电子商务签字与认证法律制度电子商务安全认证

电子商务法开课单位:辽宁科技大学工商管理学院教师:王德林电子邮箱:aswangdelin@第1页，共23页。4电子商务签字与认证法律制[教学目的与要求]：本章主要介绍在线交易参与主体、标的物、交易模式，以及网上交易主体的设立，认定和法律管制等方面的法律规则。要求学生了解相关知识5/12/20232电子商务签字与认证法律制度第2页，共23页。依法获证的电子认证服务机构名单发布日期：2007-10-29

根据《中华人民共和国电子签名法》和《电子认证服务管理办法》的有关规定，山东省数字证书认证管理有限公司等十七家机构的电子认证服务资质申请已经依法受理。经按规定程序审查，十七家机构符合从事电子认证服务的法定条件，经信息产业部王旭东部长批准，准予许可，颁发《电子认证服务许可证》。

获证机构名单如下：

5/12/20233电子商务签字与认证法律制度第3页，共23页。

序号单位名称许可证号1山东省数字证书认证管理有限公司

ECP370102050012中金金融认证中心有限公司ECP110104050023北京天威诚信电子商务服务有限公司ECP11010805003

4陕西省数字证书认证中心有限责任公司ECP61011305004

5国投安信数字证书认证有限公司ECP220104050056广东省电子商务认证有限公司

ECP440106050067广东数字证书认证中心有限公司ECP440102050078上海市数字证书认证中心有限公司ECP310115050089北京数字证书认证中心有限公司ECP11010805009

10辽宁数字证书认证管理有限公司ECP21010205010

11湖北省数字证书认证管理中心有限公司ECP42010605011

12颐信科技有限公司

ECP11010505012

13江苏省电子商务证书认证中心有限责任公司ECP32011105013

14重庆市数字证书认证中心有限公司ECP50010705014

15浙江省数字安全证书管理有限公司

ECP33010305015

16福建省数字安全证书管理有限公司

ECP35010506016

17新疆数字证书认证中心（有限公司）ECP6501010601718河南省数字证书有限责任公司ECP4101020601819北京国富安电子商务安全认证有限公司ECP1101150601920安徽省电子认证管理中心有限责任公司

ECP3401110602021河北省电子商务认证服务有限公司

ECP1301010602122西部安全认证中心有限责任公司

ECP6401010702223天津远博网络有限公司

ECP1201930702324山西省数字证书认证中心（有限公司）

ECP1401000702425深圳市电子商务安全证书管理有限公司

ECP440301070255/12/20234电子商务签字与认证法律制度第4页，共23页。4.4电子商务安全认证概述4.4.1电子认证、数字证书与认证机构的概念

1、电子认证（1）从广义上来说，可以包括认证机构（CertificationAuthentication简称CA）、电子认证行为和数字证书在内的一整套法律制度。（2）从狭义上来说，仅指电子认证行为，即由认证机构采用电子方法以证明电子签字持有人真实身份或电子信息真实的行为。（4）电子认证的分类：①身份认证，用于鉴别用户身份；②信息认证，用于保证通信双方的不可抵赖性和信息的完整性。5/12/20235电子商务签字与认证法律制度第5页，共23页。4.4.1电子认证、数字证书与认证机构的概念2、数字证书

数字证书是目前最常用的认证证书，它是由认证机构签发的数据电文或相关记录以确认持有特定密钥者身份的文件。3、认证机构

认证机构是指从事颁发为电子签字的目的而使用的加密密钥相关的证书的人。5/12/20236电子商务签字与认证法律制度第6页，共23页。4.4.2数字证书的分类与管理1.数字证书的种类（1）按照数字证书应用对象的不同：持卡人证书和商家证书。（2）按照数字证书应用对象的不同（也可以分为）①个人用户证书、企业用户证书、服务器证书及代码证书；②发卡机构证书、银行证书和支付网关证书5/12/20237电子商务签字与认证法律制度第7页，共23页。4.4.2数字证书的分类与管理2.数字证书的申请（1）个人申请数字证书，须向认证机构业务受理点提交以下材料：①有效身份证件，如身份证、驾驶证、护照等；②有效的联系方式，如电话、通信地址、电子邮箱等；在具备上述条件后，填写申请表和签订用户协议，申请即告结束。（2）认证机构接受用户申请，需要核实申请人的身份事项，审核通过，认证机构即向申请人发放证书。认证机构对个人证书申请的验证方法主要有：①验证申请人电子邮箱的真实性；②查询可信的信息数据库，通过核实和证实可信的数据库内申请人的个人信息，识别和鉴证其身份。所谓可信的数据库由认证机构决定。当面核实；当面核实通过身份证原件、复印件和本人的比较。5/12/20238电子商务签字与认证法律制度第8页，共23页。4.4.2数字证书的分类与管理（3）企业申请证书，程序与个人申请相同。但验证条件有所不同：①认证机构要求企业提交工商营业执照、ICP营运证、税务登记等证书，以确定该单位的真实性和该单位的服务器确实存在；②同时，认证机构还需验证申请单位法定代表人的身份以及授权人的证明和身份。在申请证书获得认证机构的验证后，认证机构会将包含密钥的标记载体（如密码信封、条码、数字信息）交给申请人，以保证申请人在安全状态下获得证书。交付的方式可以是面对面交付，也可以通过邮政信函或者电子邮件等方式。申请人在收到密码后，根据认证机构的操作提示，完成证书的安装程序并投入使用。5/12/20239电子商务签字与认证法律制度第9页，共23页。4.4.2数字证书的分类与管理3.数字证书的保存

数字证书有一定的有效期限，多数认证机构规定数字证书的有效期为一年，期满经申请续费后可延长。但是，不论证书期限是否届满，有关证书的资料，如申请资料、证书等必须在一定的期限内保存。4.证书中止

证书中止是在出现影响证书安全时的一种临时措施，根据事态的发展，证书可能会被撤销，也可能证书效力恢复。

5/12/202310电子商务签字与认证法律制度第10页，共23页。4.4.2数字证书的分类与管理5、证书撤销（1）在证书的有效期间，如果发生特殊情况，危及证书持有人或他人的利益时，证书就无法继续使用。当然，证书持有人也可以申请撤销证书。（2）证书撤销的事由主要有：①证书关系主体资格方面，如认证机构解散、证书持有人死亡或解散；②证书记载方面，如记载反映的情况已经发生变化而未作变更；③证书技术基础发生变化，如认证机构或用户的私钥泄密、新密钥代替原密钥等；④有关主体的行为，如用户请求撤销、认证机构或用户违反业务说明等；⑤有关主管机构的命令等。5/12/202311电子商务签字与认证法律制度第11页，共23页。4.5电子商务认证法律关系4.5.1认证机构的法定义务与权利1.认证机构的主要义务（1）信息披露义务①认证机构根证书的说明；②用户的公钥；③作废证书名单；④认证业务说明；⑤认证机构作为公司登记时应公开的有关记录；⑥其它任何影响证书安全性能或认证机构服务能力的事实。5/12/202312电子商务签字与认证法律制度第12页，共23页。4.5.1认证机构的法定义务与权利(2)业务说明义务①用户身体鉴定要求；②证书类别及申请、签发、撤销、续展等操作规程；③保密制度；④用户责任和义务；⑤安全控制规程；⑥认证机构的赔偿范围及限额；⑦与认证机构相关的其他重要内容。5/12/202313电子商务签字与认证法律制度第13页，共23页。4.5.1认证机构的法定义务与权利(3)保险义务(4)保密义务(5)担保义务①证书用户在申请数字证书时向认证机构披露的身份信息及有关信息；②证书用户的私人密钥。5/12/202314电子商务签字与认证法律制度第14页，共23页。4.5.1认证机构的法定义务与权利2、认证机构的主要权利

认证机构的主要权利表现在它对用户证书的管理上。但是这里的权利在本质上更接近于职权。(1)发放证书(2)中止证书(3)撤销证书(4)保存证书5/12/202315电子商务签字与认证法律制度第15页，共23页。4.5.2证书持有人的义务与权利1、证书持有人的义务(1)真实告知义务(2)妥善保管义务(3)交纳费用的义务2、证书持有人的权利(1)有权接受或抛弃认证证书(2)有权中止、撤销认证证书(3)利用认证证书

5/12/202316电子商务签字与认证法律制度第16页，共23页。4.5.3证书信赖人的权利义务信赖人有权查询对方证书的真实性，认证机构有义务提供查询这样的服务。同时，信赖人在信赖对方的证书前，也应当查询对方证书是否有效。5/12/202317电子商务签字与认证法律制度第17页，共23页。4.5.4认证法律关系的性质5/12/202318电子商务签字与认证法律制度第18页，共23页。4.5.5交叉认证的法律关系1、交叉认证的解决方式2、交叉认证法律关系的性质交叉认证法律关系的性质因所采用解决方式的不同而有所不同。在以国际条约或双边协定来解决交叉认证的，不同证书持有人对对方的信赖仍是法律上的信赖关系。在同一标准方式下进行的交叉认证是合同关系。利用担保方式进行的交叉认证可视同合同关系。(1)交叉认证的解决方式①通过国际条约或双边协定来处理注：加入条约或协定的国家，均承认对方认证机构发放的证书②行政核准方式注：境外认证机构在境内活动，得到境内行政部门的核准。③认证担保的方式注：寻求境内认证机构提供担保。5/12/202319电子商务签字与认证法律制度第19页，共23页。4.5.6认证机构的法律责任1、认证机构责任限制认证是一个高风险的行业，既有内部风险又有外部风险，并且一旦发生风险往往会造成非常严重的后果。认证机构在审查当事人的真实身份时应尽合理的注意，无过错的不应承担责任，而不适宜采用无过错的责任原则。5/12/202320电子商务签字与认证法律制度第20页，共23页。4.5.6认证机构的法律责任（1）当事人违反认证证书发放的目的进行交易。（2）在交易中，其交易额超过证书的有效价值的部分，不承担责任。（3）证书持有人知道其密钥已泄密或有被损坏或无用的危险时，在有义务请求撤销而未提出，造成他人损失的，由其本人承担。(4）认证机构在发现根密钥或信息系统遭到破坏或可能遭到破坏，为避免更大的损失而中止或撤销用户证书的，造成他人损失的可以减轻或免责。(5）认证机构在审查证书申请人身份时已尽了合理注意仍不能避免错误的，认证机构对该错误及由此产生的损失免责。(6）认证机构对于假冒或仿冒该机构的证书及由此产生的损失不承担责任。免责或减轻责任情况

5/12/202321电子商务签字与认证法律制度第21页，共23页。4.5.6认证机构的法律责任认证机构与证书持有人和证书信赖人之间构成法定的权利义务关系，因认证机构的过错导致当事人损失的，应承担赔偿责任，认证机构与证书持有人也可以通过合同来确立彼此责任的范围和大小。损害赔偿有直接损失赔偿和间接损失赔偿之分，直接损失是指现有财产的减少、毁损或灭失；间接损失是指可得利益的损失，主要是利润的损失。这是因为，认证机构是开展电子商务活动的基础设施和公用事业机构，证书用户众多，如果一旦发生赔偿，认证机构很可能无法正常运营，而影响到整个交