本文讲的是马臣云:手写数字签名 创新金融信息化,9月5日,2013中国国际金融展在北京展览馆盛大开幕。以“创新信息金融、服务社会民生”为主题,来自政府、银行、保险、科技等机构和企业参展。在当日上午的“第十四届中国金融发展”论坛上,北京数字认证公司信手书产品部总经理马臣云与大家分享了他对金融无纸化的认识。
▲北京数字认证股份有限公司信手书产品部总经理马臣云
马臣云通过实例说明了如何使用数字签名实现无纸化、在线化、移动化。同时他指出了目前金融无纸化所面临的一些问题:没有相应的法律保障的电子化无法等同于无纸化;不可靠的无纸化方案如伪电子签名无法有效保障权益。
以下是现场速记:
感谢王司长,尊敬的各位嘉宾,各位领导,大家上午好!非常荣幸能够有这次机会跟大家做一次交流,前面各位嘉宾演讲的非常精彩,我听的都有点入神了。现在时间也是不早了,我为了让大家能够准时的吃上午饭,我尽量稍微快一点。我今天的题目是“手写数字签名,创新金融信息化”,我来自北京数字认证的马臣云,我做这个新产品行业做了有十几年了,主要方向是身份认证和数字签名,密码学。
首先,介绍一下我们公司,北京数字认证是国内最大的电子认证服务机构,我们提供一体化的网络服务的产品,通过数字证书,数字签名这样一个技术平台,我们开发出了一个产品和服务两个体系,我们的产品包括可信的数字身份,可信的数字电文,可信的网络行为,我们依靠这些产品为金融行业提供电子保单,数字签名等折算的业务,我们最终希望达到一个效果是说我们可信的一个身份,可信的数字电文,可信的网络行为,最终实现可信的网络欢迎。
今天探讨一下我们在金融无纸化方面的一些理解。我们做信息化做了这么多年了,还是有大量的纸张,这些协议,公单堆积如山,这往大说,不能节能环保,往小说,给我们企业带来一些成本。包括运维的成本,管理的成本,现在房价这么贵,如果都用来存一些纸,是不是太浪费了。更关键的是,有了这些纸张,让业务效率受到了影响了,比如我们受理的效率比较低。如果我们现在背着这些沉重的纸包袱,谈金融的移动化创新是一个包袱。我们现在做无纸化,其实第一步做电子化,电子化就等于无纸化吗?我们纸张需要签字画押盖章,它具备法律效应,但是如果只是电子化是完全不够。我们看看国外的一些金融机构是怎么做的,他们用一些电子签名,举两个例子,西班牙银行使用手写板,代替手写的签字。以色列保险公司应用了投保电子签名,电子签名不单单能够实现它的成本的降低,也可以开源节流。
我们国内其实也有很多先行者做一些创新和探索,现在我跟大家分享三个案例。我们在太平洋保险公司利用移动的Pad做移动产业,顾客在Pad上进行信息的录入,进行数字签名,实现了整体的无纸化的投保,无纸化的理赔等。举个例子,在传统的保险新契约大概分七步才能完成这个业务的征信过程,先要填几个单子,要扫描,要处理,最后要转帐、生效,最后单子还得投递过去,这样需要话费5到7天的时间。太平洋保险现在整个都是移动的受理了,直接出电子的保单,这个过程只需要三分钟就完成了。这样让我们纸张节约了,成单率提高了。我们这个方案也是经过我们主管机构的认可。再看一个营业厅的案例,像传统的营业厅,其实它也有大量的纸张,这个纸张整个的处理效率非常低,很容易造成排队的现象,我们看到银行排队的现象非常严重,这样用户体验会大打折扣。我们营业部临柜受理是实现手写数字签名方案,包括拍摄用户的身份证,这块业务推出以后,纸张的成本非常节省,顾客排队的时候也缩短了5分钟。最后看一个POS机刷卡凭条的业务,这是校园的移动终端,用户可以支付,直接在移动端进行支付的签字,完成业务,真正的实现了所谓的无纸化、在线化、移动化。
可能大家对电子签名的效果可能有了一个了解,但是我猜大家有一个问题,比如这个东西合法吗?它的电子凭证,它的签名效率怎么样,它能不能被认可,它的安全性怎么样?它能不能防止伪造,能不能防止篡改。我们知道数据电文一直没有作为数据证据被司法界认可,因为很多东西可以被复制和篡改,包括用户的笔记,很容易被复制,用户权利就得不到保障了。刚才我们讲传统的银行,用U盾,但是现在是不是还是用这种模式呢?举个例子,比如我们保险公司,给它发一个UNDK做这件事情是非常不靠谱的,比如我们一个报的业务员到用户家里去给用户推荐,终于推荐成功了,说我要买保险了,你说对不起,你要买一个U盾才能做这个事情,用户肯定就不愿意了。所以,对于这方面也需要有一个考虑。
如果真正达到金融行业的无纸化,我认为不是一个简单的安全公司通过一个按照产品就能够完成得了的,这个方面需要我们各方面共同参与,能够打造这样一个无纸化的环境才可以。比如在法律层面,我们需要相关的法律条文认可支持电子的证据,电子的电文存在,我们司法的鉴定机构能力对司法的证件进行提取,进行鉴定。另外,我们行业的监管部门也能够接受无纸化的证据,能够出台相关合规的无纸化的流程。在标准方面,数字电文的标准等也需要进一步出台。产品的变化就是需要有一系列相关的软件,硬件的投入,除了这些还要提供证据的提取,鉴定。
我们再看法律基础,其实我们做这件事情是有法可依的,我们05年已经发布了《电子签名法》,明确了数字电文怎么才能够有效力,我们今年1月份《刑事诉讼法》正式把电子证据纳入法定证据种类之一,电子证据的法律地位首次得到承认。如果做一个可靠的数字签名,需要各方面的功能,我认为需要从四个方面开展工作。第一、肯定要有一个硬件,这个硬件就提供相关的密码环境,提供友好的电子签名的交互的体验,当然还需要有一个软件,这个软件是能够实现交易双方对电子单据可靠数字的签名,有了软件、硬件,还不够,还需要有一个CA机构,能够对签名的行为和内容进行一个合法的控制。有了上面的三条,其实可能是我们IT界做的工作,但是如果要做到无纸化,其实还需要司法界的参与。
一个安全密码设备是能够提供基于自然人的手写设备,这个设备和我们传统的银行用的U盾非常不一样,首先是长的不一样,然后它是从另一个场景,在成本和应用上也有很大的区别。首先说应用场景,一个是在家里,经常用这个方式,我们这个设备是连续性的用,可能用一次,下一次就完了,也不归属于顾客。从成本上来看,U盾后台有一个投入的成本,对于用户也有一个购买U盾的成本,需要几十块钱,而且量非常大,不管现在我们银行有的是让顾客掏钱,有的是银行自己掏钱,反正羊毛出在羊身上。从应用上来看,我们这个是非常简单的,跟传统的签字效果一样,签名、办事、走人,走个流程就算完成了。然后U盾,我自己现在也感觉到U盾确实很多问题,比如要装软件,装驱动,装控件,经常被一些流氓软件禁掉了,然后我在笔记本上能用,突然来了一个iPad,插不进去了,有很多应用上的问题。我们这个可以用在柜台,用户没有任何成本,直接就是上面签字就完成了。当然,这个设备只是一个例子,未来我们可以根据场景不同,可以是一个Pad,也可以是一个显示屏,也可以是潜入到POS机里面的东西。后面那个服务器也是一个专用的设备,它代表一个机构,在两端都形成一个产品,双方的责任都得到一个保障。我们再说软件,软件是能够实现符合法律要求的电子证据,这个软件也是说能够把用户在电子过程中的时间、地点、人物、照片和笔记进行了一个绑定。电子签名需要第三方认证的需要成立电子认证的机构。
最后的环节,就是司法的取证和鉴定,这是整个司法落地非常重要的一个环节。从事前、事中、事后,到最后的电子数据的鉴定。事前备案就是我们搭建可信的环境,我们安全的方案需要得到一个评估以后,需要到我们相关的主管部门,监管部门,司法部门进行备案,这样他事后才可以作为证据提取。事中的保全,就是相对软件系统做的事情,把电子文档建立的信息,手写的笔记等等这些都绑定。事后的取证是我们交易的信息的证据的固化和提取,最后发生纠纷了,打官司了,需要司法机构对交易行为和内容进行验证。通过以上方面,我觉得做到了就能够把无纸化的应用合法的落地。
当前随着我们无纸化应用的推进,其实也有一些我们认为不可靠的无纸化的方案。举个例子,一个是伪电子签名,它就是说很简单,就把用户的电子的笔记直接复制到,潜入到用户的文档里面去。伪电子签名就是文档本身没有保护,非常容易被篡改,这是一个伪电子签名的方案。还有单方数字签名,就是机构方,比如银行、报公司是有数字签名的,是一个真的数字签名,但是对方仍然是一个图片,个人的权益仍然得不到保障。
总结一下,我们认为可靠的手写数字签名的方案可以解决我们无纸化的最后的问题,我们作为这个行业的引领者,愿意和大家一起迎接金融化的创新,谢谢大家!
作者: 李焕珠
来源: IT168
原文标题:马臣云:手写数字签名 创新金融信息化
