2006年11月6日14时,水利部信息中心高级工程师孙洪林做客赛迪网。与网友们在线探讨电子政务应用与信息安全的分析等热点话题。以下为此次聊天内容摘录:
主持人:现在电子签名的应用已经开始出现了,电子签名在电子政务中有哪些作用呢?
孙洪林:第一章 总则 第三条 当事人约定使用电子签名、数据电文的文书,不得仅因为其采用电子签名、数据电文的形式而否定其法律效力。
因此,电子签名在电子政务中的主要作用就是保证文件内容和形式的完整性、保密性、不可抵赖性,以确保其法律效力得到认可。
第二章 数据电文 第七条 数据电文不得仅因为其是以电子、光学、磁或者类似手段生成、发送、接收或者储存的而被拒绝作为证据使用。
第八条 审查数据电文作为证据的真实性,应当考虑以下因素:
(一)生成、储存或者传递数据电文方法的可靠性;
(二)保持内容完整性方法的可靠性;
(三)用以鉴别发件人方法的可靠性;
(四)其他相关因素。
第三章 电子签名与认证
第十四条 可靠的电子签名与手写签名或者盖章具有同等的法律效力。
第十三条 电子签名同时符合下列条件的,视为可靠的电子签名:
(一)电子签名制作数据用于电子签名时,属于电子签名人专有;
(二)签署时电子签名制作数据仅由电子签名人控制;
(三)签署后对电子签名的任何改动能够被发现;
(四)签署后对数据电文内容和形式的任何改动能够被发现。
主持人:当前我国电子签名的发展和应用情况怎样?
孙洪林:电子签名使用大的方面包括电子政务和电子商务,现在使用比较普遍的是电子商务方面。美国犹他州1995年出台的《电子签名法》则是全球最早的电子商务领域法律。1999年,广东省邮政厅与美国签署了一份网上意向性合同,涉及金额2亿多美元,这一合同被认为是中国电子商务的正式起源。但另一个显著的特点是,中国的电子商务活动增长相当迅速,“自电子商务在中国出现以后,每年的业务增长率平均维持在高达40%左右,有的省增长率更是超过50%甚至100%。在未采用电子签名之前,联想庞大的MIS系统中,一份合同的生效需要通过接收传真、确认、盖章、回函(传真或EMS快递),总耗时大概在两周左右,而采用电子签名系统之后,一份合同从提交到生效,整个过程可在半天内完成。使用习惯、CA权威性、网络环境,诸多问题仍然成为电子签章发展的巨大阻力,来自传统行业的看似守旧的观点,使我们看到企业用户面对《签名法》及电子签章时的谨慎又谨慎?使用上还远不规范。相对于用户体验变更的不利,其他一些环节上的问题也许更为严峻,特别是作为这一产业链上关键环节的CA(Certificate Authority)认证机构的权威性、公信力,以及技术成熟度等问题,都已经成为电子签名是否能够获得企业用户认可的直接前提,特别是在《签名法》实施之后,如何确保采用的相关产品能够为自身带来成本节约和效率提升的同时,也规避掉互联网中有可能存在的多种风险,成为企业用户是否采用电子签名的最大顾虑。
如何说服企业采用电子签名?如何让网络变得诚信?如何让用户信任CA技术?所有的问题放在一起,使刚刚生效的《签名法》显得有些苍白。一方面是法律已经生效,另一方面是各种条件还不够完备,无论是等待兴盛,还是相互妥协,都无法使CA中心的权威性得到用户的认可,这一点已成为电子签章发展的最大障碍。对于当前中国的CA中心而言,更多的是要加强服务意识,加强自身防护的意识,而不是商业意识。 随着互联网快速渗透到社会的各个层面以及各种企事业单位信息化进程的发展,如何建立一套权威、公正的第三方认证机构规范,以及建立一些真正能够做到无缝安全的CA认证中心及产品,将是通过互联网络进行电子签章的可信基础。另一个重要的问题就是如何迅速建立起一批专业技术队伍,这也成为电子签章实施过程中需要跨越的障碍。 如果说人才的缺失还可以等待的话,那么不同CA认证中心由于利益问题而出现的证书版本、规范确立以及相互兼容等问题,则是一个更难以解决的问题。
主持人:电子签名能给我们带来什么?电子签名的使用过程中有哪些风险?
孙洪林:节约成本、提高效率。当前,我国电子印章主要应用于电子商务和电子政务,据中国电子学会2004年的有关报告显示,我国已发出的260万张电子签名证书有80%应用于电子政务。
《电子签名法》虽然强调技术中立原则,但毕竟绝对保持技术中立很难做到;电子签名包括计算机口令、数字签名、生物技术(如指纹、掌纹、视网膜纹、脑电波、声波、DNA)等多种形式的签名,为了保证经电子签名后的数据电文能够长期保存,这就要求一套电子签名系统兼容以前使用过的技术,同时还要兼容其他厂商的技术,随着计算机技术的飞快发展,这个要求几乎是不可能达到的。
目前我国的传统印章是由公安部门管理的,但电子签名本身实际也是一种印章,但其管理基本和公安部门没有关系,主要由信息产业部负责。这种管理部门的更迭可能会带来一定的混乱;数字签名的核心是密码技术,但我国密码技术的市场化应用才刚刚起步,在对密码技术商用、个人使用的管理上还没有什么经验,这是明显的管理隐患。
由于网络、存储等安全得不到绝对保证,所以在电子签名立法中也像其他国家一样,具有一定的局限性,只在特定的领域中使用,即排除了以下几个领域:(1)涉及婚姻、收养、继承等人身关系,(2)涉及土地、房屋等不动产权益转让,(3)涉及停止供水、供热、供气、供电等公用事业服务等领域,(4)法律、行政法规规定的不适用电子文书的其他情形。
主持人:现今国家已经出台了电子签名法,那么请您大致介绍一下它是从哪几个方面对电子签名进行保护?
孙洪林:电子签名法分成几个部分。第一是总则部分,主要强调电子签名和传统的签名方法是有同样的法律效率。第二,有关数据电文的产生、传输和使用方面需要具备的条件。第三,签名和认证的过程、要求。第四部分是相关的法律责任。我觉得现在电子签名法不是一个强制性的法律,是双方的约定。比如说我跟你之间约定电子签名是一个有效的方式,只有双方同意的情况下这个电子签名法才是有效的。不能强制对方不认可的情况下再盖章是有效的。一旦同意了电子签名法的电子签名是有效的,那么你盖的章是具有法律效益的。
主持人:电子签名法是否能够完全保证电子签名在使用中的安全呢?
孙洪林:也不能完全这么说,因为法律只是具体的要求和方法。但是真正做的过程中还有一些问题还是需要注意的。
首先,取得认证资格的电子认证服务提供者,应当按照国务院信息产业主管部门的规定在互联网上公布其名称、许可证号等信息。第十九条 电子认证服务提供者应当制定、公布符合国家有关规定的电子认证业务规则,并向国务院信息产业主管部门备案。电子认证业务规则应当包括责任范围、作业操作规范、信息安全保障措施等事项。
其次,是有关技术征用的问题,我国电子签名法技术不是归一方所有的,但是涉及的数字签名中,特有的电子认证具体问题电子签名法的操作性可以大大的增强。但是也增加了一些技术更新和淘汰,可能给电子签名法带来的一些风险。因为大家都知道IT技术的发展更新是很快的,不管是病毒和防病毒之间的攻防转换都是很快的。电子签名法将认证主要在法规上予以规定,也许是一种更经得住考验的模式。在管理模式上,大家都知道原来的传统印章是归公安部门管理的,而电子印章也是印章,无非这种方式在形式上是电子的,而不是传统的印章。它的管理是归信息产业部管理。这种管理部门的更改和交叉会带来一些混乱。
另外一方面电子签章的核心是密码技术。提供电子认证的机构是需要有自己的密码的。但是密码技术市场化应用刚刚起步,目前我国是少数几个具有对密码技术使用进行专控管理的国家之一,在对密码技术商业和个人使用的管理上还没有什么经验。包括现在提供的数字证书、PKI技术大家都说自己独有。但是到底有没有?这还需要有不断完善、监控、淘汰的过程。再一个就是对网络的不信任,现在网络上什么东西都发,这个信息传过来以后这个信息是不是你这边签好的?中间有没有被截取?更改?这都需要有一个不断完善的过程。
电子签名主要是使用在电子商务和电子政务上,实际上电子商务上现在反而使用的更多,电子政务方面使用的还是少一些。实际的情况是,在电子政务上发的证书比电子商务上发的证书更多。是电子签名法出台以后在电子商务上应用的范围还是比较广的,而且是给一些企业带来很大的经济效益。电子政务上的效益是比较难用经济来衡量的。
主持人:提供电子认证服务应该具备哪些条件?
孙洪林:第十七条 提供电子认证服务,应当具备下列条件:
(一)具有与提供电子认证服务相适应的专业技术人员和管理人员;
(二)具有与提供电子认证服务相适应的资金和经营场所;
(三)具有符合国家安全标准的技术和设备;
(四)具有国家密码管理机构同意使用密码的证明文件;
(五)法律、行政法规规定的其他条件。
《电子认证服务管理办法》对认证机构的条件进一步具体化 第五条 电子认证服务机构,应当具备下列条件:
(一)具有独立的企业法人资格;
(二)从事电子认证服务的专业技术人员、运营管理人员、安全管理人员和客户服务人员不少于三十名;
(三)注册资金不低于人民币三千万元;
(四)具有固定的经营场所和满足电子认证服务要求的物理环境;
(五)具有符合国家有关安全标准的技术和设备;
(六)具有国家密码管理机构同意使用密码的证明文件;
(七)法律、行政法规规定的其他条件。(t227)
