目前影响电子商务安全主要有计算机网络安全和商务交易信息安全两个方面。计算机网络安全是指作为电子商务交易平台的计算机网络的安全,其内容包括计算机网络设备安全、计算机网络系统安全、数据库安全等;商务交易信息安全则包括防止信息窃听、篡改、伪装等,确保电子商务数据的完整性、可用性、交易双方身份的确定性,交易行为的不可抵赖性等。
由于互联网上电子商务交易平台的虚拟性和匿名性,计算机网络安全和商务交易信息安全问题也变得越来越突出,电子签名技术的应用及其立法为电子商务安全运行提供了重要保障。
一、电子签名含义
电子签名,是现代认证技术的泛称,美国《统一电子交易法》规定,“电子签名”泛指“与电子记录相联的或在逻辑上相联的电子声音、符合或程序,而该电子声音、符合或程序是某人为签署电子记录的目的而签订或采用的”;联合国《电子商务示范法》中规定,电子签名是包含、附加在某一数据电文内,或逻辑上与某一数据电文相联系的电子形式的数据,它能被用来证实与此数据电文有关的签名人的身份,并表明该签名人认可该数据电文所载信息;欧盟的《电子签名指令》规定,“电子签名”泛指“与其他电子记录相连的或在逻辑上相连并以此作为认证方法的电子形式数据。”
从上述定义来看,凡是能在电子通讯中,起到证明当事人的身份、证明当事人对文件内容的认可的电子技术手段,都可被称为电子签名,电子签名即现代认证技术的一般性概念,它是电子商务安全的重要保障手段。
总之,所谓电子签名,是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。通俗点说,电子签名就是通过密码技术对电子文档的电子形式的签名,并非是书面签名的数字图像化,它类似于手写签名或印章,也可以说它就是电子印章。
目前,可以通过多种技术手段实现电子签名,在确认了签署者的确切身份后,电子签名承认人们可以用多种不同的方法签署一份电子记录。方法有:基于PKI的公钥密码技术的数字签名;以生物特征统计学为基础的识别标识;手印、声音印记或视网膜扫描的识别;一个让收件人能识别发件人身份的密码代号、密码或个人识别码PIN;基于量子力学的计算机等等。
二、电子签名的立法
从法律的角度给予电子签名以传统签名、盖章同等的法律地位,是电子签名得以广泛应用和发挥功效的前提,也是近十年来国际电子商务立法的核心内容。
2005年4月1日,我国正式颁布实施《中华人民共和国电子签名法》(以下简称《电子签名法》)。它的出台为我国电子商务发展提供了基本的法律保障,它解决了电子签名的法律效力这一基本问题,并对电子商务认证机构、电子签名的安全性、签名人的行为规范、电子交易中的纠纷认定等一系列问题做出了明确的规定。
有了《电子签名法》的相关规定,电子商务发展中的许多问题就有了解决的依据,真正的网上交易将会逐步发展起来,制约电子商务发展的一些问题也会在发展中逐步解决,我国电子商务将会很快走出无法可依、盲目无序的状态。但是,《电子签名法》并不能一劳永逸地解决电子商务的安全问题。法律只能提供一个基本的保障,《电子签名法》可以在一定程度上提高诚信度,但是要更好地促进电子商务的发展,最主要的还是要建立一个高信用度的诚信环境,这需要电子商务网站及电子商务交易主体在未来付出更大的努力。
三、电子签名与电子签章、电子印章以及数字签名的关系
电子签章是指以电子形式存在,依附在电子文件并与其逻辑相关,可用以辨识电子文件签署者身分及表示签署者同意电子文件内容。电子签章必须以符合特定要求安全程序所制作的电子签章,才能确保签章的安全。将依特定安全程序制作的电子签章界定为安全电子签章,以有别于一般的电子签章,并赋予法律上视为签名或盖章的效力。因此电子签章系统主要解决电子文件的签字盖章问题,用于辨识电子文件签署者的身份,保证文件的完整性,确保文件的真实性、可靠性和不可抵赖性;电子签章应该是电子签名的重要组成部分之一。
电子印章分为电子公章和电子名章,它是将公章或名章通过PKI技术进行加密,以数字认证存储介质方式,在电子文件中应用的电子版的印章。印章及管理系统须经政府授权方可制作,电子印章有望在许多领域替代传统印章,在网上报税、电子发票、网上结算、企业年检等方面,成为《电子签名法》实施后,推动电子商务和电子政务发展的有效举措。
基于PKI的电子签名被称作“数字签名”。有人称“电子签名”就是“数字签名”是错误的。数字签名只是电子签名的一种特定形式。因为电子签名虽然获得了技术中立性,但也带来使用的不便,法律上又对电子签名作了进一步规定,如《电子签名法》中就规定了“可靠电子签名”和“高级电子签名”。实际上就是规定了数字签名的功能,这种规定使数字签名获得了更好的应用安全性和可操作性。目前,具有实际意义的电子签名只有公钥密码理论。所以,目前国内外普遍使用的、技术成熟的、可实际使用的还是基于PKI的数字签名技术。作为公钥基础设施PKI可提供多种网上安全服务,如认证、数据保密性、数据完整性和不可否认性,其中都用到了数字签名技术。
PKI的核心执行机构是电子认证服务提供者,即通称为认证机构CA,PKI签名的核心元素是由CA签发的数字证书。它所提供的PKI服务就是认证、数据完整性、数据保密性和不可否认性。它的作法就是利用证书公钥和与之对应的私钥进行加/解密,并产生对数字电文的签名及验证签名。数字签名是利用公钥密码技术和其他密码算法生成一系列符号及代码组成电子密码进行签名,来代替书写签名和印章;这种电子式的签名还可进行技术验证,其验证的准确度对手工签名和图章的验证无法比拟的。这种签名方法可在很大的可信PKI域人群中进行认证,或在多个可信的PKI域中进行交叉认证,它特别适用于互联网和广域网上的安全认证和传输。
四、电子签名在电子商务中的应用
电子签名应用领域包括电子商务,企业信息系统,网上政府采购,金融、财会、保险行业,食品、医药,教育,科学研究以及文件管理等方面。但最主要的还是表现在电子商务方面,在网上将买方、卖方以及服务于他们的中间商(如金融机构)之间的信息交换和交易行为集成到一起的电子运作方式,如签定合同、订购、付费等。目前主要的发达国家以及其它许多国家,包括第三世界的国家,电子签名都在电子商务中起着非常重要的作用。
由于我国目前已经实施的《电子签名法》,电子签名在电子商务中的应用主要表现在以下几个方面:
首先是对我国电子商务有很大的促进和有力发展的作用。电子签名法制定的宗旨就是为了保障电子商务的安全,维护有关各方的合法利益,促进电子商务的发展,而制定本法。有了《电子签名法》就可以解决电子商务参与方的不可否认性,提高电子商务交易的安全;可以实现网上自动在线支付,解决目前我国电子商务的瓶颈问题。
其次是对金融界的应用,金融行业是电子签名应用最活跃、最广泛的领域。银行审核网银用户身份的真实性,用户的身份必须是真实可靠的,签名才有实际意义,这是使用数字签名的基础。交易额大、安全性要求高的交易必须使用数字签名。由于数字签名是一种相对复杂的计算方式,签名的过程要耗费一定的系统资源,一般是在交易金额大、安全性要求高的网银业务中使用数字签名。作为金融行业统一的第三方安全认证机构,在保障网上交易安全,提供公正、可信的认证服务方面发挥了重要的作用。上面是电子签名在网银中的应用特点;从应用的范围和广度讲,目前国内的网上银行业务中基本上都采用了数字签名技术。
第三是对《票据法》的改革,有了《电子签名法》作母法,我国的票据法要以《电子签名法》作依据,制定和完善整套的银行新法规。这样银行就可以节省大量的纸张印刷,减少费用,提高效益。还有网上证券的交易、网上税务等等一方面是缺乏好的的安全支付协议,更主要就是没有数字签名的法律保障;技术是基础,法律是保证,这些都是“电子签名”应用更大的领域。
随着电子商务的发展,电子签名应运而生。所谓电子签名,是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据,通俗地说,也就是通过密码技术对电子文件所进行的电子形式的签名。电子签名运用一定的加密技术,将签名人信息转化为加密状态,并在需要时进行解密还原。电子文件在经过电子签名后,就可以用来识别签名人的身份以及文件内容是否是签名人所认可的原本内容。
电子签名在电子商务交易过程中起着不可缺少的重要作用。道理很简单,如果没有电子签名,那么电子合同的签订、电子商务交易无从谈起。因此,电子签名是电子商务开展过程中一个不可缺少的重要环节。传统的法律文本是以纸张为介质,以当事人的手写签名为认定标准,在长达几千年的人类文明中,这被认为是一个极其自然、没有人会发生任何疑问的规则。但是,电子签名的出现提出了新问题:首先,电子签名能不能具有和纸面签名同样的法律效力?其次,什么样的电子签名才能成为有效的电子签名?同时,还有其他方面的一些问题,如电子签名的安全性、电子签名人的行为规范、电子交易中的纠纷认定等等。
所有这些问题都带来了法律上的空白,电子商务的飞速发展使得相关立法成为必要。因此,电子商务产生不久,一些发达国家就相继制定了相关的法律规范。1995年美国犹他州制定了世界上第一部电子签名法,1996年联合国贸易法委员会制定了《电子签名示范法》,1999年欧盟制定了《电子签名指令》,2000年美国制定了《国际国内商务电子签名法》,日本出台了《关于电子签名及认证业务的法律(电子签名法)》,新加坡、韩国等许多国家也制定了相关法律。到目前为止,全世界有40多个国家制定了有关电子商务方面的法律,对规范电子签名活动、保障电子交易安全、维护电子交易各方的合法权益、促进电子商务的健康发展起了重要作用。
二、我国《电子签名法》的内容与特点
为规范电子商务行为、给电子商务发展提供必要的法律保障,在经过数年的酝酿和准备之后,我国从2003年4月开始了电子签名法的起草工作。在起草《电子签名法》的过程中,我国充分借鉴了联合国《电子商务示范法》及美国、欧盟、日本、韩国、新加坡等国家的有关立法,并广泛听取了国内电子商务和法律方面专家的意见。2004年4月2日,十届全国人大常委会第八次会议首次对电子签名法草案进行了审议,中间又经过两次修改和审议,最终在8月28日通过了《电子签名法》,并于2005年4月1日起实施。
我国《电子签名法》明确和规范了以下几个方面的问题:
1.明确了电子签名的法律效力。《电子签名法》明确规定,“民事活动中的合同或者其他文件、单证等文书,当事人可以约定使用或者不使用电子签名、数据电文。当事人约定使用电子签名、数据电文的文书,不得仅因为其采用电子签名、数据电文的形式而否定其法律效力。”这样,电子签名便具有与手写签字或者盖章同等的法律效力:同时承认电子文件与书面文书具有同等效力,从而使现行的民商事法律可以适用于电子文件。
2.明确了电子签名所需要的技术和法理条件。电子签名必须同时符合“电子签名制作数据用于电子签名时,属于电子签名人专有”、“签署时电子签名制作数据仅由电子签名人控制”、“签署后对电子签名的任何改动能够被发现”、“签署后对数据电文内容和形式的任何改动能够被发现”等若干条件,才能被视为可靠的电子签名。这一条款为确保电子签名安全、准确以及防范欺诈行为提供了严格的、具有可操作性的法律规定。
3.对电子商务认证机构和行为做了规定。电子商务需要第三方对电子签名人的身份进行认证,这个第三方称为电子认证服务机构。认证机构的可靠与否对电子签名的真实性和电子交易的安全性起着关键作用。考虑到目前中国社会信用体系还不健全,为了确保电子交易的安全可靠,《电子签名法》规定了认证服务市场准入制度,明确了由政府对认证机构实行资质管理的制度,并对电子认证服务机构提出了严格的人员、资金、技术、设备等方面的条件限制。
4.明确了电子商务交易双方和认证机构在电子签名活动中的权利、义务和行为规范。如对电子合同中数据电文的发送和接收时间、数据电文的发送和接收地点、电子签名人向电子认证服务提供者申请电子签名认证证书的程序、电子认证服务提供者提供服务的原则、电子签名人或认证机构各自应承担的法律义务与责任等问题,都作出了明确的规定。
5.明确了“技术中立”原则。这次立法借鉴了联合国电子签名示范法的“技术中立”原则,只规定了作为可靠的电子签名应该达到的标准,没有限定使用哪一种技术来达到这一标准,这为以后新技术的采用留下了空间。
6.增加了有关政府监管部门法律责任的条款。“负责电子认证服务业监督管理工作的部门的工作人员,不依法履行行政许可、监督管理职责的,依法给予行政处分;构成犯罪的,依法追究刑事责任。”由立法明确指出追究不依法进行监督管理人员的法律责任,这是国外电子商务立法中所没有的。也是针对目前我国市场信用制度落后、电子商务大环境不完善而特别需要加强监管的国情而实际做出的。
三、《电子签名法》将推进我国电子商务发展
《电子签名法》的出台是我国电子商务发展中的一个里程碑。它对保证电子商务交易、促进电子商务发展具有举足轻重的意义,而且对今后电子政务以及未来全面的社会信息化都将产生深远的影响。
从国内外的发展实践来看,电子商务分为三个层次。第一个层次是企业上网,企业建立网站在互联网上各种企业和产品信息;第二个层次是网络营销,企业通过网络来搜集市场信息和商业机会,进行产品推广和销售;第三个层次是标准化网上交易,即包括签约、支付等的一系列交易程序全部在网上完成。现在发达国家电子商务发展已经达到第三个层次,而我国电子商务进展缓慢,这里面原因很多,但缺少相关法律保障是其中一个很重要的制约因素。在没有相关立法保障的情况下,网上签名签约无法进行,网上交易无法开展,企业只好采取在网上沟通信息、然后以传统方式完成交易的这样一种“土洋结合”的方式,使我国电子商务只能停留在企业上网和网络营销的层次,而无法向更高一级的层次发展。
《电子签名法》的出台为我国电子商务发展提供了基本的法律保障,它解决了电子签名的法律效力这一基本问题,并对电子商务认证机构、电子签名的安全性、签名人的行为规范、电子交易中的纠纷认定等一系列问题作出了明确的规定。有了《电子签名法》的相关规定,电子商务发展中的许多问题就有了解决的依据,真正的网上交易将会逐步发展起来,制约电子商务发展的一些问题也会在发展中逐步解决,我国电子商务将会很快走出无法可依、盲目无序的状态。
《中华人民共和国电子签名法》(以下简称《电子签名法》)已经生效,可靠的电子签名与手写签名或者盖章具有同等的法律效力。在比较的基础上,寻找电子签名与手写签名的差异对于揭示电子签名的特性是十分必要的。
“电子签名是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。数据电文是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息(《电子签名法》)。”签署时,电子签名制作数据属于电子签名人专有、专控;而且签署后,对电子签名或数据电文内容和形式的任何改动能够被发现的电子签名是可靠的电子签名。可靠的电子签名与手写签名或者名章具有同等的法律效力!
数字签名就是指由非对称密码系统生成和验证的电子签名。非对称密码系统能够生成安全配对的密钥,私钥用于制作数字签名、公钥用于验证数字签名。数字签名是技术最成熟、可操作性最强的电子签名技术,目前普遍使用的电子签名就是数字签名。所谓电子签名,一般指的就是“数字签名”。
电子签名与手写签名的差异主要体现在以下几个方面:
一、使用前提条件的差异
电子签名文件的使用需要当事人事先约定。《电子签名法》规定:“民事活动中的合同或者其他文件、单证等文书,当事人可以约定使用或者不使用电子签名、数据电文。”电子签名文件可视为数据电文的一种形式。手写签名文件的使用是约定俗成,不需要当事人事先约定。
二、适用范围的差异
电子签名文件的适用范围不如手写签名文件广,目前还不能适用于涉及婚姻、收养、继承等人身关系;不涉及土地、房屋等不动产权益转让;不涉及停止供水、供热、供气、供电等公用事业服务;以及法律、行政法规规定的不适用电子文书的其他情形。
三、签署方式的差异
在电子文件上签署数字签名,就是用私钥对电子文件及与其一起存储的电子文件消息摘要数据进行加密。其中,加密算法一般采用RSA算法或DSA算法;校验消息摘要的算法一般采用MD5算法或SHA-1算法。可在文字型电子文件(或电子邮件、软件)上签署数字签名。
手写签名签署方式使得在各种纸质文件上书写的签名具有明显的个性特征。
四、外观的差异
数字签名的外观形式可分为:隐含式(数字签名外观无任何文字、图形等可见标记,即数字签名是不可见的);文本式(数字签名外观是一组无个体特征的通用字体文字,例如楷体、隶书等);图形/图像式(数字签名外观是有个体特征的手写签名文字构成的图形或印章图像)。从外观形式上看,图形/图像式数字签名更接近人的手写签名或印章,因此更容易为人们所接受。
手写签名的外观是有个性特征的手写体文字。
五、验证的差异
在需要验证的数据上,数字签名验证数据是指用于验证数字签名真伪的数据,包括代码、口令、算法或公钥等,通常保存在数字证书中的。数字证书是一种数字签名的声明,它将公钥的值绑定到持有对应私钥的个人或设备的身份,从而用于验证某人或某设备的身份。而手写签名的验证数据是指手写体签名的个体特征信息,通常包含在以往保存的手写签名文件中。
在需要验证的项目上,每个数字签名与包含私钥和公钥的配置文件关联。数字签名通过使用私钥一公钥系统来验证对数据签名的人的身份,可靠数字签名还可以证明自从电子文件签署数字签名以来,其内容尚未发生更改,从而确保电子文件内容的完整无误(即原始性)。数字签名实现了“原始性”和“认可性”这两项重要的安全功能,而这是电子文件管理的基本要求。
数字签名的验证项目具体包括:(1)电子文件内容的原始性验证――通过校验码验证电子文件内容是否更改。(2)数字签名认证――通过验证CA的数字证书的合法性来证实数字签名的真伪。(3)查看数字证书――查看数字证书中所包含的数字签名者的个人信息。(4)查看签署数字签名的时间。(5)查看数字签名软件的版本。
而在手写签名中,笔迹是书写者自身生理特点和后天练习的综合反映,正所谓“字如其人”。基于笔迹的内在特点,手写签名已成为鉴别人们身份的常用手段之一。手写签名的验证项目包括:签名文字的纵横布局、间架结构;运笔习惯;手写签名文件上标注的日期;签名字迹和签名纸张的新旧程度等。
数字签名验证人拥有或可以直接访问数字签名人的数字证书(内含公钥),以验证电子文件中数字签名的真伪及数字签名人的身份。这种验证方式适用于在互相信任的单位或个人之间,直接验证对方的数字签名。
通过目视比较、识别手写体签名的个体特征信息及其笔迹,从而确认手写签名的真伪。
在数字签名与手写签名的认证方式上,数字签名通过CA(CertificateAuthority)即数字证书管理机构――依法设立的电子认证服务提供者来进行。CA提供数字签名所属的数字证书、公钥一私钥的认证及数字时间戳服务。CA认证数字签名的过程如下:(1)数字签名人通过计算机网络发送已经签署数字签名的电子文件给CA。(2)收到电子文件后,CA验证其中数字签名人的身份为真,且自从签名以来文件内容尚未发生更改后,再在该数字签名文件上签署CA自己的数字签名并加盖数字时间戳,然后通过计算机网络将其发送给电子文件接收人。(3)收到CA发送来的数字签名文件后,接收人验证其中CA数字签名的真伪及文件内容是否更改,并查看数字时间戳。经CA认证的数字签名使数字签名文件接收人能够确信发送者的身份和信息的原始性。CA所起的作用就相当于“网上电子公证处”,经CA认证数字签名的电子文件具有不可否认性。
手写签名的认证由公证处的公证员对手写签名文件进行公证。经公证的手写签名文件具有不可否认性。
在数字签名与手写签名的验证设备上,验证数字签名必须使用计算机及数字签名验证软件,软件形式包括:嵌入式数字签名软件;内含验证数字签名功能的阅读器(或浏览器);内含生成/验证数字签名功能的专用软件。
手写签名的验证设备主要是放大镜或显微镜。
六、法律有效期的差异
数字证书只有在指定的期限内才有效,数字证书到期,必须再申请一个新的数字证书。既可以用同一密钥续订证书,也可以用新密钥续订证书。目前的电子签名系统是靠时间戳来确定签署数字签名的时间的。时间戳是由受信任的第三方(例如,CA)指定的在特定的时间和日期存在特定消息的证书。在数字环境中,CA通过使时间戳服务将时间值附加到消息,然后对结果进行数字签名来为给定的消息生成受信任的时间戳。
笔者认为通过数字证书验证数字签名为真的电子文件,在数字证书的失效后仍然具有法律效力!但前提是数字签名必须是在该数字证书有效期内由该数字证书绑定的私钥签署的。由此可见,判断签署数字签名的时间是否在验证其真伪的数字证书的有效期内,就成为判断真的数字签名是否具有的法律效力的关键了!目前的数字签名系统是靠时间戳来确定签署数字签名的时间的。如果数字签名文件的时间戳在数字证书的有效期内,且数字签名为真,则该文件具有法律效力;否则,该文件不具有法律效力。
手写签名文件的法律有效期是由有关法律规定的。
(作者单位:黑龙江大学历史文化旅游学院档案系150080)
为贯彻国家税务总局有关“落实两个减负、优化纳税服务”的工作要求,市局决定在本市推行防伪税控远程抄报税(以下简称“远程抄报税”)和电子申报企业电子签名、电子印章(以下简称“电子签名”),现将有关要求通知如下:
一、定义
远程抄报税,是指增值税一般纳税人通过网络,将当月增值税专用发票开票明细数据,传送到税务机关的防伪税控报税系统,然后,对纳税人防伪税控开票子系统进行“清零、解锁”的过程。
电子签名,是指纳税人在网上电子申报时,填写完毕纳税申报表、会计报表及其他相关附列资料后,通过计算机技术手段在电子报表下方出现128位具有法律效力的电子签名串。电子印章是考虑到纳税人的习惯做法,纳税人申报时在电子报表下方可加电子印章。申请电子签名的,可以继续使用纳税人已有的32KCA证书,不需支付任何费用;申请电子印章的,需去上海市数字证书认证中心扫描公章,而且要求CA证书U棒容量必须是64K。若属使用32KCA证书用户必须至上海市数字证书认证中心购买64KCA证书(费用约80元)。
二、远程抄报税和电子签名的推行范围
(一)远程抄报税推行范围:
1.原则上已经使用防伪税控开票系统的企业全部推行远程抄报税系统。
2.新认定的增值税一般纳税人直接推行远程抄报税系统。
(二)电子签名和电子印章推行范围:
所有采用电子申报的纳税人。电子印章由纳税人根据自身需要自愿选择使用。
三、职责分工
(一)征管部门具体负责推行的组织工作和业务管理工作。
(二)信息技术部门负责做好推行工作所涉及税务系统内部的技术支持工作。
(三)上海爱信诺航天信息有限公司(以下简称爱信诺)负责企业开票人员培训、为企业进行网上CA开户、向北京航信办理企业注册、安装调试远程开票系统,以及其他相关的技术支持和服务工作。
(四)各电子申报网站服务公司配合分局做好电子签名和电子印章推广使用的服务工作。
四、推行工作流程
(
六、推行计划
(一)远程抄报税:
从*年10月开始启动,已进行试点的7个分局(徐汇、杨浦、宝山、南汇、嘉定、青浦、崇明)已基本完成推行;其余分局按市局计划逐步推行,原则上要求于2009年5月底完成本市推广工作。具体实施计划市局将另行下达。
(二)电子签名和电子印章: