• 麻煩貴法律網可法告知,我國對憑證機構有何規範?

    我國電子簽章法對於憑證機構之管理機制為何?數位憑證技術目前雖已臻成熟,然其相關應用及商業模式,目前卻仍尚在發展階段。在我國憑證市場發展的初期,為避免政府因對於起步中的電子認證產業限制過多而侷限其應用,並鼓勵電子認證產業的多元發展,因此在電子簽章法中,對於憑證機構之管理規範,乃採尊重市場機制自由發展的模式,對於認證業務之經營並不太過限制,以促進國內憑證相關產業的蓬勃發展,進而建構我國電子商務的整體安全環境。   然而憑證機構既扮演公正第三人的角色簽發憑證,若政府完全放任其經營而不適度介入規範,恐難保障使用憑證之消費者或信賴憑證之第三人的權益。為兼顧扶植產業發展及保障消費者權益兩目的,電子簽章法乃採規範憑證實務作業基準應載明事項之管理方式,賦予主管機關適當程度介入監督相關憑證服務契約的權力,來維護保障消費大眾之權益。 憑證機構應完成何種程序後,始得對外提供簽發憑證服務?   依電子簽章法第十一條規定,凡是對外提供簽發憑證服務之憑證機構-亦即該憑證機構所簽發的憑證,為憑證使用者與憑證機構以外之第三人簽署電子文件時作為證明之用者-均必須將其憑證實務作業基準送請主管機關核定。因為所謂對外提供服務的憑證機構,往往扮演公正第三人之角色,相當於網路上「戶政事務所」,其可信賴與否,影響消費者權益甚鉅,因而我國電子簽章法對於對外提供簽發憑證服務的憑證機構,採取了比較嚴格的規範。換言之,憑證機構必須製作憑證實務作業基準,載明憑證機構經營或提供認證服務之相關作業程序,送經主管機關核定後,並將其公布在憑證機構設立之公開網站供公眾查詢,才可以對外提供簽發憑證服務。 憑證實務作業基準變更時,憑證機構應為何種措施?   依我國電子簽章法第十一條第一項規定,對外提供簽發憑證服務之憑證機構的憑證實務作業基準變更時,因其簽發憑證及處理其他認證業務之營運方式等亦可能有所變更,而對憑證消費使用者之權益將造成影響,故憑證機構亦有將其變更之憑證實務作業基準連同相關文件送交主管機關核定之義務。 憑證實務作業基準應記載內容為何?   依我國電子簽章法第十一條第一項之規定,憑證機構應製作憑證實務作業基準,載明憑證機構經營或提供認證服務之相關作業程序,送經主管機關核定後,並將其公布在憑證機構設立之公開網站供公眾查詢,始得對外提供簽發憑證服務。為確保消費者之權益,我國電子簽章法第十一條第二項針對憑證機構製作之憑證實務作業基準所應載明之重要事項定有例示規定,其應包括:   一、足以影響憑證機構所簽發憑證之可靠性或其業務執行之重要資訊。   二、憑證機構逕行廢止憑證之事由。   三、驗證憑證內容相關資料之留存。   四、保護當事人個人資料之方法及程序。   五、其他經主管機關訂定之重要事項。   主管機關經濟部依電子簽章法第十一條第二項第五款之授權,業於民國91年1月25日以經(九一)商字第 ○九○○二二七四○○○ 號令發布「憑證實務作業基準應載明事項」,規範憑證機構應對外揭露事項,以保護憑證使用者之權利。   為使我國之法制規範能充分配合實務發展需求並落實規範目的,主管機關針對憑證機構審查需求,依循國際相關標準以及最小變動、必要性、明確性三項原則,於九十三年七月七日以經商字第○九三○二一○二四五○號令訂定發布「憑證實務作業基準應載明事項準則」,並以經商字第○九三○二一一四六九○號函廢止前述「憑證實務作業基準應載明事項」。   「憑證實務作業基準應載明事項準則」內容計分六章共三十五條。其內容除明訂法源依據與名詞定義外,其他規範憑證機構應於其憑證實務作業基準中載明之重點如下:   (1) 將影響消費者對於憑證機構與其作業基準記載事項信賴之重要事項,      以及用戶與信賴憑證者應注意事項。   (2) 憑證機構之財務責任與處理認證服務或憑證之使用所生糾紛之處理程      序與所適用之法律,以及請求退費之程序。   (3) 稽核或評核事項與其應保護用戶個人資料之種類與維持資訊保密之方      法。   (4) 識別及鑑別、申請與接受憑證之程序以及憑證暫時停用與憑證廢止之      事項。   (5) 憑證機構所採行之非技術性安全控管措施,包括其所採行之實體、運      作程序,以及人員安全之控管措施、紀錄歸檔事項、憑證機構金鑰變      更時之處理程序、危害與災變復原程序之規劃,以及終止憑證服務之      處理程序。   (6) 憑證機構所採行之技術性安全控管措施,包括其金鑰對產製及安裝、      私密金鑰保護、憑證有效期限、公開金鑰是否歸檔與公開金鑰及私密      金鑰各別之使用期限、啟動資訊保護,以及其所採行之系統軟體及網      路安全控管措施。   (7) 憑證與憑證廢止清冊格式剖繪之事項。   至此,我國電子簽章之相關應用在技術面與法制面等基礎建設上,可謂已臻完備。 電子簽章法對於施行前已進行簽發憑證服務之憑證機構有何規範?   在電子簽章法施行前,憑證機構已經進行簽發憑證服務者,電子簽章法對於此類憑證機構,於第十一條第三項規定,要求其應該於電子簽章法施行後六個月內,將憑證實務作業基準送交主管機關核定;但主管機關未完成核定前,其仍得繼續對外提供簽發憑證服務。 對外提供簽發服務之憑證機構,未製作憑證實務作業基準送經主管機關核定時,電子簽章法規定有何罰責?   憑證機構如違反我國電子簽章法第十一條規定,應將憑證實務作業基準送請主管機關核定而未送審,便對外提供簽發憑證服務時,主管機關經濟部視其情節,得處新臺幣一百萬元以上五百萬元以下罰鍰,並令其限期改正。若該憑證機構逾期未改正,仍未於限期內將其憑證實務作業基準送審,主管機關得按次連續處罰該憑證機構,若主管機關認為該憑證機構違反相關規定情節重大者,還可以停止其一部或全部業務,以維護民眾權益。 一般民眾如何得知憑證機構已經主管機關核定?   
    我國電子簽章法第十一條第四項規定主管機關應公告經核定之憑證機構名單,故民眾可由主管機關所公告之經核定的憑證機構名單中查詢。又憑證機構必須在其憑證實務作業基準之首頁載明主管機關之核定文號,已示其已經主管機關之核定,故民眾亦可以選擇至憑證機構之公開網站查詢憑證機構所公佈之憑證實務作業基準,檢視憑證機構於其憑證實務作業基準之首頁,是否載明主管機關核定文號。 憑證機構於終止提供服務前,應完成何種程序?   
    為維持憑證機構提供服務之繼續性,使憑證用戶及信賴憑證者不因憑證機構任意終止服務而影響其權益,我國電子簽章法第十三條第一項乃明定憑證機構終止提供服務時,所應遵守之相關程序。依該條規定,憑證機構在終止服務前,應完成的措施包括:
    一、於終止服務之日三十日前通報主管機關。   
    二、對終止當時仍具效力之憑證,安排其他憑證機構承接其業務。   
    三、於終止服務之日三十日前,將終止服務及由其他憑證機構承接其業務之事實通知當事人。   
    四、將檔案紀錄移交承接其業務之憑證機構。 憑證機構未依電子簽章法規定進行相關程序而終止服務時,主管機關得為如何處理?   
    若憑證機構在終止服務前並未找到其他憑證機構願意承接其業務,則依第十三條第二項規定,主管機關可安排其他憑證機構承接。並且在必要時,為保障消費大眾之權益,主管機關得公告廢止當時仍具效力之憑證,而憑證用戶因此所受之損害,乃可向憑證機構主張其債務不履行,要求其擔負損害賠償責任。 憑證機構受勒令停業處分時,主管機關得為如何處理?   
    當憑證機構依電子簽章法或其他法律而受勒令停業處分者,主管機關可依電子簽章法第十三條第四項規定,安排其他憑證機構承接該憑證機構之業務。倘若未有憑證機構願意承接,主管機關在必要時乃得公告廢止當時仍具效力之憑證,以維民眾權益。同樣的,憑證用戶因此所受之損害,可向憑證機構主張其債務不履行,要求其擔負損害賠償責任。 憑證機構因經營或提供認證服務時所應負的責任為何?可否舉證免責?   
    有鑑於電子簽章應用涉及高度技術性,為保障消費者權益,考量新興技術之舉證困難,我國電子簽章法第十四條第一項針對憑證機構之責任設有舉證責任倒置之規定。   
    對於認證服務所致當事人損害,我國電子簽章法第十四條第一項規定:「憑證機構對因其經營或提供認證服務之相關作業程序,致當事人受有損害,或致善意第三人因信賴該憑證而受有損害者,應負賠償責任。但能證明其行為無過失者,不在此限。」亦即,當事人或善意第三人因使用憑證機構所提供之認證服務受有損害時,原則上推定憑證機構就該損害之發生有所過失,應負賠償責任,惟若憑證機構能夠證明自己之行為沒有過失者,才能免除其賠償責任。以此,將舉證的責任由消費者移轉由憑證機構負擔,以減輕消費者使用認證服務所應承擔之風險。 憑證機構就憑證之使用有何免責權限?   
    為求制度設計上之公允,避免使憑證機構承擔過多之責任,窒礙產業之良性發展,我國電子簽章法第十四條第二項就憑證機構之責任亦設有責任範圍限制之規定。我國電子簽章法第十四條第二項規定:「憑證機構就憑證之使用範圍設有明確限制時,對逾越該使用範圍所生之損害,不負賠償責任。」因此,若憑證機構就憑證之使用範圍設有明確限制時,憑證機構對憑證使用者逾越限制範圍所發生的損害,不必負擔賠償責任。換言之,憑證使用者可能必須自行承擔因逾越該憑證使用範圍所發生的損害。 在何種情況下,外國憑證機構所簽發之憑證與我國憑證機構所簽發之憑證具有相同效力?   
    網路具有超越國界的特性,在電子商務正朝全球化發展之趨勢下,對於外國憑證進行國際交互承認之機制的建立,是現階段國際電子商務能否蓬勃發展的重要課題。各國及許多國際組織也都致力於推動跨國認證機制之建立,國際趨勢亦傾向於規定在一定條件下(比方說相同安全標準)承認使用外國憑證機構所簽發之憑證所證明之電子簽章的法律效力。   
    為因應電子商務跨國界經營運作之特性,並及早規劃國內相關法律配套措施,建構電子商務國際化發展之完善法制環境,針對憑證效力之國際交互承認議題,我國電子簽章法第十五條規定:「依外國法律組織、登記之憑證機構,在國際互惠及安全條件相當原則下,經主管機關許可,其簽發之憑證與本國憑證機構所簽發憑證具有相同之效力。」亦即,在國際互惠原則及安全條件相當原則之前提下,只要外國憑證機構經主管機關許可,其簽發之憑證便與本國憑證機構所簽發憑證具有相同之法律效力。 一般民眾如何得知外國憑證機構是否經過主管機關許可?   我國電子簽章法第十五條第三項規定,主管機關應公告已經其許可之外國憑證機構名單,因此一般民眾可藉由主管機關之公告,來查詢已經許可之憑證機構名單。 許可外國憑證機構之標準為何?   
    我國電子簽章法第十五條賦予主管機關許可外國憑證機構之權限,而主管機關基於平等互惠之原則,對外國憑證機構之許可與對本國憑證機構之核定採取同樣之標準。亦即,申請主管機關許可之外國憑證機構應製作憑證實務作業基準,其憑證實務作業基準並應載明經濟部發布之「憑證實務作業基準應載明事項」所要求事項後,送交經濟部進行許可程序。   
    另方面,有鑑於現實憑證實務發展,對於憑證機構國際承認工作之進行多係透過簽訂雙邊或多邊協約或協定之方式進行,較少由個別憑證機構自行申請許可的情形,為因應日後國際承認實務之需求及國際發展現況,外國憑證機構許可辦法第七條特別定有主管機關得逕行許可之規定。外國憑證機構許可辦法第七條規定:「主管機關得與他國、區域組織或國際組織簽訂雙邊或多邊協定或協約,對於經該他國、區域組織或國際組織許可或認可之外國憑證機構,免除其申請程序,逕行予以許可。」據此,主管機關為因應國際趨勢發展,得衡酌國際合作及國內發展需求,以簽訂雙邊或多邊協約或協定之方式取代個案申請之模式,以期加速國際交互承認工作之進行,及早建立電子商務國際化發展之完善法制環境 → 資料來源

    法律諮詢