隨著移動互聯網的飛速發展，應用程序（APP）已經由最初的單機版本進化為如今復雜的實時在線服務。然而，這一進步也使諸如非法收集個人信息、彈出廣告無法關閉、個人隱私泄露等侵犯用戶權益的問題頻頻出現，這些問題時刻威脅著我們的數字安全。面對APP產業鏈條的復雜性和責任歸屬的挑戰，電子簽名應運而生。

    電子簽名是指數據電文中以電子形式所含、所附用于識別簽名人身份并表明簽名人認可其中內容的數據。

    自2005年《電子簽名法》實施以來，因其具有防篡改、可追溯、可信任的特點，電子簽名廣泛應用于網絡身份認證、交易簽約、證據固定、責任溯源等場景，是APP全鏈條治理中的重要一環。

    一、什么是可靠的電子簽名？

    《電子簽名法》第13條規定：電子簽名同時符合下列條件的，視為可靠的電子簽名：

    1.電子簽名制作數據用于電子簽名時，屬于電子簽名人專有；

    2.簽署時電子簽名制作數據僅由電子簽名人控制；

    3.簽署后對電子簽名的任何改動能夠被發現；

    4.簽署后對數據電文內容和形式的任何改動能夠被發現。

    以上四點是我們通常說的，可靠的電子簽名應該具備的四要素：真實身份、真實意愿、數據未改、原文未改，缺一不可。第三方電子簽名平臺會通過人臉識別、短信驗證、非對稱加密、時間戳等技術來使電子簽名變得可靠。

    二、電子簽名技術原理

    數字簽名背后的技術原理實際上相對比較復雜，我們在本文中僅選擇與法律層面相關的核心技術原理進行介紹，最終目的是讓大家能夠明白技術手段所達到的法律效果，從而理解數字簽名是如何滿足簽名專屬性、簽名唯一控制性、簽名防篡改性以及內容防篡改性四個基本要件。

    1.電子認證與數字證書

    主要解決專屬性問題。此時CA機構類似于線下公章刻制部門，通過特定方式對申請主體進行真實身份審核，并簽發數字證書對申請主體與特定電子數據的關聯性提供證明。數字證書是CA機構完成審核后所提供的證明文件，用以證明數字證書中的公鑰屬于簽名人所有，CA機構承諾對專屬性承擔法律責任。

    2.非對稱加密

    主要解決唯一控制性問題。在非對稱加密算法下，會出現完全不同但互為一對的公私鑰密碼對，公私鑰密碼對可以簡單理解為能夠同時打開一個盒子的兩把鑰匙，但這兩把鑰匙卻完全不同。私鑰由電子簽名主體自行控制（滿足了唯一控制性要求），而私鑰唯一對應的公鑰包含在數字證書中，用于收件人進行解密驗證。若加密文件最終被公鑰解密，則證明該文件是由唯一對應的私鑰加密發送，而公私鑰密碼對所對應的主體又是由CA機構進行合法認證并關聯的主體。因此從法律邏輯上我們能夠推斷出收件人收到的文件就是由特定主體認可并發送，以達到發件人無法抵賴的效果。

    3.哈希值

    主要解決防篡改性問題。哈希值（hash values）又稱為數據指紋，是使用哈希函數計算得到的結果，例如一張圖片可通過哈希函數計算得到一個唯一對應的結果（一串數字與字母組合），如果我們對圖片做略微修改（哪怕是肉眼無法看出的修改），則重新通過哈希函數計算得到的結果將完全不同，因此哈希值常常被運用于驗證文件是否被篡改的場景下。

    三、電子簽名助力app監管

    開發者完成APP開發后，通過APP簽名服務系統對APP進行電子簽名，固定了APP的開發者身份，同時也確保了APP不被第三方篡改。若委托第三方檢測機構進行檢測，檢測機構在完成檢測后會再次對APP進行電子簽名以明確APP的檢測身份。

    應用商店在上架審核時，會首先驗證APP是否存在開發者和檢測機構的電子簽名，以降低上架破解、篡改、惡意、違規的APP的風險。上架審核通過后，應用商店還會再次對APP進行電子簽名，明確APP的分發身份。

    當監管部門發現存在違法違規問題的APP時，通過APP簽名服務系統可以及時定位到APP的開發者、檢測機構以及應用商店，開發、檢測和分發管理責任一目了然。

    電子簽名因本身具有防篡改、可追溯、可信任的特點，在數據流通過程中具有天然的技術優勢。另外《電子簽名法》第十四條規定，可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力。電子簽名中的APP身份數據、檢測結果和審核結果等同于簽名人在法律層面上的認可，具有較強的可信度。

    此外，身份數據、檢測結果和審核結果在APP管理中具有極高的數據價值，可為應用商店上架審核、終端廠商風險預警提供重要參考和處置依據。過濾相關敏感信息，將可公開的APP身份數據、檢測結果和審核結果共享給應用商店和終端廠商等企業，能夠充分釋放數據價值，提升企業APP管理能力。

    來源：人民郵電報，科技日報等