6.9 其他業務和法律事務

6.9.0 本項說明

該項涵蓋了一般性的商務和法律問題。本框架的9.1條和9.2條討論不同服務的費用問題，和各參與方為了保證資源維持運營，針對參與方的訴訟、爭議的審判和解決提供支付所需要承擔的財務責任。該項的其余內容通常與法律問題相關。

自本框架的9.3條開始，其標題順序與典型的軟件許可協議或其他技術協議的標題順序相同或相近。因此，本框架不僅適用于CP和CPS，還可用于其他PKI相關的協議，尤其是訂戶協議和依賴方協議。如此安排順序旨在幫助律師審閱CP、CPS和依據本框架而編寫的文檔。

關于此項中的許多法律子項，CP或CPS的撰寫者可以將其包含在文檔的限定條件中，使其直接作用于訂戶或依賴方。例如，在一個CP或CPS中可以設定訂戶和依賴方的責任范圍。當CP或CPS本身作為一個合同或作為合同的一部分時，限定條件中所包含的內容就變得很有意義。

但在其他情況下，CP或CPS并不作為合同或合同的一部分。相反地，可設定通過另外的文檔使CP或CPS的條款或條件作用于有關方，這些文檔可能包括相關的協議，如訂戶協議或依賴方協議。在這種情況下，CP的撰寫者可能會編寫一個CP，要求其某些法律規定和條件要出現（或不出現）在這些相關協議當中。例如，一個CP可能包含一個子項，聲明某些責任限制條款必須出現在CA訂戶協議和依賴方協議中。再比如，一個CP可包括一個子項，禁止使用包含與該CP規定不符的CA責任限制的訂戶或依賴方協議。CPS的撰寫者可以利用法律子項來公布某些限定條件出現在CA所使用的相關訂戶、依賴方或其他協議中。例如，在一個CPS中可以說明CA使用相關的訂戶或依賴方協議以適用于某特定條款來限定責任。

6.9.1　費用

該子項包括CA、信息庫擁有者或RA收取費用的條款，如：

—— 證書頒發或更新費用；

—— 證書訪問費用；

—— 吊銷或狀態信息訪問費用；

—— 其他服務的費用，如對相關CP或CPS提供訪問服務；

—— 退款規定。

6.9.2　財務責任

該子項包括與CA、RA和其他提供認證服務的參與者的可用資源相關的要求或公開聲明，這些資源是其運營PKI的責任的必要支撐，并且在其運營發生錯誤并造成損失時提供賠付和解決辦法。這些規定包括：

—— 該參與者對其他參與者所負有的責任保險范圍聲明；

—— 該參與者利用其他資源來支持其運營和對潛在責任進行賠付的聲明，可以以PKI正常運營和處理可能意外事件所需的最少財產級別的方式表達，如組織收支平衡表上的財產、保證書、信用證明、在某種條件下要求賠償的權力契約；

—— 該參與者擁有對使用其PKI的其他參與者提供首方責任險或擔保保護的程序的聲明；

6.9.3　業務信息保密

該子項包括與各參與方在進行相互通信時對保密商業信息問題進行處理的相關規定，如商業計劃、銷售信息、貿易秘密和在非公開協議下從第三方得到的信息。特別地，此子項說明：

—— 被認為是保密信息的范圍；

—— 被認為在保密信息范圍之外的信息類型；

—— 接收到保密信息的參與者防止其泄漏、避免使用和發布給第三方的責任。

6.9.4　個人隱私保密

該子項與參與者，尤其是CA、RA和信息庫需要采取的保護措施相關，這些措施用來保護證書申請者、訂戶和其他參與者的個人身份私有信息。特別地，在適用法律范圍之內，該子項包括：

—— 根據有關法律或政策的需要，指定并公開適用于參與者活動的隱私方案；

—— PKI中認為或者不認為是隱私的信息；

—— 收到參與者的隱私信息保證其安全、避免使用和泄漏給第三方的責任；

—— 在使用或者公開其隱私信息時，通知個人或獲得個人同意的相應要求；

—— 在個人或政府事務或其他任何法律事務中，參與者依據司法或管理程序授權或必須公開隱私信息的條件。

6.9.5　知識產權

該子項說明知識版權問題，如版權、專利、商標、商業秘密等。這些內容可能出現在某些參與者的CP、CPS、證書、名稱和密鑰中（或在其中聲明），也可能是發給或來自參與者的許可證中的主體。

6.9.6　陳述與擔保

該子項包括CP或CPS對各種實體所作的陳述和擔保。例如，一個作為合同的CPS可能包含CA的擔保：保證其所頒發證書中的信息是準確的。或者CPS包含一個較有限的擔保：在認真執行了某種身份鑒別過程后，就CA所掌握的信息而言，證書中的信息是真實的。該子項還可以要求在某些協議中要包含陳述和擔保條款，如訂戶或依賴方協議。例如，某個CP可以包含一項要求：所有的CA要使用訂戶協議，在該協議中包含CA的一項擔保，確保證書中的信息是正確的。CA、RA、訂戶、依賴方和其他參與者都可制定自己的陳述和擔保。

6.9.7　擔保免責

該子項包含對有可能存在其他協議中的明示擔保責任的否定描述，也包含對由于適用法律引起的隱含擔保責任的描述，如商品的可買賣性或適用于特殊目的擔保。在CP或CPS中可以直接使用這些擔保免責規定，或者包含一項要求，規定擔保免責條款要出現在相關協議當中，如訂戶或依賴方協議。

6.9.8　有限責任

該子項包含CP或CPS中的陪付責任限制，或者出現在與CP或CPS相關的協議中的賠付責任限制，如訂戶或依賴方協議。這些限制可分為兩類：遭受的損失中哪些是可補償的，和遭受損失可補償的總量，也就是上限。通常，合同中包含拒絕對某些損失的賠償，如意外損失和后續性損失，有時懲罰的損失。經常地，合同中也包含限制一方或另一方賠償到一確切的數量，或者到一個基準數量，如供應商在合同下所得到的支付。

6.9.9　賠償

該子項包含一方對另一方遭受損失的賠償條款，通常這種損失是由第一方的行為所導致的。賠償條款可以出現在CP、CPS或其他協議當中。例如，在CP中可以要求在訂戶協議中包含一條規定，如果由于訂戶在申請證書過程中欺騙性的陳述其身份而使CA為其簽發了不正確的證書，給CA造成損失，訂戶有賠償CA損失的責任。同樣，在CPS中可以指出某一CA使用依賴方協議，在該協議下，如果依賴方在使用證書過程中沒有正確檢查吊銷信息，或在CA允許的目的范圍之外使用證書，從而使CA遭受損失，依賴方有賠償CA損失的責任。

6.9.10　有效期限與終止

該子項包括CP或CPS有限的時間期限，以及文檔、文檔的某一部分或對某一特定參與者的適用性終止的條件。另外，在CP或CPS中可以要求某些期限和終止條款要出現在訂戶或依賴方協議中。特別地，這些條款包括：

—— 文檔或協議的有效期限，也就是如果文檔不提前終止，文檔生效和失效的時間，。

—— 終止規定，聲明文檔、文檔的某一部分或對某一特定參與者的適用性停止有效的條件。

—— 文檔終止的任何可能結果，例如協議的某些條款在協議終止后繼續有效，如知識產權承認和保密條款。另外，終止可能涉及到各參與方返還保密信息到其擁有者的責任。

6.9.11　各參與者的個別通告與溝通

該子項討論某一參與方與另一參與方進行通信時可以或必須遵循的方法，以使其通信過程在法律上有效。例如，一個RA想要告知CA它想終止與CA的協議。此子項的內容與公布和發布證書的功能不同，因為公布和發布證書是以與大范圍的接受者之間的通信為目的，如所有的依賴方。此子項可建立通信機制并指明聯系信息以便傳遞信息，比如發送經過數字簽名的電子郵件到指定地址，隨后是經過簽名的電子郵件接收確認。

6.9.12　修訂

有時需要修訂某個CP或CPS，有些變動并沒有實質性地減少CP或其實施所提供的保證，這種改變將被策略管理員判定為對證書的可接受性沒有重大影響，這樣的變動不需要改變CP的OID或CPS的地址指針（URL）。另一方面，有些變動會從根本上改變對證書的接受（針對特殊目的），這些變動需要改變相應CP的OID或CPS的地址指針。

該子項還可包含下列信息：

—— CP、CPS或其他文檔必須或可以遵循的修正程序。當對CP或CPS修正時，變動過程可能包括通告機制（將建議的變更通知所有受影響的對象，如訂戶和依賴方），評論期限，評論接收、審閱、并反映到文檔的機制，和修正最終形成并生效的機制。

—— 當對CP或CPS進行修正時，需要變更CP的OID或CPS的URL的條件。

6.9.13　爭議處理

該子項說明解決出自CP、CPS或其他協議的爭端的程序，例如要求爭端需要通過某個論壇解決，或者其他的爭端解決機制。

6.9.14　管轄法律

該子項設置一項聲明，說明在某個司法管轄域內的法律對CP、CPS或其他協議的解釋和生效起作用。

6.9.15　與適用法律的符合性

該子項說明參與者所需遵守的適用法律，如與密碼硬件和軟件相關的法律，該法律可能還受控于給定司法管轄域下的出口控制法。CP或CPS需要聲明滿足這些法律，或者聲明這些規定在其他協議中給出。

6.9.16　一般條款

該子項包括綜合規定，這里所總結的條款可以出現在CP、CPS或其他協議中：

—— 整體協議條款，通常標識出構成整個協議的全部文檔，并聲明該協議替代所有先前或同時期的、與相同主題相關的書面或口頭解釋。

—— 轉讓條款，通過某種方式限制一方的能力，如在該協議下將一方的權利轉讓給另一方的規定（如在將來接受費用的權利）、或授權其某種義務。

—— 分割性條款，表達參與方在出現如下事件時的意圖，即當法庭或其他仲裁機構判定協議中的某一條款由于某種原因無效或不具執行力時，不會出現因為某一條款的無效導致整個協議無效。

—— 強制執行條款，可以聲明在協議糾紛中有利的一方有權將代理費作為償還要求的一部分，或者聲明免除一方對合同某一項的違反應該承擔的責任，不意味著繼續免除或未來免除這一方對合同其他項的違反應該承擔的責任。

—— 不可抗力條款，通常用于出現超出受影響方控制事件的發生時，免除一方或多方對合同的執行責任。通常，免除執行的時間與事件所造成的延遲時間相當。此條款也可包括協議終止的環境和條件。構成不可抗力的事件包括戰爭、恐怖襲擊、罷工、自然災害、供應商或賣方執行失敗、因特網或其他基礎設施的癱瘓。不可抗力條款的起草應與框架的其他部分相一致，并達到適用的服務級別協議。例如，業務連續性和災難恢復的責任和能力可以將某些事件置于組織的可控范圍之內，如在停電時啟用備份電源的義務。

6.9.17　其他條款

針對PKI參與者、又不屬于本框架的項或子項的任何附加責任和規定，都在此描述。