搜索
电子商务法教程第四章电子签名与电子认证服务法律制度1第一节电子签名法概述2第三节电子认证服务概述3第四节电子认证服务法律关系4目录CONTENTS15第二节世界电子签名立法现状与发展趋势第五节电子认证服务机构的管理第四章电子签名与电子认证服务法律制度3一、问题的提出在电子商务中,传统的签字方式很难应用于这种远距离、非面对面的交易。因此,人们试探采用一种数字签字机制来相互证明各自的身份,这就是电子签名。1997年和1998年,在联合国国际贸易法委员会(简称贸法会)第30次、31次会议上,贸法会根据《电子商业示范法》不偏重任何技术的原则,委员会决定起草《电子签字示范法》,从而开始了对电子签字的深入研究。第一节电子签名法概述4二、电子签名的概念与功能(一)电子签名的概念电子签字(ElectronicSignature)是以电子形式存在的数据。这种数据或包含在数据电文中,或附加于数据电文上,或在逻辑上与数据电文有联系,它可用于鉴别与数据电文相关的签字人和表明签字人认可的包含在数据电文中的信息。第一节电子签名法概述5二、电子签名的概念与功能(二)电子签名的功能以纸张为基础的传统签名主要是为了履行下述功能:(1)确定一个人的身份;(2)肯定是该人自己的签名;(3)使该人与文件内容发生关系。除此之外,视所签文件的性质而定,签名还有多种其他功能。第一节电子签名法概述6三、电子签名的法律效力(一)可靠电子签名《中华人民共和国电子签名法》(简称《电子签名法》)第13条规定,电子签名同时符合下列条件的,视为可靠的电子签名:(1)电子签名制作数据用于电子签名时,属于电子签名人专有;(2)签署时电子签名制作数据仅由电子签名人控制;(3)签署后对电子签名的任何改动都能够被发现;(4)签署后对数据电文内容和形式的任何改动也能够被发现。第一节电子签名法概述7(二)可靠电子签名的法律效力《电子签名法》第14条进一步规定,可靠的电子签名与手写签名或者盖章具有同等的法律效力。这是《电子签名法》的核心,确立了可靠的电子签名的法律效力。第一节电子签名法概述8(三)未经授权使用电子签名的法律责任在绝对无权使用时,由于电子签名的所有人没有过错,该数据信息不能归属于本人,本人也不应承担法律责任。在相对无权使用中,由于签名所有人存在疏忽或过错,因此应承担一定的责任。第一节电子签名法概述9四、电子签名的适用前提与范围(一)适用前提《电子签名法》没有规定在民事活动中的合同或者其他文件、单证等文书中必须使用电子签名,但明确规定当约定使用电子签名、数据电文的文书后,当事人不得仅因为其采用电子签名、数据电文的形式而否定其法律效力。第一节电子签名法概述10(二)适用范围《电子签名法》设定的适用范围有一定的前瞻性和包容性,即主要适用于商务活动,但又不限于商务活动,原则上涵盖使用电子签字的所有实际场合。但涉及婚姻、收养、继承等人身关系的;土地、房屋等不动产权益转让的;停止供水、供热、供气、供电等公用事业服务的;法律、行政法规规定不适用的等其他情形,不适用。第一节电子签名法概述11五、电子签名使用人的基本行为规范(一)电子签名人及其行为规范电子签名人应当妥善保管电子签名制作数据,当电子签名失密或者可能已经失密时,应当及时告知有关各方,并终止使用该电子签名制作数据。伪造、冒用、盗用他人的电子签名,构成犯罪的,依法追究刑事责任;给他人造成损失的,依法承担民事责任。第一节电子签名法概述12(二)电子签名依赖方及其行为规范电子签名依赖方,是指基于对电子签名认证证书或者电子签名的信赖从事有关活动的人。电子签名依赖方为了自身的利益,应了解电子签名以及电子签名人认证证书内容的有效性、完整性和准确性;应采取合理的步骤核查电子签名的可靠性。电子签名依赖方应遵守对电子证书的任何限制。第一节电子签名法概述13一、世界电子签名立法的三个阶段第一阶段:从1995年到1998年,为数字签名法的立法探索时期。第二阶段:从1998年到1999年,为电子签名法的逐渐成熟时期。第三阶段:从2000年开始,为电子签名法的全面传播时期,这一时期各国普遍感到电子签名法意义重大,在经过数年的立法准备后纷纷正式出台了法律。第二节世界电子签名立法现状与发展趋势14二、联合国现代化核证技术的立法实践(一)《数字签字统一规则》的酝酿1996年6月,联合国国际贸易法委员会(简称贸法会)在通过《电子商业示范法》之后,贸法会应当着手编制关于数码式签字的规则,同时制定数码式签字的电文来源和归属签发电子证书或其他形式保证的其他个人行动的法律。(二)《电子签字统一规则》的起草在贸法会电子商务工作组第32届会议(1998年1月)上,工作组开始使用《电子签字统一规则》(UniformRulesonElectronicSignature)代替《数字签字统一规则》(UniformRulesonDigitalSignature)。第一节电子签名法概述15(三)《电子签字示范法》的形成2002年1月24日,联合国第56届大会正式通过《联合国国际贸易法委员会电子签字示范法》。大会认为,《电子签字示范法》将构成《电子商业示范法》的有益补充,将大大有助于各国加强其有关利用现代化核证技术的立法,并能协助目前尚无这种立法的国家拟订这种立法。第一节电子签名法概述16三、联合国《电子签字示范法》的立法思路(一)作为一项单独的法律文书主要是因为在最后核定《电子签字示范法》时,《电子商业示范法》已在一些国家得到成功实施,还有许多国家也正在考虑予以通过。扩大《电子商业示范法》可能会破坏其原有版本所取得的成功。第一节电子签名法概述17(二)与《电子商业示范法》完全一致在起草《电子签字示范法》时,力求确保与《电子商业示范法》实质内容和术语保持一致。《电子签字示范法》以《电子商业示范法》为基础,突出反映了以下几点:不偏重任何手段的原则;不歧视在功能上等同传统书面文件概念和惯例的做法;对当事方自主权的广泛依赖。(三)拟由技术条例及合同加以补充的“框架”规则贸法会提出,颁布国应发布适当的条例,为《电子签字示范法》批准的程序填补程序上的细节,并考虑到颁布国具体国情,不损害《电子签字示范法》的各项目标。第一节电子签名法概述18(四)为电子签字法律效力增加确定性关于承认电子签字在功能上等同手写签字,《电子商业示范法》第7条规定了灵活的标准。《电子签字示范法》增加了这项标准在操作上的确定性。(五)签字技术的平等对待《电子签字示范法》旨在提供必不可少的程序和原则,以利于在各种不同情况下使用现代技术记录和传递信息。鉴于技术革新的速度,《电子签字示范法》对电子签名给予了法律上的承认,而不论采用何种技术。第一节电子签名法概述19四、世界主要国家和地区的电子签名立法(一)美国电子签字法发源于美国,1991年,着手拟订《数字签字示范法》。1999年6月30日,美国总统克林顿以数字签字的方式签署了《全球和国内商业法中的电子签名法案》,直接从联邦政府的层面对州法中的未达之处包括州际和国际贸易作了规范。(二)欧盟欧盟的《电子签字统一框架指令》(简称《指令》)对数字证书与认证机构管理比较严格,既吸收了国际电子签字法律的主流观点,又保持了欧盟的许多特色。第一节电子签名法概述20(三)新加坡和日本1998新加坡政府年出台的《电子交易法》(TheElectronicTransactionAct1998),对电子记录、数字签名、CA及政府的使用等都作出了明确规定。日本1996年成立了电子商务促进委员会(ECOM),制订了规划和模型协议。富士通、日立和NEC联合成立了日本认证服务有限公司,提供数字认证服务,现已在日本全面推开。第一节电子签名法概述21五、我国电子签名法的立法实践我国于1999年开始跟踪联合国电子签字的立法工作。2004年8月28日,十届全国人大常委会第十一次会议表决通过《中华人民共和国电子签名法》。2005年4月1日,《电子签名法》正式实施。2015年4月,第十二届全国人大常委会第十四次会议又通过了《中华人民共和国电子签名法(2015年修正)》。第一节电子签名法概述22一、身份认证(一)身份认证的目标身份认证是判明和确认交易双方真实身份的重要环节,也是电子商务交易过程中最薄弱的环节。身份认证包含识别和鉴别两个过程。身份标识(Identification)是指定用户向系统出示自己的身份证明的过程。身份鉴别(Authentication)是系统查核用户的身份证明的过程。第三节电子认证服务概述23(二)用户身份认证的基本方式(1)用户通过某个秘密信息,例如用户通过自己的口令访问系统资源。(2)用户知道某个秘密信息,并且利用包含这一秘密信息的载体访问系统资源。(3)用户利用自身所具有的某些生物学特征,如指纹、声音、DNA图案、视网膜等。第三节电子认证服务概述24(三)身份认证的单因素法用户身份认证的最简单方法就是口令。很明显,这种身份认证方法操作十分简单,但同时又最不安全。使用SSL证书加密技术实现网络通信加密是对口令进行加密传输是一种改进的方法。但是这种方案仍然受到口令猜测的攻击。第三节电子认证服务概述25(四)基于智能卡的用户身份认证基于智能卡的用户身份认证机制属于双因素法,它结合了基本认证方式中的第一种和第二种方法。这种方案基于智能卡的物理安全性,即不易伪造和不能直接读取其中数据。第三节电子认证服务概述26(五)一次口令机制最安全的身份认证机制是采用一次口令机制,即每次用户登录系统时口令互不相同。一次口令机制主要有两种实现方式。第一种采用“请求响应”方式。第二种方法采用“时钟同步”机制,即根据这个同步时钟信息连同其个人化数据共同产生一个口令字。第三节电子认证服务概述27二、信息认证技术(一)信息认证的目标(1)可信性。信息的来源是可信的,即信息接收者能够确认所获得的信息不是由冒充者所发出的。(2)完整性。信息接收者能够确认所获得的信息在传输过程中没有被修改、遗失和替换。(3)不可抵赖性。要求信息的发送方不能否认自己所发出的信息。同样,信息的接收方不能否认已收到了信息。第三节电子认证服务概述28(二)基于私有密钥体制的信息认证基于私有密钥(privatekey,私钥)体制的信息认证是一种传统的信息认证方法。这种方法采用对称加密算法,也就是说,信息交换的双方共同约定一个口令或一组密码,建立一个通信双方共享的密钥。通信的甲方将要发送的信息用私钥加密后传给乙方,乙方用相同的私钥解密后获得甲方传递的信息。第三节电子认证服务概述29图4-1对称加密示意图第三节电子认证服务概述30(三)基于公开密钥体制的信息认证与对称加密算法不同,公开密钥加密体系采用的是非对称加密算法。使用公开密钥算法需要两个密钥——公开密钥(PublicKey,公钥)和私有密钥。如果用公开密钥对数据进行加密,只有用对应的私有密钥才能进行解密;如果用私有密钥对数据进行加密,则只有用对应的公开密钥才能解密。公开密钥体制常用的加密算法是RSA算法。第三节电子认证服务概述31图4-2使用公钥加密和对应的私钥解密的示意图第三节电子认证服务概述32(四)数字签名和验证数字签名(Digita1Signature)及验证(Verification),就是实现信息在公开网络上的安全传输的重要方法。数字签名过程实际上是通过一个哈希函数(HashFunction)来实现的。哈希函数将需要传送的数据转化为一组具有固定长度(128位或160位)的单向Hash值,即报文摘要(MessageDigest)。第三节电子认证服务概述33图4-3数字签字与验证过程示意图第三节电子认证服务概述34(五)时间戳数字时间戳(Digita1TimeStamp,DTS)服务是网上电子商务安全服务项目之一,它能提供电子文件的日期和时间信息的安全保护。时间戳(TimeStamp)是一个经加密