获取安全有效的互联网金融电子证据是否有路可循?

未央网 作者: 李中元

e租宝、大大集团、快鹿等财富管理机构巨额非法集资事件曝光,问题平台跑路、爆雷、被查、无法兑付、人去楼空等等,都让监管部门和从业者、参与者清醒地意识到:互联网金融行业到了只有去芜存菁方能行稳致远的“十字路口”,到了必须做出选择的时刻。

2016年4月中旬开始,由国务院组织召开、央行牵头以及十四部委联合启动的有关互联网金融为期一年的专项整治活动正式展开。此次专项整治,将成为互联网金融行业健康发展的重要助推力,具有核心竞争力、合规发展的平台迎来业务发展利好的同时,有个问题必须面对、思考和解决:在互联网环境中,如何在合规的前提下有效保障平台各方参与者的合法权益?如何选择安全的产品来生成有效的互联网金融电子证据?

任何基于计算机应用、通信和现代管理技术等电子化技术手段形成的包括文字、图形符号、数字、字母等资料都可以称之为电子数据。在互联网金融平台中,电子数据文件已经成为平台运营的基础,但电子数据存在着可以被无痕篡改的脆弱性,导致其作为法律证据时会受到质疑。

电子证据的概念学界还没有形成统一认识,比较有代表性的观点有:1) 中国人民大学法学院教授、诉讼法学博士研究生导师(侦查学方向和证据学方向)何家弘教授 “以电子形式存在的、用作证据使用的一切材料及其派生物;或者说,借助电子技术或电子设备而形成的一切证据”;2) 中国计算机取证专家委员会委员、湖北警官学院电子取证重点实验室主任麦永浩教授 “一切由信息技术形成的,用以证明案件事实的数据信息”;3) 武汉大学博士生导师、皮勇教授 “借助于现代数字化电子信息技术及其设备存储、处理、传输、输出的一切证据,”并且“不限于计算机系统中的数字电子化信息”。从上述观点不难看出,电子证据本身真实是电子证据可靠的重要因素。

如何让各参与方不能否认、不可篡改交易当时认可并产生的电子数据使之成为有效的电子证据?有办法,就是非对称密码技术为依托的数字证书。

所谓非对称密码技术,就是将秘钥分为公钥和私钥,公钥可以公开,不存在泄露的风险,私钥自己掌握,公钥加密、私钥解密,使用公钥加密只有私钥才能解密,用于加密传输,使用私钥签名(其实就是加密)所有对应公钥都可以验签,私钥无法否认。

这些加密算法来自数学世界里公认的、需要消耗极大计算量才能得出结果的难题,比如大数因式分解问题、离散对数问题、椭圆曲线问题,其中RSA基于大数分解难题、ECC是椭圆曲线密码的缩写、SM2是我国密码管理局发布的椭圆曲线公钥密码算法。这种签名算法是受我国《电子签名法》支持的,其第十四条明确规定:可靠的电子签名与手写签名或者盖章具有同等的法律效力。

但《电子签名法》对电子签名的可靠性也是有要求的,第十三条规定:电子签名同时符合下列条件的,视为可靠的电子签名:

(一)电子签名制作数据用于电子签名时,属于电子签名人专有;

(二)签署时电子签名制作数据仅由电子签名人控制;

(三)签署后对电子签名的任何改动能够被发现;

(四)签署后对数据电文内容和形式的任何改动能够被发现。

当事人也可以选择使用符合其约定的可靠条件的电子签名。

可见不是任意一个数字证书签上名就是可靠的,必须要做到“ 属于电子签名人专有”、“仅由电子签名人控制”。而符合这种要求的签名工具就在我们身边:我们到各商业银行开通网银特别是专业版网银时,一般都会被推荐办理一个类似U盘的东西,不同银行对其的命名各异,如usbkey、Ukey、优K、K宝、U盾、网银盾等。这些名称不同、实际功能一致的硬件设备统称为key,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,就是硬数字证书了,完全可以做到即用即插,用完收存,有效避免被窃取,用它进行签名完全符合法律的要求。

传统金融机构依托分布各地的网点,投入相当规模的人力物力财力,采用自己发放key的方式,下图为某银行的解决方案:

获取安全有效的互联网金融电子证据是否有路可循?

可以看出,要自发key,两个条件必须满足,一是资金雄厚、技术实力强大,因为自发key的资金投入至少上百万,还要有较强的技术整合能力,就是说要“腰粗”。二是拥有遍布全国各地的分支机构,来完成key的面签、发放、更换等环节,就是说要“腿多”。

对于互联网金融企业来讲,上述解决方案是“不可能实现的梦想”,只能望key兴叹:抛开资金、技术因素,在全国各地有客户的城市设立分支机构是非常重资产的模式,互联网的优势荡然无存。为了交易的安全,有些互联网金融企业采用了软证书的解决办法,如下图:

获取安全有效的互联网金融电子证据是否有路可循?

通过在线认证客户身份,由CA生成数字证书供客户通过互联网在线下载,以“文件证书”存放在客户机器的硬盘中,供客户电子签名时使用。此种解决方案,有两方面的不足:一是使用不便,客户只能使用特定计算机进行电子签名,二是签名可靠性不强。国家GB/T《信息安全技术公钥基础设施 签名生成应用程序的安全要求》中明确规定:以文件证书形式存放是不安全的,更不能存放在硬、软盘中。也就是说软数字证书的方式不满足《电子签名法》第十三条的“(二)签署时电子签名制作数据仅由电子签名人控制”的要求。

目前风靡全世界互联网金融圈的区块链技术,所有账本面向全世界开放,每个账户拥有者操作后不能否认、篡改。该技术的理论基础是非对称密码技术,同以该理论支撑的数字证书在互联网的环境下能不能起到可靠电子签名的作用?也就是说传统金融机构发放的key是否能用于互联网金融行业?山东大学网络信息安全研究所孔凡玉副教授给出了肯定的答复:数字证书是在PKI体系框架下公钥的表现形式,可以公开,但私钥必须保密,银行、税务、政府部门等发放的key内私钥无法导出,只要获得相应的公钥,完全可以应用到别的行业,实现key共享。很自然地,可以很容易得到如下的架构图:

获取安全有效的互联网金融电子证据是否有路可循?

互联网金融企业少了很多证书管理的功能,只需要绑定用户id和公钥,可以轻松地使用数字证书。对重要文本,平台提示客户采用数字证书进行签名,有效防止被篡改、防抵赖。在key内首先对重要文本进行摘要,摘要算法有MD5、SHA1、SM3,然后对摘要值进行签名得到签名数据。当对重要文本进行任何形式和内容的修改,摘要值均会改变,起到防篡改的作用。用户的公钥可以对签名数据进行验签,起到防抵赖的作用。完全符合《电子签名法》第十三条的“(三)签署后对电子签名的任何改动能够被发现;”,“(四)签署后对数据电文内容和形式的任何改动能够被发现。”的要求。

随着对互联网金融参与者宣传、教育力度的加大,平台投资者会越来越谨慎地进行投资,会用法律的手段维护自己的权益,平台必须思考客户信息安全、投资人合法权益保护的问题,并采取有效措施解决这个问题,不断自我升级,提升平台价值。

力度空前的互联网金融专项整治听起来像是给从业者一记重锤,貌似给行业施压,实际上却是在扭转“劣币驱逐良币”的不利局面,用“看得见的手”对市场进行调整,让“看不见的手”真正发挥作用,让合规且具备创新能力的平台获得更好的成长环境,富有远见的互联网企业和从业者会选择适合自己的、先进的安全技术和产品产品,守住法律和风险的底线,合规、稳健经营,走的稳、走的远。