隨著移動互聯(lián)網(wǎng)的飛速發(fā)展，應用程序（APP）已經(jīng)由最初的單機版本進化為如今復雜的實時在線服務。然而，這一進步也使諸如非法收集個人信息、彈出廣告無法關(guān)閉、個人隱私泄露等侵犯用戶權(quán)益的問題頻頻出現(xiàn)，這些問題時刻威脅著我們的數(shù)字安全。面對APP產(chǎn)業(yè)鏈條的復雜性和責任歸屬的挑戰(zhàn)，電子簽名應運而生。

    電子簽名是指數(shù)據(jù)電文中以電子形式所含、所附用于識別簽名人身份并表明簽名人認可其中內(nèi)容的數(shù)據(jù)。

    自2005年《電子簽名法》實施以來，因其具有防篡改、可追溯、可信任的特點，電子簽名廣泛應用于網(wǎng)絡身份認證、交易簽約、證據(jù)固定、責任溯源等場景，是APP全鏈條治理中的重要一環(huán)。

    一、什么是可靠的電子簽名？

    《電子簽名法》第13條規(guī)定：電子簽名同時符合下列條件的，視為可靠的電子簽名：

    1.電子簽名制作數(shù)據(jù)用于電子簽名時，屬于電子簽名人專有；

    2.簽署時電子簽名制作數(shù)據(jù)僅由電子簽名人控制；

    3.簽署后對電子簽名的任何改動能夠被發(fā)現(xiàn)；

    4.簽署后對數(shù)據(jù)電文內(nèi)容和形式的任何改動能夠被發(fā)現(xiàn)。

    以上四點是我們通常說的，可靠的電子簽名應該具備的四要素：真實身份、真實意愿、數(shù)據(jù)未改、原文未改，缺一不可。第三方電子簽名平臺會通過人臉識別、短信驗證、非對稱加密、時間戳等技術(shù)來使電子簽名變得可靠。

    二、電子簽名技術(shù)原理

    數(shù)字簽名背后的技術(shù)原理實際上相對比較復雜，我們在本文中僅選擇與法律層面相關(guān)的核心技術(shù)原理進行介紹，最終目的是讓大家能夠明白技術(shù)手段所達到的法律效果，從而理解數(shù)字簽名是如何滿足簽名專屬性、簽名唯一控制性、簽名防篡改性以及內(nèi)容防篡改性四個基本要件。

    1.電子認證與數(shù)字證書

    主要解決專屬性問題。此時CA機構(gòu)類似于線下公章刻制部門，通過特定方式對申請主體進行真實身份審核，并簽發(fā)數(shù)字證書對申請主體與特定電子數(shù)據(jù)的關(guān)聯(lián)性提供證明。數(shù)字證書是CA機構(gòu)完成審核后所提供的證明文件，用以證明數(shù)字證書中的公鑰屬于簽名人所有，CA機構(gòu)承諾對專屬性承擔法律責任。

    2.非對稱加密

    主要解決唯一控制性問題。在非對稱加密算法下，會出現(xiàn)完全不同但互為一對的公私鑰密碼對，公私鑰密碼對可以簡單理解為能夠同時打開一個盒子的兩把鑰匙，但這兩把鑰匙卻完全不同。私鑰由電子簽名主體自行控制（滿足了唯一控制性要求），而私鑰唯一對應的公鑰包含在數(shù)字證書中，用于收件人進行解密驗證。若加密文件最終被公鑰解密，則證明該文件是由唯一對應的私鑰加密發(fā)送，而公私鑰密碼對所對應的主體又是由CA機構(gòu)進行合法認證并關(guān)聯(lián)的主體。因此從法律邏輯上我們能夠推斷出收件人收到的文件就是由特定主體認可并發(fā)送，以達到發(fā)件人無法抵賴的效果。

    3.哈希值

    主要解決防篡改性問題。哈希值（hash values）又稱為數(shù)據(jù)指紋，是使用哈希函數(shù)計算得到的結(jié)果，例如一張圖片可通過哈希函數(shù)計算得到一個唯一對應的結(jié)果（一串數(shù)字與字母組合），如果我們對圖片做略微修改（哪怕是肉眼無法看出的修改），則重新通過哈希函數(shù)計算得到的結(jié)果將完全不同，因此哈希值常常被運用于驗證文件是否被篡改的場景下。

    三、電子簽名助力app監(jiān)管

    開發(fā)者完成APP開發(fā)后，通過APP簽名服務系統(tǒng)對APP進行電子簽名，固定了APP的開發(fā)者身份，同時也確保了APP不被第三方篡改。若委托第三方檢測機構(gòu)進行檢測，檢測機構(gòu)在完成檢測后會再次對APP進行電子簽名以明確APP的檢測身份。

    應用商店在上架審核時，會首先驗證APP是否存在開發(fā)者和檢測機構(gòu)的電子簽名，以降低上架破解、篡改、惡意、違規(guī)的APP的風險。上架審核通過后，應用商店還會再次對APP進行電子簽名，明確APP的分發(fā)身份。

    當監(jiān)管部門發(fā)現(xiàn)存在違法違規(guī)問題的APP時，通過APP簽名服務系統(tǒng)可以及時定位到APP的開發(fā)者、檢測機構(gòu)以及應用商店，開發(fā)、檢測和分發(fā)管理責任一目了然。

    電子簽名因本身具有防篡改、可追溯、可信任的特點，在數(shù)據(jù)流通過程中具有天然的技術(shù)優(yōu)勢。另外《電子簽名法》第十四條規(guī)定，可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力。電子簽名中的APP身份數(shù)據(jù)、檢測結(jié)果和審核結(jié)果等同于簽名人在法律層面上的認可，具有較強的可信度。

    此外，身份數(shù)據(jù)、檢測結(jié)果和審核結(jié)果在APP管理中具有極高的數(shù)據(jù)價值，可為應用商店上架審核、終端廠商風險預警提供重要參考和處置依據(jù)。過濾相關(guān)敏感信息，將可公開的APP身份數(shù)據(jù)、檢測結(jié)果和審核結(jié)果共享給應用商店和終端廠商等企業(yè)，能夠充分釋放數(shù)據(jù)價值，提升企業(yè)APP管理能力。

    來源：人民郵電報，科技日報等