析电子认证规则.pdfVIP

析电子认证规则

电子认证是以电子认证证书（又称数字证书）为核心技术的加密

技术，它以pki技术为基础，对网络上传输的信息进行加密、解密、

数字签名和数字验证。电子认证是电子政务和电子商务中的核心环

节，可以确保网上传递信息的保密性、完整性和不可否认性，确保

网络应用的安全。

电子认证所应遵循的规则，就是电子认证业务规则。电子认证业

务规则应当包括责任范围、作业操作规范、信息安全保障措施等事

项。

一、电子认证服务提供者应当制定、公布符合国家有关规定的电

子认证业务规则，并向国务院信息产业主管部门备案

电子认证服务是专业性很强的活动，由电子认证服务提供者制定

有关业务规则是合理的，也是符合实际的。当然，电子认证服务者

不能制定损害电子签名人和电子签名依赖方利益的、不公平的”霸

王条款”。为了防止这种情况出现，有两项要求：一是电子认证服

务者制定的电子认证业务规则要符合国家有关规定，而且还要公

布；二是电子认证业务规则要向国务院信息产业主管部门备案，以

接受监督。有些国家和地区的电子签名法也规定了电子认证服务提

供者制定认证业务规则的义务。例如，韩国电子签名法规定，认证

机构应拟订包括下列各项内容的认证业务通则，并应向信息通信部

长官申报：认证业务种类、认证业务的执行方法及步骤、认证服务

的利用条件及费用其他必需事项。信息通信部长官认为认证业务通

则规定的内容有碍于确保认证业务的安全和可依赖性或损害用户

利益的，可命令认证机构改正。我国台湾地区电子签章法规定，认

证机构应制定认证实务作业基准，认证实务作业基准应载明以下事

项：足以影响认证机构所签发认证的可靠性或其业务执行的重要资

讯；认证机构径行废止认证的事由；验证认证内容相关资料的留存；

保护当事人个人资料的方法及程序；其他经主管机关订定的重要事

项。

二、电子认证业务规则主要包括以下事项

1.责任范围

电子认证服务提供者在提供认证服务过程中，由于未履行其应尽

义务，尤其是保证其签发证书的真实、可靠性的义务，既可能产生

对电子签名人的责任，也可能产生对电子签名依赖方的责任。电子

认证服务提供者与电子签名人即电子签名认证证书持有者是民事

合同关系，电子认证服务提供者依照合同约定承担责任。电子认证

服务提供者对电子签名依赖方的责任是基于法律规定而产生的，即

两者是法律上的信赖关系，电子认证服务提供者对电子签名依赖方

的法定义务是其承担责任的基础。同时也应当看到，电子认证服务

是一个高风险的行业，既有内部风险又有外部风险，并且一旦发生

风险往往会造成非常严重的后果。电子认证服务提供者在从事电子

认证服务活动时当然应当尽合理的注意，承担相应的义务，但在无

过错的情况下，不应承担责任，而无过错的举证责任要由认证机构

承担。这是因为电子认证服务提供者处于中立的第三方，其行为和

信誉直接关系到电子签名人与电子签名依赖方的利益，且相对于电

子签名人及电子签名依赖方又处于强势地位，一些国家均规定了较

为严格的责任制度，且设立了举证责任倒置的制度，即电子认证服

务提供者如能证明其对于责任事项无任何过错方可免责。电子签名

人或者电子签名依赖方因依据电子认证服务者提供的电子签名认

证服务从事民事活动遭受损失，电子认证服务提供者不能证明自己

无过错的，承担赔偿责任。

从实践中看，电子签名认证合同基本上属于格式合同。格式合同，

是指合同条款由当事人一方预先拟定，另一方当事人只能表示全部

同意或者不同意的合同，也就是说一方当事人要么从整体上接受合

同条件，要么不订立合同。比如电子认证合同作为格式合同的特征

有：一是数字证书的项目由电子认证服务提供者预定且不能改变；

二是认证费用由电子认证服务提供者预定而不能讨价还价；三是签

署者和电子认证服务提供者的责任条款由电子认证服务提供者单

方制定并且不容进一步协商，而这正是电子认证合同中最关键的内

容。目前在实践中，此责任条款有的出现在认证业务声明中，例如

美国的verisign公司就在其业务声明中规定了免责条款；也可以

直接以责任书的形式出现，如上海电子商务安全证书管理中心有限

公司就采取这种做法；还可以以电子认证中心数字证书章程的形式

出现，如广东省电子商务主认证中心就采取此种做法。对此责任条

款只有“我接受”和”我拒绝”两种选择，选择“我接受”则继续

证书申请的下一个步骤，选择“我拒绝”则终止证书的申请。

另外，在电子认证合同中也有允许客户选择的内容，例如证书的

信赖等级。ve