数字证书与数字签章在招投标业务中的应用

随着后疫情时代市场的逐步复苏和各项深化改革措施的不断落实，招投标活动全流程电子化的步伐也越走越快、越走越稳。数字证书、数字签名等技术作为电子招投标系统的基础支撑技术，也顺应改革要求不断优化提升，更多的业务场景需要应用数字证书与数字签章发挥更大的作用。

数字证书的运用

数字证书本身是一种电子文件，证书申请人须根据实际业务需要向提供证书颁发服务的机构申请数字证书。数字证书中包含证书内容，散列算法，加密密文以及证书持有人的相关信息。数字证书作为技术实现的核心依赖于权威的证书颁发机构。我国国内目前取得认证许可的证书颁发机构有46家，证书颁发机构必须取得国家密码管理局颁发的《电子认证服务使用密码许可证》及我国工业和信息化部颁发的《电子认证服务许可证》后才能对外开展电子认证服务，相关信息可以通过国家密码管理局公布的名单进行查询。证书颁发机构对证书内容使用散列算法计算出标识证书内容的唯一值，然后使用证书颁发机构提供的私钥对证书内容加密作为证书颁发机构的签名信息（数字签名），加密必须使用国家商用密码算法进行。最重要的是，证书颁发机构会同时向证书持有人提供公钥，并保存在数字证书中。由于数字证书的颁发机构众多，数字证书认证依赖关系自上而下形成了从国家到省级的树形结构。在建设统一大市场的过程中，全行业跨地区的招标投标活动必须实现数字证书的互信互认，减少招标投标活动中的重复工作，减轻参与者负担，提高工作效率。

数字签名的业务场景和技术实现方式

数字签名的业务场景涉及在线和离线两种，数字签名是可以对任何展现形式的数字报文进行签名的。在实际应用中，离线使用的数字报文通常会转换为PDF格式的电子文件，其作为Adobe发明的版式文件标准，可以保证文件内容、版式不会在印刷或阅读过程中发生变化，而且这种标准为嵌入数字证书和数字签名明确了技术规范。缺点是PDF技术标准不支持国家商用密码算法，数字签名功能需单独开发。在线数字报文以网页形式为主，需要在业务数据提交过程中完成数字签名，并妥善保存数字报文和签名信息。现在电子发票中使用的OFD格式文件，就是属于国家标准的版式文件格式。

在实践过程中，电子招标平台会以网站或专用应用程序的形式提供数字签名功能，并且遵循纸质文件签署的习惯使用电子签章，将数字签名和电子签章的过程合并，在电子报文中保存和显示电子印模。这样签署的电子文件具有两个数字签名的核验内容，一个是数字证书颁发机构对数字证书持有者身份的核验信息，另一个是电子印章颁发者对电子印章持有者的核验信息。从法律角度来看，两者都具有法律效力。

数字签名技术的实现方式主要有三种：一是数字证书的互信互认。这种互信互认是自然存在于现在的数字证书体系中的，所有证书颁发机构的根证书都是基于国家数字根证书生成并由国家颁发（包含CACF、商用密码证书、政务数字证书）的。只要各证书颁发机构建立根证书的互信，那么所有互信根证书所生成和颁发的数字证书就能实现互信互认。新修订的《商用密码管理条例》也进一步明确要建立电子认证信任机制，推动电子认证服务互信互认。通过数字证书的互信互认，在完善的制度规范下，制定统一的标准，可以实现跨行业、跨地区的全场景业务应用。二是采用统一身份认证系统。统一调用各个不同数字证书颁发机构的验证服务，统一返回验证结果，实现不同数字证书在同一平台身份信息互认。这是目前采用较多的一种实现方式。三是使用具备法律效力的专有数字证书进行数字签名。通过专有数字证书颁发机构进行数字签名真实性和有效性的验证，依赖专有数字证书颁发机构跨行业、跨地区的业务特性实现数字证书的互信互认。例如，金融行业的数字证书、公安电子印章的电子证书、营业执照中的政务电子证书等都具备类似的特性。这种方式的弊端是，由于业务场景的变化，同一业务需同时使用多个数字证书重复进行数字签名、重复验证，导致工作流程较为烦琐。

数字签名与数字证书在全流程电子化招投标中的应用

在全流程电子化的业务模式下，需要将原有的以纸质文件传递和留存的数据、文字、图像等信息全部转换为以电子报文为载体的数据文件，并通过技术手段保证数据文件所具有的法律效力，这必须运用数字化的技术手段得以实现。数字签名技术能够满足业务需要并得到法律保护。通过应用加密技术，同时运用数字签名技术核验真伪，比传统纸质模式签字盖章的有效性更胜一筹。

电子化招标投标业务运行过程中，数字签名技术的应用方式有如下三种：第一，根据《中华人民共和国电子签名法》（以下简称《电子签名法》）的规定，直接使用由国家授权的数字认证机构颁发的可以确认持有者身份的数字证书，对电子报文进行数字签名。其具备在纸质文件上签字盖章的同等效力，同时可以确定数字签名的准确时间。第二，在实际业务操作过程中，传统合同签订时可以在纸质文件上看到签章；而信息化系统会提供在电子报文上添加图形印模（电子签章）的应用。根据《中华人民共和国治安管理处罚法》及相关管理办法的规定，印模的制作需要由经公安部门授权的机构进行制作。电子印章（签名）是指遵循《电子签名法》，基于可信密码技术生成身份标识，以电子数据图形表现的印章（签名），通常只用于签署电子文件。其内容包括电子印章（签名）图形、印章（签名）信息和信任凭证，与实物印章或手写签名具有同等法律效力。第三，使用电子营业执照的相关功能，市场主体可通过办理电子营业执照替代CA证书（即数字证书）参与招投标活动。国家市场监督管理总局在《电子营业执照管理办法（试行）》中规定，电子营业执照与纸质营业执照具有同等法律效力，是市场主体取得主体资格的合法凭证。电子营业执照文件是按照全国统一版式和格式记载市场主体登记事项，并经市场监管部门依法加签数字签名的电子文档。市场主体使用电子营业执照可以对数据电文进行电子签名，符合《电子签名法》第十四条规定的“可靠的电子签名与手写签名或者盖章具有同等的法律效力”。

无论使用数字证书、电子印章还是电子营业执照进行电子签名操作，都是通过计算散列值、加密散列值、将数字证书和签名信息嵌入原文三个环节来完成的。对签名的数字证书持有者身份进行验证时，可以将相应的数字证书提交给数字证书颁发机构，数字证书颁发机构使用私钥解密数字证书的签名信息，核验证书内容与解密内容一致且无篡改，并确认证书持有人当前证书有效，将核验结果反馈给信息提交者。对数据报文的核验则是对数据报文的散列值进行比较，判断数据报文是否被篡改。数字证书的颁发和数字签名过程中的加密采用非对称加密的方式。与加密解密只是用同一个密钥的对称加密方式相比，非对称加密方式由证书颁发者使用专用系统生成一对密钥，公钥提供给证书持有者用于数字签名，私钥由证书颁发者持有用于证书和签名验证。密钥的生成和使用都必须满足国家商用密码算法的要求。

除了前文已经提到的电子印章、电子营业执照等，国家也在大力推行其他证照电子化。今后，更多的授权文件信息、检验检测信息、信用信息或将使用电子报文作为信息交换手段。如果能够实现一个市场主体一张证书，将市场主体的所有相关信息集中汇集，并在所有业务中统一使用，每个市场主体自主管理信息数据，将为统一大市场的建立和良好允许提供极大便利，也将更好地保障招标投标业务的可持续发展。

（作者单位：天津开明管理技术咨询公司）

责编：戎素梅；编辑：张曼琳