《电子商务法》(第二版)教学课件第02编本论第06章 电子认证法律制度

六、电子认证机构的责任
（二）归责原则 对于判断合理谨慎注意的标准，主要包括认证机 构有否制定完善的认证业务操作规范和内部管理制度 、有否使用合格的软硬件设备和从业人员、有否验证 认证证书上记载信息的真实性等等，认证机构只需证 明自己的行为符合法律法规的一系列要求，就可以认 定为无过错而不需承担损害赔偿责任，如果认证机构 不能作到这一点，就由认证机构承担损害赔偿责任。 因此，按此方法可以较合理地调整认证机构所承担的 责任。
二、电子认证证书的申领 （二）证书的颁发
在颁发认证证书之前，认证机构应当查清持有 与证书中登载的公钥密码相对的私人密码的持有人 、设施或实体的身份情况。一般说来，认证机构或 其所委托的其他实体，必须对申请人或设施或实体 的显著特征进行辨认识别。 认证机构只有在符合所有规定条件时，才可向 用户颁发证书。
电 子 商 务 法
（第二版）
第六章 电子认证法律制度
学习目标
1、了解并掌握电子认证的意义和功能 2、掌握电子认证机构的法律地位和设立条件 3、掌握电子认证证书的法律意义 4、掌握电子认证机构的义务
关键术语
认证 认证机构 认证证书 可信赖系统
第一节 电子认证概述
一、电子认证的概念 一）电子认证问题的提出
四、电子认证机构的可信赖性
（一）可信赖系统的含义
作为可靠的第三方，认证机构当然应具有足够的 可靠性。认证机构必须遵循严格的程序、使用适当的 技术，以确保合理程度的安全性与可靠性。为了定义 上述要求，各国电子商务立法引入了可信赖系统这一 概念。可信赖性系统，应当由计算机软硬件及相关程 序构成，这些组件是足够的安全，可以防止外来的入 侵以及滥用。它们具有合理的安全可靠性，可以随时 提供适当的服务。不仅如此，还将坚持普遍接受的安 全原则，并能履行预定的功能，从而达到可信赖系统 的目的。
二）电子认证机构的设立条件
从事认证服务的机构应当具备下列条件： 1．依法成立的法人组织； 2．具有与认证服务相适应的专业技术人员和管理人员 3．具有与提供认证服务相适应的资金和经营场所，具 备为用户提供认证服务和承担风险、责任的能力； 4．具有符合国家安全标准的技术、设备； 5. 具有国家密码管理机构同意使用密码的证明文件； 6．法律、行政法规规定的其他条件。 认证机构的资格问题，实际上是一个行业准入条件问题。 自然人能否能为认证机构的发起人，何种实体可以发起设立认 证机构，是值得认真考虑的问题。各个部门和行业出于自身利 益的考虑，都会积极介入认证业务。马来西亚1997年《数字签 名法》则授权部长来制定规章，以规定认证机构的资格要求。
一、电子认证证书的概念
（一）认证证书的含义
认证证书体系的最大特征在于：认证证书的传递，可 以通过提供保密性、真实性与完整性的安全服务的通讯方式 来进行，它不同与传统的方式。对于公钥密码来说，保密是 没有意义的。因此，一般说来，认证证书是不需要保密的。 而且，认证证书也不需要真实性识别及整体性检验，因为， 认证机构的数字签名，本身就能提供来源实性鉴别及整体性 检验。假如某入侵者在认证证书发布的途中，对该证书的内 容进行篡改，公钥的使用者在校验认证机构的数字签名时， 即可察觉该内容的篡改。因此，公钥密码证书，甚至可以通 过非保密渠道进行传送，而不会遭受破坏。
五、电子认证机构的退出机制 我国《电子签名法》和《电子认证机构服 务管理办法》规定认证机构的退出机制：
1、向主管部门报告并办理相关注销手续
2、通知各方 3、业务的承接
六、电子认证机构的责任
（一）认证机构的主要职责 可以借鉴国际组织和各国电子商务法中的相关规定，具体 主要有： （1）认证机构有责任使用可信赖的系统以行使其职责， 并披露相关信息，以确保认证机构的权威性和公正性。 （2）认证机构应依照认证业务操作规范颁发证书。 （3）认证机构有责任在收到申请人或其代表人的申请后 暂停证书；同时，有责任在证书中存在重要虚假陈述或认证机 构的认证系统存在严重影响其可靠性或有证据证明签名者死亡 或消失或不复存在等情况下撤销证书。
第三节 电子认证证书业务规范
一、电子认证证书的概念
（一）认证证书的含义 认证证书，又称数字证书，是认证机构颁发的 数据电讯或其他记录，是用来确认持有特定密钥的 人或实体的身份（或其他充足的特征）。 我国《电子签名法》中的电子签名认证证书 ：是指可证实电子签名人与电子签名制作数据有联 系的数据电文或者其他电子记录
一、电子认证证书的概念
（二）X.509格式证书 目前最为广泛使用的公钥密码认证证书格式， 是由ISO/IEC/ITU X.509 标准中定义的格式。X.509 采用一个认证机构（CA）对实体的身份和公共密钥 进行认证，并对包括实体、公钥、名字、有效期等 信息的证书进行数字签名。
一、电子认证证书的申领 （一）证书申请
第一节 电子认证概述
二）电子认证的含义
一般而言，认证指的是对人或者物的真实性、 完整性进行甄别、鉴定、确认的行为。 本书所讲的认证，是指特定认证机构对电子签名 及其签署者的真实性所做的认证。
第一节 电子认证概述
二）电子认证的含义
在电子签名的立法模式中，有技术中立、技术特定和折 中式三种立法模式。 本书所说的电子认证就是针对签名及签署者的认证。但 绝不意味着本书述的电子签名就是数字签名。我们将电子签 名分为广义和狭义电子签名。前者是技术中立的原则，后者 则是电子签名技术特定化，主要指数字签名。 在现实生活以及未来发展中，电子签名所采用的技术手 段和方案呈多样性特点，与之相应，电子认证所采用的技术 手段和方案也是多样性的。
电子签名的基本功能是将电子文件与其签署人紧密地 联系在一起，较好地解决了身份辨别及文件归属问题，但是 它并没有在陌生的商事主体之间建立起交易所需的起码的信 用度。问题的解决方案是通过一个或几个值得信赖的第三方 将被认定的签名或签名者的姓名与特定的公共密码联系起来 。可信赖的第三方一般被称作为“认证机构”，在许多国家 里，这样的认证机构按不同的层次构建起来，常被称作是公 钥基础设施.
六、电子认证机构的责任
（三）电子认证机构的责任限制 认证机构的责任限制是指给予认证机构在民事赔 偿方面以必要的责任限制。 给予认证机构在民事赔偿方面以必要的责任限制 。例如：一方面，如果认证机构对证书的签发有过错 （如证书中存在某些错误陈述）且给当事人造成了损 失，则认证机构的损失赔偿额将以证书中载明的金额 为限。
三）电子认证机构的设立程序
电子认证机构从事相关业务，需要经过国家主管 部门的许可，经过一系列的审批、登记程序后，方可 从事相关活动。 1、申请 2、审批、发证 3、登记 4、公布信息
三、电子认证业务声明
认证服务提供者应当制定认证业务声明，并予以 公布。 电子认证业务规划包括责任范围、作业操作规 范信息和信息安全保障措施等内容，主要由以下几部 分组成：概括性概述；信息发布与信息管理；身份与 鉴别描述；证书生命周期操作要求；认证机构设施、 管理和操作控制；认证系统技术安全控制；证书、证 书吊销列表和在线证书状态协议；认证机构审计和其 他评估；法律责任和其他业务条款。
四、电子认证机构的wenku.baidu.com信赖性
（二）可信赖系统的标准 联合国贸法会《电子签名示范法》第10条对“可信赖性” 作了规定：在决定证明服务提供者使用的系统、步骤和人力资 源是否具有可信赖性，及可信赖的程度时，下列因素应该予以 考虑： （1）财力与人力资源，包括现有资产； （2）软件与硬件系统的质量； （3）证书生成与申请的步骤以及相关记录的保留； （4）证书所证明的签名者及潜在的相对方的有关信息的 可获取性； （5）是否由独立的第三方进行审计以及审计的程度； （6）规则采纳国已作出声明，存在一个鉴定机构，或者 鉴定机构所确认的证明服务提供者； （7）任何其他相关因素。
二）认证机构的特点
1．认证机构必须是一个独立的法律实体。 认证机构以自己的名义从事数字证书服务，以其自有财 产提供担保，并承担一定的责任。这就需要法律对认证机构的 法律地位作出明确的规定。 2．认证机构还必须是中立性的。 认证机构一般并不直接与用户进行商事交易，而是在其 交易中，以受信赖的中立机构的身份，提供信用服务。它不代 表交易任何一方的利益，仅发布公正的交易信息促成交易。因 此，中立性，是其参与并促成与电子商务交易的重要保证。 3. 认证机构必须是当事人依赖的第三方
在认证机构向用户颁发证书之前，用户须向认 证机构进行登记，该登记一般是通过填写提交证书 申请表来完成的。登记涉及用户与认证机构之间的 关系的确立，并将用户的基本信息在认证机构进行 登载。 对于证书的发放，可以进行更新申请，或撤销 后再申请。而对于申请来说，用户可以撤销证书发 放的申请，认证机构可以明确撤销认证请求的条件 ，以及其处理撤消请求的程序等。
六、电子认证机构的责任
（三）电子认证机构的责任限制 之所以给予认证机构以赔偿金额限制，目的是 使认证机构承担的风险相当于银行发行自动柜员机卡 或信用卡所承担的风险而不是更大。在电子商务的起 步阶段，为扶植认证机构的发展而给予其某些特别保 护，也无可厚非。另一方面，在认证机构签发给当事 人的证书被盗并被他人用以欺诈的情况下，如果欺诈 是在当事人将证书被盗的情形通知认证机构之前发生 的，则认证机构对当事人因欺诈而导致的损失不负责 任。
三、电子认证的立法状况
目前，有关电子认证的立法虽有不少，但直接 冠以“认证”名称的并不多见，大部分是在电子签 名法或数字签名法中给予规定。 为了规范电子认证服务，对电子认证提供者实 施监督管理，我国《电子签名法》对电子认证作为 专门规定。 《电子认证服务管理办法》从以下几方面对电 子谁服务作了规定：电子认证服务机构的设立条件 和设立程序、电子认证服务提供者的服务和应履行 的义务、电子认证服务的暂停和终止、电子签名认 证证书的内容和管理、监督管理等
六、电子认证机构的责任
（二）归责原则 一般认为，认证机构应该适用过错责任原则。若损害是由 于当事人自己的行为所引起的，比如证书用户的个人密钥丢失 没有及时通知认证机构引起的损失、用户提供的证书信息虚假 问题出现的损失、用户非法使用证书产生的损失等等，则由参 与电子商务活动的各方当事人对其责任范围内发生的各项损害 承担赔偿责任。或者，若认证机构证明自己已经尽到了合理谨 慎注意的义务，则认证机构不承担责任。
第二节 电子认证机构法律规范
一、电子认证机构概述
一）电子认证机构的概念
联合国: 认证机构，是指任何人或实体，在其营业中从 事以数字签名为目的，而颁发与加密密钥相关的身份证书。 我国：是指为需要第三方认证的电子签名提供谁服务的 机构 本书：专指电子商务中对用户的电子签名颁发数字证 书的机构，是受一个或多个用户信任、提供用户身份验证服 务的第三方机构
二、电子认证机构的设立 一）电子认证机构的设立模式 1、政府机构管理型。政府机构管理型 即以法律授权政府相关的机构对认证机构进行 管理，颁发许可证。这种模式过于倚重政府的 力量，可能会造成政府权力过分扩张的危险， 这不符合私法的精神。
二、电子认证机构的设立
一）电子认证机构的设立模式 2、民间合同约束型。这是市场自由、技术中立 原则的体现。坚决地惯彻了私法自治的原则，但是在 我国目前信息化基础未见稳固、市场尚未成熟之前， 这种模式会带来诸多问题。 3、行业自律型。该方法设想认证机构的管理机关 应当由政府主管部门和全国认证机构协会来共同承担 。综合了上述两种模式的优点，应当说是一种比较理 想的模式。
2、防止否认功能
不得否认原理是诚实信用原则在电子交易领域中的具体 体现。该原理要求行为人在进行民事交往活动时，一方面应 动机纯正，没有损人利己的不当或不法的主观态度，另一方 面，在为某种行为时，应符合道德惯例。因此，从这一角度 看来，不得否认是诚实信用的基本要求，是实现交易安全问 题的基本手段之一。 电子认证的最终目的就是为了在电子商务交易的当事人 之间发生纠纷的情况下，提供有效的认证解决方法。信息发 送人难以否认电子认证程序与规则，而信息接受人不能否认 其已经接受到信息，这就为交易当事人提供了大量的预防性 的保护，避免一方当事人试图抵赖曾发送或收到某一数据信 息而欺骗另一方当事人的行为发生。