电子商务法(第二版)教学课件第02编本论第06章 电子认证法律制度

电子商务法

（第二版）第六章电子认证法律制度第一节电子认证概述一、电子认证的概念

一）电子认证问题的提出

电子签名的基本功能是将电子文件与其签署人紧密地联系在一起，较好地解决了身份辨别及文件归属问题，但是它并没有在陌生的商事主体之间建立起交易所需的起码的信用度。问题的解决方案是通过一个或几个值得信赖的第三方将被认定的签名或签名者的姓名与特定的公共密码联系起来。可信赖的第三方一般被称作为“认证机构”，在许多国家里，这样的认证机构按不同的层次构建起来，常被称作是公钥基础设施.第一节电子认证概述二）电子认证的含义一般而言，认证指的是对人或者物的真实性、完整性进行甄别、鉴定、确认的行为。

本书所讲的认证，是指特定认证机构对电子签名及其签署者的真实性所做的认证。第一节电子认证概述2、防止否认功能

不得否认原理是诚实信用原则在电子交易领域中的具体体现。该原理要求行为人在进行民事交往活动时，一方面应动机纯正，没有损人利己的不当或不法的主观态度，另一方面，在为某种行为时，应符合道德惯例。因此，从这一角度看来，不得否认是诚实信用的基本要求，是实现交易安全问题的基本手段之一。

电子认证的最终目的就是为了在电子商务交易的当事人之间发生纠纷的情况下，提供有效的认证解决方法。信息发送人难以否认电子认证程序与规则，而信息接受人不能否认其已经接受到信息，这就为交易当事人提供了大量的预防性的保护，避免一方当事人试图抵赖曾发送或收到某一数据信息而欺骗另一方当事人的行为发生。

三、电子认证的立法状况

目前，有关电子认证的立法虽有不少，但直接冠以“认证”名称的并不多见，大部分是在电子签名法或数字签名法中给予规定。

为了规范电子认证服务，对电子认证提供者实施监督管理，我国《电子签名法》对电子认证作为专门规定。《电子认证服务管理办法》从以下几方面对电子谁服务作了规定：电子认证服务机构的设立条件和设立程序、电子认证服务提供者的服务和应履行的义务、电子认证服务的暂停和终止、电子签名认证证书的内容和管理、监督管理等

第二节电子认证机构法律规范一、电子认证机构概述

一）电子认证机构的概念

联合国:认证机构，是指任何人或实体，在其营业中从事以数字签名为目的，而颁发与加密密钥相关的身份证书。

我国：是指为需要第三方认证的电子签名提供谁服务的机构

本书：专指电子商务中对用户的电子签名颁发数字证书的机构，是受一个或多个用户信任、提供用户身份验证服务的第三方机构二）认证机构的特点

1．认证机构必须是一个独立的法律实体。

认证机构以自己的名义从事数字证书服务，以其自有财产提供担保，并承担一定的责任。这就需要法律对认证机构的法律地位作出明确的规定。

2．认证机构还必须是中立性的。

认证机构一般并不直接与用户进行商事交易，而是在其交易中，以受信赖的中立机构的身份，提供信用服务。它不代表交易任何一方的利益，仅发布公正的交易信息促成交易。因此，中立性，是其参与并促成与电子商务交易的重要保证。3.认证机构必须是当事人依赖的第三方二、电子认证机构的设立

一）电子认证机构的设立模式

1、政府机构管理型。政府机构管理型即以法律授权政府相关的机构对认证机构进行管理，颁发许可证。这种模式过于倚重政府的力量，可能会造成政府权力过分扩张的危险，这不符合私法的精神。

三）电子认证机构的设立程序

电子认证机构从事相关业务，需要经过国家主管部门的许可，经过一系列的审批、登记程序后，方可从事相关活动。1、申请2、审批、发证3、登记4、公布信息四、电子认证机构的可信赖性

（二）可信赖系统的标准

联合国贸法会《电子签名示范法》第10条对“可信赖性”作了规定：在决定证明服务提供者使用的系统、步骤和人力资源是否具有可信赖性，及可信赖的程度时，下列因素应该予以考虑：

（1）财力与人力资源，包括现有资产；

（2）软件与硬件系统的质量；

（3）证书生成与申请的步骤以及相关记录的保留；

（4）证书所证明的签名者及潜在的相对方的有关信息的可获取性；

（5）是否由独立的第三方进行审计以及审计的程度；

（6）规则采纳国已作出声明，存在一个鉴定机构，或者鉴定机构所确认的证明服务提供者；

（7）任何其他相关因素。

五、电子认证机构的退出机制

我国《电子签名法》和《电子认证机构服务管理办法》规定认证机构的退出机制：

1、向主管部门报告并办理相关注销手续

2、通知各方

3、业务的承接

六、电子认证机构的责任

（一）认证机构的主要职责可以借鉴国际组织和各国电子商务法中的相关规定，具体主要有：（1）认证机构有责任使用可信赖的系统以行使其职责，并披露相关信息，以确保认证机构的权威性和公正性。（2）认证机构应依照认证业务操作规范颁发证书。（3）认证机构有责任在收到申请人或其代表人的申请后暂停证书；同时，有责任在证书中存在重要虚假陈述或认证机构的认证系统存在严重影响其可靠性或有证据证明签名者死亡或消失或不复存在等情况下撤销证书。六、电子认证机构的责任

（二）归责原则一般认为，认证机构应该适用过错责任原则。若损害是由于当事人自己的行为所引起的，比如证书用户的个人密钥丢失没有及时通知认证机构引起的损失、用户提供的证书信息虚假问题出现的损失、用户非法使用证书产生的损失等等，则由参与电子商务活动的各方当事人对其责任范围内发生的各项损害承担赔偿责任。或者，若认证机构证明自己已经尽到了合理谨慎注意的义务，则认证机构不承担责任。六、电子认证机构的责任

（二）归责原则对于判断合理谨慎注意的标准，主要包括认证机构有否制定完善的认证业务操作规范和内部管理制度、有否使用合格的软硬件设备和从业人员、有否验证认证证书上记载信息的真实性等等，认证机构只需证明自己的行为符合法律法规的一系列要求，就可以认定为无过错而不需承担损害赔偿责任，如果认证机构不能作到这一点，就由认证机构承担损害赔偿责任。因此，按此方法可以较合理地调整认证机构所承担的责任。六、电子认证机构的责任

（三）电子认证机构的责任限制

认证机构的责任限制是指给予认证机构在民事赔偿方面以必要的责任限制。给予认证机构在民事赔偿方面以必要的责任限制。例如：一方面，如果认证机构对证书的签发有过错（如证书中存在某些错误陈述）且给当事人造成了损失，则认证机构的损失赔偿额将以证书中载明的金额为限。六、电子认证机构的责任

（三）电子认证机构的责任限制之所以给予认证机构以赔偿金额限制，目的是使认证机构承担的风险相当于银行发行自动柜员机卡或信用卡所承担的风险而不是更大。在电子商务的起步阶段，为扶植认证机构的发展而给予其某些特别保护，也无可厚非。另一方面，在认证机构签发给当事人的证书被盗并被他人用以欺诈的情况下，如果欺诈是在当事人将证书被盗的情形通知认证机构之前发生的，则认证机构对当事人因欺诈而导致的损失不负责任。第三节电子认证证书业务规范一、电子认证证书的概念

（一）认证证书的含义

认证证书，又称数字证书，是认证机构颁发的数据电讯或其他记录，是用来确认持有特定密钥的人或实体的身份（或其他充足的特征）。

我国《电子签名法》中的电子签名认证证书：是指可证实电子签名人与电子签名制作数据有联系的数据电文或者其他电子记录一、电子认证证书的概念

（一）认证证书的含义

认证证书体系的最大特征在于：认证证书的传递，可以通过提供保密性、真实性与完整性的安全服务的通讯方式来进行，它不同与传统的方式。对于公钥密码来说，保密是没有意义的。因此，一般说来，认证证书是不需要保密的。而且，认证证书也不需要真实性识别及整体性检验，因为，认证机构的数字签名，本身就能提供来源实性鉴别及整体性检验。假如某入侵者在认证证书发布的途中，对该证书的内容进行篡改，公钥的使用者在校验认证机构的数字签名时，即可察觉该内容的篡改。因此，公钥密码证书，甚至可以通过非保密渠道进行传送，而不会遭受破坏。一、电子认证证书的概念

（二）X.509格式证书

目前最为广泛使用的公钥密码认证证书格式，是由ISO/IEC/ITUX.509标准中定义的格式。X.509采用一个认证机构（CA）对实体的身份和公共密钥进行认证，并对包括实体、公钥、名字、有效期等信息的证书进行数字签名。一、电子认证证书的申领

（一）证书申请

在认证机构向用户颁发证书之前，用户须向认证机构进行登记，该登记一般是通过填写提交证书申请表来完成的。登记涉及用户与认证机构之间的关系的确立，并将用户的基本信息在认证机构进行登载。

对于证书的发放，可以进行更新申请，或撤销后再申请。而对于申请来说，用户可以撤销证书发放的申请，认证机构可以明确撤销认证请求的条件，以及其处理撤消请求的程序等。

二、电子认证证书的申领

（二）证书的颁发

在颁发认证证书之前，认证机构应当查清持有与证书中登载的公钥密码相对的私人密码的持有人、设施或实体的身份情况。一般说来，认证机构或其所委托的其他实体，必须对申请人或设施或实体的显著特征进行辨认识别。

认证机构只有在符合所有规定条件时，才可向用户颁发证书。二、电子认证证书的申领

（二）证书的颁发

《电子认证服务管理方法》第30条就认证机构查验申请人的情况作了具体规定：有下情况之一，应对相关材料进行审查：1、申请人申请电子签名认证证书；2、证书持有人申请更新证书；3、证书持有人申请撤销证书二、电子认证证书的申领

（三）证书的接受

接受证书是指证书申请人了解证书的内容后，同意使用证书的行为。当证书用户接受证书以后，认证机构应及时将此情形予以公布。通过公布认证证书的方式，实际上是向外界表明，用户已经接受证书这一事实。三、电子认证证书的管理

（一）证书的中止

中止证书，即是使某一证书停止继续产生效力，但并非永久性地撤销该证书，而只是临时地使之在某段时间内不具有有效性。由于使认证证书停止生效，对于任何信赖证书内容的相对方说来，会产生不利影响。因此，它只是在特殊情形下使用的特别措施。

三、电子认证证书的管理

（二）证书的撤销

当证书签发以后，一般说来，期望在整个有效期内都有效。但是，在有些情况下，用户必须在有效期届满之前，停止对证书的信赖。这些情况包括，用户的身份变化，用户的密钥遭到破坏，或非法使用等情况，此时，认证机构就应撤销原有的证书。由于存在证书撤销的可能，因此，证书的应用期限，通常比预计的有效期限短。

证书的撤销是由认证机构决定的。但在通常情况下，认证机构是以申请人的申请为前提的。

三、电子认证证书的管理

（二）证书的撤销

《电子认证服务管理方法》第29条对撤销证书的条件作了详细规定：1、证书持有人申请撤销证书；2、证书持有人提供的信息不真实；3、证书持有人没有履行双方合同的义务4、证书的安全性不能得到保证5、法律、行政法规规定的其他情况三、电子认证证书的管理

（二）证书的撤销

认证证书的撤销，只能由相关人员提出申请：1、用其名称签名证书的用户；2、以一项涉及应用系统的名义提出认证申请的个人或组织3、出资者；4、签发认证证书的认证机构的工作人员；5、为签发认证证书的认证机构的登记的工作人员。三、电子认证证书的管理

（四）证书的保存

认证机构必须有证据证明，自己按要求完成了适当的业务行为，并且，能在事后对依据其证书所从事的交易，提供不得否认的支持。因此，认证机构应当披露其所保存的关于其服务的各种重要记录。第四节电子认证法律关系当事人及其行为规范一、认证法律关系各方当事人

电子认证法律关系一般涉及三方当事人：认证机构、证书持有人（或称证书用户）和证书信赖人。

（一）证书持有人（证书用户）与证书信赖人之间的法律关系

证书持有人（证书用户）与证书信赖人，就是电子商务交易的双方当事人。在电子商务交易中，他们之间的关系一般为合同关系。一、认证法律关系各方当事人

（二）认证机构与证书持有人（证书用户）之间的法律关系

在认证与其用户之间主要存在两种法律关系：1、在封闭的环境中，认证机构与其用户都是某一法律实体，或是某一非正式联合体的一部分。2、在开放的环境中，对于其用户而言，认证机构是一个独立的法律实体。在这种情况下，认证机构常常被称为第三方认证机构。

上述两种分类，并非适用于一切情形。一、认证法律关系各方当事人

（二）认证机构与证书持有人（证书用户）之间的法律关系

就认证机构与其用户之间的关系而言，一般主张其间合同关系，即认证机构与用户签订提供认证服务的合同，认证机构依约就用户的公钥密码的真实性具认证证书，而该用户则依约定向认证机构支付合同费用。（三）电子认证机构与证书信赖人之间的法律关系

这里的证书依赖人，是指相信电子签名证书，并以该证书上所确定的证书拥有人为交易对方而进行交易的当事人。

证书信赖人本身可能是，也可能不是认证机构的用户，他与认证机构的关系，要比认证机构之间的关系更复杂。（三）电子认证机构与证书信赖人之间的法律关系

在开放网络环境中，电子认证机构与证书信赖人之间的关系呈现出多种形态，具体情况要以电子商务交易当事人与认证机构的关系而定，大致有以下几种。1、社区认证服务型

社区认证服务型，指的是交易双方当事人均为某认证机构的证书用户。（三）电子认证机构与证书信赖人之间的法律关系

2、单方证书用户型当交易一方是认证机构的证书用户，而另一方不是认证机构的证书用户时，这就是所说的“单方用户型认证关系”。（三）电子认证机构与证书信赖人之间的法律关系

3、交叉认证关系

实践中还有一种情况，即虽然交易双方都是认证机构的证书用户，但其证书是由不同的认证机构分别颁发的。这种关系更为复杂，它涉及认证机构的外部结构，需要由国际之间的，或认证机构之间的协议予以协议（三）电子认证机构与证书信赖人之间的法律关系

4、混合认证关系

是指认证机构是主营其他服务的，而认证服务只是其衍生业务二、当事人各方的行为规范

（一）认证机构的义务

1、担保义务

根据我国《电子认证服务管理办法》第18条规定，应当履行下列义务：1）保证电子签名认证证书内容在有效期内完整、准确；2）保证电子签名依赖方能够证实或者了解电子签名认证证书所载内容及其他有关事项；3）妥善保存与电子认证服务相关的信息。

（一）电子认证机构的义务

2、完善内部管理和审计的义务

根据我国《电子认证服务管理办法》第19条规定，电子认证机构应当建立完善的安全管理和内部审计制度。

（一）电子认证机构的义务

3、保密义务

根据我国《电子认证服务管理办法》第20条规定，电子谁机构的保密义务分为两个方面：1）保守国家秘密的义务2）保守当事人信息秘密的义务

（一）电子认证机构的义务

4、告知义务

根据我国《电子认证服务管理办法》第21条规定，电子认证机构在受理电子签名认证证书申请前，应当向申请人告知下列事项：1）电子签名认证证书和电子签名的使用条件2）服务收费项目和标准；3）保存和使用证书持有人信息的权限和责任4）电子认证机构的责任范围5）证书持有人的责任范围；6）其他需要事先告知的事项

（一）电子认证机构的义务

5、签订书面合同的义务

根据我国《电子认证服务管理方法》第22条规定，电子认证机构受理电子签名认证申请后，应当与证书申请人签订合同，明确双方的权利义务

（一）认证机构的义务

1、可信赖系统的义务

认证机构在提供证书服务时应保证其使用可信赖系统。

2、担保义务

在签发证书过程中，认证机构需向用户及信赖的相对方作出种种陈述，与之相应，认证机构应对其所作的陈述承担相应的保证义务。

二、当事人各方的行为规范

（一）认证机构的义务

3、持续义务

认证机构还应向用户承担持续的义务。除非用户人与认证机构另有约定外，认证机构因发放证书而向用户保证：

（1）如有规定的情形，则应立即中止或撤销证书；

（2）一旦证书发放以后，如认证机构知悉任何严重影响证书有效性或可靠性的事件，应在合理的时间内及时通知用户。二、当事人各方的行为规范

（一）认证机构的义务

4、忠信义务

如果认证机构持有与其颁布证书中公共密码相对应的私人密码，则该机构应如证书中指定的用户的信托人一样，负谨慎勤勉的义务；除非用户与认证机构之间，就私人密码的使用另有明确的书面形式的约定，否则，如果没有用户事先的书面同意，认证机构不