电子认证法律制度
我国现行法律主要是:《电子认证服务管理办法》。 1、服务机构的设立条件和设立程序; 2、电子认证服务提供的服务和应履行的义务; 3、电子认证服务的暂停和终止; 4、电子签名认证证书的内容和管理、监督管理等。
第二节 电子认证机构法律规范
一、电子认证机构概述(P101)
(一)电子认证机构的概念(CA) 认证机构是指任何人或实体,在其营业中从事以数字签名为目的,而 颁发与加密秘钥相关的身份证书。 ——《电子签名统一规则(草案)》 本办法所称电子认证服务提供者,是指为需要第三方认证的电子签名 提供认证服务的机构。本书所讨论的认证机构,专指电子商务中对用户 的电子签名颁发数字证书的机构,是受一个或多个用户信任,提供用户 身份验证服务的第三方机构。 ——《电子认证服务管理办法》
二、电子认证机构的设立 (一)电子认证机构的设立模式(P102)
政府机构管理型 民间合同约束型 行业自律型
政府主导作用
最低限度主义方法
政府主管部门 全国认证机构 协会
我国电子认证机构的设立模式——政府机构管理模式 《电子签名法》第18条规定:从事电子认证服务, 由国务院信息产业主管部门进行受理,颁发许可证。
电子认证机构设立条件(P103): 《电子签名法》
第十七条 提供电子认证服务,应当具备下列条件: 人员:具有与提供电子认证服务相适应的专业技术人员和管理人员; 资金、场所:具有与提供电子认证服务相适应的资金和经营场所; 设备:具有符合国家安全标准的技术和设备; 证明文件:具有国家密码管理机构同意使用密码的证明文件; 其他条件:法律、行政法规规定的其他条件。
第四节 电子认证法律关系当事人及其行为规范
一、电子认证法律关系各方当事人
认证机构 认证服务合同
证书持有人
证书信赖人
合同关系
合同双方当事人
电子认证机构与证书信赖人之间的法律关系(P115) 社区认证服务型 单方证书用户型 交叉认证关系 混合认证关系
电子认证机构的义务(P116):
担保的义务 第十八条 电子认证服务机构应当履行下列义务: (一)保证电子签名认证证书内容在有效期内完整、准确; (二)保证电子签名依赖方能够证实或者了解电子签名认证证书 所载内容及其他有关事项; (三)妥善保存与电子认证服务相关的信息。 完善内部管理和审计的义务 第十பைடு நூலகம்条 电子认证服务机构应当建立完善的安全管理和内部审计制度, 并接受信息产业部的监督管理。
电子签名人(证书拥有人)的义务(P117)
提交真实信息的义务 安全保管私人密码的义务 及时告知的义务
电子签名依赖方(证书信赖人)的义务 采取合理的步骤确认签名的真实性; 在电子签名有证书证明的情况下,采取合理的步骤;确认证书是否合 法、有效,是否被中止或撤销; 遵守任何有关对证书作出的限制。
若认证机构证明自己尽到了合理谨慎注意的义务,则认证机构不承担责 任; 完善的认证业务操作规范
合理谨慎注意的义务 合格的软硬件设施、人员
认证证书记载信息的真实性 第二十八条 电子签名人或者电子签名依赖方因依据电子认证服务提供者提供的 电子签名认证服务从事民事活动遭受损失,电子认证服务提供者不能证明 自己无过错的,承担赔偿责任。
提交证书申请表
将用户基本信息在 认证机构进行登载
登记
第二十条 电子签名人向电子认证服务提供者申请电子签名认证证书,应当提供真实、 完整和准确的信息。 电子认证服务提供者收到电子签名认证证书申请后, 应当对申请人的身份进行查验,并对有关材料进行审查。
(二)电子认证证书的颁发(P110)
《电子认证服务管理办法》 第三十条 有下列情况之一的,电子认证服务机构应当对申请人提供 的证明身份的有关材料进行查验,并对有关材料进行审查: (一)申请人申请电子签名认证证书; (二)证书持有人申请更新证书; (三)证书持有人申请撤销证书。
第十五条 电子认证服务机构应当按照信息产业部公布的《电子认证 业务规则规范》的要求,制定本机构的电子认证业务规则,并在提供电 子认证服务前予以公布,向信息产业部备案。 电子认证业务规则发生变更的,电子认证服务机构应当予以公布, 并自公布之日起三十日内向信息产业部备案。
电子认证规则包括哪些内容?P105
直播课堂
(课程名称)
安徽广播电视大学 录 制
保密义务 第二十条 电子认证服务机构应当遵守国家的保密规定,建立完善的保密 制度。 电子认证服务机构对电子签名人和电子签名依赖方的资料,负有保密的 义务。 告知义务 第二十一条 电子认证服务机构在受理电子签名认证证书申请前,应当向 申请人告知下列事项: (一)电子签名认证证书和电子签名的使用条件; (二)服务收费的项目和标准; (三)保存和使用证书持有人信息的权限和责任; (四)电子认证服务机构的责任范围; (五)证书持有人的责任范围; (六)其他需要事先告知的事项。 签订书面合同的义务 第二十二条:电子认证机构受理电子签名认证申请后,应当与证书申请 人签订合同,明确双方的权利义务。
身份认证 文件归属
第一节 电子认证概述
(二)电子认证的含义
认证指的是对人或者物的真实性、完整性进行甄别、鉴定、确认的行 为。 电子认证是指特定认证机构对电子签名及其签署者的真实性所做的认 证。
二、电子认证的功能
(一)担保功能(P99) (二)防止欺诈功能——实时证书验证 (三)防止否认功能——不得否认原理,信息发送者身份及信息的完整 性有力的证据,该证据足以预防一方当事人成功地抵赖信息的发端、送 达或传送,及其内容的完整性。
电子认证机构的特点:
认证机构必须是独立的法律实体; 认证机构必须是中立的——是认证机构参与并促成电子商务交易的重要 保证; 认证机构必须是当事人信赖的第三方。
电子认证机构的服务内容
制作、签发、管理电子签名认证证书; 确认签发的电子签名认证证书的真实性; 提供电子签名认证证书目录信息查询服务; 提供电子签名认证证书状态信息查询服务。
电子认证机构的可信赖性(P106)
可信赖系统的含义:可信赖系统,应当由计算机软硬件及相关程序 构成,这些组件是足够的安全,可以防止外来的入侵以及滥用。他们它 们具有合理的安全性、可靠性、可以随时提供适当的服务。 可信赖系统在立法中的体现: 1、财力资源与人力资源; 2、软件系统与硬件系统的质量; 3、证书生成与申请的步骤以及相关记录的保留; 4、证书所证明的签名者及潜在的相对方的有关信息的可获取性; 5、是否由独立的第三方进行审计以及审计的程度; 6、规则采纳国已作出声明,存在一个鉴定机构,或者鉴定机构所确 认的证明服务提供者; 7、任何其他相关因素。
第三节 电子认证证书业务规范
一、电子认证证书的概念
是指认证机构颁发的数据电讯或其他记录,用来确定持有特定密钥的 人或实体的身份或其他充足的特征。 《电子签名统一规则(草案)》 是指可证实电子签名人与电子签名制作数据有联系的数据电文或者其 他电子记录。 《电子签名法》
二、电子认证证书申领 (一)电子认证证书的申请
(四)国外电子证书认证问题 三种处理方式(P112):
1、国际条约或双边协定的约定; 2、行政核准的方式; 3、认证担保的方式。
《电子签名法》第二十六条 经国务院信息产业主管部门根据有关协议或 者对等原则核准后,中华人民共和国境外的电子认证服务提供者在境外 签发的电子签名认证证书与依照本法设立的电子认证服务提供者签发的 电子签名认证证书具有同等的法律效力。 《电子认证服务管理办法》第四十二条 经信息产业部根据有关协议或 者对等原则核准后,中华人民共和国境外的电子认证服务机构在境外签 发的电子签名认证证书与依照本办法设立的电子认证服务机构签发的电 子签名认证证书具有同等的法律效力。 实践中很难操作。
《电子认证服务管理办法》
第五条 电子认证服务机构,应当具备下列条件: (一)具有独立的企业法人资格; (二)从事电子认证服务的专业技术人员、运营管理人员、安全管 理人员和客户服务人员不少于三十名; (三)注册资金不低于人民币三千万元; (四)具有固定的经营场所和满足电子认证服务要求的物理环境; (五)具有符合国家有关安全标准的技术和设备; (六)具有国家密码管理机构同意使用密码的证明文件; (七)法律、行政法规规定的其他条件。
电子认证机构的退出机制(P107):
向主管部门报告并 办理相关注销手续
通知各方 业务的承接
终止服务前60日向 工业和信息化部 报告并办理 相关手续
在暂停或终止电子认证 服务90日前,就业务承接 及其他有关事项通知 有关各方。
协商承接 指定承接(P107)
电子认证机构的责任(P107) (一)归责原则——严格过错责任原则——证明自己无过错
那些人可以提出申请?
用其名称签名证书的用户; 以一项涉及或应用系统的名义提出认证申请的个人和组织; 出资者; 签发认证证书的认证机构的工作人员; 为签发认证证书的认证机构工作的登记的工作人员。
(二)电子认证证书的有效期 公钥的有限期规定在证书内,指示了证书的有效期起始日期和期满日 期。 (三)电子认证证书信息的保存(P112) 第二十四条 电子认证服务机构拟暂停或者终止电子认证服务的,应 在暂停或者终止电子认证服务九十日前,就业务承接及其他有关事项通 知有关各方。 电子认证服务机构拟暂停或者终止电子认证服务的,应当在暂停或者 终止电子认证服务六十日前向信息产业部报告,并与其他电子认证服务 机构就业务承接进行协商,作出妥善安排。
(三)电子认证证书的接受
接受证书是指证书申请人了解证书的内容后,同意使用证书的行为。
三、电子认证证书的管理(P111) (一)电子认证证书的中止与撤销 1、电子认证证书的中止 ——并非永久性的撤销,而临时地使之在某段 时间内不具有有效性。 2、电子认证证书的撤销 第二十九条 有下列情况之一的,电子认证服务机构可以撤销其签发的 电子签名认证证书: (一)证书持有人申请撤销证书; (二)证书持有人提供的信息不真实; (三)证书持有人没有履行双方合同规定的义务; (四)证书的安全性不能得到保证; (五)法律、行政法规规定的其他情况。
