第3章 電子簽名與電子認證法律問題

第3章電子簽名與電子認證法律問題3.1電子簽名法3.2電子認證法律問題3.1電子簽名法3.1.1電子簽名法簡介3.1.2電子簽名的概念、實現(xiàn)方法及功能3.1.3數(shù)字簽名技術(shù)3.1.4電子簽名和數(shù)據(jù)電文的法律效力

3.1.1電子簽名法簡介傳統(tǒng)交易中，為了保證交易安全，一份書面合同一般要由當事人簽字或蓋章，能夠讓交易對方識別是誰簽的合同，并能保證簽字或者蓋章的人認可合同的內(nèi)容，法律上才承認這份合同是有效的。電子商務中，合同或者文件是以電子的形式表現(xiàn)和傳遞的，傳統(tǒng)的手寫簽字和蓋章無法進行，必須靠技術(shù)手段替代。因此需要一種電子簽名的手段，這種電子簽名必須能夠在電子文件中識別交易人的身份，保證交易安全，起到與手寫簽字或者蓋章同等的作用。

《電子簽名法》共5章36條，包括：總則、數(shù)據(jù)電文、電子簽名與認證、法律責任和附則。主要解決了以下幾個問題：一是確立了電子簽名的法律效力；二是規(guī)范了電子簽名的行為；三是明確了認證機構(gòu)的法律地位及認證程序，并給認證機構(gòu)設(shè)置了市場準入條件和行政許可的程序；四是規(guī)定了電子簽名的安全保障措施；五是明確了認證機構(gòu)行政許可的實施主體是國務院信息產(chǎn)業(yè)主管部門。

3.1.1電子簽名法簡介

《電子簽名法》中明確規(guī)定自2005年4月1日起施行，即自2005年4月1日起，有關(guān)數(shù)據(jù)電文、電子簽名與認證以及違反本法規(guī)定應當承擔責任都應當執(zhí)行本法的規(guī)定。按照國際通行的原則，法律不溯及以往，也就是說，新的法律規(guī)定不能調(diào)整法律生效前已經(jīng)發(fā)生的違反新法律的事實和行為，但是如果其事實和行為在新法生效前發(fā)生并延續(xù)到新法實施后，則應當適用新法。

3.1.1電子簽名法簡介

3.1.2電子簽名的概念、實現(xiàn)方法及功能

1.電子簽名的概念

簽名，一般是指一個人用手親筆在一份文件上寫下名字或留下印記、印章或其他特殊符號，以確定簽名人的身份，并確定簽名人對文件內(nèi)容予以認可。傳統(tǒng)的簽名必須依附于某種有形的介質(zhì)，而在電子交易過程，文件是通過數(shù)據(jù)電文的發(fā)送、交換、傳輸、儲存來形成的，沒有有形介質(zhì)，這就需要通過一種技術(shù)手段來識別交易當事人、保證交易安全，以達到與傳統(tǒng)手寫簽名相同的功能。電子簽名要能夠在電子文件中識別雙方交易人的真實身份，保證交易的安全性和真實性以及不可抵懶性，要起到與手寫簽名或者蓋章同等作用。1.電子簽名的概念聯(lián)合國貿(mào)發(fā)會的《電子簽名示范法》中對電子簽名作如下定義：“指在數(shù)據(jù)電文中以電子形式所含、所附或在邏輯上與數(shù)據(jù)電文有聯(lián)系的數(shù)據(jù)，它可用于鑒別與數(shù)據(jù)電文相關(guān)的簽名人和表明簽名人認可數(shù)據(jù)電文所含信息”；在歐盟的《電子簽名共同框架指令》中規(guī)定：“以電子形式所附或在邏輯上與其他電子數(shù)據(jù)相關(guān)的數(shù)據(jù)，作為一種判別的方法”稱電子簽名。

3.1.2電子簽名的概念、實現(xiàn)方法及功能

1.電子簽名的概念在我國的《中華人民共和國電子簽名法》第二條中規(guī)定：“本法所稱電子簽名，是指數(shù)據(jù)電文中以電子形式所含、所附用于識別簽名人身份并標明簽名人認可其中內(nèi)容的數(shù)據(jù)。本法所稱數(shù)據(jù)電文，是指以電子、光學、磁或者類似手段生成、發(fā)送、接收或者儲存的信息?！?.1.2電子簽名的概念、實現(xiàn)方法及功能

電子簽名的概念具體來說，電子簽名的概念包括以下內(nèi)容：（1）電子簽名是以電子形式出現(xiàn)的數(shù)據(jù)；（2）電子簽名是附著于數(shù)據(jù)電文的。電子簽名可以是數(shù)據(jù)電文的一個組成部分，也可以是數(shù)據(jù)電文的附屬，與數(shù)據(jù)電文具有某種邏輯關(guān)系、能夠使數(shù)據(jù)電文與電子簽名相聯(lián)系；（3）電子簽名必須能夠識別簽名人身份并表明簽名人認可與電子簽名相聯(lián)系的數(shù)據(jù)電文的內(nèi)容。3.1.2電子簽名的概念、實現(xiàn)方法及功能

1.電子簽名的概念電子簽名具有多種形式，諸如：附著于電子文件的手寫簽名的數(shù)字化圖像，包括采用生物筆記鑒別法所形成的圖像；向收件人發(fā)出正式發(fā)送人身份的密碼、計算機口令；采用特定生物技術(shù)識別工具，如指紋或是眼虹膜透視辨別法等。無論采用什么樣技術(shù)手段，只要符合本條規(guī)定的條件，就是本法所稱的電子簽名。

3.1.2電子簽名的概念、實現(xiàn)方法及功能

電子簽名的概念《電子簽名法》還對可靠的電子簽名做出如下規(guī)定：“第十三條

電子簽名同時符合下列條件的，視為可靠的電子簽名：（一）

電子簽名制作數(shù)據(jù)用于電子簽名時，屬于電子簽名人專有；（二）

簽署時電子簽名制作數(shù)據(jù)僅由電子簽名人控制；（三）

簽署后對電子簽名的任何改動能夠被發(fā)現(xiàn)；（四）

簽署后對數(shù)據(jù)電文內(nèi)容和形式的任何改動能夠被發(fā)現(xiàn)。當事人也可以選擇符合其約定的可靠條件的電子簽名?！?.1.2電子簽名的概念、實現(xiàn)方法及功能

2．電子簽名的實現(xiàn)方法

目前，實現(xiàn)電子簽名的方法有好多種技術(shù)手段，前提是在確認了簽署者的確切身份即經(jīng)過認證之后，人們可以用多種不同的方法簽署一份電子記錄。這些方法有：基于PKI的公鑰密碼技術(shù)的數(shù)字簽名；或用一個獨一無二的以生物特征統(tǒng)計學為基礎(chǔ)的識別標識，例如手書簽名和圖章的電子圖像的模式識別；手印、聲音印記或視網(wǎng)膜掃描的識別；一個讓收件人能識別發(fā)件人身份的密碼代號、密碼或個人識別碼PIN；基于量子力學的計算機等等。但比較成熟的，使用方便具有可操作性的，在世界先進國家和我國普遍使用的電子簽名技術(shù)還是基于PKI（PublicKeyInfrastructure，公鑰基礎(chǔ)設(shè)施）的數(shù)字簽名技術(shù)。3.1.2電子簽名的概念、實現(xiàn)方法及功能

3．電子簽名的功能傳統(tǒng)的簽名主要有三個功能：一是證明文件的來源，即識別簽名人；二是表明簽名人對文件內(nèi)容的確認；三是構(gòu)成簽名人對文件內(nèi)容正確性和完整性負責的根據(jù)。3.1.2電子簽名的概念、實現(xiàn)方法及功能

3．電子簽名的功能可靠的電子簽名也能夠與傳統(tǒng)商務活動中的簽名蓋章具有相同的功能。這是因為：l

其一、可靠的電子簽名的這兩個條件保證了能夠通過電子簽名來識別簽名人的身份的真實性。l

其二、能夠保證數(shù)據(jù)電文的完整性，即數(shù)據(jù)電文從發(fā)出起沒有被修改過。這也就表明了簽名人對數(shù)據(jù)電文內(nèi)容的確認。l

其三、上述兩點足以證明簽名人必須對數(shù)據(jù)電文內(nèi)容的正確性和完整性負責，即簽名人對發(fā)出的數(shù)據(jù)電文是無法抵賴的。3.1.2電子簽名的概念、實現(xiàn)方法及功能

3．電子簽名的功能除了傳統(tǒng)的簽名所具有的三個功能外，基于PKI技術(shù)的數(shù)字簽名還具有三項新增的功能：其一、保密功能。其二、識別機器的身份。其三、數(shù)字時間戳、VPN（虛擬專用網(wǎng)）證書、軟件發(fā)行者證書等其他新增功能。3.1.2電子簽名的概念、實現(xiàn)方法及功能

3.1.3數(shù)字簽名技術(shù)1．

什么是數(shù)字簽名數(shù)字簽名在ISO7498-2標準中定義為：“附加在數(shù)據(jù)單元上的一些數(shù)據(jù)，或是對數(shù)據(jù)單元所作的密碼變換，這種數(shù)據(jù)和變換允許數(shù)據(jù)單元的接收者用以確認數(shù)據(jù)單元來源和數(shù)據(jù)單元的完整性，并保護數(shù)據(jù)，防止被人（例如接收者）進行偽造”。美國電子簽名標準對數(shù)字簽名作了如下解釋：“利用一套規(guī)則和一個參數(shù)對數(shù)據(jù)計算所得的結(jié)果，用此結(jié)果能夠確認簽名者的身份和數(shù)據(jù)的完整性”。按上述定義PKI提供可以提供數(shù)據(jù)單元的密碼變換，并能使接收者判斷數(shù)據(jù)來源及對數(shù)據(jù)進行驗證。1．

什么是數(shù)字簽名PKI的核心執(zhí)行機構(gòu)是電子認證服務提供者，即通稱為認證機構(gòu)CA（CertificateAuthority），PKI簽名的核心元素是由CA簽發(fā)的數(shù)字證書。它所提供的PKI服務就是認證、數(shù)據(jù)完整性、數(shù)據(jù)保密性和不可否認性。它的作法就是利用證書公鑰和與之對應的私鑰進行加/解密，并產(chǎn)生對數(shù)字電文的簽名及驗證簽名。數(shù)字簽名是利用公鑰密碼技術(shù)和其他密碼算法生成一系列符號及代碼組成電子密碼進行簽名，來代替書寫簽名和印章；這種電子式的簽名還可進行技術(shù)驗證，其驗證的準確度是在物理世界中對手工簽名和圖章的驗證是無法比擬的。這種簽名方法可在很大的可信PKI域人群中進行認證，或在多個可信的PKI域中進行交叉認證，它特別適用于互聯(lián)網(wǎng)和廣域網(wǎng)上的安全認證和傳輸。3.1.3數(shù)字簽名技術(shù)2．數(shù)字證書數(shù)字證書或稱電子證書簡稱為證書，它是PKI的核心元素，由認證機構(gòu)服務者所簽發(fā)，它是數(shù)字簽名的技術(shù)基礎(chǔ)保障；它符合X.509標準，是網(wǎng)上實體身份的證明，證明某一實體的身份以及其公鑰的合法性，證明該實體與公鑰二者之間的匹配關(guān)系，證書是公鑰的載體，證書上的公鑰唯一與實體身份相綁定?，F(xiàn)行的PKI機制一般為雙證書機制，即一個實體應具有兩個證書，兩個密鑰對，一個是加密證書，一個是簽名證書，加密證書原則上是不能用于簽名的。證書在公鑰體制中是密鑰管理的媒介，不同的實體可以通過證書來互相傳遞公鑰，證書是由權(quán)威性、可信任性和公正性的第三方機構(gòu)所簽發(fā)。因此，它是權(quán)威性電子文檔。3.1.3數(shù)字簽名技術(shù)3．數(shù)字簽名的技術(shù)實現(xiàn)單向認證雙向認證

圖3.1雙向認證過程

3.1.3數(shù)字簽名技術(shù)3．數(shù)字簽名的技術(shù)實現(xiàn)（2）數(shù)字簽名與驗證網(wǎng)上通信的雙方，在互相認證身份之后，即可發(fā)送簽名的數(shù)據(jù)電文。數(shù)字簽名的全過程分兩大部分，即簽名與驗證。

圖3.2數(shù)字簽名原理

3.1.3數(shù)字簽名技術(shù)3.1.4電子簽名和數(shù)據(jù)電文的法律效力

1.電子簽名的法律效力《電子簽名法》第十四條規(guī)定“可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力?！?.數(shù)據(jù)電文的法律效力（1）關(guān)于電子簽名活動中當事人意思自治原則、電子簽名和數(shù)據(jù)電文的法律效力的規(guī)定。

《電子簽名法》第三條規(guī)定“民事活動中的合同或者其他文件、單證等文書，當事人可以約定使用或者不使用電子簽名、數(shù)據(jù)電文。當事人約定使用電子簽名、數(shù)據(jù)電文的文書，不得僅因為其采用電子簽名、數(shù)據(jù)電文的形式而否定其法律效力。前款規(guī)定不適用下列文書：（一）

涉及婚姻、收養(yǎng)、繼承等人身關(guān)系的；（二）

涉及土地、房屋等不動產(chǎn)權(quán)益轉(zhuǎn)讓的；（三）

涉及停止供水、供熱、供氣、供電等公用事業(yè)服務的；（四）

法律、行政法規(guī)規(guī)定的不適用電子文書的其他情形?！?.1.4電子簽名和數(shù)據(jù)電文的法律效力

2.數(shù)據(jù)電文的法律效力（2）關(guān)于數(shù)據(jù)電文證據(jù)力的規(guī)定?！峨娮雍灻ā返谄邨l規(guī)定“數(shù)據(jù)電文不得僅因為其是以電子、光學、磁或者類似手段生成、發(fā)送、接收或者儲存的而被拒絕作為證據(jù)使用。”《電子簽名法》第八條規(guī)定“審查數(shù)據(jù)電文作為證據(jù)的真實性，應當考慮以下因素：（一）

生成、儲存或者傳遞數(shù)據(jù)電文方法的可靠性；（二）

保持內(nèi)容完整性方法的可靠性；（三）

用以鑒別發(fā)件人方法的可靠性；（四）

其他相關(guān)因素?！?.1.4電子簽名和數(shù)據(jù)電文的法律效力

2.數(shù)據(jù)電文的法律效力（3）關(guān)于數(shù)據(jù)電文形式要求的規(guī)定?！峨娮雍灻ā返谒臈l規(guī)定“能夠有形地表現(xiàn)所載內(nèi)容，并可以隨時調(diào)取查用的數(shù)據(jù)電文，視為符合法律、法規(guī)要求的書面形式。”《電子簽名法》第五條規(guī)定“符合下列條件的數(shù)據(jù)電文，視為滿足法律、法規(guī)規(guī)定的原件形式要求：

(一)能夠有效地表現(xiàn)所載內(nèi)容并可供隨時調(diào)取查用；(二)能夠可靠地保證自最終形成時起，內(nèi)容保持完整、未被更改。但是，在數(shù)據(jù)電文上增加背書以及數(shù)據(jù)交換、儲存和顯示過程中發(fā)生的形式變化不影響數(shù)據(jù)電文的完整性。”3.1.4電子簽名和數(shù)據(jù)電文的法律效力

2.數(shù)據(jù)電文的法律效力（3）關(guān)于數(shù)據(jù)電文形式要求的規(guī)定。《電子簽名法》第六條規(guī)定“符合下列條件的數(shù)據(jù)電文，視為滿足法律、法規(guī)規(guī)定的文件保存要求：(一)能夠有效地表現(xiàn)所載內(nèi)容并可供隨時調(diào)取查用；(二)數(shù)據(jù)電文的格式與其生成、發(fā)送或者接收時的格式相同，或者格式不相同但是能夠準確表現(xiàn)原來生成、發(fā)送或者接收的內(nèi)容;(三)能夠識別數(shù)據(jù)電文的發(fā)件人、收件人以及發(fā)送、接收的時間。”3.1.4電子簽名和數(shù)據(jù)電文的法律效力

2.數(shù)據(jù)電文的法律效力（4）關(guān)于數(shù)據(jù)電文的發(fā)件人、收件人以及發(fā)送、接收時間的規(guī)定。《電子簽名法》第九條規(guī)定“數(shù)據(jù)電文有下列情形之一的，視為發(fā)件人發(fā)送：(一)經(jīng)發(fā)件人授權(quán)發(fā)送的；(二)發(fā)件人的信息系統(tǒng)自動發(fā)送的；(三)收件人按照發(fā)件人認可的方法對數(shù)據(jù)電文進行驗證后結(jié)果相符的。當事人對前款規(guī)定的事項另有約定的，從其約定。”3.1.4電子簽名和數(shù)據(jù)電文的法律效力

2.數(shù)據(jù)電文的法律效力（4）關(guān)于數(shù)據(jù)電文的發(fā)件人、收件人以及發(fā)送、接收時間的規(guī)定。

《電子簽名法》第十條規(guī)定“法律、行政法規(guī)規(guī)定或者當事人約定數(shù)據(jù)電丈需要確認收訖的，應當確認收訖。發(fā)件人收到收件人的收訖確認時，數(shù)據(jù)電文視為已經(jīng)收到?！薄峨娮雍灻ā返谑粭l規(guī)定“數(shù)據(jù)電文進入發(fā)件人控制之外的某個信息系統(tǒng)的時間，視為該數(shù)據(jù)電文的發(fā)送時間。收件人指定特定系統(tǒng)接收數(shù)據(jù)電文的，數(shù)據(jù)電文進入該特定系統(tǒng)的時間，視為該數(shù)據(jù)電文的接收時間；未指定特定系統(tǒng)的，數(shù)據(jù)電文進入收件人的任何系統(tǒng)的首次時間，視為該數(shù)據(jù)電文的接收時間。當事人對數(shù)據(jù)電文的發(fā)送時間、接收時間另有約定的，從其約定?！?.1.4電子簽名和數(shù)據(jù)電文的法律效力

2.數(shù)據(jù)電文的法律效力（4）關(guān)于數(shù)據(jù)電文的發(fā)件人、收件人以及發(fā)送、接收時間的規(guī)定?！峨娮雍灻ā返谑l規(guī)定“發(fā)件人的主營業(yè)地為數(shù)據(jù)電文的發(fā)送地點，收件人的主營業(yè)地為數(shù)據(jù)電文的接收地點。沒有主營業(yè)地的，經(jīng)常居住地為發(fā)送或者接收地點。當事人對數(shù)據(jù)電文的發(fā)送地點、接收地點另有約定的，從其約定。”

3.1.4電子簽名和數(shù)據(jù)電文的法律效力

3.2電子認證法律問題3.2.1電子認證概述3.2.2電子認證法律關(guān)系3.2.3電子認證機構(gòu)的管理3.2.1電子認證概述

1．電子認證與認證機構(gòu)“認證”一詞傳統(tǒng)的意思就是鑒別，主要包含對事物真?zhèn)蔚谋孀R的意思，它既可以是第三人鑒別，也可能是當事人之間相互的鑒別。我們所說的“電子認證”是以特定的機構(gòu)對電子簽名及其簽字者的真實性進行驗證的具有法律意義的服務。1．電子認證與認證機構(gòu)

在目前比較普遍應用的數(shù)字認證過程中，有一個把數(shù)字簽名和特定的人或者實體加以聯(lián)系的專門管理機構(gòu)，這個特定的機構(gòu)就是“認證機構(gòu)”（CertificationAuthority,簡稱CA）。CA作為電子商務交易中受信任的第三方，承擔公鑰的合法性驗證的責任。CA中心為每個使用公開密鑰的用戶發(fā)放一個認證證書，認證證書的作用是證明證書所列出的用戶合法擁有證書中列出的公開密鑰。它負責產(chǎn)生、分配并管理所有參與網(wǎng)上交易的個體所需的認證證書，是安全電子交易的核心環(huán)節(jié)。3.2.1電子認證概述1．電子認證與認證機構(gòu)《電子簽名法》第十六條規(guī)定：“電子簽名需要第三方認證的，由依法設(shè)立的電子認證服務提供者提供認證服務?！边@里所說的電子認證服務提供者就是指認證機構(gòu)，認證機構(gòu)是為了從根本上保障電子商務交易活動順利進行而設(shè)立的，認證機構(gòu)以其信譽為電子商務交易各方提供信用，解決電子商務活動中交易參與各方身份、資信的認定，維護交易活動的安全，在電子商務交易中處于一個非常重要的獨立的第三方主體的地位，其在交易活動中的權(quán)利義務對各信賴主體的判斷、選擇和交易都具有關(guān)鍵性的影響，因此必須依法設(shè)立。3.2.1電子認證概述1．電子認證與認證機構(gòu)例如，消費者和生產(chǎn)者（或需求方和供應方）利用網(wǎng)絡形式開展的買賣活動，環(huán)節(jié)少，速度快，費用低。其流轉(zhuǎn)程式可以用圖3-3加以說明。回執(zhí)轉(zhuǎn)賬支付清單通知轉(zhuǎn)賬發(fā)貨訂單消費者信用卡公司銀行廠家圖3.3網(wǎng)絡商品直銷的流轉(zhuǎn)程式3.2.1電子認證概述1．電子認證與認證機構(gòu)

由于在上述交易中，消費者和廠家（或需求方和供應方）相互不認識，為保證交易過程中的安全，需要有一個認證機構(gòu)對參與網(wǎng)絡的各方進行認證，以確認他們的真實身份，

并保證傳遞的信息的真實性。此時圖3.3演變?yōu)閳D3.4?；貓?zhí)轉(zhuǎn)賬支付清單通知轉(zhuǎn)賬發(fā)貨訂單消費者信用卡公司銀行廠家圖3.4認證機構(gòu)存在下的商品直銷的流轉(zhuǎn)程式認證機構(gòu)3.2.1電子認證概述1．電子認證與認證機構(gòu)如果說電子簽名主要用于數(shù)據(jù)電文本身的安全，使之不被否認或者篡改，是一種技術(shù)手段上的保證，則電子認證是以特定的機構(gòu)對電子簽名及其簽署者的真實性進行驗證服務，主要應用于交易安全方面，主要是一種組織制度上的保證。3.2.1電子認證概述2.電子認證的程序目前，在開放性網(wǎng)絡中被廣泛使用的電子簽名以數(shù)字簽名為主，因此，認證機構(gòu)也主要是對數(shù)字簽名的真實性進行確認。電子認證的具體操作程序為：（1）

發(fā)件人利用密鑰制造系統(tǒng)產(chǎn)生公鑰和私鑰。（2）

發(fā)件人在做電子簽名前，必須將他的身份信息和公鑰送給一個經(jīng)合法注冊，具有從事電子認證服務許可證的第三方，也就是CA認證中心，向該認證中心申請登記并由其簽發(fā)認證證書。3.2.1電子認證概述2.電子認證的程序（3）

認證機構(gòu)根據(jù)有關(guān)的法律規(guī)定和認證規(guī)則以及自己和當事人之間的約定，

對申請進行審查。如果符合要求，就發(fā)給發(fā)件人一個認證證書，證明發(fā)件人的身份、他的公開密鑰以及其他有關(guān)的信息。（4）

發(fā)件人對其要約信息以其私鑰制作數(shù)字簽名文件，連同認證證書一并送給收件方，

向?qū)Ψ桨l(fā)出要約。（5）

收件方接到電子簽名文件和認證證書之后，根據(jù)認證證書的內(nèi)容，向相應的認證機構(gòu)提出申請，請求認證機構(gòu)將對方的公開密鑰發(fā)給自己。（6）

收件人通過公鑰和電子簽名的驗證，即可確信電子簽名文件的真實性和可靠性。若認證機構(gòu)有“認證廢止目錄”，

則可以查詢目錄以了解該認證證書是否依然有效；收件人承諾，則電子合同成立。3.2.1電子認證概述2.電子認證的程序由此可見，在電子文件環(huán)境中，CA認證中心起到了一個行使具有權(quán)威性、公證性的第三人的作用。而經(jīng)CA認證中心頒發(fā)的認證證書就是證明簽字者和他所有的電子簽名之間的對應關(guān)系的電子資料，該資料指明并確認使用者名稱及其公鑰。使用者從公開地方取得證明后，只要查驗證明書內(nèi)容確實是CA認證機構(gòu)所發(fā)，即可推斷證明書內(nèi)的公開密鑰確實為該證明書相對應的使用者的密鑰，進而確認經(jīng)該密鑰所驗證的電子簽名為其所簽署。3.2.1電子認證概述2.電子認證的程序使用者把所收到的電子簽名和認證證書通過向認證機構(gòu)驗證而產(chǎn)生對簽字者的信任，這實際上是通過對認證機構(gòu)的信任而產(chǎn)生的對簽字者的信任。但是，如果該認證機構(gòu)本身是使用方所不熟悉的，不信任的，那就無從解決簽字者的信用問題了。這時可以采取向該認證機構(gòu)的上一級認證機構(gòu)加以認證的辦法來解決該認證機構(gòu)本身的信任問題。

3.2.1電子認證概述2.電子認證的程序通過一個完整的認證機構(gòu)體系，有效地實現(xiàn)對認證證書的驗證。每一份認證證書都和上一級的認證證書互相關(guān)聯(lián)，

最終通過安全認證鏈，追溯到一個已知的可信任的機構(gòu)。由此就可以完成對各級CA認證證書的有效性的驗證。3.2.1電子認證概述3.在電子認證中所涉及到的法律關(guān)系首先，電子認證機構(gòu)承擔著對公眾的責任。由于電子認證機構(gòu)在整個電子商務體系中處于至關(guān)重要的地位，電子認證機構(gòu)能否提供值得信賴的認證服務對公眾利用電子商務來進行交易的信心有重要影響。所以，電子認證機構(gòu)要通過訂立和嚴格遵守電子認證業(yè)務規(guī)則，提供可靠的電子認證服務來承擔對公眾的責任。公眾利益的代表即政府，政府要通過信息產(chǎn)業(yè)主管部門來監(jiān)督電子認證機構(gòu)是否對公眾負責。3.2.1電子認證概述3.在電子認證中所涉及到的法律關(guān)系其次，網(wǎng)絡交易不像傳統(tǒng)交易，網(wǎng)絡交易首先要搞清楚是在和誰做交易，他的身份是否真實，

信用如何，而有關(guān)身份方面的事，由認證機構(gòu)提供的證書來說明。這樣，圍繞認證證書這個核心形成了兩種法律關(guān)系：（1）

電子認證機構(gòu)與電子簽名人之間的關(guān)系；（2）

電子認證機構(gòu)與電子簽名依賴方之間的關(guān)系。電子簽名人是指持有電子簽名制作數(shù)據(jù)并以本人身份或者以其所代表的人的名義實施電子簽名的人；電子簽名依賴方是指基于對電子簽名認證證書或者電子簽名的信賴從事有關(guān)活動的人。3.2.1電子認證概述4.在電子認證中所涉及到的關(guān)鍵性數(shù)據(jù)電文

電子簽名認證證書是指可證實電子簽名人與電子簽名制作數(shù)據(jù)有聯(lián)系的數(shù)據(jù)電文或者其他電子記錄。目前最常用的認證證書是數(shù)字證書，它是由電子認證服務提供者簽發(fā)的數(shù)據(jù)電文或相關(guān)記錄以確認持有特定密鑰者身份的文件?；赑KI(公鑰基礎(chǔ)設(shè)施)的數(shù)字證書是電子商務安全體系的核心，用途是利用公共密鑰加密系統(tǒng)來保護與驗證公眾的密鑰，由可信任的、公正的權(quán)威認證機構(gòu)頒發(fā)。用戶向認證機構(gòu)申請證書時，可提交自己的身份證或護照，經(jīng)認證機構(gòu)對申請者所提供的信息進行驗證，然后通過向電子商務各參與方簽發(fā)數(shù)字證書，證書包含了用戶的姓名等信息和他的公鑰，以此作為網(wǎng)上證明自己身份的依據(jù)，保證網(wǎng)上支付的安全性。有了數(shù)字證書，當事人在從事交易時，

向相對方提交一個由認證機構(gòu)簽發(fā)的包含個人身份的證書，既可使對方相信自己的身份。3.2.1電子認證概述4.在電子認證中所涉及到的關(guān)鍵性數(shù)據(jù)電文《電子簽名法》第二十一條規(guī)定：“電子認證服務提供者簽發(fā)的電子簽名認證證書應當準確無誤，并應當載明下列內(nèi)容：（一）

電子認證服務提供者的名稱；（二）

證書持有人名稱；（三）

證書序列號；（四）

證書有效期；（五）

證書持有人的電子簽名驗證數(shù)據(jù)；（六）

電子認證服務提供者的電子簽名；（七）

國務院信息產(chǎn)業(yè)主管部門規(guī)定的其他內(nèi)容?！?.2.1電子認證概述4.在電子認證中所涉及到的關(guān)鍵性數(shù)據(jù)電文電子商務具有開放性和全球性，在《電子簽名法》中為了充分發(fā)揮電子商務的網(wǎng)絡虛擬化和全球性的優(yōu)勢，在第二十六條中規(guī)定：“經(jīng)國務院信息產(chǎn)業(yè)主管部門根據(jù)有關(guān)協(xié)議或者對等原則核準后，中華人民共和國境外的電子認證服務提供者在境外簽發(fā)的電子簽名認證證書與依照本法設(shè)立的電子認證服務提供者簽發(fā)的電子簽名認證證書具有同等的法律效力?！?.2.1電子認證概述4.在電子認證中所涉及到的關(guān)鍵性數(shù)據(jù)電文在電子認證中所涉及到的關(guān)鍵性數(shù)據(jù)電文還包括電子簽名制作數(shù)據(jù)及電子簽名驗證數(shù)據(jù)。前者指的是在電子簽名過程中使用的，將電子簽名與電子簽名人可靠地聯(lián)系起來的字符、編碼等數(shù)據(jù)，后者指的是用于驗證電子簽名的數(shù)據(jù)，包括代碼、口令、算法或者公鑰等。

3.2.1電子認證概述3.2.2電子認證法律關(guān)系1.電子認證機構(gòu)對公眾的責任電子認證機構(gòu)能否提供令人信服的認證服務關(guān)系到公眾利用電子商務從事交易的信心。公眾要求對電子認證機構(gòu)制定、公布電子認證的電子認證業(yè)務規(guī)則，包括責任范圍、操作規(guī)范和信息安全保障措施。這有利于公眾增強公眾對于電子商務的信心，促進電子商務的發(fā)展。公眾還需要電子認證服務者嚴格遵守電子認證服務提供者自己制定的電子認證業(yè)務規(guī)則，妥善保存與認證相關(guān)的信息。這需要國家的監(jiān)督，國家通過國務院信息產(chǎn)業(yè)主管部門來行使這一職責。2．認證機構(gòu)與電子簽名人之間的關(guān)系《電子簽名法》第十九條規(guī)定“電子認證服務提供者應當制定、公布符合國家有關(guān)規(guī)定的電子認證業(yè)務規(guī)則，并向國務院信息產(chǎn)業(yè)主管部門備案。電子認證業(yè)務規(guī)則應當包括責任范圍、作業(yè)操作規(guī)范、信息安全保障措施等事項。”《電子簽名法》第三十一條規(guī)定“電子認證服務提供者不遵守認證業(yè)務規(guī)則、未妥善保存與認證相關(guān)的信息，或者有其他違法行為的，由國務院信息產(chǎn)業(yè)主管部門責令限期改正；逾期未改正的，吊銷電子認證許可證書，其直接負責的主管人員和其他直接責任人員十年內(nèi)不得從事電子認證服務。吊銷電子認證許可證書的，應當予以公告并通知工商行政管理部門?！?.2.2電子認證法律關(guān)系2．認證機構(gòu)與電子簽名人之間的關(guān)系電子簽名人與認證機構(gòu)之間的關(guān)系，一方面，可以視作認證服務機構(gòu)和客戶即消費者之間的服務關(guān)系，可以從有關(guān)消費者保護方面的法律規(guī)則中尋找到雙方的權(quán)利、義務規(guī)定；另一方面，雙方的法律關(guān)系又是根據(jù)認證合同建立起來的，所以雙方的權(quán)利、義務可以從有關(guān)合同方面的法律規(guī)則以及合同本身的規(guī)定中找到依據(jù)。3.2.2電子認證法律關(guān)系2．認證機構(gòu)與電子簽名人之間的關(guān)系除此之外，《電子簽名法》對電子簽名人與認證機構(gòu)之間的關(guān)系也作了如下規(guī)定：《電子簽名法》第二十條規(guī)定“電子簽名人向電子認證服務提供者申請電子簽名認證證書，應當提供真實、完整和準確的信息。電子認證服務提供者收到電子簽名認證證書申請后，應當對申請人的身份進行查驗，并對有關(guān)材料進行審查?！?.2.2電子認證法律關(guān)系2．認證機構(gòu)與電子簽名人之間的關(guān)系《電子簽名法》第二十四條規(guī)定“電子認證服務提供者應當妥善保存與認證相關(guān)的信息，

信息保存期限至少為電子簽名認證證書失效后五年。”《電子簽名法》第十五條規(guī)定“電子簽名人應當妥善保管電子簽名制作數(shù)據(jù)。電子簽名人知悉電子簽名制作數(shù)據(jù)已經(jīng)失密或者可能已經(jīng)失密時，應當及時告知有關(guān)各方，并終止使用該電子簽名制作數(shù)據(jù)?！薄峨娮雍灻ā返诙邨l規(guī)定“電子簽名人知悉電子簽名制作數(shù)據(jù)已經(jīng)失密或者可能已經(jīng)失密未及時告知有關(guān)各方、并終止使用電子簽名制作數(shù)據(jù)，未向電子認證服務提供者提供真實、完整和準確的信息，或者有其他過錯，給電子簽名依賴方、電子認證服務提供者造成損失的，承擔賠償責任?！?.2.2電子認證法律關(guān)系2．認證機構(gòu)與電子簽名人之間的關(guān)系《電子簽名法》第二十八條規(guī)定“電子簽名人或者電子簽名依賴方因依據(jù)電子認證服務提供者提供的電子簽名認證服務從事民事活動遭受損失，電子認證服務提供者不能證明自己無過錯的，承擔賠償責任?！薄峨娮雍灻ā返谌l規(guī)定“偽造、冒用、盜用他人的電子簽名，構(gòu)成犯罪的，依法追究刑事責任；給他人造成損失的，依法承擔民事責任?！?.2.2電子認證法律關(guān)系3．電子認證機構(gòu)與電子簽名依賴方之間的關(guān)系《電子簽名法》第二十二條規(guī)定“電子認證服務提供者應當保證電子簽名認證證書內(nèi)容在有效期內(nèi)完整、準確，并保證電子簽名依賴方能夠證實或者了解電子簽名認證證書所載內(nèi)容及其他有關(guān)事項?！薄峨娮雍灻ā返诙藯l規(guī)定“電子簽名人或者電子簽名依賴方因依據(jù)電子認證服務提供者提供的電子簽名認證服務從事民事活動遭受損失，電子認證服務提供者不能證明自己無過錯的，承擔賠償責任?！?.2.2電子認證法律關(guān)系3.2.3電子認證機構(gòu)的管理1．電子認證機構(gòu)的管理部門及其責任《電子簽名法》第二十五條規(guī)定“國務院信息產(chǎn)業(yè)主管部門依照本法制定電子認證服務業(yè)的具體管理辦法，對電子認證服務提供者依法實施監(jiān)督管理?！薄峨娮雍灻ā返谌龡l規(guī)定“依照本法負責電子認證服務業(yè)監(jiān)督管理工作的部門的工作人員，不依法履行行政許可、監(jiān)督管理職責的，依法給予行政處分；構(gòu)成犯罪的，依法追究刑事責任。”

2．電子認證機構(gòu)的設(shè)立（