第9章电子商务安全法律ppt

9.2.2 认证机构的法定权利与义务
9.2.2.1．认证机构的主要义务 （1）信息披露义务 （2）业务说明义务 （3）保险义务 （4）保密义务 （5）担保义务
9.2.2.2 认证机构的主要权利
发放证书 中止证书 撤销证书 保存证书
9.2.3 交叉认证的法律问题
9.2.3.1 联合国《电子签字示范法》交叉认证 的解决。
第九章 电子商务安全的相关法律
9.1 电子签名相关法律制度 9.2 电子认证相关法律制度 9.3 数据电文安全相关法律制度 9.4 电子支付安全相关法律制度 9.5 电子商务安全其他相关法律制度
学习目标和要求
1．掌握电子签名法律在电子商务经营中重要地位，了解 我国电子签名法的基本内容；
供信息。 （5） 由独立机构进行审计的经常性和审计的范围。 （6） 是否存在国家、鉴定机构或认证服务提供人作出的
关于上述条件的遵守情况或上述条件是否存在的声明。 （7） 其它任何有关因素。
9.2 电子认证相关法律制度
9.2.1 电子认证、数字证书与认证机构 的概念
9.2.2 认证机构的法定权利与义务 9.2.3 交叉认证的法律问题 9.2.4 电子商务认证机构的管理
（1）采取合理的谨慎措施，避免他人未经授权使用其签字制作资料。
（2）签字人知悉签字制作资料已经失密；或签字人知悉签字制作资料很有 可能已经失密的情况；应毫无迟延，应利用认证服务提供人依照本法第9 条提供的手段，或做出合理的努力，向签字人可以合理预计的依赖电子 签字或提供支持电子签字服务的任何人员发出通知。
9.3.2.2数据电文的签字功能等价标准
联合国《电子商务示范法》第7条规定： “（1）如法律要求要有一个人签字，则 对于一项数据电文而言，倘若情况如下， 即满足了该项要求：（a）使用了一种方 法，鉴定了该人的身份，幷且表明该人认 可了数据电文内含的信息；和（b）从所 有各种情况来，包括根据任何相关协议， 所用方法是可靠的，对生成或传递数据电 文的目的来说也是适当的。”
电子认证主要包括身份认证和信息认证。前者 用于鉴别用户身份，后者用于保证通信双方的 不可抵赖性和信息的完整性。
数字证书是目前最常用的认证证书，它是 由认证机构签发的数据电文或相关记录以确 认持有特定密钥者身份的文件 认证机构是指从事颁发为电子签字的目的 而使用的加密密钥相关的证书的人。 2005年1月28日中华人民共和国信息产业部 通过的《电子认证服务管理办法》
（七）法律、行政法规规定的其他条件。
9.2.4.2认证机构的管理
认证机构管理包括外部管理和内部管理。
内部管理主要是认证机构对用户的证书的申请、发放、 撤销等方面的管理，建立完善的安全管理和内部审计 制度，并接受信息产业部的监督管理，遵守国家的保 密规定，建立完善的保密制度。
外部管理主要是有关主管部门对认证机构的管理。
电子商务认证服务规定应当具备下列条件：
（一）具有独立的企业法人资格； （二）从事电子认证服务的专业技术人员、运营管理人员、安全管
理人员和客户服务人员不少于三十名； （三）注册资金不低于人民币三千万元； （四）具有固定的经营场所和满足电子认证服务要求的物理环境； （五）具有符合国家有关安全标准的技术和设备； （六）具有国家密码管理机构同意使用密码的证明文件；
用事业服务的。
9.3.3数据电文的效力
9.3.3.1数据电文的法律确认
《电子商务示范法》第5条规定，不得仅仅以某项信息 采用数据电文形式为理由而否定其法律效力、有效性 或可执行性。
我国的《电子签名法》第三条规定，当事人约定使用 电子签名、数据电文的文书，不得仅因为其采用电子 签名、数据电文的形式而否定其法律效力。
电子认证服务机构有根据信息产业部的安排承接其他机构开展的电 子认证服务业务的义务。
电子认证服务机构在有效期内拟终止电子认证服务的，应在终止服 务六十日前向信息产业部报告，办理证书注销手续，并持信息产业 部的相关证明文件向工商行政管理机关申请办理注销登记。
9.2.4.4电子认证服务机构的法律责任
民事责任。民事责任涉及保密、隐私、知识产权、担 保及免责等内容。
行政责任。未经许可提供电子认证服务 ；未在暂停或 者终止服务六十日前向国务院信息产业主管部门报告 ； 电子认证服务提供者不遵守认证业务规则、未妥善保 存与认证相关的信息，Байду номын сангаас者有其他违法行为 。
9.3数据电文安全相关法律制度
9.3.1数据电文的基本含义 联合国贸易法委员会《电子商业示范法》规
9.1 电子签名相关法律制度
9.1.1 电子签名的相关概念 9.1.2 电子签字的法律地位 9.1.3 电子签字中各方当事人的基本行
为规范
9.1.1 电子签名的相关概念
电子签名是一种新型的核证方法，电子签名与传统的纸张 签名行为有很大的区别。
《电子签名示范法》的定义：“电子签名系指在数据电文 中，以电子形式所含、所附或在逻辑上与数据电文有联系 的资料，它可用于鉴别与数据电文有关的签字人和表明此 人认可数据电文所含信息。
（2）无论本条第（1）款所述的要求是否采取一项义 务的形式，也无论法律是不是仅仅规定了无签字时的 后果，该款均将适用。
9.1.2 电子签名的法律地位
9.1.2.1 对电子签名的法律要求
（1）电子签名制作资料用于电子签名时，属于电子签名人专有。 （2）签署时电子签名制作资料仅由电子签名人控制。 （3）签署后对电子签名的任何改动能够被发现。
（3）在使用证书支持电子签字时，采取合理的谨慎措施，确保签字人做 出的关于证书整个有效期的或需要列入证书内的所有实质性表述均精确
无误和完整无缺。
9.1.3.2 认证服务提供人的行为
（1）按其所做出的关于其政策和做法的表述行事。
（2）采取合理的谨慎措施，确保其做出的关于证书整个有效期的或需要列入 证书内的所有实质性表述均精确无误和完整无缺。
定， 数据电文系指经由电子手段、光学手段 或类似手段生成、存储或传递的信息，数据 电文包括但不限于电子资料交换（EDI）、电 子邮件、电报或电传所传递的信息。
中国《电子签名法》规定，本法所称数据电 文，是指以电子、光学、磁或者类似手段生 成、发送、接收或者储存的信息。
9.3.2数据电文的功能等价标准
（5） 确保提供及时的撤销服务。
（6） 使用可信赖的系统、程序和人力资源提供其服务。
9.1.3.3 依赖方的行为规范 采取合理的步骤查验电子签字的可靠性；或在电
子签字有证书支持时，采取合理的步骤，包括查验证 书的有效性、证书的暂停或撤销、遵守对证书的任何 限制。
9.1.3.4 可信赖性 （1） 财力和人力资源，包括是否存在资产。 （2） 硬件和软件系统的质量。 （3） 证书及其申请书的处理程序和记录的保留。 （4） 是否可向证书中指明的签字人和潜在的依赖方提
9.2.1 电子认证、数字证书与认证机 构的概念
电子认证从广义上来说，可以包括认证机构 （Certification Authentication简称CA）、电子 认证行为和数字证书在内的一整套法律制度， 从狭义上来说，仅指电子认证行为，即由认证 机构采用电子方法以证明电子签字持有人真实 身份或电子信息真实的行为。
足法律、法规规定的原件形式要求： （一）能够有效地表现所载内容幷可供随时调取查用； （二）能够可靠地保证自最终形成时起，内容保持完整、未被更改。
但是，在数据电文上增加背书以及资料交换、储存和显示过程中 发生的形式变化不影响数据电文的完整性。
9.3.2.4数据电文的适用范围
我国的《电子签名法》第三条规定，下列 情况不得使用： 涉及婚姻、收养、继承等人身关系的； 涉及土地、房屋等不动产权益转让的； 涉及停止供水、供热、供气、供电等公
2．掌握电子签名与电子认证相结合而构成的电子商务安 全法律基本体系；
3．掌握数据电文这种具有与传统书面形式等同功能的文 件载体独特的法律规定，熟练运用数据电文法律知识 解决相关的纠纷；
4．认识电子支付法律在实际中的重要意义，了解电子支 付法律是保障电子商务支付安全的基础；
5．了解网络信息安全的重要意义，了解网络犯罪以及网 络证据搜集。
9.3.2.3数据电文的原件功能等价标准
联合国《电子商务示范法》规定：如法律要求信息须以其原始形 式展现或留存，倘若情况如下，则一项数据电文即满足了该项要 求：
（a）有办法可靠地保证自信息首次以其最终形式生成，作为一项数 据电文或充当其它用途之时起，该信息保持了完整性；和
（b）如要求将信息展现，可将该信息显示给观看信息的人 我国的《电子签名法》规定：符合下列条件的数据电文，视为满
《电子签字示范法》规定了承认外国证书和电子签字的一般原则：
（1）不歧视的一般原则 （2）基本等同的可靠性原则 （3）当事人约定有效原则
9.2.3.2 交叉认证的解决方式 （1）通过国际条约或双边协定来处理 （2）行政核准方式。 （3）认证担保的方式。
9.2.4 电子商务认证机构的管理
9.2.4.1认证机构的设立
（3）提供合理可及的手段，使依赖方得以从证书中证实认证服务提供人的身 份、证书中所指明的签字人在签发证书时拥有对签字制作资料的控制、在 证书签发之时或之前签字制作资料有效。
（4）提供合理可及的手段，使依赖方得以在适当情况下从证书或其它方面证 实用以鉴别签字人的方法、签字制作资料或证书的可能用途或使用金额上 的任何限制、签字制作资料有效且未发生失密、认证服务提供人规定的责 任范围或程度上的任何限制、是否存在签字人依照第8条发出通知的途径、 是否提供了及时的撤销服务。
9.3.3.2数据电文在合同订立上的效力
联合国《电子商务示范法》第11条进一步规定， “就合同的订立而言，除非当事各方另有协议， 一项要约以及对要约的承诺均可通过数据电文 的手段表示。如使用了一项数据电文来订立合 同，则不得仅仅以使用了数据电文为理由而否 定该合同的有效性或可执行性”。
9.3.2.1数据电文的书面功能标准 联合国《电子商业示范法》第6条提供了一种客观标准，
即一项数据电文内所含的信息可以随时调取以备日后 查阅。 我国的《电子签名法》第4条规定：“能够有形地表现 所载内容，幷可以随时调取查用的数据电文，视为符 合法律、法规要求的书面形式。” “可以调取”字样是意指计算机料形式的信息应当是 可读和可解释的，使这种信息成为可读所可能必需的 软件应当保留。“以备”一词幷非仅指人的使用，还 包括计算机的处理。“日后查用”它指的是“耐久性” 或“不可更改性”。
9.2.4.3电子认证服务的暂停、终止
电子认证服务机构拟暂停或者终止电子认证服务：
应在暂停或者终止电子认证服务九十日前，就业务承接及其他有关 事项通知有关各方。
应当在暂停或者终止电子认证服务六十日前向信息产业部报告，并 与其他电子认证服务机构就业务承接进行协商，作出妥善安排。
未能就业务承接事项与其他电子认证服务机构达成协议的，应当申 请信息产业部安排其他电子认证服务机构承接其业务。
（4）签署后对数据电文内容和形式的任何改动能够被发现。
9.1.2.2 电子签字效力的归属
（1）可靠的电子签名与手写签名或者盖章具有同等的法律效力。 （2）未经授权的电子签字的法律责任。 （3）我国《电子签名法》 所确定的法律责任。
9.1.3 电子签字中各方当事人的基本 行为规范
9.1.3.1 签字人的行为规范
我国的《电子签名法》的规定：“本法所称电子签名，是 指中以电子形式所含、所附用于识别签名人身份幷表明签 名人认可其中内容的资料。”
电子签名过程中的一些相关概念。
联合国《电子商务示范法》确定了数据电文的核证： （1）如法律要求有一个人签字，则对于一项数据电文 而言，倘若情况如下，即满足了该项要求：第一，使 用一种方法。鉴定该人的身份，幷且表明该人认可了 数据电文内涵的信息；第二，从所有各种情况看来， 包括根据任何相关协议，所用的方法是可靠的，对生 成或传递数据电文的目的来说也是适当的。