然而,第三方电子签名服务商的技术水平良莠不齐,导致近些年电子签名败诉案例频发。比如在北京市高级人民法院“(2021)京行终905号”“薛某某”诉“工信部”行政诉讼案件中,平安科技公司使用北京某CA公司颁发的数字证书用于“银行与薛某某”之间的法律文件签署,而事实上“薛某某”从未向北京某CA公司申请过数字证书,但平安科技公司却以“薛某某”数字证书生成了“薛某某”的电子签名,并基于该电子签名向“薛某某”主张权利;为此“薛某某”将平安科技公司及北京某CA公司的违规做法向工信部进行了投诉,由于工信部未能恰当履行监管职责,“薛某某”进而向法院提起行政诉讼,最终北京高院判定工信部败诉,就是典型案例之一。
电子签名、电子合同兴起的同时,让不少企业和个人疑惑的问题也随之出现:如何判断自己所应用的电子签名是真正可靠的电子签名?如何确保自己签署的电子合同是合法有效的呢?
以下是本次访谈全文。
Q1:相比于纸质合同,电子合同在法律效力层面有什么基本条件?
杨浩然律师:无论是纸质合同还是电子合同,两者都是合同,都需要符合《中华人民共和国民法典》关于民事法律行为效力的规定,即满足“行为人需具有相应民事能力、合同签署为双方自愿的真实意愿表达、合同内容合法不违背公序良俗”这三个基本要素。其中“合同签署为双方自愿的真实意愿表达”往往是合同纠纷的主要形式,这也是电子合同服务商所必须要从技术上保障的基本能力。
Q2:您处理过许多合同纠纷,怎么看待纸质合同和电子合同的法律效力?
杨浩然律师:目前来说,合同纠纷大多数出现在纸质合同上。从案件共同点来看,纸质合同发生纠纷基本都缘于遗失被盗、私刻公章、复印伪造、篡改合同等几种情况。而通过第三方电子合同订立系统、采用可靠电子签名技术的电子合同则基本没有这些情况发生,这里特别强调的是只有“采用可靠电子签名”签署的电子合同才能与手写签名或盖章具有相同的法律效力,也就是说电子合同比纸质合同更加安全可靠。
Q3:究竟什么是电子签名?可靠的电子签名技术需要具备哪些条件?
然而,虽然可以称为电子签名的方法有很多,但并非所有的电子签名都是可靠的电子签名。《电子签名法》在定义了“电子签名”之外,又特别界定了“可靠电子签名”,根据该法第13条的规定,同时满足如下4项要件的才能构成“可靠电子签名”:
电子签名制作数据用于电子签名时,属于电子签名人专有;
签署时电子签名制作数据仅由电子签名人控制;
签署后对电子签名的任何改动能够被发现;
签署后对数据电文内容和形式的任何改动能够被发现。
并在第14条明确规定,只有“可靠的电子签名”才能具有等同于传统纸质签字盖章的法律效力。
Q4:您能通俗化解释一下可靠电子签名的四个必备条件吗?
周晓华:简单归纳一下,可靠的的电子签名需要满足四个要素,即“专人所有、专人使用、签名未改、原文未改”。
“专人所有”是指:以数字签名技术为例,生成数字签名的数字证书的私钥必须有签名人本人持有,而不能被别人持有;
“签名未改”是指:针对某份电子合同生成的电子签名经验证未被篡改。这里有两层意思,一个是电子签名是可以验证的,二是电子签名经验证是未被篡改的。
“原文未改”是指:某次电子签名完成之后,经验证,原文内容未被篡改。如果一份电子合同中有多个电子签名,从技术上来讲,我们是可以分别验证每一次电子签名之后原文内容是否有变化的。
Q5:关于数字证书、CA机构,您能再给大家多讲解一些知识吗?
周晓华:可以的。前面我提到过,电子签名有很多实现方式,使用数字证书的签名就是其中一种,即数字签名。根据全国人大《电子签名法释义》第十六条的解释,数字签名是指通过使用非对称密码加密系统对电子记录进行加密、解密变换来实现的一种电子签名。
按照国家密码管理局颁布的GB/Z001《密码术语》标准第2.113条,“数字签名是签名者使用私钥对待签名数据的杂凑值做密码运算得到的结果,该结果只能用签名者的公钥进行验证,用于确认待签名数据的完整性、签名者身份的真实性和签名行为的抗抵赖性”。
以上两项规定从不同角度,明确给出了“数字签名”严谨的法定含义,结合这两个定义可以简要概括出,“数字签名是基于非对称密码技术的一种电子签名方法,签名者使用私钥对数据电文进行签名,签名结果可以使用私钥对应的公钥进行验证”。
“公钥”和“私钥”是密码学的一个基本概念,由相互之间具有特别数学关系的一组“公私钥对”组成,公钥与私钥的关键特征在于“外观上两个密钥完全不同,但使用私钥进行的运算结果,可以通过公钥进行验证”。因此,公钥通常向大众公开,而私钥仅由拥有者秘密持有;GB/Z001《密码术语》中也对此明确规定“私钥是非对称密码算法中只能由拥有者使用的不公开密钥”,“公钥是非对称密码算法中可以公开的密钥”。当私钥拥有者使用私钥对信息进行签名运算后将信息公开,所有接收到签名信息的人都可以使用公开的公钥,验证签名是否是私钥拥有者所签。因此,谁持有私钥,谁就可以进行数字签名。
再来说CA机构。其实无论是公钥还是私钥,表现出来的都是计算机生成的字符串,字符串没有语义不具有可读性,单纯通过字符串去判断某一公钥对应的是何人,显然是不可能的,因此,为了能够将某一公钥字符串与特定人的身份建立关联,需要有专门机构对此进行管理,这种机构就是《电子签名法》第16条所称的“电子认证服务提供者”,俗称“CA”机构,CA机构负责对某一公钥代表何人进行认证,并基于认证颁发“数字证书”。
Q6:目前您公司应用的电子签名主要有哪几种类型?
周晓华:其实,从上面的讨论中,我们认识到,当前,全国乃至全球范围内,最常用、最被认可的电子签名技术就是数字签名。而数字签名的安全性、可信度完全取决于数字证书相对应的私钥的存储和使用是否是数字证书所标识的持有人。如果私钥信息存在可能被他人持有或使用的可能性,那使用该私钥签署的电子合同就会存在争议。
目前,我们在产品设计时,将私钥安全放在第一位,同时兼顾特殊签署场景的用户体念,采用了以下多种电子签名方式:
Ukey签署。Ukey是一款外观上类似于U盘、用于存储私钥、实现数字签名等运算的密码设备。用于签名的私钥存储在Ukey设备内,在需要签名时,将Ukey插入pc机,用户凭借自身设置的PIN码,调用设备内部私钥完成签名。签名全过程是在设备内部完成的,私钥自始至终都由设备持有者持有,根据《电子签名法》第十三条的规定,电子签名制作数据用于电子签名时始终由用户唯一控制,是可靠的电子签名。
一信盾签:分为手机盾签及PC盾签,其在私钥生成时,在移动端/PC端设备和服务器端系统中分别生成存储相互独立的私钥段,私钥不会完整出现;在数字签名时,移动/PC端设备、服务器端系统使用各自保存的私钥段完成独立的数字签名,并组合生成完整的签名数据。随着移动互联网时代到来,针对U盾易丢失、便利性、兼容性等缺点,一签通自研的一信盾签应用而生,无需任何附加硬件,满足可靠电子签名第1)、第2)条的要求,又可随时随地进行电子签名,合法有效安全更便捷。
其他一些临时性签署场景,比如物流签收单、人力资源、入驻协议等等签署行为存在争议时,造成的损失不是很大的情形,也可以采用基于云证书、事件证书的电子签名方式,一般采取“实名认证+电子签名”。“云证书”、“云印章”本质上是一种“私钥托管技术”,签名人被我强迫把自己的签名私钥托管到平台上,然后在使用时又要通过一系列的实名手段来证明该签名是其本人所为。这个情形有点类似于:我们把传统的物理公章托管到公证处,然后每次到公证处去盖章,为了证明这个盖章是其本人盖的,公证处在每个盖章的房间里加装高清摄像头,当出现纠纷时,需要把所有与本次盖章有关的影像调出来,用以证明是其本人盖的章。
Q7:用户签订了一份合规合法的电子合同,一旦后面遇到纠纷,电子合同能当证据使用吗?法院是否认可呢?
当然,电子合同也并不是可以在任何案件中作为证据使用,在涉及婚姻、收养、继承等人身关系、涉及停止供水、供热、供气、供电等公用事业服务、法律、行政法规规定的不适用电子文书的其他情形,电子合同就不具备法律效力了。
Q8:在具体在案件中,电子合同怎样才能快速、顺利作为证据被法院采纳呢?只依靠公证处鉴定吗?
不过从实际情况来看,公证应用在数字签名、电子证据领域,很难独立进行鉴定。这主要是因为公证处的公证员绝大多数不是技术专家,也不具有技术鉴定的专业能力和专业资质,所以一般来说公证处都会联合第三方电子合同平台,基于第三方电子合同平台提供的技术鉴定报告来进行公证。也就是说,第三方电子合同平台提供的技术鉴定报告是否可靠可信,将直接决定电子合同作为证据的证明力。
这意味着电子合同、电子数据只有保证是原始的、未被更改的,才被视为法律证据。那么如何保证该电子数据是原始的、未被更改的?这就需要第三方平台采取一定技术手段有效地保管和保存电子信息。简单来说,就是通过做好电子合同的存证、固证、出证及在线司法仲裁等途径来确保电子数据作为证据的法律效力。
Q10:第三方电子合同平台具体如何实现存证、固证和出证呢?
再说一键出证。一签通一键出证服务也是基于一签通云保全平台开展。用户的电子数据可追溯、可核验、证据记录完整,都支持一键出证,出证报告形式包含原文认证报告、数字证书报告、意愿认证报告、行为审计报告、出证总览报告等五大证据报告。而在具体实践中,可靠的第三方存证平台、公证处出具的公证报告都已为法院所采纳。
Q11:对于电子合同的法律效力,您认为最重要的影响因素是什么?
周晓华:电子合同的法律效力问题实际上是电子合同作为证据的证明力问题,经过可靠电子签名的电子合同本身就具有法律效力。因此,这个问题的重点就在于“是否是可靠的电子签名”。
前面有说到,可靠的电子签名需要满足四个要素,即“专人所有、专人使用、签名未改、原文未改”。以目前行业里有些平台选用基于云证书、事件证书的电子签名方式来说,这种方式本身就存在很大的问题,极大的降低了电子合同作为证据的证明力,影响到这份电子合同的法律效力,造成使用方的司法困扰。这是因为,云证书是存在服务器上,事件证书本质上也是云证书的一种,而且是平台依据主体信息临时分发,即时销毁,其电子签名的私钥都是没有掌握在签约人手上,而是在平台方手上,所以无法真正保障签署行为是平台方的完成,还是实际签约人自身的真实意愿,这就导致存在“专人所有、专人使用”的证明力问题。像北京某CA的一些败诉案例就是这方面的典型案例。
而以“安全签署”为理念的一签通,在电子合同业务上一直坚持选择UK证书或一信盾证书形态的电子签名方式,主要基于两点考虑:
一是这两种方式都以受控的实物载体来保障私钥由签名人本人所持有,真正做到“专人所有”。这两种也是目前国内像银行、金融机构、招投标、大型企业集团等对安全性有高要求的行业机构所采用的安全级别最高的电子签名方式。
二是这两种证书形态存在多重密码或物理保护,外界的他人无法获取到其私钥,真正做到“专人使用”。不法分子无法冒用其身份进行电子签名。
周晓华。我简单说说中联重科的案例。2018年11月22日,安徽省芜湖市三山区人民法院将原告中联重科融资租赁公司提供的电子合同作为判决的决定性证据,一纸判决书宣布了中联重科胜诉。据判决书显示,2017年9月11日,原告中联重科与被告张某等签订融资租赁电子合同,但在还款时,当事双方出现争议纠纷,被告方拒绝还款。随后,中联重科提交了安证通出具的《一签通电子文件验证报告》,验证签章有效且文档自完成电子签章后内容完整未被篡改,证据经法院审查后予以认定,最终判决被告方依法偿还相应债务。
Q13:最后一个问题,对于很多还在对电子合同持观望或者犹疑态度的人,两位想和他们说些什么?