时间:2022-04-10 作者:周卫华等
[大]
[中]
[小]
摘要:
电子会计凭证的数据安全性问题探析
周卫华范家齐何华祥■
摘要:数字化背景下,各类经济业务凭证已逐步向无纸化、数字化发展,客观上推动了电子会计凭证的发展。但由于电子会计凭证来源多样,电子格式繁杂、易被篡改、验证成本高、难以单独入账等问题比较突出,电子会计凭证的数据安全性问题亟待解决。对此,本文提出统一电子会计凭证格式、改进电子会计凭证验证方式、规范数字签名等建议。
关键词:电子会计凭证;数据安全;数字签名
中图分类号:F275.2文献标志码:A文章编号:1003-286X(2021)20-0060-04
2021年3月31日财政部、国家档案局联合发布《关于规范电子会计凭证报销入账归档的通知》(以下简称《通知》),明确单位从外部接收的电子形式的各类会计凭证(即电子会计凭证),在满足一定条件下能够直接报销入账归档。但在实际工作中,由于电子会计凭证具有种类繁多、标准不一、技术复杂、容易篡改等特点,存在一定的安全性问题。电子会
计凭证反映经济资源在社会的流通情况,电子会计凭证入账数据的准确性和安全性关乎国家经济数据安全,也与财政税收安全紧密相关,必须予以关注和重视。
一、电子会计凭证的特征
...电子会计凭证的数据安全性问题探析
周卫华范家齐何华祥■
摘要:数字化背景下,各类经济业务凭证已逐步向无纸化、数字化发展,客观上推动了电子会计凭证的发展。但由于电子会计凭证来源多样,电子格式繁杂、易被篡改、验证成本高、难以单独入账等问题比较突出,电子会计凭证的数据安全性问题亟待解决。对此,本文提出统一电子会计凭证格式、改进电子会计凭证验证方式、规范数字签名等建议。
关键词:电子会计凭证;数据安全;数字签名
中图分类号:F275.2文献标志码:A文章编号:1003-286X(2021)20-0060-04
2021年3月31日财政部、国家档案局联合发布《关于规范电子会计凭证报销入账归档的通知》(以下简称《通知》),明确单位从外部接收的电子形式的各类会计凭证(即电子会计凭证),在满足一定条件下能够直接报销入账归档。但在实际工作中,由于电子会计凭证具有种类繁多、标准不一、技术复杂、容易篡改等特点,存在一定的安全性问题。电子会
计凭证反映经济资源在社会的流通情况,电子会计凭证入账数据的准确性和安全性关乎国家经济数据安全,也与财政税收安全紧密相关,必须予以关注和重视。
一、电子会计凭证的特征
(一)电子会计凭证的概念界定
严格意义上,电子会计凭证应包括电子记账凭证和电子原始凭证。《通知》中界定的电子会计凭证是指单位从外部接收的电子形式的各类会计凭证,即电子原始凭证。因此,本文所探讨的电子会计凭证是指单位从外界获得的、电子格式生成的、以声光电磁为载体传输的原始凭证。但实际工作中存在纸质会计凭证和电子会计凭证概念混淆的误区:纸质会计凭证扫描或拍照转换成的电子影像是否可以视为电子会计凭证进行保存,笔者认为应当按照其原生载体来判断。企业开具的电子发票打印成纸质形式也只能称为电子发票的打印件;而纸质发票扫描成图片也只能称为纸质发票的电子影像。由于电子和纸质会计凭证形式不同,安全保护措施也不同。纸质会计凭证的安全保护来自于纸张防伪和盖章的法律效力,电子会计凭证的安全
保护来自于电子形式的签名、签章和加密等技术。如果混淆上述概念,可能导致电子形式安全保护措施缺失,影响会计凭证数据安全,需加以区分界定。
(二)电子会计凭证的类型及格式
电子会计凭证的类型主要包括电子发票、财政电子票据、电子客票、电子行程单、电子海关专用缴款书、银行电子回单等。由于上述电子会计凭证来自于不同的部门、单位和企业,所采用的文件格式和技术标准差别较大,本文对上述电子会计凭证的常见文件格式和技术标准进行了梳理,如表1所示。
电子会计凭证的格式不同,特性各不相同。安全性方面,带有数字签名的OFD和PDF格式能够防止被篡改,而图片、XBRL格式因没有数字签名等保护措施存在被篡改的可能。计算机可读性方面,XBRL格式文件因是一种直接面向计算机程序语言而可读性最佳。其次是OFD和PDF格式。OFD文档使用可扩展标记语言(XML)编写,便于程序解读,但应用范围有限,支持软件较少;PDF文档属于国际标准,技术成熟,现有软件支持较多,但其内部数据结构化程度较低,对识别软件要求较高。图片格式可读
作者简介:周卫华,中国财政科学研究院副研究员;范家齐,中国财政科学研究院硕士研究生;何华祥,中国财政科学研究院财务处处长。
Financeamp;Accounting
性最差,只能通过光学字符识别(OCR)方式来提取内容,且提取效果取决于图片质量,必要时还需要人工复核。
二、电子会计凭证的数据安全
风险问题
(一)电子会计凭证格式繁杂,易被篡改
除上述常见格式外,理论上任何能够记录经济业务事实的电子原生记录都可以视为电子会计凭证,如各类电子文件、电子通知、电子表格等。由于目前电子会计凭证格式尚不统一,会计凭证电子化实践中不同部门和单位使用的具体格式繁杂多样,造成两个方面的问题:一方面,提高了财务人员和其他员工对会计信息化的接受门槛。大部分会计人员并不具备计算机专业知识,难以判断各类电子会计凭证是否存在篡改可能性或已经被篡改。另一方面,产生电子会计凭证因格式转换导致的数据安全问题。如PDF格式的电子发票转成图片格式会导致PDF文档内置的数字签名被剥离,而图片本身非常容易被修改,导致存在上传篡改后的电子发票图片报销入账的可能。
(二)电子会计凭证依赖在线查验,查验难度大
目前,绝大多数电子会计凭证采用在线查验的方法来验证真实性,即在生成电子会计凭证时就将凭证信息存储在电子底账数据库中,财务人员通过登陆查验平台,将接收到的电子会计凭证信息同电子底账数据库进行比较核对,部分单位依赖于手工录入和人工比对。虽然在线查验在一定程度上解决电子会计凭证的真实性查验问题,但是在当前环境下仍然存在不足之处。
首先,在线查验依赖于电子底账数据库。不同的电子会计凭证不完全具备成熟的电子底账数据库可供查验。如火车票尽管已实现电子客票,但尚未实现电子客票在线查验,只能打印成纸质火车票报销入账;银行电子回单来自不同的银行系统,受限于银行数据的保密性问题也不能够方便地在线查验。另外,在线查验的前提是要接入互联网,在偏远地区等无法接入互联网的情况下在线查验无法实现。
其次,在线查验成本普遍较高。电子会计凭证涉及税务、财政、交通、金融等多个部门,如果全部电子会计凭证都
需要由会计人员或报销人员手工查验,人力成本会非常高,即便通过ERP系统自动查验也需要投入不小的开发成本。即使在入账前电子会计凭证已全部在线查验,入账后还存在数据被篡改的可能。后期审计人员检查电子会计凭证时,仍会面对是否需要重新在线查验的问题,不仅提高审计的处理成本,而且增加审计的检查风险。
最后,在线查验不能作为电子会计凭证数据安全的唯一保证。《会计信息化工作规范》《会计档案管理办法》明确规定,对于外来的电子会计凭证只有在附有电子签名的情况下才可以仅以电子形式入账或归档,而在线查验并不是签名的替代选项。因此,电子会计凭证的数据安全在于合法的电子签名,而不是仅依赖在线查验。
三、加强电子会计凭证数据安全的建议
(一)打通技术标准,统一电子会计凭证格式
繁杂的格式不仅造成电子会计凭证核算入账流程复杂化,也导致各类格式之间转换不便和由此产生的安全风
Financeamp;Accounting
险。对此,笔者建议由财政部门主导,统一电子会计凭证格式,以简化财务工作流程,降低安全风险。目前电子会计凭证的主要版式格式为PDF和OFD格式,主要数据格式为XBRL格式。其中,OFD是自主可控的国家标准,XBRL是财务数据的国家标准。财政部、国家标准化管理委员会于2010年发布XBRL技术规范系列国家标准和企业会计准则通用分类标准,广泛应用于财务信息化实务中。OFD格式采用XML为底层语言编写,与XBRL格式相一致。因此,本文建议打通OFD和XBRL两类技术标准,统一制定适用于电子会计凭证的版式标准和数据标准,推动电子会计凭证的数字化发展。
(二)推广数字签名,实现电子会计
凭证“应查尽查”
目前完全依赖在线查验来确保电子会计凭证的安全性并不现实。因此,有必要使用可以随时随地低成本地查验电子会计凭证,且符合法律要求的保护技术来保障电子会计凭证的安全性,而电子签名技术能够满足这一要求。电子签名的具体实现方法多样,包括基
于生物特征的签名,基于事先约定的口令的签名,基于公钥基础设施(PublicKeyInfrastructure,PKI)的数字签名等(程朝辉和宁宣凤,2020)。电子签名中的数字签名技术可广泛应用于电子会计凭证防篡改和自动验真领域。数字签名是能够代表被签名数据的一段数字
Financeamp;Accounting
串,该数字串只能由数据发送者产生,他人无法伪造。数字签名的流程是:第一步,签名方随机生成一对数字密码(即公钥和私钥),公钥可以被公开,而私钥必须保密,私钥一般存储到专用硬件当中,而公钥需要存储在证书中;第二步,签名方计算代表该凭证原始数据的一串数字,称为指纹;第三步,用私钥对指纹进行加密,得到数字签名;最后将数字签名和含有公钥的证书写入凭证末尾,即签名成功。验证时,先提取出附着在凭证文件末尾的数字签名、公钥,用公钥对数字签名进行解密运算得到指纹;同时再计算凭证原始数据本身的指纹,判断数字签名中的指纹和从凭证原始数据计算而来的指纹是否一致,一致则验证通过。签名和验证过程如图1和图2所示。
数字签名能够有效弥补在线查验方式的不足。数字签名基于数学原理,无需联网即可实现即时按需验证,成本低,可信度高;同时数字签名属于电子签名的一种,符合法规要求。因此,建议推广数字签名技术在电子会计凭证领域的应用。在电子会计凭证入账时,通过数字签名查验与在线查验双验证可最大程度保证电子会计凭证的安全性;在输出电子会计凭证时,电子凭证开具单位对其
进行数字签名,可更好地保护其安全。
(三)规范数字签名应用,堵住电子会计凭证管理漏洞
虽然数字签名能够保护电子会计凭证的安全,但如果使用不当仍然无法发挥应有作用。因此,应用数字签名需要注意以下问题。
首先,使用数字签名要保证证书信任链完整。数字签名依赖一对数字密码(公钥和私钥),由于数字密码本身无法体现签名者的身份。因此,必须通过专业机构签发的证书来证明公钥的所有者。而证书的真实性需要上一级证书证明,由此构成了证书信任链,如图3所示。证书信任链的起点是根证书,根证书通常会预先安装在操作系统当中,被计算机默认信任,因此必须由可靠的机构来签发。只有能够追溯到可信的根证书时,数字签名才是可信的,因此电子会计凭证需附有证书信任链上除根证书以外的所有证书以保证证书信任链的完整。但目前部分电子会计凭证并没有做到这一点,导致无法保证数字签名的真实性。管理证书的组织、人员、策略和流程被称为公钥基础设施。有必要建立完整可控的公钥基础设施以维护证书安全,规范数字签名的签名与验证流程,保护数字签名的真实性,进而保证电子会计凭证的
安全。
其次,如果电子会计凭证需要多方共同填制,则应遵循“一次填制,一次签名”的原则。一方面,《中华人民共和国电子签名法》规定,签名人在签名时必须实质控制签名本身以及被签名的内容,因此各方都需要签名以保证对自身填制内容的实质控制;另一方面,如果只有一个填制方签名,其他各方只能把自己填制的数据统一传输给签名方进行签名,而数据在传输和签名的过程中存在被篡改的风险。因此,各方应当在填制之后立刻签名,在明确法律责任的同时减少电子会计凭证在传递和签名过程中的安全风险。以电子发票为例,电子发票至少需要两个数字签名,税务部门签名用来保障版式文件的安全,销售方的签名用来保障销售数据的安全(谢绒娜等,2019)。但是目前在电子发票的两种常见格式中,PDF格式只有销售方的签名,OFD格式只有税务机关的签名。财政电子票据也存在同样的问题,一些省份的财政电子票据只有财政部门的签名而没有单位财务的签名。因此本文认为,应当完善电子会计凭证管理制度,规范电子会计凭证中数字签名的使用,明确不同签名的效力范围和法律责任,使数字签名真正保护电子会计凭证的安全。B
责任编辑樊柯馨
主要参考文献
[1]程朝辉,宁宣凤.可靠电子签名技术法律规制研究J].中国应用法学,2020,(4):170-187.
[2]谢绒娜,毛卫华,史国振.基于签名认证的电子发票真伪性验证方案川.网络与信息安全学报,2019,5(6):105-112.
[3]周卫华,王柳匀.电子发票智能识别与会计核算问题探究川.财务与会计,2019,(15):66-68.
Financeamp;Accounting
相关推荐
主办单位:中国财政杂志社
地址:中国北京海淀区万寿路西街甲11号院3号楼 邮编:100036 电话:010-88227114
京ICP备19047955号京公网安备 11010802030967号网络出版服务许可证:(署)网出证(京)字第317号