第五章 电子认证法律制度

第五章电子认证法律制度

第一节电子认证概述

一、电子认证的概念与类型

（一）认证与电子认证

1、认证

2、电子认证

（二）按计算机已有的认证功能及其认证的对象来分，电子认证主要有以下几种类型：

1、站点认证

2、数据电文认证

3、电讯源的认证

4、身份认证

二、电子签名的认证

电子认证的具体操作程序为：

（1）发件人利用密钥制造系统产生公用密钥和私人密钥。

（2）发件人在做电子签名前，必须将他的身份信息和公用密钥送给一个经合法注册，具有从事电子认证服务许可证的第三方，也就是CA认证中心，向该认证中心申请登记并由其签发认证证书。

（3）认证机构根据有关的法律规定和认证规则以及自己和当事人之间的约定，对申请进行审查。如果符合要求，就发给发件人一个认证证书，证明发件人的身份、他的公开密钥以及其他有关的信息。

（4）发件人对其要约信息以其私人密钥制作数字签名文件，连同认证证书一并送给收件方，向对方发出要约。

（5）收件方接到电子签名文件和认证证书之后，根据认证证书的内容，向相应的认证机构提出申请，请求认证机构将对方的公开密钥发给自己。

（6）收件人通过公用密钥和电子签名的验证，即可确信电子签名文件的真实性和可靠性。若认证机构有“认证废止目录”，则可以查询目录以了解该认证证书是否依然有效；收件人承诺，则电子合同成立。

由此可见，在电子文件环境中，CA认证中心起到了一个行使具有权威性、公证性的第三人的作用。

三、认证机构（CA）与公开密钥体系（PKI体系）

（一）认证机构

认证机构（Certification Authority。简称CA认证机构，或CA认证中心）

是指在电子合同中对用户的电子签名颁发数字证书的机构，它已经成为开放性电子商务活动中不可缺少的信用服务机构。联合国贸易法委员会在其《电子签名统一规则（草案）》第1条第4款中规定：“认证机构，是指从事颁发为数字签名的目的而使用的加密密钥相关的（身份）证书的任何人或实体。（该定义受任何要求认证机构须取得许可、或认可或以一定的方式进行营业的有效法的限制。）”美国《统一电子交易法（草案）第2条规定：“认证机构，是指任何在其业务中从事颁布用于数字签名的密钥身份证书的人或实体”。可见，大体而言是指签发认证证书的自然人或法人。

作为认证机构，都应当具备一定条件：

首先，它必须是独立的法律实体。能够以自己的名义从事数字证书服务。并且能够以自己的财产提供担保，能在法律规定的范围内自己承担相应的民事责任。

其次，它必须保持中立并具有可靠性。

再次，它必须能够被当事人接受。

最后，它不得以营利为目的。

（二）PKI体系

完整的PKI系统包括

1、认证机构

2、数字证书库

3、密钥备份及恢复系统

4、证书作废系统

5、应用接口

（三）认证机构的主要职责可简单归结为颁发、更新、查询、作废、归档等五项功能

四、电子认证机构的服务内容

1、制作、签发、管理电子签名认证证书

2、确认签发的电子签名认证证书的真实性

3、提供电子签名认证证书目录信息查询服务

4、提供电子签名认证证书状态信息查询服务

第二节认证机构的设立与管理规范

一、认证机构的设立与监管模式

电子认证服务的监管模式有

1、强制性许可制度

2、非强制性许可制度

3、行业自律

我国《电子签名法》规定了采用强制性许可制度，并对电子认证服务应当具备的条件做出了规定。

二、电子认证机构的设立原则与条件

（一）我国电子认证机构按经营的范围分为行业性和地域性两种；按运营模式来分有商业性和非商业性两种。

目前电子商务认证机构存在的主要问题有以下几个方面：

1、建设过热，有一定的盲目性，造成重复建设和资源浪费；

2、对电子商务认证机构的作用认识不足；

3、低估认证机构运行的难度，缺乏必要的规章制度；

4、认证机构对自身的安全性认识不够，对承担风险认识不足；

5、法律法规、行业规范亟待健全。

（二）电子认证机构的设立应遵守以下原则

1、权威性原则

2、真实性原则

3、保密性原则

4、迅捷性原则

5、经济性原则

（三）电子认证的业务经营应实行许可制度

我国《电子签名法》第十八条规定，“从事电子认证服务，应当向国务院信息产业主管部门提出申请，并提交符合本法第十七条规定条件的相关材料。国务院信息产业主管部门接到申请后经依法审查，征求国务院商务主管部门等有关部门的意见后，自接到申请之日起四十五日内作出许可或者不予许可的决定。予以许可的，颁发电子认证许可证书；不予许可的，应当书面通知申请人并告知理由。”

《电子认证服务管理办法》第六条规定，“申请电子认证服务许可的，应当向工业和信息化部提交下列材料：

“（一）书面申请。

“（二）人员证明。

“（三）资金证明（经依法审计的近三年的财务会计报告，新成立公司的验资报告）。

“（四）经营场所证明。

“（五）国家有关认证检测机构出具的技术、设备、物理环境符合国家有关安全标准的凭证。

“（六）国家密码管理机构同意使用密码的证明文件。”

我国《电子签名法》第十七条对提供电子认证服务应当具备的条件做出了如下的规定：

“（一）具有与提供电子认证服务相适应的专业技术人员和管理人员；

“（二）具有与提供电子认证服务相适应的资金和经营场所；

“（三）具有符合国家安全标准的技术和设备；

“（四）具有国家密码管理机构同意使用密码的证明文件；

“（五）法律、行政法规规定的其他条件。”

三、交叉认证的规范

电子商务的活动常常是跨越国境的，各个参与方就需要有不同国家的认证机构对各自的身份进行认证，并向电子商务活动的相对方发放认证证书。这就需要各国相互承认对方国家认证机构发放的认证证书的效力。实践中有两种解决办法：

（1）在本国有关电子签名的法律法规中明确规定他国或地区的认证机构发放的认证证书的效力。如加拿大和美国某些州之间就通过法律规定互相承认所发放的认证证书的效力；某些欧洲国家的电子签名法也规定，其他欧盟成员国国内认证机构发放的认证证书同本国认证机构发放的认证证书具有同等的效力。

（2）通过签订国际条约或双边协定来相互承认对方国家国内认证机构发放的认证证书的效力。因此，有关电子签名以及电子签名认证的法律业已成为国际