觀點

電子簽章法與PKI的應用

2002 / 04 / 02
電子簽章法與PKI的應用

文/博訊科技副總經理裴兆旭


目前全球上網人口已達數億,而銀行業、電信業、醫療業的經營已經離不開電腦和網路系統,電子化、網路化已是不可逆轉的潮流,然而我們仍處於安全危機:駭客事件暴增、電腦病毒肆虐,以及信用卡盜刷犯罪頻繁....;實體的面對面驗證與簽字蓋章、警察人員的保安...等,都不能在網路的環境中發生作用。要解決這一個安全危機,需要從技術與法律兩個層面下手:


技術層面:應用PKI技術,提供身分驗證、加密和不可否認性,強制企業建立資訊系統的安全控管機制。
法律層面:台灣的電子簽章法千呼萬喚始出來,已於2001年10月31日在立法院通過,各界人士對此都很關注。



電子簽章法細則擬4月公佈實施
業界對電子簽章法的初期反應是:電子簽章法將推動電子商務和PKI的應用,且對於資訊產業、金融業、醫療業,尤其對電子簽證服務業者更是商機無窮。行政院要求經濟部主持制定電子簽章法細則,並要求於今年4月1日公佈實施。然而由於電子簽章法細則訂定的解釋空間很大,面臨多方面的挑戰。主要關注的問題包含:
1. 電子簽章的法律效力和使用範圍;
2.憑證機構的稽核管理和賠償責任界定;
3.憑證使用者的審核權益和和相關消費者保護的議題;
4.外國機構的管理辦法和國際互惠原則的適用性。


由於目前細則訂定討論辦法和意見的焦點,主要圍繞在對憑證機構的稽核管理和賠償責任上,傾向於將憑證使用者的相關相電子交易損失歸於憑證機構的責任。這種傾向代表了憑證使用者的意識,但是也突顯出由於對電子簽章在電子商務環境時用的技術和市場實際狀況不熟悉,而要求而要求單方面責任賠償的心理態度。這種傾向的本意應該是好的,但是其對於電子簽章法的應用和推動是有利或不利的呢?




應用範圍規範和賠償責任應該加以分級
電子簽章法的核心意義在於,承認電子簽章(包括數位簽章)與用手簽字、傳統的印章同樣具有法律效力;電子憑證的作用即代表使用者的身分認證和簽章。但是網路環境中的電子交易牽涉應用系統和作業處理多種影響,若將全部風險歸責於憑證機構負責是不合理的。各種簡化而歸責於憑證機構的意見,看起來對於保護認證使用者有利,但是卻會嚇跑憑證機構業者,甚至鼓勵網路犯罪,誘導謀利的訴訟案頻頻發生,到頭來可能是業者從市場撤出,實際市場的電子簽章的應用將發展不起來。


台灣的市場小,電子商務的應用還處於雷聲大雨點小的階段,電子憑證服務的市場還沒有真正發展起來,其實憑證業者經營困難。然而在網路化的新知識經濟發展中,PKI和電子憑證機制是重要的基礎建設。電子憑證在不同行業的應用,有不同的風險等級,因此相關的應用範圍規範和賠償責任也應該分級,分行業來訂定。例如銀行業和證券業的憑證使用,與網路銀行和網路下單購買股票,風險較高,如果憑證機構不屬於銀行或券商內建簽發憑證機構,其賠償責任應該也相對較高。相應的,設在銀行和券商內的憑證註冊機構也要擔負相應的責任。


PKI的應用有助於安全等級的提昇
網路銀行和銀行IC-Card的應用,沒有PKI和電子憑證的機制是不夠安全的,銀行和券商在電子化金融的IT系統中,也應該把PKI的機制作為主要的安全控管基礎來。尤其是金融控股公司,在整合了銀行、證券、保險、投顧等多種金融服務於一身後,其IT系統需要以PKI機制為基礎,整合在一體,才能安全地將各種金融服務結合起來提供給客戶。銀行要建制安全的電子金融系統,不管是自建CA(憑證中心)還是裝設RA(註冊中心),或採用外部第三者的公共 CA,PKI都是不可少的。


電子簽章法的焦點應在應用層面
台灣要在新知識經濟競爭中求生勝,需要政府在立法和政策上的支持,以促進各行業的實際投入,推動PKI和電子憑證的應用。電子簽章法的目的在於通過立法來推動電子化政府、電子化金融、電子化醫療和電子商務的發展;而PKI是各種發展的基礎建設。憑證機構簽發和管理電子憑證只是其中的一部份,主要的發展應在於PKI的應用。因此電子簽章法和電子簽章的應用的焦點不應放在限制和管理對外服務的憑證機構上,而應放在各行各業公司機構的對內和對其用戶的PKI應用上。電子簽章法的「小而美」的立法模式和推動電子商務發展的精神,應該以市場導向為主,以低度政府管理的政策來鼓勵各行各業建制PKI機制,推動PKI和電子簽章的應用。


PKI的應用推動各項電子化發展
電子簽章對於醫療業的應用有重大實用價值,如電子病歷。PKI機制和電子簽章的應用,不但為醫療院所節省大量的人力財力,而且會為醫療院所間的病歷實際交換、病人轉診或轉院的資料查詢,提供完善的安全管理機制。PKI和電子憑證在醫療業的應用,不但能提供網路化的醫療人員身分驗證,更能提供醫療院所的IT系統的安全控管,此外,亦可為電子病歷、網路醫院的問診、處方、醫藥、轉診、會診和疾病通報等醫療服務提供身分驗證、資訊保密簽章的不可否認安全機制。









PKI的應用之一─電子病歷
電子簽章法通過之後,預期對於台灣健康產業整體架構勢必直接或間接造成重大影響,衛生署即曾邀集各界共商電子簽章與健康產業發展的未來趨勢。尤其衛生署已著手草擬電子病歷管理作業要點,期讓電子病歷未來能夠順利上路。由於電子病歷涉及病患隱私與醫療服務品質,因此如何避免病歷資料被竄改即是重要課題,博訊科技副總經理裴兆旭指出,為了以資訊技術改善醫療及保險的服務品質,美國曾於1996年通過健康保險可攜性及責任法案(HIPAA,Health Insurance Portability and Accountability Act),推動各主管機構制定醫療與保險資料編碼與交換的標準。該法案明確指出,醫療保健業在以網際網路傳輸病患病歷及醫療資料時,應先建立PKI機制,以確保資料傳輸的安全性,因此在美國許多醫院與相關醫療服務及保險服務機構皆積極尋求PKI技術、建立PKI系統、應用PKI和電子簽章。(文:郭慧姿)