对我国金融电子认证法律制度的思考
求的金融领域的特别立法。因此对于需要先 行立法来满足调整要求的金融电子认证领域,应同样采取开放、快速的立法思路。
其次,应从立法上为金融电子认证机构设置科学合理的法律责任机制明确设定一些金 融电子认证机构的积极责任,以促进电子认证机构遵守执业规则,向社会公众提供可信 赖的证实真实可靠信息的数字证书,以保障电子金融业务的安全性并促进网络信用制度 的建设。其中应至少具备以下的一些责任机制:1、对证书信赖人因信赖证书而遭受的 损失应实行金融CA过错损害赔偿制,即认证机构应对其错证行为承担过错责任。显然对 金融CA这种中介服务机构而言,建立损害赔偿机制是必然趋势。就电子认证机构而言, 其与证书用户之间是认证服务合同责任,其与非证书用户的证书信赖人之间是一种职业 责任,对两种义务的损害均需负赔偿责任。但对于金融中介信用服务机构而言,这种损 害赔偿责任应以存在过错为前提。我国《证券法》规定为证券的发行、上市或者证券交 易活动出具审计报告、资产评估报告或者法律意见书等文件的中介服务机构就其所应负 责的内容弄虚作假的,应对其造成的损失承担连带赔偿责任。(注:见《证券法》第202 条。)中国保监会2001年11月16日颁布的《保险公估机构管理规定》第6条规定:保险公 估机构因自身过错给保险当事人造成损害的应当依法承担相应的法律责任,再次体现了 我国对于新型金融中介信用服务机构损害赔偿责任的立法取向。从法律关系上分析,金 融CA与作为证书持有人(证书用户)的证书信赖人之间是一种认证服务合同关系,其对错 证理应承担违约责任。根据《合同法》第107条所确定的合同违约责任归责原则实际上 是无过错原则,即不管当事人违约是因自己还是因他人造成,均应对另一方当事人承担 违约责任。这种归责原则,对于将时刻面对数以万计的网上用户,要根据数十万真伪难 辨的信息进行认证的金融CA而言是难以负荷的。同其他第三方认证机构一样,电子认证 机构所可能做到的只是合理谨慎地根据已有信息进行身份或信息鉴定。基于其颁发证书 的公示性,对于因自己未尽合理谨慎义务而故意或过失颁发错误数字证书造成用户损失 时,认证机构理所当然应承担损害赔偿责任;如果是由于外部人员运用先进技术非法攻 击、网络不运作、信息提供人故意或过失提供错误信息等他人原因造成错误的,基于公 平原则,这种责任不应再由面临过多风险的金融CA来承担,而只能由侵权人承担。另一 方面,金融CA与非证书持有人的证书信赖人之间无直接合同关系,而只是一种职业责任 ,那么认证机构所可能承担的便只是侵权责任,并且认证机构的错证行为对证书信赖人 因信赖证书而承受的损失而言只是一种间接原因,两者之间并无必然因果关系,因而只 能实行过错责任制,并且认证机构无须负全部责任,仅须就直接侵权人所无法承担的部 分负责。(注:参见王利明、杨立新编著:《侵权行为法》,法律出版社1996年版,第6 4页。)因此,在未来的电子金融立法中,应以特别法的形式规定金融CA对错证所造成证 书信赖人的损失承担损害赔偿的过错责任制,并且应实行推定过错制,即须金融CA证明 自己有无过错,而不能将此举证责任由处于技术弱势地位的证书信赖人完成。并且立法 中对错证行为也应有明确的定义。损害赔偿制要得以实施,还需立法上对金融CA承担民 事责任的能力作出保障,如规定注册资本的下限限额、从认证费用中提取一定比例风险 准备金制度等等。2、保密责任与协助司法责任责任:金融CA作为金融领域的电子信息 服务机构,其所建立的庞大的数据库系统所面临的首要责任便是对用户私人数据的保密 义务,商业秘密、个人秘密的保护是信息服务机构的重要义务。包括代码、密码、运算 规则、私人暗码等在内的特殊数据都是解读信息或电子通信所必须的也是认证机构需严 格进行管理与保护的对象。即需立法上明确规定认证机构作为超然于交易双方利益之外 的第三方,应对所管理的交易双方的信息资料等商业秘密负有严格的职业保密义务,对 交易主体个人数据或记名数据的处理应负有重大的安全义务,并通
再次,应规定鼓励金融CA发展的责任机制与措施。为避免金融CA承担过重责任而限制 了自身发展,从立法上又需设定对认证机构的责任限制的规定,以使其维持不过高的运 营成本,为电子金融安全提供可靠的认证服务。这些责任限制手段有包括以下所述在内 的多种方式:1、规定认证机构对损害赔偿的“先诉抗辩权”,即尽管认证机构的行为 存在过错,证书依赖人在证书使用限制范围内,因依赖证书而在交易中遭受损失,但在 受损失人采取一切救济手段(包括经审判并强制执行)尚不能从直接侵权人处获得充分赔 偿之前,认证机构可以拒绝承担责任。这样可以促使责任在认证机构与真正侵权人之间 进行更为合理公平的分配。2、应允许金融CA在认证证书上注明使用限制(包括对交易价 值的限制),如果这些限制明确无歧义,认证机构可以不对由于无视这些限制而产生的 损失负责。例如美国尤他州《数字签名法》第308条规定,即使认证机构存在虚假陈述 ,认证机构也不对超过证书中明确建议的可靠性程度的数额负责。3、规定金融CA在严 格遵守了法令规定及业务守则的前提下,以及在 《对我国金融电子认证法律制度的思考(第3页)》
本文链接地址:http://www.oyaya.net/fanwen/view/170318.html
其次,应从立法上为金融电子认证机构设置科学合理的法律责任机制明确设定一些金 融电子认证机构的积极责任,以促进电子认证机构遵守执业规则,向社会公众提供可信 赖的证实真实可靠信息的数字证书,以保障电子金融业务的安全性并促进网络信用制度 的建设。其中应至少具备以下的一些责任机制:1、对证书信赖人因信赖证书而遭受的 损失应实行金融CA过错损害赔偿制,即认证机构应对其错证行为承担过错责任。显然对 金融CA这种中介服务机构而言,建立损害赔偿机制是必然趋势。就电子认证机构而言, 其与证书用户之间是认证服务合同责任,其与非证书用户的证书信赖人之间是一种职业 责任,对两种义务的损害均需负赔偿责任。但对于金融中介信用服务机构而言,这种损 害赔偿责任应以存在过错为前提。我国《证券法》规定为证券的发行、上市或者证券交 易活动出具审计报告、资产评估报告或者法律意见书等文件的中介服务机构就其所应负 责的内容弄虚作假的,应对其造成的损失承担连带赔偿责任。(注:见《证券法》第202 条。)中国保监会2001年11月16日颁布的《保险公估机构管理规定》第6条规定:保险公 估机构因自身过错给保险当事人造成损害的应当依法承担相应的法律责任,再次体现了 我国对于新型金融中介信用服务机构损害赔偿责任的立法取向。从法律关系上分析,金 融CA与作为证书持有人(证书用户)的证书信赖人之间是一种认证服务合同关系,其对错 证理应承担违约责任。根据《合同法》第107条所确定的合同违约责任归责原则实际上 是无过错原则,即不管当事人违约是因自己还是因他人造成,均应对另一方当事人承担 违约责任。这种归责原则,对于将时刻面对数以万计的网上用户,要根据数十万真伪难 辨的信息进行认证的金融CA而言是难以负荷的。同其他第三方认证机构一样,电子认证 机构所可能做到的只是合理谨慎地根据已有信息进行身份或信息鉴定。基于其颁发证书 的公示性,对于因自己未尽合理谨慎义务而故意或过失颁发错误数字证书造成用户损失 时,认证机构理所当然应承担损害赔偿责任;如果是由于外部人员运用先进技术非法攻 击、网络不运作、信息提供人故意或过失提供错误信息等他人原因造成错误的,基于公 平原则,这种责任不应再由面临过多风险的金融CA来承担,而只能由侵权人承担。另一 方面,金融CA与非证书持有人的证书信赖人之间无直接合同关系,而只是一种职业责任 ,那么认证机构所可能承担的便只是侵权责任,并且认证机构的错证行为对证书信赖人 因信赖证书而承受的损失而言只是一种间接原因,两者之间并无必然因果关系,因而只 能实行过错责任制,并且认证机构无须负全部责任,仅须就直接侵权人所无法承担的部 分负责。(注:参见王利明、杨立新编著:《侵权行为法》,法律出版社1996年版,第6 4页。)因此,在未来的电子金融立法中,应以特别法的形式规定金融CA对错证所造成证 书信赖人的损失承担损害赔偿的过错责任制,并且应实行推定过错制,即须金融CA证明 自己有无过错,而不能将此举证责任由处于技术弱势地位的证书信赖人完成。并且立法 中对错证行为也应有明确的定义。损害赔偿制要得以实施,还需立法上对金融CA承担民 事责任的能力作出保障,如规定注册资本的下限限额、从认证费用中提取一定比例风险 准备金制度等等。2、保密责任与协助司法责任责任:金融CA作为金融领域的电子信息 服务机构,其所建立的庞大的数据库系统所面临的首要责任便是对用户私人数据的保密 义务,商业秘密、个人秘密的保护是信息服务机构的重要义务。包括代码、密码、运算 规则、私人暗码等在内的特殊数据都是解读信息或电子通信所必须的也是认证机构需严 格进行管理与保护的对象。即需立法上明确规定认证机构作为超然于交易双方利益之外 的第三方,应对所管理的交易双方的信息资料等商业秘密负有严格的职业保密义务,对 交易主体个人数据或记名数据的处理应负有重大的安全义务,并通
过自己的认证服务, 为交易主体提供关于交易安全性的真实信息。但另一方面,私人数据的保护还面临与国 家安全利益保障的冲突。从立法上应明确,金融CA在保障信息安全的同时,又负有协助 司法或行政机关根据法定程序进入加密信息,进行保护国家利益方面的举证的责任。也 就是说,认证信息的安全体制将受到与国家安全或刑事诉讼程序相关的强制性规定的限 制,同时立法应予明确的是,认证机构在依法定程序向司法机关交出“密钥”的情况下 ,应负有将此事实向用户通知的义务,以保障个人数据与通信秘密的尊严。3、风险揭 示责任:鉴于金融电子认证所存在的大量风险,认证机构应积极作为以提示证书依赖人 可能遭遇的风险。风险揭示虽不能作为认证机构免责的依据,但可避免信赖人对认证机 构苛求过重的责任。4、积极技术责任:对金融CA的服务技术标准作出规定是必不可少 的。金融CA的服务既需要满足一般认证机构的服务标准,又要符合金融领域的特殊要求 ,因此其技术责任应紧密联系金融领域的有关国际管理标准。
再次,应规定鼓励金融CA发展的责任机制与措施。为避免金融CA承担过重责任而限制 了自身发展,从立法上又需设定对认证机构的责任限制的规定,以使其维持不过高的运 营成本,为电子金融安全提供可靠的认证服务。这些责任限制手段有包括以下所述在内 的多种方式:1、规定认证机构对损害赔偿的“先诉抗辩权”,即尽管认证机构的行为 存在过错,证书依赖人在证书使用限制范围内,因依赖证书而在交易中遭受损失,但在 受损失人采取一切救济手段(包括经审判并强制执行)尚不能从直接侵权人处获得充分赔 偿之前,认证机构可以拒绝承担责任。这样可以促使责任在认证机构与真正侵权人之间 进行更为合理公平的分配。2、应允许金融CA在认证证书上注明使用限制(包括对交易价 值的限制),如果这些限制明确无歧义,认证机构可以不对由于无视这些限制而产生的 损失负责。例如美国尤他州《数字签名法》第308条规定,即使认证机构存在虚假陈述 ,认证机构也不对超过证书中明确建议的可靠性程度的数额负责。3、规定金融CA在严 格遵守了法令规定及业务守则的前提下,以及在 《对我国金融电子认证法律制度的思考(第3页)》