来源:搜狐 更新时间:2012-04-13
日前,一则新闻吸引了众多IT人士的眼光:众所瞩目的《电子签名法》已正式提交人大审议。该法被认为是“中国首部真正意义上的信息化法律”,意义重大。为此,在《电子签名法》即将出台和颁布实施之际,搜狐IT特别请国家电子政务标准化总体组专家、著名业界专家、书生公司董事长王东临对有关《电子签名法》有关问题进行了详细的分析和解答——
问:《电子签名法》的立法进展如何?
答:据我所知,《电子签名法》的立法进程大致是这样的:2002年,国务院信息办委托有关单位起草了《中华人民共和国电子签章条例》,最初的定位是行政法规。因为立法程序是比较复杂的,而当时各方面对尽快出台有关法律法规的呼声比较高,因此计划先制定一部行政法规,并争取列入下一届人大(十届人大)的立法规划,在条例颁布并执行两三年后提交人大立法。但是2002年10月国信办将《条例》提交国务院法制办审查后,国务院法制办还是认为应上升到法律。在对条例内容进行了较大幅度的修改后,形成了《中华人民共和国电子签名法(草案)》,于2004年3月25日经国务院常务会议讨论并原则通过,于2004年4月2日向十届人大常委会第八次会议提请审议。虽然在该法的立法进程中一直充满了争议,但总的说来审议进展还算比较顺利,目前看来有望在今年8月或者10月三读通过,完成立法程序。
问:《电子签名法》是如何规定电子签名、数据电文的有效性的?
答:《电子签名法(草案)》对电子签名、数据电文的有效性规定分为四个方面:
1.一般的电子签名、数据电文,“不得仅因为采用电子签名、数据电文的形式而否定其法律效力”, 采用的是不直接肯定其有效性,但不能排除其有效性的方式,仅当再没有其它依据否定其有效性时才有效;
2.对满足特定要求的电子签名、数据电文,进一步直接规定其有效性,“安全的电子签名具有与手写签名或者盖章同等的效力”,满足特定要求的数据电文不仅可以“视为符合法律、法规要求的书面形式”,还可以“视为满足法律、法规规定的原件形式要求”,也可以“视为满足法律、法规规定的文件保存要求”,但对作为证据使用的真实性,只提供了审查原则,没有硬性规定;
3.给予当事人自行约定的权利,如“自然人、法人或者其他组织可以约定使用或者不使用电子签名、数据电文”、“当事人也可以选择使用符合其约定的安全条件的电子签名”等, 这是因为《电子签名法》遵循“最少干预、必要立法”的原则,制定《电子签名法》的主要是目的是为数据电文、电子签名的法律有效性消除法律障碍,至于具体方式方法充分尊重当事人自治,政府尽量少地干预;
4.规定了一些不适用于本法的特定情形:
(一)婚姻、收养、继承等涉及人身关系的文书;
(二)土地使用权、房屋产权等涉及不动产权益转让的文书;
(三)供水、供热、供电等涉及公用事业的文书;
(四)其他不适用电子文书的情形。
问:《电子签名法》的主要适用范围是电子商务还是电子政务?
答:原来有个说法,说《电子签名法》是开展电子政务亟需制定的两部法律之一(另一部是《政务公开法》)。目前看来,《电子签名法》主要还是面向电子商务应用需求的。《电子签名法(草案)》第一章第一条就明确说明,立法目的是为了保障电子商务交易安全,促进电子商务的发展,与电子政务基本上没有关系,仅在最后的附则中以“国务院或者国务院规定的部门可以制定政务活动和其他社会活动中使用电子签名、数据电文的具体办法”这样的条款为电子政务的应用开了一个口子。这是因为电子政务同民事活动的性质有所不同,为了尽快出台法律,《电子签名法》最终限定在电子商务领域。
问:国务院是否制定了有关的具体办法?
据我所知,2000年8月24日国务院颁布了修订后的《国家行政机关公文处理办法》,其中第55条规定“公文处理中涉及电子文件的有关规定另行制定”。2002年8月,国务院办公厅据此制定了《电子公文传输管理暂行办法》,其后于2003年9月21日修订后颁布了《电子公文传输管理办法》,其中明确规定,电子公文与相同内容的纸质公文具有同等法定效力。该办法中也在概念上对电子公文作了明确界定,只有国务院办公厅统一配置的电子公文传输系统处理后形成的具有规范格式的公文的电子数据才具备上述法定效力。根据我个人的理解,该办法原来的效力来自《国家行政机关公文处理办法》这一行政法规,但在《电子签名法》颁布实施后,就有了来自法律的直接授权,有了更高的法律有效性,适用范围也更广了。
问:电子签名必须采用非对称加密(PKI)技术和CA认证方式吗?
答:很多人都以为只有采用PKI和CA才能进行电子签名,实际并不是这么回事。PKI和CA只是电子签名的众多技术中比较常用的一种。《电子签名法(草案)》本着技术中立的原则,并不指出哪种技术更为先进,哪种技术是安全的,只要求该技术满足本法的规定、或当事人自行选择的就可以。就《电子签名法(草案)》的相关规定来看,只要能够满足以下四个条件的电子签名就被视为安全的电子签名:
(一)电子签名生成数据用于电子签名时,属于电子签名人专有;
(二)签署时电子签名生成数据由电子签名人控制;
(三)签署后对电子签名的改动能够被发现;
(四)签署后对数据电文内容和形式的改动能够被发现。
除此之外,《电子签名法(草案)》还规定了“当事人也可以选择使用符合其约定的安全条件的电子签名”。这是因为《电子签名法》遵循“最少干预、必要立法”的原则,制定《电子签名法》的主要是目的是为数据电文、电子签名的法律有效性消除法律障碍,至于具体方式方法充分尊重当事人自治,政府尽量少地干预。
问:请简单介绍一下PKI和CA?
答:PKI是某一类型的加密技术的统称,该类加密技术的加密密钥与解密密钥是不同的,而且相互之间没有任何推导关系,因此被称为非对称加密技术。由于公开其中一个密钥并不影响对另一个密钥的保护,因此也被称为公开密钥技术。CA是采用PKI技术构建的身份认证体系,由大家共同信任的CA中心颁发数字证书(可作为电子签名生成数据),数字证书用CA中心的私钥签名,这样CA用户就可以用CA中心公开的公钥来验证对方的身份。CA适用于非特定用户之间的身份认证,但对网络等应用条件要求较高,管理上也容易出现协调问题,应用推广的难度比较大。
问:除了PKI和CA,还有什么样的电子签名技术?
答:采用PKI和CA技术来实现电子签名是最容易想到的方法。但是CA对应用环境的要求比较高,牵扯面比较广,难以实施应用。特别是在政务活动中应用时,还会受到内网外网划分等问题的困扰,因此尽管多年来各方面建设力度很大,但实际进展不大。《电子签名法》制定时考虑到了这样的情况,为其它的电子签名技术保留了足够的法律空间,使我们可以根据具体情况采用其它更实用的解决方案。例如,有时可以只用PKI不建CA,特别是对于只与上下级等特定对象打交道的应用,而如果采用了硬件加密方案,我们还可以将硬件加密设备中的唯一ID作为电子签名生成数据(《电子签名法(草案)》对电子签名生成数据的唯一要求是能将电子签名与电子签名人可靠地联系起来)。很多类似的方案简便易行,与兴师动众大建CA相比,有其独特的优势。如果采用了国家有关定点单位研制的密码机,安全可靠度就更有保障了,因为装备每一台这样的密码机都是经过国家有关管理部门审批并备案的,严格的管理使其可靠性和可信赖程度远远超出了普通CA中心,可以利用这一点构建更可靠的电子签名技术。
问:书生公司在《电子签名法》立法过程中都发挥了什么作用?
答:《电子签名法》在起草过程中征询了大量专家学者的意见,并充分考虑了目前的应用现状,吸收了业界的成功经验。作为电子签名及其在电子公文、电子印章应用的权威技术厂商,书生公司也是《电子签名法》起草过程中的重点征询对象之一。在最早的《电子签章条例(草案)》中,虽然主要涉及的是基于PKI和CA技术构建的数字签名技术,但还是专门定义了一个更具一般性的电子签名概念,把数字签名技术作为实现电子签名的一种主要技术手段,同时也允许其它的电子签名技术。之所以在概念上作了电子签名和数字签名的区分,主要就是考虑到了书生公司在一些特定应用中采用了一些更实用的技术手段,并取得了良好的应用效果,因此在立法过程中吸收了这样的成功经验。对政务活动中的有关需求,也在征询了包括我们在内的各位专家意见后,建议另行规定。在国务院法制办对本法进行大幅修改后,上述原则得到了进一步的强化,从法律条款上完全抹去了数字签名技术,强化了通用的电子签名概念,并强调技术中立是立法的重要原则。在法律适用范围方面,也明确规定主要用于电子商务,电子政务应用则由国务院另行规定。实际上,国务院截止到目前为止唯一的相关规定——《电子公文传输管理办法》,也是主要参考了书生公司的产品技术及其成功应用而制定的。可以说,书生公司以其先进的技术和成功的实践,成为了《电子签名法》及其相关文件制定过程中的重要参考依据之一。
问:据说,书生公司并不掌握PKI/CA技术?
答: 书生公司是以非PKI/CA的电子签名技术闻名的,反而让很多人都以为书生公司不掌握PKI/CA技术。其实,PKI和CA是常规技术,任何一个有关专业厂商都掌握这样的技术,书生公司自然也不例外。事实上,书生公司的主要产品都普遍使用了PKI技术,并在部分产品中使用了CA技术。实际情况是,使用PKI/CA来构建电子签名是常规技术,但鉴于CA中心的建设和运转往往有很大的应用障碍,不建CA还能实现电子签名才更具有技术挑战性。书生公司有幸在这方面做出了有益的探索,取得了一定的成功经验,今后我们还会不断努力,发明更多的电子签名技术。
问:请展望《电子签名法》颁布后给IT行业带来的机遇。
答:依据《电子签名法》,符合条件的电子文件有了与传统纸张文件同等的效力,这对中国IT产业来说无疑是一个重要里程碑。《电子签名法》颁布后,将会大大拓展IT技术的应用范围,给行业带来一个新的增长点。书生公司作为一家致力于用数字技术取代纸张应用的技术厂商,也是目前在电子文件有效性方面比较成功的领导厂商,在《电子签名法》颁布以前,我们只能根据上述行政法规,在电子政务的有限领域应用我们的先进技术。《电子签名法》颁布以后,就消除了束缚我们手脚的法律限制,使我们可以在更宽广的领域大展鸿图。我们一定会抓住这个机遇,成为带动行业增长的领导力量之一。