第四章電子簽名與認證法律制度

1、電子商務法原理與案例教程電子商務法原理與案例教程對外經(jīng)濟貿(mào)易大學出版社對外經(jīng)濟貿(mào)易大學出版社宋君遠宋君遠 顧東曉主編顧東曉主編第四章 電子簽名與認證法律制度第一節(jié) 電子簽名與認證概述第二節(jié) 電子簽名的基本原理第三節(jié) 電子簽名的法律制度第四節(jié) 認證機構的設立與管理第五節(jié) 認證機構的業(yè)務規(guī)范第六節(jié) 認證機構的法律責任案例導讀 電子簽名法第一案P50問題：1、短信是否屬于數(shù)據(jù)電文？為什么？2、短信能夠作為證據(jù)？3、法律規(guī)定什么樣的數(shù)據(jù)電文，才符合電子簽名法所要求的條件？第一節(jié) 電子簽名與認證概述一、電子簽名的內(nèi)涵1 1、電子簽名的概念、電子簽名的概念 電子簽名，是指數(shù)據(jù)電文中以電子形式所含、所附用于

2、電子簽名，是指數(shù)據(jù)電文中以電子形式所含、所附用于識別簽名人身份并表明簽名人并表明簽名人認可其中內(nèi)容的其中內(nèi)容的數(shù)據(jù)。?可靠的電子簽名，應滿足以下條件：可靠的電子簽名，應滿足以下條件： 電子簽名制作數(shù)據(jù)用于電子簽名時，屬于電子簽名人專有；電子簽名制作數(shù)據(jù)用于電子簽名時，屬于電子簽名人專有； 簽署時電子簽名制作數(shù)據(jù)僅由電子簽名人控制；簽署時電子簽名制作數(shù)據(jù)僅由電子簽名人控制； 簽署后對電子簽名的任何改動能夠被發(fā)現(xiàn)；簽署后對電子簽名的任何改動能夠被發(fā)現(xiàn)； 簽署后對數(shù)據(jù)電文內(nèi)容和形式的任何改動能夠被發(fā)現(xiàn)。簽署后對數(shù)據(jù)電文內(nèi)容和形式的任何改動能夠被發(fā)現(xiàn)。 可靠的電子簽名與手寫簽名或者蓋章具有同等的法可靠

3、的電子簽名與手寫簽名或者蓋章具有同等的法律效力。律效力。2、電子簽名的特征 身份的唯一性和真實性 數(shù)據(jù)的完整性和可靠性 簽署行為的不可否認性 數(shù)據(jù)傳遞的保密性 簽署行為的瞬時性二、電子認證的內(nèi)涵1 1、電子認證的概念、電子認證的概念 電子認證是指權威的、獨立的的機構，對電子簽電子認證是指權威的、獨立的的機構，對電子簽名及其簽署者的真實性進行驗證的具有法律效力的名及其簽署者的真實性進行驗證的具有法律效力的行為。行為。2 2、電子認證的特征、電子認證的特征 權威性權威性 標準化標準化 強制性強制性 法律性法律性 可操作性可操作性3、電子認證的分類 根據(jù)電子認證的功能以及對象來劃分，電子認證分為：

4、站點認證 數(shù)據(jù)信息認證 身份認證第二節(jié) 電子簽名的基本原理一、電子簽名的實現(xiàn)方法1. 手寫簽名或圖章的模式識別2. 生物識別技術3. 對稱密鑰加/解密技術4. 基于量子力學的計算機5. 基于PKI的電子簽名二、數(shù)字簽名的技術實現(xiàn)1、網(wǎng)上進行身份認證2、數(shù)字簽名過程3、數(shù)字簽名的驗證過程三、數(shù)字簽名的作用1. 確認簽名者身份的真實性和唯一性2. 保證簽署數(shù)據(jù)的完整性和可靠性3. 確立簽署行為的不可否認性4. 驗證數(shù)據(jù)在傳輸過程中是否被篡改第三節(jié) 電子簽名的法律制度一、電子簽名法律效力的解決方案1、數(shù)字簽名方案2、最低限度方案（技術非特定化方案）3、雙軌制方案二、電子簽名的證據(jù)能力1 1、電子簽名

5、作為證據(jù)的真實性、電子簽名作為證據(jù)的真實性? 生成、儲存或者傳遞數(shù)據(jù)電文方法的可靠性；生成、儲存或者傳遞數(shù)據(jù)電文方法的可靠性； ? 保持內(nèi)容完整性方法的可靠性；保持內(nèi)容完整性方法的可靠性； ? 用以鑒別發(fā)件人方法的可靠性；用以鑒別發(fā)件人方法的可靠性； ? 其他相關因素其他相關因素2 2、電子簽名作為證據(jù)的關聯(lián)性、電子簽名作為證據(jù)的關聯(lián)性3 3、電子簽名作為證據(jù)的合法性、電子簽名作為證據(jù)的合法性三、電子簽名使用的條件1、電子簽名是對數(shù)據(jù)的完整性提供可靠保證的方式生成，并與數(shù)據(jù)電文相聯(lián)系2、電子簽名與其擁有者之間的聯(lián)系點應可靠3、能表明電子簽名是由其擁有者直接簽署四、電子簽名的歸屬和完整性的確定1

6、、電子簽名的歸屬確定? 數(shù)據(jù)電文有下列情形之一的，視為發(fā)件人發(fā)送： 經(jīng)發(fā)件人授權發(fā)送的； 發(fā)件人的信息系統(tǒng)自動發(fā)送的； 收件人按照發(fā)件人認可的方法對數(shù)據(jù)電文進行驗證后結果相符的。 電子簽名的歸屬，應與其簽署的數(shù)據(jù)電文的歸屬相一致。 2、完整性的確定 簽名者身份的確定 簽署數(shù)據(jù)的可靠性 簽署數(shù)據(jù)被人篡改要能發(fā)現(xiàn)第四節(jié) 認證機構的設立和管理一、認證機構的設立1、認證機構的設立形式 政府設立 政府相關部門授權設立 第三方權威機構設立2、認證機構設立的法律條件 具有與提供電子認證服務相適應的專業(yè)技術人員和管理人員； 具有與提供電子認證服務相適應的資金和經(jīng)營場所； 具有符合國家安全標準的技術和設備； 具

7、有國家密碼管理機構同意使用密碼的證明文件； 法律、行政法規(guī)規(guī)定的其他條件。 3、認證機構的設立步驟 向國務院信息產(chǎn)業(yè)主管部門提出申請，提交材料 國務院信息產(chǎn)業(yè)主管部門審批 申請人持電子認證許可證書向工商行政管理部門辦理登記手續(xù) 取得認證資格的電子認證服務提供者，應當按照國務院信息產(chǎn)業(yè)主管部門的規(guī)定在互聯(lián)網(wǎng)上公布其名稱、許可證號等信息。二、認證機構的管理1、認證機構管理模式 官方集中管理型 當事人合同約束型 折中型2、我國認證機構的管理國家電子商務認證機構管理中心第五節(jié) 認證機構的業(yè)務規(guī)范一、電子認證法律關系的性質(zhì)1. 信托關系說2. 非信托關系說3. 專業(yè)信用服務說4. 合同關系說二、認證機構

8、的義務1. 信息披露2. 對所發(fā)證書的申明3. 保守秘密4. 依法簽發(fā)證書5. 及時終止或撤銷證書6. 妥善保存與認證相關的信息，信息保存期限至少為電子簽名認證證書失效后五年第六節(jié) 認證機構的法律責任一、認證機構的法律責任1、因法規(guī)產(chǎn)生的賠償責任? 第二十七條第二十七條 電子簽名人知悉電子簽名制作數(shù)據(jù)已經(jīng)電子簽名人知悉電子簽名制作數(shù)據(jù)已經(jīng)失密或者可能已經(jīng)失密未及時告知有關各方、并終止失密或者可能已經(jīng)失密未及時告知有關各方、并終止使用電子簽名制作數(shù)據(jù)，未向電子認證服務提供者提使用電子簽名制作數(shù)據(jù)，未向電子認證服務提供者提供真實、完整和準確的信息，或者有其他過錯，給電供真實、完整和準確的信息，或者

9、有其他過錯，給電子簽名依賴方、電子認證服務提供者造成損失的，承子簽名依賴方、電子認證服務提供者造成損失的，承擔賠償責任。擔賠償責任。 ? 第二十八條第二十八條 電子簽名人或者電子簽名依賴方因依據(jù)電子簽名人或者電子簽名依賴方因依據(jù)電子認證服務提供者提供的電子簽名認證服務從事民電子認證服務提供者提供的電子簽名認證服務從事民事活動遭受損失，電子認證服務提供者不能證明自己事活動遭受損失，電子認證服務提供者不能證明自己無過錯的，承擔賠償責任。無過錯的，承擔賠償責任。 2、依合同產(chǎn)生的合同責任3、未履行手續(xù)的行政責任? 第二十九條第二十九條 未經(jīng)許可提供電子認證服務的，由國務院信息產(chǎn)業(yè)未經(jīng)許可提供電子認證

10、服務的，由國務院信息產(chǎn)業(yè)主管部門責令停止違法行為；有違法所得的，沒收違法所得；主管部門責令停止違法行為；有違法所得的，沒收違法所得；違法所得三十萬元以上的，處違法所得一倍以上三倍以下的罰違法所得三十萬元以上的，處違法所得一倍以上三倍以下的罰款；沒有違法所得或者違法所得不足三十萬元的，處十萬元以款；沒有違法所得或者違法所得不足三十萬元的，處十萬元以上三十萬元以下的罰款。上三十萬元以下的罰款。 ? 第三十條第三十條 電子認證服務提供者暫?；蛘呓K止電子認證服務，未電子認證服務提供者暫停或者終止電子認證服務，未在暫?；蛘呓K止服務六十日前向國務院信息產(chǎn)業(yè)主管部門報告在暫?；蛘呓K止服務六十日前向國務院信息

11、產(chǎn)業(yè)主管部門報告的，由國務院信息產(chǎn)業(yè)主管部門對其直接負責的主管人員處一的，由國務院信息產(chǎn)業(yè)主管部門對其直接負責的主管人員處一萬元以上五萬元以下的罰款。萬元以上五萬元以下的罰款。 ? 第三十一條第三十一條 電子認證服務提供者不遵守認證業(yè)務規(guī)則、未妥善電子認證服務提供者不遵守認證業(yè)務規(guī)則、未妥善保存與認證相關的信息，或者有其他違法行為的，由國務院信保存與認證相關的信息，或者有其他違法行為的，由國務院信息產(chǎn)業(yè)主管部門責令限期改正；逾期未改正的，吊銷電子認證息產(chǎn)業(yè)主管部門責令限期改正；逾期未改正的，吊銷電子認證許可證書，其直接負責的主管人員和其他直接責任人員十年內(nèi)許可證書，其直接負責的主管人員和其他直

12、接責任人員十年內(nèi)不得從事電子認證服務。吊銷電子認證許可證書的，應當予以不得從事電子認證服務。吊銷電子認證許可證書的，應當予以公告并通知工商行政管理部門。公告并通知工商行政管理部門。4、故意泄露秘密的刑事責任 二、電子認證服務機構的權利和義務1、電子認證服務機構的權利 要求證書申請者提供真實信息的權利要求證書申請者提供真實信息的權利 撤銷其簽發(fā)的認證證書的權利撤銷其簽發(fā)的認證證書的權利 求償權求償權2、電子認證服務機構的義務 證書管理義務證書管理義務 保密義務保密義務 告知義務告知義務三、證書持有人的權利和義務1、證書持有人的權利 知情權知情權 申請和撤銷認證證書的權利申請和撤銷認證證書的權利

13、求償權求償權2、證書持有人的義務 真實陳述義務真實陳述義務 私鑰保密義務私鑰保密義務四、證書信賴人的權利和義務1、證書信賴人的權利 知情權知情權 求償權求償權2、證書信賴人的義務 合理注意義務合理注意義務 自己承擔正常的商業(yè)風險的義務自己承擔正常的商業(yè)風險的義務對稱加密技術示意圖非對稱加密技術示意圖電子簽名與驗證過程PKI Public Key Infrastructure Public Key Infrastructure，PKIPKI， 公開密鑰公開密鑰基礎設施是一種遵循標準的利用公鑰加密技術為電基礎設施是一種遵循標準的利用公鑰加密技術為電子商務提供一套安全基礎平臺的技術和規(guī)范。它能子商務提供一套安全基礎平臺的技術和規(guī)范。它能夠為所有網(wǎng)絡應用提供加密和數(shù)字簽名等密碼服務夠為所有網(wǎng)絡應用提供加密和數(shù)字簽名等密碼服務及所必需的密鑰和證書管理體系。簡單來說，及所必需的密鑰和證書管理體系。簡單來說， PKI PKI 就是利用公鑰理論和技術建立的提供安全服務的基就是利用公鑰理論和技術建立的提供安全服務的基礎設施。礎設施。PKIPKI由認證機構、證書庫、密鑰生成和管由認證機構、證書庫、密鑰生成和管理系統(tǒng)、證書管理系統(tǒng)、理系統(tǒng)、證書管理系統(tǒng)、PKIPKI應用接口系統(tǒng)等基本應用接口系統(tǒng)等基本成分組成。成分組成。 CACA是證書的簽發(fā)機構是證書的簽發(fā)機構, ,它是它是PKIP