电子签名与电子认证服务法律制度.ppt

项目3 电子签名与电子认证服务法律制度 教学目标 一 知识目标1 学习和把握数据电文与电子签名的基本知识 2 了解电子签名与电子认证服务法律法规 3 理解数据电文与电子签名的法律效力 二 技能目标1 能够分析电子证据的法律效力 2 能够分析电子证据的多样性 任务1 分析以下案例 原告 衡阳木制品加工厂被告 景荣实业有限公司景荣实业有限公司已经注册了电子信箱 E mail jrsy cn 衡阳木制品加工厂也注册了电子信箱 E mail h ymz 192003年3月5日上午 景荣实业有限公司给衡阳木制品加工厂发出要求购买其厂生产的办公家具的电子邮件一份 电子邮件中明确了如下内容 1 需要办公桌8张 椅子16张 2 要求在3月12日之前将货送至景荣实业有限公司 3 总价格不高于15000元 电子邮件还对办公桌椅的尺寸 式样 颜色作了说明 并附了样图 当天下午3时35分18秒 衡阳木制品加工厂也以电子邮件回复景荣实业有限公司 对景荣实业有限公司的要求全部认可 为对景荣实业有限公司负责起见 3月6日衡阳木制品加工厂还专门派人到景荣实业有限公司作了确认 但双方都没有签署任何书面文件 2003年3月11日 衡阳木制品加工厂将上述桌椅送至景荣实业有限公司 由于景荣实业有限公司已于10日以11000元的价格购买了另一家工厂生产的办公桌椅 就以双方没有签署书面合同为由拒收 双方协商不成 3月16日衡阳木制品加工厂起诉至法院 庭审中 双方对用电子邮件方式买卖办公桌椅及衡阳木制品加工厂去人确认 3月11日送货上门等均无异议 4月15日法院判决衡阳木制品加工厂胜诉 问 法院的判决是否正确 数据电文与电子签名概述 一 数据电文的定义数据电文是指经由电子 光学或者类似方式生成 储存或传递的信息 这些方式包括但不限于电报 电传 传真 电子数据交换和电子邮件 数据电文也称为电子信息 电子通信 电子数据 电子记录 电子文件等 一般是指通过电子手段形成的各种信息 二 电子签名概述1 电子签名的概念电子签名 是指数据电文中以电子形式所含 所附用于识别签名人身份并表明签名人认可其中内容的数据 电子签名法 第2条 电子签名是相当于手书签名的一种方法 包括各种能够实现签名功能的电子方式 这些方式包括但不限于数字签名 还可以是生物识别技术 加密技术等 电子签名应考虑三个问题 概念的广泛性 涵盖所有可以提供类似功能的技术名称 术语 技术中立原则 不片面地强调某一技术 电子签字的实质 区别 签字 和 电子签字 的概念 电子签名具有易修改性 易复制性 脆弱性 以及精确性等特点 从而增加了对判定电子签名的法律效力的复杂性和特殊性 电子签名的种类 电子签名法没有规定必须采用何种技术实现电子签名 只要该项技术所实现的电子签名符合该法规定即可 目前实现电子签名的技术很多 数字签名技术是最成熟 最可操作 最具有市场推广价值的一个 生物技术 指将个性化生物特征进行提取 并转换成数字信息用于需要进行电子签名的场合 其成本较高 难以大面积推广 密码和PIN卡技术 以及其他种类的一次性密码生成技术一般在电子银行的范围内使用 尽管不能完全等同于纸面签名 在电子商务法仍应该赋予这些替代性技术生成的电子签名效力 数字签字的基础 数字签名又称为数字签字 其是利用公钥密码技术和其他密码算法生成一系列符号及代码组成电子密码进行签名 来代替书写签名和印章 其本身是一个数字串 它的目的是将实体的身份和一段信息绑定 一般在需要认证 授权和提供不可否认服务的电子环境下使用 数字签名需要满足以下要求 1 接收方能够验证或确认发送方的电子签名 但是不能伪造之 2 发送方发出带有电子签名的消息之后 不能否认他所签发的消息 3 接收方不能否认他已经收到的带有电子签名的消息 4 第三方可以确认收发双方之间的消息传递 但是不能伪造该过程 数字签名和手写签名的区别 手写签名是模拟的 每个人都不相同 而数字签名是由二进制数0和1组成的数字串 不同的消息具有不同的数字签名数字签字通过密码技术的运用 保既证了信息安全性 又保证了签字人的特定性 使之具有传统书面签字类似的功能 数字签字与下列技术相关 1 散列函数 它是一种单向不可逆的函数 任何修改都能被轻易察觉 2 加密 将数据电文转换为表面上不可识别的形态和还原为原有状态 3 公钥与私钥 私钥由签字人用于创建数字签字 公钥则核查数字签字 电子签名相关的概念 电子签名人电子签名依赖方电子签名认证证书电子签名制作数据电子签名验证数据电子认证 以电子认证证书 又称数字证书 为核心技术的加密技术 它以PKI技术为基础 对网络上传输的信息进行加密 解密 数字签名和数字验证 数字签名运行基本条件 数字签名的实施需要第三方认证机构提供认证服务 这种认证即为数字认证服务 也泛称电子认证 数字签名应用的基本工具是数字证书 数字证书是经认证机构数字签字并包含有证书持有人身份信息及其公开密钥的文件 证书 系指可证实签字人与签字生成数据有联系的某一数据电文或其他记录 数字证书的基础是公开密钥体系 PKI 一个证书用户有二把密钥 私钥和公钥 分别用于加密和解密 对公钥进行验证 确认公钥归属的第三方被称为 认证机构 CertificateAuthority CA 基于第三方认证的电子签名系统电子签字系统是基于公钥基础设施PKI的一种应用 是一种遵循既定标准的密钥管理平台 它能够为电子签字网络应用用户提供必需的密钥和证书管理体系 PKI技术是电子签字系统信息安全技术的核心 安全电子商务使用的文件传输系统大都带有数字签名和数字证书 其基本流程包括10个步骤 1 在发送方的网站将信息通过哈什函数变换为预先设定长度的报文摘要 2 利用发送方的私钥给报文摘要加密 结果是数字签字 3 将数字签字和发送方的认证证书附在原始信息上打包 使用DES算法生成的对称密钥在发送方的计算机上为信息包加密 得到加密信息包 4 用预先收到的接收方的公钥为对称密钥加密 得到数字信封 5 加密信息和数字信封合成一新的信息包 用网络传导接收方的计算机上5 用接收方的私钥解密数字信封 得到对称密钥 7 用还原的对称密钥解密加密信息 得到原始信息 数字签字和发送方的认证证书 8 用发送方公钥解密数字签字 得到报文摘要 9 将收到的原始信息通过哈什函数变换为报文摘要 10 将第8步和第9步得到的信息摘要加以比较 以确认信息的完整性 任务2 分析以下案例 美佳家小区物业管理中心为方便小区业主交流和反馈日常问题 建立了名为 美佳是我家 快乐交流乐大家 的QQ群 该群由小区物业管理人员常主管建立 成员由物业管理人员和小区部分业主构成 2012年6月23日正值端午佳节 小区业主菲菲正和家人团聚准备午饭时 才发现小区停电了 此时菲菲向小区物管咨询为何过节突然停电 物管回应说接上级部门通知要求物管停电进行电路检修 且停电通知已于6月20 22日在业主QQ群里发布过了 菲菲十分疑惑 停止供电的通知仅仅在QQ群里公布就行了吗 这样的通知具备法律效力吗 数据电文与电子签名的法律效力 电子签名的法律效力只及于法律规定的事项范围内 从理论上讲 凡亲笔签名方式可签署的文件 同样也应允许以电子签名的方式签署 但由于某些交易的特殊 不得仅因为其采用电子签名 数据电文的形式而否定其法律效力 电子签名法 第三条规定 民事活动中的合同或者其他文件 单证等文书 当事人可以约定使用或者不使用电子签名 数据电文 其明确 第一 普通民商事活动 当事人是否使用数据电文由当事人自己决定 第二 法律规定了排除使用数据电文的范围 当事人约定使用电子签名 数据电文的文书 不得仅因为其采用电子签名 数据电文的形式而否定其法律效力 争议 了解 1 排除范围过宽 供水电气之规定不利于公用事业信息化的发展 2 在适用的领域角度 电子签名法 不仅适用于商务领域 而且也适用于政务领域 前款规定不适用下列文书 一 涉及婚姻 收养 继承等人身关系的 二 涉及土地 房屋等不动产权益转让的 三 涉及停止供水 供热 供气 供电等公用事业服务的 四 法律 行政法规规定的不适用电子文书的其他情形 二 数据电文的法律效力 传统法律对书面的要求重要的法律行为或者协议签订均要求采用书面形式 甚至有些合同以书面合同的签订为生效要件 合同法 对于六类合同明确规定应当采用书面形式 但 合同法 第36条 对于规定必须采用书面形式的合同 却未采用书面形式的 并不一定必然导致合同无效 概念比较 书证和书面 文书证据的效力认定规则 1 一般证据效力认定规则 1 证据可采性证据的可采性指证据为法律所容许 包括合法性和关联性 合法性 符合法律规定的证据形式和按照法定程序收集和认证的证据 排除三类非法证据 一是违背真实意志的证据 二是收集证据手段侵犯隐私权的证据 三是收集程序不合法的证据 关联性 是指证据与待证事实之间存在逻辑的或法律上的联系 2 证据证明力证据的证明力是证据真实性与证据关联性的综合判断 证据的真实性是证据证明力的来源和前提 证据本身必须真实可信 证据关联性是指证据同案件事实的客观内在联系 联系愈紧密证明越高 2 书证证明力认定的基本规则书面证据被认为是与电子证据最为类似的证据种类 书面证据的可采性很大程度上取决于书面证据是原件还是副件 书证的证据规则规定大致如下 1 一般应当提供书证原件 2 是否是原件是单个证据审查的一项内容 3 在确有困难且法庭允许的情况下 复制品 4 经核对无误的复印件具有与原件同等的效力 5 在证明同一个事实的情况下 原件证明力优于复印件 6 当事人无正当理由拒不提供原件 原物 又无其他证据印证 且对方当事人不予认可的证据的复制件或者复制品不具有证据效力 书面形式具有证据效力的法律要件 书面形式具有证据效力的法律要件包括原件要求和签名要求 1 原件要求只有原件的书证内容才是真实可靠的 仅凭复印件不能够认定待证事实 原件的两个条件 一是载体为原始的 二是信息或内容是原始的 2 签名要求签字表明签字人认可该文件或愿意将文件的法律后果归属于自身 签字的目的 将某文件归属于某人 防止签字人抵赖或者反悔 电子记录作为有效证据的法律解决方案 我们用记录表述书证内容 区分纸记录和电子记录 1 电子记录的概念电子记录 E record 应用现代信息技术生成 存储 传输中形成的电子信息或数字信息 包括EDI 电子邮件 计算机服务器和终端设备生成和储存的任何电子文档 2 电子证据狭义电子证据指 计算机证据 或者 数字证据 广义电子证据认为电子证据与计算机证据是交叉关系 电子证据和数字证据是包容和被包容关系 我们认为应采广义电子证据说 电子证据并不完全是计算机证据或数字证据 电子记录特点 电子记录作为有效证据要解决的问题 与传统的书面形式相比较 电子记录具有如下特征 1 非直观性电子记录必须借助计算机或特定装置等才能够读取 2 媒介脆弱性电子记录被窃的危险性高于纸面所处的环境 3 信息脆弱性计算机的信息或内容容易被篡改 且电子记录的内容本身也具有脆弱性 电子记录的 原件 难以认定 电子记录具有易于使用 审查 核实 便于操作的优点 联合国示范法确立的关于电子记录效力的基本规则 电子商务示范法 确定了电子记录的法律地位 赋予了电子记录在诉讼中作为证据的可采性和证明力 功能等同 法确立了如何使电子记录具有可采性和判断电子记录证明力的规则 功能等同原则由三项原则构成 一 书面形式要件 二 数据电文的签字要件 三 数据电文的原件标准功能等同法并非要求 数据电文 替代纸面文件或完全等同于纸面文件 电子签名法 确立的基本原则 示范法 采用 功能等同 的方法 即挑出书面形式的11项基本作用 并以此作为标准 一旦数据电文达到这些标准 即可同起着相同作用的相应书面文件一样 享受同等程度的法律认可 功能等同法的一个前提认识是 功能等同并不是 数据电文 替代纸面文书或完全等同于书面 采用功能等同方法时 也参照现行法中书面文件不同层次的要求 对数据电文规定了不同层面要求 数据电文有效性作为证据的两个基本问题 1 记载内容的归属问题 解决谁承担责任问题在电子通信手段下 发件人往往可以成为内容的责任人 尽管发件人可能没有签字或者仅仅在信件后以电子方式署名 电子签名是替代信息系统控制人判断信息归属的另一种技术手段 发送电子邮件时 末尾打上的发信人的姓名 不具有签名的效力 电子文档必须有其他的签字方式 电子签名法 第9条规定数据电文有下列情形之一的 视为发件人发送 1 经发件人授权发送的 2 发件人的信息系统自动发送的 3 收件人按照发件人认可的方法对数据电文进行验证后结果相符的 当事人对前款规定的事项另有约定的 从其约定 2 记载内容的完整性问题用信息完整性来替代原件 来加以判断一项电子记录是否真实 将电子记录首次固定后的内容认定为原始内容 之后若能保持电子记录内容的完整性 则可以认定电子记录内容始终是原始的 原件形式要求 1 能够有效地表现所载内容并可供随时调取查用 2 数据电文的格式与其生成 发送或者接收时的格式相同 或者格式不相同但是能够准确表现原来生成 发送或者接收的内容 3 能够识别数据电文的发件人 收件人以及发送 接收的时间 数据电文证据规则 签名法 确立的两种解决方案 1 使用电子签名条件下的证据规则电子签名的两项功能 第一 判断信息 电子记录 数据电文 归属 如果发送人对电子记录使用了可靠的电子签名 可以将电子记录归属于电子签名人 第二 用以保障电子记录的完整性 经过可靠的电子签名的电子记录被推定为具有完整性 2 非使用电子签名条件下的证据规则核心是解决电子记录的归属 签字基本功能 和完整性 原件功能 电子记录的归属原则 凡是使用该用户名和密码发送的信息 即归属于该用户名和密码所有人 除非当事人举证其密码被盗或被人获悉 法律上一般推定密码使用人所为行为即为密码所有人行为 来源推定规则 完整性要求 只要电子记录提供人能够证明该记录初次生成为最终稿且未被修改 删节过 就应当推定为具备完整性 同时 对于存储于无利害关系第三方服务器或电脑系统的文件 如果能够完成调取和解读 一般应当认定为保持可完整性 电子签名的法律效力 案例5 这样的合同有效吗 阿龙是一位在校的电子商务专业大三的学生 在学习了专业知识之后 他发现网上创业前景可观 在经过一番考察了解 他决定代理一个投入少的产品 厂家跟阿龙签的合同是用QQ传过来的电子版 合同上注明代理费用为2000元 他把自己签名的电子版插入合同文档中 同时把日期打上去 然后再用QQ传回去 厂家盖好章之后打印成纸质文档 又给阿龙邮寄回来 可是 当阿龙拿到合同一看 合同中的代理费用变成了20000元 这让阿龙十分恐慌 虽然签名时候合同内容和现在的不同 但眼前这合同有自己的签名在上面呀 这样的合同能有效吗 1 可靠的电子签名 电子签名法 第十三条可靠的电子签名应当具备的法定条件 1 电子签名制作数据用于电子签名时属于电子签名人专有 2 签署时电子签名制作数据仅由电子签名人控制 3 签署后对电子签名的任何改动能够被发现 4 签署后对数据电文内容和形式的任何改动能够被发现 一项电子签名同时符合上述4个条件 可视为可靠的电子签名 当事人也可以选择使用符合其约定的可靠条件的电子签名 可靠的电子签名与手写签名或者盖章具有同等的法律效力 使用数字签名时的证据规则 使用电子签名时证据认定的一般原则确定两方面的内容 电子文档的发件人信息 电子文档本身内容的完整性1 发件人信息的确认 对发件人特有的私有特征或秘密参数予以认定 2 内容完整性的确认的指导规则 1 具有电子签名的文档的证明效果大于等于没有电子签名的电子文档 2 采用安全电子签名方案进行签名的电子文档 其证明效果大于采用非安全电子签名方案进行签名的电子文档 3 若带有电子签名的文档 其签名方案经鉴定属于完全非安全电子签名 则电子文档的证明效果等同于不带电子签名的电子文档 4 若电子签名采用的是安全电子签名 但是签署者的私有秘密在签署之前已受到威胁 或者电子签名已经失效 则所签署的电子文档无效 5 特殊情形 若发现恶意采用完全非安全电子签名方案 或者采用过期的电子签名对电子文档签名 则该电子签名具有反证效果 经签名的电子文件的发件人 通过电子签名的验证 确定使用的数字证书或生物特征等具有唯一性属性 从而和特定个体或团体的身份一一对应 确定电子文档的发件人 关于经签名的电子文档的发件人的证据规则 a 若签名采用的是安全电子签名技术 经过验证签名为真实的 则电子签名等同于手写签名的法律效力 并发件人即是签署人 b 若签名采用的是安全电子签名技术 则经过验证为虚假签名的电子签名不具有法律效力 不能由此确定发件人 c 若签名采用的是完全非安全电子签名 无论签名是否被验证通过 则签名无效 因而不能由此确定发件人 d 若签名采用的是不可判非安全电子签名 且签名被验证通过 那么其本身不能作为独立的证据被法庭接受 必须有证据补强 才能作为法庭的有效证据 其本身的法律效力介于无效签名与手写签名之间 e 若签名采用的是不可判非安全电子签名 且签名被验证为虚假 则认为该电子文档不具有法律效力 不能由此确定发件人 f 若出现上述规则 5 中的特殊情形 则该电子签名具有反证效果 且电子签名无效 经签名的电子文件的完整性 法律上所指的电子文档的完整性和技术上的完整性是有区别的 具有电子签名文档的完整性的判断规则 a 若签名采用的是安全电子签名技术 经过验证签名为真实的 则可以确定文档内容的完整性未受破坏 其电子文档的法律效力等同于原件 b 若签名采用的是安全电子签名技术 则经过验证为虚假签名的电子文档不具有法律效力 电子文档内容的完整性遭到破坏 c 若签名采用的是完全非安全电子签名 无论签名是否被验证通过 则签名无效 电子文档视为普通无电子签名的文档 电子文档的完整性不能保证 d 若签名采用的是不可判非安全电子签名 且签名被验证通过 那么电子签名所签署的电子文档本身不能作为独立的证据被法庭接受 必须有证据补强 才能作为定案证据 其本身的法律效力介于无签名的电子文档与具有安全电子签名的电子文档 验证通过 之间 e 若签名采用的是不可判非安全电子签名 且签名被验证为虚假 则认为该电子文档不具有法律效力 电子文档的完整性受到破坏 f 若出现上述规则 5 中的特殊情形 则该电子签名具有反证效果 其签署的电子文档完整性受到破坏 2 电子签名人的法律义务 信息提供义务妥善保管义务告知义务 3 电子签名人的法律责任 电子签名法 第27条规定 电子签名人知悉电子签名制作数据已经失密或者可能失密未及时告知有关各方并终止使用电子签名制作数据 未向电子认证服务提供者提供真实 完整和准确的信息 或者有其他过错 给电子签名信赖方 电子认证服务提供者造成损失的 承担赔偿责任 4 伪造 冒用 盗用他人电子签名的法律责任 电子签名法 第32条规定 伪造 冒用 盗用他人电子签名 构成犯罪的依法追究刑事责任 给他人造成损失的 依法承担民事责任 电子认证服务法律法规 1 电子认证的概念电子认证特配合电子签名的使用 以电子认证服务机构为中心 由其依照法律规定审验电子签名使用人的身份 资格等属性 以确保电子签名与签名使用人之间唯一对应关系的法律制度 电子政务和电子商务中的核心环节 可以确保网上传递信息的保密性 完整性和不可否认性 确保网络应用的安全 1 数字证书的组成数字证书由两部分组成 申请证书主体的信息和发行证书的CA签字 证书数据包含版本信息 证书序列号 CA所使用的签字算法 发行证书CA的名称 证书的有效期限 证书主体名称 被证明的公钥信息 发行证书的CA签字包括CA签字和用来生成数字签字的签字算法 2 认证机构认证机构 CA 在电子商务中具有特殊的地位 主要是解决电子商务活动中交易参与各方身份 资信的认定 维护交易活动的安全 CA是提供身份验证的第三方机构 由一个或多个用户信任的组织实体构成 2 电子认证的作用电子认证是一种服务 通过证书授权机构 CA中心 对公共密钥进行辨别和认证 以防止或降低因密钥的丢失 毁损或解密等原因造成的电子文件环境交易的不确定因素及不安全风险 担保功能预防功能 防止欺诈 防止否认 3 电子认证的程序电子认证的具体操作程序为 1 发件人在做电子签名前 签署者必须将他的公共密钥送到一个经合法注册 具有从事电子认证服务许可证的第三方 即CA认证中心 登记并由该认证中心签发电子印鉴证明 Certificate 2 发件人将电子签名文件同电子印鉴证明一并发送给对方 收件方经由电子印鉴佐证及电子签名的验证 即可确信电子签名文件的真实性和可信性 二 电子认证机构 认证机构 CertificationAuthority 简称CA认证机构或CA认证中心 为用户在电子商务交易活动及相关活动提供一个中立 公正 值得信赖的第三方认证服务的机构 1 认证机构的设立 电子认证服务管理办法 第5条规定 电子认证服务机构应当具备的条件 1 独立企业法人资格2 相适应的人员 不少于30人 3 注册资本不少于RMB3000万4 固定经营场所和相应的物流环境5 技术 设备6 同意使用密码的证明文件7 法律法规规定的其他条件 2 认证机构的管理 工业和信息化部对申请人提交的申请材料进行形式审查 申请材料齐全 符合法定形式的 向申请人出具受理通知书 申请材料不齐全或者不符合法定形式的 当场或者在五日内一次告知申请人需要补正的全部内容 工业和信息化部自接到申请之日起四十五日内作出准予许可或者不予许可的书面决定 不予许可的 书面通知申请人并说明理由 准予许可的 颁发 电子认证服务许可证 并公布 电子认证服务许可证 编号 电子认证服务机构名称 发证机关和发证日期 3 认证机构的职能 电子认证服务机构应当按照工业和信息化部公布的 电子认证业务规则规范 等要求 制定本机构的电子认证业务规则和相应的证书策略 在提供电子认证服务前予以公布 并向工业和信息化部备案 电子认证业务规则和证书策略发生变更的 电子认证服务机构应当予以公布 并自公布之日起三十日内向工业和信息化部备案 认证服务基本法律关系 在使用第三方认证机构服务的情形下 会形成两对法律关系 认证机构与证书持有人之间的关系 认证机构与证书信赖人之间的关系1 认证机构与证书持有人之间的关系认证机构提供证书认证是一种信息服务 他们之间是认证服务合同关系 2 认证机构与证书信赖人之间的关系所谓证书信赖人是指由于相信认证证书的记载而相信证书持有人的身份真实 从而与之进行商事交易的人 从现有的情况看 证书信赖人有几种情况 一是信赖人与被信赖人都是同一认证机构的用户 都持有电子证书 二是信赖人与被信赖人虽然都持有电子证书 但由不同的认证机构发放 三是信赖人不持有任何电子证书 第一种情况 信赖人与认证机构存在认证服务合同 具有合同关系 第二和第三种情况 信赖人与认证机构之间是一种法定信赖利益关系 数字认证机构义务 1 电子认证服务机构的服务范围和义务根据 电子认证服务管理办法 第17条 电子认证服务机构应当保证提供下列服务 一 制作 签发 管理电子签名认证证书 二 确认签发的电子签名认证证书的真实性 三 提供电子签名认证证书目录信息查询服务 四 提供电子签名认证证书状态信息查询服务 根据 电子认证服务管理办法 第18条电子认证服务机构应当履行下列义务 一 保证电子签名认证证书内容在有效期内完整 准确 二 保证电子签名依赖方能够证实或者了解电子签名认证证书所载内容及其他有关事项 三 妥善保存与电子认证服务相关的信息 另外 认证机构还应当建立完善的安全管理和内部审计制度 并接受信息产业部的监督管理 应当遵守国家的保密规定 建立完善的保密制度 对电子签名人和电子签名依赖方的资料 负有保密的义务 2 业务说明义务 电子认证业务规则认证机构的基本义务是对其认证服务业务加以说明 该义务要求认证机构公开其工作流程和为用户提供何种服务及服务内容 主要包括 1 用户身份鉴定要求 2 证书类别及申请 签发 撤销 续展等操作规程 3 保密制度 4 安全控制规程 5 用户责任和义务 5 认证机构的赔偿范围及限额 7 与认证机构业务相关的其它重要内容 认证机构在其业务说明中应注意行业政策和习惯 并严格遵守其说明 保证包括证书在内的重要陈述具有准确性和完整性 3 向用户告知或提醒义务认证服务不仅涉及技术问题 而且涉及第三方利益 根据 电子认证服务管理办法 第21条 电子认证服务机构在受理电子签名认证证书申请前 应当向申请人告知下列事项 一 电子签名认证证书和电子签名的使用条件 二 服务收费的项目和标准 三 保存和使用证书持有人信息的权限和责任 四 电子认证服务机构的责任范围 五 证书持有人的责任范围 六 其他需要事先告知的事项 电子认证服务的终止 1 对特定用户的服务的终止根据 电子认证服务管理办法 第29条 在以下情形下 电子认证机构可以撤销供给特定用户签发的电子签名认证证书 终止为其提供服务 这些情形有 1 证书持有人申请撤销证书 2 证书持有人提供的信息不真实 3 证书持有人没有履行双方合同规定的义务 4 证书的安全性不能得到保证 5 法律 行政法规规定的其他情况 2 电子认证服务机构业务的终止电子认证服务不能随意终止 电子认证服务管理办法 区分两种终止情形 分别规范了其终止事项处理 其一 在 电子认证服务许可证 的有效期内拟终止电子认证服务的 应在终止服务六十日前向信息产业部报告 同时向信息产业部申请办理证书注销手续 并持信息产业部的相关证明文件向工商行政管理机关申请办理注销登记或者变更登记 第23条 其二 到期后暂停或终止服务的 拟暂停或者终止电子认证服务的机构应在暂停或者终止电子认证服务九十日前 就业务承接及其他有关事项通知有关各方 并在暂停或者终止电子认证服务50日前向信息产业部报告 并与其他电子认证服务机构就业务承接进行协商 作出妥善安排 第24条 如果未能就业务承接事项与其他电子认证服务机构达成协议的 应当申请信息产业部安排其他电子认证服务机构承接其业务 第25条 其三 被依法吊销电子认证服务许可而终止的 其业务承接事项的处理按照信息产业部的规定进行 由信息产业部指定机构承接其义务 为此办法第27条专门规定 电子认证服务机构有根据信息产业部的安排承接其他机构开展的电子认证服务业务的义务 电子签名认证证书 1 电子签名认证证书的概念电子签名认证证书是电子认证服务提供者签发的用以证明证书持有人的电子签名 身份 资格及其他有关信息的电子文件 它是电子交易当事人在互联网上从事电子商务活动的身份证和通行证 电子签名法 第二十一条规定 电子认证服务提供者签发的电子签名认证证书应当准确无误 并应当载明下列内容 电子认证服务提供者名称 证书持有人名称 证书序列号 证书有效期 证书持有人的电子签名验证数据 电子认证服务提供者的电子签名 国务院信息产业主管部门规定的其他内容 2 电子签名认证证书的法律意义在电子商务交易中互不认识的双方当事人用其证书证明各自签名的真实性 可以在双方之间建立相互信任的基础 因此 电子签名认证证书不仅具有证明电子签名的真实性与完整性的作用 还可以为交易当事人提供身份及从事交易的资格 权限等方面的证明 基于电子签名认证证书的重要作用 电子认证服务提供者签发的电子签名认证证书应当准确无误 否则就可能产生损害电子认证 电子交易的后果 影响电子签名认证证书的权威性和信任 3 电子签名认证证书的类型 1 个人身份证书 2 个人安全电子邮件证书 3 企业身份证书 4 企业安全电子邮件证书 5 信用卡电子签名认证证书 6 电子合同认证证书 4 电子签名认证证书的使用流程 从交易参与方角度来看电子商务应用中主要有5要素 即买家 服务商 卖家 银行和电子认证中心 CA 在交易过程中 电子签名认证证书的使用主要分为以下3个阶段 1 电子签名认证证书的注册申请 及交易各方通过CA中心获取各自的数字证书 2 银行的支付中心对买家的电子签名证书进行验证 通过验证后 将买家的所付款冻结在银行中 此时服务商和卖家也相互进行电子签名证书的验证 通过验证后 可以履行交易内容进行发货 3 银行验证服务商和卖家的电子签名认证证书后 将买家冻结在银行的货款转到服务商和卖家账户 完成交易 流程中 由于交易各方都持有CA中心所颁发的电子签名认证证书 所以能够保障在交易过程中参与各方的真实身份 防止他人假冒 证书持有人的权利义务 1 证书持有人的义务 1 诚实信用义务证书申请人在申请时应依法如实提供有关身份信息的证明 在持有证书期间 证书持有人在密钥可能为非授权人知道或存在有害证书安全的情况时应立即通知认证机构 2 妥善保管义务证书持有人在证书有效期间应尽合理的注意 保管其私人密钥 防止将其披露给任何未经授权的第三人 3 交纳费用的义务用户应根据认证服务合同或者认证机构业务说明的规定 按期交纳年费和相关费用 2 证书持有人的权利 1 有权接受或抛弃认证证书在申请人的证书申请通过认证机构的审核之后 认证机构应当发放证书给申请人 申请人也应接受证书 申请人也可以不予接受而抛弃该证书 申请人在拒绝接受证书时 应当及时告知认证机构 2 有权中止 撤销认证证书各国的数字签字法均赋予证书持有人有申请中止 撤销证书的权利 认证机构在收到申请后 应当在规定的时间内办理 3 利用认证证书证书持有人可以利用证书开展网络商事活动或者传递信息 知识小结 本任务主要论述具有电子签名的电子记录的证据效力及其认证问题 知识点有 电子签名的概念 种类 原理 使用电子签名时的证据规则 电子认证的法律体系 电子签名 是指数据电文中以电子形式所含 所附用于识别签名人身份并表明签名人认可其中内容的数据 电子签名的技术很多 数字签名是最成熟的技术 数字签字通过密码技术 它既保证了信息安全性 又保证了签字人的特定性 使之具有传统书面签字类似的功能 数字签字与下列技术相关 散列函数 加密 公钥与私钥 签字流程包含签字和核查两部分 一般对电子文档的签名可以用于确定两方面的内容 一是电子文档的发件人信息 二是电子文档本身内容的完整性 数字签名的实施需要第三方认证机构提供认证服务 认证机构与证书持有人之间是合同关系 认证机构与证书信赖人之间可能是合同关系 也可能是仅是基于信赖利益关系 电子认证服务可因特定用户违法或主动要求而终