第四章电子签名与电子认证法律制度

1、电电 子子 商商 务务 法法（第三版）（第三版）吕波吕波南京工业大学南京工业大学 法政学院法政学院第四章第四章 电子签名与电子认证电子签名与电子认证法律制度法律制度关键术语关键术语b电子签名电子签名 数据电文数据电文 立法模式立法模式 电子电子认证认证 认证机构认证机构 证书业务规范证书业务规范第一节第一节 电子签名法律制度电子签名法律制度一、电子签名概论一、电子签名概论b(一一)电子签名的概念和种类电子签名的概念和种类1传统签名的概念和功能传统签名的概念和功能2电子签名电子签名 （1）广义的电子签名）广义的电子签名 所谓广义的电子签名，是指包括数字所谓广义的电子签名，是指包括数字技术、生物特

2、征技术、电子录音、电传技术、生物特征技术、电子录音、电传等各种电子技术手段在内的电子签名等各种电子技术手段在内的电子签名 （2）狭义的电子签名即数字签名）狭义的电子签名即数字签名 （3）折中式概念）折中式概念可靠电子签名可靠电子签名3电子签名与电子签章电子签名与电子签章b（二）电子签名的技术方案及基本原理（二）电子签名的技术方案及基本原理1数字签名技术数字签名技术2其他电子签名技术简介其他电子签名技术简介 （1）生物识别技术）生物识别技术 (2)密码、密码代号或个人识别码密码、密码代号或个人识别码 (3)基于量子力学的计算机基于量子力学的计算机3电子签名法的立法原则电子签名法的立法原则 （1）

3、“技术中立技术中立”原则原则 （2）功能等同原则）功能等同原则 （3）当事人自治原则）当事人自治原则数字签名的原理数字签名的原理(1)用户生成或得到独特的加密密钥对。用户生成或得到独特的加密密钥对。(2)发件人在计算机上准备拟发送的信息发件人在计算机上准备拟发送的信息(如电子邮件如电子邮件)。(3)发件人用安全的哈希函数算法准备好信息摘要。数字签名由一个发件人用安全的哈希函数算法准备好信息摘要。数字签名由一个哈希函数值生成。该函数值由被签署的信息和一个给定的私密钥生成，哈希函数值生成。该函数值由被签署的信息和一个给定的私密钥生成，并对该信息是独特的。该哈希函数值的安全性，表现为通过任意信息并对

4、该信息是独特的。该哈希函数值的安全性，表现为通过任意信息和私密钥的组合，生成同样数字签名的可能性为零。和私密钥的组合，生成同样数字签名的可能性为零。(4)发件人通过使用私密钥将讯息摘要加密。私密钥通过使用一种数发件人通过使用私密钥将讯息摘要加密。私密钥通过使用一种数学算法被应用在讯息摘要文本中。数字签名包含被加密的讯息摘要。学算法被应用在讯息摘要文本中。数字签名包含被加密的讯息摘要。(5)发件人将数字签名附在信息之后。发件人将数字签名附在信息之后。(6)发件人将数字签名和信息发件人将数字签名和信息(加密或未加密加密或未加密)发送给电子收件人。发送给电子收件人。(7)收件人使用发件人的公共密钥确

5、认发件人的电子签名。使用发件人收件人使用发件人的公共密钥确认发件人的电子签名。使用发件人的公共密钥进行的认证，可证明信息排他性地来自于发件人。的公共密钥进行的认证，可证明信息排他性地来自于发件人。(8)收件人使用同样安全的哈氏函数算法生成信息的信息摘要。收件人使用同样安全的哈氏函数算法生成信息的信息摘要。(9)收件人比较两个信息摘要。假如两者相同，则收件人可以确信信息收件人比较两个信息摘要。假如两者相同，则收件人可以确信信息在签发后并未作任何改变。信息被签发后即便有一个字节的改变，收件在签发后并未作任何改变。信息被签发后即便有一个字节的改变，收件人生成的数据摘要与发件人的数据摘要都会有所不同。

6、人生成的数据摘要与发件人的数据摘要都会有所不同。(10)收件人从认证机构获得认证证书收件人从认证机构获得认证证书(或者是通过信息发件人获得或者是通过信息发件人获得)，用，用以确认发件人所发讯息上数字签名的真实性。该证书包含发件人的公共以确认发件人所发讯息上数字签名的真实性。该证书包含发件人的公共密钥和姓名密钥和姓名(以及其他附加信息以及其他附加信息)，并有认证机构的数字签名。在数字签，并有认证机构的数字签名。在数字签名系统中，认证机构是专门从事管理证书业务的可信赖的第三方。名系统中，认证机构是专门从事管理证书业务的可信赖的第三方。数字签名原理示意图SHA Secure Hash Algorit

7、hm安全的哈希函数算法(1)(6)是数字签名的制作过程是数字签名的制作过程(7)(10)是数字签名的核实过程是数字签名的核实过程b（三）电子签名法的立法模式（三）电子签名法的立法模式1“最低要求方案最低要求方案”（minalist approach）2“数字签名方案数字签名方案”（the digital approach）3“双轨制方案双轨制方案”(twotier approach)二、电子签名的法律效力二、电子签名的法律效力b（一）电子签名的效力范围（一）电子签名的效力范围b（二）可靠电子签名的法律效力（二）可靠电子签名的法律效力 1对签名人的效力对签名人的效力2对数据电讯内容的效力对数据电

8、讯内容的效力3对法律行为的效力对法律行为的效力三、数据电文三、数据电文b（一）数据电文的概念（一）数据电文的概念b（二）数据电文符合法定书面形式要求的（二）数据电文符合法定书面形式要求的规定规定b（三）数据电文符合法定原件形式要求的（三）数据电文符合法定原件形式要求的规定规定b（四）数据电文符合法定文件保存要求的（四）数据电文符合法定文件保存要求的规定规定b（五）数据电文的归属与确定（五）数据电文的归属与确定1发送主体的确认发送主体的确认 （1）代理）代理 （2）自动交易）自动交易 （3）收件人按照发件人认可的方法）收件人按照发件人认可的方法对数据电文进行验证后结果相符的对数据电文进行验证后结

9、果相符的2数据电文的接收确认数据电文的接收确认3发送和接收的时间和地点发送和接收的时间和地点 （1）关于发送时间的规定）关于发送时间的规定 （2）关于接受地点的规定）关于接受地点的规定案例：安全警告案例：安全警告第二节第二节 电子认证法律制度电子认证法律制度一、电子认证概述一、电子认证概述b（一）电子认证的概念和性质（一）电子认证的概念和性质1电子认证的概念电子认证的概念 电子认证指一个国家承认的认证机构通过电子认证指一个国家承认的认证机构通过颁发数字证书和管理公共密匙来检验带有颁发数字证书和管理公共密匙来检验带有电子签名的文件所有人及其内容的真实性。电子签名的文件所有人及其内容的真实性。2电

10、子认证的性质电子认证的性质 电子认证是一种信用服务电子认证是一种信用服务3电子认证的具体操作程序电子认证的具体操作程序4认证机构的风险认证机构的风险数字签名认证流程数字签名认证流程信信息息摘要摘要数字数字签名签名数字数字签名签名信息信息摘要摘要摘要摘要信信息息被被确确认认 一致一致SHA加密加密私密钥私密钥加密加密发送发送公密钥公密钥解密解密SHA加密加密发送方发送方接收方接收方认证中心(CA)公密钥公密钥(及身份信息及身份信息)b（二）（二）PKI与数字证书简介与数字证书简介 1 PKI体系体系 PKI是是“Public Key Infrastructure”的缩的缩写，意为写，意为“公钥基

11、础设施公钥基础设施” 一个标准的一个标准的PKI域必须具备以下主要内容：域必须具备以下主要内容： (1)认证机构（认证机构（CA ） (2)证书和证书库证书和证书库 (3)密钥备份及恢复密钥备份及恢复 (4)密钥和证书的更新密钥和证书的更新 (5)证书历史档案证书历史档案 (6)客户端软件客户端软件 (7)交叉认证交叉认证 2数字证书数字证书3数字证书原理数字证书原理二、认证机构的设立与管理二、认证机构的设立与管理b（一）认证机构概述（一）认证机构概述 Certification Authority，简称，简称CA 为了保证电子签名的真实性，保障交易安为了保证电子签名的真实性，保障交易安全，发

12、件人在做电子签名前，签署者必须全，发件人在做电子签名前，签署者必须将他的公共密钥送到经合法注册、具有从将他的公共密钥送到经合法注册、具有从事电子认证服务许可证的第三方，即电子事电子认证服务许可证的第三方，即电子认证机构认证机构b（二）设立模式与条件（二）设立模式与条件1行业自律型行业自律型2政府监管与市场培育相结合型政府监管与市场培育相结合型3政府集中管理型政府集中管理型规定了电子认证服务规定了电子认证服务提供者应当具备的条件提供者应当具备的条件具体规定具体规定了电子认证服务机构设立的具体条件了电子认证服务机构设立的具体条件b（三）证书业务规范（三）证书业务规范1证书的颁发证书的颁发2证书的管

13、理证书的管理3证书的中止与撤销证书的中止与撤销4认证信息的保存认证信息的保存5电子认证国外证书认证问题电子认证国外证书认证问题b（四）认证服务的暂停、终止和接受（四）认证服务的暂停、终止和接受三、电子认证法律关系三、电子认证法律关系b（一）电子签名人（证书拥有人）的义务（一）电子签名人（证书拥有人）的义务 1真实陈述之义务真实陈述之义务2私密钥控制之义务私密钥控制之义务 b（二）电子签名依赖方（证书信赖方）的（二）电子签名依赖方（证书信赖方）的义务责任义务责任b（三）认证机构的义务（三）认证机构的义务1依法申请许可资格，遵守国务院信依法申请许可资格，遵守国务院信息产业部的管理规则，并接受信息产

14、业息产业部的管理规则，并接受信息产业部的监督部的监督2公开义务或信息披露义务公开义务或信息披露义务3谨慎审核义务谨慎审核义务4电子认证服务提供者有关保证义务电子认证服务提供者有关保证义务5妥善保存与认证相关的信息义务妥善保存与认证相关的信息义务 6妥善解决认证人暂停或终止服务后妥善解决认证人暂停或终止服务后续工作的义务续工作的义务b（四）认证机构的责任（四）认证机构的责任 1民事责任民事责任2行政责任行政责任3刑事责任刑事责任认证机构认证机构认证机构概述认证机构概述 在电子商务交易中，无论是数字时间戳服务，在电子商务交易中，无论是数字时间戳服务，还是数字证书的发放，都不是靠交易的双方自己还是数

15、字证书的发放，都不是靠交易的双方自己来完成的，而需要有一个具有权威性和公正性的来完成的，而需要有一个具有权威性和公正性的第三方来完成。认证机构（第三方来完成。认证机构（CACA）就是承担安全电）就是承担安全电子交易认证服务、签发数字证书，并能确认用户子交易认证服务、签发数字证书，并能确认用户身份的服务机构。身份的服务机构。 CA: certification authorityCA: certification authority认证机构的定义认证机构的定义 认证机构就是用来解决公钥体系中公钥认证机构就是用来解决公钥体系中公钥的合法性检验问题，它是承担网上安全电子的合法性检验问题，它是承担网上

16、安全电子交易认证服务、能签发数字证书，并能确认交易认证服务、能签发数字证书，并能确认用户身份的服务机构。认证机构的主要任务，用户身份的服务机构。认证机构的主要任务，是受理数字证书的申请、签发数字证书，以是受理数字证书的申请、签发数字证书，以及对数字证书进行管理。及对数字证书进行管理。（1）为了将密钥组与用户联系起来。）为了将密钥组与用户联系起来。（2）用数字签名签署证书并作准确的时间纪录。）用数字签名签署证书并作准确的时间纪录。（3）证书可以向社会公布。）证书可以向社会公布。（4）证书的中止或撤销。）证书的中止或撤销。（5）认证机构承担的责任。）认证机构承担的责任。二、认证机构的认证业务问题二

17、、认证机构的认证业务问题认证机构的特点认证机构的特点 A A是独立的法律实体。是独立的法律实体。B B具有中立性与可靠性。具有中立性与可靠性。C. C. 被交易的当事人所接受。被交易的当事人所接受。D. D. 其营业之目的是提供公正的交易环境。其营业之目的是提供公正的交易环境。 2 2、2 2 认证机构的设立条件认证机构的设立条件 从事认证服务的机构应当具备下列条件：从事认证服务的机构应当具备下列条件：1 1依法成立的法人组织；依法成立的法人组织；2 2具有与认证服务相适应的专业技术人员具有与认证服务相适应的专业技术人员和管理人员；和管理人员；3 3具有与提供认证服务相适应的资金和经具有与提供

18、认证服务相适应的资金和经营场所，具备为用户提供认证服务和承担风险、营场所，具备为用户提供认证服务和承担风险、责任的能力；责任的能力； 4 4具有符合国家安全标准的技术、设备；具有符合国家安全标准的技术、设备；5 5法律、行政法规规定的其他条件。法律、行政法规规定的其他条件。认证机构的资格问题，实际上是认证机构的资格问题，实际上是一个行业准入条件问题。一个行业准入条件问题。自然人能否作为自然人能否作为认证机构？认证机构？认证机构的可信赖性认证机构的可信赖性 作为可靠的第三方，认证机构当然应具有作为可靠的第三方，认证机构当然应具有足够的可靠性。足够的可靠性。 认证机构必须遵循严格的程序、使用适当认

19、证机构必须遵循严格的程序、使用适当的技术，以确保合理程度的安全性与可靠性。的技术，以确保合理程度的安全性与可靠性。 为了定义上述要求，各国电子商务立法引为了定义上述要求，各国电子商务立法引入了可信赖系统这一概念。入了可信赖系统这一概念。 可信赖性系统，应当由计算机软硬件及相可信赖性系统，应当由计算机软硬件及相关程序构成，这些组件是足够的安全，可以防关程序构成，这些组件是足够的安全，可以防止外来的入侵以及滥用。止外来的入侵以及滥用。可信赖系统的含义可信赖系统的含义联合国贸法会联合国贸法会电子签名示范法电子签名示范法第第1010条对条对“可信赖性可信赖性”作了规定：在决定证明服务提供者作了规定：在

20、决定证明服务提供者使用的系统、步骤和人力资源是否具有可信赖性，使用的系统、步骤和人力资源是否具有可信赖性，及可信赖的程度时，下列因素应该予以考虑：及可信赖的程度时，下列因素应该予以考虑：可信赖系统的标准可信赖系统的标准（1 1）财力与人力资源，包括现有资产；）财力与人力资源，包括现有资产；（2 2）软件与硬件系统的质量；）软件与硬件系统的质量；（3 3）证书生成与申请的步骤以及相关记录的）证书生成与申请的步骤以及相关记录的保留；保留；（4 4）证书所证明的签名者及潜在的相对方的）证书所证明的签名者及潜在的相对方的有关信息的可获取性；有关信息的可获取性；（5 5）是否由独立的第三方进行审计以及审

21、计）是否由独立的第三方进行审计以及审计的程度；的程度；（6 6）规则采纳国已作出声明，存在一个鉴定）规则采纳国已作出声明，存在一个鉴定机构，或者鉴定机构所确认的证明服务提供者；机构，或者鉴定机构所确认的证明服务提供者；（7 7）任何其他相关因素。）任何其他相关因素。2、4 认证机构的责任认证机构的责任 认证机构的主要职责认证机构的主要职责可以借鉴国际组织和各国电子商务法中的相关可以借鉴国际组织和各国电子商务法中的相关规定，具体主要有：规定，具体主要有：（1 1）认证机构有责任使用可信赖的系统以行）认证机构有责任使用可信赖的系统以行使其职责，并披露相关信息，以确保认证机构的权使其职责，并披露相关

22、信息，以确保认证机构的权威性和公正性。威性和公正性。（2 2）认证机构应依照认证业务操作规范颁发）认证机构应依照认证业务操作规范颁发证书。证书。（3 3）认证机构有责任在收到申请人或其代表）认证机构有责任在收到申请人或其代表人的申请后暂停证书；同时，有责任在证书中存在人的申请后暂停证书；同时，有责任在证书中存在重要虚假陈述或认证机构的认证系统存在严重影响重要虚假陈述或认证机构的认证系统存在严重影响其可靠性或有证据证明签名者死亡或消失或不复存其可靠性或有证据证明签名者死亡或消失或不复存在等情况下撤销证书。在等情况下撤销证书。归责原则归责原则 主要包括认证机构有否制定完善的认证主要包括认证机构有否

23、制定完善的认证业务操作规范和内部管理制度、有否使用合业务操作规范和内部管理制度、有否使用合格的软硬件设备和从业人员、有否验证认证格的软硬件设备和从业人员、有否验证认证证书上记载信息的真实性等等。证书上记载信息的真实性等等。 认证机构只需证明自己的行为符合法律认证机构只需证明自己的行为符合法律法规的一系列要求，就可以认定为无过错而法规的一系列要求，就可以认定为无过错而不需承担损害赔偿责任，如果认证机构不能不需承担损害赔偿责任，如果认证机构不能作到这一点，就由认证机构承担损害赔偿责作到这一点，就由认证机构承担损害赔偿责任。任。认证机构的责任限制认证机构的责任限制 给予认证机构在民事赔偿方面以必要的

24、给予认证机构在民事赔偿方面以必要的责任限制。例如：一方面，如果认证机构对证责任限制。例如：一方面，如果认证机构对证书的签发有过错（如证书中存在某些错误陈述）书的签发有过错（如证书中存在某些错误陈述）且给当事人造成了损失，则认证机构的损失赔且给当事人造成了损失，则认证机构的损失赔偿额将以证书中载明的金额为限。偿额将以证书中载明的金额为限。 之所以给予认证机构以赔偿金额限制，之所以给予认证机构以赔偿金额限制，目的是使认证机构承担的风险不要过大。在电目的是使认证机构承担的风险不要过大。在电子商务的起步阶段，为扶植认证机构的发展而子商务的起步阶段，为扶植认证机构的发展而给予其某些特别保护，也无可厚非。

25、给予其某些特别保护，也无可厚非。丢失邮件，中国邮政仅赔偿丢失邮件，中国邮政仅赔偿2倍邮资？倍邮资？中国邮政中国邮政EMS尽管在国内快递市场仍属老尽管在国内快递市场仍属老大，但其市场份额已经从当初的大，但其市场份额已经从当初的97下降下降至不到至不到40。在最赚钱的国际快递业务上，敦豪速递在最赚钱的国际快递业务上，敦豪速递（DHL）、联邦快递（）、联邦快递（FedEx）和联合包）和联合包裹（裹（UPS）等巨头占据了）等巨头占据了60以上的市场以上的市场份额。中国邮政份额。中国邮政EMS的优势地位在外资巨的优势地位在外资巨头的冲击下正在丧失。头的冲击下正在丧失。 案例：数字证书在网上招标系统中的应

26、案例：数字证书在网上招标系统中的应用用网上招标网上招标是指在网上利用电子商务基础平台提供是指在网上利用电子商务基础平台提供的安全通道进行招标项目中各种信息的传递和处的安全通道进行招标项目中各种信息的传递和处理，包括招标信息的公布、标书的发放、应标书理，包括招标信息的公布、标书的发放、应标书的收集、投标结果的通知以及项目合同或协议的的收集、投标结果的通知以及项目合同或协议的签订等完整的过程。签订等完整的过程。网上招标网上招标有公开招标和邀请招标两种招标方式，有公开招标和邀请招标两种招标方式，对招标方提供发布招标公告、发布招标邀请、发对招标方提供发布招标公告、发布招标邀请、发布中标信息、电子标书管理、标箱管理等功能；布中标信息、电子标书管理、标箱管理等功能；对投标方提供招标信息查询、在线投标、在线购对投标方提供招标信息查询、在线投标、在线购买标书等功能。买标书等功