《電子簽名法》落地關鍵在于建立應用規范

編者按：《電子簽名法》頒布5年來，工業和信息化部作為法律授權的主管部門，堅持探索電子簽名應用與電子認證服務業的發展之路。近日，工信部信息安全協調司副司長歐陽武接受本報記者訪談，提出了進一步貫徹落實《電子簽名法》的新思考。他認為，貫徹實施《電子簽名法》關鍵是要找到問題的結癥所在，然后對癥下藥。目前，互聯網活動——無論是民事活動還是商事活動，最大的難題是行為認定。對照物理空間的人類行為，我們發現，將行為轉化為信息是普遍采用的方法，我們從事任何活動，都會產生一個記錄和證明行為發生的憑證，如轉賬憑證、材料申領單、財務報銷單等。當相關活動轉移至網絡空間后，用以記錄和證明相關行為的憑證卻被省略掉了。原因在于，我們對業務系統的建設并沒有統一的規范要求，應用系統建設單位或系統集成商在進行業務系統集成時，根據各自的理解組織業務流程，而沒有考慮對業務活動本身產生爭議后的證據問題。未來，工信部信息安全協調司的一個工作重點，將是規范電子簽名應用，并大力推廣可靠電子簽名應用，真正實現無紙化。

本刊特獨家約請歐陽武副司長就這些問題進行了詳細闡述，現全文轉發，以饗讀者。

一部難得的好法律

《電子簽名法》已經頒布和實施了5年，由于取證難、訴訟難，有人便認為這部法律太過超前，不實用。顯然，這樣的認識是錯誤的。

在討論電子簽名之前，我們先審視一下手寫簽名。歸納一下結，手寫簽名共有兩個作用。一、證明簽名人身份。因為寫下的是簽名人的名字，而每一個人的手寫簽名都有其生物特征，通過筆跡鑒定，可以發現不同人筆跡之間的差別，從而鑒別簽名人身份的真偽。二、證明被簽署文件的完整性和不可抵賴性。紙質文件一旦形成，則不能修改，任何修改都可以被發現。通過簽名表明被簽署文件的完整性和未被修改，是簽名的重要作用。通過對被簽署文件內容的分析，文件實際上可以記錄兩種不同性質的內容：一方面是簽名人真實意思的表述，如合同標的，履行合同的條件，標的物的技術指標等等；另一方面是簽名人行為的記錄，如提貨單、報銷單、審批單等等。

以商務活動為例，有了合同簽名，有了貨物裝箱單、交運單、提貨單等的簽名，因合同履行產生的爭議，便有了解決問題的依據。這樣就可以根據生效合同及相關單據，或訴之于法律，或提請仲裁，最終通過第三方權威機構的裁定，解決爭議。

物理空間里的所有法律規范和爭議解決機制都適用于電子商務活動。但網絡活動與物理空間里的活動最大的不同在于記錄和證明真實意思和行為的載體不同，由紙質載體變成了電子載體，紙質文件變成了電子文件。因此，解決電子文件的簽名問題，便能從根本上解決電子商務糾紛的難點問題。

《電子簽名法》從法律上搭建了從虛擬世界通向現實世界的橋梁，為解決網絡空間的一切行為爭議奠定了堅實的法律基礎。物理世界和網絡世界應該遵循同樣的法律規范、法律原則和法律框架。我們只需要建立起兩個不同世界里的行為連接就可以了，這個連接的關鍵就是電子簽名和電子認證。

事實已經證明，利用現有的PKI技術，完全可以實現電子文件及其所有人簽名的惟一性、不可抵賴性和不可篡改性。按照《電子簽名法》的規定，電子文件及簽名具有與紙質簽名同樣的法律效力。實際上，這就是整部《電子簽名法》的精髓和最重要的意義。

應用中的缺失

——電子憑證

然而，為什么在網絡應用過程中，許多電子簽名達不到應有的效果呢？我認為，電子簽名技術在應用的過程中，出現了一個大漏洞，那就是缺少對電子憑證的規范！

以物理世界的交易及簽名方式舉例，在物理世界中，如果我們去銀行柜臺辦理業務，比如轉賬100元錢時，銀行需打印一個一式兩聯的轉賬賃證，上面寫著某年某月某日某某，由某個賬號轉到另一個賬號100元金額，然后銀行蓋一個營業網點的章，你簽上字，一式兩份，銀行留一份，自己留一份，這就是雙方手中都留的憑證，對這一交易行為的一種雙方認可方式。一旦發生糾紛，憑證就是證據。按說網上銀行也需要這樣一個過程才能實現安全、完整的交易，讓人們放心。但現在大多數的情況是，網銀交易過后沒有留下任何憑證！現在很多網銀是這樣做的：人們要轉賬時通過瀏覽器登錄網銀，在顯示屏的憑證頁面，把銀行卡號和交易金額輸進去，交易完成后，屏幕上的憑證就消失了，至少用戶端手中沒有留存；網銀端有沒有留存憑證不知道，因為每個網銀系統的設計都不一樣，目前沒有標準規范。這等于是沒有按照物理世界的方法留下交易雙方的證據。這樣就容易出現很多問題雙方卻不清楚，一旦發生網絡交易糾紛，只有網銀數據庫中有記錄，用戶手中沒有任何憑證！而網銀的后臺應用系統中是否將此交易的憑證單獨保存？是否讓用戶在此憑證上簽了字？是不是可以將該憑證作為一個單獨的憑證進行法律驗證？或者這些都沒有，只是在后臺數據庫中修改了用戶賬戶中的資金數據？每家銀行的做法也許都不一樣，儲戶就不得而知了。

其實，在其他一些數字證書的應用情況中，這個問題同樣存在，比如在電子政務、電子商務的應用中，在物理世界中每個人的行為都需要填寫紙質憑證，但在網絡世界的這些應用中卻沒有要求這樣做。這樣，所有的數字證書用戶都不知道自己是在哪個電子文件上簽的名。

這樣的結果是可怕的。這樣對最終用戶來說也是不公正的，因為如果最終用戶自己賬戶中的數據不對，即使手持數字證書，他也拿不出憑證證明自己是否有過這樣一筆交易；另一方面，如果沒有電子憑證，如果用戶抵賴自己行為，應用系統也會因為沒有憑證沒辦法證明自己。此外，在應用系統中，雖然很多應用系統都有嚴格的管理措施，但也可能由于管理的失誤，一些系統操作員可能能夠偷偷修改數據庫中的數據，這對最終用戶是一種不公正。最終用戶一旦與應用系統的提供方產生利益沖突，他將沒有能力對應用系統做安全審計，而應用系統因為利益的關系，可能只提供對自己有利的證據，這樣，很多最終用戶會認為使用數字證書沒有用。

因此，要落實《電子簽名法》的話，就需要將電子簽名應用的過程規范化。與物理世界一樣，在網絡世界中，需要電子簽名的地方，就必須有一個對網絡行為作記錄的電子憑證，在這個電子憑證上簽名。并且，這個憑證的管理應該有一個規范或標準，比如誰來存憑證？誰來管理憑證？出現問題怎么出示憑證？如何驗證憑證？這些問題都需要規范。同時，對不同的業務系統，應該有不同的電子憑證的標準，比如網銀需要的是一個轉賬賃證，報稅需要報稅賃證，電子病歷需要電子病歷憑證，它們的具體內容與物理世界各個行業的紙質憑證應該是一樣的。

電子憑證是人們網絡行為的重要證據，也是最關鍵的內容，但在目前的很多應用系統中卻是缺失的，這不能不說是一個巨大的遺憾！只有將電子憑證規范起來，《電子簽名法》才能真正落地。

監管中的漏洞——過程監管

從電子簽名和認證服務的監管上看，與上述一一對應起來，還缺少一個對重要環節的監管。

《電子簽名法》中明確規定，可靠的電子簽名需要滿足四個條件：第一個條件是電子簽名工具由簽名人專有，第二個條件是簽名的過程由簽名人控制，第三個條件是簽名以后對簽名的任何改動都可以被發現，第四個條件是簽名以后對數據電文內容的任何改動都會被發現。滿足了這四個條件就是可靠的電子簽名，可靠的電子簽名與手寫簽名、與蓋章一樣具有同等的法律效力。

這四個條件中有三個管理部門都監管到了，但漏掉了其中重要的一個，從而造成很多電子簽名并不符合可靠電子簽名的要求。

第一個條件，簽名工具由簽名人專有，這個電子認證服務機構（CA機構）能夠保證，因為管理機構要求CA機構在發私鑰和制作證書的過程當中，對私鑰擁有者的身份進行核對，目前CA機構都已經完全能做到。第三個條件和第四個條件依靠現有的PKI技術完全能實現，任何人如果想要改變電子簽名和簽名的內容，都能被發現。現在惟一缺少的，是對第二個條件的監管。

第二個條件是簽名人控制簽名工具的使用過程。目前，簽名工具的使用過程是否由簽名人控制并不明確。應用系統開發商或集成商或CA公司在編寫簽名制作數據調用程序時是否充分考慮到環境安全，是否在流程設計中考慮到由簽名制作數據持有人啟動簽名程序，既沒有標準也沒有審計。比如，一個網銀系統，集成商可能是CA公司，也可能是網銀業務系統的開發商，它們在應用系統中集成電子簽名技術時，集成私鑰、簽名以及公鑰驗證的過程存在兩個問題：首先是沒有規范，其次是沒有監管，這兩個問題造成了簽名人無法控制簽名工具的使用過程，由此造成無法判定在該系統中產生的電子簽名是否就是具有法律效力的可靠電子簽名。

未來，工信部信息安全協調司將逐步規范電子簽名應用系統，并形成審計和監管機制。

建立電子簽名應用規范并不復雜，只需要規定在應用系統中需增加電子憑證的形式以及確定它的保管方式、審查機制等相關問題就可以了，重要的是要對應用系統是否符合規范進行檢查。

在建立規范方面，應用系統所有者的責任更大，因為電子簽名應用流程是否規范，并不決定于電子認證公司，而是決定于系統建設者。如果認證公司能參與應用系統建設，往往流程會比較規范；如果CA公司不參與系統建設，電子簽名規范的落實則沒有責任主體，做沒做到位也無從知曉。因此，通過什么樣的形式規范好電子簽名應用，還需要好好研究。

規范的問題解決好了，其他的一些問題目前都是有方法可解決的。比如，人們對數字證書另一個最大的疑問是：擔心數字證書中的私鑰被黑客截獲，在自己不知情的情況下把私鑰用于簽署一些電子憑證，給自己造成損失。這個問題雖然曾經出現過，但要解決是很容易的，就是建立一個私鑰的應用規范，增添一個在調用過程中的驗證環節。比如在key上增添一個機械鎖或者一個數字pin碼，確認使用私鑰時按一下這個鎖就可以了。這樣可以保證電子簽名是來自惟一的這個KEY，而不是軟證書，這樣即使黑客偷竊了軟件私鑰，也無法完成簽名的動作。

另外需要說明的是，假冒簽名在物理世界中也是存在的，這已經是犯罪行為了，我們同樣可以通過報案，讓公安部門介入來揪出網絡世界中的犯罪分子。

只要我們做好上述工作，《電子簽名法》就能夠真正落地。

（作者系工業和信息化部信息安全協調司副司長）