合同资料第五章 电子认证法律制度精品版.docx

1、合同资料第五章 电子认证法律制度精品版第五章 电子认证法律制度第一节 电子认证概述一、 电子认证的概念与类型（一） 认证与电子认证1、 认证2、 电子认证（二） 按计算机已有的认证功能及其认证的对象来分，电子认证主要有以下几种类型：1、 站点认证2、 数据电文认证3、 电讯源的认证4、 身份认证二、 电子签名的认证电子认证的具体操作程序为：（1）发件人利用密钥制造系统产生公用密钥和私人密钥。（2）发件人在做电子签名前，必须将他的身份信息和公用密钥送给一个经合法注册，具有从事电子认证服务许可证的第三方，也就是CA认证中心，向该认证中心申请登记并由其签发认证证书。（3）认证机构根据有关的法律规定和

2、认证规则以及自己和当事人之间的约定，对申请进行审查。如果符合要求，就发给发件人一个认证证书，证明发件人的身份、他的公开密钥以及其他有关的信息。（4）发件人对其要约信息以其私人密钥制作数字签名文件，连同认证证书一并送给收件方，向对方发出要约。（5）收件方接到电子签名文件和认证证书之后，根据认证证书的内容，向相应的认证机构提出申请，请求认证机构将对方的公开密钥发给自己。（6）收件人通过公用密钥和电子签名的验证，即可确信电子签名文件的真实性和可靠性。若认证机构有“认证废止目录”，则可以查询目录以了解该认证证书是否依然有效；收件人承诺，则电子合同成立。由此可见，在电子文件环境中，CA认证中心起到了一个

3、行使具有权威性、公证性的第三人的作用。三、 认证机构（CA）与公开密钥体系（PKI体系）（一） 认证机构认证机构（Certification Authority。简称CA认证机构，或CA认证中心）是指在电子合同中对用户的电子签名颁发数字证书的机构，它已经成为开放性电子商务活动中不可缺少的信用服务机构。联合国贸易法委员会在其电子签名统一规则（草案）第1条第4款中规定：“认证机构，是指从事颁发为数字签名的目的而使用的加密密钥相关的（身份）证书的任何人或实体。（该定义受任何要求认证机构须取得许可、或认可或以一定的方式进行营业的有效法的限制。）”美国统一电子交易法（草案）第2条规定：“认证机构，是指任

4、何在其业务中从事颁布用于数字签名的密钥身份证书的人或实体”。可见，大体而言是指签发认证证书的自然人或法人。作为认证机构，都应当具备一定条件：首先，它必须是独立的法律实体。能够以自己的名义从事数字证书服务。并且能够以自己的财产提供担保，能在法律规定的范围内自己承担相应的民事责任。其次，它必须保持中立并具有可靠性。再次，它必须能够被当事人接受。最后，它不得以营利为目的。（二） PKI体系完整的PKI系统包括1、 认证机构2、 数字证书库3、 密钥备份及恢复系统4、 证书作废系统5、 应用接口（三） 认证机构的主要职责可简单归结为颁发、更新、查询、作废、归档等五项功能四、 电子认证机构的服务内容1、

5、 制作、签发、管理电子签名认证证书2、 确认签发的电子签名认证证书的真实性3、 提供电子签名认证证书目录信息查询服务4、 提供电子签名认证证书状态信息查询服务第二节 认证机构的设立与管理规范一、 认证机构的设立与监管模式电子认证服务的监管模式有1、 强制性许可制度2、 非强制性许可制度3、 行业自律我国电子签名法规定了采用强制性许可制度，并对电子认证服务应当具备的条件做出了规定。二、 电子认证机构的设立原则与条件（一） 我国电子认证机构按经营的范围分为行业性和地域性两种；按运营模式来分有商业性和非商业性两种。目前电子商务认证机构存在的主要问题有以下几个方面：1、 建设过热，有一定的盲目性，造成

6、重复建设和资源浪费；2、 对电子商务认证机构的作用认识不足；3、 低估认证机构运行的难度，缺乏必要的规章制度；4、 认证机构对自身的安全性认识不够，对承担风险认识不足；5、 法律法规、行业规范亟待健全。（二） 电子认证机构的设立应遵守以下原则1、 权威性原则2、 真实性原则3、 保密性原则4、 迅捷性原则5、 经济性原则（三） 电子认证的业务经营应实行许可制度我国电子签名法第十八条规定，“从事电子认证服务，应当向国务院信息产业主管部门提出申请，并提交符合本法第十七条规定条件的相关材料。国务院信息产业主管部门接到申请后经依法审查，征求国务院商务主管部门等有关部门的意见后，自接到申请之日起四十五日

7、内作出许可或者不予许可的决定。予以许可的，颁发电子认证许可证书；不予许可的，应当书面通知申请人并告知理由。”电子认证服务管理办法第六条规定，“申请电子认证服务许可的，应当向工业和信息化部提交下列材料：“（一）书面申请。“（二）人员证明。“（三）资金证明（经依法审计的近三年的财务会计报告，新成立公司的验资报告）。“（四）经营场所证明。“（五）国家有关认证检测机构出具的技术、设备、物理环境符合国家有关安全标准的凭证。“（六）国家密码管理机构同意使用密码的证明文件。”我国电子签名法第十七条对提供电子认证服务应当具备的条件做出了如下的规定：“（一）具有与提供电子认证服务相适应的专业技术人员和管理人员；

8、 “（二）具有与提供电子认证服务相适应的资金和经营场所； “（三）具有符合国家安全标准的技术和设备； “（四）具有国家密码管理机构同意使用密码的证明文件； “（五）法律、行政法规规定的其他条件。”三、 交叉认证的规范电子商务的活动常常是跨越国境的，各个参与方就需要有不同国家的认证机构对各自的身份进行认证，并向电子商务活动的相对方发放认证证书。这就需要各国相互承认对方国家认证机构发放的认证证书的效力。实践中有两种解决办法：（1）在本国有关电子签名的法律法规中明确规定他国或地区的认证机构发放的认证证书的效力。如加拿大和美国某些州之间就通过法律规定互相承认所发放的认证证书的效力；某些欧洲国家的电子签

9、名法也规定，其他欧盟成员国国内认证机构发放的认证证书同本国认证机构发放的认证证书具有同等的效力。（2）通过签订国际条约或双边协定来相互承认对方国家国内认证机构发放的认证证书的效力。因此，有关电子签名以及电子签名认证的法律业已成为国际法的重要组成部分。我国电子签名法第二十六条规定，“经国务院信息产业主管部门根据有关协议或者对等原则核准后，中华人民共和国境外的电子认证服务提供者在境外签发的电子签名认证证书与依照本法设立的电子认证服务提供者签发的电子签名认证证书具有同等的法律效力。”第三节 认证机构的证书业务规范一、 数字证书的颁发与公布电子认证证书，是网络通讯中标志通讯各方身份信息的一系列数据，它

10、提供了一种在因特网交易中验证当事人身份的方式。认证证书，又称数字证书（Digital Certificate，Digital ID），是用电子手段证实用户的身份及其对网络资源的访问权限的特定化信息。在网上电子交易中，如果一方向交易对方提交一个由认证机构签发的证书，能使对方了解自己的身份状况，增强对方的信任度；如果双方出示了各自的数字证书，并用它们进行交易操作，那么，一般情况下，双方就可以不必再为对方身份的真实性而担心。数字证书的基础是公开密钥体系。我国电子签名法第二十一条规定，“电子认证服务提供者签发的电子签名认证证书应当准确无误，并应当载明下列内容：“（一）电子认证服务提供者名称； “（二）

11、证书持有人名称； “（三）证书序列号； “（四）证书有效期； “（五）证书持有人的电子签名验证数据； “（六）电子认证服务提供者的电子签名； “（七）国务院信息产业主管部门规定的其他内容。”二、电子证书的中止、撤销与终止1、电子证书的中止现将美国犹他州的数字签字法和马来西亚的1997年数字签字法的相关规定介绍如下：美国犹他州的数字签字法，对证书中止情况作了较为详细的规定。主要有：（1）认证机构收到证书上载明的用户或用户的代理人、利害关系人的请求；（2）认证机构收到主管部门的命令；（3）认证机构也可以同用户约定中止的情形。马来西亚的1997年数字签字法关于证书中止的规定如下：（1）证书所载用户的

12、请求，或者其他可能知悉该证书的私钥可能受损；（2）主管部门认为证书发放时，存在违法或者可能危及证书的信赖人利益而命令中止。2、电子证书的撤销电子证书的撤销，是电子证书在其有效期内，由于出现证书被盗、私钥泄漏、用户名称变更、用户死亡等特殊情况时，认证机构将证书撤销的行为。认证机构在接到电子证书撤销的申请后或认为应当撤销时，应迅速完成证书的撤销。电子证书的撤销必须根据证书政策及其实施说明中具体规定的撤销程序撤销证书。美国犹他州的数字签字法规定了以下几种情况：（1）证书持有人请求撤销；（2）用户死亡；（3）认证机构确定其发放的证书不可靠。新加坡的电子交易法规定：（1）收到并证实证书持有人的申请；（2

13、）收到并证实证书持有人已死亡；（3）证书持有人解散或不存在。马来西亚的1997年数字签字法规定：（1）认证机构发现该证书的发放不符合法定条件；（2）认证机构的监控机构发现证书的发放不符合法定条件，可以要求认证机构撤销；（3）认证机构发放证书而用户没有接受；（4）证书持有人申请撤销；（5）证书持有人死亡；（6）可靠证书的撤销。我国认证机构对证书撤销的规定（电子认证服务管理办法第二十九条）：“有下列情况之一的，电子认证服务机构可以撤销其签发的电子签名认证证书：“（一）证书持有人申请撤销证书。“（二）证书持有人提供的信息不真实。“（三）证书持有人没有履行双方合同规定的义务。“（四）证书的安全性不能得

14、到保证。“（五）法律、行政法规规定的其他情况。“从各国相关规定可以看出，数字证书撤销的事由主要有：（1）证书关系主体资格方面，如认证机构解散、证书持有人死亡或解散；（2）证书记载方面，如记载反映的情况已经发生变化而未作变更；（3）证书技术基础发生变化，如认证机构或用户的私钥泄密、新密钥代替原密钥等；（4）有关主体的行为，如用户请求撤销、认证机构或用户违反业务说明等；（5）有关主管机构的命令等。3、电子证书的终止电子证书的终止，是指证书在期限届满或政策规定的情形出现时失去法律效力的情形。电子证书的终止意味着，认证法律关系的终结。就证书终止的法律后果来看，一方面，解除了认证机构因颁发证书而产生的一

15、系列义务；另一方面，解除了证书持有人即用户的义务。作为企业，对电子认证的管理当然也要依据对企业加以规制的法律规定。比如，我国的企业法人登记管理条例第29条规定：登记主管机关对企业法人依法履行下列监督管理职责：（1）监督企业法人按照规定开业、变更、注销登记；（2）监督企业法人按照登记注册事项和章程、合同从事经营活动；（3）监督企业法人和法定代表人遵守国家法律法规；（4）制止和查处企业法人的违法经营活动，保护企业法人的合法权益。第30条规定：企业法人有下列情形之一的，登记主管机关可以根据情况分别给予警告、罚款、没收非法所得、停业整顿、扣缴、吊销企业法人营业执照的处罚：（1）登记中隐瞒真实情况弄虚作

16、假或者未经核准登记注册擅自开业的；（2）擅自改变主要登记事项或者超出核准登记的经营范围从事经营活动；（3）不按照规定办理注销登记或者不按照规定报送年检报告，办理年检的；（4）伪造、涂改、出租、出借、转让、出卖或擅自复印企业法人营业执照、企业法人营业执照副本的；（5）抽逃、转移资金、隐匿财产逃避债务的；（6）从事非法经营活动的。按照上述规定对企业法人进行处罚时，应当根据违法行为追究法定代表人的行政责任、经济责任；触犯刑律的，由司法机关依法追究刑事责任。二、 证书拥有人的义务1、真实陈述的义务如我国的广东省电子交易条例第32条规定：用户申领数字证书时，提供虚假信息的，由有关行政管理部门依法追究其法

17、律责任。2、妥善保管私人密钥和证书的义务如我国的广东省电子交易条例第22条规定：数字证书用户在申领证书时，必须提供真实、完整和准确的身份信息及相关资料。数字证书用户应当妥善保管自己的证书私钥，并且遵守认证机构制订的认证业务操作规范和数字证书管理制度。3、对颁发证书的检验义务认证机构颁发证书时，用户有义务检验证书中所描述信息的准确性。4、正确使用证书的义务不得利用证书从事任何非法的行为。5、及时通知义务在发生私钥泄漏或其他有可能影响到电子签名真实性的事件时，证书持有人应该及时通知认证机构，以便认证机构及时采取措施，减少损失。我国电子签名法第二十七条规定，“电子签名人知悉电子签名制作数据已经失密或

18、者可能已经失密未及时告知有关各方、并终止使用电子签名制作数据，未向电子认证服务提供者提供真实、完整和准确的信息，或者有其他过错，给电子签名依赖方、电子认证服务提供者造成损失的，承担赔偿责任。”6、交纳费用的义务三、 信赖方的义务1、遵守认证机构的要求，采取合理的步骤确认签名的真实性。2、遵守任何有关证书的限制，在证书所载的可信赖度以内从事交易，把证书用于规定的用途。第四节 认证机构的法律责任一、 认证机构与在线当事人之间的法律关系1、 认证机构与证书用户之间的关系2、 认证机构与信赖方之间的关系二、 认证机构在认证法律关系中的义务1、 审查义务我国电子签名法第二十条规定，“电子签名人向电子认证

19、服务提供者申请电子签名认证证书，应当提供真实、完整和准确的信息。电子认证服务提供者收到电子签名认证证书申请后，应当对申请人的身份进行查验，并对有关材料进行审查。”2、 提供的证书信息真实、准确、完整的义务；我国电子签名法第二十条规定，“电子签名人向电子认证服务提供者申请电子签名认证证书，应当提供真实、完整和准确的信息。电子认证服务提供者收到电子签名认证证书申请后，应当对申请人的身份进行查验，并对有关材料进行审查。”第二十一条规定，“电子认证服务提供者签发的电子签名认证证书应当准确无误，并应当载明下列内容：“（一）电子认证服务提供者名称； “（二）证书持有人名称； “（三）证书序列号； “（四）

20、证书有效期； “（五）证书持有人的电子签名验证数据； “（六）电子认证服务提供者的电子签名； “（七）国务院信息产业主管部门规定的其他内容。“3、 正确及时发放的义务；我国电子签名法第二十二条规定，“电子认证服务提供者应当保证电子签名认证证书内容在有效期内完整、准确，并保证电子签名依赖方能够证实或者了解电子签名认证证书所载内容及其他有关事项。”4、 安全保密义务；我国电子签名法第十九条规定，“电子认证业务规则应当包括责任范围、作业操作规范、信息安全保障措施等事项。”我国电子认证服务管理办法第二十条规定，“电子认证服务机构应当遵守国家的保密规定，建立完善的保密制度。电子认证服务机构对电子签名人和

21、电子签名依赖方的资料，负有保密的义务。”我国电子签名法第二十四条规定，“电子认证服务提供者应当妥善保存与认证相关的信息，信息保存期限至少为电子签名认证证书失效后五年。”5、 业务规则说明和告之义务；我国电子签名法第十九条规定，“电子认证服务提供者应当制定、公布符合国家有关规定的电子认证业务规则，并向国务院信息产业主管部门备案。电子认证业务规则应当包括责任范围、作业操作规范、信息安全保障措施等事项。”第二十二条还规定，“电子认证服务提供者应当保证电子签名认证证书内容在有效期内完整、准确，并保证电子签名依赖方能够证实或者了解电子签名认证证书所载内容及其他有关事项。”6、 及时处理业务义务。我国电子

22、签名法第二十三条规定，“电子认证服务提供者拟暂停或者终止电子认证服务的，应当在暂停或者终止服务九十日前，就业务承接及其他有关事项通知有关各方。 “电子认证服务提供者拟暂停或者终止电子认证服务的，应当在暂停或者终止服务六十日前向国务院信息产业主管部门报告，并与其他电子认证服务提供者就业务承接进行协商，作出妥善安排。 “电子认证服务提供者未能就业务承接事项与其他电子认证服务提供者达成协议的，应当申请国务院信息产业主管部门安排其他电子认证服务提供者承接其业务。 “电子认证服务提供者被依法吊销电子认证许可证书的，其业务承接事项的处理按照国务院信息产业主管部门的规定执行。”三、 四、 武术期末考试试卷认

23、证机构的业务风险与过错责任（一） （二） 机器人教学存在的问题业务风险1、 2、 新叶阅读答案技术上的风险3、 4、 政治理论知识应知应会风险也可能来自认证机构内部5、 6、 提出全面改革总目标的会议是来自外部网络空间的攻击可能致使认证机构需要承担第三人行为产生的损失。（三） （四） 改革开放的历史性标志认证机构的相关法律责任1、 认证机构与电子签名人的责任分担问题注意：（1）过错责任原则暑假放假时间2019小学（2）认证机构只就其违约或失职行为造成的用户或信赖方的直接损失承担赔偿责任，对于当事人的机会和利润的丧失以及精神的损失不予赔偿。2、 认证机构与信赖方之间的法律责任问题认证中心就其证书

24、的签发，须对所有合理信赖证书内容的人，保证信息正确、证书的全部重要信息已披露、申请人已接受该证书及该机构系遵守所有签发证书的法律规定而签发证书。如果认证机构违反上述法定义务，使证书信赖方因信赖行为遭受损失，认证机构必须承担侵权责任。但如果认证错误是由于无法预料的技术原因造成或认证机构已采取法律规定的合理可行的预防措施仍不可避免，则认证机构对信赖方的损失不承担责任。电子认证活动中的信赖方的过错可能表现为下来情况：摆渡自己的阅读及答案（1）信赖方在信赖数字证书前，没有认真检查最新的作废证书来验明证书的状态，由此导致使用了作废的证书；（2）信赖方对证书的信任超出了证书的使用目的范围或可靠性限制。3、 4、 有理数的加减混合运算监督管理机关人员的责任我国电子签名法第三十三条规定，“依照本法负责电子认证服务业监督管理工作的部门的工作人员，不依法履行行政许可、监督管理职责的，依法给予行政处分；构成犯罪的，依法追究刑事责任。”5、 免责事由（1） 不可抗力（2） （3） 植物细胞教学设计第二课时免责条款（4） 债权人过错