第五章电子认证法律制度Word文档格式.docx
《第五章电子认证法律制度Word文档格式.docx》由会员分享,可在线阅读,更多相关《第五章电子认证法律制度Word文档格式.docx(14页珍藏版)》请在冰点文库上搜索。
认证机构(CertificationAuthority。
简称CA认证机构,或CA认证中心)是指在电子合同中对用户的电子签名颁发数字证书的机构,它已经成为开放性电子商务活动中不可缺少的信用服务机构。
联合国贸易法委员会在其《电子签名统一规则(草案)》第1条第4款中规定:
“认证机构,是指从事颁发为数字签名的目的而使用的加密密钥相关的(身份)证书的任何人或实体。
(该定义受任何要求认证机构须取得许可、或认可或以一定的方式进行营业的有效法的限制。
)”美国《统一电子交易法(草案)第2条规定:
“认证机构,是指任何在其业务中从事颁布用于数字签名的密钥身份证书的人或实体”。
可见,大体而言是指签发认证证书的自然人或法人。
作为认证机构,都应当具备一定条件:
首先,它必须是独立的法律实体。
能够以自己的名义从事数字证书服务。
并且能够以自己的财产提供担保,能在法律规定的范围内自己承担相应的民事责任。
其次,它必须保持中立并具有可靠性。
再次,它必须能够被当事人接受。
最后,它不得以营利为目的。
(二)PKI体系
完整的PKI系统包括
1、认证机构
2、数字证书库
3、密钥备份及恢复系统
4、证书作废系统
5、应用接口
(三)认证机构的主要职责可简单归结为颁发、更新、查询、作废、归档等五项功能
四、电子认证机构的服务内容
1、制作、签发、管理电子签名认证证书
2、确认签发的电子签名认证证书的真实性
3、提供电子签名认证证书目录信息查询服务
4、提供电子签名认证证书状态信息查询服务
第二节认证机构的设立与管理规范
一、认证机构的设立与监管模式
电子认证服务的监管模式有
1、强制性许可制度
2、非强制性许可制度
3、行业自律
我国《电子签名法》规定了采用强制性许可制度,并对电子认证服务应当具备的条件做出了规定。
二、电子认证机构的设立原则与条件
(一)我国电子认证机构按经营的范围分为行业性和地域性两种;
按运营模式来分有商业性和非商业性两种。
目前电子商务认证机构存在的主要问题有以下几个方面:
1、建设过热,有一定的盲目性,造成重复建设和资源浪费;
2、对电子商务认证机构的作用认识不足;
3、低估认证机构运行的难度,缺乏必要的规章制度;
4、认证机构对自身的安全性认识不够,对承担风险认识不足;
5、法律法规、行业规范亟待健全。
(二)电子认证机构的设立应遵守以下原则
1、权威性原则
2、真实性原则
3、保密性原则
4、迅捷性原则
5、经济性原则
(三)电子认证的业务经营应实行许可制度
我国《电子签名法》第十八条规定,“从事电子认证服务,应当向国务院信息产业主管部门提出申请,并提交符合本法第十七条规定条件的相关材料。
国务院信息产业主管部门接到申请后经依法审查,征求国务院商务主管部门等有关部门的意见后,自接到申请之日起四十五日内作出许可或者不予许可的决定。
予以许可的,颁发电子认证许可证书;
不予许可的,应当书面通知申请人并告知理由。
”
《电子认证服务管理办法》第六条规定,“申请电子认证服务许可的,应当向工业和信息化部提交下列材料:
“
(一)书面申请。
“
(二)人员证明。
“(三)资金证明(经依法审计的近三年的财务会计报告,新成立公司的验资报告)。
“(四)经营场所证明。
“(五)国家有关认证检测机构出具的技术、设备、物理环境符合国家有关安全标准的凭证。
“(六)国家密码管理机构同意使用密码的证明文件。
我国《电子签名法》第十七条对提供电子认证服务应当具备的条件做出了如下的规定:
“
(一)具有与提供电子认证服务相适应的专业技术人员和管理人员;
“
(二)具有与提供电子认证服务相适应的资金和经营场所;
“(三)具有符合国家安全标准的技术和设备;
“(四)具有国家密码管理机构同意使用密码的证明文件;
“(五)法律、行政法规规定的其他条件。
三、交叉认证的规范
电子商务的活动常常是跨越国境的,各个参与方就需要有不同国家的认证机构对各自的身份进行认证,并向电子商务活动的相对方发放认证证书。
这就需要各国相互承认对方国家认证机构发放的认证证书的效力。
实践中有两种解决办法:
(1)在本国有关电子签名的法律法规中明确规定他国或地区的认证机构发放的认证证书的效力。
如加拿大和美国某些州之间就通过法律规定互相承认所发放的认证证书的效力;
某些欧洲国家的电子签名法也规定,其他欧盟成员国国内认证机构发放的认证证书同本国认证机构发放的认证证书具有同等的效力。
(2)通过签订国际条约或双边协定来相互承认对方国家国内认证机构发放的认证证书的效力。
因此,有关电子签名以及电子签名认证的法律业已成为国际法的重要组成部分。
我国《电子签名法》第二十六条规定,“经国务院信息产业主管部门根据有关协议或者对等原则核准后,中华人民共和国境外的电子认证服务提供者在境外签发的电子签名认证证书与依照本法设立的电子认证服务提供者签发的电子签名认证证书具有同等的法律效力。
第三节认证机构的证书业务规范
一、数字证书的颁发与公布
电子认证证书,是网络通讯中标志通讯各方身份信息的一系列数据,它提供了一种在因特网交易中验证当事人身份的方式。
认证证书,又称数字证书(DigitalCertificate,DigitalID),是用电子手段证实用户的身份及其对网络资源的访问权限的特定化信息。
在网上电子交易中,如果一方向交易对方提交一个由认证机构签发的证书,能使对方了解自己的身份状况,增强对方的信任度;
如果双方出示了各自的数字证书,并用它们进行交易操作,那么,一般情况下,双方就可以不必再为对方身份的真实性而担心。
数字证书的基础是公开密钥体系。
我国《电子签名法》第二十一条规定,“电子认证服务提供者签发的电子签名认证证书应当准确无误,并应当载明下列内容:
“
(一)电子认证服务提供者名称;
“
(二)证书持有人名称;
“(三)证书序列号;
“(四)证书有效期;
“(五)证书持有人的电子签名验证数据;
“(六)电子认证服务提供者的电子签名;
“(七)国务院信息产业主管部门规定的其他内容。
二、电子证书的中止、撤销与终止
1、电子证书的中止
现将美国犹他州的《数字签字法》和马来西亚的《1997年数字签字法》的相关规定介绍如下:
美国犹他州的《数字签字法》,对证书中止情况作了较为详细的规定。
主要有:
(1)认证机构收到证书上载明的用户或用户的代理人、利害关系人的请求;
(2)认证机构收到主管部门的命令;
(3)认证机构也可以同用户约定中止的情形。
马来西亚的《1997年数字签字法》关于证书中止的规定如下:
(1)证书所载用户的请求,或者其他可能知悉该证书的私钥可能受损;
(2)主管部门认为证书发放时,存在违法或者可能危及证书的信赖人利益而命令中止。
2、电子证书的撤销
电子证书的撤销,是电子证书在其有效期内,由于出现证书被盗、私钥泄漏、用户名称变更、用户死亡等特殊情况时,认证机构将证书撤销的行为。
认证机构在接到电子证书撤销的申请后或认为应当撤销时,应迅速完成证书的撤销。
电子证书的撤销必须根据证书政策及其实施说明中具体规定的撤销程序撤销证书。
美国犹他州的《数字签字法》规定了以下几种情况:
(1)证书持有人请求撤销;
(2)用户死亡;
(3)认证机构确定其发放的证书不可靠。
新加坡的《电子交易法》规定:
(1)收到并证实证书持有人的申请;
(2)收到并证实证书持有人已死亡;
(3)证书持有人解散或不存在。
马来西亚的《1997年数字签字法》规定:
(1)认证机构发现该证书的发放不符合法定条件;
(2)认证机构的监控机构发现证书的发放不符合法定条件,可以要求认证机构撤销;
(3)认证机构发放证书而用户没有接受;
(4)证书持有人申请撤销;
(5)证书持有人死亡;
(6)可靠证书的撤销。
我国认证机构对证书撤销的规定(《电子认证服务管理办法》第二十九条):
“有下列情况之一的,电子认证服务机构可以撤销其签发的电子签名认证证书:
“
(一)证书持有人申请撤销证书。
“
(二)证书持有人提供的信息不真实。
“(三)证书持有人没有履行双方合同规定的义务。
“(四)证书的安全性不能得到保证。
“(五)法律、行政法规规定的其他情况。
“
从各国相关规定可以看出,数字证书撤销的事由主要有:
(1)证书关系主体资格方面,如认证机构解散、证书持有人死亡或解散;
(2)证书记载方面,如记载反映的情况已经发生变化而未作变更;
(3)证书技术基础发生变化,如认证机构或用户的私钥泄密、新密钥代替原密钥等;
(4)有关主体的行为,如用户请求撤销、认证机构或用户违反业务说明等;
(5)有关主管机构的命令等。
3、电子证书的终止
电子证书的终止,是指证书在期限届满或政策规定的情形出现时失去法律效力的情形。
电子证书的终止意味着,认证法律关系的终结。
就证书终止的法律后果来看,一方面,解除了认证机构因颁发证书而产生的一系列义务;
另一方面,解除了证书持有人即用户的义务。
作为企业,对电子认证的管理当然也要依据对企业加以规制的法律规定。
比如,我国的《企业法人登记管理条例》第29条规定:
登记主管机关对企业法人依法履行下列监督管理职责:
(1)监督企业法人按照规定开业、变更、注销登记;
(2)监督企业法人按照登记注册事项和章程、合同从事经营活动;
(3)监督企业法人和法定代表人遵守国家法律法规;
(4)制止和查处企业法人的违法经营活动,保护企业法人的合法权益。
第30条规定:
企业法人有下列情形之一的,登记主管机关可以根据情况分别给予警告、罚款、没收非法所得、停业整顿、扣缴、吊销《企业法人营业执照》的处罚:
(1)登记中隐瞒真实情况弄虚作假或者未经核准登记注册擅自开业的;
(2)擅自改变主要登记事项或者超出核准登记的经营范围从事经营活动;
(3)不按照规定办理注销登记或者不按照规定报送年检报告,办理年检的;
(4)伪造、涂改、出租、出借、转让、出卖或擅自复印《企业法人营业执照》、《企业法人营业执照》副本的;
(5)抽逃、转移资金、隐匿财产逃避债务的;
(6)从事非法经营活动的。
按照上述规定对企业法人进行处罚时,应当根据违法行为追究法定代表人的行政责任、经济责任;
触犯刑律的,由司法机关依法追究刑事责任。
二、证书拥有人的义务
1、真实陈述的义务
如我国的《广东省电子交易条例》第32条规定:
用户申领数字证书时,提供虚假信息的,由有关行政管理部门依法追究其法律责任。
2、妥善保管私人密钥和证书的义务
如我国的《广东省电子交易条例》第22条规定:
数字证书用户在申领证书时,必须提供真实、完整和准确的身份信息及相关资料。
数字证书用户应当妥善保管自己的证书私钥,并且遵守认证机构制订的认证业务操作规范和数字证书管理制度。
3、对颁发证书的检验义务
认证机构颁发证书时,用户有义务检验证书中所描述信息的准确性。
4、正确使用证书的义务
不得利用证书从事任何非法的行为。
5、及时通知义务
在发生私钥泄漏或其他有可能影响到电子签名真实性的事件时,证书持有人应该及时通知认证机构,以便认证机构及时采取措施,减少损失。
我国《电子签名法》第二十七条规定,“电子签名人知悉电子签名制作数据已经失密或者可能已经失密未及时告知有关各方、并终止使用电子签名制作数据,未向电子认证服务提供者提供真实、完整和准确的信息,或者有其他过错,给电子签名依赖方、电子认证服务提供者造成损失的,承担赔偿责任。
6、交纳费用的义务
三、信赖方的义务
1、遵守认证机构的要求,采取合理的步骤确认签名的真实性。
2、遵守任何有关证书的限制,在证书所载的可信赖度以内从事交易,把证书用于规定的用途。
第四节认证机构的法律责任
一、认证机构与在线当事人之间的法律关系
1、认证机构与证书用户之间的关系
2、认证机构与信赖方之间的关系
二、认证机构在认证法律关系中的义务
1、审查义务
我国《电子签名法》第二十条规定,“电子签名人向电子认证服务提供者申请电子签名认证证书,应当提供真实、完整和准确的信息。
电子认证服务提供者收到电子签名认证证书申请后,应当对申请人的身份进行查验,并对有关材料进行审查。
2、提供的证书信息真实、准确、完整的义务;
第二十一条规定,“电子认证服务提供者签发的电子签名认证证书应当准确无误,并应当载明下列内容:
3、正确及时发放的义务;
我国《电子签名法》第二十二条规定,“电子认证服务提供者应当保证电子签名认证证书内容在有效期内完整、准确,并保证电子签名依赖方能够证实或者了解电子签名认证证书所载内容及其他有关事项。
4、安全保密义务;
我国《电子签名法》第十九条规定,“电子认证业务规则应当包括责任范围、作业操作规范、信息安全保障措施等事项。
我国《电子认证服务管理办法》第二十条规定,“电子认证服务机构应当遵守国家的保密规定,建立完善的保密制度。
电子认证服务机构对电子签名人和电子签名依赖方的资料,负有保密的义务。
我国《电子签名法》第二十四条规定,“电子认证服务提供者应当妥善保存与认证相关的信息,信息保存期限至少为电子签名认证证书失效后五年。
5、业务规则说明和告之义务;
我国《电子签名法》第十九条规定,“电子认证服务提供者应当制定、公布符合国家有关规定的电子认证业务规则,并向国务院信息产业主管部门备案。
电子认证业务规则应当包括责任范围、作业操作规范、信息安全保障措施等事项。
第二十二条还规定,“电子认证服务提供者应当保证电子签名认证证书内容在有效期内完整、准确,并保证电子签名依赖方能够证实或者了解电子签名认证证书所载内容及其他有关事项。
6、及时处理业务义务。
我国《电子签名法》第二十三条规定,“电子认证服务提供者拟暂停或者终止电子认证服务的,应当在暂停或者终止服务九十日前,就业务承接及其他有关事项通知有关各方。
“电子认证服务提供者拟暂停或者终止电子认证服务的,应当在暂停或者终止服务六十日前向国务院信息产业主管部门报告,并与其他电子认证服务提供者就业务承接进行协商,作出妥善安排。
“电子认证服务提供者未能就业务承接事项与其他电子认证服务提供者达成协议的,应当申请国务院信息产业主管部门安排其他电子认证服务提供者承接其业务。
“电子认证服务提供者被依法吊销电子认证许可证书的,其业务承接事项的处理按照国务院信息产业主管部门的规定执行。
三、认证机构的业务风险与过错责任
(一)业务风险
1、技术上的风险
2、风险也可能来自认证机构内部
3、来自外部网络空间的攻击可能致使认证机构需要承担第三人行为产生的损失。
(二)认证机构的相关法律责任
1、认证机构与电子签名人的责任分担问题
注意:
(1)过错责任原则
(2)认证机构只就其违约或失职行为造成的用户或信赖方的直接损失承担赔偿责任,对于当事人的机会和利润的丧失以及精神的损失不予赔偿。
2、认证机构与信赖方之间的法律责任问题
认证中心就其证书的签发,须对所有合理信赖证书内容的人,保证信息正确、证书的全部重要信息已披露、申请人已接受该证书及该机构系遵守所有签发证书的法律规定而签发证书。
如果认证机构违反上述法定义务,使证书信赖方因信赖行为遭受损失,认证机构必须承担侵权责任。
但如果认证错误是由于无法预料的技术原因造成或认证机构已采取法律规定的合理可行的预防措施仍不可避免,则认证机构对信赖方的损失不承担责任。
电子认证活动中的信赖方的过错可能表现为下来情况:
(1)信赖方在信赖数字证书前,没有认真检查最新的作废证书来验明证书的状态,由此导致使用了作废的证书;
(2)信赖方对证书的信任超出了证书的使用目的范围或可靠性限制。
3、监督管理机关人员的责任
我国《电子签名法》第三十三条规定,“依照本法负责电子认证服务业监督管理工作的部门的工作人员,不依法履行行政许可、监督管理职责的,依法给予行政处分;
构成犯罪的,依法追究刑事责任。
4、免责事由
(1)不可抗力
(2)免责条款
(3)债权人过错
升级会员 