電子認證法律制度

1、第五章 電子認證法律制度第一節(jié) 電子認證概述一、電子認證的概念與類型（一）認證與電子認證1、認證2、電子認證（二）按計算機已有的認證功能及其認證的對象來分，電子認證主要有以下幾種類型：1、站點認證2、數據電文認證3、電訊源的認證4、身份認證二、電子簽名的認證電子認證的具體操作程序為：（ 1）發(fā)件人利用密鑰制造系統(tǒng)產生公用密鑰和私人密鑰。（ 2）發(fā)件人在做電子簽名前，必須將他的身份信息和公用密鑰送給一個經合法注冊，具有從事電子認證服務許可證的第三方，也就是CA認證中心，向該認證中心申請登記并由其簽發(fā)認證證書。（ 3）認證機構根據有關的法律規(guī)定和認證規(guī)則以及自己和當事人之間的約定，對申請進行審查。

2、如果符合要求，就發(fā)給發(fā)件人一個認證證書，證明發(fā)件人的身份、他的公開密鑰以及其他有關的信息。（ 4）發(fā)件人對其要約信息以其私人密鑰制作數字簽名文件，連同認證證書一并送給收件方，向對方發(fā)出要約。（ 5）收件方接到電子簽名文件和認證證書之后，根據認證證書的內容，向相應的認證機構提出申請，請求認證機構將對方的公開密鑰發(fā)給自己。（ 6）收件人通過公用密鑰和電子簽名的驗證，即可確信電子簽名文件的真實性和可靠性。若認證機構有“認證廢止目錄”，則可以查詢目錄以了解該認證證書是否依然有效；收件人承諾，則電子合同成立。由此可見，在電子文件環(huán)境中，CA認證中心起到了一個行使具有權威性、公證性的第三人的作用。三、認證

3、機構（CA）與公開密鑰體系（PKI體系）（一）認證機構認證機構（Certification Authority。簡稱CA認證機才C,或CA認證中心）是指在電子合同中對用戶的電子簽名頒發(fā)數字證書的機構，它已經成為開放性電子商務活動中不可缺少的信用服務機構。聯合國貿易法委員會在其電子簽名統(tǒng)一規(guī)則（草案）第 1 條第 4 款中規(guī)定： “認證機構，是指從事頒發(fā)為數字簽名的目的而使用的加密密鑰相關的（身份）證書的任何人或實體。（該定義受任何要求認證機構須取得許可、或認可或以一定的方式進行營業(yè)的有效法的限制。） ”美國統(tǒng)一電子交易法（草案）第2 條規(guī)定： “認證機構，是指任何在其業(yè)務中從事頒布用于數字簽名

4、的密鑰身份證書的人或實體”。 可見，大體而言是指簽發(fā)認證證書的自然人或法人。作為認證機構，都應當具備一定條件：首先， 它必須是獨立的法律實體。能夠以自己的名義從事數字證書服務。并且能夠以自己的財產提供擔保，能在法律規(guī)定的范圍內自己承擔相應的民事責任。其次，它必須保持中立并具有可靠性。再次，它必須能夠被當事人接受。最后，它不得以營利為目的。（二） PKI 體系完整的 PKI 系統(tǒng)包括1、認證機構2、數字證書庫3、密鑰備份及恢復系統(tǒng)4、證書作廢系統(tǒng)5、應用接口（三）認證機構的主要職責可簡單歸結為頒發(fā)、更新、查詢、作廢、歸檔等五項功能四、電子認證機構的服務內容1、制作、簽發(fā)、管理電子簽名認證證書2、

5、確認簽發(fā)的電子簽名認證證書的真實性3、提供電子簽名認證證書目錄信息查詢服務4、提供電子簽名認證證書狀態(tài)信息查詢服務第二節(jié)認證機構的設立與管理規(guī)范一、認證機構的設立與監(jiān)管模式電子認證服務的監(jiān)管模式有1、強制性許可制度2、非強制性許可制度3、行業(yè)自律我國 電子簽名法規(guī)定了采用強制性許可制度，并對電子認證服務應當具備的條件做出了規(guī)定。二、電子認證機構的設立原則與條件（一）我國電子認證機構按經營的范圍分為行業(yè)性和地域性兩種；按運營模式來分有商業(yè)性和非商業(yè)性兩種。目前電子商務認證機構存在的主要問題有以下幾個方面：1、建設過熱，有一定的盲目性，造成重復建設和資源浪費；2、對電子商務認證機構的作用認識不足；

6、3、低估認證機構運行的難度，缺乏必要的規(guī)章制度；4、認證機構對自身的安全性認識不夠，對承擔風險認識不足；5、法律法規(guī)、行業(yè)規(guī)范亟待健全。（二）電子認證機構的設立應遵守以下原則1、權威性原則2、真實性原則3、保密性原則4、迅捷性原則5、經濟性原則（三）電子認證的業(yè)務經營應實行許可制度我國電子簽名法第十八條規(guī)定， “從事電子認證服務，應當向國務院信息產業(yè)主管部門提出申請，并提交符合本法第十七條規(guī)定條件的相關材料。國務院信息產業(yè)主管部門接到申請后經依法審查，征求國務院商務主管部門等有關部門的意見后，自接到申請之日起四十五日內作出許可或者不予許可的決定。予以許可的， 頒發(fā)電子認證許可證書；不予許可的，

7、應當書面通知申請人并告知理由?！彪娮诱J證服務管理辦法第六條規(guī)定， “申請電子認證服務許可的，應當向工業(yè)和信息化部提交下列材料：“（一）書面申請?！埃ǘ┤藛T證明?！埃ㄈ┵Y金證明（經依法審計的近三年的財務會計報告，新成立公司的驗資報告）?！埃ㄋ模┙洜I場所證明?！埃ㄎ澹﹪矣嘘P認證檢測機構出具的技術、設備、物理環(huán)境符合國家有關安全標準的憑證?！埃﹪颐艽a管理機構同意使用密碼的證明文件?！蔽覈娮雍灻ǖ谑邨l對提供電子認證服務應當具備的條件做出了如下的規(guī)定：“（一）具有與提供電子認證服務相適應的專業(yè)技術人員和管理人員；“（二）具有與提供電子認證服務相適應的資金和經營場所；“（三）具有符合國家

8、安全標準的技術和設備；“（四）具有國家密碼管理機構同意使用密碼的證明文件；“（五）法律、行政法規(guī)規(guī)定的其他條件?！比⒔徊嬲J證的規(guī)范電子商務的活動常常是跨越國境的，各個參與方就需要有不同國家的認證機構對各自的身份進行認證，并向電子商務活動的相對方發(fā)放認證證書。這就需要各國相互承認對方國家認證機構發(fā)放的認證證書的效力。實踐中有兩種解決辦法：（ 1）在本國有關電子簽名的法律法規(guī)中明確規(guī)定他國或地區(qū)的認證機構發(fā)放的認證證書的效力。如加拿大和美國某些州之間就通過法律規(guī)定互相承認所發(fā)放的認證證書的效力；某些歐洲國家的電子簽名法也規(guī)定，其他歐盟成員國國內認證機構發(fā)放的認證證書同本國認證機構發(fā)放的認證證書具

9、有同等的效力。（2）通過簽訂國際條約或雙邊協(xié)定來相互承認對方國家國內認證機構發(fā)放的認證證書的效力。因此， 有關電子簽名以及電子簽名認證的法律業(yè)已成為國際法的重要組成部分。我國電子簽名法第二十六條規(guī)定， “經國務院信息產業(yè)主管部門根據有關協(xié)議或者對等原則核準后，中華人民共和國境外的電子認證服務提供者在境外簽發(fā)的電子簽名認證證書與依照本法設立的電子認證服務提供者簽發(fā)的電子簽名認證證書具有同等的法律效力?！钡谌?jié)認證機構的證書業(yè)務規(guī)范一、數字證書的頒發(fā)與公布電子認證證書，是網絡通訊中標志通訊各方身份信息的一系列數據，它提供了一種在因特網交易中驗證當事人身份的方式。認證證書，又稱數字證書（ Digit

10、alCertificate， Digital ID） ，是用電子手段證實用戶的身份及其對網絡資源的訪問權限的特定化信息。在網上電子交易中，如果一方向交易對方提交一個由認證機構簽發(fā)的證書，能使對方了解自己的身份狀況，增強對方的信任度；如果雙方出示了各自的數字證書，并用它們進行交易操作，那么，一般情況下，雙方就可以不必再為對方身份的真實性而擔心。數字證書的基礎是公開密鑰體系。我國電子簽名法第二十一條規(guī)定， “電子認證服務提供者簽發(fā)的電子簽名認證證書應當準確無誤，并應當載明下列內容：“（一）電子認證服務提供者名稱；“（二）證書持有人名稱；“（三）證書序列號；“（四）證書有效期；“（五）證書持有人的電

11、子簽名驗證數據；“（六）電子認證服務提供者的電子簽名；“（七）國務院信息產業(yè)主管部門規(guī)定的其他內容?！倍㈦娮幼C書的中止、撤銷與終止1、電子證書的中止現將美國猶他州的數字簽字法和馬來西亞的1997 年數字簽字法的相關規(guī)定介紹如下：美國猶他州的數字簽字法，對證書中止情況作了較為詳細的規(guī)定。主要有：（ 1 ） 認證機構收到證書上載明的用戶或用戶的代理人、利害關系人的請求；（ 2）認證機構收到主管部門的命令；（ 3）認證機構也可以同用戶約定中止的情形。馬來西亞的1997 年數字簽字法關于證書中止的規(guī)定如下：（ 1 ）證書所載用戶的請求，或者其他可能知悉該證書的私鑰可能受損；（ 2）主管部門認為證書發(fā)

12、放時，存在違法或者可能危及證書的信賴人利益而命令中止。2、電子證書的撤銷電子證書的撤銷，是電子證書在其有效期內，由于出現證書被盜、私鑰泄漏、用戶名稱變更、用戶死亡等特殊情況時，認證機構將證書撤銷的行為。認證機構在接到電子證書撤銷的申請后或認為應當撤銷時，應迅速完成證書的撤銷。電子證書的撤銷必須根據證書政策及其實施說明中具體規(guī)定的撤銷程序撤銷證書。美國猶他州的數字簽字法規(guī)定了以下幾種情況：（ 1 ）證書持有人請求撤銷；（ 2）用戶死亡；（ 3）認證機構確定其發(fā)放的證書不可靠。新加坡的電子交易法規(guī)定：（ 1 ）收到并證實證書持有人的申請；（ 2）收到并證實證書持有人已死亡；（ 3）證書持有人解散或

13、不存在。馬來西亞的1997 年數字簽字法規(guī)定：（ 1 ）認證機構發(fā)現該證書的發(fā)放不符合法定條件；（ 2）認證機構的監(jiān)控機構發(fā)現證書的發(fā)放不符合法定條件，可以要求認證機構撤銷；（ 3）認證機構發(fā)放證書而用戶沒有接受；（ 4）證書持有人申請撤銷；（ 5）證書持有人死亡；（ 6）可靠證書的撤銷。我國認證機構對證書撤銷的規(guī)定（電子認證服務管理辦法第二十九條）：“有下列情況之一的， 電子認證服務機構可以撤銷其簽發(fā)的電子簽名認證證書：“（一）證書持有人申請撤銷證書?！埃ǘ┳C書持有人提供的信息不真實。“（三）證書持有人沒有履行雙方合同規(guī)定的義務?！埃ㄋ模┳C書的安全性不能得到保證?！埃ㄎ澹┓伞⑿姓ㄒ?guī)規(guī)定

14、的其他情況?！皬母鲊嚓P規(guī)定可以看出，數字證書撤銷的事由主要有：（ 1）證書關系主體資格方面，如認證機構解散、證書持有人死亡或解散；（2）證書記載方面，如記載反映的情況已經發(fā)生變化而未作變更；（3）證書技術基礎發(fā)生變化，如認證機構或用戶的私鑰泄密、新密鑰代替原密鑰等；（4）有關主體的行為，如用戶請求撤銷、認證機構或用戶違反業(yè)務說明等；（5）有關主管機構的命令等。3、電子證書的終止電子證書的終止，是指證書在期限屆滿或政策規(guī)定的情形出現時失去法律效力的情形。電子證書的終止意味著，認證法律關系的終結。就證書終止的法律后果來看，一方面，解除了認證機構因頒發(fā)證書而產生的一系列義務；另一方面，解除了證書持

15、有人即用戶的義務。作為企業(yè)，對電子認證的管理當然也要依據對企業(yè)加以規(guī)制的法律規(guī)定。比如， 我國的企業(yè)法人登記管理條例第29 條規(guī)定：登記主管機關對企業(yè)法人依法履行下列監(jiān)督管理職責：（ 1 ）監(jiān)督企業(yè)法人按照規(guī)定開業(yè)、變更、注銷登記；（ 2）監(jiān)督企業(yè)法人按照登記注冊事項和章程、合同從事經營活動；（ 3）監(jiān)督企業(yè)法人和法定代表人遵守國家法律法規(guī)；（ 4）制止和查處企業(yè)法人的違法經營活動，保護企業(yè)法人的合法權益。第 30 條規(guī)定：企業(yè)法人有下列情形之一的，登記主管機關可以根據情況分別給予警告、罰款、 沒收非法所得、停業(yè)整頓、扣繳、 吊銷 企業(yè)法人營業(yè)執(zhí)照的處罰：（ 1 ）登記中隱瞞真實情況弄虛作假或

16、者未經核準登記注冊擅自開業(yè)的；（ 2）擅自改變主要登記事項或者超出核準登記的經營范圍從事經營活動；（ 3） 不按照規(guī)定辦理注銷登記或者不按照規(guī)定報送年檢報告，辦理年檢的；（ 4）偽造、涂改、出租、出借、轉讓、出賣或擅自復印企業(yè)法人營業(yè)執(zhí)照 、 企業(yè)法人營業(yè)執(zhí)照副本的；（ 5）抽逃、轉移資金、隱匿財產逃避債務的；（ 6）從事非法經營活動的。按照上述規(guī)定對企業(yè)法人進行處罰時，應當根據違法行為追究法定代表人的行政責任、經濟責任；觸犯刑律的，由司法機關依法追究刑事責任。二、證書擁有人的義務1、真實陳述的義務如我國的廣東省電子交易條例第32 條規(guī)定：用戶申領數字證書時，提供虛假信息的，由有關行政管理部門

17、依法追究其法律責任。2、妥善保管私人密鑰和證書的義務如我國的廣東省電子交易條例第22 條規(guī)定：數字證書用戶在申領證書時， 必須提供真實、完整和準確的身份信息及相關資料。數字證書用戶應當妥善保管自己的證書私鑰，并且遵守認證機構制訂的認證業(yè)務操作規(guī)范和數字證書管理制度。3、對頒發(fā)證書的檢驗義務認證機構頒發(fā)證書時，用戶有義務檢驗證書中所描述信息的準確性。4、正確使用證書的義務不得利用證書從事任何非法的行為。5、及時通知義務在發(fā)生私鑰泄漏或其他有可能影響到電子簽名真實性的事件時，證書持有人應該及時通知認證機構，以便認證機構及時采取措施，減少損失。我國電子簽名法第二十七條規(guī)定， “電子簽名人知悉電子簽名

18、制作數據已經失密或者可能已經失密未及時告知有關各方、并終止使用電子簽名制作數據，未向電子認證服務提供者提供真實、完整和準確的信息，或者有其他過錯，給電子簽名依賴方、電子認證服務提供者造成損失的，承擔賠償責任。”6、交納費用的義務三、信賴方的義務1、遵守認證機構的要求，采取合理的步驟確認簽名的真實性。2、遵守任何有關證書的限制，在證書所載的可信賴度以內從事交易，把證書用于規(guī)定的用途。第四節(jié) 認證機構的法律責任一、認證機構與在線當事人之間的法律關系1、認證機構與證書用戶之間的關系2、認證機構與信賴方之間的關系二、認證機構在認證法律關系中的義務1、審查義務我國電子簽名法第二十條規(guī)定， “電子簽名人向

19、電子認證服務提供者申請電子簽名認證證書，應當提供真實、完整和準確的信息。電子認證服務提供者收到電子簽名認證證書申請后，應當對申請人的身份進行查驗，并對有關材料進行審查?！?、提供的證書信息真實、準確、完整的義務；我國電子簽名法第二十條規(guī)定， “電子簽名人向電子認證服務提供者申請電子簽名認證證書，應當提供真實、完整和準確的信息。電子認證服務提供者收到電子簽名認證證書申請后，應當對申請人的身份進行查驗，并對有關材料進行審查?！钡诙粭l規(guī)定， “電子認證服務提供者簽發(fā)的電子簽名認證證書應當準確無誤，并應當載明下列內容：“（一）電子認證服務提供者名稱；“（二）證書持有人名稱；“（三）證書序列號；“（

20、四）證書有效期；“（五）證書持有人的電子簽名驗證數據；“（六）電子認證服務提供者的電子簽名；“（七）國務院信息產業(yè)主管部門規(guī)定的其他內容?！?、正確及時發(fā)放的義務；我國電子簽名法第二十二條規(guī)定， “電子認證服務提供者應當保證電子簽名認證證書內容在有效期內完整、準確， 并保證電子簽名依賴方能夠證實或者了解電子簽名認證證書所載內容及其他有關事項?！?、安全保密義務；我國 電子簽名法第十九條規(guī)定， “電子認證業(yè)務規(guī)則應當包括責任范圍、作業(yè)操作規(guī)范、信息安全保障措施等事項?！蔽覈娮诱J證服務管理辦法第二十條規(guī)定， “電子認證服務機構應當遵守國家的保密規(guī)定，建立完善的保密制度。電子認證服務機構對電子簽名

21、人和電子簽名依賴方的資料，負有保密的義務。”我國電子簽名法第二十四條規(guī)定， “電子認證服務提供者應當妥善保存與認證相關的信息，信息保存期限至少為電子簽名認證證書失效后五年。”5、業(yè)務規(guī)則說明和告之義務；我國電子簽名法第十九條規(guī)定， “電子認證服務提供者應當制定、公布符合國家有關規(guī)定的電子認證業(yè)務規(guī)則，并向國務院信息產業(yè)主管部門備案。電子認證業(yè)務規(guī)則應當包括責任范圍、作業(yè)操作規(guī)范、信息安全保障措施等事項?！钡诙l還規(guī)定， “電子認證服務提供者應當保證電子簽名認證證書內容在有效期內完整、準確， 并保證電子簽名依賴方能夠證實或者了解電子簽名認證證書所載內容及其他有關事項?！?、及時處理業(yè)務義務。我國電子簽名法第二十三條規(guī)定， “電子認證服務提供者擬暫?；蛘呓K止電子認證服務的，應當在暫?；蛘呓K止服務九十日前，就業(yè)務承接及其他有關事項通知有關各方?！半娮诱J證服務提供者擬暫?；蛘呓K止電子認證服務的， 應當在暫停或者終止服務六十日前向國務院信息產業(yè)主管部門報告，并與其他電子認證服務提供者就業(yè)務承接進行協(xié)商，作出妥善安排?！半娮诱J證服務提供者未能就業(yè)務承接事項與其他電子認證服務提供者達成協(xié)議的，應當申請國務院信息產業(yè)主管