刘越男^1，2，3杨建梁^1，2张洋洋¹

（1.中国人民大学信息资源管理学院；2.数据工程与知识工程教育部重点实验室；

3.中国人民大学电子文件管理研究中心，北京100872）

摘要：电子签名既是电子文件的信息要素，也是其功能要素；这两个角色既相对独立，也相互支撑。文章以电子签名“信息-功能”模型为框架，分析了发达国家电子签名归档保存方案及其思路：归档时同时维护电子签名的信息作用和功能作用，随着保存时间的延长，电子签名的信息不断丰富，功能则不断弱化。有鉴于此，根据我国实际情况，构建了“职责分担、分类应对、动态调整”的电子签名归档保存综合方案。档案部门在统筹下，按照签名类电子文件的类别与认证机构合作开展归档电子签名维护工作，根据认证系统的支撑和电子文件风险情况动态调整保存策略，并在此过程中记录电子签名元数据。

关键词：电子签名；数字签名；电子文件；单轨制；元数据

引文格式：刘越男,杨建梁,张洋洋.单轨制背景下电子签名的归档保存方案研究[J].档案学通讯,2019(3):26-35.

中图分类号：G270.7

基金项目：国家社科基金重点项目“我国数字档案馆建设战略研究———基于生态系统的视角”（16AZD054）。

1.研究问题的提出

在《电子签名法》的保障下，随着中国信息化建设的深入及无纸化进程的推进，电子签名技术的应用不断普及。近年来，陆续有法规政策明确提出电子签名应用的要求，如《国务院关于加快推进“互联网＋政务服务”工作的指导意见》（国发〔2016〕55号）指出要“积极推动电子证照、电子公文、电子签章等在政务服务中的应用”。一些操作性很强的规范制度则进一步将电子签名作为文件的组成要素，比如《浙江政务服务网电子文件管理暂行办法》（浙政办发〔2017〕4号）规定：“行政机关通过浙江政务服务网办结归档的加盖可靠电子印章的文书类、证照类等电子文件，与纸质文书具有同等法律效力”。据笔者了解，国家档案局一些电子文件归档与电子档案管理试点单位将电子签名作为证明和维护单轨制电子文件真实性的技术加以应用。这些举措意味着越来越多的经过电子签名的文件将进入档案管理范畴，这些文件无须打印输出手工签署。

针对签名电子文件的归档，吴丽娟^[1]、王萍^[2]等认为，在归档保存电子签名文件的时间段内，须同时保存公钥、数字证书、证书撤销列表、签名算法等信息，以维持重新验证电子签名的能力；刘国华等^[3]认为此外还需收集归档认证机构的相关信息。在电子文件归档之后的保存过程中，姜志伟^[4]指出若电子文件因格式迁移导致签名失效，那么对之进行重新签名。笔者在调研的过程中，有专家指出维护电子文件签名有效性的成本太高，电子文件归档时无须归档其电子签名数据，只需要归档保存含有签名影像的版本。

Blanchette^[5]认为档案部门在电子签名的保存问题上面临进退两难的境地。电子签名是否须要随文件一起归档，若须要，归档之后的有效性如何维护，应如何处理电子签名移交及移交之后的保存问题，本文将围绕这些问题展开探讨。

《电子签名法》（2015）第二条规定：电子签名“是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。”这是一个技术中立的概念，可能有多种具体的实现技术，包括基于非对称加密体制的数字签名、生理特征签名、触摸屏手写签名等。^[6]本文研究的电子签名系《电子签名法》规定的可靠的电子签名，具备签名人身份真实、意愿真实，签名及数据电文均不可改的特性，目前可实现此要求的即基于非对称加密体制的数字签名。实施非对称加密体制的信息系统需要部署在公钥基础设施（PKI）上，PKI通过颁发与管理公钥证书的方式为终端用户提供服务，由一套支持数字证书生成、发放、存储和撤销的硬件、软件、机构、策略与协议来支撑。^[7]若不做特殊说明，下文中电子签名均指基于数字证书的数字签名。

本文所称电子签名归档保存方案，是指为归档电子文件所含、所附的电子签名的归档及之后（包括移交及移交后）的有效性维护方案，该问题的讨论前提是签名所支持的电子文件需要归档。这里需要明确的一对概念是电子签名的有效性和可验证性。有效性是指电子签名能够发挥其预期的作用，即识别签名人身份并表明签名人认可文件内容，并在不同程度上证明文件的真实性、完整性和不可否认性。可验证性是指电子签名是可以通过一定的工具和手段对签名的有效性进行验证，验证内容包括：签名人身份信息、签名发生的时间、签名所用的数字证书在签名时是否有效、签发数字证书的CA机构、电子文件原文在签名后是否发生过改变。数字证书和配对密钥的有效期都较短，通常在1~5年。但这并不影响电子签名的可验证性，用户可以用已经过期的数字证书去验证电子签名的有效性，只要验证成功，仍可说明电子签名在特定时期内的有效性。电子签名一般是通过可验证性的维护来说明其有效性。

本文旨在回答实际问题，首先通过对美国、澳大利亚、加拿大、中国等国家文件档案主管部门相关政策规范的梳理，归纳既有电子签名归档保存方案；接下来以电子签名“信息-功能”的概念模型为分析框架对既有方案及其设置思路进行分析；最后结合我国电子签名应用的具体情况，提出“职责分担、分类应对、动态调整”的电子签名归档保存综合方案，并对可能涉及的治理、政策、管理和理论问题展开进一步的思考。本文采用的是文献研究和专家访谈相结合的研究方法。笔者先后对北京CA、国家档案局、浙江省档案局、杭州市档案局的有关专家进行访谈，并召开小范围研讨会，以加强对实际情况的了解和技术路径的可行性分析。

3.1美国

美国是相关指南最多的国家。美国国家档案与文件署（NARA）先后出台了《面向实施电子签名技术的政府机关的文件管理指南》（2000）^[8]、《PKI专门管理文件的管理指南》（2003）^[9]、《PKI数字签名认证和加密事务文件的管理指南》（2005）^[10]和《电子身份认证文件管理指南》（2015）^[11]，对联邦政府机关电子签名文件归档工作进行指导。

上述4份指南中前3个可以被看作一个系列。最早颁布的《面向实施电子签名技术的政府机关的文件管理指南》为其他两份指南奠定了基础。该指南指出，电子签名应作为电子文件的内容要素予以归档，美国联邦政府机关须以人工可以识读的方式记录签名人和签名时间，并选择实用的、符合业务需要和风险管理要求的维护签名文件可信性的路径，具体包括两种：第一，维持电子签名重新生效的能力，重新验证所需的信息也必须与文件一起被归档保存，具体包括用于验证签名的公钥、数字证书以及证书颁发机构的证书撤销列表等；此外还需要保存个人身份证明、信任路径、认证政策等其他信息。第二，维护说明电子签名可验证性的相关记录，比如制作电子签名时或签名前后产生的信任验证文件，这些记录电子签名过程的背景信息应与文件的保管期限一致。相比而言，第二种途径对特定技术的依赖性低，对于那些保存时间较长的电子文件，优先推荐该种途径。但也存在因技术升级而导致签名人信息无法显示的可能。可见不管采取何种路径，机关都须在签名文件之外，额外保存因电子签名应用而产生的相关记录。NRRA不仅将这些记录视作一般意义上电子文件内容、结构或背景信息，也是须要加以归档处置的新型文件。

《PKI数字签名认证和加密事务文件的管理指南》将支撑数字签名认证和数据加密而产生的记录称作“PKI信任记录集（Trustdocumentation set）”，具体包括PKI特定事务文件（PKItransaction-specific re-cords）、PKI专门管理文件（PKI-uniqueadministra-tive records）和其他管理文件（Otheradministrativerecords）等三类，其中PKI特定事务文件指在特定事务数据进行签名产生的记录，如电子签名、数字证书、证书验证响应等；PKI专门管理文件指用来支持认证、防抵赖和签名数据可信性的管理性记录，如证书撤销列表、签名人协议等；其他管理文件也称非PKI文件，可与其他两类文件一起证明应用电子签名的事务的可靠性，如机构应用PKI的政策、软硬件系统配置文件、用户培训文件等。PKI特定事务文件和被签名的文件是一一对应的，即一份电子文件就有与之配套的一份电子签名、数字证书及其验证响应，其在机关内部的保管期限应与相应的电子文件一致。两类管理文件往往扮演补充协助认证和可信验证的角色，与电子文件并不一一对应，多份电子文件共一套管理文件。不同的身份保证和认证级别对这些信息的要求不同，机构可以根据需要留存。该指南还指出除了维护原签名可验证性之外，可选择加盖时间戳和重新签名这两种技术路径来满足电子文件长期认证的需求。《PKI专门管理文件的管理指南》则对PKI专门管理文件的管理予以了规范引导，分别明确了其在文件管理系统或业务系统中的管理要求。

2015年NARA在其新颁布的《电子身份认证文件管理指南》中宣布上述3个指南失效，仅作为技术资源对外公布。该指南将电子签名归档后维护方案的决策权留给了联邦政府机关，不再出台细致的操作指南，只是从NARA的立场出发规定两个方面：第一，NARA将根据法律授权对电子身份认证文件(即上文所称“PKI信任记录集”———笔者注)的保管期限予以审查判断，NARA最新的通用保管期限表GRSTransmittal29包含明确规定此类文件保管期限的条款。^[12]第二，作为长期保存单位，NARA要求在不改变电子文件内容的前提下，移交单位必须去除所有可能妨碍电子文件可用性的电子身份认证措施。机关可以在电子文件法律保管权移交给NARA后销毁相关电子身份认证文件，无须将其与文件一起移交。对于嵌入到文件中的电子签名，NARA不会维护电子签名的重新验证能力。

3.2澳大利亚

澳大利亚国家档案馆（NAA）于2004年颁布《采用认证或加密技术创建或接收的联邦文件保管和在线安全处理指南》，建议联邦政府机关根据签名验证风险的高低采用两种不同的电子签名保存策略：如果日后再次验证电子签名的可能性不大，可采用文件管理元数据（Recordkeepingmetadata）来记录电子签名在特定时刻的有效性；如果电子签名需要再次验证的可能性比较高，那么机构需要维护一个密钥管理计划（Akey managementplan），保证有关密钥、数字证书处于可用的状态，而这样的密钥管理计划需要文件、业务和技术人员配合完成。移交范围内的带有电子签名的文件需要附带签名元数据一起移交，NAA不会维护接收进馆的电子文件的签名可验证性，如果政府机关认为电子文件在移交后仍然可能被要求重新验证电子签名，则需要自行维护密钥管理计划。^[13]

笔者通过电子邮件咨询后获知，该指南已经失效。2018年NAA在《2020数字连续性政策》整体框架下颁布了《数字审批框架》^[14]，旨在加强对数字签名应用的管理，它提醒联邦政府机关开展风险评估，只有风险程度高的审批业务才需应用数字签名；应用时需记录数字签名实施步骤和制度规范，保证被签名文件最终版本的可读，通过元数据记录文件内容和电子签名之间的关联，并按照文件保管期限表的要求同时保存文件内容和电子签名。澳大利亚联邦政府建立了统一的数字签名认证服务框架，指定了8家认证服务机构，其中有5家政府机关，唯一的验证中心隶属于产业和科学部^[15]，这在很大程度上保证了数字签名服务的稳定性。至于数字签名文件的移交问题，NAA表示在制定《数字审批框架》时已经和政府机关讨论过，带有数字签名的永久文件须以可读格式移交；由于这些文件需要在机关保存15年之后才移交，而NAA正在建设新的数字档案馆系统，故尚未考虑届时数字签名有效性的验证问题。

3.3加拿大

2001年加拿大图书与档案馆（LAC）颁布《PKI环境下使用加密和签名技术创建的文件的管理指南》，在阐明电子签名重新验证的条件和风险的基础上，明确表示维护电子签名可验证性对于LAC来讲都是很大的技术负担，LAC既不会维护电子签名的可验证性，也不会保存电子签名产生和验证的过程信息。LAC对于电子文件的信任来自对联邦机关电子文件管理系统的信任。LAC不能接受电子文件因使用了数字签名而变得不可读，但是如果数字签名本身不可理解（验证），其内容、结构和背景仍可识别，这样的电子文件则是可以接受的。^[16]笔者通过电子邮件咨询LAC后得知，该指南目前仍然有效，只是部分内容需要更新，主要更新之处在于在LAC数字档案馆建设实践的支持下，LAC可以接收电子文件及其在源系统中的元数据，其中也包括电子签名相关元数据。

3.4中国

中国在国家层面尚未颁布专门针对电子签名文件归档保存的指南。国家标准《电子文件归档与管理指南》（GB/T18894—2016）、规范性文件《电子档案移交与接收办法》（档发〔2012〕7号）及新修订的《电子公文归档管理暂行办法》（国家档案局第14号令）均对电子签名的归档、移交接收问题只字未提。《机关档案管理规定》（国家档案局第13号令）第三十六条规定：“归档文件材料应当为原件。若电子文件已经具备电子签名、电子印章，且电子印章按照规定转换为印章图形的，纸质文件不需再行实体签名、实体盖章。”从这句话尚不能判断电子签名和电子签章是否要随电子文件一起归档。行业标准《文书类电子档案检测一般要求》（DA/T70—2018）规定，在归档、移交和长期保存环节都需对电子档案包含的“数字摘要、电子签名、电子印章、时间戳等技术措施的固化信息的有效性”进行验证，即电子签名只要归档或移交，其有效性（可验证性）是需要不时检测的。《文书类电子文件元数据方案》（DA/T46—2009）则在可选元素“电子签名”下规定了签名规则、签名时间、签名人、签名结果、证书、证书引证、签名算法标识等7个具体的电子签名元数据元素。如果选用，其结果与NAA所推荐的通过元数据的方式来追溯电子签名有效性的路径存在共同之处。

针对本文提出的三个问题，综合国内外的相关规定及有关学者的研究，可以得出如下初步结论：

4.1电子签名的归档

美、澳都明文规定电子签名是要归档的，并要求联邦政府机关按照保管期限对之加以保存。NARAGRS Transmittal29要求电子签名及其他PKI特定事务文件不短于其保护的电子文件在本单位的保管期限。加拿大没有就电子签名归档与否明确表态，只是强调其对文件的信任来自对其机关电子文件管理系统的信任，言下之意将决定权交由各联邦机关。

4.2电子签名归档后的维护

电子签名在归档后是否要持续维护其可验证性呢？对此，可以采取三种途径：

第一，维护原始签名数据的可验证性。对于该途径的实现，不同国家、单位的做法及不同学者的阐述有相同之处，也有差别。相同之处在于对于可验证性的条件：签名公钥（通常包含在数字证书中）、数字证书、证书撤销列表这三大要素基本达成共识，不同之处在于对于验证是否还需要特定软件，是否还需要对数字证书本身的合法性进行证书溯源，是否需要对签名人的身份进行核实等问题的观点不同。

第二，更新原始签名数据，即当原签名失效时通过技术更新方法来持续电子签名的有效性。具体方法有两类：一是在原始签名外追加归档时间戳，追加可以多次实施。欧洲电信协会标准ETSIEN 319102-1详细规定了电子签名的归档时间戳。^[17]但该方案仅考虑电子签名技术本身的失效问题，没有考虑到因文件格式转换可能导致的签名无法验证问题。^[18]第二种方法则可以解决这个问题，无论是原签名失效还是原文件格式转换导致签名不可验证，都可以利用签名人的新密钥制作新的电子签名，但这种方案可能面临签名人不配合等风险。^[19]

第三，基于元数据或文档的签名追踪。此路径放弃维护原签名或其更新版本可验证性的技术方案，采用详细的元数据或文档描述电子签名的产生、管理和验证过程。相比而言，其技术依赖性和成本较低。NAA最新的指南建议机关保存数字签名实施文档，并采用元数据追踪签名，但其出台的《澳大利亚政府文件管理元数据标准》（2015）中只有一个可选元数据属性“文档格式”（DocumentForm）的编码值域中包含“数字签名”，没有数字签名的任何扩展描述。^[20]NARA采用的是文档追踪的做法，其定义的“PKI信任记录集”里虽然包含了大量的元数据，但是NARA视之为一类特殊信息安全管理文件，仅要求电子签名文件须具备签名人和签名时间两项元数据。我国的情况则与之相反，虽然在整体上没有明确电子签名的归档要求，却在DA/T46—2009中规定了详细的电子签名元数据。

4.3电子签名的移交及移交后的保存

虽然美、澳、加并没有一刀切地规定不接收电子签名，但其文件档案主管部门一致表示不会采取任何技术措施维护电子签名的可验证性。美、加强调若电子签名影响到永久电子文件的可读那么就要删除，NARAGRS Transmittal29允许机构在电子文件的法律保管权移交给NARA后删除其PKI特定事务文件。芬兰和荷兰的国家档案馆也都采取删除电子签名的做法。^[21]在元数据方面，NAA要求签名元数据随文件一起移交，但是没有明确具体的元素。NARA仅要求签名人、签名时间两项元数据。LAC虽在指南中表示不会保存电子签名产生和验证的过程信息，但也承认这条规定可能会更新。

发达国家已在电子签名的归档保存方面形成初步方案，分析这些方案背后的思路和理由，是构建我国电子签名归档保存方案的基础。

可以考虑从签名的作用入手。无论是手工签名，还是电子签名，都具备两大作用：信息作用和功能作用。信息作用是指电子签名揭示了签名人、签名时间的信息，为用户了解文件相关责任主体及其在业务过程中所扮演的角色提供了线索；功能作用是指签名证明了签名者的身份，帮助用户确认文件形成过程的合规性，判断文件的效力，并防止文件被篡改、伪造或是否认。

在纸质世界里，签名的信息和功能是高度统一的。两者通过签名人的笔迹、签章的外观得以直接显现。同一签名人在不同的文件中的签名笔迹、图章相同或非常近似，可依赖经过专门训练的专家从笔迹、图章的外形去判断签名的真伪。此外，签名和文件紧密结合，其寿命和文件的寿命等同，因此大家从来都不会将签名与文件分开考虑。但是，电子签名的信息和功能是可以分开的。签名的信息可以通过可视化的字迹、图章方式显现，也可以明文的方式书写在文件中或记录在元数据中。签名的功能则是通过电子认证体系来实现的。电子签名通过密钥和算法制作而成，同一签名人签署的不同文件，其签名数据块都是不同的；需要借助密钥和算法来判断签名真伪，而密钥和算法的实施需要一整套硬件、软件、机构、策略与协议来支撑。由于算法面临安全性风险，签名人密钥需要定期更新，认证技术也会不断升级，特定电子签名的有效性并不能持久；对于那些需要长期保存的电子文件，文件本身的格式转换也可能导致签名失效。此外，电子签名和文件不再紧密结合，而是相对独立。签名可存储于文件外部，比如电子病历系统中医生诊断信息签名后作为一个字段放在数据库中，与诊断信息关联；^[22]即便是内嵌于文件的电子签名，与被签署的文件内容也是相对独立的模块，可以采取技术手段删除。文件在删除电子签名后依然可以存在。这意味着电子文件和电子签名的生命周期不再同步。

图1 电子签名“信息-功能”模型

在电子签名应用初期，其功能作用为主，信息作用为辅，功能衍生信息，大家的注意力一般都放在电子签名功能维护上，从而关注认证体系的严密性。但是随着保存工作的推进，维护电子签名可验证性的难度逐渐加大，其功能作用递减，信息作用递增，信息作用反哺功能作用，可通过信息的不断完善来弥补功能的逐渐弱化。西方国家的经验表明：电子文件保存时间越长，越倾向于采用低技术依赖性的方案来解决电子签名长期保存问题。相比而言，立档单位的电子签名功能维护的任务繁重，但长期保存机构则不再担此重任。但笔者并不赞同其在移交环节同时弱化电子签名信息和功能的做法，这种做法的最终结果是湮灭了电子签名的历史痕迹。

中国并没有针对电子签名归档保存出台统一的规定，仅在一些制度规范中有侧面反映。西方经验为我们描绘了电子签名归档保存路径的基本轮廓，但如何结合我国实际情况加以参考应用尚不明确。随着单轨制电子文件的普及，构建适合中国实际情况的、明确的电子签名归档保存方案变得越来越迫切。

6.1电子签名的归档

电子签名理所当然要随电子文件一起归档。随着信息化法规政策的完备和细化，电子签名成为越来越多的电子文件的法定构成要素。若不归档，将有损签名类电子文件的完整性。比如2018年12月国家市场监管总局颁发的《电子营业执照管理办法（试行）》规定：电子营业执照文件“是指按照全国统一版式和格式记载市场主体登记事项，并经市场监督管理部门依法加签数字签名的电子文档。”^[23]笔者认为这也是发达国家相关规定都将电子签名纳入归档范围的原因。

对于是要将电子签名当作一项信息还是一个功能予以归档的问题，笔者以为，在归档时要将电子签名原始数据和文件一起归档，同时维护电子签名的信息和功能作用。抛弃电子签名原始数据，仅保存签名、签章的影像，在技术上就是将签名文件转成图片；或是通过后期合成将作者的签名字迹、签章图形嵌入文件，这是一种模拟手工签名的维护方法，维护的重点是签名的外观影像，不仅完全丧失了电子签名的功能，还有人为合成文件的嫌疑。这在电子档案长期保存过程中或者可以作为辅助方式，但在刚开始接收归档（归档还可能实时进行）就如此，无疑是对维护电子文件证据价值、守护历史责任的一种逃避。

为了使电子签名的信息揭示得更为明显，签名人、签名时间等元数据信息也应随电子签名、电子文件一起归档。根据DA/T70—2018的规定，归档时应对电子签名的有效性进行检测，检测的过程和结果应该记入元数据，包括签名人数字证书、签名算法、验证时间、验证结果等。

6.2电子签名归档后的维护

通过文献梳理及对北京CA技术专家的访谈，笔者基本明确了重新验证签名的基本条件和附加条件。基本条件只有两个：签名人的公钥（通常包含在签名人数字证书中）和支持签名算法的软件。由于算法和数字证书都是公开的，所以理论上来讲验证软件的开发并不困难。但实际应用过程中存在很多不规范、不公开的情况，验证方仅知道公开密钥和算法也可能无法验证签名。因此LAC指出有时候需要保存一些验证签名的私有软件。上述两个基本条件满足后只能证明电子文件确实是用与公钥配对的签名密钥签署的，而签名人是否声称之人、密钥是否其所有、密钥本身是否在有效期内等问题，尚无法查验核实。完备的电子签名验证，还需要具备如下附加条件：第一，数字证书撤销列表，以方便查证密钥使用时是否已被撤销；第二，CA证书信任链，即从签名所用证书、上一级证书一直到CA自身的根证书，以此查证CA证书的合法性和公信力；第三，签名人与CA的协议，当立档单位采取多重身份认证机制时还可能包括签名人照片、生理特征(如指纹)信息等，以此来证明签名人的身份，维护电子签名的不可抵赖性；第四，立档单位电子认证管理办法或认证系统实施方案，及其与CA签署的电子认证服务协议，这些材料可以说明整个认证系统生效的时间、范围和方法。基本条件和附加条件共同构成电子签名的验证链。可以看出，完整具备所有条件很不容易，困难不仅来自技术层面，也来自管理与协调层面。笔者认为，若要维护电子签名的可验证性，应守住基本条件，努力满足附加条件。

电子签名是一整套认证体系下的产物，其实施需要文件形成单位乃至更大范围内多部门通力合作。要维护其可验证性，务必打破档案部门单兵作战的封闭思想。由此，笔者提出“责任分担、分类应对、动态调整”的策略。

第一，责任分担。验证电子签名是认证体系的核心职责之一，这份职责不应随着电子文件的归档完全转移给档案部门。签名类文件归档后电子签名功能的维护需要档案部门、认证机构、认证系统一起来承担，档案部门需要对此事进行全盘规划。根据电子认证服务法规、认证服务协议和认证系统实施方案，数字证书一般会在CA和（或）机构认证系统内保存一段时间，比如《电子政务电子认证服务管理办法》规定电子政务电子认证服务机构在数字证书失效后完整记录、妥善保存与认证相关的信息5~10年，在此期间内电子签名的验证职责应由CA和（或）认证系统来承担。电子文件（档案）档案管理系统也宜与认证系统集成。如果是跨机构实施的电子签名方案，比如行政区划内统一配发电子签章，行业主管部门统一推行认证系统，企业集团范围统一部署CA，则需要特别注意规范CA承担电子签名验证责任及时限。作为统筹规划方，档案部门应明确CA和（或）认证服务系统对归档电子签名的维护责任和要求，就认证系统验证责任期满后电子签名就是否以及如何继续维护电子签名功能做出决策，并记录和维护其电子签名及其验证元数据。

第二，分类应对。即根据电子文件及电子签名的类别来分别明确电子签名功能维护的路径。从电子签名的来源来看，如果是其他机构签发的文件，其签名验证一般由其负责机构承担，如《电子营业执照管理办法（试行）》（2018）规定国家市场监管总局为全国统一信任源点，承担电子营业执照的验证；本单位签发的文件，签名验证则需要本单位从长计议。从电子签名和电子文件的关系来看，不少签名内嵌式电子文件是支持签名自验证的，比如PDF可支持RSA算法的签名验证，PDF文件包含签名人数字证书，PDF阅读软件支持签名算法。京东的电子发票即支持签名自验证；^[24]对于不能自验证签名的电子文件而言，需要将数字证书与电子文件、电子签名一起保存，并选择支持签名验证的工具。其中多签名的文件，需要注意留存所有数字证书；外部用户的一次性数字证书，还要留存其身份信息、指纹信息等。

第三，动态调整。即根据认证系统的变更、电子文件应诉风险的高低和管理成本动态调整电子签名功能维护方法。当机构认证系统变更，如算法更新、系统升级、更换认证机构的时候，须要同步考虑已归档签字签名的验证问题。CA和（或）认证系统很可能不再承担归档电子签名的可验证性维护服务，档案部门须要启动应对方案。对于权威性强、应诉风险比较大、电子签名重新验证要求强烈的文件，比如电子公文、电子证照、电子合同、电子病历等，在一定时限内（比如诉讼期限20年）内须要采取技术性较强的方案继续维护电子签名的功能，包括用签名人有效密钥给电子文件重新签名，或者在原签名算法、密钥安全性降低之前加盖时间戳。GB/T25064—2010《信息安全技术公钥基础设施电子签名格式规范》规定了带归档时间戳的电子签名（ES-A），该格式在基本电子签名（BES）、带时间戳的电子签名（ES-T）、带完全验证数据的电子签名（ES-C）、带扩展的验证数据的电子签名（ES-X）等其他格式的基础上对整个电子签名加盖时间戳，如图2所示。时间戳可以根据需要随时增加，一个ES-A可能嵌套多个时间戳。新的签名维护技术方案的实施同样需要认证服务机构的支持。其他文件则可在认证体系无效后采取低技术依赖的方案，比如进一步丰富电子签名元数据，保全与电子签名配套的电子认证服务文件。

图2 带归档时间戳的电子签名(ES-A)基本结构

6.3电子签名的移交及移交后的保存

《电子档案移交与接收办法》（2012）规定电子档案自形成之日起5年内应向同级国家综合档案馆移交。有些地方档案馆已经能够做到实时移交。在移交期限如此之短的情况下，电子文件接收进馆之后的现行作用可能仍然非常强，仍存在电子签名继续发挥功能的现实需要。NARA将移交区分为实体移交（physicaltransfer）和法律移交（legaltransfer），电子文件实体移交到NARA的时间可以提前，但只有其现行价值消失之后才会将法律保管权转移给NARA。法律移交发生之前政府机关是不可以删除电子签名的。中国没有作出这种区分，移交双方须就电子签名的维护责任问题进行协商，找寻合适方案。

对于失去现行价值的电子文件，为减轻后期技术维护压力，在移交环节可以考虑删除签名数据，增加一个包含签名影像的图片版本。如果电子签名位于文件外部，删除是容易操作的；若内嵌于文件中，则须额外的处理。对于国外档案馆提出电子签名影响文件可读性问题，根据笔者对专家的访谈，嵌入在电子文件中的电子签名，即便无法验证或验证失败，因其和文件内容相对独立，只要文件本身格式是开放格式，一般不会因为电子签名妨碍文件内容可读可用。若该结论成立，也就没有必要一律删除电子签名。除非移交双方约定或者法律规定，否则移交单位可以不再维护电子签名的可验证性。从长远的角度来看，档案馆最终一定会放弃对原电子签名可验证性的维护，依靠建立可信数字仓储（TDR，该系统可能会采用加密技术来维护电子文件的完整性，但不会是对原签名的持续维护。参见本文7.2———笔者注）来维护电子档案的可信。

6.4电子签名元数据

电子签名归档保存的起点是接收签名归档，同时维护其信息作用和功能作用；终点是放弃对其功能的维护，且很有可能放弃保存其签名数据。这个过程的长短可能因电子文件、电子签名、认证体系和实施单位的不同而不同。在这个或长或短的过程中，每次电子签名功能维护能力的下降，都要以相关元数据的丰富为前提，以便用户通过详细的元数据来回溯电子签名曾经发挥过的功能。无论是否接收电子签名，中国档案长期保存机构都应同步接收必要的电子签名元数据，以信息的方式来说明电子签名使用、验证乃至删除的过程，尽力而为地尊重和记录历史，而不仅仅从减轻自身负担的角度将电子签名的信息和功能一并甩掉。

《文书类电子文件元数据方案》（DA/T46—2009）已初步规定了电子签名元数据元素，但一方面，部分元素的约束性设置不尽合理，另一方面，个别元素设置还存在优化空间。笔者根据“动态调整”策略，对该类元素提出了修改建议，如表1所示。