张昊 翁健 潘金昌
摘 要:电子签名是确保电子商务交易安全的有效手段之一。粤港电子签名证书互认为粤港两地提供了网络交易双方身份真实性确认的解决方案,在法律上保障了两地商家及消费者电子交易的权益,促进了两地跨境电子商务健康有序发展。文章分析了互认的法律文件,阐述了互认模式,分析了互认技术,并为做好粤港澳大湾区电子签名证书互认工作提出了建议。。
关键词:电子签名;电子签名证书;数字证书;证书策略;互认
中图分类号: TP309.2 文献标识码:A
Abstract: The electronic signature is an effective means of ensuring the security of e-commerce transactions. The solution of identity authenticity confirmation of both parties of online transaction in Guangdong and Hong Kong is supplied by Mutual recognition of Guangdong and Hong Kong electronic signature certificate, protecting the rights and interests of businesses and consumers in the two places in electronic transactions, and promoting the healthy and orderly development of cross-border e-commerce between the two places. This paper analyzes the legal documents of mutual recognition. The mutual recognition model is elaborated, and Mutual recognition technology is analyzed. Suggestions for mutual recognition of e-signature certificates in Guangdong, Hong Kong and Macao are provided.
Key words: electronic signature; electronic signature certificate; digital signature certificate; certificate policy; mutual recognition
1 引言
当前,随着国家加快5G网络、数据中心等新型基础设施建设进度,网络数字经济深刻融入国民经济各领域,数字技术加持下的粤港跨境电商加速发展,在优化粤港澳大湾区经济结构、促进产业转型升级等方面的作用日益凸显,扩大了内需与消费升级。
与此同时也看到,网络身份盗用、交易诈骗、网络钓鱼等各种安全事件频发,严重打击网络用户的信心,阻碍了网络应用的快速发展。对于基于国际互联网、移动互联网的公共服务、金融、电子商務等行业,其对数据高度敏感,对安全性要求极高,迫切需要利用电子签名证书技术确保网上服务、网络交易过程中所有信息处理过程和电子文档的真实、可信、内容完整和不可否认,亟需构建基于电子签名证书的可信网络空间认证体系。
2012年7月颁布实施的粤港两地电子签名证书互认办法,开启了跨境电子签名证书互认模式,通过粤港电子签名证书互认解决了粤港两地网络交易双方身份真实性的问题,在法律上保障了两地商家及消费者的权益,促进了两地跨境电商健康有序发展。
《粤港澳大湾区发展规划纲要》明确指出,粤港澳大湾区要探索协调协同发展新模式,深化珠三角九市与港澳全面务实合作,促进人员、物资、资金、信息便捷有序流动。当前以网络数字技术为代表的前沿科技飞速发展及跨境电子商务应用,更为粤港澳三地融合发展创造出便利条件。电子签名证书互认,作为加强粤港澳大湾区网络安全的重要网络基础设施,将有助于大湾区信息化服务水平提升,改善与全球投资贸易规则制度相衔接的良好营商环境,为粤港澳大湾区经济社会发展提供有力网络安全保障支撑。
2 粤港两地电子签名证书互认基础
世界已有多个国家和地区通过立法加强规范电子签名活动,保障电子安全交易,维护电子交易各方的合法权益,促进电子商务的健康发展。国际上第一部电子签名法制定于1995年,由美国犹他州制定;新加坡于1998年颁布《电子商务法》,其中核心内容之一即是“电子签名”。1996年联合国国际贸易法委员会推出的《电子商务示范法》,其中第7条对“签名”问题做了具体规定。此外,俄罗斯、欧盟及我国香港特别行政区也都制定了相关的法律。
2.1 境内电子签名证书(数字证书)管理
在我国,根据《中华人民共和国电子签名法》(以下简称《电子签名法》)、《电子认证服务管理办法》以及《电子认证业务规则规范(试行)》,对电子认证服务机构CA,由国务院信息产业主管部门对认证机构实行许可和审批。《电子签名法》十六条所述“电子签名需要第三方认证的,由依法设立的电子认证服务提供者提供认证服务”。目前,电子认证服务机构CA签发的主要是数字证书(也称公钥证书),包含公钥拥有者信息、公钥本身、证书签发者信息、有效期以及若干扩展信息的一种电子记录。电子认证服务机构通过给从事交易的各方主体签发数字证书、提供证书验证服务等手段,来保证交易过程中各方主体电子签名的真实性和可靠性,目前已经大量应用于网上银行、电子商务等互联网交易中。
2.2 香港特区电子签名证书(数码证书)管理
根据香港特别行政区《电子交易条例》,核证机关(电子认证服务机构),向香港特区政府资讯科技总监办公室自愿提出申请,成为认可核证机关。获认可的核证机关及其发出的数码证书(电子签名证书)必须达到政府接纳的标准《认可核证机关业务守则》,方可获得认可。
2.3 境外电子签名证书管理
《电子签名法》第二十六条规定,经国务院信息产业主管部门根据有关协议或者对等原则核准后,中华人民共和国境外的电子认证服务提供者在境外签发的电子签名认证证书与依照本法设立的电子认证服务提供者签发的电子签名认证证书具有同等的法律效力。第二十六条是关于我国境外的电子认证服务提供者在境外签发的电子签名认证证书的法律效力的规定。其内涵包括以下两点[1]。
(1)在跨国境的电子商务中,最重要一个环节是对处于不同司法管辖范围内的交易人的身份进行认证。这就要涉及到电子证书的跨境认证,实现跨境认证有几种方式。第一,允许境外的认证机构在本地提供服务;第二,境内的认证机构出境提供认证服务;第三,不同司法管辖范围内的认证机构达成互认证协议。第一和第二种方式,都是服务贸易的延伸。一旦境内的认证机构出境或境外的认证机构进境,都可以被视为本地的认证机构,都应当受到本地法律的管辖。《中华人民共和国电子签名法》第二十六条所称的境外的电子认证服务者是指不受本地法律管辖的电子认证服务提供者。在认证过程中出现争议时,会涉及到两种法律体系和两种司法制度协调。因此,不同国别的电子认证服务的相互认证必须由两国政府根据国际法原则协商确定解决。
(2)《电子签名法》第二十六条规定的有关协议是指,根据两国政府间的协议,而对等原则是指别国政府或法律对中国境内的电子认证服务提供者提供的认证服务的态度。依据这两点,信息产业主管部门可以核准确认,哪些境外的认证机构签发的认证证书可以在我国境内使用。
《电子签名法》第二十六条的法律规定虽然为境内外电子签名证书互认工作的实施进行规定,由于粤港两地多家电子认证服务机构在法律、运营管理和技术上存在差异,其签发的电子签名证书,在证书格式等方面存在较大差异,迫切需要制订互认办法、互认证书策略进行规范、确保可以互认,进而提高两地跨境网上服务贸易的安全性,使粤港两地服务贸易更加便利,有利于进一步加强粤港两地的经济交往和贸易发展。
3 粤港两地电子签名证书互认办法
3.1 粤港两地电子签名证书互认文件
粤港两地电子签名证书互认办法文件签署的主要依据包括四个文件:(1)《中华人民共和国电子签名法》;(2)香港特别行政区《电子交易条例》;(3)2008年7月签订的《<内地与香港关于建立更紧密经贸关系的安排>补充协议五》;(4)2009年6月签订的《粤港电子签名证书互认试点的框架性意见》。
2012年7月,为落实CEPA协议,推动粤港服务贸易便利化,经工业和信息化部、广东省人民政府、香港特别行政区政府批准,《粤港两地电子签名证书互认办法》颁布实施,标志着粤港两地电子签名证书互认工作常规化的开始。
3.2 粤港两地电子签名证书互认证书管理
粤港两地电子签名证书互认办法,作为粤港电子签名证书互认的管理文件,规定了适用范围、证书互认方式和发布、证书互认申请、证书互认核准、证书互认暂停和终止、電子认证服务机构的职责、证书互认管理、发布和生效等内容。具体包括五方面内容。
(1)粤港电子签名证书互认使用交叉识别方式(Cross Recognition),以信任列表(Trust List)发布。广东省工业和信息化厅(受工业和信息化部委托)和香港特别行政区政府资讯科技总监办公室发布本地信任列表,同时发布对方的信任列表。
(2)粤港电子签名互认证书:依据《中华人民共和国电子签名法》获得电子认证服务许可并在广东省注册登记的第三方电子认证服务机构CA或依据香港特别行政区《电子交易条例》成立的认可核证机关签发,且应用于粤港跨境电子交易的电子签名证书或认可数码证书,主要包括个人电子签名证书和组织机构电子签名证书。
(3)粤港电子签名互认证书准确载明内容:证书签发机构名称、证书持有人名称、证书序列号、证书有效期、证书持有人的签名验证数据、证书签发机构的签名、证书策略对象标识符等。
(4)粤港电子签名互认证书策略(Certification Policy,CP):核准电子认证服务机构签发的电子签名证书能否应用于粤港跨境电子交易的重要依据,为批准、签发、管理、使用、吊销、更新证书和相关的可信服务制定商务、法律和技术上的规范。
(5)电子认证服务机构(包括其注册机构)管理,制定符合粤港电子签名互认证书策略的电子认证业务规则,提供认证服务和相关的基础设施,所有和认证业务相关的活动须符合本地法律法规和主管部门的规定。
3.3 粤港两地电子签名证书互认意义
2012年7月颁布实施的《粤港两地电子签名证书互认办法》,标志着粤港两地以“粤港电子签名证书互认试点的框架性意见”为基础,采取签订区域性协议的方式,在证书互认方面达成最低技术标准,制定相应的互认程序规则,以确保分别获得粤港两地资格核准的电子签名机构签发的证书在粤港两地均有法律效力,实现电子签名证书的流通性。
电子签名证书互认开启了粤港跨境电子签名证书互认以达成共同协议的方式实现区域统一的模式,解决了粤港两地持有不同电子签名认证机构颁发的证书的当事人进行交易时所产生的相互认证问题,将有利于粤港电子签名证书互认在粤港经济贸易服务领域的推广应用,促进粤港电子商务的诚信服务,加快粤港服务贸易的合作与发展,同时为将来广东对香港提供更便捷、更安全的跨境便民服务打下基础,这对今后在具体问题上解决内地与其他法域的区域性法律冲突意义重大。
3.4 粤港电子签名证书互认取得一定成效
粤港电子签名证书互认在电子政务、跨境金融、电子商贸等领域应用取得积极成效,粤澳电子签名证书互认工作有序推进。“粤港跨境服务网上自由办平台”和“粤港跨境网上贸易便利化平台”开通运行,为接入平台的信息化业务及用户提供跨境数字证书互认、电子合同在线签署、数字签名验证等安全服务。在香港方面,香港证监会(SFC)支持在证券开户中使用粤港互认CA机构签发的电子签名证书,目前已有30多家券商采用了粤港互认方案签订电子开户协议。
4 粤港电子签名证书互认技术
数字证书是目前互联网交易中保证交易真实性和机密性的重要手段,如果用户拥有电子认证服务机构签发的数字证书并能够使用其电子签名,在电子商务、电子交易中,利用其数字证书进行身份鉴别与认证,在使用成本和可靠性上都是很好的选择。
电子签名证书(目前主要是数字证书)互认,目前国际上有很多方法,如统一根、交叉认证、桥CA等各类方式,甚至采用直接认可认证方式。在当前国内电子认证机构和香港电子认证机构的电子签名证书采用不同的根证书签发的情况下,利用大数据分析、生物识别、数字证书等先进技术,通过跨境电子认证服务平台,解决跨信任域证书的信任问题,对于实现粤港两地跨境数字证书的互信互认是一种有效的方法,可为跨境互联网金融、互联网征信、电子商务、电子交易等提供多层次、适应多场景的认证服务。如图1所示,给出了一种典型的跨境电子认证服务平台的结构图。跨境电子认证服务平台服务于依赖方,解决可信身份认证资料的校验,提供身份认证技术,可实现多CA数字证书等不同可信身份体系间的互通互认,总体设计架构分为五部分:
(1)数字签名验证服务系统是一套提供电子签名、数据加密、证书验证等服务接口的认证系统,提供证书签名结果和证书的验证服务。跨境互认平台认证成功后的数字证书状态结果可作为验证服务系统的可信认证依据。该系统基于国际标准的PKI技术,保障用户登录的身份的安全、可靠,同时提供电子签名的签名接口供登录凭证的保存。
(2)交叉互认中间件是一套基于PKCS#1、PKCS#7、PKCS#11标准的数字证书应用的安全系统,应用主流RSA非对称密钥算法,3DES、AES、SSF33对称密钥等算法,可满足广东省内CA机构及香港地区CA机构所签发数字证书的读取、私钥数字签名等兼容性接口服务。
(3)身份比对系统包括人脸识别:活体检测、面部特征识别比对;证件识别:识别证件、银行卡等实体;身份数据比对:公安部人口库对比身份真实性;金融数据比对:对比银联接口对持卡人身份;手机数据比对:对比运营商数据对手机持有人身份; KYC审查:比对反洗钱数据库对订户的身份信息是否符合金融机构要求。
(4)数字签名服务提供数字签名平台,协助用户完成电子签名。
(5)证据固化服务为依赖方提供电子认证、数字签名的证据固化、提取等服务。对签署的电子证据实时上传到电子证据固化平台进行第三方存证固化,作为司法鉴定、网上仲裁及事后取证的依据。
5 粤港澳电子签名证书互认工作展望
5.1 国家出台法律推动电子签名证书互认
实现网络身份可信[3],创造可信、安全的网络环境,对于促进网络健康发展,更好地发挥网络作用具有重要的战略意义。
(1)2017年6月实施的《中华人民共和国网络安全法》第二十四条提出“国家实施网络可信身份战略,支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证之间的互认”。
(2)2019年1月实施的《中华人民共和国电子商务法》第七十三条规定“国家推动建立与不同国家、地区之间跨境电子商务的交流合作,参与电子商务国际规则的制定,促进电子签名、电子身份等国际互认”,将极大地促进粤港澳电子签名证书互认、电子商务的发展。我国已在《联合国亚洲及太平洋地区跨境无纸贸易便利化框架协定》上[4]签字,该协定第八条专门规定了电子形式贸易数据和文件的跨境互认,将作为我国在协定框架内建立与其他国家或地区的电子形式贸易数据和文件的跨境互认的标准。
(3)2019年4月国务院颁布实施《国务院关于在线政务服务的若干规定》(国务院令716号)提出“统一身份认证服务,实现一次认证、全网通办”,明确电子签名、电子印章、电子证照、电子档案的法律效力。
粤港澳大湾区发展规划纲要明确提出“推进电子签名证书互认工作,推广电子签名互认证书在公共服务、金融、商贸等领域应用”,将极大促进粤港澳电子签名证书互认工作,将有更多应用接纳电子签名互认,促进粤港澳大湾区跨境电子商务的发展,保障网络空间安全。
5.2 粤澳电子签名证书互认积极推进
内地和澳门特区政府分别于2011年和2013年签订《内地与澳门关于建立更紧密经贸关系的安排》补充协议八、《粤澳两地电子签名证书互认的框架性意见》,粤澳两地电子签名证书互认积极推进。
5.3 粤港澳电子签名证书互认思考与建议
根据中国互联网络信息中心(CNNIC)2020年4月28日发布的第45次《中国互联网络发展状况统计报告》显示,网络数字经济拉动消费需求增长,截至2020年3月,我国网络购物用户规模达7.10亿,较2018年底增长1.0亿,网络购物市场保持较快发展,跨境电商、模式创新为网络购物市场提供了新的增长动能,同时遭遇网络诈骗、账户或口令被盗、个人信息泄露等网络安全问题依然突出。
电子签名证书互认就是要积极拓展应用场景,适應群众数字消费新需求,促进网上办公、远程教育、远程医疗、车联网、智慧城市等应用,只有应用场景层出不穷,才会形成良性循环、进而带动消费和投资。同时引导和鼓励广东省、香港特区、澳门特区的各单位充分利用粤港电子签名证书开展跨境电子商务、跨境人民币贷款的业务,为粤港澳合作、跨境贸易、跨境电子商务提供网络安全支撑。
结合《中华人民共和国电子签名法》《中华人民共和国网络安全法》《中华人民共和国密码法》《中华人民共和国电子商务法》和香港特区、澳门特区的相关法律法规,制定粤港澳大湾区电子签名证书互认办法,推广电子签名互认证书在公共服务、金融、商贸等领域应用。
针对粤港证书跨境互认的特殊性,抓紧出台粤港或者粤港澳电子签名证书跨境应用管理办法,研究提出不同领域数字证书策略,明确参与互认的电子认证企业应当提供的服务、承担的责任,界定主管部门的管理范围、处罚措施等内容。
推动电子签名与区块链等新技术融合创新,研究基于电子认证服务的区块链应用的数据电文司法鉴定机制。
加强参与粤港或者粤港澳电子签名证书互认的电子认证服务机构审查工作,对《电子认证业务规则》和《电子签名证书互认证书策略》进行符合性检查,确保电子认证服务机构健全电子认证系统安全运维保障机制,保障电子认证系统的安全可靠运行。
通过开展形式多样的宣传推介活动,营造全社会共同参与粤港澳大湾区电子签名互认建设的良好氛围。
6 结束语
《粤港两地电子签名证书互认办法》及其互认证书策略,确定了粤港两地电子签名证书跨境互认的标准,对于建立核准境外数字证书法律效力的机制,推动数字证书的跨境互认有重要的促进作用,为跨境电子证书互认法律发展提供了保障与支持。通过总结粤港电子签名证书互认的合作模式和经验,对于推进海峡两岸经济合作框架协议下的电子签名互认,积极参与亚太经合组织、上海合作组织、中澳自由贸易区、中日韩自由贸易区框架下的电子签名互认谈判,积极参与国际间电子签名与认证交流,都有着重要的示范意义。
随着网络应用的普及与快速发展,在全球化的大背景下,跨境电子商务成为新的发展趋势,特别是在“一带一路”的发展战略下,我国与沿线国家、地区之间的经济交往更加深入,为跨境电子商务的发展提供了新的机遇,跨境电子商务的蓬勃发展需要完备的法律制度和网络安全技术保驾护航,电子认证服务对构建可信网络空间的地位和作用更加凸显。
网络数字经济时代,电子签名证书互认通过保障互联网身份真实、网络行为可溯和数据电文可靠,支撑和保障在互联网开放环境中的跨境电子支付、跨境电子商务等业务进行,避免产生不必要的业务纠纷和法律纠纷。因此,在粤港澳大湾区国家战略的发展机遇下,根据粤港澳三方电子签名相关法律、政策及标准,加强互认策略研究,深化电子签名证书互认应用,加快构建粤港澳大湾区可信数字经济生态和智慧城市建设,具有重要的理论和现实意义。
参考文献
[1] 安建,张穹,杨学山.中华人民共和国电子签名法释义[M].北京:法律出版社,2005:61-62.
[2] 黄建初.中华人民共和国电子签名法释义及实用指南[M].北京:中国民主法制出版社,2004:83-85.
[3] 杨合庆.中华人民共和国网络安全法释义[M].北京:中国民主法制出版社,2017:80.
[4] 电子商务起草组.中华人民共和国电子商务法解读[M].北京:中国法制出版社,2018:380.
[5] 冯登国,等译.密码工程实践指南[M].北京:清华大学出版社,2001:174-177.
[6] 童卫东,等著.中华人民共和国密码法释义[M].北京:中国法律出版社,2019:74-77.
[7] 霍炜,等.商用密码应用与安全性评估[M].北京:电子工业出版社,2020:121-137.
[8] 潘金昌.基于“区块链+电子认证”的可信电子存证固证服务平台[J].网络空间安全,2019,10(3):85.
作者简介:
张昊(1972-),男,汉族,山东济宁人,华南理工大学,硕士,工业和信息化部电子第五研究所,高级工程师;主要研究方向和关注领域:网络安全、网络可靠性、电子签名与认证。
翁健(1976-),男,汉族,广东化州人,上海交通大学,博士,暨南大学,教授;主要研究方向和关注领域:網络安全、密码、区块链、电子签名与认证。
潘金昌(1971-),男,汉族,山东临沂人,烟台大学,本科,深圳市电子商务安全证书管理有限公司,助理工程师;主要研究方向和关注领域:电子认证、区块链、物联网安全。