今年4月1日，是我國信息安全領(lǐng)域的重要法律之一 ——《電子簽名法》頒布5周年的日子。這是一部具有劃時代意義的法律，它為規(guī)范網(wǎng)絡(luò)行為、建立網(wǎng)絡(luò)秩序、增強網(wǎng)絡(luò)信任奠定了法律基礎(chǔ)。但也有人認(rèn)為該法規(guī)過于超前，目前的應(yīng)用與預(yù)期相去甚遠。那么，如何解釋《電子簽名法》的真正含義，怎樣進一步推廣它的應(yīng)用?近日，《計算機世界》報總編孫定特別約見了工業(yè)和信息化部信息安全協(xié)調(diào)司副司長歐陽武，并就相關(guān)問題展開了深入探討。

網(wǎng)絡(luò)經(jīng)濟

需要認(rèn)證服務(wù)

《電子簽名法》施行之前，人們常問的問題是: “我們在網(wǎng)絡(luò)上從事的各種活動，法律上是否承認(rèn)，有沒有法律效力?”制定《電子簽名法》的重要意義之一，就是要消除這樣的疑問。

孫定: 2005年4月1日，《電子簽名法》正式施行，至今已經(jīng)整整5年。有人認(rèn)為，該部法律過于超前，在目前的環(huán)境下施行，并不是很好，而且“電子簽名”目前的應(yīng)用與人們的預(yù)期也相去較遠。工業(yè)和信息化部作為該部法律指定的電子認(rèn)證服務(wù)機構(gòu)監(jiān)管部門，如何看待這一問題?在2005年就頒布這樣一部法律，有何現(xiàn)實意義?

歐陽武: 我認(rèn)為，《電子簽名法》并不超前，而是具有重要的現(xiàn)實意義。其中最突出的意義有三點:

首先，它消除了推動電子商務(wù)、電子政務(wù)等新興業(yè)務(wù)發(fā)展的法律障礙?，F(xiàn)實生活中，我們無論是開展政務(wù)活動、民商事活動還是社會活動，例如向政府提交報告、簽署合同、交換信息、進行交易時，都有簽名或蓋章的要求，簽名或蓋章是文件生效的法定要件。而所有這些，都是為了保留證據(jù)，以便事后產(chǎn)生爭議時作為權(quán)利主張的依據(jù)。

當(dāng)我們把所有這些活動轉(zhuǎn)移到網(wǎng)絡(luò)空間上之后，如何確立電子信息的效力，如何保障網(wǎng)絡(luò)行為的可追溯性，特別是如何滿足法律對簽名、蓋章和書面形式的要求，就成為推進電子政務(wù)和電子商務(wù)發(fā)展首先遇到的問題?！峨娮雍灻ā吩谑┬兄?，人們常問的問題是: “我們在網(wǎng)絡(luò)上從事的各種活動，法律上是否承認(rèn)，有沒有法律效力?”制定《電子簽名法》的重要意義之一，就是要消除這樣的疑問。它首次明確了“可靠的電子簽名與手寫簽名或蓋章具有同等的法律效力”。

第二，互聯(lián)網(wǎng)迅猛發(fā)展，已經(jīng)成為重要的基礎(chǔ)設(shè)施，網(wǎng)絡(luò)經(jīng)濟也已經(jīng)成為一種新興的經(jīng)濟形態(tài)。域名和IP地址是發(fā)展互聯(lián)網(wǎng)和互聯(lián)網(wǎng)業(yè)務(wù)的基礎(chǔ)，由于國際域名登記和IP地址分配機制的原因，實行網(wǎng)絡(luò)實名制的域名不足23%，達到域名信息的真實、完整和準(zhǔn)確的，則不足5%。這已經(jīng)成為了互聯(lián)網(wǎng)信息安全的一個突出問題。在網(wǎng)絡(luò)實名制還沒有實現(xiàn)的情況下，有一種可以有效地解決互聯(lián)網(wǎng)安全機制不足的手段，就是對網(wǎng)站域名和個人身份、機構(gòu)身份進行認(rèn)證，例如服務(wù)器證書、個人身份證書、機構(gòu)身份證書等等，都是電子簽名技術(shù)的應(yīng)用。它是建立互聯(lián)網(wǎng)的信任機制、消除互聯(lián)網(wǎng)上信任體制不健全的一種好辦法。

第三，《電子簽名法》是確定網(wǎng)絡(luò)行為責(zé)任的一種手段。因為，采用可靠的電子簽名技術(shù)，再加上有效的管理，可以保證經(jīng)過可靠電子簽名的數(shù)據(jù)不可更改、不可抵賴。現(xiàn)實生活中，很多人拿著寫有簽名的各種文件上法庭打官司，就是因為這個簽名是不可更改的，代表了簽名人的責(zé)任。映射到互聯(lián)網(wǎng)上，也需要這樣一套機制，否則就找不到網(wǎng)絡(luò)行為的責(zé)任人了。如果不能追溯到網(wǎng)絡(luò)行為的責(zé)任人，那么一切網(wǎng)絡(luò)行為，包括各種網(wǎng)絡(luò)經(jīng)濟活動、各種網(wǎng)絡(luò)服務(wù)行為，就都變成了一種“海市蜃樓”的行為——即使描繪再完美，都如在沙灘上建設(shè)大樓，不可能期望建得很高。

《電子簽名法》的通俗解釋

但與紙質(zhì)文件不同的是，電子文件很容易被修改、復(fù)制，修改的痕跡也不易被察覺。因此，對于電子文件，我們需要找到一種手段，達到手寫簽名與紙質(zhì)文件的“綁定”效果。

孫定: 普通民眾對《電子簽名法》很不了解，甚至業(yè)內(nèi)人士對該法律的認(rèn)識和理解也不是十分深刻，而利用該法維護自身權(quán)益的行為就更為少見了。有人反映，電子簽名及其相關(guān)解釋太過晦澀，大部分的人都看不懂。自工業(yè)和信息化部成立后，專門組織了專家進行研討。請您介紹一下這方面的結(jié)論。

本報總編輯孫定

歐陽武: 首先需要理解什么是電子簽名?！峨娮雍灻ā穼﹄娮雍灻亩x很專業(yè)，對于非專業(yè)人士，確實很難理解。如果簡單、直觀地解釋，電子簽名就是信息空間(也被稱為網(wǎng)絡(luò)空間、電子空間)里具有與物理空間里手寫簽名同樣功能和作用的方法和手段。

手寫簽名很好理解，就是采用墨水筆在書面文件上書寫個人姓名或符號，表明簽名人對文件內(nèi)容的認(rèn)可。但與紙質(zhì)文件不同的是，電子文件很容易被修改、復(fù)制，修改的痕跡也不易被察覺。因此，對于電子文件，我們需要找到一種手段，達到手寫簽名與紙質(zhì)文件的“綁定”效果。只有有了這種手段，才能確保電子文件一經(jīng)簽署就不可更改。這樣，一切網(wǎng)上的信息，一經(jīng)簽署就具有了法律效力。

那么，電子簽名也需要具備一些特點，這就是《電子簽名法》對具有與手寫簽名具有同等法律效力的“可靠電子簽名”的法定要求: 簽名制作數(shù)據(jù)由簽名人專屬; 簽名制作數(shù)據(jù)由簽名人控制; 簽名不可更改; 經(jīng)簽署后的數(shù)據(jù)電文不可更改。

電子簽名可以采用多種形式，如: 附著于電子文件的手寫簽名的數(shù)字化圖像，包括采用生物筆跡辨別法所形成的圖像; 向收件人發(fā)出證實發(fā)送人身份的密碼、計算機口令; 采用特定生物技術(shù)識別工具，如指紋或是眼虹膜透視辨別法等。與手寫簽名不同，手寫簽名與簽署對象文件一般是捆綁在一起的，而電子簽名與簽署對象文件有可能是分離的。

工業(yè)和信息化部信息安全協(xié)調(diào)司副司長歐陽武

孫定: 《電子簽名法》中還有一個重要的概念，就是電子認(rèn)證，什么是電子認(rèn)證?電子簽名為什么需要認(rèn)證?

歐陽武: 認(rèn)證活動并不是網(wǎng)絡(luò)上才有的活動。認(rèn)證活動自古羅馬時代就存在?，F(xiàn)實生活中，認(rèn)證也是普遍存在的。例如司法鑒定、質(zhì)量認(rèn)定、文件公證、會計審計等都是認(rèn)證。

認(rèn)證是指依據(jù)某種標(biāo)準(zhǔn)對有形或者無形的主體進行鑒別、辨認(rèn)，并以某種方式證明其與標(biāo)準(zhǔn)之間符合性的行為或過程。

前面，我們說的都是物理空間里的認(rèn)證行為。在信息空間里，一切都是電子化的。無論是信息還是行為，都轉(zhuǎn)化成為電子代碼，即便是人們在網(wǎng)上的一個動作，也是通過某個程序(即電子代理物)代我們執(zhí)行的。

另外一點就是，一旦“電子代理物”發(fā)生某個動作后，數(shù)據(jù)信息會經(jīng)過多個服務(wù)器、路由器、不同的網(wǎng)絡(luò)進行傳遞，當(dāng)接收方接收到數(shù)據(jù)信息時，如何確保這些信息在傳遞過程中沒有被篡改過，就需要來認(rèn)證。而這個認(rèn)證不是一般機構(gòu)或個人能完成的，它需要具有一定專業(yè)技術(shù)的認(rèn)證機構(gòu)來完成。

電子簽名不同于一般手寫簽名，使用的技術(shù)復(fù)雜，直觀性不強，很多人不具備直接鑒別電子簽名真實性的知識。電子簽名實施過程較多，保證電子簽名真實的環(huán)節(jié)也比較多，要確認(rèn)一個電子簽名，需要從很多環(huán)節(jié)上進行認(rèn)證，這些環(huán)節(jié)包括身份認(rèn)證、技術(shù)手段認(rèn)證、使用環(huán)境認(rèn)證、簽名結(jié)果認(rèn)證等等。因此，我們需要專門機構(gòu)提供電子簽名的認(rèn)證服務(wù)。

工信部

將力推電子簽名

對電子簽名和電子認(rèn)證服務(wù)來說，不但要完善技術(shù)體系，還需要形成服務(wù)的體系化; 不僅要完善電子認(rèn)證服務(wù)機構(gòu)的服務(wù)，還要完善更多的后續(xù)配套措施，例如司法鑒定服務(wù)、賠償擔(dān)保服務(wù)等等。

孫定: 近年來，不斷有人在說，《電子簽名法》頒布以來，實行的效果不盡如意，您覺得主要原因是什么?

歐陽武: 這幾年來，我們也在進行反思，發(fā)現(xiàn)有幾方面的原因。

對于普通用戶來說，他們不需要對電子簽名法的技術(shù)有太深入的了解，因為電子簽名或電子認(rèn)證服務(wù)是一個相對復(fù)雜的機制。特別是在社會應(yīng)用層面，必須保證電子簽名和電子認(rèn)證是一套完整的機制。

而在過去，我們推廣《電子簽名法》的時候，把更多的精力放在了技術(shù)環(huán)節(jié)上，對證書、身份認(rèn)證的環(huán)節(jié)比較多，直接面對用戶的宣傳比較少，特別是對他們關(guān)心的問題關(guān)注不夠。例如一旦產(chǎn)生糾紛，對如何取證、舉證，如何對證據(jù)進行采信等問題關(guān)注不夠，相關(guān)的研究也太少，宣傳的力度也不夠。

第二是服務(wù)體系不健全。我們不能讓用戶自己去解決電子簽名應(yīng)用中出現(xiàn)的問題，要從技術(shù)、使用、爭議解決等各個方面為用戶提供全方位的服務(wù)。我們發(fā)現(xiàn)，目前的電子簽名服務(wù)中，僅有身份認(rèn)證和證書服務(wù)，沒有簽名應(yīng)用服務(wù)，更沒有針對電子簽名的司法鑒定和訴訟代理服務(wù)，因此，用戶在使用電子簽名時不放心，還有顧慮。

第三就是要推廣好的應(yīng)用經(jīng)驗。這些年來，在一些行業(yè)和領(lǐng)域，已經(jīng)涌現(xiàn)出很多非常成功的“電子簽名”應(yīng)用案例，我們要及時總結(jié)這些案例，并加以宣傳和推廣。

在過去，我們關(guān)注更多的是電子簽名中的證書發(fā)放，對證書發(fā)放者的身份進行了認(rèn)定，而缺乏對證書發(fā)放之后的作用、使用中的問題進行關(guān)注，也缺少相關(guān)的配套措施。就如同燒水，100度才能開，可是我們現(xiàn)在才燒了50度，如果不再繼續(xù)添柴、加熱，那這壺水永遠也燒不開。

孫定: 您剛才也說到了，未來還要為《電子簽名法》的推廣，以及電子認(rèn)證服務(wù)添柴加火，請您介紹一下，下一步工信部會采取哪些具體的措施?

歐陽武: 現(xiàn)在，一方面由于用戶計算機使用水平參差不齊，而另一方面沒有形成一種“傻瓜式”的便利服務(wù)體系，所以很多用戶還沒有接受電子簽名這種方式。

所以對電子簽名和電子認(rèn)證服務(wù)來說，不但要完善技術(shù)體系，還需要形成服務(wù)的體系化; 不僅要完善電子認(rèn)證服務(wù)機構(gòu)的服務(wù)，還需要完善更多的后續(xù)配套的服務(wù)，例如司法鑒定服務(wù)、賠償擔(dān)保服務(wù)等等。

目前全國有30家電子認(rèn)證服務(wù)機構(gòu)，有的業(yè)務(wù)就開展得很好，既有呼叫中心的服務(wù)，也有上門服務(wù)。所以，業(yè)界正在探討，是否可以建立一個電子認(rèn)證服務(wù)聯(lián)盟。以一條龍的服務(wù)形式，確保用戶在電子簽名、電子認(rèn)證、電子取證、司法訴訟中的任何一個環(huán)節(jié)，都有相關(guān)的機構(gòu)可以提供優(yōu)質(zhì)可靠的服務(wù)。

另外一方面，從信息安全協(xié)調(diào)司日常工作的角度看，在電子認(rèn)證服務(wù)管理方面，我們會加強電子簽名工具和軟件的認(rèn)證審計，保證這些簽名軟件在當(dāng)前應(yīng)用環(huán)境下的安全性。

采訪手記

“電子簽名”大有作為

5年下來，電子認(rèn)證服務(wù)應(yīng)用并未達到預(yù)期效果。筆者分析其中原因，無外乎是應(yīng)用的行業(yè)較少、應(yīng)用不規(guī)范等。目前，電子認(rèn)證服務(wù)只應(yīng)用在很少的幾個行業(yè)中，如金融、電子政務(wù)、電子病例等。難道在其他行業(yè)就不需要電子簽名服務(wù)了嗎?顯然不是的。

以保護虛擬財產(chǎn)為例，筆者就認(rèn)為，電子認(rèn)證服務(wù)大有潛力可挖。當(dāng)前，網(wǎng)絡(luò)游戲如火如荼，很多玩家不但投入了大量時間，也投入了不少的金錢。玩家獲得的每一件絕世裝備，其背后都是與時間或金錢成正比的。這也引起了某些不法分子的注意。當(dāng)前，游戲玩家賬戶被盜、虛擬裝備丟失、絕世武器丟失的事件時有發(fā)生。如果我們能對絕世裝備這樣的虛擬財產(chǎn)、或者是游戲賬號等引入電子認(rèn)證機制，給每一個虛擬財產(chǎn)簽上擁有者自己的簽名，這樣不就可以明確了它的歸屬權(quán)問題了嗎?至少，它可以大大降低虛擬財產(chǎn)安全性問題。

除了網(wǎng)絡(luò)游戲中的虛擬財產(chǎn)，當(dāng)前電子認(rèn)證服務(wù)最大的應(yīng)用是“電子銀行”。但應(yīng)用的不規(guī)范，導(dǎo)致問題重重。很多人都會好奇，銀行不是有專門的USB-Key證書來保證電子銀行業(yè)務(wù)的安全嗎?可是這些證書又有多少是第三方電子認(rèn)證服務(wù)機構(gòu)發(fā)出的呢?工、農(nóng)、中、建四大銀行，絕大部分采用的是自建電子認(rèn)證服務(wù)機構(gòu)發(fā)出的證書。當(dāng)然了，“電子簽名法”也規(guī)定了在雙方約定的情況下，非第三方電子認(rèn)證機構(gòu)發(fā)出的簽名也是有效的。但從這個意義上來說，第三方電子認(rèn)證機構(gòu)也應(yīng)該加大這方面的推廣力度。

可見電子簽名缺少的不是應(yīng)用，而是廣大用戶如何在手捧《電子簽名法》的同時，把這些應(yīng)用進一步擴大，讓不規(guī)范的應(yīng)用規(guī)范起來。(文/湯銘)

感悟

電子簽名任重而道遠

歐陽武認(rèn)為，盡管電子簽名及認(rèn)證服務(wù)的概念很好，但是要真正實現(xiàn)有效的證書策略，并非是一件簡單的事情，而是一個復(fù)雜的系統(tǒng)工程。

目前，電子證書在應(yīng)用方面普及程度并不是很高，這和用戶的計算機水平不高有關(guān)，但也和相關(guān)部門的推廣力度不夠有很大關(guān)系。除此之外，在技術(shù)層面，很多電子證書還不能被所有的軟件兼容。很多人都有過這樣的經(jīng)歷: 當(dāng)?shù)卿浤硞€網(wǎng)站時，微軟瀏覽器上方常常顯示“證書錯誤: 導(dǎo)航已阻止”字樣。這是因為，為了保證用戶輸入信息傳輸和存儲的安全，許多網(wǎng)站都采用了服務(wù)器證書。但由于發(fā)放服務(wù)器證書的CA機構(gòu)，有許多并沒有通過微軟瀏覽器的認(rèn)證，因此，微軟瀏覽器將這些證書都當(dāng)成是非法證書。結(jié)果造成了最終用戶的困惑和網(wǎng)站管理者的擔(dān)憂，他們很難再相信那些CA機構(gòu)發(fā)放的證書了。

所以，歐陽武認(rèn)為，電子簽名應(yīng)用要得到推廣，必須從技術(shù)、使用、爭議解決等各個方面為用戶提供全方位的服務(wù)。做到“不但要完善電子簽名及認(rèn)證的技術(shù)體系，還需要形成一條龍式的一體化服務(wù)”。