电子认证法律制度

1电子认证概述1.1电子认证的概念电子认证是以特定的机构对电子签名及其签署者的真实性进行验证的具有法律意义的服务。电子认证法律制度5.1.2电子认证的作用与意义1.电子认证的作用1)确认交易双方的身份和交易内容2)防止电子签名人对已进行认证的信息予以否认3)防止电子认证交易当事方以外的人实施欺诈行为2.电子认证的意义1)保证电子交易安全2)促进电子商务的发展5.1.3电子认证的方法、分类和技术1.电子认证的方法1)用户身份认证的传统方法2)基于智能卡的用户身份认证方法3)口令认证方法4)使用公开密钥签名算法的挑战响应认证方法5)使用电子签名和双重电子签名的身份认证方法2.电子认证的分类1)根据电子认证机构的功能及其认证的对象(1)站点认证(2)数据电文认证(3)身份认证2)根据电子认证机构提供的不同等级的服务(1)身份认证(2)授权认证(3)执行认证(4)时间标识3)依据认证的主体不同(1)双方认证(2)第三方认证3.电子认证的技术1)数字认证技术数字认证就是利用密码学的方法实现认证，最普遍的数字认定技术就是采用口令认证。2)生物认证技术即根据使用者的生物特征实现认证，如人脸认证、指纹认证、虹膜认证、掌纹认证、声音认证、步态识别、手工签名认证等。5.1.4电子认证的机构1.电子认证机构的概念2.电子认证机构的特征1)独立性2)权威性3)中立性与可靠性4)非营利性3.电子认证机构的设立与管理1)电子认证机构的设立(1)人员。(2)设备。(3)营业场所。(4)经营担保。(5)认证机构的许可。2)电子认证机构的管理(1)外部管理，包括制定规范、业务监督和审计监督。(2)内部管理，涉及机构记录的披露、机构的内部系统要求、机构所从事危险活动的禁止及机构主体变更后的业务承接。5.1.5电子认证的程序(1)发信人在进行电子签名前，利用密钥制造系统产生公钥，私钥由发信人自己保管。(2)电子签名人向CA认证中心申请该认证中心登记并由其签发认证证书。(3)电子认证机构对电子签名人的申请进行审查。如符合上述要求，则发给电子签名人一个“认证证书”。(4)发信人将电子签名文件和认证证书一起发给收信方。(5)收信人接到电子签名文件和认证证书后，根据认证证书中的内容，向相应的认证机构提出申请，请求认证机构将发信人的公钥发给自己。(6)收信人通过对公钥及电子签名的验证即可确认电子签名文件的真实性和可信性。5.1.6电子认证的效力1.立法形式(1)以直接的立法形式明示直接承认可被接受的技术方案。(2)授权政府行政主管部门制定相应规则。(3)制定明确的设立及管理CA机构的条件及程序。2.协议形式在此情况下，电子认证业务不纯粹由CA机构独享，银行、ISP公司均可扮演电子认证机构的角色。5.2认证证书业务规范5.2.1认证证书概述1．认证证书的概念认证证书又称数字证书(DigitalCertificate，DigitalID)，是指用电子手段证实用户的身份、交易信息内容及其对网络资源的访问权限的特定化信息。一般而言，认证证书分为客户证书、商家证书、网关证书、认证机构系统证书几种类型。2.认证证书的等级在认证业务中，认证机构可以根据客户的不同需求而提供不同档次服务等级的认证证书。认证机构一般根据证书的等级、证书政策，标明其可提供的不同的选择性的服务。5.2.2证书政策与证书政策实施说明1.概念证书政策(CertificationPolicy，CP)由一组规定组成，用以指明证书用于特定社团或具有相同安全要求的应用类型。2.证书政策和证书政策实施说明的关系证书政策侧重于说明证书主张的内容，而证书政策说明则侧重于说明该主张实现的具体过程。3.证书政策和证书政策实施说明的制定过程(1)计划阶段。(2)开展阶段。(3)维护阶段。(4)发布阶段。4.证书政策和证书政策实施说明的基本内容1)定义2)缩略语3)概述4)内容5)认证和授权6)操作需求7)物理、程序和人员安全控制8)技术安全控制9)证书及CRL配置文件10)规格管理5.2.3认证机构在认证证书业务规范中承担的职责1.认证机构在认证证书颁发中的职责1)证书的颁发证书的颁发是指认证机构将认证证书通过一定的程序颁发给用户。2)证书的发布证书的颁发是直接向用户作出的一种当事人之间的通知行为，而其发布则是向全社会作出的一种公告行为，二者共同构成完整的证书颁发业务。证书的发布根据其所针对的对象不同，一般包括必发、选发、密存3种不同的内容。3)证书的接收证书的接收是指申请证书的人接受认证机构证书的行为。自接收证书后，用户就对该证书享有支配权和使用权，并应承担相应的责任与义务。4)证书的效力证书的效力是指证书在什么时间、地点具有法律上的效力。通常情况下，认证机构所颁发的证书上都写明了证书的生效时间，证书上注明的时间即为该认证证书具有法律效力的时间。对于证书的生效地点，一般不作强行规定。2.认证机构在认证证书管理中的职责1)证书的中止2)证书的撤销3)证书的终止4)证书的保存5.3电子认证各方之间的法律关系5.3.1电子认证机构业务的性质1.电子认证与公证的异同1)电子认证与公证的相同之处(1)以第三人身份介入基础法律关系当中(2)机构功能相似2)电子认证与公证的不同之处(1)机构性质不同(2)业务性质不同(3)证明方式不同(4)效力不同2.电子认证是一种特殊的信用服务从此项活动的性质来看，电子认证机构提供的是经过核实的、有关网络交易当事方所关心的基本信息资料。而电子签名人与电子认证机构均须对证书信息的真实性承担责任。所以，电子认证实际上是一种特殊的信用服务。只不过就实现方式而言，这种信用服务更多的是依托网络环境与数字技术。5.3.2电子认证机构与电子签名人之间的法律关系1.有关两者之间法律关系的争议与分析1)信托关系说2)非信托关系说3)专业信用服务说2.两者法律关系的界定首先，认证机构与电子签名人之间的关系是一种合同关系。其次，认证机构与电子签名人之间的关系是服务合同关系。最后，认证机构与电子签名人之间的关系是特殊的服务合同关系。5.3.3电子认证机构和电子签名依赖方之间的法律关系1.有关两者之间法律关系的学说1)非同一性关系说2)“附保护第三人利益的合同关系”说3)系统使用合同(AccessContract)说2.两者法律关系之界定电子认证机构与依赖方之间是一种法定的信赖关系。首先，认证机构与依赖方之间是一种信赖关系。这点可以从认证机构的功能上得到证实。其次，认证机构与依赖方之间是一种法定关系。这种法定关系实质是由认证机构的法律地位及法定义务所决定的。5.4电子认证各方的权利与义务5.4.1电子签名人的权利与义务1.电子签名人的权利1)获得有效合格认证证书的权利2)提出中止或撤销认证证书的权利2.电子签名人的义务1)真实陈述的义务2)私密钥保管的义务3)通知的义务4)缴纳费用的义务5)正确使用的义务5.4.2电子签名依赖方的权利与义务1.依赖方的权利(1)要求认证机构谨慎地保证认证证书中内容的真实性，因信赖存在问题的认证证书而导致损失可以请求认证机构进行赔偿。(2)要求认证机构履行信息披露的义务2.依赖方的义务(1)核查义务。(2)遵守服务政策与使用目的的义务。5.4.3电子认证机构的权利与义务1.认证机构的权利(1)有权要求申请不同类型认证证书的申请者提供不同的真实材料(2)有权提供不同类型的认证证书以满足不同的用户需要(3)有权委托相关法人单位作为业务受理审批单位从事认证证书的受理、用户身份的审核与发放等事宜(4)有权向认证证书申请人收取相关费用(5)有权向认证电子签名人及相关人员开展认证证书遭受破坏或盗用的调查(6)有权因某些情形撤销已颁发的认证证书(7)对认证证书申请人的相关真实资料进行确认的权利(8)当因他人的行为而导致认证机构发生损失时，认证机构有要求赔偿的权利。2.认证机构的义务1)如实披露义务2)签发证书并保证证书所载信息准确的义务3)保存资料的义务4)通知及承接义务5)保密义务6)其他义务5.5电子认证各方的法律责任5.5.1电子签名人的法律责任1.电子签名人承担民事法律责任的主要情形(1)电子签名人向电子认证机构提供了虚假信息，或对重大信息的事实有所隐瞒或不实陈述；电子签名人对事实表述有误或易曲解。(2)电子签名人故意或使其私密钥失控。(3)电子签名人在使用证书时，操作不当或者其他不可归因于认证机构的事故发生而导致损失等情况。(4)电子签名人将认证证书转让、转借给他人。(5)电子签名人未按认证机构的要求对认证证书进行相关的更新及废除无效证书的行为。2.电子签名人民事法律责任的构成要件1)电子签名人有违反电子签名法规定或当事人约定的行为2)上述行为给相对方造成了损害事实3)行为与损害事实之间具有因果关系4)电子签名人在实施违法或违约行为时主观上存在故意或过失5.5.2电子签名依赖方的法律责任5.5.3电子认证机构的法律责任1.电子认证机构承担法律责任的情形1)电子认证机构向电子签名人发送证书失败、延迟或者错误2)电子认证机构错误、延迟或者拒绝撤销电子认证证书3)电子认证机构及其工作人员有伪造、泄露、擅自修改认证证书的行为出现2.电子认证机构承担法律责任的归责原则我国《电子签名法》第二十八条确立了认证机构在承担违约责任和侵权责任时的归责原则为过错原则。3.电子认证机构承担法律责任的范围1)电子认证机构赔偿范围的原则和规则认证机构在确定赔偿范围时应当坚持完全赔偿原则和可预见性规则。2)电子认证机构赔偿范围的限制(1)法定形式(2)约定形式4.电子认证机构的免责事由1)不可抗力2)免责条款3)相对方的过错4)特殊免责事由5.5.4其他主体的法律责任1.刑事责任2.民事责任思考题答题要点(1)试述电子认证的概念。电子认证是以特定的机构对电子签名及其签署者的真实性进行验证的具有法律意义的服务。它是从技术手段对电子签名人的身份进行辨认并对提交电子文件的发件人与发出电子文件所属的关系进行确认的一种方式。(2)试述电子认证的意义与作用。电子认证的作用1)确认交易双方的身份和交易内容2)防止电子签名人对已进行认证的信息予以否认3)防止电子认证交易当事方以外的人实施欺诈行为电子认证的意义1)保证电子交易安全2)促进电子商务的发展(3)试述电子认证机构的概念。电子认证机构(CertificationAuthority，CA)是指电子商务中对用户的电子签名颁发数字证书的机构，它已经成为开放性电子商务中不可缺少的信用服务机构。其具有独立性、权威性、中立性与可靠性以及非营利性等特征。(4)用法律原理分析电子认证各方的法律关系。答题要点：电子认证实际上是一种特殊的信用服务。认证机构与电子签名人之间的关系是特殊的服务合同关系。电子认证机构与电子签名依赖方之间是一种法定的信赖关系。(5)试述电子认证各方的权利与义务。电子认证各方包括电子签名人、电子签名依赖方与电子认证机构。电子签名人的权利有：1)获得有效合格认证证书的权利2)提出中止或撤销认证证书的权利；电子签名人的义务包括：1)真实陈述的义务2)私密钥保管的义务3)通知的义务4)缴纳费用的义务5)正确使用的义务电子签名依赖方的权利包括：(1)要求认证机构谨慎地保证认证证书中内容的真实性，因信赖存在问题的认证证书而导致损失可以请求认证机构进行赔偿。(2)要求认证机构履行信息披露的义务；电子签名依赖方的义务：(1)核查义务(2)遵守服务政策与使用目的的义务。电子认证机构的权利(1)有权要求申请者提供真实材料(2)有权提供不同类型的认证证书以满足不同的用户需要(3)有权委托相关法人单位作为业务受理审批单位(4)有权向认证证书申请人收取相关费用(5)有权向认证电子签名人及相关人员开展认证证书遭受破坏或盗用的调查(6)有权因某些情形撤销已颁发的认证证书(7)对认证证书申请人的相关真实资料进行确认的权利(8)当因他人的行为而导致认证机构发生损失时，认证机构有要求赔偿的权利。电子认证机构的义务包括：1)如实披露义务