随着中国信息化建设的深入及无纸化进程的推进，电子签名技术的应用不断普及。而电子签名是否须要随文件一起归档，若须要，归档之后的有效性如何维护，应如何处理电子签名移交及移交之后的保存问题，本文将围绕这些问题展开探讨。

近年来，陆续有法规政策明确提出电子签名应用的要求，如《国务院关于加快推进“互联网＋政务服务”工作的指导意见》（国发〔2016〕55号）指出要“积极推动电子证照、电子公文、电子签章等在政务服务中的应用”。同时，越来越多的电子文件归档与电子档案管理试点单位将电子签名作为证明和维护单轨制电子文件真实性的技术加以应用。这些举措意味着越来越多的经过电子签名的文件将进入档案管理范畴。

电子签名归档保存方案，是指为归档电子文件所含、所附的电子签名的归档及之后（包括移交及移交后）的有效性维护方案，该问题的讨论前提是签名所支持的电子文件需要归档。这里需要明确的一对概念是电子签名的有效性和可验证性。有效性是指电子签名能够发挥其预期的作用，即识别签名人身份并表明签名人认可文件内容，并在不同程度上证明文件的真实性、完整性和不可否认性。可验证性是指电子签名是可以通过一定的工具和手段对签名的有效性进行验证，验证内容包括：签名人身份信息、签名发生的时间、签名所用的数字证书在签名时是否有效、签发数字证书的CA机构、电子文件原文在签名后是否发生过改变。

我国现行公布的制度中并没有针对电子签名归档保存出台统一的规定，仅在一些制度规范中有侧面反映。随着单轨制电子文件的普及，构建适合中国实际情况的、明确的电子签名归档保存方案变得越来越迫切。本文通过对以电子签名“信息-功能”的概念模型为分析框架对既有方案及其设置思路进行分析，结合我国电子签名应用的具体情况，提出“职责分担、分类应对、动态调整”的电子签名归档保存综合方案，并对可能涉及的治理、政策、管理和理论问题展开进一步的思考。

电子签名的归档

电子签名理所当然要随电子文件一起归档。随着信息化法规政策的完备和细化，电子签名成为越来越多的电子文件的法定构成要素。若不归档，将有损签名类电子文件的完整性。比如2018年12月国家市场监管总局颁发的《电子营业执照管理办法（试行）》规定：电子营业执照文件“是指按照全国统一版式和格式记载市场主体登记事项，并经市场监督管理部门依法加签数字签名的电子文档。”这也是发达国家相关规定都将电子签名纳入归档范围的原因。

将电子签名归档时需要同时维护电子签名的信息和功能作用。为了使电子签名的信息揭示得更为明显，签名人、签名时间等元数据信息也应随电子签名、电子文件一起归档。根据DA/T70—2018的规定，归档时应对电子签名的有效性进行检测，检测的过程和结果应该记入元数据，包括签名人数字证书、签名算法、验证时间、验证结果等。

电子签名归档后的维护

重新验证签名的基本条件有两个：签名人的公钥（通常包含在签名人数字证书中）和支持签名算法的软件。上述两个基本条件满足后只能证明电子文件确实是用与公钥配对的签名密钥签署的。完备的电子签名验证，还需要具备如下附加条件：

第一，数字证书撤销列表，以方便查证密钥使用时是否已被撤销；

第二，CA证书信任链，即从签名所用证书、上一级证书一直到CA自身的根证书，以此查证CA证书的合法性和公信力；

第三，签名人与CA的协议，当立档单位采取多重身份认证机制时还可能包括签名人照片、生理特征(如指纹)信息等，以此来证明签名人的身份，维护电子签名的不可抵赖性；

第四，立档单位电子认证管理办法或认证系统实施方案，及其与CA签署的电子认证服务协议，这些材料可以说明整个认证系统生效的时间、范围和方法。基本条件和附加条件共同构成电子签名的验证链。

完整具备所有条件很不容易，困难不仅来自技术层面，也来自管理与协调层面。若要维护电子签名的可验证性，应守住基本条件，努力满足附加条件。

电子签名是一整套认证体系下的产物，其实施需要文件形成单位乃至更大范围内多部门通力合作。要维护其可验证性，务必打破档案部门单兵作战的封闭思想。由此提出“责任分担、分类应对、动态调整”的策略。

第一，责任分担。验证电子签名是认证体系的核心职责之一，这份职责不应随着电子文件的归档完全转移给档案部门。签名类文件归档后电子签名功能的维护需要档案部门、认证机构、认证系统一起来承担，档案部门需要对此事进行全盘规划。根据电子认证服务法规、认证服务协议和认证系统实施方案，数字证书一般会在CA和（或）机构认证系统内保存一段时间，比如《电子政务电子认证服务管理办法》规定电子政务电子认证服务机构在数字证书失效后完整记录、妥善保存与认证相关的信息5~10年，在此期间内电子签名的验证职责应由CA和（或）认证系统来承担。电子文件（档案）档案管理系统也宜与认证系统集成。如果是跨机构实施的电子签名方案，比如行政区划内统一配发电子签章，行业主管部门统一推行认证系统，企业集团范围统一部署CA，则需要特别注意规范CA承担电子签名验证责任及时限。作为统筹规划方，档案部门应明确CA和（或）认证服务系统对归档电子签名的维护责任和要求，就认证系统验证责任期满后电子签名就是否以及如何继续维护电子签名功能做出决策，并记录和维护其电子签名及其验证元数据。

第二，分类应对。即根据电子文件及电子签名的类别来分别明确电子签名功能维护的路径。从电子签名的来源来看，如果是其他机构签发的文件，其签名验证一般由其负责机构承担，如《电子营业执照管理办法（试行）》（2018）规定国家市场监管总局为全国统一信任源点，承担电子营业执照的验证；本单位签发的文件，签名验证则需要本单位从长计议。从电子签名和电子文件的关系来看，不少签名内嵌式电子文件是支持签名自验证的，比如PDF可支持RSA算法的签名验证，PDF文件包含签名人数字证书，PDF阅读软件支持签名算法。京东的电子发票即支持签名自验证；[24]对于不能自验证签名的电子文件而言，需要将数字证书与电子文件、电子签名一起保存，并选择支持签名验证的工具。其中多签名的文件，需要注意留存所有数字证书；外部用户的一次性数字证书，还要留存其身份信息、指纹信息等。

第三，动态调整。即根据认证系统的变更、电子文件应诉风险的高低和管理成本动态调整电子签名功能维护方法。当机构认证系统变更，如算法更新、系统升级、更换认证机构的时候，须要同步考虑已归档签字签名的验证问题。CA和（或）认证系统很可能不再承担归档电子签名的可验证性维护服务，档案部门须要启动应对方案。对于权威性强、应诉风险比较大、电子签名重新验证要求强烈的文件，比如电子公文、电子证照、电子合同、电子病历等，在一定时限内（比如诉讼期限20年）内须要采取技术性较强的方案继续维护电子签名的功能，包括用签名人有效密钥给电子文件重新签名，或者在原签名算法、密钥安全性降低之前加盖时间戳。GB/T25064—2010《信息安全技术公钥基础设施电子签名格式规范》规定了带归档时间戳的电子签名（ES-A），该格式在基本电子签名（BES）、带时间戳的电子签名（ES-T）、带完全验证数据的电子签名（ES-C）、带扩展的验证数据的电子签名（ES-X）等其他格式的基础上对整个电子签名加盖时间戳，如下图所示。时间戳可以根据需要随时增加，一个ES-A可能嵌套多个时间戳。新的签名维护技术方案的实施同样需要认证服务机构的支持。其他文件则可在认证体系无效后采取低技术依赖的方案，比如进一步丰富电子签名元数据，保全与电子签名配套的电子认证服务文件。