隨著移動(dòng)互聯(lián)網(wǎng)的飛速發(fā)展，應(yīng)用程序（APP）已經(jīng)由最初的單機(jī)版本進(jìn)化為如今復(fù)雜的實(shí)時(shí)在線服務(wù)。然而，這一進(jìn)步也使諸如非法收集個(gè)人信息、彈出廣告無法關(guān)閉、個(gè)人隱私泄露等侵犯用戶權(quán)益的問題頻頻出現(xiàn)，這些問題時(shí)刻威脅著我們的數(shù)字安全。面對(duì)APP產(chǎn)業(yè)鏈條的復(fù)雜性和責(zé)任歸屬的挑戰(zhàn)，電子簽名應(yīng)運(yùn)而生。

    電子簽名是指數(shù)據(jù)電文中以電子形式所含、所附用于識(shí)別簽名人身份并表明簽名人認(rèn)可其中內(nèi)容的數(shù)據(jù)。

    自2005年《電子簽名法》實(shí)施以來，因其具有防篡改、可追溯、可信任的特點(diǎn)，電子簽名廣泛應(yīng)用于網(wǎng)絡(luò)身份認(rèn)證、交易簽約、證據(jù)固定、責(zé)任溯源等場(chǎng)景，是APP全鏈條治理中的重要一環(huán)。

    一、什么是可靠的電子簽名？

    《電子簽名法》第13條規(guī)定：電子簽名同時(shí)符合下列條件的，視為可靠的電子簽名：

    1.電子簽名制作數(shù)據(jù)用于電子簽名時(shí)，屬于電子簽名人專有；

    2.簽署時(shí)電子簽名制作數(shù)據(jù)僅由電子簽名人控制；

    3.簽署后對(duì)電子簽名的任何改動(dòng)能夠被發(fā)現(xiàn)；

    4.簽署后對(duì)數(shù)據(jù)電文內(nèi)容和形式的任何改動(dòng)能夠被發(fā)現(xiàn)。

    以上四點(diǎn)是我們通常說的，可靠的電子簽名應(yīng)該具備的四要素：真實(shí)身份、真實(shí)意愿、數(shù)據(jù)未改、原文未改，缺一不可。第三方電子簽名平臺(tái)會(huì)通過人臉識(shí)別、短信驗(yàn)證、非對(duì)稱加密、時(shí)間戳等技術(shù)來使電子簽名變得可靠。

    二、電子簽名技術(shù)原理

    數(shù)字簽名背后的技術(shù)原理實(shí)際上相對(duì)比較復(fù)雜，我們?cè)诒疚闹袃H選擇與法律層面相關(guān)的核心技術(shù)原理進(jìn)行介紹，最終目的是讓大家能夠明白技術(shù)手段所達(dá)到的法律效果，從而理解數(shù)字簽名是如何滿足簽名專屬性、簽名唯一控制性、簽名防篡改性以及內(nèi)容防篡改性四個(gè)基本要件。

    1.電子認(rèn)證與數(shù)字證書

    主要解決專屬性問題。此時(shí)CA機(jī)構(gòu)類似于線下公章刻制部門，通過特定方式對(duì)申請(qǐng)主體進(jìn)行真實(shí)身份審核，并簽發(fā)數(shù)字證書對(duì)申請(qǐng)主體與特定電子數(shù)據(jù)的關(guān)聯(lián)性提供證明。數(shù)字證書是CA機(jī)構(gòu)完成審核后所提供的證明文件，用以證明數(shù)字證書中的公鑰屬于簽名人所有，CA機(jī)構(gòu)承諾對(duì)專屬性承擔(dān)法律責(zé)任。

    2.非對(duì)稱加密

    主要解決唯一控制性問題。在非對(duì)稱加密算法下，會(huì)出現(xiàn)完全不同但互為一對(duì)的公私鑰密碼對(duì)，公私鑰密碼對(duì)可以簡(jiǎn)單理解為能夠同時(shí)打開一個(gè)盒子的兩把鑰匙，但這兩把鑰匙卻完全不同。私鑰由電子簽名主體自行控制（滿足了唯一控制性要求），而私鑰唯一對(duì)應(yīng)的公鑰包含在數(shù)字證書中，用于收件人進(jìn)行解密驗(yàn)證。若加密文件最終被公鑰解密，則證明該文件是由唯一對(duì)應(yīng)的私鑰加密發(fā)送，而公私鑰密碼對(duì)所對(duì)應(yīng)的主體又是由CA機(jī)構(gòu)進(jìn)行合法認(rèn)證并關(guān)聯(lián)的主體。因此從法律邏輯上我們能夠推斷出收件人收到的文件就是由特定主體認(rèn)可并發(fā)送，以達(dá)到發(fā)件人無法抵賴的效果。

    3.哈希值

    主要解決防篡改性問題。哈希值（hash values）又稱為數(shù)據(jù)指紋，是使用哈希函數(shù)計(jì)算得到的結(jié)果，例如一張圖片可通過哈希函數(shù)計(jì)算得到一個(gè)唯一對(duì)應(yīng)的結(jié)果（一串?dāng)?shù)字與字母組合），如果我們對(duì)圖片做略微修改（哪怕是肉眼無法看出的修改），則重新通過哈希函數(shù)計(jì)算得到的結(jié)果將完全不同，因此哈希值常常被運(yùn)用于驗(yàn)證文件是否被篡改的場(chǎng)景下。

    三、電子簽名助力app監(jiān)管

    開發(fā)者完成APP開發(fā)后，通過APP簽名服務(wù)系統(tǒng)對(duì)APP進(jìn)行電子簽名，固定了APP的開發(fā)者身份，同時(shí)也確保了APP不被第三方篡改。若委托第三方檢測(cè)機(jī)構(gòu)進(jìn)行檢測(cè)，檢測(cè)機(jī)構(gòu)在完成檢測(cè)后會(huì)再次對(duì)APP進(jìn)行電子簽名以明確APP的檢測(cè)身份。

    應(yīng)用商店在上架審核時(shí)，會(huì)首先驗(yàn)證APP是否存在開發(fā)者和檢測(cè)機(jī)構(gòu)的電子簽名，以降低上架破解、篡改、惡意、違規(guī)的APP的風(fēng)險(xiǎn)。上架審核通過后，應(yīng)用商店還會(huì)再次對(duì)APP進(jìn)行電子簽名，明確APP的分發(fā)身份。

    當(dāng)監(jiān)管部門發(fā)現(xiàn)存在違法違規(guī)問題的APP時(shí)，通過APP簽名服務(wù)系統(tǒng)可以及時(shí)定位到APP的開發(fā)者、檢測(cè)機(jī)構(gòu)以及應(yīng)用商店，開發(fā)、檢測(cè)和分發(fā)管理責(zé)任一目了然。

    電子簽名因本身具有防篡改、可追溯、可信任的特點(diǎn)，在數(shù)據(jù)流通過程中具有天然的技術(shù)優(yōu)勢(shì)。另外《電子簽名法》第十四條規(guī)定，可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力。電子簽名中的APP身份數(shù)據(jù)、檢測(cè)結(jié)果和審核結(jié)果等同于簽名人在法律層面上的認(rèn)可，具有較強(qiáng)的可信度。

    此外，身份數(shù)據(jù)、檢測(cè)結(jié)果和審核結(jié)果在APP管理中具有極高的數(shù)據(jù)價(jià)值，可為應(yīng)用商店上架審核、終端廠商風(fēng)險(xiǎn)預(yù)警提供重要參考和處置依據(jù)。過濾相關(guān)敏感信息，將可公開的APP身份數(shù)據(jù)、檢測(cè)結(jié)果和審核結(jié)果共享給應(yīng)用商店和終端廠商等企業(yè)，能夠充分釋放數(shù)據(jù)價(jià)值，提升企業(yè)APP管理能力。

    來源：人民郵電報(bào)，科技日?qǐng)?bào)等