2020年初以来,由于疫情原因,对企业的商业活动产生了较大的影响,特别是对于各类商务合同签约产生了巨大的影响。为了应对疫情影响,解决远程电子合同签约问题,越来越多的企业开始采用电子签章系统。
与此同时,各地方政府在电子政务及社会服务方面,也采取了一些措施,帮助社会主体实施电子签名,如上海市政府即依托大数据中心推出了一网通办服务。该平台既可以支持电子政务的各种申请文件签署,也支持其他社会主体的电子合同签署与电子签名认证。
而中国证券投资基金业协会也于2020年10月28日发布了《私募投资基金电子合同业务管理办法(试行)》(征求意见稿),推进电子签名在私募基金合同签署中的应用。
在这一大背景下,诸多电子签名服务机构,获得了大量的商业机会,行业发展迅猛。然而,相对于CA机构和其他电子签名解决方案技术服务商,电子签名(签章)的应用机构(企业用户)往往在技术和对法律问题的理解方面有所滞后。因此,借助专业的律师对于电子合同与电子签名的应用方案进行合规检视,是电子合同与电子签名应用方案发挥其应有法律效力的重要保障。
电子签名(签章)问题,是在线办公、在线交易无法回避的一个基础性问题。从法律概念来讲,电子签章规范的称呼应为“电子签名”,但由于在实施过程中,对于企业用户,通常从交易习惯角度采用签章概念,包括在电子文档展示过程中模拟出印章的图样,故“电子签章”也经常被用作电子签名的同一概念。
对于电子签名的概念、用途及常见场景、法律效力等问题,已在笔者的多篇文章中体现[1],此处不做赘述。
电子签名的运用不是孤立的,电子签名通常被应用于各种在线交易场景中。而适用电子签名的在线交易平台或者机构,采用何种电子签名应用方案,对于其交易的便捷性、交易数据的可靠性、争议解决的可支持性,均有直接的影响。本文旨在厘清电子签名应用方案中常见的误区,并对电子签名应用方案的合规给出具有操作性的建议。
电子签名是一个静态的概念,我国《电子签名法》对于电子签名的定义也比较抽象。电子签名发挥法律效力,需要与相应的电子签名应用方案相匹配。
所谓电子签名应用方案,是从电子签名支持在线可追溯交易机制出发,对于在线交易及电子合同签署的全流程如何与电子签名结合进行规划,从而实现法律上所说的数据电文的可靠性与不可篡改性,为在线交易与电子合同的效力提供支撑。
电子签名应用方案是网络经营者在线交易流程最重要的基础工程,这一方案的合法合规性关系到企业电子在线交易及电子合同目的是否能够实现。
一般而言,电子签名应用方案的要素包含以下几个方面:
(1)签名制作证书(数字证书)的赋予方式
签名制作证书,即通常所说的数字证书,以何种方式赋予实施电子签名的主体,对于电子签名的认证具有基础性的意义。这一环节,可以理解为将电子签名与制作数据及电子签名人可靠地联系起来的数据电文或电子记录。电子签名人以某种数据电文方式实施了电子签名,但是由于数据电文与做出电子签名的主体相互之间的关联性如何证明,却无法由数据电文本身加以证明,而需要由独立第三方出具数字证书对此过程实施证明。按照法律规定,认证机构发放签名证书,需要核实主体的身份。因此,如何赋予签名主体数字证书,将是电子签名方案中最为核心的环节。
(2)电子签名的介入环节
电子签名是与特定行为紧密联系的,签名主体在线做出某种活动的过程中,均存在确认或发出数据电文的行为,与线下签署纸质合同的过程不同,在线交易通常不仅仅依靠一份合同文本证明当事人的意思表示,而是需要由一系列行为的汇总方可证明当事人的意思表示[1]。电子签名在不同环节介入,对于交易证明发挥的作用并不相同。如果电子签名服务机构(CA)或其授权机构(RA)给予的电子签名解决方案并不完整,则可能会降低电子签名在诉讼或仲裁过程中的证据效力。
(3)第三方数字认证机构(CA)的选用
第三方数字认证机构,通常指依照《电子认证服务管理办法》取得《电子认证服务许可证》,具备为电子签名数据签发数字证书的专业服务机构。数字认证机构是电子交易及电子合同的基础设施,也是最终为电子签名行为提供证明的第三方机构。选取数据认证机构,需要核实其《电子认证服务许可证》的获取情况及许可证的有效期等要素,从而判断其认证服务是否符合法律的规定。
(4)第四方服务机构的选用
第四方服务机构,一般是指为CA提供数字证书代理服务的授权机构。在有些场景下,此类机构还会提供电子数据及电子合同存证服务。第四方机构通常是指不具备电子认证服务资质的服务方案提供商,因其并不具有电子认证的服务许可,因此,不能直接提供认证服务,而需要与第三方电子认证机构合作。
对于在线经营的企业而言,在搭建电子签名(签章)应用方案过程中,进行电子签名应用方案合规检视有积极的现实作用。电子合同或用户签署的其他电子化的文件,是在线经营主体业务流程的重要支撑文件,也是发生纠纷时进行举证的基础。而电子签名方案是否合理?是否足以支撑上述目标?则是电子签名应用方案合规检视的基本内容。
总体而言,电子签名应用方案合规检视的主要作用如下:
按照当前市场通行的做法,企业在电子签名实施过程中,通常会涉及用户身份验证、身份识别、文档签署、其他节点性文件的点击确认、文档保存、文档调用等多个环节。上述环节中,既有网络经营者自行实施的环节,也有通过第三方专业服务机构实施的环节,共同构成了电子签名应用方案。
由于不同环节实施成本、实施主体、实施的技术要求不同,从而存在不同的法律风险。对于网络经营者而言,对上述不同环节采用的法律风险做出甄别,有利于构建更加可行的方案。
实践中,网络经营者有时会认为,采用了电子签名方案就一定会取得预期的效果。但事实上,并非如此。不同的电子签名方案,由于其技术措施、实施环节的不同,最终的法律效果上存在一定的差异,企业对此应有正确的预期。
通常而言,用户体验、实施成本和预期效果有较强的关联性。在当前的技术环境下,用户体验的便捷性与电子签名实施方案的可靠性,存在一定的负相关,如果要获得更为可靠的签名方案,可能会以牺牲用户体验为代价。而实施成本则与预期效果正相关,即,采用成本较高的签名方案,一般在法律上的可靠性也更强。
因此,电子签名应用方案,并不只是一个法律上的可靠性判断,而是需要综合成本、用户体验等各种因素,合规检视就是帮助经营者建立适当的预期,从而帮助经营者综合各方面信息,选用不同的签名应用方案。
选用怎样的电子签名应用方案,不仅是一个法律问题,也是一个商业利益的判断问题。法律上可靠,且被司法接受的电子签名应用方案是存在的。但是,由于身份认证、点击签约、其他交易环节等各个流程之间存在着一定的印证关系。如何根据交易环节的风险程度、交易违约的可能性等因素,合理选用电子签名应用方案,对于网络经营者而言,是成本与法律认可性之间的平衡问题。
由于电子签名的技术性、复杂性,以及法律及相关规则的抽象性,在电子签名应用方案实施过程中,容易产生一些误区,对于签名的有效性、签名的证明效力带来一些负面影响。主要的误区包括以下几个方面:
《电子签名法》第二条规定“本法所称电子签名,是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。
按照这一概念,电子签名是用户持有第三方数字认证机构签发的数字证书,并通过证书对其发送的有关数据电文进行签署(哈希加密)。
然而,对电子签名证明效力的理解,却不宜按照传统合同的视角进行理解。传统合同以完整文本加盖印章或签名作为成立(生效)的标志,通常是一个签署行为产生完整的法律效力。但是,电子签名的“签署”行为,却未必能够产生有效的合同。因为电子合同的签署有时是一系列过程的组合,如有些情况下,为了用户体验,可能将电子合同的整体拆分为专用条款、用户告知条款等不同的部分,用户浏览确认有关文件,并对最后的文件进行签署,从合同法的角度看,已经完成了签约。但是从电子签名的证明角度,可能其中只有部分数据电文经过了电子签名过程,因而对合同效力的证明产生瑕疵。
从法律角度看,电子签名最好应用在所有的交易环节,从用户注册,到点击确认交易行为,再到支付行为等。这种全流程运用电子签名的做法固然能够保障交易安全,但是在实际操作中,却很难被采用。比如在用户注册环节,如果以电子签名方式来实施用户注册,则用户首先应从第三方数字认证机构处获取数字证书,然后再实施相应的登陆和实名注册。这本身就会增加交易的环节,降低用户体验,导致用户流失,甚至增加了网络运营者的成本[2]。
按照现有的交易惯例以及司法裁判的案例,通常采用多要素交叉验证方式所实施的用户实名验证,即可以证明做出用户注册行为主体的身份。并且,电子化注册行为,虽然也属于以数据电文方式做出的法律行为,但由于注册的行为本身并不直接涉及交易内容,因而这一环节也可以不采用电子签名予以证明。
证书的效力瑕疵主要体现为以下几个方面:
一是证书发放机构的资质问题,如发放证书的机构并不具有国家认可的电子认证服务资质。《电子签名法》规定,提供认证服务,应经过国务院信息产业主管部门许可。因此,资质问题将是影响电子签名效力的关键因素之一。
二是电子签名制作证书持有者的身份验证问题,电子认证机构(CA)对于签名用户身份验证的方式包括自行认证和授权第三方(RA机构)验证。经过身份验证后,发放数字证书,从而证明持证人的身份以及证明签名者的身份。CA自身及RA机构的身份验证过程是否严谨,决定了数字证书是否能够起到相应的证明效力。
对于电子签名(签章)的应用机构而言,通常会从专业的CA机构或RA机构获取电子合同与电子签名的综合应用方案。然而,上述应用方案是否可以达到预期的法律效果,是否足以获得司法机关对于效力的认可,是否可以达到法律风险控制的需求,则需要专业律师帮助电子签名应用机构进行把关。包括协助企业与电子签名服务机构进行谈判,以及对方案进行整体的检视和判断。
电子签名应用方案的合规检视,本质是对签名应用方案在特定企业的商业模式、业务流程中适用的可行性、匹配性与合规性进行整体的检视。
签名应用方案应该是针对整个业务流程的全面解决方案,正如本文前面所述,电子合同的签署是一个动态的过程,而非简单的一个文本签署动作。用户身份验证、阅读各种提示与说明,都可能成为证明电子合同有效性的必要环节。因此,电子签名应用方案应与企业的业务流程匹配,能够在法律证明效力上支撑企业的业务流程与商业目标。
企业适用电子签名方案,目的是解决特定业务的电子合同签约、存证、举证等法律证明问题。因此,需要对特定业务的流程进行熟悉和分解,从而确定哪些关键环节需要电子签名应用或电子数据存证。对于业务流程与电子签名应用方案匹配度的判断,无疑是建立在对业务流程的特征、作用、风险管控需求熟知的基础之上的。
律师作为电子签名方案应用企业的顾问,根据对企业的业务流程及电子签名应用方案的深入了解,对方案的风险控制状况做出客观的分析,帮助企业建立合理的法律效果预期,并提出对方案的优化建议,以有利于企业实施电子签名(签章)方案。
通常而言,电子签名应用方案提供商包括持牌的电子认证机构(CA)和其他服务机构。两种方案下,参与的主体并不相同。
在CA机构直接提供方案的情况下,整体解决方案所涉主体会相对简单,包括CA机构与电子签名应用方,相关的合同关系也会比较简单。CA机构提供用户验证、签名证书发放、数据电文及电子合同存证等一揽子服务。
在其他服务机构提供电子签名解决方案情况下,由于证书需要CA发放,因而,整体方案的提供方主要是完成用户的验证和数据电文及电子合同存证,而签名证书或数字证书的发放则仍需CA机构完成。
律师需要根据不同的模式,充分考虑到参与主体不同而可能给实施带来的差异,并就实施中的法律与合规问题进行沟通。
在电子签名(签章)日益普及的今天,企业都在逐步建立自身的电子签章系统。而电子合同、电子签约流程、电子签名方案应用等事项,具有高度的专业化特征。引入专业律师作为企业的顾问,协助企业与电子签名服务商进行沟通,帮助企业规划签名应用方案,并对其合规性进行判断与完善,有利于企业顺畅地完成在线化转型。
注释:
[1] 《电子合同的信息成本分析—基于经济学的立法路径研究》,《情报杂志》,2006年第12期
[2] 《银行金融机构远程签约法律问题分析及建议》,《金融科技时代》,2020年第4期。
热门跟贴