電子印章在電子公文系統中歸檔探索

蘆振輝/金華市檔案館

隨著浙江省“最多跑一次”改革和“數字政府”工作的不斷深化，在政府的業務系統和電子公文系統中產生了大量電子文件，對這些電子文件國家先后出臺法律法規，明確使用符合《中華人民共和國電子簽名法》規定條件的可靠電子簽名，與手寫簽名或者蓋章具有同等法律效力。因此，對于檔案部門來說，對大量公文進行電子化歸檔成為不得不面對的新課題。本文重點探討電子印章在電子公文系統中如何準確歸檔，從而保證其與紙質檔案具有同等法律效力和存檔價值。

1 電子公文歸檔現狀分析

1.1 檔案基本屬性和法律效力

新修訂檔案法第二條對檔案的定義是“過去和現在的機關、團體、企業事業單位和其他組織以及個人從事經濟、政治、文化、社會、生態文明、軍事、外事、科技等方面活動直接形成的對國家和社會具有保存價值的各種文字、圖表、聲像等不同形式的歷史記錄”，這個定義明確了檔案是由機關單位、團體組織或個人產生的；明確了檔案的形態、記錄方式的多樣性，形態可以是文字、圖表、聲像等，記錄方式可以有實物、紙質、電子等；明確了檔案是從事經濟、政治、文化、社會、生態文明、軍事、外事、科技等方面活動直接形成的，直接形成意味著檔案是各種活動直接形成的最原始的資料，其原始性意味著檔案最大限度保留了活動的痕跡，而這些痕跡能被第三方機構核實鑒定，顯現出法律憑證的作用，這也是大家在日常工作中要求原件歸檔的原因所在。

根據新修訂檔案法對檔案的定義，可將電子檔案界定義為：過去和現在的機關、團體、企業事業單位和其他組織以及個人從事經濟、政治、文化、社會、生態文明、軍事、外事、科技等方面活動直接形成的電子形式的歷史記錄。原始性依然是其基本屬性。新修訂檔案法第三十七條規定“電子檔案應當來源可靠、程序規范、要素合規。電子檔案與傳統載體檔案具有同等效力，可以以電子形式作為憑證使用”。電子檔案要實現來源可靠，必須在內容上與電子文件及其相關信息形成時保持一致；要做到程序規范，必須在可靠的電子文件歸檔、電子檔案移交接收集電子檔案管理系統內運轉、遵照電子文件歸檔和電子檔案管理制度進行規范管理；要保證其要素合規，必須從內容到形式符合電子檔案的特征，即要有確認電子檔案主體身份及其可靠性的信息，包括但不限于采用電子簽名、電子印章、電子認證、區塊鏈、時間戳等方式或技術應用。由于電子檔案這個題目太大，本文重點討論其中的電子公文檔案。

《浙江省黨政機關電子公文歸檔與電子檔案管理暫行辦法》將電子公文定義為以電子數字形式擬制、辦理、管理的黨政機關公文。《中華人民共和國電子簽名法》規定，可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力。那么加蓋可靠的電子簽名的電子公文具備與紙質公文一樣的法律效力；還規定電子簽名同時符合下列條件的，視為可靠的電子簽名：“電子簽名制作數據用于電子簽名時，屬于電子簽名人專有”“簽署時電子簽名制作數據僅由電子簽名人控制”“簽署后對電子簽名的任何改動能夠被發現”“簽署后對數據電文內容和形式的任何改動能夠被發現”。

1.2 電子簽名歸檔現狀分析

電子印章作為電子簽名的一種，滿足可靠電子簽名的四個條件，且展現形式符合政府用戶的習慣，在政府機構中已經廣泛應用。浙江省政府部門自2017年開始統一使用天谷電子印章，具有以下特點：（1）有單獨的客戶端，在斷網環境下可以進行蓋章、驗證等；（2）ukey（秘鑰）有效期為兩年；（3）在電子公文系統中加蓋電子印章后形成TGW格式的加密文件和黑頭黑章的PDF格式文件。

在電子公文歸檔過程中，TGW格式的加密文件在秘鑰失效后就無法打開，歸檔也就沒有意義了，而PDF格式文件雖然可以打開，但是沒有數字簽名信息，各地檔案部門都出臺了相關辦法，解決這個問題。如《浙江省黨政機關電子公文歸檔與電子檔案管理暫行辦法》規定“加蓋有電子印章的電子公文，在歸檔時應去除電子印章的數字簽名信息，只保留印章圖形”；《天津市電子公文歸檔管理辦法》規定“電子公文已經具備電子簽名、電子印章的應去除電子印章的數字簽名信息，電子印章按照規定轉換為印章圖形，與電子公文一并歸檔，數字簽名信息在元數據中進行記錄”；《河南省電子文件歸檔與電子檔案管理辦法實施細則》規定“加密的電子文件應當解密后進行預歸檔，壓縮的電子文件應當解壓縮后進行預歸檔”；《黨政機關電子公文處理工作辦法》規定“電子公文歸檔時，應當去除電子印章的數字簽名信息，只保留印章圖形”。

但上述幾種歸檔方法有三個弊端。一是改變了文件的可驗證性，削弱了電子檔案的法律效力。電子簽名“簽署后對電子簽名的任何改動能夠被發現，簽署后對數據電文內容和形式的任何改動能夠被發現”，而解密過程丟失了最寶貴的可驗證的數字簽名信息，削弱了法律效力。二是歸檔的文件并非原件。解密后格式發生改變，改變了文件的原始性。三是增加了檔案工作人員的工作量和工作壓力。由于ukey有效期的限制，檔案員必須在ukey到期當天晚上12點前完成歸檔工作，過了這個時間點，就再也無法按照這個辦法來歸檔了。

2 電子印章歸檔方面的探索與實踐：以金華為例

2.1 總體概述

近期，金華市檔案館與企業合作開發了電子公文歸檔模塊，將電子印章的數字簽名信息一并歸檔，完整地保留了原先電子文件的法律效力。參照《浙江省省直單位電子公文歸檔與電子檔案管理暫行辦法》進行歸檔模塊開發，元數據、歸檔文件目錄、簽發稿、擬稿單、附件等基本未做改動，而是在版式文件歸檔上做了比較大的調整，提取了4份文件。

其中，版式文件A為PDF格式文件，紅頭紅章，保留了數字簽名信息，可驗證（下文稱A文件）；版式文件B為TGW格式加密文件，需秘鑰才能打開，秘鑰有效期內可驗證，文件壽命與秘鑰剩余有效期同，歸檔時不做“去除電子印章的數字簽名信息，只保留印章圖形”的動作（下文稱B文件）；版式文件C為PDF格式文件，黑頭黑章，不可驗證（下文稱C文件）；版式文件D為復制A文件，增加了歸檔章、檔號信息、二維碼，是被修改的可驗證文件（下文稱D文件）。

2.2 對電子檔案的驗證

為驗證這個歸檔模式形成的電子檔案，筆者選取了幾個測試環境，對一份測試數據（原電子印章已經過期）進行驗證。在Windows環境下聯網，使用浙江省政府印章客戶端軟件驗證；在Windows環境下聯網，使用Adobe Acrobat Reader DC驗證；在Windows環境下斷網，使用浙江省政府印章客戶端軟件驗證；在Windows環境下斷網，使用Adobe Acrobat Reader DC驗證；在國產系統環境下驗證等。筆者主要介紹后三種測試環境下的驗證情況。

一是在Windows環境斷網情況下使用浙江省政府印章客戶端軟件，對A文件和D文件進行驗證，A文件的驗證結果為“自本簽名以來，文檔未修改”；D文件的驗證結果為“自本簽名以來，文檔已修改”；B文件無法打開；C文件正常打開，無法驗證。

二是在Windows環境斷網情況下使用Adobe Acrobat Reader DC，對A文件和D文件進行驗證，A文件打開之初顯示了文件包含數字簽名，驗證結束后印章正常顯示；D文件驗證結果很直觀，印章被打了紅叉；B文件無法打開；C文件正常打開，無法驗證。

三是在Windows環境聯網情況下使用新ukey和浙江省政府印章客戶端軟件對B文件進行測試，結果文件無法打開。

四是在國產環境下測試，發現A文件和D文件可以打開，不能驗證；B文件無法打開；C文件正常打開，無法驗證。

3 若干思考

3.1 檔案界對電子印章的工作流程存在誤解，認為在電子公文系統中加蓋電子印章后，跟第三方簽章服務器發生交互，產生B文件和C文件，將電子印章的工作流程簡單化，甚至理解成加蓋電子印章后生成B文件和C文件；受這個誤解影響又產生了第二個誤解，誤以為B文件和C文件是最原始的電子文件，而C文件沒有數字簽名信息，價值相對較低，所以大家都將目光放在了包含數字簽名信息的B文件上。在投入大量的精力研究之后發現B文件以目前檔案部門的技術力量還無法完美的解密，只能退而求其次，去除電子印章的數字簽名信息，只保留印章圖形。

為此，必須要搞清楚電子印章的工作流程。筆者做了兩個測試：測試一，斷網環境下，電子公文系統外，使用客戶端和ukey直接對Word文檔加蓋電子印章，最終生成包含數字簽名信息的PDF格式文件，并未產生TGW格式的加密文件；測試二，聯網環境下，電子公文系統外，使用客戶端和ukey直接對Word文檔加蓋電子印章，最終生成包含數字簽名信息的PDF格式文件，也未產生TGW格式的加密文件。由此得出兩個結論：一是客戶端加上ukey可以直接產生帶數字簽名信息的PDF文件；二是加密文件的產生與電子公文系統跟簽章服務器的交互有關。在此基礎上筆者對電子公文系統中的的大致工作流程做了一個推測，推斷其流程大致如下：①對Word文檔加蓋電子印章；②印章客戶端軟件通過電子公文系統發送信息至第三方簽章服務器；③第三方簽章服務器收到信息后驗證，驗證無誤后向印章客戶端軟件發送反饋信息；④印章客戶端軟件收到信息后在電子公文系統中生成B文件和C文件。考慮到文件蓋章后需要交互驗證，這個過程會有一定的時間，這段時間怎么保障文檔不會被修改，所以筆者又做了一個推斷，①②之間，印章客戶端很可能會做一個固化來保證蓋章后的文件在驗證期間不會被修改，這個固化還得確保文檔被修改后能及時發現。最終推斷流程大致如下：①對Word文檔加蓋電子印章；②印章客戶端軟件對Word文檔進行固化，形成紅頭紅章PDF格式文件；③印章客戶端軟件通過電子公文系統發送信息至第三方簽章服務器；④第三方簽章服務器收到信息后驗證，驗證無誤后向印章客戶端軟件發送反饋信息；⑤印章客戶端軟件收到信息后在電子公文系統中生成B文件和C文件。

按照這個流程，在B文件和C文件形成之前還有一份文件，即印章客戶端軟件對Word文檔固化后形成的文件，這份文件就是A文件，紅頭紅章，有數字簽名信息。對比A文件與B文件的形成時間，A文件先于B文件20秒左右形成，這也驗證了我的推斷，A文件是活動直接形成的，而且是最先形成的電子文件原件。

3.2 四份文件形成于三個關鍵時間節點，互相呼應、互為證明。A文件形成于加蓋電子印章之后，與簽章服務器交互之前，形成時間最早，最為原始，保留了可靠的數字簽名信息，內容完整，且不受秘鑰更換的影響，可以長時間保存，易驗證，保存價值最大，是電子檔案憑證性的重要保障。B、C文件在電子公文系統與簽章服務器交互之后形成，沒有系統間的交互不會產生B、C文件，間接證明了文件來源可靠、系統可信。D文件形成于電子公文歸檔之際，加入檔案元素，呈現的是A文件被修改后的狀態，反映的是電子簽名“簽署后對數據電文內容和形式的任何改動能夠被發現”，與A文件形成呼應；形成時間即歸檔時間，與元數據互相印證。

電子印章數字簽名信息的歸檔解決了電子檔案的憑證性問題，確保了電子檔案的真實可信，完整地保留了電子印章防篡改的功能，即使后期不使用區塊鏈、時間戳等技術，也能使電子檔案與紙質檔案具有同等的法律效力，掃清了電子檔案單套制的最后一個障礙，解除了基層檔案工作人員的顧慮。而且這一技術低成本，實現起來也簡單，成效明顯，目前只是在金華市檔案館電子公文系統中使用，相信未來隨著政府數字化轉型的步伐加快，完全可以在全業務系統中驗證并推廣。