2004年8月28日,十届人大常委会第十一次会议审议通过了《中华人民共和国电子签名法》,确立了电子签名的法律效力,明确规定“可靠的电子签名与手写签名或者盖章具有同等的法律效力”,为我国信息化建设提供了重要的法律制度保障。《电子签名法》涉及的一些概念专业性较强,现就这些概念作一个简单的介绍。
一、什么是电子签名?
电子签名是伴随着信息网络技术的发展而出现的一种安全保障技术,目的就是通过技术手段实现传统的纸面签字或者盖章的功能,以确认交易当事人的真实身份,保证交易的安全性、真实性和不可抵赖性。从广义上讲,在不使用纸张的电子交易环境中,所有通过技术手段生成的,可以代替传统纸面签字或盖章的符号、代码、标识等都可以称为电子签名。根据《电子签名法》的规定,电子签名是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。与手写签名或者盖章一样,电子签名有两个基本功能:一是用于识别签名人的身份,二是表明签名人对文件内容的认可。
电子签名制作数据和电子签名验证数据是与电子签名有着密切联系的两个概念。电子签名制作数据,就是用于生成电子签名并将电子签名与电子签名人可靠地联系起来的字符、编码等数据。电子签名验证数据,就是用于验证电子签名的数据,包括代码、口令、算法或者公钥等。
二、什么是可靠的电子签名?
《电子签名法》规定,可靠的电子签名与手写签名或者盖章具有同等的法律效力,那么什么是可靠的电子签名呢?根据《电子签名法》的规定,同时符合下列四个条件的电子签名视为可靠的电子签名:(1)电子签名制作数据用于电子签名时,属于电子签名人专有;(2)签署时电子签名制作数据仅由电子签名人控制;(3)签署后对电子签名的任何改动能够被发现;(4)签署后对数据电文内容和形式的任何改动能够被发现。此外,根据《电子签名法》的规定,当事人也可以选择使用符合其约定的可靠条件的电子签名。
可靠电子签名的四个条件可以概括为"四性":(1)电子签名制作数据的专有性/唯一性;(2)电子签名制作数据的保密性;(3)电子签名的防篡改性;(4)数据电文的防篡改性。
三、什么是电子签名认证证书?
电子签名认证证书是指可证实电子签名人与电子签名制作数据有联系的数据电文或者其他电子记录。在现实社会中,我们每个人都持有一个自己的《居民身份证》,这是现实社会中确认我们身份的法定证件。但在网络环境中,交易各方互不谋面,无法通过《居民身份证》来确认相互的身份,必须通过技术手段实现网上的身份认证,电子签名认证证书作为"网上身份证"便应运而生。
根据《电子签名法》的规定,电子签名认证证书应包括下列内容:(1)证书签发者名称;(2)证书持有人名称;(3)证书序列号;(4)证书有效期;(5)证书持有人的电子签名验证数据;(6)证书签发者的电子签名;(7)国务院信息产业主管部门规定的其他内容。可以说,证书持有人的电子签名验证数据是电子签名认证证书中最为重要的一项内容,这就类似于居民身份证上的照片,通过它就可以把电子签名和电子签名人可靠地联系起来。
四、什么是电子签名认证服务提供者?
现实社会中用于确认身份的《居民身份证》是由公安机关签发的,公安机关是大家都信得过的一个权威机构。网络环境中,也需要有一个大家都信任的权威机构来签发电子签名认证证书,这个权威机构就是《电子签名法》中所说的电子签名认证服务提供者,其主要作用就是根据电子签名人的申请,为电子签名人签发电子签名认证证书。
我国对电子认证服务实行许可制。从事电子认证服务,应首先应向国务院信息产业主管部门申领电子认证许可证书,并依法向工商行政管理部门办理企业登记手续。根据《电子签名法》的规定,提供电子认证服务,应当具备下列条件:(1)具有与提供电子认证服务相适应的专业技术人员和管理人员;(2)具有与提供电子认证服务相适应的资金和经营场所;(3)具有符合国家安全标准的技术和设备;(4)具有国家密码管理机构同意使用密码的证明文件;(5)法律、行政法规规定的其他条件。
《电子签名法》规定了电子认证服务的几项主要业务规范。包括:(1)依法制定并公布电子认证业务规则。(2)签发证书应查验申请人身份并对有关材料进行审查,确保所签发的证书准确无误,确保证书内容在有效期内完整、准确。(3)暂停或者终止服务前应就业务承接及其他有关事项进行妥善安排。(4)妥善保存与认证相关的信息。电子认证服务业的具体管理办法将由国务院信息产业主管部门依照《电子签名法》的授权另行制定。
五、密码在电子签名中的作用是什么?
具有安全可靠性和经济实用性的电子签名实现技术的核心是密码技术。在电子签名应用中,通常采用公开密钥的密码体制。在这种密码体制下,密钥由公开发布的公钥和保密的私钥组成。私钥和公钥是由密码算法生成的唯一对应的一对数据,通过私钥不能推导出对应的公钥,通过公钥也不能推导出对应的私钥。在这里,私钥就相当于前面所说的电子签名制作数据,公钥就相对于电子签名验证数据。电子签名的基本实现过程是:电子签名人用只有自己知道的私钥对特定数据进行加密生成电子签名,其他人用电子签名人公开发布的公钥对电子签名进行解密以确认电子签名人的身份。电子认证服务提供者签发的电子签名认证证书中最为重要的一项内容就是电子签名人的公钥信息。
正因为密码技术在电子签名中的重要作用,我国《电子签名法》明确规定,开展电子认证服务必须事先取得国家密码管理机构同意使用密码的证明文件,实际上是为电子认证服务市场准入设置了一项前置性行政许可。