電子商務法(第二版)教學課件第02編本論第06章 電子認證法律制度

電子商務法

（第二版）第六章電子認證法律制度第一節(jié)電子認證概述一、電子認證的概念

一）電子認證問題的提出

電子簽名的基本功能是將電子文件與其簽署人緊密地聯(lián)系在一起，較好地解決了身份辨別及文件歸屬問題，但是它并沒有在陌生的商事主體之間建立起交易所需的起碼的信用度。問題的解決方案是通過一個或幾個值得信賴的第三方將被認定的簽名或簽名者的姓名與特定的公共密碼聯(lián)系起來?？尚刨嚨牡谌揭话惚环Q作為“認證機構”，在許多國家里，這樣的認證機構按不同的層次構建起來，常被稱作是公鑰基礎設施.第一節(jié)電子認證概述二）電子認證的含義一般而言，認證指的是對人或者物的真實性、完整性進行甄別、鑒定、確認的行為。

本書所講的認證，是指特定認證機構對電子簽名及其簽署者的真實性所做的認證。第一節(jié)電子認證概述2、防止否認功能

不得否認原理是誠實信用原則在電子交易領域中的具體體現(xiàn)。該原理要求行為人在進行民事交往活動時，一方面應動機純正，沒有損人利己的不當或不法的主觀態(tài)度，另一方面，在為某種行為時，應符合道德慣例。因此，從這一角度看來，不得否認是誠實信用的基本要求，是實現(xiàn)交易安全問題的基本手段之一。

電子認證的最終目的就是為了在電子商務交易的當事人之間發(fā)生糾紛的情況下，提供有效的認證解決方法。信息發(fā)送人難以否認電子認證程序與規(guī)則，而信息接受人不能否認其已經接受到信息，這就為交易當事人提供了大量的預防性的保護，避免一方當事人試圖抵賴曾發(fā)送或收到某一數(shù)據(jù)信息而欺騙另一方當事人的行為發(fā)生。

三、電子認證的立法狀況

目前，有關電子認證的立法雖有不少，但直接冠以“認證”名稱的并不多見，大部分是在電子簽名法或數(shù)字簽名法中給予規(guī)定。

為了規(guī)范電子認證服務，對電子認證提供者實施監(jiān)督管理，我國《電子簽名法》對電子認證作為專門規(guī)定?！峨娮诱J證服務管理辦法》從以下幾方面對電子誰服務作了規(guī)定：電子認證服務機構的設立條件和設立程序、電子認證服務提供者的服務和應履行的義務、電子認證服務的暫停和終止、電子簽名認證證書的內容和管理、監(jiān)督管理等

第二節(jié)電子認證機構法律規(guī)范一、電子認證機構概述

一）電子認證機構的概念

聯(lián)合國:認證機構，是指任何人或實體，在其營業(yè)中從事以數(shù)字簽名為目的，而頒發(fā)與加密密鑰相關的身份證書。

我國：是指為需要第三方認證的電子簽名提供誰服務的機構

本書：專指電子商務中對用戶的電子簽名頒發(fā)數(shù)字證書的機構，是受一個或多個用戶信任、提供用戶身份驗證服務的第三方機構二）認證機構的特點

1．認證機構必須是一個獨立的法律實體。

認證機構以自己的名義從事數(shù)字證書服務，以其自有財產提供擔保，并承擔一定的責任。這就需要法律對認證機構的法律地位作出明確的規(guī)定。

2．認證機構還必須是中立性的。

認證機構一般并不直接與用戶進行商事交易，而是在其交易中，以受信賴的中立機構的身份，提供信用服務。它不代表交易任何一方的利益，僅發(fā)布公正的交易信息促成交易。因此，中立性，是其參與并促成與電子商務交易的重要保證。3.認證機構必須是當事人依賴的第三方二、電子認證機構的設立

一）電子認證機構的設立模式

1、政府機構管理型。政府機構管理型即以法律授權政府相關的機構對認證機構進行管理，頒發(fā)許可證。這種模式過于倚重政府的力量，可能會造成政府權力過分擴張的危險，這不符合私法的精神。

三）電子認證機構的設立程序

電子認證機構從事相關業(yè)務，需要經過國家主管部門的許可，經過一系列的審批、登記程序后，方可從事相關活動。1、申請2、審批、發(fā)證3、登記4、公布信息四、電子認證機構的可信賴性

（二）可信賴系統(tǒng)的標準

聯(lián)合國貿法會《電子簽名示范法》第10條對“可信賴性”作了規(guī)定：在決定證明服務提供者使用的系統(tǒng)、步驟和人力資源是否具有可信賴性，及可信賴的程度時，下列因素應該予以考慮：

（1）財力與人力資源，包括現(xiàn)有資產；

（2）軟件與硬件系統(tǒng)的質量；

（3）證書生成與申請的步驟以及相關記錄的保留；

（4）證書所證明的簽名者及潛在的相對方的有關信息的可獲取性；

（5）是否由獨立的第三方進行審計以及審計的程度；

（6）規(guī)則采納國已作出聲明，存在一個鑒定機構，或者鑒定機構所確認的證明服務提供者；

（7）任何其他相關因素。

五、電子認證機構的退出機制

我國《電子簽名法》和《電子認證機構服務管理辦法》規(guī)定認證機構的退出機制：

1、向主管部門報告并辦理相關注銷手續(xù)

2、通知各方

3、業(yè)務的承接

六、電子認證機構的責任

（一）認證機構的主要職責可以借鑒國際組織和各國電子商務法中的相關規(guī)定，具體主要有：（1）認證機構有責任使用可信賴的系統(tǒng)以行使其職責，并披露相關信息，以確保認證機構的權威性和公正性。（2）認證機構應依照認證業(yè)務操作規(guī)范頒發(fā)證書。（3）認證機構有責任在收到申請人或其代表人的申請后暫停證書；同時，有責任在證書中存在重要虛假陳述或認證機構的認證系統(tǒng)存在嚴重影響其可靠性或有證據(jù)證明簽名者死亡或消失或不復存在等情況下撤銷證書。六、電子認證機構的責任

（二）歸責原則一般認為，認證機構應該適用過錯責任原則。若損害是由于當事人自己的行為所引起的，比如證書用戶的個人密鑰丟失沒有及時通知認證機構引起的損失、用戶提供的證書信息虛假問題出現(xiàn)的損失、用戶非法使用證書產生的損失等等，則由參與電子商務活動的各方當事人對其責任范圍內發(fā)生的各項損害承擔賠償責任?；蛘?，若認證機構證明自己已經盡到了合理謹慎注意的義務，則認證機構不承擔責任。六、電子認證機構的責任

（二）歸責原則對于判斷合理謹慎注意的標準，主要包括認證機構有否制定完善的認證業(yè)務操作規(guī)范和內部管理制度、有否使用合格的軟硬件設備和從業(yè)人員、有否驗證認證證書上記載信息的真實性等等，認證機構只需證明自己的行為符合法律法規(guī)的一系列要求，就可以認定為無過錯而不需承擔損害賠償責任，如果認證機構不能作到這一點，就由認證機構承擔損害賠償責任。因此，按此方法可以較合理地調整認證機構所承擔的責任。六、電子認證機構的責任

（三）電子認證機構的責任限制

認證機構的責任限制是指給予認證機構在民事賠償方面以必要的責任限制。給予認證機構在民事賠償方面以必要的責任限制。例如：一方面，如果認證機構對證書的簽發(fā)有過錯（如證書中存在某些錯誤陳述）且給當事人造成了損失，則認證機構的損失賠償額將以證書中載明的金額為限。六、電子認證機構的責任

（三）電子認證機構的責任限制之所以給予認證機構以賠償金額限制，目的是使認證機構承擔的風險相當于銀行發(fā)行自動柜員機卡或信用卡所承擔的風險而不是更大。在電子商務的起步階段，為扶植認證機構的發(fā)展而給予其某些特別保護，也無可厚非。另一方面，在認證機構簽發(fā)給當事人的證書被盜并被他人用以欺詐的情況下，如果欺詐是在當事人將證書被盜的情形通知認證機構之前發(fā)生的，則認證機構對當事人因欺詐而導致的損失不負責任。第三節(jié)電子認證證書業(yè)務規(guī)范一、電子認證證書的概念

（一）認證證書的含義

認證證書，又稱數(shù)字證書，是認證機構頒發(fā)的數(shù)據(jù)電訊或其他記錄，是用來確認持有特定密鑰的人或實體的身份（或其他充足的特征）。

我國《電子簽名法》中的電子簽名認證證書：是指可證實電子簽名人與電子簽名制作數(shù)據(jù)有聯(lián)系的數(shù)據(jù)電文或者其他電子記錄一、電子認證證書的概念

（一）認證證書的含義

認證證書體系的最大特征在于：認證證書的傳遞，可以通過提供保密性、真實性與完整性的安全服務的通訊方式來進行，它不同與傳統(tǒng)的方式。對于公鑰密碼來說，保密是沒有意義的。因此，一般說來，認證證書是不需要保密的。而且，認證證書也不需要真實性識別及整體性檢驗，因為，認證機構的數(shù)字簽名，本身就能提供來源實性鑒別及整體性檢驗。假如某入侵者在認證證書發(fā)布的途中，對該證書的內容進行篡改，公鑰的使用者在校驗認證機構的數(shù)字簽名時，即可察覺該內容的篡改。因此，公鑰密碼證書，甚至可以通過非保密渠道進行傳送，而不會遭受破壞。一、電子認證證書的概念

（二）X.509格式證書

目前最為廣泛使用的公鑰密碼認證證書格式，是由ISO/IEC/ITUX.509標準中定義的格式。X.509采用一個認證機構（CA）對實體的身份和公共密鑰進行認證，并對包括實體、公鑰、名字、有效期等信息的證書進行數(shù)字簽名。一、電子認證證書的申領

（一）證書申請

在認證機構向用戶頒發(fā)證書之前，用戶須向認證機構進行登記，該登記一般是通過填寫提交證書申請表來完成的。登記涉及用戶與認證機構之間的關系的確立，并將用戶的基本信息在認證機構進行登載。

對于證書的發(fā)放，可以進行更新申請，或撤銷后再申請。而對于申請來說，用戶可以撤銷證書發(fā)放的申請，認證機構可以明確撤銷認證請求的條件，以及其處理撤消請求的程序等。

二、電子認證證書的申領

（二）證書的頒發(fā)

在頒發(fā)認證證書之前，認證機構應當查清持有與證書中登載的公鑰密碼相對的私人密碼的持有人、設施或實體的身份情況。一般說來，認證機構或其所委托的其他實體，必須對申請人或設施或實體的顯著特征進行辨認識別。

認證機構只有在符合所有規(guī)定條件時，才可向用戶頒發(fā)證書。二、電子認證證書的申領

（二）證書的頒發(fā)

《電子認證服務管理方法》第30條就認證機構查驗申請人的情況作了具體規(guī)定：有下情況之一，應對相關材料進行審查：1、申請人申請電子簽名認證證書；2、證書持有人申請更新證書；3、證書持有人申請撤銷證書二、電子認證證書的申領

（三）證書的接受

接受證書是指證書申請人了解證書的內容后，同意使用證書的行為。當證書用戶接受證書以后，認證機構應及時將此情形予以公布。通過公布認證證書的方式，實際上是向外界表明，用戶已經接受證書這一事實。三、電子認證證書的管理

（一）證書的中止

中止證書，即是使某一證書停止繼續(xù)產生效力，但并非永久性地撤銷該證書，而只是臨時地使之在某段時間內不具有有效性。由于使認證證書停止生效，對于任何信賴證書內容的相對方說來，會產生不利影響。因此，它只是在特殊情形下使用的特別措施。

三、電子認證證書的管理

（二）證書的撤銷

當證書簽發(fā)以后，一般說來，期望在整個有效期內都有效。但是，在有些情況下，用戶必須在有效期屆滿之前，停止對證書的信賴。這些情況包括，用戶的身份變化，用戶的密鑰遭到破壞，或非法使用等情況，此時，認證機構就應撤銷原有的證書。由于存在證書撤銷的可能，因此，證書的應用期限，通常比預計的有效期限短。

證書的撤銷是由認證機構決定的。但在通常情況下，認證機構是以申請人的申請為前提的。

三、電子認證證書的管理

（二）證書的撤銷

《電子認證服務管理方法》第29條對撤銷證書的條件作了詳細規(guī)定：1、證書持有人申請撤銷證書；2、證書持有人提供的信息不真實；3、證書持有人沒有履行雙方合同的義務4、證書的安全性不能得到保證5、法律、行政法規(guī)規(guī)定的其他情況三、電子認證證書的管理

（二）證書的撤銷

認證證書的撤銷，只能由相關人員提出申請：1、用其名稱簽名證書的用戶；2、以一項涉及應用系統(tǒng)的名義提出認證申請的個人或組織3、出資者；4、簽發(fā)認證證書的認證機構的工作人員；5、為簽發(fā)認證證書的認證機構的登記的工作人員。三、電子認證證書的管理

（四）證書的保存

認證機構必須有證據(jù)證明，自己按要求完成了適當?shù)臉I(yè)務行為，并且，能在事后對依據(jù)其證書所從事的交易，提供不得否認的支持。因此，認證機構應當披露其所保存的關于其服務的各種重要記錄。第四節(jié)電子認證法律關系當事人及其行為規(guī)范一、認證法律關系各方當事人

電子認證法律關系一般涉及三方當事人：認證機構、證書持有人（或稱證書用戶）和證書信賴人。

（一）證書持有人（證書用戶）與證書信賴人之間的法律關系

證書持有人（證書用戶）與證書信賴人，就是電子商務交易的雙方當事人。在電子商務交易中，他們之間的關系一般為合同關系。一、認證法律關系各方當事人

（二）認證機構與證書持有人（證書用戶）之間的法律關系

在認證與其用戶之間主要存在兩種法律關系：1、在封閉的環(huán)境中，認證機構與其用戶都是某一法律實體，或是某一非正式聯(lián)合體的一部分。2、在開放的環(huán)境中，對于其用戶而言，認證機構是一個獨立的法律實體。在這種情況下，認證機構常常被稱為第三方認證機構。

上述兩種分類，并非適用于一切情形。一、認證法律關系各方當事人

（二）認證機構與證書持有人（證書用戶）之間的法律關系

就認證機構與其用戶之間的關系而言，一般主張其間合同關系，即認證機構與用戶簽訂提供認證服務的合同，認證機構依約就用戶的公鑰密碼的真實性具認證證書，而該用戶則依約定向認證機構支付合同費用。（三）電子認證機構與證書信賴人之間的法律關系

這里的證書依賴人，是指相信電子簽名證書，并以該證書上所確定的證書擁有人為交易對方而進行交易的當事人。

證書信賴人本身可能是，也可能不是認證機構的用戶，他與認證機構的關系，要比認證機構之間的關系更復雜。（三）電子認證機構與證書信賴人之間的法律關系

在開放網絡環(huán)境中，電子認證機構與證書信賴人之間的關系呈現(xiàn)出多種形態(tài)，具體情況要以電子商務交易當事人與認證機構的關系而定，大致有以下幾種。1、社區(qū)認證服務型

社區(qū)認證服務型，指的是交易雙方當事人均為某認證機構的證書用戶。（三）電子認證機構與證書信賴人之間的法律關系

2、單方證書用戶型當交易一方是認證機構的證書用戶，而另一方不是認證機構的證書用戶時，這就是所說的“單方用戶型認證關系”。（三）電子認證機構與證書信賴人之間的法律關系

3、交叉認證關系

實踐中還有一種情況，即雖然交易雙方都是認證機構的證書用戶，但其證書是由不同的認證機構分別頒發(fā)的。這種關系更為復雜，它涉及認證機構的外部結構，需要由國際之間的，或認證機構之間的協(xié)議予以協(xié)議（三）電子認證機構與證書信賴人之間的法律關系

4、混合認證關系

是指認證機構是主營其他服務的，而認證服務只是其衍生業(yè)務二、當事人各方的行為規(guī)范

（一）認證機構的義務

1、擔保義務

根據(jù)我國《電子認證服務管理辦法》第18條規(guī)定，應當履行下列義務：1）保證電子簽名認證證書內容在有效期內完整、準確；2）保證電子簽名依賴方能夠證實或者了解電子簽名認證證書所載內容及其他有關事項；3）妥善保存與電子認證服務相關的信息。

（一）電子認證機構的義務

2、完善內部管理和審計的義務

根據(jù)我國《電子認證服務管理辦法》第19條規(guī)定，電子認證機構應當建立完善的安全管理和內部審計制度。

（一）電子認證機構的義務

3、保密義務

根據(jù)我國《電子認證服務管理辦法》第20條規(guī)定，電子誰機構的保密義務分為兩個方面：1）保守國家秘密的義務2）保守當事人信息秘密的義務

（一）電子認證機構的義務

4、告知義務

根據(jù)我國《電子認證服務管理辦法》第21條規(guī)定，電子認證機構在受理電子簽名認證證書申請前，應當向申請人告知下列事項：1）電子簽名認證證書和電子簽名的使用條件2）服務收費項目和標準；3）保存和使用證書持有人信息的權限和責任4）電子認證機構的責任范圍5）證書持有人的責任范圍；6）其他需要事先告知的事項

（一）電子認證機構的義務

5、簽訂書面合同的義務

根據(jù)我國《電子認證服務管理方法》第22條規(guī)定，電子認證機構受理電子簽名認證申請后，應當與證書申請人簽訂合同，明確雙方的權利義務

（一）認證機構的義務

1、可信賴系統(tǒng)的義務

認證機構在提供證書服務時應保證其使用可信賴系統(tǒng)。

2、擔保義務

在簽發(fā)證書過程中，認證機構需向用戶及信賴的相對方作出種種陳述，與之相應，認證機構應對其所作的陳述承擔相應的保證義務。

二、當事人各方的行為規(guī)范

（一）認證機構的義務

3、持續(xù)義務

認證機構還應向用戶承擔持續(xù)的義務。除非用戶人與認證機構另有約定外，認證機構因發(fā)放證書而向用戶保證：

（1）如有規(guī)定的情形，則應立即中止或撤銷證書；

（2）一旦證書發(fā)放以后，如認證機構知悉任何嚴重影響證書有效性或可靠性的事件，應在合理的時間內及時通知用戶。二、當事人各方的行為規(guī)范

（一）認證機構的義務

4、忠信義務

如果認證機構持有與其頒布證書中公共密碼相對應的私人密碼，則該機構應如證書中指定的用戶的信托人一樣，負謹慎勤勉的義務；除非用戶與認證機構之間，就私人密碼的使用另有明確的書面形式的約定，否則，如果沒有用戶事先的書面同意，認證機構不