電子商務(wù)法第三章課件

1、第3章 電子認證與電子簽名法律問題學(xué)習(xí)要點電子認證認證機構(gòu)數(shù)字證書電子認證過程中的關(guān)系電子簽名與電子簽名的實現(xiàn) 【現(xiàn)在開庭】電子簽名，醫(yī)療糾紛責(zé)任認定的不二法門【基本案情】見課本【你是法官】1指出本案的焦點。 2. 如果你是法官你將如何審判此案。法律講堂3.1電子認證概述3.2認證機構(gòu)3.3數(shù)字認證3.4數(shù)字認證活動中的法律問題3.5電子簽名第三章3.1電子認證概述3.1.1 電子認證的概念3.1.2 電子認證的作用3.1.3 電子認證的分類3.1.4 電子認證的程序3.1.1電子認證的概念 在電子商務(wù)中，買賣雙方是通過網(wǎng)絡(luò)來訂立合同并完成整個交易過程的。由于網(wǎng)絡(luò)的虛擬性，各方都無法確保對方身

2、份的真實性，尤其是當(dāng)當(dāng)事人僅僅通過互聯(lián)網(wǎng)交流時，更加無法確保和自己交易的對方在事實上是該名稱所代表的對方本人而不是其他人冒充。尋找一位可靠的第三方當(dāng)事人，由其負責(zé)將某一公鑰密碼與特定用戶聯(lián)系起來，這就是電子認證。 “認證”一詞有廣義和狹義之分。廣義的認證（Authentication）即鑒別，主要包含對事物真?zhèn)蔚谋孀R的意思，它既可以是第三人鑒別，也可能是當(dāng)事人之間相互的鑒別。狹義的認證，特指由認證服務(wù)的第三方機構(gòu)所進行的鑒別。電子認證，是以特定的機構(gòu)對電子簽名及其簽字者的真實性進行驗證的具有法律意義的服務(wù)。在電子認證過程中，有一個把電子簽名和特定的人或者實體加以聯(lián)系的專門管理機構(gòu)，這個特定的機

3、構(gòu)就是“認證機構(gòu)（Certification Authority，簡稱CA）”。CA作為電子商務(wù)交易中受信任的第三方，承擔(dān)公鑰的合法性驗證的責(zé)任。CA中心為每個使用公開密鑰的用戶發(fā)放一個認證證書，認證證書的作用是證明證書所列出的用戶合法擁有證書中列出的公開密鑰。它負責(zé)產(chǎn)生、分配并管理所有參與網(wǎng)上交易的個體所需的認證證書，是安全電子交易的核心環(huán)節(jié)。1信用公示是電子認證機構(gòu)的重要職責(zé)是電子認證性質(zhì)的充分體現(xiàn)認證證書不僅要標(biāo)示交易人的真實合法身份，還有必要表明交易人的交易水平和交易信用水平等交易能力信用公示必須依靠法律法規(guī)和規(guī)章制度等手段，依靠電子認證機構(gòu)的合理設(shè)置與責(zé)任的落實來保證。3.1.2電子

4、認證的作用2防止欺詐是指依靠技術(shù)手段防范電子交易當(dāng)事人以外的人故意入侵而造成的風(fēng)險也是防止當(dāng)事人以外的第三人以交易一方的名義竊取其資金或者其他財產(chǎn)的行為。3防止否認作用是認證機構(gòu)因電子交易當(dāng)事人之間可能產(chǎn)生的重大誤解或否認而采取的符合法律規(guī)定的技術(shù)措施目的是為了減少風(fēng)險電子商務(wù)中的不得否認，既是一項技術(shù)要求，也是交易當(dāng)事人之間的行為規(guī)范，它是民商法誠實信用原則在電子交易領(lǐng)域的具體反映3.1.3電子認證的分類1按認證的功能及對象劃分（1）站點認證（2）數(shù)據(jù)信息認證（3）身份認證2按認證的主體不同劃分（1）雙方認證（2）第三方認證3.1.4 電子認證的程序1發(fā)件人利用密鑰制造系統(tǒng)產(chǎn)生公用密鑰和私人

5、密鑰。2發(fā)件人在做電子簽名前，必須將他的身份信息和公用密鑰送給一個經(jīng)合法注冊，具有從事電子認證服務(wù)許可證的第三方，也就是CA認證中心，向該認證中心申請登記并由其簽發(fā)認證證書。3認證機構(gòu)根據(jù)有關(guān)的法律規(guī)定和認證規(guī)則以及自己和當(dāng)事人之間的約定，對申請進行審查。如果符合要求，就發(fā)給發(fā)件人一個認證證書，證明發(fā)件人的身份、他的公開密鑰以及其他有關(guān)的信息。4發(fā)件人對其要約信息以其私人密鑰制作數(shù)字簽名文件，連同認證證書一并送給收件方，向?qū)Ψ桨l(fā)出要約。5收件方接到電子簽名文件和認證證書之后，根據(jù)認證證書的內(nèi)容，向相應(yīng)的認證機構(gòu)提出申請，請求認證機構(gòu)將對方的公開密鑰發(fā)給自己。6收件人通過公用密鑰和電子簽名的驗證

6、，即可確信電子簽名文件的真實性和可靠性。若認證機構(gòu)有“認證廢止目錄”，則可以查詢目錄以了解該認證證書是否依然有效；收件人承諾，則電子合同成立。3.2認證機構(gòu)3.2.1 認證機構(gòu)的概念及其特點3.2.2 認證機構(gòu)的設(shè)立3.2.3 認證機構(gòu)的管理第三章1認證機構(gòu)的概念認證機構(gòu)（Certification Authority。簡稱CA認證機構(gòu)，或CA認證中心）是指在電子合同中對用戶的電子簽名頒發(fā)數(shù)字證書的機構(gòu)，它已經(jīng)成為開放性電子商務(wù)活動中不可缺少的信用服務(wù)機構(gòu)。聯(lián)合國貿(mào)易法委員會在其電子簽名統(tǒng)一規(guī)則（草案）第一條第4款中規(guī)定：“認證機構(gòu)，是指從事頒發(fā)為數(shù)字簽名的目的而使用的加密密鑰相關(guān)的（身份）證

7、書的任何人或?qū)嶓w。（該定義受任何要求認證機構(gòu)須取得許可、或認可或以一定的方式進行營業(yè)的有效法的限制。）”美國統(tǒng)一電子交易法（草案）第2條規(guī)定：“認證機構(gòu)，是指任何在其業(yè)務(wù)中從事頒發(fā)用于數(shù)字簽名的密鑰身份證書的人或?qū)嶓w”?？梢?，大體而言是指簽發(fā)認證證書的自然人或法人。CA認證機構(gòu)作為第三方，承擔(dān)公共密鑰的合法性檢驗并為每一位用戶簽發(fā)一份數(shù)字證書，證明有關(guān)用戶合法擁有證書中列出的公共密鑰，同時CA作為對該證書的數(shù)字簽名保證該證書不會被偽造和篡改。CA認證機構(gòu)負責(zé)產(chǎn)生、分配并管理所有參與電子商務(wù)交易的第三人所需要的數(shù)字證書，可見CA認證機構(gòu)在電子商務(wù)交易中的作用是十分重要的。2認證機構(gòu)的特點（1）

8、CA認證機構(gòu)的獨立性與非營利性CA認證機構(gòu)必須是獨立的法律實體，能夠以自己的名義從事數(shù)字證書服務(wù)并且能夠以自己的財產(chǎn)提供擔(dān)保，能在法律規(guī)定的范圍內(nèi)自己承擔(dān)相應(yīng)的民事責(zé)任。從營業(yè)目標(biāo)看，CA認證機構(gòu)應(yīng)當(dāng)是非盈利性公用企業(yè)，它扮演著一個對買賣雙方簽約、履約進行監(jiān)督管理的角色，買賣雙方都有義務(wù)接受認證機構(gòu)的監(jiān)督管理。因此，在整個電子商務(wù)過程中，認證機構(gòu)有著不可替代的地位，往往帶有半官方的性質(zhì)。（2） CA認證機構(gòu)的權(quán)威性和可信賴性在電子商務(wù)交易的撮合過程中，CA認證機構(gòu)是提供交易雙方驗證的第三方機構(gòu)，是由一個或多個用戶信任的、具有權(quán)威性的組織實體。它不僅要對進行電子商務(wù)交易的買賣雙方負責(zé)，還要對整個

9、電子商務(wù)的交易秩序負責(zé)。只有經(jīng)國家主管部門授權(quán)經(jīng)營的電子認證服務(wù)公司，或由主管部門發(fā)給經(jīng)營許可的CA認證機構(gòu)簽發(fā)的電子認證證書，才最具有這種權(quán)威性。正如只有經(jīng)公安部門簽發(fā)的個人身份證，才具有絕對可靠的權(quán)威性一樣。同時，由于電子認證在網(wǎng)絡(luò)中應(yīng)用具有跨越國界的特性，只有政府主管部門以國家的名義介入，才使得電子認證具有為他國所承認的效果。（3） CA認證機構(gòu)的中立性與可靠性CA認證機構(gòu)一般并不直接與用戶進行電子商務(wù)交易，而是在其交易中以受信賴的中立機構(gòu)的身份提供信用服務(wù)。（4）CA認證機構(gòu)的標(biāo)準(zhǔn)化與可執(zhí)行性政府主管部門可規(guī)定法律上統(tǒng)一的技術(shù)方案以及規(guī)范不同級別的CA機構(gòu)的電子認證標(biāo)準(zhǔn)及程序，同時政府

10、主管機關(guān)可擔(dān)當(dāng)最高一級的公共密鑰認證中心的角色。3.2.2 電子認證機構(gòu)的設(shè)立1電子認證機構(gòu)的設(shè)立形式（1）是由國家有關(guān)職能部門下屬單位直接設(shè)立，從事電子認證服務(wù)工作。（2）由政府相關(guān)部門做出授權(quán)，規(guī)定嚴格的審批條件和程序簽發(fā)認證證書，同時行使監(jiān)督權(quán)，以確保網(wǎng)絡(luò)交易的安全性。（3）是通過市場的方式建立，在市場競爭中建立起信用。認證機構(gòu)申請從事電子認證服務(wù)的許可時，需要滿足一定的審批條件。政府主管機關(guān)在審核及簽發(fā)許可證時，需要對認證機構(gòu)的資信情況和主體資格進行審核。2電子認證機構(gòu)設(shè)立的條件(1)具有獨立的企業(yè)法人資格；(2)從事電子認證服務(wù)的專業(yè)技術(shù)人員、運營管理人員、安全管理人員和客戶服務(wù)人員

11、不少于三十名；(3)注冊資金不低于人民幣三千萬元；(4)具有固定的經(jīng)營場所和滿足電子認證服務(wù)要求的物理環(huán)境；(5)具有符合國家有關(guān)安全標(biāo)準(zhǔn)的技術(shù)和設(shè)備；(6)具有國家密碼管理機構(gòu)同意使用密碼的證明文件；(7)法律、行政法規(guī)規(guī)定的其他條件。 此外，從事電子認證服務(wù)，應(yīng)當(dāng)向國務(wù)院信息產(chǎn)業(yè)主管部門提出申請，并提交符合電子簽名法第十七條規(guī)定條件的相關(guān)材料。具體包括：(1)書面申請；(2)專業(yè)技術(shù)人員和管理人員證明；(3)資金和經(jīng)營場所證明；(4)國家有關(guān)認證檢測機構(gòu)出具的技術(shù)設(shè)備、物理環(huán)境符合國家有關(guān)安全標(biāo)準(zhǔn)的憑證；(5)國家密碼管理機構(gòu)同意使用密碼的證明文件。3.2.3認證機構(gòu)的管理1認證機構(gòu)管理政

12、策（1）行業(yè)自律型。這是市場自由、技術(shù)中立原則的充分體現(xiàn)。即政府完全不介入、不干預(yù)，認證機構(gòu)通過市場競爭建立信譽，以求生存和發(fā)展。采用這一管理模式的多為擁有雄厚的技術(shù)和資金優(yōu)勢，市場發(fā)育成熟，社會信用制度健全，民間認證體系已趨完善的國家。如澳大利亞、美國的加利弗尼亞洲是采用這種方法的典型代表。這種自由寬松的交易環(huán)境，或許有利于電子商務(wù)企業(yè)施展才華，卻不利于廣大消費者的參與。（2）政府監(jiān)管與市場培育相結(jié)合。采用這種方式管理認證機構(gòu)的國家多數(shù)規(guī)定了自愿認可制度，即法律規(guī)定認證機構(gòu)并不一定取得許可，但是經(jīng)過政府許可的認證機構(gòu)可享受責(zé)任限額等優(yōu)惠條件。政府對認證機構(gòu)管理只實行有限介入，不進行全面干預(yù)。

13、如新加坡、英國、奧地利等國家。任何官方的和非官方的實體，都可以成為認證機構(gòu)，但它必須是在全國認證協(xié)會登記的成員。這一方案采取了官方監(jiān)督。（3）政府主導(dǎo)型。多數(shù)發(fā)展中國家，由于技術(shù)資金處于劣勢、市場發(fā)育不完善，同時又要加快發(fā)展，因而多采用政府干預(yù)，以發(fā)展本國認證體系，如馬來西亞。但是，一些發(fā)達國家也保留了濃厚的政府介入特色，規(guī)定由信息通信部或者相關(guān)大臣發(fā)放許可。如韓國、日本都屬于對認證機構(gòu)實施許可、審批的國家。該種方法充分顯示了政府的行政力量，其目的是讓安全數(shù)字簽名完全成為手書簽名的替代品，進而促使廣大的消費者進入電子商務(wù)領(lǐng)域。2認證機構(gòu)的監(jiān)管辦法 信息產(chǎn)業(yè)部對電子認證服務(wù)機構(gòu)進行年度檢查并公布

14、檢查結(jié)果；年度檢查采取報告審查和現(xiàn)場核查相結(jié)合的方式；取得電子認證服務(wù)許可的電子認證服務(wù)機構(gòu)，在電子認證服務(wù)許可的有效期內(nèi)不得降低其設(shè)立時所應(yīng)具備的條件；電子認證服務(wù)機構(gòu)應(yīng)當(dāng)按照信息產(chǎn)業(yè)部信息統(tǒng)計的要求，按時和如實報送認證業(yè)務(wù)開展情況及有關(guān)資料；電子認證服務(wù)機構(gòu)應(yīng)當(dāng)對其從業(yè)人員進行崗位培訓(xùn)。 信息產(chǎn)業(yè)部根據(jù)監(jiān)督管理工作的需要，可以委托有關(guān)省、自治區(qū)和直轄市的信息產(chǎn)業(yè)主管部門承擔(dān)具體的監(jiān)督管理事項。3.3.1 數(shù)字證書的概念及內(nèi)容3.3.2 數(shù)字證書的效力3.3.3 數(shù)字證書的種類3.3.4 數(shù)字證書的管理3.3第三章數(shù)字證書3.3.1數(shù)字證書的概念及內(nèi)容概念所謂數(shù)字證書是指由獨立的授權(quán)機構(gòu)發(fā)放

15、的，證明交易主體在Internet上的身份證件，是交易主體在因特網(wǎng)上的身份證，是交易主體收發(fā)數(shù)據(jù)電訊時采用證書機制保證安全所必須具備的證書。內(nèi)容1電子認證服務(wù)提供者名稱2證書持有人名稱3證書序列號4證書有效期5證書持有人的電子簽名驗證數(shù)據(jù)6電子認證服務(wù)提供者的電子簽名7國務(wù)院信息產(chǎn)業(yè)主管部門規(guī)定的其他內(nèi)容 其中，電子簽名驗證數(shù)據(jù)，就是用于驗證電子簽名的數(shù)據(jù)，包括代碼、口令、算法或者公鑰等。3.3.2 數(shù)字證書的效力 證書的效力，是與證書服務(wù)關(guān)系中當(dāng)事人所應(yīng)遵守的義務(wù)，以及違反該義務(wù)的責(zé)任相聯(lián)系的。首先，在證書的頒發(fā)、使用中，認證機構(gòu)與證書用戶都應(yīng)改造自己的義務(wù)。從證書機構(gòu)方面看，應(yīng)認真核實用戶

16、的身份等方面的資料，及時中止、撤銷有瑕疵的證書等。從用戶方面講，則應(yīng)如實陳述知情之事實，妥善保管私密鑰等。其次，在責(zé)任方面，認證機構(gòu)對所頒發(fā)的證書，起碼應(yīng)在建議的可靠程度內(nèi)對依賴人承擔(dān)責(zé)任；而證書用戶，則應(yīng)對么密鑰的妥善保管負責(zé)任。3.3.3 數(shù)字證書的種類 數(shù)字證書可以用于電子郵件、電子資金轉(zhuǎn)移、電子商務(wù)等許多領(lǐng)域。目前廣泛應(yīng)用的數(shù)字證書主要有：1個人數(shù)字證書個人數(shù)字證書中包含證書持有者的個人身份信息、公鑰及CA的簽名，在網(wǎng)絡(luò)通訊中標(biāo)識證書持有者的個人身份。2企業(yè)數(shù)字證書企業(yè)數(shù)字證書中包含企業(yè)基本信息、公鑰及CA的簽名，在網(wǎng)絡(luò)通訊中標(biāo)識證書持有企業(yè)的身份。3服務(wù)器身份證書服務(wù)器身份證書中包含

17、服務(wù)器信息、公鑰及CA的簽名，在網(wǎng)絡(luò)通訊中標(biāo)識和驗證服務(wù)器的身份。4安全Web站點證書安全Web站點證書中包含Web站點的基本信息、公鑰和CA的簽名，凡是具有網(wǎng)址的Web站點均可以申請使用該證書，主要和網(wǎng)站的IP地址、域名綁定，可以保證網(wǎng)站的真實性和不被人仿冒。5安全電子郵件證書安全電子郵件證書中包含證書持有者的電子郵件地址、公鑰及CA的簽名。使用安全電子郵件證書可以收發(fā)加密和數(shù)字簽名郵件，保證電子郵件傳輸中的機密性、完整性和不可否認性，確保電子郵件通信各方身份的真實性。6代碼簽名證書代碼簽名證書是CA中心簽發(fā)給軟件提供商的數(shù)字證書，包含軟件提供商的身份信息、公鑰及CA的簽名。3.3.4 數(shù)字

18、證書的管理1證書的頒發(fā)2證書的發(fā)布3證書的接收4證書的中止5證書的撤銷6證書的期限屆滿7證書的保存1證書的頒發(fā)一般而言，如果認證機構(gòu)收到未來簽署者要求頒發(fā)的請求，并且自己或通過授權(quán)機構(gòu)證實以下項目，即應(yīng)向未來的簽署者頒發(fā)證書：該申請人是即將發(fā)布證書中載明的個人或?qū)嶓w；頒發(fā)證書中信息準(zhǔn)確無誤；申請人正確持有與證書內(nèi)載明的公鑰相符且能創(chuàng)設(shè)數(shù)字簽名的私鑰；證書內(nèi)載明的公鑰得用于證實附隨于潛在簽署者持有的私鑰生成的數(shù)字簽名。2證書的發(fā)布同證書的頒發(fā)一樣，證書發(fā)布也是一種服務(wù)，其發(fā)布的方式與內(nèi)容，應(yīng)由法律規(guī)定和協(xié)議的條款來決定。其中應(yīng)包括必須發(fā)布、選擇發(fā)布、密秘存儲三種不同的內(nèi)容，而各種內(nèi)容的依據(jù)又有所

19、不同：（1）必須發(fā)布的內(nèi)容 有許可的惟一機構(gòu)頒發(fā)的證書應(yīng)包括：用戶通常使用的名稱：用戶的標(biāo)識名；與用戶所持有的私鑰相對應(yīng)的公鑰；對用戶所使用的公共密鑰的數(shù)學(xué)算法，按照主管部門的要求作簡要介紹；證書的序列號，它必須在認證機構(gòu)頒發(fā)的證書中是獨特的；證書頒發(fā)與接收的日期和時間，而后者是生效時間；證書失效的日期和時間；頒發(fā)失效的日期和時間；以主管部門的形式對簽署證書的數(shù)學(xué)算法作簡要的介紹；對依賴證書進行交易的可靠性的建議；主管部門以法規(guī)要求的其他項目。（2）選擇發(fā)布的內(nèi)容 許可的認證機構(gòu)頒發(fā)的證書，可根據(jù)用戶與認證機構(gòu)的選擇發(fā)布以下內(nèi)容：附屬公鑰與其標(biāo)識或常用指示；關(guān)于證書可信度和以此為基礎(chǔ)的請求的重

20、要信息；對證書使用者有用的重要的材料，包括頒發(fā)證書的認證機構(gòu)等；主管部門以法規(guī)要求的其他項目。3證書的接收證書的接收是與證書的頒發(fā)相對的行為，它對于接收證書的用戶來說，具有重要的法律意義。一方面通過證書接收，用戶對其證書享有了支配、使用權(quán)；另一方面，自接收時起，就要承擔(dān)作為證書擁有人的義務(wù)。（1）接收證書。在下列情況下，登記人應(yīng)視為已經(jīng)收到證書：如果他向一個或一個以上的個人或者向一個儲存庫公布一項證書或授權(quán)公布證書；在其他情況下，在知道或注意到證書內(nèi)容時，宣告已接收證書。（2）證書內(nèi)載明的登記人接收自己向認證機構(gòu)發(fā)布的證書，應(yīng)向所有合理依賴證書內(nèi)容的人證實：登記人正確持有與證書內(nèi)所列公共密鑰相

21、符的私有密鑰；登記人向認證機構(gòu)所作的全部陳述以及證書內(nèi)包含的信息材料真實有效；并且證書內(nèi)有關(guān)登記人所應(yīng)了解的信息有效。4證書的中止證書中止，主要是針對影響認證安全的緊急事件而采取的暫性措施。它只暫時阻止證書的使用，待需要調(diào)查處理的事宜完畢后，再作決定，所以在證書中止期間，暫不涉及證書的最終命運。我國電子簽名法對此規(guī)定：如果在證書中與公共密鑰配對的私有密鑰被泄露給第三人，則接受證書的登記人應(yīng)盡快請求發(fā)證機構(gòu)中止證書。5證書的撤銷 證書的有效期是有限制的，通常標(biāo)示在證書的簽署部分，指示了起始與期滿的時日。有效期的長短，是以認證機構(gòu)頒發(fā)證書時的條件決定的，一般從幾個月到幾年。證書頒發(fā)之后，一般期望在

22、整個有效期內(nèi)可使用。 有下列情況之一的，電子認證服務(wù)機構(gòu)可以撤銷其簽發(fā)的電子簽名認證證書：證書持有人申請撤銷證書；證書持有人提供的信息不真實；證書持有人沒有履行雙方合同規(guī)定的義務(wù)；證書的安全性不能得到保證；法律、行政法規(guī)規(guī)定的其他情況。在撤銷證書時，認證機構(gòu)必須在指定地點發(fā)布撤銷通知。6證書的期限屆滿 證書的期限屆滿，是一種使認證服務(wù)關(guān)系歸于完結(jié)的法律事實。它是證書關(guān)系正常了結(jié)的方式，也是認證關(guān)系當(dāng)事人所希望的結(jié)果。證書期限屆滿的后果，一般表現(xiàn)在兩個方面：一是從認證機構(gòu)而言，解除了因頒發(fā)證書而產(chǎn)生的一系列義務(wù)，如向證書用戶和依賴人所承擔(dān)的明示的或默示的擔(dān)保等；二是同昌也解除了證書持有人，即用戶

23、的許多義務(wù)，如對其私有密鑰持續(xù)獨占控制義務(wù)等。7證書的保存 證書的保存與利用，是證書發(fā)作用的基本途徑。其保存方式除了存放于數(shù)據(jù)庫之外，對于證書資料的公開部分，其方式主要是發(fā)布于信息公告欄。如此，既可妥善保存，又可讓證書依賴人隨時查閱，以達到充分利用、促進交易的效果。我國電子簽名法第二十四條 電子認證服務(wù)提供者應(yīng)當(dāng)妥善保存與認證相關(guān)的信息，信息保存期限至少為電子簽名認證證書失效后五年。電子認證活動中的法律問題3.4.1 認證機構(gòu)與證書持有人之間法律關(guān)系的性質(zhì)3.4.2 電子認證機構(gòu)與證書依賴人之間的法律關(guān)系3.4.3 電子認證機構(gòu)的法律責(zé)任范圍3.4.4 電子認證機構(gòu)的法律義務(wù)3.4第三章3.4

24、.1 認證機構(gòu)與證書持有人之間法律關(guān)系的性質(zhì) 認證機構(gòu)與其證書持有人之間是合同關(guān)系。 雙方的法律地位是平等的，是否需要訂立認證合同，其內(nèi)容如何，均由當(dāng)事人協(xié)商確定。 雙方當(dāng)事人的合同關(guān)系主要表現(xiàn)在認證的證書上。 當(dāng)事人在線或離線申請證書，認證機構(gòu)允諾，合同即可成立。 合同的標(biāo)的是認證機構(gòu)的服務(wù)行為，雙方的權(quán)利義務(wù)載明在認證證書上，因此，證書本身雖不是合同，但它是合同存在的證明。3.4.2 電子認證機構(gòu)與證書持有人之間法律關(guān)系 證書依賴人是指依賴認證證書所載的信息真實從而與證書持有人進行交易的人。 認證機構(gòu)與證書依賴人之間是何種關(guān)系，有多種說法。我們認為，認證機構(gòu)與證書依賴人之間應(yīng)是利益依賴關(guān)系

25、，這種關(guān)系的基礎(chǔ)源于法律的規(guī)定，而非當(dāng)事人間的約定。 因此，認證機構(gòu)在虛擬社會扮演著公用事業(yè)單位的角色，它在電子商務(wù)信用體系中起到了核心作用。 基于這樣的情況，法律規(guī)定認證機構(gòu)的某些法定義務(wù)須及于所有從事電子商務(wù)交易的人。3.4.3 電子認證機構(gòu)的法律責(zé)任范圍 1電子簽名人或者電子簽名依賴方因依據(jù)電子認證服務(wù)提供者提供的電子簽名認證服務(wù)從事民事活動遭受損失，電子認證服務(wù)提供者不能證明自己無過錯的，承擔(dān)賠償責(zé)任。 2電子認證服務(wù)提供者暫?；蛘呓K止電子認證服務(wù)，未在暫?；蛘呓K止服務(wù)六十日前向國務(wù)院信息產(chǎn)業(yè)主管部門報告的，由國務(wù)院信息產(chǎn)業(yè)主管部門對其直接負責(zé)的主管人員處一萬元以上五萬元以下的罰款。3

26、電子認證服務(wù)提供者不遵守認證業(yè)務(wù)規(guī)則、未妥善保存與認證相關(guān)的信息，或者有其他違法行為的，由國務(wù)院信息產(chǎn)業(yè)主管部門責(zé)令限期改正；逾期未改正的，吊銷電子認證許可證書，其直接負責(zé)的主管人員和其他直接責(zé)任人員十年內(nèi)不得從事電子認證服務(wù)。吊銷電子認證許可證書的，應(yīng)當(dāng)予以公告并通知工商行政管理部門。3.4.4 電子認證機構(gòu)的法律義務(wù)1保證電子簽名認證證書內(nèi)容在有效期內(nèi)完整、準(zhǔn)確2保證電子簽名依賴方能夠證實或者了解電子簽名認證證書所載內(nèi)容及其他有關(guān)事項3妥善保存與電子認證服務(wù)相關(guān)的信息4電子認證服務(wù)機構(gòu)應(yīng)當(dāng)建立完善的安全管理和內(nèi)部審計制度，并接受信息產(chǎn)業(yè)部的監(jiān)督管理5電子認證服務(wù)機構(gòu)應(yīng)當(dāng)遵守國家的保密規(guī)定，

27、建立完善的保密制度6電子認證服務(wù)機構(gòu)對電子簽名人和電子簽名依賴方的資料，負有保密的義務(wù)7電子認證服務(wù)機構(gòu)在受理電子簽名認證證書申請前，應(yīng)當(dāng)向申請人告知下列事項： 電子簽名認證證書和電子簽名的使用條件；服務(wù)收費的項目和標(biāo)準(zhǔn)；保存和使用證書持有人信息的權(quán)限和責(zé)任；電子認證服務(wù)機構(gòu)的責(zé)任范圍；證書持有人的責(zé)任范圍；其他需要事先告知的事項。 電子認證服務(wù)機構(gòu)受理電子簽名認證申請后，應(yīng)當(dāng)與證書申請人簽訂合同，明確雙方的權(quán)利義務(wù)。第三章3.5電子簽名3.5.1 電子簽名與傳統(tǒng)簽名的功能比較3.5.2 電子簽名的實現(xiàn)方法3.5.3 基于PKI的電子簽名的基本過程3.5.4 我國電子簽名法的基本內(nèi)容3.5.5

28、 聯(lián)合國國際貿(mào)易法委員會對電子簽名的規(guī)定3.5.1 電子簽名與傳統(tǒng)簽名的功能比較 （1）確保文書的證據(jù)性不可否認性與完整性；（2）確保文書之儀式性信賴與慎重層面；（3）確保簽署者同意的意思表示確認相對人的真實身份；（4）證明某一個某時身在某地的事實。（1）電子文件的證據(jù)性不可否認性與完整性；（2）電子簽章的簽署者同意的意思表示確認相對人的機能；（3）電子文件的安全性不可被篡改及截取性。傳統(tǒng)簽字蓋章的功能電子簽名的功能3.5.2 電子簽名的實現(xiàn)方法1手寫簽名或圖章的模式識別將手寫簽名或印章作為圖像，用光掃描轉(zhuǎn)換后在數(shù)據(jù)庫中加以存儲，當(dāng)對此人進行驗證時，用光掃描輸入，并將原數(shù)據(jù)庫中對應(yīng)圖像調(diào)出，用

29、模式識別的數(shù)學(xué)計算方法，進行比對，以確認該簽名或印章的真?zhèn)巍?生物識別技術(shù)生物識別技術(shù)是利用人體生物特征進行身份認證的一種技術(shù)，主要有以下幾種：（1）指紋識別技術(shù)（2）視網(wǎng)膜識別技術(shù)（3）聲音識別技術(shù)以上身份識別方法適用于面對面場合，不適用遠程網(wǎng)絡(luò)認證及大規(guī)模人群認證。3密碼或個人識別碼傳統(tǒng)的對稱密鑰加/解密的身份識別和簽名方法。甲方需要乙方簽名一份電子文件，甲方可產(chǎn)生一個隨機碼傳送給乙方，乙方用事先雙方約定好的對稱密鑰加密該隨機碼和電子文件回送給甲方，甲方用同樣對稱密鑰解密后得到電文并核對隨機碼，如隨機碼核對正確，甲方即可認為該電文來自乙方。適用遠程網(wǎng)絡(luò)傳輸，對稱密鑰管理困難，不適合大規(guī)模人

30、群認證。人們在日常生活中使用的銀行卡就是用的這種認證方法。適用遠程網(wǎng)絡(luò)傳輸，對稱密鑰管理困難，不適用于電子簽名。4基于量子力學(xué)的計算機技術(shù)量子計算機是以量子力學(xué)原理直接進行計算的計算機。使用一種新的量子密碼的編碼方法,即利用光子的相位特性編碼。由于量子力學(xué)的隨機性非常特殊,無論多么聰明的竊聽者,在破譯這種密碼時都會留下痕跡,甚至在密碼被竊聽的同時會自動改變。這將是世界上最安全的密碼認證和簽名方法。但是，這種計算機還只是停留在理論研究階段，離實際應(yīng)用還很遙遠。5基于PKI的數(shù)字簽名技術(shù)基于PKI（公鑰基礎(chǔ)設(shè)施）的電子簽名被稱作“數(shù)字簽名”。目前，具有實際意義的電子簽名只有公鑰密碼理論。所以，目前

31、國內(nèi)外普遍使用的、技術(shù)成熟的、可實際使用的還是基于PKI的數(shù)字簽名技術(shù)。作為公鑰基礎(chǔ)設(shè)施PKI可提供多種網(wǎng)上安全服務(wù)，如認證、數(shù)據(jù)保密性、數(shù)據(jù)完整性和不可否認性。其中都用到了數(shù)字簽名技術(shù)。3.5.3 基于PKI的電子簽名基本過程1.在網(wǎng)上進行身份認證2.進行簽名3.對簽名進行認證1認證（1）單向認證是甲乙雙方在網(wǎng)上通信時，甲只需要認證乙的身份即可。這時甲需要獲取乙的證書，獲取的方式有兩種，一種是在通信時乙直接將證書傳送給甲，另一種是甲向CA的目錄服務(wù)器查詢索取。甲獲得乙的證書后，首先用CA的根證書公鑰驗證該證書的簽名，驗證通過說明該證書是第三方CA簽發(fā)的有效證書。然后檢查證書的有效期及檢查該證

32、書是否已被作廢（LRC檢查）而進入黑名單。（2）雙向認證 是甲乙雙方在網(wǎng)上通信時，甲不但要認證乙的身份，乙也要認證甲的身份。其認證過程與單向認證過程相同。甲乙雙方在網(wǎng)上查詢對方證書的有效性及黑名單時，是采用的LDAP協(xié)議（Light Directory Access Protocol）它是一種輕型目錄訪問協(xié)議。2電子簽名的操作過程 電子簽名的操作過程如下圖所示。需要有發(fā)送方的簽名證書的私鑰及其驗證公鑰。 電子簽名操作具體過程如下：首先是生成被簽名的電子文件（電子簽名法中稱數(shù)據(jù)電文），然后對電子文件用哈希算法做數(shù)字摘要，再對數(shù)字摘要用簽名私鑰做非對稱加密，即作電子簽名；之后是將以上的簽名和電子文

33、件原文以及簽名證書的公鑰加在一起進行封裝，形成簽名結(jié)果發(fā)送給接收方，待接收方驗證。3.將兩個摘要的哈希值進行結(jié)果比較，相同簽名得到驗證，否則無效3電子簽名的驗證過程1.接收方首先用發(fā)送方公鑰解密電子簽名，導(dǎo)出數(shù)字摘要2.對電子文件原文作同樣哈希算法得一個新的數(shù)字摘要圖3-2 電子簽名的驗證過程圖3-3 電子簽名與電子簽名驗證過程的結(jié)合4電子簽名的作用 如果接接收方對發(fā)送方電子簽名驗證成功，就可以說明以下三個實質(zhì)性的問題：（1） 該電子文件確實是由簽名者的發(fā)送方所發(fā)出的，電子文件來源于該發(fā)送者。因為，簽署時電子簽名數(shù)據(jù)由電子簽名人所控制；（2） 被簽名的電子文件確實是經(jīng)發(fā)送方簽名后發(fā)送的，說明發(fā)

34、送方用了自己的私鑰作的簽名，并得到驗證，達到不可否認的目的；（3） 接接收方收到的電子文件在傳輸中沒有被篡改，保持了數(shù)據(jù)的完整性，因為，簽署后對電子簽名的任何改動都能夠被發(fā)現(xiàn)。5原文保密的電子簽名實現(xiàn)方法圖3-4 電子簽名與驗證的完整過程3.5.4 我國電子簽名法的基本內(nèi)容1確認電子簽名的法律效力通過立法確認電子簽名的合法性、有效性明確滿足什么條件的電子簽名才是合法的、有效的只有滿足一定條件的電子簽名，才能具有與手寫簽名或者蓋章同等的效力2對數(shù)據(jù)電文作了相關(guān)規(guī)定數(shù)據(jù)電文，通俗地講，就是指電子形式的文件明確規(guī)定電子文件與書面文件具有同等的法律效力，才能使現(xiàn)行的民商事法律同樣適用于電子文件3設(shè)立電

35、子認證服務(wù)市場準(zhǔn)入制度考慮到認證機構(gòu)的可靠與否，對保證電子簽名真實性和電子交易安全性起著關(guān)鍵作用，為了防止不具備條件的人擅自提供認證服務(wù)，電子簽名法對電子認證服務(wù)設(shè)立了市場準(zhǔn)入制度4設(shè)立電子簽名安全保障制度為了保證電子簽名的安全，電子簽名法明確了有關(guān)各方在電子簽名活動中的權(quán)利、義務(wù) 3.5.5合國國際貿(mào)易法委員會的規(guī)定1簽名人義務(wù)： 電子簽名人向電子認證服務(wù)提供者申請電子簽名認證證書，應(yīng)當(dāng)提供真實、完整和準(zhǔn)確的信息。 電子簽名人應(yīng)當(dāng)妥善保管電子簽名制作數(shù)據(jù)。 電子簽名人知悉電子簽名制作數(shù)據(jù)已經(jīng)失密或者可能已經(jīng)失密時，應(yīng)當(dāng)及時告知有關(guān)各方，并終止使用該電子簽名制作數(shù)據(jù)。責(zé)任：電子簽名人知悉電子簽

36、名制作數(shù)據(jù)已經(jīng)失密或者可能已經(jīng)失密未及時告知有關(guān)各方、并終止使用電子簽名制作數(shù)據(jù)，未向電子認證服務(wù)提供者提供真實、完整和準(zhǔn)確的信息，或者有其他過錯，給電子簽名依賴方、電子認證服務(wù)提供者造成損失的，承擔(dān)賠償責(zé)任。新加坡電子交易法中對電子簽名人的義務(wù)和責(zé)任的規(guī)定2提供認證服務(wù)的機構(gòu)如果認證服務(wù)提供者為一項需經(jīng)認證程序方有法律效力的電子簽名而提供證明服務(wù)時，他應(yīng)當(dāng)盡以下義務(wù)：（1）認證服務(wù)方必須按照其自身的行為規(guī)范向客戶提供服務(wù)；（2）保證與認證服務(wù)有關(guān)的所有主要承諾準(zhǔn)確和完整；（3）提供合理可行的方式使依賴方能夠從證書中獲得確認：a.認證服務(wù)上的身份，b.簽名人（證書所載的）在發(fā)證時掌握著簽名生成

37、數(shù)據(jù)，c.簽名生成數(shù)據(jù)在發(fā)證時及之前始終有效；使依賴方能方便得到有關(guān)情況；在提供服務(wù)時使用可信賴的系統(tǒng)、程序和人力資源等。3依賴電子簽名方在電子簽名示范法中，有信賴利益的一方同樣負有相應(yīng)的義務(wù)：如果信賴方?jīng)]有采取合理步驟查證電子簽名的可靠性；或者在有一證書支持電子簽名的情況下，未采取合理步驟：查證證書的有效性、證書的中止或撤銷；并且注意關(guān)于證書的任何限制，那么他將承擔(dān)因其自身疏忽導(dǎo)致的法律后果。4登記人的責(zé)任（1）創(chuàng)設(shè)配對密鑰 如果登記人創(chuàng)設(shè)了一對配對密鑰，而且其中的公共密鑰于認證機構(gòu)發(fā)布的證書內(nèi)載明，并為登記人接收，則登記人應(yīng)使用可靠系統(tǒng)創(chuàng)設(shè)密鑰； 本條規(guī)定不適用于認證機構(gòu)的系統(tǒng)提供的配對密

38、鑰的情況。（2） 獲取證書 登記人為獲取證書提供給授權(quán)機構(gòu)的所有資料和陳述，包括登記人已知的信息和在證書中將要表明的信息，不論該陳述身份為認證機構(gòu)確認與否，都應(yīng)在其理解和信賴的范圍內(nèi)保證準(zhǔn)確和完整。 【結(jié)案】電子簽名，醫(yī)療糾紛責(zé)任認定的不二法門【本案焦點】見課本【審理本案】【本案啟示】 本案的焦點能否通過電子簽名技術(shù)對醫(yī)院的電子病歷是否被篡改進行準(zhǔn)確鑒定。 法律技能實戰(zhàn)【思考】1請指出本案爭議的焦點是什么？2如果你是法官應(yīng)當(dāng)如何審理和判決本案？技能訓(xùn)練一、名詞解釋1.電子認證 2.CA機構(gòu) 3. 數(shù)字證書 4.電子簽名 5.生物識別技術(shù) 6. 密鑰技術(shù) 二、單選題1在電子認證過程中，有一個把電子簽名和特定的人或者實體加以聯(lián)系的專門管理機構(gòu)，這個特定的機構(gòu)就是（ ）。A.網(wǎng)絡(luò)銀行 B.CA機構(gòu) C.EDI中心 D.物流配送中心2. CA中心為每個使用公開密鑰的用戶發(fā)放一個認證證書，認證證書的作用是證明證書所列出的用戶合法擁有證書中列出的（ ）信息。A. 電子簽名 B. 公開密鑰 C. 私有密鑰 D.公開密鑰和私有密鑰3下列哪項不是數(shù)字證書應(yīng)當(dāng)載明下列內(nèi)容（ ）。A. 證書序列號 B. 證書有效期C. 證書持有人的電子簽名驗證數(shù)據(jù) D. 證書持有人的電子簽名4電子簽名是指（ ）中以電子形式所含、所附用