论文部分内容阅读
电子认证是以电子认证证书(又称数字证书)为核心技术的加密技术,它以PKI技术为基础,对网络上传输的信息进行加密、解密、数字签名和数字验证。电子认证是电子政务和电子商务中的核心环节,可以确保网上传递信息的保密性、完整性和不可否认性,确保网络应用的安全。
电子认证所应遵循的规则,就是电子认证业务规则。电子认证业务规则应当包括责任范围、作业操作规范、信息安全保障措施等事项。
一、电子认证服务提供者应当制定、公布符合国家有关规定的电子认证业务规则,并向国务院信息产业主管部门备案
电子认证服务是专业性很强的活动,由电子认证服务提供者制定有关业务规则是合理的,也是符合实际的。当然,电子认证服务者不能制定损害电子签名人和电子签名依赖方利益的、不公平的"霸王条款"。为了防止这种情况出现,有两项要求:一是电子认证服务者制定的电子认证业务规则要符合国家有关规定,而且还要公布;二是电子认证业务规则要向国务院信息产业主管部门备案,以接受监督。有些国家和地区的电子签名法也规定了电子认证服务提供者制定认证业务规则的义务。例如,韩国电子签名法规定,认证机构应拟订包括下列各项内容的认证业务通则,并应向信息通信部长官申报:认证业务种类、认证业务的执行方法及步骤、认证服务的利用条件及费用其他必需事项。信息通信部长官认为认证业务通则规定的内容有碍于确保认证业务的安全和可依赖性或损害用户利益的,可命令认证机构改正。我国台湾地区电子签章法规定,认证机构应制定认证实务作业基准,认证实务作业基准应载明以下事项:足以影响认证机构所签发认证的可靠性或其业务执行的重要资讯;认证机构径行废止认证的事由;验证认证内容相关资料的留存;保护当事人个人资料的方法及程序;其他经主管机关订定的重要事项。
二、电子认证业务规则主要包括以下事项
1. 责任范围
电子认证服务提供者在提供认证服务过程中,由于未履行其应尽义务,尤其是保证其签发证书的真实、可靠性的义务,既可能产生对电子签名人的责任,也可能产生对电子签名依赖方的责任。电子认证服务提供者与电子签名人即电子签名认证证书持有者是民事合同关系,电子认证服务提供者依照合同约定承担责任。电子认证服务提供者对电子签名依赖方的责任是基于法律规定而产生的,即两者是法律上的信赖关系,电子认证服务提供者对电子签名依赖方的法定义务是其承担责任的基础。同时也应当看到,电子认证服务是一个高风险的行业,既有内部风险又有外部风险,并且一旦发生风险往往会造成非常严重的后果。电子认证服务提供者在从事电子认证服务活动时当然应当尽合理的注意,承担相应的义务,但在无过错的情况下,不应承担责任,而无过错的举证责任要由认证机构承担。这是因为电子认证服务提供者处于中立的第三方,其行为和信誉直接关系到电子签名人与电子签名依赖方的利益,且相对于电子签名人及电子签名依赖方又处于强势地位,一些国家均规定了较为严格的责任制度,且设立了举证责任倒置的制度,即电子认证服务提供者如能证明其对于责任事项无任何过错方可免责。电子签名人或者电子签名依赖方因依据电子认证服务者提供的电子签名认证服务从事民事活动遭受损失,电子认证服务提供者不能证明自己无过错的,承担赔偿责任。
从实践中看,电子签名认证合同基本上属于格式合同。格式合同,是指合同条款由当事人一方预先拟定,另一方当事人只能表示全部同意或者不同意的合同,也就是说一方当事人要么从整体上接受合同条件,要么不订立合同。比如电子认证合同作为格式合同的特征有:一是数字证书的项目由电子认证服务提供者预定且不能改变;二是认证费用由电子认证服务提供者预定而不能讨价还价;三是签署者和电子认证服务提供者的责任条款由电子认证服务提供者单方制定并且不容进一步协商,而这正是电子认证合同中最关键的内容。目前在实践中,此责任条款有的出现在认证业务声明中,例如美国的Verisign公司就在其业务声明中规定了免责条款;也可以直接以责任书的形式出现,如上海电子商务安全证书管理中心有限公司就采取这种做法;还可以以电子认证中心数字证书章程的形式出现,如广东省电子商务主认证中心就采取此种做法。对此责任条款只有“我接受”和“我拒绝”两种选择,选择“我接受”则继续证书申请的下一个步骤,选择“我拒绝”则终止证书的申请。
另外,在电子认证合同中也有允许客户选择的内容,例如证书的信赖等级。Verisign公司已经建立了三种用户等级:对于第一等级,用户只能依赖它做网页浏览和个人电子邮件,在这种环境下只是稍微增加了安全;第二等级是证书持有人使用更详细的证明证书于"组织"内的电子邮件、小额、小风险的交易、个人之间的电子邮件、口令更改、软件确认,以及在线订购服务;第三等级是用于电子银行、电子数据交换、软件确认,以及基于会员的在线服务。另外,密钥的位数也有512. 1024及2048位等多种选择,密钥位数越大,加密后的文件的安全度越高。我国的几家主要的电子认证服务提供者也都提供了不同种类的数字证书来满足客户的不同需要。
2. 作业操作规范
电子认证作业操作规范包括的内容非常广泛。如对数字证书申请身份审查的内容、提供相应的身份有效证件和审查流程;数字证书类别及证书申请、签发、撤销、更新等新的操作流程;以及信息公开的要求,主要是发布相关认证信息,如证书生效、失效等公开信息。
3. 信息安全保障措施
电子认证服务提供者是为Internet用户提供身份认证服务的。由于其负责接受证书申请、审核申请人身份、签发证书及管理证书等服务,与其他Internet服务提供商一样,电子认证服务提供者所提供的服务也是通过Internet,也存在安全威胁,存在被攻击的可能,如非法入侵、植入病毒、窃取密钥等外部攻击。另外,认证系统内部也存在威胁,如内部工作人员的管理,机房的安全管理,软件的管理等。这些都需要制定具体的信息安全保障措施,防范风险。例如,电子认证服务提供者的机房是整个认证系统控制核心,机房的正常运作是所有电子商务活动的基础,必须采取足够的措施保证机房的安全。如必须设置独立的机房用于安全认证管理,该机房必须受到严格的、高等级的安全保护,至少应该设置三层安全控制保护层。类似这样的信息安全保障措施应当体现在电子认证业务规则中。
参考文献:
[1]刘颖.孙志煜.论电子认证机构民事责任的归责原则[J].暨南学报(哲学社会科学版),2007(06).
[2]芦艳荣.落实电子签名法完善电子认证服务体系[J].信息网络安全,2007(05).
[3]严霄凤.电子认证令牌安全研究[J].网络安全技术与应用,2013(02).
[4]刘显鹏.论电子证据的认证规则体系——以《民事诉讼法》修订为背景[J].大连理工大学学报(社会科学版),2013(02).
[5]岑荣伟.王勇.郭红.李新友.吴亚非.基于国家电子政务外网电子认证服务体系的国家标准应用案例研究[J].保密科学技术,2012(08).
电子认证所应遵循的规则,就是电子认证业务规则。电子认证业务规则应当包括责任范围、作业操作规范、信息安全保障措施等事项。
一、电子认证服务提供者应当制定、公布符合国家有关规定的电子认证业务规则,并向国务院信息产业主管部门备案
电子认证服务是专业性很强的活动,由电子认证服务提供者制定有关业务规则是合理的,也是符合实际的。当然,电子认证服务者不能制定损害电子签名人和电子签名依赖方利益的、不公平的"霸王条款"。为了防止这种情况出现,有两项要求:一是电子认证服务者制定的电子认证业务规则要符合国家有关规定,而且还要公布;二是电子认证业务规则要向国务院信息产业主管部门备案,以接受监督。有些国家和地区的电子签名法也规定了电子认证服务提供者制定认证业务规则的义务。例如,韩国电子签名法规定,认证机构应拟订包括下列各项内容的认证业务通则,并应向信息通信部长官申报:认证业务种类、认证业务的执行方法及步骤、认证服务的利用条件及费用其他必需事项。信息通信部长官认为认证业务通则规定的内容有碍于确保认证业务的安全和可依赖性或损害用户利益的,可命令认证机构改正。我国台湾地区电子签章法规定,认证机构应制定认证实务作业基准,认证实务作业基准应载明以下事项:足以影响认证机构所签发认证的可靠性或其业务执行的重要资讯;认证机构径行废止认证的事由;验证认证内容相关资料的留存;保护当事人个人资料的方法及程序;其他经主管机关订定的重要事项。
二、电子认证业务规则主要包括以下事项
1. 责任范围
电子认证服务提供者在提供认证服务过程中,由于未履行其应尽义务,尤其是保证其签发证书的真实、可靠性的义务,既可能产生对电子签名人的责任,也可能产生对电子签名依赖方的责任。电子认证服务提供者与电子签名人即电子签名认证证书持有者是民事合同关系,电子认证服务提供者依照合同约定承担责任。电子认证服务提供者对电子签名依赖方的责任是基于法律规定而产生的,即两者是法律上的信赖关系,电子认证服务提供者对电子签名依赖方的法定义务是其承担责任的基础。同时也应当看到,电子认证服务是一个高风险的行业,既有内部风险又有外部风险,并且一旦发生风险往往会造成非常严重的后果。电子认证服务提供者在从事电子认证服务活动时当然应当尽合理的注意,承担相应的义务,但在无过错的情况下,不应承担责任,而无过错的举证责任要由认证机构承担。这是因为电子认证服务提供者处于中立的第三方,其行为和信誉直接关系到电子签名人与电子签名依赖方的利益,且相对于电子签名人及电子签名依赖方又处于强势地位,一些国家均规定了较为严格的责任制度,且设立了举证责任倒置的制度,即电子认证服务提供者如能证明其对于责任事项无任何过错方可免责。电子签名人或者电子签名依赖方因依据电子认证服务者提供的电子签名认证服务从事民事活动遭受损失,电子认证服务提供者不能证明自己无过错的,承担赔偿责任。
从实践中看,电子签名认证合同基本上属于格式合同。格式合同,是指合同条款由当事人一方预先拟定,另一方当事人只能表示全部同意或者不同意的合同,也就是说一方当事人要么从整体上接受合同条件,要么不订立合同。比如电子认证合同作为格式合同的特征有:一是数字证书的项目由电子认证服务提供者预定且不能改变;二是认证费用由电子认证服务提供者预定而不能讨价还价;三是签署者和电子认证服务提供者的责任条款由电子认证服务提供者单方制定并且不容进一步协商,而这正是电子认证合同中最关键的内容。目前在实践中,此责任条款有的出现在认证业务声明中,例如美国的Verisign公司就在其业务声明中规定了免责条款;也可以直接以责任书的形式出现,如上海电子商务安全证书管理中心有限公司就采取这种做法;还可以以电子认证中心数字证书章程的形式出现,如广东省电子商务主认证中心就采取此种做法。对此责任条款只有“我接受”和“我拒绝”两种选择,选择“我接受”则继续证书申请的下一个步骤,选择“我拒绝”则终止证书的申请。
另外,在电子认证合同中也有允许客户选择的内容,例如证书的信赖等级。Verisign公司已经建立了三种用户等级:对于第一等级,用户只能依赖它做网页浏览和个人电子邮件,在这种环境下只是稍微增加了安全;第二等级是证书持有人使用更详细的证明证书于"组织"内的电子邮件、小额、小风险的交易、个人之间的电子邮件、口令更改、软件确认,以及在线订购服务;第三等级是用于电子银行、电子数据交换、软件确认,以及基于会员的在线服务。另外,密钥的位数也有512. 1024及2048位等多种选择,密钥位数越大,加密后的文件的安全度越高。我国的几家主要的电子认证服务提供者也都提供了不同种类的数字证书来满足客户的不同需要。
2. 作业操作规范
电子认证作业操作规范包括的内容非常广泛。如对数字证书申请身份审查的内容、提供相应的身份有效证件和审查流程;数字证书类别及证书申请、签发、撤销、更新等新的操作流程;以及信息公开的要求,主要是发布相关认证信息,如证书生效、失效等公开信息。
3. 信息安全保障措施
电子认证服务提供者是为Internet用户提供身份认证服务的。由于其负责接受证书申请、审核申请人身份、签发证书及管理证书等服务,与其他Internet服务提供商一样,电子认证服务提供者所提供的服务也是通过Internet,也存在安全威胁,存在被攻击的可能,如非法入侵、植入病毒、窃取密钥等外部攻击。另外,认证系统内部也存在威胁,如内部工作人员的管理,机房的安全管理,软件的管理等。这些都需要制定具体的信息安全保障措施,防范风险。例如,电子认证服务提供者的机房是整个认证系统控制核心,机房的正常运作是所有电子商务活动的基础,必须采取足够的措施保证机房的安全。如必须设置独立的机房用于安全认证管理,该机房必须受到严格的、高等级的安全保护,至少应该设置三层安全控制保护层。类似这样的信息安全保障措施应当体现在电子认证业务规则中。
参考文献:
[1]刘颖.孙志煜.论电子认证机构民事责任的归责原则[J].暨南学报(哲学社会科学版),2007(06).
[2]芦艳荣.落实电子签名法完善电子认证服务体系[J].信息网络安全,2007(05).
[3]严霄凤.电子认证令牌安全研究[J].网络安全技术与应用,2013(02).
[4]刘显鹏.论电子证据的认证规则体系——以《民事诉讼法》修订为背景[J].大连理工大学学报(社会科学版),2013(02).
[5]岑荣伟.王勇.郭红.李新友.吴亚非.基于国家电子政务外网电子认证服务体系的国家标准应用案例研究[J].保密科学技术,2012(08).