经济法与电子商务法
杨坚争主编
朱兆敏 吴弘副主编
上海理工大学电子商务与计算机法研究所
制作:赵雯 黄佳 张辉 黄勇刚
第三编 电子商务法
第十三章 电子签字与认证法律制度
第一节 电子签字概述
第二节 电子签字立法发展
第三节 电子签字的适用范围
和消费者保护
第四节 电子商务安全认证
第五节 电子商务认证法律关系
第六节 电子商务认证机构管理
第一节 电子签字概述
? 2001年 12月,联合国第 56届会议第 85次全体会议
正式通过了, 联合国国际贸易法委员会电子签字示范法,
(以下简称, 电子签字示范法, ),该法给出了电子签
字及其相关概念:
一,电子签字的概念与功能
(一) 电子签字及其相关概念
(一) 电子签字及其相关概念
( 1),电子签字( Electronic signature)”系
指以电子形式所含、所附或在逻辑上与数据电文有联系
的数据,它可用于鉴别与数据电文相关的签字人和表明
签字人认可的包含在数据电文中的信息。
( 2),证书”系指签字人与签字制作数据之间关
系的某一数据电文或其它记录。
( 3),签字人”系指持有签字制作数据的人,代表
本人或所代表的人行事。
( 4),认证服务提供人”系指签发证书或可能提
供与电子签字有关的其它服务的人。
( 5),依赖方”系指可以根据某一证书或电子签
字行事的人。
(一) 电子签字及其相关概念
? 联合国电子签字概念的起草主要考虑了三个问题:
1,概念的广泛性
2,不偏重任何技术的原则
3,电子签字的实质
(二) 电子签字的功能
? 以纸张为基础的传统签字主要是为了履行下述功
能:
( 1) 确定一个人的身份;
( 2) 肯定是该人自己的签字;
( 3) 使该人与文件内容发生关系。
? 除此之外,视所签文件的性质而定,签字还有多
种其它功能,例如,签字可以证明签字人愿意受所签合
同的约束;证明签字人认可其为某一案文的作者;证明
签字人同意一份经由他人写出的文件的内容;证明签字
人曾在某个地点的事实和时间。
(二) 电子签字的功能
? 应当注意的是,除了传统的手书签字之外,
还有各种各样的程序(例如盖章、打孔) —— 有
时都称之为“签字” —— 可提供不同程度的确定
性。
? 为了保证电子商务活动的正常进行,需要具有
书面签字功能的电子签字。调查各种正在被使用或仍
在研制开发中的签字技术,可以发现,所有这些技术
的共同目的都是为了寻求手写签字和在纸基环境中的
其它认证方式(如封缄或盖章)提供功能相同的替换
物。但在电子商务环境中这些技术还可能实现别的功
能,这些功能是从签字功能中旁生的,但在纸基环境
中却不能找到严格类似的替代物。
(二) 电子签字的功能
? 为了确保须经过核证的电文不会仅仅由于未按照
纸张文件特有的方式加以核证而否认其法律价值,联合
国, 电子商务示范法, 确定了在何种情况下数据电文可
视为经过了具有足够可信度的核证,而且可以生效执行,
视之达到了签字要求。
(二) 电子签字的功能
?, 电子商务示范法, 第 7条规定:
( 1) 如法律要求要有一个人签字,则对于一项数
据电文而言,倘若情况如下,即满足了该项要求:
第一,使用了一种方法,鉴定了该人的身份,并且
表明该人认可了数据电文内含的信息;
第二,从所有各种情况看来,包括根据任何相关协
议,所用方法是可靠的,对生成或传递数据电文的目的
来说也是适当的。
( 2) 无论本条第( 1)款所述要求是否采取一项
义务的形式,也无论法律是不是仅仅规定了无签字时的
后果,该款均将适用。
(二) 电子签字的功能
?, 电子商务示范法, 第 7条侧重于签字的两种基
本功能:
? 一是确定一份文件的作者;
? 二是证实该作者同意了该文件的内容。第 1条第
一款确立的原则是,在电子环境中,只要使用一种方
法来鉴别数据电文的发端人并证实该发端人认可了该
数据电文的内容,即可达到签字的基本法律功能。在
保证安全可靠的基础上,第 1条第 2款提出了灵活性原
则,数据电文的发端人与收件人之间的任何协议只要
可靠,就适宜于生成或传递该数据电文所要达到的目
的。
二、数字签字的过程
? 目前,应用较为普遍的电子签字是数字签字。数字
签字机制提供一种鉴别方法,通过它能够实现对原始报
文的鉴别和验证,保证报文完整性、权威性和发送者对
所发报文的不可抵赖性,以解决伪造、抵赖、冒充、篡
改等问题。下面以数字签字为例分析电子签字的基本步
骤。
(一) 几个技术术语
1,散列函数
2,加密
3,公钥与私钥
(二) 数字签字的过程
( 1)签字。在写好信息后,签字人先划定要签字的
内容,然后用软件中的散列函数为要签字的信息计算出
其独有的散列值,接着,签字人的软件用私钥将散列值
转变为数字签字。这个数字签字对这份信息和签字人的
私钥而言是独一无二的。
( 2)签字人一般将数字签字附在数据电文之后并随
电文一起发送出去,签字的过程就完成了。
( 3) 验证数据电文的接收人在收到信息后,可以
对原文是否被篡改和签字的真实性进行核查。接收人通
过参照原文用同一散列函数计算出新的散列值,再用签
字人的公钥解开数字签字得出散列值,核对这两者是否
一致。如果相同,就表明签字是真实的,原文没有被改
动过。
(三) 电子信息内容的保密
? 数字签字虽然能够鉴别文件是否有改动,但是它
不解决数据电文的保密问题,信息内容还是 有 可 能
被别人看到。要保证信件内容 的机密性,还 必 须对
内容进行加密。保障网页信息内容安全的协 议 主 要
有 SSL标准和 SET标准两种,保障电子邮件内容安全
的协议主要有 S-MIME标准。这几种协议均涉及到数
字签字、加解密和数字认证的综合应用。
(四) 电子签字持有人的识别
? 数字签字虽然可以保证数据电文上的签字人是该电
文的制作人,但是它不能保证该签字人可能冒用他人的
名义。
? 这是因为:数字签字这种方法不能证实签字人与所
签的姓名是同一个人。在传统的书面签字里,也存在冒
用签字的情况,一般通过笔迹鉴定的方法核查。在网络
世界,这个问题是通过数字认证系统来解决的。
三,电子签字的法定要求
? 电子签字的目的是要达到传统书面签字的基本功能,
然而电子签字的方法有多种形式,不同公司推出的技术
标准也有所差异,因此要在法律上树立一个基本要求,
凡达到该要求的电子签字均是有法律效力的。
? 从总体上说,如果电子签字既能表明签字人与信息
内容的联系性,而且与纸面签字同样可靠,就算达到了
要求。因此,联合国和有关国家的法律规定了电子签字
要符合一定的要求。
四,电子签字中各方当事人的基本行为规范
? 参与电子签字活动包括签字人、验证服务提供商和
依赖方。, 电子签字示范法, 制订了这些当事方(签字
人、依赖方和验证服务提供商等)行为规范。
(一) 签字人的行为
?, 电子签字示范法, 第 8条规定,签字制作数据可用来制
作具有法律效力的签字,各签字人应当做到如下:
( 1)采取合理的谨慎措施,避免他人未经授权使用其签
字制作数据;
( 2)签字人知悉签字制作数据已经失密;或签字人知悉
签字制作数据很有可能已经失密的情况;应毫无迟延,应利
用认证服务提供人依照本法第 9条提供的手段,或做出合理的
努力,向签字人可以合理预计的依赖电子签字或提供支持电
子签字服务的任何人员发出通知;
( 3) 在使用证书支持电子签字时,采取合理的谨慎措施,
确保签字人做出的关于证书整个有效期的或需要列入证书内
的所有实质性表述均精确无误和完整无缺。
(二) 认证服务提供人的行为
?, 电子签字示范法, 第 9条规定,认证服务提供人提
供服务,以支持可用作具有法律效力的签字而使用电子
签字的,应当做到以下规定,否则应对未满足规定要求
而承担法律责任:
( 1) 按其所做出的关于其政策和做法的表述行事;
( 2) 采取合理的谨慎措施,确保其做出的关于证
书整个有效期的或需要列入证书内的所有实质性表述均
精确无误和完整无缺;
( 3) 提供合理可及的手段,使依赖方得以从证书
中证实认证服务提供人的身份、证书中所指明的签字人
在签发证书时拥有对签字制作数据的控制、在证书签发
之时或之前签字制作数据有效;
(二) 认证服务提供人的行为
( 4) 提供合理可及的手段,使依赖方得以在适当
情况下从证书或其它方面证实用以鉴别签字人的方法、
签字制作数据或证书的可能用途或使用金额上的任何限
制、签字制作数据有效且未发生失密、认证服务提供人
规定的责任范围或程度上的任何限制、是否存在签字人
依照第 8条发出通知的途径、是否提供了及时的撤销服务;
( 5) 确保提供及时的撤销服务;
( 6) 使用可信赖的系统、程序和人力资源提供其
服务。
(三) 可信赖性
?, 电子签字示范法, 第 10条规定,在确定认证服务
提供人使用的任何系统,程序和人力资源是否可信赖以
及在何种程度上可信赖时,可以注意下列因素:
( 1) 财力和人力资源,包括是否存在资产;
( 2) 硬件和软件系统的质量;
( 3) 证书及其申请书的处理程序和记录的保 留;
( 4) 是否可向证书中指明的签字人和潜在的依赖
方提供信息;
( 5) 由独立机构进行审计的经常性和审计的范围;
( 6) 是否存在国家、鉴定机构或认证服务提供人
作出的关于上述条件的遵守情况或上述条件是否存在的
声明;
( 7) 其它任何有关因素。
(四) 依赖方的行为
?, 电子签字示范法, 第 11条规定依赖方应当对其未
能做到如下承担法律后果:
( 1) 采取合理的步骤查验电子签字的可靠性;
( 2) 在电子签字有证书支持时,采取合理的步骤,
包括查验证书的有效性、证书的暂停或撤销、遵守对证
书的任何限制。
第二节 电子签字立法发展
一,从数字式签字到电子签字:联合国现代核证技
术的立法实践
? 1996年 12月,联合国国际贸易法委员会第 29届会议
在通过了, 贸易法委员会电子商业示范法, 之后,讨论
了电子商务领域以后的工作方向,会议认为,贸法会应
当继续工作,编制能够给电子商务带来可预测性、从而
加强各地区贸易的法律标准。
一,从数字式签字到电子签字:联合国现代核证技术的
立法实践
? 比较一致的意见认为,贸法会应当着手编制关于数
码式签字的规则,同时制定验证局的行动或授权就数码
式签字的电文来源和归属签发电子证书或其它形式保证
的其它个人行动的法律。
? 贸法会第 30届会议( 1997年)肯定了电子商业法律
协调的重要性和必要性,并委托工作组编写与数码式签
字和验证局法律问题有关的统一规则。
一,从数字式签字到电子签字:联合国现代核证技术的
立法实践
? 在电子商务工作组第 32届会议( 1998年 1月)上,
工作组开始使用, 电子签字统一规则( Uniform Rules
on Electronic Signature), 代替, 数字签字统一规则
( Uniform Rules on Digital Signature), 。
?, 电子签字统一规则草案, 。该草案包括以下内容:
适用范围和一般规定、一般电子签字的定义及法律要求、
强化电子签字的法律要求、归属推定及保持原样的推定、
预先确定强化电子签字、擅自使用强化电子签字的赔偿
责任、强化证书的内容、以证书为辅助的数字签字的效
力、认证机构的承诺和责任、证书的废止、证书的登记
等。
一,从数字式签字到电子签字:联合国现代核证技术的
立法实践
? 电子商务工作组第 36届会议( 2000年 2月)对上述
草案中的“强化电子签字”进一步进行了讨论,最后决
定删除此条。原因是强调强化电子签字,可能会影响其
它电子签字方法的使用和发展。
? 2002年 1月 24日,在经历了 5年的起草工作后,联合
国第 56届大会正式通过联合国国际贸易法委员会电子签
字法。, 电子签字示范法, 将构成, 电子商务示范法,
的有用的补充,大大有助于各国加强其有关利用现代化
核证技术的立法,并能协助目前尚无这种立法的国家拟
订这种立法。
二,美国有关电子签字的法律
? 电子签字法发源于美国,1991年,美国律师协会
( ABA)信息安全委员会开始着手拟订, 数字签字示范
法,, 1995年, ABA数字签字指南, 颁布,其意图在于
“提供一种解决方案,使得获得州政府许可的认证机构
在应用 PKI系统后,数字签字能得到承认。”
? 1999年 7月,美国全国统一州法委员会( NCCUSL)
通过了, 统一电子交易法, ( UETA)修订版。到 2000
年,美国共有 18个州已经通过了立法程序将 UETA纳入
州法,另有 10余州正在走立法程序。
二,美国有关电子签字的法律
? 1999年 6月 30日,美国总统克林顿以数字签
字的方式签署了, 全球与国家商务中的电子签字
法,,直接从联邦政府的层面对州法中的未达之
处包括州际和国际贸易作了规范,进一步丰富了
美国电子签字法的法律渊源。该项立法作为美国
政府推动电子商务的重要举措,为电子签字和电
子记录的法律地位的确定制定了重要的程序和规
则。根据该法案规定,在该法案确定的标准得到
遵守的前提下,即可赋于电子签字、电子合同和
电子记录以法律上的确定性。
三,欧盟电子签字的统一框架指令
? 从整体上看来,欧盟的, 电子签字统一框架指
令, (以下简称, 指令, )对数字证书与认证机构管
理比较严格,既吸收了国际电子签字法律的主流观点,
又保持了欧盟的许多特色。
( 1), 指令, 对电子签字的定义与分类处理符
合主流观点,其中的“高级电子签字”( advanced
electronic signature)基本上维持传统上对数字签字
的四要素定义法。
三,欧盟电子签字的统一框架指令
( 2), 指令, 摈弃了传统的公钥、私钥、对钥的概念,
而引入了一系列新概念,如“签署签字数
据” (signature-creation data,相当于公钥 )、“签署
签字设备” (signature-creation device)、“安全签署
签字设备 "(secure- signature-creation-deice)、“确
认签字数据 (signature-verification-data,相当于私钥 )、
“确认签字设备”( signature-verification device)。
通过对传统技术术语的法律提炼,既可以凸显其“技术
中立”的个性,又建立起一套比较严格的对认证机构与
电子签字的管理制度。
三,欧盟电子签字的统一框架指令
( 3), 指令, 通过四个附件:
1)对合格证书的要求;
2)对发放合格证书的认证服务提供人的 要求;
3)对安全签署签字设备的要求;
4)对安全签字确认的推荐,来达到对电子签字
与认证机构的统一标准管理。
( 4), 指令, 授权成员国可以为认证机构设置基于
自愿的认可方案,同时,该方案否定了 CA是一种“壳资
源”的观点,即不允许限制经认可的 CA数目。
三,欧盟电子签字的统一框架指令
( 5), 指令, 在为安全系统和电子签字产品设置
技术标准的同时,同时很重视市场准入问题。
( 6), 指令, 通过自愿认可方案的认可、取得欧
盟内 CA的担保、以及订立双边或多边协议三种方式解决
了与欧盟外认证机构的数字证书的交叉认证问题。
( 7), 指令, 对 CA的收集和传输数据行为有严格
限制。
四,我国法律对电子签字法律地位的态度
? 我国, 合同法, 规定数据电文是书面形式的一种,
并提出,“当事人采用信件、数据电文等形式订立合同
的,可以在合同成立之前要求签订确认书。签订确认书
时合同成立。” [1] 这里,使用数据电文订立合同的前提
是“合同成立之前要求签订确认书”,成立的条件则是
“签订确认书时合同成立”。显然,,合同法, 对数据
电文作为合同是心有余悸的,并且为数据电文形成的合
同的效力加了一道“保险”。也就是说,如果使用数据
电文起草合同,除了电子文本之外,还需要有一“确认
书”加以确认。这种规定,显然不利于新技术的推广和
应用。
[1] 参见, 中华人民共和国合同法, 第 33条。
四,我国法律对电子签字法律地位的态度
? 电子签字为解决上述问题提供了解决的办法。既然
书面合同可以通过签字承认其有效性,电子合同也可以
通过电子签字承认其有效性,只要电子签字完全实现书
面签字的各项功能。
? 经过学术界多年的研究和争论,我国政府终于认识
到电子签字在现代社会政务和商务活动中的重要作用。
2003年全国人大常委会将电子签名法列入年度立法计划,
并开始了对电子签名立法草案的意见征求工作。电子签
名法律地位的确定,将有力推动电子政务和电子商务的
发展,促进现代信息技术在社会各领域中的应用。
第三节 电子签字的适用范围和消费者保护
一,电子签字的适用范围
? 电子签字是人们在互联网络中沟通信息并确保信息
证实的一种手段,是传统签字的意义在网络中得到延伸
与发展。因此,从签字本身所具有的原始作用的角度来
看,凡是可以在纸面上进行的传统签字,电子签字均可
以适用。但是,受到现有法律和传统观念以及技术发展
的局限性,电子签字还很难做到这一点。
一,电子签字的适用范围
? 目前,电子签字受到局限的主要方面有:
1,需要在物体本身上标记签字的场合
2,与身份关系相关的场合;
3,与诉讼程序相关的场合;
4,法律有特别规定的事项。
二,电子签字与消费者权利保护
? 为保护消费者的合法利益,商家应当明确以下事项:
(一) 商家应当告知消费者使用电子签字的权利义务
( 1) 告知消费者可以同意使用电子签字也可以不
同意使用电子签字。如果消费者同时要求得到纸面的记
录,商家应当满足消费者的这一要求。或者消费者希望
在交易完成后得到发票,商家应当保证他的权利。
(一) 商家应当告知消费者使用电子签字的权利义务
( 2) 告知消费者有权撤回对使用电子签字的同意。
如,消费者在交易完成前可以撤回电子签字方式,而采
用纸面方式,商家可以纸面方式进行,增加的费用可由
消费者承担,当然商家也可以选择解除合同,如果约定
该撤回是解除条件的话。不论怎样,商家应明确告知消
费者可以行使这一权利及相关后果。
( 3) 告知消费者可以查阅以电子签字方式签署的
文件。
(二) 在告知消费者的权利后应征得消费者的同意
? 同意可以以电子方式做出,也可以采用其它方式,只
要做出的行为合理即可。
(三) 商家应当特别提示消费者的事项
( 1) 告知采用该种电子签字方式对电脑软硬件的要
求。
( 2) 告知电子签字方式发生改变后,对消费者的权
利实现的影响以及如何补救。
第四节 电子商务安全认证
一,电子认证、数字证书与认证机构的概念
? 电子认证技术是保证电子商务交易安全的一项重要
技术。
? 电子认证从广义上来说,可以包括认证机构
( Certification Authentication简称 CA)、电子认证行
为和数字证书在内的一整套法律制度。
? 从狭义上来说,仅指电子认证行为,即由认证机构
采用电子方法以证明电子签字持有人真实身份或电子信
息真实的行为。
一,电子认证、数字证书与认证机构的概念
? 电子认证也可称为客户认证。它是基于用户的客户
端主机 IP地址的一种认证机制,它允许系统管理员为具
有某一特定 IP地址的授权用户定制访问权限。 CA与 IP地
址相关,对访问的协议不做直接的限制。服务器和客户
端无需增加、修改任何软件。系统管理员可以决定对每
个用户的授权、允许访问的服务器资源、应用程序、访
问时间以及允许建立的会话次数等等。
一,电子认证、数字证书与认证机构的概念
? 电子认证主要包括身份认证和信息认证。前者用于
鉴别用户身份,后者用于保证通信双方的不可抵赖性和
信息的完整性。在某些情况下,信息认证显得比信息保
密更为重要。例如,在买卖双方发生的日用品业务或交
易,可能交易的具体内容并不需要保密,但是交易双方
应当能够确认是对方发送或接收了这些信息,同时接收
方还能确认接收的信息是完整的,即在通信过程中没有
被修改或替换。
一,电子认证、数字证书与认证机构的概念
? 数字证书是目前最常用的认证证书,它是由认证机
构签发的数据电文或相关记录以确认持有特定密钥者身
份的文件。基于 PKI的数字证书是电子商务安全体系的
核心,用途是利用公共密钥加密系统来保护与验证公众
的密钥,由可信任的、公正的权威机构认证机构颁发。
用户向认证机构申请证书时,可提交自己的驾驶执照、
身份证或护照,经认证机构对申请者所提供的信息进行
验证,然后通过向电子商务各参与方签发数字证书,证
书包含了用户的姓名等信息和他的公钥,以此作为网上
证明自己身份的依据,保证网上支付的安全性。有了数
字证书,当事人在从事交易时,向相对方提交一个由认
证机构签发的包含个人身份的证书,使对方相信自己的
身份。
一,电子认证、数字证书与认证机构的概念
? 认证机构是指从事颁发为电子签字的目的而使用的
加密密钥相关的证书的人。认证机构在电子商务中具有
特殊的地位。它是为了从根本上保障电子商务交易活动
顺利进行而设立的,主要是解决电子商务活动中交易参
与各方身份、资信的认定,维护交易活动的安全。例如,
持卡人要与商家通信,持卡人从公开媒体上获得了商家
的公开密钥,但持卡人无法确定商家不是冒充的,于是
持卡人请求认证机构对商家认证,在对商家进行调查、
验证和鉴别后,将包含商家公钥( Public Key)的证书
传给持卡人。同样,商家也可对持卡人进行验证。
二,数字证书的分类与管理
(一) 数字证书的种类
? 按照数字证书应用对象的不同,数字证书可以分为
持卡人证书和商家证书。
? 按照数字证书应用对象的不同,也可以将其分为个
人用户证书、企业用户证书、服务器证书及代码证书;
或分为发卡机构证书、银行证书和支付网关证书等。
(二) 数字证书的申请
? 就个人申请数字证书而言,须向认证机构业务受理
点提交以下材料:
( 1) 有效身份证件,如身份证、驾驶证、护照等;
( 2) 有效的联系方式,如电话、通信地址、电子邮
箱等;
? 在具备上述条件后,填写申请表和签订用户协议,
申请即告结束。
(二) 数字证书的申请
? 认证机构接受用户申请,需要核实申请人的身份事
项,审核通过,认证机构即向申请人发放证书。
? 认证机构对个人证书申请的验证方法主要有:
( 1) 验证申请人电子邮箱的真实性;
( 2) 查询可信的信息数据库,通过核实和证实可
信的数据库内申请人的个人信息,识别和鉴证其身份。
所谓可信的数据库由认证机构决定。
( 3) 当面核实;当面核实通过身份证原件、复印
件和本人的比较。
(二) 数字证书的申请
? 就企业申请证书而言,程序与个人申请相同。但验
证条件有所不同:
( 1) 认证机构要求企业提交工商营业执照,ICP营
运证、税务登记等证书,以确定该单位的真实性和该单
位的服务器确实存在;
( 2) 同时,认证机构还需验证申请单位法定代表
人的身份以及授权人的证明和身份。
(二) 数字证书的申请
? 在申请证书获得认证机构的验证后,认证机构会将
包含密钥的标记载体(如密码信封、条码、数字信息)
交给申请人,以保证申请人在安全状态下获得证书。交
付的方式可以是面对面交付,也可以通过邮政信函或者
电子邮件等方式。申请人在收到密码后,根据认证机构
的操作提示,完成证书的安装程序并投入使用。
(三) 数字证书的保存
? 数字证书有一定的有效期限,多数认证机构规定数
字证书的有效期为一年,期满经申请续费后可延长。但
是,不论证书期限是否届满,有关证书的资料,如申请
资料、证书等必须在一定的期限内保存。
? 美国犹他州, 数字签字法, 规定认证机构都应保存
所发放或撤销的证书记录,期限不少于 40年。
? 有些国家虽然没有规定数字证书的材料的保存期间,
但对于电子记录均有规定,这一规定同样适应于数字证
书。如新加坡, 电子交易法, 规定:电子记录应当保存,
包括电子记录的来源、发出和接受的时间等。
? 在具体的保存时间上,可参考证书的等级和档案管
理法规来确定。
(四) 证书撤销
? 在证书的有效期间,如果发生特殊情况,危及证书
持有人或他人的利益时,证书就无法继续使用。当然,
证书持有人也可以申请撤销证书。
? 证书撤销的事由主要有:
( 1) 证书关系主体资格方面,
( 2) 证书记载方面,
( 3) 证书技术基础发生变化
( 4) 有关主体的行为,
( 5) 有关主管机构的命令等。
(五) 证书中止
? 证书中止是在出现影响证书安全时的一种临时措施,
根据事态的发展,证书可能会被撤销,也可能证书效力
恢复。
? 我国的认证机构在其业务说明中多数规定了证书撤
销而没有规定中止,有的是二者合一。从操作角度而言,
将二者分开分别规定是有实际意义的,至少可以节约成
本和减少错误。
三,电子商务的认证体系
(一) 电子商务认证体系技术标准的分类
? 电子商务认证体系根据所采用的技术标准的不同可
分为两大类,即符合 SET标准的 SET CA认证体系(又叫
“金融 CA”体系)和基于 X.509的 PKI CA体系(又叫
“非金融 CA”体系)。
(一) 电子商务认证体系技术标准的分类
1,SET CA
? 1997年 2月 19日,由 MasterCard和 Visa发起成立
SETCO公司,被授权作为 SET( Secure Electronic
Transaction)根 CA。从 SET协议中可以看出,由于采
用公开密钥加密算法,认证机构( CA)就成为整个系统
的安全核心。 SET中 CA的层次结构依次为:根认证中心
( RCA)、区域性认证中心( GCA),GCA再下设持卡
人认证中心( CCA)、商户认证中心( MCA)、支付网
关认证中心( PCA),在 SET中,CA所颁发的数字证书
主要有持卡人证书、商户证书和支付网关证书。
(一) 电子商务认证体系技术标准的分类
1,SET CA
? 在证书中,利用 X.500识别名来确定 SET交易中所涉
及的各参与方。 SET CA是一套严密的认证体系,可保
证 B to C( Business to Customer)类型的电子商务安
全顺利地进行。但 SET认证结构适应于卡支付,对其它
支付方式是有所限制的。
(一) 电子商务认证体系技术标准的分类
2,PKI CA
? PKI( Public Key Infrastructure)是提供公钥加
密和数字签字服务的平台,采用 PKI框架管理密钥和证
书,基于 PKI的框架结构及在其上开发的 PKI应用,为建
立 CA提供了强大的证书和密钥管理能力,可以建立一个
安全的网络环境。根据 X.509建议,CA为用户的公开密
钥提供证书。用户与 CA交换公开密钥后,CA用其秘密
密钥对数据集(包括 CA名、用户名、用户的公开密钥及
其有效期等)进行数字签字,并将该签字附在上述数据
集的后面,构成用户的证书,存放在用户的目录款项中。
(一) 电子商务认证体系技术标准的分类
2,PKI CA
? X.509提供了分层鉴别服务,在这种层次下,可以有
多个层次的 CA(可信任的第三方认证系统),构成树状
的认证层次。在一个证书树上的节点之间进行鉴别时,
在证书树上找到共同的祖先节点,就可以完成鉴别。
? 当两个用户分别由不同的 CA服务时,不同的 CA 要
为每个用户建立一个证书(这种认证方式叫做“交叉认
证”)。只要保证每一个 CA者是可信赖的,这种证书管
理方法就能满足多用户的电子商务网络的需要。
? PKI CA增加网上交易各方明显的信任,也为它们之
间的可靠通信创造条件,并为,B2 B”及,B2C”两种电
子商务模式提供兼容性服务。
(二) 证书的树形验证结构
? 当事人在进行网上交易时,须通过出示由某个 CA
签发的证书来证明自己的身份,如果对签发证书的 CA本
身不信任,则可验证 CA的身份,依次类推,一直到公认
的权威 CA处。就可确信证书的有效性。 SET证书正是通
过信任层次来逐级验证的。每一个证书与数字化签发证
书的实体的签字证书关联。沿着信任树一直到一个公认
的信任组织,就可确认该证书是有效的。
? 在网上购物实践中,持卡人的证书与发卡机构的证
书关联,而发卡机构证书通过不同品牌卡的证书连接到
根 CA,而根认证机构的公共签字密钥对所有的 SET 软
件都是已知的,可以校验每一个证书。
第五节 电子商务认证法律关系
一,认证机构的法定义务与权利
? 认证机构以其信誉为电子商务交易各方提供信用,
因此认证机构在电子商务中是一个非常重要的独立的第
三方主体,其在交易活动中的权利义务对各信赖主体的
判断、选择和交易都具有关键性的影响。而仅以合同的
方式来确定认证机构的权利义务尚不足以明确认证机构
在电子商务中的地位与责任,也不利于交易的安全与秩
序。因此,必须从法律上加以界定。
(一) 认证机构的主要义务
1,信息披露义务
? 鉴于认证机构的公信力和其信用服务,认证机构应
当向全社会公开其从业资格,及其重要的业务记录,以
便受到公众的监督与协作。
(一) 认证机构的主要义务
1,信息披露义务
? 一般而言,认证机构信息披露的内容应包括:
( 1) 认证机构根证书的说明;
( 2) 用户的公钥;
( 3) 作废证书名单;
( 4) 认证业务说明;
( 5) 认证机构作为公司登记时应公开的有关记录;
( 6) 其它任何影响证书安全性能或认证机
(一) 认证机构的主要义务
1,信息披露义务
? 联合国, 电子签字示范法, 第 9条( c)项规定,认
证机构应该提供合理的查证途径时相对方能够通过证书
确认:
( 1) 证明服务提供者的身份 ;
( 2) 证书所标明的人在签字时已经控制了签字器;
( 3) 签字器在证书签发之时或之前运行正常。
(一) 认证机构的主要义务
2,业务说明义务
? 该义务要求认证机构公开其工作流程和为用户提供
何种服务及服务内容,主要包括:
( 1) 用户身份鉴定要求;
( 2) 证书类别及申请、签发、撤销、续展等操作
规程;
( 3) 保密制度;
( 4) 安全控制规程;
( 5) 用户责任和义务;
( 6) 认证机构的赔偿范围及限额;
( 7) 与认证机构业务相关的其它重要内容。
? 认证机构在其业务说明中应注意行业政策和习惯,
并严格遵守其说明,保证包括证书在内的重要陈述具有
准确性和完整性。
(一) 认证机构的主要义务
3,保险义务
? 认证机构是一个高风险的行业,既面临着内部人员
操作错误甚至恶意操作等机构运营带来的风险又必须提
防外部攻击,技术的飞速进步也会致机构业务发生重大
变化,而且一旦发生风险往往超出认证机构本身的控制。
因此,为了减少认证机构的风险和稳定交易秩序,又必
要赋予认证机构参加责任保险之义务。
(一) 认证机构的主要义务
3,保险义务
? 认证机构可就下列业务投保:
( 1) 外部进攻者对被保险人用户的数字证书业务
系统进行攻击,破译该电子商务安全技术、伪造证书、
篡改数据而造成被保险人用户交易帐户资金的损失;
( 2) 病毒入侵被保险人用户的数字证书业务系统
而造成被保险人用户交易帐户资金的损失;
( 3) 火灾、水管爆裂致使被保险人数字证书业务
系统遭到破坏,造成被保险人用户交易帐户资金的损失;
( 4) 被保险人用户的数字证书丢失,报失 24小时
后,他人利用其数字证书进行交易,造成被保险人用户
交易帐户资金的损失。
(一) 认证机构的主要义务
3,保险义务
? 在确定上述保险责任范围以后,再约定最高赔偿限
额。每次事故赔偿额为被保险人用户发生保险责任范围
内事故所遭受的实际损失金额,多次事故的累计赔偿金
额不得超过本保险的最高赔偿限额。
(一) 认证机构的主要义务
4,保密义务
? 认证机构在承担信息披露义务的同时,为保护用户
合法利益的目的,认证机构尚应承担保密义务,对于下
列事项,除非应有关国家机关的书面要求,认证机构不
得对外披露:
( 1) 证书用户在申请数字证书时向认证机构披露
的身份信息及有关信息;
( 2) 证书用户的私人密钥。
(一) 认证机构的主要义务
5,担保义务
? 认证机构一旦将证书发放给用户,就承担着担保证
书所述信息真实的义务,这里的真实是指认证机构在证
书发放时依法对用户提供的身份状况等情况予以了审查,
不存在认证机构明知或应知是虚假信息的情况。同时,
该义务要求认证机构没有超过其许可的限额。担保义务
不仅仅针对证书持有人,也适用于证书信赖人。
(二) 认证机构的主要权利
? 认证机构的主要权利表现在它对用户证书的管理上。
但是这里的权利在本质上更接近于职权。
1,发放证书
2,中止证书
3,撤销证书
4,保存证书
二,证书持有人的义务与权利
(一) 证书持有人的义务
1,真实告知义务
2,妥善保管义务
3,交纳费用的义务
( 二 ) 证书持有人的权利
1,有权接受或抛弃认证证书
2,有权中止、撤销认证证书
3,利用认证证书
三,证书信赖人的权利义务
? 任何从网络交易的人都是证书信赖人,他门都需要
识别对方证书的真实性。考察的方法很简单,认证机构
都对其发放的仍然有效的证书放入数据库中,无效或过
期的证书列入黑名单中,信赖人据此可以查询,很容易
得到结果。
? 据此,信赖人有权查询对方证书的真实性,认证机
构有义务提供查询这样的服务。同时,信赖人在信赖对
方的证书前,也应当查询对方证书是否有效。
四、认证法律关系的性质
? 网络交易不像传统交易,网络交易首先要搞清楚的
是在和谁作交易,他的身份是否真实,信用如何,而有
关身份方面的事,由认证机构提供的证书来说明。这样,
围绕认证证书这个核心形成了二种法律关系:
( 1) 认证机构与证书持有人之间的关系;
( 2) 认证机构与证书信赖人之间的关系。
(一) 认证机构与证书持有人之间的关系
? 认证机构与证书持有人围绕着电子证书发生各种法
律关系,这是什么样的法律关系呢?我们可以从证书的
申请和取得过程中得出结论。认证机构提供证书服务,
目的是表明证书持有人身份信息的真实性,让其他网络
主体相信自己,同时,他也可以了解其他证书持有人的
证实身份。这是建立网络商事关系的前提。这种证书提
供服务是一种信息服务,双方的权利义务记载在证书的
申请、接受等认证业务说明中,用户申请获得这样的服
务,接受认证证书意味着他同意了双方的权利义务。因
此,这是他们之间是合同关系。
? 认证机构与证书持有人之间的合同是认证服务合同。
它除了具有合同的一般法律特点,如双务、有偿等之外,
它还具有最大诚信、诺成的特点,同时它属于无名合同。
(一) 认证机构与证书持有人之间的关系
1,最大诚信
? 认证服务合同的最大诚信表现在以下几方面:
( 1) 用户在申请时必须提供自己真实的身份资料,
在证书的有效期间,如果发生重要的记载信息的变更应
当及时告知认证机构,以便变更证书记载;
( 2) 用户在发现证书的私钥失密或者有可能失密
时,也应当及时告知认证机构;
( 3) 认证机构的根密钥失密或者发生可能失密的
情况时,应当及时告知用户,并采取相应的措施;
(一) 认证机构与证书持有人之间的关系
2,诺成
? 认证服务合同应当是诺成合同。认证服务机构作为
网络交易中不可或缺的信息提供商,在网上扮演着重要
的角色。它同其他商品提供商一样,不能够挑选用户,
同时,基于该网络信息服务的迅捷性,也要求消费者在
提出申请,认证机构承诺后,合同即告成立。
(一) 认证机构与证书持有人之间的关系
3,无名合同
? 认证服务合同是无名合同。因此,双方的权利义务
不仅仅受到, 合同法, 和相关法律的调整,更多的由双
方的约定来规范。在实务操作中,由于用户更多的是同
意或不同意使用认证服务,一般很难改变认证机构业务
规范,因而它又具有格式合同的特点。
(二) 认证机构与证书信赖人之间的关系
? 所谓证书信赖人是指由于相信认证证书的记载而相
信证书持有人的身份真实,从而与之进行商事交易的人。
? 从现有的情况看,证书信赖人有几种情况:
( 1) 信赖人与被信赖人都是同一认证机构的用户,
都持有电子证书;
( 2) 信赖人与被信赖人虽然都持有电子证书,但
是由不同的认证机构发放的;
( 3) 信赖人不持有任何电子证书。
(二) 认证机构与证书信赖人之间的关系
? 第一种情况,信赖人与认证机构存在认证服务合同,
具有合同关系;第二和第三种情况,信赖人与认证机构
之间没有合同,纯粹是基于对认证机构的信任而相信证
书持有人。但是,不论属于何种情况,对认证机构的信
赖始终是存在的。即使在第一种情况之下,也无法否认
信赖利益的存在。基于此,这种法律关系应该法定化,
他们之间的关系应是一种法定信赖利益关系,认证机构
对证书信赖人的法定义务即是其承担责任的基础。该义
务集中表现在认证机构的担保义务上:
( 1) 认证机构对证书的疏漏和虚假陈述承担责任。
( 2) 认证机构对未按其认证业务说明的要求或程序
进行操作承担责任。
五,交叉认证的法律关系
(一) 交叉认证的解决方式
? 持有同一证书的当事人进行交易,他们之间会发生
单一的认证关系;当持有不同证书的当事人进行交易时,
彼此就会产生交叉认证。从认证本身的要求来看,认证
是为了让交易各方了解彼此的状况,而这种了解是基于
对认证机构权威性的信任而信任交易对方的。如果交易
一方所持证书的发证机构不为对方熟悉,这种信任就很
难建立。而网络交易的全球性和认证机构的独立性必然
会导致此类情况大量存在。交叉认证既存在国内不同机
构的交叉认证,也存在国际间的交叉认证。因此,如何
实现认证机构之间的认证,即交叉认证就具有重大意义。
(一) 交叉认证的解决方式
? 交叉认证的解决方式主要有三种:
1,通过国际条约或双边协定来处理
2,行政核准方式
3,认证担保的方式
(二) 交叉认证法律关系的性质
? 交叉认证法律关系的性质因所采用解决方式的不同
而有所不同。在以国际条约或双边协定来解决交叉认证
的,不同证书持有人对对方的信赖仍是法律上的信赖关
系。在同一标准方式下进行的交叉认证是合同关系。利
用担保方式进行的交叉认证可视同合同关系。
六,认证机构的法律责任
(一) 认证机构责任限制
? 认证是一个高风险的行业,既有内部风险又有外部
风险,并且一旦发生风险往往会造成非常严重的后果。
认证机构在审查当事人的真实身份时应尽合理的注意,
无过错的不应承担责任,而不适宜采用无过错的责任原
则。
(一) 认证机构责任限制
? 具体而言,认证机构对于以下几方面可以免责或减
轻责任:
( 1) 当事人违反认证证书发放的目的进行交易。
( 2) 在交易中,其交易额超过证书的有效价值的部
分,不承担责任。
( 3) 证书持有人知道其密钥已泄密或有被损坏或无
用的危险时,在有义务请求撤销而未提出,造成他人损
失的,由其本人承担。
(一) 认证机构责任限制
( 4) 认证机构在发现根密钥或信息系统遭到破坏
或可能遭到破坏,为避免更大的损失而中止或撤销用户
证书的,造成他人损失的可以减轻或免责。
( 5) 认证机构在审查证书申请人身份时已尽了合
理注意仍不能避免错误的,认证机构对该错误及由此产
生的损失免责。
( 6) 认证机构对于假冒或仿冒该机构的证书及由
此产生的损失不承担责任。
(二) 认证机构赔偿范围限制
? 认证机构与证书持有人和证书信赖人之间构成法定
的权利义务关系,因认证机构的过错导致当事人损失的,
应承担赔偿责任,认证机构与证书持有人也可以通过合
同来确立彼此责任的范围和大小。
? 损害赔偿有直接损失赔偿和间接损失赔偿之分,直
接损失是指现有财产的减少、毁损或灭失;间接损失是
指可得利益的损失,主要是利润的损失。
(二) 认证机构赔偿范围限制
? 这是因为,认证机构是开展电子商务活动的基础设
施和公用事业机构,证书用户众多,如果一旦发生赔偿,
认证机构很可能无法正常运营,而影响到整个交易的正
常进行。因此,认证机构只能就其违约或失职行为所正
常的直接损失承担赔偿责任,对于当事人丧失利润或机
会的损失,精神上的损失不予赔偿。
第六节 电子商务认证机构管理
一,电子商务认证机构的设立与管理
? 在电子商务交易过程中,包括电子支付过程中,认
证机构都有着不可替代的地位和作用,它是为提供交易
双方验证的第三方机构,由一个或多个用户信任的、具
有权威性质的组织实体管理。它不仅要对进行电子商务
交易的买卖双方负责,还要对整个电子商务的交易秩序
负责。
(一) 认证机构的设立
? 在我国认证机构应是企业法人,其设立与经营应当
符合, 公司法, 的规定;同时还应当符合特殊行业的基
本要求具体而言,设立认证机构应符合以下条件:
( 1) 经过国家密码管理部门的批准并采用其同意
的加密产品;
( 2) 经过国家信息安全认证机构的认定;
( 3) 注册资本符合法律法规的规定;
( 4) 由符合法定规定的发起人和从业人员;
( 5) 有符合法定要求的保密制度合认证业务说明;
( 6) 其它法律和法规规定的条件。
(一) 认证机构的设立
1,就认证机构的发起人而言,它一方面必须能承担
因认证机构业务而产生的财产责任,另一方面,又必须
具有从事信用服务的素质或资格。例如美国犹他州, 数
字签字法, 规定,认证机构的发起人须为律师或金融机
构、信托公司或保险公司等具有良好信誉和资力之人。
2,认证机构的硬件和软件设备和工作环境应符合有
关国家机关的规定,以能保证认证业务的正常开展为度,
其具体标准,应由主管部门根据技术发展现状做出要求。
(一) 认证机构的设立
? 认证机构的财产,应符合法律的规定。国外的公司
实行授权资本制度,对注册资本的数额要求并不大,但
注重公司资产的动态保障。我国传统上对特定行业的注
册资金的要求一般都比较高,但高额的注册资本金并不
能完全保证其有良好的抗风险能力。因此有必要规定认
证机构向有关部门缴纳一定金额的风险保证金或要求其
参加一定数额的责任保险。
? 对于认证机构还应规定行业审批制度。认证机构在
申请成立时应向有部门提交有关材料,如申请报告、可
行性方案、验资证明、国家密码管理部门的批准材料、
国家安全测评机构的鉴定材料等。
(二) 认证机构的管理
? 认证机构的管理包括外部管理和内部管理两部分,
外部管理主要是有关主管部门对认证机构的管理,内部
管理是认证机构对其自身的管理。
? 外部管理包括:
1,审批监督
2,审计监督
3,业务监管
? 认证机构的自身管理主要是指认证机构对其用户的
证书的申请、发放、撤销等方面的管理。
二,我国电子商务认证机构的建设
(一) 电子商务认证机构建设的重要性和紧迫性
?电子商务交易顺利进行的关键问题是安全问题。解决安
全问题的基本条件就是需要具有相应的电子商务认证机
构,为买卖双方提供值得信任的认证服务。
(一) 电子商务认证机构建设的重要性和紧迫性
? 从技术角度讲,电子商务认证机构所提供的服务包
括签证的管理、使用者公钥的产生与保管,以及密钥管
理三大类。通过采用国际上最先进的安全保密技术对网
络上的数据发送方、接收方进行身份情况确认和资信情
况确认,以保证交易各方信息的安全性、保密性和可靠
性。
? 从商业角度讲,每一个电子合同的签定,买卖双方
都需要对对方的身份情况、资信情况和经营情况进行认
证,否则,很难作出正确的决策。所以,通过认证机构
来进行买卖双方的全面认证,是保证网络交易安全的重
要措施。由于 CA认证在电子商务中的特殊地位,尽快建
立国家电子商务认证机构已迫在眉睫。
(一) 电子商务认证机构建设的重要性和紧迫性
? 认证机构的建立,目前已经成为电子商务的一个热
点问题。各个行业、各个部门都希望建立自己的认证机
构,许多 ISP和商品交易中心也尝试建立自己的认证中
心。为了保证电子商务的健康发展,建立一个国家级的
电子商务认证机构,使它能够联系政府部门的网络安全
认证中心以及各行各业现存的认证机构,进而形成一个
完整的体系,为参与网络交易的各方提供法律认可的、
具有权威性的商务认证,已经成为电子商务发展的迫切
要求。
(二) 电子商务认证机构建设的不同思路
? 电子商务认证机构的建立,各国都非常重视,加拿
大和新加坡等国已经建立了政府性认证中心。我国台湾
省有这方面的前车之鉴。他们虽然建立 CA较早,但由于
最初没有统一规划,形成了银行系统各自都建有认证中
心、互不通用的混乱格局,使得客户购物非常不便,调
整起来也非常困难。有鉴于此,我们应吸取教训,尽快
形成自己的电子商务认证机构的建设方案。
(二) 电子商务认证机构建设的不同思路
? 关于认证机构的建设,目前有三种典型的思路。
( 1) 地区信息主管部门认为应当以地区为中心建立
认证中心。
( 2) 行业主管部门认为应当以行业为中心建立认证
中心。
( 3) 也有人提出建立几个国家级行业安全认证中心,
然后,实行相互认证。
? 我们认为,电子商务交易认证不应是单纯的政府行
为,而应当由政府授权,采用市场运营方式,发挥私人
和行业的积极性,以便形成竞争的局面。
(二) 电子商务认证机构建设的不同思路
? 认证机构的建立,从国家方面讲,目前首先应当组
建国家级的 CA认证中心,负责全国电子商务证书的注册、
发放、验证和管理工作。然后,按照统一规划、统一布
局的原则,在各行业设立横向的职能认证机构。在各地
区设立纵向的分支认证机构,从而形成类似于企业管理
中的直线职能制结构。根据目前互联网和计算机系统的
运行速度,全国设立一个国家级电子商务认证中心完全
可以满足电子商务交易的需要。
(三) 电子商务认证机构建设的基本原则
? 电子商务认证机构的建设,应当遵循以下原则:
1,权威性原则
2,真实性原则
3,机密性原则
4,快捷性原则
5,经济性原则
(四) 国家级电子商务认证机构的设立
? 同传统的交易一样,电子商务交易主要涉及下述几
个方面的任务:
1,身份认证
2,资信认证
3,税收认证
4,外贸认证
(四) 国家级电子商务认证机构的设立
? 上述四个方面实际上形成了四个行业认证系统,可
以把它们叫做“职能认证系统”,它们是为根认证发放
认证证书提供依据的。在职能认证系统上面,还需要有
一个根认证系统,即国家电子商务认证中心,通管职能
认证系统。为便于开展业务,国家认证中心可以在各省
和直辖市设立相应的分支机构,从而形成类似于管理上
直线职能制组织结构的认证系统。
(四) 国家级电子商务认证机构的设立
? 国家电子商务认证中心主要承担根认证工作。这些
工作包括:
( 1)对职能认证系统和省市分认证中心进行政策指
导和业务管理;
( 2)汇总职能认证中心和省市分认证中心的数据;
( 3)负责数字凭证的管理与签发;
( 4)提供数字时间戳服务;
( 5)负责使用者密码的产生与保管;
( 6)对交易纠纷提供证明资料等。
(四) 国家级电子商务认证机构的设立
? 在完成上述工作的基础上,需要通过一定的程序确
认认证系统的法律地位。第一步可以先通过行政法规加
以规定,通过一段时间后,在合同法实施细则中加以规
定,最终在合同法,或电子商务法中有所反映。
思考题
1,简述电子签字的概念与功能。
2,简述电子签字的法定要求。
3,试论述电子签字中各方当事人的基本行为规范。
4,什么是电子认证、数字证书、认证机构?
5,试论述认证机构、证书持有人、证书信赖人的法定
义务与权利。
6,试论述认证机构与证书持有人之间的关系。
7,试论述认证机构与证书信赖人之间的关系。