《电子商务法 第三版 第三章》由会员分享,可在线阅读,更多相关《电子商务法 第三版 第三章(65页珍藏版)》请在金锄头文库上搜索。
1、第3章,电子认证与电子签名法律问题,学习要点,电子认证,1,认证机构,2,数字证书,3,电子认证过程中的关系,4,电子签名与电子签名的实现,5,【现在开庭】,【基本案情】 【你是法官】,电子签名法第一案手机短信也是数据电文,见课本,请确定本案争议的焦点。 如果你是法官,你将如何审理此案?,法律讲堂,3.4电子认证活动中的法律问题,3.1电子认证概述,3.2电子认证机构,3.3电子认证证书,3.5电子签名,3.1电子认证概述,电子认证的概念 电子认证的作用 电子认证的分类 电子认证的程序,电子认证的概念,电子认证,是以特定的机构对电子签名及其签字者的真实性进行验证的具有法律意义的服务。 在电子认
2、证过程中,有一个把电子签名和特定的人或者实体加以联系的专门管理机构,这个特定的机构就是“认证机构(Certification Authority,简称CA)”。 CA作为电子商务交易中受信任的第三方,承担公钥的合法性验证的责任。 CA中心为每个使用公开密钥的用户发放一个认证证书,认证证书的作用是证明证书所列出的用户合法拥有证书中列出的公开密钥;负责产生、分配并管理所有参与网上交易的个体所需的认证证书,是安全电子交易的核心环节。,广义的认证即鉴别,主要包含对事物真伪的辨识的意思,它既可以是第三人鉴别,也可能是当事人之间相互的鉴别。 狭义的认证,特指由认证服务的第三方机构所进行的鉴别。,电子认证的
3、作用,电子认证的分类,电子签名的认证,是指特定的机构通过一定的方法对签字者及其所做签字的真实性进行验证的过程。,可见,这三种认证过程基本相似。,目前,在开放性网络中被广泛使用的电子签名以数字签名为主,因此,认证机构也主要是对数字签名的真实性进行确认。,电子认证的程序,在电子文件环境中,CA认证中心起到了一个行使具有权威性、公证性的第三人的作用。 而经CA认证中心颁发的认证证书就是证明签名者和他所有的电子签名之间的对应关系的电子资料,该资料指明并确认使用者名称及其公共密钥。 使用者从公开地方取得证明后,只要查验证明书内容确实是CA认证机构所发,即可推断证明书内的公开密钥确实为该证明书相对应的使用
4、者的密钥,进而确认经该密钥所验证的电子签名为其所签署。,3.2电子认证机构,认证机构的概念及特点 电子认证机构的设立 认证机构的管理,认证机构的概念,认证机构(Certification Authority,简称CA认证机构,或CA认证中心) 是在电子合同中对用户的电子签名颁发数字证书的机构。 大体而言是指签发认证证书的自然人或法人。 CA认证机构作为第三方,承担公共密钥的合法性检验并为每一位用户签发一份数字证书,证明有关用户合法拥有证书中列出的公共密钥,同时CA作为对该证书的数字签名保证该证书不会被伪造和篡改。 CA认证机构负责产生、分配并管理所有参与电子商务交易的第三人所需要的数字证书,在
5、电子商务交易中的作用是十分重要的。,认证机的特点,电子认证机构的设立,鉴于CA认证机构在电子交易中的重要作用,认证机构的设立必须符合一定的标准,才能保证其运营能够符合电子商务的需要。 认证机构的运营受到切实有效的监督,才能最大限度地减少其对证书使用各方利益的损害。,电子认证机构的设立形式,电子认证机构设立的条件,从事电子认证服务的专业技术人员、管理人员、安运营全管理人员和客户服务人员不少于三十名,注册资金不低于人民币三千万元,具有独立的企业法人资格,法律、行政法规规定的其他条件,具有国家密码管理机构同意使用密码的证明文件,具有符合国家有关安全标准的技术和设备,具有固定的经营场所和满足电子认证服
6、务要求的物理环境,此外,从事电子认证服务,应当向国务院信息产业主管部门提出申请,并提交符合电子签名法第十七条规定条件的相关材料。具体包括:,认证机构的管理,各国对认证机构的管理各有其政策。总的来说,可分为以下类别:,认证机构的监管办法,信息产业部对电子认证服务机构进行年度检查并公布检查结果;年度检查采取报告审查和现场核查相结合的方式;取得电子认证服务许可的电子认证服务机构,在电子认证服务许可的有效期内不得降低其设立时所应具备的条件;电子认证服务机构应当按照信息产业部信息统计的要求,按时和如实报送认证业务开展情况及有关资料;电子认证服务机构应当对其从业人员进行岗位培训。 信息产业部根据监督管理工
7、作的需要,可以委托有关省、自治区和直辖市的信息产业主管部门承担具体的监督管理事项。,3.3 电子认证证书,数字证书的概念及内容 数字证书的效力 数字证书的种类 数字证书的管理,数字证书的概念,所谓数字证书是指由独立的授权机构发放的,证明交易主体在Internet上的身份证件,是交易主体在因特网上的身份证,是交易主体收发数据电讯时采用证书机制保证安全所必须具备的证书。,数字证书的内容,数字证书的效力,证书的效力,是与证书服务关系中当事人所应遵守的义务,以及违反该义务的责任相联系的。,数字证书的种类,数字证书的管理,1,2,3,4,5,6,7,1.证书的颁发,一般而言,如果认证机构收到未来签署者要
8、求颁发的请求,并且自己或通过授权机构证实以下项目,即应向未来的签署者颁发证书:,2.证书的发布,同证书的颁发一样,证书发布也是一种服务,其发布的方式与内容,应由法律规定和协议的条款来决定。 其中应包括必须发布、选择发布、密秘存储三种不同的内容,而各种内容的依据又有所不同:,3.证书的接收,证书的接收是与证书的颁发相对的行为,它对于接收证书的用户来说,具有重要的法律意义。 一方面通过证书接收,用户对其证书享有了支配、使用权;另一方面,自接收时起,就要承担作为证书拥有人的义务。,3.证书的接收,4.证书的中止,证书中止,主要是针对影响认证安全的紧急事件而采取的暂性措施。它只暂时阻止证书的使用,待需
9、要调查处理的事宜完毕后,再作决定,所以在证书中止期间,暂不涉及证书的最终命运。 我国电子签名法对此规定:如果在证书中与公共密钥配对的私有密钥被泄露给第三人,则接受证书的登记人应尽快请求发证机构中止证书。,5.证书的撤销,证书的有效期是有限制的,通常标示在证书的签署部分,指示了起始与期满的时日。 有效期的长短,是以认证机构颁发证书时的条件决定的,一般从几个月到几年。 证书颁发之后,一般期望在整个有效期内可使用。 然而,在某些情况下,用户必须在有效期满之前停止对证书的使用。 经由撤销,证书的有效期将比通常预计的期限要短。 证书的撤销与中止,都涉及阻却认证效力的措施,但中止只是暂时性的,而撤销则是永
10、久性的。,我国电子认证服务管理办法有下列情况之一的,电子认证服务机构可以撤销其签发的电子签名认证证书:,在撤销证书时,认证机构必须在指定地点发布撤销通知。,6.证书的期限届满,证书的期限届满,是一种使认证服务关系归于完结的法律事实。 是证书关系正常了结的方式,也是认证关系当事人所希望的结果。 证书期限届满的后果,一般表现在两个方面:,7.证书的保存,证书的保存与利用,是证书发作用的基本途径。 其保存方式除了存放于数据库之外,对于证书资料的公开部分,其方式主要是发布于信息公告栏。如此,既可妥善保存,又可让证书依赖人随时查阅,以达到充分利用、促进交易的效果。 我国电子签名法第二十四条规定: 电子认
11、证服务提供者应当妥善保存与认证相关的信息,信息保存期限至少为电子签名认证证书失效后五年。,3.4 电子认证活动中的法律问题,认证机构与证书持有人之间法律关系的性质 电子认证机构与证书持有人之间法律关系 电子认证机构的法律责任范围 电子认证机构的法律义务,认证机构与证书持有人之间法律关系的性质,认证机构与其证书持有人之间是合同关系。 双方的法律地位是平等的,是否需要订立认证合同,其内容如何,均由当事人协商确定。 双方当事人的合同关系主要表现在认证的证书上。 当事人在线或离线申请证书,认证机构允诺,合同即可成立。 合同的标的是认证机构的服务行为,双方的权利义务载明在认证证书上,因此,证书本身虽不是
12、合同,但它是合同存在的证明。,电子认证机构与证书持有人之间法律关系,证书依赖人是指依赖认证证书所载的信息真实从而与证书持有人进行交易的人。 认证机构与证书依赖人之间应是利益依赖关系,这种关系的基础源于法律的规定,而非当事人间的约定。 在安全电子商务中,为达成交易所需,有独立的认证机构为当事人提供交易之必要的了解是极其重要的,否则交易的信心与安全均无法建立。 因此,认证机构在虚拟社会扮演着公用事业单位的角色,它在电子商务信用体系中起到了核心作用。 基于这样的情况,法律规定认证机构的某些法定义务须及于所有从事电子商务交易的人。,电子认证机构的法律责任范围,电子认证机构的法律义务,保证电子签名依赖方
13、能够证实或者了解电子签名认证证书所载内容及其他有关事项,妥善保存与电子认证服务相关的信息,保证电子签名认证证书内容在有效期内完整、准确,电子认证服务机构在受理电子签名认证证书申请前,应当向申请人告知下列事项:,电子认证服务机构对电子签名人和电子签名依赖方的资料,负有保密的义务,电子认证服务机构应当遵守国家的保密规定,建立完善的保密制度,电子认证服务机构应当建立完善的安全管理和内部审计制度,并接受信息产业部的监督管理,电子签名认证证书和电子签名的使用条件; 服务收费的项目和标准; 保存和使用证书持有人信息的权限和责任; 电子认证服务机构的责任范围; 证书持有人的责任范围; 其他需要事先告知的事项
14、,3.5 电子签名,电子签名与传统签名的功能比较 电子签名的实现方法 基于PKI的电子签名基本过程 我国电子签名法的基本内容 合国国际贸易法委员会的规定,电子签名与传统签名的功能比较,传统签字盖章的功能,电子签名的功能,电子签名的实现方法,将手写签名或印章作为图像,用光扫描转换后在数据库中加以存储,当对此人进行验证时,用光扫描输入,并将原数据库中对应图像调出,用模式识别的数学计算方法,进行比对,以确认该签名或印章的真伪。 这种方法曾经在银行会计柜台使用,由于需要大容量数据库存储以及每次手写签名和盖印的差异性,证明了这种方法不适用于互联网上传输。,生物识别技术是利用人体生物特征进行身份认证的一种
15、技术 主要有以下几种: 指纹识别技术 视网膜识别技术 声音识别技术 以上身份识别方法适用于面对面场合,不适用远程网络认证及大规模人群认证,传统的对称密钥加/解密的身份识别和签名方法 适用远程网络传输,对称密钥管理困难,不适合大规模人群认证。,量子计算机是以量子力学原理直接进行计算的计算机。使用一种新的量子密码的编码方法,即利用光子的相位特性编码。 这将是世界上最安全的密码认证和签名方法。 但是,这种计算机还只是停留在理论研究阶段,离实际应用还很遥远。,基于PKI(公钥基础设施)的电子签名被称作“数字签名”。 目前,具有实际意义的电子签名只有公钥密码理论。所以,目前国内外普遍使用的、技术成熟的、
16、可实际使用的还是基于PKI的数字签名技术。,基于PKI的电子签名基本过程,1.认证,2.电子签名的操作过程,2.电子签名的操作过程图示,3.电子签名的验证过程,3.电子签名的验证过程图示,电子签名与电子签名验证过程的结合(图示),电子签名的作用,原文保密的电子签名实现方法,我国电子签名法的基本内容,电子签名法规定的义务,电子签名人的义务,认证机构的义务,电子签名法的深远影响,最直接的影响在于,赋予了可靠的电子签名与手写签名或者盖章具有同等的法律效力,企业和消费者可以利用电子签名从事民商事活动;人们会逐步摆脱纸文档的束缚,更多地利用互联网从事日常活动,包括网上购物、网上付款、网上申请、网上报关报税等等,签署一份合同将会更加方便。 电子签名法可以提升公信力,推动电子商务发展,推进我国信息化建设进程,进而促进生产力的发展。,电子签名法的问题,合国国际贸易法委员会的规定,2001年的电子签名示范法作为先锋和纲领性的文件对电子签名中的各方的责任和义务做出了规
