验证电子合同的有效方法
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇验证电子合同的有效方法范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
验证电子合同的有效方法范文第1篇
关键词:PKI;电子签章;COM组件
中图分类号:TP302.1文献标识码:A 文章编号:1009-3044(2010)13-3385-02
Design and Implementation of an Electronic Seal System Based on Pki
LI Ming-cui
(School of information engineering, East China Jiaotong University,Nanchang 330013,China)
Abstract: With the development of the information technology,the problem how to Guarantee the integrity and Undeniable of the electronic documents is to be solved. The article focused on the design and implementation of an electronic seal system which is based on PKI. And the methods of using the CAPICOM component in the system are discussed in detail.
Key words: PKI; Electronic Signature; COM
在传统的商务及中,为了保证信息的安全与真实,书面合同或公文需要由当事人和负责人签章、盖章,以便让双方识别是谁签的合同,认可合同的内容,使合同具有法律效力。而基于互联网的电子商务、电子政务,合同或公文是以电子文件的形式表现和传递的,这就必须依靠技术手段识别电子文件中签章人的真实身份,保证交易、公文的安全性和真实性以及不可抵赖性,使电子签章起到与手写签名或者盖章同等作用的效果。
1 基于PKI的数字签章与数字签名的关系
公钥密码基础设施(PKI)服务提供的常用服务包括数字签名、安全时间戳、密钥协商和证书管理等服务。数字签名技术能够解决信息的完整性、防止篡改以及身份认证等问题。但数字签名的结果是不可视的计算机数据,它随着被签名信息内容的不同或签名的时间不同而不同,从数字签名信息中不可能获得固定的可视化(图形化)信息,人们更希望数字签名能以一种可视的、直观的形式表现在当前流行的电子公文中。即把数字签名以一种可见的方式来实现,这样数字签名就更加形象,更加贴近使用者。传统印章具有法律功效和社会功效,印章具有象征意义,起到直观的代表了某个个体或组织的作用。数字签章是结合数字签名和传统印章的的优势,是数字签名的可视化,表现为电子公文中一个载有数字签名结果的图形。
2 电子签章模型
本签章系统基于word编辑器设计,数字签章在word环境中实现签章、验证签章过程,签章后得到的文件仍是有效的word文件。为了满足签章可视化的要求,只能对文档中的关键数据对象计算数字摘要。数字摘要加密得到的数字签名及其他信息和原始数据对象分开存储,存储遵守文件的结构框架。假设image为图章图形,C为签名文档,A为签章用户,Ka为用户A的签名私钥,H为hash函数,RSA为数字签名算法。则,电子签章模型可以表示如下:W=RSA(H(C,image),Ka)。电子签名图章是一个载有数字签名结果的图形,是将文件数据和图章数据捆绑在一起作为签名内容进行签名计算的结果。
3 基于PKI的电子签章系统的构架设计
本系统基于中间件设计思想,采用B/S模式,通过签章服务器向合法权限的用户提供基于Web的签章认证服务。整个系统由客户端和服务器端组成。其中客户端主要完成对文档的签章、验证签章、撤销签章和查看证书等功能。而签章用到的印章图片及其代表的个人及组织信息由印章管理服务器进行颁发和管理。签名所用的数字证书由具有CA资格的CA中心进行颁发和管理。
4 电子签章系统的客户端设计
本系统设计的电子签章客户端需要将系统以组件的形式嵌入到word环境中,用到COM组件技术。
本客户端的实现原理:
1)利用com技术的外接程序接口IDTExtensibility实现与宿主应用程序的链接。在IDTExtensibility接口的OnConnection事件中创建签章、验证、查看等工具栏。
2)利用Windows提供的加密组件CAPICOM中的加密函数实现签名功能。CAPICOM组件基于Windows的机密体系模型CryptAPI提供加密功能。CAPICOM组件的主要功能包括:哈希运算、口令加密解密、数字信封、数字签名、证书管理。由于本系统是嵌入到word环境中的,所以对word文档进行签章时,先要对文档的关键数据进行提取,然后对数据进行摘要运算,再对摘要数据进行签名。对关键数据的提取用到Word对象模型中的对象。具体算法如下:
①先用Word的Application对象获得当前的活动文档ActiveDocument,即当前正处理的Word文档。
②用Document对象的Content属性将整个Word文档的正文部分选定。即利用文档对象的Content属性提取文档的数据。
③利用CAPICOM的HashedData对象对提取出来的数据进行摘要运算。在进行摘要计算时先选择摘要算法,例如CAPICOM_HASH_ALGORITHM_SHA1,然后再用HashedData对象的Hash方法对数据进行摘要运算。
④利用CAPICOM中的SignedData对象对上一步产生的摘要进行签名。关键代码如下:
Set mystore = CreateObject("CAPICOM.Store")
mystore.Open_CAPICOM.CAPICOM_STORE_LOCATION.CAPICOM_CURRENT_USER_STORE,"MY",CAPICOM.CAPICOM_STORE _OPEN_MODE.CAPICOM_STORE_OPEN_READ_ONLY
signobj.Content = ostring
SigningTime.Name = CAPICOM_AUTHENTICATED_ATTRIBUTE_SIGNING_TIME
SigningTime.Value = Now
signer.AuthenticatedAttributes.Add SigningTime
s = signobj.Sign(signer, True)
其中,mystore是一个证书库对象,用来打开当前用户安装的数字证书,在系统运行时,运行时将产生一个证书选择框,供签章用户自行选择用来签章的有效数字证书。
Signobj是一个SignedData对象,用于完成对摘要数据的签名。在签名的过程中将保存用户签名的日期和时间。签名过程如图3所示。
⑤签章的验证。签章的验证过程和签名过程相反。先从签章信息中获得签章者的证书信息,从中获得签章者的公钥,利用公钥解密签名,得到数字摘要。另一方面,对要签章的原始数据用哈希算法得到另一个摘要,比较两个摘要是否一致,如果一致,则验证通过否则,验证失败。
5 安全性分析
基于PKI的电子签章能保证信息的完整性。如果信息在传输的过程中被篡改,接收方重新计算出来的摘要肯定不同于用发送方公钥解密出来的摘要。其次,能保证信息源的可验证性和不可抵赖性。由于签章者只有签章者持有自己的私钥,而数字证书由CA中心统一管理,其他人不能冒用其身份,因此发送方无法否认他曾经发送过该信息。本文设计和实现的签章系统能够有效的利用数字证书保证签章内容的完整性和不可抵赖性,但由于签章功能是入在word环境中的,签章文件仍由Word打开,这就无法避免信息在浏览的过程中可能被意外更改(尤其是格式方面的更改),造成无法通过验证,从而需要进一步完善。
参考文献:
[1] 刘宏伟.基于身份的电子签章系统设计研究[J].计算机工程与设计,2008,29(7):1735-1738.
[2] 丁惠春.面向电子政务应用的电子签章中间件设计与实现[J].计算机应用研究,2005(3):135-137.
验证电子合同的有效方法范文第2篇
关键词:电子商务;因特网;安全;SET;电子支付
0 引言
电子商务是指商务流程的电子化,其流程如图1所示,涉及顾客、商家、认证、物流、银行五个方面。由于存在降低开销、拓展市场等多方面的优势,目前电子商务工程正在全国范围内迅速发展。现代电子商务建立在因特网基础之上,而因特网是一个公用网络,既不安全,也不可信,使电子商务交易双方(顾客和商家)都面临安全威胁。因此实现电子商务的关键是要保证商务活动过程中的安全性。
1 电子商务面临的威胁和安全要求
(1)实体真实性
电子商务以电子方式取代了传统的面对面沟通和纸张契约,如何保证这种电子贸易实体(顾客和商家)的有效性和真实性则是开展电子商务的前提。否则势必会产生虚假订单、货物冒领、货款无着落、机密信息失窃等诸多问题。
(2)信息机密性
电子商务作为贸易的一种手段,其信息直接代表着个人、企业的商业机密。传统的纸面贸易都是通过邮寄封装的信件或可靠的通信方式发送商业报文以达到保守机密的目的。电子商务是建立在一个较为开放的网络环境上的,商业防泄密是电子商务全面推广应用的重要前提。
(3)信息完整性
电子商务简化了贸易过程。减少了人为的干预,但也带来如何维护商业信息的完整、统一的问题。数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异;此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。因此,电子商务系统应充分保证数据在传输、存储等过程中的正确和可靠。
(4)信息不可抵赖性和可鉴别性
信息不可抵赖性要求建立有效的责任机制,防止实体否认其行为;可鉴别性要求能控制使用资源的人或实体的使用方式。
在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上的手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据的可靠性并预防抵赖行为的发生。在无纸化的电子商务方式下,利用手写签名和印章进行贸易方的身份鉴别是不可能的。因此,需要在交易信息的传输过程中为参与交易的个人、企业提供可靠的标识;确保原发方在发送数据后不能抵赖,接收方在接收数据后也不能抵赖。
2 电子商务安全技术
电子商务中所有的信息都通过因特网传输,这种通信方式虽然以便利和低廉的成本使其具有很大的竞争力,但同时安全问题不可避免地成为了其发展的主要问题。下面探讨能够解决这些问题的核心安全技术。
2.1 电子认证――解决实体真实性问题
电子认证指对顾客、商家等实体的身份进行鉴别,为身份的真实性提供保证。这意味着当顾客、商家等实体声称具有某个特定的身份时,鉴别服务就须提供一种方法来验证其声明的正确性。
RSA公开密钥算法具有密钥自动管理、数字签名、身份识别等特性,利用RSA可为用户建立一个提供公开密钥担保的可信的第三方认证系统。这个可信的第三方认证系统也称为CA,CA为用户发放电子证书,用户之间(比如网银服务器和某顾客之间)利用证书来保证双方身份的合法性。
2.2 加密――解决信息机密性问题
加密技术是最基本的安全技术,其主要功能是提供机密。加密技术包括共享密钥加密(Secret-Key Cryptography)和公开密钥加密(Public-Key Cryptography)。电子商务中一般使用公开密钥加密。
公开密钥加密使用一对密钥,一个公开,一个由收信者保存。发信人用公开密钥(Public-Key)去加密,而收信人则用私有密钥(Private-Key)去解密。通过数学的手段保证加密过程是一个不可逆过程,即只有私有密钥(Private-Key)才能解密。常用的算法有RSA和ELGamal等。
公开密钥加密的信息传输机制是,商家公开其公开密钥,而保留其私有密钥,顾客用公开密钥对发送的信息加密,安全地传送给该商家,然后由商家用其私有密钥解密。
2.3 消息认证――解决信息完整性问题
消息认证是检验信息的完整性、信息是否被篡改的技术,通常用杂凑函数实现。单向杂凑函数按其是否有密钥控制分为两类。一类有密钥控制,为密码杂凑函数,以h(k,m)表示;另一类无密钥控制,为一般杂凑函数。一般杂凑函数不具有身份认证的功能,只用于检测接受数据的完整性,它一般与数字签名结合应用;而密码杂凑函数,其杂凑值不仅与输入有关,而且与密钥有关,因而具有身份验证功能。杂凑算法有MD5,SHA等。
2.4 数字签字――解决信息不可抵赖性和可鉴别性问题
日常生活中时常会有在合同上签名(盖章)作为H后查证的保证。而在网络上可以利用报文摘要、数字签名模拟。具体做法如下。
(1)报文摘要(message digest)
这一加密方法亦称安全Hash编码法,由Ron Rivest所设计。该编码法采用单向Hash函数将需加密的明文“摘要”成一审128bit的密文,这一串密文亦称为数字指纹(Finger Print),它有固定的长度。将不同的明文摘要成密文,其结果总是不同的,而同样的明文其摘要必定一致。这样,这串摘要便可成为验证明文是否“真身”的“指纹”了。
(2)数字签名(digital signature)
数字签名将报文摘要、公开密钥算法两种加密方法结合起来使用。在书面文件上签名是确认文件的一种手段,其作用有两点,一是因为自己的签名难以否认,从而确认了文件已签署这一事实;二是因为签名不易仿冒,从而确定了文件是真的这一事实。
3 基于SET的电子商务安全模型和电子支付流程
针对电子商务中可能的交易安全问题,美国Visa和MasterCard两大信用卡组织联合国际上多家科技机构,共同制定了应用于因特网上的以银行卡为基础进行在线交易的电子商务安全模型,这就是“安全电子交易”(SET)。
3.1 SET架构
SET架构如图2所示,由以下部分组成。
SET通信协议:提供私密的付款信息、信用卡认证信息、商家及划款机构。
持卡人(Card Holder):使用含SET标准的电子钱包(Electronic Wallet),辅助持卡人至认证中心(CA)取得信用卡电子证书、产生公钥及密钥、存储与管理电子证书与密钥、电子证书更新查询、提供交易时所需的授权与SET协定、管理交易历史资料等。
发卡单位(Card Issuer):提供顾客对信用卡的申请与消费的管理,发卡单位须提供持卡人一个电子钱包,由申请人经由
WVCW或E-mail到认证中心认证。
划款机构、付款网关(Payment Gateway):辅助划款机构至认证中心(cA)取得信用卡电子证书、产生公钥及密钥、存储与管理电子证书与密钥、电子证书更新查询、与收单行交换加密公钥、提供交易时所需的授权与SET协定、提供交易后划款、清算及SET协定、与银行主机连线、报表与历史资料记录的产生等。
商家(Merchant Server):辅助电子商家至认证中心(CA)取得信用卡电子证书、存储与管理电子证书与密钥、电子证书更新查询、与收单行交换加密公钥、提供交易时所需的授权与SET协定、提供交易后划款、清算及SET协定、提供交易相关资料记录、回传服务等。
认证机构(又称认证管理中心):提供持卡人、商家、支付网关的认证服务。
3.2 电子支付流程
在电子交易过程中使用者使用电子现金和商家进行交易。电子现金顾名思义就是可在网络上流通的现金。使用现金的好处在于顾客可保持隐私,不用像信用卡交易那样将重要的个人资料泄露出去,再加上顾客大多会在网络上交易较低价位的产品,这时候现金就比信用卡好用;而且大多数的顾客对于现金的接受程度比信用卡高。所以电子现金将会逐渐成为一股新主流。在SET机制中,每个想要上网消费的顾客都必须在自己的电脑里安装―个称为“电子钱包”的软件,这个电子钱包就像真实生活中的钱包一样,负责存放顾客向银行买来的电子现金。图3是典型的基于SET的电子商务模型。
具体交易步骤如下:
步骤1:顾客向银行提领电子现金。
步骤2:银行在验证了顾客的身份后,对顾客的真实帐户作相应扣款,并将等值的电子现金存入顾客的电子钱包。
步骤3:当顾客将WWW浏览器连接到网络商家观看商品并决定要购买某项商品时,他按下了“购买”键,商家端的软件就会将此商品的订单送给顾客的电子钱包软件。
步骤4:电子钱包开始启动管理功能,将订单上所列的电子现金支付给商家端软件。
步骤5:商家端在收到顾客送来的电子现金后,将其传送到银行去验证这笔电子现金是否为银行发行的合法电子现金。
步骤6:如果验证无误,银行会通知商家验证成功,并将电子现金转成相对的真实现金金额存入商家的账户,商家将顾客所订的货品送出,这样就完成了一笔网络交易。
3.3 SET特点
SET引入了一套完整的认证体系,其中认证中心(cA)是该体系的重要执行者,SET采用公钥密码体制和X.509数字证书标准,提供了顾客、商家和银行之间的认证。与此同时,SET还明确规定了整套协议中信息流的加密、验证乃至整个交易的处理过程,确保了交易数据的机密性、完整性和交易的不可否认性,特别是保证了不将顾客银行卡号暴露给商家,因此它成为了目前公认的信用卡/借记卡的网上交易的国际安全标准。
验证电子合同的有效方法范文第3篇
以网络技术为基础的电子商务作为一种全新的商务活动模式,已经成为经济增长的动力,推动着经济的迅猛发展。但互联网所固有的开放性与资源共享性使电子商务成为一把双刃剑,它在给人类带来了经济、便捷、高效的交易方式的同时,也引发了新的社会问题,电子商务的安全交易问题已成为全球电子商务活动的焦点问题,如何保证网上交易的有效性、机密性、完整性、可靠性和不可否认性是电子商务可持续发展的关键。
电子商务交易中,鉴别交易伙伴身份、确定合同、契约和单据的可靠性是十分关键的问题。在传统贸易中,交易双方通过在合同、贸易单据等书面文件上手写签名或盖章来鉴别对方的身份,确定贸易合同、契约、单据的可靠性并预防抵赖行为的发生,其具有较高的可靠性。而在无纸化的电子商务中,人们希望通过数字通信网络迅速传递合同、契约和单据,这就出现了数据真实性认证的问题,数字签名技术就应运而生了。
数字签名是用来保证信息传输过程中信息的完整性、私有性和不可抵赖性,其是实现网上交易安全的核心技术之一。
一、数字签名技术的概念
数字签名技术就是利用数据加解密技术、数据变换技术,根据某种协议来产生一个反映被签署文件和签署人特性的数字化签名。数字签名涉及被签署文件和签署人两个主体,密码技术是数字签名的技术基础,其核心是采用加密技术的加、解密算法体制来实现对数据的数字签名。
1.公开密钥加密技术
公开密钥加密又称为非对称密钥加密,其特点是每个用户有两个不同的密钥:公有密钥和私有密钥,分别用于加密和解密,如果用公有密钥对数据进行加密,只有用对应的私有密钥才能进行解密;如果用私有密钥对数据进行加密,则只有用对应的公有密钥才能解密。其中公有密钥是公开的,而私有密钥是保密的。
公开密钥加密的关键在于公有密钥和私有密钥是数学相关的,但不能从公钥推导出私钥,也不能从私钥推导出公钥。
公开密钥加密的优点是便于密钥的管理和分发,便于通信加密和数字签字。但公开密钥加密的算法相对复杂,加密数据速度较慢。
2.hash算法
hash算法又称为散列算法或报文摘要,hash算法并不是加密算法,但却能产生信息的数字“指纹”,主要用途是为了确保数据没有被篡改或发生变化,以维护数据的完整性。Hash算法有三个特点:(1)能处理任意大小的信息,并生成固定长度(160bit)的信息摘要。(2)具有不可预见性。信息摘要的大小与原信息的大小没有任何联系。原信息内容的任何一个微小变化都会对信息摘要产生很大的影响。(3)具有不可逆性。没有办法通过信息摘要直接恢复原文信息。
3.数字签名
数字签名是指使用密码算法对要传输的数据进行加密处理,生成一段信息,附着在原文上一起发送,这段信息类似现实中的签名或印章,接收方对其进行验证,判断原文真伪,其目的是提供数据的完整性保护和抗否认功能。
实现数字签名的方法很多,目前使用较多的是比较容易实现的公开密钥加密技术。其是先将要发送的信息通过hash算法形成信息摘要,然后用发送方的私钥加密,再将生成的结果附加到原信息上去,就形成了原信息的数字签名。接收方收到数字签名和原信息后,用发送方的公钥将信息摘要解密,将原信息通过hash算法生成新的信息摘要。将两个信息摘要进行对比,若相同则表明这份数字签名和文件是正确的,否则文件就是伪造的或已被篡改。 二、数字签名技术在电子商务中的应用
将数字签名技术应用于电子商务中,可以解决数据的否认、伪造、篡改及冒充等问题,其主要用途有三个方面:
1.验证数据的完整性
这个功能能保证信息自签发后到收到为止没有做任何修改。因为当两条信息摘要完全相同时,可以确信这两条信息的内容完全一样。因此,可以通过将信息发送前生成的信息摘要与接收后生成的信息摘要进行对比,来判断信息在传输过程中是否被篡改或改变。由于信息摘要在发送之前,发送方使用私钥进行加密,其他人要生成相同加密的信息摘要几乎不可能,于是,接受方收到信息后,可以使用相同的函数变换,重新生成—个新的信息摘要,将接收到的信息摘要解密,然后进行对比,从而验证信息的完整性。
2.验证签名者的身份
此功能证明信息是由签名者发送的。因为数字签名中,是使用公开密钥加密算法,信息发送方是使用自己的私钥对发送的信息进行加密的,只有持有私钥的人才能对数据进行签名,所以只要密钥没有被窃取,就可以肯定该数据是用户签发的。信息接收方可以使用发送方的公钥对接受到的信息进行解密,因而,接收方一旦解密成功,就完全可以确认信息是由发送方发送的,同时也证实了信息发送方的身份。
3.防止交易中的抵赖行为
当交易中出现抵赖行为时,信息接收方可以将加了数字签名的信息提供给认证方,由于带有数字签名的信息是由发送方的私钥加密生成的,其他任何人不可能产生这种信息,而发送方的公钥是公开的,任何人都可以获得他的公钥对信息解密.这样认证方可以使用公钥对接收方提供的信息解密,从而可以判断发送方是否出现抵赖行为。
验证电子合同的有效方法范文第4篇
关键词:电子合同、电子签名、电子认证、电子合同监管
一、电子合同
随着电子技术的发展,电子合同得以出现,其虽然也通过电子脉冲来传递信息,但是却不在以一张纸为原始的凭据,而只是一组电子信息。电子合同,又称电子商务合同,根据联合国国际贸易法委员会《电子商务示范法》以及世界各国颁布的电子交易法,同时结合我国《合同法》的有关规定,笔者认为电子合同可以界定为:电子合同是双方或多方当事人之间通过电子信息网络以电子的形式达成的设立、变更、终止财产性民事权利义务关系的协议。通过上述定义可以看出电子合同是以电子的方式订立的合同,其主要是指在网络条件下当事人为了实现一定的目的,通过数据电文、电子邮件等形式签订的明确双方权利义务关系的一种电子协议[1].电子合同的特征主要表现在以下几个方面:
1、电子合同是一种民事法律行为。电子合同这种民事法律行为是双方或者是多方民事主体的法律行为,当事人之间以电子的方式设立、变更、终止财产性民事权利义务为目的,当事人之间签订的这种合同是合同的电子化,是合同的新形式。根据《电子商务示范法》中有关规定,电子合同是以财产性为目的协议,该示范法列举了大量商业性质的关系。[2]
2、电子合同交易主体的虚拟化和广泛化。电子合同订立的整个过程所采用的是电子形式,通过电子邮件、EDI等方式进行电子合同的谈判、签订及履行等。这种合同方式大大的节约了交易成本,提高了经济效益。电子合同的交易主体可以是地球村的任何自然人和法人及其相关组织,这种交易方式当然需要提供一系列的配套措施,如建立信用制度,让交易的相对人在交易前知道对方的资信状况[3],在世界经济全球化的今天,信用权益必将成为一种无形的财产。
3、电子合同具有技术化、标准化的特点。电子合同是通过计算机网络进行的,他有别与传统的合同订立方式,电子合同的整个交易过程都需要一系列的国际国内技术标准予以规范,如:电子签名、电子认证等。这些具体的标准是电子合同存在的基础,如果没有相关的技术与标准电子合同是无法实现和存在的。
4、电子合同订立的电子化。我国《合同法》规定合同的订立需要有要约和承诺这两个过程,电子合同同样也需要具备这些要件。传统的合同的要约和承诺采用的方式不同于电子合同,电子合同中的要约和承诺均可以用电子的形式完成,它主要输入相关的信息符合预先设定的程序,计算机就可以自动做出相应的意思表示。
5、电子合同中的意思表示电子化。意思表示的电子化,是指在合同订立的过程中通过相关的电子方式表达自己的意愿的一种行为,这种行为的表现方式是通过电子化形式实现的。《电子商务示范法》中将电子化的意思表示称之为“数据电文”。
二、电子合同订立与成立
电子合同的订立,是指缔约人做出意思表示并达成合意的行为和过程。任何一个合同的签订都需要当事人双方进行一次或者是多次的协商、谈判,并最终达成一致意见,合同即可成立。电子合同的成立是指当事人之间就合同的主要条款达成一致的意见。电子合同作为合同中的一种特殊形式,其成立与传统的合同一样,同样需要具备相关的要素和条件。世界各国的合同法对合同的成立大都减少不必要的限制,这种做法是适应和鼓励交易行为,增进社会财富的需要,所以说在电子合同的成立上,只要当事人之间就合同的主要条款达成一致的意见即可成立。关于合同中的主要条款,现行的立法是很宽泛的,我国的《合同法》第12条做了列举性的规定,但是该列举性规定是指一般条款。笔者认为,就合同的主要本质而言,在合同主要条款方面如果当事人有约定,要以双方约定为主要条款,如果没有约定的可以根据合同的性质的予以确定合同主要条款。
合同的成立与合同的订立是两个不同的概念,两者既有联系又有区别。电子合同的成立需要具备相应的要件。首先,订约人的主体是双方或者是多方当事人,合同的主体是合同关系的当事人,他们实际享受合同权利并承担合同义务的人。[4]其次,订约当事人对主要条款达成合意,合同成立的根本标志在于合同当事人就合同的主要条款达成合意。最后,合同的成立应该具备要约和承诺两个阶段,《合同法》第13条规定:“当事人订立合同,采取要约、承诺方式。”
(一)要约和要约邀请
要约是指缔约一方以缔结合同为目的而向对方当事人作出的意思表示。关于要约的形式,联合国的《电子商务示范法》第11条规定:除非当事人另有协议,合同要约及承诺均可以通过电子意思表示的手段来表示,并不得仅仅以使用电子意思表示为理由否认该合同的有效性或者是可执行性。要约的形式,即可以是明示的,也可以是默示的。要约通常都具有特定的形式和内容,一项要约要发生法律效力,则必须具备特定的有效要件:1、要约是由具有订约能力的特定人做出的意思表示。2、要约必须具有订立合同的意图。3、要约必须向要约人希望与之缔结合同的受要约人发出。4、要约的内容必须明确具体和完整。5、要约必须送达受要约人。[5]
要约邀请是指希望他人向自己发出要约的意思表示。在电子商务活动中,从事电子交易的商家在互联网上广告的行为到底应该视为要约还是要约邀请?[6]在该问题上学界有不同的观点,一种观点认为是要约邀请,他们认为这些广告是针对不特定的多数人发出的。另一种观点认为是要约,因为这些广告所包含的内容是具体确定的,其包括了价格、规格、数量等完整的交易信息。笔者认为,虽然电子商务是新型的商业活动形式,但是其与传统商业活动的区别只是使用的中介媒介不同,其法律特征应当是相同的。因此,就该问体的区分仞然要回到《合同法》中去解决。根据法律的规定,判断网络广告是否属于要约邀请的标准是:1、意思表示的内容是否具体确定,2、其发出人是否有受该意思表示约束的意图。
要约一旦做出就不能随意撤销或者是撤回,否则要约人必须承担违约责任。我国《合同法》第18条规定:“要约到达受要约人时生效”。由于电子交易均采取电子方式进行,要约的内容均表现为数字信息在网络上传播,往往要约在自己的计算机上按下确认键的同时对方计算机几乎同步收到要约的内容,这种技术改变了传统交易中的时间和地点观念,为了明确电子交易中何谓要约的到达标准,《合同法》第16条第2款规定:“采用数据电文形式订立合同,收件人指定特定系统接收数据电文的,该数据电文进入该特定系统的时间,视为到达时间,未指定特定系统的,该数据电文进入收件人的任何系统的首次时间,视为到达时间。”[7]
(二)承诺
承诺,又称之为接盘或接受,是指受要约人做出的,对要约的内容表示同意并愿意与要约人缔结合同的意思表示。我国的《合同法》第21条规定:“承诺是受要约人同意要约的意思表示”。意思表示是否构成承诺需具备以下几个要件:1、承诺必须由受要约人向要约人做出。2、承诺必须是对要约明确表示同意的意思表示。3、承诺的内容不能对要约的内容做出实质性的变更。4、承诺应在要约有效期间内做出。要约没有规定承诺期限的,若要约以对话方式做出的,承诺应当即时做出,要约以非对话方式做出的,承诺应当在合理期间内承诺,双方当事人另有约定的从其约定。
承诺的撤回,是指受要约人在发出承诺通知以后,在承诺正式生效之前撤回承诺。根据《合同法》第27条的规定:“承诺可以撤回。撤回承诺的通知应当在承诺通知达到要约人之前或者是承诺通知同时达到要约人。”因此,承诺的撤回通知必须在承诺生效之前达到要约人,或者是与承诺通知同时到达要约人,撤回才能生效。如果承诺通知已经生效,合同已经成立,受要约人当然不能在撤回承诺。对承诺的撤回问题学界有不同的观点,反对者认为电子商务具有传递速度快,自动化程度高的特点,要约或者承诺生效后,可能自动引发计算机做出相关的指令,这样会导致一系列的后果。赞同承诺撤回的学者则认为不管电子传输速度有多快,总是有时间间隔的,而且也存在网络故障、信箱拥挤、计算机病毒等突发性事件的存在,似的要约、承诺不可能及时到达。笔者认为,撤回承诺同要约的撤销同样重要,这种民事权利不能剥夺,否则会破坏我国《合同法》的体系与精神。
三、电子合同成立时间与地点
电子合同成立时间,是指电子合同开始对当事人产生法律约束力的时间。在一般情况下电子合同的成立时间就是电子合同的生效时间,合同成立的时间是对双方当事人产生法律效力的时间。一般认为收件人收到数据电文的时间即为到达生效的时间。联合国《电子商务示范法》第15条和我国的《合同法》第16条的规定基本相同。[8]如收件人为接收数据电文而指定了某一信息系统,该数据系统进入该特定系统的时间,视为收到时间。如收件人没有指定某一特定信息系统的,则数据电文进入收件人的任一信息系统的时间为收到时间。对于什么是“进入”,笔者认为,一项数据电文进入某一信息系统,其时间应是在该信息系统内可投入处理的时间,而不管收件人是否检查或者是否阅读传送的信息内容。
认定发送和接收电子合同的时间对于判断交易成立和生效具有重要的意义。我国的《合同法》对此只是做了原则性的规定。根据《合同法》和民事法律关系基本原理和电子合同的实际情况,认定发送和接收电子通讯时间的默认规则为,在双方没有相反约定的情况下,某个电子信息进入某个输送人无法控制的信息系统就视为该信息已经被发送,如果信息先后进入了多个信息系统,则信息发送的时间以最先进入其网络服务提供者的服务器,在发送到接收人的计算机系统,那么该信息被发送的时间就是先进入网络服务提供者的服务器的时间。[9]在判断信息接收时间方面,如果电子信息的接收人指定了一个信息接收系统,则电子信息进入该系统的时间即为信息接收的时间。
电子合同的成立地点,是指电子合同成立的地方。确定电子合同成立的地点涉及到发生合同纠纷后由那地、那级法院管辖及其适用法律问题。我国《合同法》第34条规定,承诺生效的地点为合同成立的地点,采用电子意思表示形式订立合同的收件人的主要营业地为合同成立的地点,没有主要营业地的,其经常居住地为合同成立的地点,当事人另有约定的从其约定。我国立法对电子意思表示采取的是“到达主义”,所以规定以收到地点为合同成立的地点,其原因是考虑到当事人意思自治原则和特殊性问题。我国《合同法》第34条之所以这样规定,主要是因为电子交易中收件人接收或者检索数据电文的信息系统经常与收件人不在同一管辖区内,上述规定确保了收件人与视为收件地点的所在地有着某种合理的联系,可以说我国《合同法》这一规定充分考虑了电子商务不同于普遍交易的特殊性。
四、电子签名与电子认证
电子合同成立是双方当事人意思一致的结果,在传统的合同订立过程中,国际上通行的做法是用双方当事人的签字来确定双方的意思表示。我国的《合同法》第32条规定:“当事人采用合同形式订立合同,自双方当事人在合同书上签名或者加盖公章时合同成立。”当事人的签字或者盖章,意味着自然人或者法人在合同书上签名或者是加盖公章合同才发生法律效力。在电子商务合同中,要在这种合同书上签字或者盖章是很困难的。所以,在实践中用何种技术来解决签名和盖章问题是电子合同成立与生效的关键。
美国是世界上最先授权使用数字签名的国家,他规定了用密码组成的数字与传统的签字具有同等的效力[10].从技术的角度而言,电子签名主要是指通过一种特定的技术方案来赋予当事人一个特定的电子密码,确保该密码能够证明当事人身份的作用,而同时确保发件人发出的资料内容不被篡改的安全保障措施。电子签名的主要目的是利用技术的手段对数据电文的发件人身份做出确认及保证传送的文件内容没有被篡改,以及解决事后发件人否认已经发送或者是收到资料等问题。[11]因此,验证解密得到的结果与经过计算后的结果必然不同,从而保证了电子信息的真实性与完整性[12].
电子认证与电子签名一样都是电子商务中的安全保障机制,是由特定的机构提供的,对电子签名及其签署者的真实性进行验证的服务。电子认证,是指由特定的第三方机构通过一定的方法对签名及其所做的电子签名的真实性进行验证的一种活动。电子认证主要应用于电子交易的信用安全方面,保障开放性网络环境中交易人的真实与可靠。电子认证是确定某个人的身份信息或者是特定的信息在传输过程中未被修改或者替换。[13]电子认证即可以在当事人相互之间进行,也可以由第三方来做出鉴别。电子商务活动常常是跨国境的,各个参与方就需要有不同的国家的认证机构对各自的身份进行认证,并向电子商务活动的相对方发放认证证书,这在实践中就需各国相互承认对方国家认证机构发放的电子认证证书的效力。
在认证机构的设立上,必须强调认证机构是一个独立的法律实体,能够以自己的名义从事数字服务,并且能够以自己的财产提供担保,能在法律规定的范围内自己承担相应的民事责任。他必须是保持中立,并具有可靠性、真实性和公正性。电子认证机构一般不得直接和客户进行商业交易,也不能在当事人之间的交易活动中代表任何一方的利益,而只能通过公正的交易信息促成当事人之间的交易。它必须能被当事人接受,也就是说,它应当在社会具有相当的影响力和可信度,并足以使人们在网络交易中愿意接受其认证服务。当事人对电子认证机构的接受可能是明示的,也可能是在网络交易中默示承认或者是基于成文法律的要求。另外,电子认证机构不能以盈利为目的,认证机构应当是一种类似于承担社会服务功能的公用事业,其营业的宗旨应该是提供公正、安全的交易的环境,保护第三人的合法权益,促进电子合同交易,加快电子商务的发展。
五、电子合同生效
电子合同的成立只是意味着当事人之间已经就合同内容达成了意思表示一致,但合同能否产生法律效力,是否受法律保护还需要看他是否符合法律的要求,即合同是否符合法定的生效要件。电子合同的成立并不等于电子合同的生效,电子合同的生效,是指已经成立的合同符合法律规定的生效要件。虽然我国的《合同法》没有对合同的生效做出具体的规定,但是电子合同是一种典型的民事法律关系。我国的《民法通则》第55条规定:“民事法律行为应当具备以下几个要件:1、行为人具有相应的行为能力。2、意思表示真实。3、不违反法律或社会公共利益。”这些条件是合同生效的一般要件,有的电子合同还需具备特殊要件,如有些特殊的电子合同还需到有关部门办理批准登记手续后才能生效。电子合同的生效需具备以下几个法定要件:
(一)行为人具有相应的民事行为能力。行为人具有相应的民事行为能力的要件在学理上又被称为有行为能力原则或主体合格原则。[14]行为人必须具备正确理解自己行为性质和后果,独立地表达自己的意思的能力。
(二)电子意思表示真实。是指利用资讯处理系统或者电脑而为真实意思表示的情形。电子意思表的形式是多种多样的,包括但不限与电话、电报、电传、传真、电邮、EDI、因特网数据等,具体通过封闭型的EDI网络,局域网与因特网连接开放型的因特网或传统的电信进行电子交易信息的传输。
(三)不违反法律和社会公共利益。不违反法律和社会公共利益,是指电子合同的内容合法。合同有效不仅要符合法律的规定,而且在合同的内容上不得违公共利益。在我在我国,凡属于严重违反公共道德和善良风俗的合同,应当认定其无效。
(四)合同必须具备法律所要求的形式。我国现行的法律规定无法确认电子合同的形式属于那一种类型,尽管电子合同与传统上面合同有着许多差别,但是在形式要件方面不能阻挡新科技转化为生产力的步伐,立法已经在形式方面为合同的无纸化打开了绿灯。法律对数据电文合同应给予书面合同的地位,无论意思表示方式是采用电子的,光学的还是未来可能出现的其他新方式,一旦满足了功能上的要求,就应等同与法律上的“书面合同”文件,承认其效力。[15]
六、电子合同监管
网上广告、网上购物、网上合同、网上支付等新型网络交易活动给工商行政管理机关提出了新的要求。工商行政管理机关是国家主管市场监督管理和有关行政执法的职能部门,工商行政管理部门监管的市场是社会主义市场经济下的大市场,工商行政管理机关对电子合同进行监督管理责无旁贷,该项职能是由法律所赋予的。[16]工商部门对电子合同监管能促进网络市场交易的公平性、安全性、经济性,能有效的保护消费者和经营者的合法权益,能减少合同争议和违法合同,提高合同的履约率,维护市场交易安全,促进经济的发展。
我国现阶段的电子合同监管主要存在着以下几个方面的问题:一是电子合同的实体法和监管的程序法等立法不能适应现阶段的要求。对电子合同的监管是一个技术性很强的工作,没有相关的规章制度是无法开展的。二是相关的技术与配套工程没有确立,从而无法保证电子合同的监督与管理工作。电子合同交易的开展需要一系列的配套措施,是一个系统的工程,如市场主体制度的认证,电子合同效力、电子合同交易的安全性与真实性问题,电子证据、电子合同争议的管辖权等等。目前的立法严重滞后,严重影响电子合同的交易和监管力度。三是现有的工商登记制度无法对网络交易主体进行监管,没有统一的认证机构。四是工商行政管理机关执法人员的水平和能力有限,执法的手段单一。目前,我国基层工商机关自动化办公水平有待提高,计算机知识、网络技术有待加强。执法人员对网络交易行为不了解,不能快速的对网络市场信息进行有效的收集、分析和整理,从而影响了电子合同监管的力度。
工商行政管理机关对电子合同的监管是对电子合同交易的整个过程的监管,从电子合同要约,电子合同的订立、电子合同的交付、电子合同的签证、电子合同争议的处理等。[17]笔者认为根据等同法则电子合同具有书面合同的形式与性质,现阶段我们不能用原有的方法来对电子合同进行监管。电子合同的监管是对签约前、签约过程以及签约后电子合同的履行等监管。电子合同签约前的阶段主要是对买卖信息的检索,对整个交易行为做充分的准备工作,这就需要政府和只能部门提供一系列的配套措施。作为政府职能部门的工商行政管理机关,就应该对网络市场予以规范和管理,为电子合同的广泛使用提供良好的网络环境,保障网络交易的安全性、公正性,促进网络交易行为,提高履约率。[18]
笔者认为工商部门对电子合同的监管应注重以下几个方面:一是建立电子合同监管平台。工商行政管理机关应该按照所辖区域设立电子合同监管平台,各级工商行政管理机关应该对所辖区域的经济主体经济情况对公众公开,以备市场相对人进行查询和了解。这种信息包括对企业的信用、资金、企业产品质量,有无违规经营等一切公众资料,涉及企业商业秘密的没经权利人同意的不能公开。二、对电子合同的监管应该是对电子合同是否违反法律、法规、规章进行审查。纠正电子合同中违法行为,查处利用电子合同进行违法交易的行为,以及违约的处罚。三是完善我国物流配送体系,加强电子合同依法履行的监管工作,促进电子合同交易的成功率。四是建立电子合同签证网。电子合同签证是对合同签证的延伸,电子合同签证网的建立能有效的弥补书面签证的缺陷,减少人力、物力和才力方面的支出,提高工作效率。五是建立网上电子合同监管投诉中心,及时反映合同监管中的问题,保护消费者的合法权益。六是加强电子合同的法律法规的研究制定工作,建立有效的网络监管体制,维护市场经济的安全。七是加强执法人员的培训工作,提高执法人员的水平。电子合同监管是一项技术性很强的工作,他涉及的知识面广泛,需要不断的学习和更新知识结构。八是加强对工商部门职能的宣传工作,特别是要加强对电子合同监管的必要性和可行性的宣传力度。面对新的挑战,工商行政管理机关要认真的研习新《合同法》的基本原理和精神,熟悉电子信息技术,切实有效的对电子合同实施监管,维护市场经济秩序的健康发展。
OnTheBasicTheoryofElectronicContractTrade
Abstract:E-commerceistheinevitabledirectionofthecommercialdevelopmentinthefuture.Withitsdistinctwayofbeingmade,e-contractchallengesthetransitiononpapertermsoflaw,technology,supervisionandsoon.E-contractisthefoundationandhardcoreofe-commerce.Thelegalproblemsine-contractconstrainthedevelopmentandtheprocessofe-transition.So,itisnecessaryforourcountrytoacceleratethestepoflawmakingone-commerce,makeupthemechanisticofe-contractsupervision,andcompletethelegalsystemofe-contracttransition.Inthearticle,theauthorhasmaderesearchingandstatementonthelegalandtechnologicalproblemsofthee-contract,andalsohasmadeaproposalonthelawmakingandsupervisionofe-contract.
Keywords:electroniccontract;electronicsignature;electronicattesting;electroniccontractsupervision
注释:
1、齐爱民、万暄、张素华著:《电子合同的民法原理》,武汉大学出版社2002年版,第9页。
2、齐爱民、万暄、张素华著:《电子合同的民法原理》,武汉大学出版社2002年版,第17页。
3、吴汉东:《论信用权》,《法学》2001年第1期。
4、王利明、崔建远著:《合同法新论。总则》,中国政法大学出版社2000年版,第123页。
5、王利明、崔建远著:《合同法新论。总则》,中国政法大学出版社2000年版,第130—135页
6、张楚著:《电子商务法初论》,中国政法大学出版社2000年版,第273页。
7、蒋坡:《论我国电子商务法律体系和基本架构》,《科技与法律》2002年第2期。
8、于静:《电子合同若干法律问题初探》,《政法论坛》1999年第6期。
9、郑成思、薛虹:《我国电子商务立法的核心法律问题》,《知识产权》2000年第5期。
10、邱永红、魏丽:《国际贸易中应用EDI的法律问题新探》,《国际经济贸易研究》1998年第2期
11、蒋坡:《论我国电子商务法律体系和基本架构》,《科技与法律》2002年第2期。
12、唐春林、王颖、郭敏之著:《电子商务基础》,科学出版社2000年版,第37页。
13、刘满达:《数字签名的法律思考》,《法学》2000年第12期。
14、王利明、崔建远著:《合同法新论。总则》,中国政法大学出版社2000年版,第240页。
15、蒋坡:《论我国电子商务法律体系和基本架构》,《科技与法律》2002年第2期。
16、吴怀福、张士茂:《电子商务中电子合同监管问题初探》,《中国工商管理研究》2003年第2期。
验证电子合同的有效方法范文第5篇
[关键词] 电子商务 安全防范
一、前言
电子商务出现于20世纪90年代,发展的时间并不长,但与传统商务相比,电子商务具有惊人的发展速度。而电子商务安全问题成为电子商务发展过程中最大的障碍。因此实现电子商务的关键是要保证商务活动过程中各个环节的安全性,即应保证在基于Internet 的电子商务的交易过程与传统交易的方式一样安全可靠。电子商务的安全性并不是一个孤立的概念, 和为电子商务提供交易的虚拟环境的底层技术息息相关,是由计算机的安全性,尤其是网络通信的安全技术所决定的。
二、电子商务安全的主要要求
1.机密性。电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个开放的网络环境上的,维护商业机密是电子商务全面推广应用的重要保障。
2.完整性。电子商务简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。要预防对信息的随意生成、修改和删除,同时要防止数据传送过程中信息的丢失和重复并保证信息传送次序的统一。
3.可靠性。在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据的可靠性并预防抵赖行为的发生。这也就是人们常说的“白纸黑字”。在无纸化的电子商务方式下,通过手写签名和印章进行贸易方的鉴别已不可能,因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。
4.有效性。电子商务以电子形式取代了纸张,那么如何保证这种电子形式贸易信息的有效性则是开展电子商务的前提。
三、引起电子商务的不安全因素
商务信息的存储依靠计算机的数据库技术来实现,信息传输的主要途径是互联网。所以,电子商务的不安全因素也正是以计算机的数据库技术和网络通信技术的安全漏洞为主要目标,构成了威胁电子商务活动的主要原因,成为不法分子入侵的主要途径。
1.数据库面临的安全问题。实现电子商务的企业, 大都建立用来存储和管理各种业务数据的核心数据库。对于大多合法用户来说,这个核心数据库是存储关键信息的一种非常便捷的方式,而从攻击者的角度来看,直接破解这个数据库所带来的利益要比在网络中嗅探数据带来的利益打得多。通过破解数据库,就可以只在一个点上访问到准确的数据信息。攻击者一旦窃取到数据库的访问权,就可以通过数据库的查询命令方便的获取想要的信息,如信用卡号、客户资料、报价单、价目表等机密商业信息。电子商务在数据库中所面临的安全问题表现在非法入侵者对数据库的攻击。
2.网络通信面临的安全问题。电子商务在网络通信中所面临的安全问题主要体现在以下几个方面:交易的内容被第三方窃取;电子交易信息在网上传输过程中, 可能被他人非法修改、删除或重放。网络传输的可靠性受硬件设备或软件的缺陷的限制,使信息传输过程得不到保障;信息的存储和传输受到恶意破坏的威胁(如病毒威胁)。
四、电子商务中的安全防范技术
为了满足电子商务的安全要求,电子商务系统必须利用安全技术为电子商务活动参与者提供可靠的安全服务,具体可采用的技术如下:
1.数字签名技术。“数字签名”是通过密码技术实现电子交易安全的形象说法,是电子签名的主要实现形式。它力图解决互联网交易面临的几个根本问题:数据保密、数据不被篡改、交易方能互相验证身份、交易发起方对自己的数据不能否认。“数字签名”是目前电子商务、电子政务中应用最普遍、技术最成熟、可操作性最强的一种电子签名方法。 它采用了规范化的程序和科学化的方法,用于鉴定签名人的身份以及对一项电子数据内容的认可。它还能验证出文件的原文在传输过程中有无变动,确保传输电子文件的完整性、真实性和不可抵赖性。
2.防火墙技术。防火墙是近期发展起来的一种保护计算机网络安全的技术性措施,它是一个用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制进/出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻档外部网络的侵入。目前的防火墙主要有以下三种类型:包过滤防火墙、防火墙、双穴主机防火墙。
3.入侵检测系统。入侵检测系统能够监视和跟踪系统、事件、安全记录和系统日志,以及网络中的数据包,识别出任何不希望有的活动,在入侵者对系统发生危害前,检测到入侵攻击,并利用报警与防护系统进行报警、阻断等响应。
4.信息加密技术。信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全;端-端加密的目的是对源端用户到目的端用户的数据提供保护;节点加密的目的是对源节点到目的节点之间的传输链路提供保护。用户可根据网络情况酌情选择上述加密方式。
5.安全认证技术。安全认证的主要作用是进行信息认证,信息认证的目的就是要确认信息发送者的身份,验证信息的完整性,即确认信息在传送或存储过程中未被篡改过。
6.防病毒系统。病毒在网络中存储、传播、感染的途径多、速度快、方式各异,对网站的危害较大。因此,应利用全方位防病毒产品,实施“层层设防、集中控制、以防为主、防杀结合”的防病毒策略,构建全面的防病毒体系。
- 验证电子合同的有效方法