第五章電子認證法律制度

1、精品資料推薦第五章電子認證法律制度第一節(jié)電子認證概述一、電子認證的概念與類型（一）認證與電子認證1、認證2、電子認證（二）按計算機已有的認證功能及其認證的對象來分，電子認證主要有以下兒種 類型：1、站點認證2、數(shù)據(jù)電文認證3、電訊源的認證4、身份認證二、電子簽名的認證電子認證的具體操作程序為：（1）發(fā)件人利用密鑰制造系統(tǒng)產(chǎn)生公用密鑰和私人密鑰。（2）發(fā)件人在做電子簽名前，必須將他的身份信息和公用密鑰送給一個經(jīng) 合法注冊，具有從事電子認證服務許可證的第三方，也就是CA認證中心，向該 認證中心申請登記并由其簽發(fā)認證證書。（3）認證機構根據(jù)有關的法律規(guī)定和認證規(guī)則以及自己和當事人之間的約 定，對申請

2、進行審查。如果符合要求，就發(fā)給發(fā)件人一個認證證書，證明發(fā)件人 的身份、他的公開密鑰以及其他有關的信息。（4）發(fā)件人對其要約信息以其私人密鑰制作數(shù)字簽名文件，連同認證證書 一并送給收件方，向?qū)Ψ桨l(fā)出要約。（5）收件方接到電子簽名文件和認證證書之后，根據(jù)認證證書的內(nèi)容，向 相應的認證機構提出申請，請求認證機構將對方的公開密鑰發(fā)給自己。（6）收件人通過公用密鑰和電子簽名的驗證，即可確信電子簽名文件的真 實性和可黑性。若認證機構有“認證廢止LI錄”，則可以查詢LI錄以了解該認證 證書是否依然有效；收件人承諾，則電子合同成立。由此可見，在電子文件環(huán)境中，CA認證中心起到了一個行使具有權威性、 公證性的第

3、三人的作用。三、認證機構（CA）與公開密鑰體系（PKI體系）（一）認證機構認證機構（Certification Authorityo簡稱CA認證機構，或CA認證中心） 是指在電子合同中對用戶的電子簽名頒發(fā)數(shù)字證書的機構，它已經(jīng)成為開放性電 子商務活動中不可缺少的信用服務機構。聯(lián)合國貿(mào)易法委員會在其電子簽名統(tǒng) 一規(guī)則（草案）第1條第4款中規(guī)定：“認證機構，是指從事頒發(fā)為數(shù)字簽名的 目的而使用的加密密鑰相關的（身份）證書的任何人或?qū)嶓w。（該定義受任何要 求認證機構須取得許可、或認可或以一定的方式進行營業(yè)的有效法的限制。）”美 國統(tǒng)一電子交易法（草案）第2條規(guī)定：''認證機構，是指任

4、何在其業(yè)務中從 事頒布用于數(shù)字簽名的密鑰身份證書的人或?qū)嶓w”。可見，大體而言是指簽發(fā)認 證證書的自然人或法人。作為認證機構，都應當具備一定條件：首先，它必須是獨立的法律實體。能夠以自己的名義從事數(shù)字證書服務。并 且能夠以自己的財產(chǎn)提供擔保，能在法律規(guī)定的范圍內(nèi)自己承擔相應的民事責 任。其次，它必須保持中立并具有可靠性。再次，它必須能夠被當事人接受。最后，它不得以營利為H的。（二）PKI體系 完整的PKI系統(tǒng)包括1、認證機構2、數(shù)字證書庫3、密鑰備份及恢復系統(tǒng)4、證書作廢系統(tǒng)5、應用接口（三）認證機構的主要職責可簡單歸結為頒發(fā)、更新、查詢、作廢、歸檔等五項 功能四、電子認證機構的服務內(nèi)容1、制作

5、、簽發(fā)、管理電子簽名認證證書2、確認簽發(fā)的電子簽名認證證書的真實性3、提供電子簽名認證證書U錄信息查詢服務4、提供電子簽名認證證書狀態(tài)信息查詢服務第二節(jié)認證機構的設立與管理規(guī)范一、認證機構的設立與監(jiān)管模式 電子認證服務的監(jiān)管模式有1、強制性許可制度2、非強制性許可制度3、行業(yè)自律我國電子簽名法規(guī)定了采用強制性許可制度，并對電子認證服務應當具 備的條件做出了規(guī)定。二、電子認證機構的設立原則與條件（一）我國電子認證機構按經(jīng)營的范圉分為行業(yè)性和地域性兩種；按運營模式來 分有商業(yè)性和非商業(yè)性兩種。U詢電子商務認證機構存在的主要問題有以下兒個方面：1、建設過熱，有一定的盲LI性，造成重復建設和資源浪費；

6、2、對電子商務認證機構的作用認識不足；3、低佔認證機構運行的難度，缺乏必要的規(guī)章制度；4、認證機構對自身的安全性認識不夠，對承擔風險認識不足；5、法律法規(guī)、行業(yè)規(guī)范亟待健全。（二）電子認證機構的設立應遵守以下原則1、權威性原則2、真實性原則3、保密性原則4、迅捷性原則5、經(jīng)濟性原則（三）電子認證的業(yè)務經(jīng)營應實行許可制度我國電子簽名法第十八條規(guī)定從事電子認證服務，應當向國務院信 息產(chǎn)業(yè)主管部門提出申請，并提交符合本法第十七條規(guī)定條件的相關材料。國務 院信息產(chǎn)業(yè)主管部門接到申請后經(jīng)依法審查，征求國務院商務主管部門等有關部 門的意見后，自接到申請之日起四十五日內(nèi)作出許可或者不予許可的決定。予以 許可

7、的，頒發(fā)電子認證許可證書；不予許可的，應當書面通知申請人并告知理由/ 電子認證服務管理辦法第六條規(guī)定，“申請電子認證服務許可的，應 當向工業(yè)和信息化部提交下列材料：“（一）書面申請?！埃ǘ┤藛T證明?！埃ㄈ┵Y金證明（經(jīng)依法審計的近三年的財務會計報告，新成立公 司的驗資報告）?！埃ㄋ模┙?jīng)營場所證明。“（五）國家有關認證檢測機構出具的技術、設備、物理環(huán)境符合國 家有關安全標準的憑證?！埃﹪颐艽a管理機構同意使用密碼的證明文件?！蔽覈娮雍灻ǖ谑邨l對提供電子認證服務應當具備的條件做出了 如下的規(guī)定：“（一）具有與提供電子認證服務相適應的專業(yè)技術人員和管理人員；“（二）具有與提供電子認證服務

8、相適應的資金和經(jīng)營場所；“（三）具有符合國家安全標準的技術和設備；“（四）具有國家密碼管理機構同意使用密碼的證明文件；“（五）法律、行政法規(guī)規(guī)定的其他條件?！比⒔涣x認證的規(guī)范電子商務的活動常常是跨越國境的，各個參與方就需要有不同國家的認證機 構對各自的身份進行認證，并向電子商務活動的相對方發(fā)放認證證書。這就需要 各國相互承認對方國家認證機構發(fā)放的認證證書的效力。實踐中有兩種解決辦 法：（1）在本國有關電子簽名的法律法規(guī)中明確規(guī)定他國或地區(qū)的認證機構發(fā) 放的認證證書的效力。如加拿大和美國某些州之間就通過法律規(guī)定互相承認所發(fā) 放的認證證書的效力；某些歐洲國家的電子簽名法也規(guī)定，其他歐盟成員國國內(nèi)

9、 認證機構發(fā)放的認證證書同本國認證機構發(fā)放的認證證書具有同等的效力。（2）通過簽訂國際條約或雙邊協(xié)定來相互承認對方國家國內(nèi)認證機構發(fā)放 的認證證書的效力。因此，有關電子簽名以及電子簽名認證的法律業(yè)已成為國際 法的重要組成部分。我國電子簽名法第二十六條規(guī)定，“經(jīng)國務院信息產(chǎn)業(yè)主管部門根據(jù)有 關協(xié)議或者對等原則核準后，中華人民共和國境外的電子認證服務提供者在境外 簽發(fā)的電子簽名認證證書與依照本法設立的電子認證服務提供者簽發(fā)的電子簽 名認證證書具有同等的法律效力。”第三節(jié)認證機構的證書業(yè)務規(guī)范數(shù)字證書的頒發(fā)與公布電子認證證書，是網(wǎng)絡通訊中標志通訊各方身份信息的一系列數(shù)據(jù)，它提供 了一種在因特網(wǎng)交易中

10、驗證當事人身份的方式。認證證書，乂稱數(shù)字證書 （Digital Certificate, Digital ID）,是用電子手段證實用戶的身份及其對網(wǎng) 絡資源的訪問權限的特定化信息。在網(wǎng)上電子交易中，如果一方向交易對方提交 一個山認證機構簽發(fā)的證書，能使對方了解自己的身份狀況,增強對方的信任度; 如果雙方出示了各自的數(shù)字證書，并用它們進行交易操作，那么，一般情況下， 雙方就可以不必再為對方身份的真實性而擔心。數(shù)字證書的基礎是公開密鑰體 系。我國電子簽名法第二十一條規(guī)定，“電子認證服務提供者簽發(fā)的電子簽 名認證證書應當準確無誤，并應當載明下列內(nèi)容：“（一）電子認證服務提供者名稱；“（二）證書持有人

11、名稱；“（三）證書序列號；“（四）證書有效期；“（五）證書持有人的電子簽名驗證數(shù)據(jù)；“（六）電子認證服務提供者的電子簽名；“（七）國務院信息產(chǎn)業(yè)主管部門規(guī)定的其他內(nèi)容?！倍?、電子證書的中止、撤銷與終止1、電子證書的中止現(xiàn)將美國猶他州的數(shù)字簽字法和馬來西亞的1997年數(shù)字簽字法的 相關規(guī)定介紹如下：美國猶他州的數(shù)字簽字法，對證書中止情況作了較為詳細的規(guī)定。主要 有：（1）認證機構收到證書上載明的用戶或用戶的代理人、利害關系人的請求;（2）認證機構收到主管部門的命令；（3）認證機構也可以同用戶約定中止的情形。馬來西亞的1997年數(shù)字簽字法關于證書中止的規(guī)定如下：（1）證書所載用戶的請求，或者其他可

12、能知悉該證書的私鑰可能受損；（2）主管部門認為證書發(fā)放時，存在違法或者可能危及證書的信賴人利益 而命令中止。2、電子證書的撤銷電子證書的撤銷，是電子證書在其有效期內(nèi)，山于出現(xiàn)證書被盜、私鑰泄漏、 用戶名稱變更、用戶死亡等特殊情況時，認證機構將證書撤銷的行為。認證機構 在接到電子證書撤銷的申請后或認為應當撤銷時，應迅速完成證書的撤銷。電子 證書的撤銷必須根據(jù)證書政策及其實施說明中具體規(guī)定的撤銷程序撤銷證書。美國猶他州的數(shù)字簽字法規(guī)定了以下幾種情況：（1）證書持有人請求撤銷；（2）用戶死亡；（3）認證機構確定其發(fā)放的證書不可靠。新加坡的電子交易法規(guī)定：（1）收到并證實證書持有人的申請；（2）收到并

13、證實證書持有人已死亡；（3）證書持有人解散或不存在。馬來西亞的1997年數(shù)字簽字法規(guī)定：（1）認證機構發(fā)現(xiàn)該證書的發(fā)放不符合法定條件；（2）認證機構的監(jiān)控機構發(fā)現(xiàn)證書的發(fā)放不符合法定條件，可以要求認證 機構撤銷；（3）認證機構發(fā)放證書而用戶沒有接受；（4）證書持有人申請撤銷；（5）證書持有人死亡；（6）可靠證書的撤銷。我國認證機構對證書撤銷的規(guī)定（電子認證服務管理辦法第二十九條）: “有下列情況之一的，電子認證服務機構可以撤銷其簽發(fā)的電子簽名認證證 書：“（一）證書持有人申請撤銷證書。“（二）證書持有人提供的信息不真實?！埃ㄈ┳C書持有人沒有履行雙方合同規(guī)定的義務?！埃ㄋ模┳C書的安全性不能得到

14、保證?！埃ㄎ澹┓伞⑿姓ㄒ?guī)規(guī)定的其他情況?！皬母鲊嚓P規(guī)定可以看岀，數(shù)字證書撤銷的事由主要有：（1）證書關系主體資格方面，如認證機構解散、證書持有人死亡或解散；（2）證書記載方面，如記載反映的情況已經(jīng)發(fā)生變化而未作變更；（3）證書技術基礎發(fā)生變化，如認證機構或用戶的私鑰泄密、新密鑰代替 原密鑰等；（4）有關主體的行為，如用戶請求撤銷、認證機構或用戶違反業(yè)務說明等;（5）有關主管機構的命令等。3、電子證書的終止電子證書的終止，是指證書在期限屆滿或政策規(guī)定的情形出現(xiàn)時失去法律效 力的情形。電子證書的終止意味著，認證法律關系的終結。就證書終止的法律后 果來看，一方面，解除了認證機構因頒發(fā)證書而產(chǎn)生

15、的一系列義務；另一方面， 解除了證書持有人即用戶的義務。作為企業(yè)，對電子認證的管理當然也要依據(jù)對企業(yè)加以規(guī)制的法律規(guī)定。比 如，我國的企業(yè)法人登記管理條例第29條規(guī)定：登記主管機關對企業(yè)法人 依法履行下列監(jiān)督管理職責：（1）監(jiān)督企業(yè)法人按照規(guī)定開業(yè)、變更、注銷登記；（2）監(jiān)督企業(yè)法人按照登記注冊事項和章程、合同從事經(jīng)營活動；（3）監(jiān)督企業(yè)法人和法定代表人遵守國家法律法規(guī)；（4）制止和查處企業(yè)法人的違法經(jīng)營活動，保護企業(yè)法人的合法權益。第30條規(guī)定：企業(yè)法人有下列情形之一的，登記主管機關可以根據(jù)情況分 別給予警告、罰款、沒收非法所得、停業(yè)整頓、扣繳、吊銷企業(yè)法人營業(yè)執(zhí)照 的處罰：（1）登記中隱瞞

16、真實情況弄虛作假或者未經(jīng)核準登記注冊擅自開業(yè)的；（2）擅自改變主要登記事項或者超出核準登記的經(jīng)營范圍從事經(jīng)營活動；（3）不按照規(guī)定辦理注銷登記或者不按照規(guī)定報送年檢報告，辦理年檢的;（4）偽造、涂改、出租、出借、轉(zhuǎn)讓、出賣或擅自復印企業(yè)法人營業(yè)執(zhí) 照、企業(yè)法人營業(yè)執(zhí)照副本的；（5）抽逃、轉(zhuǎn)移資金、隱匿財產(chǎn)逃避債務的；（6）從事非法經(jīng)營活動的。按照上述規(guī)定對企業(yè)法人進行處罰時，應當根 據(jù)違法行為追究法定代表人的行政責任、經(jīng)濟責任；觸犯刑律的，由司法機關依 法追究刑事責任。二、證書擁有人的義務1、真實陳述的義務如我國的廣東省電子交易條例第32條規(guī)定：用戶申領數(shù)字證書時，提 供虛假信息的，由有關行政

17、管理部門依法追究其法律責任。2、妥善保管私人密鑰和證書的義務如我國的廣東省電子交易條例第22條規(guī)定：數(shù)字證書用戶在申領證書 時，必須提供真實、完整和準確的身份信息及相關資料。數(shù)字證書用戶應當妥善 保管自己的證書私鑰，并且遵守認證機構制訂的認證業(yè)務操作規(guī)范和數(shù)字證書管 理制度。3、對頒發(fā)證書的檢驗義務認證機構頒發(fā)證書時，用戶有義務檢驗證書中所描述信息的準確性。4、正確使用證書的義務不得利用證書從事任何非法的行為。5、及時通知義務在發(fā)生私鑰泄漏或其他有可能影響到電子簽名真實性的事件時，證書持有人 應該及時通知認證機構，以便認證機構及時采取措施，減少損失。我國電子簽名法第二十七條規(guī)定，“電子簽名人知

18、悉電子簽名制作數(shù)據(jù) 已經(jīng)失密或者可能已經(jīng)失密未及時告知有關各方、并終止使用電子簽名制作數(shù) 據(jù)，未向電子認證服務提供者提供真實、完整和準確的信息，或者有其他過錯， 給電子簽名依賴方、電子認證服務提供者造成損失的，承擔賠償責任?！?、交納費用的義務三、信賴方的義務1、遵守認證機構的要求，采取合理的步驟確認簽名的真實性。2、遵守任何有關證書的限制，在證書所載的可信賴度以內(nèi)從事交易，把證書用 于規(guī)定的用途。第四節(jié) 認證機構的法律責任一、認證機構與在線當事人之間的法律關系1、認證機構與證書用戶之間的關系2、認證機構與信賴方之間的關系二、認證機構在認證法律關系中的義務1、審查義務我國電子簽名法第二十條規(guī)定

19、，“電子簽名人向電子認證服務提供者申 請電子簽名認證證書，應當提供真實、完整和準確的信息。電子認證服務提供者 收到電子簽名認證證書申請后，應當對申請人的身份進行查驗，并對有關材料進 行審查。”2、提供的證書信息真實、準確、完整的義務；我國電子簽名法第二十條規(guī)定，“電子簽名人向電子認證服務提供者申 請電子簽名認證證書，應當提供真實、完整和準確的信息。電子認證服務提供者 收到電子簽名認證證書申請后，應當對申請人的身份進行查驗，并對有關材料進 行審查第二十一條規(guī)定，“電子認證服務提供者簽發(fā)的電子簽名認證證書應當準確 無誤，并應當載明下列內(nèi)容：“（一）電子認證服務提供者名稱；“（二）證書持有人名稱；“

20、（三）證書序列號；“（四）證書有效期；“（五）證書持有人的電子簽名驗證數(shù)據(jù)；“（六）電子認證服務提供者的電子簽名；"（七）國務院信息產(chǎn)業(yè)主管部門規(guī)定的其他內(nèi)容。"3、正確及時發(fā)放的義務；我國電子簽名法第二十二條規(guī)定，“電子認證服務提供者應當保證電子 簽名認證證書內(nèi)容在有效期內(nèi)完整、準確，并保證電子簽名依賴方能夠證實或者 了解電子簽名認證證書所載內(nèi)容及其他有關事項?！?、安全保密義務：我國 崙子也名法第十九條規(guī)定，“電子認證業(yè)務規(guī)則應當包括責任范圍、 作業(yè)操作規(guī)范、信息安全保障措施等事項/我國電子認證服務管理辦法第二十條規(guī)定，“電子認證服務機構應當 遵守國家的保密規(guī)定，建立完

21、善的保密制度。電子認證服務機構對電子簽 名人和電子簽名依賴方的資料，負有保密的義務?！蔽覈娮雍灻ǖ诙臈l規(guī)定，“電子認證服務提供者應當妥善保存 與認證相關的信息，信息保存期限至少為電子簽名認證證書失效后五年?！?、業(yè)務規(guī)則說明和告之義務；我國電子簽名法第十九條規(guī)定，“電子認證服務提供者應當制定.公布 符合國家有關規(guī)定的電子認證業(yè)務規(guī)則，并向國務院信息產(chǎn)業(yè)主管部門備案。電 子認證業(yè)務規(guī)則應當包括責任范圍、作業(yè)操作規(guī)范、信息安全保障措施等事項?！钡诙l還規(guī)定，"電子認證服務提供者應當保證電子簽名認證證書內(nèi)容 在有效期內(nèi)完整、準確，并保證電子簽名依賴方能夠證實或者了解電子簽名認證 證書所載內(nèi)容及其他有關事項?！?、及時處理業(yè)務義務。我國電子簽名法第二十三條規(guī)定，“電子認證服務提供者擬暫?；蛘呓K 止電子認證服務的，應當在暫?；蛘呓K止服務九十日前，就業(yè)務承接及其他有關 事項通知有關各方?！半娮诱J證服務提供者擬暫?；蛘呓K止電子認證服務的，應當在暫?；?者終止服務六十日前向國務院信息產(chǎn)業(yè)主管部門報告，并與其他電子認證服務提 供者就業(yè)務承接進行協(xié)商，作出妥善安排?！半娮诱J證服務提供者未能就業(yè)務承接事項與其他電子認證服務提供者 達成協(xié)議的，應當申請國務院信息產(chǎn)