目前影響電子商務安全主要有計算機網絡安全和商務交易信息安全兩個方面。計算機網絡安全是指作為電子商務交易平臺的計算機網絡的安全,其內容包括計算機網絡設備安全、計算機網絡系統安全、數據庫安全等;商務交易信息安全則包括防止信息竊聽、篡改、偽裝等,確保電子商務數據的完整性、可用性、交易雙方身份的確定性,交易行為的不可抵賴性等。
由於互聯網上電子商務交易平臺的虛擬性和匿名性,計算機網絡安全和商務交易信息安全問題也變得越來越突出,電子簽名技術的應用及其立法為電子商務安全運行提供了重要保障。
壹、電子簽名含義
電子簽名,是現代認證技術的泛稱,美國《統壹電子交易法》規定,“電子簽名”泛指“與電子記錄相聯的或在邏輯上相聯的電子聲音、符合或程序,而該電子聲音、符合或程序是某人為簽署電子記錄的目的而簽訂或采用的”;聯合國《電子商務示範法》中規定,電子簽名是包含、附加在某壹數據電文內,或邏輯上與某壹數據電文相聯系的電子形式的數據,它能被用來證實與此數據電文有關的簽名人的身份,並表明該簽名人認可該數據電文所載信息;歐盟的《電子簽名指令》規定,“電子簽名”泛指“與其他電子記錄相連的或在邏輯上相連並以此作為認證方法的電子形式數據。”
從上述定義來看,凡是能在電子通訊中,起到證明當事人的身份、證明當事人對文件內容的認可的電子技術手段,都可被稱為電子簽名,電子簽名即現代認證技術的壹般性概念,它是電子商務安全的重要保障手段。
總之,所謂電子簽名,是指數據電文中以電子形式所含、所附用於識別簽名人身份並表明簽名人認可其中內容的數據。通俗點說,電子簽名就是通過密碼技術對電子文檔的電子形式的簽名,並非是書面簽名的數字圖像化,它類似於手寫簽名或印章,也可以說它就是電子印章。
目前,可以通過多種技術手段實現電子簽名,在確認了簽署者的確切身份後,電子簽名承認人們可以用多種不同的方法簽署壹份電子記錄。方法有:基於PKI的公鑰密碼技術的數字簽名;以生物特征統計學為基礎的識別標識;手印、聲音印記或視網膜掃描的識別;壹個讓收件人能識別發件人身份的密碼代號、密碼或個人識別碼PIN;基於量子力學的計算機等等。
二、電子簽名的立法
從法律的角度給予電子簽名以傳統簽名、蓋章同等的法律地位,是電子簽名得以廣泛應用和發揮功效的前提,也是近十年來國際電子商務立法的核心內容。
2005年4月1日,我國正式頒布實施《中華人民***和國電子簽名法》(以下簡稱《電子簽名法》)。它的出臺為我國電子商務發展提供了基本的法律保障,它解決了電子簽名的法律效力這壹基本問題,並對電子商務認證機構、電子簽名的安全性、簽名人的行為規範、電子交易中的糾紛認定等壹系列問題做出了明確的規定。
有了《電子簽名法》的相關規定,電子商務發展中的許多問題就有了解決的依據,真正的網上交易將會逐步發展起來,制約電子商務發展的壹些問題也會在發展中逐步解決,我國電子商務將會很快走出無法可依、盲目無序的狀態。但是,《電子簽名法》並不能壹勞永逸地解決電子商務的安全問題。法律只能提供壹個基本的保障,《電子簽名法》可以在壹定程度上提高誠信度,但是要更好地促進電子商務的發展,最主要的還是要建立壹個高信用度的誠信環境,這需要電子商務網站及電子商務交易主體在未來付出更大的努力。
三、電子簽名與電子簽章、電子印章以及數字簽名的關系
電子簽章是指以電子形式存在,依附在電子文件並與其邏輯相關,可用以辨識電子文件簽署者身分及表示簽署者同意電子文件內容。電子簽章必須以符合特定要求安全程序所制作的電子簽章,才能確保簽章的安全。將依特定安全程序制作的電子簽章界定為安全電子簽章,以有別於壹般的電子簽章,並賦予法律上視為簽名或蓋章的效力。因此電子簽章系統主要解決電子文件的簽字蓋章問題,用於辨識電子文件簽署者的身份,保證文件的完整性,確保文件的真實性、可靠性和不可抵賴性;電子簽章應該是電子簽名的重要組成部分之壹。
電子印章分為電子公章和電子名章,它是將公章或名章通過PKI技術進行加密,以數字認證存儲介質方式,在電子文件中應用的電子版的印章。印章及管理系統須經政府授權方可制作,電子印章有望在許多領域替代傳統印章,在網上報稅、電子發票、網上結算、企業年檢等方面,成為《電子簽名法》實施後,推動電子商務和電子政務發展的有效舉措。
基於PKI的電子簽名被稱作“數字簽名”。有人稱“電子簽名”就是“數字簽名”是錯誤的。數字簽名只是電子簽名的壹種特定形式。因為電子簽名雖然獲得了技術中立性,但也帶來使用的不便,法律上又對電子簽名作了進壹步規定,如《電子簽名法》中就規定了“可靠電子簽名”和“高級電子簽名”。實際上就是規定了數字簽名的功能,這種規定使數字簽名獲得了更好的應用安全性和可操作性。目前,具有實際意義的電子簽名只有公鑰密碼理論。所以,目前國內外普遍使用的、技術成熟的、可實際使用的還是基於PKI的數字簽名技術。作為公鑰基礎設施PKI可提供多種網上安全服務,如認證、數據保密性、數據完整性和不可否認性,其中都用到了數字簽名技術。
PKI的核心執行機構是電子認證服務提供者,即通稱為認證機構CA,PKI簽名的核心元素是由CA簽發的數字證書。它所提供的PKI服務就是認證、數據完整性、數據保密性和不可否認性。它的作法就是利用證書公鑰和與之對應的私鑰進行加/解密,並產生對數字電文的簽名及驗證簽名。數字簽名是利用公鑰密碼技術和其他密碼算法生成壹系列符號及代碼組成電子密碼進行簽名,來代替書寫簽名和印章;這種電子式的簽名還可進行技術驗證,其驗證的準確度對手工簽名和圖章的驗證無法比擬的。這種簽名方法可在很大的可信PKI域人群中進行認證,或在多個可信的PKI域中進行交叉認證,它特別適用於互聯網和廣域網上的安全認證和傳輸。
四、電子簽名在電子商務中的應用
電子簽名應用領域包括電子商務,企業信息系統,網上政府采購,金融、財會、保險行業,食品、醫藥,教育,科學研究以及文件管理等方面。但最主要的還是表現在電子商務方面, 在網上將買方、賣方以及服務於他們的中間商(如金融機構)之間的信息交換和交易行為集成到壹起的電子運作方式,如簽定合同、訂購、付費等。目前主要的發達國家以及其它許多國家,包括第三世界的國家,電子簽名都在電子商務中起著非常重要的作用。
由於我國目前已經實施的《電子簽名法》,電子簽名在電子商務中的應用主要表現在以下幾個方面:
首先是對我國電子商務有很大的促進和有力發展的作用。電子簽名法制定的宗旨就是為了保障電子商務的安全,維護有關各方的合法利益,促進電子商務的發展,而制定本法。有了《電子簽名法》就可以解決電子商務參與方的不可否認性,提高電子商務交易的安全;可以實現網上自動在線支付,解決目前我國電子商務的瓶頸問題。
其次是對金融界的應用,金融行業是電子簽名應用最活躍、最廣泛的領域。銀行審核網銀用戶身份的真實性,用戶的身份必須是真實可靠的,簽名才有實際意義,這是使用數字簽名的基礎。交易額大、安全性要求高的交易必須使用數字簽名。由於數字簽名是壹種相對復雜的計算方式,簽名的過程要耗費壹定的系統資源,壹般是在交易金額大、安全性要求高的網銀業務中使用數字簽名。作為金融行業統壹的第三方安全認證機構,在保障網上交易安全,提供公正、可信的認證服務方面發揮了重要的作用。上面是電子簽名在網銀中的應用特點;從應用的範圍和廣度講,目前國內的網上銀行業務中基本上都采用了數字簽名技術。
第三是對《票據法》的改革,有了《電子簽名法》作母法,我國的票據法要以《電子簽名法》作依據,制定和完善整套的銀行新法規。這樣銀行就可以節省大量的紙張印刷,減少費用,提高效益。還有網上證券的交易、網上稅務等等壹方面是缺乏好的的安全支付協議,更主要就是沒有數字簽名的法律保障;技術是基礎,法律是保證,這些都是“電子簽名”應用更大的領域。
最後就是對《合同法》的修改,合同也可以以電子文件形式出現。有了電子簽名作保證,網上招標、網上采購都可以根據電子合同作為依據。為了適應傳統業務經營需要,還可以將電子簽名與傳統的手工簽名或印章做成“電子簽名”可視化,即在驗證了電子簽名真偽的同時,可調用打印經圖形化處理過的手書簽名或圖章,這樣即可適應傳統習慣認證方法,又將簽名向先進電子技術領域推進壹步。
無庸質疑,隨著《電子簽名法》的實施進壹步細化和在實踐中應用與推廣,電子簽名將帶來金融、商務、稅務網上交易和處理的壹次深刻革命,它將大大推動我國電子商務和電子政務的發展。