《电子签名法》第二十二条 电子认证服务提供者应当保证电子签名认证证书内容在有效期内完整、准确,并保证电子签名依赖方能够证实或者了解电子签名认证证书所载内容及其他有关事项。
【释义】 本条是关于电子认证服务提供者有关保证义务的规定。
一、电子认证服务提供者最重要的任务就是制作、发放和管理电子签名认证证书,所以其首要义务就是保证认证证书的真实性、完整性和准确性,即所发放认证证书的公共密钥同某个确定身份的人是一一对应的,以保证发放的证书具有可靠的权威性和信任度。电子认证服务提供者要使发布的认证信息及时可靠,这其中还包括要让有关当事人能够随时证实证书申请人所拥有的身份证、许可证或者营业执照等关系该人行为能力的文书或者证件的效力。因此,本条规定了电子认证服务提供者的两项保证义务:一是保证电子签名认证证书内容在有效期内完整、准确;二是保证电子签名依赖方能够证实或者了解电子签名认证证书所载内容及其他有关事项。
二、联合国贸法会电子签名法示范法对本条规定的内容作出了更具体的规定,要求验证服务提供商应当采取合理谨慎措施,确保其作出的有关证书整个周期的或需要列入证书内的所有重大表述均精确无误和完整无缺。要提供合理可及的手段,使依赖方得以从证书中证实下列内容:(1)验证服务提供商的身份;(2)证书中所指明的签字人在签发证书时拥有对签字生成数据的控制;(3)在证书签发之时或之前签字生成数据有效。要提供合理可及的手段,使依赖方得以在适当情况下从证书或其他方面证实下列内容:(1)用以鉴别签字人的方法;(2)对签字生成数据或证书的可能用途或使用金额上的任何限制;(3)签字生成数据有效和未发生失密;(4)对验证服务提供商规定的责任范围或程度的任何限制;(5)是否存在签字人发出通知的途径;(6)是否提供了及时的撤消服务。要使用可信赖的系统、程序和人力资源提供其服务。验证服务提供商如未能满足上述要求应承担相应责任。美国犹他州数字签名法规定:通过颁发证书,许可之认证机构向所有信赖证书里包含的信息的人证明,认证机构已遵守了颁发证书的所有有效的要求;通过发布证书,许可之认证机构向公告栏和所有信赖证书里包含的信息的人证明,认证机构已经向用户颁发了证书。该法还规定:通过接收许可之认证机构颁发的证书,证书上确定的用户,向所有信赖证书里包含的信息的人证明:(1)每一个通过与证书上所列公开密钥相对应的私钥而生成的电子签名,除非证书中止、被认证机构撤消或者过期失效,对用户来讲都是法律上有效的签名;(2)没有未经授权的人使用与证书上所列公开密钥相对应的私钥;(3)用户对认证机构作出的包含于证书的所有重要信息的陈述,都是真实的;(4)证书中包含的信息是真实的。新加坡和我国香港地区也有类似的规定。