[论文摘要]:本文介绍了国外关于认证机构民事法律责任的有关立法,分析了我国现行的法律制度,并在此基础上进行了比较研究,笔者试图构建认证机构的民事法律责任制度的大体框架,以期对我国的电子认证立法提出一些建设性的意见。
[关键词]:认证机构,电子票据,电子签名,民事法律责任
引 言
电子票据是电子商务中基本的支付结算方式,而认证机构又是电子票据得以顺利进行的基础。没有认证机构,整个电子交易系统不可能建立,因此必须完善认证机构的相关立法。而在认证机构立法中,其民事法律责任的立法又是电子票据的关键性问题。因为它直接关系到认证机构与用户、证书信赖人之间的交易风险的分配,为各方当事人乃至立法者所极其关注。然而我国认证机构立法方面几乎是一篇空白,理论上也多是集中在对认证机构的设立、市场准入、技术标准的研究,对认证机构的民事法律责任制度的研究更是语焉不详。而国外的相关立法显得比较完善,因此笔者借鉴了国外的立法成果,结合我国的现实情况,试图构建我国的认证机构的民事法律责任制度。本文第一部分确定了认证机构的行政性质和法律地位;第二部分介绍了美国等国家的立法,采取比较法的方法总结出各国在民事责任立法方面的一般规律;第三部分在第二部分的基础上,结合我国的法律制度所作的制度安排,在这部分笔者大胆引进海商法中的有关制度,如责任限制和责任基金,以完善认证机构的民事法律责任制度。
一、认证机构的法律性质和地位
认证机构作为电子交易中的信息确认方,要阐述它的民事责任,首先要解决它的法律性质以及法律地位问题。而各国对认证机构的设立方式采取的不同的态度,折射出各国对认证机构的性质上的认识的不同。结合我国的电子市场的发展现实,笔者认为,认证机构作为公共服务机构应具有双重性,即一方面其是作为网络服务中心而存在,另一方面其又是作为特定的行政主体而存在定的行政主体,而且行政性质占主导。
作为网络服务商,它所提供的是一种信用服务,通过为参与电子交易的当事人提供由其签发的个人身份证书、持卡人证书、商家证书、帐户认证等使交易双方相信对方的身份,从而保证交易的安全进行。作为特定的行政主体:(1)作为“网上”的工商行政管理机关。电子商务市场的建立是进行电子交易的前提,电子商务市场准入的谨慎则是保证电子交易安全的有效措施之一;(2)作为“网上”的税收管理机关;(3)作为“网上”的海关。电子商务以电脑为依托,冲破了一切国家的地域、管辖权的限制,较多的涉及了跨国贸易。电子商务跨国贸易具体又可分为在线贸易和离线贸易两种交易方式。离线交易与传统交易方式在关税方面并不会产生多少差异,只有在线交易才会对现行关税法提出挑战。由于电子商务跨国在线交易的过程“无形无踪”,只在电子空间内就可以完成而无需通过海关,海关也就无法对其进行监督。因此传统交易下的海关关税制度便无法适用,这一责任便落在认证机构身上。
二、认证机构的民事法律责任的国外立法举要
(一)美国的相关立法。美国如今已有49个州颁布了与电子签名有关的法律。有少数几个州的法律只允许电子签名用于与政府机构的交易中。尽管随着电子商务的逐步发展,欺诈和财政损失的潜在风险也在增长,但是只有四个州制定了综合的法律用以规定在公开和私下交易的认证机构对信赖当事人的责任标准。犹他州在1995年就制定了电子签名法。这一制定法规定了认证机构在当事人作出证书的行为和责任标准,接着华盛顿州明尼苏达州和伊利诺斯州也进行了这方面的立法。
1.犹他州的电子签名法。犹他州确定了认证机构的资格标准和许可要件,并第一次承认电子签名在商业中的法律效力。除此之外,还规定了认证机构在公钥制度中的最低行为标准。最值得指出的是规定了当认证机构在发出证书时的基本义务和相应的担保,在证书上表明的信赖限度和责任,并且规定了由于信赖存在缺陷的证书所产生的损害赔偿方法。犹他州的电子签名法规定,认证机构必须通过可靠的系统(trustworthy system)提供服务。根据该法,注册了的认证机构在发出证书时必须对信赖证书中记载的信息当事人保证下列情况的准确性:
(a)在证书中记载的信息和经认证机构确认的列明的信息的准确性;
(b)对证书的可靠性有影响的可预见的信息材料在证书中应有所提及;
(c)签署人已经接受证书,并且(d)认证机构的发出的证书符合本州现行法的规定。
如果认证机构违背其保证义务而对因信赖的当事人造成损害,法律对赔偿的数额作出了一定的限制。犹他州签名法对证书引入了双重限制,即信赖限制和责任限制。对于信赖限制,该法规定依信赖行为的风险总额不得超过证书的信赖限制。
除了法律的规定之外,认证机构也可以通过自己的运营程序确立责任限制。签名法进一步规定,除非认证机构在其运营程序中放弃责任限制,否则认证机构不对超出信赖限制的损失负责,即使超出信赖限制的损失是由错误的或伪造的电子签名造成,只要认证机构的行为符合法律规定的实质构成要件。所谓的实质构成要件是指按照可靠的系统提供服务和不参与会产生不合理风险的商业活动。
然而,根据犹他州签名法,即使损失是由于证书的错误陈述造成,认证机构也只对证书中
写明的信赖程度负责。认证机构对直接损失负赔偿责任,免去了间接损失和惩罚性赔偿,也免去了利润、利息和精神痛苦的赔偿。
犹他州的签名法还规定了一种固定的补偿方法以弥补当事人因信赖所造成的损失。该法要求认证机构在注册时必须向犹他州的商务部提供适当的担保。这项担保确保当事人获得一定的补偿。要从担保中获得补偿,受损害的当事人必须在认证机构违规的两年内向商务部提交一份书面的通知书面通知必须列明请求的数额和理由以及其他商务部要求提供的相关的信息。利用担保的补偿方法比诉讼的方法简捷得多,但是担保的数额毕竟是有限的。正如前面所提及到的,补偿数额不能超过信赖限制的范围,最重要的是,担保的总责任不能超过担保物的价值。因此,在先的请求权在其有效期内由担保满足,那么在后的请求权可得到的数额会相应减少。
2.伊利诺斯州的电子签名法1999年生效,被称为“电子商务安全法”。伊利诺斯州电子签名法与犹他州电子签名法有很大的不同。例如认证机构的免责的实质要件,即认证机构必须以可靠的方式提供服务,不是必需的。伊利诺斯州法要求认证机构以可靠的方式提供服务,但如果认证机构在其证书操作规则中有明确的声明除外。(certificate practice statement)这就是说允许认证机构改变其运营标准和以不同于法律规定的方式提供服务。伊利诺斯州法既没有明确规定担保的方法也没有规定信赖限制。然而,当认证机构在证书操作规则中没有相应的规制标准和程序,受损害的当事人可以诉之于法律的规定。
(二)日本《数字签名及认证法》。日本《数字签名及认证法》关于认证机关的责任问题,如果是因为认证机关的原因产生的认证内容错误,数字签名及认证法在这方面没有做出相应的规定,应当依据其他法律做出处理。大体有以下几种情况:
第一,如果是认证机关工作不负责任(这里指的是民间的认证机关),没有认证确认其本人的身份而发出了认证证明书,致使经营者信任证明书的可靠性而做了交易因此遭受了损失的,可以依据民法的规定追究认证机关责任人的民事责任。
第二,法定代表人到法务局,自然人到地方公共团体的认证机关办理认证时,该认证机关的职员在履行职务时,行使的是公权利,这时给人造成的损害(故意的或者过失的),因为认证机关是地方公共团体的组成部分,所以应当依据国家赔偿法负有赔偿的义务。
第三,如果是完全不相干的其他人员冒名去办理印鉴登记申请的,由于地方公共团体认证机关的职员的审查不严,错误地发出了印鉴证明书的,对地方公共团体可以依据国家赔偿法要求赔偿,则是最近几年司法实践所认可的。
认证机关的责任范围限制没有具体规定。但如果无限制地扩大范围,就会给认证机关在经济上造成很大的压力(主要指民间认证机关),使其是否能够存续成为问题。因为认证机关与利用者之间的关系是一种合同关系,认证机关作为合同一方的当事人在享有权利的同时,要承担相应的责任。应当在权利与责任之间寻找一个平衡点,要在责任范围方面研究出一个方案,其出发点应当以民法的公序良俗为原则来进行设定。
(三)新加坡《电子交易法》。《电子交易法》第45条(a)款规定,只要按照该法的要求行事,认证机构就不必承担基于对签名者虚假或伪造的数字签名的信任而造成的任何损失。同时,如果用户的密钥或证书被盗并进行了非法使用,该用户将不得不自行承担在通知认证机构之前所造成的损失。该法第45条(b)款则规定,认证中心对签发证书时在证书中的误述或任何未遵守该法案的行为不必承担超过证书上所规定的有限的责任。
显然该条给予证书授证中心以特殊的保护。因为安全认证机构在从事签发电子凭证,证明电子签名正确性的业务活动中,承担着很大的法律责任的风险。例如,如果申请电子凭证的一方提供了虚假的身份信息,而安全认证机构没有通过仔细核查发现,没有及时告知接收电子签名文件的一方,就需要承担责任。又如,当某个电子凭证已经失效,安全认证机构又没有及时告知对方,也需人承担责任。在电子商务中,安全认证机构的地位类似于网络服务提供者,既重要又危机四伏,如果不对其法律责任的风险加以适当的限制,安全认证机构就可能很难生存下去,安全认证市场也会萎缩、消亡,因此,各国电子商务立法基本都考虑到对安全认证机构的责任需要加以适当限制。新加坡“电子商务法”也不例外。该法虽然没有为安全认证机构规定一般的责任限制,但是规定经政府管理机构许可的安全认证机构可以在其签发的电子凭证中说明其承担责任的限额,因此被许可的安全认证机构的责任风险实际上受到了限制。 我们不难看出上述各国对认证机构的民事责任的规定有所不同,其深层原因在于各国对认证机构的设立要求、法律地位上的不同。然而,笔者通过比较,发现各国的立法者的思路是相似的,即对于认证机构的给予一定限度的保护。正是基于认证机构在电子票据法中的核心作用和基础地位,一些极具特色的民事责任制度相应地被创设和引进。例如引进海商法的赔偿责任限制制度、责任担保的创设、归责原则的多样化。
三、我国认证机构的民事法律责任制度构建
与上述各国比较,我国在电子票据方面的立法和理论研究都显得相当滞后,对认证机构的民事责任制度的研究更是语焉不详。因此在我国现有制度框架内,一方面借鉴上述国家的成熟做法,另一方面大胆引进其他法律部门的理论,是我们构建认证机构的民事法律责任制度的必由之路。笔者认为,我国在对认证机构的民事责任立法中应该考虑以下几个方面:
1.归责原则。认证机构的法律责任可能是侵权责任,也可能是违约责任,由于两者的性质不同,所以归责原则的选择上也会不同。因此笔者认为基于归责原则的多样化,立法上必须加以区别对待:
(1)违约责任归责原则。电子认证机构根据证书申请人的申请向其签发认证证书,那么,证书申请人就与认证机构基于要约和承诺形成了法律上的合同关系。如果认证机构与证书申请人之间发生纠纷,双方均可根据合同条款提起法律诉讼。 学者们多数认为应采取过错责任原则,理由是认证机构正处于发展之中,不宜让其承担过大的风险。但笔者认为采取过错推定原则为宜。首先,虽然认证机构是新兴的服务机构,法律制度的设置给予一定的保护是合理的,但这只能够限定在一定的范围之内。相对人的利益也应该纳入我们的考虑范围之内。如果我们只考虑问题的一个方面,忽视或者轻视了另一个方面,也许都不利于扶持电子认证机构的发展。这是因为,如果对认证机构的保护是以对证书用户的损害为代价,那么这种保护只能是形式上的,实际上并不真正有利于这些电子认证机构,因为它必然会导致人们对电子认证并不安全的认识,从而影响电子认证市场的发展。其次,从法律经济学的角度上看,认证机构与证书申请人之间的信息是不对称的。认证机构拥有比申请人更加多的信息(资源),因此认证机构更具有优势,把资源分配给最有优势的人是有效率的。
但是基于公平原则的考虑,法律必须对这种天然的不平等加以矫正。最后,归责原则和法律责任是紧密相连的,法律上对认证机构给予责任限制的保护,因此再在归责原则上给予倾斜是没有必要的。
(2)侵权责任的归责原则。各国法律几乎都有明确规定,经批准合法成立的电子认证机构,在对证书上所记载的申请人签发电子认证证书时必须保证:该认证证书无认证机构所知的虚假信息;该证书合乎法律规定的所有实质要件;该认证机构于签发此证书时无逾越其许可的限制。由此,如果认证机构违反上述法定的保证义务,致申请人受到损害,即使申请人与认证机构之间所签订的合同并无如此约定,申请人仍然可以依法向认证机构请求损害赔偿。笔者认证机构的侵权行为的性质与一般的侵权行为没有太大的区别,因此认为适用过错原则是比较合理的。
2.违约形态和赔偿范围。 认证机构的违约形态一般是不完全履行。不完全履行是指债务人虽然履行了债务,但其履行不符合债务的本旨。 认证机构的违约责任大多是由于身份认证差错而对申请人造成损失。关于赔偿范围问题,犹他州签名法规定如果损失是由于证书的错误陈述造成,认证机构只对直接损失负赔偿责任,免去了间接损失和惩罚性赔偿,也免去了利润、利息和精神痛苦的赔偿。但华盛顿州的电子签名法并没有排除“利润、利息、或者机会利益的赔偿”条款。笔者认为,华盛顿州的做法比犹他州的做法更加合理。我们不难看出,犹他州的违约责任的赔偿范围与一般的侵权责任没有区别(在不存在精神赔偿的情况),这完全混淆了两者的法律性质。合同是双方当事人的合意,因此对违约责任的赔偿范围也应该相对宽松,否则违背了意思自治这一基本原则。我们不应该在法律上刻意缩减认证机构的赔偿范围,我国认证机构的违约责任的赔偿范围应该与《合同法》所规定的违约责任赔偿范围相一致。同时,我们也要考虑到申请人难以进行集体谈判,因此谈判能力较认证机构薄弱得多,在谈判中往往处于被动的境地。所以为了防止认证机构滥用其经济上的实力损害申请人的利益,应该引入法定违约金,作为证书的默认条款。
3.民事赔偿责任限制制度。责任限制制度是海商法上的特有制度。航运产生之初,由于造船等技术的落后,船东要承担巨大的风险,因此为了限制船东的债务,鼓励航海事业的发展,从而创立了责任限制制度。海商法的责任限制包括单位责任限制和综合性责任限制。笔者认为,在网络商务的起步阶段,为扶植认证机构的发展而给予其某些特别保护,应当是非常必要的。如果让提供电子认证服务的机构承担过大的执业风险,将会挫伤认证机构的积极性,从而不利于电子商务以及其他电子交易的发展。因此我们认为应该大胆引进责任限制,国外的立法给予了我们最好的例证。笔者认为责任限制制度的内容应该包括下列内容:
(1)责任主体。这里的责任主体仅指根据法律可以限制自己的赔偿责任的人。除认证机构适用责任限制外,笔者认为,为了保护整个电子票据交易系统的安全,应该把责任主体范围扩展。责任主体应该包括认证机构雇佣人、证书持有人、证书申请人、证书接受人、或者证书信赖者、及其他证书使用相关的人。
(2)责任限制权利的丧失。如经证明损失是责任人故意或明知可能造成损失而轻率地作为或不作为造成的,责任人无权援引限制赔偿责任。例如认证机构与第三人串通发出了认证证明书,致使经营者信任证明书的可靠性而做了交易因此遭受了损失的,可以依据民法的规定追究认证机关的民事责任,认证机构不受责任限制的保护。
(3)责任限额,即责任主体依法对所有限制性债权的最高限额,而限制性债权是指责任主体可根据责任法律限制其赔偿责任的债权请求。确定责任限额的方法一般有如下两种:一是如海商法那样,规定一个固定责任限额;一是采用浮动责任限额,以每次认证行为所涉及的交易金额或申请人交纳的费用的一定比例确定。但要核定认证行为所涉及金额的大小是相当困难的;而另一方面,申请人交纳的费用与损失通常是没有必然联系的。相比之下,固定责任限额更可取。
(4)责任基金制度。犹他州电子签名法要求认证机构在注册时必须向犹他州的商务部提供适当的担保,这项担保确保因信赖受损害当事人获得一定的补偿。笔者认为这一制度极有借鉴意义。认证机构在电子票据交易,甚至整个电子商务的交易系统中都处在核心地位。一旦认证机构出现问题,交易系统就有可能崩溃,因此必须保证认证机构的正常运作。所以引进责任基金制度是有必要的。
责任基金是指责任主体要求限制责任的申请一经法院审查认可,就须向法院提交一笔与责任限额等值的款项,作为分配给所有限制性债权的基金。责任主体设立责任基金后,向责任主体提出限制性债权的任何人,不得对责任人的任何财产行使任何权利;已设立基金的责任主体的财产被扣押,法院应该及时下令释放或退还。
4.交叉认证的法律责任。不同的认证机构产生不同的认证机构的用户群体,形成各自不同的封闭性的信任环境,这种状况无疑会对电子票据的发展造成较大的影响。因此,不同认证机构颁发的数字证书实现互通是必然的要求,而实现数字互通的主要手段主要是依靠交叉认证,通过交叉认证,使得不同认证机构的证书用户可以互相识别对方的证书,从而能够识别对方的身份,保障电子交易的安全。
多个认证机构进行交叉认证时,认证机构与证书用户之间、认证机构之间的法律关系发生了变化,相应的法律责任也有所不同:(1)信息披露的责任;(2)在进行交叉认证时,一旦用户接受证书。认证机构必须造档案库中公开;(3)认证机构有责任记录和保管其他认证机构的证书;(3)认证机构进行交叉认证时,须明确因自身原因而给对方认证机构造成的损失,应承担相应的民事赔偿责任,进行交叉认证的机构对其证书用户的损失负有连带赔偿责任。
结 语
本文通过美国、新加坡等国之间的立法比较,得出了关于民事法律责任立法的一般思路和一般原则;通过对海商法的相关制度的借鉴,试图把一些极具特色的制度移植到认证机构的民事责任制度中,以期构建我国的认证机构的民事法律责任制度。笔者主要关注一些关键的法律制度和原则,例如归责原则、违约形态、赔偿范围、责任范围和交叉认证的法律责任加以详细的阐述,而对于民事法律责任的其他一般制度没有加以细化。值得指出的是,交叉认证法律责任问题是我国面临的最急待解决的问题之一,但是本文由于篇幅和结构所限,不能给予更加系统的论述。
参考文献:
「1」《电子商务法初论》张楚著 中国政法大学出版社2000年4月第一版。
「2」《电子商务认证法律问题》 胡静编著 北京邮电大学出版社2001年8月第一版。
「3」Kalama M. Lui-Kwan RECENT DEVELOPMENTS IN DIGITAL SIGNATURE LEGISLATION AND ELECTRONIC COMMERCE Berkeley Technology Law Journal。
「4」Michael J. Osty , Michael J.Pulcanio THE LIABILITY OF CERTIFICATION AUTHORITIES TO RELYING THIRD PARTIES John Marshall Journal of Computer and Information Law Spring 1999。
「5」徐继响 毛崴 马刚:《电子商务认证机构若干法律问题初探》,《河北法学》2000年第6期。
「6」宋锡详:《论日本<电子签名法>及其对我国的启示》,《政治与法律》2003年5期。
「7」朱宏文:《新加坡<电子交易法>评述》,《河北法学》2000年第四期。
「8」熊志海:《电子认证及其主体的若干法律问题》,《现代法学》2002年12月第24卷第6期。
「9」崔健远:《合同法》,法律出版社 2003年3月第3版。
「10」司玉琢:《海商法》,法律出版社 2003年7月第一版。
作者:郭健冬