下列服務條款適用于招標采購網會員,若您使用工業爐招標網提供的服務,您必須同意接受此服務條款。
一、服務條款的確認和接納
本服務條款適用于工業爐招標網用戶,您在申請注冊流程中點擊同意本服務條款之前,應當認真閱讀本服務條款。請您務必審慎閱讀、充分理解各條款內容,當您按照注冊頁面提示填寫信息、閱讀并同意本服務條款且完成全部注冊程序后,即表示您已充分閱讀、理解并接受本服務條款的全部內容,并與工業爐招標網達成一致,成為工業爐招標網平臺用戶。閱讀本服務條款的過程中,如果您不同意本服務條款或其中任何條款約定,您應立即停止注冊程序。工業爐招標網服務的所有權和運作權歸北京中采高科招標集團有限公司所有。所提供的服務必須按照其發布的公司章程,服務條款和操作規則嚴格執行。用戶通過完成注冊程序并點擊“我已經閱讀并接受《工業爐招標網服務條款》中的各項內容”,這表示用戶與北京中采高科招標集團有限公司達成協議并接受所有的服務條款。
二、服務簡介
北京中采高科招標集團有限公司運用自己的操作系統通過國際互聯網絡為用戶提供各項服務,用戶(包括普通個人用戶,免費企業會員,收費企業會員)注冊時,必須同意:
1. 提供真實、準確、即時、完整的個人/企業資料。同時,應根據情況變化維護并及時更新注冊信息,以確保其真實、準確、即時、完整性。
2、一旦北京中采高科招標集團有限公司發現用戶資料含有不準確甚至是虛假內容,北京中采高科招標集團有限公司有權利中止對該用戶的服務。
三、用戶的帳號、密碼和安全性
1、工業爐招標網的注冊帳號可以是英文、數字、字母、中文,或者是它們的組合。用戶可以根據自己的需要進行選擇,但是用戶注冊的帳號或者填寫的昵稱需要符合下列規定:
(1)不得使用黨和國家機構的名稱或者是它們的縮寫。
(2)不得使用黨和國家領導人或者其他知名人士的真實姓名、筆名、藝名或者是他們的縮寫。
(3)不得使用不健康、不文明或者帶有侮辱性、攻擊性的用戶名和昵稱。
(4)您一旦注冊成功,就成為北京中采高科招標集團有限公司的合法用戶,您將得到一個密碼和用戶名。并同意接受北京中采高科招標集團有限公司提供的各項服務。如果您未保管好自己的用戶名和密碼,而對您、北京中采高科招標集團有限公司或第三方造成的損害,您將負全部責任。另外,每個用戶都要對其用戶名中的所有活動和事件負全責。您可隨時改變您的密碼和圖標,也可以結束舊的用戶名重開一個新用戶名。
(5)為避免用戶的合法權利受到侵害,用戶若發現任何非法使用用戶名或存在安全漏洞的情況,請立即通告北京中采高科招標集團有限公司。
四、服務條款的修改及修訂
北京中采高科招標集團有限公司有權在必要時修改服務條款,北京中采高科招標集團有限公司服務條款一旦發生變動,公司將會在用戶進入下一步使用前的頁面提示修改內容。如果您同意改動,則再一次激活“同意服務條款提交注冊信息”按鈕,視為接受本服務條款的變動。如果用戶不接受。北京中采高科招標集團有限公司則保留隨時修改或中斷服務而不需通知用戶的權利。用戶接受北京中采高科招標集團有限公司行使修改或中斷服務的權利,北京中采高科招標集團有限公司不需對用戶或第三方負責。本服務條款任一條款被視為廢止、無效或不可執行,該條應視為可分的且并不影響本服務條款其余條款的有效性及可執行性。
五、用戶隱私制度
北京中采高科招標集團有限公司(工業爐招標網)非常重視用戶信息的保護,在使用工業爐招標網的所有產品和服務前,請您務必仔細閱讀并透徹理解本聲明。一旦您選擇使用,即表示您已經同意我們按照本隱私聲明來使用和披露您的個人信息,并接受本條款現有內容及其可能隨時更新的內容。
1、本注冊條款所涉及的隱私是指:在會員注冊工業爐招標網網站帳戶時,使用其它工業爐招標網網站產品或服務,訪問工業爐招標網網頁,或參加任何形式的會員活動、培訓活動時,工業爐招標網會收集的會員的個人身份識別資料,包括會員的姓名、昵稱、電郵地址、出生日期、性別、職業、所在行業、工齡,真實頭像,籍貫,公司名稱,QQ號碼,公司地址,公司的產品以及服務簡介,公司固話傳真,公司主頁,公司主要做的項目等。工業爐招標網網站自動接收并記錄會員的瀏覽器和服務器日志上的信息,包括但不限于會員的IP地址、在線、無線信息、信件等資料。
2、工業爐招標網收集上述信息將用于:提供網站服務、改進網頁內容,滿足會員對某種產品、活動的需求、通知會員最新產品、活動信息、或根據法律法規要求的用途、給會員帶來更多商業機會等。
3、我們網站有相應的安全措施來確保我們掌握的信息不丟失,不被濫用和變造。這些安全措施包括向其它服務器備份數據和對用戶密碼加密。盡管我們有這些安全措施,但請注意在因特網上不存在“完善的安全措施”。
4、工業爐招標網可能利用工具,為合作伙伴的網站進行數據搜集工作,有關數據也會作統計用途。網站會將所記錄的工業爐招標網會員數據整合起來,以綜合數據形式供合作伙伴參考。綜合數據會包括人數統計和使用情況等資料,但不會包含任何可以識別個人身份的數據。
5、信息的披露和使用:們不會向任何無關第三方提供,出售,出租,分享和交易用戶的個人信息,但為方便您使用工業爐招標網服務及工業爐招標網關聯公司或其他組織的服務(以下稱其他服務),您同意并授權工業爐招標網將您的個人信息傳遞給您同時接受其他服務的工業爐招標網關聯公司或其他組織,或從為您提供其他服務的工業爐招標網關聯公司或其他組織獲取您的個人信息。包括但不限于:您同意我們可批露或使用您的個人信息以用于識別和(或)確認您的身份,或解決爭議,或有助于確保網站安全、限制欺詐、非法或其他刑事犯罪活動,以執行我們的服務協議。您同意我們可批露或使用您的個人信息以保護您的生命、財產之安全或為防止嚴重侵害他人之合法權益或為公共利益之需要。您同意我們可批露或使用您的個人信息以改進我們的服務,并使我們的服務更能符合您的要求,從而使您在使用我們服務時得到更好的使用體驗。您同意我們利用您的個人信息與您聯絡,并向您提供您感興趣的信息,如:產品信息。您接受“服務協議”和本隱私聲明即為明示同意收取這些資料。您同意,您的個人信息可以被搜索引擎搜索,并在搜索結果中顯示,由此給您帶來更多的合作機會。您同意并授權工業爐招標網將您的個人信息傳遞給工業爐招標網,工業爐招標網關聯公司、工業爐招標網合作伙伴、工業爐招標網會員,以助于工業爐招標網給您帶來更多的商業機會、其他服務、合作伙伴等。法律規定的其他需披露您個人信息的情況。
6、關于會員在工業爐招標網的上傳或張貼的內容
(1)會員在工業爐招標網上傳或張貼的內容(包括照片、文字、附件、帖子、招投標信息、個人合作名片、公司名錄和黃頁、工程信息等),視為會員授予工業爐招標網免費、非獨家的使用權,工業爐招標網有權為展示、傳播及推廣、促使合作等前述張貼內容的目的,對上述內容進行復制、修改、出版等。該使用權持續至會員書面通知工業爐招標網不得繼續使用,且工業爐招標網實際收到該等書面通知時止。工業爐招標網網站、工業爐招標網合作伙伴、工業爐招標網關聯公司均可使用。
(2)因會員進行上述上傳或張貼,而導致任何第三方提出侵權或索賠要求的,會員承擔全部責任。
(3)任何第三方對于會員在工業爐招標網的公開使用區域張貼的內容進行復制、修改、編輯、傳播等行為的,該行為產生的法律后果和責任均由行為人承擔,與工業爐招標網無關。
7、不可抗力
(1)“不可抗力”是指工業爐招標網不能合理控制、不可預見或即使預見亦無法避免的事件,該事件妨礙、影響或延誤工業爐招標網根據本注冊條款履行其全部或部分義務。該事件包括但不限于政府行為、自然災害、戰爭、黑客襲擊、電腦病毒、網絡故障等。不可抗力可能導致工業爐招標網網站無法訪問、訪問速度緩慢、存儲數據丟失、會員個人信息泄漏等不利后果。
(2)遭受不可抗力事件時,工業爐招標網可中止履行本注冊條款項下的義務直至不可抗力的影響消除為止,并且不因此承擔違約責任;但應盡最大努力克服該事件,減輕其負面影響。
六、拒絕提供擔保和免責聲明
用戶明確同意使用工業爐招標網服務的風險由用戶個人承擔。服務提供是建立在免費的基礎上。北京中采高科招標集團有限公司明確表示不提供任何類型的擔保,不論是明確的或隱含的,但是對商業性的隱含擔保,特定目的和不違反規定的適當擔保除外。北京中采高科招標集團有限公司不擔保服務一定能滿足用戶的要求,也不擔保服務不會受中斷,對服務的及時性、安全性、真實性、出錯發生都不作擔保。北京中采高科招標集團有限公司拒絕提供任何擔保,包括信息能否準確、及時、順利地傳送。用戶理解并接受下載或通過工業爐招標網產品服務取得的任何信息資料取決于用戶自己,并由其承擔系統受損、資料丟失以及其它任何風險。北京中采高科招標集團有限公司對在服務網上得到的任何商品購物服務、交易進程、招聘信息,都不作擔保。用戶不會從北京中采高科招標集團有限公司收到口頭或書面的意見或信息,工業爐招標網也不會在這里作明確擔保。
七、有限責任
北京中采高科招標集團有限公司對任何直接、間接、偶然、特殊及繼起的損害或其他一切損害不負責任,這些損害來自:不正當使用產品服務,在網上進行交易,非法使用服務或用戶傳送的信息有所變動。這些損害會導致北京中采高科招標集團有限公司形象受損,所以北京中采高科招標集團有限公司早已提出這種損害的可能性。
八、不提供零售和商業性服務
用戶使用北京中采高科招標集團有限公司各項服務的權利是企業的。個人用戶只能是一個公司或實體的商業性組織下的所屬員工。用戶承諾:未經北京中采高科招標集團有限公司同意,不得利用北京中采高科招標集團有限公司各項服務進行銷售或作其他商業用途。
九、用戶管理
用戶單獨承擔發布內容的責任。用戶對服務的使用是根據所有適用于服務的地方法律、國家法律和國際法律標準的。
用戶承諾:
1、在工業爐招標網的網頁上發布信息或者利用工業爐招標網的服務時必須符合中國有關法規(部分法規請見附錄),不得在工業爐招標網的網頁上或者利用工業爐招標網的服務制作、復制、發布、傳播以下信息:
(1)反對憲法所確定的基本原則的;
(2)危害國家安全,泄露國家秘密,顛覆國家政權,破壞國家統一的;
(3)損害國家榮譽和利益的;
(4)煽動民族仇恨、民族歧視,破壞民族團結的;
(5)破壞國家宗教政策,宣揚邪教和封建迷信的;
(6)散布謠言,擾亂社會秩序,破壞社會穩定的;
(7)散布淫穢、色情、賭博、暴力、兇殺、恐怖或者教唆犯罪的;
(8)侮辱或者誹謗他人,侵害他人合法權益的;
(9)含有法律、行政法規禁止的其他內容的。
2、在工業爐招標網的網頁上發布信息或者利用工業爐招標網的服務時還必須符合其他有關國家和地區的法律規定以及國際法的有關規定。
3、不利用工業爐招標網的服務從事以下活動:
(1)未經允許,進入計算機信息網絡或者使用計算機信息網絡資源的;
(2)未經允許,對計算機信息網絡功能進行刪除、修改或者增加的;
(3)未經允許,對進入計算機信息網絡中存儲、處理或者傳輸的數據和應用程序進行刪除、修改或者增加的;
(4)故意制作、傳播計算機病毒等破壞性程序的;
(5)其他危害計算機信息網絡安全的行為。
4、不以任何方式干擾工業爐招標網的服務。
5、遵守工業爐招標網的所有其他規定和程序。用戶需對自己在使用工業爐招標網服務過程中的行為承擔法律責任。用戶理解,如果工業爐招標網發現其網站傳輸的信息明顯屬于上段第1條所列內容之一,依據中國法律,工業爐招標網有義務立即停止傳輸,保存有關記錄,向國家有關機關報告,并且刪除含有該內容的地址、目錄或關閉服務器。
用戶使用工業爐招標網電子公告服務,包括電子布告牌、電子白板、電子論壇、網絡聊天室和留言板等以交互形式為上網用戶提供信息發布條件的行為,也須遵守本條的規定以及北京中采高科招標集團有限公司將專門發布的電子公告服務規則,上段中描述的法律后果和法律責任同樣適用于電子公告服務的用戶。若用戶的行為不符合以上提到的服務條款,北京中采高科招標集團有限公司將作出獨立判斷立即取消用戶服務帳號。
十、保障
用戶同意保障和維護北京中采高科招標集團有限公司全體成員的利益,負責支付由用戶使用超出服務范圍引起的律師費用,違反服務條款的損害補償費用,其它人使用用戶的電腦、帳號和其它知識產權的追索費。
十一、結束服務
用戶或北京中采高科招標集團有限公司可隨時根據實際情況中斷服務。北京中采高科招標集團有限公司不需對任何個人或第三方負責而隨時中斷服務。用戶若反對任何服務條款的建議或對后來的條款修改有異議,或對工業爐招標網服務不滿,用戶只有以下的追索權:
1、不再使用工業爐招標網服務。
2、結束用戶使用工業爐招標網服務的資格。
3、通告北京中采高科招標集團有限公司停止該用戶的服務。
十二、通告
所有發給用戶的通告都可通過電子郵件或常規的信件傳送。北京中采高科招標集團有限公司會通過郵件服務發報消息給用戶,告訴他們服務條款的修改、服務變更、或其它重要事情。同時,北京中采高科招標集團有限公司保留對本站免費用戶投放商業性廣告的權利。
十三、 參與廣告策劃
在北京中采高科招標集團有限公司許可下用戶可在他們發表的信息中加入宣傳資料或參與廣告策劃,在工業爐招標網各項免費服務上展示他們的產品。任何這類促銷方法,包括運輸貨物、付款、服務、商業條件、擔保及與廣告有關的描述都只是在相應的用戶和廣告銷售商之間發生。北京中采高科招標集團有限公司不承擔任何責任,北京中采高科招標集團有限公司沒有義務為這類廣告銷售負任何一部分的責任。
十四、 內容的所有權
工業爐招標網對其獨立采編的或從第三方獲得合法許可的信息內容,內容的定義包括:文字、軟件、聲音、相片、錄象、圖表;在廣告中的全部內容;全部工業爐招標網虛擬社區服務為用戶提供的商業信息。所有這些內容均受版權、商標、標簽和其它財產所有權法律的保護。所以,用戶只能在北京中采高科招標集團有限公司和廣告商授權下才能使用這些內容,而不能擅自復制、再造這些內容、或創造與內容有關的派生產品。在本站發表、轉載的文章僅代表作者本人觀點,本站沒有義務查實文章或圖片、音頻、視頻文件的出處及其真實性。如果您是文章、圖片等資料的版權所有人,請與我們聯系并說明具體文章標題,工業爐招標網會及時加上版權信息,如果您反對工業爐招標網使用,在收到身份證明、版權證明和刪除要求后我們會立即刪除有版權問題的內容。
十五、 法律
用戶和北京中采高科招標集團有限公司一致同意有關本協議以及使用工業爐招標網的服務產生的爭議交由仲裁解決,但是北京中采高科招標集團有限公司有權選擇采取訴訟方式,并有權選擇受理該訴訟的有管轄權的法院。若有任何服務條款與法律相抵觸,那這些條款將按盡可能接近的方法重新解析,而其它條款則保持對用戶產生法律效力和影響。
十六、 工業爐招標網會員帳號所含服務的信息儲存及安全
北京中采高科招標集團有限公司對用戶帳號上所有服務將盡力維護其安全性及方便性,但對服務中出現信息刪除或儲存失敗不承擔任何負責。另外我們保留判定用戶的行為是否符合工業爐招標網服務條款的要求的權利,如果用戶違背了用戶服務條款的規定,將會中斷其用戶服務的帳號。
十七、 青少年用戶特別提示
青少年用戶必須遵守全國青少年網絡文明公約:要善于網上學習,不瀏覽不良信息;要誠實友好交流,不侮辱欺詐他人;要增強自護意識,不隨意約會網友;要維護網絡安全,不破壞網絡秩序;要有益身心健康,不沉溺虛擬時空。
隨著“互聯網+”方式在公共資源交易活動中的不斷深入,電子文件的應用幾乎全面覆蓋了招投標文件制作、主體信息登記、合同備案、履約考核等環節,其安全性成為交易活動最重要的因素。傳統模式下,電子文件的安全由CA認證證書通過硬件加密的方式實現,然而由于法律的滯后、部門規章之間的難以協調、利益驅使等一系列原因,CA認證方式被數百家企業聯合壟斷,對交易各方高效工作產生了嚴重阻礙。為此,文章嘗試從硬件、軟件和生物認證方式對交易過程中的電子文件安全性進行探討,試圖開拓新的安全校驗模式。
隨著招標采購逐漸步入“互聯網+”時代,交易過程中的電子文件由備用身份逐漸轉變成為常規主力身份。由于電子文件天生的物質性缺乏,并出于安全性和保密性考慮,廣大公共資源從業者一般需要對這些電子文件進行加密處理,數字加密證書也由此應運而生。當前,全國實現網上公共資源交易的地區全部使用該方式通過身份驗證,數字加密證書儼然成為一種“標配”工具。無論是主體信息登記、招投標文件編制,還是合同備案、許可申辦等,都需要使用大小不一、顏色各異、不同廠商的加密CA鎖進行加密操作。《焦點訪談》某期節目中報道了某公共資源交易中心及相關企業在電子招投標過程中巧立名目設置門檻、借機斂財的事件,引起了全社會的廣泛關注,同時也將CA證書的辦理和應用推向了輿論的風口浪尖。2016年,媒體又曝光了一家四川省建筑公司在參與投標過程中竟然需要辦理13次CA認證,而令人匪夷所思的是,每個CA證書里都是一模一樣的企業身份信息。
其實《電子招標投標辦法》(8部委令2013年第20號)中就有規范數字證書使用的相關規定。由于沒有統一的交易規則和技術標準,各電子招標投標數據格式不同,也沒有標準的數據交互接口,使電子招標投標信息無法交互和共享,甚至形成新的技術壁壘,影響了統一開放、競爭有序的招標投標大市場的形成。因此,制定《電子招標投標辦法》是為了招標投標信息共享提供必要的制度和技術保障。《電子招標投標辦法》第四十四條規定,“支持不同電子認證服務機構數字證書的兼容互認”;《電子招標投標系統技術規范》8.2.2條規定,“應執行統一規范的數據接口標準,并可通過公共服務平臺協議聯機方式,支持不同的合法電子認證服務機構頒發的CA數字證書的兼容互認”。
基于《電子招標投標辦法》規定,各CA機構生產商適時調整策略,它們將新CA證書的底層規范執行國家標準,以在名義上做到互聯互認。但由于行業規定不全、經濟利益驅使、市場整合難度大、默契壟斷等多種原因,各CA生產商往往對本廠CA證書在底層協議上進行個性化的改造或定制擴展,造成各CA證書之間數據不能有效識別,甚至數據完全不能互通。同時,各地主管部門對CA證書的辦理程序、收費標準、技術指標參考不統一,導致各CA廠商相互分割市場且彼此之間認同率低。對于投標人,此舉不但提高了交易成本,降低了交易效率,而且在很大程度上阻礙了電子招標投標的推廣及普及。
隨著公共資源交易向縱深改革,CA證書統一認證、互聯互通的需求日益增加,越來越成了擺在管理者面前一道亟待解決的難題。
一、數字證書及電子簽章(CA鎖)的作用和特點
(一)作用
在目前的公共資源交易活動中,絕大多數網上交易都采用CA數字證書認證的方式對電子文件進行確認、傳遞和交互。CA數字證書可以為招投標雙方安全通信提供電子認證,使用電子簽章可以從法律和技術上保障電子招投標文件的真實性和完整性,能夠實現身份識別和電子信息加密,通過驗證識別信息的真偽來實現對證書持有者身份的認證。
CA數字證書具有招投標功能性、加密性、認證性、完整性、合法性,既能簡化用戶操作,有利于投標人降低成本,同時又能有效地保障電子招投標系統安全,切實維護各招投標單位信息安全和合法權益。以江蘇省建設工程為例,通過使用專業工具軟件,除了可以制作招標投標電子文件外,還可以在標書制作完成后直接對電子標書文件進行CA認證和數字簽名,重現了紙質標書制作中打印出紙質文件后,對文件內要求簽章和簽名的地方再進行手動簽章和簽名的過程,同時也減少了招投標人編制招投標文件的工作量,經由編制工具生成的電子標書就是一份完整的、具備法律效力的標書。
(二)特點
相比較于傳統“用戶名+口令”模式,CA數字證書主要體現了身份安全性和數據安全性高的特點,具體如下。
1.簡單便捷,安全高效。公共資源交易從業者在不同地區、不同行業面臨大量不同的系統,傳統模式下可能存在數十甚至數百種“用戶名+口令”組合,不僅記憶難度大,而且在通訊過程中須以明文(http通信協議)方式傳輸,身份信息極易被截獲或破解,造成身份信息被盜用,進而產生不可預估的后果。而CA數字證書設備是由相應CA認證中心機構頒發,具有高度的權威性,CA設備內的私鑰證書需要經過國家有關部門審核,更是確立了CA的不可偽造和不可冒用的特點。
2.易于保管,警覺性高。傳統模式的用戶名和口令需要專門的記事本或者電子存儲設備進行保管,不僅存在被不明身份者襲擊的風險,也容易造成在口令丟失后并不能第一時間覺察的危害。而CA數字證書設備不需要電子儲藏方式,物質性的特點決定它丟失后能在短時間內被發覺,警覺性高。
3.綠色環保,低碳節能。適用網上招投標,使用數字證書將不再要求其報送加蓋公章和法人章的紙質材料,通過數字證書和電子簽章完全可以保障其合法性,實現全程無紙化。不僅節省大量紙張,同時便于修改,重復性和實用性強。
4.權威性高,私密安全。通過數字證書系統可以確認身份的唯一性和交易的不可否認性,防止投標文件被篡改而帶來的巨大損失。以江蘇省為例,普遍采用電子標書專用鎖(俗稱“CA鎖”)方式來進行數字加密,屬于硬件介質加密類型,通過鎖內的CA數字證書對生成的招投標文件進行數字簽名和加密,整個運算過程全部通過硬件介質鎖內程序完成,無須其他系統和程序的支持,確保了電子標書在生成后的第一時間就被密封,保障了電子標書的信息安全。且具有防暴力解鎖功能,當盜用者嘗試無窮試驗解密時,會因為連續錯誤多次輸入密碼而導致設備鎖定。
5.法律授權,責任清晰。《電子簽名法》第十三條規定,“可靠的電子簽名與手寫簽名或蓋章具有同等的法律效力”。使用鎖內電子印章時,首先需要驗證CA數字證書的安全密碼,確保簽章時是由CA數字證書擁有者簽署,從而使得簽署的電子印章符合《電子簽名法》的要求,保證最終生成的電子標書具備法律效力。
綜上所述,使用數字證書進行電子招投標具備法律效力,其具有不可抵賴性。一旦發生糾紛,即可以通過驗證電子簽名來核查原始數據,分清責任方。可以說,通過硬件介質方式(CA鎖)進行數字認證和加密的優勢是得天獨厚的。
二、CA證書統一認證解決方案
從前述數字證書及電子簽章(CA鎖)的作用和特點分析來看,現行采用硬件介質加密數字證書是基于“足夠安全和身份唯一”這兩個重點因素考量的,且主流觀點認為通過硬件介質(CA鎖)這種有形的方式進行加密和認證可靠性更高。因此,要想實現不同CA證書之間互相認證、互聯互通的目標,必須著力突破“足夠安全和身份唯一”這兩個關鍵技術難點。從現行的技術發展階段來看,解決方案有兩種:一是建立通用CA證書標準體系;二是采用軟件方式進行加密和認證。
第一種方案“建立通用CA證書標準體系”從本質上看仍然屬于硬件(即通過有形介質比如CA鎖、UKey等)解決方案的范疇,而第二種方案“采用軟件方式進行加密和認證”則屬于軟件(即通過無形的數字特征和算法序列)解決方案的范疇。比較兩種解決方案,前者的安全性無疑更高,但后者的適用性更強、更加便于操作。
(一)采用硬件加密方式進行統一認證
1.建立通用CA證書標準體系
公共資源交易活動中的電子文件,尤其是投標文件在開標截止時間前屬于秘密級文件,而主體信息文件諸如工程技術人員證書、合同業績材料等更是投標企業的商業機密,需要可靠的加密手段防止信息外泄,現行的措施無一例外都是選擇硬件介質加密方式來實現。具體來說,就是通過CA專用鎖(UKey)來進行文件的制作、加密、簽證和傳遞。近幾年來,不少公共資源交易平臺都在試圖嘗試多CA互聯相關的工作,但往往遇到很多困難,一是交易平臺自身技術力量不夠,不能有效地掌握數字證書相關的核心技術;二是行業內缺乏統一的交易平臺多CA集成接口標準;三是各CA機構為了追逐商業利益最大化,互相之間設置技術壁壘,阻礙了CA互聯的進程。
2016年7月,為盡早實現“一把CA,處處用”的目標,中國招標投標公共服務平臺推出“多CA統一互聯”服務,有效地解決了交易平臺在交易過程中使用不同數字證書進行簽名驗簽、加密解密等集成應用問題,這種解決方式不改變交易平臺與原有CA公司的合作關系,因此觸及的利益破壞程度最小,也容易被地方交易平臺接受。從中國招標投標公共服務平臺公布的電子招標投標CA互聯標準體系成員名單來看,包括廣州、武漢、菏澤在內的幾個地區已經開始先行先試。
這種解決方案的原理就是以建立通用的CA證書標準體系為途徑,要求不同的CA機構按照標準體系的要求進行技術改造,經國家統一認證的檢測機構檢測校驗通過后,接入統一的平臺(認證中心),實現多CA互認的目的。
2.成立國家壟斷級CA認證和發售中心
公共資源的所有者是全體社會成員,它能為人們提供生存、發展、享受的自然物質與自然條件,是當今社會經濟發展共同所有的基礎條件,由此可見,公共資源交易具有顯著的公共屬性,任何個人和機構都不能壟斷它的使用、開發,更不能以任何方式進行“排他”處理。公共資源交易從本質需求和操作層面上都具備了由國家實行統一調度的條件,為此國務院可以考慮成立國家壟斷級CA認證和發售機構。
相比較于上節“建立通用的CA認證標準體系方案”,成立國家壟斷級CA認證和發售機構具有以下優勢。
一是高效簡單。公共資源具有公共屬性,它的交易亦有濃厚的公共屬性,因此全國若只有一個CA認證機構,不但可以從源頭上解決CA互認難題,更能有效地減少交易各方重復辦鎖認證的負擔,真正實現“一把CA,處處用”的宏偉目標。
二是權威性高。相較于民營企業,國家機構顯然更有保障力和權威性,不會因為經營不善或其他不利因素導致企業破產進而致使公共資源交易發生系統性崩潰。相反,還會因為國家機構的穩定性強,促使公共資源交易行業向更健康的方向發展。
三是公益性強。企業的本質是追逐利潤最大化,而國家機構的本質是為人民服務。因此,由國家壟斷CA認證和發售可以大幅度降低招投標各方交易的運營成本,有利于交易各方管理和經營。
四是安全性好。公共資源交易涉及諸多秘密級以上文件,民營企業可能會因為利益輸送、技術力量不足或諸多不可控因素導致無法真正有效地保證數據安全,而國家機構可以依靠強大的政府力量確保數據的安全性,同時因為沒有利益輸送口,也不存在被其他人買通技術的可能性。
(二)采用軟件方式進行加密和認證
前節通用硬件改良的方式來解決CA統一認證問題固然是個不錯的解決方案,但是也存在一些缺點,比如“建立通用的CA認證標準體系”需要求所有CA機構廠商執行統一的技術接口標準和協議,一些CA機構廠商將失去特色功能;若成立國家機構,則當前的CA機構下游企業都將被迫進行聯動變更,造成大量損失。為此,可以從CA證書的本質功能出發,考慮將現行通過硬件介質方式來認證的傳統做法改為用軟件介質方式實現認證。因此,需要首先對硬件加密和軟件加密的優缺點進行綜合研判。
1.硬件加密和軟件加密
硬件加密技術一般指的是采用AES128位或256位硬件數據加密技術對產品硬件進行加密,具備防止暴力破解、密碼猜測、數據恢復等功能。而軟件加密則是通過產品內置的加密軟件實現對存儲設備的加密功能。硬件加密一般是指USB加密鎖加密,同時還可以配合軟件一起加密,比如變成復合算法。
硬件加密具有加密程度高、相對穩定、商業應用中具有說服力強等優勢;軟件加密一般是指編程虛擬加殼和算法,通俗一點是一機一碼,或是多殼加密,它具有操作方便、成本低廉、靈活機動的特點。
前文已經提到,任何尋求公共資源交易活動中CA統一認證的解決方案,不外乎要滿足“足夠安全和身份唯一”兩大基本需求。軟件方式認證和加密只有具備強大可靠的安全性以及不可復制、不可取代的唯一性特征,才有充分的競爭力與硬件認證方式相比較。
2.軟件認證和加密技術
第一個替代方案是進行設備驗證。公共資源交易平臺可以通過語音、短信或推送數字代碼發送給交易主體的手機等通信工具,通過與反饋而來的“驗證碼”比對后給予授權和認證通過。這也是目前較為常見的一種互聯網接入服務方式。具體到公共資源交易活動中,比如在開標會議投標文件解密階段,由交易管理端向特定投標人發出解密指令,投標人反饋“確認授權解密”后(也可以用動態口令方式),計算機自動對投標文件進行讀取和解密,這樣就大大減輕了開標會議現場排隊依次解密的問題。
第二個替代方案是生物識別認證。在過去的幾年中,越來越多的生物識別認證替代方案被列入到了解決方案之列:首先在交互式語音響應(IVR)中進行語音認證,然后使用Touch ID進行指紋認證,最近還有人臉識別、眼睛靜脈和虹膜驗證等。具體到公共資源交易活動中,可以用于項目負責人或者授權委托人的身份認證,也可以用于投標文件的生成加密。
還有新興的替代方案,比如生物行為識別認證(例如某人的筆跡、脈搏、步態等)。智能終端上高靈敏度傳感器和高精度攝像頭的結合,再加上能快速處理復雜信息的軟件,可將這些先進技術推薦給公共資源交易管理者。
3.安全性和可靠性
無論是使用設備驗證、生物識別認證,還是生物行為識別認證,其安全性和可靠性都是毋庸置疑的,如果能夠在公共資源交易活動中交叉、疊加、混合使用以上幾種認證技術,其安全保障幾乎是萬無一失的,遠遠高于現在傳統的通過CA鎖加密的密級程度。以一次完整的投標活動為例,投標企業首先可以通過設備驗證方式(如手機短信驗證)付費并下載招標文件,然后利用生物識別認證(指紋、人臉)方式加密生成投標文件上傳至指定的服務器空間,開評標會議現場通過生物行為(步態、筆跡)識別認證方式解密投標文件、派出項目負責人參加答辯,通過這些組合式認證方式,可以在最大程度上確保招投標全過程置于嚴密的安全環境內運行。
事實上,如今的商業金融領域早就開始應用這些新的身份驗證和支付方式,比如購物支付可通過手機APP完成,這本質上就是一種設備認證方式。公共資源交易活動涉及日資金業務總量遠低于支付寶、微信、手機銀行等商業行為,因此其安全性毋庸置疑。為防止意外情況發生,還可以通過設置備用方式、購買商業保險等措施進行補救。
近年來,CA統一認證問題成為困擾公共資源交易行業的一大難題,各地出臺了不少辦法,但是推進并不順利,除了技術本身的障礙以外,還受到利益藩籬、管理體制、資金限制等外部因素影響。隨著科學技術飛速發展,公共資源交易智能化程度越來越高,可以期待的是,公共服務平臺、交易平臺、監管平臺等有望依托于云平臺運作,依賴于有形介質的硬件認證方式也必將逐步淡出歷史舞臺。CA統一認證難題“破局”是必然事件,無論哪一種解決方案,都應當以提高群眾獲得感為根本出發點,希望本文提到的方法能夠給公共資源交易中心帶來一些啟發和思考。
作者: 湯 駿 陳守龍
作者單位:南通市公共資源交易中心
來源:《招標采購管理》
