電子簽章相關問題集

電子簽章相關問題集

電子簽章法之立法緣起與背景為何？ 有那些國家已經通過數位簽章法？ 電子簽章法之立法目的為何？ 電子簽章法之立法重點為何？ 電子簽章法有那些立法原則？ 為什麼取名為「電子簽章法」而不是「數位簽章法」？電子簽章與數位簽章有什麼不一樣？ 電子簽章法的適用範圍為何？ 電子簽章是非常新的科技，民眾如果不會使用，會不會影響權益？ 電子文件可以取代書面文件嗎？ 電子文件既然可以取代書面文件，是不是所有的文件都可以電子文件取代？ 電子文件可以取代書面文件的原本嗎？ 書面文件之保存，可以電子文件取代嗎？ 什麼是「安全電子文件」？與一般電子文件有何不同？符合那些要件才是「安全電子文件」？ 「安全電子文件」的法律地位如何？是不是具有書面文件的效力？ 電子文件如果不是本人發送，本人要不要負責？ 電子文件之收發文時間如何推定？ 電子簽章可以代替簽名蓋章嗎？ 什麼是「安全電子簽章」？與一般的電子簽章有何不同？ 數位簽章是不是「安全電子簽章」？ 安全電子簽章的法律地位如何？是不是具有簽名或蓋章的效力？ 民眾可以向那些依法設立的憑證機構申請服務？ 政府對於憑證機構，會採取什麼樣的管理制度，以保障使用者的權益？ 民眾向依法設立的憑證機構申請憑證，可以獲得那些保障？ 憑證機構的營業執照要如何申請？要具備那些資格條件？ 主管機關審查是依據那些標準來審查是否核發憑證機構營業執照？ 憑證機構可以經營或提供那些服務？ 主管機關對於憑證機構會採取什麼樣的監督及管理措施？ 憑證機構簽發的憑證有沒有時效上的限制？ 為什麼憑證機構要提存營業保證金？ 數位簽章是不是「安全電子簽章」？ 外國憑證機構可以在我國提供憑證服務嗎？ 為什麼要成立國家總憑證機構？ 什麼是「憑證實務作業基準書」 （Certification Practice Statement）？ 憑證機構簽發的憑證，上面會記載什麼資訊？ 使用者如何知道收到的憑證是正確的、有效的憑證？ 使用憑證進行網路交易，如何保護使用者各種商業行為的隱私？ 憑證機構如果因人為或其他管理因素，導致使用者權益受損，是否要負賠償責任？ 那些情況下憑證機構不必負賠償責任？ 憑證的當事者有什麼樣的義務？ 憑證當事者在什麼情形下要負損害賠償責任？

◆回答

Q1.電子簽章法之立法緣起與背景為何？ A1. 建立安全及可信賴的網路環境，確保資訊在網路傳輸過程中不易遭到偽造、竄改或竊取，且能鑑別交易雙方的身分，並防止事後否認有進行交易的事實，是電子化政府及電子商務能否全面普及的關鍵。雖然以現代密碼學為基礎的數位簽章技術可以做到像現在簽名或蓋章一樣的功能，但是傳統公私領域的通信及交易行為，是以書面文件（如契約書）及簽名、蓋章來確定相關的法律責任，以數位簽章技術製作的電子文件及數位簽章的法律地位必須明確化，否則將阻礙電子化政府及電子商務之推展。由於現有法令並未明確規範電子文件及電子簽章之法律地位，是以必須配合今後資訊化及網路化社會的發展，建立電子文件及電子簽章的法制，爰有研擬數位簽章法的需求。 ↑TOP Q2.有那些國家已經通過數位簽章法？ A2. 歐美等主要國家為建立安全及可信賴的電子通信及交易環境，普及電子商務之應用，正致力於推動電子簽章法之立法。例如，德國（一九九七年八月）、馬來西亞（一九九七年）、義大利（一九九七年三月）、新加坡（一九九八年六月）及美國各州（猶他州於一九九五年五月）等已通過數位簽章法，英、法、澳、日等主要國家亦正立法中。 ↑TOP Q3.電子簽章法之立法目的為何？ A3. 本法之立法目的為：規範電子文件及電子簽章之使用，建立電子認證制度，增進電子通信及交易之安全，促進電子化政府及電子商務之應用。 ↑TOP Q4.電子簽章法之立法重點為何？ A4. 本法之立法重點如下： 1. 確定電子簽章及電子文件之法律效力。 2. 建立憑證機構之管理制度及主管機關之權責。 3.律定憑證機構及使用者之法律責任與義務。 ↑TOP Q5.電子簽章法有那些立法原則？ A5. 1. 技術中立原則： 任何可以確保資料在傳輸或儲存過程中之完整性、可以鑑別 使用者身分之技術，皆可用來製作電子簽章，並不以「非對稱型」加密技術為基礎之「數位簽章」為限。 2. 循序漸進原則： 為降低電子簽章之可能風險，保障民眾的權益，爰採循序漸進的原則，規定與人民生命、重大財產及其他重要權益攸關的項目，不適用電子簽章及電子文件，並授權主管機關可視主客觀環境變化，調整不適用電子簽章及電子文件的項目。 3. 安全及隱私保護原則： 規定憑證機構必須從技術、管理、流程及損害賠償等層面建構安全及可信賴的認證環境；另規定憑證機構得應申請人所請，以使用者之別名或代號作為憑證持有者，以便進行匿名交易。 4. 契約自主原則： 對於民間的電子商務行為，可在契約自主的原則下，由交易雙方自行決定以那一種技術、程序、條件之下作成的電子簽章或電子文件，由雙方共同約定、共同遵守。 5. 權責平衡原則： 為使憑證機構不致因預期須承擔極大的風險而阻礙我國電子認證產業之健全發展，復為避免使用者預期毋須為保管電子簽章不周而負責，進而疏忽其應盡的管理責任，爰在權責平衡原則下，釐定憑證機構及使用者各應盡之責任與義務。 6. 市場導向原則： 除了政府機關基於公權力可以提供自然人及法人等身分認證服務之外，將由民間主導發展電子商務的認證服務，完全開放民間機構依法經營認證服務。 ↑TOP Q6.為什麼取名為「電子簽章法」而不是「數位簽章法」？電子簽章與數位簽章有什麼不一樣？ A6. 電子簽章（electronic signature）是指以電子形式存在，依附在電子文件並與其邏輯相關，可用以辨識電子文件簽署者身分及表示簽署者同意電子文件內容。 數位簽章（digital signature）是指使用數學演算法（或稱雜湊函數）將電子文件轉化為固定長度之數位資料（訊息摘要），並用簽署者之私鑰對其加密形成一簽體，使任何人可藉未轉化前之原始資料訊息、簽體及與私鑰相關連之公鑰，驗證該簽體是否使用與簽章公鑰相對應之私鑰製作，以及簽體製作後，原始資料訊息是否遭受竄改。 數位簽章是專指以「非對稱型」密碼技術製作的電子簽章，而電子簽章的製作技術除了可應用「非對稱型」的密碼技術之外，近年來生物科技（指紋、聲紋、眼紋、DNA）等用於鑑別身分的技術也正蓬勃發展中，為免立法影響到科技的創新發展，主要的國際組織如聯合國及歐盟近年來積極推動各國應採取「技術中立」的原則，希望不要限定只能使用「非對稱型」密碼技術作為製作電子簽章的唯一技術，任何的電子技術只要能符合特定的安全需求（例如能夠確保資料的完整性、鑑別使用者的身分及防止事後否認），皆可用來製作電子簽章。在外國立法案例中，有以「數位簽章」為名的，也有以「電子簽章」為名的，研擬小組經參考國際組織及各國的立法經驗，爰決定遵循「技術中立」的原則，不以「數位簽」為立法唯一的標的，而改採較廣義、較有彈性的電子簽章作為立法重點，以因應資訊科技之發展，爰以「電子簽章法」為名。 ↑TOP Q7.電子簽章法的適用範圍為何？ A7. 電子簽章法不僅適用於政府機關、私人企業,也適用於個人的電子通信及交易行為。任何公私領域的電子通信及交易行為，只要涉及電子文件及電子簽章，都可適用本法。 ↑TOP Q8.電子簽章是非常新的科技，民眾如果不會使用，會不會影響權益？ A8. 為了保護民眾的權益，避免因不會或不諳使用電子簽章或電子文件的民眾處於不利之處，本法規定政府機關及民間機構不得依本法規定，強制要求與其通信及交易之當事者，須以電子文件及電子簽章方式為必要之文書製作、儲存、傳送及收受。今後即使政府部門或企業部門已高度數位化及網路化，仍然必須提供人工作業的服務。 ↑TOP Q9.電子文件可以取代書面文件嗎？ A9. 將資料訊息紀錄於書面文件有幾項目的，包括： 1. 把文件當事者的意圖，以具體的書面文件留存下來作為日後的證據。 2. 促使文件當事者從書面文件內容察覺簽訂契約的後果。 3. 讓資料以很容易的方式，具體的儲存下來，並提供大眾一看就明瞭的文件。 4. 把交易的事實以未經竄改的方式製作一個檔案永久留存下來。 5. 可供文件當事者複製，各自保存一份內容完全一致的文件。 6. 可以利用文件當事者的簽章鑑定文件內容之真偽。 7. 提供一份可為政府機關及法院可以接受的文件。 8. 在須以簽名始生效力之事項，確定文件當事者的法律權利義務。 傳統書面文件的功能，皆可利用現代資訊及通信以電子方式製作、呈現、保存及傳送，為使電子文件能廣為各行各業應用，減少書面與電子作業並行之不便，以充分發揮數位化及網路化作業之效益，爰規定依法令須以書面文件製作者，得以電子文件行之。以電子文件取代書面文件，必須要滿足兩項條件，一是電子文件能夠完整呈現書面文件的內容；一是在日後能夠驗證電子文件真偽。只要能夠符合上述兩項要件，皆可以電子文件取代書面文件。 ↑TOP Q10.電子文件既然可以取代書面文件，是不是所有的文件都可以電子文件取代？ A10. 除了生命、重要財產及其他重要權益事項以外，其餘的書面文件都可以電子文件取代。資訊及通信科技固然為人類帶來莫大的便利與福祉，惟正如同其他科技一樣，以密碼學為基礎的電子簽章或數位簽章技術，亦有其潛在的安全風險。儘管可透過技術、作業及管理的措施以降低風險，但為確保民眾免於因百密一疏造成重要權益受損，爰採循序漸進的原則，將與生命、重大財產及其他重要權益的事項排除適用電子文件，並授權主管機關視技術發展、社會接受程度 隨時調整不適用電子文件的項目。 ↑TOP Q11.電子文件可以取代書面文件的原本嗎？ A11. 從使用者信心及確保證據力的觀點，傳統的通信及交易行，須以書面文件的原本來確保內容未遭受竄改，以及確定文件當事者的法律責任。以電腦處理的電子文件，其形式要件極難認定為原本，惟可從兩項實質要件上認定其為原本。第一是該項電子文件內容是否完整保存，第二是電子文件有無遭受竄改。只要該項電子文件係以可信賴的電子方法製作，並能保證最後呈現之內容，與第一次製作時完全一致，且未經竄改者，得以電子文件代替書面文件的原本。 ↑TOP Q12.書面文件之保存，可以電子文件取代嗎？ A12. 以紙張為媒介的書面文件可以長期保存，留供日後查驗真偽參考，以現代資訊科技發展的儲存技術（如磁碟及光碟）亦具有類似書面文件保存的功能，可將書面文件以數位化的方式長期保存。為簡化資料儲存及檔案保管作業，本法規定凡依法令規定須以書面文件保存之事項，如有符合下列情形者，得以電子文件保存。 1. 以電子方式製作之資訊或文件內容，可於日後任何時間取出供查驗真偽參考者。 2.資訊或文件內容可依初次製作、傳送及接收時之形式保存，或是可呈現與初次製作、傳送及接收之資訊及文件內容完全一致者 3. 辨識資訊或文件之初次及最終形式之資訊、驗證資訊完整性及鑑別之資訊、日期及時間等資訊，可以保存者。 由於資訊科技日新月異，在電子文件製作保存當時可能是安全的技術，歷經一段時間以後，可能會有安全上的疑慮，致無法在剩餘的法定保存期限內繼續保存下來，必須改以書面及其他無安全之虞之技術取代。 ↑TOP Q13.什麼是「安全電子文件」？與一般電子文件有何不同？符合那些要件才是「安全電子文件」？ A13. 電子文件雖可取代書面文件作為通信及交易的媒介，但並非所有以電子方法製作的電子文件，皆可防止被竄改及偽造，必須以符合特定要件的安全程序所製作的電子文件，才能確保資料在儲存及傳輸過程中的完整性，以及保證內容未遭竄改。 依不同方法製作的電子文件，其安全度及可信賴的程度亦不同，證據力的強弱也有所不同，為減輕文件收受者鑑定電子文件真偽之負荷，及降低可能的風險，爰將依特定安全程序製作的電子文件界定為「安全電子文件」，以有別於一般的電子文件。 凡使用安全程序製作之電子文件，足以驗證資料訊息內容自某一特定時間點至驗證時間點之間未經竄改者，稱為安全電子文件。至於那一種製作程序是安全的程序，則在契約自主的原則下，可由交易雙方事前約定，或是使用政府認可的安全程序來製作電子文件。 ↑TOP Q14.「安全電子文件」的法律地位如何？是不是具有書面文件的效力？ A14. 由於「安全電子文件」其安全度及可信賴的程度，皆可與書面文件相比擬，爰賦予安全電子文件具有等同書面文件的法律效力。 ↑TOP Q15.電子文件如果不是本人發送，本人要不要負責？ A15. 在網路通信及交易行為中，電子文件收受者並無法確認該項電子文件是否為本人親自發送，或由資訊系統自行發送，爰規定授權他人發送，或由本人或授權他人設計之資訊系統自動發送電子文件者，除非收受者發現內容有誤，可視為本人真意發送之電子文件，以明責任歸屬。 電子文件之收受者使用簽署者事前直接或間接同意之特定程序，查驗電子文件無誤，有權認定其為簽署者本人真意發送之電子文件，並據以作為，直至簽署者本人通知該文件非其本人製作，且收受者有合理之時間足以反應處理。電子文件由與簽署者本人或本人之代理人關係密切，足以取用本人電子文件製作及驗證電子文件真偽方法之人員代其發送，除收受者發現內容有誤者外，視為簽署者本人真意發送之電子文件，並據以作為。 ↑TOP Q16. 電子文件之收發文時間如何推定？ A16. 電子文件之發文時間，以進入發送者或其授權者無法控制之資訊系統為發文時間；發送者及收受者另有約定者，從其約定。 收受者已指明收受電子文件之資訊系統，以進入指定之系統時間為收文時間。電子文件如送至非屬收受者指定之資訊系統者，以收受者取出該項文件之時間為收文時間。 收受者未指明收受電子文件之資訊系統，以進入收受者之資訊系統為收文時間；發文者及收受者另有約定送達時間者，從其約定。 ↑TOP Q17.電子簽章可以代替簽名蓋章嗎？ A17. 傳統簽名或蓋章的意義及功能如下： 1. 證據：當簽署者在文件上簽章後，將留下可供鑑別簽署者身分的證據，以明責任歸屬。 2. 同意：在現有法律及習慣下，簽署者對某文件簽章，表示其同意文件的內容。 3. 儀式：經由簽章的的行為，促使簽署者審慎思考簽署後必須承擔的法律責任，以防止思慮不同的契約行為。 傳統的簽名或蓋章，其功能皆可利用現代資訊科技以電子簽章方式製作、呈現、保存及傳送，為使電子簽章能配合電子文件廣為各行各業應用，減少書面與電子作業並行之不便，充分發揮數位化及網路化之效益，爰規定依法令須以簽名或蓋章始生法律效力者，得以電子簽章行之。 為保障民眾的權益，爰比照電子文件循序漸進的應用政策，將與人民生命、重大財產及其他重要權益的事項排除適用，並授權主管機關視技術發展、社會接受程度，隨時調整不適用簽章的項目。 ↑TOP Q18.什麼是「安全電子簽章」？與一般的電子簽章有何不同？ A18. 電子簽章雖可取代傳統的簽名或蓋章，但並非所有以電子方法製作的電子簽章皆可防止被竄改及偽造，必須以符合特定要安全程序所製作的電子簽章，才能確保簽章的安全。爰將依特定安全程序製作的電子簽章界定為「安全電子簽章」，以有別於一般的電子簽章，並賦予法律上視為簽名或蓋章的效力。從現有人工作業的簽名或蓋章的要式來分析，安全電子簽章必須滿足四項標準，才可認定其為安全電子簽章。這四項標準分別是簽章的獨特性、辨識力、可靠性及與電子文件內容的聯結關係。 本法草案第十四條規定：通信或交易雙方使用事前同意之有效的安全程序，或主管機關認可之安全程序製作，足以驗證電子簽章自某一特定時間點至驗證真偽時間點之間，未經竄改，且符合下列各項情形者，該項簽章為安全電子簽章： 1. 簽署者為特定目的使用之獨一無二簽章。 2. 可客觀辨識簽署者之身分。 3. 由簽署者以安全可靠之方法製作，或使用其可單獨控制之安全及可信賴之設施、方法製作，且製作後不易被偽造或破解。 4. 可判別經簽署之電子文件內容是否遭受竄改。 ↑TOP Q19.數位簽章是不是「安全電子簽章」？ A19. 本法草案第十五條規定，依特定條件製作的「數位簽章」視為「安全電子簽章」。數位簽章係專指以「非對稱型」密碼技術製作的電子簽章，電子簽章的意義則較廣泛，例如可利用個人的生物特徵如指紋、眼紋及聲紋來達到簽章的目的。 目前以「非對稱型」密碼技術所作成的數位簽章，雖然其安全性及可靠性皆可達到一定程度的安全水準，但是其他電子簽章的技術亦不斷在發展中，為免立法獨尊數位簽章技術，以其作為取代簽名蓋章的唯一技術，進而影響其他技術的發展，聯合國及歐歐盟等國際組織，皆建議應採取「技術中立」的原則。只要能符合法定要件的安全技術，皆可取代傳統的簽章，爰以較廣義的「電子簽章」取代取代「數位簽章」。由於數位簽章具有安全可靠的特性，足以符合前述「安全電子簽章」的認定基準，爰將有效的數位簽章視為安全電子簽章，簽署的文件視為安全電子文件。要判定數位簽章的真偽及鑑別簽署者的身分，必須依賴憑證機構簽發的公鑰憑證。因為政府設立的憑證機構、取得政府許可的國內外憑證機構，其安全性及專業能力皆必須達到本法規定的安全基準，始能對外提供服務，其所簽發的憑證之可靠性，應可為社會大眾所信賴；另為遵重交易雙方的契約自主權，交易雙方不一定要使用政府或私人機構提供的認證技術，只要雙方事前約定以數位簽章方法為安全的簽章方法，且驗證發文方之公鑰無誤者，亦 可認定其為安全可靠的憑證。 ↑TOP Q20.安全電子簽章的法律地位如何？是不是具有簽名或蓋章的效力？ A20. 由於「安全電子簽章」在安全性及可靠性方面皆可與現有人工作業之簽名或蓋章相比擬，爰賦予安全電子簽章具有簽名蓋章的法律效力。 ↑TOP Q21.民眾可以向那些依法設立的憑證機構申請服務？ A21. 今後民眾可以向政府機關（例如，戶政事務所將提供國民身分憑證之服務、經濟部及財政部將提供營利事業憑證服務），或是取得憑證機構營業執照的憑證機構（例如：向ＯＯ憑證股份有限公司申請交易憑證），也可以向經主管機關許可的外國憑證機構申請憑證。 ↑TOP Q22.政府對於憑證機構，會採取什麼樣的管理制度，以保障使用者的權益？ A22. 政府對於憑證機構將採取「志願性的」證照管理制度，促使憑證機構的專業能力及管理能力，可以提供民眾安全及可信賴的憑證服務，以健全電子商務的交易秩序，保障民眾的權益。 由於電子通信交易行為必須高度依賴具有公信力的憑證機構所簽發的憑證、對於憑證使用者身分的查驗，以及建立一套安全可靠的目錄服務系統、憑證註銷清冊等；歐美主要國家對於憑證機構皆建立證照管理制度，使其技術及管理皆能夠達到一定的安全水準，以保障使用者的權益。憑證機構之管理制度可概分「強制性」的或是「志願性」的證照制度兩種。強制性的證照管理制度規定凡未取得政府主管機關核發的營業執照，不得對外營業。「志願性」的證照制度是政府只規定一個標準，透過適當的誘因（例如：其所簽發憑證的證據力）鼓勵憑證機構申請執照。鑑於不同的電子通信及交易行為會有不同程度的安全需求，其所依賴的電子簽章及身分認證的安全需求也不一樣，似不宜強制所有提供憑證服務的機構，必須依照政府設定的標準申請取得營業執照，爰參酌主要國家之立法趨勢（如英國）採取「志願性」的證照制度。政府將透過各種誘因及制度上的設計，鼓勵憑證機構向政府申請營業執照。這些誘因包括在法律上承認其所簽發憑證的效力、由主管機關確保它的公信力、以營業保證金保障消費者的權益。 ↑TOP Q23.民眾向依法設立的憑證機構申請憑證，可以獲得那些保障？ A23. 1. 依法設立的憑證機構，它所簽發的憑證，民眾利用來製作電子文件或是電子簽章時，將具有書面文件及簽名蓋章同等的效力。民眾如果向依法設立的憑證機構申請憑證，就可以得到法律上的保障。 2. 依法設立的憑證機構，它本身的簽章公鑰得向主管機構申請認證，由主管機關來保證它的正確性，以增加其公信力。民眾在安全的前提下，自然會選擇一個有主管機關為其專業能力背書的憑證機構，以保障自身的權益。 3. 依法設立的憑證機構，政府會要求其提存一筆營業保證金。如果民眾因使用憑證而導致權益受損，要向憑證機構請求損害賠償時，如果憑證機構無償還能力時，可以獲得營業保證金的優先清償。 ↑TOP Q24.憑證機構的營業執照要如何申請？要具備那些資格條件？ A24. 要成為憑證機構，必須先依公司法設立股份有限公司，並經交通部技術審驗合格，辦妥公司登記後，檢具下列事項向主管機關申請核發營業執照（具體事項將於本法草案完成立法後授權主管機關訂定）。例如１、公司登記證件；２、公司章程；３、資本總額；４、營業計畫；５、財務計畫；６、技術構成；７、管理計畫；８、管理及作業人員履歷；９、憑證註冊機構之設立地點等。主管機關審查通過核發營業執照之後，憑證機構即可對外營業。但是，如果憑證機構以經營財務金融交易認證為主要業務者，另應取得財政部許可。 ↑TOP Q25.主管機關審查是依據那些標準來審查是否核發憑證機構營業執照？ A25. 主管機關會依據下列條件來審查：獨立性、承擔風險之財務資源及能力、管理人員之經驗及專業能力、永續經營能力、軟體及硬體之可靠性、稽核制度及能力、緊急應變及回復能力、人員甄選及管理、認證機構私鑰保護能力、內部安全控制能力、終止營業之安排、保證及憑證實務作業基準書、責任之限制、保險、與其他認證機構之互通性、憑證撤銷之程序。 ↑TOP Q26.憑證機構可以經營或提供那些服務？ A26. 1. 簽章公私鑰製作服務。 2. 憑證簽發服務。 3. 電子文件存證及公證服務。 4. 時戳服務。 5. 經主管機關核准辦理之業務。 ↑TOP Q27.主管機關對於憑證機構會採取什麼樣的監督及管理措施？ A27. 主管機關應採取必要的措施，監督憑證機構遵守本法及相關法律規定，並要求其為必要之改正。這些措施包括： 1. 禁止憑證機構採用不適當之軟硬體設備，並得暫時停止其全部或部分業務。 2. 進入憑證機構之營業場所檢查，請其提出有關之文件、紀錄、憑證及其他事項供檢查。 3. 定期評估憑證機構之技術及管理事項，並將結果對外公布，以昭公信。 ↑TOP Q28.憑證機構簽發的憑證有沒有時效上的限制？ A28. 憑證機構簽發之憑證效期，最長不得超過三年。設定時效只要是考量密碼技術的發展一直在進步中，為了安全上的考量及便於管理，必須規定憑證的效期。例如，憑證機構簽發憑證當時使用的技術，可能是很安全的，但是經過一段時間之後，當初使用的技術必須再重新強化，所以憑證也必須重新簽發。 ↑TOP Q29.為什麼憑證機構要提存營業保證金？ A29. 以密碼學為基礎的數位簽章及認證機制，雖然透過各種技術、管理及教育宣導上的措施，可以確保相當程度的安全性，惟仍有可能因為人為或管理的疏失，致當事者權益受損。為分攤風險，增進使用者的信心，爰參酌證券期貨業管理辦法，建立營業保證金制度，讓使用者在憑證機構已無賠償能力時，可從事前提存之營業保證金獲得賠償。 ↑TOP Q30.外國憑證機構可以在我國提供憑證服務嗎？ A30. 依外國法律組織登記之憑證機構，得在國際互惠及安全條件相當的原則下，經主管機關許可，在我國境內提供認證服務。它所簽發的憑證，也具有本國機構所簽發憑證的同等效力。由於網路具有跨域時空的特性，在電子商務已朝全球化及網路化發展的趨勢下，必須建立跨國認證機制，才能讓跨國的電子商務得以實施。目前聯合國、OECD、EU等國際組織正致力於推動跨國認證機制，主要國家的數位簽章法亦遵循上述國際組織的指導原則，規定在一定的條件下（例如同等的安全水準）承認外國憑證機構所簽發的憑證。跨國認證機制的建立，除了考量技術互通的規範之外（例如X509憑證標準），在法律層面也要透過雙邊或是多邊的國際協議，並在國內相關法律作配套的規定，才能建立跨國認證機制。 ↑TOP Q31.為什麼要成立國家總憑證機構？ A31. 憑證機構基本上提供的是一種「安全」及「信賴」的服務，憑證機構最重要的資產就是因其具備的專業能力及管理能力，足以讓使用者產生信任及信賴，願意相信它的「公信力」。但是，在實際的網路交易行為中，可能交易雙方並非同一個憑證機構的使用者，雙方如何相互信賴呢？ 有兩個不同的機制： 1. 設計層級式的信賴體系，例如使用者甲的憑證是由「安心憑證機構」簽發，使用者乙的憑證是由「信心憑證機構」所簽發，但是「安心憑證機構」的公鑰憑證是由上一層的「一心憑證機構」所簽發（類似背書的作用），「信心憑證機構」的公鑰憑證也是由「一心憑證機構」簽發。所以，使用者甲及使用者乙雖然不是同一個憑證機構的使用者，但是因為他們的憑證是由一個雙方可以共同信賴的「一心憑證機構」來背書，所以使用者甲及使用者乙即可以建立信賴的關係。因此，在層級式的信賴體系中，必須有一個全國總憑證機構作為最高的信任來源。 2. 設計網路式的信賴體系，例如使用者甲的憑證是由「安心憑證機構」簽發，使用者乙的憑證是由「信心憑證機構」所簽發，雖然「安心憑證機構」與「信心憑證機構」沒有一個共同上的上層憑證機構為其背書，但是兩者可以相互背書，所以使用者甲與使用者乙可以建立信賴關係。兩種不同的信賴體系各有其優缺點，政府將兼採兩者的優點，並設立國家總憑證機構。國家總憑證機構它扮演憑證機構中的憑證機構角色（類似於中央銀行扮演銀行中的銀行）。國家總憑證機構將不對一般使用者提供憑證簽發服務，而是對憑證機構提供憑證簽發的服務，以及研訂相關之技術規範等。 ↑TOP Q32.什麼是「憑證實務作業基準書」 （Certification Practice Statement）？ A32. 「憑證實務作業基準書」是由憑證機構對外公告，用來陳述憑證機構如何簽發憑證及處理其他認證業務之作業準則（一份政策聲明文件）。例如說明憑證機構的技術、安控措施、憑證的使用範圍、憑證的效期、憑證註銷及中止程序等，憑證註銷清冊、憑證註銷清冊如何公布等資訊 ，俾供使用者判別憑證機構的專業技術能力及管理能力，並據以作為判別法律責任歸屬的依據。 ↑TOP Q33.憑證機構簽發的憑證，上面會記載什麼資訊？ A33. 憑證上會記載的資訊項目有當事者之姓名、與簽章者私鑰相配對之公鑰、簽章使用之加密演算法概要、憑證之序號、憑證之效期、簽發者之名稱、憑證之相關限制條件、憑證機構之簽章。 ↑TOP Q34.什麼是「中止憑證」？什麼是「註銷憑證」？ A34. 「中止憑證」是暫時停止憑證之效力，當事者基於某種理由（例如出國）可向憑證機構申請暫時中止憑證之效力。憑證機構必須依憑證實務作業基準書規定之方法及程序，中止憑證效力，以保障當事者之權益。「註銷憑證」是永遠停止憑證之效力，憑證當事者基於某種理由（例如: 儲存憑證之IC卡遺失、或簽章遭偽造，或認為有安全之虞）向憑證機構申請撤銷時，憑證機構必須依既定之方法及程序註銷，並列入憑證註銷清冊，對外公告，以保障相關當事者之權益。 ↑TOP Q35.使用者如何知道收到的憑證是正確的、有效的憑證？ A35. 使用者在與對方進行通信或交易對方時，首先必須確定這一張憑證是由那一個憑證機構簽發的憑證、確定簽發憑證的憑證機構它本身的公鑰憑證是否有效（沒有被註鑰），並且確定對方的憑證效期，而最重要的是要到憑證機構對外公布的「憑證註銷清冊」查詢這一張憑證是否已經被註銷。（類似查詢信用卡是否被註銷）如果檢查無誤後，就可確認。（相關的查驗會由系統自動處理） ↑TOP Q36.使用憑證進行網路交易，如何保護使用者各種商業行為的隱私？ A36. 在現有的商業行為中，匿名交易是一種常態，在今後的網路交易中，亦宜允許匿名交易，以確保民眾的隱私。爰於本法規定政府機關以外之憑證機構，基於保護憑證當事者之隱私、便利匿名交易或應申請人之請，得以申請者之別名或代號作為憑證持有者之姓名。 ↑TOP Q37.憑證機構如果因人為或其他管理因素，導致使用者權益受損，是否要負賠償責任？ A37. 憑證機構及其所屬身分註冊、代理機構，應就下列事項對合理信賴其所簽發憑證之當事者，負損害賠償責任： 1. 憑證簽發錯誤，除非憑證機構及其代理機構可以證明己經採行與該項憑證目的相稱之所有合理可行之避免憑證錯誤之措施。 2. 未依本法或憑證實務作業基準書所訂之程序或方法註銷、中止或簽發憑證，致相關當事者利益受損時。 3. 所屬人員故意或無意之過失或管理疏失，致合理信賴其所簽發之憑證為真之相關當事者利益受損時。 憑證機構就前條規定所須承擔之損害賠償責任，以該憑證內所載之責任範圍為限。憑證機構及憑證當事者未依本法規定善盡其責任，致善意第三者利益受損時，得向憑證機構或憑證當事者請求損害賠償。 ↑TOP Q38.那些情況下憑證機構不必負賠償責任？ A38. 憑證機構及其註冊、代理機構，就下列事項不負損害賠償責任： 1. 對於任何信賴其憑證當事者之錯誤及偽造之數位簽章所致之損失，已依本法規定採行所有合理可行之預防措施。 2. 對於相關當事者將憑證應用在與簽發目的相違背之事項，或超出憑證所載之限制事項。 ↑TOP Q39.憑證的當事者有什麼樣的義務？ A39. 1. 憑證當事者應自行使用安全及可信賴之系統，或使用憑證機構認可之系統製作簽章公鑰及私鑰。 2. 憑證當事者應據實提供憑證簽發所須之所有正確及完整性資訊，無論憑證機構是否知其為真。 ↑TOP Q40.憑證當事者在什麼情形下要負損害賠償責任？ A40. 憑證當事者在下列情形須負賠償責任： 1. 故意以不當或不法方法，使憑證機構誤信其提供之資訊為真，並據以簽發憑證，致相關當事者利益受損。 2. 未依本法規定註銷憑證，致任何信賴者利益受損。 3. 未善盡保管責任，致其簽章設施遭未經授權之使用，且未依本法規定通知相關當事者，致相關當事者利益受損。