其他
华商原创 ▎万字长文讲透电子签名
The following article is from 洛加加常法 Author 老亮
看到很多大型企业,比如微软、海尔等,都在采用电子合同来签约。那么我们的企业要不要采用电子合同来签约呢?
今天的文章,我们就来聊一聊这个问题。
笔者了解到,电子签名已完全渗透进我们的生活,比如,抢个红包,刷脸支付,指纹解锁等,都要用到电子签名。 但同时,笔者也了解到,不少企业在和客户签约时,对电子签名依然充满疑惑,对签署电子合同尚有犹豫。 笔者还了解到,不少律师同行在向客户提建议时,依然较多地建议客户选择签署纸质的书面合同。 电子签名,正在以一种前所未有的方式影响着我们的生活,但另一方面,我们的对它的认识还处于一个非常模糊的阶段。 笔者深深觉得,有必要与各位朋友一起深入学习电子签名的知识。于是,便有了今天这篇文章。 接下来,笔者将和朋友们一起,围绕电子签名,共同探讨以下三个方面问题: 1. 什么是电子签名?
2. 什么样的电子签名才可靠?
3. 电子签名典型判例研究。
因为每个人的手写笔迹、指纹和印章不同,所以每个人的手写签名、手印或者印章能够与签名人唯一对应。 二,“这是你在签名”。
通常情况下,在协议上签署的是某个人的手写签名、手印或印章,推定签约时是他本人或他的授权代理人在往纸上写下名字、按下手印或者盖下印章。
当然,为了增加“这是你在签名”的证明效力,签约过程还以可以进行公证或律师见证。 与之相对应,用电子签名签署电子合同也必须要解决好前述两个问题。 先说一个问题,到底什么是电子签名? 《电子签名法》第二条规定:“本法所称电子签名,是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。” 根据该规定,电子签名是一种数据,该数据用于识别签名人身份。 众所周知,在互联网上传输数据,很容易发生数据被截获、被篡改等情况。
那么,当一份电子合同签署完毕后,传输给对方的过程中,怎么保证数据安全传输?
这就需要运用加密和解密技术。
所谓加密,就是把明文转换成不能直接阅读的密文形式,解密就是将密文转换成能直接阅读的明文形式。 在金庸小说中,就有一个加密与解密的例子。 《射雕英雄传》中,黄赏博士写完论文《九阴真经》下卷最后一章时,害怕此经落入心术不正之人手,恐怕他持之横行天下,无人能够制得住。
于是,他便将该章节改写成梵文,以中文音译。这便是一个的加密过程,让明文成了读不懂的密文。 这部分“斯里星,昂依纳得”的古怪密文,曾让王重阳苦思冥想,让黄药师闷闷不乐,让傻郭靖力挫欧阳克抱得美人归,也让梅超风、周芷若花容失色、心力憔悴。 而后,一灯大师的天竺师弟把该段古怪文字翻译成汉语,郭靖、一灯、小黄蓉都看得懂了,这便是一个解密的过程。 在互联网时代,网络用户通过公钥和私钥加密和解密数据。那么,什么是公钥?什么又是私钥呢? 百度百科的定义是这样的:公钥(Public Key)与私钥(Private Key)是通过一种算法得到的一个密钥对(即一个公钥和一个私钥),公钥是密钥对中公开的部分,私钥则是非公开的部分。使用这个密钥对的时候,如果用其中一个密钥加密一段数据,必须用另一个密钥解密。比如用公钥加密数据就必须用私钥解密,如果用私钥加密也必须用公钥解密,否则解密将不会成功。 总结上面这段文字,公钥和私钥有如下四个要点:
一、公钥和私钥总是成对的;
二、公钥对外公开,私钥对外非公开;
三、用公钥和私钥都可以进行加密和解密数据;
四、用公钥加密数据,只能用与之唯一对应的私钥解密;用私钥加密数据,只能用与之唯一对应的公钥解密。 额,我想,可能看完这段百科资料,绝大多数小伙伴还是一脸懵X。
我们来举个例子。 假设,衡山公司董事刘正风通过一种算法得到一个密钥对,其中一个是“笑傲江湖”,只有他自己知道。一个是“广陵散”,他和他的CP黑木崖公司的曲洋都知道。只有他自己知道的“笑傲江湖”,便是他的私钥。两人都知道的“广陵散”就是他的公钥。 有一天,刘正风给曲洋发送一条信息,内容是“我不想玩音乐了,我想去故宫修文物”。考虑到该数据在传输过程中,可能被其他人截获,他必须对该数据进行加密。他用公钥“广陵散”对该数据加密,得到加密后的密文“*&……%¥#@”。
这样,即使这段数据被人截获,也因为截获者不知道解密的私钥,无法获得该数据的真实内容。这样,加密后的数据,刘正风就可以放心大胆地上传到互联网上去了。 假设,曲洋收到该信息后,倍感失落,也回了一条信息,内容是“我也不想玩音乐了,我想去故宫开大奔”。
同样,考虑到在数据传输过程中,可能被其他人截获,他得对该数据进行加密。他用刘正风的公钥“广陵散”对该数据加密,得到加密后的密文“&&&……%%¥#¥#”。即使别人截获了该数据,也因为截获者不知道解密的私钥,无法获得该数据的真实内容。
当然,刘正风收到加密数据后,用私钥“笑傲江湖”可以进行解密,得原数据内容。 如前所述,这便是用公钥和私钥加密与解密数据的过程。 前文所述,用公钥加密,用私钥解密。那么,如果倒过来,用私钥加密,用公钥解密,会怎么样呢? 答案:可以验证数据发送方的身份。 还是举个例子。 假设,刘正风给曲洋发了一条信息,内容是“让我们红尘做伴活的潇潇洒洒”。他用私钥“笑傲江湖”来加密,加密后内容显示为“……%¥%……%……%”。曲洋收到信息后,用公钥“广陵散”进行解密,发现收到的信息果然是“让我们红尘做伴活的潇潇洒洒”这句话。
这时候,他会想到,能够用刘正风的公钥解密的数据,必然是用刘正风的私钥加的密。因为只有刘正风知道私钥,他就可以确认这条信息是刘正风发给他的,而不是岳不群冒充刘正风的身份发给他的。 前述用私钥加密、用公钥解密的过程叫做数字签名。简而言之,数字签名,就是用私钥来加密数据,用公钥来解密数据,进而验证数据发送主体的身份。 具体到电子合同签署中,如何确定“这是你的签名”呢?就看加密数据所用的私钥,是不是你专有并且为你所控制。 类比纸质合同签署,私钥可以理解为你的笔迹或你的指纹,笔迹和指纹与你的身份唯一对应,能够表明你的身份信息。当发生纠纷时,双方可申请司法鉴定,对签字、手印或公章进行鉴定。 只是在签署电子合同时,私钥变成数据,该数据与你的身份唯一对应,签名人用私钥加密,对方用公钥进行解密来验证签名人的身份。 不过,不可能每次给不同的相对方发送一段数据,都向对方发送一遍你的公钥,这样交易就会变得很麻烦。
于是,我们便可以把私钥保留在自己手里,把公钥给到第三方机构,第三方机构负责核验传输该段数据的签名人的身份,这个第三方机构便是CA机构。 CA机构可以简单粗暴地理解为派出所,具有为网络用户出具身份证明的功能。一般来说,签名人向CA机构提交身份资料信息(比如个人身份证、企业营业执照等),CA机构通过审核后,会给签名人发放一个数字证书,该数字证书记录了签名人的身份信息和公钥。签名人在传输加密数据时,CA机构会对发送该加密数据的签名人的身份进行验证。 在具体生活中,我们对这个身份验证的过程有所感知。
比如,在签署电子合同时,平台会要求我们再次输入签约密码或者手机验证码(签约密码和登录密码不同),这便是进行签名人身份验证的过程。
又比如,在进行网络支付时,网络支付平台会要求我们输入支付密码(支付密码和登录密码不同),该过程便是对发送数据的用户身份进行验证的过程。 综上所述,通过前述数字签名的流程,便可完成“这是你的签名”以及“这是你在签名”的认定。 前述数字签名的原理,具体到电子签名产品使用过程中,具体表现为:
国内的第三方电子签名服务商都会要求用户进行两步验证——一是缔约主体身份的验证,二是签约行为主体身份的验证。 第一步,缔约主体身份的验证。 用户在注册账户时,电子签名服务商均会要求用户进行实名认证,该实名认证的过程就是:用户向CA机构提交自己的信息,CA机构通过审核后,给用户颁发数字证书。
这个过程便是为了验证缔约主体的身份。 其实,类比纸质合同签署,这一点就比较好理解了。
签署纸质合同的第一步,就是验证对方的身份是否真实。
如果是自然人的话,我们会要求对方提供身份证等文件。
如果是企业的话,我们会要求对方提供营业执照、法定代表人证明以及公司的授权书等文件。 值得注意的是,如果单纯地在APP里手写了一个签名,而没有完成CA认证,这个手写的签名是没有法律意义的。
相反,即使没有手写签名,有唯一的数字证书也能证明身份。 如下图所示,某第三方电子签名平台的电子签名就有这两种样式。
其中,左边的样式便是数字证书,右边是手写签名。其实,手写签名纯粹是为了照顾用户的体验,因为在用户的使用习惯中,签名还是需要手写一遍。
但其实,如右边样式的手写签名,其背后对应的是与签名人身份唯一对应的数据。 第二步,对签约行为主体的身份认证。 传统纸质合同签署时,我们通常会要求当面签署或者快递给对方签署。只要对方在合同上签名或盖章,即可推定是作出签约这个行为的主体是对方当事人。
当然,签署一些特别重要的协议时,为了证明签约这个行为的发生,还特地进行公证或者律师见证,甚至将签约的过程录下视频。 同样,在签署电子合同时,也需要验证作出签约这个行为的主体是对方当事人,这就需要签约双方进行二次身份验证。 这一点,举几个生活中的例子更好理解。 比如,我们去银行申请银行卡,需要向银行提交身份证等资料,还需要进行人脸识别,这便是前述的第一步——进行缔约主体身份的验证。
当我们把卡片插入取款机,准备取款时,我们需要输入取款密码,这便是对我们的身份进行二次验证,用以证明在此时做出取款这个行为的是我们自己,这即是前述的第二步——签约行为主体的身份验证。 又比如,注册支付宝账号并进行实名认证,这个过程是进行缔约主体身份的认证,即前述的第一步。
而进行转账支付时,需要输入支付密码或者刷脸或者刷指纹,这便是为了证明作出付款这个行为的人是我们自己,这即是前述的第二步。 同样,在签署电子合同时,通常都是要求用户输入签约密码或者签约时发送的手机验证码。 通过前述两步验证,即足以证明“这是你的签名”以及“这是你在签名”。 当然,还有一个问题:在签署纸质合同时,特别在意签署时间的问题。在签署电子合同时,也同样在乎签署时间。 通常来说,在每台计算机中,都会记录个人计算机产生电子文件后的时间取决于该台计算机设备的时钟,但此类时钟可以任意修改,因此在普通个人计算机设备上形成的电子文件的时间戳因难以证明不可篡改性,因而便没有一般意义上的证据效力。 但一个国家的标准时间是具有权威性的,每个国家的标准时间由各国权威授时中心管理。“可信时间戳”就是由可信的第三方时间戳服务中心(TSA)颁发的证明电子文件产生时间的电子凭证。 总结一下该部分: 1. 电子签名是一种数据,该数据用以完成电子合同的签署,具有可识别签名人身份的特征。
2. 一套完整的电子签名,包括前述数字签名、CA数字证书、可信时间戳。通过数字签名,我们用私钥加密数据,对方用公钥解密来验证发送数据的主体身份。我们把公钥给到CA机构,CA机构负责核验签约主体的身份。通过可信时间戳,我们可以记录合同签署的具体时间。
3. 在电子签名产品使用过程中,我们通过两步核验法来验证身份信息:
第一步,验证缔约主体的身份,这为了证明“这是你的签名”;
第二步,验证签约行为主体的身份信息,这为了证明“这是你在签名”。
(一)电子签名制作数据用于电子签名时,属于电子签名人专有;
(二)签署时电子签名制作数据仅由电子签名人控制;
(三)签署后对电子签名的任何改动能够被发现;
(四)签署后对数据电文内容和形式的任何改动能够被发现。 解释一下: 该条中电子签名制作数据,即是前文所讲的私钥,所以该条(一)(二)项可以理解为用户签约使用的私钥该由他专有且仅有他控制。
相反,如果用户的私钥(比如签约密码)被其他人知道了,每个人都可以用该私钥加密数据,那么该私钥就没有意义了,该电子签名也不再是可靠的电子签名。 该条第(三)项,说的是对电子签名的改动能够被发现,即可以理解为用户身份信息被改动了,应该能够被发现;第(四)项,说的是“签署后的电子合同”的内容和形式被改动,应该能够被发现。 (三)(四)两点类比纸质合同的签署过程就比较好理解。纸质合同签署后,如果对签约主体的信息或签名进行涂改,肯定能够被发现;对合同文本中的内容进行涂改也能够被发现。
那么,该条(三)(四)项就要求,对数据电文形式的合同文本内容及签名进行篡改,应该能够被发现。 满足上述四条要求的电子签名,便为可靠的电子签名。 目前,就国内的多数电子签名服务商而言,它们都提供了电子合同的存储功能。即用户签署后的电子合同,都生成不可篡改的PDF格式,分布式存储到云端,并且同时保存多个备份。
那么,根据《电子签名法》对“可靠的电子签名”的要求,每个备份之间应该可相互验证,如果其中一个备份的PDF文档被篡改,和其他文档进行比对,便可被发现。 当然,不少企业使用的是第三方电子签名服务商提供的嵌入式电子签名服务,该电子签名模块通过API接口接入该企业的业务系统中,最终所签署的电子合同也保存在企业自身的服务器中。 具体的场景通常是这样的:在某个平台采购商品,平台会要求用户点击“确认”或勾选等方式完成电子合同签署。 当然,大部分原因是大企业的采购系统集成,为了照顾客户的体验,使签约和购买流程更为顺畅。
不然的话,签约的环节就必须向支付环节一样,跳转到第三方电子签名平台的页面完成,然后再跳转回商家。
个别平台的合同条款根本没有完整地展示给用户,甚至存在用户在不知情的情况下,用户即完成了电子合同的签署。 举一个例子。
笔者今年接到好几位朋友的咨询。在某长租公寓平台,我的朋友在签署租房合同时,在未被告知的情况下已与某银行签署了一份为期12个月的贷款合同。
在咨询我的意见后,我让朋友提供该笔贷款的贷款合同,朋友便向该长租公寓平台索要。但该长租公寓平台的反应颇令人失望,其工作人员一直支支吾吾,极力否认存在该笔贷款。
然而,当我的朋友致电该某银行时,银行工作人员告知确实存在该笔贷款。最后,几番周折,终于拿到该贷款合同。
笔者注意到,该笔贷款的资金并没有发放到我朋友的银行账户,而是直接发放到该长租公寓平台的银行账户。
此事件后,我的朋友便不再信任这家长租公寓平台。
笔者检索相关判例发现,该类嵌入式电子签名引发了不少诉讼纠纷,并且在诉讼中,另一方均声称并不知道在电商平台购买过程中签署了电子合同。 综上所述,可靠的电子签名必须满足四个条件:
一、私钥(即电子签名制作数据)必须由电子签名人专有;
二、私钥由电子签名人控制;
三、签署后对电子签名的任何改动能够被发现;
四、签署后对数据电文内容和形式的任何改动能够被发现。
二、《营业执照》复印件;
三、法定代表人身份证复印件;
四、《旅行社业务经营许可证》复印件;
五、《旅行社责任保险统保示范项目保险单》复印件; 由于以上文件均加盖了B旅行社的公章,A公司有理由相信,与其签约的主体正是B旅行社。 第二记实锤,B旅行社在签署该合同前验证了签约主体身份。 A公司提出,用户在F平台上签署合同时,合同的认证方式为接口2.0认证。
即,在签署每份文件前,首先需要用户自行登录平台,然后通过绑定的手机号获取验证码,用户必须上传该验证码后,才能完成该文件的签署。 在庭审前,A公司向F平台申请出具了《文件签署真实性证明报告书》,该报告书可以表明,在签署本案所涉合同时,F平台向B旅行社账户绑定的手机号发送过验证码,并且B旅行社上传该验证码后才完成了该合同的签署。 由此可知,该合同确系B旅行社签署。 对此,B旅行社当庭予以否认,声称其公司并没有崔某这个员工,也没有使用该手机号的其他员工。 为了反驳这一点,A公司亮出了第三记实锤。 A公司证实,在签约前,A公司要求B旅行社通过邮寄方式向其寄送了两份材料。 一是B旅行社的《品牌信息登记表》,二是B旅行社在F平台上开通账户的《企业账户开通申请表》。 该两份材料都加盖了B旅行社的公章,两份材料上留下的联系人均是崔某,其手机号也一致。据此可以证明,崔某确系B旅行社员工,其签约行为是公司的真实意思表示。 双方辩论至此,事实接近真相。A公司称,鉴于B旅行社在F平台上完成了严格的实名认证,且签署合同签时,还通过绑定的手机号进行了身份验证。 因此,A公司完全有理由相信,与B旅行社签署的这份合同系双方真实意思表示,合同理应成立并有效。 最终,二审法院经过审理,采纳了A公司的意见,于2018年5月14日作出终审判决:“一审据此认定书面协议管辖约定有效,一审法院对本案具有管辖权,并无不当。” 从上面的案例可以看出,面对B旅行社的矢口否认,A公司竭尽全力证明了两点: 一是签约主体就是B旅行社自己,而非他人盗用其签章来签署合同;
二是在签署时,作出签约这个行为的正是B旅行社,该行为代表了其真实意思表示。 问题二:嵌入式电子签名的证据效力 【典型判例1】:信达雅诉微软(中国)买卖合同纠纷案【案号:(2018)京04民特420号) 2016年2月25日,信雅达公司与南洋公司签订销售合同,约定南洋公司是经微软公司授权的经销商,同意向信雅达公司提供销售合同附件一所列Office365产品。 信雅达公司法定(或授权)代表人签名为张华明,张华明按照南洋公司的邮件通知和微软公司的邮件引导,登陆至Microsoft批量许可服务中心(VLSC),通过手动输入姓名、职务等信息以及勾选同意选项的方式,签订本案所涉《选择附加协议》。 后,双方因合同履行对簿公堂。 申请人信雅达公司称: 请求人民法院依法确认《微软商业和服务协议》(MBSA)中的仲裁条款无效,案件受理费由微软公司负担。 其理由如下:微软公司所谓的通过电子合同系统完成包括含仲裁条款在内的《微软商业和服务协议》等7份协议的签署,不符合《合同法》《电子签名法》《电子合同在线流程规范》的规定。信雅达公司与微软公司从未就通过电子合同系统签订合同达成一致意见。电子合同未经信雅达公司的电子签名,依法不能成立。 事实上,张华明仅为一名普通员工,是与南洋公司签署合同时的联系人,信雅达公司从未向微软公司出具委托张华明文书,且即便在张华明有委托书的情况下,也不代表其操作能够代替电子签名。 此外,张华明通过电子邮件中的链接进入Microsoft批量许可服务中心(VLSC),并非电子合同签署系统,属于南洋公司的交付行为,并非与微软公司的缔约行为,且微软公司从未在邮件中告知信雅达公司VLSC是电子合同签署系统。 微软辩称: 《选择附加协议》符合合同法规定的书面形式之情形,在中国法律不要求电子合同签订双方在缔约前应另行就签订方式达成一致意见,不要求通过电子合同系统签订的合同必须载明缔约双方电子签名,流程规范本对本案合同并无约束力的情况下,本案所涉合同有效。 张华明系信雅达公司信息部经理,具有采购软件的权限,信雅达公司是否出具授权委托书等,与张华明是否具有签约权限无必然联系。且在本案所涉合同沟通的全过程中,张华明代表信雅达公司与微软公司沟通,故张华明的行为已经构成表见代理,信雅达公司应当接受本案合同的约束。 法院观点:法院支持了微软的观点。
【典型判例2】拼多多诉北京微蓝时代服务合同纠纷案(案号:(2018)沪01民终4868号) 本案的争议焦点:电子合同效力如何认定。 二审法院认为: 首先,从证据规范性形式要件上看,寻梦公司(即拼多多-笔者注)在(2016)沪0105民初23903号案件中已经提供了经公证机关公证的各版本《拼多多平台合作协议》,确保了电子合同的真实性及可靠性,同时排除了电子合同文本及签订时间被单方伪造、变造或篡改的可能。
因涉及寻梦公司的同类型案件较多,为避免诉累,在微蓝公司未提出反证的情况下,该院采纳(2016)沪0105民初23903号案件的公证记录,认可本案《拼多多平台合作协议》的真实性; 其次,从生效要件上看,系争电子合同明确约定:乙方一经选择“我已阅读、同意并接受”选项并点击“同意以上文件并继续”按钮(前述选项及或按钮的具体表述可能会做适当调整),即表示其已接受本协议,并同意受本协议各项条款的约束。微蓝公司若未点击“同意并接受”选项则无法享受寻梦公司平台的各项服务,双方合同关系亦无法建立。 综上,微蓝公司虽对寻梦公司提供的协议版本不予认可,但并未提出反证予以证明,该院对微蓝公司该主张不予采信。微蓝公司在寻梦公司平台上以电子签章形式签订的若干版本的《拼多多平台合作协议》均有效,均对双方产生约束力。
问题三:第三方电子签名平台出具的出证报告效力如何? 【典型判例】:黄磊、庄加海申请确认仲裁协议效力案(案号:(2018)粤08民特36号) 2018年5月30日,庄加海向湛江仲裁委员会申请仲裁,申请依据为其所提供的《借款合同》、《提供担保合同》、《仲裁调解协议》中的仲裁条款。
黄磊认为其与庄加海之间存在借款关系,但双方未签订过任何书面协议也不存在所谓的仲裁条款,庄加海依据不存在的相关协议及仲裁条款申请仲裁违法,因此请求法院确认仲裁条款无效。 被申请人庄加海辩称:双方签订的借款合同均为真实意思表示,不存在无效的情形,且黄磊对该仲裁条款存在无效情形具有举证责任。 为证明其主张,申请人黄磊向本院提交以下证据:
1. 送达回证;
2. 应仲裁通知书;
3. 仲裁申请书;
4. 借款合同、提供担保合同、仲裁调解协议。
被申请人庄加海向本院提交以下证据:
1. 电子合同信息登记确认书;
2. (深圳F网络科技有限公司)资质证书;
3. 文件签署真实性证明报告书。
另,案件审理过程中,庄加海补充提交由F公司出具的《〈文件签署真实性证明〉及F系统说明函》及《证明》各一份。 法院观点: 本院对黄磊及庄加海提交的证据均予以采信。黄磊虽否认庄加海提交证据1及证据3的真实性,但未提供反驳证据,本院对其质证意见不予采信。
庄加海补充提交的《〈文件签署真实性证明〉及F系统说明函》及《证明》系庭后补交未经双方质证,且系由F公司作出的陈述性说明,本院在本案中不予采信。
刘大亮
华商律师事务所
专职律师
主要执业领域为企业常法及数据合规、股权、知识产权等新兴产权法律业务
华商动态 ▎华商律师应邀参与2021年首届数字保险金融峰会并发表专题演讲
华商动态 ▎华商商协会服务中心与深圳市江西商会法律财税金融分会举办系列沙龙
华商业绩 ▎华商律师助力中环股份非公开发行A股股票获中国证监会审核通过
华商业绩 ▎华商助力倩碧控股有限公司收购开封伊万金生物科技有限公司100%股权
华商业绩 ▎华商律师成功中标深圳市市场监督管理局2021-2022年法律顾问项目
华商业绩 ▎华商助力上市公司中孚实业及其母子公司重整计划(草案)表决通过
华商荣誉 ▎华商荣膺《商法》2021年度“卓越综合实力律所(大湾区)”
华商业绩 ▎华商助力深圳市麦捷微电子科技股份有限公司向特定对象发行股票成功发行
大湾区法律服务的蓝海战略——高树主任就新时期律所区域规划答记者问