[ 郭健冬 ]——(2004-7-14) / 已閱20164次
論電子票據認證機構的民事法律責任制度構建
中山大學法學院 郭健冬
【論文摘要】本文介紹了國外關于認證機構民事法律責任的有關立法,分析了我國現行的法律制度,并在此基礎上進行了比較研究,筆者試圖構建認證機構的民事法律責任制度的大體框架,以期對我國的電子認證立法提出一些建設性的意見。
關鍵詞:認證機構 電子票據 電子簽名 民事法律責任
Abstract: This note introduces the corresponding legislations of foreign country about the civil legal duty of certification authorities ,and analyzes the legal system of our country .Based on the comparative research ,the author intends to design the framework of the civil legal duty of certification authorities, in order to put up some constructive ideas of legislating authentication in China.
Keywords: Certification Authority Electronic Bills Digital Signature Civil Legal Duty
引 言
電子票據是電子商務中基本的支付結算方式,而認證機構又是電子票據得以順利進行的基礎。沒有認證機構,整個電子交易系統不可能建立,因此必須完善認證機構的相關立法。而在認證機構立法中,其民事法律責任的立法又是電子票據的關鍵性問題。因為它直接關系到認證機構與用戶、證書信賴人之間的交易風險的分配,為各方當事人乃至立法者所極其關注。然而我國認證機構立法方面幾乎是一篇空白,理論上也多是集中在對認證機構的設立、市場準入、技術標準的研究,對認證機構的民事法律責任制度的研究更是語焉不詳。而國外的相關立法顯得比較完善,因此筆者借鑒了國外的立法成果,結合我國的現實情況,試圖構建我國的認證機構的民事法律責任制度。本文第一部分確定了認證機構的行政性質和法律地位;第二部分介紹了美國等國家的立法,采取比較法的方法總結出各國在民事責任立法方面的一般規律;第三部分在第二部分的基礎上,結合我國的法律制度所作的制度安排,在這部分筆者大膽引進海商法中的有關制度,如責任限制和責任基金,以完善認證機構的民事法律責任制度。
一、認證機構的法律性質和地位
認證機構作為電子交易中的信息確認方,要闡述它的民事責任,首先要解決它的法律性質以及法律地位問題。而各國對認證機構的設立方式采取的不同的態度,折射出各國對認證機構的性質上的認識的不同。結合我國的電子市場的發展現實,筆者認為,認證機構作為公共服務機構應具有雙重性,即一方面其是作為網絡服務中心而存在,另一方面其又是作為特定的行政主體而存在定的行政主體,而且行政性質占主導。
作為網絡服務商,它所提供的是一種信用服務,通過為參與電子交易的當事人提供由其簽發的個人身份證書、持卡人證書、商家證書、帳戶認證等使交易雙方相信對方的身份,從而保證交易的安全進行。作為特定的行政主體:(1)作為“網上”的工商行政管理機關。電子商務市場的建立是進行電子交易的前提,電子商務市場準入的謹慎則是保證電子交易安全的有效措施之一;(2)作為“網上”的稅收管理機關;(3)作為“網上”的海關。電子商務以電腦為依托,沖破了一切國家的地域、管轄權的限制,較多的涉及了跨國貿易。電子商務跨國貿易具體又可分為在線貿易和離線貿易兩種交易方式。離線交易與傳統交易方式在關稅方面并不會產生多少差異,只有在線交易才會對現行關稅法提出挑戰。由于電子商務跨國在線交易的過程“無形無蹤”,只在電子空間內就可以完成而無需通過海關,海關也就無法對其進行監督。因此傳統交易下的海關關稅制度便無法適用,這一責任便落在認證機構身上。
二、認證機構的民事法律責任的國外立法舉要
(一)美國的相關立法。美國如今已有49個州頒布了與電子簽名有關的法律。有少數幾個州的法律只允許電子簽名用于與政府機構的交易中。盡管隨著電子商務的逐步發展,欺詐和財政損失的潛在風險也在增長,但是只有四個州制定了綜合的法律用以規定在公開和私下交易的認證機構對信賴當事人的責任標準。猶他州在1995年就制定了電子簽名法。這一制定法規定了認證機構在當事人作出證書的行為和責任標準,接著華盛頓州明尼蘇達州和伊利諾斯州也進行了這方面的立法。
1.猶他州的電子簽名法。猶他州確定了認證機構的資格標準和許可要件,并第一次承認電子簽名在商業中的法律效力。除此之外,還規定了認證機構在公鑰制度中的最低行為標準。最值得指出的是規定了當認證機構在發出證書時的基本義務和相應的擔保,在證書上表明的信賴限度和責任,并且規定了由于信賴存在缺陷的證書所產生的損害賠償方法。猶他州的電子簽名法規定,認證機構必須通過可靠的系統(trustworthy system)提供服務。根據該法,注冊了的認證機構在發出證書時必須對信賴證書中記載的信息當事人保證下列情況的準確性:
(a)在證書中記載的信息和經認證機構確認的列明的信息的準確性;
(b)對證書的可靠性有影響的可預見的信息材料在證書中應有所提及;
(c)簽署人已經接受證書,并且(d)認證機構的發出的證書符合本州現行法的規定。
如果認證機構違背其保證義務而對因信賴的當事人造成損害,法律對賠償的數額作出了一定的限制。猶他州簽名法對證書引入了雙重限制,即信賴限制和責任限制。對于信賴限制,該法規定依信賴行為的風險總額不得超過證書的信賴限制。
除了法律的規定之外,認證機構也可以通過自己的運營程序確立責任限制。簽名法進一步規定,除非認證機構在其運營程序中放棄責任限制,否則認證機構不對超出信賴限制的損失負責,即使超出信賴限制的損失是由錯誤的或偽造的電子簽名造成,只要認證機構的行為符合法律規定的實質構成要件。所謂的實質構成要件是指按照可靠的系統提供服務和不參與會產生不合理風險的商業活動。
然而,根據猶他州簽名法,即使損失是由于證書的錯誤陳述造成,認證機構也只對證書中
寫明的信賴程度負責。認證機構對直接損失負賠償責任,免去了間接損失和懲罰性賠償,也免去了利潤、利息和精神痛苦的賠償。
猶他州的簽名法還規定了一種固定的補償方法以彌補當事人因信賴所造成的損失。該法要求認證機構在注冊時必須向猶他州的商務部提供適當的擔保。這項擔保確保當事人獲得一定的補償。要從擔保中獲得補償,受損害的當事人必須在認證機構違規的兩年內向商務部提交一份書面的通知書面通知必須列明請求的數額和理由以及其他商務部要求提供的相關的信息。利用擔保的補償方法比訴訟的方法簡捷得多,但是擔保的數額畢竟是有限的。正如前面所提及到的,補償數額不能超過信賴限制的范圍,最重要的是,擔保的總責任不能超過擔保物的價值。因此,在先的請求權在其有效期內由擔保滿足,那么在后的請求權可得到的數額會相應減少。
2.伊利諾斯州的電子簽名法1999年生效,被稱為“電子商務安全法”。伊利諾斯州電子簽名法與猶他州電子簽名法有很大的不同。例如認證機構的免責的實質要件,即認證機構必須以可靠的方式提供服務,不是必需的。伊利諾斯州法要求認證機構以可靠的方式提供服務,但如果認證機構在其證書操作規則中有明確的聲明除外。(certificate practice statement)這就是說允許認證機構改變其運營標準和以不同于法律規定的方式提供服務。伊利諾斯州法既沒有明確規定擔保的方法也沒有規定信賴限制。然而,當認證機構在證書操作規則中沒有相應的規制標準和程序,受損害的當事人可以訴之于法律的規定。
(二)日本《數字簽名及認證法》。日本《數字簽名及認證法》關于認證機關的責任問題,如果是因為認證機關的原因產生的認證內容錯誤,數字簽名及認證法在這方面沒有做出相應的規定,應當依據其他法律做出處理。大體有以下幾種情況:
第一,如果是認證機關工作不負責任(這里指的是民間的認證機關),沒有認證確認其本人的身份而發出了認證證明書,致使經營者信任證明書的可靠性而做了交易因此遭受了損失的,可以依據民法的規定追究認證機關責任人的民事責任。
第二,法定代表人到法務局,自然人到地方公共團體的認證機關辦理認證時,該認證機關的職員在履行職務時,行使的是公權利,這時給人造成的損害(故意的或者過失的),因為認證機關是地方公共團體的組成部分,所以應當依據國家賠償法負有賠償的義務。
第三,如果是完全不相干的其他人員冒名去辦理印鑒登記申請的,由于地方公共團體認證機關的職員的審查不嚴,錯誤地發出了印鑒證明書的,對地方公共團體可以依據國家賠償法要求賠償,則是最近幾年司法實踐所認可的。
認證機關的責任范圍限制沒有具體規定。但如果無限制地擴大范圍,就會給認證機關在經濟上造成很大的壓力(主要指民間認證機關),使其是否能夠存續成為問題。因為認證機關與利用者之間的關系是一種合同關系,認證機關作為合同一方的當事人在享有權利的同時,要承擔相應的責任。應當在權利與責任之間尋找一個平衡點,要在責任范圍方面研究出一個方案,其出發點應當以民法的公序良俗為原則來進行設定。
(三)新加坡《電子交易法》。《電子交易法》第45條(a)款規定,只要按照該法的要求行事,認證機構就不必承擔基于對簽名者虛假或偽造的數字簽名的信任而造成的任何損失。同時,如果用戶的密鑰或證書被盜并進行了非法使用,該用戶將不得不自行承擔在通知認證機構之前所造成的損失。該法第45條(b)款則規定,認證中心對簽發證書時在證書中的誤述或任何未遵守該法案的行為不必承擔超過證書上所規定的有限的責任。
顯然該條給予證書授證中心以特殊的保護。因為安全認證機構在從事簽發電子憑證,證明電子簽名正確性的業務活動中,承擔著很大的法律責任的風險。例如,如果申請電子憑證的一方提供了虛假的身份信息,而安全認證機構沒有通過仔細核查發現,沒有及時告知接收電子簽名文件的一方,就需要承擔責任。又如,當某個電子憑證已經失效,安全認證機構又沒有及時告知對方,也需人承擔責任。在電子商務中,安全認證機構的地位類似于網絡服務提供者,既重要又危機四伏,如果不對其法律責任的風險加以適當的限制,安全認證機構就可能很難生存下去,安全認證市場也會萎縮、消亡,因此,各國電子商務立法基本都考慮到對安全認證機構的責任需要加以適當限制。新加坡“電子商務法”也不例外。該法雖然沒有為安全認證機構規定一般的責任限制,但是規定經政府管理機構許可的安全認證機構可以在其簽發的電子憑證中說明其承擔責任的限額,因此被許可的安全認證機構的責任風險實際上受到了限制。 我們不難看出上述各國對認證機構的民事責任的規定有所不同,其深層原因在于各國對認證機構的設立要求、法律地位上的不同。然而,筆者通過比較,發現各國的立法者的思路是相似的,即對于認證機構的給予一定限度的保護。正是基于認證機構在電子票據法中的核心作用和基礎地位,一些極具特色的民事責任制度相應地被創設和引進。例如引進海商法的賠償責任限制制度、責任擔保的創設、歸責原則的多樣化。
三、我國認證機構的民事法律責任制度構建
與上述各國比較,我國在電子票據方面的立法和理論研究都顯得相當滯后,對認證機構的民事責任制度的研究更是語焉不詳。因此在我國現有制度框架內,一方面借鑒上述國家的成熟做法,另一方面大膽引進其他法律部門的理論,是我們構建認證機構的民事法律責任制度的必由之路。筆者認為,我國在對認證機構的民事責任立法中應該考慮以下幾個方面:
1.歸責原則。認證機構的法律責任可能是侵權責任,也可能是違約責任,由于兩者的性質不同,所以歸責原則的選擇上也會不同。因此筆者認為基于歸責原則的多樣化,立法上必須加以區別對待:
(1)違約責任歸責原則。電子認證機構根據證書申請人的申請向其簽發認證證書,那么,證書申請人就與認證機構基于要約和承諾形成了法律上的合同關系。如果認證機構與證書申請人之間發生糾紛,雙方均可根據合同條款提起法律訴訟。 學者們多數認為應采取過錯責任原則,理由是認證機構正處于發展之中,不宜讓其承擔過大的風險。但筆者認為采取過錯推定原則為宜。首先,雖然認證機構是新興的服務機構,法律制度的設置給予一定的保護是合理的,但這只能夠限定在一定的范圍之內。相對人的利益也應該納入我們的考慮范圍之內。如果我們只考慮問題的一個方面,忽視或者輕視了另一個方面,也許都不利于扶持電子認證機構的發展。這是因為,如果對認證機構的保護是以對證書用戶的損害為代價,那么這種保護只能是形式上的,實際上并不真正有利于這些電子認證機構,因為它必然會導致人們對電子認證并不安全的認識,從而影響電子認證市場的發展。其次,從法律經濟學的角度上看,認證機構與證書申請人之間的信息是不對稱的。認證機構擁有比申請人更加多的信息(資源),因此認證機構更具有優勢,把資源分配給最有優勢的人是有效率的。
但是基于公平原則的考慮,法律必須對這種天然的不平等加以矯正。最后,歸責原則和法律責任是緊密相連的,法律上對認證機構給予責任限制的保護,因此再在歸責原則上給予傾斜是沒有必要的。
(2)侵權責任的歸責原則。各國法律幾乎都有明確規定,經批準合法成立的電子認證機構,在對證書上所記載的申請人簽發電子認證證書時必須保證:該認證證書無認證機構所知的虛假信息;該證書合乎法律規定的所有實質要件;該認證機構于簽發此證書時無逾越其許可的限制。由此,如果認證機構違反上述法定的保證義務,致申請人受到損害,即使申請人與認證機構之間所簽訂的合同并無如此約定,申請人仍然可以依法向認證機構請求損害賠償。筆者認證機構的侵權行為的性質與一般的侵權行為沒有太大的區別,因此認為適用過錯原則是比較合理的。
2.違約形態和賠償范圍。 認證機構的違約形態一般是不完全履行。不完全履行是指債務人雖然履行了債務,但其履行不符合債務的本旨。 認證機構的違約責任大多是由于身份認證差錯而對申請人造成損失。關于賠償范圍問題,猶他州簽名法規定如果損失是由于證書的錯誤陳述造成,認證機構只對直接損失負賠償責任,免去了間接損失和懲罰性賠償,也免去了利潤、利息和精神痛苦的賠償。但華盛頓州的電子簽名法并沒有排除“利潤、利息、或者機會利益的賠償”條款。筆者認為,華盛頓州的做法比猶他州的做法更加合理。我們不難看出,猶他州的違約責任的賠償范圍與一般的侵權責任沒有區別(在不存在精神賠償的情況),這完全混淆了兩者的法律性質。合同是雙方當事人的合意,因此對違約責任的賠償范圍也應該相對寬松,否則違背了意思自治這一基本原則。我們不應該在法律上刻意縮減認證機構的賠償范圍,我國認證機構的違約責任的賠償范圍應該與《合同法》所規定的違約責任賠償范圍相一致。同時,我們也要考慮到申請人難以進行集體談判,因此談判能力較認證機構薄弱得多,在談判中往往處于被動的境地。所以為了防止認證機構濫用其經濟上的實力損害申請人的利益,應該引入法定違約金,作為證書的默認條款。
3.民事賠償責任限制制度。責任限制制度是海商法上的特有制度。航運產生之初,由于造船等技術的落后,船東要承擔巨大的風險,因此為了限制船東的債務,鼓勵航海事業的發展,從而創立了責任限制制度。海商法的責任限制包括單位責任限制和綜合性責任限制。筆者認為,在網絡商務的起步階段,為扶植認證機構的發展而給予其某些特別保護,應當是非常必要的。如果讓提供電子認證服務的機構承擔過大的執業風險,將會挫傷認證機構的積極性,從而不利于電子商務以及其他電子交易的發展。因此我們認為應該大膽引進責任限制,國外的立法給予了我們最好的例證。筆者認為責任限制制度的內容應該包括下列內容:
(1)責任主體。這里的責任主體僅指根據法律可以限制自己的賠償責任的人。除認證機構適用責任限制外,筆者認為,為了保護整個電子票據交易系統的安全,應該把責任主體范圍擴展。責任主體應該包括認證機構雇傭人、證書持有人、證書申請人、證書接受人、或者證書信賴者、及其他證書使用相關的人。
(2)責任限制權利的喪失。如經證明損失是責任人故意或明知可能造成損失而輕率地作為或不作為造成的,責任人無權援引限制賠償責任。例如認證機構與第三人串通發出了認證證明書,致使經營者信任證明書的可靠性而做了交易因此遭受了損失的,可以依據民法的規定追究認證機關的民事責任,認證機構不受責任限制的保護。
(3)責任限額,即責任主體依法對所有限制性債權的最高限額,而限制性債權是指責任主體可根據責任法律限制其賠償責任的債權請求。確定責任限額的方法一般有如下兩種:一是如海商法那樣,規定一個固定責任限額;一是采用浮動責任限額,以每次認證行為所涉及的交易金額或申請人交納的費用的一定比例確定。但要核定認證行為所涉及金額的大小是相當困難的;而另一方面,申請人交納的費用與損失通常是沒有必然聯系的。相比之下,固定責任限額更可取。
(4)責任基金制度。猶他州電子簽名法要求認證機構在注冊時必須向猶他州的商務部提供適當的擔保,這項擔保確保因信賴受損害當事人獲得一定的補償。筆者認為這一制度極有借鑒意義。認證機構在電子票據交易,甚至整個電子商務的交易系統中都處在核心地位。一旦認證機構出現問題,交易系統就有可能崩潰,因此必須保證認證機構的正常運作。所以引進責任基金制度是有必要的。
責任基金是指責任主體要求限制責任的申請一經法院審查認可,就須向法院提交一筆與責任限額等值的款項,作為分配給所有限制性債權的基金。責任主體設立責任基金后,向責任主體提出限制性債權的任何人,不得對責任人的任何財產行使任何權利;已設立基金的責任主體的財產被扣押,法院應該及時下令釋放或退還。
4.交叉認證的法律責任。不同的認證機構產生不同的認證機構的用戶群體,形成各自不同的封閉性的信任環境,這種狀況無疑會對電子票據的發展造成較大的影響。因此,不同認證機構頒發的數字證書實現互通是必然的要求,而實現數字互通的主要手段主要是依靠交叉認證,通過交叉認證,使得不同認證機構的證書用戶可以互相識別對方的證書,從而能夠識別對方的身份,保障電子交易的安全。
多個認證機構進行交叉認證時,認證機構與證書用戶之間、認證機構之間的法律關系發生了變化,相應的法律責任也有所不同:(1)信息披露的責任;(2)在進行交叉認證時,一旦用戶接受證書。認證機構必須造檔案庫中公開;(3)認證機構有責任記錄和保管其他認證機構的證書;(3)認證機構進行交叉認證時,須明確因自身原因而給對方認證機構造成的損失,應承擔相應的民事賠償責任,進行交叉認證的機構對其證書用戶的損失負有連帶賠償責任。
結 語
本文通過美國、新加坡等國之間的立法比較,得出了關于民事法律責任立法的一般思路和一般原則;通過對海商法的相關制度的借鑒,試圖把一些極具特色的制度移植到認證機構的民事責任制度中,以期構建我國的認證機構的民事法律責任制度。筆者主要關注一些關鍵的法律制度和原則,例如歸責原則、違約形態、賠償范圍、責任范圍和交叉認證的法律責任加以詳細的闡述,而對于民事法律責任的其他一般制度沒有加以細化。值得指出的是,交叉認證法律責任問題是我國面臨的最急待解決的問題之一,但是本文由于篇幅和結構所限,不能給予更加系統的論述。
總共2頁 1 [2]
下一頁
