专家解读|魏连:依法规范电子政务电子认证服务支撑数字政府信任体系建设
国家信息中心政务外网认证管理处处长 魏连
国民经济和社会发展“十四五”规划和2035年远景目标提出,要建设数字政府,加强公共数据开放共享、推动政务信息化共建共用、提高数字化政务服务效能。数字政府建设运行需要构建身份可信、数据可信、行为可信的信任体系。商用密码是保障信息机密性和真实性、数据完整性、行为不可否认性的关键核心技术,是建立和传递网络信任、维护网络空间秩序的基石。新修订的《商用密码管理条例》(以下简称《条例》)进一步明确了电子政务电子认证服务的准入要求和业务规则,积极推动电子认证服务互信互认,将有力促进数字政府信任体系建设。
一、数字政府离不开数字信任的建立与传递
建立和传递信任是维护网络空间秩序、保障数字经济繁荣和社会稳定的基础性关键环节。构建网络信任体系,持续优化网络信任技术和服务,主动加强相关政策的制定、实施和监督,是数字政府建设过程的重要内容,是数字经济安全畅通的有力支撑。
一方面,数字政府建设需要构建可管可控的数字信任体系。数字信任是互联网时代政府、个人、企业和社会的新型信任关系,是传统社会信任模式的高效重构。数字政府是推动实现国家治理体系和治理能力现代化的战略支撑,运用数字技术优化治理体系、加强治理能力是数字政府建设的关键。建设数字信任体系,建立和传递可信数字身份,推动政府内部以及与企业、公民、社会之间互信互认,将确保数字政府治理过程中的身份、数据、行为可信,保障数据安全,推动政务服务便利化、社会治理数字化、管理决策科学化,最终达到“合规、安全、便捷、易用、服务”的应用效能。
另一方面,互信互认的数字信任体系将为数字政府业务协同及政务数据流通提供核心支撑和安全基石。数字信任体系可有效促进政务数据合规有序地共享、开放、流通、利用,增强政府公信力,提高行政效率及服务水平,有助于实现数字政府跨层级、跨地域、跨系统、跨部门、跨业务的协同管理和服务,促进政府数据与社会数据资源融合,提升数据要素社会价值及经济价值,切实发挥数据的生产要素效能。以数字信任为基础构建的数据要素流通规则,可有效支撑数据要素各相关主体权益的体现,数据要素流通交易条件的明确,及数字身份、电子签名、隐私保护、责任认定等网络信任能力的保障,为“数据资源确权、开放、流通、交易”提供健康、可靠的发展环境。
二、电子政务电子认证是建设数字政府信任体系的核心
密码技术是解决数字化条件下各类网络主体身份的真实性、网络行为的可信性、网络数据信息的完整性、机密性等问题最安全、最有效、最经济、最可靠的手段,也是电子认证服务的基础。
国家电子政务外网网络信任体系以电子认证服务为核心,面向电子政务外网与各级各类政务应用提供身份认证、访问授权和责任认定等安全服务,为跨部门、跨地域的业务协同提供支撑保障。自2006年起至今,已形成覆盖全国的电子政务电子认证服务体系,并在19个中央部门、29个省级电子政务外网管理和使用单位建立了注册服务机构,正在为中央、省、市、县各级政务部门的500多个重要业务应用提供电子认证服务,年证书签发量持续快速增长。
近年来,国家电子政务外网管理中心积极提升服务水平、探索新型服务模式,为支撑数字政府信任体系建设寻求路径方法,一是为拓展数字证书在移动终端的应用,已在政务办公、人才就业等4个典型应用场景进行了应用对接,实现了基于移动数字证书为应用系统提供身份认证、电子签名等安全服务保障,有效支撑“互联网+政务服务”的快速发展需求。二是为进一步规范电子认证互认互信管理,2019年建设完成“全国公共资源交易CA互认一期”,完成与贵州、海南、湖北、云南、广东、江西等试点省份的对接工作,实现了在试点交易平台的证书互认、签章互认,市场主体可进行跨域交易,首次在跨省范围公共资源交易领域实现技术上互信互认,有效地解决了现有行业内跨域交易的痛点、难点。三是为进一步促进政务数据合规有序流通,2021年国家电子政务外网以商用密码为基础、以电子认证服务能力为核心构建了数据授权流通信任服务基础设施(简称DTS),并在海南、福建两地的就业与人才招聘领域开展了试点运行。综合运用可信身份认证、可靠电子签名、可控的隐私保护技术、全流程可溯存证保全等安全措施和安全服务,在数据管理机构及数据相关个人的共同授权下,实现了社保信息等公共数据资源向社会应用的合规授权流通,较好地解决了企业核查应聘人员身份和履历过程中涉及的信用问题,也为解决政府数据开放难、人民群众数据流通参与难、企业机构数据使用难等问题提供了方案。后续,将积极在金融征信、公共资源交易、双碳经济等领域持续开展先行先试,为数字经济健康发展保驾护航。
三、《条例》修订实施将进一步促进电子政务电子认证服务及数字信任体系规范发展
依据《中华人民共和国密码法》《中华人民共和国电子签名法》,《条例》进一步明确了电子认证服务使用密码要求和使用规范、规则,电子认证信任体系建设,电子政务电子认证服务机构资质申请要求、流程,外商投资要求,政务活动中的电子认证服务等内容,将有力促进电子认证服务机构能力提升、有力促进电子认证服务应用、有力促进国家数字信任体系建设。
《条例》要求提供电子认证服务,应当具有与使用密码相适应的场所、设备设施、专业人员、专业能力和管理体系,并依法取得国家密码管理部门颁发的同意使用密码的证明文件,对电子认证服务使用密码的准入条件做出了明确的限定,对电子认证机构的专业性、规范性提出了全面要求。电子政务电子认证服务机构一方面应主动提升专业化技术能力,开展技术融合创新、认证应用创新;另一方面应优化认证工作流程、落实个人信息保护与数据安全保障措施,严格遵守电子政务电子认证服务技术规范、规则,提升新形势下认证工作管理能力。
《条例》明确电子政务电子认证服务机构应当按照法律、法规和电子政务电子认证服务技术规范、规则,在批准范围内提供电子政务电子认证服务;密码管理部门会同有关部门负责政务活动中使用的电子签名、数据电文的管理。由此,服务机构在提供认证服务过程中,需严格遵守国家密码管理部门制定的电子政务电子认证业务规则规范,规范产品、技术要求与服务流程,依法依规开展政务活动中的电子公文、电子印章、电子证照的电子认证服务支撑。《条例》贯彻落实《中华人民共和国密码法》密码应用安全性评估相关要求,为全面推动商用密码在政务领域的广泛应用提供了有力支撑。
《条例》明确国家将建立统一的电子信任机制,推动电子认证服务互认互信,为进一步促进数字证书应用的深度和广度提供了明确导向。近年来,国家电子政务外网积极推进数字证书应用,在政务信息系统中推广使用基于商用密码的数字证书,取得明显成效。《条例》的发布,将进一步促进数字证书在政务领域的全面应用,发挥密码技术的核心价值,提升“互联网+政务服务”安全保障,有效推动政务服务便民、利企发展,以密码技术促进业务协同。
在国家相关主管部门的组织领导下,国家电子政务外网管理中心将深入贯彻落实新修订的《条例》相关规定,统筹推动商用密码应用,推进国家电子政务外网信任体系和密码保障基础设施建设,持续加强个人证书、机构证书、设备证书等各类证书在电子政务领域应用创新,推进政务云、政务大数据以及一体化政务服务平台等场景下的数字证书应用,促进政务数据高效共享流通,有力保障国家政务数据安全。