电子签名为网上交易安全上把锁

     ４月１日《电子签名法》实施当日的黄昏，北京迎来了第一场春雨。在信息产业部大楼南侧一幢不起眼的三层小楼里，中国电子商务协会政策法律委员会副主任、中国电子商务法律网ＣＥＯ阿拉木斯先生和记者畅谈起《电子签名法》作为信息化领域的第一部法律，对推进信息化社会进程和电子商务发展，以及维护消费者权益方面的重大意义，并着重就消费者普遍关心的具体应用时便捷性和安全性问题做了解读。对普通消费者最现实的意义，在于私密信息安全保障方面，不仅体现在网上交易，在重要文件传输、网上银行转账等方面都更加安全可靠。

《电子签名法》被普遍解释为一部应电子商务而生、服务于电子商务的法律，那么对于消费者来说，除了网上交易活动而外，其他方面有什么应用？对此阿拉木斯先生肯定了其对电子商务发展的促进作用。他说：我国电子交易活动日益频繁，但人们对支付安全的担忧，很大程度上阻止了电子商务发展的脚步。《电子签名法》的实施应用，有助于解决这一难题。目前电子签名的加密技术极难破解，可增强电子交易的安全性，提升网上交易者的信心。

除了网上交易以外，目前有的邮箱提供了电子签名服务，这也是电子签名的应用之一，其目的在于给邮件加密，保障信息传输的安全。另外，前段时间出现几起假冒银行网站的案件，如应用电子签名技术，即可通过验证系统识别其服务器真假，免受损失。所以说，在日常的重要文件传输、网上银行转账等方面，应用电子签名技术也可保证更加安全可靠。

在各种电子签名类型中，数字签名相对更成熟，除了身份确认功能外，还可以保障信息加密传输，更适合在互联网上使用。 记者通过阿拉木斯了解到，电子签名既可以自己制作、双方约定使用，也可以通过第三方认证机构申请办理。目前通过认证机构申领的数字电子签名，均有申领人提供相关手续，由认证机构制作发放。让记者比较感兴趣的是，人的虹膜、指纹、声音，甚至一个行走的姿态等生物信息，都可以作为电子签名来使用，这些生物信息如何制作成电子签名，与数字电子签名有何区别？

“ 虹膜、指纹、声音等生物信息制作的签名，与数字电子签名在应用中最大的区别，在于其只具备身份识别功能，在网络传输过程中因为没有加密，被截获后容易被第三方获取。而数字电子签名目前普遍采用的ＰＫＩ非对称加密技术，相当于１０的１９次方的运算量，是几百台计算机同时计算几个月的工作量，相对更成熟，更安全可靠。 ” 阿拉木斯进一步解释说，采用ＰＫＩ技术的数字电子签名文件，即便在网络传输过程中被黑客获取，但因没有密钥，黑客看到的文件只是乱码，无法解读文件信息。

数字电子签名申领将趋于规范，也为安全增加了砝码。

《电子认证服务机构管理办法》作为配套实施细则与《电子签名法》同时出台。《管理办法》规定，已从事电子认证的机构需从４月１日起重新申报，并于９月３０日前完成资质审验工作。 “ 个人通过身份证等有效身份证件，企业凭营业执照、法人代表资格等相关材料，即可到认证机构办理数字签名证书申领。一般企业年收费要几千元不等，个人年收费一二百元即可。 ” 据阿拉木斯介绍说，电子签名分为个人、企业、服务器三个级别，不同级别加密程度不同。如个人级可能主要用于交流和小额交易，而企业级商业交易涉及的金额相对较高，相应的加密程度也高得多。

据了解，目前国内数字认证机构有三类：一类是行业主管部门建立的ＣＡ中心，如中国金融认证中心、电信ＣＡ、海关ＣＡ等；第二类是地方政府部门建立的ＣＡ中心，如北京ＣＡ、上海ＣＡ；第三类是民间资本建立的商业ＣＡ，如天威诚信等。认证机构少，其他相关法律没有很好衔接，种种掣肘因素不解决，电子商务运转起来还有难度。

据不完全统计，我国现有数字认证机构七八十家，相对集中在北京、上海、广州等大城市。即便不考虑企业，与９０００多万网民的数字相比，认证机构远远满足不了现实需要。此外还有和其他相关法规衔接的问题，比如《票据法》、《会计法》等， “ 电子签名可以支持电子合同，保障网上交易安全，但目前电子格式的发票《会计法》不认可，财务也不能入账，这些相关问题不解决，电子商务还是很难运转起来。 ”

一部法律不可能解决所有问题。综合目前情况，电子商务的法律完善将集中在７个领域：数据与隐私权保护、电子合同、电子支付、电子商务的消费者保护、信息安全、电子商务税收、知识产权问题、相关程序法律问题。目前的法律主要解决了信息流方面的问题，包括电子签名、电子合同、电子记录的法律效力，但是对于信息流的知识产权、信息监管以及资金流的电子支付、电子发票、网上证券、网上银行与物流方面的所有权凭证的转移等没有涉及。

尽管从去年开始我国完成了对《公司法》、《票据法》、《证券法》、《拍卖法》的修订工作，颁布了新的版本，但遗憾的是我们没有在这些法律中找到可以与电子签名法衔接的地方，而相应的衔接对于构建我国电子商务的法律体系是非常重要的。

相关链接
１．名词解释
“ 电子签名 ” 是广义的提法，是以保障基于网络交易平台下交易各方的合法权益为目的，满足和替代传统签名功能的各种电子技术手段，并不是手工签字或印章的图像化。从某种意义上可以说它是电子印章，是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的程序或者符号、声音等数据，签名人加密后把签名文件发送给交易对方，交易对方收到的签名文件是一堆 “ 乱码 ” ，需解密后验证。其中 “ 数据电文 ” 是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。
“ 数字签名 ” 是通过密码技术实现电子交易安全的形象说法，是电子签名的主要实现形式。它力图解决互联网交易面临的几个根本问题：数据保密；数据不被篡改；交易双方能互相验证身份；交易发起方对自己的数据不能否认。
２．其他国家和地区的相关立法
据阿拉木斯介绍，从１９９５年至今，已有３０多个国家、地区和国际组织先后制订了电子签名法或以确立电子签名法律地位为主要内容的电子商务法。其中较重要或影响较大的有：联合国贸易法委员会１９９６年的《电子商务示范法》和２０００年的《电子签名统一规则》、欧盟１９９９年的《关于内部市场中与电子商务有关的若干法律问题的指令》和《电子签名统一框架指令》、德国１９９７年的《信息与通用服务法》、俄罗斯１９９５年的《俄罗斯联邦信息法》、新加坡１９９８年的《电子交易法》、美国２０００年的《国际与国内商务电子签章法》、马来西亚１９９７年《数字签名法》、韩国１９９９年的《电子商务基本法》、日本的《电子签名与认证服务法》等。