2004年8月28日,十屆人大(dà)常委會第十一(yī)次會議審議通過了《中(zhōng)華人民共和國電(diàn)子簽名法》,确立了電(diàn)子簽名的法律效力,明确規定“可靠的電(diàn)子簽名與手寫簽名或者蓋章具有同等的法律效力”,爲我(wǒ)國信息化建設提供了重要的法律制度保障。《電(diàn)子簽名法》涉及的一(yī)些概念專業性較強,現就這些概念作一(yī)個簡單的介紹。
一(yī)、什麽是電(diàn)子簽名?
電(diàn)子簽名是伴随着信息網絡技術的發展而出現的一(yī)種安全保障技術,目的就是通過技術手段實現傳統的紙(zhǐ)面簽字或者蓋章的功能,以确認交易當事人的真實身份,保證交易的安全性、真實性和不可抵賴性。從廣義上講,在不使用紙(zhǐ)張的電(diàn)子交易環境中(zhōng),所有通過技術手段生(shēng)成的,可以代替傳統紙(zhǐ)面簽字或蓋章的符号、代碼、标識等都可以稱爲電(diàn)子簽名。根據《電(diàn)子簽名法》的規定,電(diàn)子簽名是指數據電(diàn)文中(zhōng)以電(diàn)子形式所含、所附用于識别簽名人身份并表明簽名人認可其中(zhōng)内容的數據。與手寫簽名或者蓋章一(yī)樣,電(diàn)子簽名有兩個基本功能:一(yī)是用于識别簽名人的身份,二是表明簽名人對文件内容的認可。
電(diàn)子簽名制作數據和電(diàn)子簽名驗證數據是與電(diàn)子簽名有着密切聯系的兩個概念。電(diàn)子簽名制作數據,就是用于生(shēng)成電(diàn)子簽名并将電(diàn)子簽名與電(diàn)子簽名人可靠地聯系起來的字符、編碼等數據。電(diàn)子簽名驗證數據,就是用于驗證電(diàn)子簽名的數據,包括代碼、口令、算法或者公鑰等。
二、什麽是可靠的電(diàn)子簽名?
《電(diàn)子簽名法》規定,可靠的電(diàn)子簽名與手寫簽名或者蓋章具有同等的法律效力,那麽什麽是可靠的電(diàn)子簽名呢?根據《電(diàn)子簽名法》的規定,同時符合下(xià)列四個條件的電(diàn)子簽名視爲可靠的電(diàn)子簽名:(1)電(diàn)子簽名制作數據用于電(diàn)子簽名時,屬于電(diàn)子簽名人專有;(2)簽署時電(diàn)子簽名制作數據僅由電(diàn)子簽名人控制;(3)簽署後對電(diàn)子簽名的任何改動能夠被發現;(4)簽署後對數據電(diàn)文内容和形式的任何改動能夠被發現。此外(wài),根據《電(diàn)子簽名法》的規定,當事人也可以選擇使用符合其約定的可靠條件的電(diàn)子簽名。
可靠電(diàn)子簽名的四個條件可以概括爲”四性”:(1)電(diàn)子簽名制作數據的專有性/唯一(yī)性;(2)電(diàn)子簽名制作數據的保密性;(3)電(diàn)子簽名的防篡改性;(4)數據電(diàn)文的防篡改性。
三、什麽是電(diàn)子簽名認證證書(shū)?
電(diàn)子簽名認證證書(shū)是指可證實電(diàn)子簽名人與電(diàn)子簽名制作數據有聯系的數據電(diàn)文或者其他電(diàn)子記錄。在現實社會中(zhōng),我(wǒ)們每個人都持有一(yī)個自己的《居民身份證》,這是現實社會中(zhōng)确認我(wǒ)們身份的法定證件。但在網絡環境中(zhōng),交易各方互不謀面,無法通過《居民身份證》來确認相互的身份,必須通過技術手段實現網上的身份認證,電(diàn)子簽名認證證書(shū)作爲”網上身份證”便應運而生(shēng)。
根據《電(diàn)子簽名法》的規定,電(diàn)子簽名認證證書(shū)應包括下(xià)列内容:(1)證書(shū)簽發者名稱;(2)證書(shū)持有人名稱;(3)證書(shū)序列号;(4)證書(shū)有效期;(5)證書(shū)持有人的電(diàn)子簽名驗證數據;(6)證書(shū)簽發者的電(diàn)子簽名;(7)國務院信息産業主管部門規定的其他内容。可以說,證書(shū)持有人的電(diàn)子簽名驗證數據是電(diàn)子簽名認證證書(shū)中(zhōng)最爲重要的一(yī)項内容,這就類似于居民身份證上的照片,通過它就可以把電(diàn)子簽名和電(diàn)子簽名人可靠地聯系起來。
四、什麽是電(diàn)子簽名認證服務提供者?
現實社會中(zhōng)用于确認身份的《居民身份證》是由公安機關簽發的,公安機關是大(dà)家都信得過的一(yī)個權威機構。網絡環境中(zhōng),也需要有一(yī)個大(dà)家都信任的權威機構來簽發電(diàn)子簽名認證證書(shū),這個權威機構就是《電(diàn)子簽名法》中(zhōng)所說的電(diàn)子簽名認證服務提供者,其主要作用就是根據電(diàn)子簽名人的申請,爲電(diàn)子簽名人簽發電(diàn)子簽名認證證書(shū)。
我(wǒ)國對電(diàn)子認證服務實行許可制。從事電(diàn)子認證服務,應首先應向國務院信息産業主管部門申領電(diàn)子認證許可證書(shū),并依法向工(gōng)商(shāng)行政管理部門辦理企業登記手續。根據《電(diàn)子簽名法》的規定,提供電(diàn)子認證服務,應當具備下(xià)列條件:(1)具有與提供電(diàn)子認證服務相适應的專業技術人員(yuán)和管理人員(yuán);(2)具有與提供電(diàn)子認證服務相适應的資(zī)金和經營場所;(3)具有符合國家安全标準的技術和設備;(4)具有國家密碼管理機構同意使用密碼的證明文件;(5)法律、行政法規規定的其他條件。
《電(diàn)子簽名法》規定了電(diàn)子認證服務的幾項主要業務規範。包括:(1)依法制定并公布電(diàn)子認證業務規則。(2)簽發證書(shū)應查驗申請人身份并對有關材料進行審查,确保所簽發的證書(shū)準确無誤,确保證書(shū)内容在有效期内完整、準确。(3)暫停或者終止服務前應就業務承接及其他有關事項進行妥善安排。(4)妥善保存與認證相關的信息。電(diàn)子認證服務業的具體(tǐ)管理辦法将由國務院信息産業主管部門依照《電(diàn)子簽名法》的授權另行制定。
五、密碼在電(diàn)子簽名中(zhōng)的作用是什麽?
具有安全可靠性和經濟實用性的電(diàn)子簽名實現技術的核心是密碼技術。在電(diàn)子簽名應用中(zhōng),通常采用公開(kāi)密鑰的密碼體(tǐ)制。在這種密碼體(tǐ)制下(xià),密鑰由公開(kāi)發布的公鑰和保密的私鑰組成。私鑰和公鑰是由密碼算法生(shēng)成的唯一(yī)對應的一(yī)對數據,通過私鑰不能推導出對應的公鑰,通過公鑰也不能推導出對應的私鑰。在這裏,私鑰就相當于前面所說的電(diàn)子簽名制作數據,公鑰就相對于電(diàn)子簽名驗證數據。電(diàn)子簽名的基本實現過程是:電(diàn)子簽名人用隻有自己知(zhī)道的私鑰對特定數據進行加密生(shēng)成電(diàn)子簽名,其他人用電(diàn)子簽名人公開(kāi)發布的公鑰對電(diàn)子簽名進行解密以确認電(diàn)子簽名人的身份。電(diàn)子認證服務提供者簽發的電(diàn)子簽名認證證書(shū)中(zhōng)最爲重要的一(yī)項内容就是電(diàn)子簽名人的公鑰信息。
正因爲密碼技術在電(diàn)子簽名中(zhōng)的重要作用,我(wǒ)國《電(diàn)子簽名法》明确規定,開(kāi)展電(diàn)子認證服務必須事先取得國家密碼管理機構同意使用密碼的證明文件,實際上是爲電(diàn)子認證服務市場準入設置了一(yī)項前置性行政許可。