政府采購數(shù)字證書兼容互認分析與展望

政府采購數(shù)字證書兼容互認分析與展望

■ 付葉子

《國務院辦公廳關于加快推進電子證照擴大應用領域和全國互通互認的意見》（國辦發(fā)〔2022〕3號）強調(diào)，要以電子營業(yè)執(zhí)照為依托，以電子認證服務為支撐，助力優(yōu)化營商環(huán)境，拓展企業(yè)電子證照應用領域。電子證照的應用推廣離不開電子認證服務手段的有力支持。目前，在政府采購領域，電子認證服務已有較廣泛的應用——通過CA數(shù)字證書實現(xiàn)有效的電子簽名、電子印章和數(shù)字加密等，可為供應商參與政府采購活動提供便捷、高效、安全的技術支持，從而降低企業(yè)成本，推動優(yōu)化營商環(huán)境政策落實。

然而，隨著各地政府采購電子交易平臺的不斷投入使用， 各平臺的CA數(shù)字證書卻各不相同、互不通用，出現(xiàn)了“狗（數(shù)字證書）比人多”的情況， 造成供應商購買、維護CA數(shù)字證書成本高、管理難、使用不便等問題。在政府采購領域，數(shù)字證書如何兼容互認？簡單來說，兼容即同一采購平臺能夠適配多個不同的CA數(shù)字證書，同時，新的CA數(shù)字證書也能與平臺適配；互認即不同采購平臺能夠與同一電子認證機構(gòu)頒發(fā)的CA數(shù)字證書進行適配。從實踐來看，電子認證是政府采購信息化不可或缺的“支點”，未來具有廣闊的發(fā)展和應用空間。

以電子認證為支點打通數(shù)據(jù)栓塞

政府采購全流程線上辦理，需要保證投標人身份的唯一性以及確保文件不可篡改?；跀?shù)字證書的身份認證以及投標文件加密解決了上述問題，為投標人身份及文件蓋上戳、加把鎖。

電子認證是政府采購信息化的關鍵“支點”。

回顧國內(nèi)關于電子認證的相關法律法規(guī)，不難發(fā)現(xiàn)，我國最早于2005年發(fā)布《中華人民共和國電子簽名法》，明確電子簽名與傳統(tǒng)的手寫簽名和蓋章具有同等的法律效力。此后，2009年，國家密碼管理局發(fā)布《電子政務電子認證服務管理辦法》，對電子認證基礎設施、服務機構(gòu)和服務應用予以規(guī)范。從2013年到2021年，各部委相繼印發(fā)了適用于不同行業(yè)的對電子簽名予以認定的相關文件。2020年發(fā)布的GB/T38540—2020《信息安全技術安全電子簽章密碼技術規(guī)范》更是為統(tǒng)一推廣電子認證技術互認奠定了技術基礎。

從技術層面來看，電子認證的核心技術之一是數(shù)字簽名。數(shù)字簽名是近年來各級黨政機關、事業(yè)單位在電子政務中常用的技術，該技術以PKI（Public Key Infrastructure，公開密鑰基礎設施）為體系基礎，本質(zhì)上和物理空間各機構(gòu)間運用實體證書進行身份互認邏輯一致。PKI依托“計算機軟硬件+權威機構(gòu)（背書）+應用系統(tǒng)”，即有專門的軟硬件設備設施做底層數(shù)字支持、權威機構(gòu)對企業(yè)的數(shù)字身份進行背書，最終將配套的應用系統(tǒng)輸送給黨政機關單位各部門。

從應用層面來看，近年來，政府采購線上招投標極大地提升了政府采購項目的辦理效率。CA數(shù)字證書廣泛應用于政府采購活動中的身份認證，方便供應商、評審專家、代理機構(gòu)等參與方使用。目前已有部分公共資源交易項目鼓勵采購人使用CA數(shù)字證書在網(wǎng)上進行項目委托辦理。

此外，業(yè)內(nèi)借助CA數(shù)字證書已實現(xiàn)投標文件加解密，方便相關部門在線開標、唱標。供應商遠在“千里之外”便可將加密后的電子投標文件上傳投遞，在線等待解密和唱標，大大減輕了其投標負擔。目前，中央和多個省份采購機構(gòu)已實現(xiàn)了遠程評審。借助CA數(shù)字證書的身份識別及認證，代理機構(gòu)和評審專家分處兩地或多地，也能夠共同完成評審工作。

 一把鑰匙難開所有門

電子認證服務在加速發(fā)展的同時，采用CA數(shù)字證書的應用數(shù)量成倍增加。但CA數(shù)字證書之間無法通用，給參與政府采購活動的供應商帶來了新的負擔，也為信息部門運維和支持工作增加了難度。

在政府采購領域，各地CA數(shù)字證書互不相認、“單打獨斗”，或?qū)⒊蔀殡娮诱J證推廣應用的最大障礙，制約著政府采購高質(zhì)量發(fā)展的進程。

以北京地區(qū)集采機構(gòu)為例，多家集采機構(gòu)均采用了北京數(shù)字認證股份有限公司的CA數(shù)字證書。但不同集采機構(gòu)即便都采用同一家機構(gòu)頒發(fā)的CA數(shù)字證書，其應用的CA數(shù)字證書版本也各不相同。也就是說，供應商每參與一家集采機構(gòu)的項目，就需要辦理一個CA數(shù)字證書。把該情況放大到全國范圍，供應商若要參加不同省份的政府采購活動，僅辦理CA數(shù)字證書及續(xù)繳年費就是一筆不小的開支。此外，供應商的一把私鑰（以下簡稱Key）對應一個驅(qū)動程序，多個驅(qū)動程序安裝在同一臺電腦，驅(qū)動程序間互相“打架”，偶爾“誤傷”投標文件。這一情況發(fā)生后，往往技術排查定位困難、責任難以界定，只能提示供應商更換電腦環(huán)境重新操作。

在增加供應商成本的同時，數(shù)字證書兼容互認不落地，政府采購扶持中小企業(yè)、紓困助企等政策功能也被打了“折扣”。

《國務院辦公廳關于加快推進電子證照擴大應用領域和全國互通互認的意見》（國辦發(fā)〔2022〕3號）強調(diào)進一步助力深化“放管服”改革和優(yōu)化營商環(huán)境，要實現(xiàn)更多政務服務事項網(wǎng)上辦、掌上辦、一次辦。然而，參加不同平臺政府采購項目的供應商卻面臨著CA數(shù)字證書次次辦的苦惱?！巴稑瞬恢烙媚陌袺ey”“每年要對多把Key進行續(xù)費，管理起來很困難”“明明都是政府的網(wǎng)站，為什么用的Key還不一樣？”這些問題長久以來都困擾著投標企業(yè)。

在疫情防控常態(tài)化背景下，政府采購更要承擔為中小企業(yè)減負紓困的政策功能，做好CA數(shù)字證書兼容互認，才能有效為投標人尤其是中小企業(yè)的投標人減負。然而現(xiàn)實中，諸多政府采購信息系統(tǒng)在建設中回避了數(shù)字證書兼容互認的難題。

回顧政府采購信息化的發(fā)展歷程，政府采購從“紙上談兵”走向了“無紙化”“數(shù)字化”，在節(jié)約采購成本的同時也提高了采購效率。在政府采購信息化的初期，電子認證發(fā)揮了重要作用，也和信息系統(tǒng)形成了“緊耦合”——一個系統(tǒng)支持一個CA數(shù)字證書。這樣“一對一”的匹配模式，簡化了系統(tǒng)開發(fā)流程，減少了適配不同CA數(shù)字證書的工作量，卻增加了供應商“跨界”參與政府采購的難度和管理CA數(shù)字證書的難度，在一定程度上也制約了供應商“走出去”的積極性。也就是說，信息系統(tǒng)只能服務于有限地域范圍內(nèi)的供應商。目前，政府采購已進入高質(zhì)量發(fā)展階段，信息化建設也要順應要求，通過數(shù)字證書兼容互認，為廣大供應商更便捷參與政府采購提供助力。

打通“信息孤島” 推動兼容互認

要破解政府采購數(shù)字證書兼容互認難題，則須厘清哪些因素制約著政府采購數(shù)字證書兼容互認。

在筆者看來，主要有三大因素。

一是內(nèi)部原因，即政府采購信息化建設過程中已出現(xiàn)“信息孤島”，導致數(shù)字證書兼容互認難度大。CA數(shù)字證書在政府采購領域難以兼容互認由來已久。一方面，各政府采購業(yè)務系統(tǒng)建設初期，以節(jié)約開發(fā)成本、盡快實現(xiàn)流程電子化為首要目的。到了電子認證應用環(huán)節(jié)，才考慮CA數(shù)字證書適配系統(tǒng)的問題。這就形成了系統(tǒng)不同、CA數(shù)字證書不同的現(xiàn)狀。另一方面，CA數(shù)字證書互認的建設難度較大，需要不同機構(gòu)間加強合作、協(xié)同推進。值得一提的是，信息系統(tǒng)和CA數(shù)字證書適配難，阻礙了思維方式和工作方法的創(chuàng)新。筆者認為，推動CA數(shù)字證書兼容互認，打造CA數(shù)字證書互認平臺，服務全國統(tǒng)一大市場，是順應貫徹新發(fā)展理念、構(gòu)建新發(fā)展格局的有力舉措和大膽創(chuàng)新。

二是外部原因。具體而言，政府采購在體量上缺乏拉動CA數(shù)字證書兼容互認的“引力”。近年來，電子認證在國內(nèi)電子政務、金融、電子商務、醫(yī)療衛(wèi)生等方面得到了廣泛的應用。從應用場景的規(guī)模和數(shù)量來看，政府采購市場對電子認證行業(yè)的“引力”尚不足。因此，政府采購領域數(shù)字證書兼容互認的需求，既難以令電子認證機構(gòu)投入更多的關注，也難以吸引第三方平臺實現(xiàn)CA數(shù)字證書接口統(tǒng)一。

三是市場原因。對CA數(shù)字證書提供方而言，數(shù)字證書兼容互認影響收益。數(shù)字證書以數(shù)字簽名認證、時間戳和實名認證三種技術為基礎，對應的三類機構(gòu)——CA機構(gòu)、時間戳機構(gòu)、實名認證機構(gòu)組成了電子簽名產(chǎn)業(yè)鏈的上游。對于相關企業(yè)來說，各行業(yè)、各平臺彼此隔離就意味著市場總量能夠不斷增長，而彼此兼容互認，對廠商而言，會導致存量業(yè)務和增量業(yè)務“雙減”。因此，考慮到經(jīng)濟效益，廠商并無助推CA數(shù)字證書兼容互認的直接動力。因此，在政府采購領域，要想推進數(shù)字證書兼容互認，要充分發(fā)揮政府部門的調(diào)控作用，用更有為的治理手段，實現(xiàn)資源的最優(yōu)配置。

筆者認為，破解政府采購數(shù)字證書兼容互認難題需要多方發(fā)力，共同推進。就政府采購代理機構(gòu)而言，可以從管理和技術兩方面著手，努力促進數(shù)字證書兼容互認。

在管理方面，應當兼顧政策法規(guī)和特定行業(yè)管理機制兩方面的制度建設。目前，政府采購領域缺乏適用于本行業(yè)的數(shù)字證書互認方案，各機構(gòu)間的“身份認證孤島”問題比較普遍。各采購代理機構(gòu)在選擇CA數(shù)字證書服務公司時可考慮要求認證公司具有CA數(shù)字證書互認的行業(yè)經(jīng)驗或技術方案，引導行業(yè)良性發(fā)展。此外，還可以考慮建立政府采購CA數(shù)字證書互認企業(yè)白名單，并進行公示。采購代理機構(gòu)應當加快政府采購領域電子證照的應用進程，將該功能運用到供應商注冊、交易等方面。相關行業(yè)監(jiān)管部門可以引導數(shù)字認證服務企業(yè)開展技術革新，推動CA數(shù)字證書兼容互認。

在技術方面，采購代理機構(gòu)應當加強與電子認證機構(gòu)合作，加強調(diào)研，設計加解密技術方法及路徑，在信息系統(tǒng)開發(fā)中積極拓展新技術、新應用，做到和市場通用技術對接、共同研究既能兼顧自身業(yè)務特點，又可對外進行兼容互通的數(shù)字認證技術方案。加強不同采購平臺之間的技術交流合作，積極分享、謀求共贏，設計利于實現(xiàn)CA數(shù)字證書互認的系統(tǒng)方案，共同促進政府采購CA數(shù)字證書兼容互認。

（作者單位：中央國家機關政府采購中心）

本報擁有此文版權，若需轉(zhuǎn)載或復制，請注明來源于中國政府采購報，標注作者，并保持文章的完整性。否則，將追究法律責任。