dhtuxu 发表于 2009-2-17 13:55:35

电子签名:网上通行的“身份证”

  2004年8月28日,《中华人民共和国电子签名法A>》终于在十届全国人大常委会第十一次会议上获得表决通过,这个“真正意义上的信息化法律”的诞生,是我国进入世界先进数字化国家、网络国家的标志之一。
  电子签名对于从事电子商务的人来说并不陌生,但是将其作为法律规制的对象,人们对于它在法律意义上的地位与作用也许还不是很了解,换句话说我们在网络虚拟世界为什么需要电子签名呢?谈起这个话题,联想起著名相声演员姜昆在相声中讲了一个故事,有一天,他在网上发一个贴子:“嗨!我是姜昆。”顿时有200个网友回应道:“呸!你是姜昆,我还是马季呢!”虽然这是一则小笑话,但它却真实地反映了虚拟世界中一个无法回答的最简单的问题:“你是谁?”
  无法确认身份,导致网络商务活动始终无法真正进入状态——所有在网上进行的商务活动,签协议时还是要通过普通邮件进行确认。这种尴尬正是我们网络交易的现状。《电子签名法》的制定正是基于上述原因,它的出台可以在一定程度上很好地解决这些难题,从而促进电子商务能够良性发展。
  美国是互联网技术的前沿,相应地电子商务方面的立法也处于领先地位,从最早的犹它州《数字签名法》到现在已有40多个州相继为数字签名立法,其中对电子签名的定义基本类似:“电子签名是指一方当事人为了使一项记录具有约束力或生效而执行或采用的电子或数字的方式,这种方式是可以确定其是惟一持有人的,是可以被确认证实的,是被惟一的当事人使用的,是一旦与电子签名相关的电讯数据变化时,电子签名随之失效的。”法律定义固然抽象难懂,但它的目的不外乎是将一项电子技术试图赋予法律上的效力,让新的事物与传统签名方法具有同样的效果和功能。
  “数字签名”是目前电子商务、电子政务中应用最普遍、技术最成熟、可操作性最强的一种电子签名方法。它是采用了规范化的程序和科学化的方法,用于鉴定签名人的身份以及对一项电子数据内容的认可。它还能验证出文件的原文在传输过程中有无变动,确保传输数据的完整性、真实性和不可抵赖性。
  就数字签名技术而言,签名人完成电子签名必须先制作一组“金钥”(其实就是一长串难以记忆的像密码一般的数字)。这组金钥由“私钥”(private key)和“公钥”(public key)组成,私钥由签名人专有,公钥交由对方用以验证相关数据电文之用。
  其中有一个重要的环节不容忽视,那就是关于电子认证服务机构的建设问题。在电子商务中,由于交易的双方互不认识,使得彼此间缺乏信任,如何能使双方消除这个顾虑,这就需要一个具有权威性和公正性的“第三方”对电子签名人的身份进行认证,向交易对方提供信誉保证。从而为网上交易建立一种有效、可靠的保护机制,这也是数字签名制度的核心。这个“第三方”通常由被称为电子认证服务机构(CA)来完成,认证机构的可靠与否,对保证电子签名的真实性和电子交易的安全性起着至关重要的作用。
  认证机构(CA)承担着网上安全电子交易认证服务,能签发数字凭证并能确认用户身份的服务机构。它认证的是所给公钥与私钥是否具有关联性且处于一种有效密钥的最新状态,这种关联性和最新性对数字签名的证实和信用是非常重要的。目前,电子认证在我国仍处于起步阶段,电子认证机构也不甚完善。随着新法案的实施,法律对电子认证的程序和方法将制订统一的规则,以便在进行电子认证操作时有章可循,实现对电子认证工作的规范化管理。
  对于认证机构的管理,国际上有不同的模式。美国强调市场选择,所有在数字签名活动中提供认证服务的机构都是一种商业活动,他们靠自身的技术和信誉获得市场的认可。欧洲则要求中介机构对认证机构进行评测、审计,并对其安全性、可信性给出意见。亚洲一些国家则是政府许可型,日本从事认证业务必须经过许可,韩国的认证机构均由政府指定,新加坡要求认证机构必须由政府批准,香港则是指定香港邮政署为认证服务提供者。
  由于电子签名系统蕴藏着巨大的市场,目前我国外经贸部门、信息产业部、公安部等部门都在建立自己的CA,但是仅从商业角度来运作这一市场显然是不行的。这不但会造成系统的标准不一,造成市场的混乱从而增加认证成本;也不利于CA权威性的建立,最终影响CA认证结果的可信度及其证明效力;更为重要的是,电子签名系统是一个公益性极强的事业,它关系到整个网络技术应用的发展前景,更与个人、社会以至国家的利益、安危息息相关,因此,对它的管理应是一种与税收、国防等事务一样的国家行政行为,现代国家有义务向其人民提供便捷、统一的电子签名系统并有责任保证它的安全与稳定。
  新颁布的《电子签名法》将于2005年4月1日起生效,相信它的施行会引起金融、商务、税务等行业的一次重大历史性革命,从而促进我国的信息化进程。
页: [1]
查看完整版本: 电子签名:网上通行的“身份证”