公司、英国的HISCOX保险集团、瑞士苏黎世保险公司设在美国、英国和日本的机构等都推出了针对电信、多媒体和科技类公司的病毒和黑客损失的保险险种。在“计算机保险”方面,日本早在1975年就推出了计算机系统综合保险,即硬件保险、软件保险、费用保险、利益保险。美国JSWUM公司也开办了网站及互联网安全保险。中国人民保险公司于2000年开始在全国范围内推广计算机保险,但不承保风险较难控制的计算机病毒、黑客侵害。中银保险有限公司于2005年也推出了电脑保险,承保数据处理系统设备和数据处理媒介的直接物质损失或损坏的一切风险。参见刘春年、高家望:《信息安全产业与保险业结合中存在的问题与解决方案》,《图书情报知识》2002年第1期;苏莉:《保险业发展的新空间:网络安全保险》,《金融与投资》2003年第6期;洪兴:《计算机安全责任险——保险人的盛宴,或苦果?》,《保险文化》2004年第4期;冯杰:《浅谈计算机保险》,《上海保险》1998年第2期;李丹、李俊:《信息时代呼唤信息系统安全保险》,《上海金融》2000年第5期:“计算机保险”,“成功保险网”:http://insurance.xy178.com/info/insure—detail.432.html,2008年5月10日访问。
[13]欧盟《电子签名指令》第6条第1款和第2款规定,各成员国应确保认证机构对公众签发的证书是一个合格的证书,除非认证机构能够证明其行为并无过错,否则对于因为合理信赖该证书或证书的撤销而造成损害的机构、法人或自然人,应承担相应的法律责任。
[14]参见王利明主编:《电子商务法律制度:冲击与因应》,人民法院出版社2005年版,第58页;欧阳武等:《中国电子签名法原理与条文解析》,人民法院出版社2005年版,第210—211页。[page]
[15]Ch.E.Knobbout—Bethlem,Consumers in Electronic Payment,Kluwer,Deventer,1992,p.286.(宁波大学·刘满达)
出处:《法学》2009年第1期
