2、安全與法律問(wèn)題

1、1,第二章　電子商務(wù)的安全、法律與稅收問(wèn)題,2,第1節(jié)　電子商務(wù)的安全問(wèn)題,3,一、電子商務(wù)安全問(wèn)題現(xiàn)狀（一）病毒、黑客日益猖獗2012年1至6月，7.4億人次網(wǎng)民被病毒感染，平均每天411萬(wàn)人次。黑客，原指水平較高的電腦程序員，現(xiàn)專指那些利用計(jì)算機(jī)和計(jì)算機(jī)網(wǎng)絡(luò)，非法調(diào)閱、盜竊、截獲或篡改他人機(jī)密數(shù)據(jù)資料，或從事其它破壞性活動(dòng)的人。,“任何將自己的計(jì)算機(jī)系統(tǒng)聯(lián)上互聯(lián)網(wǎng)的企業(yè)，意味著將自己暴露給黑客和電子兜風(fēng)人。這些人以找樂(lè)或牟利

2、為目的，不論是白天還是夜晚，隨意破壞他人數(shù)據(jù)、偷竊密碼和偷竊他人的程序。入侵者一旦破解了你系統(tǒng)中的一部分，就能進(jìn)入剩余的大部分系統(tǒng)?！?(美)R. Resnick & D. Taylor：《互聯(lián)網(wǎng)商務(wù)》,4,1. 西方國(guó)家1988，美國(guó)康奈爾大學(xué)學(xué)生Robert Morris1994，俄羅斯黑客范德米爾·列文多次侵入美國(guó)花旗銀行 1998，美國(guó)一名黑客竊取了數(shù)萬(wàn)信用卡并出售2000，悉尼奧運(yùn)會(huì)期間，官方網(wǎng)站共

3、遭受113億次攻擊2007，一黑客組織在澳大利亞啟動(dòng)Pharming病毒攻擊全球65家金融企業(yè)和網(wǎng)上交易企業(yè)，竊取個(gè)人帳戶信息2007，一黑客組織盜用澳大利亞一雜志社的電子信箱向用戶發(fā)送假消息，以病毒感染用戶電腦并竊取其帳戶信息2007.4.27－5月中下旬，愛(ài)沙尼亞，據(jù)信為首次一個(gè)國(guó)家遭黑客有組織的攻擊美國(guó)每年因網(wǎng)絡(luò)安全問(wèn)題損失75億美元，60－70%企業(yè)曾被攻擊國(guó)防部每年遭襲2萬(wàn)多次，且仍在不斷上升，平均每次抵御攻擊耗資

4、150萬(wàn)美元。2007.9，正式組建網(wǎng)絡(luò)戰(zhàn)部隊(duì)，戲稱“140部隊(duì)”,5,網(wǎng)絡(luò)戰(zhàn)1991，海灣戰(zhàn)爭(zhēng)，CIA特工潛入伊拉克，將其防空系統(tǒng)打印機(jī)芯片更換為被病毒感染的芯片，戰(zhàn)前激活病毒，使其防空系統(tǒng)癱瘓1998，以色列青年埃胡德·特南鮑姆成功侵入美國(guó)國(guó)防部、空軍及海軍系統(tǒng)，后被以軍征召入伍，歷史上首位公開(kāi)入伍的黑客1999，科索沃戰(zhàn)爭(zhēng)，北約將大量病毒和欺騙性信息注入南聯(lián)盟防空系統(tǒng)，使其癱瘓2、我國(guó)1998，黑客闖入上海某證

5、券公司網(wǎng)站，盜買2.6億元股票1999，CIH，陳盈豪2001/2012，中美/中日黑客結(jié)盟互相攻擊2011，19歲少年造就我國(guó)最大規(guī)模入侵政府網(wǎng)站案手法：入侵政府網(wǎng)站，同時(shí)組織假證販子高價(jià)售賣假證范圍：165名犯罪分子，被黑政府網(wǎng)站涉及30個(gè)省市區(qū)，如廣東人事考試網(wǎng)、藥師網(wǎng)、河南職稱網(wǎng)、海南人力資源局等 案值：300多萬(wàn)條個(gè)人隱私信息被盜賣，涉案金額超過(guò)3億,6,資料來(lái)源：《瑞星2012年上半年中國(guó)信息安全報(bào)告》,瑞星20

6、12年上半年截獲新增病毒類型圖,7,（二）電子商務(wù)安全面臨多重威脅,8,（三）安全問(wèn)題出現(xiàn)多種新的趨勢(shì)病毒破壞行為轉(zhuǎn)變?yōu)椤暗叵虏僮鳌?，用戶傳統(tǒng)觀念中的中毒后電腦死機(jī)、無(wú)法上網(wǎng)等不再是主流病毒采用的方式 當(dāng)前最為流行的病毒均以篡改IE首頁(yè)、盜取用戶隱私信息等方式，實(shí)現(xiàn)為黑客帶來(lái)巨大經(jīng)濟(jì)利益的目的電子商務(wù)網(wǎng)站頻遭攻擊，用戶經(jīng)濟(jì)利益遭受嚴(yán)重威脅敏感信息泄露，危及大型企業(yè)商業(yè)機(jī)密以及個(gè)人隱私 手機(jī)病毒將通過(guò)利用系統(tǒng)底層技術(shù)實(shí)現(xiàn)更復(fù)雜的

7、惡意行為，無(wú)線公共網(wǎng)絡(luò)存在著巨大的隱私泄露威脅 網(wǎng)絡(luò)釣魚(yú)“方興未艾”銀行類網(wǎng)站頻遭仿冒中獎(jiǎng)信息類、彩票類、假冒購(gòu)物類釣魚(yú)網(wǎng)站大肆橫行 節(jié)假日成為釣魚(yú)高峰期,9,二、電子商務(wù)的安全隱患開(kāi)放性傳輸協(xié)議操作系統(tǒng)信息電子化管理安全漏洞人員管理口令設(shè)置網(wǎng)絡(luò)管理法律安全漏洞信息產(chǎn)品的安全隱患,10,三、電子商務(wù)安全的基本要素信息的保密性信息的完整性信息傳輸?shù)目煽啃孕畔⒌目烧J(rèn)證性信息的不可抵賴性,11,四、黑客攻

8、擊模式分析典型流程黑客侵入個(gè)人/企業(yè)電腦→竊取機(jī)密資料或帳戶信息黑客侵入大型網(wǎng)站并植入病毒或木馬→ 用戶瀏覽后中毒 → 竊取網(wǎng)銀或網(wǎng)游賬號(hào)與裝備,12,13,典型方式物理信號(hào)監(jiān)聽(tīng)口令攻擊服務(wù)攻擊IP欺騙：網(wǎng)絡(luò)釣魚(yú)利用文件系統(tǒng)攻擊Sniffer攻擊：Sniffer是利用計(jì)算機(jī)的網(wǎng)絡(luò)接口截獲目的地為其他計(jì)算機(jī)的數(shù)據(jù)報(bào)文的一種工具。 消息轟炸,14,四、電子商務(wù)安全技術(shù),(一) 加密技術(shù)所謂加密就是采用數(shù)學(xué)原理，利用

9、計(jì)算機(jī)軟件或硬件方法對(duì)原始信息（稱為“明文”）進(jìn)行重新組織，形成加密信息（稱為“密文”），再通過(guò)網(wǎng)絡(luò)把密文發(fā)送出去。合法的接收者由于掌握正確的密鑰，可以通過(guò)解密得到明文，而非法的接收者則無(wú)法輕而易舉地破譯密文。,15,1、對(duì)稱加密體制也稱為私鑰或?qū)Ｓ眉用荏w制，即對(duì)信息的加密與解密使用相同的密鑰分類。,典型代表：DES算法，密碼長(zhǎng)度56位，IBM，1972。缺陷：密鑰難于管理。,16,2、非對(duì)稱加密體制也稱為公鑰或公用加密

10、體制，即對(duì)信息的加密采用不同的密鑰，一個(gè)用于加密，一個(gè)用于解密。加密方用公共密鑰（公鑰）對(duì)數(shù)據(jù)進(jìn)行加密后，而解密方用私有密鑰（私鑰）進(jìn)行解密。,典型代表：RSA算法，1978，密碼長(zhǎng)度可不斷加長(zhǎng)。缺陷：過(guò)于復(fù)雜，加密速度慢。,17,幾種算法的性能對(duì)比,18,(二) 防火墻技術(shù)Firewall，是一種將Intranet和Internet分開(kāi)，以阻擋外部入侵的軟件和硬件設(shè)備的組合。它既可以限制外部用戶對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)，也可以限制內(nèi)

11、部用戶對(duì)一些非法或不健康網(wǎng)站的訪問(wèn)，而且可以對(duì)所有的訪問(wèn)進(jìn)行跟蹤和記錄。,19,1、防火墻設(shè)置的基本策略：凡是未被允許的就是禁止的 凡是未被禁止的就是允許的2、防火墻的類型包過(guò)濾型防火墻代理服務(wù)型防火墻 復(fù)合型防火墻3、防火墻的缺陷防火墻只能防止經(jīng)過(guò)防火墻的攻擊防火墻經(jīng)不起人為因素的攻擊 防火墻不能防止計(jì)算機(jī)病毒的攻擊,20,(三) 病毒與黑客防范技術(shù) 安裝防病毒軟件定期下載并安裝系統(tǒng)補(bǔ)丁加強(qiáng)網(wǎng)絡(luò)管理加強(qiáng)口令

12、管理加強(qiáng)網(wǎng)站管理加強(qiáng)網(wǎng)絡(luò)權(quán)限控制,21,(四) 安全管理制度1、數(shù)據(jù)安全管理制度核心級(jí)內(nèi)部級(jí)相關(guān)級(jí)普通級(jí)2、人員要求與管理具備綜合素質(zhì)雙人負(fù)責(zé)原則任期有限原則最小權(quán)限原則,22,3、跟蹤審計(jì)制度實(shí)時(shí)地跟蹤和記錄軟硬件運(yùn)行狀況建立網(wǎng)絡(luò)交易系統(tǒng)日志機(jī)制，并進(jìn)行定期審計(jì)4、系統(tǒng)硬件與軟件管理建立系統(tǒng)設(shè)備檔案網(wǎng)絡(luò)用戶安全策略網(wǎng)絡(luò)監(jiān)控軟件通信線路軟件恢復(fù)病毒防范5、應(yīng)急制度硬件恢復(fù)數(shù)據(jù)恢復(fù),23,(

13、五) 信息認(rèn)證技術(shù),1、數(shù)字簽名工作原理：發(fā)送方首先利用數(shù)字簽名算法從信息原文中生成一串0、1字符，不同信息生成的字符串是不同的，發(fā)送方用私鑰對(duì)這個(gè)字符串加密后，形成數(shù)字簽名，然后將原文和數(shù)字簽名同時(shí)發(fā)送給對(duì)方，對(duì)方再用公鑰對(duì)數(shù)字簽名進(jìn)行解密，同時(shí)用數(shù)字簽名算法對(duì)收到的原文再次生成一串字符，將解密后的字符串與重新生成的字符串進(jìn)行比較，如兩者一致則說(shuō)明傳送過(guò)程中信息沒(méi)有被破壞或修改。常用的數(shù)字簽名算法有RSA、DSS、Hash等。,

14、24,2、數(shù)字證書(shū)也稱電子簽名認(rèn)證證書(shū)，數(shù)字憑證，是用電子手段來(lái)證實(shí)用戶的身份和對(duì)網(wǎng)絡(luò)資源的訪問(wèn)權(quán)限。,(1) 數(shù)字證書(shū)的內(nèi)容　　　通常包括： ①電子認(rèn)證服務(wù)提供者名稱； ②證書(shū)持有人名稱； ③證書(shū)序列號(hào)； ④證書(shū)有效期； ⑤證書(shū)持有人的電子簽名驗(yàn)證數(shù)據(jù)； ⑥電子認(rèn)證服務(wù)提供者的電子簽名；⑦國(guó)務(wù)院信息產(chǎn)業(yè)主管部門規(guī)定的其他內(nèi)容。,(2) 數(shù)字證書(shū)的類型個(gè)人證書(shū)單位證書(shū)服務(wù)器證書(shū)軟件證書(shū),25,3、數(shù)字時(shí)間戳（Digita

15、l Time-Stamp，DTS）　　　在電子文檔上加蓋一個(gè)時(shí)間標(biāo)記，以證明某個(gè)交易或文檔在某個(gè)特定時(shí)間確實(shí)存在，并可確定多個(gè)文檔在時(shí)間上的邏輯關(guān)系。由于用戶計(jì)算機(jī)所提供的時(shí)間并不一定準(zhǔn)確，而且很容易篡改，由該時(shí)間所產(chǎn)生的時(shí)間標(biāo)記很可能不會(huì)被其它交易方接受，因此需要由一個(gè)權(quán)威的專門機(jī)構(gòu)來(lái)提供可信賴的且不可抵賴的時(shí)間戳服務(wù)，而這類機(jī)構(gòu)通常都是通過(guò)全球衛(wèi)星定位系統(tǒng)衛(wèi)星天線所接收的同步衛(wèi)星原子鐘的精確時(shí)間信號(hào)來(lái)確定時(shí)間的?！　　?shù)字時(shí)間戳

16、主要包括三個(gè)部分：一是需要加蓋時(shí)間戳的文件的摘要；二是DTS機(jī)構(gòu)收到文件的日期與時(shí)間；三是DTS機(jī)構(gòu)的數(shù)字簽名。,26,4、認(rèn)證中心Certification Authority，是提供網(wǎng)上安全電子交易認(rèn)證服務(wù)、簽發(fā)數(shù)字證書(shū)、確認(rèn)用戶身份的服務(wù)性機(jī)構(gòu)，其主要任務(wù)就是受理數(shù)字證書(shū)的申請(qǐng)、簽發(fā)及管理對(duì)CA也要層層認(rèn)證，工業(yè)和信息化部,CA中心第三方認(rèn)證機(jī)構(gòu),,電子商務(wù)網(wǎng)站,政府網(wǎng)站,新聞娛樂(lè)網(wǎng)站,網(wǎng)絡(luò)用戶,上網(wǎng)企業(yè),,,,,,,頒發(fā)

17、,,政府部門監(jiān)督指導(dǎo),出示證書(shū),檢驗(yàn)證書(shū),,,提交申請(qǐng),數(shù)字證書(shū),,基于PKI技術(shù),,27,第2節(jié)　電子商務(wù)法律問(wèn)題,聯(lián)合國(guó)國(guó)際貿(mào)易法委員會(huì)1984，《自動(dòng)數(shù)據(jù)處理的法律問(wèn)題》1996，《電子商務(wù)示范法》美國(guó)1996，《計(jì)算機(jī)反欺詐和濫用法》，防范黑客的里程碑1997，《全球電子商務(wù)框架》民間主導(dǎo)發(fā)展政府應(yīng)認(rèn)清國(guó)際互聯(lián)網(wǎng)的性質(zhì)政府對(duì)電子商務(wù)應(yīng)避免設(shè)立不成熟限制政府只在必要時(shí)介入，其目的是為貿(mào)易活動(dòng)支持和執(zhí)行一個(gè)可預(yù)言的

18、、最低限度的、一致的和簡(jiǎn)單的法律環(huán)境有關(guān)電子商務(wù)法律的制訂應(yīng)便于全球貿(mào)易活動(dòng)的開(kāi)展,28,1997，《禁止電子偷竊法》1998，《兒童在線保護(hù)法案》《國(guó)際互聯(lián)網(wǎng)免稅法案》1999，《反域名搶注法》，《電子簽名法》（規(guī)定電子簽名將與書(shū)面簽名具有同等法律效力） 2000，《統(tǒng)一電子交易法》（規(guī)定合同法中的各項(xiàng)規(guī)定將同樣適用于電子簽名） 國(guó)際組織WTO，1998，《電子商務(wù)工作方案》歐盟，1999，《電子商務(wù)統(tǒng)一法規(guī)》世界經(jīng)合

19、組織，1999，《電子商務(wù)消費(fèi)者保護(hù)準(zhǔn)則》亞太地區(qū)日本，1996，《改善電子商務(wù)環(huán)境》新加坡，1998，《電子商務(wù)政策框架》其它：韓國(guó)《電子商務(wù)基本法》(1999)、澳大利亞《電子交易法》(1999)、香港《電子交易法令》(1999)、菲律賓《電子商務(wù)法》(2000)等,29,中國(guó)1994，《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》1996，《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定 》1997，新憲法中首次加入了關(guān)于計(jì)算機(jī)犯罪的條例20

20、00，《網(wǎng)上證券委托暫行管理辦法》、《教育網(wǎng)站和網(wǎng)校暫行管理辦法》、《經(jīng)營(yíng)性網(wǎng)站備案登記管理暫行辦法》、《網(wǎng)站名稱注冊(cè)管理暫行辦法》、《電信條例（草案）》和《互聯(lián)網(wǎng)內(nèi)容服務(wù)管理辦法（草案）》2006，《互聯(lián)網(wǎng)電子郵件服務(wù)管理辦法》2005.4.1，《電子簽名法》：確立了電子簽名的法律效力，意味著網(wǎng)絡(luò)交易使用的電子簽名、電子單據(jù)、電子印章同樣具備法律效力可靠的電子簽名必須同時(shí)具備以下4個(gè)條件電子簽名制作數(shù)據(jù)用于電子簽名時(shí)，屬于電子

21、簽名人專有,30,簽署時(shí)電子簽名制作數(shù)據(jù)僅由電子簽名人控制簽署后對(duì)電子簽名的任何改動(dòng)能夠被發(fā)現(xiàn)簽署后對(duì)數(shù)據(jù)電文內(nèi)容和形式的任何改動(dòng)能夠被發(fā)現(xiàn)　　　只有這樣才能被視為可靠的電子簽名。法律還規(guī)定，當(dāng)事人也可以選擇使用符合其約定的可靠條件的電子簽名。4種不適用電子簽名的文書(shū)涉及婚姻、收養(yǎng)、繼承等人身關(guān)系涉及土地、房屋等不動(dòng)產(chǎn)權(quán)益轉(zhuǎn)讓涉及停止供水、供熱、供氣、供電等公用事業(yè)服務(wù)法律、行政法規(guī)規(guī)定的不適用電子文書(shū)的其它情形法律責(zé)

22、任偽造、冒用、盜用他人的電子簽名，構(gòu)成犯罪的，依法追究刑事責(zé)任給他人造成損失的，依法承擔(dān)民事責(zé)任,31,一、電子合同的法律效力1999.10.1，我國(guó)新《合同法》第11條規(guī)定將數(shù)據(jù)電文作為合同書(shū)面形式的一種，從而規(guī)定了電子合同與書(shū)面合同具有同等的法律效力，在法律上確認(rèn)了電子合同的合法性。,1、電子合同與傳統(tǒng)合同的區(qū)別訂立合同的當(dāng)事人大多互不見(jiàn)面合同的要約和承諾均通過(guò)Internet進(jìn)行表示合同生效的傳統(tǒng)簽字蓋章方式被數(shù)字

23、簽名所代替?zhèn)鹘y(tǒng)合同的生效地點(diǎn)一般為合同成立的地點(diǎn)，而采用數(shù)據(jù)電文形式訂立的電子合同，則以收件人的主營(yíng)業(yè)地為合同成立的地點(diǎn)，沒(méi)有主營(yíng)業(yè)地的，其經(jīng)常居住地為合同成立的地點(diǎn)　　　數(shù)據(jù)電文(Data Message)是指以電子、光學(xué)、磁或者類似手段生成、發(fā)送、接收或者儲(chǔ)存的信息。,32,2、關(guān)于電子合同的主要爭(zhēng)議要約能否撤銷？英美法系：在受要約人對(duì)要約作出承諾之前，可以 撤銷大陸法系：規(guī)定了有效期的要約在有效期內(nèi)不能撤

24、　 銷，未規(guī)定有效期的要約才可以撤銷如何確定收到或發(fā)出數(shù)據(jù)電文的時(shí)間和地點(diǎn)？英美法系：發(fā)出生效大陸法系：收到生效　　　收件人指定特定系統(tǒng)接收數(shù)據(jù)電文的，數(shù)據(jù)電文進(jìn)入該特定系統(tǒng)的時(shí)間，視為該數(shù)據(jù)電文的接收時(shí)間；未指定特定系統(tǒng)的，數(shù)據(jù)電文進(jìn)入收件人的任何系統(tǒng)的首次時(shí)間，視為該數(shù)據(jù)電文的接收時(shí)間?！　　　　　　　　。峨娮雍灻ā返?1條,33,二、電子郵件的證據(jù)效力傳統(tǒng)證據(jù)形式：書(shū)證、物證、視聽(tīng)資料、證人證言、當(dāng)事人陳

25、述、鑒定結(jié)論、勘驗(yàn)筆錄等7種。我國(guó)新《合同法》第10條：“當(dāng)事人訂立合同，有書(shū)面形式、口頭形式和其它形式”。第11條：“書(shū)面形式是指合同書(shū)、信件和數(shù)據(jù)電文（包括電報(bào)、電傳、傳真、電子數(shù)據(jù)交換和電子郵件）等可以有形地表現(xiàn)所載內(nèi)容的形式”。案例：伊朗門事件中國(guó)首例電子郵件案8848訴上海某科技公司案,34,三、知識(shí)產(chǎn)權(quán)保護(hù)知識(shí)產(chǎn)權(quán)的最大特點(diǎn)：專有性、地域性電子商務(wù)交易：開(kāi)放性、共享性、無(wú)國(guó)界性1、域名搶注(

26、Cybersquatting)與保護(hù)　　搶先原則，唯一性原則 案例：Microsoft，McDonalds，亞都，科龍2、網(wǎng)上版權(quán)保護(hù)網(wǎng)上侵權(quán)的三種表現(xiàn)形式在本機(jī)上載并傳播利用搜索引擎?zhèn)鞑ダ肞2P軟件傳播案例1：中國(guó)軟件產(chǎn)業(yè)知識(shí)產(chǎn)權(quán)的保護(hù)案例2：Ticketmaster訴Microsoft案,案例3：“百度”音樂(lè)侵權(quán)案2005年，百代、索尼、華納、環(huán)球、BMG等7大唱片巨頭在談判無(wú)果后紛紛起訴百度。9月，

27、海淀區(qū)法院一審判決百度刪除訪問(wèn)侵權(quán)歌曲的鏈接，并按每首歌2000元的標(biāo)準(zhǔn)賠償原告經(jīng)濟(jì)損失，共計(jì)6.8萬(wàn)元。爭(zhēng)執(zhí)焦點(diǎn)一：試聽(tīng)還是在線播放？百度說(shuō)法：用戶與網(wǎng)站之間的橋梁，不構(gòu)成侵權(quán)真相Google跳轉(zhuǎn)，百度分類并引導(dǎo)協(xié)助用戶下載試聽(tīng)?wèi)?yīng)是截取20－30秒，百度卻是整首歌試聽(tīng)爭(zhēng)執(zhí)焦點(diǎn)二：是否以此盈利？百度辯稱并未以此盈利。實(shí)則依靠網(wǎng)站流量盈利，如提高網(wǎng)站知名度、點(diǎn)擊率、流量等。,35,36,四、消費(fèi)者權(quán)益的保護(hù)1、個(gè)人隱私的

28、保障,2、網(wǎng)上欺詐行為的防范,37,3、消費(fèi)者維權(quán)難：取證難，索賠成本高 4、跨國(guó)消費(fèi)中的爭(zhēng)議五、虛擬財(cái)產(chǎn)的法律效力　　騰訊Q幣、新浪U幣、網(wǎng)易POPO幣、盛大元寶案例：中國(guó)“虛擬財(cái)產(chǎn)被盜第一案”――百萬(wàn)QQ號(hào)盜案,38,第3節(jié)　電子商務(wù)稅收問(wèn)題,一、常設(shè)機(jī)構(gòu)的概念受到挑戰(zhàn)“常設(shè)機(jī)構(gòu)”是指一個(gè)企業(yè)進(jìn)行全部或部分經(jīng)營(yíng)活動(dòng)的固定營(yíng)業(yè)場(chǎng)所。按傳統(tǒng)觀念,作為常設(shè)機(jī)構(gòu)至少要滿足三個(gè)基本條件：①必須有一個(gè)營(yíng)業(yè)場(chǎng)所；②