论电子公文安全体系的法律保障
三、电子公文安全体系法律制度建构
1.科学的密钥使用制度规范。密钥是一种信息安全技术,又称加密技术,该技术被广泛应用于电子商务和电子政务中。它包括两种技术类型,即秘密密钥加密技术和公开密钥加密技术。其中秘密密钥加密技术又称对称加密技术。倘利用此技术,电子公文的加密和解密将使用一个相同的秘密密钥,也叫会话密钥,并且其算法是公开的。接收方在得到发送的加密公文后需要用发送方秘密密钥解密公文。如果进行公文往来的两个政府能够确保秘密密钥交换阶段未曾泄漏,那幺,公文的机密性和完整性是可以保证的。这种加密算法的计算速度快,已被广泛地应用于电子商务活动过程中。公开密钥加密技术又称为非对称加密技术。这一技术需要两个密钥,即公开密钥和私有密钥。私有密钥只能由生成密钥对的一方政府掌握,而公开密钥却可以公开发布。用公开密钥对公文进行加密,只有用对应的私有密钥才能解密。用私有密钥对数据进行加密,只有用对应的公开密钥才能解密。此二种技术相比,显然第二种技术的安全系数更大一些,但这种技术算法速度较慢。我们可以根据各种公文的秘密等级,采用不同的加密技术。对于一般的公文往来数量大且频繁,不宜采用非对称加密技术,还有秘密等级较低的公文亦可采用对称加密技术。而对那些重大的通知及秘密等级较高的公文则必须采用非对称加密技术。凡违反上述技术性规范的要求造成公文泄密或是公文的完整性受到损害的,需追究其法律责任。
2.完善的政府证书管理制度。公文传送过程中数据的保密性通过加密和数字签名得到了保证,但每个用户都有一个甚至两个密钥对,不同的用户之间要用公开密钥体系来传送公文,必须先知道对方的公开密钥。公文传送中有可能发生以下情况:用户从公钥簿中查到的不是对方的公钥,而是某个攻击者冒充对方的假冒公钥;或者公文互换的双方在通讯前互换公钥时,被夹在中间的第三者暗中改变。这样的加密或签名就失去了安全性。为了防范上述风险,我们可以仿效电子商务中的做法,引入数据化证书和证书管理机构,建立完善的政府证书管理制度。这里所说的证书是指一份特殊文档,它记录了各政府机关的公开密钥和相关的信息以及证书管理机构的数字签名。证书的管理机构是个深受大家信任的第三方机构。考虑到电子政务的特殊性,电子政务系统中的根目录证书管理机构最好由一国的最高政策机关设立的专门机构出任,其它各级目录分别由地方各级政府设立的专门机构去管理。在我国,根目录的管理工作可由国务院信息办来承担,其它各级目录分别由地方各级人民政府设立的专门机构进行管理。各政府机关须向相应的证书管理机构提交自己的公开密钥和其它代表自己法律地位的信息,证书管理机构在验证之后,向其颁发一个经过证书管理机构私有密钥签名的证书。政府出面作为证书的管理机构,其颁发的证书信用度极高。这样一来将使电子公文的发送方和接收方都相信可以互相交换证书来得到对方的公钥,自己所得到的公钥是真实的。显然,电子公文系统的安全有效运转离不开完善的政府证书管理制度的确立。
3.有效的数字签名制度。在电子公文的传送过程中可能出现下列问题:(1)假冒,第三方丙有可能假冒甲机关给乙机关发送虚假公文;(2)否认,甲机关可能否认向乙机关发送过公文;(3)伪造,乙机关工作人员可能伪造或修改从甲机关发来的消息,以对自己有利。这些问题要靠数字签名来解决。数字签名在电子公文传送中的应用过程是这样的:公文的发送方将公文文本带入到哈希函数生成一个消息摘要。消息摘要代表着文件的特征,其值将随着文件的变化而变化。也就是说,不同的公文将得到不同的消息摘要。哈希函数对于发送数据的双方都是公开的。发送方用自己的专用密钥对这个散列值进行加密来形成发送方的数字签名。然后,这个数字签名将作为公文附件和公文一起发送到该公文的接收方。公文的接收方首先从接收到的原始公文中计算出消息摘要,接着再用发送方的公开密钥来对公文的附加的数字签名进行解密。如果两个消息摘要相同,那幺接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始公文的鉴别和不可抵赖性。目前数字签名在电子商务中已得到了广泛的应用,日本等国政府已通过专门的立法对数字签名的法律效力予以确认。在电子公文传送中引入数字签名也是必然的选择,只是我们要从法律上确认数字签名的效力,建立相应的制度规范,努力设法从技术和制度规范入手不断提高安全系数。以数字签名只有相对的安全性来作为反对其应具有法律效力的理由是站不住脚的,因为任何所谓安全保障都是相对的,橡皮图章就经常被不法之徒伪造。
4.有力的刑法保障。刑法对社会关系的保护是最强有力的保障,离开刑法的保护,其它制度规范的保护极有可能会落空。对计算机网络法律关系的调整也不例外。鉴于信息技术越来越多地被应用于国家生活各个方面,1997年《刑法》中特增加了计算机网络犯罪方面的内容。根据《刑法》第285条和第286条的规定,对下列行为将追究刑事责任:(1)违反《计算机信息系统安全保护条例》、《计算机软件保护条例》、《保密法》、《标准化法》等有关法律规定,出于好奇或为窃取机密的动机非法侵入电子政务系统的;(2)违反《计算机信息系统安全保护条例》、《计算机软件保护条例》等有关法律规定对电子政务系统功能进行删除、修改、增加和干扰,造成系统不能正常运行,后果严重的;(3)违反前述有关法律规定对电子政务系统中存储、处理或者传输的公文数据进行删除、修改、增加的操作,后果严重的;(4)违反前述有关法律规定故意制作、传播计算机病毒等破坏性程序,影响电子政务系统正常运行,后果严重的。而对于那些利用计算机网络破坏电子公文或伪造电子公文的,则可以根据《刑法》第280条的规定以毁灭公文罪或伪造公文罪论处。
可以说政府信息化是社会信息化的基础,在各国所积极倡导的“信息高速公路”的几个运用领域中,电子政府被列为第一位。从全球范围来看,推进政府部门办公自动化、网络化、电子化已是大势所趋,电子公文等信息手段将会被广泛地应用于各种政务活动中。法律必须克服其自身固有的保守性,尽快在立法上取得突破,以应对科技的进步和社会生活的巨变。
- 上一篇:权力机关撤销行政行为初探
- 下一篇:电子政府离我们有多远
