38 接收证书（1）登记人应视为已经收到证书，如果他a 公布一项证书或授权公布证书；i 向一个或一个以上的个人；ii 向一个储存库。或b 在其他情况下，在知道或注意到证书内容时，宣告接收证书（2）证书内载明的登记人接收自己户认证机构发布的证书，应向所有合理依赖证书内容的人证实：a 登记人正确持有与证实内所列公共密钥相符的私密钥；b 登记人向认证机构所作的全部陈述以及证实内包含的信息材料真实有效；并且c 证书内有关登记人所应了解的信息证书有效。39 私密钥的管理（1）登记人通过认证机构发布的证书，并机构身份识别，就承担了合理谨慎的义务，以保持与证书内所列公共密钥相符的私密钥的控制，并防止其向未经授予创设登记人数码签署的权利其他人泄露。（2）上述责任在证书的有效期内和证书中止期间一直存在。40 中止或撤销证书的开始如果在证书中与公共密钥配对的私密钥被泄露给第三人，则接受证书的登记人应尽快请求发证机构中止或撤销证书。可以看到，对于义务的规定与我国是基本相同的，而仅仅就“以欺诈为目的的发布”和“虚假或未经授权的请求”本身进行处罚，至于此种行为可能给电子签名依赖方、电子认证服务提供者造成的损失，则并没有规定应负责任。这样就对电子签名人的法律责任给出了一个限度。而我国的规定相较起来更加严格。电子签名依赖方的责任与义务《电子签名法》未作规定。这是较为被动的一方，它应以合理方式对电子签名进行验证。电子签名人与电子签名依赖方之间一般表现为商务合同关系，主要受《合同法》的调整，一般要求其作为善意的谨慎商人尽到合理的注意义务即可。电子认证服务提供者，处于整个数字签名认证法律关系的中心地位。数据电文和数字签名的真实性、完整性和不可否认性，都基于对电子签名的有效认证，其依据就是认证人颁发的电子签名认证证书。认证人的工作就是通过颁发证书用以证明证书上所载公钥与签名人之间的关系，并以其专业能力和执业资格使依赖方据以验证数字签名的真实性和完整性。我国《电子签名法》规定其义务1、依法申请许可资格，遵守国务院信息产业部的管理规则，并接受信息产业部的监督。（第十八条、第二十四条）2、公开其名称、许可证号、电子认证业务规则，包括责任范围、作业操作规范、hr保障措施。（第十八条第三款、第十九条）3、以合法的手段，审查签名人的身份及相关情况。（第二十条第二款）4、保证认证证书内容在有效期内完整、准确，并保证依赖方能够证实或者了解认证证书所载内容及其他有关事项。（第二十二条）5、妥善保存与认证相关的信息，至少为电子签名时效后五年。（第二十五条）6、妥善解决认证人暂停或终止服务的后续工作。（第二十三条）各国立法中对认证提供者的义务的规定都基本遵循了示范法的样本。而认证提供者到底应负怎样的法律责任呢？认证机构在从事签发电子凭证，证明电子签名正确性的业务活动中，承担着很大的法律责任的风险。例如，如果申请电子凭证的一方提供了虚假的身份信息，而安全认证机构没有通过仔细核查发现，没有及时告知接收电子签名文件的一方，就需要承担责任。又如，当某个电子凭证已经失效，认证机构又没有及时告知对方，也需人承担责任。在电子商务中，认证机构的地位类似于网络服务提供者，既重要又危机四伏，如果不对其法律责任的风险加以适当的限制，安认证机构就可能很难生存下去，认证市场也会萎缩、消亡，因此，各国电子商务立法基本都考虑到对安全认证机构的责任需要加以适当限定。例如欧共体电子签名指令规定，认证机构的民事法律责任主要是，签发权威性证书的认证机构，除非证明自己没有过错，应当对证书内容的完整性和准确性、签名生成数据持有人的身份、签名生成数据和签名验证数据的对应关系以及对因未及时撤销证书而造成的损失负责。不过，认证机构可以事先限制证书的使用范围和责任限额。英国电子签名条例也有类似规定。新加坡电子交易法规定：44 标准依据限额（1）授权认证机构向登记人发布证书时，可以在证书中载明一项供参考的标准依据限额。（2）授权认证机构可以在不同的证书中止不同地点依据限额。45 授权认证机构的责任限制除非授权认证机构放弃适用本条规定，否则a 如果授权认证机构遵守本法规定，依赖一项虚假陈述或伪造的数字签名而造成损失，该机构对损失不承担责任；b 如果标准依据限额是由于下列原因造成扩大的费用，该机构不承担证书内载明的额外费用：i 由于依赖证书中关于授权认证机构应当遵守的陈述错误而造成损失；ii 未能遵守第29条和30条证书发布的规定。虽然没有为安全认证机构规定一般的责任限制，但是规定经政府管理机构许可的安全认证机构可以在其签发的电子凭证中说明其承担责任的限额，因此被许可的安全认证机构的责任风险实际上受到了限制。此项规定，但却引起了新加坡商业界和法律界人士的强烈批评。还有学者认为，这种对认证机构特别保护的规定，还不如代之以利用合同或侵权的一般原则来解决这一问题。另一些学者则认为，之所以给予认证机构以赔偿金额限制，目的是使认证机构承担的风险相当于银行发行自动柜员机卡或信用卡所承担的风险而不是更大。在网络商务的起步阶段，为扶植认证机构的发展而给予其某些特别保护，也无可厚非。另一方面，在认证机构签发给当事人的证书被盗并被他人用以欺诈的情况下，如果欺诈是在当事人将证书被盗的情形通知认证机构之前发生的，则认证机构对当事人因欺诈而导致的损失不负责任。我国《电子签名法》对认证提供者的法律责任规定第二十八条电子签名人或者电子签名依赖方因依据电子认证服务提供者提供的电子签名认证服务从事民事活动遭受损失，电子认证服务提供者不能证明自己无过错的，承担赔偿责任。第三十条电子认证服务提供者暂停或者终止电子认证服务，未在暂停或者终止服务六十日前向国务院信息产业主管部门报告的，由国务院信息产业主管部门对其直接负责的主管人员处一万元以上五万元以下的罚款。第三十一条电子认证服务提供者不遵守认证业务规则、未妥善保存与认证相关的信息，或者有其他违法行为的，由国务院信息产业主管部门责令限期改正；逾期未改正的，吊销电子认证许可证书，其直接负责的主管人员和其他直接责任人员十年内不得从事电子认证服务。吊销电子认证许可证书的，应当予以公告并通知工商hr部门。可以看到，我国《电子签名法》并不限定认证服务提供者的法律责任，认证服务提供者在认证活动中所负的风险是较大的。这是否会阻碍我国认证服务市场的发展呢？在《中华人民共和国电子签名法》的草案中，曾依照新加坡的模式对认证服务提供者的责任进行限制，因为何种原因取消了这种风险保护？科技2004年9月21日以“70家CA需电子签名法放行 百万证书等待转正”为标题对《电子签名法》施行前夕的中国认证服务市场现况作了报道。文中提到：“我国电子签名法的出台是在国内已经有了70多家的电子认证服务机构及已发出去上百万张数字证书之后的，这些认证机构有行业的、区域的，也有完全市场化的；这些数字证书有发给企业的、个人的，也有发给服务器的，这部签名法如何面对这些“既成事实”就成了大家关注它的另一个方面。”专门认证咨询服务业务的北京德法智诚咨询有限公司CTO乔聪军这样认为。我国目前有近9千万网民，其中2千万网上交易用户，网民数量仍在持续发展，网上交易数量不断增大，并且已有七十多家认证机构，已发出上百万张数字证书，很明显我国面对这个已有一定规模的认证市场的首要任务是规范市场行为，筛选其中合格的认证服务提供者。这就决定了我国对认证提供者的法律责任认定的态度。《电子签名法》表明了我国政府规范电子商务改善网络环境的决心。电子认证服务提供者作为保障电子商务交易安全的专业服务提供商，因其行为直接影响交易双方的利益，且就技术和过程掌控能力而言，在三者中处于优势地位，所以，《电子签名法》规定了较为严格的过错推定责任认定制度，要求认证人“证明自己无过错”方可解脱责任。电子认证服务将是一个高风险的行业，积极研究责任防范和“无过错”证据证明方法对于认证人有着十分重要的意义。但从《电子签名法》条文中也能看到，并没有禁止认证服务提供者在服务合同中增加限制自身责任风险的条款。这是法律留出的自由裁量的余地，还是一个没有规定可循的空白区域？新法规的出台，给了认证服务从业者和法律界人士值得讨论和思考的问题。《电子签名法》第二十八条规定，电子签名人或者电子签名依赖方因依据电子认证服务提供者提供的电子签名认证服务从事民事活动遭受损失，电子认证服务提供者不能证明自己无过错的，承担赔偿责任。此处对于赔偿没有作具体规定，一般来说，应以对方遭受损失的数额为准。认证提供者应注意到此规定，在认证活动中尽到自己的法律义务与责任，否则在当下电子商务蓬勃发展交易标的日渐增长的情况下，就有面对巨额赔偿责任的危险。第三十条和第三十一条还对认证提供者在从业中的违规情况的处罚作出了明确规定。对于涉及电子签名的其他违规与犯罪行为，《电子签名法》同样作出了规定：第二十九条未经许可提供电子认证服务的，由国务院信息产业主管部门责令停止违法行为；有违法所得的，没收违法所得；违法所得三十万元以上的，处违法所得一倍以上三倍以下的罚款；没有违法所得或者违法所得不足三十万元的，处十万元以上三十万元以下的罚款。此条使我国电子认证服务市场的准入制度更加严密，旨在保证市场的有序活动，防止其因未经许可的认证提供者的非法经营活动受到影响。第三十二条伪造、冒用、盗用他人的电子签名，构成犯罪的，依法追究刑事责任；给他人造成损失的，依法承担民事责任。那么应承担何种刑事责任，受到何种处罚呢？新加坡《电子交易法》对伪造冒用电子签名的行为的处罚有明确规定：25 以欺诈为目的的发布任何人以欺诈或非法目的故意创设、发布或以其他方式公开一项证书的行为，是违法行为，应处以2万元以下的罚金或2年以下监禁，或者二者并用。26 虚假或未经授权的请求任何人故意向认证机构陈述虚假身份或虚假认证，以便请求发布一项证书或撤销、中止一项证书的行为违法，应处以1万元以下的罚金或6个月以下监禁，或者二者并用。而我国法律中没有明确的量刑标准。因《电子签名法》规定，可靠的电子签名与手写签名或者盖章具有同等的法律效力（第十四条），在依赖电子签名进行的电子商务活动中，是否可参照我国《刑法》中关于合同欺诈的条款值得注意。我们期待着《电子签名法》的实施细则能够解决这一问题。《电子签名法》对负责电子认证服务业监督管理工作的部门的工作人员的违法行为的处罚也作了规定：第三十三条依照本法负责电子认证服务业监督管理工作的部门的工作人员，不依法履行行政许可、监督管理职责的，依法给予行政处分；构成犯罪的，依法追究刑事责任。因为是国务院信息产业主管部门对电子认证服务提供者依法实施监督管理，所以对于此类工作人员的犯罪行为的规定和量刑应可根据我国《刑法》总之，围绕电子签名的法律行为，所涉及的各方会因不同情形分别相应的法法律责任：民事赔偿责任；行政处分；罚款；以至追究刑事责任。我国《电子签名法》的出台，引起了各界的强烈关注，毫无疑问是我国电子商务发展中的里程碑式的事件，对于规范电子签名的使用、电子签名认证服务市场的活动有重大意义，也使我们看到了未来我国电子商务发展的巨大潜力和远景。新法规也引起了我们对涉及电子签名的诸多法律问题的思考，我国的《电子签名法》与世界各国的对应法律相比有何不同之处？我国法律有怎样的特点？在2005年4月1日新法规施行之后，会给现有状况带来怎样的影响？在实践中是否会产生问题？希望通过这样的讨论，能与诸位相互交流借鉴，以我们的共同努力，创造安全、高效、值得信赖的理想电子商务环境。中华全国律师协会信息网络与高新技术专业委员会副主任委员。美国Harvard Law Schoolhr，北京市共和律师事务所合伙人。高级律师。北京律师协会电子商务专业委员会委员，北京仲裁委员会仲裁员 tianfc@concord-lawyers.com