2、安全與法律問題

1、1,第二章　電子商務(wù)的安全、法律與稅收問題,2,第1節(jié)　電子商務(wù)的安全問題,3,一、電子商務(wù)安全問題現(xiàn)狀（一）病毒、黑客日益猖獗2012年1至6月，7.4億人次網(wǎng)民被病毒感染，平均每天411萬人次。黑客，原指水平較高的電腦程序員，現(xiàn)專指那些利用計算機和計算機網(wǎng)絡(luò)，非法調(diào)閱、盜竊、截獲或篡改他人機密數(shù)據(jù)資料，或從事其它破壞性活動的人。,“任何將自己的計算機系統(tǒng)聯(lián)上互聯(lián)網(wǎng)的企業(yè)，意味著將自己暴露給黑客和電子兜風(fēng)人。這些人以找樂或牟利

2、為目的，不論是白天還是夜晚，隨意破壞他人數(shù)據(jù)、偷竊密碼和偷竊他人的程序。入侵者一旦破解了你系統(tǒng)中的一部分，就能進入剩余的大部分系統(tǒng)。” (美)R. Resnick & D. Taylor：《互聯(lián)網(wǎng)商務(wù)》,4,1. 西方國家1988，美國康奈爾大學(xué)學(xué)生Robert Morris1994，俄羅斯黑客范德米爾·列文多次侵入美國花旗銀行 1998，美國一名黑客竊取了數(shù)萬信用卡并出售2000，悉尼奧運會期間，官方網(wǎng)站共

3、遭受113億次攻擊2007，一黑客組織在澳大利亞啟動Pharming病毒攻擊全球65家金融企業(yè)和網(wǎng)上交易企業(yè)，竊取個人帳戶信息2007，一黑客組織盜用澳大利亞一雜志社的電子信箱向用戶發(fā)送假消息，以病毒感染用戶電腦并竊取其帳戶信息2007.4.27－5月中下旬，愛沙尼亞，據(jù)信為首次一個國家遭黑客有組織的攻擊美國每年因網(wǎng)絡(luò)安全問題損失75億美元，60－70%企業(yè)曾被攻擊國防部每年遭襲2萬多次，且仍在不斷上升，平均每次抵御攻擊耗資

4、150萬美元。2007.9，正式組建網(wǎng)絡(luò)戰(zhàn)部隊，戲稱“140部隊”,5,網(wǎng)絡(luò)戰(zhàn)1991，海灣戰(zhàn)爭，CIA特工潛入伊拉克，將其防空系統(tǒng)打印機芯片更換為被病毒感染的芯片，戰(zhàn)前激活病毒，使其防空系統(tǒng)癱瘓1998，以色列青年埃胡德·特南鮑姆成功侵入美國國防部、空軍及海軍系統(tǒng)，后被以軍征召入伍，歷史上首位公開入伍的黑客1999，科索沃戰(zhàn)爭，北約將大量病毒和欺騙性信息注入南聯(lián)盟防空系統(tǒng)，使其癱瘓2、我國1998，黑客闖入上海某證

5、券公司網(wǎng)站，盜買2.6億元股票1999，CIH，陳盈豪2001/2012，中美/中日黑客結(jié)盟互相攻擊2011，19歲少年造就我國最大規(guī)模入侵政府網(wǎng)站案手法：入侵政府網(wǎng)站，同時組織假證販子高價售賣假證范圍：165名犯罪分子，被黑政府網(wǎng)站涉及30個省市區(qū)，如廣東人事考試網(wǎng)、藥師網(wǎng)、河南職稱網(wǎng)、海南人力資源局等 案值：300多萬條個人隱私信息被盜賣，涉案金額超過3億,6,資料來源：《瑞星2012年上半年中國信息安全報告》,瑞星20

6、12年上半年截獲新增病毒類型圖,7,（二）電子商務(wù)安全面臨多重威脅,8,（三）安全問題出現(xiàn)多種新的趨勢病毒破壞行為轉(zhuǎn)變?yōu)椤暗叵虏僮鳌?，用戶傳統(tǒng)觀念中的中毒后電腦死機、無法上網(wǎng)等不再是主流病毒采用的方式 當前最為流行的病毒均以篡改IE首頁、盜取用戶隱私信息等方式，實現(xiàn)為黑客帶來巨大經(jīng)濟利益的目的電子商務(wù)網(wǎng)站頻遭攻擊，用戶經(jīng)濟利益遭受嚴重威脅敏感信息泄露，危及大型企業(yè)商業(yè)機密以及個人隱私 手機病毒將通過利用系統(tǒng)底層技術(shù)實現(xiàn)更復(fù)雜的

7、惡意行為，無線公共網(wǎng)絡(luò)存在著巨大的隱私泄露威脅 網(wǎng)絡(luò)釣魚“方興未艾”銀行類網(wǎng)站頻遭仿冒中獎信息類、彩票類、假冒購物類釣魚網(wǎng)站大肆橫行 節(jié)假日成為釣魚高峰期,9,二、電子商務(wù)的安全隱患開放性傳輸協(xié)議操作系統(tǒng)信息電子化管理安全漏洞人員管理口令設(shè)置網(wǎng)絡(luò)管理法律安全漏洞信息產(chǎn)品的安全隱患,10,三、電子商務(wù)安全的基本要素信息的保密性信息的完整性信息傳輸?shù)目煽啃孕畔⒌目烧J證性信息的不可抵賴性,11,四、黑客攻

8、擊模式分析典型流程黑客侵入個人/企業(yè)電腦→竊取機密資料或帳戶信息黑客侵入大型網(wǎng)站并植入病毒或木馬→ 用戶瀏覽后中毒 → 竊取網(wǎng)銀或網(wǎng)游賬號與裝備,12,13,典型方式物理信號監(jiān)聽口令攻擊服務(wù)攻擊IP欺騙：網(wǎng)絡(luò)釣魚利用文件系統(tǒng)攻擊Sniffer攻擊：Sniffer是利用計算機的網(wǎng)絡(luò)接口截獲目的地為其他計算機的數(shù)據(jù)報文的一種工具。 消息轟炸,14,四、電子商務(wù)安全技術(shù),(一) 加密技術(shù)所謂加密就是采用數(shù)學(xué)原理，利用

9、計算機軟件或硬件方法對原始信息（稱為“明文”）進行重新組織，形成加密信息（稱為“密文”），再通過網(wǎng)絡(luò)把密文發(fā)送出去。合法的接收者由于掌握正確的密鑰，可以通過解密得到明文，而非法的接收者則無法輕而易舉地破譯密文。,15,1、對稱加密體制也稱為私鑰或?qū)Ｓ眉用荏w制，即對信息的加密與解密使用相同的密鑰分類。,典型代表：DES算法，密碼長度56位，IBM，1972。缺陷：密鑰難于管理。,16,2、非對稱加密體制也稱為公鑰或公用加密

10、體制，即對信息的加密采用不同的密鑰，一個用于加密，一個用于解密。加密方用公共密鑰（公鑰）對數(shù)據(jù)進行加密后，而解密方用私有密鑰（私鑰）進行解密。,典型代表：RSA算法，1978，密碼長度可不斷加長。缺陷：過于復(fù)雜，加密速度慢。,17,幾種算法的性能對比,18,(二) 防火墻技術(shù)Firewall，是一種將Intranet和Internet分開，以阻擋外部入侵的軟件和硬件設(shè)備的組合。它既可以限制外部用戶對內(nèi)部網(wǎng)絡(luò)的訪問，也可以限制內(nèi)

11、部用戶對一些非法或不健康網(wǎng)站的訪問，而且可以對所有的訪問進行跟蹤和記錄。,19,1、防火墻設(shè)置的基本策略：凡是未被允許的就是禁止的 凡是未被禁止的就是允許的2、防火墻的類型包過濾型防火墻代理服務(wù)型防火墻 復(fù)合型防火墻3、防火墻的缺陷防火墻只能防止經(jīng)過防火墻的攻擊防火墻經(jīng)不起人為因素的攻擊 防火墻不能防止計算機病毒的攻擊,20,(三) 病毒與黑客防范技術(shù) 安裝防病毒軟件定期下載并安裝系統(tǒng)補丁加強網(wǎng)絡(luò)管理加強口令

12、管理加強網(wǎng)站管理加強網(wǎng)絡(luò)權(quán)限控制,21,(四) 安全管理制度1、數(shù)據(jù)安全管理制度核心級內(nèi)部級相關(guān)級普通級2、人員要求與管理具備綜合素質(zhì)雙人負責原則任期有限原則最小權(quán)限原則,22,3、跟蹤審計制度實時地跟蹤和記錄軟硬件運行狀況建立網(wǎng)絡(luò)交易系統(tǒng)日志機制，并進行定期審計4、系統(tǒng)硬件與軟件管理建立系統(tǒng)設(shè)備檔案網(wǎng)絡(luò)用戶安全策略網(wǎng)絡(luò)監(jiān)控軟件通信線路軟件恢復(fù)病毒防范5、應(yīng)急制度硬件恢復(fù)數(shù)據(jù)恢復(fù),23,(

13、五) 信息認證技術(shù),1、數(shù)字簽名工作原理：發(fā)送方首先利用數(shù)字簽名算法從信息原文中生成一串0、1字符，不同信息生成的字符串是不同的，發(fā)送方用私鑰對這個字符串加密后，形成數(shù)字簽名，然后將原文和數(shù)字簽名同時發(fā)送給對方，對方再用公鑰對數(shù)字簽名進行解密，同時用數(shù)字簽名算法對收到的原文再次生成一串字符，將解密后的字符串與重新生成的字符串進行比較，如兩者一致則說明傳送過程中信息沒有被破壞或修改。常用的數(shù)字簽名算法有RSA、DSS、Hash等。,

14、24,2、數(shù)字證書也稱電子簽名認證證書，數(shù)字憑證，是用電子手段來證實用戶的身份和對網(wǎng)絡(luò)資源的訪問權(quán)限。,(1) 數(shù)字證書的內(nèi)容　　　通常包括： ①電子認證服務(wù)提供者名稱； ②證書持有人名稱； ③證書序列號； ④證書有效期； ⑤證書持有人的電子簽名驗證數(shù)據(jù)； ⑥電子認證服務(wù)提供者的電子簽名；⑦國務(wù)院信息產(chǎn)業(yè)主管部門規(guī)定的其他內(nèi)容。,(2) 數(shù)字證書的類型個人證書單位證書服務(wù)器證書軟件證書,25,3、數(shù)字時間戳（Digita

15、l Time-Stamp，DTS）　　　在電子文檔上加蓋一個時間標記，以證明某個交易或文檔在某個特定時間確實存在，并可確定多個文檔在時間上的邏輯關(guān)系。由于用戶計算機所提供的時間并不一定準確，而且很容易篡改，由該時間所產(chǎn)生的時間標記很可能不會被其它交易方接受，因此需要由一個權(quán)威的專門機構(gòu)來提供可信賴的且不可抵賴的時間戳服務(wù)，而這類機構(gòu)通常都是通過全球衛(wèi)星定位系統(tǒng)衛(wèi)星天線所接收的同步衛(wèi)星原子鐘的精確時間信號來確定時間的?！　　?shù)字時間戳

16、主要包括三個部分：一是需要加蓋時間戳的文件的摘要；二是DTS機構(gòu)收到文件的日期與時間；三是DTS機構(gòu)的數(shù)字簽名。,26,4、認證中心Certification Authority，是提供網(wǎng)上安全電子交易認證服務(wù)、簽發(fā)數(shù)字證書、確認用戶身份的服務(wù)性機構(gòu)，其主要任務(wù)就是受理數(shù)字證書的申請、簽發(fā)及管理對CA也要層層認證，工業(yè)和信息化部,CA中心第三方認證機構(gòu),,電子商務(wù)網(wǎng)站,政府網(wǎng)站,新聞娛樂網(wǎng)站,網(wǎng)絡(luò)用戶,上網(wǎng)企業(yè),,,,,,,頒發(fā)

17、,,政府部門監(jiān)督指導(dǎo),出示證書,檢驗證書,,,提交申請,數(shù)字證書,,基于PKI技術(shù),,27,第2節(jié)　電子商務(wù)法律問題,聯(lián)合國國際貿(mào)易法委員會1984，《自動數(shù)據(jù)處理的法律問題》1996，《電子商務(wù)示范法》美國1996，《計算機反欺詐和濫用法》，防范黑客的里程碑1997，《全球電子商務(wù)框架》民間主導(dǎo)發(fā)展政府應(yīng)認清國際互聯(lián)網(wǎng)的性質(zhì)政府對電子商務(wù)應(yīng)避免設(shè)立不成熟限制政府只在必要時介入，其目的是為貿(mào)易活動支持和執(zhí)行一個可預(yù)言的

18、、最低限度的、一致的和簡單的法律環(huán)境有關(guān)電子商務(wù)法律的制訂應(yīng)便于全球貿(mào)易活動的開展,28,1997，《禁止電子偷竊法》1998，《兒童在線保護法案》《國際互聯(lián)網(wǎng)免稅法案》1999，《反域名搶注法》，《電子簽名法》（規(guī)定電子簽名將與書面簽名具有同等法律效力） 2000，《統(tǒng)一電子交易法》（規(guī)定合同法中的各項規(guī)定將同樣適用于電子簽名） 國際組織WTO，1998，《電子商務(wù)工作方案》歐盟，1999，《電子商務(wù)統(tǒng)一法規(guī)》世界經(jīng)合

19、組織，1999，《電子商務(wù)消費者保護準則》亞太地區(qū)日本，1996，《改善電子商務(wù)環(huán)境》新加坡，1998，《電子商務(wù)政策框架》其它：韓國《電子商務(wù)基本法》(1999)、澳大利亞《電子交易法》(1999)、香港《電子交易法令》(1999)、菲律賓《電子商務(wù)法》(2000)等,29,中國1994，《計算機信息系統(tǒng)安全保護條例》1996，《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定 》1997，新憲法中首次加入了關(guān)于計算機犯罪的條例20

20、00，《網(wǎng)上證券委托暫行管理辦法》、《教育網(wǎng)站和網(wǎng)校暫行管理辦法》、《經(jīng)營性網(wǎng)站備案登記管理暫行辦法》、《網(wǎng)站名稱注冊管理暫行辦法》、《電信條例（草案）》和《互聯(lián)網(wǎng)內(nèi)容服務(wù)管理辦法（草案）》2006，《互聯(lián)網(wǎng)電子郵件服務(wù)管理辦法》2005.4.1，《電子簽名法》：確立了電子簽名的法律效力，意味著網(wǎng)絡(luò)交易使用的電子簽名、電子單據(jù)、電子印章同樣具備法律效力可靠的電子簽名必須同時具備以下4個條件電子簽名制作數(shù)據(jù)用于電子簽名時，屬于電子

21、簽名人專有,30,簽署時電子簽名制作數(shù)據(jù)僅由電子簽名人控制簽署后對電子簽名的任何改動能夠被發(fā)現(xiàn)簽署后對數(shù)據(jù)電文內(nèi)容和形式的任何改動能夠被發(fā)現(xiàn)　　　只有這樣才能被視為可靠的電子簽名。法律還規(guī)定，當事人也可以選擇使用符合其約定的可靠條件的電子簽名。4種不適用電子簽名的文書涉及婚姻、收養(yǎng)、繼承等人身關(guān)系涉及土地、房屋等不動產(chǎn)權(quán)益轉(zhuǎn)讓涉及停止供水、供熱、供氣、供電等公用事業(yè)服務(wù)法律、行政法規(guī)規(guī)定的不適用電子文書的其它情形法律責

22、任偽造、冒用、盜用他人的電子簽名，構(gòu)成犯罪的，依法追究刑事責任給他人造成損失的，依法承擔民事責任,31,一、電子合同的法律效力1999.10.1，我國新《合同法》第11條規(guī)定將數(shù)據(jù)電文作為合同書面形式的一種，從而規(guī)定了電子合同與書面合同具有同等的法律效力，在法律上確認了電子合同的合法性。,1、電子合同與傳統(tǒng)合同的區(qū)別訂立合同的當事人大多互不見面合同的要約和承諾均通過Internet進行表示合同生效的傳統(tǒng)簽字蓋章方式被數(shù)字

23、簽名所代替?zhèn)鹘y(tǒng)合同的生效地點一般為合同成立的地點，而采用數(shù)據(jù)電文形式訂立的電子合同，則以收件人的主營業(yè)地為合同成立的地點，沒有主營業(yè)地的，其經(jīng)常居住地為合同成立的地點　　　數(shù)據(jù)電文(Data Message)是指以電子、光學(xué)、磁或者類似手段生成、發(fā)送、接收或者儲存的信息。,32,2、關(guān)于電子合同的主要爭議要約能否撤銷？英美法系：在受要約人對要約作出承諾之前，可以 撤銷大陸法系：規(guī)定了有效期的要約在有效期內(nèi)不能撤

24、　 銷，未規(guī)定有效期的要約才可以撤銷如何確定收到或發(fā)出數(shù)據(jù)電文的時間和地點？英美法系：發(fā)出生效大陸法系：收到生效　　　收件人指定特定系統(tǒng)接收數(shù)據(jù)電文的，數(shù)據(jù)電文進入該特定系統(tǒng)的時間，視為該數(shù)據(jù)電文的接收時間；未指定特定系統(tǒng)的，數(shù)據(jù)電文進入收件人的任何系統(tǒng)的首次時間，視為該數(shù)據(jù)電文的接收時間。　　　　　　　　?。峨娮雍灻ā返?1條,33,二、電子郵件的證據(jù)效力傳統(tǒng)證據(jù)形式：書證、物證、視聽資料、證人證言、當事人陳

25、述、鑒定結(jié)論、勘驗筆錄等7種。我國新《合同法》第10條：“當事人訂立合同，有書面形式、口頭形式和其它形式”。第11條：“書面形式是指合同書、信件和數(shù)據(jù)電文（包括電報、電傳、傳真、電子數(shù)據(jù)交換和電子郵件）等可以有形地表現(xiàn)所載內(nèi)容的形式”。案例：伊朗門事件中國首例電子郵件案8848訴上海某科技公司案,34,三、知識產(chǎn)權(quán)保護知識產(chǎn)權(quán)的最大特點：專有性、地域性電子商務(wù)交易：開放性、共享性、無國界性1、域名搶注(

26、Cybersquatting)與保護　　搶先原則，唯一性原則 案例：Microsoft，McDonalds，亞都，科龍2、網(wǎng)上版權(quán)保護網(wǎng)上侵權(quán)的三種表現(xiàn)形式在本機上載并傳播利用搜索引擎?zhèn)鞑ダ肞2P軟件傳播案例1：中國軟件產(chǎn)業(yè)知識產(chǎn)權(quán)的保護案例2：Ticketmaster訴Microsoft案,案例3：“百度”音樂侵權(quán)案2005年，百代、索尼、華納、環(huán)球、BMG等7大唱片巨頭在談判無果后紛紛起訴百度。9月，

27、海淀區(qū)法院一審判決百度刪除訪問侵權(quán)歌曲的鏈接，并按每首歌2000元的標準賠償原告經(jīng)濟損失，共計6.8萬元。爭執(zhí)焦點一：試聽還是在線播放？百度說法：用戶與網(wǎng)站之間的橋梁，不構(gòu)成侵權(quán)真相Google跳轉(zhuǎn)，百度分類并引導(dǎo)協(xié)助用戶下載試聽應(yīng)是截取20－30秒，百度卻是整首歌試聽爭執(zhí)焦點二：是否以此盈利？百度辯稱并未以此盈利。實則依靠網(wǎng)站流量盈利，如提高網(wǎng)站知名度、點擊率、流量等。,35,36,四、消費者權(quán)益的保護1、個人隱私的

28、保障,2、網(wǎng)上欺詐行為的防范,37,3、消費者維權(quán)難：取證難，索賠成本高 4、跨國消費中的爭議五、虛擬財產(chǎn)的法律效力　　騰訊Q幣、新浪U幣、網(wǎng)易POPO幣、盛大元寶案例：中國“虛擬財產(chǎn)被盜第一案”――百萬QQ號盜案,38,第3節(jié)　電子商務(wù)稅收問題,一、常設(shè)機構(gòu)的概念受到挑戰(zhàn)“常設(shè)機構(gòu)”是指一個企業(yè)進行全部或部分經(jīng)營活動的固定營業(yè)場所。按傳統(tǒng)觀念,作為常設(shè)機構(gòu)至少要滿足三個基本條件：①必須有一個營業(yè)場所；②