（法律法规课件）第五章电子认证法律制度

《（法律法规课件）第五章电子认证法律制度》由会员分享，可在线阅读，更多相关《（法律法规课件）第五章电子认证法律制度（11页珍藏版）》请在金锄头文库上搜索。

1、第五章 电子认证法律制度第一节 电子认证概述一、 电子认证的概念与类型（一） 认证与电子认证1、 认证2、 电子认证（二） 按计算机已有的认证功能及其认证的对象来分，电子认证主要有以下几种类型：1、 站点认证2、 数据电文认证3、 电讯源的认证4、 身份认证二、 电子签名的认证电子认证的具体操作程序为：（1）发件人利用密钥制造系统产生公用密钥和私人密钥。（2）发件人在做电子签名前，必须将他的身份信息和公用密钥送给一个经合法注册，具有从事电子认证服务许可证的第三方，也就是CA认证中心，向该认证中心申请登记并由其签发认证证书。（3）认证机构根据有关的法律规定和认证规则以及自己和当事人之间的约定，对

2、申请进行审查。如果符合要求，就发给发件人一个认证证书，证明发件人的身份、他的公开密钥以及其他有关的信息。（4）发件人对其要约信息以其私人密钥制作数字签名文件，连同认证证书一并送给收件方，向对方发出要约。（5）收件方接到电子签名文件和认证证书之后，根据认证证书的内容，向相应的认证机构提出申请，请求认证机构将对方的公开密钥发给自己。（6）收件人通过公用密钥和电子签名的验证，即可确信电子签名文件的真实性和可靠性。若认证机构有“认证废止目录”，则可以查询目录以了解该认证证书是否依然有效；收件人承诺，则电子合同成立。由此可见，在电子文件环境中，CA认证中心起到了一个行使具有权威性、公证性的第三人的作用。

3、三、 认证机构（CA）与公开密钥体系（PKI体系）（一） 认证机构认证机构（Certification Authority。简称CA认证机构，或CA认证中心）是指在电子合同中对用户的电子签名颁发数字证书的机构，它已经成为开放性电子商务活动中不可缺少的信用服务机构。联合国贸易法委员会在其电子签名统一规则（草案）第1条第4款中规定：“认证机构，是指从事颁发为数字签名的目的而使用的加密密钥相关的（身份）证书的任何人或实体。（该定义受任何要求认证机构须取得许可、或认可或以一定的方式进行营业的有效法的限制。）”美国统一电子交易法（草案）第2条规定：“认证机构，是指任何在其业务中从事颁布用于数字签名的密钥

4、身份证书的人或实体”。可见，大体而言是指签发认证证书的自然人或法人。作为认证机构，都应当具备一定条件：首先，它必须是独立的法律实体。能够以自己的名义从事数字证书服务。并且能够以自己的财产提供担保，能在法律规定的范围内自己承担相应的民事责任。其次，它必须保持中立并具有可靠性。再次，它必须能够被当事人接受。最后，它不得以营利为目的。（二） PKI体系完整的PKI系统包括1、 认证机构2、 数字证书库3、 密钥备份及恢复系统4、 证书作废系统5、 应用接口（三） 认证机构的主要职责可简单归结为颁发、更新、查询、作废、归档等五项功能四、 电子认证机构的服务内容1、 制作、签发、管理电子签名认证证书2、

5、 确认签发的电子签名认证证书的真实性3、 提供电子签名认证证书目录信息查询服务4、 提供电子签名认证证书状态信息查询服务第二节 认证机构的设立与管理规范一、 认证机构的设立与监管模式电子认证服务的监管模式有1、 强制性许可制度2、 非强制性许可制度3、 行业自律我国电子签名法规定了采用强制性许可制度，并对电子认证服务应当具备的条件做出了规定。二、 电子认证机构的设立原则与条件（一） 我国电子认证机构按经营的范围分为行业性和地域性两种；按运营模式来分有商业性和非商业性两种。目前电子商务认证机构存在的主要问题有以下几个方面：1、 建设过热，有一定的盲目性，造成重复建设和资源浪费；2、 对电子商务认

6、证机构的作用认识不足；3、 低估认证机构运行的难度，缺乏必要的规章制度；4、 认证机构对自身的安全性认识不够，对承担风险认识不足；5、 法律法规、行业规范亟待健全。（二） 电子认证机构的设立应遵守以下原则1、 权威性原则2、 真实性原则3、 保密性原则4、 迅捷性原则5、 经济性原则（三） 电子认证的业务经营应实行许可制度我国电子签名法第十八条规定，“从事电子认证服务，应当向国务院信息产业主管部门提出申请，并提交符合本法第十七条规定条件的相关材料。国务院信息产业主管部门接到申请后经依法审查，征求国务院商务主管部门等有关部门的意见后，自接到申请之日起四十五日内作出许可或者不予许可的决定。予以许可

7、的，颁发电子认证许可证书；不予许可的，应当书面通知申请人并告知理由。”电子认证服务管理办法第六条规定，“申请电子认证服务许可的，应当向工业和信息化部提交下列材料：“（一）书面申请。“（二）人员证明。“（三）资金证明（经依法审计的近三年的财务会计报告，新成立公司的验资报告）。“（四）经营场所证明。“（五）国家有关认证检测机构出具的技术、设备、物理环境符合国家有关安全标准的凭证。“（六）国家密码管理机构同意使用密码的证明文件。”我国电子签名法第十七条对提供电子认证服务应当具备的条件做出了如下的规定：“（一）具有与提供电子认证服务相适应的专业技术人员和管理人员； “（二）具有与提供电子认证服务相适应

8、的资金和经营场所； “（三）具有符合国家安全标准的技术和设备； “（四）具有国家密码管理机构同意使用密码的证明文件； “（五）法律、行政法规规定的其他条件。”三、 交叉认证的规范电子商务的活动常常是跨越国境的，各个参与方就需要有不同国家的认证机构对各自的身份进行认证，并向电子商务活动的相对方发放认证证书。这就需要各国相互承认对方国家认证机构发放的认证证书的效力。实践中有两种解决办法：（1）在本国有关电子签名的法律法规中明确规定他国或地区的认证机构发放的认证证书的效力。如加拿大和美国某些州之间就通过法律规定互相承认所发放的认证证书的效力；某些欧洲国家的电子签名法也规定，其他欧盟成员国国内认证机构

9、发放的认证证书同本国认证机构发放的认证证书具有同等的效力。（2）通过签订国际条约或双边协定来相互承认对方国家国内认证机构发放的认证证书的效力。因此，有关电子签名以及电子签名认证的法律业已成为国际法的重要组成部分。我国电子签名法第二十六条规定，“经国务院信息产业主管部门根据有关协议或者对等原则核准后，中华人民共和国境外的电子认证服务提供者在境外签发的电子签名认证证书与依照本法设立的电子认证服务提供者签发的电子签名认证证书具有同等的法律效力。”第三节 认证机构的证书业务规范一、 数字证书的颁发与公布电子认证证书，是网络通讯中标志通讯各方身份信息的一系列数据，它提供了一种在因特网交易中验证当事人身份

10、的方式。认证证书，又称数字证书（Digital Certificate，Digital ID），是用电子手段证实用户的身份及其对网络资源的访问权限的特定化信息。在网上电子交易中，如果一方向交易对方提交一个由认证机构签发的证书，能使对方了解自己的身份状况，增强对方的信任度；如果双方出示了各自的数字证书，并用它们进行交易操作，那么，一般情况下，双方就可以不必再为对方身份的真实性而担心。数字证书的基础是公开密钥体系。我国电子签名法第二十一条规定，“电子认证服务提供者签发的电子签名认证证书应当准确无误，并应当载明下列内容：“（一）电子认证服务提供者名称； “（二）证书持有人名称； “（三）证书序列号；

11、 “（四）证书有效期； “（五）证书持有人的电子签名验证数据； “（六）电子认证服务提供者的电子签名； “（七）国务院信息产业主管部门规定的其他内容。”二、电子证书的中止、撤销与终止1、电子证书的中止现将美国犹他州的数字签字法和马来西亚的1997年数字签字法的相关规定介绍如下：美国犹他州的数字签字法，对证书中止情况作了较为详细的规定。主要有：（1）认证机构收到证书上载明的用户或用户的代理人、利害关系人的请求；（2）认证机构收到主管部门的命令；（3）认证机构也可以同用户约定中止的情形。马来西亚的1997年数字签字法关于证书中止的规定如下：（1）证书所载用户的请求，或者其他可能知悉该证书的私钥可能

12、受损；（2）主管部门认为证书发放时，存在违法或者可能危及证书的信赖人利益而命令中止。2、电子证书的撤销电子证书的撤销，是电子证书在其有效期内，由于出现证书被盗、私钥泄漏、用户名称变更、用户死亡等特殊情况时，认证机构将证书撤销的行为。认证机构在接到电子证书撤销的申请后或认为应当撤销时，应迅速完成证书的撤销。电子证书的撤销必须根据证书政策及其实施说明中具体规定的撤销程序撤销证书。美国犹他州的数字签字法规定了以下几种情况：（1）证书持有人请求撤销；（2）用户死亡；（3）认证机构确定其发放的证书不可靠。新加坡的电子交易法规定：（1）收到并证实证书持有人的申请；（2）收到并证实证书持有人已死亡；（3）证

13、书持有人解散或不存在。马来西亚的1997年数字签字法规定：（1）认证机构发现该证书的发放不符合法定条件；（2）认证机构的监控机构发现证书的发放不符合法定条件，可以要求认证机构撤销；（3）认证机构发放证书而用户没有接受；（4）证书持有人申请撤销；（5）证书持有人死亡；（6）可靠证书的撤销。我国认证机构对证书撤销的规定（电子认证服务管理办法第二十九条）：“有下列情况之一的，电子认证服务机构可以撤销其签发的电子签名认证证书：“（一）证书持有人申请撤销证书。“（二）证书持有人提供的信息不真实。“（三）证书持有人没有履行双方合同规定的义务。“（四）证书的安全性不能得到保证。“（五）法律、行政法规规定的其

14、他情况。“从各国相关规定可以看出，数字证书撤销的事由主要有：（1）证书关系主体资格方面，如认证机构解散、证书持有人死亡或解散；（2）证书记载方面，如记载反映的情况已经发生变化而未作变更；（3）证书技术基础发生变化，如认证机构或用户的私钥泄密、新密钥代替原密钥等；（4）有关主体的行为，如用户请求撤销、认证机构或用户违反业务说明等；（5）有关主管机构的命令等。3、电子证书的终止电子证书的终止，是指证书在期限届满或政策规定的情形出现时失去法律效力的情形。电子证书的终止意味着，认证法律关系的终结。就证书终止的法律后果来看，一方面，解除了认证机构因颁发证书而产生的一系列义务；另一方面，解除了证书持有人即

15、用户的义务。作为企业，对电子认证的管理当然也要依据对企业加以规制的法律规定。比如，我国的企业法人登记管理条例第29条规定：登记主管机关对企业法人依法履行下列监督管理职责：（1）监督企业法人按照规定开业、变更、注销登记；（2）监督企业法人按照登记注册事项和章程、合同从事经营活动；（3）监督企业法人和法定代表人遵守国家法律法规；（4）制止和查处企业法人的违法经营活动，保护企业法人的合法权益。第30条规定：企业法人有下列情形之一的，登记主管机关可以根据情况分别给予警告、罚款、没收非法所得、停业整顿、扣缴、吊销企业法人营业执照的处罚：（1）登记中隐瞒真实情况弄虚作假或者未经核准登记注册擅自开业的；（2）擅自改变主要登记事项或者超出核准登记的经营范围从事经营活动；（3）不按照规定办理注销登记或者不按