■ 付叶子
《国务院办公厅关于加快推进电子证照扩大应用领域和全国互通互认的意见》(国办发〔2022〕3号)强调,要以电子营业执照为依托,以电子认证服务为支撑,助力优化营商环境,拓展企业电子证照应用领域。电子证照的应用推广离不开电子认证服务手段的有力支持。目前,在政府采购领域,电子认证服务已有较广泛的应用——通过CA数字证书实现有效的电子签名、电子印章和数字加密等,可为供应商参与政府采购活动提供便捷、高效、安全的技术支持,从而降低企业成本,推动优化营商环境政策落实。
然而,随着各地政府采购电子交易平台的不断投入使用, 各平台的CA数字证书却各不相同、互不通用,出现了“狗(数字证书)比人多”的情况, 造成供应商购买、维护CA数字证书成本高、管理难、使用不便等问题。在政府采购领域,数字证书如何兼容互认?简单来说,兼容即同一采购平台能够适配多个不同的CA数字证书,同时,新的CA数字证书也能与平台适配;互认即不同采购平台能够与同一电子认证机构颁发的CA数字证书进行适配。从实践来看,电子认证是政府采购信息化不可或缺的“支点”,未来具有广阔的发展和应用空间。
以电子认证为支点打通数据栓塞
政府采购全流程线上办理,需要保证投标人身份的唯一性以及确保文件不可篡改。基于数字证书的身份认证以及投标文件加密解决了上述问题,为投标人身份及文件盖上戳、加把锁。
电子认证是政府采购信息化的关键“支点”。
回顾国内关于电子认证的相关法律法规,不难发现,我国最早于2005年发布《中华人民共和国电子签名法》,明确电子签名与传统的手写签名和盖章具有同等的法律效力。此后,2009年,国家密码管理局发布《电子政务电子认证服务管理办法》,对电子认证基础设施、服务机构和服务应用予以规范。从2013年到2021年,各部委相继印发了适用于不同行业的对电子签名予以认定的相关文件。2020年发布的GB/T38540—2020《信息安全技术安全电子签章密码技术规范》更是为统一推广电子认证技术互认奠定了技术基础。
从技术层面来看,电子认证的核心技术之一是数字签名。数字签名是近年来各级党政机关、事业单位在电子政务中常用的技术,该技术以PKI(Public Key Infrastructure,公开密钥基础设施)为体系基础,本质上和物理空间各机构间运用实体证书进行身份互认逻辑一致。PKI依托“计算机软硬件+权威机构(背书)+应用系统”,即有专门的软硬件设备设施做底层数字支持、权威机构对企业的数字身份进行背书,最终将配套的应用系统输送给党政机关单位各部门。
从应用层面来看,近年来,政府采购线上招投标极大地提升了政府采购项目的办理效率。CA数字证书广泛应用于政府采购活动中的身份认证,方便供应商、评审专家、代理机构等参与方使用。目前已有部分公共资源交易项目鼓励采购人使用CA数字证书在网上进行项目委托办理。
此外,业内借助CA数字证书已实现投标文件加解密,方便相关部门在线开标、唱标。供应商远在“千里之外”便可将加密后的电子投标文件上传投递,在线等待解密和唱标,大大减轻了其投标负担。目前,中央和多个省份采购机构已实现了远程评审。借助CA数字证书的身份识别及认证,代理机构和评审专家分处两地或多地,也能够共同完成评审工作。
一把钥匙难开所有门
电子认证服务在加速发展的同时,采用CA数字证书的应用数量成倍增加。但CA数字证书之间无法通用,给参与政府采购活动的供应商带来了新的负担,也为信息部门运维和支持工作增加了难度。
在政府采购领域,各地CA数字证书互不相认、“单打独斗”,或将成为电子认证推广应用的最大障碍,制约着政府采购高质量发展的进程。
以北京地区集采机构为例,多家集采机构均采用了北京数字认证(24.350,-0.23,-0.94%)股份有限公司的CA数字证书。但不同集采机构即便都采用同一家机构颁发的CA数字证书,其应用的CA数字证书版本也各不相同。也就是说,供应商每参与一家集采机构的项目,就需要办理一个CA数字证书。把该情况放大到全国范围,供应商若要参加不同省份的政府采购活动,仅办理CA数字证书及续缴年费就是一笔不小的开支。此外,供应商的一把私钥(以下简称Key)对应一个驱动程序,多个驱动程序安装在同一台电脑,驱动程序间互相“打架”,偶尔“误伤”投标文件。这一情况发生后,往往技术排查定位困难、责任难以界定,只能提示供应商更换电脑环境重新操作。
在增加供应商成本的同时,数字证书兼容互认不落地,政府采购扶持中小企业、纾困助企等政策功能也被打了“折扣”。
《国务院办公厅关于加快推进电子证照扩大应用领域和全国互通互认的意见》(国办发〔2022〕3号)强调进一步助力深化“放管服”改革和优化营商环境,要实现更多政务服务事项网上办、掌上办、一次办。然而,参加不同平台政府采购项目的供应商却面临着CA数字证书次次办的苦恼。“投标不知道用哪把Key”“每年要对多把Key进行续费,管理起来很困难”“明明都是政府的网站,为什么用的Key还不一样?”这些问题长久以来都困扰着投标企业。
在疫情防控常态化背景下,政府采购更要承担为中小企业减负纾困的政策功能,做好CA数字证书兼容互认,才能有效为投标人尤其是中小企业的投标人减负。然而现实中,诸多政府采购信息系统在建设中回避了数字证书兼容互认的难题。
回顾政府采购信息化的发展历程,政府采购从“纸上谈兵”走向了“无纸化”“数字化”,在节约采购成本的同时也提高了采购效率。在政府采购信息化的初期,电子认证发挥了重要作用,也和信息系统形成了“紧耦合”——一个系统支持一个CA数字证书。这样“一对一”的匹配模式,简化了系统开发流程,减少了适配不同CA数字证书的工作量,却增加了供应商“跨界”参与政府采购的难度和管理CA数字证书的难度,在一定程度上也制约了供应商“走出去”的积极性。也就是说,信息系统只能服务于有限地域范围内的供应商。目前,政府采购已进入高质量发展阶段,信息化建设也要顺应要求,通过数字证书兼容互认,为广大供应商更便捷参与政府采购提供助力。
打通“信息孤岛” 推动兼容互认
要破解政府采购数字证书兼容互认难题,则须厘清哪些因素制约着政府采购数字证书兼容互认。
在笔者看来,主要有三大因素。
一是内部原因,即政府采购信息化建设过程中已出现“信息孤岛”,导致数字证书兼容互认难度大。CA数字证书在政府采购领域难以兼容互认由来已久。一方面,各政府采购业务系统建设初期,以节约开发成本、尽快实现流程电子化为首要目的。到了电子认证应用环节,才考虑CA数字证书适配系统的问题。这就形成了系统不同、CA数字证书不同的现状。另一方面,CA数字证书互认的建设难度较大,需要不同机构间加强合作、协同推进。值得一提的是,信息系统和CA数字证书适配难,阻碍了思维方式和工作方法的创新。笔者认为,推动CA数字证书兼容互认,打造CA数字证书互认平台,服务全国统一大市场,是顺应贯彻新发展理念、构建新发展格局的有力举措和大胆创新。
二是外部原因。具体而言,政府采购在体量上缺乏拉动CA数字证书兼容互认的“引力”。近年来,电子认证在国内电子政务、金融、电子商务、医疗卫生等方面得到了广泛的应用。从应用场景的规模和数量来看,政府采购市场对电子认证行业的“引力”尚不足。因此,政府采购领域数字证书兼容互认的需求,既难以令电子认证机构投入更多的关注,也难以吸引第三方平台实现CA数字证书接口统一。
三是市场原因。对CA数字证书提供方而言,数字证书兼容互认影响收益。数字证书以数字签名认证、时间戳和实名认证三种技术为基础,对应的三类机构——CA机构、时间戳机构、实名认证机构组成了电子签名产业链的上游。对于相关企业来说,各行业、各平台彼此隔离就意味着市场总量能够不断增长,而彼此兼容互认,对厂商而言,会导致存量业务和增量业务“双减”。因此,考虑到经济效益,厂商并无助推CA数字证书兼容互认的直接动力。因此,在政府采购领域,要想推进数字证书兼容互认,要充分发挥政府部门的调控作用,用更有为的治理手段,实现资源的最优配置。
笔者认为,破解政府采购数字证书兼容互认难题需要多方发力,共同推进。就政府采购代理机构而言,可以从管理和技术两方面着手,努力促进数字证书兼容互认。
在管理方面,应当兼顾政策法规和特定行业管理机制两方面的制度建设。目前,政府采购领域缺乏适用于本行业的数字证书互认方案,各机构间的“身份认证孤岛”问题比较普遍。各采购代理机构在选择CA数字证书服务公司时可考虑要求认证公司具有CA数字证书互认的行业经验或技术方案,引导行业良性发展。此外,还可以考虑建立政府采购CA数字证书互认企业白名单,并进行公示。采购代理机构应当加快政府采购领域电子证照的应用进程,将该功能运用到供应商注册、交易等方面。相关行业监管部门可以引导数字认证服务企业开展技术革新,推动CA数字证书兼容互认。
在技术方面,采购代理机构应当加强与电子认证机构合作,加强调研,设计加解密技术方法及路径,在信息系统开发中积极拓展新技术、新应用,做到和市场通用技术对接、共同研究既能兼顾自身业务特点,又可对外进行兼容互通的数字认证技术方案。加强不同采购平台之间的技术交流合作,积极分享、谋求共赢,设计利于实现CA数字证书互认的系统方案,共同促进政府采购CA数字证书兼容互认。
(作者单位:中央国家机关政府采购中心)