第5章 电子认证法律制度.ppt

第五章电子认证法律制度,1,第五章电子认证法律制度,第五章电子认证法律制度,2,使用浏览器访问Web页面能够轻松实现网上购物、网上炒股和网上银行等作业，其中会通过网络传送一些敏感信息，包括合同、金融帐号、帐号密码和支付信息等。TCP/IP在制定之初处于网络技术的初级阶段，并没有考虑安全问题，数据流采用明文传输。因此，对于一些有保密要求的应用如电子商务、电子政务、网络银行等，首先考虑的是安全性。,第五章电子认证法律制度,3,电子商务的主要安全隐患,恶意中断系统-破坏系统的有效性窃听信息-破坏系统的机密性篡改信息-破坏系统的完整性假冒他人身份对贸易行为进行抵赖,第五章电子认证法律制度,4,如何确保消费者资料的保密性？如何保证销售方获得合法的收益？如何使交易的完整性得到保护？等等这一系列问题已成为电子商务发展的巨大障碍.针对于此,就需要我们从安全技术与法律方面提供保证。因此国内CA认证机构应运而生。,第五章电子认证法律制度,5,网络信息安全的新需求,1身份认证和鉴别:对信息传输的双方进行身份认证和鉴别，需要某种机制来证明双方的真实身份。2不可否认性:信息的发送方必须对自己的操作承担责任，不可否认。3数字签名:日常生活中，通信双方为了解决抵赖和欺骗的问题，会在文档上进行手写签名，把这个原理用在网络上就是数字签名。,数字签名的目的：用于证明是作者的签名、签名日期和时间；在签名的同时对内容的真伪进行鉴别；签名能够被公正、权威的第三方进行仲裁。,第五章电子认证法律制度,6,问题的提出：在电子商务交易过程中，素未见面的交易各方如何建立信任？如何防止不被他人假冒交易者的身份？如何防止不被交易的对方否认其交易身份？,第五章电子认证法律制度,7,第一节、电子认证概述一、电子认证的概念和性质（一）、电子认证的概念认证是指权威的、中立的、没有直接利害关系的第三人或机构、对当事人提出的包括文件、身份物品及其产地、品质等具有法律意义的事实与资格、经审查属实后作出的证明。电子认证指一个国家承认的认证机构通过颁发数字证书和管理公共密匙来检验带有电子签名的文件所有人及其内容的真实性的一种行为。,第五章电子认证法律制度,8,电子认证的特征：电子认证以其所具有的四大特征确立了在信息化应用中基础性、关键性的作用。（1）真实性。要确保交易双方的真实身份、信息内容真实以其交易发生时间的真实性。（2）完整性。确保双方交易的信息是完整的、没有被篡改过和伪造过。（3）机密性。确保电子交易中数据电文、交换数据、信息的保密性，使之不被交易双方以外的交易无关个体获知。（4）不可否认性。不可否认性确保了交易双方不能对其参与过交易的事实进行抵赖，它为日后可能存在的交易纠纷提供了一个可信的证据。,第五章电子认证法律制度,9,电子签名只是从技术手段上对签名人身份做出辨认及能对签署文件的发件人与发出电子文件所属关系做出确认的方式。但如何解决上文提到判定公共密钥的确定性以及私人密钥持有者否认签发文件的可能性等问题，则是电子签名技术本身无法解决的问题。换言之，这里面有一个解决私人密钥持有人信用度的问题。这里面包括两种可能性。一是密钥持有人主观恶意，即有意识否认自己做出的行为；二是客观原因，即发生密钥丢失、被窃或被解密情况，使发件人或收件人很难解释归责问题。,第五章电子认证法律制度,10,事实上，相类似的问题在我们传统商业交易活动中也存在，只不过我们有一套相对完整的解决方案罢了。当然这里包括相配套的法律规范及保护措施。在传统的签字（盖章）使用中，为了防止签字（盖章）方提供伪造虚假或被篡改的签字（盖章）或者防止发送人以各种理由否认该签字（盖章）为其本人所为，一些国家或地区采取通过具有权威性公信力的授权机关对某印章提前做出备案，并可提供验证证明的方式，防止抵赖或伪造等情形发生。例如，在我国台湾省，对一些重要法律文件（如房地产买卖交易文件），对印章真实性认证就采取下述方式处理：为保证盖过章的文件的真实性，印章持有人在盖章之前需把印章送到具有权威性的户政事务所登记备案，并申请印鉴证明，之后再把印鉴证明同盖过章的文件一并送给收件方,收件方将印鉴证明同原件相比较，如完全一致，就可确认文件及其印章的真实性了。,第五章电子认证法律制度,11,在电子交易过程，同样需要一个具有权威性公信力的第三者作为安全认证机关（CertificateAuthority）对公开密钥行使辨别及认证等管理职能，以防止发件人抵赖或减少因密钥丢失、被偷窃或被解密等风险。由此可见，电子签名的安全使用必须配合安全认证机关体系的建立。事实上，西方很多国家（美国、加拿大、德国等）以及日本都已经或正在建立相配套的公共密钥基础设施（publickeyinfrastructure）。这样，网络上电子签名与CA认证的相互结合就解决了前面阐述的由于电子签名技术方面无法解决的信用度的问题。,第五章电子认证法律制度,12,（二）、电子认证的分类,1、站点认证。交易中的商务信息都有保密的要求，如信用卡和账号和用户名被人知道，就有可能被盗用，订货和付款和信息被竞争对手获悉，就可能失去机会，因此，在商务信息传播中均有加密的要求，为了确保通讯安全，在正式传送数据电文之前，应首先认证通讯是否是在意定的两个站点间进行，这一过程称为站点认证。,第五章电子认证法律制度,13,第五章电子认证法律制度,14,2、数据电文认证经过站点认证后，收发双方便可进行电子通信，而数据电文这种认证保证收方能够确定：这个电讯是由确认方发出的，该电讯的内容有无篡改或发生错误；该电讯传送给确定的收方，从而使每个通信者能够验证每份电讯的来源，内容、时间性和目的地的真实性,第五章电子认证法律制度,15,3、电讯源的认证网络交易必须保证发送者和接收者之间交换信息的保密性。电子商务作为一种子贸易手段，其信息直接代表着企业的商业机密。因此，要预防非法的信息存取和信息在传输过程中被非法窃取，确保只有合法用户才能看到数据，防止信息泄密事件发生。实现电讯源的认证既可以收发双方共享的数据加密密钥，来认证电讯源，也可以收发双方共享的保密的通行字为基础，来认证电讯源。,第五章电子认证法律制度,16,4、身份认证。商家主要考虑客户端不能是骗子，而客户也会担心网上的商店不是一个有意欺诈的黑店，因此能方便而可靠地确认对方身份是交易的前提，其目的在于识别合法用户和非法用户，从而阻止非法用户访问系统。这对于确保系统和数据的安全保密是极其重要的。,第五章电子认证法律制度,17,二.电子认证与电子签名的关系虽然，在网络交易中双方即使不用见面也可以利用公钥来验证确认相对人确实存在，但是如果一方交易人是冒充他人的名义进行电子商务活动，则此时由于无从查证相对人的身份，即使通过公钥密码方式，也无法确保相对人是否冒充了他人的身份。,第五章电子认证法律制度,18,因此，不但在传统的手书签名中需要有关机构来验证签名的真伪，在电子交易过程中，同样需要一个具有权威性公信力的第三方作为安全电子认证机构对公开密钥行使辨别及认证等管理职能，以防止发件人抵赖或减少因密钥丢失、被偷窃或被解密等风险，弥补网络交易匿名性所带来的不确定性的障，为了促进电子商务的发展，使进行交易的双方当事人即使在素未谋面的情况下仍然可以放心地和对方交易，电子认证便应运而生。,第五章电子认证法律制度,19,电子签名主要用于保证数据电讯本身的安全，使之不被否认或篡改，是一种技术上的手段保证，但在保证交易关系的信用安全方面、保证交易人的真实性和可靠性方面却无能为力。而电子认证则侧重于对交易人身份及信用度的考察，使之与实际上的数据电文的发、收人相一致。因此，如果说电子签名是从技术手段上来保障电子商务的安全，则电子认证则是一种组织制度上的保证。,第五章电子认证法律制度,20,电子签名侧重于解决身份辨别与文件归属问题，而电子认证解决的是密钥及其持有人的可信度问题。由此可见，电子签名的安全使用必须配合安全电子认证机构体系的建立。事实上，几乎所有的电子签名立法都比较详细地规定了电子签名的认证。而很多国家，比如美国、加拿大、日本等都建立了配套的公共密钥基础设施PKI。这样，网络上电子签名与安全电子认证的相互结合就解决了由于电子签名技术所无法解决的信用度的问题。,第五章电子认证法律制度,21,在交易环境方面，电子签名可以同时适用于封闭性和开放型的交易网络，在封闭性交易网络中(如EDI，交易的双方或多方彼此比较容易确认对方的身份，只需要以电子签名相互认证就可以，没有必要依赖一个独立的第三方来对其进行认证。而电子认证则主要运用于开放型的交易网络，而开放性的网络中，由于交易双方素未谋面，无法确认对方的身份是否真实，因此，需要一个独立的第三方来加以认证，确保交易对方真实存在。,第五章电子认证法律制度,22,电子认证服务是指为电子签名相关各方提供真实性、可靠性验证的公众服务活动。电子认证服务提供者是指为电子签名人和电子签名依赖方提供电子认证服务的第三方机构。在我国，中华人民共和国信息产业部依法对电子认证服务机构和电子认证服务实施监督管理。,第五章电子认证法律制度,23,三、电子认证的基本功能,对电子签名进行电子认证服务，主要有两个方面的功能：首先，电子认证对外可以防止欺诈。其次，电子认证服务还具有防止否认的功能。,第五章电子认证法律制度,24,防止欺诈，是防范交易当事人以外的其他人，故意入侵所造成的风险;防止否认，则是针对交易当事人之间可能产生的误解或抵赖而采取的相应措施，以便在电子交易双方当事人之间预防可能发生的商业纠纷。无论是对外防止欺诈，还是对内防止否认，其目的都是为了减少交易的风险。,第五章电子认证法律制度,25,（1）防止欺诈防止欺诈是防止电子合同当事人以外的第三方冒充当事人一方的名义窃取其资金或其他财产的行为。在开放型的网络环境下，交易双方可能是跨越国境，素未谋面的当事人，相互之间不仅缺少封闭性社区交易群体的道德约束力，而且发生欺诈事件后的救济方法也非常有限，即使有救济的可能，其成本也往往超过损失的本身。因此，只有实现对各种欺诈予以全面的防范，才是最明智、最经济的选择。,第五章电子认证法律制度,26,（2）防止否认电子商务中的不可否认性，既是一项技术要求，也是交易双方当事人之间的行为规范，它是合同法中诚实信用原则在电子交易领域的具体反映。技术上的不可否认性是指一种通讯的属性，以防止通讯一方对己经发生的通讯予以否认的情形。其具体形式包括:数据电讯的发送、接收，及其内容的不可否认。通过认证，则可以达到这种效果，其意义在于满足法律上的和各种商务实践的需要。,第五章电子认证法律制度,27,而行为规范上的不可否认，是以一定的组织保障和法律责任为基础的，其作用的全面实现，有赖于电子合同条款、技术手段或协议的支持，以及认证机构所提供的服务。防止否认的最终目的，在于避免数据通讯与商务交易的当事人之间发生纠纷，并在发生纠纷的情况出现时，提供有效的解决方法。发出与传送的不得否认性从程序与规则上，为交易当事人提供了大量的预防性保护，减少了一方当事人试图否认发出或收到某一数据电文而欺骗另一方当事人的可能性。,第五章电子认证法律制度,28,一、认证机构概述认证机构的英文为CertificationAuthority，简称CA，亦称为认证中心、验证机构或凭证管理中心等。为了保证电子签名的真实性，保障交易安全，发件人在做电子签名前，签署者必须将他的公共密钥送到经合法注册、具有从事电子认证服务许可证的第三方，即电子认证机构(CA认证中心)、登记并由该认证中心签发电子印鉴证明。,第二节电子认证服务机构的设立,第五章电子认证法律制度,29,电子认证机构的主要功能是接受注册请求，处理和批准请求以及颁发和管理数字证书；保管公共密钥，应有关当事人的申请进行身份认证。根据我国电子认证服务管理办法第17条的规定，电子认证服务机构应当保证提供下列服务：(1)制作、签发、管理电子签名认证证书；(2)确认签发的电子签名认证证书的真实性；(3)提供电子签名认证证书目录信息查询服务；(4)提供电子签名认证证书状态信息查询服务。,第五章电子认证法律制度,30,认证机构在电子商务中的地位和作用在电子商务交易的撮合过程中，认证机构是提供交易双方验证的第三方机构，由一个或多个用户信任的、具有权威性质的组织实体管理。它不仅要对进行电子商务交易的买卖双方负责，还要对整个电子商务的交易秩序负责。因此，这是一个十分重要的机构，往往带有半官方的性质。在实际运作中，认证机构也可由大家都信任的一方担当。例如，在客户、商家、银行三角关系中，客户使用的是由某个银行发的信用卡或智能卡，而商家又与此银行有业务关系(有账号)。在此情况下，客户和商家都信任该银行，可由该银行担当认证机构的角色，接收、处理其所提供的客户证书和商家证书的验证请求。,第五章电子认证法律制度,31,二、认证机构的设立原则,一）、权威性原则二）、真实性原则三）、保密性原则四）、迅捷性原则五）、经济性原则,第五章电子认证法律制度,32,三、认证机构具备以下的条件：1认证机构必须是一个独立的法律实体。2认证机构还必须是中立性的。3、必须是具有可靠性、权威性，不直接参与用户与依赖方间的商事交易，不以营利为目的4、被交易的当事人所接受，在社会上具有相当的影响力和可信度。,第五章电子认证法律制度,33,四、申请电子认证服务许可，应该向信息产业部提交下列材料,1、书面的申请2、专业技术人员和管理人员的证明3、资金和经营场所的证明4、国家有关的认证检测机构出具的技术设备、物理环境符合国家有关的安全标准的凭证5、国家密码管理机构同意使用密码的证明文件,第五章电子认证法律制度,34,第五章电子认证法律制度,35,第五章电子认证法律制度,36,五、认证机构的设立条件P112我国电子签名法第17条对提供电子认证服务的机构应当具备下列条件：1依法成立的法人组织；2具有与认证服务相适应的专业技术人员和管理人员；3具有与提供认证服务相适应的资金和经营场所，具备为用户提供认证服务和承担风险、责任的能力；4具有符合国家安全标准的技术、设备；5法律、行政法规规定的其他条件。,第五章电子认证法律制度,37,国家行政主管机关对认证机构的资质审查主要集中于认证机构的经营条件方面，从以下几个方面进行审查：,（1）、认证人员的资格（2）、资金和经营场所（3）、设备与系统安全性（4）、密码使用资格（5）、内部管理,第五章电子认证法律制度,38,数字证书的PKI解决方案,PKI(PublicKeyInfrastructure公钥结构)是利用公钥加解密技术来实现信息安全的技术，代表了当今世界网络安全技术的最高水平。PKI方案的核心就是数字证书。,第三节、认证机构的工作原理（业务规范）,一、证书的颁发与公布,第五章电子认证法律制度,39,数字证书,在Internet上从事一些需要保密的业务时必备的“个人身份证”，由权威机构发行，在网络通信中标志通信各方身份（数字签名与数字证书相当于现实生活中的自然人与身份证的关系）的一系列数据。网络上通信各方向PKI的数字证书颁发机构申请数字证书，通过PKI系统建立的一套严密的身份认证系统来保证：1信息除发送方和接受方外不被其他人截取2信息在传输过程中不被篡改3发送方能够通过数字证书来确认接受方的身份4发送方对于自己的信息不能抵赖,第五章电子认证法律制度,40,签名认证证书应当准确无误，并应当载明下列内容：（一）电子认证服务提供者名称；（二）证书持有人名称；（三）证书序列号；（四）证书有效期；（五）证书持有人的电子签名验证数据；（六）电子认证服务提供者的电子签名；（七）国务院信息产业主管部门规定的其他内容。,第五章电子认证法律制度,41,图12-5数字证书的组成,数字证书的格式,版本、序列号签名算法颁发者使用者标识有效期,第五章电子认证法律制度,42,第五章电子认证法律制度,43,电子签名认证证书的类型根据证书的持有者不同，电子签名认证证书可分为：（1）个人电子身份证书；（2）企业电子认证证书；（3）信用卡电子认证证书；（4）电子合同认证证书。,第五章电子认证法律制度,44,第五章电子认证法律制度,45,电子证书的作用互联网电子商务系统技术使在网上购物的顾客能够极其方便地获得商家和企业的信息，但同时也增加了某些敏感或有价值的数据被滥用的风险。买方和卖方都必须对在互联网上进行的一切金融交易运作的真实可靠性以及顾客、商家和企业等交易各方的可靠性具有绝对的信心，因而互联网电子商务系统必须保证具有十分可靠的安全保密技术，也就是说，必须保证网络安全的四大要素，即信息传输的保密性、交易者身份的确定性、发送信息的不可否认性、数据交换的完整性。,第五章电子认证法律制度,46,电子认证的具体操作程序为：A、发件人在做电子签名前，签署者必须将他的公共密钥送到一个经合法注册，具有从事电子认证服务许可证的第三方，即CA认证中心，登记并由该认证中心签发电子印鉴证明(Certificate)。B、尔后，发件人将电子签名文件同电子印鉴证明一并发送给对方，收件方经由电子印鉴佐证及电子签名的验证，即可确信电子签名文件的真实性和可信性。,第五章电子认证法律制度,47,由此可见，在电子文件环境中，CA认证中心扮演的角色与上述传统书面文件签字(盖章)环境中的第三者(公证机关)的角色有异曲同工之妙。CA认证中心正起到一个行使具有权威性公证的第三人的作用。而经CA认证中心颁发的电子印鉴证明就是证明两者之间的对应关系的一个电子资料，该资料指明及确认使用者名称及其公共密钥。使用者从公开地方取得证明后，只要查验证明书内容确实是由CA认证中心所发，即可推断证明书内的公开密钥确实为该证明书内相对应的使用者本人所拥有。如此，该公共密钥持有人无法否认与之相对应的该密钥为他所有，进而亦无法否认经过该密钥所验证通过的电子签名不为他所签署。,第五章电子认证法律制度,48,二、电子认证机构的服务内容,（一）、制作、签发、管理电子签名认证证书（二）、确认签发的电子证书的真实性（三）、提供电子签名认证证书目录信息查询服务（四）、提供电子签名认证证书状态查询服务,第五章电子认证法律制度,49,三、认证机构对电子签名认证的基本程序如下:（1）使用人(发件人)利用金钥制作系统制作一组公、私钥。（2）使用人(发件人)向认证机构提供身份资料及其私钥，申请颁发认证证书。认证机构经核查后，依规定签发证书给申请人。该证书亦是电子记录的形式，上有认证机构的数字签名。（3）当事人对其发出的要约用私钥制作成电子签名，连同经认证机构签发的证书，一并发给受要约人(收件人)。,第五章电子认证法律制度,50,（4）收件人利用认证机构提供的公钥验证证书及电子签名的真实性。若在认证机构网络中发现该证书在“证书废止目录”中，则可能该证书己无效，不足以证实签名的效力。（5）经证实后，收件人可对要约做出回应。可见，经过以上程序，只要收件人信赖认证机构的证书效力，就可实现对发件人电子签名的认证。若发件人私钥被盗或丢失，也可通过申请证书废止以确保避免他人的恶意使用。,第五章电子认证法律制度,51,四、证书的管理,第22条电子认证服务提供者应当保证电子签名认证证书内容在有效期内完整、准确，并保证电子签名依赖方能够证实或者了解电子签名认证证书所载内容及其他有关事项。第19条电子认证服务提供者应当制定、公布符合国家有关规定的电子认证业务规则，并向国务院信息产业主管部门备案。电子认证业务规则应当包括责任范围、作业操作规范、信息安全保障措施等事项。第25条国务院信息产业主管部门依照本法制定电子认证服务业的具体管理办法，对电子认证服务提供者依法实施监督管理。,第五章电子认证法律制度,52,四、证书的暂停、撤销、终止与保存,电子认证服务管理办法第二十九条有下列情况之一的，电子认证服务机构可以撤销其签发的电子签名认证证书：（一）证书持有人申请撤销证书。（二）证书持有人提供的信息不真实。（三）证书持有人没有履行双方合同规定的义务。（四）证书的安全性不能得到保证。（五）法律、行政法规规定的其他情况。第三十一条电子认证服务机构更新或者撤销电子签名认证证书时，应当予以公告。,第五章电子认证法律制度,53,电子签名法第二十三条电子认证服务提供者拟暂停或者终止电子认证服务的，应当在暂停或者终止服务九十日前，就业务承接及其他有关事项通知有关各方。电子认证服务提供者拟暂停或者终止电子认证服务的，应当在暂停或者终止服务六十日前向国务院信息产业主管部门报告，并与其他电子认证服务提供者就业务承接进行协商，作出妥善安排。电子认证服务提供者未能就业务承接事项与其他电子认证服务提供者达成协议的，应当申请国务院信息产业主管部门安排其他电子认证服务提供者承接其业务。电子认证服务提供者被依法吊销电子认证许可证书的，其业务承接事项的处理按照国务院信息产业主管部门的规定执行。,第五章电子认证法律制度,54,第二十四条电子认证服务提供者应当妥善保存与认证相关的信息，信息保存期限至少为电子签名认证证书失效后五年。,第五章电子认证法律制度,55,第三节、电子认证服务活动中的法律问题,一、认证服务机构与当事人之间的法律关系二、电子认证服务当事人的权利与义务三、电子认证服务机构的法律责任四、电子认证服务机构的免责条件,一般情况下，电子认证服务活动涉及三方主体：证书持有人、认证服务机构、证书信赖人。1109,第五章电子认证法律制度,56,一、认证服务机构与当事人之间的法律关系,（1）认证服务机构与数字证书持有人之间的法律关系认证服务机构与其数字证书持有人之间是合同关系。当事人的合同关系表现在认证证书上。当事人在线或离线申请数字证书，认证服务机构允诺，合同即成立。,合同的标的是认证机构的服务行为，双方的权利义务载明在认证证书上。数字证书本身不是合同，但它是合同存在的证明。,第五章电子认证法律制度,57,（2）认证服务机构与证书信赖人之间的法律关系证书信赖人，是指相信电子签名证书，并以该证书上所确定的证书持有人为交易对方，而进行交易的当事人。认证服务机构对于信赖证书的交易人，应承担公正信息发布的义务，而不能因未接受其服务报酬，而偏袒与之建立了服务合同的证书持有人一方。,第五章电子认证法律制度,58,证书信赖人本身可能是，也可能不是认证服务机构的用户，他与认证服务机构，要比用户与认证服务机构之间的关系更为复杂。当证书信赖人不是认证服务机构的用户时，他与认证服务机构之间并无服务合同存在。但是，当他利用证书而与证书持有人交易时，却又成为了证书服务关系中的对象，并且，认证服务机构在特定情况下还要对此承担法律责任。,第五章电子认证法律制度,59,二、电子认证服务当事人的权利与义务,（一）、电子认证服务机构的权利和义务：1、电子认证服务机构的权利（1）要求数字证书申请者提供真实信息的权利。（2）收取费用的权利。（3）及时获得通知的权利。（4）单方撤销或终止数字证书的权利。,第五章电子认证法律制度,60,2、认证机构的义务电子认证服务提供者，处于整个电子签名认证法律关系的中心地位。数据电文和数字签名的真实性、完整性和不可否认性，都基于对电子签名的有效认证，其依据就是认证人颁发的电子签名认证证书。认证人的工作就是通过颁发证书用以证明证书上所载公钥与签名人之间的关系，并以其专业能力和执业资格使依赖方据以验证数字签名的真实性和完整性。我国电子签名法规定其义务如下：1.依法申请许可资格，遵守国务院信息产业部的管理规则，并接受信息产业部的监督2公开义务或信息披露义务，即公开其名称、许可证号、电子认证业务规则，包括责任范围、作业操作规范、信息安全保障措施。3.谨慎审核义务，即以合法的手段，审查签名人的身份及相关情况。,第五章电子认证法律制度,61,4电子认证服务提供者有关保证义务，即保证认证证书内容在有效期内完整、准确，并保证依赖方能够证实或者了解认证证书所载内容及其他有关事项。5妥善保存与认证相关的信息义务。电子签名人向电子认证服务提供者申请电子签名认证证书，应当提供真实、完整和准确的信息。这些信息涉及的面比较广，既可能包括申请人的个人隐私，也可能涉及申请人的商业秘密，如果这些信息被泄露，可能会损害电子签名人的利益。,第五章电子认证法律制度,62,6妥善解决认证人暂停或终止服务后续工作的义务根据我国电子签名法第23条的规定，应当在暂停或者终止服务90日前，就业务承接及其他有关事项通知有关各方。此外，电子认证服务提供者拟暂停或者终止电子认证服务的，还应当履行以下义务：(1)报告。电子认证服务提供者应当在暂停或者终止服务60日前向国务院信息产业主管部门报告，使其了解情况。(2)协商承接。电子认证服务提供者除在法定期限内向国务院信息产业主管部门报告外，还要与其他电子认证服务提供者就业务承接进行协商，协商达成一致意见的，对业务承接事项作出妥善安排。(3)指定承接。电子认证服务提供者未能就业务承接事项与其他电子认证服务提供者达成协议的，应当申请国务院信息产业主管部门安排其他电子认证服务提供者承接其业务。,第五章电子认证法律制度,63,1、证书持有人的权利：（1）获得数字证书的权利。（2）中止数字证书的权利。（3）变更数字证书的权利。（4）撤销数字证书的权利。,（二）、证书拥有人的权利和义务,第五章电子认证法律制度,64,2、证书拥有人的义务和法律责任（1）、证书拥有人的义务在认证关系中，证书拥有人(亦称签署者)是认证机构的客户，是接受认证服务的一方。它除了应履行一般的支付服务费用的义务外，还应履行一些与认证服务关系的特性相应的义务。这些义务主要包括两点，即真实陈述义务和私有密钥控制义务。（1）真实陈述义务真实陈述认证机构要求其提供的事项与资料，是证书用户在申请证书时所应履行的基本义务。（2）私密钥控制义务,第五章电子认证法律制度,65,当证书颁发并接收之后，用户就在真实陈述义务之外，又增加了一项私密钥控制义务。它是证书用户所应负的，针对不特定的任何人的义务，实际上是一种与认证机构的公正发布信息的义务相并列的社会责任。我国的电子签名法中，对上述双方在数字签名使用和认证上各应负有的义务的规定是较为一致的，并规定了其各自应负的法律责任。电子签名人应履行以下义务：(a)提供真实、完整、准确信息的义务。电子签名人向电子认证服务提供者申请电子签名认证证书，应当提供真实、完整和准确的信息。(第20条)；(b)妥善保管电子签名制作数据的义务。电子签名人应当妥善保管电子签名制作数据。(第15条)；(c)及时告知的义务。电子签名人知悉电子签名制作数据已经失密或者可能已经失密时，应当及时告知有关各方，并终止使用该电子签名制作数据。(第15条)。,第五章电子认证法律制度,66,3、电子签名人的法律责任（1）电子签名人未履行告知义务和终止使用电子签名制作数据的法律责任（2）电子签名人申请电子签名认证证书所承担的法律责任（3）电子签名人由于过错给电子签名依赖方、电子认证服务提供者造成损失应承担赔偿责任。（4）电子签名人承担赔偿责任的前提条件是主观上必须有过错,第五章电子认证法律制度,67,证书信赖方的权利：电子签名依赖方，是指基于对电子签名认证证书或者电子签名的信赖从事有关活动的人。（1）要求认证服务机构谨慎地保证数字证书中内容的真实性，否则可以主张获得赔偿。（2）要求认证服务机构尽到信息披露的义务，可以就不明事宜向认证服务机构询问。,（三）证书信赖方的权利与义务,第五章电子认证法律制度,68,证书信赖方的义务：（1）遵守认证服务机构的要求，采取合理的步骤确认电子签名的真实性。按照认证服务机构规定的程序获取数字证书相关信息，确认数字证书的有效性，没有被中止或撤销。,（2）遵守任何有关数字证书的限制，在数字证书所载的可信赖度以内从事交易，把数字证书用于规定的用途。认证服务机构不对其超出数字证书可靠性建议范围的交易额负责。,第五章电子认证法律制度,69,联合国电子签名统一规则第11条规定，相对方(即证书信赖人)如不能履行下列行为，应承担法律责任：(1)采取合理的步骤核查签名的可靠性；(2)在电子签名有证书证明的情况下，采取合理的步骤；或(3)核查证书的有效性或证书的吊销或撤销；以及(4)遵守任何有关证书的限制。,第五章电子认证法律制度,70,三、认证服务的法律责任1、过错赔偿责任电子签名人或者电子签名依赖方因依据电子认证服务提供者提供的电子签名认证服务从事民事活动遭受损失，而电子认证服务提供者不能证明自己无过错的，应承担赔偿责任。（1）电子认证机构属于过错责任主体（2）电子认证服务提供者不能证明自己无过错的赔偿责任2、违法提供电子认证业务的法律责任（1）未经许可提供电子认证服务应承担的法律责任a、未经许可提供电子认证服务行为的界定b、未经许可提供电子认证服务应当承担的行政责任（2）暂停或者终止电子认证服务未按规定报告的法律责任a、暂停或者终止电子认证服务的承接事项b、对暂停或者终止电子认证服务未按规定报告的处罚,第五章电子认证法律制度,71,3、对电子认证服务提供者违法行为的处罚（1）电子认证服务提供者不遵守认证业务规则的行为（2）未妥善保存与认证相关的信息（3）对电子认证服务提供者违法行为的处罚4、电子认证服务提供者在境外签发的电子签名认证证书的法律效力现跨境认证有几种方式：第一，允许境外的认证机构在本地提供服务；第二，境内的认证机构出境提供认证服务；第三，不同司法管辖范围内的认证机构达成互认证协议。5、对电子认证服务监管部门的规定国务院信息产业主管部门是制定电子认证服务业的具体管理办法的主体，对电子认证服务提供者依法实施监督管理。为了保证电子认证机构以公正第三方的身份对电子签名提供真实可信的认证服务，政府部门应当加强对电子认证服务的监督管理。,第五章电子认证法律制度,72,四、电子认证服务机构的免责条件,认证服务机构满足可免除责任的条件有以下三种情况：（1）不可抗力。（2）由于证书持有人的过错。（3）由于证书信赖人的过错。,第五章电子认证法律制度,73,根据中国电子学会2004年中国电子认证服务业发展研究报告，从1998年5月17日我国有了第一家电子认证服务机构开始，目前已超过100家，但有效发证的机构不超过50家；按照国家密码管理委员会办公室对CA中心使用密码审批的要求，2004年底，有22家被批准立项，10家通过技术鉴定；在资本来源上，其中35%为纯国有资本，5%为纯民营，多种成分占60%；它们的注册资金为：8000万到一亿有1家，其余的基本在2000万以下，建设资金基本在1500-3000万，多数在1500-2000万之间；其中盈利的电子认证机构占5%，不盈利的95%；各认证机构签发证书的数量不等，少的1000张，多的60万张；其中免费证书占22%，收费证书占78%，个人证书占24%；机构证书占75%，设备证书占1%，电子政务领域的证书占80%；各认证机构员工在30-55人之间，其中开发人员占26%，运营维护人员占14%，安全管理占11%，客户服务占12%，市场营销占24%，其他占13%。,第五章电子认证法律制度,74,五、我国电子商务认证机构的建设,1.我国电子商务认证机构建设的基本情况自1998年5月17日我国第一家CA认证中心产生以来，目前已建成和在建中的CA认证中心已经超过100家。这些认证机构大致可以分为三类。第一类是行业主管部门建立的CA中心，如由中国人民银行牵头，组织国内12家商业银行共同组建的中国金融CA认证中心(CFCA)，以及电信CA、海关CA等；第二类是地方政府部门建立的CA中心，如北京CA、上海CA等；第三类是民间资本建立的商业CA，大多和国际CA巨头合作，如天威诚信。从整体上看，我国CA机构的规模还比较小，一般投资在1500万到3000万元人民币之间；发放的证书也比较少。上海CA发放证书约60万张，中国金融CA认证中心发放证书30万张左右，天威诚信发放证书十余万张。所有认证机构基本上都还没有形成自己的盈利模式。,第五章电子认证法律制度,75,2.我国电子认证服务机构建设中存在的问题(1)缺少行业整体规划。从国内电子认证服务机构开始建设至今，国家政府部门一直没有出台一个指导国内电子认证服务机构建设的总体规划，使得电子认证服务机构建设处于无序状态。各行业、各地区、民间机构按照各自的需要建立认证机构，呈现出数量多、规模小、效益差的局面。(2)对电子认证服务机构运营和推广的复杂性和难度考虑不够。一些认证机构本以为一旦运营并向外提供服务，即可获得后续生存和发展的资金，而没有考虑到目前市场需求不足，应用不成熟。有的电子认证机构因后续资金不充裕，已经陷入资金危机中，经营难以为继。这些电子认证服务机构的失败反过来又影响了电子认证服务机构的信誉和用户的信心，使更多的用户继续观望，从而影响了整个电子认证服务行业的发展。,第五章电子认证法律制度,76,(3)标准规范严重滞后。目前国内的电子认证服务机构颁发数字证书时所采用的标准和规范不一样，证书的发放和运用范围、审核方式也不尽相同，所涉及到的信息保存和披露的差别比较大。这种状况对交叉认证的实现造成了很大困难。(4)技术水平偏低，存在安全隐患。从整体上看，我国电子认证服务机构技术水平偏低，存在安全隐患。国内已建立的100多家电子认证中心中，相当一部分在筹建时就带有一定的盲目性，系统建设时采用的PKI产品不够完善，电子认证系统自身安全考虑不够全面，安全强度弱，风险大，开展业务过程中又缺乏审计、监督机制促使其规范运营。,第五章电子认证法律制度,77,3.加强我国电子认证服务机构建设的基本思路(1)加强对现有认证机构的整顿。我国电子签名法已经明确，国务院信息产业主管部门是电子认证服务机构的监督管理部门。信息产业部电子认证服务管理办法对认证服务提出了实际操作规范，规定了电子认证服务机构的人员编制、注册资金、政府相关部门的批件等资质要求。各级主管部门要根据电子签名法和电子认证服务管理办法的要求，加强对现有认证机构的整顿，重新整合，进一步明确电子认证服务机构的法律责任。,第五章电子认证法律制度,78,(2)条块协调，完善布局。针对我国电子认证机构的现状，应统筹规划，完善布局，构建全国性或分区构建跨地区、跨行业、跨领域的电子认证技术体系、运营体系和服务体系。加强各电子认证服务机构之间的互通合作，提高各不同机构间发放的证书的兼容性，提升产业集群水平，充分发挥市场的竞争机制和汰劣择优功能，使电子认证服务机构为各个行业、各个地方的用户提供更大的便利和专业性的服务。,第五章电子认证法律制度,79,(3)积极探索电子认证服务机构的盈利模式。我国电子认证服务机构盈利状况不好，和国内电子签名的应用不普及有着密切关系。电子认证服务机构和有关部门应从多方面考虑，积极拓展电子签名的应用领域。例如，在电子合同、电子病历、电子税务等领域，都可以形成电子认证应用的广阔领域。虽然有关法律效力的问题已经解决，但有关应用环境、应用手段和应用理念还存在诸多问题，必须下大力气加以解决。,第五章电子认证法律制度,80,(4)加强电子认证服务标准建设。电子认证服务是可以选用的服务，而不是必须强制的服务。从这点考虑，电子认证标准的建设，应当从提高服务机构的竞争力考虑。通过电子认证标准的建设，使电子认证机构逐渐树立其市场的权威性。目前需要建设的电子认证服务标准主要包括电子认证服务产品功能标准、服务流程标准、服务质量标准、服务权限标准、服务评价标准和互通互连标准。,第五章电子认证法律制度,81,(5)加强安全监控。PKI/CA是一种遵循标准的利用公钥加密技术为网上通信提供一整套安全保障的基础平台，它自身是一个安全度要求很高的机构，比一般信息中心安全标准要求高得多。电子认证服务机构的认证系统安全性涉及到访问控制、责任分割、识别和鉴别、密钥管理、审计、可行路径和数据保护、密码安全、物理安全、人员安全等多个方面。应针对国内已建立的多家电子认证服务机构目前存在的安全问题，消除安全隐患，提高安全强度，建立保险制度，保证整个系统运作的安全性和稳定性。,第五章电子认证法律制度,82,(6)主动参与国际合作。电子商务的本质决定了与电子商务相关的服务必然逐步显现国际化的趋势。电子认证服务也毫不例外，从长远的角度看，电子认证在国际范围内的交叉认证、统一和标准化是必然的趋势。近年来，国际组织为建立全球电子认证中心制定了一系列的标准与法规，如ISO已颁布的密钥鉴别架构标准ISO9594-8、开放系统连接安全架构ISO10181等。随着我国政府放松对服务业的经济限制，加之信息网络无边界的特点，要求我们积极参与国际对话，通过必需的组织、规划、政策和措施，建立一个覆盖全国、连通世界并为国际社会所普遍接受的电子认证服务国际框架，维护我国电子认证服务应有的权属利益和发展平台。,第五章电子认证法律制度,83,4.国家级电子认证服务体系建设的构想为改变我国认证机构存在的设置混乱问题，必须考虑国家级电子认证服务体系的建设。从经济活动的角度出发，电子认证服务主要涉及下述几个方面的任务：(1)身份认证。从我国目前情况来看，面对成千上万的网络消费者，全面实施个人身份认证尚有困难。但对于企业与企业之间的交易，即B2B的交易，身份认证非常必要。目前我国企业在国家工商部门都有登记，只要通过认证机构将这些资料汇总，即可开展企业身份认证。这项认证可由工商管理部门来做。,第五章电子认证法律制度,84,(2)资信认证。资信等级是AAA级，还是CCC级，这一点必须由银行提供证明。我国开展企业资信等级的评定已有多年历史，将这一工作网络化，即可用于电子商务交易的认证。这项认证可以由银行来做。(3)税收认证。我国企业税收资料历年积累完整，可以