搜索
第五章电子签字与认证法律制度内容提要第一节电子签字第二节电子签字立法发展第三节电子签字的适用范围第四节电子商务安全认证第五节电子商务认证法律关系第一节电子签字在电子商务活动中,如何使彼此的要约、承诺产生效力,当债务与合同义务发生不履行时,又如何有效地使违约方承担起应负的法律责任,这些都涉及到在虚拟世界中交易各方的身份确认问题。电子签字是由符号及代码组成,它具备了传统签字的以下功能:确定一个人的身份;肯定是该人自己的签字;使该人与文件内容发生关系。其他:证明一个当事方愿意受所签合同的约束;证明某人认可其为某一案文的作者;证明某人同意一份经由他人写出的文件的内容;证明一个人某时身在某地的事实。一、电子签字的功能相应功能在电子签字中的技术实现1、身份认证——第三方认证2、完整性——加密与解密3、不可抵赖——单独掌握私钥4、保密——很适合互联网开放环境5、识别机器的身份——是否连在正确的服务器上例如:模拟股市的案例6、其他:数字时间戳电子签字与传统签名的区别1、电子签名是在线签署,距离远;2、电子签名是数据,无法提供纸面原件;3、一个人可以拥有多个电子签名;4、电子签名有可能遗忘、丢失;5、电子签名只能通过计算机系统鉴别。是一种加密技术的应用,指在数据电文中,以电子形式所含、所附或在逻辑上与数据电文有联系的数据,它可用于鉴别与数据电文相关的签字人和表明签字人认可数据电文所含信息。广义的电子签字是指包括各种电子手段在内的电子签字(生物辨识、光磁技术、眼虹膜透视)。狭义的电子签字是指目前实践中应用的较多较广的数字签字方式。电子签字二、电子签字的概念是对以数字形式存储的明文信息经过特定密码变换生成密文,作为相应明文的签名,使明文信息的接收者能够确认信息发送者身份。数字签字的两个密钥被分别称为“私有密钥”和“公开密钥”。“私有密钥”仅仅限于签字人使用以产生数字签字,“公开密钥”知道的人较多。数字签字对数字签字的基本要求接收者能容易地验证签字者所做的数字签名。信息自签发的收到为止未作任何修改。任何人,包括签名接收者,都不能伪造签名者的签字。发生争议时,可由第三方解决争议。三、电子签字的基本步骤①将电文按双方约定的Hash算法计算得到一个固定位数的电文摘要。在数学上保证,只要改动电文中任何一位,重新计算出的电文摘要值就会与原先的值不相符。这样就保证了电文的不可更改性。②将该电文摘要值用发送者的私有密钥加密以形成数字签字,然后连同原电文一起发送给接收者。③接收方收到电文后,用同样的Hash算法计算出原电文的电文摘要,然后用发送者的公开密钥对数字签字进行解密,并将解开的电文摘要与用Hash算法计算出的电文摘要进行比较,如果相同则说明电文确实来自所称的发送者,且在传递过程中没有发生任何改变。在电文传输过程中,如有第三方对电文进行篡改,但他并不知道发送者的私人密钥,则接收方解密得到的电文摘要与经过计算后的电文摘要必然不同,进而很容易判断出电文不是来自于所称的发送者。发送方收方公钥hash发方私钥收方私钥明文签名签名发方公钥摘要随机产生对称密钥信封信封对称密钥对称密钥摘要hash接收方通信网密文密文摘要明文明文签名签名对称密钥用于加密的密钥对用于签名的密钥对用公钥加密用私钥解密用私钥签名用公钥验证用公开密钥加密,则必须用私有密钥解密,实现保密。用私有密钥加密,则必须用公开密钥解密。实现验证。隐藏于图象中的数字签名提供电子文件发表时间的安全保护和证明.时间戳是经加密后形成的凭证文档,它包括三个部分:·需要加时间戳的文件的摘要;·DTS机构收到文件的日期和时间;·DTA机构的数字签名。数字时间戳(DTS)四、电子签字的法律效力电子签字具有以下法律特征——电子签字存在于数据电文中,是一种特殊的书面签字;电子签字是在保密状态下进行的,签署者本人享有拒绝、排斥任何未经法律批准的监视、窥探及披露的权利;电子签字具有可识别性,使用者可以以此表达身份;电子签字的方式具有多样性,包括个人口令、密码、非对称加密、生物特征鉴别等;电子签字具有不可否认性,由于电子签字采用了特定的加密技术,只有发送者才知道产生电子签字的密钥,所以发送者无法否认已经过电子签字后发出的数据电文;任何其他人均不能伪造电子签字,如果当事人就签字的真伪发生争执,能够由公正的第三方进行裁决,通过验证签字来确认其真伪。电子签字具备了传统签字的所有功能,用它替代传统签字不存在任何功能上的障碍。电子签字法应当——肯定电子签字符合法律关于合同必须采用书面形式的要求。电子签字符合法律关于签字的要求。电子签字具有同书面签字一样的法律效力。为了确保须经过核证的数据电文不会仅仅由于未按照纸张文件特有的方式加以核证而否认其法律效力,联合国《电子签字示范法》第7条规定:“当法律要求一个人的签字时,一条数据电文应被视为符合该要求,只要:(1)存在某种方法,能判明一个人的身份,并能指出该数据电文中包含了该人的同意;(2)相对于生成或交换该数据电文的意图来说,该判明方法是可信的。其可信程度,应考虑到所有环境条件,包括所有相关协议。”五、电子签字中各方当事人的基本行为规范《电子签字示范法》第8条规定,签字制作数据可用来制作具有法律效力的签字,各签字人应当做到如下:(1)采取合理的谨慎措施,避免他人未经授权使用其签字制作数据;(2)签字人知悉签字制作数据已经失密;应向签字人可以合理预计的依赖电子签字或提供支持电子签字服务的任何人员发出通知;(3)在使用证书支持电子签字时,采取合理的谨慎措施,确保签字人做出的关于证书整个有效期的或需要列入证书内的所有实质性表述均精确无误和完整无缺。签字人的行为《电子签字示范法》第9条规定,认证服务提供人提供服务,以支持可用作具有法律效力的签字而使用电子签字的,应当做到以下规定,否则应对未满足规定要求而承担法律责任:(1)按其所做出的关于其政策和做法的表述行事;(2)采取合理的谨慎措施,确保其做出的关于证书整个有效期的或需要列入证书内的所有实质性表述均精确无误和完整无缺;(3)提供合理可及的手段,使依赖方得以从证书中证实认证服务提供人的身份。认证服务提供人的行为《电子签字示范法》第11条规定依赖方应当对其未能做到如下承担法律后果:(1)采取合理的步骤查验电子签字的可靠性;(2)在电子签字有证书支持时,采取合理的步骤,包括查验证书的有效性、证书的暂停或撤销、遵守对证书的任何限制。依赖方的行为六、电子签字的环境要求2004年8月28日,十届人大正式通过了《电子签名法》,并将于2005年4月1日起施行。通信网络环境相应的服务机构法律环境高速、可靠、便捷的通信网络是基础平台。司法证据提取和检验机构电子认证服务提供者(CA)以及它们之间的交叉认证时间认证服务机构和教育推广机构第二节电子签字立法发展一、联合国《电子签字示范法》2001年3月23日,联合国国际贸易法委员会电子商务工作组第38界会议通过。《电子签字示范法》将构成《电子商务示范法》的有用的补充,大大有助于各国加强其有关利用现代化核证技术的立法,并能协助目前尚无这种立法的国家拟订这种立法。1995年犹他州《数字签字法》和《华盛顿电子认证法》,被称为“指定式”立法。1999年《全球与国家商务中的电子签字法》根据该法案规定,在该法案确定的标准得到遵守的前提下,即可赋于电子签字、电子合同和电子记录以法律上的确定性。二、美国有关电子签字的法律《指令》摈弃了传统的公钥、私钥、对钥的概念,而引入了一系列新概念,如“签署签字数据”(signature-creationdata,相当于公钥)、“签署签字设备”(signature-creationdevice)、“安全签署签字设备”(secure-signature-creation-deice)、“确认签字数据(signature-verification-data,相当于私钥).通过对传统技术术语的法律提炼,既可以凸显其“技术中立”的个性,又建立起一套比较严格的对认证机构与电子签字的管理制度。三、欧盟《电子签字统一框架指令》1.萌芽阶段——99年3月合同法出台之前,基本属于空白的阶段;——96年10月11日《广东省对外贸易实施电子数据交换暂行规定(EDI)》第十条关于电子签名的规定;2.酝酿阶段——99年3月到现在:营造法制环境,为电子商务立法做准备的阶段:2000年电信条例;2000年互联网信息服务管理办法;2001年新版权法;2001年2个司法解释;2002年以广东电子交易条例为主的地方立法等;3.突破和发展阶段——我国的电子签名法出台以后,真正的电子商务立法的开始。四、我国《电子签名法》我国电子商务法律环境的发展的三个阶段安全、可信、保密;RSA、DES、IDEA、SHAI、MD5、椭圆曲线算法等.技术上的安全性法律上的安全性电子签名法是电子商务法的基本法改变网络由于虚拟性带来的大量责任和损害无人承担的困境,是法制化与规范化的根基.商务的核心是合同,合同的核心是签名.有了电子签名法,有了虚拟世界与现实世界的对应,再谈责任承担、权益保护的问题才比较现实;才能去考虑电子合同、消费者保护等问题。共5章,36条分为:*总则(3条)*数据电文(9条)*电子签名(2条)与认证(12条)*法律责任(7条)*附则(3条)三大块:数据电文、电子签名、电子认证我国《电子签名法》的内容我国《电子签名法》的立法原则功能等同原则技术中立原则非歧视原则意思自制原则有限中立原则*强调安全保障的原则:物理安全、系统、网络、应用、管理安全;*实现平稳过渡的原则:*保障电子认证服务的有效性、有序性和连续性的原则:报告制度、指定承接、协商承接;业务委托;*非特殊许可,不设限制和规划,市场选择;*成立条件,3000万资金——800万机房,500万设备,600万人员,800万运营,300万风险.我国《电子签名法》的影响第三节电子签字的适用范围和消费者保护电子签字受到局限的主要方面有:1.需要在物体本身上标记签字的场合;2.与身份关系相关的场合;3.与诉讼程序相关的场合;4.法律有特别规定的事项。一、电子签字的适用范围为保护消费者的合法利益,商家应当明确以下事项:(一)商家应当告知消费者使用电子签字的权利义务1)告知消费者可以同意使用电子签字也可以不同意使用电子签字。2)告知消费者有权撤回对使用电子签字的同意。3)告知消费者可以查阅以电子签字方式签署的文件。二、电子签字与消费者权利保护(二)在告知消费者的权利后应征得消费者的同意同意可以以电子方式做出,也可以采用其它方式,只要做出的行为合理即可。(三)商家应当特别提示消费者的事项1)告知采用该种电子签字方式对电脑软硬件的要求。2)告知电子签字方式发生改变后,对消费者的权利实现的影响以及如何补救。第四节电子商务安全认证一、基本概念电子认证——广义:包括认证机构(CA)、电子认证行为和数字证书在内的一整套法律制度。狭义:电子认证行为,即由认证机构采用电子方法以证明电子签字持有人真实身份或电子信息真实的行为。数字证书——由认证机构签发的数据电文或相关记录以确认持有特定密钥者身份的文件。安全体系核心:基于PKI的数字证书有了数字证书,当事人在从事交易时,向相对方提交一个由认证机构签发的包含个人身份的证书,使对方相信自己的身份。认证机构——从事颁发为电子签字的目的而使用的与加密密钥相关的证书的人。主要是解决电子商务活动中交易参与各方身份的认定,维护交易活动的安全。CA持卡人商家二、数字证书和认证机构的种类应用对象:持卡人证书、商家证书业务类型:A类证书(符合SET协议)、B类证书(符合X.509标准)安全等级:一级证书、二级证书、三级证书、四级证书个人用户证书、企业用户证书、服务器证书、代码证书发卡机构证书、银行证书、支付网关证书三、电子商务的认证体系SETCA——SET(SecureElectronicTransaction)协议是由美国Visa和MasterCard两大信用卡组织合作发起的,它得到了包括IBM、Microsoft、Netscape、RSA