摘 要
2019年,中共中央办公厅、国办印发的《党政机关电子公文处理工作办法》和2023年4月国家档案局印发的《电子档案管理办法(征求意见稿)》,其中都明确提出电子档案移交时只保留印章图形而不保留数字签名信息,即电子印章“去技术化”。旨在降低电子档案对技术的依赖性和保障电子档案管理系统的独立性,从而更有利于电子档案的长期保存。但“去技术化”也给电子档案管理带来了一定的问题,“去技术化”后电子档案的真实性和完整性面临着挑战。本研究提出的解决方案,聚焦于在立档单位电子文件归档初期即启动“去技术化”流程,并通过在电子文件归档和电子档案整理、保管两阶段完善和维护元数据,从而实现从管理要素、管理手段上保留技术化的本质内涵,确保电子档案的原始性、真实性和完整性以及电子档案管理系统的独立性。
电子档案中电子印章“去技术化”的本质及其解决方案
2023年4月19日,国家档案局印发了《电子档案管理办法(征求意见稿)》(以下简称《办法稿》),其中第十七条第二款明确提出:“电子档案只保留电子印章的印章图形,不保留数字签名信息,确需保留的,须经档案馆同意”。[1]该条款一出,迅速引起档案界普遍关注,电子档案中电子印章的“去技术化”成为热点话题。
电子印章并没有公认的定义。国务院曾在《国务院关于在线政务服务的若干规定》中对电子印章做出了说明,比较符合客观实际,即“电子印章是指基于可信密码技术生成身份标识,以电子数据图形表现的印章”。[2]从这里可以看出,电子印章的本质就是电子数据图形(印章图形)和身份标识(数字签名)信息的结合体。印章图形为静态图片,而身份标识(数字签名)信息是需要使用数字证书和其他特定的技术手段生成的,并具有相关的可显示的提醒功能。“只保留电子印章图形”意味着去除了电子印章中技术相关的部分,这就是所谓的“去技术化”。
在电子文件与电子档案的生命周期管理过程中,电子印章对保证电子文件的真实性、完整性和安全性具有重要的作用。在电子档案单套制管理背景下,电子印章的原始性、真实性、防篡改功能与电子档案的不可分割性、长期可用性及电子档案管理系统与电子印章系统的关系等方面的问题就凸显出来。因此,基于电子档案长期保管等方面的需要,《办法稿》给出了“去技术化”的具体要求。
电子印章“去技术化”相关研究已经取得了一些成果。有学者利用OFD版式文件的技术特点实现了“只保留印章图形”。具体措施是先去除电子档案数字对象中的电子印章校验,将电子印章图像化。随后将电子文档移交信息包中的文件等数字对象和XML元数据文件生成校验码,并将校验码保存到单独的校验文件中,将其作为附件保存到移交接收记录表单的OFD文件中,并进一步封装到最终形成的移交信息包。移交与接收双方共同保存移交信息包,这样就为双方提供了移交接收过程的电子档案真实性保障机制。[3]金华市档案馆也和企业合作,开发了电子公文归档模块,将电子印章图形和其数字签名信息一起归档,并生成多个电子档案副本,“互相呼应,互为证明”,以确保对电子档案的任何改动能够被发现。[4]
综上所述,当前学术界对于电子印章“去技术化”所带来的挑战已提出诸多具有前瞻性的解决思路,然而,现行解决方案尚无法全面规避“去技术化”所衍生的诸项问题。通过OFD文件封装文件的校验信息的方式只能保证在移交接收过程中电子档案的真实性和完整性,后续在电子档案保管和利用过程中,电子档案(包括电子印章)和校验信息都可以被替换或修改。OFD文件本质上是一个压缩包,其内部信息和资源文件通过XML进行组织。OFD文件解压后,可以改变里面的内容和替换电子印章图片,随后重新打包成OFD文件。此外,当电子印章的控制失效时,可以模仿OFD文件并附加伪造的印章图形以替换原始文件。金华市档案馆保存电子档案副本的方式也需要统一维护CA证书,也没有彻底解决电子印章的问题。在这样的背景下,就需要分析各种适用技术和管理手段的特点与功能,寻找新的切入点,构建新的较彻底的解决方案。
1
电子印章的“技术化”及其
在电子文件管理中的应用
在谈电子档案中电子印章去“技术化”之前,首先要了解电子印章“技术化”产生的背景、内涵及其意义与作用。
1.1 “技术化”的缘起。印章自古以来象征着持有者的身份与权威,因其不可替代的重要作用,印章的制作与颁发历来由政府授权进行。随着计算机及网络技术的迅速发展,传统纸质文件逐步被电子文件所替代,如何在电子文件上实现印章的有效应用,并使其具备与纸质文件相同的法律效力,成为一个亟待深入探讨的问题。
早期的电子印章仅仅是实体印章的数字化图像,并不能解决电子印章真实性问题和保证电子文件完整性和真实性的问题。因为印章图像即便和传统印章一样得到政府部门的认证并固化,但其实质仍是一张图片,在没有相关技术与管理措施支持和保障的前提下,是可以被伪造和复制的。即便将印章图像与文档一起固化为不可更改的文件格式(如PDF),表面上似乎增强了安全性,实则并非如此。正如传统印章易被伪造一样,电子印章图像同样存在被仿冒的风险。伪造者可以通过将内容不同的文档与仿制的印章图像结合,生成一份新的PDF文件,从而对其进行伪造。对于利益相关方而言,仅凭印章图像无法有效判断文件的完整性与真实性。所以,业界称此时的电子印章为“花瓶摆设”。[5]因此,在2005年4月正式实施《电子签名法》之前,电子印章并没有得到广泛地承认和应用。
为了确保电子印章和加盖电子印章的电子文件的真实性和完整性,学术界通过将电子印章图形与数字签名技术相结合,并融入电子签名信息,实现了印章图形与印章信息的有机结合,有效解决了单一印章图形防伪能力弱及缺乏签章背景信息(签章时间戳、印章持有人、文件验证信息、证书信息等)的问题。至此,电子印章完成了“技术化”过程,其功能发生了本质性的转变。“技术化”的电子印章可以被看作是传统印章的数字化升级版本,它既具有和传统印章相似的外观和功能,同时它通过数字签名技术中的非对称秘钥、数字证书、哈希算法、时间戳等技术确保了电子印章的合法性、真实性(可验证)、可追溯性,提升了印章的防篡改、防伪造能力,从而确保了电子文件的真实性和完整性。
2005年4月,《电子签名法》开始施行,“技术化”后的电子印章开始具备法律效力。2005年5月26日,第一份使用电子印章的合同在第八届北京国际科技产业博览会签署。“技术化”为电子印章带来了本质的变化,成为信息化社会的基础技术保障之一。
1.2 “技术化”的基本要素。电子印章由印章图形和数字签名组成,印章图形可以称之为“非技术化”部分,而数字签名则可被称为“技术化”部分,它是电子印章的核心部分。电子印章的“技术化”部分包括诸多技术要素,如数字签名算法、公钥基础设施PKI、加密算法、哈希算法、时间戳等。这些技术要素共同承担电子印章的“技术化”功能,保障电子印章及电子文件的安全性、真实性和完整性。
数字签名算法利用非对称密钥进行签名与验证,常见算法有RSA、DSA、ECDSA等。结合公钥基础设施PKI,可确保数据完整性,实现身份验证并防止否认。公钥基础设施PKI是管理和验证数字证书的框架,包括公钥、数字证书、证书颁发机构等。数字签名和验签流程如图1所示。
图1 数字签名和签名验证流程[6]
首先,甲方利用特定的算法对电子文件生成摘要(即固定长度的哈希值),并使用其私钥对该摘要进行加密,从而生成数字签名。随后,甲方将生成的数字签名附加于电子文件。乙方在接收到电子文件后,通过甲方提供的公钥(即签名证书)解密数字签名,以验证电子文件的真实性。通过解密,乙方能够获取电子文件的原始摘要信息及签名人的身份信息。接着,乙方通过相同的算法生成其接收到的电子文件的摘要,并与原始摘要进行对比。如果两者一致,则表明电子文件未被篡改。这一过程即为数字签名的生成与验证机制。
哈希算法是一种将任意长度的输入数据映射为固定长度的哈希数值(散列值)的算法。哈希算法的主要特点是对相同的输入数据始终产生相同的哈希数值,且哈希数值的长度是固定的。通过验证文件的哈希数值可以证明电子文件是否被篡改。这种单向散列函数的应用非常广泛,包括数据完整性验证、密码存储、数字签名等。通常使用MD5、SHA-256、SHA-3等。
时间戳可以确保电子文件在特定时间内已存在,是为了证明电子文件的签署时间,常用的时间戳服务由可信的时间戳机构提供。生成电子文件的哈希数值后,电子印章系统将文件哈希数值和时间戳一起用私钥加密生成数字签名。用公钥成功验证数字签名后,就可以获取当时的时间戳,从而证明了电子文件签署的时间。
数字水印是一种可以将信息隐藏嵌入到数字媒体中的技术,分为可见水印和不可见水印。数字水印并不是电子印章必须要使用的技术,但数字水印是实现电子印章功能的一种有效的技术手段。在使用数字水印时,电子印章系统将所要签章的电子文件内容生成数字摘要,用电子印章持有人的私钥对数字摘要加密后生成数字签名,随后用特定的算法生成数字水印并将其嵌入到电子印章“图形”中。数字水印并不会影响电子印章“图形”的外观。电子印章客户端验证电子印章时,首先从电子印章“图形”中提取出隐藏的数字水印信息,随后从数字水印解析出隐藏的电子文件数字摘要、印章持有人等信息,并和验证的电子文件的数字摘要对比,如果两者一致,这代表电子文件是完整和真实的。
1.3 “技术化”电子印章在电子文件管理中的应用。在电子印章“技术化”前,业务系统形成的、需要盖章的电子文件必须先下载打印,加盖机构公章,随后扫描形成加盖有传统印章的电子文件,再进行归档。这种做法会带来诸多弊端。第一,这种方式显然存在极大的局限性,不仅在经济与精力上造成了巨大的浪费,包括打印、盖章、扫描、整理入库等环节都会产生相应的成本和工作负担;第二,扫描文件并非原生电子文件,这在功能和作用上削弱了原生电子文件应有的优势,实质上是一种技术上的倒退;第三,在管理模式上,该方式必须依赖“双套制”,难以实现“单套制”的管理要求,这是管理上的发展障碍;第四,在打印、盖章、扫描及将扫描件入库的过程中,可能会出现诸多问题,例如后续生成的电子文件与原始电子文件在格式上存在差异,或因人工操作疏忽导致扫描漏页、完整度与清晰度欠缺,无法确保电子文件即时归档等问题;第五,扫描件在利用功能方面与原生电子文件相比存在非常大差距,会严重影响了电子档案后续功能的发挥。
电子印章“技术化”后,业务系统中流转的、需要加盖公章的电子文件可以直接通过印章系统加盖电子印章,并且具备传统印章的法律效力。这就使得业务文件的流转加快,提高了工作效率。同时,因为电子文件不用再像以前的模式打印盖章,这就使业务系统可以直接对接档案室的电子档案管理系统进行线上实时归档。这种模式保证了电子文件的原始性、真实性和完整性,同时也可以为电子文件及时归档提供技术保障。
电子印章“技术化”后,电子文件管理的另一个变化就是增加了电子印章验证环节。前面已经详细介绍了电子印章“技术化”前电子文件管理面临的诸多困境和挑战,这也是“双套制”带来的种种弊端。“技术化”后,业务部门只需安装对应的电子印章客户端,就可以线上即时验证印章的真实性及电子文件的完整性和真实性。并且,现有主流的电子文件管理类系统都支持和电子印章客户端进行集成,电子文件不出管理系统即可完成完整性和真实性验证。且整个过程电子文件不落地,也保证了其原始性。电子印章验证虽是电子文件管理中一个“新增”环节,但其简化了电子文件管理流程,提高了电子文件管理效率。
总而言之,电子印章“技术化”推动了电子文件管理模式的变革,是无纸化办公和电子档案“单套制”能够落地的重要技术前提。
1.4 “技术化”的作用与优势。电子印章“技术化”的作用是为了确保电子印章和电子文件的真实性和完整性。从前面的内容中已经可以清楚明白,“技术化”之前的电子印章只是主观意图上证明电子文件的真实性和完整性,它的功能等同于传统印章。从实际情况出发,此类电子印章图形存在被复制和伪造的风险。此类电子印章难以确保自身的真实性,也不能确保电子文件的真实性和完整性。电子印章“技术化”后,电子文件加盖电子印章时,首先印章系统就会根据电子文件生成摘要,随后印章系统将文件哈希数值和时间戳一起用私钥进行加密。这个加密后产生的数据就是数字签名。最后,印章系统将数字签名、公钥证书以及印章图形一起写入到文件。至此,电子印章加盖完成。这里需要指出的是,“电子签名信息”也即电子印章信息,不同的印章系统会有所不同。但一般会包括签名是否有效、签署者、签署时间、内容是否被篡改这些主要信息。
相对于传统纸质文件加盖印章,电子文件中的电子印章具备多重优势。
第一是安全性。[7]电子印章使用先进的加密和数字签名技术,确保电子印章本身的真实性(不像此前的“萝卜章”那样可以轻易造假)。数字签名使得电子文件的真实性和完整性得以验证,防止篡改和伪造。
第二是可追溯性。电子印章使用数字签名,当机构签署电子文件时,所有的签署行为都被记录下来且有时间戳,具有完备的审计追踪功能。这种可追溯性特性能够在必要时协助查明签署者及其签署时间。
第三是即时验证。使用电子印章的电子文件可以即时验证其真实性,而不需要通过其他手段,提高了业务流程的效率。
第四是便捷性。与传统的纸质印章相比,电子印章更加便捷。它可以随时随地通过数字设备进行加盖,无须物理印章。这使得文件的签署更加迅速和便利。
总而言之,电子印章在电子文件管理中扮演着至关重要的技术角色。是确保电子文件系统正常运行的重要技术保障。
电子档案阶段电子印章
“去技术化”的背景与原因
2
任何事物均有其利弊两面。在电子文件管理阶段,技术化的电子印章具有重要的、积极的作用。但从业务文件管理系统到档案管理系统,从现行使用到长期保存与利用,从单一数据类型、单一数据来源到众多数据类型、众多数据来源,从单一文件利用到大规模数据共享与数据融合,电子档案管理与电子文件管理的种种不同,要求我们对来自业务文件系统的电子印章技术化问题进行重新审视,趋利去弊。
2.1 电子档案印章“去技术化”提出的背景。“去技术化”的要求并不是国家档案局《办法稿》首次提出的。早在2019年,中共中央办公厅、国办印发了《党政机关电子公文处理工作办法》,在相关条款提出:电子公文归档时,应当去除电子印章的电子签名信息,只保留印章图形。由此可见,党政机关已经认识到电子签名对电子公文长期保存带来的不利影响。自此,电子档案“去技术化”问题开始引起档案学界的广泛关注。
随后,国家档案局在2020年颁布了《党政机关电子公文归档规范》(GB/T 39362—2020),其中总则5.3条款提出“电子公文归档时应要求归档信息包中不包含非开放的压缩、加密、签名、印章、时间戳等技术措施,以减少技术依赖性”,首次在档案界间接提出了“去技术化”问题。5.3条款影响很大,在档案界引起了广泛的“去技术化”讨论。而2023年《办法稿》更是明确地提出了这个问题。
如果说2019年的《党政机关电子公文处理工作办法》只是党政机关内部对电子档案“去技术化”要求,那2023年《办法稿》可以说是向各行各业的档案管理工作提出了电子档案“去技术化”要求。随着电子档案“去技术化”要求从小范围到了范围更广的普通领域,相关讨论也会越来越多。
2.2 电子档案印章“去技术化”提出的原因。随着越来越多的电子文件归档,电子印章在电子档案管理过程中的弊端也逐渐显现。
第一,电子印章管理工作面临巨大挑战。首先,电子印章服务机构众多,虽然每个电子文件管理系统只需安装一个印章客户端,但档案部门接收、保管的电子档案来源于不同的电子文件系统,因此,档案保管单位为了验证电子档案上的电子印章往往需要安装不同印章客户端,这显然是不合适的。同时,电子印章客户端所对应的相关公司是否能够长期提供相关服务是无法得到有效保证的。根据科技公司存活时间规律,“近5年退出市场的企业平均寿命为6.09年,寿命在5年以内的接近6成,多数地区科技型企业生存危险期为第3年”,[8]以及多个印章客户端同时存在的这种情况,为电子档案上的电子印章提供长期服务在非常大的概率上是不可能的。这就给电子印章的管理工作带来巨大的复杂性和不确定性。
此外,档案部门需要维护不同的数字证书的有效性和时效性,这是档案部门难以承担的工作。因为档案保管单位要面对的组织机构有很多,而这些组织机构使用的数字签名CA证书是很难统一的。仅就我国而言,截至2022年8月,工业和信息化部许可的CA机构就已经有55家。[9]如果再算上国际上知名度比较高的CA机构,这个数量可想而知。档案保管单位在接收电子档案后,如果想验证电子档案,其自身服务器必须要有对应CA机构颁发的证书,这样的情况下,档案保管单位需要维护几乎所有可能被使用到的CA机构的证书,这个维护成本就太大了。如果其没有对应的CA机构颁发的证书,相关移交单位的电子档案就无法验证。
第二,电子印章在电子档案利用阶段也会出现诸多问题。档案利用者在获取到含有电子印章的档案时,如果要检验电子档案的真实性和完整性,也必须要安装对应的电子印章服务商提供的客户端。对于单一来源的电子档案而言,档案利用者需要做的工作有限。但如果是多来源的电子档案,那么检验这些电子档案的真实性和完整性就是一项极其烦琐的工作。档案利用者需要安装不同的电子印章客户端,并且如果档案利用者使用了多种操作系统,那就要求电子印章服务商必须提供有对应版本的客户端。这就造成很大的不确定性和管理的复杂性。如果档案利用者无法验证多来源电子档案的真实性和完整性,那后续的档案数据融合和共享也就无从谈起。
除此之外,还需要考虑一种特殊情况。当利用者使用电子印章客户端验证电子档案时,如客户端证书过期或系统验证中断,电子印章出现异常提示信息。由于电子印章厂商的差异,这些信息会呈现不一致性。一般会在电子印章上显示出一个问号,或图2所示的情况。这些信息会覆盖部分电子印章,破坏了电子档案的原始性和完整性,给电子档案利用者带来极大困惑,甚至电子档案的合法性会遭到质疑。
第三,电子印章不利于电子档案的长久保存。电子印章的验证离不开CA证书,但CA证书具有时效性。CA证书的有效期一般比较短,这在电子文件阶段不会有问题。但对于需要长期保存的电子档案而言,如果CA证书过期,将会导致电子印章无效(如签名时有时间戳则可避免该问题),从而造成电子档案上电子印章的图形被破坏。[10]
除了CA证书过期导致无法验证外,CA证书颁发机构如若难以长期运营,也会导致CA证书难以验证。难以长期运营有两种情况,一种是CA证书颁发机构大多是企业,企业都会面临是否能长期生存的问题;另一种是CA证书颁发机构因违法而被依法吊销电子认证许可证书。对于含有电子印章的电子档案而言,一旦其所使用的CA证书的颁发机构停止提供认证服务,电子印章就会因为无法验证而被保护性破坏,如图2所示。有的机构则将电子印章外观属性设置为无法通过认证时不显示原印章,使得电子档案在档案管理系统中存储时不显示电子印章。[11]
图2 电子印章无效
此外,电子印章遗失也会带来类似的问题。因为电子印章遗失后,持有人会申请新的电子印章,申请电子印章时,电子印章服务方会使用一种称为“非对称加密”的算法生成一个密钥对,包括一个私钥和一个公钥。新的电子印章意味着持有人使用了新的私钥和公钥,这对新签署的电子文件是没有影响的,但它会造成已经归档的电子档案上的电子印章无法被验证。
第四,电子印章会打破电子档案管理系统的独立性。为了验证电子档案上面的电子印章,电子档案管理系统必须依赖印章系统,这就打破了电子档案管理系统的独立性。所谓电子档案管理系统的独立性是指电子档案管理系统必须是独立存在的,在不依赖其他系统的前提下可以独立完成电子档案的管理职能。具体而言,电子档案管理系统的独立性可以从系统功能独立性、数据处理独立性以及系统运行独立性三个维度来理解。首先,对于系统功能独立性而言,电子档案管理系统作为一个独立的系统,具备完整且独立的档案管理功能,包括但不限于电子档案的接收、分类、保管、检索、编研、借阅以及访问控制等功能模块。这些功能模块都是围绕电子档案管理的需求而设计的,旨在实现档案信息的数字化、自动化和智能化管理。然而,在管理实践中,存在着将电子印章功能模块集成到电子档案管理系统的情况。这一模式虽然使电子印章功能的使用更为便捷和统一,但毋庸置疑的是,电子档案管理系统的功能独立性已然被打破。因为电子印章所依赖的技术要素是外在的,是电子档案管理系统所无法控制的,一旦电子印章所依赖的技术要素失效,电子印章功能模块也随之失去作用甚至会产生混乱,这是档案阶段电子印章“去技术化”的重要原因。其次,对于数据处理独立性而言,电子档案管理系统能够确保数据库中的数据与应用系统相互独立。这意味着,当应用系统发生变化时,不会影响到数据库中数据的逻辑结构和物理存储方式。数据物理结构的变化也不会影响到数据的逻辑结构和应用的运行。这种数据独立性为数据的长期保存和有效利用提供了有力保障。含有电子印章的电子档案被电子档案管理系统接管后,在电子档案长期保存的需求背景下,如若电子印章的技术要素失效,电子档案管理系统将无法验证电子档案的真实性和完整性,因此,数据处理独立性也被打破。最后,对于系统运行独立性而言,电子档案管理系统通常作为一个独立的软件系统运行,这种运行方式的独立性使得系统能够独立于其他业务系统运行,减少了系统间的相互依赖和冲突。系统运行的独立性还体现在系统能够自主处理和管理档案数据,无需依赖其他系统或外部设备的支持。这种独立性确保了系统的稳定性和可靠性,为档案管理工作的顺利开展提供了有力保障。电子档案管理系统的系统运行独立性主要是针对需要和电子档案管理系统进行业务集成的外部系统,也即第三方系统,例如第三方独立的电子印章系统。如果电子档案管理系统需要与其他系统相互协作,一旦其所依赖的系统出现问题无法服务或系统不再使用,电子档案管理系统的合法性、安全性、功能的完整性就会受到威胁,系统的职能就无法顺利履行。具体而言,电子档案上的电子印章如果不“去技术化”,电子档案管理系统为了能够验证电子档案,就必须依赖于电子签章系统,而一旦电子签章系统出现问题,电子档案的真实性和完整性也将无法验证,进而导致后续的诸多问题。此外,电子档案管理系统与电子印章系统之间的连接,也增加电子档案管理系统的安全性风险。电子档案管理系统在接收业务系统归档电子文件时,也与业务系统发生关联,但这种关联主要是接口调用(API集成)和文件传输,电子档案管理系统不受业务系统控制,不影响其独立性,并且这种关联关系一般发生在内部IT基础设施上,安全隐患较小。而电子印章的技术化要素是受外部的电子印章系统控制的。这是两种不同的管理关系,后者影响了电子档案管理系统的功能与运行的独立性。
总而言之,电子档案管理系统是一个对安全性、长期有效性有很高要求的系统,因此应尽量保证电子档案管理系统的独立性。
通过以上对电子印章所引发的问题的深入讨论,可以清楚认识到电子印章给电子档案管理工作带来诸多不便。以上问题不止存在于档案馆,立档单位的档案室也面临着几乎同样的问题。由此可知,在电子档案阶段,电子印章“去技术化”势在必行。
3
电子档案印章
“去技术化”的解决之道
电子印章的技术化原本是有重要意义的,它是电子印章合法性、真实性和其他信息化功能的重要保证。因此,尽管如前所述它在档案阶段会给电子档案管理带来一些问题,相关部门提出了“去技术化”的问题,但“去技术化”也会带来新的问题,技术化原有的一些有意义的功能与作用会因此消失。因此,对于“去技术化”的要求,不能简单地盲目执行,而是应当深入了解其利弊得失,以及寻求解决这些新问题的解决之道。总体而言,电子印章技术要素和印章图形的分离是造成新问题的根本原因。而解决问题的方法首先是在电子文件归档前将电子印章的相关信息转化为管理元数据,以保留其管理功能;此外,有条件的单位可以在归档后将重要档案的元数据使用轻量级区块链技术强化安全管理。
3.1 “去技术化”带来的电子档案真实性和完整性问题。电子印章的“去技术化”给电子档案的保管和利用带来了很多不得不面对的实际问题,主要就是电子档案的真实性和完整性问题。
首先是电子档案真实性问题。传统印章的章体是被备案认可的,因此其加盖到文件的印章图形也是被认可的。虽然传统印章的章体和印章图形是“分离”的,但也可以保证文件的真实性。然而电子印章不同,电子印章的章体是由被认可的整套技术系统支撑的,其在电子档案上的“印章图形”是依赖于这个技术系统而被认可的,从而保证电子档案的真实性。电子印章的章体和“印章图形”一旦分离,也就是“去技术化”,则电子档案的真实性也无从谈起。根据《电子签名法》第十四条规定:“可靠的电子签名与手写签名或者盖章具有同等的法律效力”,[12]第十三条规定了可靠电子签名的条件,其中一个条件是“签署后对数据电文内容和形式的任何改动能够被发现”,而电子档案的电子印章“去技术化”后,电子印章本身失去了监控电子档案内容和形式不被改动的功能。这是一种功能损害,需要用相应的措施予以弥补。
其次是电子档案的完整性问题。电子印章的核心是数字签名技术。“去技术化”之前,针对电子档案的任何修改,如内容、格式以及印章图形都会被电子印章系统识别。也正是基于此,电子印章确保了电子档案在保管过程中的真实性和完整性。然而,“去技术化”后,电子印章所包含的证书、签名信息、时间戳等信息已被清除,电子印章变成了单纯的印章图形,这本身就损害了电子档案的完整性。同时,电子印章图形本身不具备校验功能,电子档案真实性和完整性也就无法验证。
3.2 解决问题的基本原则。一方面,电子印章“技术化”具有种种优势和重要的作用,它们在某种意义上是必不可少的;但另一方面,它们在电子档案的管理过程中也带来了一些问题。这些问题既是新技术带来的新问题,也是业务文件管理和电子档案管理之间固有的区别、矛盾的表现。业务文件管理系统和档案管理系统具有不同的时空属性、功能要求、任务指向,它们之间的区别和矛盾是自然存在的。可以认为,问题的出现在一定程度上具有必然性,关键在于如何有效应对和解决。
笔者认为要秉承“本优特新”的基本原则:
第一,所谓“本”,就是要确保档案之本,即档案的原始性、真实性和完整性。电子档案和纸张档案不同,其“本”是需要通过技术手段保证的。“去技术化”针对的是电子印章,对于电子档案而言,仍需采取其他有效的技术手段确保其“本”。
第二,所谓“优”,就是历史不能倒退,不能以牺牲先进功能为代价,好的东西要保留。主要是说“去技术化”不是完全不要技术化的东西了,没有技术化的内涵电子印章的合法性也就不存在了。
第三,所谓“特”,就是要适应电子档案管理系统的特殊需要,保证电子档案管理系统的独立性和作用的发挥。要考虑在电子档案管理系统中用恰当的、合适的方式保留和体现技术化的先进功能,并与电子文件、电子档案管理系统融为一体。如:“去技术化”后,将技术要素的相关信息转化为电子文档管理元数据,通过元数据继续实现相应的功能。
第四,所谓“新”,就是在条件允许的情况下,可以采用、融合其他的先进信息技术(如区块链技术等)以提升系统的功能。
3.3 归档前:解决问题要从问题的源头开始
3.3.1 “去技术化”的时间与责任者。电子印章的“去技术化”清除了对电子档案长期保存的不利因素,是可行之法。既然我们认为技术化的电子印章在电子文件阶段是可行的,而在电子档案阶段存在着种种问题,那么,解决问题的时间就应该是文件转化为档案的时候,即业务部门归档的时候,其执行者是业务部门负责文件归档的人员。原因如下:
第一,相关法规明确规定,由业务部门归档。关于文件归档职责问题,很早就有了由文件的形成者负责归档的规定。在2024年3月开始施行的《档案法实施条例》中,进一步明确了这一规定。《条例》第十九条指出,“依照《档案法》第十三条以及国家有关规定应当归档的材料,由机关、团体、企业事业单位和其他组织的各内设机构收集齐全,规范整理,定期交本单位档案机构或者档案工作人员集中管理”。[13]
第二,业务部门的文件管理者是原技术化电子印章系统的使用者,技术化电子印章系统与文件系统紧密相连。因此,由业务部门在文件管理的末端进行电子印章的去技术化工作更为合适。如果由档案部门进行这项工作,管理系统就需要与原技术化电子印章系统相连接,其弊端是显而易见的。
第三,电子文件归档前(或更早),业务部门要著录电子文件元数据,技术化电子印章的相关数据可于此时归入电子文件元数据,并与文件一起向档案室移交。著录电子文件元数据时,可根据《文书类电子文件元数据方案》,收集签名时间、签名者、签名结果、证书、签名算法等数。[14]
此外,基层单位档案室会根据要求将具有长久保存价值的电子档案移交到档案馆,那么,就存在一个电子印章“去技术化”是在文件向档案室移交阶段还是档案室向档案馆移交阶段进行的问题。我们认为:对立档单位而言,在电子档案移交档案馆阶段才“去技术化”为时已晚。《电子档案移交与接收办法》明确规定:“档案移交单位一般自电子档案形成之日起5年内向同级国家综合档案馆移交。对于有特殊要求的电子档案,可以适当延长移交时间。涉密电子档案移交时间另行规定……档案移交单位应当将已移交的电子档案在本单位至少保存5年。”[13]从该规定可以看出,立档单位保管电子档案的具体时间是“至少”5年,也就是说是5年或5年以上。而且特殊电子档案和涉密电子档案的移交时间是可以延长和另行规定的。所以,这期间电子档案可能会面临诸多风险,如组织机构裁撤整合、所使用的CA证书机构停止运营、签名算法失效等。这些风险都会对立档单位电子档案上的电子印章产生影响,造成电子印章无法验证、签名信息混乱等,从而破坏了电子档案的原始性。无法保证电子档案原始性,其真实性和完整性也会受到质疑。
因此,电子印章“去技术化”应从立档单位业务部门电子文件归档之前开始,即立档单位档案部门保管的电子档案已经是“去技术化”的,而不是在档案移交后或到档案馆阶段才由档案馆进行“去技术化”工作。
3.3.2 “去技术化”后强化与完善电子档案管理系统的功能,将电子印章的相关信息转化为元数据,确保电子档案的真实性、完整性不受损害。电子文件形成后,业务部门一般使用业务管理系统或电子文件管理系统来管理这些电子文件,常见的业务管理系统有OA系统、企业ERP管理系统以及其他各种业务型管理系统等。持有包含电子印章的电子文件的业务单位必然是可以验证电子印章的,因为其是利益相关方。业务单位使用签章系统客户端签发和验证电子文件,确保电子文件的真实性和完整性。
在提出电子印章“去技术化”要求之前,含有电子印章的电子文件通常直接存储并运行于业务系统或电子文件管理系统之中。但有了电子印章“去技术化”要求之后,为了确保电子文件的原始性、真实性和完整性,可以改进这个过程。具体而言,电子印章“去技术化”的过程如图3所示。
业务单位使用签章系统客户端验证含有电子印章的电子文件时,签章系统客户端应能支持固化电子文件和提取电子印章相关信息的功能,这些信息包括数字签名信息、签署时间、电子印章持有人等,并能够将其作为电子文件的元数据导出。由此,业务单位就可以将已固化的电子文件和对应的包含电子印章相关信息的文件元数据推送到电子文件管理系统,即电子文件管理系统保存的是含有印章图形的电子文件及其包含电子印章相关信息的元数据。这样做的好处是在电子文件管理阶段就已经消除了对电子印章系统的依赖。同时,验证电子文件的主动权从电子印章系统转移到了电子文件管理系统以及后续的电子档案管理系统。电子文件归档时,可以通过电子档案管理系统的归档接口或归档页面将电子文件及其包含电子印章相关信息的元数据推送或录入到电子档案管理系统。[15]
图3 电子印章“去技术化”过程
此外,电子档案管理系统本身就具有通过将普通类型文件转化为版式文件等措施固化数据以确保电子档案内容不被篡改的功能,我们应严格执行这方面的功能,并不断地予以强化,确保电子档案的真实性、完整性。
3.4 归档后:保护电子档案和元数据。电子印章“去技术化”后,电子印章的印章图形(“非技术化”部分)和数字签名技术要素(“技术化”部分)分离,电子印章原本的技术功能消失。为了保证电子档案的原始性,在电子文件归档时,就要收集电子印章相关信息将其保存为电子档案元数据,电子档案上只保留印章图形。随后,将电子档案和其元数据通过一种关联关系维持在数据库中。然而,仅仅这样是不够的。因为电子印章“去技术化”后只剩印章图形,失去了对电子档案的保护作用,电子档案有被修改或替换的风险。同时,电子档案元数据也可能被修改。虽然现有的电子档案管理系统对数据的修改都有日志记录,但实践中可以通过数据库直接修改,而不用经过电子档案管理系统。这些都是电子印章“去技术化”后电子档案面临的风险和挑战。如何确保“去技术化”后电子档案及其元数据不被修改,是解决“去技术化”所带来的电子档案原始性、真实性和完整性问题的关键。可以通过多种技术手段确保电子档案和其元数据不被修改,如数字加密、多套备份和巡检以及使用更为安全的硬件加密措施,有条件的机构也可以考虑使用区块链技术。本文给出了基于区块链技术的详细解决方案,作为一种选择。
区块链技术是一种去中心化、分布式的数据库技术,它以区块的形式将数据存储在一个网络中的多个节点上。每个区块包含了一定数量的共享数据,以及一个时间戳和指向前一个区块的链接。由于区块链的设计,其中的数据是不可篡改的,也就是说,一旦数据被写入区块链,它将永久保存在整个网络上,不能被修改。[16]但传统区块链技术面临着资源消耗高、性能不足、效率较低、成本过大等问题,在电子档案管理领域全面使用区块链技术是不现实的。
为了解决以上问题,产生了轻量级区块链技术。LBA(Lightweight Blockchain Architecture)就是一种轻量级区块链技术。在数据层,LBA改变了传统区块链文件和键值数据库相结合的存储方式,使用按行存储机制提高数据读写效率,并增加了非关系型数据库存储方式,支持线下隔离存储。在共识层,LBA采用分层共识机制,减少参与节点,提升了共识效率。在网络层,LBA采用分布式结构化网络模型,提高了数据的广播效率。在应用层,LBA通过自定义事务接口,支持功能定制,降低智能合约复杂度。相对于传统区块链,LBA具有较高的数据存储效率、共识效率以及较快的网络通信,非常适用于区块链的轻量级中小应用。[17]对轻量级区块链技术的研究已经取得了丰富的成果。早在2019年,国外学者就提出了一个高效的轻量级区块链框架。公开实验结果表明,和普通区块链相比,随着区块数量的增加,该轻量级区块链账本更新速度快1.13倍。当节点数量增加时,该轻量级区块链在账本更新速度上提升了67%,网络流量减少了10倍。[18]2020年,国内学者也基于轻量级区块链技术研发了一款性能优越的中药溯源系统,并公布了性能测试报告。[19]
轻量级区块链LBA可以确保“去技术化”后的电子档案的元数据不被篡改。然而,对轻量级区块链LBA的使用也要综合考虑电子档案生命周期各阶段的情况,具体情况具体分析。使用轻量级区块链LBA解决电子档案原始性、真实性和完整性问题可以从电子档案两个阶段综合考虑,如图4所示。
图4 两阶段确保电子档案真实性和完整性
第一阶段,电子文件归档阶段。立档单位的电子档案管理系统ERMS使用轻量级区块链LBA存储含有数字签名相关信息的元数据。这个阶段最为重要,因为立档单位将电子文件归档为电子档案,这是电子档案产生的起始位置,代表了其原始性。轻量级区块链LBA可以确保元数据不被篡改。当用户查档或向档案馆移交档案时,电子档案管理系统可以从区块链读取出对应电子档案的元数据,从中取出电子档案的哈希数值(摘要),以检查当前电子档案是否被篡改。如若被篡改,则从备份库中检索出电子档案副本,覆盖被篡改的电子档案,从而保证了电子档案的真实性和完整性。备份库可以使用WORM(Write Once Read More)磁带建立。WORM磁带具有一次写入多次读取的特性,确保电子档案不会被修改。
第二阶段,电子档案移交后的保管阶段。档案馆电子档案管理系统使用轻量级区块链LBA存储电子档案的元数据(不存储电子档案数据本身),其中含有数字签名相关信息。
本方案中的两个阶段都不使用区块链存储电子档案本身,而是只用来保存元数据。主要有两方面的原因:
首先,鉴于区块链技术本身的特性,其要求较高的存储资源。轻量级区块链LBA虽然改进了存储结构,但每个节点仍是需要存储数据副本的。档案馆是长期保存档案的地方,需要管理其所属区域众多组织机构的档案,而且会越积越多。如果将这些电子档案都存储到区块链上,每个节点都需要保存所有的区块链数据,因此区块链每个节点上的存储需求会不断增加,导致存储设备的成本增加。这对于电子档案数量庞大且需长期保存的场景是不合适的。立档单位的档案室也面临着同样的情况,特别是规模以上的立档单位,其档案数量也是十分庞大的,使用完整意义上的传统区块链技术,成本负担过大。
其次,是因为档案馆和档案室已经有多套电子档案备份,并且有异地和异质备份。一旦出现正在运行的数据库中电子档案被修改的情况,可以从备份库中调取电子档案副本,进行覆盖,从而确保电子档案的真实性和完整性。
通过以上两阶段的整体方案,从源头确保了“去技术化”后电子档案的真实性和完整性。然而,在电子档案保管阶段仍有风险,因为从性能和成本考虑,并没有使用区块链存储电子档案。这里给出两个解决方案,一是为电子档案长期保存系统加上自动巡检功能,即定期巡查电子档案和元数据是否一致,如巡检时发现不一致,可从备份库读取电子档案覆盖有变化的电子档案,这样就可以确保电子档案的真实性和完整性。另一种是在电子档案出库也即利用阶段去检查出馆电子档案的真实性和完整性。如果电子档案没有变化,则可直接出库。如果电子档案有变化,可以先从备份库读取电子档案副本,去替换现有有变化的电子档案,然后再出馆。
此外,如果考虑到引入区块链技术后带来的额外成本和技术复杂度问题,也可以选择使用其他解决方案。可以将电子档案的元数据加密后备份,需要检查电子档案真实性和完整性时,解密备份的元数据。这个方法的前提是必须要确保加密的元数据不被破坏。一旦加密数据被破坏,将无法解密出原始数据,从而导致电子档案管理系统中的元数据的真假也无从判断。
4
结语
电子印章对保障电子文档法律效率及其真实性、完整性至关重要,这也是电子印章如此普及的重要原因。但不可否认的是,电子印章的存在影响了电子档案管理系统的独立性,对电子档案的长期有效保存产生了不利影响。为了解决这一问题,电子印章“去技术化”被提出,有关部门也出台了相关规范。“去技术化”消除了影响电子档案长期保存的不利因素,保障了电子档案管理系统的独立性,但同时也引发了对电子档案真实性和完整性的担忧。在这样的背景下,提出了将电子印章技术信息转化为元数据,以及两阶段使用轻量级区块链技术确保电子档案原始性、真实性和完整性的解决方案。从电子文件归档开始,经电子档案保管阶段,到电子档案利用,分别给出了对应的处理方法。本文给出的解决方案对原始电子档案并没有做任何“技术化”改变,这样既符合了国家档案局对电子档案“去技术化”的要求,又通过新的管理措施确保了电子档案的真实性和完整性。这也是本解决方案的核心价值。
综上所述,随着档案学领域对“去技术化”问题的广泛探讨与深入研究,未来可能会衍生出多种解决方案。与此同时,伴随新兴技术的发展,数字签名对电子档案长期保存带来的不利影响或将得以消解,从而最终促成“去技术化”问题的有效解决。
作者/丁海斌,马超
《档案管理》2024年6期
档
案
管
理
杂志社
官方公众号
