论电子公文安全体系的法律保障
关键词:电子公文电子政务互联网
一、子公文及其特点
电子公文是指以电子形式表现的并通过网络传送的,用于政府机关相互之间联系事务的专用文件。电子公文的特点是基于电脑和互联网联网的特性而产生的,因为电子公文的制作、发送及接收都需要通过电脑和互联网这两种媒介来进行。首先是电脑,它的最大作用是将政府公文中所有具体的信息都进行了数字化的改变,这里所说的数字化是指电脑将输入的具体信息以“1”和“0”来进行存储和运作,这不像传统的政府公文是以具体的书面形式来表示的。其次是互联网,互联网将电脑里的数字化信息在各个政府机关之间迅速地传送。互联网本身有其特殊性,即公开性和全球性。所谓公开性是指任何人都可以自由地进出互联网,而全球性是指信息在互联网上的传递是没有边界障碍的。根据上述分析,较之传统的政府公文,电子公文有以下几个方面的特点:
(1)电子公文是一种数字化的、虚拟化的文件形式;(2)电子公文的传送是在公开环境下,通过互联网进行的;(3)电子公文的传送可以在各个地区、国家乃至全球范围内的政府之间进行;(4)电子公文的广泛应用能够极大地提高政府的办事效率。
显然,信息技术的发展给政府机构带来了一场深刻的变革。传统的公文传送方式使政府机构背负着沉重的时间负担和经济负担。传统公文在这一场变革中受到了电子公文这一新生事物的强有力的冲击。电子公文的制作、发送和接收可以突破时间和空间的限制,给人们以快速和便捷。可是电子公文毕竟是近年来才开始出现的新生事物,很多技术上的问题还有待解决。特别是,由于电子公文刚刚开始启用,有关电子公文的法律纷争还颇为鲜见。就世界范围来说,还没有专门的法律规范,也无强制性的原则可以遵循。可以说,其中还有很多值得研究的问题摆在我们的面前。
二、电子公文应用中存在的安全问题
目前,电子公文应用中出现的安全问题主要有:
1.黑客问题。黑客入侵网站的消息在近年被频频报道。以前黑客们往往挑选美国国防部和雅虎这些安全防范体系堪称一流的硬骨头啃。而随着各种应用工具的传播,黑客已经大众化了,不像过去那样非电脑高手不能成为黑客。如果安全体系不过硬的话,黑客便可以肆意截留、毁灭、修改或伪造电子公文,给政府部门带来混乱。
2.电脑病毒问题。自电脑病毒问世几十年来,各种新型病毒及其变种迅速增加,而互联网的出现又为病毒的传播提供了最好的媒介。不少新病毒直接利用网络作为自己的传播途径。试想一个完整的电子政府体系中某个环节受到病毒感染而又没有被及时发现,电子公文系统全面瘫痪,那将会产生怎样的后果?病毒的感染会使一些电子公文毁灭或送达延误,整个电子政府将会指挥失灵、机构运作不畅。
3.信息泄漏问题。目前,各大软件公司生成的网管软件使网络管理员拥有至高无上的权利,可以方便地对网上每个政府用户的各种使用情况进行详细的监测。此外,网络中存在不少木马程序,如果使用不慎,就会把公文中的重要信息泄漏给他人。而某些大公司生产的软件或硬件产品所带的后门程序更可以使这些公司对政府用户在网上的所作所为了如指掌。对政府而言,信息泄漏将会给其工作带来麻烦,甚至会危及到国家的政治、经济及国防利益,有关的政府工作人员会因此被追究法律责任,这是绝对不能接受的。而对这些大公司的法律管制,对于在信息产业中处于弱势地位的国家来说是根本无法解决的难题,但光靠处于优势地位的国家也是不行的,必须在国际范围内形成管制的合力。
三、电子公文安全体系法律制度建构
1.科学的密钥使用制度规范。密钥是一种信息安全技术,又称加密技术,该技术被广泛应用于电子商务和电子政务中。它包括两种技术类型,即秘密密钥加密技术和公开密钥加密技术。其中秘密密钥加密技术又称对称加密技术。倘利用此技术,电子公文的加密和解密将使用一个相同的秘密密钥,也叫会话密钥,并且其算法是公开的。接收方在得到发送的加密公文后需要用发送方秘密密钥解密公文。如果进行公文往来的两个政府能够确保秘密密钥交换阶段未曾泄漏,那幺,公文的机密性和完整性是可以保证的。这种加密算法的计算速度快,已被广泛地应用于电子商务活动过程中。公开密钥加密技术又称为非对称加密技术。这一技术需要两个密钥,即公开密钥和私有密钥。私有密钥只能由生成密钥对的一方政府掌握,而公开密钥却可以公开发布。用公开密钥对公文进行加密,只有用对应的私有密钥才能解密。用私有密钥对数据进行加密,只有用对应的公开密钥才能解密。此二种技术相比,显然第二种技术的安全系数更大一些,但这种技术算法速度较慢。我们可以根据各种公文的秘密等级,采用不同的加密技术。对于一般的公文往来数量大且频繁,不宜采用非对称加密技术,还有秘密等级较低的公文亦可采用对称加密技术。而对那些重大的通知及秘密等级较高的公文则必须采用非对称加密技术。凡违反上述技术性规范的要求造成公文泄密或是公文的完整性受到损害的,需追究其法律责任。
2.完善的政府证书管理制度。公文传送过程中数据的保密性通过加密和数字签名得到了保证,但每个用户都有一个甚至两个密钥对,不同的用户之间要用公开密钥体系来传送公文,必须先知道对方的公开密钥。公文传送中有可能发生以下情况:用户从公钥簿中查到的不是对方的公钥,而是某个攻击者冒充对方的假冒公钥;或者公文互换的双方在通讯前互换公钥时,被夹在中间的第三者暗中改变。这样的加密或签名就失去了安全性。为了防范上述风险,我们可以仿效电子商务中的做法,引入数据化证书和证书管理机构,建立完善的政府证书管理制度。这里所说的证书是指一份特殊文档,它记录了各政府机关的公开密钥和相关的信息以及证书管理机构的数字签名。证书的管理机构是个深受大家信任的第三方机构。考虑到电子政务的特殊性,电子政务系统中的根目录证书管理机构最好由一国的最高政策机关设立的专门机构出任,其它各级目录分别由地方各级政府设立的专门机构去管理。在我国,根目录的管理工作可由国务院信息办来承担,其它各级目录分别由地方各级人民政府设立的专门机构进行管理。各政府机关须向相应的证书管理机构提交自己的公开密钥和其它代表自己法律地位的信息,证书管理机构在验证之后,向其颁发一个经过证书管理机构私有密钥签名的证书。政府出面作为证书的管理机构,其颁发的证书信用度极高。这样一来将使电子公文的发送方和接收方都相信可以互相交换证书来得到对方的公钥,自己所得到的公钥是真实的。显然,电子公文系统的安全有效运转离不开完善的政府证书管理制度的确立。
3.有效的数字签名制度。在电子公文的传送过程中可能出现下列问题:(1)假冒,第三方丙有可能假冒甲机关给乙机关发送虚假公文;(2)否认,甲机关可能否认向乙机关发送过公文;(3)伪造,乙机关工作人员可能伪造或修改从甲机关发来的消息,以对自己有利。这些问题要靠数字签名来解决。数字签名在电子公文传送中的应用过程是这样的:公文的发送方将公文文本带入到哈希函数生成一个消息摘要。消息摘要代表着文件的特征,其值将随着文件的变化而变化。也就是说,不同的公文将得到不同的消息摘要。哈希函数对于发送数据的双方都是公开的。发送方用自己的专用密钥对这个散列值进行加密来形成发送方的数字签名。然后,这个数字签名将作为公文