第二十七條 電子簽名人知悉電子簽名制作數據已經失密或者可能已經失密未及時告知有關各方、并終止使用電子簽名制作數據，未向電子認證服務提供者提供真實、完整和準確的信息，或者有其他過錯，給電子簽名依賴方、電子認證服務提供者造成損失的，承擔賠償責任。

　　【釋義】 本條是關于電子簽名人未履行法定義務造成他人損失承擔賠償責任的規定。

　　一、電子簽名人作為電子簽名活動中的一方當事人，除了享有法律賦予的權利以外，還應當履行法律規定的義務。按照本法規定，電子簽名人應當妥善保管電子簽名制作數據。電子簽名人知悉電子簽名制作數據已經失密或者可能已經失密時，應當及時告知有關各方，并終止使用該電子簽名制作數據。如果電子簽名人未妥善保管電子簽名制作數據，知悉電子簽名制作數據已經失密或者可能已經失密時，未及時告知有關各方，并終止使用電子簽名制作數據，則可能使電子簽名活動中的其他各方當事人因信賴所使用的電子簽名制作數據而遭受損失，對于所造成的損失，電子簽名人應承擔賠償責任。

　　二、按照本法規定，電子簽名人向電子認證服務提供者申請電子簽名認證證書，應當提供真實、完整和準確的信息。電子簽名人由于提供的信息不真實、不完整、不準確，給電子簽名活動的其他各方當事人造成損失的，應承擔賠償責任。

　　三、電子簽名人由于自己的過錯給電子簽名依賴方、電子認證服務提供者造成損失的，承擔賠償責任。聯合國貿法會電子簽名示范法對于電子簽名人也規定了類似本法規定的義務，按照示范法的規定，簽名人知悉簽名制作數據已經失密或者簽名人知悉導致簽名制作數據可能已經失密的重大風險情況時，應毫不遲疑地作出合理的努力，向簽名人可以合理預計的依賴電子簽名或提供支持電子簽名服務的任何人發出通知。如果未滿足以上要求，應承擔由此引起的法律后果。在這方面本法的規定與聯合國貿法會電子簽名示范法的規定是一致的。按照民法通則的規定，公民、法人由于過錯侵害國家的、集體的財產，侵害他人財產、人身的，應當承擔民事責任。本條規定的承擔民事責任的方式是賠償損失。這是適用最廣泛的一種責任形式。在我國法律上的賠償損失，專指

　　以金錢的方式賠償對方的損失。侵犯財產權和侵犯人身權都可能發生這種責任。賠償損失的民事責任，除法律有特別規定外，應當賠償受害人的全部損失。損失除了包括財產的直接損失外，還包括間接損失，或者說是可得利益的損失。

　　四、按照本條規定，電子簽名人承擔賠償責任的前提條件是主觀上必須有過錯。可以看出，本法對電子簽名人承擔民事責任實行的是過錯責任原則。如果電子簽名人主觀上沒有過錯，則不承擔賠償責任。

　　第二十八條 電子簽名人或者電子簽名依賴方因依據電子認證服務提供者提供的電子簽名認證服務從事民事活動遭受損失，電子認證服務提供者不能證明自己無過錯的，承擔賠償責任。

　　【釋義】 本條是關于電子認證服務提供者因過錯給電子簽名人或者電子簽名依賴方造成損失承擔賠償責任的規定。

　　一、由于電子商務的開放性，交易各方不相識、不了解，彼此不信任，因而不具備達成交易所必需的信任基礎。這在客觀上就需要一個既為各方所信任，又具備專業技能，同時又管理嚴格的機構。于是，電子認證服務便應運而生。電子認證是一種用于確定一個人的身份或者特定信息真實性的程序。對于一個數據電文，認證涉及確定其來源及確定其在傳送過程中沒有被修改或替換。也就是特定的機構對電子簽名及其簽署者的真實性進行驗證的過程。電子認證的主要功能就是對內防止否認，對外防止欺詐。而且從事電子認證業務的電子認證服務提供者是具備法律規定的條件，依法設立并經國務院信息產業主管部門予以許可的。正是基于對電子認證服務提供者的信任，民事活動中的電子簽名人、電子簽名依賴方才會信賴電子認證服務提供者頒發的電子認證證書。如果電子簽名人或者電子簽名依賴方自己本身沒有任何過錯，只#p#分頁標題#e#

　　是由于信賴電子認證服務提供者提供的服務，依據電子認證服務提供者提供的電子認證服務而遭受損失的，電子認證服務提供者應當承擔賠償責任。

　　二、按照本條的規定，電子認證服務提供者如果不能證明自己無過錯的，承擔賠償責任。也就是說，如果電子認證服務提供者能夠證明自己沒有過錯，則不承擔賠償責任。在通常情況下，對原告提出的事實，是由原告先舉證，只有原告盡到了自己的舉證責任，被告予以反駁，才由被告對反駁意見提供證據并加以說明。本條規定的是舉證責任倒置，即對原告提出的侵權事實，電子認證服務提供者如果予以否認，則應負舉證責任，證明自己沒有過錯。對于這一規定，在審議修改過程中存在兩種意見。一種意見認為，電子認證服務提供者所提供的認證服務，對于民事活動中的交易安全起著至關重要的作用，如果由于電子認證服務提供者的原因使電子簽名人或者電子簽名依賴方遭受損失，電子認證服務提供者應當承擔嚴格責任，無論是否有過錯。另一種則意見認為，電子認證服務作為一項新興的產業，且對電子交易的安全又是必不可少的，因此，應當對這一行業以鼓勵為主，大力扶持，不應規定過于嚴格

　　的法律責任。且電子認證服務屬于高風險的行業，規定的民事責任過于嚴格，可能會不利于這一行業的發展。立法機關經過認真研究，認為該條現在的規定，對于電子認證服務提供者是合適的。既沒有因為規定過嚴，而阻礙電子認證服務業的發展;也沒有過寬，使電子簽名人或者電子簽名依賴方對電子認證服務提供者產生不信任。本條規定電子認證服務提供者承擔舉證責任，即只要電子認證服務提供者能夠證明自己對于電子簽名人或者電子簽名依賴方所遭受的損失沒有過錯，就不承擔責任。而對于電子認證服務提供者來講，只要能夠證明其所提供的服務完全是嚴格按照本法和符合國家規定并向國務院信息產業主管部門備案的電子認證業務規則實施的，則應能夠證明沒有過錯。

　　三、按照本法規定，電子認證服務提供者應當制定、公布符合國家有關規定的電子認證業務規則，并向國務院信息產業主管部門備案。電子認證業務規則應當包括責任范圍、作業操作規范、信息安全保障措施等事項。按照目前一些電子認證服務提供者制定的電子認證業務規則的規定，電子認證服務提供者承擔賠償責任實行的是限額賠償，且各個電子認證服務提供者所制定的電子認證業務規則有所不同，對于責任范圍規定的也不同。多數是根據電子認證證書申請者的性質以及所交費用的不同而有所不同。

　　第二十九條 未經許可提供電子認證服務的，由國務院信息產業主管部門責令停止違法行為;有違法所得的，沒收違法所得;違法所得三十萬元以上的，處違法所得一倍以上三倍以下的罰款;沒有違法所得或者違法所得不足三十萬元的，處十萬元以上三十萬元以下的罰款。

　　【釋義】 本條是關于未經許可提供電子認證服務應承擔的法律責任的規定。

　　一、按照本法規定，從事電子認證服務，應當向國務院信息產業主管部門提出申請，并提交具有相應的專業技術人員和管理人員、相應的資金和經營場所、符合國家安全標準的技術和設備、國家密碼管理機構同意使用密碼的證明文件以及法律、行政法規規定的其他條件的相關材料。國務院信息產業主管部門接到申請后經依法審查，征求國務院商務主管部門等有關部門的意見后，自接到申請之日起四十五日內作出許可或者不予許可的決定。予以許可的，頒發電子認證許可證書。申請人應當持電子認證許可證書依法向工商行政管理部門辦理企業登記手續。如果沒有按照以上規定的程序取得電子認證從業許可，就構成本條規定的未經許可提供電子認證服務的違法行為。

　　二、按照本條規定，對于未經許可提供電子認證服務的，應當承擔以下行政責任：

　　1.責令停止違法行為。即由國務院信息產業主管部門責令違法行為人停止提供電子認證服務的行為。由于電子認證服務涉及民事合同有關各方的交易安全，為了使電子簽名人以及電子簽名依賴方免受損失，國務院信息產業主管部門一旦發現未經許可從事提供電子認證服務的行為，應當立即責令違法行為人停止違法行為。#p#分頁標題#e#

　　2.對于有違法所得的，沒收違法所得。這里講的違法所得，是指由于非法提供電子認證服務行為而獲得的全部經營收入。

　　3.違法所得三十萬元以上的，對其處以罰款。罰款，是指有行政處罰權的行政機關強制行為人承擔金錢給付義務，即在一定期限內交納一定錢款的處罰形式。按照本條規定，行使行政處罰權的機關是國務院信息產業主管部門。即由國務院信息產業主管部門對違法行為人處以罰款。罰款的幅度為違法所得一倍以上三倍以下。

　　4.沒有違法所得或者違法所得不足三十萬元的，處十萬元以上三十萬元以下的罰款。

　　第三十條 電子認證服務提供者暫停或者終止電子認證服務，未在暫停或者終止服務六十日前向國務院信息產業主管部門報告的，由國務院信息產業主管部門對其直接負責的主管人員處一萬元以上五萬元以下的罰款。

　　【釋義】 本條是關于電子認證服務提供者暫停或者終止電子認證服務未按規定報告的法律責任的規定。

　　一、按照本法規定，電子認證服務提供者擬暫停或者終止電子認證服務的，應當在暫停或者終止服務六十日前向國務院信息產業主管部門報告，并與其他電子認證服務提供者就業務承接事項進行協商，作出妥善安排。由于認證機構的業務涉及到公眾利益，是一般交易的基礎條件，其業務的終止不能像一般的盈利性企業一樣，而是應當建立使其營業持續進行的機制，即業務承接。因此，要求電子認證服務提供者按照本法的規定向國務院信息產業主管部門報告，就是為了保證這種業務的持續，及時報告便于國務院信息產業主管部門及時作出安排，保護用戶的權益。電子認證服務提供者如果打算暫停或者終止電子認證服務，沒有在暫停或者終止服務六十日前向國務院信息產業主管部門報告，則構成本條的違法行為，應依照本條規定承擔法律責任。

　　二、按照本條規定，對于有本條規定的違法行為，由國務院信息產業主管部門對其直接負責的主管人員處一萬元以上五萬元以下的罰款。本條規定的實施行政處罰的機關是國務院信息產業主管部門。本條規定的處罰對象是電子認證服務提供者的直接負責的主管人員。這里講的"直接負責的主管人員"，是指在單位違法行為中負有直接領導責任的人員，包括違法行為的決策人，事后對單位違法行為予以認可和支持的領導人員，以及由于疏忽管理或放任，因而對單位違法行為負有不可推卸的責任的領導人員。本條規定的行政處罰的種類是罰款。罰款的幅度是一萬元以上五萬元以下。

　　第三十一條 電子認證服務提供者不遵守認證業務規則、未妥善保存與認證相關的信息，或者有其他違法行為的，由國務院信息產業主管部門責令限期改正;逾期未改正的，吊銷電子認證許可證書，其直接負責的主管人員和其他直接責任人員十年內不得從事電子認證服務。吊銷電子認證許可證書的，應當予以公告并通知工商行政管理部門。

　　【釋義】 本條是關于電子認證服務提供者違法行為應承擔的法律責任的規定。

　　一、按照本法規定，電子認證服務提供者應當制定、公布符合國家有關規定的電子認證業務規則，并向國務院信息產業主管部門備案。電子認證業務規則，是電子認證服務提供者制定的，用于約束電子認證服務提供者以及電子簽名人、電子認證證書的信賴者的業務聲明。各方當事人必須遵守，特別是認證服務提供者。如果電子認證服務提供者不遵守認證業務規則的規定，就構成了本條規定的違法行為。如按照某電子認證服務提供者制定的電子認證業務聲明的規定，電子認證服務提供者應當對認證證書申請者的身份進行鑒別，如必須檢查文件的復印件，包括工商執照、組織機構代碼、稅務登記等。認證服務提供者可以通過查詢第三方數據庫或咨詢相應的政府機構等方式，來對申請者及其申請材料進行驗證。如果電子認證服務提供者對申請者所提供的材料沒有進行驗證，就會影響認證證書的真實性與安全性，構成本條規定的違法行為。應依照本條規定承擔法律責任。#p#分頁標題#e#

　　二、按照本法規定，電子認證服務提供者應當妥善保存與認證相關的信息。這是本法對電子認證服務提供者規定的一項義務。與認證相關的信息涉及電子簽名人的一些個人資料，還要保證電子簽名依賴方能夠證實或者了解電子簽名認證證書所載內容及其他有關事項，電子認證服務提供者應當采取有效的措施予以保存，如應采取物理安全保障措施，免遭惡劣環境或者突發事件等的破壞。如果未妥善保存信息，不能確保這些信息在規定的期限內滿足查閱的需要。則構成本條的違法行為，應承擔相應的法律責任。

　　三、按照本法規定，國務院信息產業主管部門有權制定電子認證服務業的具體管理辦法。電子認證服務提供者對于國務院信息產業主管部門依法制定的電子認證服務業管理辦法必須遵守，如果未遵守就構成本條規定的其他違法行為，也應依照本法規定追究其法律責任。

　　四、按照本條規定，電子認證服務提供者不遵守認證業務規則、未妥善保存與認證相關的信息，或者有其他違法行為的，首先由國務院信息產業主管部門責令限期改正。即責令違法行為人在規定的期限內糾正違法行為。如果電子認證服務提供者在規定的期限內未糾正違法行為，則由國務院信息產業主管部門吊銷電子認證許可證書。這是比較嚴厲的能力罰。這里講的"吊銷許可證書"，是指有關行政執法機關依法取消經營單位從事經營活動的合法憑證。即由國務院信息產業主管部門取消有違法行為的電子認證服務提供者所取得的許可從事電子認證服務的合法憑證，剝奪有違法行為的電子認證服務提供者從事電子認證服務的資格。同時，要對電子認證服務提供者的直接負責的主管人員和其他直接

　　責任人員處以資格罰。即在十年內不得從事電子認證服務。這里講的"其他直接責任人員"，是指直接實施單位違法行為的人員。對于吊銷電子認證許可證書的，國務院信息產業主管部門應當予以公告。公告應當在大眾媒體上，目的是讓廣大用戶都能知曉，避免造成不必要的損失。在公告的同時，還應當通知工商行政管理部門。由工商行政管理部門吊銷違法行為人的營業執照。

　　第三十二條 偽造、冒用、盜用他人的電子簽名，構成犯罪的，

　　依法追究刑事責任;給他人造成損失的，依法承擔民事責任。

　　【釋義】 本條是關于偽造、冒用、盜用他人的電子簽名的法律責任的規定。

　　一、網絡的特點是公開、便捷、資源共享，極大地方便了各種人員在網上這個虛擬的空間自由溝通，也有利于社會使用多種公共的或私人的服務，這無疑大大提高了生活質量和經濟效益。網絡的發展帶動了電子商務的發展。由于電子商務活動中，交易各方彼此不見面，這也為形形色色的違法犯罪行為提供了條件。本條所講的偽造、冒用、盜用他人的電子簽名，就是一種擾亂市場秩序，侵犯他人權益的行為;同時，這種行為也嚴重影響了電子交易的安全，法律對這些行為應當嚴厲制裁。本條所講的偽造他人的電子簽名，是指未經電子簽名合法持有人的授權而創制電子簽名或者創制一個認證證書列明但實際并不存在用戶的簽名等。本條所講的冒用他人的電子簽名，是指非電子簽名持有人未經電子簽名人的授權以電子簽名人的名義實施電子簽名的行為。本條所講的盜

　　用他人的電子簽名，是指秘密竊取并使用他人電子簽名的行為。

　　二、按照本條規定，偽造、冒用、盜用他人電子簽名，構成犯罪的，依法追究刑事責任。構成本條的犯罪，主要是指構成刑法第二百八十條關于妨害國家機關公文、證件、印章的犯罪，偽造公司、企業、事業單位、人民團體印章的犯罪。構成該條的犯罪，必須具備以下條件：一是主觀上是故意;二是客觀上實施了偽造他人的電子簽名的行為。對于構成犯罪的，依照刑法第二百八十條的規定，偽造、變造國家機關的公文、證件、印章的，處三年以下有期徒刑、拘役、管制或者剝奪政治權利;情節嚴重的，處三年以上十年以下有期徒刑。偽造公司、企業、事業單位、人民團體的印章的，處三年以下有期徒刑、拘役、管制或者剝奪政治權利。這里的"情節嚴重"，主要是指多次實施偽造他人電子簽名的行為;造成政治影響很壞、經濟損失很大等嚴重后果的等等。行為人在實施偽造電子簽名等違法行為過程中，也可能利用計算機實施金融詐騙等的犯罪。即利用計算機實施金融詐騙、盜竊、貪污、挪用公款、竊取國家秘密或者其他犯罪的，詐騙，主要是指以非法占有為目的，用虛構事實或者隱瞞真相的方法，騙取公私財物的行為。構成詐騙罪，必須具備以下條件：一是行為人主觀上應當是故意，而且具有非法占有公私財物的目的;二是詐騙公私財物數額較大。數額較大的具體數額，由司法機關根據各地的具體情況作出具體規定。對于構成詐騙罪的，依照刑法第二百六十六條的規定處罰。#p#分頁標題#e#

　　三、給他人造成損失的，依法承擔民事責任。民事責任，是指進行了民事違法行為的人在民法上承擔的對其不利的法律后果。合法的民事權益受法律保護，如果受到他人的非法侵害，則需要給權利人以充分的法律救濟，這就是民事責任制度。根據民事違法行為所侵害的權利不同，民事責任分為違約的民事責任與侵權責任。本條所講的民事責任，指的是侵權的民事責任。給他人造成損失的，應當承擔民事責任。按照民法通則的規定，承擔民事責任的方式主要包括：停止侵害、排除妨礙、消除危險、返還財產、恢復原狀、賠償損失、賠禮道歉等。對于所規定的承擔民事責任的幾種方式，可以單獨適用，也可以合并適用。

　　第三十三條 依照本法負責電子認證服務業監督管理工作的部門的工作人員，不依法履行行政許可、監督管理職責的，依法給予行政處分;構成犯罪的，依法追究刑事責任。

　　【釋義】 本條是關于負責電子認證服務業監督管理工作的部門的工作人員法律責任的規定。

　　一、按照本法規定，國務院信息產業主管部門應當制定電子認證服務業的具體管理辦法，對電子認證服務提供者依法實施監督管理。這是本法賦予國務院信息產業主管部門的法定職責。為了保證電子認證機構以公正第三方的身份對電子簽名提供真實可信的認證服務，應當加強政府部門對電子認證服務的監督管理。國務院信息產業主管部門是依照本法負責電子認證服務業管理工作的部門，具體負責電子認證服務機構的從業許可，在電子認證服務機構擬暫停或者終止電子認證服務、未能就業務承接事項與其他電子認證服務提供者達成協議時，要安排其他電子認證服務提供者承接其業務，并負責對違反本法規定的行為行使行政處罰權。如果不很好履行本法賦予的這些職責，就要承擔相應的法律責任。

　　二、依照本法負責電子認證服務業管理工作的部門的工作人員，不依法履行行政許可、監督管理職責的，應當承擔相應的法律責任。

　　1.不依法履行行政許可職責。不依法履行行政許可職責，可以表現為對不符合法定條件的電子認證服務提供者準予行政許可或者超越法定職權作出準予行政許可決定。如按照本法規定，提供電子認證服務應當具有相應的專業技術人員和管理人員;具有相應的資金和經營場所;具有符合國家安全標準的技術和設備;具有國家密碼管理機構同意使用密碼的文件;以及法律、行政法規規定的其他條件等。從事電子認證服務，應當向國務院信息產業主管部門提出申請，并提交符合上述條件的相關材料。如果電子認證服務申請者不符合上述條件，比如申請者沒有國家密碼管理機構同意使用密碼的文件，國務院信息產業主管部門就不應給予行政許可，如果予以行政許可，將嚴重影響電子交易的安全，可能會使電子交易有關各方的利益遭受損失。國務院信息產業主管部門接到電子認證服務申請后應當進行審查，自接到申請之日起四十五日內作出許可或者不予許可的決定，如果國務院信息產業主管部門沒有在四十五日內作出許可或者不予許可的決定，就構成本條規定的不履行行政許可責任的行為。不履行行政許可責任的行為還可表現為不按照行政許可程序實施行政許可，如在受理、審查、決定行政許可過程中，未向申請人履行法定告知義務;未依法說明不受理行政許可申請或者不予行政許可的理由等等。

　　2.不依法履行監督管理職責。主要表現為：一是對經其許可的電子認證服務提供者沒有實施經常性的監督;二是監督不力，對監督中發現的違法行為沒有依法予以查處，如國務院信息產業主管部門在監督中發現電子認證服務提供者未妥善保存與認證相關的信息，按照本法規定，應當責令其限期改正，逾期未改正的，吊銷電子認證許可證書。如果對于逾期未改正的，沒有吊銷電子認證許可證書，構成本條的違法行為。

　　三、對不依法履行行政許可、監督管理職責的工作人員，依照下列規定追究法律責任：#p#分頁標題#e#

　　1.依法給予行政處分。行政處分，是指國家機關依法給隸屬于它的犯有較輕違法行為人員的一種制裁性處理。按照《國家公務員暫行條例》的規定，對于公務員有玩忽職守，貽誤工作等違法行為，尚未構成犯罪的，應當給予行政處分。行政處分分為：警告、記過、記大過、降級、撤職、開除六種。根據行為的輕重決定。行政處分應當按照干部管理權限分別由任免機關或者行政監察機關決定。

　　2.構成犯罪的，依法追究刑事責任。這里講的構成犯罪，主要是指構成刑法第三百九十七條規定的玩忽職守犯罪和濫用職權犯罪。構成犯罪的前提條件是造成嚴重后果。"造成嚴重后果"，是指致使公共財產、國家和人民利益遭受重大損失的行為。濫用職權，是指行使了不該自己行使的職權，即國家機關工作人員超越法律、法規賦予的職權，擅自處理其無權決定、處理的事項，或者在行使職權時，以權謀私，假公濟私，不正確地履行職責，或者隨心所欲地做出處理決定等等。玩忽職守，是指國家機關工作人員嚴重不負責任，不履行或者不正確履行職責的行為。如果由于濫用職權、玩忽職守而造成嚴重后果的，則構成濫用職權犯罪和玩忽職守犯罪。依照刑法第三百九十七條的規定，對玩忽職守、濫用職權的犯罪，處三年以下有期徒刑;情節特別嚴重的，處三年以上七年以下有期徒刑。情節特別嚴重，主要是指造成的經濟損失數額特別巨大;造成特別嚴重的政治影響等情形。