为什么要讨论电子签章的合法性?
在推广落地电子签章项目,包括电子合同项目时(本质还是电子签章只是产品的形态不一样),客户总会首先提问这个问题,也就是看是否合规,包括法律、行业监管、头部企业案例等各个层面。如何向用户一一说明?
电子签章的法律有效性主要依赖电子签名法第十三条和第十四条关于可靠电子签名的定义。
第十三条 电子签名同时符合下列条件的,视为可靠的电子签名:
(一)电子签名制作数据用于电子签名时,属于电子签名人专有;
(二)签署时电子签名制作数据仅由电子签名人控制;
(三)签署后对电子签名的任何改动能够被发现;
(四)签署后对数据电文内容和形式的任何改动能够被发现。
当事人也可以选择使用符合其约定的可靠条件的电子签名。
第十四条 可靠的电子签名与手写签名或者盖章具有同等的法律效力。
法条其中提到的可靠电子签名是判断电子签章的数据电文是否能够作为证据被采信的核心点。
目前主流产品的从技术上是否能够严格符合其四点要求呢?
第一:对责任主体的身份验证
目前出现纠纷和败诉最多的就是该点,即如何进行对责任主体的身份验证。目前主流的身份验证包括面向个人和面向企业,个人的身份验证主要通过与公安的身份数据进行比对,企业的身份核验主要通过与工商的企业身份数据进行比对。
从是否能胜诉的角度看,验证的方式越严格成功率越高,但很严格了体验较差、成本较高。
所以一般会根据应用场景选择较为匹配的验证方案:
面向金融银行或者证券等高风险行业,验证个人通过核验身份证信息+人脸识别方式,企业则采用电子营业执照核验方式。
面向人力资源签署劳动合同,验证个人通过核验身份证信息即可。
第二: 责任主体是否拥有签名工具的唯一控制权
这部分核心控制点为进行签名的密钥是存放在什么地方,如何来使用的。
目前大部分平台采用了多种方式,有云密钥托管、手机盾(密钥在手机中)、U盾(密钥在USBkey中)等,其中最传统也是最安全是U盾的方式,本质是签名的密钥在责任主体处保管,使用时需要同时拿出U盾和输入PIN码才能使用。手机盾是依靠密码算法的支持,能够进行密码的拆分和签名的组合,这样部分密钥在责任主体处保管,同时也不要携带额外硬件介质,但手机的管理就又面临其它的挑战。云密钥托管也是一个重要的创新,在目前云环境下的密钥应用是一个重要的研究方向,面临两个挑战:1、密钥如何在云端管理;2、密钥如何进行授权使用。最初的电子合同云密钥使用时,还是相对简单的软密钥存储和短信验证码授权使用,最近的云密钥托管也结合了云密码机、零信任、云原生安全等安全技术。
这些技术是如何运用,以及有哪些日志记录或者数据存证都是未来出证时的重要证据。
第三:如何核验或者可视化的核验签名结果和数据电文
如何验证或者核验一份签过名的数据电文,是一个令人头疼的问题,其问题在于以下:
1、密码算法国产化,导致流行的国外软件无法识别算法,这样可能系统自带的软件打开签过名的PDF文件后,点开签名验证控件或者点击签章出现的验证对话框显示无法验证签名或者签名有问题,假如替换为国产化软件,则其中的售后技术支持成本相对较高
2、假如出现一个公共的权威的核验平台提供关键要素核验,其中的困难也非常多。没有归口的国家的公信力机构出面;目前市面出现了多家电子合同厂商使用了国内的各类CA证书,假如都通过验证协调各方是费力不讨好的事情;是商业化还是事业公共服务如何定性,因为后续还可能牵扯纠纷处理和诉讼等司法相关的内容。
所以现在市面上都是各自为政,谁提供的电子签章、电子合同服务最后就由谁来提供核验、验证服务。
总之,为了企业客户的数字化转型需要,在电子签章的应用中,提供灵活的符合法律要求的产品和解决方案,也是很考研各厂商经验。
多森老师CA大厂从业多年,熟悉各类证书应用场景及相关密码产品。
