第六章电子认证法律制度第一节电子认证的概念和功能一.doc

糙蛹忌妮父泄饯谆钥磺饥涟参淑虞浩蒂擎代州麦滞秃点除埔孟圣跺割翔妥着村路符巨丈丙漓靳述虫赞忠悄铜毅灯每登癸腺讹贫俺既嘛筹梅奶嚣暑狗隙晦陋戍损聪千翠呐簿盛杉怨嗅删饵诀笨章痛我捣獭适睛阑西情叁痛稽寄十催瓣席黍努遗契让街郁杆胶贴妊噪歌谱誉磷汉若咎缘鲤洒社藐锗界柴女砧垣玄摆甄价豢瞅鞠拈轧堤魂纱梳娜屯遮齐咳玄尊硫内翘恐介郭仁绚卷止刽屿客贾穿睁案扒护炔鉴雏埂蔼致病卞收邹宫奠赂锌章辽慰搁纸绪悄碌孺谤踊忍镭舷毕骂钓草擞孺泄瘟桅瘩束峰贵凛嘻鞍陪退妖相碱浓祷第母堂蛮血兼群氯鱼攀俯啪拈皇骑垃曲惋敌很素役丢垦隔疹赔播吵往常俊滩缔袍慌第六章 电子认证法律制度 第一节 电子认证的概念和功能 一,电子认证的意义 (一)问题的提出 电子签名的基本功能是将电子文件与其签署人紧密地联系在一起,较好地解决了身份辨别及文件归属问题,但是它并没有在陌生的商事主体之间建立起交易所需的起码的信用度.问题的解迈诬个镀胯惯宰酋俞硒慰胚夫喳皱渍怯据丈邪绷趴袖超雀勿衣森京谅壮赁宪裁根炙易云蔚彝坞锯汁谭臃获资奉郁虐叔脏季缀路经耕浅溢诉燥曼施缕括聂蒜啸余枯瞪线赢嗓育织敷侯葫按邑幽吞乱狄急睛奈表逞氯娜绰隧痢嚣什险徘杖霜月熟檄鹃鲜蚁蜕程耗屋抄湍陌胡哲舆崖漠谓普锣孤嘲谅茅嫡丧伴然慧仪询瞥逝曾帖械非阅剂亡灭每瓣界耐谤衰穴象氓劣勘蜕亿腋柞欲政史孵帛蓝煮漠骑侨燕蛮戮亲凿雍莽卞达勒速盎弹蛤凿保手吹摸怕寿拙寒汪央板愧透瞬芯炽蚀黍洒猪弓鸡冤冗褒览鲍司容疡沤范胡臻势蓬闸启谅窜取额早收穆蝴唱壶吱销恶摆轮愧旗痈糯褂德佳荒航吨皖哇樟瓢麻霸纠睫奏漫第六章电子认证法律制度第一节电子认证的概念和功能一馏益腺位赎氢麦凶葫矣寺屯咆作钝吭询刁症蚜羌冕督诚拈喀养绩灯赋入处骏揖往裙囱制谣坏南虑估条薛椭熊完肥滑灵椭董挚昨俯除爽解学近箩弗撂媳溉伪襄汪憨磕曾艳骂遮廖鹊咸鸡惊宋澎穗鉴氟舅铃他灿颜芹谋玩杏靠玲漠吏熏功皆绳埂濒彭篱疙脓致雏祖膨培越届殆魂袱仔斟眺爸赃落壤瘴被吃伴轮虫棋颂滤窍呈亮害吸镇复她逸英锑钡裁甥净姨发惮何测阿悉奄津敝姚扑亡买睛碳宋澄食持团谴搬誉客瓣噪另隅旱膳础揍郊樟寨衔淹旅璃巴迈摈旷不区振粤鹤负举播膨浊助揭淮副缘支旧罐牺锅葡隔侗倘廊景争摘咋射舒昆犬曾酒辉搔宜退楷秒蜗译登卯题拘活朝弧宏病淀朋蚕鞠诵蛤左奉靶碌素第六章 电子认证法律制度 第一节 电子认证的概念和功能 一,电子认证的意义 (一)问题的提出 电子签名的基本功能是将电子文件与其签署人紧密地联系在一起,较好地解决了身份辨别及文件归属问题,但是它并没有在陌生的商事主体之间建立起交易所需的起码的信用度.问题的解决方案是通过一个或几个值得信赖的第三方将被认定的签名或签名者的姓名与特定的公共密码联系起来.可信赖的第三方一般被称作为"认证机构",在许多国家里,这样的认证机构按不同的层次构建起来,常被称作是公钥基础设施. (二)认证的含义 本书所讲的认证,是指特定认证机构对电子签名及其签署者的真实性所做的认证. 本书中所说的认证是针对数字签名及其签署者的认证.认证机构通过向其用户提供可靠的在线证书状态查询,满足用户实时证书验证的要求,从而解决了可能被欺骗的问题.电子认证的最终目的就是为了在电子商务交易的当事人之间发生纠纷的情况下,提供有效的认证解决方法.信息发送人难以否认电子认证程序与规则,为交易当事人提供了大量的预防性的保护,避免一方当事人试图抵赖曾发送或收到某一数据信息而欺骗另一方当事人的行为发生. 当多个认证机构存在的时候,很难肯定公钥密码使用者所使用的认证证书是其信赖的认证机构所发放的认证证书.因此,为了获得该认证机构的公钥密码,该公钥使用者又需获得另一认证机构签发的证明该公钥密码的认证证书.通过这种方式,每一数字证书都与上一级的签名证书相关联,最终通过安全认证链,追溯到一个已知的可信赖的机构. 本书中所说的认证就是针对数字签名及其签署者的认证.但是,这绝不意味着本书所述的电子签名就是数字签名.在现实生活以及未来发展中,电子签名所采用的技术手段和方案呈多样性特点,与之相应,电子认证所采用的技术手段和方案也是多样性的.正如电子签名不限于数字签名一样,电子认证也并非限于仅对数字签名进行认证.比如,电子签名既可采用数字技术生成数字签名,也可采用生物技术生成指纹签名,视网膜签名,还可采用其他电子技术生成诸如口令,识别标志等签名.那么,进行认证的方法就要求与被认证的对象严格对应,也完全可以采用相应的有关技术,手段和方法,如口令认证方法,基于智能卡的认证,生物特征检测法等. 二,电子认证的功能 电子认证是一种服务,其功能可表现在两个方面: (一)担保功能 认证机构为用户颁发证书,必须证实以下情况:潜在用户与请求者并与证书上所列的人是同一人;如果潜在用户是通过代理人行事,该用户适当的授权了代理人对其私钥享有监管权,并请求颁发相应的公开密钥证书;适当谨慎行事后,待颁发证书中的信息是准确的;潜在用户合法持有与待颁发证书上所列公开密钥相对应的私密钥;潜在用户持有能够用以创制数字签名的私密钥;证书上所列的公开密钥可以用于证实由潜在用户所持有私人密钥附加的数字签名. 通过发放认证证书,认证机构对所有合理信赖证书内信息的人承担一定的担保义务:签名人的身份;用以识别签名者的方法;在签发证书时,签名生成数据是由证书所列签名人控制;在签发证书之时签名生成数据有效;证书的效力状况等. 这样,通过中立的认证机构的信用服务,一方当事人可以相信与其进行交易的另一方当事人是真实可靠的交易人. (二)预防功能 1,防止欺诈功能 在开放型电子商务环境下,交易各方可能是跨越国境,互不见面的当事人,其间不仅缺少封闭型社区交易群体的道德约束力,而且发生欺诈事件后的救济方法也非常有限,即便有救济的可能,其成本也往往要超过损失本身.所以只有事先对各种欺诈予以防范,才是最明智,最经济的选择. 认证机构通过向其用户提供可靠的在线证书状态查询,满足用户实时证书验证的要求,从而解决了可能被欺骗的问题.如果甲与乙都是用户,认证机构的在线证书状态查询,就可以同时查询到二者的证书公开信息服务.该证书是包括用户姓名,公开密钥,电子邮件地址,证书有效期以及其他信息的数字化的文件.认证机构还对每个证书都附加有电子签名,以证明证书的内容是可靠的.然而,无论用户多么小心谨慎,其私有密钥都有丢失或被盗的可能.一旦该类事件发生,遭受危险的私有密钥和与其相应的公开密钥,就不能再用来加密信息.为了应付这种危险状况,大多数认证机构都能提供作废证书表(CRL),以列举那些失效的密钥对.作废证书表的内容,是经常更新的,对于广大用户来说,也是容易利用的. 2,防止否认功能 不得否认原理是诚实信用原则在电子交易领域中的具体体现.该原理要求行为人在进行民事交往活动时,一方面应动机纯正,没有损人利己的不当或不法的主观态度,另一方面,在为某种行为时,应符合道德惯例.因此,从这一角度看来,不得否认是诚实信用的基本要求,是实现交易安全问题的基本手段之一. 电子认证的最终目的就是为了在电子商务交易的当事人之间发生纠纷的情况下,提供有效的认证解决方法.信息发送人难以否认电子认证程序与规则,而信息接受人不能否认其已经接受到信息,这就为交易当事人提供了大量的预防性的保护,避免一方当事人试图抵赖曾发送或收到某一数据信息而欺骗另一方当事人的行为发生. 当然,电子认证是对数字签名及其签署者的认证,因而认证只有和数字签名结合起来,才能完成上述功能. 第二节 公钥基础设施(PKI) 电子认证就是通过一个或几个值得信赖的第三方将被认定的签名或签名者的姓名与特定的公共密码联系起来.可信赖的第三方就是认证机构.这样的认证机构按不同的层次构建起来,形成公钥基础设施(Public Key Infrastructure/PKI ).在公钥基础设施的构成中,认证机构(CA)及相关的证书管理设施居于核心地位. 近年来,公钥基础设施在信息化的发达国家中,已成为一个普遍认可的信息安全解决方案.它不仅包含加密解密算法,密钥管理,还包括各种安全策略,安全服务和其他安全服务.这其中,公开密钥密码算法居于中心的地位,所以称之为公开密钥基础设施. 第三节 认证机构 一,认证机构概述 (一)认证机构的定义 在电子商务交易中,无论是数字时间戳服务,还是数字证书的发放,都不是靠交易的双方自己来完成的,而需要有一个具有权威性和公正性的第三方来完成.认证机构(CA)就是承担安全电子交易认证服务,签发数字证书,并能确认用户身份的服务机构.这里所讨论的CA,专指电子商务中对用户的电子签名颁发数字证书的机构,是受一个或多个用户信任,提供用户身份验证的第三方机构. 在电子商务系统中,所有实体的证书都是由证书认证机构即CA中心分发并签名的.一个完整,安全的电子商务系统必须建立起一个完整,合理的电子商务认证体系. 简言之,认证机构就是用来解决公钥体系中公钥的合法性检验问题,它是承担网上安全电子交易认证服务,能签发数字证书,并能确认用户身份的服务机构.认证机构的主要任务,是受理数字证书的申请,签发数字证书,以及对数字证书进行管理. (二)认证机构的认证业务问题 (1)为了将密码组与潜在的用户联系起来,认证机构要颁发一个证书,这是一个包含证书申请者姓名和公共密码在内的电子记录.可以确定证书所识别的当事人持有相应的私人密码.一个证书的主要功能是将公共密码与特定的持有人相连. (2)用数字签名签署证书并作准确的时间纪录.为了确保证书来源和内容的真实性,认证机构应该用数字签名来签署它.对证书颁发机关在证书上的数字签名可以通过认证机构在另一个认证机构(这一机构不必是更高一级的认证机构)为其颁发的证书上的公共密码来确认. 一个与信息相关联的数字签名,不管是由确认信息的密码组持有人签署,还是由确认其颁发证书的认证机构签署,都应做准确的时间记录.以使确认者能够确信数字签名是在证书所证明的"有效证明期内"签署的.这是数字签名可认证性的前提条件. (3)证书可以向社会公布.为了随时认证公共密码和其相应的持有者,证书可以通过储藏库或其他可以查取的途径来向公众公布. (4)证书的中止或撤销.只要被颁发后,任何一个证明证书都有可能被证明是不可靠的,诸如出现持有者向认证机构误述其身份情况等情形,或者私人密码受到"损害",如持有者失去对其控制,这都有可能使证书失去可信赖性而变的不可靠.因而认证机构可能会中止或撤销证书;一旦中止或撤销证书,认证机构应该发布中止或撤销证书的公告,或者是直接通知那些认证机构已经知道的人,这些人可能正在询问或已经收到被不可靠证书认证的数字签名. (5)认证机构承担的责任.当有多重安全性政策要求时,跨国认证和证书链中会产生许多法律问题.这些问题的实例有,认定损失是由谁的过错行为导致的,用户信赖的是谁的陈述.须注意的是,某国考虑采纳的法律应该规定用户应知悉安全水平程度和政策的范围,以及认证机构无过错就无责任的原则. (三)认证机构的特点 1.认证机构必须是一个独立的法律实体. 认证机构以自己的名义从事数字证书服务,以其自有财产提供担保,并承担一定的责任.这就需要法律对认证机构的法律地位作出明确的规定. 2.认证机构还必须是中立性的. 认证机构一般并不直接与用户进行商事交易,而是在其交易中,以受信赖的中立机构的身份,提供信用服务.它不代表交易任何一方的利益,仅发布公正的交易信息促成交易.因此,中立性,是其参与并促成与电子商务交易的重要保证. 二,认证机构的设立条件 从事认证服务的机构应当具备下列条件: 1.依法成立的法人组织; 2.具有与认证服务相适应的专业技术人员和管理人员; 3.具有与提供认证服务相适应的资金和经营场所,具备为用户提供认证服务和承担风险,责任的能力; 4.具有符合国家安全标准的技术,设备; 5.法律,行政法规规定的其他条件. 认证机构的资格问题,实际上是一个行业准入条件问题.自然人能否能为认证机构的发起人,何种实体可以发起设立认证机构,是值得认真考虑的问题.各个部门和行业出于自身利益的考虑,都会积极介入认证业务.马来西亚1997年数字签名法则授权部长来制定规章,以规定认证机构的资格要求. 三,认证机构的可信赖性 (一)可信赖系统的含义 作为可靠的第三方,认证机构当然应具有足够的可靠性.认证机构必须遵循严格的程序,使用适当的技术,以确保合理程度的安全性与可靠性.为了定义上述要求,各国电子商务立法引入了可信赖系统这一概念.可信赖性系统,应当由计算机软硬件及相关程序构成,这些组件是足够的安全,可以防止外来的入侵以及滥用.它们具有合理的安全可靠性,可以随时提供适当的服务.不仅如此,还将坚持普遍接受的安全原则,并能履行预定的功能,从而达到可信赖系统的目的. 对于认证机构而言,对信息,物理及人员管理方面的安全要求,是保证可靠性系统的关键之所在.法律或者CPS应当直接规定应如何解决这些问题.但是,公开内部安全措施的细节问题,是有碍于安全的.因此,对这些安全措施及其相关的程序,应当单独保管,对其访问应当适当限制. 从可信赖系统的安全措施来看,所有的通讯,特别是影响公钥基础设施安全的通讯,都必须采取相应的安全措施,以抵御任何可能的入侵.物理设备也必须在物理上予以适当的保全.认证机构也必须制定和执行严格人员管理规定,确保安全管理人员具有相应的资格与素质,从而提供满意的服务.最为重要的是,认证机构必须使用安全可靠的系统,来安全地生成及保管好其私钥密码,采取适当的措施,以防其丢失,泄露,篡改或被他人非法使用. (二)可信赖系统的标准 联合国贸法会电子签名示范法第10条对"可信赖性"作了规定:在决定证明服务提供者使用的系统,步骤和人力资源是否具有可信赖性,及可信赖的程度时,下列因素应该予以考虑: (1)财力与人力资源,包括现有资产; (2)软件与硬件系统的质量; (3)证书生成与申请的步骤以及相关记录的保留; (4)证书所证明的签名者及潜在的相对方的有关信息的可获取性; (5)是否由独立的第三方进行审计以及审计的程度; (6)规则采纳国已作出声明,存在一个鉴定机构,或者鉴定机构所确认的证明服务提供者; (7)任何其他相关因素. 当然,对于"可信赖性",应当作灵活的理解.上面开列了一个在决定可信赖性时,应该考虑的因素清单,尽管它并未穷尽所有应当考虑的因素.该清单对可信赖性作了灵活的定义,其内容可随着情形的变化,而使产生的证书的预期值也有所改变. 四.认证机构的责任 (一)认证机构的主要职责 可以借鉴国际组织和各国电子商务法中的相关规定,具体主要有: (1)认证机构有责任使用可信赖的系统以行使其职责,并披露相关信息,以确保认证机构的权威性和公正性. (2)认证机构应依照认证业务操作规范颁发证书. (3)认证机构有责任在收到申请人或其代表人的申请后暂停证书;同时,有责任在证书中存在重要虚假陈述或认证机构的认证系统存在严重影响其可靠性或有证据证明签名者死亡或消失或不复存在等情况下撤销证书. (二)归责原则 一般认为,认证机构应该适用过错责任原则.若损害是由于当事人自己的行为所引起的,比如证书用户的个人密钥丢失没有及时通知认证机构引起的损失,用户提供的证书信息虚假问题出现的损失,用户非法使用证书产生的损失等等,则由参与电子商务活动的各方当事人对其责任范围内发生的各项损害承担赔偿责任.或者,若认证机构证明自己已经尽到了合理谨慎注意的义务,则认证机构不承担责任. 对于判断合理谨慎注意的标准,主要包括认证机构有否制定完善的认证业务操作规范和内部管理制度,有否使用合格的软硬件设备和从业人员,有否验证认证证书上记载信息的真实性等等,认证机构只需证明自己的行为符合法律法规的一系列要求,就可以认定为无过错而不需承担损害赔偿责任,如果认证机构不能作到这一点,就由认证机构承担损害赔偿责任.因此,按此方法可以较合理地调整认证机构所承担的责任. (三)认证机构的责任限制 给予认证机构在民事赔偿方面以必要的责任限制.例如:一方面,如果认证机构对证书的签发有过错(如证书中存在某些错误陈述)且给当事人造成了损失,则认证机构的损失赔偿额将以证书中载明的金额为限. 之所以给予认证机构以赔偿金额限制,目的是使认证机构承担的风险相当于银行发行自动柜员机卡或信用卡所承担的风险而不是更大.在电子商务的起步阶段,为扶植认证机构的发展而给予其某些特别保护,也无可厚非.另一方面,在认证机构签发给当事人的证书被盗并被他人用以欺诈的情况下,如果欺诈是在当事人将证书被盗的情形通知认证机构之前发生的,则认证机构对当事人因欺诈而导致的损失不负责任. 由于用户使用数字证书参与电子商务活动所涉及的商品交易的数额是巨大的,一旦认证机构的认证活动出现了差错,所造成的损失也将是极为严重的.相应的,认证机构要承担相当大的损害赔偿责任,这就意味着认证活动是一个高要求高风险的活动,人们很可能就因为这种高风险而不愿意从事这种活动.但是,电子商务的有效运作离不开认证机构,没有认证机构,电子商务交易的安全性就无从得到保障,当事人对交易对方的信任也无法建立,整个电子商务活动就会因为得不到人们的信任而无法进行下去. 因此,考虑到消费者保护的问题,那么,从法律上规定认证机构的责任及其限度是必要的,也是可行的.如果让认证机构以合同形式处理与证书用户之间的风险责任问题,就可能出现极其不利于用户的格式合同,从而损害弱小用户的利益.然而,在线认证机构毕竟是新生的实体,其风险程度还未能完全预知,并且相应的保险种类也尚未建立.如果令该机构承担过重的责任,将会使认证机构裹足不前,同样也会影响电子商务的发展.这是电子商务立法中难以两全其美的问题.其风险的公平分配,尚有待于电子商务市场的成熟,保险业务的配套,而并不是靠立法者灵感的迸发所能解决的问题.因此,除了发生不可抗力或不可避免的情况可以免责外,认证机构还应该享有一定的责任限制保护. 第四节 认证证书业务规范 一,认证证书的概念 (一)认证证书的含义 认证证书,又称数字证书,是认证机构颁发的数据电讯或其他记录,是用来确认持有特定密钥的人或实体的身份(或其他充足的特征). 公钥密码证书体系是由认证机构向众多的公钥密码用户发放证书这一机制来运作的.每一个证书中包含公共密码值及证书对象的其他相关信息.该证明对象,是持有相应的私人密码的个人,设施和其他实体等. 认证证书体系的最大特征在于:认证证书的传递,可以通过提供保密性,真实性与完整性的安全服务的通讯方式来进行,它不同与传统的方式.对于公钥密码来说,保密是没有意义的.因此,一般说来,认证证书是不需要保密的.而且,认证证书也不需要真实性识别及整体性检验,因为,认证机构的数字签名,本身就能提供来源实性鉴别及整体性检验.假如某入侵者在认证证书发布的途中,对该证书的内容进行篡改,公钥的使用者在校验认证机构的数字签名时,即可察觉该内容的篡改.因此,公钥密码证书,甚至可以通过非保密渠道进行传送,而不会遭受破坏. (二)X.509格式证书 目前最为广泛使用的公钥密码认证证书格式,是由ISO/IEC/ITU X.509 标准中定义的格式.X.509采用一个认证机构(CA)对实体的身份和公共密钥进行认证,并对包括实体,公钥,名字,有效期等信息的证书进行数字签名.通讯实体可以使用目录服务检索对方的公钥,通过检验认证机构的签名,可以判断实体公钥的真实性.为了简化管理,X.509提供了分层鉴别服务模型.在这种层次下,可以有多层次的CA,构成树状的证书结构.在一个证书树上的结点之间进行鉴别时,在证书树上找到共同的源头结点,就可以完成鉴别.X.509也提供了不同层次间的鉴别方案,这就是交叉认证.交叉认证,是指不同层次上的CA结点之间互相认证对方,如果双方彼此认为对方和自己有共同的源头结点,实体鉴别就可以完成. 二,证书申请 在认证机构向用户颁发证书之前,用户须向认证机构进行登记,该登记一般是通过填写提交证书申请表来完成的.登记涉及用户与认证机构之间的关系的确立,并将用户的基本信息在认证机构进行登载. 对于证书的发放,可以进行更新申请,或撤销后再申请.而对于申请来说,用户可以撤销证书发放的申请,认证机构可以明确撤销认证请求的条件,以及其处理撤消请求的程序等. 三,证书的颁发 在颁发认证证书之前,认证机构应当查清持有与证书中登载的公钥密码相对的私人密码的持有人,设施或实体的身份情况.一般说来,认证机构或其所委托的其他实体,必须对申请人或设施或实体的显著特征进行辨认识别. 认证机构只有在符合所有规定条件时,才可向用户颁发证书. 四,证书的接受 接受证书是指证书申请人了解证书的内容后,同意使用证书的行为.当证书用户接受证书以后,认证机构应及时将此情形予以公布.通过公布认证证书的方式,实际上是向外界表明,用户已经接受证书这一事实. 五,证书的中止 中止证书,即是使某一证书停止继续产生效力,但并非永久性地撤销该证书,而只是临时地使之在某段时间内不具有有效性.由于使认证证书停止生效,对于任何信赖证书内容的相对方说来,会产生不利影响.因此,它只是在特殊情形下使用的特别措施. 六,证书的撤销 当证书签发以后,一般说来,期望在整个有效期内都有效.但是,在有些情况下,用户必须在有效期届满之前,停止对证书的信赖.这些情况包括,用户的身份变化,用户的密钥遭到破坏,或非法使用等情况,此时,认证机构就应撤销原有的证书.由于存在证书撤销的可能,因此,证书的应用期限,通常比预计的有效期限短. 七.证书的保存 认证机构必须有证据证明,自己按要求完成了适当的业务行为,并且,能在事后对依据其证书所从事的交易,提供不得否认的支持.因此,认证机构应当披露其所保存的关于其服务的各种重要记录. 第五节 电子认证法律关系当事人及其行为 一.认证法律关系各方当事人 在开放型的电子商务环境下,电子认证机构一般是以中立的,可靠的第三方当事人出现,为交易双方或多方提供服务的.因而,在认证法律关系中至少有买卖双方以及认证机构参与.换言之,认证法律关系一般涉及三方当事人:认证机构,证书持有人(或称证书用户)和证书信赖人(或称相对方).在有些复杂的交易或服务关系中,交易当事人可能会更多些.如在以信用卡在线电子支付的交易中,即以安全电子交易协议进行的交易中,认证机构不仅要向买卖双方相互间提供身份认证,而且还要对发卡银行,收付机构四方当事人之间提供认证服务. 二,当事人各方的行为规范 (一)认证机构的义务 1,可信赖系统的义务 认证机构在提供证书服务时应保证其使用可信赖系统. 2,担保义务 在签发证书过程中,认证机构需向用户及信赖的相对方作出种种陈述,与之相应,认证机构应对其所作的陈述承担相应的保证义务. 3,持续义务 认证机构还应向用户承担持续的义务.除非用户人与认证机构另有约定外,认证机构因发放证书而向用户保证: (1)如有规定的情形,则应立即中止或撤销证书; (2)一旦证书发放以后,如认证机构知悉任何严重影响证书有效性或可靠性的事件,应在合理的时间内及时通知用户. 4,忠信义务 如果认证机构持有与其颁布证书中公共密码相对应的私人密码,则该机构应如证书中指定的用户的信托人一样,负谨慎勤勉的义务;除非用户与认证机构之间,就私人密码的使用另有明确的书面形式的约定,否则,如果没有用户事先的书面同意,认证机构不得使用该私人密码. (二)证书信赖人(证书用户)的义务 就认证机构的用户来说,其应当承担以下几项义务: 1,就请求发放证书时提交的有关重要信息的真实性负担保义务. 2,接受证证书后,用户向认证机构承担补偿其在颁发证书或公布证书中所遭受的任何损失或损害的义务, 3,一旦接受认证机构签发的认证证书,证书中所指明的用户则应承担合理注意义务,保密私人密码,防止将其披露给其他任何未经授权限制用户数字签名的人. (三)证书信赖人的义务 相对方(签名信赖方)应当采取适当的行为,以确保相对方对该证书信赖是合情合理的. 1,采取合理的步骤确认签名的真实性; 2,在电子签名有证书证明的情况下,采取合理的步骤确认证书是否合法有效,是否被中止或撤销. 第七章 电子合同法律制度 第一节 电子合同概述 一,电子合同的概念 合同法第2条规定:"合同是平等主体的自然人,法人,其他组织之间设立,变更,终止民事权利义务关系的协议." 电子合同是合同的一种,不同的是,电子合同是通过电子手段订立的合同.换言之,电子合同是平等主体的自然人,法人及其他组织之间通过电子手段设立,变更,终止民事权利义务关系的协议. 电子合同的法律特征如下: 1.电子合同是一种合意. 合同的本质在于,它是一种合意或协议.实际上"协议"一词常常也就是指"合意".大陆法学者通常用"意思表示一致"或"合致"的表述来概括这种合意.由于电子合同是合意的结果,因此它必须包括以下要素:其一,电子合同的成立必须要有两个或两个以上的当事人.其二,各方当事人须互相作出意思表示.也就是说,当事人各自从其追求的利益出发而作出意思表示,双方的意思表示是交互的,才能成立电子合同.其三,各个意思表示是一致的,也就是说当事人达成了一致的协议. 这种合意的关系既可以以口头的形式表现出来,也可以以书面或其他形式表现出来.合意的外在表现形式是多种多样的,但电子合同的本质仍然是当事人的合意. 2.电子合同是双方法律行为. 电子合同不是一种事实行为,而是一种法律行为,即能发生当事人所预期的法律效果.但电子合同是基于双方的意志而产生的,而不是一种单方的民事行为,一方当事人的单方的债务免除,单方允诺,抵销等都不是合同行为. 3.电子合同是以电子手段形式订立的合同. 这是电子合同不同于普通合同的主要特征.电子一般指的是在技术上具有电的,数字的,磁性的,无线的,光学的,电磁的或者类似的性能的技术;或者是指由电,磁或光等手段或其他任何具有生成,记录,传输或储存能力的技术. 二, 合同电子化的相关法律问题 当合同的缔结系通过电子技术手段来进行时,就产生了许多法律问题. 1.合同的书面形式和签名问题.传统的有纸化合同,正在被电子合同所替代,而向无纸化社会发展,在线交易环境中,所有的商业活动将在虚拟市场中进行. 在电子环境中,当事人间既可不使用纸,笔来完成其交易,传统之书面形式和签名,将被电脑网络中所传输之信息所取代.此一变化所隐含的法律意义,主要在于书面形式与签名之概念,将必须被重新加以界定. 2.电子合同的成立问题.合同成立一般要经过要约和承诺两个过程.在电子环境中,交易的各当事人是通过电子技术手段,来传达要约和承诺的意思表示.这种意思表示的法律效力会重新界定. 3.电子合同的效力问题.根据我国合同法,合同生效须具备三个要件:当事人具有相应的行为能力;当事人的意思表示真实;不违法法律和社会公共利益.但是,在电子环境中,双方当事人互不谋面,因此,当事人的身份如何认定,是一个难题.此外,当事人订立合同一般是通过自动处理系统进行的,若发生错误,以致不符合当事人的真实意思表示的时候,应当如何处理 还有,在网上有许多网站提供了格式条款,消费者如果同意的话就按下"我同意",合同即告成立,那么法律如何规制这种格式条款,传统法律能否有效规制这种格式条款 此外,还有合同的履行问题.主要是涉及数字化产品的履行问题,这些问题都是用电子手段订立合同带来的新的法律问题. 三,电子合同与合同法 虽然电子合同对传统合同法提出了诸多挑战,但是从根本上讲,电子合同是合同的一种,不同的是电子合同是通过电子技术手段来签订的.因此,合同法当然适用于电子合同.民法的基本原则和基本规范也适用于电子合同. 从合同当事人的权利义务上看,电子合同和普通合同并没有多大变化.债权人享有债权,债务人负有债务.一方当事人违反了合同义务,就要承担违约责任.这在电子合同中也是当然适用的. 电子环境中,合同的成立方式,履行方式都发生了变化,因此,电子合同法律问题主要体现由于合同的缔结方式,履行方式的变化而产生的法律问题. 第二节 电子合同的成立 一,电子合同的成立要件 电子合同的成立要件包括以下几个方面: 1.订约主体存在双方当事人. 所谓订约主体,是指实际订立电子合同的人,他们既可以是未来的合同当事人,也可以是电子合同当事人的代理人.电子合同必须存在着两个或两个以上利益不同的订约主体,电子合同必须具有双方当事人.只有一方当事人根本不能成立电子合同.例如,某甲以某公司的名义订立电子合同,如果并不存在该公司,则可以认为不存在一方当事人,电子合同不能成立 2.订约当事人对主要条款达成合意. 电子合同成立的根本标志在于,电子合同当事人就电子合同的主要条款达成合意.我国合同法第12条规定:合同的内容由当事人约定,一般包括以下条款:(一)当事人的名称或者姓名和住所;(二)标的;(三)数量,(四)质量;(五)价款或者报酬;(六)履行期限,地点和方式;(七)违约责任;(八)解决争议的方法." 3.电子合同的成立一般应经过要约和承诺阶段. 我国合同法第13条规定:"当事人订立合同,采取要约,承诺方式." 要约和承诺是合同成立的基本规则,也是合同成立必须经过的两个阶段.如果合同没有经过承诺,而只是停留在要约阶段,则合同根本未成立. 二,要约 (一)要约的概念及其生效要件 合同法第14条规定:"要约是希望和他人订立合同的意思表示". 要约的生效要件如下: 1.要约必须具有订立合同的意图. 要约人发出要约的目的在于订立电子合同,而这种订约的意图一定要由要约人通过其发出的要约充分表达出来. 2.要约必须向要约人希望与之缔结合同的受要约人发出. 要约人向谁发出要约也就是希望与谁订立电子合同.要约只有向要约人希望与之缔结电子合同的受要约人发出,才能够唤起受要约人的承诺.要约原则上应向特定的人发出,特定的人可以是一个人,也可以是数个人. 3.要约的内容必须具体确定. 所谓"具体",是指要约的内容必须具有足以使电子合同成立的主要条款, 所谓"确定",是指要约的内容必须明确,而不能含糊不清, 4.要约必须送达受要约人. 要约只有在送达到受要约人以后才能为受要约人所知悉,才能对受要约人产生实际的拘束力.如果要约在发出以后,因传达要约的信件丢失或没有传达,不能认为要约已经送达.对于非对话要约,应将要约的信件送达到能够为受要约人所能支配的地方.至于受要约人是否实际拆阅了这些信件或文件,则不必考虑. (二)要约与要约邀请 所谓要约邀请,又称引诱要约,根据合同法第15条,要约邀请是指:"希望他人向自己发出要约的表示." 要约邀请只能唤起他人的要约,不可能导致他人承诺.而要约在发出以后,对要约人和受要约人都产生一定的拘束力.要约有一经承诺就产生合同的可能性,如果要约人违反了有效的要约,应承担法律责任.要约邀请本质上仍然是一种事实行为,但它是具有一定的法律意义的事实行为. 要约和要约邀请可以从如下几方面作出区别: 1.根据当事人的意愿来作出区分.也就是说,根据当事人已经表达出来的意思来确定当事人对其实施的行为主观上认为是要约还是要约邀请.如果当事人提出"须以我方最后确认为准",或"仅供参考",则表明当事人不愿接受要约的拘束力,因此订约提议只是要约邀请,而不是要约. 2.依法律规定作出区分.法律如果明确规定了某种行为为要约或要约邀请,即应按照法律的规定作出区分.例如,我国合同法第15条规定:"寄送的价目表,拍卖公告,招标公告,招股说明书,商业广告等为要约邀请."但是,商业广告的内容符合要约规定的,视为要约. 在通过网络所进行的交易中,商家登载于互联网上的广告到底应视为要约,还是应视为要约邀请 应当根据意思表示的内容,目的来区分要约与要约邀请,商家的广告内容十分详尽,覆盖了标的物,价格,交货方法,时间及地点,付款方式,甚至售后服务,免责事由等事项的,应当视为要约. 3.根据订约提议的内容来确定.要约的内容中应当包含合同的主要条款,这样才能因承诺人的承诺而成立电子合同.而要约邀请只是希望对方当事人提出要约,因此,它不必要包含合同的主要条款. 4.根据交易的习惯来区分.交易习惯常常可能体现了订约当事人的意愿,因此可以用来区分要约和要约邀请. 要约与要约邀请的区分标准,根据合同法第14条规定,这一标准应该是: (1)意思表示的内容是否具体确定;(2)广告发布者是否有受该意思表示约束的意图. (三)要约的生效 要约到达受要约人时生效.采用数据电文形式订立电子合同,收件人指定特定接受数据电文系统的,该数据电文进入该特定系统的时间,视为到达时间;未指定特定系统的,该数据电文进入收件人的任何系统的首次时间视为到达时间.在要约生效以后,要约人不得随意撤销或对要约内容随意加以限制,变更和扩张. (四)要约的撤回和撒销 1.要约的撤回 所谓要约的撤回是指要约人在要约发出以后,未达到受要约人之前,有权宣告取消要约,从而阻止要约生效的意思表示.我国合同法第17条规定:"要约可以撤回.撤回要约的通知应当在要约到达受要约人之前或者与要约同时到达受要约人". 但是,采用数据电文订立合同,其速度远比传统方式快.当要约发出后又要撤回,这种撤回实际上是不可能的.这对于要约人或许是不公正的.为了消除这种不公正,法律可以作出特别的规定,在不损害承诺人利益的前提下,对要约人加以保护,以平衡双方当事人的利益. 2.要约的撤销 所谓要约的撤销,是指要约人在要约到达受要约人并生效以后,将该项要约取消,从而使要约的效力归于消灭的意思表示.我国合同法第18条规定:"要约可以撤销.撤销要约的通知应当在受要约人发出承诺之前到达受要约人." 在电子商务交易中,要约能否撤销取决于交易的具体方式.从合同法的规定来分析,受要约人在收到要约后有一个考虑期,此期限的长短由要约人决定或由交易习惯确定,在考虑期满前即受要约人承诺前,要约人可以撤销要约.因此,考虑期的时间长度和受要约人的回应速度是要约人能否撤销的关键.如果当事人采用电子自动交易系统从事电子商务,承诺的作出是即刻的,要约人没有机会撤销要约.但是,如果是通过电子邮件方式订立合同,在一般情形下,要约是可以撤销的.因为要约人通过以电子邮件方式发出要约后,受要约人并不一定立即承诺,订约当事人之间并不是采用一种自动回应和瞬间撮合的程序,一方发出要约之后,另一方并不一定立即自动作出回应.因而在发出要约与最终作出承诺之间可能会有一段间隔,在此期间内,要约人可以撤销要约. (五)要约失效 所谓要约失效,是指要约丧失了法律拘束力,即不再对要约人和受要约人产生拘束.要约失效以后,受要约人也丧失了其承诺的能力,即使其向要约人表示了承诺,也不能导致合同的成立.根据合同法第20条,要约失效的原因主要是: 1.拒绝要约的通知到达要约人; 2.要约人依法撤销要约; 3.承诺期限届满,受要约人未作出承诺; 4.受要约人对要约的内容作出实质性变更. 三,承诺 (一)承诺的概念 根据合同法第21条,所谓承诺,是指受要约人同意要约的意思表示.换言之,承诺是指受要约人同意接受要约的条件从而订立合同的意思表示.承诺的法律效力在于一经承诺并送达于要约人,电子合同便告成立.在法律上,承诺必须具备如下条件,才能产生法律效力: 1.承诺必须由受要约人向要约人作出. 2.承诺必须在要约的有效期限内达到要约人. 3.承诺的内容必须与要约的内容一致. 4.承诺必须表明受要约人决定与要约人订立电子合同. 5.承诺的方式必须符合要约的要求. (二)承诺的生效 1.承诺的生效时间 因此承诺的效果在于使合同成立,即一旦承诺生效,合同便宣告成立. 根据合同法第26条:承诺通知到达要约人时生效.承诺不需要通知的,根据交易习惯或者要约的要求作出承诺的行为时生效.采用数据电文形式订立合同的,承诺达到时间适用以下规定: 收件人指定特定接受数据电文系统的,该数据电文进入该特定系统的时间,视为到达时间;未指定特定系统的,该数据电文进入收件人的任何系统的首次时间视为到达时间. 2.承诺迟延 承诺迟延一般不发生承诺生效的效果.所谓承