《《电子商务法律法规》图文课件pp5.ppt》由会员分享,可在线阅读,更多相关《《电子商务法律法规》图文课件pp5.ppt(36页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、目录目录第一节第一节 电子认证概述电子认证概述2 23 34 41 1第二节第二节 认证机构的设立于管理认证机构的设立于管理第三节第三节 认证机构的证书业务规范认证机构的证书业务规范第四节第四节 认证机构在电子商务业务中的法律问题认证机构在电子商务业务中的法律问题目录目录 1.1.掌握电子认证概念、作用与分类;掌握电子认证概念、作用与分类;2.2.掌握认证机构的设立、许可与管理掌握认证机构的设立、许可与管理;3.3.理解认证机构在证书颁发和管理中的职责理解认证机构在证书颁发和管理中的职责;4.4.了解认证机构在电子商务业务中的法律问题。了解认证机构在电子商务业务中的法律问题。目录目录 1.1.
2、掌握认证机构的设立与掌握认证机构的设立与管理问题;管理问题;2.2.理解认证机构与在线当理解认证机构与在线当事人之间的关。事人之间的关。目录目录 “网络钓鱼网络钓鱼”攻击是利用欺骗性的电子邮件和伪造的攻击是利用欺骗性的电子邮件和伪造的Web站点站点 来进行诈骗活动,诈骗者通常会将自己伪装成知名银行、在线零售来进行诈骗活动,诈骗者通常会将自己伪装成知名银行、在线零售 商和信用卡公司等可信的品牌,受骗者往往会泄露自己的财务数据,商和信用卡公司等可信的品牌,受骗者往往会泄露自己的财务数据,如信用卡号、账户用户名、口令和社保编号等内容。如信用卡号、账户用户名、口令和社保编号等内容。某网民在淘宝网上购买
3、商品就遭遇了网络钓鱼,她联系店家时被旺旺提某网民在淘宝网上购买商品就遭遇了网络钓鱼,她联系店家时被旺旺提示示“店家不在线,请和店家不在线,请和QQ联系联系”,当时不在意就加了这个,当时不在意就加了这个QQ号码,号码,询问后该询问后该QQ发来链接,其称没有淘宝旺旺,只能这么购买,网页和淘宝网发来链接,其称没有淘宝旺旺,只能这么购买,网页和淘宝网的商品页面一模一样的,购买以后发现在的商品页面一模一样的,购买以后发现在“已买到的宝贝已买到的宝贝”一栏中没有显示该一栏中没有显示该购买记录,询问店家后,其说是正常,会将货号发给她,但经与淘宝支付宝购买记录,询问店家后,其说是正常,会将货号发给她,但经与淘
4、宝支付宝客服联系,发现之前链接的是一个淘宝钓鱼网站,该骗子用她的钱在另一个客服联系,发现之前链接的是一个淘宝钓鱼网站,该骗子用她的钱在另一个虚拟币网站购买该网站的游戏充值卡。虚拟币网站购买该网站的游戏充值卡。这类事件在网络上并不少见。这类事件在网络上并不少见。2009年年3月发布的月发布的2009年中国网民网络年中国网民网络信息安全状况系列报告显示,去年超过九成网民遇到过网络钓鱼网站,电信息安全状况系列报告显示,去年超过九成网民遇到过网络钓鱼网站,电子邮件和即时通信是主要渠道,按子邮件和即时通信是主要渠道,按8788万的活跃网购用户来计算,平均每万的活跃网购用户来计算,平均每人损失人损失86.
5、5元。元。引例引例目录目录 瑞星瑞星2010年年8月发布的月发布的2010上半年互联网安全报告显示,网络钓鱼上半年互联网安全报告显示,网络钓鱼 给社会带来的间接损失可能超过给社会带来的间接损失可能超过200亿元。亿元。2010年年8月月18日,根据日,根据360 安全中心监测数据,互联网每月新增钓鱼欺诈网站超过安全中心监测数据,互联网每月新增钓鱼欺诈网站超过4万个。万个。据据360安全中心分析,目前钓鱼网站主要分为三大类。第一类属于安全中心分析,目前钓鱼网站主要分为三大类。第一类属于 虚假股票、彩票预测类钓鱼网站,很多不法分子利用网民股民虚假股票、彩票预测类钓鱼网站,很多不法分子利用网民股民“
6、一夜暴富一夜暴富”的的梦想,在网站推出股票黑马股、彩票预测号来骗取钱财;第二类属于虚假中梦想,在网站推出股票黑马股、彩票预测号来骗取钱财;第二类属于虚假中奖类钓鱼欺诈,主要特征是以中奖为诱饵,欺骗网民填写银行账户等信息,奖类钓鱼欺诈,主要特征是以中奖为诱饵,欺骗网民填写银行账户等信息,如仿冒如仿冒“非常非常6+1”节目中奖信息的网络诈骗事件;第三类是虚假购物类的电节目中奖信息的网络诈骗事件;第三类是虚假购物类的电子商务网站,尤其以模仿淘宝、工行等在线支付网页居多,骗取网民银行卡子商务网站,尤其以模仿淘宝、工行等在线支付网页居多,骗取网民银行卡信息或支付宝账户。信息或支付宝账户。钓鱼网站使大批网
7、民对互联网产生不信任心理,网络可信度低已经成为钓鱼网站使大批网民对互联网产生不信任心理,网络可信度低已经成为制约电子商务发展的重要原因。而且许多企业面对开放的网络也会经常遇到制约电子商务发展的重要原因。而且许多企业面对开放的网络也会经常遇到这样的困惑:网上交易时对方发出的信息是否真实可信?如何保护自己不掉这样的困惑:网上交易时对方发出的信息是否真实可信?如何保护自己不掉入网络钓鱼计划的陷阱中?通过本章的学习,我们就可以找到解决此类问题入网络钓鱼计划的陷阱中?通过本章的学习,我们就可以找到解决此类问题的办法的办法。引例引例目录目录(1)对外防止对外防止欺诈欺诈(2)对内防止对内防止否认否认目录目
8、录 纯技术性手段无法保障电子交易安全纯技术性手段无法保障电子交易安全 电子交易的安全性问题是阻碍电子商务发展的最大问题,因为电子商务是建立在技术性的网络系统基础上,故不少人认为,电子商务发展中出现的问题也只有技术的提高才能解决,即通过防火墙、加密技术、数字签名、身份认证等技术,来确保网上信息流的保密性、完整性和不可抵赖性。但是,就目前而言,技术的提高并没有解决电子商务的安全问题。应用比较广泛的由Netscape公司于1994年推出的安全套接层技术(security socket layer,SSL)被用于Netscape Communicator和Microsoft IE浏览器,主要用于保障安
9、全交易协议,提供加密、认证服务和报文完整性,但按照这一技术,商家可以掌握客户的信用卡号,可见该技术存在明显的安全隐患,不能防止心术不正的商家的欺诈。1996年2月,由VISA与MasterCard两大信用卡国际组织联合IBM、Microsoft、GTE、Netscape、VeriSign等公司共同发起了保障在Internet上进行安全电子交易的协议(secure electronic transaction,SET),它涵盖信用卡在电子商务交易中的交易协定、信息保密、资料完整及电子认证、电子签名等。这一标准被公认为全球网际网络的标准,但SET协议在实际应用中并不理想,SET的证书格式比较复杂,
10、使用成本高,其支付方式和认证结构仅适用于卡支付,对其他支付方式有限制且SET协议并不能真正提供不可否认性,所以SET在一些发达国家的使用率并不高。实践证明,纯技术性的防范手段不能对各种恶意攻击和网络犯罪起永久性的制约作用。只有法律和技术的双管齐下,才能维护和保障电子商务的稳健发展。知知识识链链接接目录目录 (1 1)站点认证站点认证(2 2)数据通信认证)数据通信认证(3 3)身份认证)身份认证目录目录 电子商务认证与公证服务有类似之 处,即两者都是向社会提供证明性的服务。所不同的是:第一,从业务形式上讲,认证 服务是一种在线的信用信息服务,而传统的公证业务是基于纸面的证明活动;第二,就证明的
11、效力来看,目前公证的证据效力要强于在线电子认证。一般而言,合法的公证文书,都被法院作为有效证据所直接采纳;而认证的效力,在现行的证据环境下,可能需要进行技术鉴定。值得注意的是,随着计算通信技术的广泛应用,两者将在不久的将来要相互渗诱,甚至相互融合。电子商务认证与公证服务电子商务认证与公证服务电子商务认证与公证服务电子商务认证与公证服务 目录目录 (2 2)认证机构应具有认证机构应具有中立性与可靠性中立性与可靠性。(1 1)认证机构应是独立的法律认证机构应是独立的法律实体实体。(3 3)认证机构认证机构应是非盈利性公应是非盈利性公用企业。用企业。目录目录人员要求人员要求人员要求人员要求1.1.设
12、备要求设备要求设备要求设备要求2.2.资金要求资金要求资金要求资金要求3.3.营业场所营业场所营业场所营业场所的要求的要求的要求的要求4.4.信息公告信息公告信息公告信息公告的要求的要求的要求的要求5.5.目录目录 申请人应当持电子认证许可证书依法向工商行政管理部门办理企业登记手续。取得认证资格的电子认证服务提供者,应当按照工业和信 息化部的规定在互联网上公布 其名称、许可证号等信息。目录目录 1.1.2.2.3.3.政府主导政府主导型型行业自律行业自律型型政府监管与政府监管与市场培育相市场培育相结合结合目录目录 1.制定认证机构制定认证机构 规范规范 2.对电子认证业务对电子认证业务 进行监
13、督进行监督目录目录 联合国国际贸易法委员会电子签名统一规则(草案)将认证证书定义为:认证机构颁发的数据电讯或其他记录,用来确认持有特定密钥的人或实体的身份或其他充足的特征。因此,认证证书又称数字证书(digital certificate,digital ID)或身份证书(identity certificate),它是交易主体在互联网上的身份证,是交易主体收发数据电文 时采用证书机制保证安全所必须具备的证书。目录目录 (1)遵守国务院工业和信息化部的管理规则,依法申请遵守国务院工业和信息化部的管理规则,依法申请并取得电子认证服务许可证,公开其名称、许可证号并取得电子认证服务许可证,公开其名称
14、、许可证号。(2)制定、公布符合国家有关规定的电子认证业务规则,制定、公布符合国家有关规定的电子认证业务规则,并向国务院工业和信息化部备案并向国务院工业和信息化部备案。目录目录 (3)以合法的手段,审查认证证书申请人的身份及相关以合法的手段,审查认证证书申请人的身份及相关情况情况。(4)保证签发的认证证书准确无误,并应当载明下列内保证签发的认证证书准确无误,并应当载明下列内容:电子认证服务提供者名称;数字证书持有人名称;数字证容:电子认证服务提供者名称;数字证书持有人名称;数字证书序列号;数字证书有效期;数字证书持有人的电子签名验证书序列号;数字证书有效期;数字证书持有人的电子签名验证数据;电
15、子认证服务提供者的电子签名;国务院信息产业主管数据;电子认证服务提供者的电子签名;国务院信息产业主管部门规定的其他内容部门规定的其他内容。目录目录 (5)保证认证证书内容在有效期内完整、准确,并保证保证认证证书内容在有效期内完整、准确,并保证依赖方能够证实或者了解认证证书所载内容及其他有关事项依赖方能够证实或者了解认证证书所载内容及其他有关事项。(6)妥善保存与认证相关的信息,信息保存期限至少为妥善保存与认证相关的信息,信息保存期限至少为电子签名认证数字证书失效后五年电子签名认证数字证书失效后五年。目录目录 认证机构最重要的任务就是颁认证机构最重要的任务就是颁发认证证书。用户要取得认证机构发认
16、证证书。用户要取得认证机构颁发的数字证书,首先须向认证颁发的数字证书,首先须向认证 机构提出申请,将用户的基本信机构提出申请,将用户的基本信 息在认证机构进行登记息在认证机构进行登记。目录目录 证书的保存与利用证书的保存与利用(一)(一)(二)(二)(三)(三)(四)(四)证书的撤销证书的撤销证书的期限届满证书的期限届满证书的中止证书的中止目录目录1.1.1.1.机构记录的披露机构记录的披露机构记录的披露机构记录的披露3.3.3.3.2.2.2.2.认证机构的内部认证机构的内部认证机构的内部认证机构的内部 系统要求系统要求系统要求系统要求认证机构之危险认证机构之危险认证机构之危险认证机构之危险
17、 活动的禁止活动的禁止活动的禁止活动的禁止目录目录1 1.电子认证机构的权利和义务电子认证机构的权利和义务(1 1 1 1)要求申请者提供真实信息的权利要求申请者提供真实信息的权利要求申请者提供真实信息的权利要求申请者提供真实信息的权利。(2 2 2 2)向第三方了解有关登记人情况的权利)向第三方了解有关登记人情况的权利)向第三方了解有关登记人情况的权利)向第三方了解有关登记人情况的权利。(3 3 3 3)单方撤销或终止证书的权利。)单方撤销或终止证书的权利。)单方撤销或终止证书的权利。)单方撤销或终止证书的权利。(4 4 4 4)收取费用的权利。)收取费用的权利。)收取费用的权利。)收取费用
18、的权利。电子认证电子认证电子认证电子认证机构的权机构的权机构的权机构的权利利利利:目录目录保证认证数据库的安全及保证认证数据库的安全及正常运作。正常运作。保密的义务。保密的义务。披露及告知的披露及告知的义务。义务。在特定情形下,暂在特定情形下,暂停或撤销证书。停或撤销证书。颁发证书并保证颁发证书并保证认证证书的真实认证证书的真实有效性。有效性。12345电子认证电子认证电子认证电子认证机构的义机构的义机构的义机构的义务务务务:目录目录2 2.证书用户的权利与义务证书用户的权利与义务权权利利 包括:当用户提供了符合要求的信息资料并缴纳费包括:当用户提供了符合要求的信息资料并缴纳费用后,有权取得有
19、效的、具有所需功能的数字证书;当用后,有权取得有效的、具有所需功能的数字证书;当用户持有的私人密钥受到威胁或遭遇其他危险时,可采用户持有的私人密钥受到威胁或遭遇其他危险时,可采取申请暂时中止证书的方式以控制风险;当用户的个人取申请暂时中止证书的方式以控制风险;当用户的个人资信发生变化或证书所载的其他事项发生变化时,可以资信发生变化或证书所载的其他事项发生变化时,可以要求变更证书;当证书有效期还未届满,但用户有充分、要求变更证书;当证书有效期还未届满,但用户有充分、正当理由的情况下,有权撤销证书。正当理由的情况下,有权撤销证书。目录目录义务义务 包括包括:就请求发放证书时提交的有关重要信息的就请
20、求发放证书时提交的有关重要信息的真实性负担义务、缴纳费用的义务、妥善保管私钥的义真实性负担义务、缴纳费用的义务、妥善保管私钥的义务、及时通知的义务等务、及时通知的义务等。目录目录1 1.认证机构的义务认证机构的义务(1)提供认证机构的证书,使证书信赖者可以可信的方提供认证机构的证书,使证书信赖者可以可信的方式取得该认证机构的信息,从而信赖该认证机构发放的证式取得该认证机构的信息,从而信赖该认证机构发放的证书及证书用户的数字签名书及证书用户的数字签名。(2)保证系统的正常运作,以使信赖者通过正常程序可保证系统的正常运作,以使信赖者通过正常程序可获得信息获得信息。目录目录(3)认证机构拟暂停或者终
21、止电子认证服务的,应当通认证机构拟暂停或者终止电子认证服务的,应当通知有关各方,向主管部门报告,并与其他认证机构就业务知有关各方,向主管部门报告,并与其他认证机构就业务承接进行协商,作出妥善安排承接进行协商,作出妥善安排。目录目录2 2.证书信赖者的义务证书信赖者的义务(1)提供认证机构的证书,使证书信赖者可以可信的方提供认证机构的证书,使证书信赖者可以可信的方式取得该认证机构的信息,从而信赖该认证机构发放的证式取得该认证机构的信息,从而信赖该认证机构发放的证书及证书用户的数字签名书及证书用户的数字签名。(2)证书信赖人对于交易相对人电子签名证书的使用,证书信赖人对于交易相对人电子签名证书的使
22、用,一般应在所建议的可靠程度内给予信任,并以此进行交易。一般应在所建议的可靠程度内给予信任,并以此进行交易。但这只是一种任意选择权,作为证书信赖人的交易一方,但这只是一种任意选择权,作为证书信赖人的交易一方,可做出自己的判断,并承担相应的法律后果可做出自己的判断,并承担相应的法律后果。目录目录 1.违约责任违约责任2.侵权责任侵权责任目录目录 认证机构承担责任的条件认证机构承担责任的条件 归责原则决定了违约责任的构成要件。认证机构承担责任的条件应包括四个方面:(1)认证机构未履行合同或履行不符合法定或约定的条件;(2)认证机构主观上有过错,这种过错包括故意和过失两种,即无论认证机构对此违约行为
23、是有意去做的、或是疏忽大意未能预见或已经预见而没有采取必要措施,均应承担违约责任;(3)有损害事实的存在;(4)不履行合同的行为与损害事实间有因果关系,即二者之间存在必然的联系。而且这种因果联系应是客观的,不能凭主观感觉臆断。在认证活动中,认证机构的违约行为造成的危害一般表现为间接损失,所以,证明二者之间的因果关系尤为重要。知知识识链链接接目录目录 电子商务的有效运作离不开认证机电子商务的有效运作离不开认证机构,在电子商务中,认证机构的地位非构,在电子商务中,认证机构的地位非常重要,没有认证机构,电子商务交常重要,没有认证机构,电子商务交 易的安全性就无法得到保障。认证业务易的安全性就无法得到
24、保障。认证业务是一个高风险的领域,认证机构违反其是一个高风险的领域,认证机构违反其法定义务时,必须承担一定的责任法定义务时,必须承担一定的责任。目录目录 每一电子认证机构都将证书分为不同的等级,每一等级适用于不同的签发目的。如美国的 Verisign公司建立了三种用户等级,对于第一等级的证书,用户只能依赖它做网页浏览和个人电子邮件,对用户而言,其使用只是稍微增加了安全程度;第二等级的证书可用于小额、小风险的交易及在线订购服务等;第三等级证书则用于电子银行、电子数据交换、软件确认及基于会员的在线服务。每个等级的赔偿金额也不同,第一等级数字证书赔偿金100美元,第二级数字证书5000美元,第三级数
25、字证书10万美元。信赖人应按不同等级证书的签发目的从事相应的活动,否则认证机构对信赖人因此而遭受的损失不负赔偿责任。赔偿责任限制有利于认证机构对从业风险的规避,促进认证业务的发展。知识补充知识补充VerisignVerisign公司用户等级证书公司用户等级证书目录目录2 21 13 3 由于证书用户由于证书用户 造成的过错造成的过错 不可抗力不可抗力 由于证书信赖人的过错由于证书信赖人的过错目录目录 反病毒专家从纯技术的角度进行分析,要设计一种方案或者软件反病毒专家从纯技术的角度进行分析,要设计一种方案或者软件 完全杜绝网络钓鱼现象是不可能的。最好的自我保护方式是不需要完全杜绝网络钓鱼现象是不
26、可能的。最好的自我保护方式是不需要 多少技术的,只需每一个网民提高自己的安全意识,采取安装杀多少技术的,只需每一个网民提高自己的安全意识,采取安装杀 毒软件和防火墙,及时升级、打补丁,避免开启和回复来路不明毒软件和防火墙,及时升级、打补丁,避免开启和回复来路不明 的电子邮件及文件,特别是那些要求重新输入账号信息,留意网址的的电子邮件及文件,特别是那些要求重新输入账号信息,留意网址的 合法性等防范措施,就可以最大限度地避免被诈骗。合法性等防范措施,就可以最大限度地避免被诈骗。因为大多数电子商务交易中,双方互不见面、互不相识,信任是每个企业因为大多数电子商务交易中,双方互不见面、互不相识,信任是每
27、个企业及实体进行各种网上行为的基础,构架一个安全可信的网络环境是各种网上操及实体进行各种网上行为的基础,构架一个安全可信的网络环境是各种网上操作顺利开展的有利保障。数字证书正是这样一种建立网上信任的可靠工具。数作顺利开展的有利保障。数字证书正是这样一种建立网上信任的可靠工具。数字证书的发放都不是依靠交易双方自己来完成,而是由一个具有权威性和公正字证书的发放都不是依靠交易双方自己来完成,而是由一个具有权威性和公正性的第三方来完成,该第三方中介机构以提供公正交易环境为目的,对电子签性的第三方来完成,该第三方中介机构以提供公正交易环境为目的,对电子签名人的身份进行认证,并为其发放证书,向交易对方提供信誉保证。由于第三名人的身份进行认证,并为其发放证书,向交易对方提供信誉保证。由于第三方公正方的参与,使得电子商务交易得以在制度层面得到安全保障方公正方的参与,使得电子商务交易得以在制度层面得到安全保障。目录目录目录目录