電子簽名人

電子簽名人或者電子簽名依賴方因依據電子認證服務提供者提供的電子簽名認證服務從事民事活動遭受損失,電子認證服務提供者不能證明自己無過錯的,承擔賠償責任。這是電子簽名法作出的規定。利和交易安全,這部法律對電子認證服務提供者作出了嚴格的條件限定。法律規定,電子認證服務提供者簽發的電子簽名認證證書應當準確無誤。電子認證服務提供者應當保證電子簽名認證證書內容在有效期內完整、準確,並保證電子簽名依賴方能夠證實或者了解電子簽名認證證書所載內容及其他有關事項。

25 、以欺詐為目的的發布

任何人以欺詐或非法目的故意創設、發布或以其他方式公開一項證書的行為，是違法行為，應處以2萬元以下的罰金或2年以下監禁，或者二者並用。

26、 虛假或未經授權的請求

任何人故意向認證機構陳述虛假身份或虛假認證，以便請求發布一項證書或撤銷、中止一項證書的行為違法，應處以1萬元以下的罰金或6個月以下監禁，或者二者並用。

第二十條：電子簽名人向電子認證服務提供者申請電子簽名認證證書，應當提供真實、完整和準確的信息。

雙向認證過程

第十五條：電子簽名人應當妥善保管電子簽名製作數據。

電子簽名人知悉電子簽名製作數據已經失密或者可能已經失密時，應當及時告知有關各方，並終止使用該電子簽名製作數據。

36 創設配對密鑰 　(1)如果登記人創設了一對配對密鑰，而且其中的公共密鑰於認證機構發布的證書內載明，並為登記人接收，則登記人應使用可靠系統創設密鑰;

CA結構圖

(2)本條規定不適用於認證機構的系統提供的配對密鑰的情況。

37 獲取證書

登記人為獲取證書提供給授權機構的所有資料和陳述，包括登記人已知的信息和在證書中將要表明的信息，不論該陳述身份為認證機構確認與否，都應在其理解和信賴的範圍內保證準確和完整。

38 接收證書

(1)登記人應視為已經收到證書，如果他

a 公布一項證書或授權公布證書;

i 向一個或一個以上的個人;

ii 向一個儲存庫。

或

b 在其他情況下，在知道或注意到證書內容時，宣告接收證書

(2)證書內載明的登記人接收自己戶認證機構發布的證書，應向所有合理依賴證書內容的人證實：

a 登記人正確持有與證實內所列公共密鑰相符的私密鑰;

b 登記人向認證機構所作的全部陳述以及證實內包含的信息材料真實有效;並且

c 證書內有關登記人所應了解的信息證書有效。

39 私密鑰的管理

(1)登記人通過認證機構發布的證書，並機構身份識別，就承擔了合理謹慎的義務，以保持與證書內所列公共密鑰相符的私密鑰的控制，並防止其向未經授予創設登記人數碼簽署的權利其他人泄露。

(2)上述責任在證書的有效期內和證書中止期間一直存在。

40 中止或撤銷證書的開始

如果在證書中與公共密鑰配對的私密鑰被泄露給第三人，則接受證書的登記人應儘快請求發證機構中止或撤銷證書。

可以看到，對於義務的規定與我國是基本相同的，而僅僅就“以欺詐為目的的發布”和“虛假或未經授權的請求”本身進行處罰，至於此種行為可能給電子簽名依賴方、電子認證服務提供者造成的損失，則並沒有規定應負責任。這樣就對電子簽名人的法律責任給出了一個限度。而我國的規定相較起來更加嚴格。

電子簽名依賴方的責任與義務《電子簽名法》未作規定。這是較為被動的一方，它應以合理方式對電子簽名進行驗證。電子簽名人與電子簽名依賴方之間一般表現為商務契約關係，主要受《契約法》的調整，一般要求其作為善意的謹慎商人盡到合理的注意義務即可。

電子認證服務提供者，處於整個數字簽名認證法律關係的中心地位。數據電文和數字簽名的真實性、完整性和不可否認性，都基於對電子簽名的有效認證，其依據就是認證人頒發的電子簽名認證證書。認證人的工作就是通過頒發證書用以證明證書上所載公鑰與簽名人之間的關係，並以其專業能力和執業資格使依賴方據以驗證數字簽名的真實性和完整性。我國《電子簽名法》規定其義務如下： 　1、依法申請許可資格，遵守國務院信息產業部的管理規則，並接受信息產業部的監督。(第十八條、第二十四條)

2、公開其名稱、許可證號、電子認證業務規則，包括責任範圍、作業操作規範、信息安全保障措施。(第十八條第三款、第十九條)

3、以合法的手段，審查簽名人的身份及相關情況。(第二十條第二款)

4、保證認證證書內容在有效期內完整、準確，並保證依賴方能夠證實或者了解認證證書所載內容及其他有關事項。(第二十二條)

5、妥善保存與認證相關的信息，至少為電子簽名時效後五年。(第二十五條)

6、妥善解決認證人暫停或終止服務的後續工作。(第二十三條)

各國立法中對認證提供者的義務的規定都基本遵循了示範法的樣本。而認證提供者到底應負怎樣的法律責任呢?認證機構在從事簽發電子憑證，證明電子簽名正確性的業務活動中，承擔著很大的法律責任的風險。例如，如果申請電子憑證的一方提供了虛假的身份信息，而安全認證機構沒有通過仔細核查發現，沒有及時告知接收電子簽名檔案的一方，就需要承擔責任。又如，當某個電子憑證已經失效，認證機構又沒有及時告知對方，也需人承擔責任。在電子商務中，認證機構的地位類似於網路服務提供者，既重要又危機四伏，如果不對其法律責任的風險加以適當的限制，安認證機構就可能很難生存下去，認證市場也會萎縮、消亡，因此，各國電子商務立法基本都考慮到對安全認證機構的責任需要加以適當限定。例如歐共體電子簽名指令規定，認證機構的民事法律責任主要是，簽發權威性證書的認證機構，除非證明自己沒有過錯，應當對證書內容的完整性和準確性、簽名生成數據持有人的身份、簽名生成數據和簽名驗證數據的對應關係以及對因未及時撤銷證書而造成的損失負責。不過，認證機構可以事先限制證書的使用範圍和責任限額。英國電子簽名條例也有類似規定。新加坡電子交易法規定：

44 標準依據限額

(1)授權認證機構向登記人發布證書時，可以在證書中載明一項供參考的標準依據限額。

(2)授權認證機構可以在不同的證書中止不同地點依據限額。

45 授權認證機構的責任限制

除非授權認證機構放棄適用本條規定，否則

a 如果授權認證機構遵守本法規定，依賴一項虛假陳述或偽造的數字簽名而造成損失，該機構對損失不承擔責任;

b 標準依據限額是由於下列原因造成擴大的費用，該機構不承擔證書內載明的額外費用：

i 由於依賴證書中關於授權認證機構應當遵守的陳述錯誤而造成損失;

ii 未能遵守第29條和30條證書發布的規定。

雖然沒有為安全認證機構規定一般的責任限制，但是規定經政府管理機構許可的安全認證機構可以在其簽發的電子憑證中說明其承擔責任的限額，因此被許可的安全認證機構的責任風險實際上受到了限制。此項規定，但卻引起了新加坡商業界和法律界人士的強烈批評。還有學者認為，這種對認證機構特別保護的規定，還不如代之以利用契約或侵權的一般原則來解決這一問題。另一些學者則認為，之所以給予認證機構以賠償金額限制，目的是使認證機構承擔的風險相當於銀行發行自動櫃員機卡或信用卡所承擔的風險而不是更大。在網路商務的起步階段，為扶植認證機構的發展而給予其某些特別保護，也無可厚非。另一方面，在認證機構簽發給當事人的證書被盜並被他人用以欺詐的情況下，如果欺詐是在當事人將證書被盜的情形通知認證機構之前發生的，則認證機構對當事人因欺詐而導致的損失不負責任。

與義務相對應，電子簽名人應負有的法律責任是：

第二十七條：電子簽名人知悉電子簽名製作數據已經失密或者可能已經失密未及時告知有關各方、並終止使用電子簽名製作數據，未向電子認證服務提供者提供真實、完整和準確的信息，或者有其他過錯，給電子簽名依賴方、電子認證服務提供者造成損失的，承擔賠償責任。