㈠ 4电子商务人员管理制度的基本原则包括哪些
电子商务人员管理制度的基本原则包括以下几个方面:
一,遵守国家法律法规及相关部门规章
必须遵守《中华人民共和国民法通则》、《中华人民共和国公司法》、《中华人民共和国合同法》、《中华人民共和国电子签名法》、《电子银行业务管理办法》、《税收征管法》及《实施细则》、《反不正当竞争法》、《反垄断法》、《中华人民共和国邮政法》、《互联网安全保护技术措施规定》、《互联网信息服务管理办法》、《消费者权益保护法》及《中华人民共和国广告法》等相关法律法规及相关部门规章。
二,遵守互联网技术规范和安全规范
必须遵守国家制定的互联网技术规范和安全规范。
三,严格禁止法律法规和政策条例规定禁止的销售形式
严格禁止法律法规和政策条例规定禁止的销售形式。
四,电子商务平台经营者不得为非法经营者和非法交易提供服务
电子商务平台经营者不得为非法经营者和非法交易提供服务。电子商务平台不得为无资质的商户开展有害有毒物品、药品、危险化学品等特殊商品的销售提供服务,未经审批不得经营药品、医疗器械等特殊商品。电子商务经营者应建立可疑商品销售监控机制。成立专门监控力量开展商品销售信息监控工作,重点监控销售违禁品、超低价商品等内容。发现可疑情况,及时通报公安机关调查处理。
五,电子商务经营者必须对所有的交易建立记录和储存系统
电子商务经营者必须保留用户注册信息,必须对所有的交易建立记录和储存系统,登录和交易日志等交易数据记录至少保存十年,并保护交易双方的隐私权,必须建立安全制度,采取安全防范措施。
六,知识产权保护
电子商务经营者必须遵循知识产权保护的有关法律法规和政策。
七,真实交易
交易完成后必须发生货物所有权和全额货款的转移,在此之前不得将货物所有权作为买卖标的合约再次转让。
八,电子商务经营者必须建立网络欺诈举报机制
电子商务经营者必须建立网络欺诈举报机制。建立网络欺诈举报平台,收集网民对电子商务违法犯罪的举报线索,及时向有关部门反映情况。
㈡ 电子商务安全的管理方法有哪些
电子商务是利用各种电子化手段进行的商务活动,其价值的实现主要依托于网络,尤其是互联网,它已经成为互联网应用的一个必然趋势和金融商贸的主要模式之一.如何建立一个安全的电子商务应用环境,对信息提供足够的保护,已经成为电子商务必须直面的一个问题.
由于电子商务的重要技术特征是利用网络来传输和处理商业信息,因此,电子商务安全主要包括两个方面:网络安全和商务安全.而这些安全的实现又依托于一些具体的安全技术,遵循相关安全协议.
1 网络安全问题
网络安全主要是指计算机和网络本身可能存在的安全问题,也就是要保障电子商务平台的可用性和安全性.网络安全是电子商务的基础,其问题一般表现为:
1.1 计算机本身潜在的安全隐患带来的网络安全问题
计算机使用的是未经过相关的网络安全配置的操作系统,不论是什么操作系统,在缺省安装的条件下都会存在一些安全问题,而仅仅将操作系统按缺省安装后,再配上很长的密码就认为安全的想法是不可靠的.因为计算机本身存在的软件漏洞和"后门"往往是网络攻击的首选目标.
1.2 入侵者风险降低获利升高带来的刺激引发的网络安全问题
由于网络的全球性,开放性,共享性的发展,使得任何人都可以自由地接入互联网,而这其中也包括了黑客,入侵者和病毒制造者.他们采用的攻击方法越来越多,对电子商务的威胁也显得越来越明显.相对而言,袭击者本身的风险却非常小,甚至可以在袭击后很快就消失得无影无踪,使对方几乎没有实行报复打击的可能,这使他们的活动更加猖獗.美国的"雅虎"和"亚马逊"曾受到攻击的事件就说明了这一点.
1.3 安全设备使用不当带来的网络安全问题
虽然绝大多数网站采用了网络安全设备,有的甚至还耗费巨资,但由于安全设备本身因素或使用问题,这些设备并没有起到应有的或期望的作用.很多安全厂商的产品对配置人员的技术背景要求很高,往往超出对普通网管人员的技术要求,就算是厂家在最初给用户做了正确地安装,配置,一旦系统改动,需要改动相关安全设备的设置时,很容易产生许多安全问题.而通常意义上的网络管理者往往无法胜任这样的工作.
因此在实施网络安全防范措施时应做到:首先要加强主机本身的安全,做好安全配置;及时安装安全补丁程序,减少漏洞;安装防病毒软件和软件防火墙,加强内部网的整体防病毒措施;使用各种系统漏洞检测软件定期对网络系统进行扫描分析,找出可能存在的安全隐患,并及时加以修补;从路由器到用户各级建立完善的访问控制措施,安装防火墙,加强授权管理和认证;利用相应的数据存储技术加强数据备份和恢复措施;对敏感的设备和数据要建立必要的物理或逻辑隔离措施;对在公共网络上传输的敏感信息要进行一定强度的数据加密;建立详细的安全审计日志,以便检测并跟踪入侵攻击.同时充分利用已经公布的有关交易安全和计算机安全的法律法规为电子商务交易护航.再者,面对普通网络管理员的技术水平,在网络的建设和维护中可采用联合开发维护的方式,通过前期的建设和维护不断提高和完善自身团队的技术水平,使其在成长中逐步胜任企业对网络安全的要求.
网络管理者在思想上高度重视安全问题也是相当有必要的.技术的产生一般相对于人们的需求有一定的滞后性,而建立和实施严密完善的网络安全制度和策略往往可以代替暂时无法实现的技术,毕竟这才是真正实现网络安全的基础.
一个全方位的计算机网络安全体系结构通常包含网络的物理安全,访问控制安全,系统安全,用户安全,信息加密,安全传输和管理安全.这一切的实现依赖于各种先进的主机安全技术,身份认证技术,访问控制技术,密码技术,防火墙技术,安全审计技术,安全管理技术,系统漏洞检测技术,黑客跟踪技术.随着安全核心系统,VPN安全隧道,身份认证,网络底层数据加密和网络入侵主动监测等越来越高深复杂的安全技术的应用,从不同层面加强了计算机网络的整体安全性,渐渐在攻击者和受保护的资源间建立了多道严密的安全防线,增加了恶意入侵的难度.
为了保证电子商务活动的顺利进行,必须有安全完善的网络体系为其提供稳定可靠,强有力的支撑.
2 商务安全问题
商务安全指商务交易在网络媒介中体现出来的安全问题,也就是要实现电子商务信息的保密性,完整性,真实性和不可抵赖性.
在早期的电子交易中,曾采用过一些简单的安全措施.例如将网上交易中最关键的数据如信用卡号码及成交数额等用电话告知,以防泄密,网上交易后再用其他方式对交易做确认,以保证其真实性和不可抵赖性.这些方法不仅操作不便,而且有一定的局限性,也不能实现其真正的安全性.
2.1 商务安全中普遍存在的几种安全隐患
2.1.1 窃取信息
信息在传输过程中未采用相应的加密措施或加密强度不够,导致数据信息在网络上以明文或近乎明文的形式传送.入侵者在数据包经过的设备或线路上采用截获方法截获正在传送的信息,通过对窃取数据参数的分析比对,找到信息的格式和规律,进而得到传输信息的内容,导致消费者消费信息,账号密码和企业商业机密等信息的外泄.
2.1.2 篡改信息
当入侵者掌握了信息的格式和规律后,通过各种技术方法和手段对网络传输中的信息进行截获修改再发至原先指定目的地,从而破坏信息的真实性.入侵者通过改变信息流的次序,更改信息的内容,删除信息的某些部分,甚至在信息中插入一些附加内容,使接收方做出错误的判断与决策.
2.1.3 信息假冒
由于掌握了数据的格式,并可以篡改通过的信息,攻击者可以进一步冒充合法用户获取和发送信息,而远端接受方或发送方通常不易分辨.常见的方式有伪造用户和商户的收定货单据,套取或修改相关程序的使用权限等.
2.1.4 信息破坏
由于攻击者已侵入网络,已获得对网络中信息的修改权限,如其对网络中现有机要信息进行修改乃至于删除,其后果是非常严重的.
2.2 商务安全的要求
2.2.1 信息的保密性
交易中的商务信息都需要遵循一定的保密规则.因为其信息往往代表着国家,企业和个人的商业机密.在以往传统的纸面贸易中采用邮寄封装或通过可靠的通信渠道传送商业信息来达到保密的目的和要求.而电子商务是建立在一个较为开放的互联网络环境上的,它所依托的网络本身也就是由于开放式互联形成的市场,才赢得了电子商务,因此在这一新的支撑环境下,势必要用相应的技术和手段来延续和改进信息的保密性.一般用密码技术来实现.
2.2.2 信息的完整性
不可否认电子商务的出现以计算机代替了人们大多数复杂的劳动,也以信息系统的形式整合化简了企业贸易中的各个环节,但网络的开放和信息的处理自动化也使如何维护贸易各方商业信息的完整,统一出现了问题.由于数据输入时的意外差错(如计算机自动处理过程中死机,停电等),可能导致贸易各方信息的不一致.此外,数据传输过程中人为的或自然的信息丢失(如数据包丢失),信息重复或信息传送的次序差异(如网络堵塞重发)也会导致贸易各方信息的不同.而贸易各方各类信息的完整性势必影响到贸易过程中交易和经营策略.因此保持贸易各方信息的完整性是电子商务应用必备的基础.完整性一般可通过提取信息消息摘要的方式来获得.
2.2.3 信息的不可抵赖性
在交易中会出现交易抵赖的现象,如信息发送方在发送操作完成后否认曾经发送过该信息,或与之相反,接受方收到信息后并不承认曾经收到过该条消息.因此如何确定交易中的任何一方在交易过程中所收到的交易信息正是自己的合作对象发出的,而对方本身也没有被假冒,是电子商务活动和谐顺利进行的保证.信息的保证可以通过对发送的消息进行数字签名来获取.身份的确定一般都采用证书机构CA和证书的方法来实现.让素昧平生,相隔千里的双方成为合作伙伴毕竟不是一件容易的事情.
当然,在电子商务活动中还有许多要求,比如交易信息的时效界定问题,交易一旦达成后有无撤消和修改的可能等.相信在电子商务的发展中必将涌现各种技术和各项法律法规,规范人们的需求并帮助其实现,以保证电子商务交易的严肃性和公正性.
3 电子商务的安全技术
3.1 加密技术
加密技术是保证电子商务安全的重要手段,为保证电子商务安全使用加密技术对敏感的信息进行加密,保证电子商务的保密性,完整性,真实性和非否认服务.
3.1.1 加密技术的现状
如同许多IT技术一样,加密技术层出不穷,为人们提供了很多的选择余地,但与此同时也带来了一个问题——兼容性,不同的企业可能会采用各自不同的标准.
另外,加密技术向来是由国家控制的,例如SSL的出口受到美国国家安全局(NSA)的限制.目前,美国的企业一般都可以使用128位的SSL,但美国只允许加密密钥为40位以下的算法出口.虽然40位的SSL也具有一定的加密强度,但它的安全系数显然比128位的SSL要低得多.美国以外的国家很难真正在电子商务中充分利用SSL,这不能不说是一种遗憾.目前,我国由上海市电子商务安全证书管理中心推出的128位SSL算法,弥补了国内的这一空缺,也为我国电子商务安全带来了广阔的前景.
3.1.2 常用的加密技术
对称密钥密码算法:对称密码体制由传统简单换位代替密码发展而成,加密模式上可分为序列密码和分组密码两类.
不对称型加密算法:也称公用密钥算法,其特点是有二个密钥即公用密钥和私有密钥,两者必须成对使用才能完成加密和解密的全过程.本技术特别适用于分布式系统中的数据加密,在网络中被广泛应用.其中公用密钥公开,为数据源对数据加密使用,而用于解密的相应私有密钥则由数据的接受方保管.
不可逆加密算法:其特征是加密过程不需要密钥,并且经过加密的数据无法被解密,只有输入同样的数据经过同一不可逆加密算法的比对才能得到相同的加密数据.因为其没有密钥所以不存在密钥保管和分发问题,但由于它的加密计算工作量较大,所以通常只在数据量有限的情况下,例如计算机系统中的口令信息的加密.
3.1.3 电子商务领域常用的加密技术
数字摘要:又称安全Hash编码法.该编码法采用单向Hash 函数将需加密的明文"摘要"成一串128bit的密文,这一串密文亦称为数字指纹,具有固定的长度,并且不同的明文摘要其密文结果是不一样的,而同样的明文其摘要保持一致.
数字签名:数字签名是将数字摘要,公用密钥算法两种加密方法结合使用.它的主要方式是报文的发送方从报文文本中生成一个128位的散列值(或报文摘要).发送方用自己的专用密钥对这个散列值进行加密来形成发送方的数字签名,然后这个数字签名将作为报文的附件和报文一起发送给报文的接收方.报文的接收方首先从接收到的原始报文中计算出128位的散列值(或报文摘要),接着再用发送方的公开密钥来对报文附加的数字签名进行解密.如果两个散列值相同,那么接收方就能确认该数字签名是发送方的.通过数字签名能够实现对原始报文的鉴别和不可抵赖性,有效地防止了签名的否认和非正当签名者的假冒.
数字时间戳:是对交易文件的时间信息所采取的安全措施.该网上安全服务项目,由专门的机构提供.时间戳是一个经加密后形成的凭证文档,它包括:需加时间戳的文件的摘要,数字时间戳服务收到文件的日期和时间,数字时间戳服务的数字签名.
数字证书:数字证书又称为数字凭证,是用电子手段来证实一个用户的身份和对网络资源的访问权限,主要有个人凭证,企业(服务器)凭证,软件(开发者)凭证三种.
3.2 身份认证技术
在网络上通过一个具有权威性和公正性的第三方机构——认证中心,将申请用户的标识信息(如姓名,身份证号等)与他的公钥捆绑在一起,用于在网络上验证确定其用户身份.前面所提到的数字时间戳服务和数字证书的发放,也都是由这个认证中心来完成的.
3.3 支付网关技术
支付网关,通常位于公网和传统的银行网络之间(或者终端和收费系统之间),其主要功能为:将公网传来的数据包解密,并按照银行系统内部的通信协议将数据重新打包;接收银行系统内部传回来的响应消息,将数据转换为公网传送的数据格式,并对其进行加密.支付网关技术主要完成通信,协议转换和数据加解密功能,并且可以保护银行内部网络.此外,支付网关还具有密钥保护和证书管理等其它功能(有些内部使用网关还支持存储和打印数据等扩展功能).
4 与电子商务安全有关的协议技术
4.1 SSL协议(Secure Sockets Layer)
SSL协议也叫安全套接层协议,面向连接的协议,是现在使用的主要协议之一,但当初并非为电子商务而设计.该协议使用公开密钥体制和X.509数字证书技术来保护信息传输的机密性和完整性.SSL协议在应用层收发数据前,协商加密算法,连接密钥并认证通信双方,从而为应用层提供了安全的传输通道,在该通道上可透明加载任何高层应用协议(如HTTP,FTP,TELNET等)以保证应用层数据传输的安全性.由于其独立于应用层协议,在电子交易中常被用来安全传送信用卡号码,但由于它是个面向连接的协议,只适合于点对点之间的信息传输,即只能提供两方的认证,而无法满足现今主流的加入了认证方的三方协作式商务模式,因此在保证信息的不可抵赖性上存在着缺陷.
4.2 SET协议(Secure Electronic Transaction)
SET协议也叫安全电子交易,对基于信用卡进行电子化交易的应用提供了实现安全措施的规则,与SSL协议相比较,做了些改进.在商务安全问题中,往往持卡人希望在交易中对自己的交易信息保密,使之不会被人窃取,商家希望客户的定单真实有效,并且在交易过程中,交易各方都希望验明对方的身份,以防止被欺骗.针对这种情况,Visa和MasterCard两大信用卡组织以及微软等公司共同制定了SET协议,一个能保证通过开放网络(包括Internet)进行安全资金支付的技术标准.它采用公钥密码体制和X.509数字证书标准,主要应用于保障网上购物信息的安全性.由于SET 提供了消费者,商家和银行之间的认证,弥补了SSL的不足,确保了交易数据的安全性,完整性,可靠性和交易的不可否认性,特别是保证不将消费者银行卡号暴露给商家等优点,因此它成为目前公认的信用卡/借记卡网上交易的国际安全标准.
除此之外还有安全超文本传输协议(SHTTP),安全交易技术协议(STT)等.协议为电子商务提供了规范.
5 结语
安全是电子商务的核心和灵魂.电子商务对网络安全与商务安全的双重要求,使网络安全与商务安全密不可分.没有计算机网络安全作为基础,商务交易安全犹如空中楼阁,无从谈起;没有商务安全保障,即使计算机网络本身再安全,仍然无法达到电子商务所特有的安全要求.而电子商务相应的实现技术和各种协议正是安全得以实现的保证.
㈢ 电子商务有哪些法律法规
国外:
1995年美国犹他州《数字签名法》
1996年联合国贸法会《电子商务示范法》
中国:
2004年8月28日《中内华人民共容和国电子签名法》
《电子支付指引(第一号)》(2005年11月1日开始实施)
《互联网电子邮件服务管理办法》2006.3.30开始实施
《信息网络传播权保护条例》2006.7.1开始施行
《中国互联网络信息中心域名争议解决办法》2006.3.17开始实施
《电子商务模式规范》《网络购物服务规范》《关于网上交易的指导意见》征求意见稿
㈣ 电子商务法律法规有哪些
电子商务来法,是调自整以电讯为交易手段而形成的交易形式所引起的商事关系的法律规范体系。电子商务法是一个非常庞杂的法律体系,涉及许多领域,既包括传统的民法领域,又有新的领域如电子签字法、电子认证法等,这些法律规范总体上属于商法的范畴。
㈤ 电子商务法律条文
《电子商务法律法规汇编》全文
(电子商务认证机构管理办法)
(信息产业部征求意见稿)
第一章 总则 第一条 为了统筹规划我国电子商务认证机构,规范电子商务认证机构建设和运营,根据国家有关密码管理、计算机信息网络管理和信息安全等法规,特别制定本办法。
第二条 电子商务认证机构是指为在电子商务活动中的有关各方提供数字身份证书服务的独立法人单位。
第三条 已建、在建和拟建的电子商务认证机构依照本办法进行管理。
第四条 国家信息产业主管部门负责电子商务认证机构的审批和管理工作。
第二章 认证机构审查与批准
第五条 建立电子商务认证机构应向国家信息产业主管部门提出书面申请,并提供以下材料:
(一) 组织机构和人员配备情况;
(二) 认证机构资产情况;
(三) 运营管理规范;
(四) 风险承担能力;
(五) 必要性和可行性论证。
第六条 国家信息产业主管部门在接到建立电子商务认证机构的申请和相关材料后,在三十天内给予答复。
第七条 申请建立的电子商务认证机构在取得国家信息产业主管部门同意成立的书面批复后,必须到当地工商行政管理部门注册,向国家密码管理机构提出使用密码的申请。
第三章 认证机构密码核发与授权
第八条 电子商务认证机构所使用的密码及相关产品的管理应当遵守下列规定:
(一) 国家密码管理机构根据国家信息产业主管部门同意成立电子商务认证机构的批复,审批密码及相关产品的配用申请。
(二) 电子商务认证机构设置独立的密钥管理中心,由电子商务认证机构业主单位统一规划建设,由国家密码管理机构及其委托单位负责实施指导和管理。
(三) 获准使用密码及相关产品的电子商务认证机构,必须遵守国家有关密码管理规定。
(四) 电子商务认证机构密码系统的安全性由国家密码管理机构组织审查认证。
第四章 认证机构安全技术和标准评测认证
第九条 电子商务认证机构所使用的密码及相关产品必须符合国家密码管理机构制定的密码技术规范和标准,基础建设必须符合国家有关安全要求。
第十条 电子商务认证机构所使用的技术和设备必须是经过国家授权的部门测试认证,符合国家有关信息安全标准的技术和设备。
第十一条 认证系统的安全性必须符合国家关于计算机信息系统安全专用产品管理规定,必须经过国家授权的部门进行安全性测试并合格后方可投入运行。
第十二条 国家标准化主管部门制定电子商务认证证书的格式标准,核发相关的标识。电子商务认证机构登记核发的证书必须使用上述格式。
第五章 认证机构登记注册和运营管理
第十三条 电子商务认证机构由当地工商行政管理部门根据国家信息产业主管部门同意电子商务认证机构的批复进行登记注册。
第十四条 电子商务认证机构的登记、变更、注销以及经营范围的核定,按企业登记的有关规定执行。
第十五条 电子商务认证机构在提供证书服务时,可以根据国家物价部门的有关规定、收取一定的费用。
第十六条 电子商务认证系统在建成后,必须通过国家信息产业、密码管理、公安、工商行政管理、标准化等主管部门的审核、评测和验收后,才能对外提供数字证书服务。
第十七条 上述国家有关主管部门对电子商务认证机构进行监督管理,并根据本管理办法,对电子商务认证机构的运营和安全情况进行年度审查。
第六章 认证机构权利、义务和责任
第十八条 电子商务认证机构对申请证书的单位和个人所提供的相关材料必须进行审核。
第十九条 在持有证书的单位和个人有违反国家法律法规的情况下,电子商务认证机构有权收回证书或宣布证书作废。
第二十条 电子商务认证机构有保护证书申请单位和个人非公开信息的义务。
第二十一条 电子商务认证机构必须建立认证系统的备份机制和应急事件处理程序,确保在人为破坏或自然灾害发生时认证系统和用户证书的安全。
第二十二条 电子商务认证机构承担由于认证机构原因的证书失密所造成的经济损失赔偿责任。
第七章 认证机构罚则
第二十三条 未经批准,擅自建立电子商务认证机构,并对外提供服务的,国家信息产业主管部门分别会同国家公安、工商行政管理等部门责令其停止营业,没收违法所得,并处以三万元以下罚款。
第二十四条 认证机构泄露企业或个人非公开信息,或利用这些信息从事危害国家安全,损害企业或个人利益的活动,情节严重,构成犯罪的,吊销认证机构营业执照,依法追究有关人员的刑事责任。
本条款所列行为尚不构成犯罪的,国家信息产业主管部门分别会同国家公安、工商行政管理等部门暂扣认证机构营业执照,没收违法所得,并处以三万元以下罚款。
第二十五条 有下列行为之一的,国家信息产业主管部门分别会同国家公安、工商行政管理等部门给予警告,责令改正:
(一) 在认证系统的运营或对外提供认证服务过程中,违反安全保密规定的;
(二) 认证机构擅自转让认证技术或相关产品的;
(三) 未经许可,擅自建立分支认证机构或扩展业务范围的。
第二十六条 外组织或个人参与电子商务认证机构运营管理的,国家信息产业主管部门会同国家公安机关给予警告,责令改正。
第八章 附则
第二十七条 已建、在建的电子商务认证机构按照本办法的有关条款,进行重新登记、审核、验收。
第二十八条 本办法由国家信息产业部主管部门负责解释。
第二十九条 本办法自公布之日起实行。