4电子签名和电子合同法律.ppt

第四章电子签名和电子认证法律,初志坤,第四章电子签字与认证法律制度,第一节电子签字概述第二节电子签字立法发展第三节电子签字的适用和消费者保护第四节电子商务安全认证第五节电子商务认证法律关系第六节电子商务认证机构管理,第一节电子签字概述,一、电子签字的概念与功能（一）电子签字的概念2001年12月，联合国第56届会议第85次全体会议正式通过了联合国国际贸易法委员会电子签字示范法（以下简称电子签字示范法），该法给出了电子签字及其相关概念：“电子签字（Electronicsignature）”系指以电子形式所含、所附或在逻辑上与数据电文有联系的数据，它可用于鉴别与数据电文相关的签字人和表明签字人认可的包含在数据电文中的信息。,第一节电子签字概述,（一）电子签字的概念中国电子签名法关于电子签名概念，电子签名，是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据；数据电文，是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。所以，电子签名概念有以下几种：1.广义的电子签名，是指包括数字技术、生物特征技术、电子录音、电传等各种技术手段形成的电子签名，如联合国示范法，美国统一电子交易法，澳大利亚的电子交易法案，加拿大的统一电子商务法，英国的电子通信法。2.狭义的电子签名，仅指数字签名，如美国犹他州的数字签名法，新加坡电子交易法。3.折中概念，欧盟指令等。,第一节电子签字概述,（二）电子签字的功能以纸张为基础的传统签字主要是为了履行下述功能：（1）确定一个人的身份；（2）肯定是该人自己的签字；（3）使该人与文件内容发生关系。除此之外，视所签文件的性质而定，签字还有多种其它功能，例如，签字可以证明签字人愿意受所签合同的约束；证明签字人认可其为某一案文的作者；证明签字人同意一份经由他人写出的文件的内容；证明签字人曾在某个地点的事实和时间。,第一节电子签字概述,（二）电子签字的功能电子商务示范法第7条规定：（1）如法律要求要有一个人签字，则对于一项数据电文而言，倘若情况如下，即满足了该项要求：第一，使用了一种方法，鉴定了该人的身份，并且表明该人认可了数据电文内含的信息；第二，从所有各种情况看来，包括根据任何相关协议，所用方法是可靠的，对生成或传递数据电文的目的来说也是适当的。（2）无论本条第（1）款所述要求是否采取一项义务的形式，也无论法律是不是仅仅规定了无签字时的后果，该款均将适用。,第一节电子签字概述,（二）电子签字的功能电子商务示范法第7条侧重于签字的两种基本功能：一是确定一份文件的作者；二是证实该作者同意了该文件的内容。第1条第一款确立的原则是，在电子环境中，只要使用一种方法来鉴别数据电文的发端人并证实该发端人认可了该数据电文的内容，即可达到签字的基本法律功能。在保证安全可靠的基础上，第1条第2款提出了灵活性原则，数据电文的发端人与收件人之间的任何协议只要可靠，就适宜于生成或传递该数据电文所要达到的目的。,第一节电子签字概述,（二）电子签字的功能我国的电子签名法对电子签名的功能表述第十三条电子签名同时符合下列条件的，视为可靠的电子签名：1电子签名制作数据用于电子签名时，属于电子签名人专有；2签署时电子签名制作数据仅由电子签名人控制；3签署后对电子签名的任何改动能够被发现；4签署后对数据电文内容和形式的任何改动能够被发现。当事人也可以选择使用符合其约定的可靠条件的电子签名。第十四条可靠的电子签名与手写签名或者盖章具有同等的法律效力,第一节电子签字概述,二、数字签字的过程（1）签字。在写好信息后，签字人先划定要签字的内容，然后用软件中的散列函数为要签字的信息计算出其独有的散列值，接着，签字人的软件用私钥将散列值转变为数字签字。这个数字签字对这份信息和签字人的私钥而言是独一无二的。（2）签字人一般将数字签字附在数据电文之后并随电文一起发送出去，签字的过程就完成了。（3）验证数据电文的接收人在收到信息后，可以对原文是否被篡改和签字的真实性进行核查。接收人通过参照原文用同一散列函数计算出新的散列值，再用签字人的公钥解开数字签字得出散列值，核对这两者是否一致。如果相同，就表明签字是真实的，原文没有被改动过。,第一节电子签字概述,第一节电子签字概述,三、电子签字的法定要求电子签字的目的是要达到传统书面签字的基本功能，然而电子签字的方法有多种形式，不同公司推出的技术标准也有所差异，因此要在法律上树立一个基本要求，凡达到该要求的电子签字均是有法律效力的。从总体上说，如果电子签字既能表明签字人与信息内容的联系性，而且与纸面签字同样可靠，就算达到了要求。因此，联合国和有关国家的法律规定了电子签字要符合一定的要求。,第一节电子签字概述,四、电子签字中各方当事人的基本行为规范参与电子签字活动包括签字人、验证服务提供商和依赖方。电子签字示范法制订了这些当事方（签字人、依赖方和验证服务提供商等）行为规范。（一）签字人的行为电子签字示范法第8条规定，签字制作数据可用来制作具有法律效力的签字，各签字人应当做到如下：（1）采取合理的谨慎措施，避免他人未经授权使用其签字制作数据；,第一节电子签字概述,（2）签字人知悉签字制作数据已经失密；或签字人知悉签字制作数据很有可能已经失密的情况；应毫无迟延，应利用认证服务提供人依照本法第9条提供的手段，或做出合理的努力，向签字人可以合理预计的依赖电子签字或提供支持电子签字服务的任何人员发出通知；（3）在使用证书支持电子签字时，采取合理的谨慎措施，确保签字人做出的关于证书整个有效期的或需要列入证书内的所有实质性表述均精确无误和完整无缺。,第一节电子签字概述,（二）认证服务提供人的行为电子签字示范法第9条规定，认证服务提供人提供服务，以支持可用作具有法律效力的签字而使用电子签字的，应当做到以下规定，否则应对未满足规定要求而承担法律责任：（1）按其所做出的关于其政策和做法的表述行事；（2）采取合理的谨慎措施，确保其做出的关于证书整个有效期的或需要列入证书内的所有实质性表述均精确无误和完整无缺；（3）提供合理可及的手段，使依赖方得以从证书中证实认证服务提供人的身份、证书中所指明的签字人在签发证书时拥有对签字制作数据的控制、在证书签发之时或之前签字制作数据有效；,第一节电子签字概述,（二）认证服务提供人的行为（4）提供合理可及的手段，使依赖方得以在适当情况下从证书或其它方面证实用以鉴别签字人的方法、签字制作数据或证书的可能用途或使用金额上的任何限制、签字制作数据有效且未发生失密、认证服务提供人规定的责任范围或程度上的任何限制、是否存在签字人依照第8条发出通知的途径、是否提供了及时的撤销服务；（5）确保提供及时的撤销服务；（6）使用可信赖的系统、程序和人力资源提供其服务。,第一节电子签字概述,（三）可信赖性电子签字示范法第10条规定，在确定认证服务提供人使用的任何系统，程序和人力资源是否可信赖以及在何种程度上可信赖时，可以注意下列因素：（1）财力和人力资源，包括是否存在资产；（2）硬件和软件系统的质量；（3）证书及其申请书的处理程序和记录的保留；（4）是否可向证书中指明的签字人和潜在的依赖方提供信息；（5）由独立机构进行审计的经常性和审计的范围；（6）是否存在国家、鉴定机构或认证服务提供人作出的关于上述条件的遵守情况或上述条件是否存在的声明；（7）其它任何有关因素。,第一节电子签字概述,（四）依赖方的行为电子签字示范法第11条规定依赖方应当对其未能做到如下承担法律后果：（1）采取合理的步骤查验电子签字的可靠性；（2）在电子签字有证书支持时，采取合理的步骤，包括查验证书的有效性、证书的暂停或撤销、遵守对证书的任何限制。,第二节电子签字立法发展,一、从数字式签字到电子签字：联合国现代核证技术的立法实践1996年12月，联合国国际贸易法委员会第29届会议在通过了贸易法委员会电子商业示范法之后，讨论了电子商务领域以后的工作方向，会议认为，贸法会应当继续工作，编制能够给电子商务带来可预测性、从而加强各地区贸易的法律标准。,比较一致的意见认为，贸法会应当着手编制关于数码式签字的规则，同时制定验证局的行动或授权就数码式签字的电文来源和归属签发电子证书或其它形式保证的其它个人行动的法律。贸法会第30届会议（1997年）肯定了电子商业法律协调的重要性和必要性，并委托工作组编写与数码式签字和验证局法律问题有关的统一规则。,第二节电子签字立法发展,第二节电子签字立法发展,在电子商务工作组第32届会议（1998年1月）上，工作组开始使用电子签字统一规则（UniformRulesonElectronicSignature）代替数字签字统一规则（UniformRulesonDigitalSignature）。电子签字统一规则草案。该草案包括以下内容：适用范围和一般规定、一般电子签字的定义及法律要求、强化电子签字的法律要求、归属推定及保持原样的推定、预先确定强化电子签字、擅自使用强化电子签字的赔偿责任、强化证书的内容、以证书为辅助的数字签字的效力、认证机构的承诺和责任、证书的废止、证书的登记等。,第二节电子签字立法发展,电子商务工作组第36届会议（2000年2月）对上述草案中的“强化电子签字”进一步进行了讨论，最后决定删除此条。原因是强调强化电子签字，可能会影响其它电子签字方法的使用和发展。2002年1月24日，在经历了5年的起草工作后，联合国第56届大会正式通过联合国国际贸易法委员会电子签字法。电子签字示范法将构成电子商务示范法的有用的补充，大大有助于各国加强其有关利用现代化核证技术的立法，并能协助目前尚无这种立法的国家拟订这种立法。,第二节电子签字立法发展,二、美国有关电子签字的法律电子签字法发源于美国，1991年，美国律师协会（ABA）信息安全委员会开始着手拟订数字签字示范法，1995年ABA数字签字指南颁布，其意图在于“提供一种解决方案，使得获得州政府许可的认证机构在应用PKI系统后，数字签字能得到承认。”1999年7月，美国全国统一州法委员会（NCCUSL）通过了统一电子交易法（UETA）修订版。到2000年，美国共有18个州已经通过了立法程序将UETA纳入州法，另有10余州正在走立法程序。,第二节电子签字立法发展,1999年6月30日，美国总统克林顿以数字签字的方式签署了全球与国家商务中的电子签字法，直接从联邦政府的层面对州法中的未达之处包括州际和国际贸易作了规范，进一步丰富了美国电子签字法的法律渊源。该项立法作为美国政府推动电子商务的重要举措，为电子签字和电子记录的法律地位的确定制定了重要的程序和规则。根据该法案规定，在该法案确定的标准得到遵守的前提下，即可赋于电子签字、电子合同和电子记录以法律上的确定性。,第二节电子签字立法发展,三、欧盟电子签字的统一框架指令从整体上看来，欧盟的电子签字统一框架指令（以下简称指令）对数字证书与认证机构管理比较严格，既吸收了国际电子签字法律的主流观点，又保持了欧盟的许多特色。（1）指令对电子签字的定义与分类处理符合主流观点，其中的“高级电子签字”（advancedelectronicsignature）基本上维持传统上对数字签字的四要素定义法。,第二节电子签字立法发展,（2）指令摈弃了传统的公钥、私钥、对钥的概念，而引入了一系列新概念，如“签署签字数据”(signature-creationdata，相当于公钥)、“签署签字设备”(signature-creationdevice)、“安全签署签字设备(securesignature-creation-deice)、“确认签字数据(signature-verification-data，相当于私钥)、“确认签字设备”（signature-verificationdevice）。通过对传统技术术语的法律提炼，既可以凸显其“技术中立”的个性，又建立起一套比较严格的对认证机构与电子签字的管理制度。,第二节电子签字立法发展,（3）指令通过四个附件：1）对合格证书的要求；2）对发放合格证书的认证服务提供人的要求；3）对安全签署签字设备的要求；4）对安全签字确认的推荐，来达到对电子签字与认证机构的统一标准管理。（4）指令授权成员国可以为认证机构设置基于自愿的认可方案，同时，该方案否定了CA是一种“壳资源”的观点，即不允许限制经认可的CA数目。,第二节电子签字立法发展,（5）指令在为安全系统和电子签字产品设置技术标准的同时，同时很重视市场准入问题。（6）指令通过自愿认可方案的认可、取得欧盟内CA的担保、以及订立双边或多边协议三种方式解决了与欧盟外认证机构的数字证书的交叉认证问题。（7）指令对CA的收集和传输数据行为有严格限制。,四、我国法律对电子签字法律地位的态度我国合同法规定数据电文是书面形式的一种，并提出，“当事人采用信件、数据电文等形式订立合同的，可以在合同成立之前要求签订确认书。签订确认书时合同成立。”这里，使用数据电文订立合同的前提是“合同成立之前要求签订确认书”，成立的条件则是“签订确认书时合同成立”。显然，合同法对数据电文作为合同是心有余悸的，并且为数据电文形成的合同的效力加了一道“保险”。也就是说，如果使用数据电文起草合同，除了电子文本之外，还需要有一“确认书”加以确认。这种规定，显然不利于新技术的推广和应用。,第二节电子签字立法发展,第二节电子签字立法发展,电子签字为解决上述问题提供了解决的办法。既然书面合同可以通过签字承认其有效性，电子合同也可以通过电子签字承认其有效性，只要电子签字完全实现书面签字的各项功能。2005年4月1日起实施的电子签名法从法律上确定了电子签名的效力。,第三节电子签字的适用和消费者保护,一、电子签字的适用范围电子签字是人们在互联网络中沟通信息并确保信息证实的一种手段，是传统签字的意义在网络中得到延伸与发展。因此，从签字本身所具有的原始作用的角度来看，凡是可以在纸面上进行的传统签字，电子签字均可以适用。但是，受到现有法律和传统观念以及技术发展的局限性，电子签字还很难做到这一点。,第三节电子签字的适用和消费者保护,目前，电子签字受到局限的主要方面有：1需要在物体本身上标记签字的场合2与身份关系相关的场合；3与诉讼程序相关的场合；4法律有特别规定的事项。我国电子签名法的电子签名的除外事项：（一）涉及婚姻、收养、继承等人身关系的（二）涉及土地、房屋等不动产权益转让的；（三）涉及停止供水、供热、供气、供电等公用事业服务的；（四）法律、行政法规规定的不适用电子文书的其他情形。,第三节电子签字的适用和消费者保护,二、电子签字与消费者权利保护为保护消费者的合法利益，商家应当明确以下事项：（一）商家应当告知消费者使用电子签字的权利义务（1）告知消费者可以同意使用电子签字也可以不同意使用电子签字。如果消费者同时要求得到纸面的记录，商家应当满足消费者的这一要求。或者消费者希望在交易完成后得到发票，商家应当保证他的权利。,第三节电子签字的适用和消费者保护,（2）告知消费者有权撤回对使用电子签字的同意。如，消费者在交易完成前可以撤回电子签字方式，而采用纸面方式，商家可以纸面方式进行，增加的费用可由消费者承担，当然商家也可以选择解除合同，如果约定该撤回是解除条件的话。不论怎样，商家应明确告知消费者可以行使这一权利及相关后果。（3）告知消费者可以查阅以电子签字方式签署的文件。,第三节电子签字的适用和消费者保护,（二）在告知消费者的权利后应征得消费者的同意同意可以以电子方式做出，也可以采用其它方式，只要做出的行为合理即可。（三）商家应当特别提示消费者的事项（1）告知采用该种电子签字方式对电脑软硬件的要求。（2）告知电子签字方式发生改变后，对消费者的权利实现的影响以及如何补救。,第四节电子商务安全认证,一、电子认证、数字证书与认证机构的概念电子认证技术是保证电子商务交易安全的一项重要技术。电子认证从广义上来说，可以包括认证机构（CertificationAuthentication简称CA）、电子认证行为和数字证书在内的一整套法律制度。从狭义上来说，仅指电子认证行为，即由认证机构采用电子方法以证明电子签字持有人真实身份或电子信息真实的行为。,第四节电子商务安全认证,电子认证也可称为客户认证。它是基于用户的客户端主机IP地址的一种认证机制，它允许系统管理员为具有某一特定IP地址的授权用户定制访问权限。CA与IP地址相关，对访问的协议不做直接的限制。服务器和客户端无需增加、修改任何软件。系统管理员可以决定对每个用户的授权、允许访问的服务器资源、应用程序、访问时间以及允许建立的会话次数等等。,第四节电子商务安全认证,电子认证主要包括身份认证和信息认证。前者用于鉴别用户身份，后者用于保证通信双方的不可抵赖性和信息的完整性。在某些情况下，信息认证显得比信息保密更为重要。例如，在买卖双方发生的日用品业务或交易，可能交易的具体内容并不需要保密，但是交易双方应当能够确认是对方发送或接收了这些信息，同时接收方还能确认接收的信息是完整的，即在通信过程中没有被修改或替换。,第四节电子商务安全认证,数字证书是目前最常用的认证证书，它是由认证机构签发的数据电文或相关记录以确认持有特定密钥者身份的文件。基于PKI的数字证书是电子商务安全体系的核心，用途是利用公共密钥加密系统来保护与验证公众的密钥，由可信任的、公正的权威机构认证机构颁发。用户向认证机构申请证书时，可提交自己的驾驶执照、身份证或护照，经认证机构对申请者所提供的信息进行验证，然后通过向电子商务各参与方签发数字证书，证书包含了用户的姓名等信息和他的公钥，以此作为网上证明自己身份的依据，保证网上支付的安全性。,第四节电子商务安全认证,认证机构是指从事颁发为电子签字的目的而使用的加密密钥相关的证书的人。认证机构在电子商务中具有特殊的地位。它是为了从根本上保障电子商务交易活动顺利进行而设立的，主要是解决电子商务活动中交易参与各方身份、资信的认定，维护交易活动的安全。例如，持卡人要与商家通信，持卡人从公开媒体上获得了商家的公开密钥，但持卡人无法确定商家不是冒充的，于是持卡人请求认证机构对商家认证，在对商家进行调查、验证和鉴别后，将包含商家公钥（PublicKey）的证书传给持卡人。同样，商家也可对持卡人进行验证。,第四节电子商务安全认证,二、数字证书的分类与管理（一）数字证书的种类按照数字证书应用对象的不同，数字证书可以分为持卡人证书和商家证书。按照数字证书应用对象的不同，也可以将其分为个人用户证书、企业用户证书、服务器证书及代码证书；或分为发卡机构证书、银行证书和支付网关证书等。,第四节电子商务安全认证,（二）数字证书的申请就个人申请数字证书而言，须向认证机构业务受理点提交以下材料：（1）有效身份证件，如身份证、驾驶证、护照等；（2）有效的联系方式，如电话、通信地址、电子邮箱等；在具备上述条件后，填写申请表和签订用户协议，申请即告结束。,第四节电子商务安全认证,认证机构接受用户申请，需要核实申请人的身份事项，审核通过，认证机构即向申请人发放证书。认证机构对个人证书申请的验证方法主要有：（1）验证申请人电子邮箱的真实性；（2）查询可信的信息数据库，通过核实和证实可信的数据库内申请人的个人信息，识别和鉴证其身份。所谓可信的数据库由认证机构决定。（3）当面核实；当面核实通过身份证原件、复印件和本人的比较。,第四节电子商务安全认证,就企业申请证书而言，程序与个人申请相同。但验证条件有所不同：（1）认证机构要求企业提交工商营业执照、ICP营运证、税务登记等证书，以确定该单位的真实性和该单位的服务器确实存在；（2）同时，认证机构还需验证申请单位法定代表人的身份以及授权人的证明和身份。,第四节电子商务安全认证,（三）证书的颁发在申请证书获得认证机构的验证后，认证机构会将包含密钥的标记载体（如密码信封、条码、数字信息）交给申请人，以保证申请人在安全状态下获得证书。交付的方式可以是面对面交付，也可以通过邮政信函或者电子邮件等方式。申请人在收到密码后，根据认证机构的操作提示，完成证书的安装程序并投入使用。,我国电子签名法的规定：1.电子签名人向电子认证服务提供者申请电子签名认证证书，应当提供真实、完整和准确的信息。2.电子认证服务提供者收到电子签名认证证书申请后，应当对申请人的身份进行查验，并对有关材料进行审查。3.电子认证服务提供者签发的电子签名认证证书应当准确无误，并应当载明下列内容：（1）电子认证服务提供者名称；（2）证书持有人名称；（3）证书序列号；（4）证书有效期；（5）证书持有人的电子签名验证数据；（6）电子认证服务提供者的电子签名；（7）国务院信息产业主管部门规定的其他内容,第四节电子商务安全认证,第四节电子商务安全认证,（四）数字证书的保存数字证书有一定的有效期限，多数认证机构规定数字证书的有效期为一年，期满经申请续费后可延长。但是，不论证书期限是否届满，有关证书的资料，如申请资料、证书等必须在一定的期限内保存。美国犹他州数字签字法规定认证机构都应保存所发放或撤销的证书记录，期限不少于40年。新加坡电子交易法规定：电子记录应当保存，包括电子记录的来源、发出和接受的时间等。我国电子签名法规定：电子认证服务提供者应当妥善保存与认证相关的信息，信息保存期限至少为电子签名认证证书失效后五年。,第四节电子商务安全认证,（五）证书撤销和中止在证书的有效期间，如果发生特殊情况，危及证书持有人或他人的利益时，证书就无法继续使用。当然，证书持有人也可以申请撤销证书。电子认证服务管理办法第29条规定：有下列情况之一的，电子认证服务机构可以撤销其签发的电子签名认证证书：（1）证书持有人申请撤销证书；（2）证书持有人提供的信息不真实；（3）证书持有人没有履行双方合同规定的义务；（4）证书的安全性不能得到保证；（5）法律、行政法规规定的其他情况。,第四节电子商务安全认证,证书中止是在出现影响证书安全时的一种临时措施，根据事态的发展，证书可能会被撤销，也可能证书效力恢复。我国的认证机构在其业务说明中多数规定了证书撤销而没有规定中止，有的是二者合一。从操作角度而言，将二者分开分别规定是有实际意义的，至少可以节约成本和减少错误。,第四节电子商务安全认证,三、电子商务的认证体系（一）电子商务认证体系技术标准的分类电子商务认证体系根据所采用的技术标准的不同可分为两大类，即符合SET标准的SETCA认证体系（又叫“金融CA”体系）和基于X.509的PKICA体系（又叫“非金融CA”体系）。,第四节电子商务安全认证,1SETCA1997年2月19日，由MasterCard和Visa发起成立SETCO公司，被授权作为SET（SecureElectronicTransaction）根CA。从SET协议中可以看出，由于采用公开密钥加密算法，认证机构（CA）就成为整个系统的安全核心。SET中CA的层次结构依次为：根认证中心（RCA）、区域性认证中心（GCA），GCA再下设持卡人认证中心（CCA）、商户认证中心（MCA）、支付网关认证中心（PCA），在SET中，CA所颁发的数字证书主要有持卡人证书、商户证书和支付网关证书。,第四节电子商务安全认证,2PKICAPKI（PublicKeyInfrastructure）是提供公钥加密和数字签字服务的平台，采用PKI框架管理密钥和证书，基于PKI的框架结构及在其上开发的PKI应用，为建立CA提供了强大的证书和密钥管理能力，可以建立一个安全的网络环境。根据X.509建议，CA为用户的公开密钥提供证书。用户与CA交换公开密钥后，CA用其秘密密钥对数据集（包括CA名、用户名、用户的公开密钥及其有效期等）进行数字签字，并将该签字附在上述数据集的后面，构成用户的证书，存放在用户的目录款项中。,第四节电子商务安全认证,2PKICAX.509提供了分层鉴别服务，在这种层次下，可以有多个层次的CA（可信任的第三方认证系统），构成树状的认证层次。在一个证书树上的节点之间进行鉴别时，在证书树上找到共同的祖先节点，就可以完成鉴别。当两个用户分别由不同的CA服务时，不同的CA要为每个用户建立一个证书（这种认证方式叫做“交叉认证”）。只要保证每一个CA者是可信赖的，这种证书管理方法就能满足多用户的电子商务网络的需要。PKICA增加网上交易各方明显的信任，也为它们之间的可靠通信创造条件，并为“B2B”及“B2C”两种电子商务模式提供兼容性服务。,第五节电子商务认证法律关系,一、认证机构的法定义务与权利（一）认证机构的主要义务1信息披露义务鉴于认证机构的公信力和其信用服务，认证机构应当向全社会公开其从业资格，及其重要的业务记录，以便受到公众的监督与协作。一般而言，认证机构信息披露的内容应包括：（1）认证机构根证书的说明；（2）用户的公钥；（3）作废证书名单；（4）认证业务说明；（5）认证机构作为公司登记时应公开的有关记录；（6）其它任何影响证书安全性能或认证机,第五节电子商务认证法律关系,1信息披露义务联合国电子签字示范法第9条（c）项规定，认证机构应该提供合理的查证途径时相对方能够通过证书确认：（1）证明服务提供者的身份;（2）证书所标明的人在签字时已经控制了签字器；（3）签字器在证书签发之时或之前运行正常。,第五节电子商务认证法律关系,2业务说明义务该义务要求认证机构公开其工作流程和为用户提供何种服务及服务内容，主要包括：（1）用户身份鉴定要求；（2）证书类别及申请、签发、撤销、续展等操作规程；（3）保密制度；（4）安全控制规程；（5）用户责任和义务；（6）认证机构的赔偿范围及限额；（7）与认证机构业务相关的其它重要内容。认证机构在其业务说明中应注意行业政策和习惯，并严格遵守其说明，保证包括证书在内的重要陈述具有准确性和完整性。,第五节电子商务认证法律关系,3.保险义务认证机构是一个高风险的行业，既面临着内部人员操作错误甚至恶意操作等机构运营带来的风险又必须提防外部攻击，技术的飞速进步也会致机构业务发生重大变化，而且一旦发生风险往往超出认证机构本身的控制。因此，为了减少认证机构的风险和稳定交易秩序，又必要赋予认证机构参加责任保险之义务。在确定上述保险责任范围以后，再约定最高赔偿限额。每次事故赔偿额为被保险人用户发生保险责任范围内事故所遭受的实际损失金额，多次事故的累计赔偿金额不得超过本保险的最高赔偿限额。,第五节电子商务认证法律关系,3.保险义务认证机构可就下列业务投保：（1）外部进攻者对被保险人用户的数字证书业务系统进行攻击，破译该电子商务安全技术、伪造证书、篡改数据而造成被保险人用户交易帐户资金的损失；（2）病毒入侵被保险人用户的数字证书业务系统而造成被保险人用户交易帐户资金的损失；（3）火灾、水管爆裂致使被保险人数字证书业务系统遭到破坏，造成被保险人用户交易帐户资金的损失；（4）被保险人用户的数字证书丢失，报失24小时后，他人利用其数字证书进行交易，造成被保险人用户交易帐户资金的损失。,第五节电子商务认证法律关系,4.保密义务认证机构在承担信息披露义务的同时，为保护用户合法利益的目的，认证机构尚应承担保密义务，对于下列事项，除非应有关国家机关的书面要求，认证机构不得对外披露：（1）证书用户在申请数字证书时向认证机构披露的身份信息及有关信息；（2）证书用户的私人密钥。,第五节电子商务认证法律关系,5担保义务认证机构一旦将证书发放给用户，就承担着担保证书所述信息真实的义务，这里的真实是指认证机构在证书发放时依法对用户提供的身份状况等情况予以了审查，不存在认证机构明知或应知是虚假信息的情况。同时，该义务要求认证机构没有超过其许可的限额。担保义务不仅仅针对证书持有人，也适用于证书信赖人。,第五节电子商务认证法律关系,（二）认证机构的主要权利认证机构的主要权利表现在它对用户证书的管理上。但是这里的权利在本质上更接近于职权。1.发放证书2.中止证书3.撤销证书4.保存证书,第五节电子商务认证法律关系,二、证书持有人的义务与权利（一）证书持有人的义务1真实告知义务2妥善保管义务3交纳费用的义务（二）证书持有人的权利1有权接受或抛弃认证证书2有权中止、撤销认证证书3利用认证证书,第五节电子商务认证法律关系,三、证书信赖人的权利义务任何从网络交易的人都是证书信赖人，他门都需要识别对方证书的真实性。考察的方法很简单，认证机构都对其发放的仍然有效的证书放入数据库中，无效或过期的证书列入黑名单中，信赖人据此可以查询，很容易得到结果。据此，信赖人有权查询对方证书的真实性，认证机构有义务提供查询这样的服务。同时，信赖人在信赖对方的证书前，也应当查询对方证书是否有效。,第五节电子商务认证法律关系,四、认证法律关系的性质（一）认证机构与证书持有人之间的关系认证机构与证书持有人之间的合同是认证服务合同。它除了具有合同的一般法律特点，如双务、有偿等之外，它还具有最大诚信、诺成的特点，同时它属于无名合同。,第五节电子商务认证法律关系,1最大诚信认证服务合同的最大诚信表现在以下几方面：（1）用户在申请时必须提供自己真实的身份资料，在证书的有效期间，如果发生重要的记载信息的变更应当及时告知认证机构，以便变更证书记载；（2）用户在发现证书的私钥失密或者有可能失密时，也应当及时告知认证机构；（3）认证机构的根密钥失密或者发生可能失密的情况时，应当及时告知用户，并采取相应的措施；,第五节电子商务认证法律关系,2诺成认证服务合同应当是诺成合同。认证服务机构作为网络交易中不可或缺的信息提供商，在网上扮演着重要的角色。它同其他商品提供商一样，不能够挑选用户，同时，基于该网络信息服务的迅捷性，也要求消费者在提出申请，认证机构承诺后，合同即告成立。3.无名合同认证服务合同是无名合同。因此，双方的权利义务不仅仅受到合同法和相关法律的调整，更多的由双方的约定来规范。在实务操作中，由于用户更多的是同意或不同意使用认证服务，一般很难改变认证机构业务规范，因而它又具有格式合同的特点。,第五节电子商务认证法律关系,（二）认证机构与证书信赖人之间的关系所谓证书信赖人是指由于相信认证证书的记载而相信证书持有人的身份真实，从而与之进行商事交易的人。从现有的情况看，证书信赖人有几种情况：（1）信赖人与被信赖人都是同一认证机构的用户，都持有电子证书；（2）信赖人与被信赖人虽然都持有电子证书，但是由不同的认证机构发放的；（3）信赖人不持有任何电子证书。,第五节电子商务认证法律关系,第一种情况，信赖人与认证机构存在认证服务合同，具有合同关系；第二和第三种情况，信赖人与认证机构之间没有合同，纯粹是基于对认证机构的信任而相信证书持有人。但是，不论属于何种情况，对认证机构的信赖始终是存在的。基于此，这种法律关系应该法定化，他们之间的关系应是一种法定信赖利益关系，认证机构对证书信赖人的法定义务即是其承担责任的基础。该义务集中表现在认证机构的担保义务上：（1）认证机构对证书的疏漏和虚假陈述承担责任。（2）认证机构对未按其认证业务说明的要求或程序进行操作承担责任。,第五节电子商务认证法律关系,五、交叉认证的法律关系（一）交叉认证的解决方式当持有不同证书的当事人进行交易时，彼此就会产生交叉认证。从认证本身的要求来看，认证是为了让交易各方了解彼此的状况，而这种了解是基于对认证机构权威性的信任而信任交易对方的。如果交易一方所持证书的发证机构不为对方熟悉，这种信任就很难建立。而网络交易的全球性和认证机构的独立性必然会导致此类情况大量存在。交叉认证既存在国内不同机构的交叉认证，也存在国际间的交叉认证。,第五节电子商务认证法律关系,交叉认证的解决方式主要有三种：1通过国际条约或双边协定来处理2行政核准方式3认证担保的方式,第