电子印章在电子公文系统中归档探索

芦振辉/金华市档案馆

随着浙江省“最多跑一次”改革和“数字政府”工作的不断深化，在政府的业务系统和电子公文系统中产生了大量电子文件，对这些电子文件国家先后出台法律法规，明确使用符合《中华人民共和国电子签名法》规定条件的可靠电子签名，与手写签名或者盖章具有同等法律效力。因此，对于档案部门来说，对大量公文进行电子化归档成为不得不面对的新课题。本文重点探讨电子印章在电子公文系统中如何准确归档，从而保证其与纸质档案具有同等法律效力和存档价值。

1 电子公文归档现状分析

1.1 档案基本属性和法律效力

新修订档案法第二条对档案的定义是“过去和现在的机关、团体、企业事业单位和其他组织以及个人从事经济、政治、文化、社会、生态文明、军事、外事、科技等方面活动直接形成的对国家和社会具有保存价值的各种文字、图表、声像等不同形式的历史记录”，这个定义明确了档案是由机关单位、团体组织或个人产生的；明确了档案的形态、记录方式的多样性，形态可以是文字、图表、声像等，记录方式可以有实物、纸质、电子等；明确了档案是从事经济、政治、文化、社会、生态文明、军事、外事、科技等方面活动直接形成的，直接形成意味着档案是各种活动直接形成的最原始的资料，其原始性意味着档案最大限度保留了活动的痕迹，而这些痕迹能被第三方机构核实鉴定，显现出法律凭证的作用，这也是大家在日常工作中要求原件归档的原因所在。

根据新修订档案法对档案的定义，可将电子档案界定义为：过去和现在的机关、团体、企业事业单位和其他组织以及个人从事经济、政治、文化、社会、生态文明、军事、外事、科技等方面活动直接形成的电子形式的历史记录。原始性依然是其基本属性。新修订档案法第三十七条规定“电子档案应当来源可靠、程序规范、要素合规。电子档案与传统载体档案具有同等效力，可以以电子形式作为凭证使用”。电子档案要实现来源可靠，必须在内容上与电子文件及其相关信息形成时保持一致；要做到程序规范，必须在可靠的电子文件归档、电子档案移交接收集电子档案管理系统内运转、遵照电子文件归档和电子档案管理制度进行规范管理；要保证其要素合规，必须从内容到形式符合电子档案的特征，即要有确认电子档案主体身份及其可靠性的信息，包括但不限于采用电子签名、电子印章、电子认证、区块链、时间戳等方式或技术应用。由于电子档案这个题目太大，本文重点讨论其中的电子公文档案。

《浙江省党政机关电子公文归档与电子档案管理暂行办法》将电子公文定义为以电子数字形式拟制、办理、管理的党政机关公文。《中华人民共和国电子签名法》规定，可靠的电子签名与手写签名或者盖章具有同等的法律效力。那么加盖可靠的电子签名的电子公文具备与纸质公文一样的法律效力；还规定电子签名同时符合下列条件的，视为可靠的电子签名：“电子签名制作数据用于电子签名时，属于电子签名人专有”“签署时电子签名制作数据仅由电子签名人控制”“签署后对电子签名的任何改动能够被发现”“签署后对数据电文内容和形式的任何改动能够被发现”。

1.2 电子签名归档现状分析

电子印章作为电子签名的一种，满足可靠电子签名的四个条件，且展现形式符合政府用户的习惯，在政府机构中已经广泛应用。浙江省政府部门自2017年开始统一使用天谷电子印章，具有以下特点：（1）有单独的客户端，在断网环境下可以进行盖章、验证等；（2）ukey（秘钥）有效期为两年；（3）在电子公文系统中加盖电子印章后形成TGW格式的加密文件和黑头黑章的PDF格式文件。

在电子公文归档过程中，TGW格式的加密文件在秘钥失效后就无法打开，归档也就没有意义了，而PDF格式文件虽然可以打开，但是没有数字签名信息，各地档案部门都出台了相关办法，解决这个问题。如《浙江省党政机关电子公文归档与电子档案管理暂行办法》规定“加盖有电子印章的电子公文，在归档时应去除电子印章的数字签名信息，只保留印章图形”；《天津市电子公文归档管理办法》规定“电子公文已经具备电子签名、电子印章的应去除电子印章的数字签名信息，电子印章按照规定转换为印章图形，与电子公文一并归档，数字签名信息在元数据中进行记录”；《河南省电子文件归档与电子档案管理办法实施细则》规定“加密的电子文件应当解密后进行预归档，压缩的电子文件应当解压缩后进行预归档”；《党政机关电子公文处理工作办法》规定“电子公文归档时，应当去除电子印章的数字签名信息，只保留印章图形”。

但上述几种归档方法有三个弊端。一是改变了文件的可验证性，削弱了电子档案的法律效力。电子签名“签署后对电子签名的任何改动能够被发现，签署后对数据电文内容和形式的任何改动能够被发现”，而解密过程丢失了最宝贵的可验证的数字签名信息，削弱了法律效力。二是归档的文件并非原件。解密后格式发生改变，改变了文件的原始性。三是增加了档案工作人员的工作量和工作压力。由于ukey有效期的限制，档案员必须在ukey到期当天晚上12点前完成归档工作，过了这个时间点，就再也无法按照这个办法来归档了。

2 电子印章归档方面的探索与实践：以金华为例

2.1 总体概述

近期，金华市档案馆与企业合作开发了电子公文归档模块，将电子印章的数字签名信息一并归档，完整地保留了原先电子文件的法律效力。参照《浙江省省直单位电子公文归档与电子档案管理暂行办法》进行归档模块开发，元数据、归档文件目录、签发稿、拟稿单、附件等基本未做改动，而是在版式文件归档上做了比较大的调整，提取了4份文件。

其中，版式文件A为PDF格式文件，红头红章，保留了数字签名信息，可验证（下文称A文件）；版式文件B为TGW格式加密文件，需秘钥才能打开，秘钥有效期内可验证，文件寿命与秘钥剩余有效期同，归档时不做“去除电子印章的数字签名信息，只保留印章图形”的动作（下文称B文件）；版式文件C为PDF格式文件，黑头黑章，不可验证（下文称C文件）；版式文件D为复制A文件，增加了归档章、档号信息、二维码，是被修改的可验证文件（下文称D文件）。

2.2 对电子档案的验证

为验证这个归档模式形成的电子档案，笔者选取了几个测试环境，对一份测试数据（原电子印章已经过期）进行验证。在Windows环境下联网，使用浙江省政府印章客户端软件验证；在Windows环境下联网，使用Adobe Acrobat Reader DC验证；在Windows环境下断网，使用浙江省政府印章客户端软件验证；在Windows环境下断网，使用Adobe Acrobat Reader DC验证；在国产系统环境下验证等。笔者主要介绍后三种测试环境下的验证情况。

一是在Windows环境断网情况下使用浙江省政府印章客户端软件，对A文件和D文件进行验证，A文件的验证结果为“自本签名以来，文档未修改”；D文件的验证结果为“自本签名以来，文档已修改”；B文件无法打开；C文件正常打开，无法验证。

二是在Windows环境断网情况下使用Adobe Acrobat Reader DC，对A文件和D文件进行验证，A文件打开之初显示了文件包含数字签名，验证结束后印章正常显示；D文件验证结果很直观，印章被打了红叉；B文件无法打开；C文件正常打开，无法验证。

三是在Windows环境联网情况下使用新ukey和浙江省政府印章客户端软件对B文件进行测试，结果文件无法打开。

四是在国产环境下测试，发现A文件和D文件可以打开，不能验证；B文件无法打开；C文件正常打开，无法验证。

3 若干思考

3.1 档案界对电子印章的工作流程存在误解，认为在电子公文系统中加盖电子印章后，跟第三方签章服务器发生交互，产生B文件和C文件，将电子印章的工作流程简单化，甚至理解成加盖电子印章后生成B文件和C文件；受这个误解影响又产生了第二个误解，误以为B文件和C文件是最原始的电子文件，而C文件没有数字签名信息，价值相对较低，所以大家都将目光放在了包含数字签名信息的B文件上。在投入大量的精力研究之后发现B文件以目前档案部门的技术力量还无法完美的解密，只能退而求其次，去除电子印章的数字签名信息，只保留印章图形。

为此，必须要搞清楚电子印章的工作流程。笔者做了两个测试：测试一，断网环境下，电子公文系统外，使用客户端和ukey直接对Word文档加盖电子印章，最终生成包含数字签名信息的PDF格式文件，并未产生TGW格式的加密文件；测试二，联网环境下，电子公文系统外，使用客户端和ukey直接对Word文档加盖电子印章，最终生成包含数字签名信息的PDF格式文件，也未产生TGW格式的加密文件。由此得出两个结论：一是客户端加上ukey可以直接产生带数字签名信息的PDF文件；二是加密文件的产生与电子公文系统跟签章服务器的交互有关。在此基础上笔者对电子公文系统中的的大致工作流程做了一个推测，推断其流程大致如下：①对Word文档加盖电子印章；②印章客户端软件通过电子公文系统发送信息至第三方签章服务器；③第三方签章服务器收到信息后验证，验证无误后向印章客户端软件发送反馈信息；④印章客户端软件收到信息后在电子公文系统中生成B文件和C文件。考虑到文件盖章后需要交互验证，这个过程会有一定的时间，这段时间怎么保障文档不会被修改，所以笔者又做了一个推断，①②之间，印章客户端很可能会做一个固化来保证盖章后的文件在验证期间不会被修改，这个固化还得确保文档被修改后能及时发现。最终推断流程大致如下：①对Word文档加盖电子印章；②印章客户端软件对Word文档进行固化，形成红头红章PDF格式文件；③印章客户端软件通过电子公文系统发送信息至第三方签章服务器；④第三方签章服务器收到信息后验证，验证无误后向印章客户端软件发送反馈信息；⑤印章客户端软件收到信息后在电子公文系统中生成B文件和C文件。

按照这个流程，在B文件和C文件形成之前还有一份文件，即印章客户端软件对Word文档固化后形成的文件，这份文件就是A文件，红头红章，有数字签名信息。对比A文件与B文件的形成时间，A文件先于B文件20秒左右形成，这也验证了我的推断，A文件是活动直接形成的，而且是最先形成的电子文件原件。

3.2 四份文件形成于三个关键时间节点，互相呼应、互为证明。A文件形成于加盖电子印章之后，与签章服务器交互之前，形成时间最早，最为原始，保留了可靠的数字签名信息，内容完整，且不受秘钥更换的影响，可以长时间保存，易验证，保存价值最大，是电子档案凭证性的重要保障。B、C文件在电子公文系统与签章服务器交互之后形成，没有系统间的交互不会产生B、C文件，间接证明了文件来源可靠、系统可信。D文件形成于电子公文归档之际，加入档案元素，呈现的是A文件被修改后的状态，反映的是电子签名“签署后对数据电文内容和形式的任何改动能够被发现”，与A文件形成呼应；形成时间即归档时间，与元数据互相印证。

电子印章数字签名信息的归档解决了电子档案的凭证性问题，确保了电子档案的真实可信，完整地保留了电子印章防篡改的功能，即使后期不使用区块链、时间戳等技术，也能使电子档案与纸质档案具有同等的法律效力，扫清了电子档案单套制的最后一个障碍，解除了基层档案工作人员的顾虑。而且这一技术低成本，实现起来也简单，成效明显，目前只是在金华市档案馆电子公文系统中使用，相信未来随着政府数字化转型的步伐加快，完全可以在全业务系统中验证并推广。