《电子商务法》二版教学编本论电子认证法律制度PPT课件

.,1,电子商务法（第二版）,.,2,第六章电子认证法律制度,学习目标1、了解并掌握电子认证的意义和功能2、掌握电子认证机构的法律地位和设立条件3、掌握电子认证证书的法律意义4、掌握电子认证机构的义务关键术语认证认证机构认证证书可信赖系统,.,3,第一节电子认证概述,一、电子认证的概念一）电子认证问题的提出电子签名的基本功能是将电子文件与其签署人紧密地联系在一起，较好地解决了身份辨别及文件归属问题，但是它并没有在陌生的商事主体之间建立起交易所需的起码的信用度。问题的解决方案是通过一个或几个值得信赖的第三方将被认定的签名或签名者的姓名与特定的公共密码联系起来。可信赖的第三方一般被称作为“认证机构”，在许多国家里，这样的认证机构按不同的层次构建起来，常被称作是公钥基础设施.,.,4,第一节电子认证概述,二）电子认证的含义一般而言，认证指的是对人或者物的真实性、完整性进行甄别、鉴定、确认的行为。本书所讲的认证，是指特定认证机构对电子签名及其签署者的真实性所做的认证。,.,5,第一节电子认证概述,二）电子认证的含义在电子签名的立法模式中，有技术中立、技术特定和折中式三种立法模式。本书所说的电子认证就是针对签名及签署者的认证。但绝不意味着本书述的电子签名就是数字签名。我们将电子签名分为广义和狭义电子签名。前者是技术中立的原则，后者则是电子签名技术特定化，主要指数字签名。在现实生活以及未来发展中，电子签名所采用的技术手段和方案呈多样性特点，与之相应，电子认证所采用的技术手段和方案也是多样性的。,.,6,二、电子认证的功能电子认证是一种服务，其功能可表现在三个方面1、担保功能通过发放认证证书，认证机构对所有合理信赖证书内信息的人承担一定的担保义务：签名人的身份；用以识别签名者的方法；在签发证书时，签名生成数据是由证书所列签名人控制；在签发证书之时签名生成数据有效；证书的效力状况等。这样，通过中立的认证机构的信用服务，一方当事人可以相信与其进行交易的另一方当事人是真实可靠的交易人。,.,7,2、防止欺诈功能认证机构通过向其用户提供可靠的在线证书状态查询，满足用户实时证书验证的要求，从而解决了可能被欺骗的问题。如果甲与乙都是用户，认证机构的在线证书状态查询，就可以同时查询到二者的证书公开信息服务。该证书是包括用户姓名、公开密钥、电子邮件地址、证书有效期以及其他信息的数字化的文件。认证机构还对每个证书都附加有电子签名，以证明证书的内容是可靠的。然而，无论用户多么小心谨慎，其私有密钥都有丢失或被盗的可能。一旦该类事件发生，遭受危险的私有密钥和与其相应的公开密钥，就不能再用来加密信息。为了应付这种危险状况，大多数认证机构都能提供作废证书表（CRL），以列举那些失效的密钥对。作废证书表的内容，是经常更新的，对于广大用户来说，也是容易利用的。,.,8,2、防止否认功能不得否认原理是诚实信用原则在电子交易领域中的具体体现。该原理要求行为人在进行民事交往活动时，一方面应动机纯正，没有损人利己的不当或不法的主观态度，另一方面，在为某种行为时，应符合道德惯例。因此，从这一角度看来，不得否认是诚实信用的基本要求，是实现交易安全问题的基本手段之一。电子认证的最终目的就是为了在电子商务交易的当事人之间发生纠纷的情况下，提供有效的认证解决方法。信息发送人难以否认电子认证程序与规则，而信息接受人不能否认其已经接受到信息，这就为交易当事人提供了大量的预防性的保护，避免一方当事人试图抵赖曾发送或收到某一数据信息而欺骗另一方当事人的行为发生。,.,9,三、电子认证的立法状况目前，有关电子认证的立法虽有不少，但直接冠以“认证”名称的并不多见，大部分是在电子签名法或数字签名法中给予规定。为了规范电子认证服务，对电子认证提供者实施监督管理，我国电子签名法对电子认证作为专门规定。电子认证服务管理办法从以下几方面对电子谁服务作了规定：电子认证服务机构的设立条件和设立程序、电子认证服务提供者的服务和应履行的义务、电子认证服务的暂停和终止、电子签名认证证书的内容和管理、监督管理等,.,10,第二节电子认证机构法律规范,一、电子认证机构概述一）电子认证机构的概念联合国:认证机构，是指任何人或实体，在其营业中从事以数字签名为目的，而颁发与加密密钥相关的身份证书。我国：是指为需要第三方认证的电子签名提供谁服务的机构本书：专指电子商务中对用户的电子签名颁发数字证书的机构，是受一个或多个用户信任、提供用户身份验证服务的第三方机构,.,11,二）认证机构的特点1认证机构必须是一个独立的法律实体。认证机构以自己的名义从事数字证书服务，以其自有财产提供担保，并承担一定的责任。这就需要法律对认证机构的法律地位作出明确的规定。2认证机构还必须是中立性的。认证机构一般并不直接与用户进行商事交易，而是在其交易中，以受信赖的中立机构的身份，提供信用服务。它不代表交易任何一方的利益，仅发布公正的交易信息促成交易。因此，中立性，是其参与并促成与电子商务交易的重要保证。3.认证机构必须是当事人依赖的第三方,.,12,二、电子认证机构的设立一）电子认证机构的设立模式1、政府机构管理型。政府机构管理型即以法律授权政府相关的机构对认证机构进行管理，颁发许可证。这种模式过于倚重政府的力量，可能会造成政府权力过分扩张的危险，这不符合私法的精神。,.,13,二、电子认证机构的设立一）电子认证机构的设立模式2、民间合同约束型。这是市场自由、技术中立原则的体现。坚决地惯彻了私法自治的原则，但是在我国目前信息化基础未见稳固、市场尚未成熟之前，这种模式会带来诸多问题。3、行业自律型。该方法设想认证机构的管理机关应当由政府主管部门和全国认证机构协会来共同承担。综合了上述两种模式的优点，应当说是一种比较理想的模式。,.,14,二）电子认证机构的设立条件从事认证服务的机构应当具备下列条件：1依法成立的法人组织；2具有与认证服务相适应的专业技术人员和管理人员3具有与提供认证服务相适应的资金和经营场所，具备为用户提供认证服务和承担风险、责任的能力；4具有符合国家安全标准的技术、设备；5.具有国家密码管理机构同意使用密码的证明文件；6法律、行政法规规定的其他条件。认证机构的资格问题，实际上是一个行业准入条件问题。自然人能否能为认证机构的发起人，何种实体可以发起设立认证机构，是值得认真考虑的问题。各个部门和行业出于自身利益的考虑，都会积极介入认证业务。马来西亚1997年数字签名法则授权部长来制定规章，以规定认证机构的资格要求。,.,15,三）电子认证机构的设立程序电子认证机构从事相关业务，需要经过国家主管部门的许可，经过一系列的审批、登记程序后，方可从事相关活动。1、申请2、审批、发证3、登记4、公布信息,.,16,三、电子认证业务声明认证服务提供者应当制定认证业务声明，并予以公布。电子认证业务规划包括责任范围、作业操作规范信息和信息安全保障措施等内容，主要由以下几部分组成：概括性概述；信息发布与信息管理；身份与鉴别描述；证书生命周期操作要求；认证机构设施、管理和操作控制；认证系统技术安全控制；证书、证书吊销列表和在线证书状态协议；认证机构审计和其他评估；法律责任和其他业务条款。,.,17,四、电子认证机构的可信赖性（一）可信赖系统的含义作为可靠的第三方，认证机构当然应具有足够的可靠性。认证机构必须遵循严格的程序、使用适当的技术，以确保合理程度的安全性与可靠性。为了定义上述要求，各国电子商务立法引入了可信赖系统这一概念。可信赖性系统，应当由计算机软硬件及相关程序构成，这些组件是足够的安全，可以防止外来的入侵以及滥用。它们具有合理的安全可靠性，可以随时提供适当的服务。不仅如此，还将坚持普遍接受的安全原则，并能履行预定的功能，从而达到可信赖系统的目的。,.,18,四、电子认证机构的可信赖性（二）可信赖系统的标准联合国贸法会电子签名示范法第10条对“可信赖性”作了规定：在决定证明服务提供者使用的系统、步骤和人力资源是否具有可信赖性，及可信赖的程度时，下列因素应该予以考虑：（1）财力与人力资源，包括现有资产；（2）软件与硬件系统的质量；（3）证书生成与申请的步骤以及相关记录的保留；（4）证书所证明的签名者及潜在的相对方的有关信息的可获取性；（5）是否由独立的第三方进行审计以及审计的程度；（6）规则采纳国已作出声明，存在一个鉴定机构，或者鉴定机构所确认的证明服务提供者；（7）任何其他相关因素。,.,19,五、电子认证机构的退出机制我国电子签名法和电子认证机构服务管理办法规定认证机构的退出机制：1、向主管部门报告并办理相关注销手续2、通知各方3、业务的承接,.,20,六、电子认证机构的责任（一）认证机构的主要职责可以借鉴国际组织和各国电子商务法中的相关规定，具体主要有：（1）认证机构有责任使用可信赖的系统以行使其职责，并披露相关信息，以确保认证机构的权威性和公正性。（2）认证机构应依照认证业务操作规范颁发证书。（3）认证机构有责任在收到申请人或其代表人的申请后暂停证书；同时，有责任在证书中存在重要虚假陈述或认证机构的认证系统存在严重影响其可靠性或有证据证明签名者死亡或消失或不复存在等情况下撤销证书。,.,21,六、电子认证机构的责任（二）归责原则一般认为，认证机构应该适用过错责任原则。若损害是由于当事人自己的行为所引起的，比如证书用户的个人密钥丢失没有及时通知认证机构引起的损失、用户提供的证书信息虚假问题出现的损失、用户非法使用证书产生的损失等等，则由参与电子商务活动的各方当事人对其责任范围内发生的各项损害承担赔偿责任。或者，若认证机构证明自己已经尽到了合理谨慎注意的义务，则认证机构不承担责任。,.,22,六、电子认证机构的责任（二）归责原则对于判断合理谨慎注意的标准，主要包括认证机构有否制定完善的认证业务操作规范和内部管理制度、有否使用合格的软硬件设备和从业人员、有否验证认证证书上记载信息的真实性等等，认证机构只需证明自己的行为符合法律法规的一系列要求，就可以认定为无过错而不需承担损害赔偿责任，如果认证机构不能作到这一点，就由认证机构承担损害赔偿责任。因此，按此方法可以较合理地调整认证机构所承担的责任。,.,23,六、电子认证机构的责任（三）电子认证机构的责任限制认证机构的责任限制是指给予认证机构在民事赔偿方面以必要的责任限制。给予认证机构在民事赔偿方面以必要的责任限制。例如：一方面，如果认证机构对证书的签发有过错（如证书中存在某些错误陈述）且给当事人造成了损失，则认证机构的损失赔偿额将以证书中载明的金额为限。,.,24,六、电子认证机构的责任（三）电子认证机构的责任限制之所以给予认证机构以赔偿金额限制，目的是使认证机构承担的风险相当于银行发行自动柜员机卡或信用卡所承担的风险而不是更大。在电子商务的起步阶段，为扶植认证机构的发展而给予其某些特别保护，也无可厚非。另一方面，在认证机构签发给当事人的证书被盗并被他人用以欺诈的情况下，如果欺诈是在当事人将证书被盗的情形通知认证机构之前发生的，则认证机构对当事人因欺诈而导致的损失不负责任。,.,25,第三节电子认证证书业务规范,一、电子认证证书的概念（一）认证证书的含义认证证书，又称数字证书，是认证机构颁发的数据电讯或其他记录，是用来确认持有特定密钥的人或实体的身份（或其他充足的特征）。我国电子签名法中的电子签名认证证书：是指可证实电子签名人与电子签名制作数据有联系的数据电文或者其他电子记录,.,26,一、电子认证证书的概念（一）认证证书的含义认证证书体系的最大特征在于：认证证书的传递，可以通过提供保密性、真实性与完整性的安全服务的通讯方式来进行，它不同与传统的方式。对于公钥密码来说，保密是没有意义的。因此，一般说来，认证证书是不需要保密的。而且，认证证书也不需要真实性识别及整体性检验，因为，认证机构的数字签名，本身就能提供来源实性鉴别及整体性检验。假如某入侵者在认证证书发布的途中，对该证书的内容进行篡改，公钥的使用者在校验认证机构的数字签名时，即可察觉该内容的篡改。因此，公钥密码证书，甚至可以通过非保密渠道进行传送，而不会遭受破坏。,.,27,一、电子认证证书的概念（二）X.509格式证书目前最为广泛使用的公钥密码认证证书格式，是由ISO/IEC/ITUX.509标准中定义的格式。X.509采用一个认证机构（CA）对实体的身份和公共密钥进行认证，并对包括实体、公钥、名字、有效期等信息的证书进行数字签名。,.,28,一、电子认证证书的申领（一）证书申请在认证机构向用户颁发证书之前，用户须向认证机构进行登记，该登记一般是通过填写提交证书申请表来完成的。登记涉及用户与认证机构之间的关系的确立，并将用户的基本信息在认证机构进行登载。对于证书的发放，可以进行更新申请，或撤销后再申请。而对于申请来说，用户可以撤销证书发放的申请，认证机构可以明确撤销认证请求的条件，以及其处理撤消请求的程序等。,.,29,二、电子认证证书的申领（二）证书的颁发在颁发认证证书之前，认证机构应当查清持有与证书中登载的公钥密码相对的私人密码的持有人、设施或实体的身份情况。一般说来，认证机构或其所委托的其他实体，必须对申请人或设施或实体的显著特征进行辨认识别。认证机构只有在符合所有规定条件时，才可向用户颁发证书。,.,30,二、电子认证证书的申领（二）证书的颁发电子认证服务管理方法第30条就认证机构查验申请人的情况作了具体规定：有下情况之一，应对相关材料进行审查：1、申请人申请电子签名认证证书；2、证书持有人申请更新证书；3、证书持有人申请撤销证书,.,31,二、电子认证证书的申领（二）证书的颁发对身份进行识别，可以通过一种或多种技术或程序来进行，其中包括：1、当面确认2、身份证明文件,.,32,二、电子认证证书的申领（三）证书的接受接受证书是指证书申请人了解证书的内容后，同意使用证书的行为。当证书用户接受证书以后，认证机构应及时将此情形予以公布。通过公布认证证书的方式，实际上是向外界表明，用户已经接受证书这一事实。,.,33,三、电子认证证书的管理（一）证书的中止中止证书，即是使某一证书停止继续产生效力，但并非永久性地撤销该证书，而只是临时地使之在某段时间内不具有有效性。由于使认证证书停止生效，对于任何信赖证书内容的相对方说来，会产生不利影响。因此，它只是在特殊情形下使用的特别措施。,.,34,三、电子认证证书的管理（二）证书的撤销当证书签发以后，一般说来，期望在整个有效期内都有效。但是，在有些情况下，用户必须在有效期届满之前，停止对证书的信赖。这些情况包括，用户的身份变化，用户的密钥遭到破坏，或非法使用等情况，此时，认证机构就应撤销原有的证书。由于存在证书撤销的可能，因此，证书的应用期限，通常比预计的有效期限短。证书的撤销是由认证机构决定的。但在通常情况下，认证机构是以申请人的申请为前提的。,.,35,三、电子认证证书的管理（二）证书的撤销电子认证服务管理方法第29条对撤销证书的条件作了详细规定：1、证书持有人申请撤销证书；2、证书持有人提供的信息不真实；3、证书持有人没有履行双方合同的义务4、证书的安全性不能得到保证5、法律、行政法规规定的其他情况,.,36,三、电子认证证书的管理（二）证书的撤销认证证书的撤销，只能由相关人员提出申请：1、用其名称签名证书的用户；2、以一项涉及应用系统的名义提出认证申请的个人或组织3、出资者；4、签发认证证书的认证机构的工作人员；5、为签发认证证书的认证机构的登记的工作人员。,.,37,三、电子认证证书的管理（三）电子认证证书的有效期公钥密码并非是永久有效的，而是有时间限制的。在一个完善的系统中，任何密钥对都有有效的有效周期，以防止补充入侵者分析、破解密钥，减少该密钥被破译的风险。因而，电子认证证书必须有一个有效期限。有效期的长短，是认证机构颁发证书时的一个政策问题。,.,38,三、电子认证证书的管理（四）证书的保存认证机构必须有证据证明，自己按要求完成了适当的业务行为，并且，能在事后对依据其证书所从事的交易，提供不得否认的支持。因此，认证机构应当披露其所保存的关于其服务的各种重要记录。,.,39,（五）国外电子证书的认证问题目前国际上对外国认证机构和认证证书的承认主要有以下三种方式：1、通过国际条约或双边协定来处理，即凡是加入条约或约定的国家，均可承认对方国家认证机构在本国颁发的证书的效力；2、行政核准方式，即符合本国规定的认证政策和可信条件标准的境外认证机构，在获是境内行政部门的许可后，可在境内开展认证服务，其颁发的证书具有效力；3、认证担保方式，即境外认证机构寻求境内认证机构的担保，由后者承担前者在国内发放证书所产生的风险,.,40,第四节电子认证法律关系当事人及其行为规范,一、认证法律关系各方当事人在开放型的电子商务环境下，电子认证机构一般是以中立的、可靠的第三方当事人出现，为交易双方或多方提供服务的。因而，在认证法律关系中至少有买卖双方以及认证机构参与。换言之，认证法律关系一般涉及三方当事人:认证机构、证书持有人（或称证书用户）和证书信赖人（或称相对方）。在有些复杂的交易或服务关系中，交易当事人可能会更多些。如在以信用卡在线电子支付的交易中，即以安全电子交易协议进行的交易中，认证机构不仅要向买卖双方相互间提供身份认证，而且还要对发卡银行、收付机构四方当事人之间提供认证服务。,.,41,一、认证法律关系各方当事人电子认证法律关系一般涉及三方当事人：认证机构、证书持有人（或称证书用户）和证书信赖人。（一）证书持有人（证书用户）与证书信赖人之间的法律关系证书持有人（证书用户）与证书信赖人，就是电子商务交易的双方当事人。在电子商务交易中，他们之间的关系一般为合同关系。,.,42,一、认证法律关系各方当事人（二）认证机构与证书持有人（证书用户）之间的法律关系在认证与其用户之间主要存在两种法律关系：1、在封闭的环境中，认证机构与其用户都是某一法律实体，或是某一非正式联合体的一部分。2、在开放的环境中，对于其用户而言，认证机构是一个独立的法律实体。在这种情况下，认证机构常常被称为第三方认证机构。上述两种分类，并非适用于一切情形。,.,43,一、认证法律关系各方当事人（二）认证机构与证书持有人（证书用户）之间的法律关系就认证机构与其用户之间的关系而言，一般主张其间合同关系，即认证机构与用户签订提供认证服务的合同，认证机构依约就用户的公钥密码的真实性具认证证书，而该用户则依约定向认证机构支付合同费用。,.,44,（三）电子认证机构与证书信赖人之间的法律关系这里的证书依赖人，是指相信电子签名证书，并以该证书上所确定的证书拥有人为交易对方而进行交易的当事人。证书信赖人本身可能是，也可能不是认证机构的用户，他与认证机构的关系，要比认证机构之间的关系更复杂。,.,45,（三）电子认证机构与证书信赖人之间的法律关系在开放网络环境中，电子认证机构与证书信赖人之间的关系呈现出多种形态，具体情况要以电子商务交易当事人与认证机构的关系而定，大致有以下几种。1、社区认证服务型社区认证服务型，指的是交易双方当事人均为某认证机构的证书用户。,.,46,（三）电子认证机构与证书信赖人之间的法律关系2、单方证书用户型当交易一方是认证机构的证书用户，而另一方不是认证机构的证书用户时，这就是所说的“单方用户型认证关系”。,.,47,（三）电子认证机构与证书信赖人之间的法律关系3、交叉认证关系实践中还有一种情况，即虽然交易双方都是认证机构的证书用户，但其证书是由不同的认证机构分别颁发的。这种关系更为复杂，它涉及认证机构的外部结构，需要由国际之间的，或认证机构之间的协议予以协议,.,48,（三）电子认证机构与证书信赖人之间的法律关系4、混合认证关系是指认证机构是主营其他服务的，而认证服务只是其衍生业务,.,49,二、当事人各方的行为规范（一）认证机构的义务1、担保义务根据我国电子认证服务管理办法第18条规定，应当履行下列义务：1）保证电子签名认证证书内容在有效期内完整、准确；2）保证电子签名依赖方能够证实或者了解电子签名认证证书所载内容及其他有关事项；3）妥善保存与电子认证服务相关的信息。,.,50,（一）电子认证机构的义务2、完善内部管理和审计的义务根据我国电子认证服务管理办法第19条规定，电子认证机构应当建立完善的安全管理和内部审计制度。,.,51,（一）电子认证机构的义务3、保密义务根据我国电子认证服务管理办法第20条规定，电子谁机构的保密义务分为两个方面：1）保守国家秘密的义务2）保守当事人信息秘密的义务,.,52,（一）电子认证机构的义务4、告知义务根据我国电子认证服务管理办法第21条规定，电子认证机构在受理电子签名认证证书申请前，应当向申请人告知下列事项：1）电子签名认证证书和电子签名的使用条件2）服务收费项目和标准；3）保存和使用证书持有人信息的权限和责任4）电子认证机构的责任范围5）证书持有人的责任范围；6）其他需要事先告知的事项,.,53,（一）电子认证机构的义务5、签订书面合同的义务根据我国电子认证服务管理方法第22条规定，电子认证机构受理电子签名认证申请后，应当与证书申请人签订合同，明确双方的权利义务,.,54,（一）认证机构的义务1、可信赖系统的义务认证机构在提供证书服务时应保证其使用可信赖系统。2、担保义务在签发证书过程中，认证机构需向用户及信赖的相对方作出种种陈述，与之相应，认证机构应对其所作的陈述承担相应的保证义务。,.,55,二、当事人各方的行为规范（一）认证机构的义务3、持续义务认