政府采購數字證書兼容互認分析與展望

政府采購數字證書兼容互認分析與展望

■ 付葉子

《國務院辦公廳關于加快推進電子證照擴大應用領域和全國互通互認的意見》（國辦發〔2022〕3號）強調，要以電子營業執照為依托，以電子認證服務為支撐，助力優化營商環境，拓展企業電子證照應用領域。電子證照的應用推廣離不開電子認證服務手段的有力支持。目前，在政府采購領域，電子認證服務已有較廣泛的應用——通過CA數字證書實現有效的電子簽名、電子印章和數字加密等，可為供應商參與政府采購活動提供便捷、高效、安全的技術支持，從而降低企業成本，推動優化營商環境政策落實。

然而，隨著各地政府采購電子交易平臺的不斷投入使用， 各平臺的CA數字證書卻各不相同、互不通用，出現了“狗（數字證書）比人多”的情況， 造成供應商購買、維護CA數字證書成本高、管理難、使用不便等問題。在政府采購領域，數字證書如何兼容互認？簡單來說，兼容即同一采購平臺能夠適配多個不同的CA數字證書，同時，新的CA數字證書也能與平臺適配；互認即不同采購平臺能夠與同一電子認證機構頒發的CA數字證書進行適配。從實踐來看，電子認證是政府采購信息化不可或缺的“支點”，未來具有廣闊的發展和應用空間。

以電子認證為支點打通數據栓塞

政府采購全流程線上辦理，需要保證投標人身份的唯一性以及確保文件不可篡改。基于數字證書的身份認證以及投標文件加密解決了上述問題，為投標人身份及文件蓋上戳、加把鎖。

電子認證是政府采購信息化的關鍵“支點”。

回顧國內關于電子認證的相關法律法規，不難發現，我國最早于2005年發布《中華人民共和國電子簽名法》，明確電子簽名與傳統的手寫簽名和蓋章具有同等的法律效力。此后，2009年，國家密碼管理局發布《電子政務電子認證服務管理辦法》，對電子認證基礎設施、服務機構和服務應用予以規范。從2013年到2021年，各部委相繼印發了適用于不同行業的對電子簽名予以認定的相關文件。2020年發布的GB/T38540—2020《信息安全技術安全電子簽章密碼技術規范》更是為統一推廣電子認證技術互認奠定了技術基礎。

從技術層面來看，電子認證的核心技術之一是數字簽名。數字簽名是近年來各級黨政機關、事業單位在電子政務中常用的技術，該技術以PKI（Public Key Infrastructure，公開密鑰基礎設施）為體系基礎，本質上和物理空間各機構間運用實體證書進行身份互認邏輯一致。PKI依托“計算機軟硬件+權威機構（背書）+應用系統”，即有專門的軟硬件設備設施做底層數字支持、權威機構對企業的數字身份進行背書，最終將配套的應用系統輸送給黨政機關單位各部門。

從應用層面來看，近年來，政府采購線上招投標極大地提升了政府采購項目的辦理效率。CA數字證書廣泛應用于政府采購活動中的身份認證，方便供應商、評審專家、代理機構等參與方使用。目前已有部分公共資源交易項目鼓勵采購人使用CA數字證書在網上進行項目委托辦理。

此外，業內借助CA數字證書已實現投標文件加解密，方便相關部門在線開標、唱標。供應商遠在“千里之外”便可將加密后的電子投標文件上傳投遞，在線等待解密和唱標，大大減輕了其投標負擔。目前，中央和多個省份采購機構已實現了遠程評審。借助CA數字證書的身份識別及認證，代理機構和評審專家分處兩地或多地，也能夠共同完成評審工作。

 一把鑰匙難開所有門

電子認證服務在加速發展的同時，采用CA數字證書的應用數量成倍增加。但CA數字證書之間無法通用，給參與政府采購活動的供應商帶來了新的負擔，也為信息部門運維和支持工作增加了難度。

在政府采購領域，各地CA數字證書互不相認、“單打獨斗”，或將成為電子認證推廣應用的最大障礙，制約著政府采購高質量發展的進程。

以北京地區集采機構為例，多家集采機構均采用了北京數字認證股份有限公司的CA數字證書。但不同集采機構即便都采用同一家機構頒發的CA數字證書，其應用的CA數字證書版本也各不相同。也就是說，供應商每參與一家集采機構的項目，就需要辦理一個CA數字證書。把該情況放大到全國范圍，供應商若要參加不同省份的政府采購活動，僅辦理CA數字證書及續繳年費就是一筆不小的開支。此外，供應商的一把私鑰（以下簡稱Key）對應一個驅動程序，多個驅動程序安裝在同一臺電腦，驅動程序間互相“打架”，偶爾“誤傷”投標文件。這一情況發生后，往往技術排查定位困難、責任難以界定，只能提示供應商更換電腦環境重新操作。

在增加供應商成本的同時，數字證書兼容互認不落地，政府采購扶持中小企業、紓困助企等政策功能也被打了“折扣”。

《國務院辦公廳關于加快推進電子證照擴大應用領域和全國互通互認的意見》（國辦發〔2022〕3號）強調進一步助力深化“放管服”改革和優化營商環境，要實現更多政務服務事項網上辦、掌上辦、一次辦。然而，參加不同平臺政府采購項目的供應商卻面臨著CA數字證書次次辦的苦惱。“投標不知道用哪把Key”“每年要對多把Key進行續費，管理起來很困難”“明明都是政府的網站，為什么用的Key還不一樣？”這些問題長久以來都困擾著投標企業。

在疫情防控常態化背景下，政府采購更要承擔為中小企業減負紓困的政策功能，做好CA數字證書兼容互認，才能有效為投標人尤其是中小企業的投標人減負。然而現實中，諸多政府采購信息系統在建設中回避了數字證書兼容互認的難題。

回顧政府采購信息化的發展歷程，政府采購從“紙上談兵”走向了“無紙化”“數字化”，在節約采購成本的同時也提高了采購效率。在政府采購信息化的初期，電子認證發揮了重要作用，也和信息系統形成了“緊耦合”——一個系統支持一個CA數字證書。這樣“一對一”的匹配模式，簡化了系統開發流程，減少了適配不同CA數字證書的工作量，卻增加了供應商“跨界”參與政府采購的難度和管理CA數字證書的難度，在一定程度上也制約了供應商“走出去”的積極性。也就是說，信息系統只能服務于有限地域范圍內的供應商。目前，政府采購已進入高質量發展階段，信息化建設也要順應要求，通過數字證書兼容互認，為廣大供應商更便捷參與政府采購提供助力。

打通“信息孤島” 推動兼容互認

要破解政府采購數字證書兼容互認難題，則須厘清哪些因素制約著政府采購數字證書兼容互認。

在筆者看來，主要有三大因素。

一是內部原因，即政府采購信息化建設過程中已出現“信息孤島”，導致數字證書兼容互認難度大。CA數字證書在政府采購領域難以兼容互認由來已久。一方面，各政府采購業務系統建設初期，以節約開發成本、盡快實現流程電子化為首要目的。到了電子認證應用環節，才考慮CA數字證書適配系統的問題。這就形成了系統不同、CA數字證書不同的現狀。另一方面，CA數字證書互認的建設難度較大，需要不同機構間加強合作、協同推進。值得一提的是，信息系統和CA數字證書適配難，阻礙了思維方式和工作方法的創新。筆者認為，推動CA數字證書兼容互認，打造CA數字證書互認平臺，服務全國統一大市場，是順應貫徹新發展理念、構建新發展格局的有力舉措和大膽創新。

二是外部原因。具體而言，政府采購在體量上缺乏拉動CA數字證書兼容互認的“引力”。近年來，電子認證在國內電子政務、金融、電子商務、醫療衛生等方面得到了廣泛的應用。從應用場景的規模和數量來看，政府采購市場對電子認證行業的“引力”尚不足。因此，政府采購領域數字證書兼容互認的需求，既難以令電子認證機構投入更多的關注，也難以吸引第三方平臺實現CA數字證書接口統一。

三是市場原因。對CA數字證書提供方而言，數字證書兼容互認影響收益。數字證書以數字簽名認證、時間戳和實名認證三種技術為基礎，對應的三類機構——CA機構、時間戳機構、實名認證機構組成了電子簽名產業鏈的上游。對于相關企業來說，各行業、各平臺彼此隔離就意味著市場總量能夠不斷增長，而彼此兼容互認，對廠商而言，會導致存量業務和增量業務“雙減”。因此，考慮到經濟效益，廠商并無助推CA數字證書兼容互認的直接動力。因此，在政府采購領域，要想推進數字證書兼容互認，要充分發揮政府部門的調控作用，用更有為的治理手段，實現資源的最優配置。

筆者認為，破解政府采購數字證書兼容互認難題需要多方發力，共同推進。就政府采購代理機構而言，可以從管理和技術兩方面著手，努力促進數字證書兼容互認。

在管理方面，應當兼顧政策法規和特定行業管理機制兩方面的制度建設。目前，政府采購領域缺乏適用于本行業的數字證書互認方案，各機構間的“身份認證孤島”問題比較普遍。各采購代理機構在選擇CA數字證書服務公司時可考慮要求認證公司具有CA數字證書互認的行業經驗或技術方案，引導行業良性發展。此外，還可以考慮建立政府采購CA數字證書互認企業白名單，并進行公示。采購代理機構應當加快政府采購領域電子證照的應用進程，將該功能運用到供應商注冊、交易等方面。相關行業監管部門可以引導數字認證服務企業開展技術革新，推動CA數字證書兼容互認。

在技術方面，采購代理機構應當加強與電子認證機構合作，加強調研，設計加解密技術方法及路徑，在信息系統開發中積極拓展新技術、新應用，做到和市場通用技術對接、共同研究既能兼顧自身業務特點，又可對外進行兼容互通的數字認證技術方案。加強不同采購平臺之間的技術交流合作，積極分享、謀求共贏，設計利于實現CA數字證書互認的系統方案，共同促進政府采購CA數字證書兼容互認。

（作者單位：中央國家機關政府采購中心）

本報擁有此文版權，若需轉載或復制，請注明來源于中國政府采購報，標注作者，并保持文章的完整性。否則，將追究法律責任。