《电子商务法律法规》图文课件pp5

电子商务认证法律制度第一节电子认证概述2341第二节认证机构的设立于管理第三节认证机构的证书业务规范第四节认证机构在电子商务业务中的法律问题知识目标：

1.掌握电子认证概念、作用与分类；

2.掌握认证机构的设立、许可与管理；3.理解认证机构在证书颁发和管理中的职责;4.了解认证机构在电子商务业务中的法律问题。电子商务认证法律制度电子商务认证法律制度技能目标

1.掌握认证机构的设立与管理问题；2.理解认证机构与在线当事人之间的关。

“网络钓鱼”攻击是利用欺骗性的电子邮件和伪造的Web站点

来进行诈骗活动，诈骗者通常会将自己伪装成知名银行、在线零售

商和信用卡公司等可信的品牌，受骗者往往会泄露自己的财务数据，

如信用卡号、账户用户名、口令和社保编号等内容。

某网民在淘宝网上购买商品就遭遇了网络钓鱼，她联系店家时被旺旺提示“店家不在线，请和QQ×××××××联系”，当时不在意就加了这个QQ号码，询问后该QQ发来链接，其称没有淘宝旺旺，只能这么购买，网页和淘宝网的商品页面一模一样的，购买以后发现在“已买到的宝贝”一栏中没有显示该购买记录，询问店家后，其说是正常，会将货号发给她，但经与淘宝支付宝客服联系，发现之前链接的是一个淘宝钓鱼网站，该骗子用她的钱在另一个虚拟币网站购买该网站的游戏充值卡。

这类事件在网络上并不少见。2009年3月发布的《2009年中国网民网络信息安全状况系列报告》显示，去年超过九成网民遇到过网络钓鱼网站，电子邮件和即时通信是主要渠道，按8788万的活跃网购用户来计算，平均每人损失86.5元。引例网络钓鱼电子商务认证法律制度

瑞星2010年8月发布的《2010上半年互联网安全报告》显示，网络钓鱼

给社会带来的间接损失可能超过200亿元。2010年8月18日，根据360

安全中心监测数据，互联网每月新增钓鱼欺诈网站超过4万个。

据360安全中心分析，目前钓鱼网站主要分为三大类。第一类属于

虚假股票、彩票预测类钓鱼网站，很多不法分子利用网民股民“一夜暴富”的梦想，在网站推出股票黑马股、彩票预测号来骗取钱财；第二类属于虚假中奖类钓鱼欺诈，主要特征是以中奖为诱饵，欺骗网民填写银行账户等信息，如仿冒“非常6+1”节目中奖信息的网络诈骗事件；第三类是虚假购物类的电子商务网站，尤其以模仿淘宝、工行等在线支付网页居多，骗取网民银行卡信息或支付宝账户。

钓鱼网站使大批网民对互联网产生不信任心理，网络可信度低已经成为制约电子商务发展的重要原因。而且许多企业面对开放的网络也会经常遇到这样的困惑：网上交易时对方发出的信息是否真实可信？如何保护自己不掉入网络钓鱼计划的陷阱中？通过本章的学习，我们就可以找到解决此类问题的办法。

引例电子商务认证法律制度第一节电子认证概述一、电子认证的必要性（1）对外防止欺诈（2）

对内防止否认第一节电子认证概述 纯技术性手段无法保障电子交易安全

电子交易的安全性问题是阻碍电子商务发展的最大问题，因为电子商务是建立在技术性的网络系统基础上，故不少人认为，电子商务发展中出现的问题也只有技术的提高才能解决，即通过防火墙、加密技术、数字签名、身份认证等技术，来确保网上信息流的保密性、完整性和不可抵赖性。但是，就目前而言，技术的提高并没有解决电子商务的安全问题。应用比较广泛的由Netscape公司于1994年推出的安全套接层技术（securitysocketlayer，SSL）被用于NetscapeCommunicator和MicrosoftIE浏览器，主要用于保障安全交易协议，提供加密、认证服务和报文完整性，但按照这一技术，商家可以掌握客户的信用卡号，可见该技术存在明显的安全隐患，不能防止心术不正的商家的欺诈。1996年2月，由VISA与MasterCard两大信用卡国际组织联合IBM、Microsoft、GTE、Netscape、VeriSign等公司共同发起了保障在Internet上进行安全电子交易的协议（secureelectronictransaction，SET），它涵盖信用卡在电子商务交易中的交易协定、信息保密、资料完整及电子认证、电子签名等。这一标准被公认为全球网际网络的标准，但SET协议在实际应用中并不理想，SET的证书格式比较复杂，使用成本高，其支付方式和认证结构仅适用于卡支付，对其他支付方式有限制且SET协议并不能真正提供不可否认性，所以SET在一些发达国家的使用率并不高。实践证明，纯技术性的防范手段不能对各种恶意攻击和网络犯罪起永久性的制约作用。只有法律和技术的双管齐下，才能维护和保障电子商务的稳健发展。知识链接第一节电子认证概述二、电子认证的方法及分类（1）站点认证（2）数据通信认证（3）身份认证第一节电子认证概述

电子商务认证与公证服务有类似之

处，即两者都是向社会提供证明性的服务。

所不同的是：第一，从业务形式上讲，认证

服务是一种在线的信用信息服务，而传统的公证业务是基于纸面的证明活动；第二，就证明的效力来看，目前公证的证据效力要强于在线电子认证。一般而言，合法的公证文书，都被法院作为有效证据所直接采纳；而认证的效力，在现行的证据环境下，可能需要进行技术鉴定。值得注意的是，随着计算通信技术的广泛应用，两者将在不久的将来要相互渗诱，甚至相互融合。课外知识补充电子商务认证与公证服务

第二节认证机构的设立与管理一、认证机构的含义及特点

（2）认证机构应具有中立性与可靠性。（1）认证机构应是独立的法律实体。（3）认证机构应是非盈利性公用企业。第二节认证机构的设立与管理二、认证机构设立的条件及其许可（一）认证机构设立的条件人员要求1.设备要求2.资金要求3.营业场所的要求4.信息公告的要求5.第二节认证机构的设立与管理二、认证机构设立的条件及其许可（二）认证机构的申请与许可

申请人应当持电子认证许可证书依法向工商行政管理部门办理企业登记手续。取得认证资格的电子认证服务提供者，应当按照工业和信

息化部的规定在互联网上公布

其名称、许可证号等信息。第二节认证机构的设立与管理三、认证机构的管理（一）认证机构的管理模式1.2.3.政府主导型行业自律型政府监管与市场培育相结合第二节认证机构的设立与管理三、认证机构的管理（二）认证机构的监管办法1.制定认证机构规范2.对电子认证业务进行监督第三节认证机构的证书业务规范一、认证机构在证书颁发中的职责（一）认证证书概述

联合国国际贸易法委员会《电子签名统一规则（草案）》将认证证书定义为：认证机构颁发的数据电讯或其他记录，用来确认持有特定密钥的人或实体的身份或其他充足的特征。因此，认证证书又称数字证书（digitalcertificate，digitalID）或身份证书（identitycertificate），它是交易主体在互联网上的身份证，是交易主体收发数据电文

时采用证书机制保证安全所必须具备的证书。第三节认证机构的证书业务规范一、认证机构在证书颁发中的职责（二）认证机构在证书颁发中的义务（1）遵守国务院工业和信息化部的管理规则，依法申请并取得《电子认证服务许可证》，公开其名称、许可证号。（2）制定、公布符合国家有关规定的电子认证业务规则，并向国务院工业和信息化部备案。第三节认证机构的证书业务规范一、认证机构在证书颁发中的职责（3）以合法的手段，审查认证证书申请人的身份及相关情况。（4）保证签发的认证证书准确无误，并应当载明下列内容：电子认证服务提供者名称；数字证书持有人名称；数字证书序列号；数字证书有效期；数字证书持有人的电子签名验证数据；电子认证服务提供者的电子签名；国务院信息产业主管部门规定的其他内容。第三节认证机构的证书业务规范一、认证机构在证书颁发中的职责（5）保证认证证书内容在有效期内完整、准确，并保证依赖方能够证实或者了解认证证书所载内容及其他有关事项。（6）妥善保存与认证相关的信息，信息保存期限至少为电子签名认证数字证书失效后五年。第三节认证机构的证书业务规范一、认证机构在证书颁发中的职责（三）数字证书的颁发

认证机构最重要的任务就是颁发认证证书。用户要取得认证机构颁发的数字证书，首先须向认证机构提出申请，将用户的基本信息在认证机构进行登记。第三节认证机构的证书业务规范二、认证机构在证书管理中的职责

证书的保存与利用（一）（二）（三）（四）

证书的撤销证书的期限届满证书的中止第三节认证机构的证书业务规范三、认证机构的自身管理规则1.机构记录的披露3.2.认证机构的内部系统要求认证机构之危险活动的禁止第四节认证机构在电子商务业务中的法律问题一、电子认证法律关系（一）电子认证机构与证书用户之间的关系1.电子认证机构的权利和义务（1）要求申请者提供真实信息的权利。（2）向第三方了解有关登记人情况的权利。（3）单方撤销或终止证书的权利。（4）收取费用的权利。电子认证机构的权利:第四节认证机构在电子商务业务中的法律问题一、电子认证法律关系保证认证数据库的安全及正常运作。保密的义务。披露及告知的义务。在特定情形下，暂停或撤销证书。颁发证书并保证认证证书的真实有效性。12345电子认证机构的义务：第四节认证机构在电子商务业务中的法律问题一、电子认证法律关系2.证书用户的权利与义务权利

包括：当用户提供了符合要求的信息资料并缴纳费用后，有权取得有效的、具有所需功能的数字证书；当用户持有的私人密钥受到威胁或遭遇其他危险时，可采取申请暂时中止证书的方式以控制风险；当用户的个人资信发生变化或证书所载的其他事项发生变化时，可以要求变更证书；当证书有效期还未届满，但用户有充分、正当理由的情况下，有权撤销证书。

第四节认证机构在电子商务业务中的法律问题一、电子认证法律关系义务

包括：就请求发放证书时提交的有关重要信息的真实性负担义务、缴纳费用的义务、妥善保管私钥的义务、及时通知的义务等。第四节认证机构在电子商务业务中的法律问题一、电子认证法律关系（二）电子认证机构与证书信赖人之间的关系1.认证机构的义务

（1）

提供认证机构的证书，使证书信赖者可以可信的方式取得该认证机构的信息，从而信赖该认证机构发放的证书及证书用户的数字签名。

（2）

保证系统的正常运作，以使信赖者通过正常程序可获得信息。第四节认证机构在电子商务业务中的法律问题一、电子认证法律关系

（3）

认证机构拟暂停或者终止电子认证服务的，应当通知有关各方，向主管部门报告，并与其他认证机构就业务承接进行协商，作出妥善安排。第四节认证机构在电子商务业务中的法律问题一、电子认证法律关系2.证书信赖者的义务

（1）

提供认证机构的证书，使证书信赖者可以可信的方式取得该认证机构的信息，从而信赖该认证机构发放的证书及证书用户的数字签名。

（2）

证书信赖人对于交易相对人电子签名证书的使用，一般应在所建议的可靠程度内给予信任，并以此进行交易。但这只是一种任意选择权，作为证书信赖人的交易一方，可做出自己的判断，并承担相应的法律后果。第四节认证机构在电子商务业务中的法律问题二、电子认证机构的民事法律责任（一）电子认证机构承担民事责任种类及归责原则1. 违约责任2.侵权责任第四节认证机构在电子商务业务中的法律问题 认证机构承担责任的条件

归责原则决定了违约责任的构成要件。认证机构承担责任的条件应包括四个方面：

(1)认证机构未履行合同或履行不符合法定或约定的条件；

(2)认证机构主观上有过错，这种过错包括故意和过失两种，即无论认证机构对此违约行为是有意去做的、或是疏忽大意未能预见或已经预见而没有采取必要措施，均应承担违约责任；

(3)有损害事实的存在；

(4)不履行合同的行为与损害事实间有因果关系，即二者之间存在必然的联系。而且这种因果联系应是客观的，不能凭主观感觉臆断。在认证活动中，认证机构的违约行为造成的危害一般表现为间接损失，所以，证明二者之间的因果关系尤为重要。知识链接第四节认证机构在电子商务业务中的法律问题二、电子认证机构的民事法律责任（二）电子认证机构的责任限制

电子商务的有效运作离不开认证机构，在电子商务中，认证机构的地位非常重要，没有认证机构，电子商务交

易的安全性就无法得到保障。认证业务是一个高风险的领域，认证机构违反其法定义务时，必须承担一定的责任。

第四节认证机构在电子商务业务中的法律问题

每一电子认证机构都将证书分为不同的等级，每一等级适用于不同的签发目的。如美国的

Verisign公司建立了三种用户等级，对于第一等级的证书，用户只能依赖它做网页浏览和个人电子邮件，对用户而言，其使用只是稍微增加了安全程度；第二等级的证书可用于小额、小风险的交易及在线订购服务等；第三等级证书则用于电子银行、电子数据交换、软件确认及基于会员的在线服务。每个等级的赔偿金额也不同，第一等级数字证书赔偿金100美元，第二级数字证书5000美元，第三级数字证书10万美元。信赖人应按不同等级证书的签发目的从事相应的活动，否则认证机构对信赖人因此而遭受的损失不负赔偿责任。赔偿责任限制有利于认证机构对从业风险的规避，促进认证业务的发展。知识补充Verisign公司用户