电子商务法 谢爱平 湖北广播电视大学
第六章 电子认证法律制度 主要内容: 电子认证的概念和功能 公钥基础设施 认证机构 认证证书业务规范 电子认证法律关系当事人及其行为规范
第一节 电子认证的概念和功能 1、1电子认证的意义 电子签名虽然将电子文件与其签署人紧密的联系在一起,解决了电子文件的辨别问题,但是并没有在陌生的商事主体之间,建立起交易所需的起码的信任度。电子签名侧重于解决身份辨别与文件归属问题。
电子认证解决的是密钥及其持有人的可信度问题,因为密钥存在着丢失、被盗、被破译等风险。这就产生了公开密钥的辨别与认证的有效性问题,即需要由一个权威的机构对公开密钥进行管理、认证。
一、电子认证的必要性 (1)身份识别 (2)文件归属
二、电子认证概述 电子认证,是以特定的机构,对电子签名及其签署者的真实性,进行验证的具有法律意义的服务。 电子认证,主要应用于交易关系的信用安全方面,保证交易人的真实与可靠,是一种组织制度的保证。 电子认证,主要运用于开放性的交易网络。随着互联网等开放性网络的广泛应用,认证机构及其服务的作用,就显得越来越重要、越普遍。
三、认证的含义 狭义的认证,特指由从事认证服务的第三方机构所进行的鉴别。电子商务认证,是由特定认证机构在电子商务中所做的认证,即狭义的认证。 广义的认证(authentication)即鉴别,主要包含对事物真伪的辨识的意思,它既可能是第三人的鉴别,也可能是当事人之间的相互鉴别。 狭义的认证,特指由从事认证服务的第三方机构所进行的鉴别。电子商务认证,是由特定认证机构在电子商务中所做的认证,即狭义的认证。
四、认证的基本方式 (1)口令认证方式 (2)生物特征检测方式 (3)基于智能卡的认证
五、认证与电子签名的关系 电子认证和电子签名,都是电子商务的保障机制,但二者的手段和目的却有所不同。
电子签名是一种技术手段上的工具性的保障。法律规范对之所作的调整,主要表现为对符合签名基本功能的电子签名技术,予以认定,从而确立其法律效力。这实际上是对技术标准的认定,具有较强的客观性。 电子签名认证,则是对电子商务的一种组织上的保障,它不仅需要一定标准,还需要有一定的社会组织结构与之配套。也就是说,电子认证,更侧重于对交易人的品行方面的考察。
1、2 电子认证的功能 一、担保功能 (1)潜在用户与请求者并与证书上所列的人是同一人; (2)如果潜在用户是通过代理人行事,该用户适当地授权了代理人对其私钥享有监督权,并请求颁发相应的公开密钥证书; (3)待颁发证书中的信息是准确的; (4)潜在用户合法持有与待颁发证书上所列公开密钥想对应的私密钥; (5)潜在用户持有能够用以创制数字签名的私密钥; (6)证书上所列的公开密钥可以用于证实由潜在用户所持有私人密钥附加的数字签名。
二、预防功能 (1)防止欺诈功能 认证机构通过向其用户提供可靠的在线证书状态查询,满足用户实时证书验证的要求,从而解决了可能被欺骗的问题。如果甲与乙都是用户,认证机构的在线证书状态查询,就可以同时查询到二者的证书公开信息服务。该证书是包括用户姓名、公开密钥、电子邮件地址、证书有效期以及其他信息的数字化的文件。认证机构还对每个证书都附加有电子签名,以证明证书的内容是可靠的。
(2)防止否认功能 电子认证的最终目的就是为了在电子商务交易的当事人之间发生纠纷的情况下,提供有效的认证解决方法。信息发送人难以否认电子认证程序与规则,而信息接受人不能否认其已经接受到信息,这就为交易当事人提供了大量的预防性的保护,避免一方当事人试图抵赖曾发送或收到某一数据信息而欺骗另一方当事人的行为发生。其具体形式包括:数据信息的发送、接收,及其内容的不得否认。通过认证则可达到这种效果。
第二节 公钥基础设施 2、1公钥基础设施(PKI)概述 电子认证就是通过一个或几个值得信赖的第三方将被认定的签名或签名者的姓名与特定的公共密码联系起来。可信赖的第三方就是认证机构。这样的认证机构按不同的层次构建起来,形成公钥基础设施(Public Key Infrastructure/PKI )。在公钥基础设施的构成中,认证机构(CA)及相关的证书管理设施居于核心地位。 公钥基础设施是一种以公钥加密技术为基础技术手段实现电子交易安全的技术。
一、 PKI的优点 (1)透明性和易用性 (2)可扩展性 (3)可操作性强 (4)支持多平台
二、 PKI的组成 (1)认证机构(CA) (2)证书库 (3)密钥生成和管理系统 (4)证书管理系统 (5)PKI应用接口系统
2、2 PKI的框架 一、核心:证书业务 (1)政策批准 (2)证书发行 (3)证明档案保管 (4)证书撤消
二、技术支持 (1)密钥对的产生 (2)密钥的秘密交换 (3)数字签名的产生 (4)数字签名效验
三、服务内容 (1)管理为数字签名使用的加密密码; (2)确认公共密码与私人密码相符; (3)为最终用户提供密码; (4)决定哪些用户在系统上享有哪些特权; (5)公布可靠的公共密码或证书目录; (6)管理可以用惟一的个人身份信息识别用户或能够生成和储存个人私人密码的个人令牌(如智能卡); (7)检查最终用户身份,并向他们提供服务; (8)提供不拒绝接受服务; (9)提供时间戳记服务; (10)在为保密而被授权使用密码技术的场合,管理加密密码。
第三节 认证机构 3、1 认证机构概述 在电子商务交易中,无论是数字时间戳服务,还是数字证书的发放,都不是靠交易的双方自己来完成的,而需要有一个具有权威性和公正性的第三方来完成。认证机构(CA)就是承担安全电子交易认证服务、签发数字证书,并能确认用户身份的服务机构。
一、认证机构的定义 认证机构就是用来解决公钥体系中公钥的合法性检验问题,它是承担网上安全电子交易认证服务、能签发数字证书,并能确认用户身份的服务机构。认证机构的主要任务,是受理数字证书的申请、签发数字证书,以及对数字证书进行管理。
二、认证机构的认证业务问题 (1)为了将密码组与潜在的用户联系起来。 (2)用数字签名签署证书并作准确的时间纪录。 (3)证书可以向社会公布。 (4)证书的中止或撤销。 (5)认证机构承担的责任。
三、认证机构的特点 �B.具有中立性与可靠性。 �C. 被交易的当事人所接受。 �D. 其营业之目的是提供公正的交易环境。 A.是独立的法律实体。 �B.具有中立性与可靠性。 �C. 被交易的当事人所接受。 �D. 其营业之目的是提供公正的交易环境。
认证机构的资格问题,实际上是一个行业准入条件问题。 自然人能否作为认证机构的发起人? 3、2 认证机构的设立条件 从事认证服务的机构应当具备下列条件: 1.依法成立的法人组织; 2.具有与认证服务相适应的专业技术人员和管理人员; 3.具有与提供认证服务相适应的资金和经营场所,具备为用户提供认证服务和承担风险、责任的能力; 4.具有符合国家安全标准的技术、设备; 5.法律、行政法规规定的其他条件。 认证机构的资格问题,实际上是一个行业准入条件问题。
3、3 认证机构的可信赖性 一、可信赖系统的含义 作为可靠的第三方,认证机构当然应具有足够的可靠性。认证机构必须遵循严格的程序、使用适当的技术,以确保合理程度的安全性与可靠性。为了定义上述要求,各国电子商务立法引入了可信赖系统这一概念。可信赖性系统,应当由计算机软硬件及相关程序构成,这些组件是足够的安全,可以防止外来的入侵以及滥用。
二、可信赖系统的标准 联合国贸法会《电子签名示范法》第10条对“可信赖性”作了规定:在决定证明服务提供者使用的系统、步骤和人力资源是否具有可信赖性,及可信赖的程度时,下列因素应该予以考虑:
(1)财力与人力资源,包括现有资产; (2)软件与硬件系统的质量; (3)证书生成与申请的步骤以及相关记录的保留; (4)证书所证明的签名者及潜在的相对方的有关信息的可获取性; (5)是否由独立的第三方进行审计以及审计的程度; (6)规则采纳国已作出声明,存在一个鉴定机构,或者鉴定机构所确认的证明服务提供者; (7)任何其他相关因素。
3、4 认证机构的责任 一、认证机构的主要职责 可以借鉴国际组织和各国电子商务法中的相关规定,具体主要有: (1)认证机构有责任使用可信赖的系统以行使其职责,并披露相关信息,以确保认证机构的权威性和公正性。 (2)认证机构应依照认证业务操作规范颁发证书。 (3)认证机构有责任在收到申请人或其代表人的申请后暂停证书;同时,有责任在证书中存在重要虚假陈述或认证机构的认证系统存在严重影响其可靠性或有证据证明签名者死亡或消失或不复存在等情况下撤销证书。
二、归责原则 主要包括认证机构有否制定完善的认证业务操作规范和内部管理制度、有否使用合格的软硬件设备和从业人员、有否验证认证证书上记载信息的真实性等等。 认证机构只需证明自己的行为符合法律法规的一系列要求,就可以认定为无过错而不需承担损害赔偿责任,如果认证机构不能作到这一点,就由认证机构承担损害赔偿责任。
三、认证机构的责任限制 给予认证机构在民事赔偿方面以必要的责任限制。例如:一方面,如果认证机构对证书的签发有过错(如证书中存在某些错误陈述)且给当事人造成了损失,则认证机构的损失赔偿额将以证书中载明的金额为限。 之所以给予认证机构以赔偿金额限制,目的是使认证机构承担的风险相当于银行发行自动柜员机卡或信用卡所承担的风险而不是更大。在电子商务的起步阶段,为扶植认证机构的发展而给予其某些特别保护,也无可厚非。另一方面,在认证机构签发给当事人的证书被盗并被他人用以欺诈的情况下,如果欺诈是在当事人将证书被盗的情形通知认证机构之前发生的,则认证机构对当事人因欺诈而导致的损失不负责任。
第四节 认证证书业务规范 4、1 认证证书的概念 一、认证证书的含义 认证证书,又称数字证书,是认证机构颁发的数据电讯或其他记录,是用来确认持有特定密钥的人或实体的身份(或其他充足的特征)。 在网上电子交易中,如果交易双方出示了各自的数字证书,并用它们进行交易操作,一般情况下,双方就可以不必再为对方身份的真实性而担心。
认证证书体系的最大特征在于:认证证书的传递,可以通过提供保密性、真实性与完整性的安全服务的通讯方式来进行,它不同与传统的方式。对于公钥密码来说,保密是没有意义的。
二、 X.509格式证书 目前最为广泛使用的公钥密码认证证书格式,是由ISO/IEC/ITU X.509 标准中定义的格式。X.509采用一个认证机构(CA)对实体的身份和公共密钥进行认证,并对包括实体、公钥、名字、有效期等信息的证书进行数字签名。
4、2 证书申请 在认证机构向用户颁发证书之前,用户须向认证机构进行登记,该登记一般是通过填写提交证书申请表来完成的。登记涉及用户与认证机构之间的关系的确立,并将用户的基本信息在认证机构进行登载。 对于证书的发放,可以进行更新申请,或撤销后再申请。而对于申请来说,用户可以撤销证书发放的申请,认证机构可以明确撤销认证请求的条件,以及其处理撤消请求的程序等。
4、3 证书的颁发 在颁发认证证书之前,认证机构应当查清持有与证书中登载的公钥密码相对的私人密码的持有人、设施或实体的身份情况。一般说来,认证机构或其所委托的其他实体,必须对申请人或设施或实体的显著特征进行辨认识别。 认证机构只有在符合所有规定条件时,才可向用户颁发证书。
4、4 证书的接受 接受证书是指证书申请人了解证书的内容后,同意使用证书的行为。当证书用户接受证书以后,认证机构应及时将此情形予以公布。通过公布认证证书的方式,实际上是向外界表明,用户已经接受证书这一事实。
4、5 证书的中止 中止证书,即是使某一证书停止继续产生效力,但并非永久性地撤销该证书,而只是临时地使之在某段时间内不具有有效性。由于使认证证书停止生效,对于任何信赖证书内容的相对方说来,会产生不利影响。因此,它只是在特殊情形下使用的特别措施。
4、6 证书的撤销 当证书签发以后,一般说来,期望在整个有效期内都有效。但是,在有些情况下,用户必须在有效期届满之前,停止对证书的信赖。这些情况包括,用户的身份变化,用户的密钥遭到破坏,或非法使用等情况,此时,认证机构就应撤销原有的证书。由于存在证书撤销的可能,因此,证书的应用期限,通常比预计的有效期限短。
4、7 证书的保存 认证机构必须有证据证明,自己按要求完成了适当的业务行为,并且,能在事后对依据其证书所从事的交易,提供不得否认的支持。因此,认证机构应当披露其所保存的关于其服务的各种重要记录。
第五节 电子认证法律关系 当事人及其行为 5、1 认证法律关系各方当事人 在开放型的电子商务环境下,电子认证机构一般是以中立的、可靠的第三方当事人出现,为交易双方或多方提供服务的。因而,在认证法律关系中至少有买卖双方以及认证机构参与。换言之,认证法律关系一般涉及三方当事人:认证机构、证书持有人(或称证书用户)和证书信赖人(或称相对方)。
一、证书持有人(证书用户)与证书信赖人之间的法律关系 二、认证机构与证书持有人(证书用户)之间的法律关系 三、认证机构与证书信赖人之间的法律关系
5、2 当事人各方的行为规范 一、认证机构的义务 1、可信赖系统的义务 认证机构在提供证书服务时应保证其使用可信赖系统。 2、担保义务 在签发证书过程中,认证机构需向用户及信赖的相对方作出种种陈述,与之相应,认证机构应对其所作的陈述承担相应的保证义务。
3、持续义务 认证机构还应向用户承担持续的义务。除非用户人与认证机构另有约定外,认证机构因发放证书而向用户保证: (1)如有规定的情形,则应立即中止或撤销证书; (2)一旦证书发放以后,如认证机构知悉任何严重影响证书有效性或可靠性的事件,应在合理的时间内及时通知用户。 4、忠信义务 如果认证机构持有与其颁布证书中公共密码相对应的私人密码,则该机构应如证书中指定的用户的信托人一样,负谨慎勤勉的义务;除非用户与认证机构之间,就私人密码的使用另有明确的书面形式的约定,否则,如果没有用户事先的书面同意,认证机构不得使用该私人密码。
※ 就请求发放证书时提交的有关重要信息的真实性负担保义务; 二、证书持有人(证书用户)的义务 ※ 就请求发放证书时提交的有关重要信息的真实性负担保义务; ※ 接受证证书后,用户向认证机构承担补偿其在颁发证书或公布证书中所遭受的任何损失或损害的义务; ※ 一旦接受认证机构签发的认证证书,证书中所指明的用户则应承担合理注意义务,保密私人密码,防止将其披露给其他任何未经授权限制用户数字签名的人。
三、证书信赖人的义务 (2)在电子签名有证书证明的情况下,采取合理的步骤确认证书是否合法有效,是否被中止或撤销。 相对方(签名信赖方)应当采取适当的行为,以确保相对方对该证书信赖是合情合理的。 (1)采取合理的步骤确认签名的真实性; (2)在电子签名有证书证明的情况下,采取合理的步骤确认证书是否合法有效,是否被中止或撤销。
思考题: 简述电子认证的功能。 简述认证机构的特征。 浅析认证机构的基本设立条件。 分析认证机构的责任与义务。 如何看待认证机构与当事人之间的法律关系?