第四章电子签名与电子认证法律制度解析

电子商务法（第三版）吕波南京工业大学法政学院第四章电子签名与电子认证法律制度关键术语电子签名数据电文立法模式电子认证认证机构证书业务规范第一节电子签名法律制度一、电子签名概论(一)电子签名的概念和种类1传统签名的概念和功能2电子签名•（1）广义的电子签名所谓广义的电子签名，是指包括数字技术、生物特征技术、电子录音、电传等各种电子技术手段在内的电子签名•（2）狭义的电子签名即数字签名•（3）折中式概念——可靠电子签名3电子签名与电子签章（二）电子签名的技术方案及基本原理1数字签名技术2其他电子签名技术简介•（1）生物识别技术•(2)密码、密码代号或个人识别码•(3)基于量子力学的计算机3电子签名法的立法原则•（1）“技术中立”原则•（2）功能等同原则•（3）当事人自治原则数字签名的原理(1)用户生成或得到独特的加密密钥对。(2)发件人在计算机上准备拟发送的信息(如电子邮件)。(3)发件人用安全的哈希函数算法准备好信息摘要。数字签名由一个哈希函数值生成。该函数值由被签署的信息和一个给定的私密钥生成，并对该信息是独特的。该哈希函数值的安全性，表现为通过任意信息和私密钥的组合，生成同样数字签名的可能性为零。(4)发件人通过使用私密钥将讯息摘要加密。私密钥通过使用一种数学算法被应用在讯息摘要文本中。数字签名包含被加密的讯息摘要。(5)发件人将数字签名附在信息之后。(6)发件人将数字签名和信息(加密或未加密)发送给电子收件人。(7)收件人使用发件人的公共密钥确认发件人的电子签名。使用发件人的公共密钥进行的认证，可证明信息排他性地来自于发件人。(8)收件人使用同样安全的哈氏函数算法生成信息的信息摘要。(9)收件人比较两个信息摘要。假如两者相同，则收件人可以确信信息在签发后并未作任何改变。信息被签发后即便有一个字节的改变，收件人生成的数据摘要与发件人的数据摘要都会有所不同。(10)收件人从认证机构获得认证证书(或者是通过信息发件人获得)，用以确认发件人所发讯息上数字签名的真实性。该证书包含发件人的公共密钥和姓名(以及其他附加信息)，并有认证机构的数字签名。在数字签名系统中，认证机构是专门从事管理证书业务的可信赖的第三方。数字签名原理示意图SHASecureHashAlgorithm安全的哈希函数算法(1)～(6)是数字签名的制作过程(7)～(10)是数字签名的核实过程（三）电子签名法的立法模式1“最低要求方案”（minalistapproach）2“数字签名方案”（thedigitalapproach）3“双轨制方案”(twotierapproach)二、电子签名的法律效力（一）电子签名的效力范围（二）可靠电子签名的法律效力1对签名人的效力2对数据电讯内容的效力3对法律行为的效力三、数据电文（一）数据电文的概念（二）数据电文符合法定书面形式要求的规定（三）数据电文符合法定原件形式要求的规定（四）数据电文符合法定文件保存要求的规定（五）数据电文的归属与确定1发送主体的确认•（1）代理•（2）自动交易•（3）收件人按照发件人认可的方法对数据电文进行验证后结果相符的2数据电文的接收确认3发送和接收的时间和地点《电子签名法》•（1）关于发送时间的规定•（2）关于接受地点的规定案例：安全警告第二节电子认证法律制度一、电子认证概述（一）电子认证的概念和性质1电子认证的概念电子认证指一个国家承认的认证机构通过颁发数字证书和管理公共密匙来检验带有电子签名的文件所有人及其内容的真实性。2电子认证的性质电子认证是一种信用服务3电子认证的具体操作程序4认证机构的风险数字签名认证流程信息摘要数字签名数字签名信息摘要摘要信息被确认一致SHA加密私密钥加密发送公密钥解密SHA加密发送方接收方认证中心(CA)公密钥(及身份信息)（二）PKI与数字证书简介1PKI体系PKI是“PublicKeyInfrastructure”的缩写，意为“公钥基础设施”一个标准的PKI域必须具备以下主要内容：•(1)认证机构（CA）•(2)证书和证书库•(3)密钥备份及恢复•(4)密钥和证书的更新•(5)证书历史档案•(6)客户端软件•(7)交叉认证2数字证书3数字证书原理二、认证机构的设立与管理（一）认证机构概述CertificationAuthority，简称CA为了保证电子签名的真实性，保障交易安全，发件人在做电子签名前，签署者必须将他的公共密钥送到经合法注册、具有从事电子认证服务许可证的第三方，即电子认证机构（二）设立模式与条件1行业自律型2政府监管与市场培育相结合型3政府集中管理型《电子签名法》第17条规定了电子认证服务提供者应当具备的条件《电子认证服务管理办法》第5条具体规定了电子认证服务机构设立的具体条件（三）证书业务规范1证书的颁发2证书的管理3证书的中止与撤销4认证信息的保存5电子认证国外证书认证问题（四）认证服务的暂停、终止和接受三、电子认证法律关系（一）电子签名人（证书拥有人）的义务1真实陈述之义务2私密钥控制之义务（二）电子签名依赖方（证书信赖方）的义务责任（三）认证机构的义务1依法申请许可资格，遵守国务院信息产业部的管理规则，并接受信息产业部的监督2公开义务或信息披露义务3谨慎审核义务4电子认证服务提供者有关保证义务5妥善保存与认证相关的信息义务6妥善解决认证人暂停或终止服务后续工作的义务（四）认证机构的责任1民事责任2行政责任3刑事责任认证机构认证机构概述在电子商务交易中，无论是数字时间戳服务，还是数字证书的发放，都不是靠交易的双方自己来完成的，而需要有一个具有权威性和公正性的第三方来完成。认证机构（CA）就是承担安全电子交易认证服务、签发数字证书，并能确认用户身份的服务机构。CA:certificationauthority认证机构的定义认证机构就是用来解决公钥体系中公钥的合法性检验问题，它是承担网上安全电子交易认证服务、能签发数字证书，并能确认用户身份的服务机构。认证机构的主要任务，是受理数字证书的申请、签发数字证书，以及对数字证书进行管理。（1）为了将密钥组与用户联系起来。（2）用数字签名签署证书并作准确的时间纪录。（3）证书可以向社会公布。（4）证书的中止或撤销。（5）认证机构承担的责任。二、认证机构的认证业务问题认证机构的特点A．是独立的法律实体。�B．具有中立性与可靠性。�C.被交易的当事人所接受。�D.其营业之目的是提供公正的交易环境。2、2认证机构的设立条件从事认证服务的机构应当具备下列条件：1．依法成立的法人组织；2．具有与认证服务相适应的专业技术人员和管理人员；3．具有与提供认证服务相适应的资金和经营场所，具备为用户提供认证服务和承担风险、责任的能力；4．具有符合国家安全标准的技术、设备；5．法律、行政法规规定的其他条件。认证机构的资格问题，实际上是一个行业准入条件问题。自然人能否作为认证机构？认证机构的可信赖性作为可靠的第三方，认证机构当然应具有足够的可靠性。认证机构必须遵循严格的程序、使用适当的技术，以确保合理程度的安全性与可靠性。为了定义上述要求，各国电子商务立法引入了可信赖系统这一概念。可信赖性系统，应当由计算机软硬件及相关程序构成，这些组件是足够的安全，可以防止外来的入侵以及滥用。可信赖系统的含义联合国贸法会《电子签名示范法》第10条对“可信赖性”作了规定：在决定证明服务提供者使用的系统、步骤和人力资源是否具有可信赖性，及可信赖的程度时，下列因素应该予以考虑：可信赖系统的标准（1）财力与人力资源，包括现有资产；（2）软件与硬件系统的质量；（3）证书生成与申请的步骤以及相关记录的保留；（4）证书所证明的签名者及潜在的相对方的有关信息的可获取性；（5）是否由独立的第三方进行审计以及审计的程度；（6）规则采纳国已作出声明，存在一个鉴定机构，或者鉴定机构所确认的证明服务提供者；（7）任何其他相关因素。2、4认证机构的责任认证机构的主要职责可以借鉴国际组织和各国电子商务法中的相关规定，具体主要有：（1）认证机构有责任使用可信赖的系统以行使其职责，并披露相关信息，以确保认证机构的权威性和公正性。（2）认证机构应依照认证业务操作规范颁发证书。（3）认证机构有责任在收到申请人或其代表人的申请后暂停证书；同时，有责任在证书中存在重要虚假陈述或认证机构的认证系统存在严重影响其可靠性或有证据证明签名者死亡或消失或不复存在等情况下撤销证书。归责原则主要包括认证机构有否制定完善的认证业务操作规范和内部管理制度、有否使用合格的软硬件设备和从业人员、有否验证认证证书上记载信息的真实性等等。认证机构只需证明自己的行为符合法律法规的一系列要求，就可以认定为无过错而不需承担损害赔偿责任，如果认证机构不能作到这一点，就由认证机构承担损害赔偿责任。认证机构的责任限制给予认证机构在民事赔偿方面以必要的责任限制。例如：一方面，如果认证机构对证书的签发有过错（如证书中存在某些错误陈述）且给当事人造成了损失，则认证机构的损失赔偿额将以证书中载明的金额为限。之所以给予认证机构以赔偿金额限制，目的是使认证机构承担的风险不要过大。在电子商务的起步阶段，为扶植认证机构的发展而给予其某些特别保护，也无可厚非。丢失邮件，中国邮政仅赔偿2倍邮资？中国邮政EMS尽管在国内快递市场仍属老大，但其市场份额已经从当初的97％下降至不到40％。在最赚钱的国际快递业务上，敦豪速递（DHL）、联邦快递（FedEx）和联合包裹（UPS）等巨头占据了60％以上的市场份额。中国邮政EMS的优势地位在外资巨头的冲击下正在丧失。案例：数字证书在网上招标系统中的应用网上招标是指在网上利用电子商务基础平台提供的安全通道进行招标项目中各种信息的传递和处理，包括招标信息的公布、标书的发放、应标书的收集、投标结果的通知以及项目合同或协议的签订等完整的过程。网上招标有公开招标和邀请招标两种招标方式，对招标方提供发布招标公告、发布招标邀请、发布中标信息、电子标书管理、标箱管理等功能；对投标方提供招标信息查询、在线投标、在线购买标书等功能。身份确定？传输安全？抵赖？招投标双方在CA中心获得客户端事务型证书，并在Web服务器上绑定服务器端证书，同时在服务器端和客户端建立SSL通道。在网上招标系统中设置Email服务器，并在Email服务器上设定专门的用户帐号接收投标机构的附有标书的安全电子邮件。投标用户将投标书利用安全电子邮件（签名/加密，S/MIME协议）发送给招标方设定的邮箱中。认证证书业务规范认证证书的概念认证证书，又称数字证书，是认证机构颁发的数据电讯或其他记录，是用来确认持有特定密钥的人或实体的身份（或其他充足的特征）。在网上电子交易中，如果交易双方出示了各自的数字证书，并用它们进行交易操作，一般情况下，双方就可以不必再为对方身份的真实性而担心。认证证书的含义目前，相对来说最为广泛使用的公钥密钥认证证书格式，是由ISO/IEC/ITUX.509标准中定义的格式。X.509采用一个认证机构（CA）对实体的身份和公共密钥进行认证，并对包括实体、公钥、名字、有效期等信息的证书进行数字签名。ISO国际标准化组织InternationalOrganizationforStandardizationIEC国际电工委员会InternationalElectrotechnicalCommissionITU国际电信联盟InternationalTelecommunicationUnionX.509格式证书