第9章电子商务安全法律ppt

第九章电子商务安全的相关法律9.1电子签名相关法律制度9.2电子认证相关法律制度9.3数据电文安全相关法律制度9.4电子支付安全相关法律制度9.5电子商务安全其他相关法律制度学习目标和要求1．掌握电子签名法律在电子商务经营中重要地位，了解我国电子签名法的基本内容；2．掌握电子签名与电子认证相结合而构成的电子商务安全法律基本体系；3．掌握数据电文这种具有与传统书面形式等同功能的文件载体独特的法律规定，熟练运用数据电文法律知识解决相关的纠纷；4．认识电子支付法律在实际中的重要意义，了解电子支付法律是保障电子商务支付安全的基础；5．了解网络信息安全的重要意义，了解网络犯罪以及网络证据搜集。9.1电子签名相关法律制度9.1.1电子签名的相关概念9.1.2电子签字的法律地位9.1.3电子签字中各方当事人的基本行为规范9.1.1电子签名的相关概念电子签名是一种新型的核证方法，电子签名与传统的纸张签名行为有很大的区别。《电子签名示范法》的定义：“电子签名系指在数据电文中，以电子形式所含、所附或在逻辑上与数据电文有联系的资料，它可用于鉴别与数据电文有关的签字人和表明此人认可数据电文所含信息。我国的《电子签名法》的规定：“本法所称电子签名，是指中以电子形式所含、所附用于识别签名人身份幷表明签名人认可其中内容的资料。”电子签名过程中的一些相关概念。联合国《电子商务示范法》确定了数据电文的核证：（1）如法律要求有一个人签字，则对于一项数据电文而言，倘若情况如下，即满足了该项要求：第一，使用一种方法。鉴定该人的身份，幷且表明该人认可了数据电文内涵的信息；第二，从所有各种情况看来，包括根据任何相关协议，所用的方法是可靠的，对生成或传递数据电文的目的来说也是适当的。（2）无论本条第（1）款所述的要求是否采取一项义务的形式，也无论法律是不是仅仅规定了无签字时的后果，该款均将适用。9.1.2电子签名的法律地位9.1.2.1对电子签名的法律要求（1）电子签名制作资料用于电子签名时，属于电子签名人专有。（2）签署时电子签名制作资料仅由电子签名人控制。（3）签署后对电子签名的任何改动能够被发现。（4）签署后对数据电文内容和形式的任何改动能够被发现。9.1.2.2电子签字效力的归属（1）可靠的电子签名与手写签名或者盖章具有同等的法律效力。（2）未经授权的电子签字的法律责任。（3）我国《电子签名法》所确定的法律责任。9.1.3电子签字中各方当事人的基本行为规范9.1.3.1签字人的行为规范（1）采取合理的谨慎措施，避免他人未经授权使用其签字制作资料。（2）签字人知悉签字制作资料已经失密；或签字人知悉签字制作资料很有可能已经失密的情况；应毫无迟延，应利用认证服务提供人依照本法第9条提供的手段，或做出合理的努力，向签字人可以合理预计的依赖电子签字或提供支持电子签字服务的任何人员发出通知。（3）在使用证书支持电子签字时，采取合理的谨慎措施，确保签字人做出的关于证书整个有效期的或需要列入证书内的所有实质性表述均精确无误和完整无缺。9.1.3.2认证服务提供人的行为（1）按其所做出的关于其政策和做法的表述行事。（2）采取合理的谨慎措施，确保其做出的关于证书整个有效期的或需要列入证书内的所有实质性表述均精确无误和完整无缺。（3）提供合理可及的手段，使依赖方得以从证书中证实认证服务提供人的身份、证书中所指明的签字人在签发证书时拥有对签字制作资料的控制、在证书签发之时或之前签字制作资料有效。（4）提供合理可及的手段，使依赖方得以在适当情况下从证书或其它方面证实用以鉴别签字人的方法、签字制作资料或证书的可能用途或使用金额上的任何限制、签字制作资料有效且未发生失密、认证服务提供人规定的责任范围或程度上的任何限制、是否存在签字人依照第8条发出通知的途径、是否提供了及时的撤销服务。（5）确保提供及时的撤销服务。（6）使用可信赖的系统、程序和人力资源提供其服务。9.1.3.3依赖方的行为规范采取合理的步骤查验电子签字的可靠性；或在电子签字有证书支持时，采取合理的步骤，包括查验证书的有效性、证书的暂停或撤销、遵守对证书的任何限制。9.1.3.4可信赖性（1）财力和人力资源，包括是否存在资产。（2）硬件和软件系统的质量。（3）证书及其申请书的处理程序和记录的保留。（4）是否可向证书中指明的签字人和潜在的依赖方提供信息。（5）由独立机构进行审计的经常性和审计的范围。（6）是否存在国家、鉴定机构或认证服务提供人作出的关于上述条件的遵守情况或上述条件是否存在的声明。（7）其它任何有关因素。9.2电子认证相关法律制度9.2.1电子认证、数字证书与认证机构的概念9.2.2认证机构的法定权利与义务9.2.3交叉认证的法律问题9.2.4电子商务认证机构的管理9.2.1电子认证、数字证书与认证机构的概念电子认证从广义上来说，可以包括认证机构（CertificationAuthentication简称CA）、电子认证行为和数字证书在内的一整套法律制度，从狭义上来说，仅指电子认证行为，即由认证机构采用电子方法以证明电子签字持有人真实身份或电子信息真实的行为。电子认证主要包括身份认证和信息认证。前者用于鉴别用户身份，后者用于保证通信双方的不可抵赖性和信息的完整性。数字证书是目前最常用的认证证书，它是由认证机构签发的数据电文或相关记录以确认持有特定密钥者身份的文件认证机构是指从事颁发为电子签字的目的而使用的加密密钥相关的证书的人。2005年1月28日中华人民共和国信息产业部通过的《电子认证服务管理办法》9.2.2认证机构的法定权利与义务9.2.2.1．认证机构的主要义务（1）信息披露义务（2）业务说明义务（3）保险义务（4）保密义务（5）担保义务9.2.2.2认证机构的主要权利发放证书中止证书撤销证书保存证书9.2.3交叉认证的法律问题9.2.3.1联合国《电子签字示范法》交叉认证的解决。《电子签字示范法》规定了承认外国证书和电子签字的一般原则：（1）不歧视的一般原则（2）基本等同的可靠性原则（3）当事人约定有效原则9.2.3.2交叉认证的解决方式（1）通过国际条约或双边协定来处理（2）行政核准方式。（3）认证担保的方式。9.2.4电子商务认证机构的管理9.2.4.1认证机构的设立电子商务认证服务规定应当具备下列条件：（一）具有独立的企业法人资格；（二）从事电子认证服务的专业技术人员、运营管理人员、安全管理人员和客户服务人员不少于三十名；（三）注册资金不低于人民币三千万元；（四）具有固定的经营场所和满足电子认证服务要求的物理环境；（五）具有符合国家有关安全标准的技术和设备；（六）具有国家密码管理机构同意使用密码的证明文件；（七）法律、行政法规规定的其他条件。9.2.4.2认证机构的管理认证机构管理包括外部管理和内部管理。内部管理主要是认证机构对用户的证书的申请、发放、撤销等方面的管理，建立完善的安全管理和内部审计制度，并接受信息产业部的监督管理，遵守国家的保密规定，建立完善的保密制度。外部管理主要是有关主管部门对认证机构的管理。9.2.4.3电子认证服务的暂停、终止电子认证服务机构拟暂停或者终止电子认证服务：应在暂停或者终止电子认证服务九十日前，就业务承接及其他有关事项通知有关各方。应当在暂停或者终止电子认证服务六十日前向信息产业部报告，并与其他电子认证服务机构就业务承接进行协商，作出妥善安排。未能就业务承接事项与其他电子认证服务机构达成协议的，应当申请信息产业部安排其他电子认证服务机构承接其业务。电子认证服务机构有根据信息产业部的安排承接其他机构开展的电子认证服务业务的义务。电子认证服务机构在有效期内拟终止电子认证服务的，应在终止服务六十日前向信息产业部报告，办理证书注销手续，并持信息产业部的相关证明文件向工商行政管理机关申请办理注销登记。9.2.4.4电子认证服务机构的法律责任民事责任。民事责任涉及保密、隐私、知识产权、担保及免责等内容。行政责任。未经许可提供电子认证服务；未在暂停或者终止服务六十日前向国务院信息产业主管部门报告；电子认证服务提供者不遵守认证业务规则、未妥善保存与认证相关的信息，或者有其他违法行为。9.3数据电文安全相关法律制度9.3.1数据电文的基本含义联合国贸易法委员会《电子商业示范法》规定，数据电文系指经由电子手段、光学手段或类似手段生成、存储或传递的信息，数据电文包括但不限于电子资料交换（EDI）、电子邮件、电报或电传所传递的信息。中国《电子签名法》规定，本法所称数据电文，是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。9.3.2数据电文的功能等价标准9.3.2.1数据电文的书面功能标准联合国《电子商业示范法》第6条提供了一种客观标准，即一项数据电文内所含的信息可以随时调取以备日后查阅。我国的《电子签名法》第4条规定：“能够有形地表现所载内容，幷可以随时调取查用的数据电文，视为符合法律、法规要求的书面形式。”“可以调取”字样是意指计算机料形式的信息应当是可读和可解释的，使这种信息成为可读所可能必需的软件应当保留。“以备”一词幷非仅指人的使用，还包括计算机的处理。“日后查用”它指的是“耐久性”或“不可更改性”。9.3.2.2数据电文的签字功能等价标准联合国《电子商务示范法》第7条规定：“（1）如法律要求要有一个人签字，则对于一项数据电文而言，倘若情况如下，即满足了该项要求：（a）使用了一种方法，鉴定了该人的身份，幷且表明该人认可了数据电文内含的信息；和（b）从所有各种情况来，包括根据任何相关协议，所用方法是可靠的，对生成或传递数据电文的目的来说也是适当的。”9.3.2.3数据电文的原件功能等价标准联合国《电子商务示范法》规定：如法律要求信息须以其原始形式展现或留存，倘若情况如下，则一项数据电文即满足了该项要求：（a）有办法可靠地保证自信息首次以其最终形式生成，作为一项数据电文或充当其它用途之时起，该信息保持了完整性；和（b）如要求将信息展现，可将该信息显示给观看信息的人我国的《电子签名法》规定：符合下列条件的数据电文，视为满足法律、法规规定的原件形式要求：（一）能够有效地表现所载内容幷可供随时调取查用；（二）能够可靠地保证自最终形成时起，内容保持完整、未被更改。但是，在数据电文上增加背书以及资料交换、储存和显示过程中发生的形式变化不影响数据电文的完整性。9.3.2.4数据电文的适用范围我国的《电子签名法》第三条规定，下列情况不得使用：涉及婚姻、收养、继承等人身关系的；涉及土地、房屋等不动产权益转让的；涉及停止供水、供热、供气、供电等公用事业服务的。9.3.3数据电文的效力9.3.3.1数据电文的法律确认《电子商务示范法》第5条规定，不得仅仅以某项信息采用数据电文形式为理由而否定其法律效力、有效性或可执行性。我国的《电子签名法》第三条规定，当事人约定使用电子签名、数据电文的文书，不得仅因为其采用电子签名、数据电文的形式而否定其法律效力。9.3.3.2数据电文在合同订立上的效力联合国《电子商务示范法》第11条进一步规定，“就合同的订立而言，除非当事各方另有协议，一项要约以及对要约的承诺均可通过数据电文的手段表示。如使用了一项数据电文来订立合同，则不得仅仅以使用了数据电文为理由而否定该合同的有效性或可执行性”。第12条同时规定，“就一项数据电文的发端人和收件人之间而言，不得仅仅以意旨的声明或其它陈述采用数据电文形式为理由而否定其法律效力、有效性或可执行性。”9.3.3.3数据电文的证据效力我国《电子签名法》第7条规定：“数据电文不得仅因为其是以电子、光学、磁或者类似手段生成、发送、接收或者储存的而被拒绝作为证据使用。”该法第8条规定：“审查数据电文作为证据的真实性，应当考虑以下因素：（一）生成、储存或者传递数据电文方法的可靠性；（二）保持内容完整性方法的可靠性；（三）用以鉴别发件人方法的可靠性；（四）其它相关因素。”9.3.4数据电文的通讯和保存