《电子商务法电子商务法 (4).ppt》由会员分享,可在线阅读,更多相关《电子商务法电子商务法 (4).ppt(31页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、第第4章章 电子签名与电子认证法律制度电子签名与电子认证法律制度电子商务法电子商务法案案4-1 vNCR子公司子公司Galvanon推出电子签名解决方案推出电子签名解决方案vNCR公司(纽约股市代码:NCR)旗下的Galvanon子公司推出一种电子文档管理解决方案电子签名,协助医疗卫生机构实现数字化采集、识别和保管患者署名文档。通过电子签名解决方案,医疗机构可使用GalvanoneClipboard™剪贴板或署名板采集患者署名,再将签名图像存储并发送至该机构的电子医疗记录或文档管理系统。医院工作人员随即可以通过电子化方式访问相关表格,从而节省了跟踪查阅纸质文档所需的时间。同时,也符
2、合了健康保险流通与责任法案要求.4.1 电子签名概述电子签名概述v4.1.1 电子签名的产生电子签名的产生v随着EDI及电子商务无纸化贸易的兴起与发展,传统签名的局限性愈发显现,数据电文赖以存在与传递的无形空间给传统签名带来了新的挑战,交易方式的革新要求签名形式必须进行相应的变革,计算机网络环境下能够达到与传统签名盖章相同功能的新的签名形式即电子签名便产生了。v4.1.2 电子签名的定义电子签名的定义v(1)广义的电子签名v广义的电子签名强调的是传统签名功能的实现,除了以电子形式存在这一最基本的技术要求外,忽略其它技术上的要求,它是电子商务法技术中立原则在电子签名定义上的反映。因此,从广义上讲
3、,凡是在电子计算机通信中,能够起到证明当事人身份及当事人对文件内容认可的电子技术手段,都是电子签名。v(2)狭义的电子签名v狭义的电子签名,是指以一定的电子签名技术为特定手段的签名。与广义的电子签名定义不同,狭义的电子签名限定了签名所使用的技术手段。通常,狭义的电子签名指的就是以非对称加密方法产生的数字签名。v此外,德国的数字签名法、美国犹他州的数字签名法等一些国家和地区采取直接以数字签名法作为其电子签名立法的形式,从法律上仅确立了数字签名作为安全的电子签名。一般来说,在狭义电子签名定义下,电子签名指的就是数字签名。v4.1.3 电子签名的分类电子签名的分类v(1)电子化签名v(2)生理特征签
4、名v(3)数字签名v4.1.4 电子签名的法律效力电子签名的法律效力v(1)确立电子签名法律效力的基本原则v功能等同原则v非歧视原则v(2)电子签名技术方案的选择v技术特定模式v技术中立模式v折中模式v4.1.5 电子签名法律效力的推定电子签名法律效力的推定v(1)归属的推定v(2)未经授权使用电子签字的法律责任v4.1.6 数字签名基本原理数字签名基本原理v(1)数字签名基础技术v(2)数字签名技术实现过程v(3)数字签名的运行环境v公钥基础设施(Public Key Infrastructure,简称PKI)v认证机构(Certificate Authority,简称CA)4.2 国内外电
5、子商务签名立法国内外电子商务签名立法v4.2.1 联联合合国国国国际际贸贸易易法法委委员员会会的的电电子子签签名名示范法示范法v基本原则:v 平等对待签名技术v 保持国际协调性v 尊重当事人意愿v 不歧视外国电子签名v4.2.2 美国电子签名法律美国电子签名法律美国国会于2000年通过了国际与跨州商务电子签名法(the Electronic Signatures in Global and National Commerce Act,简称E-SIGN)。E-SIGN采取了技术中立的立法模式,规定了非常广泛的电子签名定义,确认了电子签名、合同或其他记录不得仅因为其采用电子形式,而否定其法律效力、
6、有效性或可执行性;并以联邦立法的形式重申了电子记录或电子签名与其相应的书面记录和手写签名具有同等的法律效力,有效地消除了各州对于书面记录和签名要求的不一致性。v值得注意的是,在E-SIGN与州法的关系上,明确的是E-SIGN优先于数字签名法律的适用;如果一州采纳了UETA的官方文本,则州法优先于E-SIGN,由于UETA没有关于消费者保护的条款,这种情况下E-SIGN中消费者保护条款的效力问题尚不明确;对于没有采纳E-SIGN作为州法或采用数字签名模式的州,E-SIGN在何种程度上优先于这些法律也是不明确的。v4.2.3 欧盟电子签名法律欧盟电子签名法律与美国各州电子签名立法的多样性类似,欧盟
7、各成员国电子签名法律也不统一,如德国和意大利属技术特定型,而英国则采用技术中立型立法。为协调欧盟各成员国之间的电子签名法律,1999年11月,欧盟制定了欧盟关于建立电子签名共同法律框架的指令(EU Directive on a Community Framework for Electronic Signatures)。指令包括说明、正文以及四个附件,正文包含15条规定。v指令采取了折中立法模式,对电子签名作出了宽泛的定义,原则上允许一切形式的电子签名;同时,根据不同技术带来安全性的差别,将电子签名区分为基本电子签名和高级电子签名,前者适用于低水平交易,后者用于需要较高安全水平的交易,在法律上
8、区别对待。四个附件分别对合格证书的要求、签发合格证书的认证服务提供者的要求、可靠签名生成设备的要求、建议认证可靠签名作出了详细的规定。v4.2.4 我国的我国的电子签名法电子签名法我国电子签名法的意义:v 确立电子签名的法律效力,扫清网络交易行为的障碍v 规范网上行为,保障交易各方的合法权益v为互联网从单纯的媒体时代过渡到全面应用时代奠定基础v 为电子商务、电子政务的发展拓展了空间v我国电子签名法的主要内容:v 确立电子签名的法律效力v 对数据电文作了相关规定v发送人、发送时间和发送地点的确定标准v 其他法律责任4.3 电子认证概述电子认证概述v4.3.1电子认证的概念及作用电子认证的概念及作
9、用v(1)概念v认证是指权威的、中立的、没有直接利害关系的第三人或机构,对当事人提出的包括文件、身份、物品及其产地、品质等,具有法律意义的事实与资格,经审查属实后作出的证明。电子认证指以特定的机构,对电子签名及其签署者的真实性进行验证的具有法律意义的服务。广义上的电子认证包括认证机构、电子认证行为和数字证书在内的一整套法律制度。狭义上的电子认证仅指电子认证行为,即由认证机构采用电子方法以证明电子签字持有人真实身份或电子信息真实的行为。v(2)电子认证与公证及电子签名的异同v一是电子认证与公证的区别:v公证与电子认证都在行使证明权,但两者是不同的,表现为:v 机构性质不同。公证机构是司法机构,而
10、认证机关目前并未归属于国家行政系统,将来也不可能归属于行政行为。v 业务性质不同。公证是非诉讼的法律活动;而认证是根据当事人的申请,根据约定证明电子签名与特定当事人的关系的真实性,相当于信用信息服务。v 证明方式不同。公证基于纸面,而认证基于信息技术。v 效力不同。公证具有特殊的法律效力,为国家立法所肯定;而认证非法定环节,未赋予法律上当然的效力,其证据效力具有多方面的局限性。v二是电子认证与电子签名的区别:v电子认证与电子签名都是电子商务活动运作的保障,但两者存在区别。表现为:v 目的不同。电子签名目的是保护数据电文安全,防止其内容的仿冒、更改和否认;电子认证的目的是把电子签名和交易方联系起
11、来,确保对方得到的电子签名来自于该签名方自己,而不是别人假冒。v 法律调整重点不同。法律强调对电子签名安全技术标准的认定;法律强调对电子认证机构的组织结构和权利、义务的分配,以及认证机构的设立和监管,认证机构的归责原则及其赔偿责任。v 作用不同。电子签名是技术手段上的保证;电子认证是组织制度上的保证。v4.3.2 电子认证的方法与分类电子认证的方法与分类v(1)电子认证的技术实现v电子认证的具体操作程序为:发件人在做电子签名前,签署者必须将他的公共密钥送到一个经合法注册,具有从事电子认证服务许可证的第三方,即CA认证中心,登记并由该认证中心签发电子印鉴证明(Certificate)。尔后,发件
12、人将电子签名文件同电子印鉴证明一并发送给对方,收件方经由电子印鉴佐证及电子签名的验证,即可确信电子签名文件的真实性和可信性。由此可见,在电子文件环境中,CA认证中心扮演的角色与上述传统书面文件签字(盖章)环境中的第三者(如公证机关)的角色有异曲同工之妙。CA认证中心正起到一个行使具有权威性公证的第三人的作用。而经CA认证机关颁发的电子印鉴证明就是证明两者之间的对应关系的一个电子资料,该资料指明及确认使用者名称及其公共密钥。使用者从公开地方取得证明后,只要查验证明书内容确实是由CA机关所发,即可推断证明书内的公开密钥确实为该证明书内相对应的使用者本人所拥有。如此,该公共密钥持有人无法否认与之相对
13、应的该密钥为他所有,进而亦无法否认经该密钥所验证通过的电子签名不为他所签署。v(2)电子认证的功能v电子认证功能集中表现在以下两个方面:v 担保功能v通过发放认证证书,认证机构对所有合理信赖证书内信息的人承担一定的担保义务:签名人的身份;用以识别签名者的方法;在签发证书时,签名生成数据是由证书所列签名人控制;在签发证书之时签名生成数据有效;证书的效力状况等。这样,通过中立的认证机构的信用服务,一方当事人可以相信与其进行交易的另一方当事人是真实可靠的交易人。v 预防功能v1、防止欺诈功能v2、防止否认功能4.4 电子认证相关法律问题电子认证相关法律问题v4.4.1 认证机构认证机构v(1)电子认
14、证机构的定义v电子认证机构作为电子商务中承担安全电子交易认证服务、签发数字证书,并能确认用户身份的服务机构,其存在是开放性电子商务活动得以健康发展的重要保障。它是PKI的核心执行机构,是PKI的主要组成部分。电子认证机构主要有证书签发服务器,负责证书的签发和管理,包括证书归档、撤消和更新等等;密钥管理中心,用硬件加密机产生公/私密钥对,CA私钥不出卡,提供CA证书的签发;目录服务器负责证书和证书撤消列表(CRL)的发布和查询。CA的组成大致是:它是一个层次结构,第一级是根CA(Root CA),负责总政策;第二级是政策CA(PCA),负责制定具体认证策略;第三级为操作CA(OCA),是证书签发
15、、发布和管理的机构。v(2)认证机构的种类v从认证机构的结构角度来看,认证机构可以分为单层次的爪状结构、多层次的树状结构和网状结构三种。v(3)电子认证机构的服务内容v电子认证机构的主要功能是接受注册要求,处理和批准请求以及颁发和管理数字证书;保管公共密钥,应有关当事人的申请进行身份认证。根据我国电子认证服务管理办法第17条的规定,电子认证服务机构应当保证提供下列服务:制作、签发、管理电子签名认证证书;确认签发的电子签名认证证书的真实性;提供电子签名认证证书目录信息查询服务;提供电子签名认证证书状态信息查询服务。v4.4.2 认证机构的设立,职权和相关法律关系认证机构的设立,职权和相关法律关系
16、认证机构在我国电子签名法中称为认证服务提供者,是指从事颁发为电子签名的目的而使用的与加密密钥相关的证书的机构。v认证机构为保障电子交易活动顺利进行而设定,主要解决电子商务活动中交易活动中交易参与各方身份的认定,维护交易活动的安全。2000年6月29日中国第一家认证服务提供者中国金融认证中心(CFCA)正式挂牌,标志着中国正式开始CA认证。2002年8月,中国国家信息安全测评认证中心正式授予CFCA“国家信息安全认证系统安全证书”。在商业领域,中国电信CA、工商行政管理部门、税务部门、外贸部门也都积累有丰富的信用信息资料。目前我国电子商务CA认证中心的建设欠规范,出现有大量行业性的认证中心,如中
17、国电信认证中心(CTCA)、中国邮政认证中心(CPCA)、经贸委认证中心,也有区域性的,如上海、海南、大连等地的CA机构,而在电子商务发达的美国,目前也只有三家大型的认证机构,国内目前局面有待规范。v4.4.3 交叉认证的法律解决交叉认证的法律解决v(1)交叉认证的法律问题v不同认证体系在证书等级、系统案例性、业务规范、采用的关键技术、机构运营过失等方面存在判别,所以在赔偿金额、方式、取证等方面会有所不同,并可能产生纠纷。目前,国内对于交叉认证的建设模式看法不一,主张有三:v根认证v有人主张建立一个国家级的根认证机构,对其他认证机构发放的证书进行认证。v认证担保v有人建议通过认证机构之间相互订
18、立担保合同方式来实现认证担保。v认证交互中心v(2)对外国认证证书的承认v国际间对外国认证机构和认证证书的承认主要有三:v通过国际条约或双边条约来处理。凡加入条约或约定的国家,均可承认对方国家认证机构在本国颁发的证书的效力。v行政审核方式。即符合本国规定的认证政策和可信性条件的境外认证机构,在获得境内行政部门的许可后,可在境内开展认证活动。其颁发的认证证书与境内机构颁发的证书具有同等效力。v认证担保方式。在没有双边协定和国际条约的情况下,境外认证机构可以通过寻求境内认证机构提供担保,由后者承担前者在国内发放证书所产生的风险。v我国电子签名法第26条对外国证书的承认问题作了具体的规定:“经国务院信息产业主管部门根据有关协议或者对等原则核准后,中华人民共和国境外的电子认证服务提供者在境外签发的电子签名认证证书与依照本法规定的电子认证服务提供者签发的电子签名认证证书具有同等的法律效力。”也即在我国承认前两种交叉认证的效力。
黑公网安备:91230400333293403D