03电子签字与认证法律制度.ppt

第五章电子签字与认证法律制度 内容提要 第一节电子签字第二节电子签字立法发展第三节电子签字的适用范围第四节电子商务安全认证第五节电子商务认证法律关系 第一节电子签字 在电子商务活动中 如何使彼此的要约 承诺产生效力 当债务与合同义务发生不履行时 又如何有效地使违约方承担起应负的法律责任 这些都涉及到在虚拟世界中交易各方的身份确认问题 电子签字是由符号及代码组成 它具备了传统签字的以下功能 确定一个人的身份 肯定是该人自己的签字 使该人与文件内容发生关系 其他 证明一个当事方愿意受所签合同的约束 证明某人认可其为某一案文的作者 证明某人同意一份经由他人写出的文件的内容 证明一个人某时身在某地的事实 一 电子签字的功能 相应功能在电子签字中的技术实现 1 身份认证 第三方认证2 完整性 加密与解密3 不可抵赖 单独掌握私钥4 保密 很适合互联网开放环境5 识别机器的身份 是否连在正确的服务器上例如 模拟股市的案例6 其他 数字时间戳 电子签字与传统签名的区别 1 电子签名是在线签署 距离远 2 电子签名是数据 无法提供纸面原件 3 一个人可以拥有多个电子签名 4 电子签名有可能遗忘 丢失 5 电子签名只能通过计算机系统鉴别 是一种加密技术的应用 指在数据电文中 以电子形式所含 所附或在逻辑上与数据电文有联系的数据 它可用于鉴别与数据电文相关的签字人和表明签字人认可数据电文所含信息 广义的电子签字是指包括各种电子手段在内的电子签字 生物辨识 光磁技术 眼虹膜透视 狭义的电子签字是指目前实践中应用的较多较广的数字签字方式 电子签字 二 电子签字的概念 是对以数字形式存储的明文信息经过特定密码变换生成密文 作为相应明文的签名 使明文信息的接收者能够确认信息发送者身份 数字签字的两个密钥被分别称为 私有密钥 和 公开密钥 私有密钥 仅仅限于签字人使用以产生数字签字 公开密钥 知道的人较多 数字签字 对数字签字的基本要求 接收者能容易地验证签字者所做的数字签名 信息自签发的收到为止未作任何修改 任何人 包括签名接收者 都不能伪造签名者的签字 发生争议时 可由第三方解决争议 三 电子签字的基本步骤 将电文按双方约定的Hash算法计算得到一个固定位数的电文摘要 在数学上保证 只要改动电文中任何一位 重新计算出的电文摘要值就会与原先的值不相符 这样就保证了电文的不可更改性 将该电文摘要值用发送者的私有密钥加密以形成数字签字 然后连同原电文一起发送给接收者 接收方收到电文后 用同样的Hash算法计算出原电文的电文摘要 然后用发送者的公开密钥对数字签字进行解密 并将解开的电文摘要与用Hash算法计算出的电文摘要进行比较 如果相同则说明电文确实来自所称的发送者 且在传递过程中没有发生任何改变 在电文传输过程中 如有第三方对电文进行篡改 但他并不知道发送者的私人密钥 则接收方解密得到的电文摘要与经过计算后的电文摘要必然不同 进而很容易判断出电文不是来自于所称的发送者 发送方 收方公钥 hash 发方私钥 收方私钥 发方公钥 随机产生对称密钥 信封 信封 对称密钥 对称密钥 hash 相等 接收方 通信网 密文 密文 明文 明文 签名 对称密钥 用于加密的密钥对用于签名的密钥对 用公钥加密 用私钥解密 用私钥签名 用公钥验证 用公开密钥加密 则必须用私有密钥解密 实现保密 用私有密钥加密 则必须用公开密钥解密 实现验证 隐藏于图象中的数字签名 提供电子文件发表时间的安全保护和证明 时间戳是经加密后形成的凭证文档 它包括三个部分 需要加时间戳的文件的摘要 DTS机构收到文件的日期和时间 DTA机构的数字签名 数字时间戳 DTS 四 电子签字的法律效力 电子签字具有以下法律特征 电子签字存在于数据电文中 是一种特殊的书面签字 电子签字是在保密状态下进行的 签署者本人享有拒绝 排斥任何未经法律批准的监视 窥探及披露的权利 电子签字具有可识别性 使用者可以以此表达身份 电子签字的方式具有多样性 包括个人口令 密码 非对称加密 生物特征鉴别等 电子签字具有不可否认性 由于电子签字采用了特定的加密技术 只有发送者才知道产生电子签字的密钥 所以发送者无法否认已经过电子签字后发出的数据电文 任何其他人均不能伪造电子签字 如果当事人就签字的真伪发生争执 能够由公正的第三方进行裁决 通过验证签字来确认其真伪 电子签字具备了传统签字的所有功能 用它替代传统签字不存在任何功能上的障碍 电子签字法应当 肯定电子签字符合法律关于合同必须采用书面形式的要求 电子签字符合法律关于签字的要求 电子签字具有同书面签字一样的法律效力 为了确保须经过核证的数据电文不会仅仅由于未按照纸张文件特有的方式加以核证而否认其法律效力 联合国 电子签字示范法 第7条规定 当法律要求一个人的签字时 一条数据电文应被视为符合该要求 只要 1 存在某种方法 能判明一个人的身份 并能指出该数据电文中包含了该人的同意 2 相对于生成或交换该数据电文的意图来说 该判明方法是可信的 其可信程度 应考虑到所有环境条件 包括所有相关协议 五 电子签字中各方当事人的基本行为规范 电子签字示范法 第8条规定 签字制作数据可用来制作具有法律效力的签字 各签字人应当做到如下 1 采取合理的谨慎措施 避免他人未经授权使用其签字制作数据 2 签字人知悉签字制作数据已经失密 应向签字人可以合理预计的依赖电子签字或提供支持电子签字服务的任何人员发出通知 3 在使用证书支持电子签字时 采取合理的谨慎措施 确保签字人做出的关于证书整个有效期的或需要列入证书内的所有实质性表述均精确无误和完整无缺 签字人的行为 电子签字示范法 第9条规定 认证服务提供人提供服务 以支持可用作具有法律效力的签字而使用电子签字的 应当做到以下规定 否则应对未满足规定要求而承担法律责任 1 按其所做出的关于其政策和做法的表述行事 2 采取合理的谨慎措施 确保其做出的关于证书整个有效期的或需要列入证书内的所有实质性表述均精确无误和完整无缺 3 提供合理可及的手段 使依赖方得以从证书中证实认证服务提供人的身份 认证服务提供人的行为 电子签字示范法 第11条规定依赖方应当对其未能做到如下承担法律后果 1 采取合理的步骤查验电子签字的可靠性 2 在电子签字有证书支持时 采取合理的步骤 包括查验证书的有效性 证书的暂停或撤销 遵守对证书的任何限制 依赖方的行为 六 电子签字的环境要求 2004年8月28日 十届人大正式通过了 电子签名法 并将于2005年4月1日起施行 通信网络环境 相应的服务机构 法律环境 高速 可靠 便捷的通信网络是基础平台 司法证据提取和检验机构电子认证服务提供者 CA 以及它们之间的交叉认证时间认证服务机构和教育推广机构 第二节电子签字立法发展 一 联合国 电子签字示范法 2001年3月23日 联合国国际贸易法委员会电子商务工作组第38界会议通过 电子签字示范法 将构成 电子商务示范法 的有用的补充 大大有助于各国加强其有关利用现代化核证技术的立法 并能协助目前尚无这种立法的国家拟订这种立法 1995年犹他州 数字签字法 和 华盛顿电子认证法 被称为 指定式 立法 1999年 全球与国家商务中的电子签字法 根据该法案规定 在该法案确定的标准得到遵守的前提下 即可赋于电子签字 电子合同和电子记录以法律上的确定性 二 美国有关电子签字的法律 指令 摈弃了传统的公钥 私钥 对钥的概念 而引入了一系列新概念 如 签署签字数据 signature creationdata 相当于公钥 签署签字设备 signature creationdevice 安全签署签字设备 secure signature creation deice 确认签字数据 signature verification data 相当于私钥 通过对传统技术术语的法律提炼 既可以凸显其 技术中立 的个性 又建立起一套比较严格的对认证机构与电子签字的管理制度 三 欧盟 电子签字统一框架指令 1 萌芽阶段 99年3月合同法出台之前 基本属于空白的阶段 96年10月11日 广东省对外贸易实施电子数据交换暂行规定 EDI 第十条关于电子签名的规定 2 酝酿阶段 99年3月到现在 营造法制环境 为电子商务立法做准备的阶段 2000年电信条例 2000年互联网信息服务管理办法 2001年新版权法 2001年2个司法解释 2002年以广东电子交易条例为主的地方立法等 3 突破和发展阶段 我国的电子签名法出台以后 真正的电子商务立法的开始 四 我国 电子签名法 我国电子商务法律环境的发展的三个阶段 安全 可信 保密 RSA DES IDEA SHAI MD5 椭圆曲线算法等 技术上的安全性 法律上的安全性 电子签名法是电子商务法的基本法 改变网络由于虚拟性带来的大量责任和损害无人承担的困境 是法制化与规范化的根基 商务的核心是合同 合同的核心是签名 有了电子签名法 有了虚拟世界与现实世界的对应 再谈责任承担 权益保护的问题才比较现实 才能去考虑电子合同 消费者保护等问题 共5章 36条分为 总则 3条 数据电文 9条 电子签名 2条 与认证 12条 法律责任 7条 附则 3条 三大块 数据电文 电子签名 电子认证 我国 电子签名法 的内容 我国 电子签名法 的立法原则 功能等同原则 技术中立原则 非歧视原则 意思自制原则 有限中立原则 强调安全保障的原则 物理安全 系统 网络 应用 管理安全 实现平稳过渡的原则 保障电子认证服务的有效性 有序性和连续性的原则 报告制度 指定承接 协商承接 业务委托 非特殊许可 不设限制和规划 市场选择 成立条件 3000万资金 800万机房 500万设备 600万人员 800万运营 300万风险 我国 电子签名法 的影响 第三节电子签字的适用范围和消费者保护 电子签字受到局限的主要方面有 1 需要在物体本身上标记签字的场合 2 与身份关系相关的场合 3 与诉讼程序相关的场合 4 法律有特别规定的事项 一 电子签字的适用范围 为保护消费者的合法利益 商家应当明确以下事项 一 商家应当告知消费者使用电子签字的权利义务1 告知消费者可以同意使用电子签字也可以不同意使用电子签字 2 告知消费者有权撤回对使用电子签字的同意 3 告知消费者可以查阅以电子签字方式签署的文件 二 电子签字与消费者权利保护 二 在告知消费者的权利后应征得消费者的同意同意可以以电子方式做出 也可以采用其它方式 只要做出的行为合理即可 三 商家应当特别提示消费者的事项1 告知采用该种电子签字方式对电脑软硬件的要求 2 告知电子签字方式发生改变后 对消费者的权利实现的影响以及如何补救 第四节电子商务安全认证 一 基本概念 电子认证 广义 包括认证机构 CA 电子认证行为和数字证书在内的一整套法律制度 狭义 电子认证行为 即由认证机构采用电子方法以证明电子签字持有人真实身份或电子信息真实的行为 数字证书 由认证机构签发的数据电文或相关记录以确认持有特定密钥者身份的文件 安全体系核心 基于PKI的数字证书有了数字证书 当事人在从事交易时 向相对方提交一个由认证机构签发的包含个人身份的证书 使对方相信自己的身份 认证机构 从事颁发为电子签字的目的而使用的与加密密钥相关的证书的人 主要是解决电子商务活动中交易参与各方身份的认定 维护交易活动的安全 CA 持卡人 商家 二 数字证书和认证机构的种类 应用对象 持卡人证书 商家证书业务类型 A类证书 符合SET协议 B类证书 符合X 509标准 安全等级 一级证书 二级证书 三级证书 四级证书个人用户证书 企业用户证书 服务器证书 代码证书发卡机构证书 银行证书 支付网关证书 三 电子商务的认证体系 SETCA SET SecureElectronicTransaction 协议是由美国Visa和MasterCard两大信用卡组织合作发起的 它得到了包括IBM Microsoft Netscape RSA等著名公司的参与和支持 该协议规定了在因特网上以银行卡为基础进行在线交易的安全标准 电子商务认证体系技术标准分类 PKICA Public KeyInfrastructure 利用公开密钥加密技术来实施和提供网络信息传输服务的安全基础设施 PKI是一种框架体系 因特网上的用户利用它可实现数据信息的安全交换 满足电子商务对信息交换保密性 完整性 真实性及不可抵赖性的需求 PKI包括认证机构CA certificateauthority 注册机构RA RegistryAuthority 公开密钥 公开密钥的安全策略 数字证书 信任模型 证书库 证书撤消 密钥备份和恢复 自动密钥更新 密钥历史档案 交叉认证 时间戳 客户端软件等多方面内容 CA生成用户证书流程 待签名消息 用户证书 证书持有人 证书颁发人 证书序列号 证书有限期 公钥消息 散列 摘要 签名算法 证书持有人 证书颁发人 证书序列号 证书有限期 公钥消息 数字签名 CA的私钥 CA的签名保证证书的真实性 证书以一种可信方式将密钥 捆绑 到唯一命名 持有人 ZhangMin 公开密钥 9f0a34 序列号 123465 有效期 2 9 1997 1 9 1998 发布人 CA 名 签名 CA数字签名 证书可能存放到文件 软盘 智能卡 数据库 X 509证书 用户的私钥可能已泄露 相应的公钥将不再有效 用户可区分名被改变 CA不再认证用户 CA的私钥可能已泄露 用户违反了CA的安全策略 证书取消的主要原因主要有 证书黑表 CA取消证书的方法是将该证书标记为 无效 并放入到取消证书的表中 黑表 黑表要公开发布 X509定义的证书黑表包含了所有由CA撤消的证书 证书的树形验证结构 证书 认证机构 根认证机构 A B C PKI CA认证中心建设的现状 行业型CA中心 全国性 CFCA国家金融认证中心CTCA中国电信认证中心CPCA国家邮政认证中心GACA公安部数字证书认证中心国家计委电子政务CA中心海关CA 区域型CA中心西部CA 上海CA 北京CA 天津CA 广东CA 海南CA 深圳CA 吉林CA 山西CA 陕西CA 福建CA 重庆CA 云南CA 企业型CA一汽 福建商业银行 招商银行 黑龙江邮政 吉林省政府办公厅 吉林电力CA 黑龙江电力CA 辽宁电力CA 等等 河北CA 第五节电子商务认证法律关系 一 认证机构的法定权利和义务 主要义务 信息披露义务业务说明义务保险义务保密义务担保义务 信息披露义务 认证机构根证书的说明用户的公钥作废证书名单认证业务说明认证机构作为公司登记时应公开的有关记录其他任何影响证书安全性能或认证机构服务能力的事实 业务说明义务 用户身份鉴定要求证书类别及申请 签发 撤销 续展等操作规程保密安全控制规程用户责任和义务认证机构的赔偿范围及限额与认证机构业务相关的其他重要内容 保险义务 外部进攻者对被保险人用户的数字证书业务系统进行攻击 破译该电子商务安全技术 伪造证书 篡改数据而造成被保险人用户交易账户资金的损失病毒入侵被保险人用户的数字证书业务系统而造成被保险人用户交易账户资金的损失火灾 水管爆裂致使被保险人数字证书业务系统遭到破坏 造成被保险人用户交易账户资金的损失被保险人用户的数字证书丢失 报失后 他人利用其数字证书进行交易 造成被保险人用户交易账户资金的损失 保密义务 证书用户在申请数字证书时向认证机构披露的身份信息及有关信息证书用户的私人密钥 担保义务 认证机构一旦将证书发放给用户 就承担着担保证书所述信息真实的义务 主要权利 发放证书中止证书撤销证书保存证书 二 证书持有人的义务和权力 真实告知义务妥善保管义务交纳费用的义务 有权接受或抛弃认证证书有权中止 撤销认证证书利用认证证书 义务 权利 三 认证法律关系的性质 认证机构与证书持有人之间的法律关系的性质 双方的法律地位是平等的 其间是特殊服务合同关系 当事人在线或离线申请证书 认证机构允诺 合同即成立 认证机构 提供基本信息 保密义务 证书持有人 真实陈述 私钥保管义务 认证机构与证书信赖人之间的法律关系 法律关系的性质 法律上的信赖关系 其基础源于法律的规定 而非当事人的约定 证书信赖人是指信赖认证证书所载的信息真实从而与证书持有人进行交易的人 认证机构对证书信赖人的责任范围 认证机构对证书的疏漏和虚假陈述承担责任 认证机构对未按其认证业务说明的要求或程序进行操作承担责任 四 交叉认证的法律解决 当持有不同证书的当事人进行交易时 彼此就会产生交叉认证 认证机构之间的交叉认证有三种解决方式 国际条约或双边协定方式行政核准方式认证担保方式 五 认证机构的法律责任 归责原则 过错原则我国 电子签名法 28条 电子签名人或者电子签名依赖方因依据电子认证服务提供者提供的电子签名认证服务从事民事活动遭受损失 电子认证服务提供者不能证明自己无过错的 承担赔偿损失 当事人违反认证证书发放的目的进行交易 证书持有人知道其密钥已泄密或有被损坏或无用的危险时 有义务请求撤销而未提出 造成他人损失的 由其本人承担 认证机构在发现根密钥或信息系统遭到破坏或可能遭到破坏 为避免更大的损失而中止或撤销用户证书 造成他人损失的可以减轻或免责 认证机构在审查证书申请人身份时已尽了合理注意仍不能避免错误的 认证机构对该错误及由此产生的损失免责 认证机构对于假冒或仿冒该机构的证书及由此产生的损失不承担责任 计算机技术突破使得认证证书出现缺陷 黑客入侵或未知病毒等不可抗力可以免责 认证机构赔偿范围限制 无过错的不应承担责任 认证机构赔偿范围限制 有过错的应承担责任 一般地 赔偿损失应包括直接和间接两部分 但对于认证机构而言 只能是赔偿因违约或失职而造成的直接损失 对于当事人丧失的利润或机会的损失 精神上的损失则不予赔偿 不同安全等级赔偿额度不同 六 国家级电子商务认证中心主要承担根认证工作 1 对职能认证系统和省市分认证中心2 汇总职能认证中心和省市分认证中心的数据3 负责数字凭证的管理与签发4 提供数字时间戳服务5 负责使用者密码的产生与保管6 对交易纠纷提供证明资料等 案例分析一 数据电文能否独立作为证据 2004年1月 杨先生结识了女孩韩某 同年8月27日 韩某发短信给杨先生 向他借钱应急 短信中说 我需要5000 刚回北京做了眼睛手术 不能出门 你汇到我卡里 杨先生随即将钱汇给了韩某 一个多星期后 杨先生再次收到韩某的短信 又借给韩某6000元 因都是短信来往 二次汇款杨先生都没有索要借据 此后 因韩某一直没提过借款的事 而且又再次向杨先生借款 杨先生产生了警惕 于是向韩某催要 但一直索要未果 于是起诉至海淀法院 要求韩某归还其11000元钱 并提交了银行汇款单存单两张 但韩某却称这是杨先生归还以前欠她的欠款 依据 中华人民共和国电子签名法 中的规定 电子签名是指数据电文中以电子形式所含 所附用于识别签名人身份并表明签名人认可其中内容的数据 数据电文是指以电子 光学 磁或者类似手段生成 发送 接收或者储存的信息 移动电话短信息即符合电子签名 数据电文的形式 同时移动电话短信息能够有效的表现所载内容并可供随时调取查用 能够识别数据电文的发件人 收件人以及发送 接收的时间 经本院对杨先生提供的移动电话短信息生成 储存 传递数据电文方法的可靠性 保持内容完整性方法的可靠性 用以鉴别发件人方法的可靠性进行审查 可以认定该移动电话短信息内容作为证据的真实性 根据证据规则的相关规定 录音录像及数据电文可以作为证据使用 但数据电文可以