《第5章电子认证法律法规课件》由会员分享,可在线阅读,更多相关《第5章电子认证法律法规课件(89页珍藏版)》请在金锄头文库上搜索。
1、第一章 电子商务法导论 1电子商务法电子商务法 主讲教师:主讲教师: 胡媛荣胡媛荣第一章电子商务法导论1电子商务法主讲教师第一节电子认证概述(一)认证:指权威的、中立的、没有直接利害关系的第三方对当时人提出的包括文件、身份物品及产地、品质、具有法律意义的事实与资格进行审查后做出的证明。 电子认证:是以特定的机构对电子签名及其签署者的真实性经行验证的具有法律意义的服务活动。第一节电子认证概述(一)认证:指权威的、中立的、没有直接利电子认证的作用:1确认交易双方的身份和交易内容2防止电子签名人对已经认证的信息予以否认。3防止电子认证交易当事方以外的人实施欺诈行为。电子认证的作用:电子认证的意义:1
2、保证电子商务的安全2促进电子商务的发展电子认证的意义:(二)电子认证的方法1、用身份认证的传统方法2、基于智能卡的身份认证方法3、口令认证方法4、使用公开密钥签名算法的挑战响应算法5、使用电子签名与双重电子签名的身份认证方法。(二)电子认证的方法电子认证的分类n站点认证n数据电文认证1 该电文是由确认的发信人发出的 2 该电文的内容没有经过篡改或发生错误 3 该电文是按确定的次序进行接受的 4 该电文已经传输给确定的收信人n身份认证电子认证的分类站点认证电子认证的技术n数字认证技术数字认证技术 数字认证就是利用密码学的方法实现认证。现在最普遍的数字认定技术就是采用口令认证n生物认证技术生物认证
3、技术 人脸认证、指纹认证、虹膜认证、掌纹认证、声音认证、步态识别、手工签名认证电子认证的技术数字认证技术(四)认证机构:CertificationAuthority,专指电子商务中对用户的电子签名办法数字证书的机构。电子认证服务提供者:我国电子认证服务管理办法第二条:指为电子签名人和电子签名依赖方提供电子认证服务的第三方机构。(四)认证机构:CertificationAuthorit电子认证机构的特征n独立性n权威性n中立性与可靠性n非盈利性电子认证机构的特征独立性电子认证机构的设立与管理n电子认证机构实际上是一个企业,其设立的条件包括人员、资金、营业场所和设备。电子认证机构的设立与管理电子认
4、证机构实际上是一个企业,其设立认证业务经营实行许可制度。电子认证服务管理办法第六条申请电子认证服务许可的,应当向信息产业部提交下列材料:(一)书面申请;(二)专业技术人员和管理人员证明;(三)资金和经营场所证明;(四)国家有关认证检测机构出具的技术设备、物理环境符合国家有关安全标准的凭证;(五)国家密码管理机构同意使用密码的证明文件。认证业务经营实行许可制度。n第五条电子认证服务机构,应当具备下列条件:(一)具有独立的企业法人资格;(二)从事电子认证服务的专业技术人员、运营管理人员、安全管理人员和客户服务人员不少于三十名;不少于三十名;(三)注册资金不低于人民币三千万元;三千万元; (四)具有
5、固定的经营场所和满足电子认证服务要求的物理环境;(五)具有符合国家有关安全标准的技术和设备;(六)具有国家密码管理机构同意使用密码的证明文件(七)法律、行政法规规定的其他条件。第五条电子认证服务机构,应当具备下列条件:电子认证的程序n(1)发信人(一般为电子签名人)在进行电子签名前,利用密钥制造系统产生公钥,密钥对中的私钥由发信人自己保管。n(2)电子签名人把其身份信息和公钥提交给一个经合法注册,具有从事电子认证服务许可证的第三方,也就是CA认证中心,申请该认证中心登记并由其签发认证证书。n(3)电子认证机构根据有关的法律规定和认证规则以及自己和电子签名人之间的约定对申请进行审查。如符合上述要
6、求,则发给电子签名人一个“认证证书”,证明电子签名人的身份、公钥及其他相关信息。13电子认证的程序(1)发信人(一般为电子签名人)在进行电子签n(4)发信人将电子签名文件和认证证书一起发给收信方(一般为电子签名依赖方)。n(5)收信人接到电子签名文件和认证证书后,根据认证证书中的内容,向相应的认证机构提出申请,请求认证机构将发信人的公钥发给自己。n(6)收信人通过对公钥及电子签名的验证即可确认电子签名文件的真实性和可信性。在电子交易的全过程中,当事各方在各个环节上都需要进行电子认证。第一章 电子商务法导论 14(4)发信人将电子签名文件和认证证书一起发给收信方(一般为电子认证的效力1立法形式(
7、1)以直接的立法形式明示直接承认可被接受的技术方案。如美国犹他州和我国香港特别行政区的法例等。(2)授权政府行政主管部门制定相应规则,如享有颁发、吊销CA机构从事电子认证业务许可的权力,同时对违规或违法经营的CA机构享有行政处罚权。(3)制定明确的设立及管理CA机构的条件及程序。同时,在监管CA机构层面上,政府主管部门还设置所有合法登记、注册经营电子认证业务的CA机构的资料库供客户查询。第一章 电子商务法导论 15电子认证的效力1立法形式第一章电子商务法导论15n2.协议形式 在此种情形下,法律只规定原则性原则性条文条文,如确认电子签名与书面签名的同等效力,至于当事各方如何选择技术方案以及由谁
8、进行认证,则由当事各方协议确定。在此情况下,电子认证业务不纯粹由 CA 机构独享,银行、ISP 公司均可扮演电子认证机构的角色。第一章 电子商务法导论 162.协议形式第一章电子商务法导论165.2认证证书业务规范n认证证书的概念认证证书的概念 认证证书又称数字证书认证证书又称数字证书(Digital Certificate(Digital Certificate,Digital ID)Digital ID),是指用电子手段证实用户的身份、交易,是指用电子手段证实用户的身份、交易信息内容及其对网络资源的访问权限的特定化信息。信息内容及其对网络资源的访问权限的特定化信息。在网上交易中,如果交易双
9、方都出示了各自的认证证在网上交易中,如果交易双方都出示了各自的认证证书,则证明它们已得到一定认证机构的许可,在认证书,则证明它们已得到一定认证机构的许可,在认证限制范围内可与它们进行安全的网上交易。认证证书限制范围内可与它们进行安全的网上交易。认证证书亦可称为身份证书亦可称为身份证书(Identity Certificate)(Identity Certificate)、强化证、强化证 书书(Enhanced Certificate)(Enhanced Certificate)等。等。175.2认证证书业务规范认证证书的概念17n认证证书的类型认证证书的类型(1) (1) 客户证书。客户证书。
10、它是指认证机构仅为一个用户提供数字证书,它是指认证机构仅为一个用户提供数字证书,以便于个人在网上进行安全的交易操作。以便于个人在网上进行安全的交易操作。(2) (2) 商家证书。商家证书。它是由收单银行批准,由金融机构颁发的,它是由收单银行批准,由金融机构颁发的,是对商家是否具有信用卡支付交易资格的一个证明。在是对商家是否具有信用卡支付交易资格的一个证明。在 SET SET 中,商家可以持有一个或多个数字证书。中,商家可以持有一个或多个数字证书。(3) (3) 网关证书网关证书。它通常是由收单银行或其他负责进行认证和。它通常是由收单银行或其他负责进行认证和收款的机构持有。客户对账号等信息加密的
11、密码由网关证收款的机构持有。客户对账号等信息加密的密码由网关证书提供。书提供。(4) (4) 认证机构系统证书。认证机构系统证书。即各级、各类认证机构即各级、各类认证机构( (如如 RCARCA、BCABCA、GCAGCA、MCAMCA、PCAPCA等等) )所持有的数字证书。所持有的数字证书。18认证证书的类型18n认证证书的等级认证证书的等级(1) (1) 第一等级。第一等级。用户只能依赖它进行网页浏览和收发个人电用户只能依赖它进行网页浏览和收发个人电子邮件,在这种环境下只是稍微增加了安全子邮件,在这种环境下只是稍微增加了安全(2) (2) 第二等级。第二等级。电子签名人使用更详细的证明证
12、书于框架范电子签名人使用更详细的证明证书于框架范围内的电子邮件、小额、小风险的交易,个人之间的电子围内的电子邮件、小额、小风险的交易,个人之间的电子邮件、口令变更、软件确认以及在线订购服务;邮件、口令变更、软件确认以及在线订购服务;(3) (3) 第三等级第三等级。用于电子银行、电子数据交换、软件确认以。用于电子银行、电子数据交换、软件确认以及基于会员的在线服务。及基于会员的在线服务。19认证证书的等级19认证机构在认证证书业务规范中承担的职责1.认证机构在认证证书颁发中的职责n证书颁发:证书颁发:一般而言,认证机构颁发证书应具备以下条件:认证机构收到电子签名人要求颁发证书的申请;认证机构核实
13、证书申请人与证书上所列的人或实体相一致;证书申请人正确持有与证书内载明的公钥相符合且能创设数字签名的私钥;证书内载明的公钥要用于证实附随于潜在签署持有的私钥生成的数字签名。20认证机构在认证证书业务规范中承担的职责1.认证机构在认证证n证书发布证书发布:证书的颁发是直接向用户作出的一种当事人之间的通知行为,而其发布则是向全社会作出的一种公告行为,二者共同构成完整的证书颁发业务。只有用户自己知道其证书,而潜在的交易方不曾知晓,就不可能使认证证书发生其效用并促使交易的发生。证书的发布根据其所针对的对象不同,一般包括必发、选发、密存 3 种不同的内容。21证书发布:证书的颁发是直接向用户作出的一种当
14、事人之间的通知行认证机构在认证证书管理中的职责n证书的中止n证书的撤销n证书的终止n证书的保存22认证机构在认证证书管理中的职责证书的中止22n1) 证书的中止n证书的中止是指在用户使用证书的有效期限内,由于某种特定事件(主要是影响认证安全的紧急事件),认证机构所采取的暂时中断证书效力的行为。在该事件消除影响后,用户要继续使用该证书。n证书的中止通常由与证书有利害关系的一方提出,认证机构在接到申请后,有权依证书政策和证书政策实施说明对证书进行中止。证书中止后,认证机构应立即向所有发布证书的信息公告栏发出证书中止的通知。231)证书的中止23n2) 证书的撤销n证书的撤销是指在证书的有效期内,由
15、于某些特殊情况的出现,认证机构将证书撤销的行为。所谓特殊情况,是指证书被盗、私钥泄露、用户名称变更、用户死亡等。认证机构在接到证书撤销的申请后,认为应当撤销时,应迅速完成撤销行为。如果证书丧失其安全性,无论用户是否同意,认证机构也可以撤销该证书。证书被撤销后,认证机构也应当向信息公告栏发布证书撤销通知。第一章 电子商务法导论 242)证书的撤销第一章电子商务法导论24n3) 证书的终止n证书的终止是指证书在期限届满或证书政策规定的其他情形出现时失去法律效力的情形。证书的终止意味着电子认证各方法律关系的终结。就证书终止的法律后果而言,同时解除了认证机构与电子签名人的一系列义务。第一章 电子商务法
16、导论 253)证书的终止第一章电子商务法导论25n4) 4) 证书的保存证书的保存n证书的保存是证书得以发挥其作用的基本途径。其保存方式除了存放于数据库之外,对于无须密存的信息,还可发布于信息公告栏中。这样,既可方便证书信赖人之查阅,也可实现促进网络交易之目的。264)证书的保存265.2电子认证各方的法律关系电子认证机构与电子签名人之间是特殊的服务合同关系。n第一,认证机构提供的信息是经过核实的、有关电子交易人第一,认证机构提供的信息是经过核实的、有关电子交易人所关心的基本信息。通常包括交易人是谁、在何处、以何种所关心的基本信息。通常包括交易人是谁、在何处、以何种电子签名方式与之交易、其信用
17、状况如何等。电子签名方式与之交易、其信用状况如何等。n第二,认证机构在进行认证时,还需承担其他服务合同所具第二,认证机构在进行认证时,还需承担其他服务合同所具备的付随义务,例如,对电子签名人提供的信息保密义务、备的付随义务,例如,对电子签名人提供的信息保密义务、公钥的保密义务等。公钥的保密义务等。n第三,电子签名人除了应履行一般的支付服务费用义务外,第三,电子签名人除了应履行一般的支付服务费用义务外,还应履行一些与认证关系特性相应的义务。这些义务主要包还应履行一些与认证关系特性相应的义务。这些义务主要包括两种:真实陈述义务和私钥保管义务。括两种:真实陈述义务和私钥保管义务。275.2电子认证各
18、方的法律关系电子认证机构与电子签名人之间是电子认证机构和电子签名依赖方的法律关系电子认证机构和电子签名依赖方的法律关系 电子认证机构与电子签名依赖方之间是法定的信赖关系。 我国我国电子签名法电子签名法在第三章的相关条在第三章的相关条款中规定了电子认证机构设立的条件和必须款中规定了电子认证机构设立的条件和必须遵守的业务规则,并在第二十二条中明确规遵守的业务规则,并在第二十二条中明确规定:定:“保证电子签名依赖方能够证实或者了保证电子签名依赖方能够证实或者了解电子签名认证证书所载内容及其他有关事解电子签名认证证书所载内容及其他有关事项项”。28电子认证机构和电子签名依赖方的法律关系电子认证机5.4
19、电子认证各方的权利义务一 电子签名人的权利和义务(一)电子签名人的权利1获得有效合格认证证书的权利2提出终止或撤销认证证书的权利5.4电子认证各方的权利义务一电子签名人的权利和义务(二)电子签名人的义务1真实陈述的义务2私钥保管的义务3通知的义务4缴纳费用的义务5正确使用的义务(二)电子签名人的义务二 电子签名依赖方的权利义务(一)电子签名依赖方的权利n1要求认证机构谨慎地保证认证证书中内容的真实性,因信赖存在问题的认证证书而导致损失可以请求认证机构进行赔偿。n2要求认证机构履行信息披露的义务,可以就不明事宜向认证机构进行查询。二电子签名依赖方的权利义务(二)电子签名依赖方的义务1判定证书是否
20、存在对交易量的限制2判定证书的有效期3尽量使用其他方式来确认交易的有效性。(二)电子签名依赖方的义务三 认证机构在法律关系中的权利和义务 (一)认证机构的权利1有权要求申请不同类型认证证书的申请者提供不同的真实材料。2有权提供不同类型的认证证书以满足不同的用户需要3有权委托相关法人单位作为业务受理审批单位从事认证证书的受理、用户身份的审核与发放等事宜4有权向认证证书申请人收取相关费用。5有权向认证电子签名人及相关人员开展认证证书遭受破坏或盗用的调查。n三认证机构在法律关系中的权利和义务(6)有权撤销因下列情形而颁发的认证证书认证证书申请人提供不真实的资料。认证证书申请人有盗用、冒用、仿造或者篡
21、改他人证书的情况出现。认证证书系认证机构内部人员违反内部规范作出。与证书中的公钥相对应的私钥被泄密。由于认证证书的原有用途已不再需要而被终止。认证电子签名人未续交相关费用。其他情形需要撤销的情况。(7)对认证证书申请人的相关真实资料进行确认的权利。(8)当因他人的行为而导致认证机构发生损失时,认证机构有要求赔偿的权利。(6)有权撤销因下列情形而颁发的认证证书(二)认证机构的义务1、如实披露2、签发证书并保证证书所载信息准确的义务3、保存资料的义务4、通知及承接的义务5、保密义务6、其他义务(二)认证机构的义务第三节电子认证各方的法律责任一 电子签名人的法律责任第三节电子认证各方的法律责任一电子
22、签名人的法律责任电子签名人承担法律责任的主要情形:(1)电子签名人向电子认证机构提供了虚假信息,或对重大信息的事实有所隐瞒或不如实陈述。电子签名人对事实表示有误或易曲解。电子签名人承担法律责任的主要情形:(2)电子签名人故意或使其私密钥失控,如电子签名人未能使用值得信任的系统或以妥善保管其私人密钥,造成私人密钥遭受破坏、盗用、遗失、泄露、修改或未经授权的使用等情况;或者没有使用必要的防护措施来防止电子签名人的私钥遗失、泄密、被修改或被未经授权的人使用等情祝。(2)电子签名人故意或使其私密钥失控,如电子签名人未能使用(3)电子签名人在使用证书时,操作不当或者其他不可归因于认证机构的事故发生而导致
23、损失等情况。(4)电子签名人将认证证书转让、转借给他人。(5)电子签名人未按认证机构的要求对认证证书进行相关的更新及废除无效证书的行为。(3)电子签名人在使用证书时,操作不当或者其他不可2电子签名人民事法律责任的构成要件1)电子签名人有违反电子签名法规定或当事人约定的行为2)上述行为给相对方造成了损害事实3)行为与损害事实之间具有因果关系4)电子签名人在实施违法或违约行为时主观上存在故意或过失2电子签名人民事法律责任的构成要件二 电子签名依赖方的法律责任n当法律为电子签名依赖方设定了相应的义务,而依赖方没有切实履行时,其自身也应当承担相应的法律责任。n如联合国贸法会电子签名统一规则(草案)第1
24、1条规定:依赖方如不履行下列行为,应承担相应的法律责任:(1)采取合理的步骤确认签名的真实性;(2)在电子签名有证书证明的情况下,采取合理的步骤:(a)确认证书是合法有效、被中止签发或被撤销;(b)遵守任何有关证书的限制。二电子签名依赖方的法律责任三 电子认证机构的法律责任1 电子认证机构承担责任的几种情形:1电子认证机构向电子签名人发送证书失败、延迟或者错误2电子认证机构错误、延迟或者拒绝撤销电子认证证书3电子认证机构及其工作人员有伪造、泄露、擅自修改认证证书的行为出现三电子认证机构的法律责任1电子认证机构承担责任的几种情形2 认证机构承担法律责任的归责原则1过错责任原则与无过错责任原则2我
25、国电子签名法第二十八条规定电子签名人或者电子签名依赖方因依据电子认证服务提供者提供的电子签名认证服务从事民事活动遭受损失,电子认证服务提供者不能证明自己无过错的,承担赔偿责任。-过错责任原则3如果当事人都没有过错怎么办?2认证机构承担法律责任的归责原则当损失是采取了合理的防范措施但仍无法避免的技术或其它原因导致的,按公平责任原则分担损失。当损失是采取了合理的防范措施但仍无法避免的技术或其它原因导致3 认证机构承担法律责任的范围1)电子认证机构赔偿范围的原则和规则n完全赔偿原则:积极损失和可得利益n可预见性原则453认证机构承担法律责任的范围45积极损失n所谓积极损失的赔偿,是指现有财产的所谓积
26、极损失的赔偿,是指现有财产的减损和费用的支出,它是一种现实的财减损和费用的支出,它是一种现实的财产损失。例如,产损失。例如,由于认证机构操作的失由于认证机构操作的失误,致使认证证书无法在约定的时间作误,致使认证证书无法在约定的时间作出。出。在这种情况下,签名人因此而向认在这种情况下,签名人因此而向认证机构缴纳的认证费用和提交资料所产证机构缴纳的认证费用和提交资料所产生的费用就是积极损失,可以要求认证生的费用就是积极损失,可以要求认证机构予以赔偿。机构予以赔偿。46积极损失所谓积极损失的赔偿,是指现有财产的减损和费用的支出,可得利益n所谓可得利益的损失,是指合同在适当所谓可得利益的损失,是指合同
27、在适当履行以后可以实现和取得的财产利益。履行以后可以实现和取得的财产利益。在电子认证过程中,若认证机构在签发在电子认证过程中,若认证机构在签发证书时明确知道签名人是要用于特定交证书时明确知道签名人是要用于特定交易的,而且该证书是此交易不可缺少的易的,而且该证书是此交易不可缺少的条件,则认证机构应对自己的失误而导条件,则认证机构应对自己的失误而导致的签名人在该交易中的可得利益进行致的签名人在该交易中的可得利益进行赔偿。赔偿。47可得利益所谓可得利益的损失,是指合同在适当履行以后可以实现和可预见性原则n我国合同法113条也作出规定:不得超过违反合同一方订立合同时预见到或者应当预见到的因违反合同可能
28、造成的损失。n如何判断和理解可预见性原则,各国法大致规定如何判断和理解可预见性原则,各国法大致规定:(1)预见的主体应当是违约人。(2)是否预见或应当预见的标准,多数国家以客观标准来判断,即以一个抽象的一般人在合理条件下是否可以预见作为参考标准。(3)一般以缔约时的预见为预见的内容。(4)可预见的范围不应包括精神损害赔偿。48可预见性原则我国合同法113条也作出规定:不得超过违反合可预见性原则nA A公司为一家经营铬矿产品的国际贸易公司,公司为一家经营铬矿产品的国际贸易公司,B B公司为一家公司为一家从事铬铁冶炼的生产企业。从事铬铁冶炼的生产企业。20082008年年1 1月,月,A A公司与
29、公司与B B公司签署公司签署购销合同购销合同,约定:,约定:B B公司以每吨公司以每吨50005000元的价格从元的价格从A A公司公司买入南非铬矿买入南非铬矿20002000吨;吨;B B公司向公司向A A公司支付公司支付30%30%的预付款;交的预付款;交货日期为货日期为20082008年年4 4月底;合同没有约定违约条款。月底;合同没有约定违约条款。n 20082008年年4 4月初,月初,A A公司致电公司致电B B公司:由于南非市场电公司:由于南非市场电力短缺严重,铬矿生产受到严重影响,且南非政府非公开力短缺严重,铬矿生产受到严重影响,且南非政府非公开限制铬矿出口,致使中国国内几乎没
30、有贸易商能进口到铬限制铬矿出口,致使中国国内几乎没有贸易商能进口到铬矿;另一方面,矿;另一方面,A A公司联系了多家供货商,且均以按约开立公司联系了多家供货商,且均以按约开立信用证,但南非供货商屡屡违约,始终没有发货;故信用证,但南非供货商屡屡违约,始终没有发货;故A A公司公司在此函告,将无法履行上述在此函告,将无法履行上述购销合同购销合同,并愿意返还预,并愿意返还预付款并承担相当于合同价款付款并承担相当于合同价款10%10%即即100100万元的违约金,希望万元的违约金,希望B B公司谅解。公司谅解。n49可预见性原则A公司为一家经营铬矿产品的国际贸易公司,B公司为n南非铬矿的价格却从年初
31、开始大幅攀升,至南非铬矿的价格却从年初开始大幅攀升,至0808年年4 4月月初,铬矿已从年初的初,铬矿已从年初的400400元元/ /顿涨到顿涨到1000010000元元/ /吨。吨。n B B公司拒绝了公司拒绝了A A公司的提议,而是向法院提起诉公司的提议,而是向法院提起诉讼,要求讼,要求A A公司:公司:1 1、返还预付款;、返还预付款;2 2、赔偿差价损失,、赔偿差价损失,即即10001000万元;万元;3 3、赔偿因为原料短缺而造成的停工损失、赔偿因为原料短缺而造成的停工损失200200万元。万元。50南非铬矿的价格却从年初开始大幅攀升,至08年4月初,铬矿已分析:n根据根据“可预见性
32、可预见性”原则,原则,A A公司应当承担差价损失,但不应公司应当承担差价损失,但不应超过超过20082008年年1 1月(订立合同当时)可预见的(根据当时的市月(订立合同当时)可预见的(根据当时的市场状况,一个抽象的一般人是很难预料到场状况,一个抽象的一般人是很难预料到0808年年4 4月南非铬矿月南非铬矿会涨到会涨到10001000元元/ /吨,否则,吨,否则,A A公司也不会签署合同)公司也不会签署合同)B B公司因公司因合同履行可以获得的利益:合同履行可以获得的利益:n (1 1)B B公司的正常生产利润:公司的正常生产利润:10001000吨南非铬矿,与吨南非铬矿,与其他原材料一并冶炼
33、成铬铁,其他原材料一并冶炼成铬铁,B B公司可获纯利润公司可获纯利润120120万元。万元。n (2 2)签署合同当时的铬矿价格与预期)签署合同当时的铬矿价格与预期0808年年4 4月铬矿月铬矿价格之间的差价,按订立合同时的市场合理预测,价格之间的差价,按订立合同时的市场合理预测,0808年年4 4月月南非铬矿的价格可能会在南非铬矿的价格可能会在450-480450-480元元/ /吨,即使按照吨,即使按照500500元元/ /吨吨的价格计算,差价应为的价格计算,差价应为2020万元。万元。n 因此,从合理预见角度出发,因此,从合理预见角度出发,A A公司应向公司应向B B公司承担公司承担共计
34、共计140140万元的预期利益损失。万元的预期利益损失。分析:根据“可预见性”原则,A公司应当承担差价损失,但不应超2)电子认证机构赔偿范围的限制n法定形式n约定形式522)电子认证机构赔偿范围的限制52法定形式n犹他州的犹他州的数字签名法数字签名法第第 308 308 条条规定,通过在规定,通过在证书中明确建议的可靠性限制,其签发者认证机证书中明确建议的可靠性限制,其签发者认证机构和接收者用户建议人们在不超过证书的风险总构和接收者用户建议人们在不超过证书的风险总额的限度内交易或对之信赖;除了认证机构违反额的限度内交易或对之信赖;除了认证机构违反了法定条件之外,许可认证机构不对所签发的证了法定
35、条件之外,许可认证机构不对所签发的证书中因其虚假陈述或错误而对超过证书中明确建书中因其虚假陈述或错误而对超过证书中明确建议的可靠性程度的数额负责,并且许可认证机构议的可靠性程度的数额负责,并且许可认证机构不对惩罚或警戒性损害承担赔偿负责,但州政府不对惩罚或警戒性损害承担赔偿负责,但州政府的强制性要求除外。的强制性要求除外。第一章 电子商务法导论 53法定形式犹他州的数字签名法第308条规定,通过在证书n华盛顿州的华盛顿州的电子认证法电子认证法对此有所改进,主对此有所改进,主要表现在以下要表现在以下 3 3 个方面:首先,认证机构的个方面:首先,认证机构的赔偿范围包含了惩罚性损害赔偿金;其次,允
36、赔偿范围包含了惩罚性损害赔偿金;其次,允许利息包含在赔偿之列,华盛顿州立法选择了许利息包含在赔偿之列,华盛顿州立法选择了对用户的保护,以免其银行账户被错误提取;对用户的保护,以免其银行账户被错误提取;最后,对于企业来说,通过允许利润与机会利最后,对于企业来说,通过允许利润与机会利益的赔偿。益的赔偿。第一章 电子商务法导论 54华盛顿州的电子认证法对此有所改进,主要表现在以下3个约定形式nverisignverisign公司的限制:针对这公司的限制:针对这 3 3 个类别个类别制定了不同的限制措施,第一个类别的制定了不同的限制措施,第一个类别的最高赔偿限额是最高赔偿限额是100 100 美元;第
37、二个类别美元;第二个类别是是 5 000 5 000 美元;第三个类别是美元;第三个类别是 1 000 1 000 000 000 美元。这美元。这 3 3 种类别是根据电子证书种类别是根据电子证书的用途和所收取的证书费用来确定的,的用途和所收取的证书费用来确定的,用户可以根据自己不同的需要来选择不用户可以根据自己不同的需要来选择不同的证书。同的证书。第一章 电子商务法导论 55约定形式verisign公司的限制:针对这3个类别制定了(三)免责事由1不可抗力(第三方过错属于不可抗力吗?2免责条款3相对方过错4特殊免责事由(三)免责事由不可抗力n在电子认证活动中,认证机构因不可抗力因素而暂在电子
38、认证活动中,认证机构因不可抗力因素而暂停或终止全部或部分认证服务的,它可以依据法律停或终止全部或部分认证服务的,它可以依据法律的规定全部或部分免除其违约责任。的规定全部或部分免除其违约责任。n第三人的行为即使对认证机构与电子签名人都是不第三人的行为即使对认证机构与电子签名人都是不可预见和不可避免的,也不属于不可抗力,从而不可预见和不可避免的,也不属于不可抗力,从而不能成为认证机构的免责事由。能成为认证机构的免责事由。n我国我国合同法合同法第一百二十一条规定:第一百二十一条规定:“当事人一当事人一方因第三人的原因造成违约的,应当向对方承担违方因第三人的原因造成违约的,应当向对方承担违约责任。当事
39、人一方和第三人之间的纠纷,依照法约责任。当事人一方和第三人之间的纠纷,依照法律规定或者按照约定解决。律规定或者按照约定解决。”57不可抗力在电子认证活动中,认证机构因不可抗力因素而暂停或终止免责条款n免责条款是当事人双方在合同中事先约定的、旨免责条款是当事人双方在合同中事先约定的、旨在限制或免除其未来的责任的条款。如果免责条在限制或免除其未来的责任的条款。如果免责条款是双方当事人经过协商一致而签订的,那么这款是双方当事人经过协商一致而签订的,那么这些条款应当被双方信守。在认证活动过程中,为些条款应当被双方信守。在认证活动过程中,为了节约交易成本,大都由认证机构一方事先在协了节约交易成本,大都由
40、认证机构一方事先在协议中制定出免责条款,这些条款无法体现电子签议中制定出免责条款,这些条款无法体现电子签名人的自由意志,这些条款实际上形成了认证机名人的自由意志,这些条款实际上形成了认证机构单方制定的格式条款。应当指出的是,约定的构单方制定的格式条款。应当指出的是,约定的责任限制并不是在所有场合中都应得到支持。责任限制并不是在所有场合中都应得到支持。58免责条款免责条款是当事人双方在合同中事先约定的、旨在限制或免相对方过错n相对方的过错包括电子签名人的过错和电子签名相对方的过错包括电子签名人的过错和电子签名依赖方的过错。依赖方的过错。n认证机构对相对方的损害有过错,而相对方本身认证机构对相对方
41、的损害有过错,而相对方本身又有过错的,应当实行过失相抵又有过错的,应当实行过失相抵n相对方所遭受的损失只是由其自身造成,而认证相对方所遭受的损失只是由其自身造成,而认证机构没有过错的,则应当全部免除认证机构的责机构没有过错的,则应当全部免除认证机构的责任。任。59相对方过错相对方的过错包括电子签名人的过错和电子签名依赖方的特殊免责事由n第三方签发假冒证书第三方签发假冒证书n计算机技术的重大突破使得证书出现技术缺陷计算机技术的重大突破使得证书出现技术缺陷n黑客和未知病毒的入侵黑客和未知病毒的入侵第一章 电子商务法导论 60特殊免责事由第三方签发假冒证书第一章电子商务法导论6其他主体的法律责任n其
42、他主体主要是指除电子签名人、电子其他主体主要是指除电子签名人、电子签名依赖方以及电子认证机构以外的,签名依赖方以及电子认证机构以外的,通过其他途径或手段掌握电子签名生成通过其他途径或手段掌握电子签名生成数据的人以及未经授权使用他人电子签数据的人以及未经授权使用他人电子签名的人。责任形式主要涉及刑事责任和名的人。责任形式主要涉及刑事责任和民事责任两个方面。民事责任两个方面。61其他主体的法律责任其他主体主要是指除电子签名人、电子签名依赖n1刑事责任 对于掌握他人电子签名生成数据的人,诸如认证机对于掌握他人电子签名生成数据的人,诸如认证机构的内部工作人员、电子签名代理人,他们承担着妥构的内部工作人
43、员、电子签名代理人,他们承担着妥善保管电子签名数据、防止签名数据泄露的义务。如善保管电子签名数据、防止签名数据泄露的义务。如果这些义务未能得到切实的履行,给利害关系人造成果这些义务未能得到切实的履行,给利害关系人造成了重大损失,则上述人员可能触犯我国了重大损失,则上述人员可能触犯我国刑法刑法第二第二百一十九条规定的泄露商业秘密罪。该罪导致的刑罚百一十九条规定的泄露商业秘密罪。该罪导致的刑罚后果是:后果是:“处处 3 3 年以下有期徒刑或者拘役,并处或者年以下有期徒刑或者拘役,并处或者单处罚金单处罚金”621刑事责任62n对于未经授权使用他人电子签名的人,如伪造、冒对于未经授权使用他人电子签名的
44、人,如伪造、冒用、盗用之人,一方面按照我国用、盗用之人,一方面按照我国刑法刑法第二百八第二百八十条第十条第(2)(2)款的规定,可能构成伪造公司、企事业单款的规定,可能构成伪造公司、企事业单位、人民团体印章罪,被处以位、人民团体印章罪,被处以“3 3 年以下有期徒刑、年以下有期徒刑、拘役、管制或者剥夺政治权利拘役、管制或者剥夺政治权利”。另一方面,如果。另一方面,如果是认证机构内部人员伪造、冒用、盗用电子签名证是认证机构内部人员伪造、冒用、盗用电子签名证书,则可能触犯书,则可能触犯刑法刑法第二百二十九条规定的提第二百二十九条规定的提供虚假证明文件罪,从而导致如下刑罚后果:供虚假证明文件罪,从而
45、导致如下刑罚后果:“处处 5 5 年以下有期徒刑或者拘役,并处罚金。年以下有期徒刑或者拘役,并处罚金。”如果伴如果伴有索贿受贿情节,则有可能判处有索贿受贿情节,则有可能判处“5 5 年以上年以上 10 10 年年以下有期徒刑,并处罚金。以下有期徒刑,并处罚金。”63对于未经授权使用他人电子签名的人,如伪造、冒用、盗用之人,一民事责任n伪造、冒用、盗用他人电子签名的行为如果给相对伪造、冒用、盗用他人电子签名的行为如果给相对人造成损失,行为人应当承担民事赔偿责任。若伪人造成损失,行为人应当承担民事赔偿责任。若伪造、冒用、盗用之人为电子认证机构的内部工作人造、冒用、盗用之人为电子认证机构的内部工作人
46、员,则认证机构还应就此行为对电子签名人承担违员,则认证机构还应就此行为对电子签名人承担违约责任,对证书依赖方承担侵权赔偿责任。这里的约责任,对证书依赖方承担侵权赔偿责任。这里的损失既包括经济上的损失,也包括名誉上的损失;损失既包括经济上的损失,也包括名誉上的损失;受损害的相对人既可以是电子签名人和电子认证机受损害的相对人既可以是电子签名人和电子认证机构,也可以是电子签名依赖方。构,也可以是电子签名依赖方。64民事责任伪造、冒用、盗用他人电子签名的行为如果给相对人造成损n功能等同原则是指()nA.在本国电子商务活动与国际性电子商务活动的法律待遇上,应一视同仁nB.电子商务对传统口令法和非对称公开
47、密钥法等认证方法,不可厚此薄彼nC.商业交易的公平理念nD.一种将数据电文的效力与纸面形式的功能进行类比的方法第一章 电子商务法导论 65功能等同原则是指()第一章电子商务法导论6n合同的成立()nA.是指订约当事人就合同的主要条款达成合意,即双方当事人意思表示一致nB.是指受要约人同意要约的全部条件以缔结合同的意思表示nC.即为合同的生效nD.是指合同的内容和形式合法第一章 电子商务法导论 66合同的成立()第一章电子商务法导论66n我国首次承认电子签名法律效力的法律法规是()nA.电子签名法B.合同法nC.电子签章条例D.电子签名示范法第一章 电子商务法导论 67我国首次承认电子签名法律效
48、力的法律法规是()第一章n采用技术特定型立法模式制定的电子签名法是()nA.美国犹他州数字签名法nB.新加坡电子交易法nC.联合国电子商务示范法nD.欧盟电子签名共同框架指令第一章 电子商务法导论 68采用技术特定型立法模式制定的电子签名法是()第一章n以特定的机构,对电子签名及其签署者的真实性进行验证的具有法律意义的服务即为n()nA.认证 B.电子认证nC.交叉认证D.PKI体系认证第一章 电子商务法导论 69以特定的机构,对电子签名及其签署者的真实性进行验证的具有法律n目前美国对电子认证服务管理的主要模式为()nA.政府授权强制许可制度nB.非强制许可制度nC.备案制度nD.完全依靠市场
49、调节,行业自律规范第一章 电子商务法导论 70目前美国对电子认证服务管理的主要模式为()第一章n目前国际上对电子认证服务管理大概可分为三种模式,目前国际上对电子认证服务管理大概可分为三种模式,一是强制性许可制度一是强制性许可制度,即认证机构必须通过了许可才,即认证机构必须通过了许可才能开展业务。如韩国、日本、德国及我国台湾、香港能开展业务。如韩国、日本、德国及我国台湾、香港等;等;第二类是非强制性许可制度,第二类是非强制性许可制度,即经过政府认证的即经过政府认证的认证机构会有很多优惠,反之则没有,但仍然可以运认证机构会有很多优惠,反之则没有,但仍然可以运营。如新加坡营。如新加坡19971997
50、年由国家计算机委员会(年由国家计算机委员会(NCBNCB)和)和电子传输网络(电子传输网络(NETSNETS)建立的)建立的NETTRUSTNETTRUST认证中心。认证中心。三三是完全依靠市场调节,是完全依靠市场调节,通过行业自律予以规范通过行业自律予以规范,美国美国19951995年创建年创建VerisignVerisign公司。公司。71目前国际上对电子认证服务管理大概可分为三种模式,一是强制性许n必须允许收方能够确定:该电讯是由确认的发方发出的;该电讯的内容有无篡改或发生错误;该电讯按确定的次序接收;该电讯传送给确定的收方,这属于()nA.站点认证B.数据电文认证nC.电讯源的认证D.
51、身份认证第一章 电子商务法导论 72必须允许收方能够确定:该电讯是由确认的发方发出的;该电讯的内n下列情形属于认证机构应对信赖方的损失承担责任的是()nA.认证错误是由于无法预料的技术原因造成nB.认证错误是认证机构已经采取法律规定的合理可行的预防措施仍不可避免nC.信赖方没有认真检查最新的作废证书表来验明证书的状态,而使用了作废的证书nD.未获得准入资格而提供认证服务第一章 电子商务法导论 73下列情形属于认证机构应对信赖方的损失承担责任的是(n我国电子签名法第十二条规定:“发件人的主营业地为数据电文的发送地点,_为数据电文的接收地点。”()nA收件人的主营业地nB发件人的主营业地nC经常居
52、住地nD收件人或发件人主营业地第一章 电子商务法导论 74我国电子签名法第十二条规定:“发件人的主营业地为数据电文nCA认证机构在我国电子签名法中被称作()nA电子认证服务提供者nB电子认证中介nC第三方认证机构nD电子签名人第一章 电子商务法导论 75CA认证机构在我国电子签名法中被称作()第n我国电子签名法第二十四条规定,“电子认证服务提供者应当妥善保存与认证相关的信息,信息保存期限至少为电子签名认证证书失效后。”()nA三年B四年nC五年D六年第一章 电子商务法导论 76我国电子签名法第二十四条规定,“电子认证服务提供者应当妥n我国电子签名法明确了电子认证服务的()nA.市场开放制度B.
53、市场竞争制度nC.市场备案制度D.市场准入制度第一章 电子商务法导论 77我国电子签名法明确了电子认证服务的()第一章n明确规定自然人与法人都可以作为认证机构的发起人的法律是()nA.美国犹他州数字签名法nB.中国电子签名法nC.联合国电子商务示范法nD.欧盟电子签名共同框架条令第一章 电子商务法导论 78明确规定自然人与法人都可以作为认证机构的发起人的法律是(n因签署者的计算机系统达不到要求而使认证机构不能履行或不能完全履行颁发证书、管理证书及发布信息的义务属于()nA.不可抗力B.免责条款nC.债权人(相对人)过错D.违约责任第一章 电子商务法导论 79因签署者的计算机系统达不到要求而使认
54、证机构不能履行或不能完全n根据我国电子认证服务管理办法第二十九条规定,电子认证服务机构可以撤销其签发的电子签名认证证书的情形有()nA.证书持有人申请撤销证书nB.证书持有人提供的信息不真实nC.证书持有人没有履行双方合同规定的义务nD.证书的安全性不能得到保证nE.法律、行政法规规定的其他情况第一章 电子商务法导论 80根据我国电子认证服务管理办法第二十九条规定,电子认证服务n世界第一个颁布数字签名法的国家(地区)是()nA美国犹他州B中国香港nC马来西亚 D德国第一章 电子商务法导论 81世界第一个颁布数字签名法的国家(地区)是()第一章n下列不属于生物识别技术的是()nA指纹识别技术 B
55、视网膜识别技术nC声音识别技术 D口令识别技术第一章 电子商务法导论 82下列不属于生物识别技术的是()第一章电子商务法导论n证书持有人的义务,不包括()nA真实陈述的义务nB私人密钥控制义务nC私钥失密及时通知义务nD证书暂停、撤销、终止义务第一章 电子商务法导论 83证书持有人的义务,不包括()第一章电子商务法导论n电子认证机构的服务内容不包含()nA提供电子签名认证证书私有密钥信息查询服务nB确认签发的电子签名认证证书的真实性nC制作、签发、管理电子签名认证证书nD提供电子签名认证证书目录信息查询服务第一章 电子商务法导论 84电子认证机构的服务内容不包含()第一章电子商务案例分析(20
56、092009年年7 7月考题)月考题)n王某在一个网上商城浏览商品,对该商城展示的笔记王某在一个网上商城浏览商品,对该商城展示的笔记本电脑很感兴趣。于是他采用公开密钥进行在线交易,本电脑很感兴趣。于是他采用公开密钥进行在线交易,他从在线目录上查询到商城的公开密钥,并以该公钥他从在线目录上查询到商城的公开密钥,并以该公钥对自己的信用卡号码加密,再发送给商城。根据公开对自己的信用卡号码加密,再发送给商城。根据公开密钥加密理论,只有该商城可以阅读加密的信息,因密钥加密理论,只有该商城可以阅读加密的信息,因为商城排他性地拥有与其公开密钥相对应的私有密钥。为商城排他性地拥有与其公开密钥相对应的私有密钥。
57、n然而在王某进行在线交易期间,李某以欺骗性的公开然而在王某进行在线交易期间,李某以欺骗性的公开密钥,代替了商城的真实公开密钥,导致王某以错误密钥,代替了商城的真实公开密钥,导致王某以错误的公开密钥对其信用卡号码加密。由于李某拥有与欺的公开密钥对其信用卡号码加密。由于李某拥有与欺骗性的公开密钥相对应的私有密钥,于是他便对王某骗性的公开密钥相对应的私有密钥,于是他便对王某的信息解密,就盗窃了王某的信用卡号码和密码,然的信息解密,就盗窃了王某的信用卡号码和密码,然后大肆挥霍消费。后大肆挥霍消费。85案例分析(2009年7月考题)王某在一个网上商城浏览商品,n更为严重的是,公开密钥加密使李某隐更为严重
58、的是,公开密钥加密使李某隐藏了其欺骗性的证据:在复制了王某的藏了其欺骗性的证据:在复制了王某的信用卡号码后李某以商城的真实公开密信用卡号码后李某以商城的真实公开密钥对王某信息加密,并将信用卡号码发钥对王某信息加密,并将信用卡号码发给商城。这样商城和王某都不知道他们给商城。这样商城和王某都不知道他们的交易通讯被截获、篡改了。后来在王的交易通讯被截获、篡改了。后来在王某发现自己的信用卡号码被盗取后立即某发现自己的信用卡号码被盗取后立即报案,才避免了进一步的损失。报案,才避免了进一步的损失。第一章 电子商务法导论 86更为严重的是,公开密钥加密使李某隐藏了其欺骗性的证据:在复制n(1)(1)电子认证机构在避免此类事故发生上电子认证机构在避免此类事故发生上的作用是什么的作用是什么? ?n(2)(2)电子认证机构是否应当对由李某欺骗电子认证机构是否应当对由李某欺骗行为造成的损失负责行为造成的损失负责? ?为什么为什么? ?87(1)电子认证机构在避免此类事故发生上的作用是什么?87n我国电子签名法规定对电子认证服务采用强制性许可制度,这样做的理由是什么?88我国电子签名法规定对电子认证服务采用强制性许可制度,这样n简述我国电子签名法规定的电子签名认证证书应当载明的内容。第一章 电子商务法导论 89简述我国电子签名法规定的电子签名认证证书应当载明的内容。
