第三讲+电子商务的安全管理与法律问题.ppt

1、1,第三讲 第4章后两节+第5章,2,第三节 防止非法入侵,一、网络“黑客”常用的攻击手段 二、防范非法入侵的技术措施,3,网络“黑客”常用的攻击手段,“黑客”的概念 “黑客(Hacker)”源于英语动词Hack，意为“劈，砍”，引申为“辟出，开辟”，进一步的意思是“干了一件非常漂亮的工作”。在本世纪早期的麻省理工学院校园侵语中，“黑客”则有“恶作剧”之意，尤指手法巧妙、技术高明的恶作剧。 “黑客”类型 骇客，他们只想引人注目，证明自己的能力，在进入网络系统后，不会去破坏系统，或者仅仅会做一些无伤大雅的恶作剧。他们追求的是从侵入行为本身获得巨大的成功的满足。 窃客，他们的行为带有强烈的目的性。

2、早期的“黑客”主要是窃取国家情报、科研情报，而现在的这些“黑客”的目标大部分瞄准了银行的资金和电子商务的整个交易过程。,4,网络“黑客”常用的攻击手段,中断（攻击系统的可用性）：破坏系统中的硬件、硬盘、线路、文件系统等，使系统不能正常工作； 窃听（攻击系统的机密性）：通过搭线和电磁泄漏等手段造成泄密，或对业务流量进行分析，获取有用情报。 窜改（攻击系统的完整性）：窜改系统中数据内容，修正消息次序、时间（延时和重放）； 伪造（攻击系统的真实性）：将伪造的假消息注入系统、假冒合法人接入系统、重放截获的合法消息实现非法目的，否认消息的接收或发送等； 轰炸（攻击系统的健壮性）：用数百条消息填塞某人的E

3、mail信箱也是一种在线袭扰的方法。,5,防范非法入侵的技术措施,网络安全检测设备：对访问者进行监督控制，一旦发现有异常情况，马上采取应对措施，防止非法入侵者进一步攻击 访问设备:通过给访问者提供智能卡，通过智能卡的信息来控制用户使用 防火墙（firewall）：它通过对访问者进行过滤，可以使系统限定什么人在什么条件下可以进入自己网络系统。非法入侵者入侵时，就必须采用IP地址欺骗技术才能进入系统，但增加了入侵的难度。 安全工具包:安全工具包主要是提供一些信息加密和保证系统安全的软件开发系统。用户可以在这些安全工具包的基础上进行二次开发，开发自己的安全系统。,6,第四节 电子签名,1 电子签名概

4、述 2 电子签名的基本原理,7,电子签名概述,一、签名概述 二、电子签名的特征 三、电子签名与数字签名,8,签名概述,1.法律意义代表了个人的真实意愿表示，并且经过个人承诺（通过了各种形式的签名） 2.属性原则上由本人签字，并且自身受签名的文件约束【签字的独特性和排他性】,9,电子签名的特征,1. 含义可用以证明数据电文发出者的身份并表明签署者承认该数据电文包含的内容，在法律上有着对等的权利和义务 2.作用确认身份、确认信息来源、信息完整性、确认安全性、作为证据等 3.特有属性 非直观性 特殊认证性 更改隐蔽性 不安全性,10,电子签名与数字签名,1.电子签名分类 广义包括一切能够识别当事人身

5、份、表明签字者确认文件内容并且受其约束的技术手段/狭义常指数字签名，专指以非对称密钥加密（Asymmetric Cryptography，即为公开密钥加密）方法生成的数字串 夹在中间的强化电子签名 2.“电子签名”“以数字形式所附或在逻辑上与电子记录有联系的任何字母、文字、数字或其他符号，并且执行或采纳电子签名是 3.早期的电子签名数字签名是唯一的方式和手段，明确规定采用非对称系统和哈希函数,11,4.现行的电子签名方式：基于PKI（Public Key Infrastructure）的公钥密码技术的电子签名；以生物特征统计学为基础的识别标识；手印、声音印记或视网膜扫描的识别；能识别发件人身份

6、的密码代号、密码或个人识别码PIN；基于量子力学的计算机等。（常用的为PKI） （PKI（Public Key Infrastructure ）是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系，简单来说，PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。用户可利用PKI平台提供的服务进行安全的电子交易，通信和互联网上的活动。 ）,12,5.强化电子签名属性： 独特性签名者为特定目的使用 识别性可客观识别签名者的身份 可靠性安全、不易被伪造或破解 关联性签名能识别电文是否经过更改

7、 6.我国采取“可靠的电子签名”，基本上就是强化的电子签名，其满足的条件包括：制作数据为电子签名人专有、仅有电子签名人控制、签署后对电子点名的修改能够被发现、签署后对数据电文的内容和形式修改能够被发现。,13,电子签名的基本原理,1 电子签名的实现技术 2 数字签名的基本原理,14,电子签名的实现技术,1.手写签名或图章的模式识别扫描后处理，不适合互联网传输 2.生物识别技术采取人的生物特征确认身份通常包括指纹识别及时、视网膜识别技术、声音识别技术，不适合远程认证和大规模人群认证 3.密码、密码代号或个人识别码静态密码认证和动态密码认证，非对称技术不适合大规模人群认证，对称技术不适电子签名 4

8、.基于量子力学的计算机利用光子的相位特征编码，技术比较advance，目前难以实现 5.基于PKI的电子签名，目前最为常用的电子签名法,15,数字签名的基本原理,1. ISO7498-2定义“附加在数据单元上的一些数据，或是对数据单元进行的密码交换，这种数据和交换允许数据单元的接收者用以确认数据单元来源和数据单元的完整性并保护数据，防止被人（例如接收者）进行伪造”。 2.基本属性：通过密码算法对数据进行加解密以实现签名的目的。,16,3.数字签名主要经历以下几个过程（基本原理）： 信息发送者使用一单向散列函数（HASH函数）对信息生成信息摘要； 信息发送者使用自己的私钥签名信息摘要； 信息发送

9、者把信息本身和已签名的信息摘要一起发送出去； 信息接收者通过使用与信息发送者使用的同一个单向散列函数（HASH函数）对接收的信息本身生成新的信息摘要，再使用信息发送者的公钥对信息摘要进行验证，以确认信息发送者的身份和信息是否被修改过。,17,数字签名原理,18,说明：参照上图数字签名过程分两部分：左侧为签名，右侧为验证过程。即发方将原文用哈希算法求得数字摘要，用签名私钥对数字摘要加密得数字签名，发方将原文与数字签名一起发送给接受方；收方验证签名，即用发方公钥解密数字签名，得出数字摘要；收方将原文采用同样哈希算法又得一新的数字摘要，将两个数字摘要进行比较，如果二者匹配，说明经数字签名的电子文件传

10、输成功。,19,数字签名的操作过程,20,说明：首先是生成被签名的电子文件（电子签名法中称数据电文），然后对电子文件用哈希算法做数字摘要，再对数字摘要用签名私钥做非对称加密，即作数字签名；之后是将以上的签名和电子文件原文以及签名证书的公钥加在一起进行封装，形成签名结果发送给收方，待收方验证。,21,数字签名的验证过程,22,说明：接收方收到数字签名的结果，其中包括数字签名、电子原文和发方公钥，即待验证的数据。接收方进行签名验证。验证过程是：接收方首先用发方公钥解密数字签名，导出数字摘要，并对电子文件原文作同样哈希算法得一个新的数字摘要，将两个摘要的哈希值进行结果比较，结果相同签名得到验证，否则

11、签名无效。这就作到了电子签名法中所要求的对签名不能改动，对签署的内容和形式也不能改动的要求。,5 Law Problems of EC,1 电子商务所引起的法律问题 2 有关电子商务的国际惯例和法律 3 数据电文合同 4 合同法中数据电文合同条款的分析 5 电子商务经营者的法律责任,24,Law Prob. Induced by EC,1.1 电子商务与知识产权 电子商务：推崇信息流的合适使用知识产权法多方面适用的缺陷（著作权法商标权法（域名）专利法，尤其是体现在计算机软件边界的模糊） 传统的知识产权：原则上是私有产品。具有正外溢性的产品，经过若干年的保护期后进入公共流通领域（商标权如果所有者

12、不提出续展，也采取相同的做法）,25,Continue,1.2 电子商务与电子支付 电子货币的选择：货币电子化电子货币。如果是货币电子化，只需要各个金融之间维持一个协调的平台；而电子货币的支付，则需要经历将货币换成电子货币电子货币交易电子货币转化成现实货币三个程序。其中，谁有权发行货币和电子货币具有多大的流通范围是值得考究的问题。一般认为，广义的电子货币不具有货币的功效。,26,Continue,1.3 电子货币与身份认证 电子商务的运作通常是在一个互联网的平台上进行交易，这就要求对交易双方的身份进行认证，即认证机构和认证证书的确定。在现实的操作中，电子认证与电子签名密切相关。 解释：何谓有效

13、的当事人？,27,Continue,1.4 电子商务与信息安全 电子商务能够发生的直接原因是信息有价值，而信息的非安全性对于私有信息将会产生重大威胁，即使是相对公开的数据也会对数据权利人（解释？）造成冲击。,28,Continue,1.5 电子商务与个人隐私权 在网络中，个人隐私会被无限放大，正如名人没有隐私一样（如“第601个电话”中的张柏芝一样）。并且，一旦发生个人隐私披露，追查起来非常困难（主要体现在取证方面）。合理利用的基本原则和难以有效监督在此对所有权人是一种忧伤。,29,Continue,1.6 电子商务与电子签名 签名能够表征交易的真实属性，但交易的不留痕迹和极易修改性以及交易主

14、体的难以有效确认等方面都给交易本身制造了陷进，因而电子签名（所谓的广义电子签名和狭义电子签名，狭义指的是数字签名）成为焦点。,30,Continue,1.7 电子商务与电子合同 在电子商务尤其是B2C中，如何确保格式合同朝着有利于消费者的方向发展以及解释条款的适用性。比如，有的网站就会明确指出，如果格式合同发生了纠纷，那就以合同规定的解释条款作为准绳，这种做法是否合乎法规？,31,Intl. Prac. & Law about EC,2.1 国际惯例和法律 民法：国际贸易术语解释通则、联合国行政、事业、运输电子数据交换规则、国际海事委员会海运统一规则、电子提单规则 刑法：刑法、计算机软件保护条

15、例、计算机软件登记办法（我国） 国际立法：电子商务示范法 我国：电子签名法,32,Continue,2.2 现有法律法规的不足之处 交易安全性有待提高 电子支付制度有待改善和完善 国际协调需要加强（一键连接导致跨域性非常明显）,33,Continue,2.3 现行法规的主要规则层面： 市场准入（贸易自由化是前提？） 税收（征税与否？两种观点：发达国家和相对欠发达国家。比特税何如？） 电子商务合同的成立及其有效性 电子支付及其货币问题 电子商务涉及的知识产权对现行制度的冲击 网络信息的合理利用与个人隐私的保护与放开 电子签名、安全与保密以及权责制的实施（ICP和ISP的各自权利义务问题？风险出现

16、后的责任归属问题）,34,D. E. Contract,与传统合同的差别：通信手段和合同的形式都发生了改变（由文本文件有效转变成电子文档有效我国）。 3.1电子合同与数据电文合同 以电子化形式存在的合同称之为电子合同。 数据电文的通常形式：电子数据交换。电子邮件和其他数字表现形式。,35,Continue,3.2 电子合同订立的一般规则 3.2.1 一般规则：要约邀请要约承诺 要约邀请的条件：向非特定人发出的部具有可操作性的信息提示。 有效要约的条件：内容要明确具有可操作性；要约人受该意思表示。 有效承诺的条件：承诺主体必须是受要约人或特定人发出、在合理的期限范围内作出承诺、承诺内容主要内容与

17、要约保持一致。 两种生效做法：投邮生效（英美法系）、到达生效（大陆法系）,36,Continue,3.2.2 电子合同的要约与承诺 “点对面”的无限拓展性致使要约发出人难以明确要约的受众人数，但主要具有可操作性即视为要约。两种范例： 通过访问页面交易判断： 在线支付在线下载（数字信息产品）C、B、G点击“确定”就构成承诺 在线支付离线缴获（传统实物产品）“确认”是要约，为卖方的承诺 离线交货货到付款“确认”是要约，如果卖方发出收到要约的通知，则视承诺。 网络广告性质： 合同法基本原则：商业广告一般视为要约邀请，但其内容符合要约规定时，视为要约。 具体做法：依投放广告是否能够形成合同的要件而定。

18、,37,Continue,3.2.3 在线交易相关问题 难题：要约难以撤回和撤销、承诺难以撤回 原因：“确认”即生效，无回转的时间和空间。 到达时间的确认：“采用数据电文形式订立合同，收件人指定特定接收数据电文的，该数据电文进入该特定系统的时间，视为到达时间；未指定特定系统的，该数据电文进入收件人的任何系统的首次时间，视为达到时间”（合同法规定）,38,Continue,麻烦问题：进入领空即视为“到达”，但如果对方有意或无意没有及时查看，由此造成的责任谁负责？在法律上如何区分此是一个难点和盲点。 确认收讫的重要性尤其值得关注：本人通过代理人货自动交易系统向对方发出已经收到的通知。原则：确认收讫

19、可以以任何形式或行为进行发送人要求以确认收讫为条件的，在收到确认之前，视信息为未发送；发送人未要求以确认收讫为条件，并在合理期限内未收到确认的，可通知接收人并指定期限，在上述期限内仍未收到的，视信息未发送；发送人收到确认的，表明信息已由收件人收到，但不表明收到的内容与发出的内容一致；确认收讫的法律后果由当事人或各国自己决定。（联合国电子商务示范法相关规定）,39,Continue,3.3 电子合同订立的特殊法律问题 3.3.1 电子代理人的自动交易问题 电子代理人是一种智能的按照一定程序进行要约发出和接收承诺直至完成交易的无独立法律人格的交易人，由此发生的一切权利义务由相关主体（设立人）承担和

20、享受，即如果发生法律纠纷，设立人不得以此为抗辩理由，但存在明显瑕疵的除外。【在现实生活中的应用：如果储户在ATM上取款时，出现了款项被他人提取的情况，是不是银行就要为此全部买单？如果将之置于ICP和ISP的范畴，如何界定银行的责任】,40,Continue,3.3.2 点击合同订立中的法律问题 常见问题：点击“我同意”后采取有下文。 演变历程：格式合同拆封合同点击合同 拆封合同合同提供者将其与不特定第三人之间的权利义务关系的相关调矿并印在标的武的包装上面，在合同中声明拆包即为接收格式合同。 点击合同经常出现的问题：格式条款、电子错误、消费者权益保护。 点击合同有效的原则：公平为基本原则、善意提

21、醒消费者充分考虑免责和限责条款、对格式条款进行充分说明。（注意：如果还 存在其他可能的解释，那么应该以有利于消费者的解释为准）。,41,Continue,3.4 电子错误对合同效力的影响 含义：非当事人的真实意思表示，具体指的是因信息处理系统发生的错误。 四种形态：内容错误、行为错误、传达错误（侠义的电子错误，传达不实）、关于当事人的资格或标的性质的错误。 总体调整原则：由于电子错误给对方造成损失的，应该及时通知对方，如果实在难以通知对方，那么必须在网上挂出声明，并且应该给予地方进行适当的经济补偿。但是，考虑到合同非当事人的真实意思表示，在法律上就不构成合同的要件，因此善意错误者可以据此作为抗

22、辩的理由，在处理的过程中通常需要进行标的物的价值公证。,42,Case,张岩诉北京金贸网拍电子技术有限公司、国安五龙国际拍卖有限公司网上拍卖纠纷案,43,Continue,案情：1999年10月1日，原告在上网浏览时发现，中国商品拍卖市场网站（）正在举办“海星电脑拍卖会”，主办者是国安五龙国际拍卖有限公司等单位，承办者是北京金贸网拍电子技术有限公司（以下简称北京金贸公司）。在详细了解了拍卖品名称、数量、止拍时间后，原告作为网站的注册用户，根据网站买家须知中的通用条款要求，在10月1日至10月5日的拍卖期内参加了竞拍，经过连续竞价，以最高应价购得编号为71、73、75的拍卖标的，即海星冲浪810

23、D6400CRA、海星巨浪号7500K7、海星巨浪号7600K7电脑，并在网站公布的拍卖结果中被确认成交，以9750元购得该3台海星牌电脑。但10月8日原告再次上网时发现，其已经拍卖成交的3台电脑正在被该网站以其成交价为底价继续进行拍卖，截止日期变成10月10日。10月9日，网站公布了第二次拍卖结果，该3台电脑以每台3万元左右的价格成交。,44,Continue,调查结果：1999年 9月28日，西安海星现代科技股份有限公司与金贸网拍公司签订委托拍卖合同书，委托该公司拍卖计算机，其中三种型号的海星电脑保留底价分别为7290元、1.3万元、1.98万元。1999年9月29日， 金贸网拍公司通过网

24、站向注册客户发正式通知，注明本场拍卖会时间为同 年10月 6日至10日，后因软件出现故障，造成系统在拍卖时间未到而进入点击程序。1999年10月，张岩通过报价，从拍卖系统得到如下确认：张岩分别以1000元、3000元、5750元之价格购得上述三种型号的海星电脑各一台。张岩之报价低于海星公司之保留底价。且将购机款1万余元汇至国安五龙公司，金贸网拍公司未向张岩发出确认邮件，并于1999年10月15日通过拍卖网站向张岩发出致歉函，告知其拍卖结果之确认是系统故障所致。,45,Continue,法院公布详情：法院经审理后认为，按照拍卖法规定，竞买人最高应价未达到最终成交保留价时，应价不发生效力。拍卖系统

25、虽对拍卖结果予以确认，但北京金贸公司事先给出的保留价合计为34000元，原告9750元的应价低于保留价，按照拍卖法规定，此次应价没有法律效力，原告竞买无效。张岩之应价没有完全具备成为买受价的有效要件，张岩亦不能仅以拍卖系统的确认而享有买受人的权利。现张岩要求金贸网拍公司与国安五龙公司履行给付计算机之义务，根据有关法规，本院不予支持。张岩所述，拍卖公告所公布的日期为10月 1 日至 5日，未向法庭提供相应证据，法院不予认定。金贸网拍公司以未向张岩实际发出确认邮件为由，要求认定其与张岩买卖关系并未成立， 理由不能成立。同时，金贸网拍公司之拍卖系统出现故障，已经导致了张岩产生了“其应价已发生效力”之

26、误解，依公平原则该公司应对张岩之应价无效承担责任，返还张岩所汇购机款，并赔偿其相应的利息损失。国安五龙公司作为此次拍卖活动的主办单位之一，应对此承担连带责任。,46,Continue,法院判罚： 一、驳回张岩要求北京金贸网拍电子技术有限公司、国安五龙国际拍卖有限责任公司给付海星电脑之诉讼请求。 二、北京金贸网拍电子技术有限公司、国安五龙国际拍卖有限责任公司退还张岩购机款并赔偿利息。 三、案件受理费四百元全部由北京金贸公司承担。,47,Continue,3.5 电子合同的履行及违约救济 履行的基本原则：与传统合同的履行原则没有任何差别。 违约救济：（1）责任划分：过错原则；（3）抗辩：免责事由和

27、条款；（3）违约救济：常规操作。,48,Relevant Rules in CONTRACT,4.1 书面形式问题 按电子商务示范法第6条第1款，“书面”的 功能是确保“所有信息可调取以备日后查用”，EDI电文可以做到这一点，复合书面要求。我国合同法第11条规定：“书面形式是指合同书、信件以及数据电文(包括电报、电传、传真、电子数据交换和电子邮件)等可以有形地表现所载内容的形式。”因此，对于一些法律要求书面形式的合同，数据电文形式完全符合。,49,Continue,4.2 电子签名 按照合同法第32条的规定：“自双方当事人签字或者盖章时合同成立。”第三十三条电子商务规定：“当事人采用信件、数据

28、电文等形式订立合同的，可以在合同成立之前要求签订确认书。签订确认书时合同成立。”如何确定讯息发送人，现在有两种方法：电子签章法和数位签章法。,50,Continue,4.3 电子合同“收到”与合同成立的地点 “收到”基本原则：到达生效。 成立的地点：重点考察一下常设机构对合同成立的影响。,51,Continue,4.4 证据问题 数据电文的基本属性：数码性、综合性、脆弱性 只要符合“证明案件真实情况的一切事实,都是证据”的原则要求,经过查证属实,即可为作为定案的根据。经一定程序认证后的数据电文的“原件”问题在我国证据法中也不构成实质性障碍。 目前法学界对于数据电文有两种观点：一种认为应该归入视

29、听资料的范畴，另一种认为应该视同书证。,52,5 电子商务经营者的法律责任,5.1 互联网服务商（ISP与ICP Internet Service Provider/Internet Content Provider ）的侵权责任 5.2 电子商务企业的经营与服务质量责任 5.3 电子商务企业的不正当竞争责任问题,53,ISP与ICP 的侵权责任,1.ISP承担的责任内容包括侵权责任和服务质量责任 2.ICP承担的责任为信息上传引起的侵权责任，既可能是直接侵权行为，也可能是间接侵权行为 3.侵权采取的原则：谁过错谁负责（过错原则） 4.侵权责任分类：直接侵权责任间接侵权责任（常为著作权侵权责任

30、，为知识产权中的一种（著作权、商标权、专利）,54,直接侵权责任：直接从事了侵权行为需承担的责任（采取客观过错原则） 间接侵权责任：间接参与了侵权行为（采取连带责任原则） 5.ICP适用的相关规定：最高人民法院关于审理计算机网络著作权纠纷案件适用法律若干问题的解释要求，为深入了解这方面的内容，应该就著作权的相关规定有一个大概的了解,55,大学生诉263案,1. 案情回顾：大学生增刊考研圣经被硕士生李某擅自载于其个人网站上，该网站域名与空间由263（首都在线）提供。（1998年出版，1999年发现侵权，在法律上是否属于公共流通领域？） 2.大学生要求：首先协调，协调不成要求作出公开赔礼道歉和赔偿

31、物质损失10万元 3.263在接到被告知侵权后，对该个人网站采取了技术屏蔽，并要求将该内容删除。,56,4.263辩护的理由：“263免费空间”为非经营性服务，并告知使用者需要承担相应的责任；履行了及时通知并作出更改的义务；为侵犯著作权版权 5.李某的辩护理由：原告未提供原作者授权许可使用的证据，无著作权（这种提法是否成立？如果不成立，为什么？期待你们能够解决该问题）。,57,6.焦点问题：ISP是否应该与直接侵权者承担连带间接侵权责任？ 7.基本观点：263没有义务对信息进行筛选，除非法律规定的除外；对于提供网络技术和设施的ISP，一般不承担法律侵权责任 8.当事人：被告（263和李某），原告（大学生）,58,9.法院的基本观点：如果ISP知晓在其提供的网络上可能存在侵权，应该采取及时通知和制止措施，否则应该承担连带责任 10.法院最终判罚：第二被告（李某）负有全部责任，第一被告