《第二章电子签名与电子认证法律制度ppt课件.pptx》由会员分享,可在线阅读,更多相关《第二章电子签名与电子认证法律制度ppt课件.pptx(56页珍藏版)》请在三一办公上搜索。
1、第二章 电子签名与电子认证 法律制度,第一节 电子签名法概述,一、电子签名法的颁布及主要内容(一)电子签名法的颁行及原因(二)电子签名的立法特点1、技术问题复杂,但法律问题相对简单2、具有很强的国际统一趋势3、采取了“技术中立”的立法原则,(三)电子签名法的主要内容,1、确立了电子签名的法律效力2、对数据电文作了相关规定3、设立电子认证服务市场准入制度4、规定电子签名安全保障制度,二、电子签名法中的几个基本概念,(一)数据电文(二)电子签名1、电子签名的定义2、电子签名的特征电子签名是以电子形式存在的数据。电子签名附着于数据电文。电子签名要能实现传统签名的基本功能。,3、电子签名的形式电子化签
2、名电子化签名是指对手写签名进行模式识别的签名方法。签名者签署电子化签名时,首先用电子笔在手写感应板上书写自己的签名,然后感应数据并传送至计算机,由计算机将数据进行加密等处理,并将该签名数据与其所要签署的文件绑定在一起,完成与传统手写签名几乎完全一致的签署行为。对电子化签名进行验证时,需将该签名与留存的签名样式用模式识别的数学计算方法进行比对,以辨认该签名之真伪。,生理特征签名生理特征签名是一种基于用户指纹、视网膜结构、手掌掌纹、声音纹、全身形体特征以及脸部特征等独一无二的生理特征通过生物识别技术进行身份识别的签名方法。,数字签名ISO7498-2标准将数字签名定义为:“附加在数据单元上的一些数
3、据,或是对数据单元所作的密码变换,这种数据和变换允许数据单元的接收者用以确认数据单元来源和数据单元的完整性,并保护数据,防止被人(例如接收者)进行伪造。”美国电子签名标准(DDS,FIPS186-2)从技术的角度解释电子签名:“利用一套规则和一个参数对数据计算所得的结果,用此结果能够确认签名者的身份和数据的完整性”。其中所谓的规则和参数指的是非对称加密系统和哈希函数。所以,数字签名指的是基于公钥基础设施(public key infrastructure,PKI)运用非对称加密系统和哈希函数变换的电子记录组成的电子签名。,4、电子签名的功能证明文件的来源表明签名人对文件内容的确认是构成签名人对
4、文件内容正确性和完整性负责的根据,(三)电子认证与电子签名认证证书,1、电子认证电子认证指以特定的机构,对电子签名及其签署者的真实性进行验证的具有法律意义的服务。四大特性:真实性、完整性、机密性、不可否认性,2、电子认证证书3、电子认证服务机构(四)其他相关概念1、电子签名人2、电子签名依赖方3、电子签名制作数据4、电子签名验证数据,第二节 数据电文与电子签名的法律效力,一、电子签名与数据电文的法律效力范围民事活动中的合同或者其他文件、单证等文书,当事人可以约定使用或者不使用电子签名、数据电文。不适用范围:(一)涉及婚姻、收养、继承等人身关系的;(二)涉及土地、房屋等不动产权益转让的;(三)涉
5、及停止供水、供热、供气、供电等公用事业服务的;(四)法律、行政法规规定的不适用电子文书的其他情形。,二、数据电文的法律效力,(一)数据电文符合法定书面形式要求的规定(二)数据电文符合法定原件形式要求的规定(三)数据电文符合法定文件保存要求的规定1、能够有效地表现所载内容并可供随时调取查用2、数据电文的格式要求3、能够识别数据电文的发件人、收件人及发送、接收的时间,(四)数据电文的证据效力1、数据电文的可采性2、数据电文电文的真实性生成、储存或者传递数据电文方法的可靠性保持内容完整性方法的可靠性用以鉴别发件人方法的可靠性其他相关因素,(五)数据电文的归属与确认1、数据电文的归属归属的推定是指在交
6、易当事人对签署者的身份发生争议时所应采用的规则。我国电子电子签名法第九条对数据电文归属作了规定:“数据电文有下列情形之一的,视为发件人发送;经发件人授权发送的;发件人的信息系统自动发送的;收件人按照发件人认可的方法对数据电文进行验证结果相符的。”,2、数据电文确认收讫3、数据电文发送和接收时间4、数据电文的接收时间的确认(六)数据电文的发送地点和接收地点,三、电子签名的法律效力,(一)可靠的电子签名1、可靠的电子签名应当具备的法定条件电子签名制作数据用于电子签名时,属于电子签名人专有;签署时电子签名制作数据仅由电子签名人控制;签署后对电子签名的任何改动能够被发现;签署后对数据电文内容和形式的任
7、何改动能够被发现。2、可靠的电子签名与手写签名或者盖章具有同等的法律效力,2004年1月,杨先生结识了女孩韩某。同年8月27日,韩某发短信给杨先生,向他借钱应急,短信中说:“我需要5000,刚回北京做了眼睛手术,不能出门,你汇到我卡里”。杨先生随即将钱汇给了韩某。一个多星期后,杨先生再次收到韩某的短信,又借给韩某6000元。因都是短信来往,二次汇款杨先生都没有索要借据。此后,因韩某一直没提过借款的事,而且又再次向杨先生借款,杨先生产生了警惕,于是向韩某催要。但一直索要未果,于是起诉至海淀法院,要求韩某归还其11000元钱,并提交了银行汇款单存单两张二张。但韩某却称这是杨先生归还以前欠她的欠款。
8、为此,在庭审中,杨先生在向法院提交的证据中,除了提供银行汇款单存单两张外,还提交了自己使用的号码为1391166XXXX的飞利浦移动电话一部,其中记载了部分短信息内容。如:2004年8月27日15:05,那就借点资金援助吧。,2004年8月27日15:13,你怎么这么实在!我需要五千,这个数不大也不小,另外我昨天刚回北京做了个眼睛手术,现在根本出不了门口,见人都没法见,你要是资助就得汇到我卡里!等韩某发来的18条短信内容。后经法官核实,杨先生提供的发送短信的手机号码拨打后接听者是韩某本人。而韩某本人也承认,自己从去年七八月份开始使用这个手机号码。(1)从此案法官判决中可以看出,法官引用了电子签
9、名法中的规定,您认为在此案中,手机短信是否能作为证据?(5分)(2)如何来确定短信的法律效力?(5分),参考答案:1、您认为在此案中,手机短信是否能作为证据 答:我认为此案中杨先生的手机短信可以作为曾借给韩女士11000元的证据。因为短信内容显示的时间和所述的事情经过与杨先生所做的描述相符,况且韩女士之前也承认该手机号为她自己所用。还有很重要的一点:电子签名法第7条规定,“数据电文不得仅因为其是以电子、光学、磁或者类似手段生成、发送、接收或者储存的而被拒绝作为证据使用”。,2.如何来确定短信的法律效力 答:由于手机短信的易修改、易编辑的特性,同时,受网络、环境、技术等多方面的影响致使其容易出错
10、,因此短信作为证据的真实性、可靠性是其具有证据证明力的重要依据,也是其被审查的主要方面。所以,当事人在利用手机短信证据时,对证据可采性的判断需要满足三个标准,即相关性、可靠性和正当性。另外要注意以下几点来确定短信作为证据的法律效力:,(1)要有证据证明该手机号码确属对方所有,且不存在被别人错发短信的情况。(2)要证明所用手机收件箱中短信应属只读文件,不能修改。否则证据效力将大打折扣甚至丧失。(3)短信是间接证据,因此当事人要尽量多的提供对自己有利的其他证据,使之彼此印证。所有证据保持一致,形成完整、有效、严密的证据链,就比较容易达到证明事实存在的效果。(4)可向法院申请证据保全:依据民事诉讼法
11、第74条规定,在证据可能灭失或者以后难以取得的情况下,诉讼参加入可以向人民法院申请证据保全,请求人民法院以勘验、制作笔录等方式将短信内容固定下来。为避免手机短信灭失,故在提起诉讼后,便可立即向法院申请证据保全。,(5)诉前可以进行公证:依据民事诉讼法第67条的规定,当事人可以请公证机关对手机短信予以公证。经过法定程序公证证明的法律行为、法律事实和文书,人民法院应当作为认定事实的根据。但有相反证据足以公证证明的除外。因此,为防止手机短信灭失,在收到手机短信后、提起诉讼前,便可将手机短信进行公证,这份公证所具有的证据效力远远大于短信本身。(6)要注意取证手段的合法性和取证环节的完整性,即证据的收集
12、方式或程序等要合法,使证据的形成不存在瑕疵。,3.这个案子的意义 答:在目前运用的电子证据中,短信要作为证据是可采信的,但是效力的确定非常困难,也不能单独作为定案证据。原因如下:一是法院没有权利从通讯商处调阅短信内容,二是由于手机号码没有实名制度,短信清单只能证明某个号码发出了短信,但不能证明该短信是某个特定人发送的。在此案例中,法院经审核将杨先生提供的手机短信作为证据并批准了其诉讼请求,表现了电子数据证据在法律中运用的突破性与大胆的创新尝试,也说明了短信证据得到肯定在以后类似纠纷案件中的应用。,(二)电子签名人的法律义务1、电子签名人应当妥善保管电子签名制作数据2、电子 签名制作数据已经失密
13、或可能已经失密,应当及时告知有关各方,并终止使用该电子签名制作数据(三)伪造、冒用、盗用他人的电子签名的法律责任刑事责任民事责任,第三节 电子认证服务概述,电子认证服务,是指电子认证服务机构里利用电子认证技术为电子签名相关各方提供真实性、可靠性验证的公众服务活动。电子认证技术是保证电子商务交易安全的一项重要技术,主要包括用户身份认证和信息认证。前者用于鉴别用户身份,保证通信双方身份的真实性;后者用于保证通信双方的不可抵赖性和信息的完整性。,一、电子认证服务机构与电子认证服务概述,(一)基本概念1、认证的概念 广义的认证:即鉴别,主要包含对事物真伪的辨识的意思,它既可以是第三人鉴别,也可能是当事
14、人之间相互的鉴别。狭义的认证:特指由认证服务的第三方机构所进行的鉴别。2、电子认证的概念 电子认证是以特定的机构对电子签名及其签字者的真实性进行验证的具有法律意义的服务。作用:信息公示、防止欺诈、对内防止否认,(二)电子认证机构的职能签发证书验证并标识证书申请者的身份证书库管理证书的更新证书的查询证书的归档作废处理系统,(三)电子签名和电子认证的法律关系电子签名是电子认证产生的前提条件电子认证是电子签名的有效保障,二、电子认证立法情况,电子签名法电子认证服务管理办法电子认证服务密码管理办法,三、电子认证机构的设立,(一)认证机构申请设立的条件依照我国电子认证服务管理办法,设定认证机构应当满足以
15、下条件:(1)具有独立的企业法人资格;(2)从事电子认证服务的专业技术人员、管理人员、安运营全管理人员和客户服务人员不少于30名(3)注册资金不低于人民币三千万元(4)固定的经营场所和满足电子认证服务要求的物理环境(5)具有符合国家有关安全标准的技术和设备(6)具有国家密码管理机构同意使用密码的证明文件(7)法律、行政法规规定的其他条件,(二)电子认证服务许可的申请与审批申请审批,四、电子认证服务机构,(一)电子认证机构的业务范围制作、签发、管理电子签名认证证书;确认签发的电子签名认证证书的真实性;提供电子签名认证证书目录信息查询服务;提供电子签名认证证书状态信息查询服务。例如,持卡人要与商家
16、通信,持卡人从公开媒体上获得了商家的公开密钥,但持卡人无法确定商家不是冒充的(是有信誉的),于是持卡人请求CA对商家认证,CA对商家进行调查、验证和鉴别后,将包含商家Public Key(公钥)的证书传给持卡人。同样,商家也可对持卡人进行验证。,(二)电子认证服务机构的法定权利与义务 认证服务机构以其信誉为电子商务交易各方提供信用,因此认证服务机构在电子商务中是一个非常重要的独立的第三方主体,其在交易活动中的权利义务对各信赖主体的判断、选择和交易都具有关键性的影响。而仅以合同的方式来确定认证机构的权利义务尚不足以明确认证服务机构在电子商务中的地位与责任,也不利于交易的安全与秩序。因此,必须从法
17、律上加以界定。,1、认证机构的主要义务,信息披露义务信息产业部电子认证服务管理办法规定,取得认证资格的电子认证服务机构,在提供电子认证服务之前,应当通过因特网公布下列信息:机构名称和法定代表人;机构住所和联系办法;电子认证服务许可证编号;发证机关和发证日期;电子认证服务许可证有效期的起止时间。,美国犹他州数字签字法第203条规定,认服务证机构披露记录的内容应包括:任何实质影响认证服务机构施行业务能力的活动或事件,或在10个以上的主管部门或承认的公告栏里登载的有效名单;如果要求以包含公开密钥的证书证明已经被撤销或正在吊销的证书,应披露这些证书撤销或吊销的日期;目前日期一年内的声明,包含额外的规则
18、与政策,并不超过2000字节长,如果认证机构按主管部门规定的形式提交了声明的话;以及主管部门要求的其他信息;主管部门应在其公告栏中保持电子数据库,包含根据本条规定的,对每一个许可之认证服务机构的记录披露。联合国电子签字示范法第9条也规定了认证服务机构应该提供合理的查证途径,使对方能够通过证书确认认证服务提供商的身份。,2.业务说明义务,该义务要求认证服务机构公开其工作流程和为用户提供的服务及服务内容。信息产业部电子认证服务管理办法第十五条规定,电子认证服务机构应当按照信息产业部公布的电子认证业务规则规范(试行)的要求,制定本机构的电子认证业务规则,并在提供电子认证服务前予以公布,向信息产业部备
19、案。业务说明的主要内容包括:(1)描述任何与认证信息发布相关的内容,包括信息库的运营者、运营者的职责、信息发布的频率以及对所发布信息的访问控制等。,2.业务说明义务,(2)运营信息库的实体标识,如电子认证服务机构、或独立信息库服务提供者。(3)运营者发布其业务实践、证书和证书当前状态的职责,标识出对公众可用和不可用的项、子项和元素。(4)信息发布的时间和频率。(5)对发布信息的访问控制,包括证书策略(CP)、电子认证业务规则(CPS)、证书、在线证书状态协议(OCSP)和证书吊销列表(CRL)。,3.保险义务,认证服务机构是一个高风险的行业,既面临着内部人员操作错误甚至恶意操作等机构运营带来的
20、风险又必须提防外部攻击,技术的飞速进步也会致使机构业务发生重大变化,而且一旦发生风险往往超出认证服务机构本身的控制。因此,为了减少认证服务机构的风险和稳定交易秩序,有必要施以认证服务机构参加责任保险之义务。认证服务机构可就下列业务投保:外部进攻者对被保险人用户的数字证书业务系统进行攻击,破译该电子商务安全技术、伪造证书、篡改数据而造成被保险人用户交易账户资金的损失;,3.保险义务,病毒入侵被保险人用户的数字证书业务系统而造成被保险人用户交易账户资金的损失;火灾、水管爆裂致使被保险人数字证书业务系统遭到破坏,造成被保险人用户交易账户资金的损失;被保险人用户的数字证书丢失,报失后,他人利用其数字证
21、书进行交易,造成被保险人用户交易账户资金的损失。信息产业部电子认证业务规则规范规定,电子认证服务机构应声明以下事项:自己所负有的责任保险范围、利用其他资源来支持其运营和对潜在责任进行赔付、对其他参与者提供首方责任险或担保保护的程序。,4保密义务,电子认证服务机构在承担信息披露义务的同时,为保护用户合法利益的目的,应承担保密义务。信息产业部电子认证服务管理办法第二十条规定,电子认证服务机构应当遵守国家的保密规定,建立完善的保密制度。电子认证服务机构涉及的保密义务主要有两个方面:(1)业务信息保密。涉及机构运作信息的保密。(2)个人隐私保密。证书用户在申请数字证书时向认证服务机构披露的身份信息及有
22、关信息、证书用户的私人密钥等。,5.担保义务,认证服务机构一旦将证书发放给用户,就承担着担保证书所述信息真实的义务。这里的“真实”是指认证防服务机构在证书发放时依法对用户提供的身份状况等情况予以了审查,不存在认证服务机构明知或应知是虚假信息的情况。同时,该义务要求认证服务机构没有超过其许可的限额。担保义务不仅仅针对证书持有人,也适用于证书信赖人。,2、认证服务机构的主要权利,认证服务机构的主要权利表现在它对用户证书的管理上。但是,这里的权利在本质上更接近于职权。,1.发放证书,用户认证证书的发放是应证书申请人的请求进行的,认证服务机构在收到申请后,经审查符合条件的,可以发放证书。一般认为,申请
23、人应提供包括其姓名或名称、住址、有效身份证件或商业登记、联系方法等在内的表明其真实身份的材料和相应证据。,2.中止证书,认证服务机构对已经发生或可能发生的影响认证安全的紧急事件,应采取措施暂时阻止证书的使用。中止证书是应用户的请求或根据有关法律文件作出,认证服务机构发现发放的证书可能存在虚假的情况时,也可以中止证书,以确定情况是否属实。中止证书不能超过规定的时间。其他情况下,认证服务机构不得自行中止证书,除非当事人另有约定。认证服务机构在中止证书的同时应当在信息公告栏和可查询之处予以公告,并通知有关当事人。,3.撤销证书,认证服务机构在用户的主体资格或行为不符合认证机构的规定时,应当终止用户证
24、书的效力。撤销证书可以是基于当事人的请求或法律文件的规定,也可以是认证机构的决定。因此,撤销证书可分为申请撤销和决定撤销。申请撤销是认证服务机构应当事人的请求或法律文件的规定而撤销。决定撤销是在认证服务机构发现认证中的信息已发生变化时主动撤销证书,如用户已死亡或解散;认证服务机构的密钥或信息系统遭到破坏,影响证书安全或用户的私人密钥遭受危险;认证服务机构发现证书虚假等情况。决定撤销应按法定或认证服务机构公开说明的程序进行,无须经证书持有人的同意,但应当通知证书持有人。撤销证书时,应公开相关信息。,4.保存证书,认证服务机构在证书有效期满或撤销后,应当将证书保存并允许查询。认证服务机构应保存其颁
25、发和任何吊销或撤销证书的记录,认证服务机构应尽合理的注意义务,并根据证书上建议的可靠限制,保证记录的安全。,五、电子签名认证证书制度,(一)电子签名认证证书的内容电子认证服务提供者的名称证书持有人名称证书序列号证书有效期证书持有人电子签名验证数据电子认证服务提供者的电子签名其他内容,(二)电子签名认证证书的类型个人身份证书个人安全电子邮件证书企业身份证书企业安全电子邮件证书信用卡电子签名认证证书电子合同认证证书,(三)电子签名认证证书的作用及应用领域保证网络安全:信息传输的保密性数据交换的完整性发送信息的不可否认性交易者身份的确定性,(四)电子签名认证证书的使用流程(五)身份核查与电子签名认证证书的撤销,六、监督管理,业务监管。认证机构的业务主管部门应对其信息披露与保密情况、安全系统的运行情况等方面进行定期或不定期的检查。,七、法律责任,(一)认证机构应承担的法律责任(二)监管部门工作人员的法律责任,
