隨著移動互聯(lián)網(wǎng)的飛速發(fā)展，應(yīng)用程序（APP）已經(jīng)由最初的單機版本進化為如今復(fù)雜的實時在線服務(wù)。然而，這一進步也使諸如非法收集個人信息、彈出廣告無法關(guān)閉、個人隱私泄露等侵犯用戶權(quán)益的問題頻頻出現(xiàn)，這些問題時刻威脅著我們的數(shù)字安全。面對APP產(chǎn)業(yè)鏈條的復(fù)雜性和責任歸屬的挑戰(zhàn)，電子簽名應(yīng)運而生。

    電子簽名是指數(shù)據(jù)電文中以電子形式所含、所附用于識別簽名人身份并表明簽名人認可其中內(nèi)容的數(shù)據(jù)。自2005年《電子簽名法》實施以來，因其具有防篡改、可追溯、可信任的特點，電子簽名廣泛應(yīng)用于網(wǎng)絡(luò)身份認證、交易簽約、證據(jù)固定、責任溯源等場景，是APP全鏈條治理中的重要一環(huán)。

    一、什么是電子簽名？

    我們來簡單了解一下什么是電子簽名。

    根據(jù)百度百科定義：電子簽名是指數(shù)據(jù)電文中以電子形式所含、所附用于識別簽名人身份并表明簽名人認可其中內(nèi)容的數(shù)據(jù)。

    我們用具體場景描述翻譯一下：

    去銀行辦業(yè)務(wù)，業(yè)務(wù)員讓你拿個電觸筆在屏幕上簽字，這是電子簽名；微信給朋友發(fā)紅包，輸入支付密碼時候的指紋、密碼、刷臉，這些也都是電子簽名。

    可以簡單粗暴的理解為，線上一切證明“是本人在操作”的過程，都是電子簽名的鏈上環(huán)節(jié)之一。而上文中的各種“動作”，我們在各種場景下的不同應(yīng)用，表面上看是在線“簽”字、“刷”臉，背后卻有時間戳、數(shù)據(jù)未改、原文未改等各種技術(shù)應(yīng)用。

    電子簽名可靠四要素為：真實身份、真實意愿、數(shù)據(jù)未改、原文未改。實名認證保障了簽署主體的真實性和簽署意愿的可靠性，是可靠電子簽名的關(guān)鍵一環(huán)。第三方電子簽名行業(yè)會通過人臉識別、短信驗證、非對稱加密、時間戳等技術(shù)來使電子簽名變得可靠。

    二、技術(shù)原理

    數(shù)字簽名背后的技術(shù)原理實際上相對比較復(fù)雜，我們在本文中僅選擇與法律層面相關(guān)的核心技術(shù)原理進行介紹，最終目的是讓大家能夠明白技術(shù)手段所達到的法律效果，從而理解數(shù)字簽名是如何滿足簽名專屬性、簽名唯一控制性、簽名防篡改性以及內(nèi)容防篡改性四個基本要件。

    1.電子認證與數(shù)字證書

    主要解決專屬性問題。此時CA機構(gòu)類似于線下公章刻制部門，通過特定方式對申請主體進行真實身份審核，并簽發(fā)數(shù)字證書對申請主體與特定電子數(shù)據(jù)的關(guān)聯(lián)性提供證明。數(shù)字證書是CA機構(gòu)完成審核后所提供的證明文件，用以證明數(shù)字證書中的公鑰屬于簽名人所有，CA機構(gòu)承諾對專屬性承擔法律責任。

    2.非對稱加密

    主要解決唯一控制性問題。在非對稱加密算法下，會出現(xiàn)完全不同但互為一對的公私鑰密碼對，公私鑰密碼對可以簡單理解為能夠同時打開一個盒子的兩把鑰匙，但這兩把鑰匙卻完全不同。私鑰由電子簽名主體自行控制（滿足了唯一控制性要求），而私鑰唯一對應(yīng)的公鑰包含在數(shù)字證書中，用于收件人進行解密驗證。若加密文件最終被公鑰解密，則證明該文件是由唯一對應(yīng)的私鑰加密發(fā)送，而公私鑰密碼對所對應(yīng)的主體又是由CA機構(gòu)進行合法認證并關(guān)聯(lián)的主體。因此從法律邏輯上我們能夠推斷出收件人收到的文件就是由特定主體認可并發(fā)送，以達到發(fā)件人無法抵賴的效果。

    3.哈希值

    主要解決防篡改性問題。哈希值又稱為數(shù)據(jù)指紋，是使用哈希函數(shù)計算得到的結(jié)果，例如一張圖片可通過哈希函數(shù)計算得到一個唯一對應(yīng)的結(jié)果（一串數(shù)字與字母組合），如果我們對圖片做略微修改（哪怕是肉眼無法看出的修改），則重新通過哈希函數(shù)計算得到的結(jié)果將完全不同，因此哈希值常常被運用于驗證文件是否被篡改的場景下。

    三、電子簽名助力APP監(jiān)管

    開發(fā)者完成APP開發(fā)后，通過APP簽名服務(wù)系統(tǒng)對APP進行電子簽名，固定了APP的開發(fā)者身份，同時也確保了APP不被第三方篡改。若委托第三方檢測機構(gòu)進行檢測，檢測機構(gòu)在完成檢測后會再次對APP進行電子簽名以明確APP的檢測身份。

    應(yīng)用商店在上架審核時，會首先驗證APP是否存在開發(fā)者和檢測機構(gòu)的電子簽名，以降低上架破解、篡改、惡意、違規(guī)的APP的風險。上架審核通過后，應(yīng)用商店還會再次對APP進行電子簽名，明確APP的分發(fā)身份。

    當監(jiān)管部門發(fā)現(xiàn)存在違法違規(guī)問題的APP時，通過APP簽名服務(wù)系統(tǒng)可以及時定位到APP的開發(fā)者、檢測機構(gòu)以及應(yīng)用商店，開發(fā)、檢測和分發(fā)管理責任一目了然。

    電子簽名因本身具有防篡改、可追溯、可信任的特點，在數(shù)據(jù)流通過程中具有天然的技術(shù)優(yōu)勢。另外《電子簽名法》第十四條規(guī)定，可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力。電子簽名中的APP身份數(shù)據(jù)、檢測結(jié)果和審核結(jié)果等同于簽名人在法律層面上的認可，具有較強的可信度。

    此外，身份數(shù)據(jù)、檢測結(jié)果和審核結(jié)果在APP管理中具有極高的數(shù)據(jù)價值，可為應(yīng)用商店上架審核、終端廠商風險預(yù)警提供重要參考和處置依據(jù)。過濾相關(guān)敏感信息，將可公開的APP身份數(shù)據(jù)、檢測結(jié)果和審核結(jié)果共享給應(yīng)用商店和終端廠商等企業(yè)，能夠充分釋放數(shù)據(jù)價值，提升企業(yè)APP管理能力。