電子商務(wù)認(rèn)證的法律制度(ppt-103頁)課件

1、經(jīng)濟(jì)法與電子商務(wù)法楊堅(jiān)爭主編朱兆敏 吳弘副主編上海理工大學(xué)電子商務(wù)與計(jì)算機(jī)法研究所制作：趙雯 黃佳 張輝 黃勇剛第三編 電子商務(wù)法第十三章 電子簽字與認(rèn)證法律制度 第一節(jié) 電子簽字概述 第二節(jié) 電子簽字立法發(fā)展第三節(jié) 電子簽字的適用范圍 和消費(fèi)者保護(hù) 第四節(jié) 電子商務(wù)安全認(rèn)證第五節(jié) 電子商務(wù)認(rèn)證法律關(guān)系 第六節(jié) 電子商務(wù)認(rèn)證機(jī)構(gòu)管理 第一節(jié) 電子簽字概述 2001年12月，聯(lián)合國第56屆會(huì)議第85次全體會(huì)議正式通過了聯(lián)合國國際貿(mào)易法委員會(huì)電子簽字示范法（以下簡稱電子簽字示范法），該法給出了電子簽字及其相關(guān)概念： 一、 電子簽字的概念與功能 （一） 電子簽字及其相關(guān)概念（一） 電子簽字及其相關(guān)概

2、念 （1） “電子簽字（Electronic signature）”系指以電子形式所含、所附或在邏輯上與數(shù)據(jù)電文有聯(lián)系的數(shù)據(jù)，它可用于鑒別與數(shù)據(jù)電文相關(guān)的簽字人和表明簽字人認(rèn)可的包含在數(shù)據(jù)電文中的信息。 （2） “證書”系指簽字人與簽字制作數(shù)據(jù)之間關(guān)系的某一數(shù)據(jù)電文或其它記錄。 （3） “簽字人”系指持有簽字制作數(shù)據(jù)的人，代表本人或所代表的人行事。 （4） “認(rèn)證服務(wù)提供人”系指簽發(fā)證書或可能提供與電子簽字有關(guān)的其它服務(wù)的人。 （5） “依賴方”系指可以根據(jù)某一證書或電子簽字行事的人。（一） 電子簽字及其相關(guān)概念 聯(lián)合國電子簽字概念的起草主要考慮了三個(gè)問題： 1 概念的廣泛性 2 不偏重任何技

3、術(shù)的原則 3 電子簽字的實(shí)質(zhì) （二） 電子簽字的功能 以紙張為基礎(chǔ)的傳統(tǒng)簽字主要是為了履行下述功能： （1） 確定一個(gè)人的身份； （2） 肯定是該人自己的簽字； （3） 使該人與文件內(nèi)容發(fā)生關(guān)系。 除此之外，視所簽文件的性質(zhì)而定，簽字還有多種其它功能，例如，簽字可以證明簽字人愿意受所簽合同的約束；證明簽字人認(rèn)可其為某一案文的作者；證明簽字人同意一份經(jīng)由他人寫出的文件的內(nèi)容；證明簽字人曾在某個(gè)地點(diǎn)的事實(shí)和時(shí)間。 （二） 電子簽字的功能 應(yīng)當(dāng)注意的是，除了傳統(tǒng)的手書簽字之外，還有各種各樣的程序（例如蓋章、打孔）有時(shí)都稱之為“簽字”可提供不同程度的確定性。 為了保證電子商務(wù)活動(dòng)的正常進(jìn)行，需要具有書

4、面簽字功能的電子簽字。調(diào)查各種正在被使用或仍在研制開發(fā)中的簽字技術(shù)，可以發(fā)現(xiàn)，所有這些技術(shù)的共同目的都是為了尋求手寫簽字和在紙基環(huán)境中的其它認(rèn)證方式（如封緘或蓋章）提供功能相同的替換物。但在電子商務(wù)環(huán)境中這些技術(shù)還可能實(shí)現(xiàn)別的功能，這些功能是從簽字功能中旁生的，但在紙基環(huán)境中卻不能找到嚴(yán)格類似的替代物。 （二） 電子簽字的功能 為了確保須經(jīng)過核證的電文不會(huì)僅僅由于未按照紙張文件特有的方式加以核證而否認(rèn)其法律價(jià)值，聯(lián)合國電子商務(wù)示范法確定了在何種情況下數(shù)據(jù)電文可視為經(jīng)過了具有足夠可信度的核證，而且可以生效執(zhí)行，視之達(dá)到了簽字要求。（二） 電子簽字的功能 電子商務(wù)示范法第7條規(guī)定： （1） 如法律

5、要求要有一個(gè)人簽字，則對(duì)于一項(xiàng)數(shù)據(jù)電文而言，倘若情況如下，即滿足了該項(xiàng)要求： 第一，使用了一種方法，鑒定了該人的身份，并且表明該人認(rèn)可了數(shù)據(jù)電文內(nèi)含的信息； 第二，從所有各種情況看來，包括根據(jù)任何相關(guān)協(xié)議，所用方法是可靠的，對(duì)生成或傳遞數(shù)據(jù)電文的目的來說也是適當(dāng)?shù)摹?（2） 無論本條第（1）款所述要求是否采取一項(xiàng)義務(wù)的形式，也無論法律是不是僅僅規(guī)定了無簽字時(shí)的后果，該款均將適用。 （二） 電子簽字的功能 電子商務(wù)示范法第7條側(cè)重于簽字的兩種基本功能： 一是確定一份文件的作者； 二是證實(shí)該作者同意了該文件的內(nèi)容。第1條第一款確立的原則是，在電子環(huán)境中，只要使用一種方法來鑒別數(shù)據(jù)電文的發(fā)端人并證實(shí)

6、該發(fā)端人認(rèn)可了該數(shù)據(jù)電文的內(nèi)容，即可達(dá)到簽字的基本法律功能。在保證安全可靠的基礎(chǔ)上，第1條第2款提出了靈活性原則，數(shù)據(jù)電文的發(fā)端人與收件人之間的任何協(xié)議只要可靠，就適宜于生成或傳遞該數(shù)據(jù)電文所要達(dá)到的目的。 二、數(shù)字簽字的過程 目前，應(yīng)用較為普遍的電子簽字是數(shù)字簽字。數(shù)字簽字機(jī)制提供一種鑒別方法，通過它能夠?qū)崿F(xiàn)對(duì)原始報(bào)文的鑒別和驗(yàn)證，保證報(bào)文完整性、權(quán)威性和發(fā)送者對(duì)所發(fā)報(bào)文的不可抵賴性，以解決偽造、抵賴、冒充、篡改等問題。下面以數(shù)字簽字為例分析電子簽字的基本步驟。 （一） 幾個(gè)技術(shù)術(shù)語 1 散列函數(shù) 2 加密 3 公鑰與私鑰 （二） 數(shù)字簽字的過程 （1）簽字。在寫好信息后，簽字人先劃定要簽字

7、的內(nèi)容，然后用軟件中的散列函數(shù)為要簽字的信息計(jì)算出其獨(dú)有的散列值，接著，簽字人的軟件用私鑰將散列值轉(zhuǎn)變?yōu)閿?shù)字簽字。這個(gè)數(shù)字簽字對(duì)這份信息和簽字人的私鑰而言是獨(dú)一無二的。 （2）簽字人一般將數(shù)字簽字附在數(shù)據(jù)電文之后并隨電文一起發(fā)送出去，簽字的過程就完成了。 （3） 驗(yàn)證數(shù)據(jù)電文的接收人在收到信息后，可以對(duì)原文是否被篡改和簽字的真實(shí)性進(jìn)行核查。接收人通過參照原文用同一散列函數(shù)計(jì)算出新的散列值，再用簽字人的公鑰解開數(shù)字簽字得出散列值，核對(duì)這兩者是否一致。如果相同，就表明簽字是真實(shí)的，原文沒有被改動(dòng)過。 （三） 電子信息內(nèi)容的保密 數(shù)字簽字雖然能夠鑒別文件是否有改動(dòng)，但是它不解決數(shù)據(jù)電文的保密問題，信

8、息內(nèi)容還是 有 可 能被別人看到。要保證信件內(nèi)容 的機(jī)密性，還 必 須對(duì)內(nèi)容進(jìn)行加密。保障網(wǎng)頁信息內(nèi)容安全的協(xié) 議 主 要有SSL標(biāo)準(zhǔn)和SET標(biāo)準(zhǔn)兩種，保障電子郵件內(nèi)容安全的協(xié)議主要有S-MIME標(biāo)準(zhǔn)。這幾種協(xié)議均涉及到數(shù)字簽字、加解密和數(shù)字認(rèn)證的綜合應(yīng)用。 （四） 電子簽字持有人的識(shí)別 數(shù)字簽字雖然可以保證數(shù)據(jù)電文上的簽字人是該電文的制作人，但是它不能保證該簽字人可能冒用他人的名義。 這是因?yàn)椋簲?shù)字簽字這種方法不能證實(shí)簽字人與所簽的姓名是同一個(gè)人。在傳統(tǒng)的書面簽字里，也存在冒用簽字的情況，一般通過筆跡鑒定的方法核查。在網(wǎng)絡(luò)世界，這個(gè)問題是通過數(shù)字認(rèn)證系統(tǒng)來解決的。 三、 電子簽字的法定要求

9、電子簽字的目的是要達(dá)到傳統(tǒng)書面簽字的基本功能，然而電子簽字的方法有多種形式，不同公司推出的技術(shù)標(biāo)準(zhǔn)也有所差異，因此要在法律上樹立一個(gè)基本要求，凡達(dá)到該要求的電子簽字均是有法律效力的。 從總體上說，如果電子簽字既能表明簽字人與信息內(nèi)容的聯(lián)系性，而且與紙面簽字同樣可靠，就算達(dá)到了要求。因此，聯(lián)合國和有關(guān)國家的法律規(guī)定了電子簽字要符合一定的要求。 四、 電子簽字中各方當(dāng)事人的基本行為規(guī)范 參與電子簽字活動(dòng)包括簽字人、驗(yàn)證服務(wù)提供商和依賴方。電子簽字示范法制訂了這些當(dāng)事方（簽字人、依賴方和驗(yàn)證服務(wù)提供商等）行為規(guī)范。（一） 簽字人的行為 電子簽字示范法第8條規(guī)定，簽字制作數(shù)據(jù)可用來制作具有法律效力的簽

10、字，各簽字人應(yīng)當(dāng)做到如下： （1）采取合理的謹(jǐn)慎措施，避免他人未經(jīng)授權(quán)使用其簽字制作數(shù)據(jù)； （2）簽字人知悉簽字制作數(shù)據(jù)已經(jīng)失密；或簽字人知悉簽字制作數(shù)據(jù)很有可能已經(jīng)失密的情況；應(yīng)毫無遲延，應(yīng)利用認(rèn)證服務(wù)提供人依照本法第9條提供的手段，或做出合理的努力，向簽字人可以合理預(yù)計(jì)的依賴電子簽字或提供支持電子簽字服務(wù)的任何人員發(fā)出通知； （3） 在使用證書支持電子簽字時(shí)，采取合理的謹(jǐn)慎措施，確保簽字人做出的關(guān)于證書整個(gè)有效期的或需要列入證書內(nèi)的所有實(shí)質(zhì)性表述均精確無誤和完整無缺。 （二） 認(rèn)證服務(wù)提供人的行為 電子簽字示范法第9條規(guī)定，認(rèn)證服務(wù)提供人提供服務(wù)，以支持可用作具有法律效力的簽字而使用電子簽

11、字的，應(yīng)當(dāng)做到以下規(guī)定，否則應(yīng)對(duì)未滿足規(guī)定要求而承擔(dān)法律責(zé)任： （1） 按其所做出的關(guān)于其政策和做法的表述行事； （2） 采取合理的謹(jǐn)慎措施，確保其做出的關(guān)于證書整個(gè)有效期的或需要列入證書內(nèi)的所有實(shí)質(zhì)性表述均精確無誤和完整無缺； （3） 提供合理可及的手段，使依賴方得以從證書中證實(shí)認(rèn)證服務(wù)提供人的身份、證書中所指明的簽字人在簽發(fā)證書時(shí)擁有對(duì)簽字制作數(shù)據(jù)的控制、在證書簽發(fā)之時(shí)或之前簽字制作數(shù)據(jù)有效；（二） 認(rèn)證服務(wù)提供人的行為 （4） 提供合理可及的手段，使依賴方得以在適當(dāng)情況下從證書或其它方面證實(shí)用以鑒別簽字人的方法、簽字制作數(shù)據(jù)或證書的可能用途或使用金額上的任何限制、簽字制作數(shù)據(jù)有效且未發(fā)生

12、失密、認(rèn)證服務(wù)提供人規(guī)定的責(zé)任范圍或程度上的任何限制、是否存在簽字人依照第8條發(fā)出通知的途徑、是否提供了及時(shí)的撤銷服務(wù)； （5） 確保提供及時(shí)的撤銷服務(wù)； （6） 使用可信賴的系統(tǒng)、程序和人力資源提供其服務(wù)。 （三） 可信賴性 電子簽字示范法第10條規(guī)定，在確定認(rèn)證服務(wù)提供人使用的任何系統(tǒng)，程序和人力資源是否可信賴以及在何種程度上可信賴時(shí)，可以注意下列因素： （1） 財(cái)力和人力資源，包括是否存在資產(chǎn)； （2） 硬件和軟件系統(tǒng)的質(zhì)量； （3） 證書及其申請書的處理程序和記錄的保 留； （4） 是否可向證書中指明的簽字人和潛在的依賴方提供信息； （5） 由獨(dú)立機(jī)構(gòu)進(jìn)行審計(jì)的經(jīng)常性和審計(jì)的范圍； （

13、6） 是否存在國家、鑒定機(jī)構(gòu)或認(rèn)證服務(wù)提供人作出的關(guān)于上述條件的遵守情況或上述條件是否存在的聲明； （7） 其它任何有關(guān)因素。 （四） 依賴方的行為 電子簽字示范法第11條規(guī)定依賴方應(yīng)當(dāng)對(duì)其未能做到如下承擔(dān)法律后果： （1） 采取合理的步驟查驗(yàn)電子簽字的可靠性； （2） 在電子簽字有證書支持時(shí)，采取合理的步驟，包括查驗(yàn)證書的有效性、證書的暫?；虺蜂N、遵守對(duì)證書的任何限制。 第二節(jié) 電子簽字立法發(fā)展 一、 從數(shù)字式簽字到電子簽字：聯(lián)合國現(xiàn)代核證技術(shù)的立法實(shí)踐 1996年12月，聯(lián)合國國際貿(mào)易法委員會(huì)第29屆會(huì)議在通過了貿(mào)易法委員會(huì)電子商業(yè)示范法之后，討論了電子商務(wù)領(lǐng)域以后的工作方向，會(huì)議認(rèn)為，貿(mào)

14、法會(huì)應(yīng)當(dāng)繼續(xù)工作，編制能夠給電子商務(wù)帶來可預(yù)測性、從而加強(qiáng)各地區(qū)貿(mào)易的法律標(biāo)準(zhǔn)。 一、 從數(shù)字式簽字到電子簽字：聯(lián)合國現(xiàn)代核證技術(shù)的立法實(shí)踐 比較一致的意見認(rèn)為，貿(mào)法會(huì)應(yīng)當(dāng)著手編制關(guān)于數(shù)碼式簽字的規(guī)則，同時(shí)制定驗(yàn)證局的行動(dòng)或授權(quán)就數(shù)碼式簽字的電文來源和歸屬簽發(fā)電子證書或其它形式保證的其它個(gè)人行動(dòng)的法律。 貿(mào)法會(huì)第30屆會(huì)議（1997年）肯定了電子商業(yè)法律協(xié)調(diào)的重要性和必要性，并委托工作組編寫與數(shù)碼式簽字和驗(yàn)證局法律問題有關(guān)的統(tǒng)一規(guī)則。 一、 從數(shù)字式簽字到電子簽字：聯(lián)合國現(xiàn)代核證技術(shù)的立法實(shí)踐 在電子商務(wù)工作組第32屆會(huì)議（1998年1月）上，工作組開始使用電子簽字統(tǒng)一規(guī)則（Uniform R

15、ules on Electronic Signature）代替數(shù)字簽字統(tǒng)一規(guī)則（Uniform Rules on Digital Signature）。 電子簽字統(tǒng)一規(guī)則草案。該草案包括以下內(nèi)容：適用范圍和一般規(guī)定、一般電子簽字的定義及法律要求、強(qiáng)化電子簽字的法律要求、歸屬推定及保持原樣的推定、預(yù)先確定強(qiáng)化電子簽字、擅自使用強(qiáng)化電子簽字的賠償責(zé)任、強(qiáng)化證書的內(nèi)容、以證書為輔助的數(shù)字簽字的效力、認(rèn)證機(jī)構(gòu)的承諾和責(zé)任、證書的廢止、證書的登記等。 一、 從數(shù)字式簽字到電子簽字：聯(lián)合國現(xiàn)代核證技術(shù)的立法實(shí)踐 電子商務(wù)工作組第36屆會(huì)議（2000年2月）對(duì)上述草案中的“強(qiáng)化電子簽字”進(jìn)一步進(jìn)行了討論，最

16、后決定刪除此條。原因是強(qiáng)調(diào)強(qiáng)化電子簽字，可能會(huì)影響其它電子簽字方法的使用和發(fā)展。 2002年1月24日，在經(jīng)歷了5年的起草工作后，聯(lián)合國第56屆大會(huì)正式通過聯(lián)合國國際貿(mào)易法委員會(huì)電子簽字法。電子簽字示范法將構(gòu)成電子商務(wù)示范法的有用的補(bǔ)充，大大有助于各國加強(qiáng)其有關(guān)利用現(xiàn)代化核證技術(shù)的立法，并能協(xié)助目前尚無這種立法的國家擬訂這種立法。 二、 美國有關(guān)電子簽字的法律 電子簽字法發(fā)源于美國，1991年，美國律師協(xié)會(huì)（ABA）信息安全委員會(huì)開始著手?jǐn)M訂數(shù)字簽字示范法，1995年ABA數(shù)字簽字指南頒布，其意圖在于“提供一種解決方案，使得獲得州政府許可的認(rèn)證機(jī)構(gòu)在應(yīng)用PKI系統(tǒng)后，數(shù)字簽字能得到承認(rèn)。” 1

17、999年7月，美國全國統(tǒng)一州法委員會(huì)（NCCUSL）通過了統(tǒng)一電子交易法（UETA）修訂版。到2000年，美國共有18個(gè)州已經(jīng)通過了立法程序?qū)ETA納入州法，另有10余州正在走立法程序。 二、 美國有關(guān)電子簽字的法律 1999年6月30日，美國總統(tǒng)克林頓以數(shù)字簽字的方式簽署了全球與國家商務(wù)中的電子簽字法，直接從聯(lián)邦政府的層面對(duì)州法中的未達(dá)之處包括州際和國際貿(mào)易作了規(guī)范，進(jìn)一步豐富了美國電子簽字法的法律淵源。該項(xiàng)立法作為美國政府推動(dòng)電子商務(wù)的重要舉措，為電子簽字和電子記錄的法律地位的確定制定了重要的程序和規(guī)則。根據(jù)該法案規(guī)定，在該法案確定的標(biāo)準(zhǔn)得到遵守的前提下，即可賦于電子簽字、電子合同和電子

18、記錄以法律上的確定性。 三、 歐盟電子簽字的統(tǒng)一框架指令 從整體上看來，歐盟的電子簽字統(tǒng)一框架指令（以下簡稱指令）對(duì)數(shù)字證書與認(rèn)證機(jī)構(gòu)管理比較嚴(yán)格，既吸收了國際電子簽字法律的主流觀點(diǎn)，又保持了歐盟的許多特色。 （1） 指令對(duì)電子簽字的定義與分類處理符合主流觀點(diǎn)，其中的“高級(jí)電子簽字”（advanced electronic signature）基本上維持傳統(tǒng)上對(duì)數(shù)字簽字的四要素定義法。 三、 歐盟電子簽字的統(tǒng)一框架指令（2） 指令擯棄了傳統(tǒng)的公鑰、私鑰、對(duì)鑰的概念，而引入了一系列新概念，如“簽署簽字?jǐn)?shù)據(jù)”(signature-creation data，相當(dāng)于公鑰)、“簽署簽字設(shè)備”(sign

19、ature-creation device)、“安全簽署簽字設(shè)備(securesignature-creation-deice)、“確認(rèn)簽字?jǐn)?shù)據(jù)(signature-verification-data，相當(dāng)于私鑰)、“確認(rèn)簽字設(shè)備”（signature-verification device）。通過對(duì)傳統(tǒng)技術(shù)術(shù)語的法律提煉，既可以凸顯其“技術(shù)中立”的個(gè)性，又建立起一套比較嚴(yán)格的對(duì)認(rèn)證機(jī)構(gòu)與電子簽字的管理制度。 三、 歐盟電子簽字的統(tǒng)一框架指令 （3） 指令通過四個(gè)附件： 1）對(duì)合格證書的要求； 2）對(duì)發(fā)放合格證書的認(rèn)證服務(wù)提供人的 要求； 3）對(duì)安全簽署簽字設(shè)備的要求； 4）對(duì)安全簽字確認(rèn)的推

20、薦，來達(dá)到對(duì)電子簽字 與認(rèn)證機(jī)構(gòu)的統(tǒng)一標(biāo)準(zhǔn)管理。 （4） 指令授權(quán)成員國可以為認(rèn)證機(jī)構(gòu)設(shè)置基于自愿的認(rèn)可方案，同時(shí)，該方案否定了CA是一種“殼資源”的觀點(diǎn)，即不允許限制經(jīng)認(rèn)可的CA數(shù)目。 三、 歐盟電子簽字的統(tǒng)一框架指令 （5） 指令在為安全系統(tǒng)和電子簽字產(chǎn)品設(shè)置技術(shù)標(biāo)準(zhǔn)的同時(shí)，同時(shí)很重視市場準(zhǔn)入問題。 （6） 指令通過自愿認(rèn)可方案的認(rèn)可、取得歐盟內(nèi)CA的擔(dān)保、以及訂立雙邊或多邊協(xié)議三種方式解決了與歐盟外認(rèn)證機(jī)構(gòu)的數(shù)字證書的交叉認(rèn)證問題。 （7） 指令對(duì)CA的收集和傳輸數(shù)據(jù)行為有嚴(yán)格限制。 四、 我國法律對(duì)電子簽字法律地位的態(tài)度 我國合同法規(guī)定數(shù)據(jù)電文是書面形式的一種，并提出，“當(dāng)事人采用信件

21、、數(shù)據(jù)電文等形式訂立合同的，可以在合同成立之前要求簽訂確認(rèn)書。簽訂確認(rèn)書時(shí)合同成立?！? 這里，使用數(shù)據(jù)電文訂立合同的前提是“合同成立之前要求簽訂確認(rèn)書”，成立的條件則是“簽訂確認(rèn)書時(shí)合同成立”。顯然，合同法對(duì)數(shù)據(jù)電文作為合同是心有余悸的，并且為數(shù)據(jù)電文形成的合同的效力加了一道“保險(xiǎn)”。也就是說，如果使用數(shù)據(jù)電文起草合同，除了電子文本之外，還需要有一“確認(rèn)書”加以確認(rèn)。這種規(guī)定，顯然不利于新技術(shù)的推廣和應(yīng)用。 1 參見中華人民共和國合同法第33條。四、 我國法律對(duì)電子簽字法律地位的態(tài)度 電子簽字為解決上述問題提供了解決的辦法。既然書面合同可以通過簽字承認(rèn)其有效性，電子合同也可以通過電子簽字承認(rèn)

22、其有效性，只要電子簽字完全實(shí)現(xiàn)書面簽字的各項(xiàng)功能。 經(jīng)過學(xué)術(shù)界多年的研究和爭論，我國政府終于認(rèn)識(shí)到電子簽字在現(xiàn)代社會(huì)政務(wù)和商務(wù)活動(dòng)中的重要作用。2003年全國人大常委會(huì)將電子簽名法列入年度立法計(jì)劃，并開始了對(duì)電子簽名立法草案的意見征求工作。電子簽名法律地位的確定，將有力推動(dòng)電子政務(wù)和電子商務(wù)的發(fā)展，促進(jìn)現(xiàn)代信息技術(shù)在社會(huì)各領(lǐng)域中的應(yīng)用。 第三節(jié) 電子簽字的適用范圍和消費(fèi)者保護(hù)一、 電子簽字的適用范圍 電子簽字是人們在互聯(lián)網(wǎng)絡(luò)中溝通信息并確保信息證實(shí)的一種手段，是傳統(tǒng)簽字的意義在網(wǎng)絡(luò)中得到延伸與發(fā)展。因此，從簽字本身所具有的原始作用的角度來看，凡是可以在紙面上進(jìn)行的傳統(tǒng)簽字，電子簽字均可以適用。

23、但是，受到現(xiàn)有法律和傳統(tǒng)觀念以及技術(shù)發(fā)展的局限性，電子簽字還很難做到這一點(diǎn)。 一、 電子簽字的適用范圍 目前，電子簽字受到局限的主要方面有： 1 需要在物體本身上標(biāo)記簽字的場合 2 與身份關(guān)系相關(guān)的場合； 3 與訴訟程序相關(guān)的場合； 4 法律有特別規(guī)定的事項(xiàng)。 二、 電子簽字與消費(fèi)者權(quán)利保護(hù) 為保護(hù)消費(fèi)者的合法利益，商家應(yīng)當(dāng)明確以下事項(xiàng)：（一） 商家應(yīng)當(dāng)告知消費(fèi)者使用電子簽字的權(quán)利義務(wù) （1） 告知消費(fèi)者可以同意使用電子簽字也可以不同意使用電子簽字。如果消費(fèi)者同時(shí)要求得到紙面的記錄，商家應(yīng)當(dāng)滿足消費(fèi)者的這一要求。或者消費(fèi)者希望在交易完成后得到發(fā)票，商家應(yīng)當(dāng)保證他的權(quán)利。（一） 商家應(yīng)當(dāng)告知消費(fèi)

24、者使用電子簽字的權(quán)利義務(wù) （2） 告知消費(fèi)者有權(quán)撤回對(duì)使用電子簽字的同意。如，消費(fèi)者在交易完成前可以撤回電子簽字方式，而采用紙面方式，商家可以紙面方式進(jìn)行，增加的費(fèi)用可由消費(fèi)者承擔(dān)，當(dāng)然商家也可以選擇解除合同，如果約定該撤回是解除條件的話。不論怎樣，商家應(yīng)明確告知消費(fèi)者可以行使這一權(quán)利及相關(guān)后果。 （3） 告知消費(fèi)者可以查閱以電子簽字方式簽署的文件。 （二） 在告知消費(fèi)者的權(quán)利后應(yīng)征得消費(fèi)者的同意 同意可以以電子方式做出，也可以采用其它方式，只要做出的行為合理即可。（三） 商家應(yīng)當(dāng)特別提示消費(fèi)者的事項(xiàng) （1） 告知采用該種電子簽字方式對(duì)電腦軟硬件的要求。 （2） 告知電子簽字方式發(fā)生改變后，對(duì)

25、消費(fèi)者的權(quán)利實(shí)現(xiàn)的影響以及如何補(bǔ)救。 第四節(jié) 電子商務(wù)安全認(rèn)證一、 電子認(rèn)證、數(shù)字證書與認(rèn)證機(jī)構(gòu)的概念 電子認(rèn)證技術(shù)是保證電子商務(wù)交易安全的一項(xiàng)重要技術(shù)。 電子認(rèn)證從廣義上來說，可以包括認(rèn)證機(jī)構(gòu)（Certification Authentication簡稱CA）、電子認(rèn)證行為和數(shù)字證書在內(nèi)的一整套法律制度。 從狹義上來說，僅指電子認(rèn)證行為，即由認(rèn)證機(jī)構(gòu)采用電子方法以證明電子簽字持有人真實(shí)身份或電子信息真實(shí)的行為。一、 電子認(rèn)證、數(shù)字證書與認(rèn)證機(jī)構(gòu)的概念 電子認(rèn)證也可稱為客戶認(rèn)證。它是基于用戶的客戶端主機(jī)IP地址的一種認(rèn)證機(jī)制，它允許系統(tǒng)管理員為具有某一特定IP地址的授權(quán)用戶定制訪問權(quán)限。CA與

26、IP地址相關(guān)，對(duì)訪問的協(xié)議不做直接的限制。服務(wù)器和客戶端無需增加、修改任何軟件。系統(tǒng)管理員可以決定對(duì)每個(gè)用戶的授權(quán)、允許訪問的服務(wù)器資源、應(yīng)用程序、訪問時(shí)間以及允許建立的會(huì)話次數(shù)等等。 一、 電子認(rèn)證、數(shù)字證書與認(rèn)證機(jī)構(gòu)的概念 電子認(rèn)證主要包括身份認(rèn)證和信息認(rèn)證。前者用于鑒別用戶身份，后者用于保證通信雙方的不可抵賴性和信息的完整性。在某些情況下，信息認(rèn)證顯得比信息保密更為重要。例如，在買賣雙方發(fā)生的日用品業(yè)務(wù)或交易，可能交易的具體內(nèi)容并不需要保密，但是交易雙方應(yīng)當(dāng)能夠確認(rèn)是對(duì)方發(fā)送或接收了這些信息，同時(shí)接收方還能確認(rèn)接收的信息是完整的，即在通信過程中沒有被修改或替換。 一、 電子認(rèn)證、數(shù)字證書

27、與認(rèn)證機(jī)構(gòu)的概念 數(shù)字證書是目前最常用的認(rèn)證證書，它是由認(rèn)證機(jī)構(gòu)簽發(fā)的數(shù)據(jù)電文或相關(guān)記錄以確認(rèn)持有特定密鑰者身份的文件?；赑KI的數(shù)字證書是電子商務(wù)安全體系的核心，用途是利用公共密鑰加密系統(tǒng)來保護(hù)與驗(yàn)證公眾的密鑰，由可信任的、公正的權(quán)威機(jī)構(gòu)認(rèn)證機(jī)構(gòu)頒發(fā)。用戶向認(rèn)證機(jī)構(gòu)申請證書時(shí)，可提交自己的駕駛執(zhí)照、身份證或護(hù)照，經(jīng)認(rèn)證機(jī)構(gòu)對(duì)申請者所提供的信息進(jìn)行驗(yàn)證，然后通過向電子商務(wù)各參與方簽發(fā)數(shù)字證書，證書包含了用戶的姓名等信息和他的公鑰，以此作為網(wǎng)上證明自己身份的依據(jù)，保證網(wǎng)上支付的安全性。有了數(shù)字證書，當(dāng)事人在從事交易時(shí)，向相對(duì)方提交一個(gè)由認(rèn)證機(jī)構(gòu)簽發(fā)的包含個(gè)人身份的證書，使對(duì)方相信自己的身份。

28、一、 電子認(rèn)證、數(shù)字證書與認(rèn)證機(jī)構(gòu)的概念 認(rèn)證機(jī)構(gòu)是指從事頒發(fā)為電子簽字的目的而使用的加密密鑰相關(guān)的證書的人。認(rèn)證機(jī)構(gòu)在電子商務(wù)中具有特殊的地位。它是為了從根本上保障電子商務(wù)交易活動(dòng)順利進(jìn)行而設(shè)立的，主要是解決電子商務(wù)活動(dòng)中交易參與各方身份、資信的認(rèn)定，維護(hù)交易活動(dòng)的安全。例如，持卡人要與商家通信，持卡人從公開媒體上獲得了商家的公開密鑰，但持卡人無法確定商家不是冒充的，于是持卡人請求認(rèn)證機(jī)構(gòu)對(duì)商家認(rèn)證，在對(duì)商家進(jìn)行調(diào)查、驗(yàn)證和鑒別后，將包含商家公鑰（Public Key）的證書傳給持卡人。同樣，商家也可對(duì)持卡人進(jìn)行驗(yàn)證。二、 數(shù)字證書的分類與管理（一） 數(shù)字證書的種類 按照數(shù)字證書應(yīng)用對(duì)象的不

29、同，數(shù)字證書可以分為持卡人證書和商家證書。 按照數(shù)字證書應(yīng)用對(duì)象的不同，也可以將其分為個(gè)人用戶證書、企業(yè)用戶證書、服務(wù)器證書及代碼證書；或分為發(fā)卡機(jī)構(gòu)證書、銀行證書和支付網(wǎng)關(guān)證書等。 （二） 數(shù)字證書的申請 就個(gè)人申請數(shù)字證書而言，須向認(rèn)證機(jī)構(gòu)業(yè)務(wù)受理點(diǎn)提交以下材料： （1） 有效身份證件，如身份證、駕駛證、護(hù)照等； （2） 有效的聯(lián)系方式，如電話、通信地址、電子郵箱等； 在具備上述條件后，填寫申請表和簽訂用戶協(xié)議，申請即告結(jié)束。 （二） 數(shù)字證書的申請 認(rèn)證機(jī)構(gòu)接受用戶申請，需要核實(shí)申請人的身份事項(xiàng)，審核通過，認(rèn)證機(jī)構(gòu)即向申請人發(fā)放證書。 認(rèn)證機(jī)構(gòu)對(duì)個(gè)人證書申請的驗(yàn)證方法主要有： （1） 驗(yàn)

30、證申請人電子郵箱的真實(shí)性； （2） 查詢可信的信息數(shù)據(jù)庫，通過核實(shí)和證實(shí)可信的數(shù)據(jù)庫內(nèi)申請人的個(gè)人信息，識(shí)別和鑒證其身份。所謂可信的數(shù)據(jù)庫由認(rèn)證機(jī)構(gòu)決定。 （3） 當(dāng)面核實(shí)；當(dāng)面核實(shí)通過身份證原件、復(fù)印件和本人的比較。 （二） 數(shù)字證書的申請 就企業(yè)申請證書而言，程序與個(gè)人申請相同。但驗(yàn)證條件有所不同： （1） 認(rèn)證機(jī)構(gòu)要求企業(yè)提交工商營業(yè)執(zhí)照、ICP營運(yùn)證、稅務(wù)登記等證書，以確定該單位的真實(shí)性和該單位的服務(wù)器確實(shí)存在； （2） 同時(shí)，認(rèn)證機(jī)構(gòu)還需驗(yàn)證申請單位法定代表人的身份以及授權(quán)人的證明和身份。 （二） 數(shù)字證書的申請 在申請證書獲得認(rèn)證機(jī)構(gòu)的驗(yàn)證后，認(rèn)證機(jī)構(gòu)會(huì)將包含密鑰的標(biāo)記載體（如密碼

31、信封、條碼、數(shù)字信息）交給申請人，以保證申請人在安全狀態(tài)下獲得證書。交付的方式可以是面對(duì)面交付，也可以通過郵政信函或者電子郵件等方式。申請人在收到密碼后，根據(jù)認(rèn)證機(jī)構(gòu)的操作提示，完成證書的安裝程序并投入使用。 （三） 數(shù)字證書的保存 數(shù)字證書有一定的有效期限，多數(shù)認(rèn)證機(jī)構(gòu)規(guī)定數(shù)字證書的有效期為一年，期滿經(jīng)申請續(xù)費(fèi)后可延長。但是，不論證書期限是否屆滿，有關(guān)證書的資料，如申請資料、證書等必須在一定的期限內(nèi)保存。 美國猶他州數(shù)字簽字法規(guī)定認(rèn)證機(jī)構(gòu)都應(yīng)保存所發(fā)放或撤銷的證書記錄，期限不少于40年。 有些國家雖然沒有規(guī)定數(shù)字證書的材料的保存期間，但對(duì)于電子記錄均有規(guī)定，這一規(guī)定同樣適應(yīng)于數(shù)字證書。如新加

32、坡電子交易法規(guī)定：電子記錄應(yīng)當(dāng)保存，包括電子記錄的來源、發(fā)出和接受的時(shí)間等。 在具體的保存時(shí)間上，可參考證書的等級(jí)和檔案管理法規(guī)來確定。 （四） 證書撤銷 在證書的有效期間，如果發(fā)生特殊情況，危及證書持有人或他人的利益時(shí)，證書就無法繼續(xù)使用。當(dāng)然，證書持有人也可以申請撤銷證書。 證書撤銷的事由主要有： （1） 證書關(guān)系主體資格方面， （2） 證書記載方面， （3） 證書技術(shù)基礎(chǔ)發(fā)生變化 （4） 有關(guān)主體的行為， （5） 有關(guān)主管機(jī)構(gòu)的命令等。 （五） 證書中止 證書中止是在出現(xiàn)影響證書安全時(shí)的一種臨時(shí)措施，根據(jù)事態(tài)的發(fā)展，證書可能會(huì)被撤銷，也可能證書效力恢復(fù)。 我國的認(rèn)證機(jī)構(gòu)在其業(yè)務(wù)說明中多數(shù)

33、規(guī)定了證書撤銷而沒有規(guī)定中止，有的是二者合一。從操作角度而言，將二者分開分別規(guī)定是有實(shí)際意義的，至少可以節(jié)約成本和減少錯(cuò)誤。 三、 電子商務(wù)的認(rèn)證體系（一） 電子商務(wù)認(rèn)證體系技術(shù)標(biāo)準(zhǔn)的分類 電子商務(wù)認(rèn)證體系根據(jù)所采用的技術(shù)標(biāo)準(zhǔn)的不同可分為兩大類，即符合SET標(biāo)準(zhǔn)的SET CA認(rèn)證體系（又叫“金融CA”體系）和基于X.509的 PKI CA體系（又叫“非金融CA”體系）。 （一） 電子商務(wù)認(rèn)證體系技術(shù)標(biāo)準(zhǔn)的分類1 SET CA 1997年2月19日，由MasterCard和Visa發(fā)起成立SETCO公司，被授權(quán)作為SET（Secure Electronic Transaction）根CA。從SE

34、T協(xié)議中可以看出，由于采用公開密鑰加密算法，認(rèn)證機(jī)構(gòu)（CA）就成為整個(gè)系統(tǒng)的安全核心。SET中CA的層次結(jié)構(gòu)依次為：根認(rèn)證中心（RCA）、區(qū)域性認(rèn)證中心（GCA），GCA再下設(shè)持卡人認(rèn)證中心（CCA）、商戶認(rèn)證中心（MCA）、支付網(wǎng)關(guān)認(rèn)證中心（PCA），在SET中，CA所頒發(fā)的數(shù)字證書主要有持卡人證書、商戶證書和支付網(wǎng)關(guān)證書。（一） 電子商務(wù)認(rèn)證體系技術(shù)標(biāo)準(zhǔn)的分類1 SET CA 在證書中，利用X.500識(shí)別名來確定SET交易中所涉及的各參與方。SET CA是一套嚴(yán)密的認(rèn)證體系，可保證B to C（Business to Customer）類型的電子商務(wù)安全順利地進(jìn)行。但SET認(rèn)證結(jié)構(gòu)適應(yīng)于卡

35、支付，對(duì)其它支付方式是有所限制的。 （一） 電子商務(wù)認(rèn)證體系技術(shù)標(biāo)準(zhǔn)的分類2 PKI CA PKI（Public Key Infrastructure）是提供公鑰加密和數(shù)字簽字服務(wù)的平臺(tái)，采用PKI框架管理密鑰和證書，基于PKI的框架結(jié)構(gòu)及在其上開發(fā)的PKI應(yīng)用，為建立CA提供了強(qiáng)大的證書和密鑰管理能力，可以建立一個(gè)安全的網(wǎng)絡(luò)環(huán)境。根據(jù)X.509建議，CA為用戶的公開密鑰提供證書。用戶與CA交換公開密鑰后，CA用其秘密密鑰對(duì)數(shù)據(jù)集（包括CA名、用戶名、用戶的公開密鑰及其有效期等）進(jìn)行數(shù)字簽字，并將該簽字附在上述數(shù)據(jù)集的后面，構(gòu)成用戶的證書，存放在用戶的目錄款項(xiàng)中。 （一） 電子商務(wù)認(rèn)證體系技術(shù)

36、標(biāo)準(zhǔn)的分類2 PKI CA X.509提供了分層鑒別服務(wù)，在這種層次下，可以有多個(gè)層次的CA（可信任的第三方認(rèn)證系統(tǒng)），構(gòu)成樹狀的認(rèn)證層次。在一個(gè)證書樹上的節(jié)點(diǎn)之間進(jìn)行鑒別時(shí)，在證書樹上找到共同的祖先節(jié)點(diǎn)，就可以完成鑒別。 當(dāng)兩個(gè)用戶分別由不同的CA服務(wù)時(shí)，不同的CA 要為每個(gè)用戶建立一個(gè)證書（這種認(rèn)證方式叫做“交叉認(rèn)證”）。只要保證每一個(gè)CA者是可信賴的，這種證書管理方法就能滿足多用戶的電子商務(wù)網(wǎng)絡(luò)的需要。 PKI CA增加網(wǎng)上交易各方明顯的信任，也為它們之間的可靠通信創(chuàng)造條件，并為“B2 B”及“B2C”兩種電子商務(wù)模式提供兼容性服務(wù)。 （二） 證書的樹形驗(yàn)證結(jié)構(gòu) 當(dāng)事人在進(jìn)行網(wǎng)上交易時(shí)，

37、須通過出示由某個(gè) CA 簽發(fā)的證書來證明自己的身份，如果對(duì)簽發(fā)證書的CA本身不信任，則可驗(yàn)證CA的身份，依次類推，一直到公認(rèn)的權(quán)威CA處。就可確信證書的有效性。SET證書正是通過信任層次來逐級(jí)驗(yàn)證的。每一個(gè)證書與數(shù)字化簽發(fā)證書的實(shí)體的簽字證書關(guān)聯(lián)。沿著信任樹一直到一個(gè)公認(rèn)的信任組織，就可確認(rèn)該證書是有效的。 在網(wǎng)上購物實(shí)踐中，持卡人的證書與發(fā)卡機(jī)構(gòu)的證書關(guān)聯(lián)，而發(fā)卡機(jī)構(gòu)證書通過不同品牌卡的證書連接到根 CA，而根認(rèn)證機(jī)構(gòu)的公共簽字密鑰對(duì)所有的 SET 軟件都是已知的，可以校驗(yàn)每一個(gè)證書。 第五節(jié) 電子商務(wù)認(rèn)證法律關(guān)系一、 認(rèn)證機(jī)構(gòu)的法定義務(wù)與權(quán)利 認(rèn)證機(jī)構(gòu)以其信譽(yù)為電子商務(wù)交易各方提供信用，因

38、此認(rèn)證機(jī)構(gòu)在電子商務(wù)中是一個(gè)非常重要的獨(dú)立的第三方主體，其在交易活動(dòng)中的權(quán)利義務(wù)對(duì)各信賴主體的判斷、選擇和交易都具有關(guān)鍵性的影響。而僅以合同的方式來確定認(rèn)證機(jī)構(gòu)的權(quán)利義務(wù)尚不足以明確認(rèn)證機(jī)構(gòu)在電子商務(wù)中的地位與責(zé)任，也不利于交易的安全與秩序。因此，必須從法律上加以界定。 （一） 認(rèn)證機(jī)構(gòu)的主要義務(wù)1 信息披露義務(wù) 鑒于認(rèn)證機(jī)構(gòu)的公信力和其信用服務(wù)，認(rèn)證機(jī)構(gòu)應(yīng)當(dāng)向全社會(huì)公開其從業(yè)資格，及其重要的業(yè)務(wù)記錄，以便受到公眾的監(jiān)督與協(xié)作。 （一） 認(rèn)證機(jī)構(gòu)的主要義務(wù)1 信息披露義務(wù) 一般而言，認(rèn)證機(jī)構(gòu)信息披露的內(nèi)容應(yīng)包括： （1） 認(rèn)證機(jī)構(gòu)根證書的說明； （2） 用戶的公鑰； （3） 作廢證書名單； （

39、4） 認(rèn)證業(yè)務(wù)說明； （5） 認(rèn)證機(jī)構(gòu)作為公司登記時(shí)應(yīng)公開的有關(guān)記錄； （6） 其它任何影響證書安全性能或認(rèn)證機(jī)（一） 認(rèn)證機(jī)構(gòu)的主要義務(wù)1 信息披露義務(wù) 聯(lián)合國電子簽字示范法第9條（c）項(xiàng)規(guī)定，認(rèn)證機(jī)構(gòu)應(yīng)該提供合理的查證途徑時(shí)相對(duì)方能夠通過證書確認(rèn)： （1） 證明服務(wù)提供者的身份; （2） 證書所標(biāo)明的人在簽字時(shí)已經(jīng)控制了簽字器； （3） 簽字器在證書簽發(fā)之時(shí)或之前運(yùn)行正常。（一） 認(rèn)證機(jī)構(gòu)的主要義務(wù)2 業(yè)務(wù)說明義務(wù) 該義務(wù)要求認(rèn)證機(jī)構(gòu)公開其工作流程和為用戶提供何種服務(wù)及服務(wù)內(nèi)容，主要包括： （1） 用戶身份鑒定要求； （2） 證書類別及申請、簽發(fā)、撤銷、續(xù)展等操作規(guī)程； （3） 保密制度；

40、 （4） 安全控制規(guī)程； （5） 用戶責(zé)任和義務(wù)； （6） 認(rèn)證機(jī)構(gòu)的賠償范圍及限額； （7） 與認(rèn)證機(jī)構(gòu)業(yè)務(wù)相關(guān)的其它重要內(nèi)容。 認(rèn)證機(jī)構(gòu)在其業(yè)務(wù)說明中應(yīng)注意行業(yè)政策和習(xí)慣，并嚴(yán)格遵守其說明，保證包括證書在內(nèi)的重要陳述具有準(zhǔn)確性和完整性。 （一） 認(rèn)證機(jī)構(gòu)的主要義務(wù)3. 保險(xiǎn)義務(wù) 認(rèn)證機(jī)構(gòu)是一個(gè)高風(fēng)險(xiǎn)的行業(yè)，既面臨著內(nèi)部人員操作錯(cuò)誤甚至惡意操作等機(jī)構(gòu)運(yùn)營帶來的風(fēng)險(xiǎn)又必須提防外部攻擊，技術(shù)的飛速進(jìn)步也會(huì)致機(jī)構(gòu)業(yè)務(wù)發(fā)生重大變化，而且一旦發(fā)生風(fēng)險(xiǎn)往往超出認(rèn)證機(jī)構(gòu)本身的控制。因此，為了減少認(rèn)證機(jī)構(gòu)的風(fēng)險(xiǎn)和穩(wěn)定交易秩序，又必要賦予認(rèn)證機(jī)構(gòu)參加責(zé)任保險(xiǎn)之義務(wù)。 （一） 認(rèn)證機(jī)構(gòu)的主要義務(wù)3. 保險(xiǎn)義務(wù)

41、認(rèn)證機(jī)構(gòu)可就下列業(yè)務(wù)投保： （1） 外部進(jìn)攻者對(duì)被保險(xiǎn)人用戶的數(shù)字證書業(yè)務(wù)系統(tǒng)進(jìn)行攻擊，破譯該電子商務(wù)安全技術(shù)、偽造證書、篡改數(shù)據(jù)而造成被保險(xiǎn)人用戶交易帳戶資金的損失； （2） 病毒入侵被保險(xiǎn)人用戶的數(shù)字證書業(yè)務(wù)系統(tǒng)而造成被保險(xiǎn)人用戶交易帳戶資金的損失； （3） 火災(zāi)、水管爆裂致使被保險(xiǎn)人數(shù)字證書業(yè)務(wù)系統(tǒng)遭到破壞，造成被保險(xiǎn)人用戶交易帳戶資金的損失； （4） 被保險(xiǎn)人用戶的數(shù)字證書丟失，報(bào)失24小時(shí)后，他人利用其數(shù)字證書進(jìn)行交易，造成被保險(xiǎn)人用戶交易帳戶資金的損失。 （一） 認(rèn)證機(jī)構(gòu)的主要義務(wù)3. 保險(xiǎn)義務(wù) 在確定上述保險(xiǎn)責(zé)任范圍以后，再約定最高賠償限額。每次事故賠償額為被保險(xiǎn)人用戶發(fā)生保險(xiǎn)責(zé)

42、任范圍內(nèi)事故所遭受的實(shí)際損失金額，多次事故的累計(jì)賠償金額不得超過本保險(xiǎn)的最高賠償限額。 （一） 認(rèn)證機(jī)構(gòu)的主要義務(wù)4. 保密義務(wù) 認(rèn)證機(jī)構(gòu)在承擔(dān)信息披露義務(wù)的同時(shí)，為保護(hù)用戶合法利益的目的，認(rèn)證機(jī)構(gòu)尚應(yīng)承擔(dān)保密義務(wù)，對(duì)于下列事項(xiàng)，除非應(yīng)有關(guān)國家機(jī)關(guān)的書面要求，認(rèn)證機(jī)構(gòu)不得對(duì)外披露： （1） 證書用戶在申請數(shù)字證書時(shí)向認(rèn)證機(jī)構(gòu)披露的身份信息及有關(guān)信息； （2） 證書用戶的私人密鑰。（一） 認(rèn)證機(jī)構(gòu)的主要義務(wù)5 擔(dān)保義務(wù) 認(rèn)證機(jī)構(gòu)一旦將證書發(fā)放給用戶，就承擔(dān)著擔(dān)保證書所述信息真實(shí)的義務(wù)，這里的真實(shí)是指認(rèn)證機(jī)構(gòu)在證書發(fā)放時(shí)依法對(duì)用戶提供的身份狀況等情況予以了審查，不存在認(rèn)證機(jī)構(gòu)明知或應(yīng)知是虛假信息的

43、情況。同時(shí)，該義務(wù)要求認(rèn)證機(jī)構(gòu)沒有超過其許可的限額。擔(dān)保義務(wù)不僅僅針對(duì)證書持有人，也適用于證書信賴人。 （二） 認(rèn)證機(jī)構(gòu)的主要權(quán)利 認(rèn)證機(jī)構(gòu)的主要權(quán)利表現(xiàn)在它對(duì)用戶證書的管理上。但是這里的權(quán)利在本質(zhì)上更接近于職權(quán)。 1. 發(fā)放證書 2. 中止證書 3. 撤銷證書 4. 保存證書 二、 證書持有人的義務(wù)與權(quán)利（一） 證書持有人的義務(wù)1 真實(shí)告知義務(wù)2 妥善保管義務(wù)3 交納費(fèi)用的義務(wù)（二） 證書持有人的權(quán)利1 有權(quán)接受或拋棄認(rèn)證證書2 有權(quán)中止、撤銷認(rèn)證證書3 利用認(rèn)證證書三、 證書信賴人的權(quán)利義務(wù) 任何從網(wǎng)絡(luò)交易的人都是證書信賴人，他門都需要識(shí)別對(duì)方證書的真實(shí)性?？疾斓姆椒ê芎唵危J(rèn)證機(jī)構(gòu)都對(duì)其

44、發(fā)放的仍然有效的證書放入數(shù)據(jù)庫中，無效或過期的證書列入黑名單中，信賴人據(jù)此可以查詢，很容易得到結(jié)果。 據(jù)此，信賴人有權(quán)查詢對(duì)方證書的真實(shí)性，認(rèn)證機(jī)構(gòu)有義務(wù)提供查詢這樣的服務(wù)。同時(shí)，信賴人在信賴對(duì)方的證書前，也應(yīng)當(dāng)查詢對(duì)方證書是否有效。 四、認(rèn)證法律關(guān)系的性質(zhì) 網(wǎng)絡(luò)交易不像傳統(tǒng)交易，網(wǎng)絡(luò)交易首先要搞清楚的是在和誰作交易，他的身份是否真實(shí)，信用如何，而有關(guān)身份方面的事，由認(rèn)證機(jī)構(gòu)提供的證書來說明。這樣，圍繞認(rèn)證證書這個(gè)核心形成了二種法律關(guān)系： （1） 認(rèn)證機(jī)構(gòu)與證書持有人之間的關(guān)系； （2） 認(rèn)證機(jī)構(gòu)與證書信賴人之間的關(guān)系。（一） 認(rèn)證機(jī)構(gòu)與證書持有人之間的關(guān)系 認(rèn)證機(jī)構(gòu)與證書持有人圍繞著電子證書

45、發(fā)生各種法律關(guān)系，這是什么樣的法律關(guān)系呢？我們可以從證書的申請和取得過程中得出結(jié)論。認(rèn)證機(jī)構(gòu)提供證書服務(wù)，目的是表明證書持有人身份信息的真實(shí)性，讓其他網(wǎng)絡(luò)主體相信自己，同時(shí)，他也可以了解其他證書持有人的證實(shí)身份。這是建立網(wǎng)絡(luò)商事關(guān)系的前提。這種證書提供服務(wù)是一種信息服務(wù)，雙方的權(quán)利義務(wù)記載在證書的申請、接受等認(rèn)證業(yè)務(wù)說明中，用戶申請獲得這樣的服務(wù)，接受認(rèn)證證書意味著他同意了雙方的權(quán)利義務(wù)。因此，這是他們之間是合同關(guān)系。 認(rèn)證機(jī)構(gòu)與證書持有人之間的合同是認(rèn)證服務(wù)合同。它除了具有合同的一般法律特點(diǎn)，如雙務(wù)、有償?shù)戎?，它還具有最大誠信、諾成的特點(diǎn)，同時(shí)它屬于無名合同。 （一） 認(rèn)證機(jī)構(gòu)與證書持有人

46、之間的關(guān)系1 最大誠信 認(rèn)證服務(wù)合同的最大誠信表現(xiàn)在以下幾方面： （1） 用戶在申請時(shí)必須提供自己真實(shí)的身份資料，在證書的有效期間，如果發(fā)生重要的記載信息的變更應(yīng)當(dāng)及時(shí)告知認(rèn)證機(jī)構(gòu)，以便變更證書記載； （2） 用戶在發(fā)現(xiàn)證書的私鑰失密或者有可能失密時(shí)，也應(yīng)當(dāng)及時(shí)告知認(rèn)證機(jī)構(gòu)； （3） 認(rèn)證機(jī)構(gòu)的根密鑰失密或者發(fā)生可能失密的情況時(shí)，應(yīng)當(dāng)及時(shí)告知用戶，并采取相應(yīng)的措施；（一） 認(rèn)證機(jī)構(gòu)與證書持有人之間的關(guān)系2 諾成 認(rèn)證服務(wù)合同應(yīng)當(dāng)是諾成合同。認(rèn)證服務(wù)機(jī)構(gòu)作為網(wǎng)絡(luò)交易中不可或缺的信息提供商，在網(wǎng)上扮演著重要的角色。它同其他商品提供商一樣，不能夠挑選用戶，同時(shí)，基于該網(wǎng)絡(luò)信息服務(wù)的迅捷性，也要求消費(fèi)

47、者在提出申請，認(rèn)證機(jī)構(gòu)承諾后，合同即告成立。（一） 認(rèn)證機(jī)構(gòu)與證書持有人之間的關(guān)系3. 無名合同 認(rèn)證服務(wù)合同是無名合同。因此，雙方的權(quán)利義務(wù)不僅僅受到合同法和相關(guān)法律的調(diào)整，更多的由雙方的約定來規(guī)范。在實(shí)務(wù)操作中，由于用戶更多的是同意或不同意使用認(rèn)證服務(wù)，一般很難改變認(rèn)證機(jī)構(gòu)業(yè)務(wù)規(guī)范，因而它又具有格式合同的特點(diǎn)。（二） 認(rèn)證機(jī)構(gòu)與證書信賴人之間的關(guān)系 所謂證書信賴人是指由于相信認(rèn)證證書的記載而相信證書持有人的身份真實(shí)，從而與之進(jìn)行商事交易的人。 從現(xiàn)有的情況看，證書信賴人有幾種情況： （1） 信賴人與被信賴人都是同一認(rèn)證機(jī)構(gòu)的用戶，都持有電子證書； （2） 信賴人與被信賴人雖然都持有電子證書

48、，但是由不同的認(rèn)證機(jī)構(gòu)發(fā)放的； （3） 信賴人不持有任何電子證書。 （二） 認(rèn)證機(jī)構(gòu)與證書信賴人之間的關(guān)系 第一種情況，信賴人與認(rèn)證機(jī)構(gòu)存在認(rèn)證服務(wù)合同，具有合同關(guān)系；第二和第三種情況，信賴人與認(rèn)證機(jī)構(gòu)之間沒有合同，純粹是基于對(duì)認(rèn)證機(jī)構(gòu)的信任而相信證書持有人。但是，不論屬于何種情況，對(duì)認(rèn)證機(jī)構(gòu)的信賴始終是存在的。即使在第一種情況之下，也無法否認(rèn)信賴?yán)娴拇嬖??；诖?，這種法律關(guān)系應(yīng)該法定化，他們之間的關(guān)系應(yīng)是一種法定信賴?yán)骊P(guān)系，認(rèn)證機(jī)構(gòu)對(duì)證書信賴人的法定義務(wù)即是其承擔(dān)責(zé)任的基礎(chǔ)。該義務(wù)集中表現(xiàn)在認(rèn)證機(jī)構(gòu)的擔(dān)保義務(wù)上： （1） 認(rèn)證機(jī)構(gòu)對(duì)證書的疏漏和虛假陳述承擔(dān)責(zé)任。 （2） 認(rèn)證機(jī)構(gòu)對(duì)未按其

49、認(rèn)證業(yè)務(wù)說明的要求或程序進(jìn)行操作承擔(dān)責(zé)任。五、 交叉認(rèn)證的法律關(guān)系（一） 交叉認(rèn)證的解決方式 持有同一證書的當(dāng)事人進(jìn)行交易，他們之間會(huì)發(fā)生單一的認(rèn)證關(guān)系；當(dāng)持有不同證書的當(dāng)事人進(jìn)行交易時(shí)，彼此就會(huì)產(chǎn)生交叉認(rèn)證。從認(rèn)證本身的要求來看，認(rèn)證是為了讓交易各方了解彼此的狀況，而這種了解是基于對(duì)認(rèn)證機(jī)構(gòu)權(quán)威性的信任而信任交易對(duì)方的。如果交易一方所持證書的發(fā)證機(jī)構(gòu)不為對(duì)方熟悉，這種信任就很難建立。而網(wǎng)絡(luò)交易的全球性和認(rèn)證機(jī)構(gòu)的獨(dú)立性必然會(huì)導(dǎo)致此類情況大量存在。交叉認(rèn)證既存在國內(nèi)不同機(jī)構(gòu)的交叉認(rèn)證，也存在國際間的交叉認(rèn)證。因此，如何實(shí)現(xiàn)認(rèn)證機(jī)構(gòu)之間的認(rèn)證，即交叉認(rèn)證就具有重大意義。 （一） 交叉認(rèn)證的解決方

50、式 交叉認(rèn)證的解決方式主要有三種： 1 通過國際條約或雙邊協(xié)定來處理 2 行政核準(zhǔn)方式 3 認(rèn)證擔(dān)保的方式 （二） 交叉認(rèn)證法律關(guān)系的性質(zhì) 交叉認(rèn)證法律關(guān)系的性質(zhì)因所采用解決方式的不同而有所不同。在以國際條約或雙邊協(xié)定來解決交叉認(rèn)證的，不同證書持有人對(duì)對(duì)方的信賴仍是法律上的信賴關(guān)系。在同一標(biāo)準(zhǔn)方式下進(jìn)行的交叉認(rèn)證是合同關(guān)系。利用擔(dān)保方式進(jìn)行的交叉認(rèn)證可視同合同關(guān)系。 六、 認(rèn)證機(jī)構(gòu)的法律責(zé)任（一） 認(rèn)證機(jī)構(gòu)責(zé)任限制 認(rèn)證是一個(gè)高風(fēng)險(xiǎn)的行業(yè)，既有內(nèi)部風(fēng)險(xiǎn)又有外部風(fēng)險(xiǎn)，并且一旦發(fā)生風(fēng)險(xiǎn)往往會(huì)造成非常嚴(yán)重的后果。認(rèn)證機(jī)構(gòu)在審查當(dāng)事人的真實(shí)身份時(shí)應(yīng)盡合理的注意，無過錯(cuò)的不應(yīng)承擔(dān)責(zé)任，而不適宜采用無過錯(cuò)

51、的責(zé)任原則。 （一） 認(rèn)證機(jī)構(gòu)責(zé)任限制 具體而言，認(rèn)證機(jī)構(gòu)對(duì)于以下幾方面可以免責(zé)或減輕責(zé)任： （1） 當(dāng)事人違反認(rèn)證證書發(fā)放的目的進(jìn)行交易。 （2） 在交易中，其交易額超過證書的有效價(jià)值的部分，不承擔(dān)責(zé)任。 （3） 證書持有人知道其密鑰已泄密或有被損壞或無用的危險(xiǎn)時(shí)，在有義務(wù)請求撤銷而未提出，造成他人損失的，由其本人承擔(dān)。（一） 認(rèn)證機(jī)構(gòu)責(zé)任限制 （4） 認(rèn)證機(jī)構(gòu)在發(fā)現(xiàn)根密鑰或信息系統(tǒng)遭到破壞或可能遭到破壞，為避免更大的損失而中止或撤銷用戶證書的，造成他人損失的可以減輕或免責(zé)。 （5） 認(rèn)證機(jī)構(gòu)在審查證書申請人身份時(shí)已盡了合理注意仍不能避免錯(cuò)誤的，認(rèn)證機(jī)構(gòu)對(duì)該錯(cuò)誤及由此產(chǎn)生的損失免責(zé)。 （6）

52、 認(rèn)證機(jī)構(gòu)對(duì)于假冒或仿冒該機(jī)構(gòu)的證書及由此產(chǎn)生的損失不承擔(dān)責(zé)任。 （二） 認(rèn)證機(jī)構(gòu)賠償范圍限制 認(rèn)證機(jī)構(gòu)與證書持有人和證書信賴人之間構(gòu)成法定的權(quán)利義務(wù)關(guān)系，因認(rèn)證機(jī)構(gòu)的過錯(cuò)導(dǎo)致當(dāng)事人損失的，應(yīng)承擔(dān)賠償責(zé)任，認(rèn)證機(jī)構(gòu)與證書持有人也可以通過合同來確立彼此責(zé)任的范圍和大小。 損害賠償有直接損失賠償和間接損失賠償之分，直接損失是指現(xiàn)有財(cái)產(chǎn)的減少、毀損或滅失；間接損失是指可得利益的損失，主要是利潤的損失。（二） 認(rèn)證機(jī)構(gòu)賠償范圍限制 這是因?yàn)?，認(rèn)證機(jī)構(gòu)是開展電子商務(wù)活動(dòng)的基礎(chǔ)設(shè)施和公用事業(yè)機(jī)構(gòu)，證書用戶眾多，如果一旦發(fā)生賠償，認(rèn)證機(jī)構(gòu)很可能無法正常運(yùn)營，而影響到整個(gè)交易的正常進(jìn)行。因此，認(rèn)證機(jī)構(gòu)只能就其

53、違約或失職行為所正常的直接損失承擔(dān)賠償責(zé)任，對(duì)于當(dāng)事人喪失利潤或機(jī)會(huì)的損失，精神上的損失不予賠償。第六節(jié) 電子商務(wù)認(rèn)證機(jī)構(gòu)管理 一、 電子商務(wù)認(rèn)證機(jī)構(gòu)的設(shè)立與管理 在電子商務(wù)交易過程中，包括電子支付過程中，認(rèn)證機(jī)構(gòu)都有著不可替代的地位和作用，它是為提供交易雙方驗(yàn)證的第三方機(jī)構(gòu)，由一個(gè)或多個(gè)用戶信任的、具有權(quán)威性質(zhì)的組織實(shí)體管理。它不僅要對(duì)進(jìn)行電子商務(wù)交易的買賣雙方負(fù)責(zé)，還要對(duì)整個(gè)電子商務(wù)的交易秩序負(fù)責(zé)。 （一） 認(rèn)證機(jī)構(gòu)的設(shè)立 在我國認(rèn)證機(jī)構(gòu)應(yīng)是企業(yè)法人，其設(shè)立與經(jīng)營應(yīng)當(dāng)符合公司法的規(guī)定；同時(shí)還應(yīng)當(dāng)符合特殊行業(yè)的基本要求具體而言，設(shè)立認(rèn)證機(jī)構(gòu)應(yīng)符合以下條件： （1） 經(jīng)過國家密碼管理部門的批準(zhǔn)

54、并采用其同意的加密產(chǎn)品； （2） 經(jīng)過國家信息安全認(rèn)證機(jī)構(gòu)的認(rèn)定； （3） 注冊資本符合法律法規(guī)的規(guī)定； （4） 由符合法定規(guī)定的發(fā)起人和從業(yè)人員； （5） 有符合法定要求的保密制度合認(rèn)證業(yè)務(wù)說明； （6） 其它法律和法規(guī)規(guī)定的條件。（一） 認(rèn)證機(jī)構(gòu)的設(shè)立 1. 就認(rèn)證機(jī)構(gòu)的發(fā)起人而言，它一方面必須能承擔(dān)因認(rèn)證機(jī)構(gòu)業(yè)務(wù)而產(chǎn)生的財(cái)產(chǎn)責(zé)任，另一方面，又必須具有從事信用服務(wù)的素質(zhì)或資格。例如美國猶他州數(shù)字簽字法規(guī)定，認(rèn)證機(jī)構(gòu)的發(fā)起人須為律師或金融機(jī)構(gòu)、信托公司或保險(xiǎn)公司等具有良好信譽(yù)和資力之人。 2. 認(rèn)證機(jī)構(gòu)的硬件和軟件設(shè)備和工作環(huán)境應(yīng)符合有關(guān)國家機(jī)關(guān)的規(guī)定，以能保證認(rèn)證業(yè)務(wù)的正常開展為度，其具體

55、標(biāo)準(zhǔn)，應(yīng)由主管部門根據(jù)技術(shù)發(fā)展現(xiàn)狀做出要求。 （一） 認(rèn)證機(jī)構(gòu)的設(shè)立 認(rèn)證機(jī)構(gòu)的財(cái)產(chǎn)，應(yīng)符合法律的規(guī)定。國外的公司實(shí)行授權(quán)資本制度，對(duì)注冊資本的數(shù)額要求并不大，但注重公司資產(chǎn)的動(dòng)態(tài)保障。我國傳統(tǒng)上對(duì)特定行業(yè)的注冊資金的要求一般都比較高，但高額的注冊資本金并不能完全保證其有良好的抗風(fēng)險(xiǎn)能力。因此有必要規(guī)定認(rèn)證機(jī)構(gòu)向有關(guān)部門繳納一定金額的風(fēng)險(xiǎn)保證金或要求其參加一定數(shù)額的責(zé)任保險(xiǎn)。 對(duì)于認(rèn)證機(jī)構(gòu)還應(yīng)規(guī)定行業(yè)審批制度。認(rèn)證機(jī)構(gòu)在申請成立時(shí)應(yīng)向有部門提交有關(guān)材料，如申請報(bào)告、可行性方案、驗(yàn)資證明、國家密碼管理部門的批準(zhǔn)材料、國家安全測評(píng)機(jī)構(gòu)的鑒定材料等。（二） 認(rèn)證機(jī)構(gòu)的管理 認(rèn)證機(jī)構(gòu)的管理包括外部管理

56、和內(nèi)部管理兩部分，外部管理主要是有關(guān)主管部門對(duì)認(rèn)證機(jī)構(gòu)的管理，內(nèi)部管理是認(rèn)證機(jī)構(gòu)對(duì)其自身的管理。 外部管理包括： 1 審批監(jiān)督 2 審計(jì)監(jiān)督 3 業(yè)務(wù)監(jiān)管 認(rèn)證機(jī)構(gòu)的自身管理主要是指認(rèn)證機(jī)構(gòu)對(duì)其用戶的證書的申請、發(fā)放、撤銷等方面的管理。 二、 我國電子商務(wù)認(rèn)證機(jī)構(gòu)的建設(shè)（一） 電子商務(wù)認(rèn)證機(jī)構(gòu)建設(shè)的重要性和緊迫性電子商務(wù)交易順利進(jìn)行的關(guān)鍵問題是安全問題。解決安全問題的基本條件就是需要具有相應(yīng)的電子商務(wù)認(rèn)證機(jī)構(gòu)，為買賣雙方提供值得信任的認(rèn)證服務(wù)。（一） 電子商務(wù)認(rèn)證機(jī)構(gòu)建設(shè)的重要性和緊迫性 從技術(shù)角度講，電子商務(wù)認(rèn)證機(jī)構(gòu)所提供的服務(wù)包括簽證的管理、使用者公鑰的產(chǎn)生與保管，以及密鑰管理三大類。通過

57、采用國際上最先進(jìn)的安全保密技術(shù)對(duì)網(wǎng)絡(luò)上的數(shù)據(jù)發(fā)送方、接收方進(jìn)行身份情況確認(rèn)和資信情況確認(rèn)，以保證交易各方信息的安全性、保密性和可靠性。 從商業(yè)角度講，每一個(gè)電子合同的簽定，買賣雙方都需要對(duì)對(duì)方的身份情況、資信情況和經(jīng)營情況進(jìn)行認(rèn)證，否則，很難作出正確的決策。所以，通過認(rèn)證機(jī)構(gòu)來進(jìn)行買賣雙方的全面認(rèn)證，是保證網(wǎng)絡(luò)交易安全的重要措施。由于CA認(rèn)證在電子商務(wù)中的特殊地位，盡快建立國家電子商務(wù)認(rèn)證機(jī)構(gòu)已迫在眉睫。（一） 電子商務(wù)認(rèn)證機(jī)構(gòu)建設(shè)的重要性和緊迫性 認(rèn)證機(jī)構(gòu)的建立，目前已經(jīng)成為電子商務(wù)的一個(gè)熱點(diǎn)問題。各個(gè)行業(yè)、各個(gè)部門都希望建立自己的認(rèn)證機(jī)構(gòu)，許多ISP和商品交易中心也嘗試建立自己的認(rèn)證中心。

58、為了保證電子商務(wù)的健康發(fā)展，建立一個(gè)國家級(jí)的電子商務(wù)認(rèn)證機(jī)構(gòu)，使它能夠聯(lián)系政府部門的網(wǎng)絡(luò)安全認(rèn)證中心以及各行各業(yè)現(xiàn)存的認(rèn)證機(jī)構(gòu)，進(jìn)而形成一個(gè)完整的體系，為參與網(wǎng)絡(luò)交易的各方提供法律認(rèn)可的、具有權(quán)威性的商務(wù)認(rèn)證，已經(jīng)成為電子商務(wù)發(fā)展的迫切要求。 （二） 電子商務(wù)認(rèn)證機(jī)構(gòu)建設(shè)的不同思路 電子商務(wù)認(rèn)證機(jī)構(gòu)的建立，各國都非常重視，加拿大和新加坡等國已經(jīng)建立了政府性認(rèn)證中心。我國臺(tái)灣省有這方面的前車之鑒。他們雖然建立CA較早，但由于最初沒有統(tǒng)一規(guī)劃，形成了銀行系統(tǒng)各自都建有認(rèn)證中心、互不通用的混亂格局，使得客戶購物非常不便，調(diào)整起來也非常困難。有鑒于此，我們應(yīng)吸取教訓(xùn)，盡快形成自己的電子商務(wù)認(rèn)證機(jī)構(gòu)的建

59、設(shè)方案。（二） 電子商務(wù)認(rèn)證機(jī)構(gòu)建設(shè)的不同思路 關(guān)于認(rèn)證機(jī)構(gòu)的建設(shè)，目前有三種典型的思路。 （1） 地區(qū)信息主管部門認(rèn)為應(yīng)當(dāng)以地區(qū)為中心建立認(rèn)證中心。 （2） 行業(yè)主管部門認(rèn)為應(yīng)當(dāng)以行業(yè)為中心建立認(rèn)證中心。 （3） 也有人提出建立幾個(gè)國家級(jí)行業(yè)安全認(rèn)證中心，然后，實(shí)行相互認(rèn)證。 我們認(rèn)為，電子商務(wù)交易認(rèn)證不應(yīng)是單純的政府行為，而應(yīng)當(dāng)由政府授權(quán)，采用市場運(yùn)營方式，發(fā)揮私人和行業(yè)的積極性，以便形成競爭的局面。（二） 電子商務(wù)認(rèn)證機(jī)構(gòu)建設(shè)的不同思路 認(rèn)證機(jī)構(gòu)的建立，從國家方面講，目前首先應(yīng)當(dāng)組建國家級(jí)的CA認(rèn)證中心，負(fù)責(zé)全國電子商務(wù)證書的注冊、發(fā)放、驗(yàn)證和管理工作。然后，按照統(tǒng)一規(guī)劃、統(tǒng)一布局的原則

60、，在各行業(yè)設(shè)立橫向的職能認(rèn)證機(jī)構(gòu)。在各地區(qū)設(shè)立縱向的分支認(rèn)證機(jī)構(gòu)，從而形成類似于企業(yè)管理中的直線職能制結(jié)構(gòu)。根據(jù)目前互聯(lián)網(wǎng)和計(jì)算機(jī)系統(tǒng)的運(yùn)行速度，全國設(shè)立一個(gè)國家級(jí)電子商務(wù)認(rèn)證中心完全可以滿足電子商務(wù)交易的需要。 （三） 電子商務(wù)認(rèn)證機(jī)構(gòu)建設(shè)的基本原則 電子商務(wù)認(rèn)證機(jī)構(gòu)的建設(shè)，應(yīng)當(dāng)遵循以下原則： 1 權(quán)威性原則 2 真實(shí)性原則 3 機(jī)密性原則 4 快捷性原則 5 經(jīng)濟(jì)性原則（四） 國家級(jí)電子商務(wù)認(rèn)證機(jī)構(gòu)的設(shè)立 同傳統(tǒng)的交易一樣，電子商務(wù)交易主要涉及下述幾個(gè)方面的任務(wù)： 1 身份認(rèn)證 2 資信認(rèn)證 3 稅收認(rèn)證 4 外貿(mào)認(rèn)證（四） 國家級(jí)電子商務(wù)認(rèn)證機(jī)構(gòu)的設(shè)立 上述四個(gè)方面實(shí)際上形成了四個(gè)行業(yè)認(rèn)