《第四章 电子签名与电子认证法律制度.ppt》由会员分享,可在线阅读,更多相关《第四章 电子签名与电子认证法律制度.ppt(59页珍藏版)》请在三一办公上搜索。
1、电子签名与电子认证法律制度,现状,第一节 电子签名法律制度,(一)电子签名的概念和种类1传统签名的概念和功能2电子签名(1)广义的电子签名 所谓广义的电子签名,是指包括数字技术、生物特征技术、电子录音、电传等各种电子技术手段在内的电子签名。(2)狭义的电子签名即数字签名。(3)折中式概念可靠电子签名。3电子签名与电子签章,(二)电子签名的实现方法,手写签名或印章的模式识别生物识别技术(1)指纹识别技术(2)视网膜识别技术(3)声音识别技术,密码、密码代号或个人识别码基于量子力学的计算机基于PKI的电子签名PKI就是一种基础设施,其目标就是要充分利用公钥密码学的理论基础,建立起一种普遍适用的基础
2、设施,为各种网络应用提供全面的安全服务。完整的PKI系统必须具有权威认证机构(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口(API)等基本构成部分,(三)电子签名相关技术,密钥技术摘要技术(Hash函数)电子认证,(四)数字签名,认证数字签名原文保密的数字签名实现方法,(五)电子签名法律制度,中华人民共和国电子签名法的基本内容(参见附录)电子签名法中对电子签名的法律要求(1)适用范围(2)电子签名的基本要求(3)签名人的义务和责任,第二节 电子认证法律制度,党的十七大报告中提出“发展现代产业体系,大力推进信息化与工业化融合”。国内外多年的实践表明,信息化建设离不开网络信任环境
3、这一重要基础,只有建立起可信、可靠、可控的网络信任环境,人们才能够放心地、充分地利用信息网络工作和生活,才能让信息化发挥更大的经济效益和社会效益。因此,推进电子认证服务是建设网络信任环境的必然选择。,1.电子认证概述,什么是电子认证?电子认证是一种信用服务,指一个国家承认的认证机构通过颁发数字证书和管理公共密匙来检验带有电子签名的文件所有人及其内容的真实性的活动。请思考:该电子认证的定义属于广义还是狭义?,电子认证有什么作用?(1)对外防止欺诈,防范交易当事人以外的人故意入侵而造成风险。(2)对内防止抵赖,针对交易当事人之间可能产生的误解或抵赖而设置的,以便在电子商务交易当事人之间预防纠纷。,
4、电子签名与电子认证是什么关系?电子签名主要是从技术上保障数据电文的安全;电子认证主要是从制度上保障电子商务交易主体的信用安全。二者是相辅相成的关系。,电子认证的方法通过验证自称者(人或者事)的一个或多个参数的真实性和有效性,来达到验证自称者是否名副其实的目的。目前,应用较广的还是以密码为基础的认证技术。请思考:密码在电子签名中的作用是什么?,具有安全可靠性和经济实用性的电子签名实现技术的核心是密码技术。在电子签名应用中,通常采用公开密钥的密码体制。在这种密码体制下,密钥由公开发布的公钥和保密的私钥组成。私钥和公钥是由密码算法生成的唯一对应的一对数据,通过私钥不能推导出对应的公钥,通过公钥也不能
5、推导出对应的私钥。在这里,私钥就相当于(),公钥就相对于()。,电子签名的基本实现过程是:电子签名人用只有自己知道的私钥对特定数据进行加密生成电子签名,其他人用电子签名人公开发布的公钥对电子签名进行解密以确认电子签名人的身份。电子认证服务提供者签发的电子签名认证证书中最为重要的一项内容就是电子签名人的公钥信息。正因为密码技术在电子签名中的重要作用,我国电子签名法明确规定,开展电子认证服务必须事先取得国家密码管理机构同意使用密码的证明文件,实际上是为电子认证服务市场准入设置了一项前置性行政许可。,电子认证的分类按照已有的功能和对象来分(1)站点认证(2)数据电文认证(3)身份认证按照认证机构提供
6、的等级来分(1)身份认证(2)授权认证(3)执行认证(4)时间标识,电子认证与公证服务(1)共同点:都向社会提供证明性服务(2)不同点:1)电子认证是在线信用服务,公证业务属于纸面证明活动。2)证明效力不同,公证效力强于电子认证。,2.电子认证机构,什么是“电子认证服务机构”?电子认证服务机构是经国家信息产业主管部门批准许可的第三方认证机构。负责审核用户的身份,在确保用户身份真实的情况下,向用户发放电子签名认证证书,是发放和管理该证书的专业部门,为电子政务、电子商务等应用提供网上身份认证、电子签名等证书认证安全服务。,电子签名安全认证机构的法律地位 电子签名安全认证机构在电子签名制度中占据重要
7、位置。从世界范围看,安全电子商务认证中心的设置主要有两种途径:一种是由政府组建的或者授权的机构担任,以政府信用作为担保;另一种则是通过市场的方式建立,在市场竞争中建立信用。,为了保障我国电子商务的健康发展,由政府组建的或者授权的机构担任电子签名的安全认证中心还是必要的,例如广东省电子商务认证中心(注册名为广东省电子商务认证有限公司)、上海市电子商务安全证书管理中心有限公司就是在政府授权下组建的。,认证机构成立的条件,根据电子认证服务管理办法第五条,电子认证服务机构应当具备下列条件:(一)具有独立的企业法人资格;(二)从事电子认证服务的专业技术人员、运营管理人员、安全管理人员和客户服务人员不少于
8、30名;(三)注册资金不低于人民币3千万元;(四)具有固定的经营场所和满足电子认证服务要求的物理环境;(五)具有符合国家有关安全标准的技术和设备;(六)具有国家密码管理机构同意使用密码的证明文件;(七)法律、行政法规规定的其他条件。,我国认证机构的现状,我国目前的140余家电子签名认证服务机构中,仅17家拥有国家电子认证服务许可证,其余的120余家竟未经认证。随着电子商务和电子政务的迅猛发展,电子签名的应用范围也越来越广泛。电子商务企业要提高电子认证的质量和可信度,只有依靠电子商务企业与认证管理机构的共同努力才能实现。,获得行政许可的认证机构名单,1山东省数字证书认证管理有限公司 山东 200
9、52中金金融认证中心有限公司 北京 20053北京天威诚信电子商务服务有限公司 北京 20054陕西省数字证书认证中心有限责任公司 陕西 20055国投安信数字证书认证有限公司 吉林 20056广东省电子商务认证有限公司 广东 20057广东数字证书认证中心有限公司 广东 20058上海市数字证书认证中心有限公司 上海 20059北京数字证书认证中心有限公司 北京 200510辽宁数字证书认证管理有限公司 辽宁 2005,11湖北省数字证书认证管理中心有限公司 湖北 200512颐信科技有限公司 北京 200513江苏省电子商务证书认证中心有限责任公司 江苏 200514重庆市数字证书认证中心
10、有限公司 重庆 200515浙江省数字安全证书管理有限公司 浙江 200516福建省数字安全证书管理有限公司 福建 200617新疆数字证书认证中心(有限公司)新疆 200618河南省数字证书有限责任公司 河南 200619北京国富安电子商务安全认证有限公司 北京 200620安徽省电子认证管理中心有限责任公司 安徽 2006,21河北省电子商务认证有限公司 河北 200622西部安全认证中心有限责任公司 宁夏 200723天津远博网络有限公司 天津 200724山西省数字证书认证中心(有限公司)山西200725深圳市电子商务安全证书管理有限公司 广东 200726天津信息港电子商务有限公司天
11、津200727江西省数字证书有限公司江西200828中网威信电子安全服务有限公司北京200729北京中认环宇技术开发有限公司北京200730湖南省数字认证服务中心有限公司湖南2008,我国认证机构的民事法律责任,认证机构的法律责任可能是侵权责任,也可能是违约责任,由于两者的性质不同,所以归责原则的选择上也会不同。(1)违约责任归责原则。电子认证机构根据证书申请人的申请向其签发认证证书,那么,证书申请人就与认证机构基于要约和承诺形成了法律上的合同关系。(2)侵权责任的归责原则。各国法律几乎都有明确规定,经批准合法成立的电子认证机构,在对证书上所记载的申请人签发电子认证证书时必须保证:该认证证书无
12、认证机构所知的虚假信息;该证书合乎法律规定的所有实质要件;该认证机构于签发此证书时无逾越其许可的限制。,民事赔偿责任限制制度,如果让提供电子认证服务的机构承担过大的执业风险,将会挫伤认证机构的积极性,从而不利于电子商务以及其他电子交易的发展。,3.数字证书,数字证书是由权威机构CA证书授权(Certificate Authority)中心发行的,能提供在Internet上进行身份验证的一种权威性电子文档,人们可以在互联网交往中用它来证明自己的身份和识别对方的身份。,数字证书的工作原理,数字证书里存有很多数字和英文,当使用数字证书进行身份认证时,它将随机生成128位的身份码,每份数字证书都能生成
13、相应但每次都不可能相同的数码,从而保证数据传输的保密性,即相当于生成一个复杂的密码。数字证书绑定了公钥及其持有者的真实身份,它类似于现实生活中的居民身份证,所不同的是数字证书不再是纸质的证照,而是一段含有证书持有者身份信息并经过认证中心审核签发的电子数据,可以更加方便灵活地运用在电子商务和电子政务中。,证书的分类,个人数字证书企业数字证书服务器身份证书安全Web站点证书安全电子邮件证书代码签名证书,第三节 电子认证服务管理办法,电子认证服务管理办法已经2009年2月4日中华人民共和国工业和信息化部第6次部务会议审议通过,自2009年3月31日起施行。原中华人民共和国信息产业部2005年2月8日
14、发布的电子认证服务管理办法(中华人民共和国信息产业部令第35号)同时废止。,第一章总则,第一条为了规范电子认证服务行为,对电子认证服务提供者实施监督管理,根据中华人民共和国电子签名法和其他法律、行政法规的规定,制定本办法。第二条本办法所称电子认证服务,是指为电子签名相关各方提供真实性、可靠性验证的活动。本办法所称电子认证服务提供者,是指为需要第三方认证的电子签名提供认证服务的机构(以下称为“电子认证服务机构”)。向社会公众提供服务的电子认证服务机构应当依法设立。,第三条在中华人民共和国境内设立电子认证服务机构和为电子签名提供电子认证服务,适用本办法。第四条中华人民共和国工业和信息化部(以下简称
15、“工业和信息化部”)依法对电子认证服务机构和电子认证服务实施监督管理。,第二章电子认证服务机构,第五条电子认证服务机构应当具备下列条件:(一)具有独立的企业法人资格。(二)具有与提供电子认证服务相适应的人员。从事电子认证服务的专业技术人员、运营管理人员、安全管理人员和客户服务人员不少于三十名,并且应当符合相应岗位技能要求。(三)注册资本不低于人民币三千万元。(四)具有固定的经营场所和满足电子认证服务要求的物理环境。(五)具有符合国家有关安全标准的技术和设备。(六)具有国家密码管理机构同意使用密码的证明文件。(七)法律、行政法规规定的其他条件。,第六条申请电子认证服务许可的,应当向工业和信息化部
16、提交下列材料:(一)书面申请。(二)人员证明。(三)资金证明(经依法审计的近三年的财务会计报告,新成立公司的验资报告)。(四)经营场所证明。(五)国家有关认证检测机构出具的技术、设备、物理环境符合国家有关安全标准的凭证。(六)国家密码管理机构同意使用密码的证明文件。,第七条工业和信息化部对提交的申请材料进行形式审查。申请材料齐全、符合法定形式的,应当向申请人出具受理通知书。申请材料不齐全或者不符合法定形式的,应当当场或者在五日内一次告知申请人需要补正的全部内容。,第八条工业和信息化部对决定受理的申请材料进行实质审查。需要对有关内容进行核实的,指派两名以上工作人员实地进行核查。第九条工业和信息化
17、部对与申请人有关事项书面征求中华人民共和国商务部等有关部门的意见。,第十条工业和信息化部应当自接到申请之日起四十五日内作出准予许可或者不予许可的书面决定。不予许可的,应当书面通知申请人并说明理由;准予许可的,颁发电子认证服务许可证,并公布下列信息:(一)电子认证服务许可证编号。(二)电子认证服务机构名称。(三)发证机关和发证日期。电子认证服务许可相关信息发生变更的,工业和信息化部应当及时公布。电子认证服务许可证的有效期为五年。,第十一条取得电子认证服务许可的,应当持电子认证服务许可证到工商行政管理机关办理相关手续。第十二条取得认证资格的电子认证服务机构,在提供电子认证服务之前,应当通过互联网公
18、布下列信息:(一)机构名称和法定代表人。(二)机构住所和联系办法。(三)电子认证服务许可证编号。(四)发证机关和发证日期。(五)电子认证服务许可证有效期的起止时间。,第十三条电子认证服务机构在电子认证服务许可证的有效期内拟变更公司名称、住所、法定代表人、注册资本、类型、股东以及股东的出资方式、出资额、出资时间等事项的,在向公司登记机关申请变更登记前应当报工业和信息化部同意。第十四条电子认证服务许可证的有效期届满需要延续的,电子认证服务机构应当在许可证有效期届满三十日前向工业和信息化部申请办理延续手续,并自办结之日起五日内按照本办法第十二条的规定公布相关信息。,第十五条电子认证服务机构应当按照工
19、业和信息化部公布的电子认证业务规则规范等要求,制定本机构的电子认证业务规则和相应的证书策略,在提供电子认证服务前予以公布,并向工业和信息化部备案。电子认证业务规则和证书策略发生变更的,电子认证服务机构应当予以公布,并自公布之日起三十日内向工业和信息化部备案。,第十六条电子认证服务机构应当按照公布的电子认证业务规则提供电子认证服务。第十七条电子认证服务机构应当保证提供下列服务:(一)制作、签发、管理电子签名认证证书。(二)确认签发的电子签名认证证书的真实性。(三)提供电子签名认证证书目录信息查询服务。(四)提供电子签名认证证书状态信息查询服务。,第十八条电子认证服务机构应当履行下列义务:(一)保
20、证电子签名认证证书内容在有效期内完整、准确。(二)保证电子签名依赖方能够证实或者了解电子签名认证证书所载内容及其他有关事项。(三)妥善保存与电子认证服务相关的信息。,第十九条电子认证服务机构应当建立完善的安全管理和内部审计制度。第二十条电子认证服务机构应当遵守国家的保密规定,建立完善的保密制度。电子认证服务机构对电子签名人和电子签名依赖方的资料,负有保密的义务。,第二十一条电子认证服务机构在受理电子签名认证证书申请前,应当向申请人告知下列事项:(一)电子签名认证证书和电子签名的使用条件。(二)服务收费的项目和标准。(三)保存和使用证书持有人信息的权限和责任。(四)电子认证服务机构的责任范围。(
21、五)证书持有人的责任范围。(六)其他需要事先告知的事项。,第二十二条电子认证服务机构受理电子签名认证申请后,应当与证书申请人签订合同,明确双方的权利义务。,第四章电子认证服务的暂停、终止,第二十三条电子认证服务机构在电子认证服务许可证的有效期内拟终止电子认证服务的,应当在终止服务六十日前向工业和信息化部报告,并办理电子认证服务许可证注销手续,持工业和信息化部的相关证明文件向工商行政管理机关申请办理注销登记或者变更登记。,第二十四条电子认证服务机构拟暂停或者终止电子认证服务的,应当在暂停或者终止电子认证服务九十日前,就业务承接及其他有关事项通知有关各方。电子认证服务机构拟暂停或者终止电子认证服务
22、的,应当在暂停或者终止电子认证服务六十日前向工业和信息化部报告,并与其他电子认证服务机构就业务承接进行协商,作出妥善安排。,第二十五条电子认证服务机构拟暂停或者终止电子认证服务,未能就业务承接事项与其他电子认证服务机构达成协议的,应当申请工业和信息化部安排其他电子认证服务机构承接其业务。第二十六条电子认证服务机构被依法吊销电子认证服务许可的,其业务承接事项按照工业和信息化部的规定处理。第二十七条电子认证服务机构有根据工业和信息化部的安排承接其他机构开展的电子认证服务业务的义务。,第五章电子签名认证证书,第二十八条电子签名认证证书应当准确载明下列内容:(一)签发电子签名认证证书的电子认证服务机构
23、名称。(二)证书持有人名称。(三)证书序列号。(四)证书有效期。(五)证书持有人的电子签名验证数据。(六)电子认证服务机构的电子签名。(七)工业和信息化部规定的其他内容。,第二十九条有下列情况之一的,电子认证服务机构可以撤销其签发的电子签名认证证书:(一)证书持有人申请撤销证书。(二)证书持有人提供的信息不真实。(三)证书持有人没有履行双方合同规定的义务。(四)证书的安全性不能得到保证。(五)法律、行政法规规定的其他情况。,第三十条有下列情况之一的,电子认证服务机构应当对申请人提供的证明身份的有关材料进行查验,并对有关材料进行审查:(一)申请人申请电子签名认证证书。(二)证书持有人申请更新证书
24、。(三)证书持有人申请撤销证书。第三十一条电子认证服务机构更新或者撤销电子签名认证证书时,应当予以公告。,第六章监督管理,第三十二条工业和信息化部对电子认证服务机构进行定期、不定期的监督检查,监督检查的内容主要包括法律法规符合性、安全运营管理、风险管理等。工业和信息化部对电子认证服务机构实行监督检查时,应当记录监督检查的情况和处理结果,由监督检查人员签字后归档。公众有权查阅监督检查记录。工业和信息化部对电子认证服务机构实行监督检查,不得妨碍电子认证服务机构正常的生产经营活动,不得收取任何费用。,第三十三条取得电子认证服务许可的电子认证服务机构,在电子认证服务许可的有效期内不得降低其设立时所应具
25、备的条件。第三十四条电子认证服务机构应当如实向工业和信息化部报送认证业务开展情况报告、财务会计报告等有关资料。,第三十五条电子认证服务机构有下列情况之一的,应当及时向工业和信息化部报告:(一)重大系统、关键设备事故。(二)重大财产损失。(三)重大法律诉讼。(四)关键岗位人员变动。第三十六条电子认证服务机构应当对其从业人员进行岗位培训。第三十七条工业和信息化部根据监督管理工作的需要,可以委托有关省、自治区和直辖市信息产业主管部门承担具体的监督管理事项。,第七章罚则,第三十八条电子认证服务机构向工业和信息化部隐瞒有关情况、提供虚假材料或者拒绝提供反映其活动的真实材料的,由工业和信息化部责令改正,给
26、予警告或者处以5000元以上1万元以下的罚款。,第三十九条工业和信息化部与省、自治区、直辖市信息产业主管部门的工作人员,不依法履行监督管理职责的,由工业和信息化部或者省、自治区、直辖市信息产业主管部门依据职权视情节轻重,分别给予警告、记过、记大过、降级、撤职、开除的行政处分;构成犯罪的,依法追究刑事责任。,第四十条电子认证服务机构违反本办法第十三条、第十五条、第二十七条的规定的,由工业和信息化部依据职权责令限期改正,处以警告,可以并处1万元以下的罚款。第四十一条电子认证服务机构违反本办法第三十三条的规定的,由工业和信息化部依据职权责令限期改正,处以3万元以下的罚款,并将上述情况向社会公告。,第八章附则,第四十二条经工业和信息化部根据有关协议或者对等原则核准后,中华人民共和国境外的电子认证服务机构在境外签发的电子签名认证证书与依照本办法设立的电子认证服务机构签发的电子签名认证证书具有同等的法律效力。第四十三条本办法自2009年3月31日起施行。2005年2月8日发布的电子认证服务管理办法(中华人民共和国信息产业部令第35号)同时废止。,
