搜索
第一章电子商务法导论1电子商务法主讲教师:胡媛荣第一节电子认证概述(一)认证:指权威的、中立的、没有直接利害关系的第三方对当时人提出的包括文件、身份物品及产地、品质、具有法律意义的事实与资格进行审查后做出的证明。电子认证:是以特定的机构对电子签名及其签署者的真实性经行验证的具有法律意义的服务活动。电子认证的作用:1确认交易双方的身份和交易内容2防止电子签名人对已经认证的信息予以否认。3防止电子认证交易当事方以外的人实施欺诈行为。电子认证的意义:1保证电子商务的安全2促进电子商务的发展(二)电子认证的方法1、用身份认证的传统方法2、基于智能卡的身份认证方法3、口令认证方法4、使用公开密钥签名算法的挑战响应算法5、使用电子签名与双重电子签名的身份认证方法。电子认证的分类站点认证数据电文认证1该电文是由确认的发信人发出的2该电文的内容没有经过篡改或发生错误3该电文是按确定的次序进行接受的4该电文已经传输给确定的收信人身份认证电子认证的技术数字认证技术数字认证就是利用密码学的方法实现认证。现在最普遍的数字认定技术就是采用口令认证生物认证技术人脸认证、指纹认证、虹膜认证、掌纹认证、声音认证、步态识别、手工签名认证(四)认证机构:CertificationAuthority,专指电子商务中对用户的电子签名办法数字证书的机构。电子认证服务提供者:我国《电子认证服务管理办法》第二条:指为电子签名人和电子签名依赖方提供电子认证服务的第三方机构。电子认证机构的特征独立性权威性中立性与可靠性非盈利性电子认证机构的设立与管理电子认证机构实际上是一个企业,其设立的条件包括人员、资金、营业场所和设备。认证业务经营实行许可制度。《电子认证服务管理办法》第六条申请电子认证服务许可的,应当向信息产业部提交下列材料:(一)书面申请;(二)专业技术人员和管理人员证明;(三)资金和经营场所证明;(四)国家有关认证检测机构出具的技术设备、物理环境符合国家有关安全标准的凭证;(五)国家密码管理机构同意使用密码的证明文件。第五条电子认证服务机构,应当具备下列条件:(一)具有独立的企业法人资格;(二)从事电子认证服务的专业技术人员、运营管理人员、安全管理人员和客户服务人员不少于三十名;(三)注册资金不低于人民币三千万元;(四)具有固定的经营场所和满足电子认证服务要求的物理环境;(五)具有符合国家有关安全标准的技术和设备;(六)具有国家密码管理机构同意使用密码的证明文件(七)法律、行政法规规定的其他条件。电子认证的程序(1)发信人(一般为电子签名人)在进行电子签名前,利用密钥制造系统产生公钥,密钥对中的私钥由发信人自己保管。(2)电子签名人把其身份信息和公钥提交给一个经合法注册,具有从事电子认证服务许可证的第三方,也就是CA认证中心,申请该认证中心登记并由其签发认证证书。(3)电子认证机构根据有关的法律规定和认证规则以及自己和电子签名人之间的约定对申请进行审查。如符合上述要求,则发给电子签名人一个“认证证书”,证明电子签名人的身份、公钥及其他相关信息。13(4)发信人将电子签名文件和认证证书一起发给收信方(一般为电子签名依赖方)。(5)收信人接到电子签名文件和认证证书后,根据认证证书中的内容,向相应的认证机构提出申请,请求认证机构将发信人的公钥发给自己。(6)收信人通过对公钥及电子签名的验证即可确认电子签名文件的真实性和可信性。在电子交易的全过程中,当事各方在各个环节上都需要进行电子认证。第一章电子商务法导论14电子认证的效力1立法形式(1)以直接的立法形式明示直接承认可被接受的技术方案。如美国犹他州和我国香港特别行政区的法例等。(2)授权政府行政主管部门制定相应规则,如享有颁发、吊销CA机构从事电子认证业务许可的权力,同时对违规或违法经营的CA机构享有行政处罚权。(3)制定明确的设立及管理CA机构的条件及程序。同时,在监管CA机构层面上,政府主管部门还设置所有合法登记、注册经营电子认证业务的CA机构的资料库供客户查询。第一章电子商务法导论152.协议形式在此种情形下,法律只规定原则性条文,如确认电子签名与书面签名的同等效力,至于当事各方如何选择技术方案以及由谁进行认证,则由当事各方协议确定。在此情况下,电子认证业务不纯粹由CA机构独享,银行、ISP公司均可扮演电子认证机构的角色。第一章电子商务法导论165.2认证证书业务规范认证证书的概念认证证书又称数字证书(DigitalCertificate,DigitalID),是指用电子手段证实用户的身份、交易信息内容及其对网络资源的访问权限的特定化信息。在网上交易中,如果交易双方都出示了各自的认证证书,则证明它们已得到一定认证机构的许可,在认证限制范围内可与它们进行安全的网上交易。认证证书亦可称为身份证书(IdentityCertificate)、强化证书(EnhancedCertificate)等。17认证证书的类型(1)客户证书。它是指认证机构仅为一个用户提供数字证书,以便于个人在网上进行安全的交易操作。(2)商家证书。它是由收单银行批准,由金融机构颁发的,是对商家是否具有信用卡支付交易资格的一个证明。在SET中,商家可以持有一个或多个数字证书。(3)网关证书。它通常是由收单银行或其他负责进行认证和收款的机构持有。客户对账号等信息加密的密码由网关证书提供。(4)认证机构系统证书。即各级、各类认证机构(如RCA、BCA、GCA、MCA、PCA等)所持有的数字证书。18认证证书的等级(1)第一等级。用户只能依赖它进行网页浏览和收发个人电子邮件,在这种环境下只是稍微增加了安全(2)第二等级。电子签名人使用更详细的证明证书于框架范围内的电子邮件、小额、小风险的交易,个人之间的电子邮件、口令变更、软件确认以及在线订购服务;(3)第三等级。用于电子银行、电子数据交换、软件确认以及基于会员的在线服务。19认证机构在认证证书业务规范中承担的职责1.认证机构在认证证书颁发中的职责证书颁发:一般而言,认证机构颁发证书应具备以下条件:①认证机构收到电子签名人要求颁发证书的申请;②认证机构核实证书申请人与证书上所列的人或实体相一致;③证书申请人正确持有与证书内载明的公钥相符合且能创设数字签名的私钥;④证书内载明的公钥要用于证实附随于潜在签署持有的私钥生成的数字签名。20证书发布:证书的颁发是直接向用户作出的一种当事人之间的通知行为,而其发布则是向全社会作出的一种公告行为,二者共同构成完整的证书颁发业务。只有用户自己知道其证书,而潜在的交易方不曾知晓,就不可能使认证证书发生其效用并促使交易的发生。证书的发布根据其所针对的对象不同,一般包括必发、选发、密存3种不同的内容。21认证机构在认证证书管理中的职责证书的中止证书的撤销证书的终止证书的保存221)证书的中止证书的中止是指在用户使用证书的有效期限内,由于某种特定事件(主要是影响认证安全的紧急事件),认证机构所采取的暂时中断证书效力的行为。在该事件消除影响后,用户要继续使用该证书。证书的中止通常由与证书有利害关系的一方提出,认证机构在接到申请后,有权依证书政策和证书政策实施说明对证书进行中止。证书中止后,认证机构应立即向所有发布证书的信息公告栏发出证书中止的通知。232)证书的撤销证书的撤销是指在证书的有效期内,由于某些特殊情况的出现,认证机构将证书撤销的行为。所谓特殊情况,是指证书被盗、私钥泄露、用户名称变更、用户死亡等。认证机构在接到证书撤销的申请后,认为应当撤销时,应迅速完成撤销行为。如果证书丧失其安全性,无论用户是否同意,认证机构也可以撤销该证书。证书被撤销后,认证机构也应当向信息公告栏发布证书撤销通知。第一章电子商务法导论243)证书的终止证书的终止是指证书在期限届满或证书政策规定的其他情形出现时失去法律效力的情形。证书的终止意味着电子认证各方法律关系的终结。就证书终止的法律后果而言,同时解除了认证机构与电子签名人的一系列义务。第一章电子商务法导论254)证书的保存证书的保存是证书得以发挥其作用的基本途径。其保存方式除了存放于数据库之外,对于无须密存的信息,还可发布于信息公告栏中。这样,既可方便证书信赖人之查阅,也可实现促进网络交易之目的。265.2电子认证各方的法律关系电子认证机构与电子签名人之间是特殊的服务合同关系。第一,认证机构提供的信息是经过核实的、有关电子交易人所关心的基本信息。通常包括交易人是谁、在何处、以何种电子签名方式与之交易、其信用状况如何等。第二,认证机构在进行认证时,还需承担其他服务合同所具备的付随义务,例如,对电子签名人提供的信息保密义务、公钥的保密义务等。第三,电子签名人除了应履行一般的支付服务费用义务外,还应履行一些与认证关系特性相应的义务。这些义务主要包括两种:真实陈述义务和私钥保管义务。27电子认证机构和电子签名依赖方的法律关系电子认证机构与电子签名依赖方之间是法定的信赖关系。我国《电子签名法》在第三章的相关条款中规定了电子认证机构设立的条件和必须遵守的业务规则,并在第二十二条中明确规定:“保证电子签名依赖方能够证实或者了解电子签名认证证书所载内容及其他有关事项”。285.4电子认证各方的权利义务一电子签名人的权利和义务(一)电子签名人的权利1获得有效合格认证证书的权利2提出终止或撤销认证证书的权利(二)电子签名人的义务1真实陈述的义务2私钥保管的义务3通知的义务4缴纳费用的义务5正确使用的义务二电子签名依赖方的权利义务(一)电子签名依赖方的权利1要求认证机构谨慎地保证认证证书中内容的真实性,因信赖存在问题的认证证书而导致损失可以请求认证机构进行赔偿。2要求认证机构履行信息披露的义务,可以就不明事宜向认证机构进行查询。(二)电子签名依赖方的义务1判定证书是否存在对交易量的限制2判定证书的有效期3尽量使用其他方式来确认交易的有效性。三认证机构在法律关系中的权利和义务(一)认证机构的权利1有权要求申请不同类型认证证书的申请者提供不同的真实材料。2有权提供不同类型的认证证书以满足不同的用户需要3有权委托相关法人单位作为业务受理审批单位从事认证证书的受理、用户身份的审核与发放等事宜4有权向认证证书申请人收取相关费用。5有权向认证电子签名人及相关人员开展认证证书遭受破坏或盗用的调查。(6)有权撤销因下列情形而颁发的认证证书①认证证书申请人提供不真实的资料。②认证证书申请人有盗用、冒用、仿造或者篡改他人证书的情况出现。③认证证书系认证机构内部人员违反内部规范作出。④与证书中的公钥相对应的私钥被泄密。⑤由于认证证书的原有用途已不再需要而被终止。⑥认证电子签名人未续交相关费用。⑦其他情形需要撤销的情况。(7)对认证证书申请人的相关真实资料进行确认的权利。(8)当因他人的行为而导致认证机构发生损失时,认证机构有要求赔偿的权利。(二)认证机构的义务1、如实披露2、签发证书并保证证书所载信息准确的义务3、保存资料的义务4、通知及承接的义务5、保密义务6、其他义务第三节电子认证各方的法律责任一电子签名人的法律责任电子签名人承担法律责任的主要情形:(1)电子签名人向电子认证机构提供了虚假信息,或对重大信息的事实有所隐瞒或不如实陈述。电子签名人对事实表示有误或易曲解。(2)电子签名人故意或使其私密钥失控,如电子签名人未能使用值得信任的系统或以妥善保管其私人密钥,造成私人密钥遭受破坏、盗用、遗失、泄露、修改或未经授权的使用等情况;或者没有使用必要的防护措施来防止电子签名人的私钥遗失、泄密、被修改或被未经授权的人使用等情祝。(3)电子签名人在使用证书时,,操作不当或者其他不可归因于认证机构的事故发生而导致损失等情况。(4)电子签名人将认证证书转让、转借给他人。(5)电子签名人未按认证机构的要求对认证证书进行相关的更新及废除无效证书的行为。2电子签名人民事法律责任的构成要件1)电子签名人有违反电子签名法规定或当事人约定的行为2)上述行为给相对方造成了损害事实3)行为与损害事实之间具有因果关系