第四章电子签字与认证法律制度

1、第四章第四章 电子签名与认证法律制度电子签名与认证法律制度 能够能够 识别数据电文的发件人、收件人以及发送、接收的时间。经本院识别数据电文的发件人、收件人以及发送、接收的时间。经本院 对杨先生提供的移动电话短信息生成、储存、传递数据电文方法对杨先生提供的移动电话短信息生成、储存、传递数据电文方法 的可靠性的可靠性;保持内容完整性方法的可靠性保持内容完整性方法的可靠性;用以鉴别发件人方法的用以鉴别发件人方法的 可靠性进行审查，可以认定该移动电话短信息内容作为证据的真可靠性进行审查，可以认定该移动电话短信息内容作为证据的真 实性。根据证据规则的相关规定，录音录像及数据电文可以作为实性。根据证据规则

2、的相关规定，录音录像及数据电文可以作为 证据使用，但数据电文可以直接作为认定事实的证据，还应有其证据使用，但数据电文可以直接作为认定事实的证据，还应有其 它书面证据相佐证。它书面证据相佐证。 第二节第二节 电子认证法律制度电子认证法律制度 一一、基本概念基本概念 电子认证电子认证特定的认证机构对电子签名及其属性特定的认证机构对电子签名及其属性 的真实性进行验证的具有法律意义的而服务。的真实性进行验证的具有法律意义的而服务。 广义：包括认证机构（广义：包括认证机构（CA）、电子认证行为）、电子认证行为 和数字证书在内的一整套法律制度。和数字证书在内的一整套法律制度。 狭义：电子认证行为，即由认证

3、机构采用电子狭义：电子认证行为，即由认证机构采用电子 方法以证明电子签字持有人真实身份或电子信方法以证明电子签字持有人真实身份或电子信 息真实的行为。息真实的行为。 二、电子认证的作用二、电子认证的作用 （1）真实性）真实性 。要确保交易双方的真实身份、信息内。要确保交易双方的真实身份、信息内 容真实以其交易发生时间的真实性。容真实以其交易发生时间的真实性。 （2）完整性）完整性。确保双方交易的信息是完整的、没有。确保双方交易的信息是完整的、没有 被篡改过和伪造过。被篡改过和伪造过。 （3）机密性）机密性。确保。确保电子交易电子交易中中数据电文数据电文、交换数据、交换数据 、信息的保密性，使之

4、不被交易双方以外的交易、信息的保密性，使之不被交易双方以外的交易 无关个体获知。无关个体获知。 （4）不可否认性）不可否认性。不可否认性确保了交易双方不能。不可否认性确保了交易双方不能 对其参与过交易的事实进行抵赖，它为日后可能对其参与过交易的事实进行抵赖，它为日后可能 存在的交易纠纷提供了一个可信的证据。存在的交易纠纷提供了一个可信的证据。 三、电子认证服务机构应当具备下列条件：三、电子认证服务机构应当具备下列条件： (一）具有与提供电子认证服务相适应的人员。一）具有与提供电子认证服务相适应的人员。从事电子认从事电子认 证服务的专业技术人员、运营管理人员、安全管理人员证服务的专业技术人员、运

5、营管理人员、安全管理人员 和客户服务人员不少于三十名，并且应当符合相应岗位和客户服务人员不少于三十名，并且应当符合相应岗位 技能要求。技能要求。 (二二)注册资本不低于人民币三千万元。注册资本不低于人民币三千万元。 (三三)具有固定的经营场所和满足电子认证服务要求的物理具有固定的经营场所和满足电子认证服务要求的物理 环境。环境。 (四四)具有符合国家有关安全标准的技术和设备。具有符合国家有关安全标准的技术和设备。 (五五)具有国家密码管理机构同意使用密码的证明文件。具有国家密码管理机构同意使用密码的证明文件。 (六六)法律、行政法规规定的其他条件法律、行政法规规定的其他条件。 四、电子认证服务

6、机构设立四、电子认证服务机构设立 根据根据电子认证服务管理办法电子认证服务管理办法第六条，申请电子认证服务第六条，申请电子认证服务 许可的，应当提交下列材料：许可的，应当提交下列材料： （一）书面申请；（一）书面申请； （二）专业技术人员和管理人员证明；（二）专业技术人员和管理人员证明； （三）资金和经营场所证明；（三）资金和经营场所证明； （四）国家有关认证检测机构出具的技术设备、物理环境符（四）国家有关认证检测机构出具的技术设备、物理环境符 合国家有关安全标准的凭证；合国家有关安全标准的凭证； （五）国家密码管理机构同意使用密码的证明文件（五）国家密码管理机构同意使用密码的证明文件 审批时

7、限审批时限 自接到申请之日起自接到申请之日起45日内作出许可或者不予许可的书面日内作出许可或者不予许可的书面 决定。决定。 五、电子认证机构的电子认证服务五、电子认证机构的电子认证服务 第十七条第十七条 电子认证服务机构应当保证提供下列服电子认证服务机构应当保证提供下列服 务：务： （一）制作、签发、管理电子签名认证证书。（一）制作、签发、管理电子签名认证证书。 （二）确认签发的电子签名认证证书的真实性。（二）确认签发的电子签名认证证书的真实性。 （三）提供电子签名认证证书目录信息查询服务。（三）提供电子签名认证证书目录信息查询服务。 （四）提供电子签名认证证书状态信息查询服务。（四）提供电子

8、签名认证证书状态信息查询服务。 1、认证机构的法定权利和义务认证机构的法定权利和义务 主要义务主要义务 信息披露义务信息披露义务 业务说明义务业务说明义务 保险义务保险义务 保密义务保密义务 担保义务担保义务 信息披露义务信息披露义务 v认证机构根证书的说明认证机构根证书的说明 v用户的公钥用户的公钥 v作废证书名单作废证书名单 v认证业务说明认证业务说明 v认证机构作为公司登记时应公开的有关记录认证机构作为公司登记时应公开的有关记录 v其他任何影响证书安全性能或认证机构服务能力的事实其他任何影响证书安全性能或认证机构服务能力的事实 业务说明义务业务说明义务 v用户身份鉴定要求用户身份鉴定要求

9、 v证书类别及申请、签发、撤销、续展等操作规程证书类别及申请、签发、撤销、续展等操作规程 v保密安全控制规程保密安全控制规程 v用户责任和义务用户责任和义务 v认证机构的赔偿范围及限额认证机构的赔偿范围及限额 v与认证机构业务相关的其他重要内容与认证机构业务相关的其他重要内容 保险义务保险义务 v外部进攻者对被保险人用户的数字证书业务外部进攻者对被保险人用户的数字证书业务系统进行攻击，系统进行攻击， 破译该电子商务安全技术、伪造证书、篡改数据而造成被破译该电子商务安全技术、伪造证书、篡改数据而造成被 保险人用户交易账户资金的损失保险人用户交易账户资金的损失 v病毒入侵被保险人用户的数字证书业务

10、系统病毒入侵被保险人用户的数字证书业务系统而造成被保险而造成被保险 人用户交易账户资金的损失人用户交易账户资金的损失 v火灾、水管爆裂致使被保险人数字证书业务系统火灾、水管爆裂致使被保险人数字证书业务系统遭到破坏，遭到破坏， 造成被保险人用户交易账户资金的损失造成被保险人用户交易账户资金的损失 v被保险人用户的数字证书丢失，报失后，他人利用其数字被保险人用户的数字证书丢失，报失后，他人利用其数字 证书进行交易，证书进行交易，造成被保险人用户交易账户资金的损失造成被保险人用户交易账户资金的损失 保密义务保密义务 v证书用户在申请数字证书时向认证机证书用户在申请数字证书时向认证机 构披露的身份信息

11、及有关信息构披露的身份信息及有关信息 v证书用户的私人密钥证书用户的私人密钥 担保义务担保义务 认证机构一旦将证书发放给用户，就承认证机构一旦将证书发放给用户，就承 担着担保证书所述信息真实的义务。担着担保证书所述信息真实的义务。 主要权利主要权利 发放证书发放证书 中止证书中止证书 撤销证书撤销证书 保存证书保存证书 2、证书持有人的义务和权力证书持有人的义务和权力 真实告知义务真实告知义务 妥善保管义务妥善保管义务 交纳费用的义务交纳费用的义务 有权接受或抛弃认证证书 有权中止、撤销认证证书 利用认证证书 义务义务权利权利 六、电子认证机构的暂停与终止六、电子认证机构的暂停与终止 第二十三

12、条第二十三条 电子认证服务机构在电子认证服务机构在电子认证服务许可证电子认证服务许可证的有效期内的有效期内 拟终止电子认证服务的，拟终止电子认证服务的，应当在终止服务六十日前向工业和信息应当在终止服务六十日前向工业和信息 化部报告，并办理化部报告，并办理电子认证服务许可证电子认证服务许可证注销手续。注销手续。 第二十四条第二十四条 电子认证服务机构拟暂停或者终止电子认证服务的，电子认证服务机构拟暂停或者终止电子认证服务的，应当应当 在暂停或者终止电子认证服务九十日前，就业务承接及其他有关在暂停或者终止电子认证服务九十日前，就业务承接及其他有关 事项通知有关各方。事项通知有关各方。 电子认证服务

13、机构拟暂停或者终止电子认证服务的，应当在暂停或电子认证服务机构拟暂停或者终止电子认证服务的，应当在暂停或 者终止电子认证服务六十日前向工业和信息化部报告，并与其他者终止电子认证服务六十日前向工业和信息化部报告，并与其他 电子认证服务机构就业务承接进行协商，作出妥善安排。电子认证服务机构就业务承接进行协商，作出妥善安排。 第二十五条第二十五条 电子认证服务机构拟暂停或者终止电子认证服务，电子认证服务机构拟暂停或者终止电子认证服务，未能就未能就 业务承接事项与其他电子认证服务机构达成协议的，应当申请工业务承接事项与其他电子认证服务机构达成协议的，应当申请工 业和信息化部安排其他电子认证服务机构承接

14、其业务。业和信息化部安排其他电子认证服务机构承接其业务。 第二十六条第二十六条 电子认证服务机构被依法电子认证服务机构被依法吊销电子认证服务许可的吊销电子认证服务许可的，其业，其业 务承接事项按照工业和信息化部的规定处理。务承接事项按照工业和信息化部的规定处理。 第二十七条第二十七条 电子认证服务机构有电子认证服务机构有根据工业和信息化部的安排承接其他根据工业和信息化部的安排承接其他 机构开展的电子认证服务业务的义务机构开展的电子认证服务业务的义务。 七七、认证机构的法律责任认证机构的法律责任 归责原则：过错原则归责原则：过错原则 我国我国电子签名法电子签名法28条：电子签名人或者条：电子签名

15、人或者 电子签名依赖方因依据电子认证服务提供者电子签名依赖方因依据电子认证服务提供者 提供的电子签名认证服务从事民事活动遭受提供的电子签名认证服务从事民事活动遭受 损失，损失，电子认证服务提供者不能证明自己无电子认证服务提供者不能证明自己无 过错的，承担赔偿损失。过错的，承担赔偿损失。 当事人违反认证证书发放的目的进行交易当事人违反认证证书发放的目的进行交易。 证书持有人知道其密钥已泄密或有被损坏或无用的危险时，证书持有人知道其密钥已泄密或有被损坏或无用的危险时， 有义务请求撤销而未提出，造成他人损失的，由其本人承担。有义务请求撤销而未提出，造成他人损失的，由其本人承担。 认证机构在发现根密钥

16、或信息系统遭到破坏或可能遭到破坏，认证机构在发现根密钥或信息系统遭到破坏或可能遭到破坏， 为避免更大的损失而中止或撤销用户证书，造成他人损失的可为避免更大的损失而中止或撤销用户证书，造成他人损失的可 以减轻或免责以减轻或免责。 认证机构在审查证书申请人身份时已认证机构在审查证书申请人身份时已尽了合理注意尽了合理注意仍不能避仍不能避 免错误的，免错误的，认证机构对该错误及由此产生的损失免责认证机构对该错误及由此产生的损失免责。 认证机构认证机构对于假冒或仿冒该机构的证书及由此产生的损失不对于假冒或仿冒该机构的证书及由此产生的损失不 承担责任。承担责任。 计算机技术突破使得计算机技术突破使得认证证书出现缺陷