认证机构的主要义务.ppt

经济法与电子商务法杨坚争主编朱兆敏吴弘副主编 上海理工大学电子商务与计算机法研究所制作 赵雯黄佳张辉黄勇刚 第三编电子商务法第十三章电子签字与认证法律制度 第一节电子签字概述第二节电子签字立法发展第三节电子签字的适用范围和消费者保护第四节电子商务安全认证第五节电子商务认证法律关系第六节电子商务认证机构管理 第一节电子签字概述 2001年12月 联合国第56届会议第85次全体会议正式通过了 联合国国际贸易法委员会电子签字示范法 以下简称 电子签字示范法 该法给出了电子签字及其相关概念 一 电子签字的概念与功能 一 电子签字及其相关概念 一 电子签字及其相关概念 1 电子签字 Electronicsignature 系指以电子形式所含 所附或在逻辑上与数据电文有联系的数据 它可用于鉴别与数据电文相关的签字人和表明签字人认可的包含在数据电文中的信息 2 证书 系指签字人与签字制作数据之间关系的某一数据电文或其它记录 3 签字人 系指持有签字制作数据的人 代表本人或所代表的人行事 http www lvfangguan org 4 认证服务提供人 系指签发证书或可能提供与电子签字有关的其它服务的人 5 依赖方 系指可以根据某一证书或电子签字行事的人 一 电子签字及其相关概念 联合国电子签字概念的起草主要考虑了三个问题 1 概念的广泛性2 不偏重任何技术的原则3 电子签字的实质 二 电子签字的功能 以纸张为基础的传统签字主要是为了履行下述功能 1 确定一个人的身份 2 肯定是该人自己的签字 3 使该人与文件内容发生关系 除此之外 视所签文件的性质而定 签字还有多种其它功能 例如 签字可以证明签字人愿意受所签合同的约束 证明签字人认可其为某一案文的作者 证明签字人同意一份经由他人写出的文件的内容 证明签字人曾在某个地点的事实和时间 二 电子签字的功能 应当注意的是 除了传统的手书签字之外 还有各种各样的程序 例如盖章 打孔 有时都称之为 签字 可提供不同程度的确定性 为了保证电子商务活动的正常进行 需要具有书面签字功能的电子签字 调查各种正在被使用或仍在研制开发中的签字技术 可以发现 所有这些技术的共同目的都是为了寻求手写签字和在纸基环境中的其它认证方式 如封缄或盖章 提供功能相同的替换物 但在电子商务环境中这些技术还可能实现别的功能 这些功能是从签字功能中旁生的 但在纸基环境中却不能找到严格类似的替代物 二 电子签字的功能 为了确保须经过核证的电文不会仅仅由于未按照纸张文件特有的方式加以核证而否认其法律价值 联合国 电子商务示范法 确定了在何种情况下数据电文可视为经过了具有足够可信度的核证 而且可以生效执行 视之达到了签字要求 二 电子签字的功能 电子商务示范法 第7条规定 1 如法律要求要有一个人签字 则对于一项数据电文而言 倘若情况如下 即满足了该项要求 第一 使用了一种方法 鉴定了该人的身份 并且表明该人认可了数据电文内含的信息 第二 从所有各种情况看来 包括根据任何相关协议 所用方法是可靠的 对生成或传递数据电文的目的来说也是适当的 2 无论本条第 1 款所述要求是否采取一项义务的形式 也无论法律是不是仅仅规定了无签字时的后果 该款均将适用 二 电子签字的功能 电子商务示范法 第7条侧重于签字的两种基本功能 一是确定一份文件的作者 二是证实该作者同意了该文件的内容 第1条第一款确立的原则是 在电子环境中 只要使用一种方法来鉴别数据电文的发端人并证实该发端人认可了该数据电文的内容 即可达到签字的基本法律功能 在保证安全可靠的基础上 第1条第2款提出了灵活性原则 数据电文的发端人与收件人之间的任何协议只要可靠 就适宜于生成或传递该数据电文所要达到的目的 二 数字签字的过程 目前 应用较为普遍的电子签字是数字签字 数字签字机制提供一种鉴别方法 通过它能够实现对原始报文的鉴别和验证 保证报文完整性 权威性和发送者对所发报文的不可抵赖性 以解决伪造 抵赖 冒充 篡改等问题 下面以数字签字为例分析电子签字的基本步骤 一 几个技术术语 1 散列函数2 加密3 公钥与私钥 二 数字签字的过程 1 签字 在写好信息后 签字人先划定要签字的内容 然后用软件中的散列函数为要签字的信息计算出其独有的散列值 接着 签字人的软件用私钥将散列值转变为数字签字 这个数字签字对这份信息和签字人的私钥而言是独一无二的 2 签字人一般将数字签字附在数据电文之后并随电文一起发送出去 签字的过程就完成了 3 验证数据电文的接收人在收到信息后 可以对原文是否被篡改和签字的真实性进行核查 接收人通过参照原文用同一散列函数计算出新的散列值 再用签字人的公钥解开数字签字得出散列值 核对这两者是否一致 如果相同 就表明签字是真实的 原文没有被改动过 三 电子信息内容的保密 数字签字虽然能够鉴别文件是否有改动 但是它不解决数据电文的保密问题 信息内容还是有可能被别人看到 要保证信件内容的机密性 还必须对内容进行加密 保障网页信息内容安全的协议主要有SSL标准和SET标准两种 保障电子邮件内容安全的协议主要有S MIME标准 这几种协议均涉及到数字签字 加解密和数字认证的综合应用 四 电子签字持有人的识别 数字签字虽然可以保证数据电文上的签字人是该电文的制作人 但是它不能保证该签字人可能冒用他人的名义 这是因为 数字签字这种方法不能证实签字人与所签的姓名是同一个人 在传统的书面签字里 也存在冒用签字的情况 一般通过笔迹鉴定的方法核查 在网络世界 这个问题是通过数字认证系统来解决的 三 电子签字的法定要求 电子签字的目的是要达到传统书面签字的基本功能 然而电子签字的方法有多种形式 不同公司推出的技术标准也有所差异 因此要在法律上树立一个基本要求 凡达到该要求的电子签字均是有法律效力的 从总体上说 如果电子签字既能表明签字人与信息内容的联系性 而且与纸面签字同样可靠 就算达到了要求 因此 联合国和有关国家的法律规定了电子签字要符合一定的要求 四 电子签字中各方当事人的基本行为规范 参与电子签字活动包括签字人 验证服务提供商和依赖方 电子签字示范法 制订了这些当事方 签字人 依赖方和验证服务提供商等 行为规范 一 签字人的行为 电子签字示范法 第8条规定 签字制作数据可用来制作具有法律效力的签字 各签字人应当做到如下 1 采取合理的谨慎措施 避免他人未经授权使用其签字制作数据 2 签字人知悉签字制作数据已经失密 或签字人知悉签字制作数据很有可能已经失密的情况 应毫无迟延 应利用认证服务提供人依照本法第9条提供的手段 或做出合理的努力 向签字人可以合理预计的依赖电子签字或提供支持电子签字服务的任何人员发出通知 3 在使用证书支持电子签字时 采取合理的谨慎措施 确保签字人做出的关于证书整个有效期的或需要列入证书内的所有实质性表述均精确无误和完整无缺 二 认证服务提供人的行为 电子签字示范法 第9条规定 认证服务提供人提供服务 以支持可用作具有法律效力的签字而使用电子签字的 应当做到以下规定 否则应对未满足规定要求而承担法律责任 1 按其所做出的关于其政策和做法的表述行事 2 采取合理的谨慎措施 确保其做出的关于证书整个有效期的或需要列入证书内的所有实质性表述均精确无误和完整无缺 3 提供合理可及的手段 使依赖方得以从证书中证实认证服务提供人的身份 证书中所指明的签字人在签发证书时拥有对签字制作数据的控制 在证书签发之时或之前签字制作数据有效 二 认证服务提供人的行为 4 提供合理可及的手段 使依赖方得以在适当情况下从证书或其它方面证实用以鉴别签字人的方法 签字制作数据或证书的可能用途或使用金额上的任何限制 签字制作数据有效且未发生失密 认证服务提供人规定的责任范围或程度上的任何限制 是否存在签字人依照第8条发出通知的途径 是否提供了及时的撤销服务 5 确保提供及时的撤销服务 6 使用可信赖的系统 程序和人力资源提供其服务 三 可信赖性 电子签字示范法 第10条规定 在确定认证服务提供人使用的任何系统 程序和人力资源是否可信赖以及在何种程度上可信赖时 可以注意下列因素 1 财力和人力资源 包括是否存在资产 2 硬件和软件系统的质量 3 证书及其申请书的处理程序和记录的保留 4 是否可向证书中指明的签字人和潜在的依赖方提供信息 5 由独立机构进行审计的经常性和审计的范围 6 是否存在国家 鉴定机构或认证服务提供人作出的关于上述条件的遵守情况或上述条件是否存在的声明 7 其它任何有关因素 四 依赖方的行为 电子签字示范法 第11条规定依赖方应当对其未能做到如下承担法律后果 1 采取合理的步骤查验电子签字的可靠性 2 在电子签字有证书支持时 采取合理的步骤 包括查验证书的有效性 证书的暂停或撤销 遵守对证书的任何限制 第二节电子签字立法发展一 从数字式签字到电子签字 联合国现代核证技术的立法实践 1996年12月 联合国国际贸易法委员会第29届会议在通过了 贸易法委员会电子商业示范法 之后 讨论了电子商务领域以后的工作方向 会议认为 贸法会应当继续工作 编制能够给电子商务带来可预测性 从而加强各地区贸易的法律标准 一 从数字式签字到电子签字 联合国现代核证技术的立法实践 比较一致的意见认为 贸法会应当着手编制关于数码式签字的规则 同时制定验证局的行动或授权就数码式签字的电文来源和归属签发电子证书或其它形式保证的其它个人行动的法律 贸法会第30届会议 1997年 肯定了电子商业法律协调的重要性和必要性 并委托工作组编写与数码式签字和验证局法律问题有关的统一规则 一 从数字式签字到电子签字 联合国现代核证技术的立法实践 在电子商务工作组第32届会议 1998年1月 上 工作组开始使用 电子签字统一规则 UniformRulesonElectronicSignature 代替 数字签字统一规则 UniformRulesonDigitalSignature 电子签字统一规则草案 该草案包括以下内容 适用范围和一般规定 一般电子签字的定义及法律要求 强化电子签字的法律要求 归属推定及保持原样的推定 预先确定强化电子签字 擅自使用强化电子签字的赔偿责任 强化证书的内容 以证书为辅助的数字签字的效力 认证机构的承诺和责任 证书的废止 证书的登记等 一 从数字式签字到电子签字 联合国现代核证技术的立法实践 电子商务工作组第36届会议 2000年2月 对上述草案中的 强化电子签字 进一步进行了讨论 最后决定删除此条 原因是强调强化电子签字 可能会影响其它电子签字方法的使用和发展 2002年1月24日 在经历了5年的起草工作后 联合国第56届大会正式通过联合国国际贸易法委员会电子签字法 电子签字示范法 将构成 电子商务示范法 的有用的补充 大大有助于各国加强其有关利用现代化核证技术的立法 并能协助目前尚无这种立法的国家拟订这种立法 二 美国有关电子签字的法律 电子签字法发源于美国 1991年 美国律师协会 ABA 信息安全委员会开始着手拟订 数字签字示范法 1995年 ABA数字签字指南 颁布 其意图在于 提供一种解决方案 使得获得州政府许可的认证机构在应用PKI系统后 数字签字能得到承认 1999年7月 美国全国统一州法委员会 NCCUSL 通过了 统一电子交易法 UETA 修订版 到2000年 美国共有18个州已经通过了立法程序将UETA纳入州法 另有10余州正在走立法程序 二 美国有关电子签字的法律 1999年6月30日 美国总统克林顿以数字签字的方式签署了 全球与国家商务中的电子签字法 直接从联邦政府的层面对州法中的未达之处包括州际和国际贸易作了规范 进一步丰富了美国电子签字法的法律渊源 该项立法作为美国政府推动电子商务的重要举措 为电子签字和电子记录的法律地位的确定制定了重要的程序和规则 根据该法案规定 在该法案确定的标准得到遵守的前提下 即可赋于电子签字 电子合同和电子记录以法律上的确定性 三 欧盟电子签字的统一框架指令 从整体上看来 欧盟的 电子签字统一框架指令 以下简称 指令 对数字证书与认证机构管理比较严格 既吸收了国际电子签字法律的主流观点 又保持了欧盟的许多特色 1 指令 对电子签字的定义与分类处理符合主流观点 其中的 高级电子签字 advancedelectronicsignature 基本上维持传统上对数字签字的四要素定义法 三 欧盟电子签字的统一框架指令 2 指令 摈弃了传统的公钥 私钥 对钥的概念 而引入了一系列新概念 如 签署签字数据 signature creationdata 相当于公钥 签署签字设备 signature creationdevice 安全签署签字设备 secure signature creation deice 确认签字数据 signature verification data 相当于私钥 确认签字设备 signature verificationdevice 通过对传统技术术语的法律提炼 既可以凸显其 技术中立 的个性 又建立起一套比较严格的对认证机构与电子签字的管理制度 三 欧盟电子签字的统一框架指令 3 指令 通过四个附件 1 对合格证书的要求 2 对发放合格证书的认证服务提供人的要求 3 对安全签署签字设备的要求 4 对安全签字确认的推荐 来达到对电子签字与认证机构的统一标准管理 4 指令 授权成员国可以为认证机构设置基于自愿的认可方案 同时 该方案否定了CA是一种 壳资源 的观点 即不允许限制经认可的CA数目 三 欧盟电子签字的统一框架指令 5 指令 在为安全系统和电子签字产品设置技术标准的同时 同时很重视市场准入问题 6 指令 通过自愿认可方案的认可 取得欧盟内CA的担保 以及订立双边或多边协议三种方式解决了与欧盟外认证机构的数字证书的交叉认证问题 7 指令 对CA的收集和传输数据行为有严格限制 四 我国法律对电子签字法律地位的态度 我国 合同法 规定数据电文是书面形式的一种 并提出 当事人采用信件 数据电文等形式订立合同的 可以在合同成立之前要求签订确认书 签订确认书时合同成立 1 这里 使用数据电文订立合同的前提是 合同成立之前要求签订确认书 成立的条件则是 签订确认书时合同成立 显然 合同法 对数据电文作为合同是心有余悸的 并且为数据电文形成的合同的效力加了一道 保险 也就是说 如果使用数据电文起草合同 除了电子文本之外 还需要有一 确认书 加以确认 这种规定 显然不利于新技术的推广和应用 1 参见 中华人民共和国合同法 第33条 四 我国法律对电子签字法律地位的态度 电子签字为解决上述问题提供了解决的办法 既然书面合同可以通过签字承认其有效性 电子合同也可以通过电子签字承认其有效性 只要电子签字完全实现书面签字的各项功能 经过学术界多年的研究和争论 我国政府终于认识到电子签字在现代社会政务和商务活动中的重要作用 2003年全国人大常委会将电子签名法列入年度立法计划 并开始了对电子签名立法草案的意见征求工作 电子签名法律地位的确定 将有力推动电子政务和电子商务的发展 促进现代信息技术在社会各领域中的应用 第三节电子签字的适用范围和消费者保护一 电子签字的适用范围 电子签字是人们在互联网络中沟通信息并确保信息证实的一种手段 是传统签字的意义在网络中得到延伸与发展 因此 从签字本身所具有的原始作用的角度来看 凡是可以在纸面上进行的传统签字 电子签字均可以适用 但是 受到现有法律和传统观念以及技术发展的局限性 电子签字还很难做到这一点 一 电子签字的适用范围 目前 电子签字受到局限的主要方面有 1 需要在物体本身上标记签字的场合2 与身份关系相关的场合 3 与诉讼程序相关的场合 4 法律有特别规定的事项 二 电子签字与消费者权利保护 为保护消费者的合法利益 商家应当明确以下事项 一 商家应当告知消费者使用电子签字的权利义务 1 告知消费者可以同意使用电子签字也可以不同意使用电子签字 如果消费者同时要求得到纸面的记录 商家应当满足消费者的这一要求 或者消费者希望在交易完成后得到发票 商家应当保证他的权利 一 商家应当告知消费者使用电子签字的权利义务 2 告知消费者有权撤回对使用电子签字的同意 如 消费者在交易完成前可以撤回电子签字方式 而采用纸面方式 商家可以纸面方式进行 增加的费用可由消费者承担 当然商家也可以选择解除合同 如果约定该撤回是解除条件的话 不论怎样 商家应明确告知消费者可以行使这一权利及相关后果 3 告知消费者可以查阅以电子签字方式签署的文件 二 在告知消费者的权利后应征得消费者的同意 同意可以以电子方式做出 也可以采用其它方式 只要做出的行为合理即可 三 商家应当特别提示消费者的事项 1 告知采用该种电子签字方式对电脑软硬件的要求 2 告知电子签字方式发生改变后 对消费者的权利实现的影响以及如何补救 第四节电子商务安全认证一 电子认证 数字证书与认证机构的概念 电子认证技术是保证电子商务交易安全的一项重要技术 电子认证从广义上来说 可以包括认证机构 CertificationAuthentication简称CA 电子认证行为和数字证书在内的一整套法律制度 从狭义上来说 仅指电子认证行为 即由认证机构采用电子方法以证明电子签字持有人真实身份或电子信息真实的行为 一 电子认证 数字证书与认证机构的概念 电子认证也可称为客户认证 它是基于用户的客户端主机IP地址的一种认证机制 它允许系统管理员为具有某一特定IP地址的授权用户定制访问权限 CA与IP地址相关 对访问的协议不做直接的限制 服务器和客户端无需增加 修改任何软件 系统管理员可以决定对每个用户的授权 允许访问的服务器资源 应用程序 访问时间以及允许建立的会话次数等等 一 电子认证 数字证书与认证机构的概念 电子认证主要包括身份认证和信息认证 前者用于鉴别用户身份 后者用于保证通信双方的不可抵赖性和信息的完整性 在某些情况下 信息认证显得比信息保密更为重要 例如 在买卖双方发生的日用品业务或交易 可能交易的具体内容并不需要保密 但是交易双方应当能够确认是对方发送或接收了这些信息 同时接收方还能确认接收的信息是完整的 即在通信过程中没有被修改或替换 一 电子认证 数字证书与认证机构的概念 数字证书是目前最常用的认证证书 它是由认证机构签发的数据电文或相关记录以确认持有特定密钥者身份的文件 基于PKI的数字证书是电子商务安全体系的核心 用途是利用公共密钥加密系统来保护与验证公众的密钥 由可信任的 公正的权威机构认证机构颁发 用户向认证机构申请证书时 可提交自己的驾驶执照 身份证或护照 经认证机构对申请者所提供的信息进行验证 然后通过向电子商务各参与方签发数字证书 证书包含了用户的姓名等信息和他的公钥 以此作为网上证明自己身份的依据 保证网上支付的安全性 有了数字证书 当事人在从事交易时 向相对方提交一个由认证机构签发的包含个人身份的证书 使对方相信自己的身份 一 电子认证 数字证书与认证机构的概念 认证机构是指从事颁发为电子签字的目的而使用的加密密钥相关的证书的人 认证机构在电子商务中具有特殊的地位 它是为了从根本上保障电子商务交易活动顺利进行而设立的 主要是解决电子商务活动中交易参与各方身份 资信的认定 维护交易活动的安全 例如 持卡人要与商家通信 持卡人从公开媒体上获得了商家的公开密钥 但持卡人无法确定商家不是冒充的 于是持卡人请求认证机构对商家认证 在对商家进行调查 验证和鉴别后 将包含商家公钥 PublicKey 的证书传给持卡人 同样 商家也可对持卡人进行验证 二 数字证书的分类与管理 一 数字证书的种类 按照数字证书应用对象的不同 数字证书可以分为持卡人证书和商家证书 按照数字证书应用对象的不同 也可以将其分为个人用户证书 企业用户证书 服务器证书及代码证书 或分为发卡机构证书 银行证书和支付网关证书等 二 数字证书的申请 就个人申请数字证书而言 须向认证机构业务受理点提交以下材料 1 有效身份证件 如身份证 驾驶证 护照等 2 有效的联系方式 如电话 通信地址 电子邮箱等 在具备上述条件后 填写申请表和签订用户协议 申请即告结束 二 数字证书的申请 认证机构接受用户申请 需要核实申请人的身份事项 审核通过 认证机构即向申请人发放证书 认证机构对个人证书申请的验证方法主要有 1 验证申请人电子邮箱的真实性 2 查询可信的信息数据库 通过核实和证实可信的数据库内申请人的个人信息 识别和鉴证其身份 所谓可信的数据库由认证机构决定 3 当面核实 当面核实通过身份证原件 复印件和本人的比较 二 数字证书的申请 就企业申请证书而言 程序与个人申请相同 但验证条件有所不同 1 认证机构要求企业提交工商营业执照 ICP营运证 税务登记等证书 以确定该单位的真实性和该单位的服务器确实存在 2 同时 认证机构还需验证申请单位法定代表人的身份以及授权人的证明和身份 二 数字证书的申请 在申请证书获得认证机构的验证后 认证机构会将包含密钥的标记载体 如密码信封 条码 数字信息 交给申请人 以保证申请人在安全状态下获得证书 交付的方式可以是面对面交付 也可以通过邮政信函或者电子邮件等方式 申请人在收到密码后 根据认证机构的操作提示 完成证书的安装程序并投入使用 三 数字证书的保存 数字证书有一定的有效期限 多数认证机构规定数字证书的有效期为一年 期满经申请续费后可延长 但是 不论证书期限是否届满 有关证书的资料 如申请资料 证书等必须在一定的期限内保存 美国犹他州 数字签字法 规定认证机构都应保存所发放或撤销的证书记录 期限不少于40年 有些国家虽然没有规定数字证书的材料的保存期间 但对于电子记录均有规定 这一规定同样适应于数字证书 如新加坡 电子交易法 规定 电子记录应当保存 包括电子记录的来源 发出和接受的时间等 在具体的保存时间上 可参考证书的等级和档案管理法规来确定 四 证书撤销 在证书的有效期间 如果发生特殊情况 危及证书持有人或他人的利益时 证书就无法继续使用 当然 证书持有人也可以申请撤销证书 证书撤销的事由主要有 1 证书关系主体资格方面 2 证书记载方面 3 证书技术基础发生变化 4 有关主体的行为 5 有关主管机构的命令等 五 证书中止 证书中止是在出现影响证书安全时的一种临时措施 根据事态的发展 证书可能会被撤销 也可能证书效力恢复 我国的认证机构在其业务说明中多数规定了证书撤销而没有规定中止 有的是二者合一 从操作角度而言 将二者分开分别规定是有实际意义的 至少可以节约成本和减少错误 三 电子商务的认证体系 一 电子商务认证体系技术标准的分类 电子商务认证体系根据所采用的技术标准的不同可分为两大类 即符合SET标准的SETCA认证体系 又叫 金融CA 体系 和基于X 509的PKICA体系 又叫 非金融CA 体系 一 电子商务认证体系技术标准的分类 1 SETCA1997年2月19日 由MasterCard和Visa发起成立SETCO公司 被授权作为SET SecureElectronicTransaction 根CA 从SET协议中可以看出 由于采用公开密钥加密算法 认证机构 CA 就成为整个系统的安全核心 SET中CA的层次结构依次为 根认证中心 RCA 区域性认证中心 GCA GCA再下设持卡人认证中心 CCA 商户认证中心 MCA 支付网关认证中心 PCA 在SET中 CA所颁发的数字证书主要有持卡人证书 商户证书和支付网关证书 一 电子商务认证体系技术标准的分类 1 SETCA在证书中 利用X 500识别名来确定SET交易中所涉及的各参与方 SETCA是一套严密的认证体系 可保证BtoC BusinesstoCustomer 类型的电子商务安全顺利地进行 但SET认证结构适应于卡支付 对其它支付方式是有所限制的 一 电子商务认证体系技术标准的分类 2 PKICAPKI PublicKeyInfrastructure 是提供公钥加密和数字签字服务的平台 采用PKI框架管理密钥和证书 基于PKI的框架结构及在其上开发的PKI应用 为建立CA提供了强大的证书和密钥管理能力 可以建立一个安全的网络环境 根据X 509建议 CA为用户的公开密钥提供证书 用户与CA交换公开密钥后 CA用其秘密密钥对数据集 包括CA名 用户名 用户的公开密钥及其有效期等 进行数字签字 并将该签字附在上述数据集的后面 构成用户的证书 存放在用户的目录款项中 一 电子商务认证体系技术标准的分类 2 PKICAX 509提供了分层鉴别服务 在这种层次下 可以有多个层次的CA 可信任的第三方认证系统 构成树状的认证层次 在一个证书树上的节点之间进行鉴别时 在证书树上找到共同的祖先节点 就可以完成鉴别 当两个用户分别由不同的CA服务时 不同的CA要为每个用户建立一个证书 这种认证方式叫做 交叉认证 只要保证每一个CA者是可信赖的 这种证书管理方法就能满足多用户的电子商务网络的需要 PKICA增加网上交易各方明显的信任 也为它们之间的可靠通信创造条件 并为 B2B 及 B2C 两种电子商务模式提供兼容性服务 二 证书的树形验证结构 当事人在进行网上交易时 须通过出示由某个CA签发的证书来证明自己的身份 如果对签发证书的CA本身不信任 则可验证CA的身份 依次类推 一直到公认的权威CA处 就可确信证书的有效性 SET证书正是通过信任层次来逐级验证的 每一个证书与数字化签发证书的实体的签字证书关联 沿着信任树一直到一个公认的信任组织 就可确认该证书是有效的 在网上购物实践中 持卡人的证书与发卡机构的证书关联 而发卡机构证书通过不同品牌卡的证书连接到根CA 而根认证机构的公共签字密钥对所有的SET软件都是已知的 可以校验每一个证书 第五节电子商务认证法律关系一 认证机构的法定义务与权利 认证机构以其信誉为电子商务交易各方提供信用 因此认证机构在电子商务中是一个非常重要的独立的第三方主体 其在交易活动中的权利义务对各信赖主体的判断 选择和交易都具有关键性的影响 而仅以合同的方式来确定认证机构的权利义务尚不足以明确认证机构在电子商务中的地位与责任 也不利于交易的安全与秩序 因此 必须从法律上加以界定 一 认证机构的主要义务 1 信息披露义务鉴于认证机构的公信力和其信用服务 认证机构应当向全社会公开其从业资格 及其重要的业务记录 以便受到公众的监督与协作 一 认证机构的主要义务 1 信息披露义务一般而言 认证机构信息披露的内容应包括 1 认证机构根证书的说明 2 用户的公钥 3 作废证书名单 4 认证业务说明 5 认证机构作为公司登记时应公开的有关记录 6 其它任何影响证书安全性能或认证机 一 认证机构的主要义务 1 信息披露义务联合国 电子签字示范法 第9条 c 项规定 认证机构应该提供合理的查证途径时相对方能够通过证书确认 1 证明服务提供者的身份 2 证书所标明的人在签字时已经控制了签字器 3 签字器在证书签发之时或之前运行正常 一 认证机构的主要义务 2 业务说明义务该义务要求认证机构公开其工作流程和为用户提供何种服务及服务内容 主要包括 1 用户身份鉴定要求 2 证书类别及申请 签发 撤销 续展等操作规程 3 保密制度 4 安全控制规程 5 用户责任和义务 6 认证机构的赔偿范围及限额 7 与认证机构业务相关的其它重要内容 认证机构在其业务说明中应注意行业政策和习惯 并严格遵守其说明 保证包括证书在内的重要陈述具有准确性和完整性 一 认证机构的主要义务 3 保险义务认证机构是一个高风险的行业 既面临着内部人员操作错误甚至恶意操作等机构运营带来的风险又必须提防外部攻击 技术的飞速进步也会致机构业务发生重大变化 而且一旦发生风险往往超出认证机构本身的控制 因此 为了减少认证机构的风险和稳定交易秩序 又必要赋予认证机构参加责任保险之义务 一 认证机构的主要义务 3 保险义务认证机构可就下列业务投保 1 外部进攻者对被保险人用户的数字证书业务系统进行攻击 破译该电子商务安全技术 伪造证书 篡改数据而造成被保险人用户交易帐户资金的损失 2 病毒入侵被保险人用户的数字证书业务系统而造成被保险人用户交易帐户资金的损失 3 火灾 水管爆裂致使被保险人数字证书业务系统遭到破坏 造成被保险人用户交易帐户资金的损失 4 被保险人用户的数字证书丢失 报失24小时后 他人利用其数字证书进行交易 造成被保险人用户交易帐户资金的损失 一 认证机构的主要义务 3 保险义务在确定上述保险责任范围以后 再约定最高赔偿限额 每次事故赔偿额为被保险人用户发生保险责任范围内事故所遭受的实际损失金额 多次事故的累计赔偿金额不得超过本保险的最高赔偿限额 一 认证机构的主要义务 4 保密义务认证机构在承担信息披露义务的同时 为保护用户合法利益的目的 认证机构尚应承担保密义务 对于下列事项 除非应有关国家机关的书面要求 认证机构不得对外披露 http www lvfangguan org 1 证书用户在申请数字证书时向认证机构披露的身份信息及有关信息 2 证书用户的私人密钥 一 认证机构的主要义务 5 担保义务认证机构一旦将证书发放给用户 就承担着担保证书所述信息真实的义务 这里的真实是指认证机构在证书发放时依法对用户提供的身份状况等情况予以了审查 不存在认证机构明知或应知是虚假信息的情况 同时 该义务要求认证机构没有超过其许可的限额 担保义务不仅仅针对证书持有人 也适用于证书信赖人 二 认证机构的主要权利 认证机构的主要权利表现在它对用户证书的管理上 但是这里的权利在本质上更接近于职权 1 发放证书2 中止证书3 撤销证书4 保存证书 二 证书持有人的义务与权利 一 证书持有人的义务 1 真实告知义务2 妥善保管义务3 交纳费用的义务 二 证书持有人的权利1 有权接受或抛弃认证证书2 有权中止 撤销认证证书3 利用认证证书 三 证书信赖人的权利义务 任何从网络交易的人都是证书信赖人 他门都需要识别对方证书的真实性 考察的方法很简单 认证机构都对其发放的仍然有效的证书放入数据库中 无效或过期的证书列入黑名单中 信赖人据此可以查询 很容易得到结果 据此 信赖人有权查询对方证书的真实性 认证机构有义务提供查询这样的服务 同时 信赖人在信赖对方的证书前 也应当查询对方证书是否有效 四 认证法律关系的性质 网络交易不像传统交易 网络交易首先要搞清楚的是在和谁作交易 他的身份是否真实 信用如何 而有关身份方面的事 由认证机构提供的证书来说明 这样 围绕认证证书这个核心形成了二种法律关系 1 认证机构与证书持有人之间的关系 2 认证机构与证书信赖人之间的关系 一 认证机构与证书持有人之间的关系 认证机构与证书持有人围绕着电子证书发生各种法律关系 这是什么样的法律关系呢 我们可以从证书的申请和取得过程中得出结论 认证机构提供证书服务 目的是表明证书持有人身份信息的真实性 让其他网络主体相信自己 同时 他也可以了解其他证书持有人的证实身份 这是建立网络商事关系的前提 这种证书提供服务是一种信息服务 双方的权利义务记载在证书的申请 接受等认证业务说明中 用户申请获得这样的服务 接受认证证书意味着他同意了双方的权利义务 因此 这是他们之间是合同关系 认证机构与证书持有人之间的合同是认证服务合同 它除了具有合同的一般法律特点 如双务 有偿等之外 它还具有最大诚信 诺成的特点 同时它属于无名合同 一 认证机构与证书持有人之间的关系 1 最大诚信认证服务合同的最大诚信表现在以下几方面 1 用户在申请时必须提供自己真实的身份资料 在证书的有效期间 如果发生重要的记载信息的变更应当及时告知认证机构 以便变更证书记载 2 用户在发现证书的私钥失密或者有可能失密时 也应当及时告知认证机构 3 认证机构的根密钥失密或者发生可能失密的情况时 应当及时告知用户 并采取相应的措施 一 认证机构与证书持有人之间的关系 2 诺成认证服务合同应当是诺成合同 认证服务机构作为网络交易中不可或缺的信息提供商 在网上扮演着重要的角色 它同其他商品提供商一样 不能够挑选用户 同时 基于该网络信息服务的迅捷性 也要求消费者在提出申请 认证机构承诺后 合同即告成立 一 认证机构与证书持有人之间的关系 3 无名合同认证服务合同是无名合同 因此 双方的权利义务不仅仅受到 合同法 和相关法律的调整 更多的由双方的约定来规范 在实务操作中 由于用户更多的是同意或不同意使用认证服务 一般很难改变认证机构业务规范 因而它又具有格式合同的特点 二 认证机构与证书信赖人之间的关系 所谓证书信赖人是指由于相信认证证书的记载而相信证书持有人的身份真实 从而与之进行商事交易的人 从现有的情况看 证书信赖人有几种情况 1 信赖人与被信赖人都是同一认证机构的用户 都持有电子证书 2 信赖人与被信赖人虽然都持有电子证书 但是由不同的认证机构发放的 3 信赖人不持有任何电子证书 二 认证机构与证书信赖人之间的关系 第一种情况 信赖人与认证机构存在认证服务合同 具有合同关系 第二和第三种情况 信赖人与认证机构之间没有合同 纯粹是基于对认证机构的信任而相信证书持有人 但是 不论属于何种情况 对认证机构的信赖始终是存在的 即使在第一种情况之下 也无法否认信赖利益的存在 基于此 这种法律关系应该法定化 他们之间的关系应是一种法定信赖利益关系 认证机构对证书信赖人的法定义务即是其承担责任的基础 该义务集中表现在认证机构的担保义务上 1 认证机构对证书的疏漏和虚假陈述承担责任 2 认证机构对未按其认证业务说明的要求或程序进行操作承担责任 五 交叉认证的法律关系 一 交叉认证的解决方式 持有同一证书的当事人进行交易 他们之间会发生单一的认证关系 当持有不同证书的当事人进行交易时 彼此就会产生交叉认证 从认证本身的要求来看 认证是为了让交易各方了解彼此的状况 而这种了解是基于对认证机构权威性的信任而信任交易对方的 如果交易一方所持证书的发证机构不为对方熟悉 这种信任就很难建立 而网络交易的全球性和认证机构的独立性必然会导致此类情况大量存在 交叉认证既存在国内不同机构的交叉认证 也存在国际间的交叉认证 因此 如何实现认证机构之间的认证 即交叉认证就具有重大意义 一 交叉认证的解决方式 交叉认证的解决方式主要有三种 1 通过国际条约或双边协定来处理2 行政核准方式3 认证担保的方式 二 交叉认证法律关系的性质 交叉认证法律关系的性质因所采用解决方式的不同而有所不同 在以国际条约或双边协定来解决交叉认证的 不同证书持有人对对方的信赖仍是法律上的信赖关系 在同一标准方式下进行的交叉认证是合同关系 利用担保方式进行的交叉认证可视同合同关系 六 认证机构的法律责任 一 认证机构责任限制 认证是一个高风险的行业 既有内部风险又有外部风险 并且一旦发生风险往往会造成非常严重的后果 认证机构在审查当事人的真实身份时应尽合理的注意 无过错的不应承担责任 而不适宜采用无过错的责任原则 一 认证机构责任限制 具体而言 认证机构对于以下几方面可以免责或减轻责任 1 当事人违反认证证书发放的目的进行交易 2 在交易中 其交易额超过证书的有效价值的部分 不承担责任 3 证书持有人知道其密钥已泄密或有被损坏或无用的危险时 在有义务请求撤销而未提出 造成他人损失的 由其本人承担 一 认证机构责任限制 4 认证机构在发现根密钥或信息系统遭到破坏或可能遭到破坏 为避免更大的损失而中止或撤销用户证书的 造成他人损失的可以减轻或免责 5 认证机构在审查证书申请人身份时已尽了合理注意仍不能避免错误的 认证机构对该错误及由此产生的损失免责 6 认证机构对于假冒或仿冒该机构的证书及由此产生的损失不承担责任 二 认证机构赔偿范围限制 认证机构与证书持有人和证书信赖人之间构成法定的权利义务关系 因认证机构的过错导致当事人损失的 应承担赔偿责任 认证机构与证书持有人也可以通过合同来确立彼此责任的范围和大小 损害赔偿有直接损失赔偿和间接损失赔偿之分 直接损失是指现有财产的减少 毁损或灭失 间接损失是指可得利益的损失 主要是利润的损失 二 认证机构赔偿范围限制 这是因为 认证机构是开展电子商务活动的基础设施和公用事业机构 证书用户众多 如果一旦发生赔偿 认证机构很可能无法正常运营 而影响到整个交易的正常进行 因此 认证机构只能就其违约或失职行为所正常的直接损失承担赔偿责任 对于当事人丧失利润或机会的损失 精神上的损失不予赔偿 第六节电子商务认证机构管理一 电子商务认证机构的设立与管理 在电子商务交易过程中 包括电子支付过程中 认证机构都有着不可替代的地位和作用 它是为提供交易双方验证的第三方机构 由一个或多个用户信任的 具有权威性质的组织实体管理 它不仅要对进行电子商务交易的买卖双方负责 还要对整个电子商务的交易秩序负责 一 认证机构的设立 在我国认证机构应是企业法人 其设立与经营应当符合 公司法 的规定 同时还应当符合特殊行业的基本要求具体而言 设立认证机构应符合以下条件 1 经过国家密码管理部门的批准并采用其同意的加密产品 2 经过国家信息安全认证机构的认定 3 注册资本符合法律法规的规定 4 由符合法定规定的发起人和从业人员 5 有符合法定要求的保密制度合认证业务说明 6 其它法律和法规规定的条件 一 认证机构的设立 1 就认证机构的发起人而言 它一方面必须能承担因认证机构业务而产生的财产责任 另一方面 又必须具有从事信用服务的素质或资格 例如美国犹他州 数字签字法 规定 认证机构的发起人须为律师或金融机构 信托公司或保险公司等具有良好信誉和资力之人 2 认证机构的硬件和软件设备和工作环境应符合有关国家机关的规定 以能保证认证业务的正常开展为度 其具体标准 应由主管部门根据技术发展现状做出要求 一 认证机构的设立 认证机构的财产 应符合法律的规定 国外的公司实行授权资本制度 对注册资本的数额要求并不大 但注重公司资产的动态保障 我国传统上对特定行业的注册资金的要求一般都比较高 但高额的注册资本金并不能完全保证其有良好的抗风险能力 因此有必要规定认证机构向有关部门缴纳一定金额的风险保证金或要求其参加一定数额的责任保险 对于认证机构还应规定行业审批制度 认证机构在申请成立时应向有部门提交有关材料 如申请报告 可行性方案 验资证明 国家密码管理部门的批准材料 国家安全测评机构的鉴定材料等 二 认证机构的管理 认证机构的管理包括外部管理和内部管理两部分 外部管理主要是有关主管部门对认证机构的管理 内部管理是认证机构对其自身的管理 外部管理包括 1 审批监督2 审计监督3 业务监管认证机构的自身管理主要是指认证机构对其用户的证书的申请 发放 撤销等方面的管理 二 我国电子商务认证机构的建设 一 电子商务认证机构建设的重要性和紧迫性 电子商务交易顺利进行的关键问题是安全问题 解决安全问题的基本条件就是需要具有相应的电子商务认证机构 为买卖双方提供值得信任