电子签名:网络经济的助推器
- 来源:计算机世界
- 关键字:电子签名
- 发布时间:2010-04-13 11:02
近日,《计算机世界》报总编孙定特别约见了工业和信息化部信息安全协调司副司长欧阳武,并就人们关心的一些《电子签名法》的相关问题展开了深入探讨。
《电子签名法》施行之前,人们常问的问题是:“我们在网络上从事的各种活动,法律上是否承认,有没有法律效力?”制定《电子签名法》的重要意义之一,就是要消除这样的疑问。
网络经济需要认证服务
孙定:2005年4月1日,《电子签名法》正式施行,至今已经整整5年。有人认为,该部法律过于超前,在目前的环境下施行,并不是很好,而且“电子签名”目前的应用与人们的预期也相去较远。工业和信息化部作为该部法律指定的电子认证服务机构监管部门,如何看待这一问题?在2005年就颁布这样一部法律,有何现实意义?
欧阳武:我认为,该法律并不超前,而是具有重要的现实意义。其中最突出的意义有三点:
首先,它消除了推动电子商务、电子政务等新兴业务发展的法律障碍。现实生活中,我们无论是开展政务活动、民商事活动还是社会活动的过程中,例如向政府提交报告、签署合同、交换信息、进行交易时,都有签名或盖章的要求,一些具有法律效力的文件,签名或盖章是文件生效的法定要件,一些商务活动,还要保留经过签名或盖章后的书面业务凭证等等。所有这些,都是为了保留证据,以便事后产生争议时作为权利主张的依据。
当我们把所有这些活动转移到网络空间上之后,如何确立电子信息的效力,如何保障网络行为的可追溯,特别是如何满足法律对签名、盖章和书面形式的要求,成为推进电子政务和电子商务发展首先遇到的问题。《电子签名法》施行之前,人们常问的问题是:“我们在网络上从事的各种活动,法律上是否承认,有没有法律效力?”制定《电子签名法》的重要意义之一,就是要消除这样的疑问。它首次明确了“可靠的电子签名与手写签名或盖章具有同等的法律效力”。
第二,互联网迅猛发展,已经成为重要的基础设施,网络经济也已经成为一种新兴的经济形态。域名和IP地址是发展互联网和互联网业务的基础,由于国际域名登记和IP地址分配机制的原因,实行网络实名制的域名不足23%,如果要达到域名信息的真实、完整和准备,则不足5%。这已经成为了互联网信息安全的一个突出问题。在网络实名制还没有实现的情况下,有一种可以有效地解决互联网安全机制不足的手段,就是对网站域名和个人身份、机构身份进行认证,例如服务器证书、个人身份证书、机构身份证书等等,都是电子签名技术的应用。它是建立互联网的信任机制、消除互联网上信任体制不健全的一种好办法。
第三,《电子签名法》是确定网络行为责任的一种手段。因为,采用可靠的电子签名技术,再加上有效的管理,可以保证经过可靠电子签名的数据不可更改、不可抵赖。现实生活中,很多人拿着写有签名的各种文件上法庭打官司,就是因为这个签名是不可更改的,代表了签名人当初是认可的。映射到互联网上,也需要这样一套机制,否则就找不到网络行为的责任人了。如果不能追溯到网络行为的责任人,那么一切网络行为,包括各种网络经济活动、各种网络服务行为,都是一种“海市蜃楼”的行为——即使描绘再完美,都如在在沙滩上建设大楼,不可能期望建得很高。
但与纸质文件不同的是,电子文件很容易被修改、复制,修改的痕迹也不易被察觉。因此,对于电子文件,我们需要找到一种手段,达到手写签名与纸质文件的“绑定”效果。
《电子签名法》的通俗解释
孙定:普通民众对《电子签名法》很不了解,甚至业内人士对该法律的认识和理解也不是十分深刻,利用该法维护自身权益的行为也颇为少见。有人反映,电子签名及其相关解释太过晦涩,大部分的人都看不懂。自工业和信息化部成立后,你们专门组织了专家进行研讨。请您介绍一下这方面的结论?
欧阳武:首先需要理解什么是电子签名。《电子签名法》对电子签名的定义很专业,对于非专业人士,很难理解。如果简单、直观地解释,电子签名就是信息空间(也被称为网络空间、电子空间)里具有与物理空间里手写签名同样功能和作用的方法和手段。
手写签名很好理解,就是采用墨水笔在书面文件上书写个人姓名或符号,表明签名人对文件内容的认可。但与纸质文件不同的是,电子文件很容易被修改、复制,修改的痕迹也不易被察觉。因此,对于电子文件,我们需要找到一种手段,达到手写签名与纸质文件的“绑定”效果。只有有了这种手段,才能确保电子文件一经签署就不可更改。这样,一切网上的信息,无论这个信息是表达签名人真实意思还是记录签名人真实行为的,一经签署就具有了法律效力。
那么,电子签名也需要具备一些特点,这就是《电子签名法》对具有与手写签名具有同等法律效力的“可靠电子签名”的法定要求:签名制作数据由签名人专属;签名制作数据由签名人控制;签名不可更改;经签署后的数据电文不可更改。
电子签名可以采用多种形式,如:附着于电子文件的手写签名的数字化图像,包括采用生物笔迹辨别法所形成的图像;向收件人发出证实发送人身份的密码、计算机口令;采用特定生物技术识别工具,如指纹或是眼虹膜透视辨别法等。与手写签名不同,手写签名与签署对象文件一般是捆绑在一起的,而电子签名与签署对象文件有可能是分离的。
孙定:《电子签名法》中还有一个重要的概念,就是电子认证,什么是电子认证?电子签名为什么需要认证?
欧阳武:认证活动并不是网络上才有的活动。认证活动自古罗马时代就存在。现实生活中,认证也是普遍存在的。例如司法鉴定、质量认定、文件公证、会计审计等都是认证。
认证是指依据某种标准对有形或者无形的主体进行鉴别、辨认,并以某种方式证明其与标准之间符合性的行为或过程。从法律角度来讲,由于有其他主体的担保和证明,可以防止可能出现抵赖行为。
前面,我们说的都是物理空间里的认证行为。在信息空间里,一切都是电子化的。无论是信息还是行为,都转化成为电子代码,即便是人们在网上的一个动作,也是通过某个程序(即电子代理物)代我们执行的。
另外一点就是,一旦“电子代理物”发生某个动作后,数据信息会经过多个服务器、路由器、不同的网络进行传递,当接收方接收到数据信息时,如何确认这些信息在传递过程中没有被篡改过,就需要来认证。而这个认证不是一般机构或个人能完成的,它是需要具有一定专业技术的认证机构来完成。此外,即使认证机构有这个技术水平来实现认证的过程,但是在法律上它是否得到认可、认证行为是否可信、它有没有公信力是人们需要考虑的重要因素。
电子签名不同于一般手写签名,使用的技术复杂,直观性不强,很多人不具备直接鉴别电子签名真实性的知识,电子签名实施过程较多,保证电子签名真实的环节也比较多,要确认一个电子签名,需要从很多环节上进行认证,这些环节包括身份认证、技术手段认证、使用环境认证、签名结果认证等等,因此,从知识掌握和核查成本两方面考虑,一般人都不可能对电子签名进行认定。因此,我们需要专门机构提供电子签名的认证服务。
在《电子签名法》中,对电子认证服务提供者有明确的定义和规定。电子认证服务提供者是指提供电子认证服务的机构,是进行电子认证的主体。在当前技术条件下,电子认证服务提供者提供的是以非对称密码技术为基础的数字认证服务,颁发数字证书并进行数字签名认证,称为CA机构。
对电子签名和电子认证服务来说,不但要完善技术体系,还需要形成服务的体系化;不仅是要完善电子认证服务机构的服务,后面还需要完善更多的后续配套的服务,例如司法鉴定服务、赔偿担保服务等等。
工信部将力推电子签名
孙定:近年来,不断有人在说,《电子签名法》颁布以来,实行的效果不尽如意,您觉得主要原因是什么?
欧阳武:这几年来,我们也在进行反思,发现有几方面的原因。
对于普通用户来说,他们不需要对电子签名法的技术有太深入的了解,因为电子签名或电子认证服务是一个相对复杂的机制。特别是在社会应用层面,必须保证电子签名和电子认证是一个完整的机制,其中是包括技术等多个环节。
而在过去,我们推广《电子签名法》的时候,把更多的精力放在了技术环节上,对证书、身份认证的环节比较多,直接面对用户,对他们的宣传比较少。特别是对他们关心的问题关注不够。例如一旦产生纠纷,如何取证、举证,如何对证据进行采信,关注不够,相关的研究也太少,宣传的力度也不够。
第二是服务体系不健全。我们不能希望用户自己去解决电子签名应用中的问题。要使用电子签名应用得到推广,必须从技术、使用、争议解决等各个方面为用户提供全方位的服务。我们发现,目前的电子签名服务中,仅有身份认证和证书服务,没有签名应用服务,更没有针对电子签名的司法鉴定和诉讼代理服务,因此,用户在使用电子签名时不放心,还有顾虑。
第三就是要推广好的应用经验。这些年来,在一些行业和领域,已经涌现出很多非常成功的“电子签名”应用案例,我们要及时总结这些案例,加以宣传和推广。
在过去,我们更多的是在关注电子签名中的证书发放,对证书发放者的身份进行了认定,而缺乏对证书发放之后的作用、使用中的问题进行关注,也缺少相关的配套措施。就如同烧水,100度才能开,可是我们现在才烧了50度,如果不再继续添柴、加热,那这壶水永远也烧不开。
孙定:您刚才也说到了,未来还要为《电子签名法》的推广,以及电子认证服务添柴加火,请您介绍一下,下一步工信部会采取哪些具体的措施?
欧阳武:现在,一方面由于用户在计算机使用水平参差不齐,而另一方面没有形成一种“傻瓜式”的便利服务体系,所以很多用户还没有接受电子银行这种方式。
所以对电子签名和电子认证服务来说,不但要完善技术体系,还需要形成服务的体系化;不仅是要完善电子认证服务机构的服务,后面还需要完善更多的后续配套的服务,例如司法鉴定服务、赔偿担保服务等等。
目前全国有30家电子认证服务机构,有的业务就开展得很好,既有呼叫中心的服务,也有上门服务的服务。所以,业界正在探讨,是否可以建立一个电子认证服务联盟。以一种一条龙的服务形式,确保用户在电子签名、电子认证、电子取证、司法诉讼中的任何一个环节,都有相关的机构可以提供优质可靠的服务。
另外一方面,从信息安全协调司日常工作的角度看,在电子认证服务管理方面,我们会加强电子签名工具和软件的认证审计,保证这些签名软件在当前应用环境下的安全性。我们会去审核这些软件工具以及其生产商是否采用了相应的技术手段保证这些软件的可靠性。
采访手记:
“电子签名”大有作为
5年下来,电子认证服务应用并“未达到预期效果”。笔者分析其中原因,应用的行业较少、应用不规范是几个重要的原因。目前,电子认证服务只应用在很少的几个行业中,如金融、电子政务、电子病例等。难道在其他行业就不需要电子签名服务了吗?显然不是的。
以保护虚拟财产为例,笔者就认为,电子认证服务大有潜力可挖。当前,网络游戏如火如荼,很多玩家不但在投入了大量时间,也投入了不少的金钱。玩家获得的每一件绝世装备,其背后都是与时间或金钱成正比的。这也引起了某些“不法分子”的注意力。游戏玩家账户被盗、虚拟装备丢失、绝世武器丢失的事件时有发生。如果我们能对绝世装备这样的虚拟财产、或者是游戏账号等引入电子认证机制,给每一个虚拟财产签上拥有者自己的签名,这样不就可以明确了它的归属权问题吗?至少可以大大降低虚拟财产安全性问题。
除了网络游戏中的虚拟财产,当前电子认证服务最大的杀手级应用是“电子银行”。但应用的不规范,导致问题重重。很多人都会好奇,银行不都是有专门的USB-Key证书来保证电子银行业务的安全吗?可是又有多少知道,这些证书有多少是第三发电子认证服务机构发出的呢?工、农、中、建四大银行,绝大部分都是采用的自建电子认证服务机构发出的证书。当然了,“电子签名法”也规定了在双方约定的情况下,非第三方电子认证机构发出的签名也是有效的。从这个意义上来说,第三方电子认证机构也应该加大这方面的推广力度。
可见电子签名缺少的不是应用,而是广大用户如何在手捧“电子签名法”的同时,把这些应用进一步扩大,让不规范的应用规范起来。所以,我们期盼政府管理部门能进一步完善电子签名及电子认证服务除技术之外的其他环节,形成一种良性的服务体系。(文/汤铭)
总裁感悟:
电子签名仍任重而道远
欧阳武认为,尽管电子签名及认证服务的概念很好,但是要真正实现有效的证书策略并非是一件简单的事情,而是一个复杂的系统工程。
目前,电子证书在应用方面普及程度并不是很高,这和相关部门的推广力度不够有很大关系,但是在技术层面,很多电子证书还不能被所有的软件兼容。很多人都有过这样的经历:当登录某个网站时,微软浏览器上方常常显示“证书错误:导航已阻止”字样。这是因为,为了保证用户输入信息传输和存储的安全,许多网站都采用了服务器证书。但由于发放服务器证书的CA机构,有许多并没有通过微软浏览器的认证,因此,微软浏览器将这些证书都当成是非法证书。结果造成了最终用户的困惑和网站管理者的担忧,他们很难再相信那些CA机构发放的证书了。
所以,欧阳武认为,电子签名应用要得到推广,必须从技术、使用、争议解决等各个方面为用户提供全方位的服务。做到“不但要完善电子签名及认证的技术体系,还需要形成服务的体系化”。
编者注:
有关电子签名进一步的解释,请参看本期后面“信息安全”栏目的《电子签名常见问题解答》。
关注读览天下微信,
100万篇深度好文,
等你来看……