电子商务安全的相关法律

第九章电子商务安全的相关法律9.1电子签名相关法律制度9.2电子认证相关法律制度9.3数据电文安全相关法律制度9.4电子支付安全相关法律制度9.5电子商务安全其他相关法律制度第一页，共六十四页。学习目标和要求

1．掌握电子签名法律在电子商务经营中重要地位，了解我国电子签名法的基本内容；2．掌握电子签名与电子认证相结合而构成的电子商务安全法律基本体系；3．掌握数据电文这种具有与传统书面形式等同功能的文件载体独特的法律规定，熟练运用数据电文法律知识解决相关的纠纷；4．认识电子支付法律在实际中的重要意义，了解电子支付法律是保障电子商务支付安全的基础；5．了解网络信息安全的重要意义，了解网络犯罪以及网络证据搜集。第二页，共六十四页。9.1电子签名相关法律制度9.1.1电子签名的相关概念9.1.2电子签字的法律地位9.1.3电子签字中各方当事人的基本行为规范第三页，共六十四页。9.1.1电子签名的相关概念电子签名是一种新型的核证方法，电子签名与传统的纸张签名行为有很大的区别。《电子签名示范法》的定义：“电子签名系指在数据电文中，以电子形式所含、所附或在逻辑上与数据电文有联系的资料，它可用于鉴别与数据电文有关的签字人和表明此人认可数据电文所含信息。我国的《电子签名法》的规定：“本法所称电子签名，是指中以电子形式所含、所附用于识别签名人身份幷表明签名人认可其中内容的资料。”

电子签名过程中的一些相关概念。

第四页，共六十四页。联合国《电子商务示范法》确定了数据电文的核证：（1）如法律要求有一个人签字，则对于一项数据电文而言，倘若情况如下，即满足了该项要求：第一，使用一种方法。鉴定该人的身份，幷且表明该人认可了数据电文内涵的信息；第二，从所有各种情况看来，包括根据任何相关协议，所用的方法是可靠的，对生成或传递数据电文的目的来说也是适当的。（2）无论本条第（1）款所述的要求是否采取一项义务的形式，也无论法律是不是仅仅规定了无签字时的后果，该款均将适用。

第五页，共六十四页。9.1.2电子签名的法律地位

对电子签名的法律要求（1）电子签名制作资料用于电子签名时，属于电子签名人专有。（2）签署时电子签名制作资料仅由电子签名人控制。（3）签署后对电子签名的任何改动能够被发现。（4）签署后对数据电文内容和形式的任何改动能够被发现。

电子签字效力的归属

（1）可靠的电子签名与手写签名或者盖章具有同等的法律效力。

（2）未经授权的电子签字的法律责任。（3）我国《电子签名法》所确定的法律责任。第六页，共六十四页。

9.1.3电子签字中各方当事人的基本行为规范签字人的行为规范（1）采取合理的谨慎措施，避免他人未经授权使用其签字制作资料。（2）签字人知悉签字制作资料已经失密；或签字人知悉签字制作资料很有可能已经失密的情况；应毫无迟延，应利用认证服务提供人依照本法第9条提供的手段，或做出合理的努力，向签字人可以合理预计的依赖电子签字或提供支持电子签字服务的任何人员发出通知。

（3）在使用证书支持电子签字时，采取合理的谨慎措施，确保签字人做出的关于证书整个有效期的或需要列入证书内的所有实质性表述均精确无误和完整无缺。第七页，共六十四页。认证服务提供人的行为（1）按其所做出的关于其政策和做法的表述行事。

（2）采取合理的谨慎措施，确保其做出的关于证书整个有效期的或需要列入证书内的所有实质性表述均精确无误和完整无缺。（3）提供合理可及的手段，使依赖方得以从证书中证实认证服务提供人的身份、证书中所指明的签字人在签发证书时拥有对签字制作资料的控制、在证书签发之时或之前签字制作资料有效。（4）提供合理可及的手段，使依赖方得以在适当情况下从证书或其它方面证实用以鉴别签字人的方法、签字制作资料或证书的可能用途或使用金额上的任何限制、签字制作资料有效且未发生失密、认证服务提供人规定的责任范围或程度上的任何限制、是否存在签字人依照第8条发出通知的途径、是否提供了及时的撤销服务。（5）

确保提供及时的撤销服务。（6）使用可信赖的系统、程序和人力资源提供其服务。第八页，共六十四页。依赖方的行为规范采取合理的步骤查验电子签字的可靠性；或在电子签字有证书支持时，采取合理的步骤，包括查验证书的有效性、证书的暂停或撤销、遵守对证书的任何限制。

第九页，共六十四页。可信赖性（1）

财力和人力资源，包括是否存在资产。（2）

硬件和软件系统的质量。（3）

证书及其申请书的处理程序和记录的保留。（4）

是否可向证书中指明的签字人和潜在的依赖方提供信息。（5）

由独立机构进行审计的经常性和审计的范围。（6）

是否存在国家、鉴定机构或认证服务提供人作出的关于上述条件的遵守情况或上述条件是否存在的声明。（7）

其它任何有关因素。第十页，共六十四页。9.2电子认证相关法律制度9.2.1电子认证、数字证书与认证机构的概念

9.2.2认证机构的法定权利与义务

9.2.3交叉认证的法律问题

9.2.4电子商务认证机构的管理

第十一页，共六十四页。9.2.1电子认证、数字证书与认证机构的概念电子认证从广义上来说，可以包括认证机构（CertificationAuthentication简称CA）、电子认证行为和数字证书在内的一整套法律制度，从狭义上来说，仅指电子认证行为，即由认证机构采用电子方法以证明电子签字持有人真实身份或电子信息真实的行为。电子认证主要包括身份认证和信息认证。前者用于鉴别用户身份，后者用于保证通信双方的不可抵赖性和信息的完整性。

第十二页，共六十四页。数字证书是目前最常用的认证证书，它是由认证机构签发的数据电文或相关记录以确认持有特定密钥者身份的文件认证机构是指从事颁发为电子签字的目的而使用的加密密钥相关的证书的人。

2005年1月28日中华人民共和国信息产业部通过的《电子认证服务管理办法》

第十三页，共六十四页。9.2.2认证机构的法定权利与义务．认证机构的主要义务

（1）信息披露义务（2）业务说明义务（3）保险义务

（4）保密义务

（5）担保义务

第十四页，共六十四页。认证机构的主要权利

发放证书中止证书

撤销证书

保存证书

第十五页，共六十四页。9.2.3交叉认证的法律问题联合国《电子签字示范法》交叉认证的解决。

《电子签字示范法》规定了承认外国证书和电子签字的一般原则：

（1）不歧视的一般原则（2）基本等同的可靠性原则（3）当事人约定有效原则第十六页，共六十四页。交叉认证的解决方式（1）通过国际条约或双边协定来处理

（2）行政核准方式。

（3）认证担保的方式。

第十七页，共六十四页。9.2.4电子商务认证机构的管理

认证机构的设立

电子商务认证服务规定应当具备下列条件：

（一）具有独立的企业法人资格；（二）从事电子认证服务的专业技术人员、运营管理人员、安全管理人员和客户服务人员不少于三十名；（三）注册资金不低于人民币三千万元；（四）具有固定的经营场所和满足电子认证服务要求的物理环境；（五）具有符合国家有关安全标准的技术和设备；（六）具有国家密码管理机构同意使用密码的证明文件；（七）法律、行政法规规定的其他条件。

第十八页，共六十四页。认证机构的管理认证机构管理包括外部管理和内部管理。内部管理主要是认证机构对用户的证书的申请、发放、撤销等方面的管理，建立完善的安全管理和内部审计制度，并接受信息产业部的监督管理，遵守国家的保密规定，建立完善的保密制度。外部管理主要是有关主管部门对认证机构的管理。第十九页，共六十四页。电子认证服务的暂停、终止

电子认证服务机构拟暂停或者终止电子认证服务：应在暂停或者终止电子认证服务九十日前，就业务承接及其他有关事项通知有关各方。应当在暂停或者终止电子认证服务六十日前向信息产业部报告，并与其他电子认证服务机构就业务承接进行协商，作出妥善安排。未能就业务承接事项与其他电子认证服务机构达成协议的，应当申请信息产业部安排其他电子认证服务机构承接其业务。电子认证服务机构有根据信息产业部的安排承接其他机构开展的电子认证服务业务的义务。电子认证服务机构在有效期内拟终止电子认证服务的，应在终止服务六十日前向信息产业部报告，办理证书注销手续，并持信息产业部的相关证明文件向工商行政管理机关申请办理注销登记。第二十页，共六十四页。电子认证服务机构的法律责任

民事责任。民事责任涉及保密、隐私、知识产权、担保及免责等内容。行政责任。未经许可提供电子认证服务；未在暂停或者终止服务六十日前向国务院信息产业主管部门报告；电子认证服务提供者不遵守认证业务规则、未妥善保存与认证相关的信息，或者有其他违法行为。第二十一页，共六十四页。9.3数据电文安全相关法律制度9.3.1数据电文的基本含义

联合国贸易法委员会《电子商业示范法》规定，数据电文系指经由电子手段、光学手段或类似手段生成、存储或传递的信息，数据电文包括但不限于电子资料交换（EDI）、电子邮件、电报或电传所传递的信息。中国《电子签名法》规定，本法所称数据电文，是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。第二十二页，共六十四页。9.3.2数据电文的功能等价标准数据电文的书面功能标准联合国《电子商业示范法》第6条提供了一种客观标准，即一项数据电文内所含的信息可以随时调取以备日后查阅。我国的《电子签名法》第4条规定：“能够有形地表现所载内容，幷可以随时调取查用的数据电文，视为符合法律、法规要求的书面形式。”

“可以调取”字样是意指计算机料形式的信息应当是可读和可解释的，使这种信息成为可读所可能必需的软件应当保留。“以备”一词幷非仅指人的使用，还包括计算机的处理。“日后查用”它指的是“耐久性”或“不可更改性”。第二十三页，共六十四页。数据电文的签字功能等价标准联合国《电子商务示范法》第7条规定：“（1）如法律要求要有一个人签字，则对于一项数据电文而言，倘若情况如下，即满足了该项要求：（a）使用了一种方法，鉴定了该人的身份，幷且表明该人认可了数据电文内含的信息；和（b）从所有各种情况来，包括根据任何相关协议，所用方法是可靠的，对生成或传递数据电文的目的来说也是适当的。”第二十四页，共六十四页。数据电文的原件功能等价标准联合国《电子商务示范法》规定：如法律要求信息须以其原始形式展现或留存，倘若情况如下，则一项数据电文即满足了该项要求：（a）有办法可靠地保证自信息首次以其最终形式生成，作为一项数据电文或充当其它用途之时起，该信息保持了完整性；和（b）如要求将信息展现，可将该信息显示给观看信息的人我国的《电子签名法》规定：符合下列条件的数据电文，视为满足法律、法规规定的原件形式要求：（一）能够有效地表现所载内容幷可供随时调取查用；（二）能够可靠地保证自最终形成时起，内容保持完整、未被更改。但是，在数据电文上增加背书以及资料交换、储存和显示过程中发生的形式变化不影响数据电文的完整性。第二十五页，共六十四页。数据电文的适用范围我国的《电子签名法》第三条规定，下列情况不得使用：涉及婚姻、收养、继承等人身关系的；涉及土地、房屋等不动产权益转让的；涉及停止供水、供热、供气、供电等公用事业服务的。第二十六页，共六十四页。9.3.3数据电文的效力数据电文的法律确认《电子商务示范法》第5条规定，不得仅仅以某项信息采用数据电文形式为理由而否定其法律效力、有效性或可执行性。我国的《电子签名法》第三条规定，当事人约定使用电子签名、数据电文的文书，不得仅因为其采用电子签名、数据电文的形式而否定其法律效力。

第二十七页，共六十四页。

数据电文在合同订立上的效力

联合国《电子商务示范法》第11条进一步规定，“就合同的订立而言，除非当事各方另有协议，一项要约以及对要约的承诺均可通过数据电文的手段表示。如使用了一项数据电文来订立合同，则不得仅仅以使用了数据电文为理由而否定该合同的有效性或可执行性”。第12条同时规定，“就一项数据电文的发端人和收件人之间而言，不得仅仅以意旨的声明或其它陈述采用数据电文形式为理由而否定其法律效力、有效性或可执行性。”第二十八页，共六十四页。数据电文的证据效力我国《电子签名法》第7条规定：“数据电文不得仅因为其是以电子、光学、磁或者类似手段生成、发送、接收或者储存的而被拒绝作为证据使用。”该法第8条规定：“审查数据电文作为证据的真实性，应当考虑以下因素：（一）生成、储存或者传递数据电文方法的可靠性；（二）保持内容完整性方法的可靠性；（三）用以鉴别发件人方法的可靠性；（四）其它相关因素。”第二十九页，共六十四页。9.3.4数据电文的通讯和保存规则数据电文发送与接受（1）数据电文发送与接受的时间。（2）数据电文收到和发出的地点。第三十页，共六十四页。数据电文的归属对数据电文的归属确定了以下三种情况：第一，对数据电文的发送人而言。第二，对发送人的代理人或电子代理人而言。第三，确定了当发送人或其代理人和收件人或其代理人都不明确的情况下的推定原则。第三十一页，共六十四页。数据电文的保存我国的《电子签名法》也有明确的相关规定,该法第六条规定，符合下列条件的数据电文，视为满足法律、法规规定的文件保存要求：（一）能够有效地表现所载内容幷可供随时调取查用；（二）数据电文的格式与其生成、发送或者接收时的格式相同，或者格式不相同但是能够准确表现原来生成、发送或者接收的内容；（三）能够识别数据电文的发件人、收件人以及发送、接收的时间。第三十二页，共六十四页。9.3.5数据电文与确认收讫确认收讫的含义确认收讫是指在接收人收到发送的信息时，由其本人或指定的代理人或通过自动交易系统向发送人发出表明其已收到的通知。第三十三页，共六十四页。确认收讫的法律效力

联合国《电子商务示范法》列举了两种情况：（1）发端人发送一项数据电文之时或之前，或通过该数据电文，要求或与收件人商定该数据电文需确认收文讫的情况。（2）如发端人未与收件人商定以某种特定形式或某种特定方法确认收讫，可通过足以向发端人表明该数据电文已经收到的情况。第三十四页，共六十四页。9.3.6数据电文和电子错误什么是电子错误所谓“电子错误”是指发送过程中，交易双方因使用信息处理系统时产生的错误。如消费者在网上定购1台计算机，但自动交易系统却将其识别为10台计算机，幷作出承诺。第三十五页，共六十四页。

电子错误的法律调整规则在当事人双方有约定的情形下。在当事人双方没有约定的情形下。若一方采用某种程序检测到对方所发出信息有变动或错误。第三十六页，共六十四页。免责数据电文在传输过程中由于以下原因可以免责，下述情形可认为是不可抗力：

（1）文件感染病毒。（2）非因自己原因的网络中断（3）非因自己原因引起的电子错误第三十七页，共六十四页。9.4电子支付安全相关法律9.4.1电子支付9.4.2电子货币的法律问题9.4.3网上银行法律问题第三十八页，共六十四页。9.4.1电子支付电子支付的法律概念和特征电子支付从狭义角度讲，又称电子资金划拨(electronicfundstransfer,简称EFT)，美国《统一商法典》给出了定义：电子支付是支付命令发送方将存放于商业银行的资金，通过传输线路划入收益方开户银行，以支付收益方的一系列过程。狭义的电子支付定义主要指电子资金划拨业务。中国人民银行《电子支付指引(第一号)》第二条定义：电子支付是指单位、个人（以下简称客户）直接或授权他人通过电子终端发出支付指令，实现货币支付与资金转移的行为。第三十九页，共六十四页。国内外有关电子支付的立法美国1978年颁布的《电子资金划拨法》(ElectronicFundsTransfersAct,EFTA),适用于联储电划系统与消费者电子资金划拨,成为世界上最早出台的有关电子支付的专项立法。1998年7月发布了《欧盟电子货币指令》草案，2000年10月正式发布《电子货币机构指令》（EMIDirective），标志着欧盟关于电子货币的法律框架正式形成。第四十页，共六十四页。电子支付当事人及其权利和义务电子资金划拨的当事人指令人的权利与义务接收行的权利与义务收款人的权利与义务第四十一页，共六十四页。电子支付业务的申请银行应根据审慎性原则,确定要办理电子支付业务的客户应符合的条件。银行应认真审核指令人申请办理电子支付业务的基本资料指令人可以在其已开立的银行结算账户中指定办理电子支付业务的账户。第四十二页，共六十四页。电子支付的发起和接收指令人和发起行在电子支付过程中的角色是不同的,发起行应当遵守相关协议,接收行也要按照与发起行的相关协议处理接收问题。第四十三页，共六十四页。电子支付的安全规则支付金额的限制发起行的信息管理保护资料的完整性和可靠性电子支付交易资料保密授权控制确保职责分离第四十四页，共六十四页。电子支付的差错处理电子支付业务的差错处理应遵守据实、准确和及时的原则,《电子支付指引(第一号)》第5章对电子支付差错的处理做出了规范。第四十五页，共六十四页。9.4.2电子货币的法律问题电子货币概述1998年8月欧洲中央银行发布《电子货币》报告中“电子货币”定义巴塞尔委员会1996年8月《电子货币的安全》中定义2000年欧盟认为，电子货币乃指一种存储于电子设备上的货币价值，它表现为对发行人所享有的请求权。我国学者对电子货币的定义也多种多样，如电子货币的存在形式是电子数据，电子货币是一种支付手段，电子货币是货币价值的电子化等等。第四十六页，共六十四页。电子货币的发行2012年1月中国人民银行在《关于规范银行业金融机构发行磁条预付卡和电子现金的通知》中就银行业金融机构在下列情形下，经中国人民银行批准后可发行磁条预付卡或电子现金做出了规定：第四十七页，共六十四页。电子货币的风险控制与金融监管对电子货币的发行者的限制。对发行者的准备金要求。存款保险和其他保险要求。对电子货币允许保有的价值额度、消费者单笔交易额等的限制。2012年1月中国人民银行在《关于规范银行业金融机构发行磁条预付卡和电子现金的通知》就我国发行磁条预付卡和电子现金等电子货币的监管做出了规定：第四十八页，共六十四页。虚拟货币的监管虚拟货币是网络服务商发行的能够在互联网上存在的、购买自己或者签约服务商所提供的商品或服务的一种电子数据。韩国在2006年12月底通过了《游戏产业振兴法修正案》，其中禁止虚拟货币交易，不允许将游戏里的虚拟物品、游戏币兑换成现金，违者将处以5年以下有期徒刑或给予5000万韩元以下的罚款。2007年2月15日，中国人民银行等十四个部委发布的《关于进一步加强网吧及网络游戏管理工作的通知》第四十九页，共六十四页。9.4.3网上银行法律问题

网上银行概述网上银行,又称网络银行或者在线银行,是指设在互联网上的,以金融资产和负债为经营对象,以利润最大化为主要目标,提供多样化服务的信用中介机构。网上银行的发展经历了以下四个阶段:第五十页，共六十四页。网上银行的许可和监管问题2005年11月10日,中国银行业监督管理委员会通过《电子银行业务管理办法》,以加强电子银行业务的风险管理。2006年1月26日,中国银行业监督管理委员会又发布了《电子银行安全评估指引》,保证电子银行安全评估的客观性、及时性、全面性和有效性。第五十一页，共六十四页。网上银行风险控制与监管《电子银行业务管理办法》要求我国金融机构应当保障电子银行运营设施设备，以及安全控制设施设备的安全，对电子银行的重要设施设备和数据，采取适当的保护措施。第五十二页，共六十四页。9.5电子商务安全其他相关法律问题9.5.1网络犯罪网络犯罪的形式与特点网络犯罪的形式网络犯罪一般与网络欺诈和网络滥用有关。软件盗版与侵犯知识产权,一般不列入网络犯罪。网络欺诈网络滥用第五十三页，共六十四页。.2网络犯罪的特点(1)无现场性。

(2)跨国性。

(3)从犯罪主体的特征看,具有从高智商化向平民化、年轻化和职业分布广泛化发展的特点。第五十四页，共六十四页。网络犯罪的法律监管我国香港地区颁布了网络犯罪法律,可对黑客行为提起刑事诉讼。1986年美国立法机构相继通过了《计算机诈骗与滥用法》、《国家信息基础保护法》,明确了对网络犯罪的处罚,并于1987年颁布了《联邦计算机安全处罚条例》。1994年的《中华人民共和国计算机信息系统安全保护条例》;1997年《计算机信息网络安全保护管理办法》;2000年《关于维护互联网安全的决定》。第五十五页，共六十四页。9.5.2网络言论自由与网络道德安全

网络言论自由与审查制度互联网和电子商务的出现带来了当今时代最大的争议——言论自由与审查。审查是指政府通过各种方法来控制互联网上传播的内容。1996年2月1日,美国颁布《正当通信法》对网络色情进行了定义,还涉及保护儿童不受色情、暴力和其他潜在危险影响的内容,但是后来由于违宪而被取消了。1998年1月德国慕尼黑的调查官起诉了CompuServe,要求其关闭200多个与性相关的网上新闻组,因为它违反了德国法律。1999年美国颁布了《禁止因特网赌博法》,使得除最小金额赌博外的所有在线赌博都成为违法行为。我国信息产业部于2000年10月8日颁布的《互联网电子公告服务管理规定》第五十六页，共六十四页。互联网道德安全问题下列行为是否被认为不道德尚有争论:(1)公司利用从Cookie和问卷中收集的信息来建立潜在顾客的列表,并将这些资料卖给广告商。由于有些列表并不准确,导致人们会收到大量不合适的电子邮件。(2)公司允许员工有限地为私人目的使用互联网,然后在员工无意识的情况下监控其使用情况。(3)一家软件公司的总裁明知其公司开发的软件有错误,仍在网上销售。第五十七页，共六十四页。网络垃圾邮件垃圾邮件（Spam）即未经请求的大量发送的电子广告邮件。垃圾邮件必须具有三个构成条件：一是未经请求，即未征得收件人的同意。二是大量发送。这要求垃圾邮件发送者必须是一次性发送大量的电子邮件。三是广告邮件。这要求垃圾邮件的内容必须是商业性广告，而出于政治或打击报复等目的发送的电子邮件排除在垃圾邮件之外。第五十八页，共六十四页。9.5.3网络数据安全与信息保存

商业秘密网络安全保护商业秘密（trade-secret），又称为营业秘密，在世界贸易组织《与贸易有关的知识产权协议》（TRIPs）中被称为"未披露过的信息"。我国《反不正当竞争法》中也称为商业秘密。涉及网络对商业秘密的侵犯最经常的技术方式是通过电子邮件的方式，电子邮件传送信息可能造成的商业秘密侵害。此外，以FTP传输文件、BBS电子公告板方式、新闻组和远程登录（Telnet）等方式都可以泄露或窃取等造成对商业秘密的侵害。第五十九页，共六十四页。个人资料网络安全保护个人资料一般指自然人的一些基本信息，包括姓名、年龄、通讯地址、血型、种族、国籍、电话号码、婚姻状态等,还应包括个人的背景资料如个人文化程度、爱好、职业等。网络个