(2)本條的規定不適用於由驗證機構系統提供配對鑰匙的情況。
37獲得證書
註冊人為獲得證書而向授權機構提供的所有信息和聲明,包括註冊人已知的信息和證書中要註明的信息,在其理解和信任的範圍內都應是準確和完整的,無論聲明的身份是否得到認證機構的確認。
38接收證書
(1)登記人應被視為已收到證書,如果他
a .發布證書或授權發布證書;
壹、向壹個或多個個人;
Ii到壹個存儲庫。
或者
b .在其他情況下,當證書的內容為人所知或為人所註意時,該證書即被宣布接受。
(2)證書中規定的登記人應在收到其自己的驗證機構簽發的證書時向所有合理依賴證書內容的人確認:
a .登記人正確持有與證書中所列公用鑰匙相匹配的私人鑰匙;
b .註冊人向認證機構所做的所有聲明以及確認書所包含的信息材料均真實有效;和
c .證書中註冊人應該知道的信息是有效的。
39私鑰管理
(1)當註冊人通過由證書頒發機構頒發的證書並識別該機構的身份時,其承擔合理謹慎的義務,以保持對與證書中所列公鑰壹致的私鑰的控制,並防止其被披露給未被授予創建註冊人數字簽名的權利的其他人。
(2)上述責任在證書有效期和證書暫停期間始終存在。
40 .暫停或吊銷證書的開始
如果證書中與公鑰配對的私鑰泄露給第三人,接受證書的註冊人應盡快請求發證機構暫停或撤銷證書。
可見,關於義務的規定與我國基本壹致,只處罰“以欺詐為目的的出版”和“虛假或未經授權的請求”。至於這種行為可能給電子簽名依賴方和電子認證服務提供者造成的損失,沒有規定責任。這限制了電子簽名人的法律責任。中國的規定更嚴格。
《電子簽名法》沒有規定電子簽名依賴方的責任和義務。這是被動方,應該以合理的方式對電子簽名進行驗證。電子簽名人與電子簽名的依賴方之間的關系壹般是買賣合同關系,主要受合同法調整。壹般來說,要求電子簽名人作為壹個謹慎的善意商人,應當盡到合理的註意義務。
電子認證服務提供商在整個數字簽名認證法律關系中處於中心地位。數據電文和數字簽名的真實性、完整性和不可否認性是基於電子簽名的有效認證,而電子簽名的有效認證是基於認證者簽發的電子簽名認證證書。認證者的工作是通過簽發證書來證明公鑰與簽名人之間的關系,並使依賴方憑借其專業能力和專業資格來驗證數字簽名的真實性和完整性。我國《電子簽名法》規定其義務如下:1。依法申請許可資格,遵守國務院信息產業部的管理規則,接受信息產業部的監管。(第十八條和第二十四條)
2.公示其名稱、許可證號和電子認證業務規則,包括責任範圍、操作規範和信息安全措施。(第18條第3款、第19條)
3.通過法律手段審查簽字人的身份及相關信息。(第20條第2款)
4.確保認證證書的內容在有效期內完整、準確,並確保依賴方能夠確認或理解認證證書所包含的內容及其他相關事項。(第二十二條)
5.在電子簽名過期後,妥善保存與認證相關的信息至少五年。(第二十五條)
6、妥善解決認證機構暫停或終止服務的後續工作。(第二十三條)
各國立法中對認證提供者義務的規定基本上沿襲了《示範法》的樣本。以及認證提供者應該承擔什麽樣的法律責任?在簽發電子證書和證明電子簽名正確性的業務活動中,認證機構承擔著巨大的法律責任風險。比如,申請電子證書的壹方提供虛假身份信息,但安全認證機構未能通過認真核查發現,未能及時告知接收電子簽名文檔的壹方,就要承擔法律責任。再比如,當壹個電子證書已經過期,認證機構沒有及時通知對方,人也要承擔責任。在電子商務中,認證機構的地位類似於網絡服務商,既重要又危險。如果不適當限制其法律責任的風險,安全認證機構可能難以生存,認證市場將會萎縮和消亡。因此,各國的電子商務立法基本上都考慮到了適當限制安全認證機構責任的必要性。如《歐洲電子簽名指令》規定,認證機構的民事法律責任主要是,頒發權威證書的認證機構應對證書內容的完整性和準確性、簽名生成數據持有人的身份、簽名生成數據與簽名驗證數據的對應性以及未及時撤銷證書造成的損失負責。但是,認證機構可以事先限制證書的使用範圍和責任。《英國電子簽名條例》也有類似規定。新加坡的電子交易法規定:
44標準基礎限制
(1)當授權認證機構向註冊人頒發證書時,它可能會在證書中指定壹個參考標準基礎限制。
(2)授權認證機構可以憑不同的證書在不同的地方暫停配額。
45授權認證機構的責任限制
除非授權認證機構放棄本條的適用,
a .如果經授權的認證機構遵守本法的規定,並因虛假陳述或偽造的數字簽名而造成損失,該機構對損失不負責任;
b .標準基礎限制是由於以下原因導致的擴展成本,機構將不承擔證書中規定的額外成本:
壹、被授權認證機構應遵守的依賴證書聲明不正確造成的損失;
二未依第二十九條及第三十條規定核發證書者。
雖然沒有對安全認證機構進行壹般的責任限制,但是規定了政府管理機構許可的安全認證機構可以在其頒發的電子證書中明確其責任限額,因此許可的安全認證機構的責任風險實際上是有限的。然而,這壹規定引起了新加坡商界和法律界的強烈批評。壹些學者認為,這種對認證機構的特殊保護應該被合同或侵權的壹般原則所取代,以解決這壹問題。另有學者認為,限制認證機構賠償金額的目的是使認證機構承擔的風險與發行ATM卡或信用卡的銀行承擔的風險相等,而不是更大。在網上貿易的初期,為了促進認證機構的發展,給予它們壹些特殊的保護是可以理解的。另壹方面,在證書頒發機構頒發的證書被他人竊取並用於欺詐的情況下,如果欺詐發生在當事人將證書被盜的情況通知證書頒發機構之前,證書頒發機構對欺詐造成的損失不承擔責任。與義務相對應,電子簽名人的法律責任是:
第二十七條電子簽名人知道電子簽名制作數據已經或者可能已經失密,未及時通知有關當事人,停止使用電子簽名制作數據,未向電子認證服務提供者提供真實、完整、準確的信息,或者有其他過錯,給電子簽名依賴方和電子認證服務提供者造成損失的,應當承擔賠償責任。