随着移动互联网的飞速发展,应用程序(APP)已经由最初的单机版本进化为如今复杂的实时在线服务。然而,这一进步也使诸如非法收集个人信息、弹出广告无法关闭、个人隐私泄露等侵犯用户权益的问题频频出现,这些问题时刻威胁着我们的数字安全。面对APP产业链条的复杂性和责任归属的挑战,电子签名应运而生。
电子签名是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。自2005年《电子签名法》实施以来,因其具有防篡改、可追溯、可信任的特点,电子签名广泛应用于网络身份认证、交易签约、证据固定、责任溯源等场景,是APP全链条治理中的重要一环。
一、什么是电子签名?
我们来简单了解一下什么是电子签名。
根据百度百科定义:电子签名是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。
我们用具体场景描述翻译一下:
去银行办业务,业务员让你拿个电触笔在屏幕上签字,这是电子签名;微信给朋友发红包,输入支付密码时候的指纹、密码、刷脸,这些也都是电子签名。
可以简单粗暴的理解为,线上一切证明“是本人在操作”的过程,都是电子签名的链上环节之一。而上文中的各种“动作”,我们在各种场景下的不同应用,表面上看是在线“签”字、“刷”脸,背后却有时间戳、数据未改、原文未改等各种技术应用。
电子签名可靠四要素为:真实身份、真实意愿、数据未改、原文未改。实名认证保障了签署主体的真实性和签署意愿的可靠性,是可靠电子签名的关键一环。第三方电子签名行业会通过人脸识别、短信验证、非对称加密、时间戳等技术来使电子签名变得可靠。
二、技术原理
数字签名背后的技术原理实际上相对比较复杂,我们在本文中仅选择与法律层面相关的核心技术原理进行介绍,最终目的是让大家能够明白技术手段所达到的法律效果,从而理解数字签名是如何满足签名专属性、签名唯一控制性、签名防篡改性以及内容防篡改性四个基本要件。
1.电子认证与数字证书
主要解决专属性问题。此时CA机构类似于线下公章刻制部门,通过特定方式对申请主体进行真实身份审核,并签发数字证书对申请主体与特定电子数据的关联性提供证明。数字证书是CA机构完成审核后所提供的证明文件,用以证明数字证书中的公钥属于签名人所有,CA机构承诺对专属性承担法律责任。
2.非对称加密
主要解决唯一控制性问题。在非对称加密算法下,会出现完全不同但互为一对的公私钥密码对,公私钥密码对可以简单理解为能够同时打开一个盒子的两把钥匙,但这两把钥匙却完全不同。私钥由电子签名主体自行控制(满足了唯一控制性要求),而私钥唯一对应的公钥包含在数字证书中,用于收件人进行解密验证。若加密文件最终被公钥解密,则证明该文件是由唯一对应的私钥加密发送,而公私钥密码对所对应的主体又是由CA机构进行合法认证并关联的主体。因此从法律逻辑上我们能够推断出收件人收到的文件就是由特定主体认可并发送,以达到发件人无法抵赖的效果。
3.哈希值
主要解决防篡改性问题。哈希值又称为数据指纹,是使用哈希函数计算得到的结果,例如一张图片可通过哈希函数计算得到一个唯一对应的结果(一串数字与字母组合),如果我们对图片做略微修改(哪怕是肉眼无法看出的修改),则重新通过哈希函数计算得到的结果将完全不同,因此哈希值常常被运用于验证文件是否被篡改的场景下。
三、电子签名助力APP监管
开发者完成APP开发后,通过APP签名服务系统对APP进行电子签名,固定了APP的开发者身份,同时也确保了APP不被第三方篡改。若委托第三方检测机构进行检测,检测机构在完成检测后会再次对APP进行电子签名以明确APP的检测身份。
应用商店在上架审核时,会首先验证APP是否存在开发者和检测机构的电子签名,以降低上架破解、篡改、恶意、违规的APP的风险。上架审核通过后,应用商店还会再次对APP进行电子签名,明确APP的分发身份。
当监管部门发现存在违法违规问题的APP时,通过APP签名服务系统可以及时定位到APP的开发者、检测机构以及应用商店,开发、检测和分发管理责任一目了然。
电子签名因本身具有防篡改、可追溯、可信任的特点,在数据流通过程中具有天然的技术优势。另外《电子签名法》第十四条规定,可靠的电子签名与手写签名或者盖章具有同等的法律效力。电子签名中的APP身份数据、检测结果和审核结果等同于签名人在法律层面上的认可,具有较强的可信度。
此外,身份数据、检测结果和审核结果在APP管理中具有极高的数据价值,可为应用商店上架审核、终端厂商风险预警提供重要参考和处置依据。过滤相关敏感信息,将可公开的APP身份数据、检测结果和审核结果共享给应用商店和终端厂商等企业,能够充分释放数据价值,提升企业APP管理能力。
