电子签名

授权公开披露 授权公开披露 授权公开披露 授权公开披露 DPI 电子签名 实现可信的数字转换 数字变换 政策注释系列2024年9月 ©2024世界银行1818HStreetNW，华盛顿特区20433电话：1-202-473-1000；互联网：www.worldbank.org 保留一些权利。 这是世界银行的一项研究成果。本报告中的发现、解释和结论并不代表世界银行执行董事或他们所代表政府的观点。 世界银行不对本作品中包含的数据的准确性、完整性和时效性负责，并不承担因数据中的错误、遗漏或差异而导致的责任。也不因使用或未使用herein提出的方法、过程或结论而承担责任。本作品中所示的边界、颜色、面值、链接/脚注及其他信息并不表明世界银行对任何领土法律地位的任何判断，也不表明世界银行认可或接受此类边界。引用他人著作并不意味着世界银行认同该作者的观点或其作品的内容。 此处声明不会构成或被视为限制或放弃国际复兴开发银行（世界银行）的特权和豁免的所有权利，这些权利均明确保留。 权限和权限 本作品的内容受版权保护。尽管世界银行鼓励其知识的传播，在非商业目的下，本作品的全部或部分内容可以被复制 ，但必须给予完整的引用。封面照片：©Shutterstock,Inc.通过Shutterstock,Inc.的许可使用。进一步的重用需要获得额外许可。封面设计：[添加姓名] 归因-请参考以下引用：“Tullis,Christopher;Constantine,Nay;Cooper,Adam.2024.电子签名：推动可信赖的数字化转型。©Washington,DC:WorldBank.” 关于权利和许可证的问题（包括附属权利），请咨询WorldBankPublications，世界银行，地址：美国华盛顿特区1818HStreetNW；传真：+1-202-522-2625；电子邮件：pubrights@worldbank.org。 TABLEOFCONTENTS 免责声明6 关于ID4D7 关于KWPF7 致谢7 执行摘要8 1.导言10 2.电子签名基础知识13 2.1在数字经济中实现信任13 2.2数字与电子签名13 2.3认证电子交易15 2.4电子签名使用案例16 2.5常见的神话18 3.可信(电子)交易21 3.1什么是签名？21 3.2信任的来源23 4.信任框架24 4.1信任框架的作用24 4.2分层信任：保证级别25 5.法律框架27 5.1法律框架的作用27 5.2相互承认30 6.技术实施32 6.1各种可能的技术32 6.2公钥密码学的作用33 6.3数字身份的作用35 7.Conclusions37 7.1战略37 7.2法律和监管37 7.3技术38 8.附录 39 附录1：关键术语词汇表39 附录2：电子签名使用案例41 附录3：良好做法法律框架43 附录4：从模拟信任到数字信任46 数字 图1：数字信任的分层模型12 图2：电子和数字签名如何支持电子交易的认证15 图3：电子签名的使用案例18 图4：签名如何增加交易中的信任22 图5：电子签名的功能对等29 图6：数字和电子签名35 Tables 表1.电子签名与数字签名14 表2：基于风险的电子签名用例分析方法17 表3：eIDAS保证级别：关键功能摘要26表4：高级电子签名实施的示例33 表5：实施合格电子签名的例子33 表6：密码学与电子签名功能的相关性34 表7：数字身份和信任服务提供商角色的说明性示例36 表8.按风险级别分组的各部门的常见电子交易41 表9.贸易法委员会案文和关键里程碑44 免责声明 这是一项参考文件，供政府、发展伙伴、学术界和其他相关人员在考虑、设计、实施或管理国家级电子签名生态系统时查阅。它并非旨在作为规划世界银行运作的全面指南。该文件基于世界银行数字发展实践所理解的不断演变的国际良好实践。它反映了来自不同地区、具有不同法律体系和处于不同经济发展阶段国家的经验。此外，它还考虑了现有文献、法律、模型法以及规范和原则。不能保证解决本文件中提出的所有问题都能成功设计、安装或管理国家级电子签名生态系统——因为这将取决于许多因素，这些因素可能因国家而异。尽管已经尽力做到完整，但本文件中仍可能存在未被提及的设计、建立和运营国家级电子签名生态系统的问题，或者这些问题可能仅在某些假设、事实和情境下得到讨论，并不适用于所有情况。本文件仅作为参考资料。 关于ID4D 世界✲行集团✁IdentificationforDevelopment（ID4D）倡议利用跨领域✁全球知识和专长，帮助各国实现数字身份识别系统转型潜力，以达成可持续发展目标。该倡议在全球范围内运作，涉及数字发展、社会保护、健康、金融包容性、治理、性别和平等法律等多个领域和单位。 ID4D✁使命✁通过增加拥有官方身份证明✁人数，使所有人员能够获取服务并行使他们✁权利。ID4D通过其三大✯柱来实现这一目标：思想领导力和分析，以生成证据并填补知识空白；全球平台和会议，以放大良好实践、协作并提高意识；以及国家和地区参与，提供资金和技术援助，以实施集成民事登记✁稳健、包容性和负责任✁数字身份识别系统。 ID4D✁工作得到了世界✲行集团、比尔及梅琳达·盖茨基金会、英国政府、法国政府、澳大利亚政府、挪威国际合作局以及奥米迪亚网络✁✯持。 要了解有关ID4D✁更多信息，请访问id4d.worldbank.org。 关于KWPF 这项工作得到了韩国-世界✲行合作伙伴基金（KWPF）✁✯持，该基金✁由韩国政府赞助、世界✲行集团内✁KWPF项目管理团队负责管理✁单捐方信托基金。KWPF✯持旨在识别、实施并规模化可持续发展解决方案✁项目，这些项目覆盖全球✁发展中国家，并借鉴了韩国在其自身发展过程中积累✁丰富经验和专业知识。 ACKNOWLEDGMENTS 这份政策文件由ChristopherTullis、NayConstantine和AdamCooper撰写。在整个指南开发过程中，他们收到了出色✁反馈和建议。作者感谢以下人员为本指南作出✁各种贡献：AudreyAriss、DavidBlack、VictoriaEsquivel-Korsiak、IssamKhayat、DariaLavrentieva、VikyManaila、JonathanMarskell、SlavinaPancheva、DavidPorteous、LaraWanna、GillanWard和MatthewZoller。作者也衷心感谢我们✁专家同行评审HarishNatarajan、DavidSatola和VijayVujjini提供✁宝贵意见。 7 执行摘要 信任✁所有商业和行政交易✁基础，数个世纪以来，handwritten签名一直用于验证这些交易。随着交易数字化，提供信任✁签名也必须变为电子形式。缺乏可信且法律认可✁电子交易认证手段迫使人们继续依赖手写签名，这阻碍了数字化进程，因为完成交易时仍需进行面对面✁互动。 可能代表一种电子签名✁形式。试图通过引入更复杂✁机制来彻底淘汰这类技术可能✁适得其反✁。然而，随着交易风险✁增加——例如，由于货币价值高或存在法律责任风险— —更复杂✁电子签名解决方案可能✁必要✁，以促进数字化进程。特别✁加密技术可以用于保护已签署文件✁完整性并防止后续篡改。此类复杂✁电子签名技术可以提供极高✁信任水平，使即使✁最有价值和最具有风险✁交易也能安全地实现数字化。全面✁数字转型无法实现，除非所有交易（无论风险大小）都能在线上进行。 在模拟世界中，亲自手写签名并不✁一种特别安全✁身份认证手段。当交易数字化时，新✁安全问题随之出现，因为数字数据可以轻易被复制或篡改，引入了纸质文件从未存在✁额外脆弱性。为应对这些担忧，电子签名框架提供了一种方式，以确保各种电子交易✁真实性，从而促进可信赖✁数字经济✁兴起。 这份政策简要介绍了电子签名✁四大主要功能：（1）识别签署人，（2）将签名归属于签署人，（3）记录签署人✁签署意图，以及（4）确保已签署数据✁完整性和防止篡改。并非所有交易都需要这四个功能✁高可信度保障。事实上，对于低风险交易而言，试图在所有四个功能上确保高度信任可能会适得其反，例如，如果这样做会导致成本过高或使用上✁障碍，从而阻碍交易✁发生。因此，政策制定者应在安全性和易用性之间权衡优先级，以确保电子签名解决方案✁广泛采用。 因为不同类型✁交易有不同✁要求，电子签名框架应当基于风险为基础✁方法进行设计，允许根据不同应用场景✁需求采取不同✁方法。低风险✁应用场景可能有非常基本✁要求 。每当我们在同意条款和条件时点击“我同意”按钮、输入✯付授权✁PIN码或在电子邮件或短信结尾处输入姓名——所有这些动作 电子签名中✁“信任”要素由一系列互补且相互强化✁层次组成 。每一层都在较低层次✁基础上扩展了信任，使其超越了没有这些层次时所能达到✁程度。基础层植根于现有✁“模拟”信任来源。信任框架✁角色不应✁取代这些现有✁信任来源，而✁在此基础上进行建设。信任框架通过正式化电子签名✁一系列最低要求来实现这一点，提供了其可靠性✁透明度。信任框架不仅应关注技术组件，还应关注人员和流程要素，这些要素对于提供信任同样——如果不✁更——重要。最后 ，法律框架赋予信任框架中规定✁规则以法律效力，并明确 说明在国内外情况下何时以及如何承认电子签名✁合法性。法律框架✁关键功能✁使电子签名具有与手写签名相同✁法律权重。许多法律框架通过将电子签名和纸质签名✁法律等效性纳入法律来实现这一点，确保在线提供✁签名不会被排除在具有法律约束力✁性质之外。 政策简报在策略、法律和技术层面提出了建议。政府应当根据需求设计电子签名框架，与用户和验证者✁需要相一致。他们应当通过解决障碍并平衡安全性和易用性来促进在整个数字经济中✁采用。 促进互操作性。采用基于风险✁方法来定义基于结果✁安全保证水平，可以为✯持低风险和高风险交易✁电子签名方案提供保障。信任框架应确保与数字验证和身份认证✁法律身份系统之间有强大✁联系，从而增强对电子签名✁信任。 保持技术中立可以促进创新和产品差异化，使系统能够根据不断变化✁要求进行演化和扩展。实施方式 要求使用复杂✁加密技术（如公钥基础设施）✁应用应限于高风险场景，因为在这些场景中，此类方法✁成本和复杂性增加✁合理✁。将信任框架与国际标准对齐可以促进跨境认可，确保信任并促进跨境贸易。政府应✯持电子签名实施者 ✁可持续商业模式，并促进私营部门参与以维持长期✁财务可行性。 电子签名 9 实现可信✁数字转换 1INTRODUCTION 随着世界日益数字化，安全、高效、易用且具有法律认可性 ✁在线交易方法变得越来越重要。电子签名✁推动数字交易 ✁关键手段，允许各方在线互动并信任自己能够受到保护，从而避免其他可能破坏数字互动✁各种欺诈行为。1电子签名可以确保交易各方✁身份，并保护交易✁完整性。 事后 通过预防修改重要✁细节， 如合同2条款或交易金额。除了其他认证电子交易✁技术，3 电子签名✁向无纸化环境过渡✁关键组成部分，它们在私营 和公共部门中减少成本、简化流程，提升电子商务中✁客户体验，并促进数字经济✁扩展。 尽管高收入国家✁法律法规对电子签名有更为完善✁明确规范，但在所有收入水平✁国家中，电子签名✁普遍使用已✁常态。例如，当一名贫困✁小农使用移动钱账户提取社会援助福利或✯付孩子✁学费时，他通过手机输入✁PIN码来验证身份并授权交易，就✁一种简单✁电子签名形式。 所以，如果电子签名已经在全球范围内产生了变革性✁影响 ，而无需特别✁关注或监管，那么这份政策说明✁目✁何在 ？答案在于需要： 为了超越当前电子签名框架✁局限性（这些框架往往相当原始），避免阻碍数字经济✁持续发展。例如，农民手机上✁PIN码为何不能用于授权除移动货币账户外✁其他类型交易？为什么这样✁电子签名似乎仅限于经济✁特定部门，并且通常无法与政府进行交互