4第四章電子簽名與電子認證課件

第四章電子簽名與電子認證服務(wù)法律制度1精選2021版課件本章目錄第一節(jié)電子簽名概述第三節(jié)電子認證服務(wù)概述第四節(jié)電子認證服務(wù)法律關(guān)系第五節(jié)電子認證服務(wù)機構(gòu)的管理2精選2021版課件第一節(jié)電子簽名概述2002年1月聯(lián)合國正式通過了《聯(lián)合國國際貿(mào)易法委員會電子簽字示范法》2005年4月我國正式實施了《中華人民共和國電子簽名法》。本章首先討論了電子簽名的概念和功能，著重論述了電子簽名的法律效力，然后討論了電子認證服務(wù)服務(wù)機構(gòu)的管理，學(xué)生應(yīng)掌握電子簽名的適用前提與范圍、電子簽名使用人的基本行為規(guī)范，了解電子認證服務(wù)法律關(guān)系，熟悉電子認證服務(wù)的法律關(guān)系，掌握電子認證服務(wù)機構(gòu)的法律管理方法。3精選2021版課件一、傳統(tǒng)簽名1、概念：是指一個人用手親筆在一份文件上寫下名字或留下印記、印章或其他特殊符號，以確定簽名人的身份，并確定簽名人對文件內(nèi)容予以認可。

2、法律要求：正確名字、書面形式、本人親手書寫

3、作用：識別某人；簽字者已確認文件的內(nèi)容；將簽名人與文件內(nèi)容相聯(lián)系，即能構(gòu)成證明簽字者，對文件內(nèi)容正確性和完整性負責(zé)的證據(jù)。

4、發(fā)展4精選2021版課件二、電子簽名的概念與功能（一）電子簽名概念從廣義上講，凡是能在電子計算通訊中，起到證明當(dāng)事人的身份、證明當(dāng)事人對文件內(nèi)容的認可的電子技術(shù)手段，都可被稱為電子簽名。狹義的電子簽名，通過一種特定的技術(shù)方案來鑒別當(dāng)事人的身份及確保交易資料內(nèi)容不被篡改的安全保障措施，通常指數(shù)字簽名，它是以非對稱加密方法結(jié)合哈希函數(shù)產(chǎn)生的電子簽名。5精選2021版課件（一）法律中電子簽名概念聯(lián)合國貿(mào)發(fā)會的《電子簽名示范法》中對電子簽名作如下定義：“指在數(shù)據(jù)電文中以電子形式所含、所附或在邏輯上與數(shù)據(jù)電文有聯(lián)系的數(shù)據(jù)，它可用于鑒別與數(shù)據(jù)電文相關(guān)的簽名人和表明簽名人認可數(shù)據(jù)電文所含信息”；在我國的《中華人民共和國電子簽名法》第二條中規(guī)定：“本法所稱電子簽名，是指數(shù)據(jù)電文中以電子形式所含、所附用于識別簽名人身份并標(biāo)明簽名人認可其中內(nèi)容的數(shù)據(jù)。本法所稱數(shù)據(jù)電文，是指以電子、光學(xué)、磁或者類似手段生成、發(fā)送、接收或者儲存的信息?！?精選2021版課件（二）電子簽名的實現(xiàn)技術(shù)電子簽名的具體實現(xiàn)技術(shù)，一般分為三類：第一類是個人身份密碼或個人身份號碼（PIC/PIN），即以人為的特征（如密碼的記憶與擁有）作為鑒別的參照物。第二類基于PKI（PublicKeyInfrastructure，公鑰基礎(chǔ)設(shè)施）的公鑰密碼技術(shù)的數(shù)字簽名第三類電子簽名，是與用戶個人生物特征相聯(lián)系的。如指紋，視網(wǎng)膜紋，聲音，腦電波或聲波等，都可用來辨別用戶。7精選2021版課件（三）電子簽名的功能《電子商務(wù)示范法》第7條規(guī)定：“（1）如法律要求要有一個人簽名，則對于一項數(shù)據(jù)電文而言，倘若情況如下，即滿足了該項要求：第一，使用了一種方法，鑒定了該人的身份，并且表明該人認可了數(shù)據(jù)電文內(nèi)含的信息；第二，從所有各種情況看來，包括根據(jù)任何相關(guān)協(xié)議，所用方法是可靠的，對生成或傳遞數(shù)據(jù)電文的目的（傳遞保密、認可、與內(nèi)容聯(lián)系）來說也是適當(dāng)?shù)?。?）無論本條第（1）款所述要求是否采取一項義務(wù)的形式，也無論法律是不是僅僅規(guī)定了無簽名時的后果，該款均將適用?！?/p>

8精選2021版課件數(shù)字簽名原理SHASecureHashAlgorithm安全的哈希函數(shù)算法9精選2021版課件三、電子簽名的法律效力（一）可靠電子簽名法律效力我國《電子簽名法》第十三條規(guī)定，電子簽名同時符合下列條件的，視為可靠的電子簽名：（1）電子簽名制作數(shù)據(jù)用于電子簽名時，屬于電子簽名人專有；（2）簽署時電子簽名制作數(shù)據(jù)僅由電子簽名人控制；（3）簽署后對電子簽名的任何改動能夠被發(fā)現(xiàn)；（4）簽署后對數(shù)據(jù)電文內(nèi)容和形式的任何改動能夠被發(fā)現(xiàn)。我國《電子簽名法》第十四條進一步規(guī)定，可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力。這是《電子簽名法》的核心，確立了可靠的電子簽名的法律效力。10精選2021版課件《電子簽名法》第四條規(guī)定“能夠有形地表現(xiàn)所載內(nèi)容，并可以隨時調(diào)取查用的數(shù)據(jù)電文，視為符合法律、法規(guī)要求的書面形式。”《電子簽名法》第五條規(guī)定“符合下列條件的數(shù)據(jù)電文，視為滿足法律、法規(guī)規(guī)定的原件形式要求：

(一)能夠有效地表現(xiàn)所載內(nèi)容并可供隨時調(diào)取查用；(二)能夠可靠地保證自最終形成時起，內(nèi)容保持完整、未被更改。但是，在數(shù)據(jù)電文上增加背書以及數(shù)據(jù)交換、儲存和顯示過程中發(fā)生的形式變化不影響數(shù)據(jù)電文的完整性?！保ǘ╆P(guān)于數(shù)據(jù)電文書面形式的規(guī)定11精選2021版課件《電子簽名法》第六條規(guī)定“符合下列條件的數(shù)據(jù)電文，視為滿足法律、法規(guī)規(guī)定的文件保存要求：(一)能夠有效地表現(xiàn)所載內(nèi)容并可供隨時調(diào)取查用；(二)數(shù)據(jù)電文的格式與其生成、發(fā)送或者接收時的格式相同，或者格式不相同但是能夠準(zhǔn)確表現(xiàn)原來生成、發(fā)送或者接收的內(nèi)容;（解碼、壓縮、格式轉(zhuǎn)換等）(三)能夠識別數(shù)據(jù)電文的發(fā)件人、收件人以及發(fā)送、接收的時間?！保ǖ谝秽]件案例）（二）關(guān)于數(shù)據(jù)電文保存要求的規(guī)定12精選2021版課件《電子簽名法》第七條規(guī)定“數(shù)據(jù)電文不得僅因為其是以電子、光學(xué)、磁或者類似手段生成、發(fā)送、接收或者儲存的而被拒絕作為證據(jù)使用?！薄峨娮雍灻ā返诎藯l規(guī)定“審查數(shù)據(jù)電文作為證據(jù)的真實性，應(yīng)當(dāng)考慮以下因素：（一）

生成、儲存或者傳遞數(shù)據(jù)電文方法的可靠性；（二）

保持內(nèi)容完整性方法的可靠性；（三）

用以鑒別發(fā)件人方法的可靠性；（四）

其他相關(guān)因素?！保ㄈ?shù)據(jù)電文證據(jù)力的規(guī)定13精選2021版課件《電子簽名法》第九條規(guī)定“數(shù)據(jù)電文有下列情形之一的，視為發(fā)件人發(fā)送：(一)經(jīng)發(fā)件人授權(quán)發(fā)送的；(二)發(fā)件人的信息系統(tǒng)自動發(fā)送的；(三)收件人按照發(fā)件人認可的方法對數(shù)據(jù)電文進行驗證后結(jié)果相符的。當(dāng)事人對前款規(guī)定的事項另有約定的，從其約定。（四）數(shù)據(jù)電文的發(fā)件人、收件人的規(guī)定14精選2021版課件

《電子簽名法》第十條規(guī)定“法律、行政法規(guī)規(guī)定或者當(dāng)事人約定數(shù)據(jù)電文需要確認收訖的，應(yīng)當(dāng)確認收訖。發(fā)件人收到收件人的收訖確認時，數(shù)據(jù)電文視為已經(jīng)收到?！薄峨娮雍灻ā返谑粭l規(guī)定“數(shù)據(jù)電文進入發(fā)件人控制之外的某個信息系統(tǒng)的時間，視為該數(shù)據(jù)電文的發(fā)送時間。收件人指定特定系統(tǒng)接收數(shù)據(jù)電文的，數(shù)據(jù)電文進入該特定系統(tǒng)的時間，視為該數(shù)據(jù)電文的接收時間；未指定特定系統(tǒng)的，數(shù)據(jù)電文進入收件人的任何系統(tǒng)的首次時間，視為該數(shù)據(jù)電文的接收時間。當(dāng)事人對數(shù)據(jù)電文的發(fā)送時間、接收時間另有約定的，從其約定?！保ㄎ澹?shù)據(jù)電文的發(fā)送、接收時間的規(guī)定15精選2021版課件上海的A公司與北京的B公司通過電子郵件進行網(wǎng)絡(luò)交易，A公司的郵箱設(shè)置在上海熱線上，B公司的郵箱設(shè)置在163網(wǎng)站上，雙方?jīng)]有約定收到與發(fā)出的其它事項。A向B發(fā)出一份要約，B回復(fù)了一份電子郵件予以承諾。我們來考察郵件的發(fā)出與收到。信息發(fā)出的時間應(yīng)當(dāng)確定在要約離開A公司的電腦或者主機進入上海熱線的郵件服務(wù)器的時間；收到的時間可能有以下幾種情況：B公司指定了163.com作為它的郵件接受信箱，則要約進入163的郵件服務(wù)器時間作為到達時間；如果A公司將要約發(fā)到B的其它郵箱上，則以B實際收到的時間作為到達時間；如果B公司沒有指定郵件信箱，則要約進入B公司的任何一個郵件服務(wù)器的時間，認為是到達時間。16精選2021版課件《電子簽名法》第十二條規(guī)定“發(fā)件人的主營業(yè)地為數(shù)據(jù)電文的發(fā)送地點，收件人的主營業(yè)地為數(shù)據(jù)電文的接收地點。沒有主營業(yè)地的，經(jīng)常居住地為發(fā)送或者接收地點。當(dāng)事人對數(shù)據(jù)電文的發(fā)送地點、接收地點另有約定的，從其約定?！?/p>

（六）數(shù)據(jù)電文接收地點的規(guī)定17精選2021版課件（四）未經(jīng)授權(quán)使用電子簽名的法律責(zé)任未經(jīng)授權(quán)使用可以分為兩種情況：一是絕對無權(quán)使用；二是相對無權(quán)使用。在絕對無權(quán)使用時，由于電子簽名的所有人沒有過錯，該數(shù)據(jù)信息不能歸屬于本人，本人也不應(yīng)承擔(dān)法律責(zé)任。在相對無權(quán)使用中，由于簽名所有人存在疏忽或過錯，因此應(yīng)承擔(dān)一定的責(zé)任。如果電子簽名的所有人沒有合理地注意保管自己的密鑰，致使他人未經(jīng)授權(quán)而使用，該信息及其法律后果仍應(yīng)歸屬于簽名所有人。收件人因合理信賴該簽名而遭到損失時，簽名所有人應(yīng)予賠償。如果告知未授權(quán)，或者自己可以判斷，而接收方不采取措施則不承擔(dān)責(zé)任或承擔(dān)少量責(zé)任18精選2021版課件相關(guān)法律我國《電子簽名法》第三十二條規(guī)定，“偽造、冒用、盜用他人的電子簽名，構(gòu)成犯罪的，依法追究刑事責(zé)任；給他人造成損失的，依法承擔(dān)民事責(zé)任?！睂τ陔娮雍灻黧w的責(zé)任，我國《電子簽名法》采取了簽名人過錯責(zé)任，該法的第二十七條規(guī)定，電子簽名人知悉電子簽名制作數(shù)據(jù)已經(jīng)失密或者可能已經(jīng)失密未及時告知有關(guān)各方、并終止使用電子簽名制作數(shù)據(jù)，未向電子認證服務(wù)提供者提供真實、完整和準(zhǔn)確的信息，或者有其他過錯，給電子簽名依賴方、電子認證服務(wù)提供者造成損失的，承擔(dān)賠償責(zé)任19精選2021版課件四、電子簽名的適用前提與范圍（一）適用前提鑒于電子簽名的推廣需要有一個過程，我國《電子簽名法》沒有規(guī)定在民事活動中的合同或者其他文件、單證等文書中必須使用電子簽名，而是規(guī)定當(dāng)事人可以約定使用或者不使用電子簽名、數(shù)據(jù)電文。但明確規(guī)定當(dāng)約定使用電子簽名、數(shù)據(jù)電文的文書后，當(dāng)事人不得僅因為其采用電子簽名、數(shù)據(jù)電文的形式而否定其法律效力。20精選2021版課件（二）適用范圍《電子簽名法》規(guī)定在一些特定范圍內(nèi)的法律文書不適用關(guān)于電子簽名、數(shù)據(jù)電文的法律效力的規(guī)定。這些法律文書包括四個方面：涉及婚姻、收養(yǎng)、繼承等人身關(guān)系的；涉及土地、房屋等不動產(chǎn)權(quán)益轉(zhuǎn)讓的；涉及停止供水、供熱、供氣、供電等公用事業(yè)服務(wù)；法律、行政法規(guī)規(guī)定的不適用電子文書的其他情形。在我國，婚姻、收養(yǎng)、繼承在人們生活中發(fā)生頻率就較低，土地、房屋等不動產(chǎn)在人民整體收入中所占比例較大，而停水、停熱、停氣、停電等公用事業(yè)服務(wù)需要更明確的通知。21精選2021版課件五、電子簽名使用人的

基本行為規(guī)范電子簽名使用人包括電子簽名人和電子簽名依賴方。電子簽名人，是指持有電子簽名制作數(shù)據(jù)并以本人身份或者以其所代表的人的名義實施電子簽名的人。電子簽名人應(yīng)對其電子簽名制作數(shù)據(jù)應(yīng)采取合理的謹慎措施、妥善保管電子簽名制作數(shù)據(jù)：失密或者可能失密，告知、終止使用電子簽名依賴方，是指基于對電子簽名認證證書或者電子簽名的信賴從事有關(guān)活動的人。電子簽名依賴方為了自身的利益，應(yīng)了解電子簽名以及電子簽名人認證證書內(nèi)容的有效性、完整性和準(zhǔn)確性；應(yīng)采取合理的步驟核查電子簽名的可靠性。22精選2021版課件研究新動向、新視角“時間戳”與電子簽名“可信時間戳”是由權(quán)威專業(yè)的時間戳服務(wù)機構(gòu)利用權(quán)威可信的時間源和現(xiàn)代密碼技術(shù)產(chǎn)生的一個用來證明電子文件存在的時間和內(nèi)容完整性的一種方法。由于采用了權(quán)威可信的時間源和電子簽名技術(shù)，這個“時間確認”便有了“客觀性”、“不可抵賴性”，因而是“可信”的。電子簽名技術(shù)專利調(diào)查經(jīng)初步統(tǒng)計，中國專利局公開或授權(quán)的電子簽名技術(shù)專利約63篇，其中，國外申請不足1/3。時間戳使用例23精選2021版課件中國電子郵件第一案問：電子郵件是否具有法律效力？是否可以作為證據(jù)使用？電子證據(jù)案例224精選2021版課件第二節(jié)電子認證服務(wù)概述

電子簽名雖然將電子文件與其簽署人緊密的聯(lián)系在一起，解決了電子文件的辨別問題，但是并沒有在陌生的商事主體之間，建立起交易所需的起碼的信任度。電子簽名側(cè)重于解決身份辨別與文件歸屬問題。（技術(shù)）電子認證解決的是密鑰及其持有人的可信度問題，因為密鑰存在著丟失、被盜、被破譯等風(fēng)險。這就產(chǎn)生了公開密鑰的辨別與認證的有效性問題，即需要由一個權(quán)威的機構(gòu)對公開密鑰進行管理、認證。（組織）

25精選2021版課件1功能不同。電子簽名是技術(shù)手段的保證，電子認證提供組織制度上的保障；2目的不同。電子簽名著重保護數(shù)據(jù)電文的安全以及數(shù)據(jù)電文和其簽署人的關(guān)系，電子認證則主要用于確認交易方身份（陌生商事主體之間）與信用度；電子認證與電子簽名的區(qū)別26精選2021版課件一、數(shù)字證書與

電子認證服務(wù)提供者（一）數(shù)字證書—概念是認證機構(gòu)頒發(fā)的數(shù)據(jù)電訊或其他記錄，是用來確認持有特定密鑰（?）的人或?qū)嶓w的身份（或其他充足的特征）。根據(jù)聯(lián)合國《電子簽字示范法》第一條，“證書”系指可證實簽字人與簽字生成數(shù)據(jù)有聯(lián)系的某一數(shù)據(jù)電文或其他記錄。我國《電子簽名法》規(guī)定，電子簽名認證證書是指可證實電子簽名人與電子簽名制作數(shù)據(jù)有聯(lián)系的數(shù)據(jù)電文或者其他電子記錄。電子簽名認證證書有多種形式，如數(shù)字、指紋、視網(wǎng)膜、DNA等。其中，最常用的認證證書是數(shù)字證書，因為它使用方便、便于記憶，價格又最便宜。27精選2021版課件（一）數(shù)字證書—格式目前最為廣泛使用的公鑰密碼認證證書格式，是由ISO/IEC/ITUX.509標(biāo)準(zhǔn)中定義的格式。X.509采用一個認證機構(gòu)（CA）對實體的身份和公共密鑰進行認證，并對包括實體、公鑰、名字、有效期等信息的證書進行數(shù)字簽名。證書內(nèi)容如下幾頁圖：我國《電子簽名法》第二十一條28精選2021版課件第二十一條電子認證服務(wù)提供者簽發(fā)的電子簽名認證證書應(yīng)當(dāng)準(zhǔn)確無誤，并應(yīng)當(dāng)載明下列內(nèi)容：(一)電子認證服務(wù)提供者名稱；(二)證書持有人名稱；（主題）(三)證書序列號；(四)證書有效期；(五)證書持有人的電子簽名驗證數(shù)據(jù)；（主題密鑰標(biāo)識符）(六)電子認證服務(wù)提供者的電子簽名；（頒發(fā)機構(gòu)密鑰標(biāo)識符）(七)國務(wù)院信息產(chǎn)業(yè)主管部門規(guī)定的其他內(nèi)容。29精選2021版課件30精選2021版課件31精選2021版課件32精選2021版課件（二）電子認證服務(wù)提供者電子認證服務(wù)提供者，是指為電子簽名人和電子簽名依賴方提供電子認證服務(wù)的第三方機構(gòu)（也可稱為“電子認證服務(wù)機構(gòu)”）。電子認證服務(wù)機構(gòu)（CertificateAuthority，CA，簡稱“認證機構(gòu)”）認證機構(gòu)：電子商務(wù)中對用戶的電子簽名頒發(fā)數(shù)字證書的信用服務(wù)機構(gòu)。認證機構(gòu)：是指任何人或?qū)嶓w，在其營業(yè)中從事以數(shù)字簽名為目的，而頒發(fā)與加密密鑰相關(guān)的身份證書。（《統(tǒng)一電子簽名法規(guī)則(草案1999年2月稿)》）認證機構(gòu)；指頒發(fā)數(shù)字證書的人或組織。（新加坡《電子交易法》第2條）認證機構(gòu)：又稱電子認證服務(wù)提供者，是指為電子簽名人和電子簽名依賴方提供電子認證服務(wù)的第三方機構(gòu)（我國《電子認證服務(wù)管理辦法》第2條）33精選2021版課件國際電子認證服務(wù)的管理模式

1強制性許可制度：對認證機構(gòu)的許可做出了規(guī)定，認證機構(gòu)必須獲準(zhǔn)許可才能開展業(yè)務(wù)2非強制性的許可制：經(jīng)政府認證的認證機構(gòu)，政府會給很多的優(yōu)惠。如果不經(jīng)過認證，沒有優(yōu)惠好處，但仍可以運營3市場調(diào)節(jié)與行業(yè)自律：依靠市場競爭促使認證機構(gòu)提高認證服務(wù)質(zhì)量和信譽，政府不應(yīng)過多介入34精選2021版課件（二）電子認證服務(wù)提供者電子認證服務(wù)機構(gòu)主要提供下列服務(wù)：制作、簽發(fā)、管理電子簽名認證證書；確認簽發(fā)的電子簽名認證證書的真實性；提供電子簽名認證證書目錄信息查詢服務(wù)；提供電子簽名認證證書狀態(tài)信息查詢服務(wù)。例如，持卡人要與商家通信，持卡人從公開媒體上獲得了商家的公開密鑰，但持卡人無法確定商家不是冒充的（是有信譽的），于是持卡人請求CA對商家認證，CA對商家進行調(diào)查、驗證和鑒別后，將包含商家PublicKey（公鑰）的證書傳給持卡人。同樣，商家也可對持卡人進行驗證。35精選2021版課件（二）電子認證服務(wù)提供者CA的功能主要有：接收注冊請求，處理、批準(zhǔn)/拒絕請求，頒發(fā)證書。需要注意的是，第三方認證服務(wù)機構(gòu)是指完全獨立于交易各方，與交易內(nèi)容沒有利益關(guān)系的認證服務(wù)機構(gòu)。這種認證服務(wù)機構(gòu)一般由信譽良好、資力雄厚的法人來擔(dān)當(dāng)。在目前的網(wǎng)絡(luò)交易中，存在一種非獨立方認證服務(wù)機構(gòu)。例如在客戶、商家、銀行三角關(guān)系中，客戶使用的是由某個銀行發(fā)的信用卡，而商家又與此銀行有業(yè)務(wù)關(guān)系（有賬號）。在這情況下，客戶和商家都信任銀行，銀行自行設(shè)立電子認證服務(wù)機構(gòu)，擔(dān)當(dāng)CA角色，接收、處理銀行卡客戶證書和商家證書的驗證請求。36精選2021版課件（三）證書的樹形驗證結(jié)構(gòu)在兩方通信時，通過出示由某個CA簽發(fā)的證書來證明自己的身份，如果對簽發(fā)證書的CA本身不信任，則可驗證CA的身份，依次類推，一直到公認的權(quán)威CA處，就可確信證書的有效性。例如，C的證書是由名稱為B的CA簽發(fā)的，而B的證書又是由名稱為A的CA簽發(fā)的，A是權(quán)威的機構(gòu)，通常稱為根認證中心（RootCA）。驗證到了RootCA處，就可確信C的證書是合法的。37精選2021版課件…

根CA品牌CA地域CA支付網(wǎng)關(guān)CA商戶CA持卡人CA支付網(wǎng)關(guān)證書支付網(wǎng)關(guān)證書商戶證書商戶證書持卡人證書EDI通信網(wǎng)絡(luò)…

…38精選2021版課件（四）電子認證服務(wù)體系SETCAPKICA電子簽章系統(tǒng)39精選2021版課件第二節(jié)電子認證服務(wù)法律關(guān)系一、電子認證服務(wù)機構(gòu)的法定權(quán)利與義務(wù)認證服務(wù)機構(gòu)以其信譽為電子商務(wù)交易各方提供信用，因此認證服務(wù)機構(gòu)在電子商務(wù)中是一個非常重要的獨立的第三方主體，其在交易活動中的權(quán)利義務(wù)對各信賴主體的判斷、選擇和交易都具有關(guān)鍵性的影響。而僅以合同的方式來確定認證機構(gòu)的權(quán)利義務(wù)尚不足以明確認證服務(wù)機構(gòu)在電子商務(wù)中的地位與責(zé)任，也不利于交易的安全與秩序。因此，必須從法律上加以界定。40精選2021版課件（一）認證機構(gòu)的主要義務(wù)信息披露業(yè)務(wù)說明及告知義務(wù)保險義務(wù)保密義務(wù)擔(dān)保義務(wù)41精選2021版課件1.信息披露義務(wù)信息產(chǎn)業(yè)部《電子認證服務(wù)管理辦法》第12條規(guī)定，取得認證資格的電子認證服務(wù)機構(gòu)，在提供電子認證服務(wù)之前，應(yīng)當(dāng)通過因特網(wǎng)公布下列信息：機構(gòu)名稱和法定代表人；機構(gòu)住所和聯(lián)系辦法；《電子認證服務(wù)許可證》編號；發(fā)證機關(guān)和發(fā)證日期；《電子認證服務(wù)許可證》有效期的起止時間。42精選2021版課件2.業(yè)務(wù)說明義務(wù)及告知義務(wù)該義務(wù)要求認證服務(wù)機構(gòu)公開其工作流程和為用戶提供的服務(wù)及服務(wù)內(nèi)容。信息產(chǎn)業(yè)部《電子認證服務(wù)管理辦法》第十五條和《中華人民共和國電子簽名法》第19條規(guī)定，電子認證服務(wù)機構(gòu)應(yīng)當(dāng)按照信息產(chǎn)業(yè)部公布的《電子認證業(yè)務(wù)規(guī)則規(guī)范（試行）》的要求，制定本機構(gòu)的電子認證業(yè)務(wù)規(guī)則，并在提供電子認證服務(wù)前予以公布，向信息產(chǎn)業(yè)部備案。業(yè)務(wù)說明的主要內(nèi)容包括：（1）描述任何與認證信息發(fā)布相關(guān)的內(nèi)容，包括信息庫的運營者、運營者的職責(zé)、信息發(fā)布的頻率以及對所發(fā)布信息的訪問控制等。43精選2021版課件2.業(yè)務(wù)說明義務(wù)及告知義務(wù)（2）運營信息庫的實體標(biāo)識，如電子認證服務(wù)機構(gòu)、或獨立信息庫服務(wù)提供者。（3）運營者發(fā)布其業(yè)務(wù)實踐、證書和證書當(dāng)前狀態(tài)的職責(zé)，標(biāo)識出對公眾可用和不可用的項、子項和元素。（4）信息發(fā)布的時間和頻率。（5）對發(fā)布信息的訪問控制，包括證書策略（CP）、電子認證業(yè)務(wù)規(guī)則（CPS）、證書、在線證書狀態(tài)協(xié)議（OCSP）和證書吊銷列表（CRL）。告知義務(wù)

《電子認證服務(wù)管理辦法》第21條44精選2021版課件3.保險義務(wù)認證服務(wù)機構(gòu)可就下列業(yè)務(wù)投保：外部進攻者對被保險人用戶的數(shù)字證書業(yè)務(wù)系統(tǒng)進行攻擊，破譯該電子商務(wù)安全技術(shù)、偽造證書、篡改數(shù)據(jù)而造成被保險人用戶交易賬戶資金的損失；病毒入侵被保險人用戶的數(shù)字證書業(yè)務(wù)系統(tǒng)而造成被保險人用戶交易賬戶資金的損失；火災(zāi)、水管爆裂致使被保險人數(shù)字證書業(yè)務(wù)系統(tǒng)遭到破壞，造成被保險人用戶交易賬戶資金的損失；被保險人用戶的數(shù)字證書丟失，報失后，他人利用其數(shù)字證書進行交易，造成被保險人用戶交易賬戶資金的損失。45精選2021版課件4保密義務(wù)電子認證服務(wù)機構(gòu)在承擔(dān)信息披露義務(wù)的同時，為保護用戶合法利益的目的，應(yīng)承擔(dān)保密義務(wù)。信息產(chǎn)業(yè)部《電子認證服務(wù)管理辦法》第二十條規(guī)定，電子認證服務(wù)機構(gòu)應(yīng)當(dāng)遵守國家的保密規(guī)定，建立完善的保密制度。電子認證服務(wù)機構(gòu)涉及的保密義務(wù)主要有兩個方面：（1）業(yè)務(wù)信息保密。涉及機構(gòu)運作信息的保密。（2）個人隱私保密。證書用戶在申請數(shù)字證書時向認證服務(wù)機構(gòu)披露的身份信息及有關(guān)信息、證書用戶的私人密鑰等。46精選2021版課件5.擔(dān)保義務(wù)認證服務(wù)機構(gòu)一旦將證書發(fā)放給用戶，就承擔(dān)著擔(dān)保證書所述信息真實的義務(wù)。這里的“真實”是指認證防服務(wù)機構(gòu)在證書發(fā)放時依法對用戶提供的身份狀況等情況予以了審查，不存在認證服務(wù)機構(gòu)明知或應(yīng)知是虛假信息的情況。同時，該義務(wù)要求認證服務(wù)機構(gòu)沒有超過其許可的限額。擔(dān)保義務(wù)不僅僅針對證書持有人，也適用于證書信賴人。47精選2021版課件（二）認證服務(wù)機構(gòu)的主要權(quán)利認證服務(wù)機構(gòu)的主要權(quán)利表現(xiàn)在它對用戶證書的管理上。但是，這里的權(quán)利在本質(zhì)上更接近于職權(quán)。48精選2021版課件1.發(fā)放證書用戶認證證書的發(fā)放是應(yīng)證書申請人的請求進行的，認證服務(wù)機構(gòu)在收到申請后，經(jīng)審查符合條件的，可以發(fā)放證書。一般認為，申請人應(yīng)提供包括其姓名或名稱、住址、有效身份證件或商業(yè)登記、聯(lián)系方法等在內(nèi)的表明其真實身份的材料和相應(yīng)證據(jù)。49精選2021版課件2.中止證書認證服務(wù)機構(gòu)對已經(jīng)發(fā)生或可能發(fā)生的影響認證安全的緊急事件，應(yīng)采取措施暫時阻止證書的使用。中止證書是應(yīng)用戶的請求或根據(jù)有關(guān)法律文件作出，認證服務(wù)機構(gòu)發(fā)現(xiàn)發(fā)放的證書可能存在虛假的情況時，也可以中止證書，以確定情況是否屬實。中止證書不能超過規(guī)定的時間。其他情況下，認證服務(wù)機構(gòu)不得自行中止證書，除非當(dāng)事人另有約定。認證服務(wù)機構(gòu)在中止證書的同時應(yīng)當(dāng)在信息公告欄和可查詢之處予以公告，并通知有關(guān)當(dāng)事人。50精選2021版課件3.撤銷證書認證服務(wù)機構(gòu)在用戶的主體資格或行為不符合認證機構(gòu)的規(guī)定時，應(yīng)當(dāng)終止用戶證書的效力。撤銷證書可以是基于當(dāng)事人的請求或法律文件的規(guī)定，也可以是認證機構(gòu)的決定。因此，撤銷證書可分為申請撤銷和決定撤銷。

決定撤銷應(yīng)按法定或認證服務(wù)機構(gòu)公開說明的程序進行，無須經(jīng)證書持有人的同意，但應(yīng)當(dāng)通知證書持有人。撤銷證書時，應(yīng)公開相關(guān)信息。51精選2021版課件4.保存證書認證服務(wù)機構(gòu)在證書有效期滿或撤銷后，應(yīng)當(dāng)將證書保存并允許查詢。認證服務(wù)機構(gòu)應(yīng)保存其頒發(fā)和任何吊銷或撤銷證書的記錄，認證服務(wù)機構(gòu)應(yīng)盡合理的注意義務(wù)，并根據(jù)證書上建議的可靠限制，保證記錄的安全。52精選2021版課件二、證書持有人的義務(wù)（一）真實告知義務(wù)證書申請人在申請時應(yīng)依法如實提供有關(guān)身份信息的證明。申請人為法人或其他組織時應(yīng)提供公司或組織的名稱、住址、法定代表人或主要負責(zé)人的姓名和住址、聯(lián)系方式、有關(guān)執(zhí)照或登記證等。在持有證書期間，證書持有人在密鑰可能為非授權(quán)人知道或存在危害證書安全的情況時應(yīng)立即通知認證服務(wù)機構(gòu)。因證書申請人違反真實陳述義務(wù)給認證機構(gòu)造成損害的，應(yīng)予彌補。（二）妥善保管義務(wù)證書持有人在證書有效期間應(yīng)盡合理的注意義務(wù)，保管其私人密鑰，防止將其披露給任何未經(jīng)授權(quán)的第三人。53精選2021版課件三、圍繞電子認證證書形成法律關(guān)系認證法律關(guān)系一般涉及三方當(dāng)事人:認證機構(gòu)、證書持有人（或稱證書用戶）和證書信賴人（或稱相對方）。認證服務(wù)機構(gòu)與電子簽名人之間的法律關(guān)系合同關(guān)系，證書本身不是合同，是合同存在的證明。認證服務(wù)機構(gòu)與電子簽名信賴方之間的關(guān)系法定信賴?yán)骊P(guān)系：擔(dān)保義務(wù)電子認證服務(wù)提供者對證書的疏漏和虛假陳述承擔(dān)責(zé)任。電子認證服務(wù)提供者對未按其認證業(yè)務(wù)說明的要求或程序進行操作承擔(dān)責(zé)任。

54精選2021版課件舉例說明，假定某人以虛假的身份證件獲得了電子認證服務(wù)提供者的證書，以該證書上的身份在網(wǎng)絡(luò)中同他人進行交易，以致他人上當(dāng)受騙。那么，受害人能不能要求電子認證服務(wù)提供者賠償呢？55精選2021版課件四、交叉認證的法律關(guān)系我國《電子簽名法》第二十六條規(guī)定，經(jīng)國務(wù)院信息產(chǎn)業(yè)主管部門根據(jù)有關(guān)協(xié)議或者對等原則核準(zhǔn)后，中華人民共和國境外的電子認證服務(wù)提供者在境外簽發(fā)的電子簽名認證證書與依照本法設(shè)立的電子認證服務(wù)提供者簽發(fā)的電子簽名認證證書具有同等的法律效力。本條確立了境外電子認證服務(wù)提供者在境外簽發(fā)的電子簽名認證證書的法律效力。同時也提出了一個交叉認證的問題。56精選2021版課件交叉認證的解決方式交叉認證中既存在國內(nèi)不同機構(gòu)的交叉認證，也存在國際間的交叉認證。交叉認證的解決方式主要有三種。第一種是通過國際條約或雙邊協(xié)定來處理：加入者同等對待第二種是行政核準(zhǔn)方式：境外認證機構(gòu)在境內(nèi)提供服務(wù)需要境內(nèi)行政部門核準(zhǔn)。第三種是認證擔(dān)保的方式：合同關(guān)系在我國國內(nèi)，各認證機構(gòu)之間同樣也存在交叉認證問題:聯(lián)盟、根機構(gòu)、擔(dān)保57精選2021版課件五、認證機構(gòu)的法律責(zé)任（一）認證機構(gòu)責(zé)任的限制認證機構(gòu)在以下幾種情況下可以免責(zé)或減輕責(zé)任：當(dāng)事人違反認證證書發(fā)放的目的進行交易。證書持有人知道其密鑰已泄密或有被損壞或無用的危險時，有義務(wù)請求撤銷而未提出，造成他人損失的，由其本人承擔(dān)。認證機構(gòu)在發(fā)現(xiàn)根密鑰或信息系統(tǒng)遭到破壞或可能遭到破壞，為避免更大的損失而中止或撤銷用戶證書，造成他人損失的可以減輕或免責(zé)。認證機構(gòu)在審查證書申請人身份時已盡了合理注意仍不能避免錯誤的，認證機構(gòu)對該錯誤及由此產(chǎn)生的損失免責(zé)。認證機構(gòu)對于假冒或仿冒該機構(gòu)的證書及由此產(chǎn)生的損失不承擔(dān)責(zé)任。58精選2021版課件（二）認證機構(gòu)賠償范圍限制認證機構(gòu)與證書持有人和證書信賴人之間構(gòu)成法定的權(quán)利義務(wù)關(guān)系，因認證機構(gòu)的過錯導(dǎo)致當(dāng)事人損失的，認證機構(gòu)應(yīng)承擔(dān)賠償責(zé)任，認證機構(gòu)與證書持有人也可以通過合同來確立彼此責(zé)任的范圍和大小。損害賠償有直接損失賠償和間接損失賠償之分。直接損失是指現(xiàn)有財產(chǎn)的減少、毀損或滅失；間接損失是指可得利益的損失，主要是利潤的損失。（栗子）我國《合同法》第113條規(guī)定：“損失賠償額應(yīng)當(dāng)相當(dāng)于違約所造成的損失，包括合同履行后可以獲得的利益”，以及“不得超過違反合同訂立一方訂立合同時預(yù)見到或者應(yīng)當(dāng)預(yù)見到的違反合同可能造成的損失”。認證機構(gòu)是否也使用此法律？直接損失賠償59精選2021版課件第四節(jié)電子認證服務(wù)機構(gòu)的管理一、電子認證服務(wù)機構(gòu)的資質(zhì)管理《電子簽名法》和《電子認證服務(wù)管理辦法》業(yè)務(wù)許可。信息產(chǎn)業(yè)部頒發(fā)經(jīng)營條件?！峨娮雍灻ā返?7條申請程序。企業(yè)登記。變更登記。年度檢查。停止經(jīng)營。60精選2021版課件從事認證服務(wù)的機構(gòu)應(yīng)當(dāng)具備下列條件：依法成立的法人組織；具有與認證服務(wù)相適應(yīng)的專業(yè)技術(shù)人員和管理人員；注冊資金不低于人民幣三千萬元；

具有與提供認證服務(wù)相適應(yīng)的資金和經(jīng)營場所，具備為用戶提供認證服務(wù)和承擔(dān)風(fēng)險、責(zé)任的能力；具有符合國家安全標(biāo)準(zhǔn)的技術(shù)、設(shè)備；具有國家密碼管理機構(gòu)同意使用密碼的證明文件。法律、行政法規(guī)規(guī)定的其他條件。上海數(shù)字認證中心資質(zhì)

電子認證服務(wù)使用密碼許可證

自然人能否作為認證機構(gòu)的發(fā)起人？經(jīng)營條件61精選2021版課件《電子簽名法》第十八條規(guī)定“從事電子認證服務(wù)，應(yīng)當(dāng)向國務(wù)院信息產(chǎn)業(yè)主管部門提出申請，并提交符