第五节-电子认证法律制度

1、word可编辑第五章 电子认证法律制度第一节 电子认证概述一、 电子认证的概念与类型（一） 认证与电子认证1、 认证2、 电子认证（二） 按计算机已有的认证功能及其认证的对象来分，电子认证主要有以下几种类型：1、 站点认证2、 数据电文认证3、 电讯源的认证4、 身份认证二、 电子签名的认证电子认证的具体操作程序为：1发件人利用密钥制造系统产生公用密钥和私人密钥。2发件人在做电子签名前，必须将他的身份信息和公用密钥送给一个经合法注册，具有从事电子认证效劳许可证的第三方，也就是CA认证中心，向该认证中心申请登记并由其签发认证证书。3认证机构根据有关的法律规定和认证规那么以及自己和当事人之间的约定

2、，对申请进行审查。如果符合要求，就发给发件人一个认证证书，证明发件人的身份、他的公开密钥以及其他有关的信息。4发件人对其要约信息以其私人密钥制作数字签名文件，连同认证证书一并送给收件方，向对方发出要约。5收件方接到电子签名文件和认证证书之后，根据认证证书的内容，向相应的认证机构提出申请，请求认证机构将对方的公开密钥发给自己。6收件人通过公用密钥和电子签名的验证，即可确信电子签名文件的真实性和可靠性。假设认证机构有“认证废止目录，那么可以查询目录以了解该认证证书是否依然有效；收件人承诺，那么电子合同成立。由此可见，在电子文件环境中，CA认证中心起到了一个行使具有权威性、公证性的第三人的作用。三、

3、 认证机构CA与公开密钥体系PKI体系（一） 认证机构认证机构Certification Authority。简称CA认证机构，或CA认证中心是指在电子合同中对用户的电子签名颁发数字证书的机构，它已经成为开放性电子商务活动中不可缺少的信用效劳机构。联合国贸易法委员会在其 电子签名统一规那么草案 第1条第4款中规定：“认证机构，是指从事颁发为数字签名的目的而使用的加密密钥相关的身份证书的任何人或实体。该定义受任何要求认证机构须取得许可、或认可或以一定的方式进行营业的有效法的限制。美国 统一电子交易法草案第2条规定：“认证机构，是指任何在其业务中从事公布用于数字签名的密钥身份证书的人或实体。可见，

4、大体而言是指签发认证证书的自然人或法人。作为认证机构，都应当具备一定条件：首先，它必须是独立的法律实体。能够以自己的名义从事数字证书效劳。并且能够以自己的财产提供担保，能在法律规定的范围内自己承当相应的民事责任。其次，它必须保持中立并具有可靠性。再次，它必须能够被当事人接受。最后，它不得以营利为目的。（二） PKI体系完整的PKI系统包括1、 认证机构2、 数字证书库3、 密钥备份及恢复系统4、 证书作废系统5、 应用接口（三） 认证机构的主要职责可简单归结为颁发、更新、查询、作废、归档等五项功能四、 电子认证机构的效劳内容1、 制作、签发、管理电子签名认证证书2、 确认签发的电子签名认证证书

5、的真实性3、 提供电子签名认证证书目录信息查询效劳4、 提供电子签名认证证书状态信息查询效劳第二节 认证机构的设立与管理标准一、 认证机构的设立与监管模式电子认证效劳的监管模式有1、 强制性许可制度2、 非强制性许可制度3、 行业自律我国 电子签名法 规定了采用强制性许可制度，并对电子认证效劳应当具备的条件做出了规定。二、 电子认证机构的设立原那么与条件（一） 我国电子认证机构按经营的范围分为行业性和地域性两种；按运营模式来分有商业性和非商业性两种。目前电子商务认证机构存在的主要问题有以下几个方面：1、 建设过热，有一定的盲目性，造成重复建设和资源浪费；2、 对电子商务认证机构的作用认识缺乏；

6、3、 低估认证机构运行的难度，缺乏必要的规章制度；4、 认证机构对自身的平安性认识不够，对承当风险认识缺乏；5、 法律法规、行业标准亟待健全。（二） 电子认证机构的设立应遵守以下原那么1、 权威性原那么2、 真实性原那么3、 保密性原那么4、 迅捷性原那么5、 经济性原那么（三） 电子认证的业务经营应实行许可制度我国 电子签名法 第十八条规定，“从事电子认证效劳，应当向国务院信息产业主管部门提出申请，并提交符合本法第十七条规定条件的相关材料。国务院信息产业主管部门接到申请后经依法审查，征求国务院商务主管部门等有关部门的意见后，自接到申请之日起四十五日内作出许可或者不予许可的决定。予以许可的，颁

7、发电子认证许可证书；不予许可的，应当书面通知申请人并告知理由。 电子认证效劳管理方法 第六条规定，“申请电子认证效劳许可的，应当向工业和信息化部提交以下材料：“一书面申请。“二人员证明。“三资金证明经依法审计的近三年的财务会计报告，新成立公司的验资报告。“四经营场所证明。“五国家有关认证检测机构出具的技术、设备、物理环境符合国家有关平安标准的凭证。“六国家密码管理机构同意使用密码的证明文件。我国 电子签名法 第十七条对提供电子认证效劳应当具备的条件做出了如下的规定：“一具有与提供电子认证效劳相适应的专业技术人员和管理人员； “二具有与提供电子认证效劳相适应的资金和经营场所； “三具有符合国家平

8、安标准的技术和设备； “四具有国家密码管理机构同意使用密码的证明文件； “五法律、行政法规规定的其他条件。三、 交叉认证的标准电子商务的活动常常是跨越国境的，各个参与方就需要有不同国家的认证机构对各自的身份进行认证，并向电子商务活动的相对方发放认证证书。这就需要各国相互成认对方国家认证机构发放的认证证书的效力。实践中有两种解决方法：1在本国有关电子签名的法律法规中明确规定他国或地区的认证机构发放的认证证书的效力。如加拿大和美国某些州之间就通过法律规定互相成认所发放的认证证书的效力；某些欧洲国家的电子签名法也规定，其他欧盟成员国国内认证机构发放的认证证书同本国认证机构发放的认证证书具有同等的效力

9、。2通过签订国际条约或双边协定来相互成认对方国家国内认证机构发放的认证证书的效力。因此，有关电子签名以及电子签名认证的法律业已成为国际法的重要组成局部。我国 电子签名法 第二十六条规定，“经国务院信息产业主管部门根据有关协议或者对等原那么核准后，中华人民共和国境外的电子认证效劳提供者在境外签发的电子签名认证证书与依照本法设立的电子认证效劳提供者签发的电子签名认证证书具有同等的法律效力。第三节 认证机构的证书业务标准一、 数字证书的颁发与公布电子认证证书，是网络通讯中标志通讯各方身份信息的一系列数据，它提供了一种在因特网交易中验证当事人身份的方式。认证证书，又称数字证书Digital Certi

10、ficate，Digital ID，是用电子手段证实用户的身份及其对网络资源的访问权限的特定化信息。在网上电子交易中，如果一方向交易对方提交一个由认证机构签发的证书，能使对方了解自己的身份状况，增强对方的信任度；如果双方出示了各自的数字证书，并用它们进行交易操作，那么，一般情况下，双方就可以不必再为对方身份的真实性而担忧。数字证书的根底是公开密钥体系。我国 电子签名法 第二十一条规定，“电子认证效劳提供者签发的电子签名认证证书应当准确无误，并应当载明以下内容：“一电子认证效劳提供者名称； “二证书持有人名称； “三证书序列号； “四证书有效期； “五证书持有人的电子签名验证数据； “六电子认证

11、效劳提供者的电子签名； “七国务院信息产业主管部门规定的其他内容。二、电子证书的中止、撤销与终止1、电子证书的中止现将美国犹他州的 数字签字法 和马来西亚的 1997年数字签字法 的相关规定介绍如下：美国犹他州的 数字签字法 ，对证书中止情况作了较为详细的规定。主要有：1认证机构收到证书上载明的用户或用户的代理人、利害关系人的请求；2认证机构收到主管部门的命令；3认证机构也可以同用户约定中止的情形。马来西亚的 1997年数字签字法 关于证书中止的规定如下：1证书所载用户的请求，或者其他可能知悉该证书的私钥可能受损；2主管部门认为证书发放时，存在违法或者可能危及证书的信赖人利益而命令中止。2、电

12、子证书的撤销电子证书的撤销，是电子证书在其有效期内，由于出现证书被盗、私钥泄漏、用户名称变更、用户死亡等特殊情况时，认证机构将证书撤销的行为。认证机构在接到电子证书撤销的申请后或认为应当撤销时，应迅速完成证书的撤销。电子证书的撤销必须根据证书政策及其实施说明中具体规定的撤销程序撤销证书。美国犹他州的 数字签字法 规定了以下几种情况：1证书持有人请求撤销；2用户死亡；3认证机构确定其发放的证书不可靠。新加坡的 电子交易法 规定：1收到并证实证书持有人的申请；2收到并证实证书持有人已死亡；3证书持有人解散或不存在。马来西亚的 1997年数字签字法 规定：1认证机构发现该证书的发放不符合法定条件；2

13、认证机构的监控机构发现证书的发放不符合法定条件，可以要求认证机构撤销；3认证机构发放证书而用户没有接受；4证书持有人申请撤销；5证书持有人死亡；6可靠证书的撤销。我国认证机构对证书撤销的规定 电子认证效劳管理方法 第二十九条：“有以下情况之一的，电子认证效劳机构可以撤销其签发的电子签名认证证书：“一证书持有人申请撤销证书。“二证书持有人提供的信息不真实。“三证书持有人没有履行双方合同规定的义务。“四证书的平安性不能得到保证。“五法律、行政法规规定的其他情况。“从各国相关规定可以看出，数字证书撤销的事由主要有：1证书关系主体资格方面，如认证机构解散、证书持有人死亡或解散；2证书记载方面，如记载反

14、映的情况已经发生变化而未作变更；3证书技术根底发生变化，如认证机构或用户的私钥泄密、新密钥代替原密钥等；4有关主体的行为，如用户请求撤销、认证机构或用户违反业务说明等；5有关主管机构的命令等。3、电子证书的终止电子证书的终止，是指证书在期限届满或政策规定的情形出现时失去法律效力的情形。电子证书的终止意味着，认证法律关系的终结。就证书终止的法律后果来看，一方面，解除了认证机构因颁发证书而产生的一系列义务；另一方面，解除了证书持有人即用户的义务。作为企业，对电子认证的管理当然也要依据对企业加以规制的法律规定。比方，我国的 企业法人登记管理条例 第29条规定：登记主管机关对企业法人依法履行以下监督管

15、理职责：1监督企业法人按照规定开业、变更、注销登记；2监督企业法人按照登记注册事项和章程、合同从事经营活动；3监督企业法人和法定代表人遵守国家法律法规；4制止和查处企业法人的违法经营活动，保护企业法人的合法权益。第30条规定：企业法人有以下情形之一的，登记主管机关可以根据情况分别给予警告、罚款、没收非法所得、停业整顿、扣缴、撤消 企业法人营业执照 的处分：1登记中隐瞒真实情况弄虚作假或者未经核准登记注册擅自开业的；2擅自改变主要登记事项或者超出核准登记的经营范围从事经营活动；3不按照规定办理注销登记或者不按照规定报送年检报告，办理年检的；4伪造、涂改、出租、出借、转让、出卖或擅自复印 企业法人

16、营业执照 、 企业法人营业执照 副本的；5抽逃、转移资金、隐匿财产逃避债务的；6从事非法经营活动的。按照上述规定对企业法人进行处分时，应当根据违法行为追究法定代表人的行政责任、经济责任；触犯刑律的，由司法机关依法追究刑事责任。二、 证书拥有人的义务1、真实陈述的义务如我国的 广东省电子交易条例 第32条规定：用户申领数字证书时，提供虚假信息的，由有关行政管理部门依法追究其法律责任。2、妥善保管私人密钥和证书的义务如我国的 广东省电子交易条例 第22条规定：数字证书用户在申领证书时，必须提供真实、完整和准确的身份信息及相关资料。数字证书用户应当妥善保管自己的证书私钥，并且遵守认证机构制订的认证业

17、务操作标准和数字证书管理制度。3、对颁发证书的检验义务认证机构颁发证书时，用户有义务检验证书中所描述信息的准确性。4、正确使用证书的义务不得利用证书从事任何非法的行为。5、及时通知义务在发生私钥泄漏或其他有可能影响到电子签名真实性的事件时，证书持有人应该及时通知认证机构，以便认证机构及时采取措施，减少损失。我国 电子签名法 第二十七条规定，“电子签名人知悉电子签名制作数据已经失密或者可能已经失密未及时告知有关各方、并终止使用电子签名制作数据，未向电子认证效劳提供者提供真实、完整和准确的信息，或者有其他过错，给电子签名依赖方、电子认证效劳提供者造成损失的，承当赔偿责任。6、交纳费用的义务三、 信

18、赖方的义务1、遵守认证机构的要求，采取合理的步骤确认签名的真实性。2、遵守任何有关证书的限制，在证书所载的可信赖度以内从事交易，把证书用于规定的用途。第四节 认证机构的法律责任一、 认证机构与在线当事人之间的法律关系1、 认证机构与证书用户之间的关系2、 认证机构与信赖方之间的关系二、 认证机构在认证法律关系中的义务1、 审查义务我国 电子签名法 第二十条规定，“电子签名人向电子认证效劳提供者申请电子签名认证证书，应当提供真实、完整和准确的信息。电子认证效劳提供者收到电子签名认证证书申请后，应当对申请人的身份进行查验，并对有关材料进行审查。2、 提供的证书信息真实、准确、完整的义务；我国 电子

19、签名法 第二十条规定，“电子签名人向电子认证效劳提供者申请电子签名认证证书，应当提供真实、完整和准确的信息。电子认证效劳提供者收到电子签名认证证书申请后，应当对申请人的身份进行查验，并对有关材料进行审查。第二十一条规定，“电子认证效劳提供者签发的电子签名认证证书应当准确无误，并应当载明以下内容：“一电子认证效劳提供者名称； “二证书持有人名称； “三证书序列号； “四证书有效期； “五证书持有人的电子签名验证数据； “六电子认证效劳提供者的电子签名； “七国务院信息产业主管部门规定的其他内容。“3、 正确及时发放的义务；我国 电子签名法 第二十二条规定，“电子认证效劳提供者应当保证电子签名认证

20、证书内容在有效期内完整、准确，并保证电子签名依赖方能够证实或者了解电子签名认证证书所载内容及其他有关事项。4、 平安保密义务；我国 电子签名法 第十九条规定，“电子认证业务规那么应当包括责任范围、作业操作标准、信息平安保障措施等事项。我国 电子认证效劳管理方法 第二十条规定，“电子认证效劳机构应当遵守国家的保密规定，建立完善的保密制度。电子认证效劳机构对电子签名人和电子签名依赖方的资料，负有保密的义务。我国 电子签名法 第二十四条规定，“电子认证效劳提供者应当妥善保存与认证相关的信息，信息保存期限至少为电子签名认证证书失效后五年。5、 业务规那么说明和告之义务；我国 电子签名法 第十九条规定，

21、“电子认证效劳提供者应当制定、公布符合国家有关规定的电子认证业务规那么，并向国务院信息产业主管部门备案。电子认证业务规那么应当包括责任范围、作业操作标准、信息平安保障措施等事项。第二十二条还规定，“电子认证效劳提供者应当保证电子签名认证证书内容在有效期内完整、准确，并保证电子签名依赖方能够证实或者了解电子签名认证证书所载内容及其他有关事项。6、 及时处理业务义务。我国 电子签名法 第二十三条规定，“电子认证效劳提供者拟暂停或者终止电子认证效劳的，应当在暂停或者终止效劳九十日前，就业务承接及其他有关事项通知有关各方。 “电子认证效劳提供者拟暂停或者终止电子认证效劳的，应当在暂停或者终止效劳六十日前向国务院信息产业主管部门报告，并与其他电子认证效劳提供者就业务承接进行协商，作出妥善安排。 “电子认证效劳提供者未能就业务承接事项与其他电子认证效劳提供者达成协议的，应当申请国务院信息产业主管部门安排其他电子