论坛报告-李延昭“电子认证在平台治理中的作用”

　　平台经济是以网络站点平台为主要载体，以数据为关键生产要素，以新一代信息技术为核心驱动力、以网络信息基础设施为重要支撑的新型经济形态。近年来我国平台经济加快速度进行发展，在社会运转中的作用日益凸显，以就业为例，其承载的用工数量不仅包含平台企业本身的员工，还覆盖了大量的中小微企业员工、个体经营者、物流运输从业者、终端配送人员等等，可以说，平台经济已经渗透到国民经济生活的方方面面，成为中国数字化的经济发展及传统经济转型的巨大动力。

　　但是，作为一种全新的资源配置方式及新业态，平台企业是在持续的经营过程中不断的完善其管理制度和技术基础设施的，而监管部门也在这个发展的过程中逐渐的摸索监管的规则和尺度，既要鼓励创新，又要及时的发现问题，还要充分的了解技术，从而可以通过及时发布可落实的监管规则，达到对平台经济发展的有效治理，其难度可想而知，对管理部门的要求之高也是前所未见。正因如此，出现一些问题也就在所难免。

　　我们可以从P2P 的兴衰作为切入点，具体分析平台经济的某个业态，在监管政策不到位，技术措施落实的不到位所引发的一系列问题，并且探讨针对平台的监管规则与技术实现方式之间有效融合，对平台经济健康有序发展的有效作用。

　　中国的 P2P 网络贷款平台从出现到爆发式的增长，也就用了短短几年的时间，平台数量最多时达到了5000 多家，随之而来的是金融风险陡增，暴雷事件频发，引发了社会极大的关注，给参与者造成了巨大的财产损失。金融监督管理部门被迫迅速采取严厉的整治手段，在2020年 11 月关闭全部 P2P 平台，但是P2P引发的民事纠纷还在延续，导致大量的司法资源被占用。P2P短短几年内的大起大落，对于金融监督管理部门来说是个极其惨重的教训。

　　网络借贷其本质是一种金融行为，必须要以管理金融机构的同等措施加以严格管理，但是在 P2P产生之初，管理部门任其发展，甚至是以鼓励创新的名义，对 P2P 采取了支持的态度，导致其野蛮生长、乱象重生。最终，这些 P2P 平台都成了少数人牟取暴利的工具，而对于大多数普通参与者来说，却是财富的泯灭。

　　2016年10月13日，国务院办公厅颁布《互联网金融风险专项治理工作实施方案》，指出“要立足实践，研究解决互联网金融领域暴露出的金融监督管理体制不适应等问题，需要强化功能监管和综合监管，抓紧明确跨界、交叉型互联网金融理财产品的‘穿透式’监管规则”。“穿透式”监管是监管者发现市场参与者的实际身份，识别隐藏在形式背后的实质交易，再借助恰当的法律规范和监管手段，实现对金融交易关系的深度和有效调整，提升市场透明度。

　　如何确定平台经济中的参与者的实际身份？怎么来识别网络上的交易的实质内容？平台经济是构建于信息化技术之上的，而信息化技术的核心保障来源于密码技术。密码技术是保证数字世界安全的核心，是保证平台经济平稳发展的基石，有效的使用密码技术能确保数字身份与现实世界中的实际身份的一一对应，也可以将真实意思表达在虚拟世界中固定下来，形成有法律上的约束力的电子文件。全球范围内广泛采用哈希算法、公钥算法、电子签名、数字证书等技术，确定网络中的实际身份，让电子数据具有和传统的签字盖章的纸质文件一样具有法律效力。

　　哈希算法是将任意长度的信息或电子文件压缩成为固定长度的短消息的函数，这个短消息我们称为哈希值，一般长度为 256 比特。每一个电子文件都可以计算出一个唯一与之匹配的哈希值，就像任何一个人都有一个独一无二的指纹一样，而且哈希值是不能反向运算得出电子文件的，这个特性也与指纹一样，不可能通过指纹还原个体。一个电子文件通过计算产生哈希值的那一时刻起，这一个文件的内容就等于被固定，这一个文件的任何改动，都可能会导致哈希值的变化。因此，我们只要再将哈希值通过密码技术加密固化，那这一个文件再加上被固化的哈希值，无论存储在哪里，无论传输到啥地方，就都没有很好的方法被修改。也就是说，这一个文件与被加密固化的哈希值，就是法律意义上的原件。电子文件的原件形式与存储的位置、存储所使用的介质、被复制过多少次是没有必然的联系的，只与电子文件的原件唯一对应的被加密固化的哈希值有关。我们只必须了解到是谁固化的这个哈希值、在固化的时候是否是出于主体的真实意愿，就可以断定这个电子文件是否代表了这个主体的真实意思表示。

　　公钥密码算法就是解决“到底是谁”这样的一个问题的密码算法。公钥密码算法，加密和解密采用不一样的密钥，这一对密钥通过数学计算相互关联，其特性是使用其中一个密钥去加密的信息，只可以使用另一个密钥才可以解密成明文。把其中的一个密钥与A的信息绑定在一起并公开，我们叫做绑定了A的信息的“公钥”，另外一个密钥需要A自己保存，我们叫做“私钥”。当A用私钥加密了一段信息发送给 B，B 只要到之前大家约定好的公共地址去找到绑定了 A的信息的公钥，就可以解密。这样就可以判定，这个信息是 A 发出来的。

　　配合前面讲到的哈希算法，当 A 使用私钥对某个文件的哈希值进行加密运算，将这个哈希值固化，就可以证明 A 对这一个文件的内容是认可的，因为A 的私钥只存在于 A 的手中，而且，A 在使用私钥的时候还要通过扫脸或输入动态口令等安全措施验证是否是出于 A 的本意。这个对哈希值固化的密码运算过程就是电子签名。另外，在电子签名中加入时间信息，是强化电子签名的唯一性和生效时间的不可逆性，防止电子签名数据被调换的有效方式，时间的来源应该通过专业的设备链接获取国家公布的标准时间源的时间。《电子签名法》中第二条“本法所称电子签名，是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。” 显而易见，哈希算法就是解决签名人认可其中内容的有效技术实现方式，而“识别签名人身份”，是通过验证公钥绑定的身份信息确定的，与此同时，加入的时间信息可以强化电子签名的唯一性和生效时间的不可逆性。

　　接下来的问题是，谁来决定公钥绑定的身份信息的真实可靠？如何能确保公开公钥绑定身份的信息不可篡改，这一些信息发布在哪里？

　　现在业界公认的最为严谨且经济的方式是通过第三方电子认证服务机构进行公钥与申请者的信息进行绑定，然后公开发布。首先，申请人需要用私钥将自己的实际身份信息和公钥进行签名，并将身份信息、公钥和签名结果一起提交给第三方电子认证机构，第三方电子认证机构会采用多种方法和不同的途径鉴别和验证信息的真实性和申请意愿的真实性和签名的正确性。确认无误后，电子认证服务机构对申请者的身份信息和他提供的公钥进行电子签名固化，形成一个X.509 格式的数字证书，其中包含了申请者信息、公钥信息和电子认证机构的签名信息。数字证书就代表了申请者在数字世界中的实际身份，类似现实世界中的身份证。电子认证机构必须要提供一个安全可靠的方式，对外发布所有的数字证书，便于使用者下载使用。另外，数字证书是一个公开的电子文件，因此电子认证机构必需使用足够安全的密码技术将数字证书进行固化，保证其不能被篡改。

　　数字证书的意义是固定了平台经济活动的参与各方的实际身份，而且还能够最终靠数字证书对应的私钥，对自己认可的电子文件或者操作指令进行电子签名，确保信息不可篡改并且是出自于本人的真实意思表示。平台在业务进行过程中不用每次都进行复杂繁琐的鉴别和验证工作，只需要对数字证书做验证，就能确定参与者的实际身份和真实的意思表示，这极大地降低了平台的验证成本，提高了验证效率并且具有可接受的安全性。

　　由此可见，电子认证机构是平台经济中各方实际身份和真实意思表达的信任源头，从全球范围看，电子认证机构的设置主要有两种方式，一种是通过市场的方式建立，在市场之间的竞争中建立信用；另一种是由政府组建的或者授权的机构担任，以政府信用作为担保。考虑到我国的国情，《电子签名法》对电子认证服务设立了市场准入制度，即由政府有关部门负责把关。

　　《电子签名法》第二十五条规定：“国务院信息产业主管部门依照本法制定电子认证服务业的具体管理办法，对电子认证服务提供者依法实施监督管理。” 根据本条的要求，工信部颁布了《电子认证服务管理办法》对电子认证服务的相关事项做出了详尽、细致的规定，包括电子认证服务机构市场准入制度、电子认证服务内容、电子签名认证证书、监督管理、罚则等内容。

　　《密码法》第二十九条的规定：“国家密码管理部门对采用商用密码技术从事电子政务电子认证服务的机构进行认定，会同有关部门负责政务活动中使用电子签名、数据电文的管理。” 国家密码管理局根据此条规定颁布了《电子认证服务密码管理办法》，将电子政务电子认证区别于一般电子认证服务，明确了电子认证服务过程中的关键环节和操作规范，并就电子政务电子认证服务的相关法律责任与关系进行了说明。

　　同时，《电子签名法》的第十七条还规定了，电子认证机构要具有国家密码管理机构同意使用密码的证明文件。根据此项要求，国家密码管理局颁布了《电子认证服务机密码管理办法》，其中要求电子认证服务系统由具有商用密码产品生产资质的单位承建（该要求已做调整）；电子认证服务系统符合《基于SM2密码算法的证书认证系统密码及其相关安全技术规范》等标准规范要求；电子认证服务系统采用的商用密码产品是国家密码管理局认可的产品；电子认证服务系统物理环境符合电磁屏蔽、消防安全有关要求；电子认证服务系统采用的信息安全产品是国家相关部门或机构认定的产品；电子认证服务系统通过国家密码管理局安全性审查和相互连通测试。

　　政府对电子认证机构实施了如此严格的监管，使电子认证服务作为在虚拟世界中建立信任体系的基础设施地位更加稳固，有效保障了平台经济参与各方的实际身份与交易的可信赖。

　　区块链以它具有的不可篡改性、不可灭失性，被广泛的应用在司法存证领域，最高人民法院 2018年9 月 7 日实施的《最高人民法院关于互联网法院审理案件若干问题的规定》中第十一条规定“当事人提交的电子数据，通过电子签名、可信时间戳、哈希值校验、区块链等证据收集、固定和防篡改的技术方法或者通过电子取证存证平台认证，能够证明其真实性的，互联网法院应当确认。”

　　但是区块链并不能保证数据在上链前与上联后的完全一致性，我们正真看到最高人民法院2021 年 1 月 21 日发布的《关于人民法院在线办理案件若干问题的规定》（征求意见稿）中第十六条 “当事人提出数据上链存证时已不具备真实性，并提供证据予以证明或者说明理由的，人民法院应当予以审查。”另外，最高人民法院 2022 年 5 月 25 日发布的《最高人民法院关于加强区块链司法应用的意见》中第三十一条：“确保安全可靠。各级人民法院要健全事前审核和测试评估机制，确保上链数据真实性、准确性、合规性以及链上链下数据一致性，确保智能合约的合法性、有效性、安全性和可靠性。”

　　链上链下数据的一致性问题，严重影响了区块链在司法存证领域的应用。我们大家都认为将政府授权的电子认证、可靠电子签名和区块链进行相对有效地结合，线下的数据由政府授权的第三方电子认证机构提供较为可靠的电子签名，然后将签过名的数据或者签名值经过区块链验证以后，再将其哈希值存到区块链的存证里去，这样就可以有明显效果地保证链上链下数据的一致，这样就能保证整个数据真实合规。最终达到的效果就是电子认证与区块链共同使用，有效保证身份的真实、签署内容真实、存证的结果不可篡改、存证的记录不可灭失，电子认证服务让区块链上的数据更加的线

　　“穿透”的本质是还原业务的本象，只有清楚了事务的根本逻辑才能够找到与现行法律、现行管理规定的最佳连接点，对其进行相对有效的治理。在这样的一个过程中，密码技术、电子认证服务，是不可或缺的工具，也是建立平台经济秩序的有效手段。技术实现与监管措施是相辅相成的两个方面，紧密的融合可以越来越好的保障平台经济的稳定发展。