第五章 电子认证法律制度 第六章 电子支付法律制度Word格式文档下载.docx
《第五章 电子认证法律制度 第六章 电子支付法律制度Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《第五章 电子认证法律制度 第六章 电子支付法律制度Word格式文档下载.docx(22页珍藏版)》请在冰点文库上搜索。
我国《电子签名法》所界定的电子签名认证证书是指可证实电子签名人与电子签名制作数据有联系的数据电文或者其他电子记录。
11,证书暂停:
主要针对影响认证安全的紧急事件而采取的暂时性措施。
它只暂时阻却证书的使用,待需要调查处理的事宜完毕后,再作决定。
12,电子签名依赖方:
我国《电子签名法》界定依赖方的含义:
“电子签名依赖方,是指基于对电子签名认证证书或者电子签名的依赖从事有关活动的人“。
13,免责事由:
又称为免责条件,是指当事人即使违约也不承担责任的情形。
免责事由可分为不可抗力、免责条款和债权人过错三种类型。
14,不可抗力:
是指不能预见、不能避免并不能克服的客观情况。
不可抗力既可以是自然现象或者自然灾害,也可以是社会现象、社会异常事件或者政府行为。
15,免责条款:
是指当事人在合同中约定的免除将来可能发生的违约责任的条款。
免责条款不得违反法律的强制性规定和社会公共利益。
(二)简答题
1,简述电子认证主要类型
提示:
按计算机已有的认证功能及其认证的对象来分,电子认证主要有以下几种类型:
(1)站点认证。
这是通过验证加密的数据能否成功地在两个站点间进行传送来实现的。
(2)数据电文认证。
必须允许收方能够确定:
该电讯是由确认的发方发出的;
该电讯的内容有无篡改或发生错误;
该电讯按确定的次序接收;
该电讯传送给确定的收方。
经过站点认证后,收发双方便可进行电子通信。
而电讯认证使每个通信者能够验证每份电讯的来源、内容、时间性和目的地的真实性。
(3)电讯源的认证。
有两种基本的方法实现电讯源的认证。
A,以收发双方共享的保密的数据加密密钥,来认证电讯源。
B,以收发双方共享的保密的通行字为基础,来认证电讯源。
(4)身份认证。
交易人的身份认证,是许多应用系统的第一道防线,其目的在于识别合法用户和非法用户,从而阻止非法用户访问系统,这对于确保系统和数据的安全保密是极重要的。
2,简述电子认证与电子签名的关系
电子认证虽然与电子签名一样,都是电子商务中的安全保障机制,但电子签名与电子认证二者的具体功能、应用范围以及手段和目的等方面还是存在着显著区别。
(1)认证是建立在电子签名这种技术保障之上的组织保障。
电子签名着重保护数据电文的安全,使之不被否认或篡改、假冒,它同时适用于封闭性和开放性的交易网络,是一种技术手段的保证;
而电子认证则主要应用于交易方身份与信用度的确认,它不仅需要一定技术标准,还需要为电子签名提供组织制度上的保障,它主要运用于开放性的交易网络。
(2)此外,电子签名一般仅涉及交易双方的关系,而电子认证以作为第三方的认证机构的活动作为电子认证法律关系的核心。
3,简述CA的主要职责。
CA的主要职责可简单归结为颁发、更新、查询、作废、归档等五项功能,具体包括:
验证并标识证书申请者的身份;
确保CA用于签名证书的非对称密钥的质量;
确保整个签证过程的安全性,管理证书材料信息(包括公钥证书序列号、CA标识等);
确定并检查证书的有效期限;
确保证书主体标识的惟一性;
发布并维护作废证书表;
对整个证书签发过程做日志记录,以及向申请人发通知等。
4,简述电子认证机构所提供的服务内容
概括地说,电子认证机构所服务内容主要包括以下几个方面:
(1)制作、签发、管理电子签名认证证书。
(2)确认签发的电子签名认证证书的真实性。
(3)提供电子签名认证证书目录信息查询服务。
(4)提供电子签名认证证书状态信息查询服务。
5,简述国际上对电子认证服务管理的主要模式。
目前,国际上对电子认证服务的管理大概分为三种模式:
一是强制性许可制度。
如韩国、日本、德国、马来西亚以及我国台湾和香港。
这些国家和地区对认证机构的许可做出了规定,认证机构必须通过了许可才能开展业务。
第二类是非强制性的许可制度。
经政府认证的认证机构,政府会给很多的优惠。
如果不经过认证,则没有优惠,但仍可以运营。
如奥地利、新加坡。
像新加坡1997年由国家计算机委员会(NCB)和电子传输网络(NETS)建立的NETTRUST认证中心即是。
第三种方式是完全依靠市场调节,通过行业自律予以规范。
如美国1995年创建的Verisign公司。
6,简述目前电子商务认证机构存在的主要问题。
目前电子商务认证机构存在的主要问题有以下几个方面:
一是建设过热,有一定的盲目性,造成重复建设和资源浪费;
二是对电子商务认证机构的作用认识不足;
三是低估认证机构运行的难度,缺乏必要的规章制度;
四是认证机构对自身的安全性认识不够,对承担风险认识不足;
五是法律法规、行业规范亟待健全。
7,简述电子认证机构的设立应遵守的原则。
电子认证机构的设立应遵守以下原则:
(1)权威性原则:
认证机构的法律地位首先要得到国家法律的承认,并且其服务必须在较广的范围内得到消费者的信赖;
(2)真实性原则:
认证机构向社会提供的各种信息必须真实、完整、可靠;
(3)保密性原则:
认证机构的人员以及设备应能够保证用户的个人信息不被泄漏给XX的第三人,有效防范外部的非法入侵;
(4)迅捷性原则:
在电子信息时代,认证机构的业务处理必须体现快捷性原则,因为网络环境下哪怕一秒钟的迟延也可能给用户造成巨大的损失;
(5)经济性原则:
在一定的范围内,应尽量避免重复认证,提高信息资源的利用率,节省当事人的交易成本。
8,简述国际间对于外国认证机构和认证证书的承认方式。
国际间对于外国认证机构和认证证书的承认主要有以下三种方式:
一是通过国际条约或双方协定来处理,凡加入条约或协定的国家,均可承认对方国家认证机构在本国颁发的证书的效力;
二是行政核准方式,即符合本国规定的认证政策和可信性条件标准的境外认证机构,在获得境内行政部门的许可后,可在境内开展认证活动,其颁发的证书与境内认证机构颁发的证书具有同等效力;
三是认证担保方式,即境外认证机构寻求境内认证机构提供担保,由后者承担前者在国内发放证书所产生的风险。
9,简述我国《电子签名法》第二十一条所规定的电子签名认证证书应当载明的内容。
而第二十一条则对认证证书内容作出了规定,“电子认证服务提供者签发的电子签名认证证书应当准确无误,并应当载明下列内容:
(1)电子认证服务提供者名称;
(2)证书持有人名称;
(3)证书序列号;
(4)证书有效期;
(5)证书持有人的电子签名验证数据;
(6)电子认证服务提供者的电子签名;
(7)国务院信息产业主管部门规定的其他内容。
10,简述电子签名依赖方应当遵守的主要义务。
如果依赖方未遵守法律规定,违反其法定义务,也应自己承担法律后果。
例如,没有做到:
(1)采取合理的步骤核查电子签名的可靠性;
(2)在电子签名有证书证明时,采取合理的步骤;
(3)核查证书的有效性或证书的吊销或撤消;
(4)遵守对证书的任何限制。
11,简述认证机构业务风险的几种情形。
认证机构的设立是为了防范电子商务中的交易风险,但认证机构本身在从事提供认证服务的业务活动过程中,也承担着很大的商业和法律风险。
首先在于技术上的风险。
其次,风险也可能来自认证机构内部。
再次,来自外部网络空间的攻击可能致使认证机构需要承担第三人行为产生的损失。
12,什么是免责事由?
举例说明免责事由的几种情形。
免责事由又称为免责条件,是指当事人即使违约也不承担责任的情形。
免责事由可分为不可抗力、免责条款和债权人的过错三种类型。
不可抗力,是指不能预见、不能避免并不能克服的客观情况。
不可抗力既可以是自然现象或者自然灾害,如地震、火山爆发、滑坡、泥石流、雪崩、洪水、海啸、台风等自然现象;
也可以是社会现象、社会异常事件或者政府行为,如合同订立后政府颁发新的政策、法律和行政法规,致使合同无法履行;
再如战争、罢工、骚乱等社会异常事件。
不可抗力一般是法定的免责条款。
免责条款是指当事人在合同中约定的免除将来可能发生的违约责任的条款。
债权人过错是指如果合同不履行或者不完全履行是由对方即债权人的过错造成的,不履行或者不完全履行的一方免除违约责任。
在电子认证合同中也存在因债权人过错而免责的情况,例如签署者有使用可信赖系统的义务。
若因签署者的计算机系统达不到要求而使认证机构不能履行或不能完全履行颁发证书、管理证书及发布信息的义务,则认证机构可以免责。
这方面最简单的例子如签署者的计算机配置太低或使用的软件不合适或有缺陷。
(三)论述及案例分析题
1,简述我国《电子签名法》规定对电子认证服务采用强制性许可制度的理由。
根据以下要点展开论述,可以适当自由发挥。
目前,国际上对电子认证服务的管理大概分为三种模式,一是强制性许可制度。
第二类是非强制性的许可制。
如果不经过认证,没有优惠好处,但仍可以运营。
如:
奥地利、新加坡。
如新加坡1997年由国家计算机委员会(NCB)的电子传输网络(NETS)建立的NETTRUST认证中心。
我国在对电子认证机构的管理方面,在审议《电子签名法》过程当中也有两种意见,一是根据发达国家的经验,发挥市场引导和行业自律,依靠市场竞争促使认证机构提高认证服务质量和信誉,政府不应过多的介入;
第二种意见是为了认证机构的管理关系到整个电子交易的公正性和安全性,应加强政府的主导作用。
由于中国电子认证机构主要靠市场引导,行业自律不太具备,政府核准的依据电子签名法设立的认证机构,条件要求比较高,但其颁布的证书具有较高的公信力,最后我国《电子签名法》规定了采用强制性许可制度,并对电子认证服务应当具备的条件做出了规定。
与电子商务活动中的其他制度相比,政府对电子认证的管制是比较严格的,这也由于认证机构的信用保障对于交易安全至关重要有关,若将这一领域完全交由私营企业和公司去规范和管理,政府绝对不干预,只会导致市场的混乱与无序,失去电子认证的权威性特征。
因此,只有以国家名义存在或由主管部门颁发经营许可证的认证机关,或国家相关部门授权经营的电子认证公司,其颁发的数字证书才最有权威性。
同时,在一国范围内,还有必要建立国家级的总的认证中心,对一般认证机构的认证进行确认或协调。
因为各认证机构的认证标准不统一会带来认证机构之间的矛盾以及消费者的多重交叉认证,由政府制定统一的、与国际接轨的技术标准和服务标准有利于认证的标准化和可执行性,有利于节省交易成本,提高效益,也有利于电子认证的效力得到全球其他国家的承认,以推进电子商务的跨国发展。
2,阐述电子认证服务提供者的义务体系。
我国《电子签名法》针对电子认证服务提供者的义务作出了原则性的规定,概括的说电子认证服务提供者的义务体系主要有以下几个方面:
(1)审查义务:
该法第二十条规定:
“电子签名人向电子认证服务提供者申请电子签名认证证书,应当提供真实、完整和准确的信息。
电子认证服务提供者收到电子签名认证证书申请后,应当对申请人的身份进行查验,并对有关材料进行审查。
“
(2)提供的证书信息真实、准确、完整的义务。
该法第二十一条规定:
“电子认证服务提供者签发的电子签名认证证书应当准确无误。
(3)正确及时发放的义务。
如果一个证书的申请者按照认证机构之要求提供了所需信息并交了费,但由于认证机构之很简单的操作失误,或者由于认证机构之系统设备设计上的临时发生的故障,认证机构有可能在发放数字证书时发生迟延或失败。
我国《电子签名法》第二十二条规定,“电子认证服务提供者应当保证电子签名认证证书内容在有效期内完整、准确,并保证电子签名依赖方能够证实或者了解电子签名认证证书所载内容及其他有关事项。
(4)安全保密义务。
电子商务认证机构的认证系统安全性主要涉及访问控制、责任分割、识别和鉴别、密钥管理、审计、可行路径和数据保护、密码安全、物理安全、人员安全等多个方面。
国内一些电子商务认证机构在这些安全要素的建设上还不够完善,对于因本身安全问题而造成客户经济损失进行赔偿的风险也存在认识不足。
为防止证书信息在认证机构终止后的安全,《电子签名法》第二十四条规定:
“电子认证服务提供者应当妥善保存与认证相关的信息,信息保存期至少为电子签名认证证书失效后五年。
(5)业务规则说明和告之的义务。
该义务要求认证机构公开其工作流程、认证标准、服务内容,如用户身份鉴定要求、证书类别及申请、签发、撤销、暂停、续展等操作规程、保密制度、安全标准、用户的责任和义务、认证机构的赔偿范围和免费限额等。
该法第十九条规定,“电子认证服务提供者应当制定、公布符合国家有关规定的电子认证业务规则,并向国务院信息产业主管部门备案。
电子认证业务规则应当包括责任范围、作业操作规范、信息安全保障措施等事项”。
第二十二条还规定,“电子认证服务提供者应当保证电子签名认证证书内容在有效期内完整、准确,并保证电子签名依赖方能够证实或者了解电子签名认证证书所载内容及其他有关事项。
(6)及时处理业务义务。
数据电文信息传输速度的迅捷性要求认证机构在办理证书的报失、撤消、中止、认证申请等业务时必须及时准确,最大限度地避免因认证机构业务迟延给用户或信赖方造成损失情况的发生。
我国《电子签名法》第二十三条规定,“电子认证服务提供者拟暂停或者终止电子认证服务的,应当在暂停或者终止服务九十日前,就业务承接及其他有关事项通知有关各方。
电子认证服务提供者拟暂停或者终止电子认证服务的,应当在暂停或终止服务六十日前向国务院信息产业主管部门报告,并与其他电子认证服务提供者就业务承接进行协商,作出妥善安排。
电子认证服务提供者未能就业务承接事项与其他电子认证服务提供者达成协议的,应当申请国务院信息产业主管部门安排其他电子认证服务提供者承接其业务。
电子认证服务提供者被依法吊销电子认证许可证书的,其业务承接事项的处理按照国务院信息产业主管部门的规定执行。
3,案例分析题
(1)电子认证机构在避免此类事故发生上的作用是什么?
(2)作为王某、商家与认证机构之间的法律关系?
各自承担的义务主要是什么?
(3)在此类事故中,认证机构是否一定要承担法律责任。
(1)在开放型电子商务环境下,交易双方可能是从未见过面的当事人,其间不仅缺少封闭型社区交易群体的道德约束力,而且发生欺诈事件后的救济方法也非常有限,即便有救济的可能,其成本也往往要超过损失本身。
所以只有事先对各种期诈全面予以防范,才是最明智、最经济的选择。
认证机构通过向其用户提供可靠的目录,保证证书名单上的用户名字与公开密钥是正确的,从而解决了可能被欺骗的问题。
如果王某与李某都是用户,认证机构的在线目录,就将同时包含二者的证书。
该证书是包括用户姓名,公开密钥,电子邮件地址,以及其他信息的数字化的文件。
认证机构还对每个证书,都附加有数字签名,以此证明证书的内容是可靠的。
然而,无论用户多么小心谨慎,其私用密钥都有丢失,或被盗的可能。
一旦该类事件发生,遭受危险的私有密钥和与其相应的公开密钥,就不能再用来加密信息。
为了应付这种危险状况,大多数认证机构将提供证书撤销名单(CRL),以列举那些失效的密钥对。
证书撤销名单的内容,是经常更新的,并且对于广大用户来说,也是容易利用的。
(2)在认证关系中,商家是证书拥有人(亦称签署者),作为认证机构的客户,是接受认证服务的一方。
商家除了应履行一般的支付服务费用的义务外,还必须履行一些与认证服务性质相应的义务,主要包括真实陈述义务、私人密钥控制义务和及时通知义务。
一旦用户私钥失密,就会出现他人假冒用户之名进行交易的危险,对电子商务的安全产生影响。
商家作为证书持有人在得知密钥已被可能被XX人掌握,或存在有害证书安全的其他情形时,应及时通知所有按其合理预计可能受证书影响的人,包括认证机构,并向认证机构申请中止或撤消证书。
因此,我国《电子签名法》第二十七条规定:
“电子签名人知悉电子签名制作数据已经失密或可能已经失密未及时告知有关各方、并终止使用电子签名制作数据,未向电子认证服务提供者提供真实、完整和准确的信息,或者有其他过错,给电子签名依赖方、电子认证服务提供者造成损失的,承担赔偿责任。
王某是证书信赖人,所谓证书信赖人,是指相信电子签名证书,并以该证书上所确定的证书拥有人为交易对方,而进行交易的当事人。
证书信赖人本身可能是,也可能不是认证机构的用户,他与认证机构,要比用户与认证机构之间的关系更为复杂。
当证书信赖人不是认证机构的用户时,他与认证机构之间并无服务合同存在。
但是,当他利用证书而与证书用户交易时,却又成为了证书服务关系中的对象,并且,认证机构在特定情况下还要对之承担责任。
证书信赖人对于交易相对人电子签名证书的使用,一般应在所建议的可靠程度内给予信任,并以此进行交易。
但这只是一种任意选择权,作为证书信赖人的交易一方,可作出自己的,并承担相应的法律后果。
一旦由于认证机构或证书用户的过错,而使证书信息不实,并给证书信赖人造成了损失,则认证机构和证书用户,可能要承担一定的赔偿责任。
这是认证信用服务对电子商务交易关系保障的最明显的体现。
信赖人未按证书等级进行交易,而是超出了认证机构建议范围。
这同样是信赖人行使其选择权的具体形式。
不过,在此种情况下,认证机构不对其超出证书可靠性建议范围的交易额负责任。
认证机构对于信赖证书的交易人,应承担公正信息发布义务,而不因未接收其服务报酬,而偏袒与之建立了服务合同关系的证书用户一方。
任何一个认证机构都应当知道,证书信息的公正性,是其业务存在的根本条件,舍弃此点,该机构就没有必要存在。
认证机构的义务大致可概括为以下几方面:
安全、真实、及时、公开、谨慎、保密等方面,安全是认证机构服务的宗旨性目标,同时也是其义务,譬如使用可靠性系统,就是安全义务的体现。
真实、谨慎,是针对用户对外资料的审查核实与公布而言的,也是对证书信赖人负责的做法。
公开认证机构自身及用户的应予发布的信息,是其业务规则之一,保密则是对用户的不宜泄露的信息而言的。
(3)不一定必须承担。
我国《电子签名法》也是采取了电子认证服务提供者过错责任原则:
“电子签名人或者电子签名依赖方因依据电子认证服务提供者提供的电子签名认证服务从事民事活动遭受损失,电子认证服务提供者不能证明自己无过错的,承担赔偿责任。
(四)其他
1,采用非强制性许可制度进行电子认证的国家是:
新加坡
2,从(美国犹他州《数字签名法》)的规定来看,自然人与法人都可作为认证机构的发起人。
3,我国《电子签名法》第二十四条规定,“电子认证服务提供者应当妥善保存与认证相关的信息,信息保存期限至少为电子签名认证证书失效后(五年)。
4,因签署者的计算机系统达不到要求而使认证机构不能履行或不能完全履行颁发证书,管理证书及发布信息的义务是属于(债权人的过错)。
5,按计算机已有的认证功能及其认证的对象来分,电子认证有以下几种:
站点认证,身份认证,电讯源的认证,数据电文认证。
6,完整的PKI系统包括:
认证机构,数字证书库,密钥备份及恢复系统,证书作废系统,应用接口(API)等几大基本构成部分。
7,CA的主要职责可简单归结为(颁发,更新,查询,作废和归档)等功能。
8,电子认证服务的监管模式包括:
强制性许可制度,备案性许可制度,行业自律。
9,电子认证机构的设立应遵守以下原则:
权威性原则,真实性原则,保密性原则,迅捷性原则,经济性原则。
10,国际间对于外国认证机构和认证证书的承认主要有以下三种方式:
通过国际条约或双边协定来处理,行政核准方式,认证担保方式。
11,《电子认证服务管理办法》第六条规定,申请电子认证服务许可的,应当向信息产业主管部门提交下列材料:
A,书面申请;
B,专业技术人员和管理人员证明;
C,资金和经营场所证明;
D,国家和相关认证检测机构出具的技术设备、物理环境符合国家有关安全标准的凭证;
E,国家密码管理机构同意使用密码的证明文件。
12,我国《电子认证服务管理办法》第二十九条规定,有下列情况之一的,电子认证服务机构可以撤销其签发的电子签名认证证书:
A,证书持有人申请撤销证书;
B,证书持有人提供的信息不真实;
C,证书持有人没有履行双方合同规定的义务;
D,证书的安全性不能得到保证;
E,法律、行政法规规定的其他情况。
13,下面关于电子认证机构的义务说法正确的有:
A,合理审查相关资料的义务;
B,提供的证书信息真实、准确、完整的义务;
C,正确及时发放证书的义务;
D,安全保密义务;
E,业务规则说明和告之的义务;
F,及时处理业务义务。
第六章电子支付法律制度
第一节电子支付及其法律问题概述
第二节电子资金划拨中的法律问题
第三节电子货币和网上银行的法律问题
1,电子支付:
狭义的电子支付是指电子资金划拨业务,根据美国《统一商法典》的定义,电子支付是支付命令发送方将存放于商业银行的资金,通过传输线路划入受益方开户银行,以支付受益方的一系列过程,这个定义侧重于支付方式的电子化;
广义的电子支付还同时包括支付工具(如货币)的电子化,将网上银行及其所开展的新型金融服务(如电子
升级会员 