>>返回主页
北京数字认证股份有限公司产品专家蔡京露:可信是电子合同信任的基础

2018-08-14 15:00

蔡京露.png

  大家下午好!今天论坛的主题是《电子合同信任服务》。所以,我谈谈信任的话题。

  毋庸置疑,信任对于我们人类社会,对整个人类文明是非常重要的,可以说信任是整个社会每个个体去团结办公的基础。怎么定义信任呢?信任是一种安全感,信任是我们对未来预计发生的事情的确定性的感觉。但是,很遗憾的是,无论是在传统的现实的世界,还是在电子合同这样一个网络虚拟世界,或者数字世界中,信任往往都是缺失的,信任不会与生俱来。所以,我们都需要付出很大的成本去构建信任,做很多的事情去构建信任。比如我们需要买保险,因为我们不是很放心未来的预期。我们可能缺乏安全感,所以可能需要增加安防方面的投入。包括电子合同,每份电子合同都进行了公正,但是每一份合同都需要公正吗?这恰恰表明合同的使用者用户对电子合同是有一定的不放心的。信任的缺失会影响电子合同服务的应用推广。

  举两个例子,E-Mail合同很早在中国兴起,但是很少有客户使用,因为它不足够安全、可靠。另外一个例子,其实早在2012年,当时美国NBA的一个巨星,用电子即签名的签署合同方式,签署了9800万美金的劳工合同,那时候这种电子合同签名方式在中国无法推广,为什么?因为支撑美国电子合同电子签名应用的是依赖于信赖体系,而这种信赖体系在中国并不具备,中国包括欧盟需要更高信任等级、更高安全等级,包括更高信任标准的方式实现电子签名。

  从第三方研究报告中我们也证明这个观点,研究报告中显示客户或者用户对于电子合同应用中最关心,或者影响他们使用电子合同的制约因素是什么?是信任担忧。比如用户担心他们的合作企业不信任、不放心电子合同,担心使用电子合同以后合同的信息内容会泄露,担心因为电子合同而产生法律的风险,无法解决,担心合同内容被篡改。所以说,信任问题是企业选择电子合同里面最大的担忧。而通过我们和客户的交流,我们发现这种最大的担忧具体落实是在法律效力方面。

  怎么解决电子合同的信任问题呢?其实主要是三个方面。第一,身份的问题。电子合同的应用首先需要确保合同签署人的身份,真实身份是能够可证明的,身份不可以仿冒,事后也不可以抵赖。第二,签署行为与签署内容。需要确保一个签名他人的签署行为可以追溯证明,事后能够证明签名人签名了这份电子合同,同时电子合同的内容,签完名以后是不可以修改的,是保证客观真实的。无论身份还是签署行为,往往都采用技术手段来保证。具体服务商提供的技术是否安全、合规,是否达到上面所说的这种效应呢?这是第三个,就是采用的方法、技术手段要合法合规,符合技术的安全性的要求。

  怎么实现这三个层面?主要通过三条:第一,合法的身份认证。第二,签署行为与内容。第三,通过安全合规的合同电子签名产品。

  第一,签名人身份证明,身份的真实性是电子合同信任的基础,这里需要权威、可靠具有公信力的第三方电子认证服务机构,刚才提到CA机构进行电子验证服务。《电子签名法》第18条规定工信部作为电子签名服务的主管部门,对此进行审查,电子服务许可证其实就是第三方认证机构开展包括电子合同,电子签名在内的身份真实性、合同签名的有效性的这样一个证明的合法的一个牌照。

  在具体的电子合同签署应用中,我们还看到物理世界中的实体的个体自然人,或者企业组织,他们对应到电子合同中的网络身份,是通过第一步和CA机构来见证用户签名人的身份,这里面刚才前面嘉宾举了很多例子,比如公安部身份证的核实、银行卡三要素、四要素、手机号等,通过这些方式核实当前签署人或者签署组织的身份,通过此身份颁发他的身份凭证,这个身份凭证就是首字母的输入。然后电子交易去核验的时候来验证当前电子签名的身份。

  这里可能有一个问题,进行网络的身份合适,以及颁发凭证,从技术角度来看,很多的第三方服务机构都可以做这样的事情,而且实际应用中,很多担子合同服务商都跟CA合作,或者替代CA做身份认证,一个标识凭证颁发的工作。这种跟我们刚才所说的CA做这个事情是否等同呢?其实信任是需要支撑的,作为电子合同的亲属双方也好,作为电子合同依赖的第三方也好,他们信任电子合同中的身份,凭证中的真实身份,这里背后一定需要具有可靠公信力的支撑,一定需要有公权力代表的这种机构,在后面进行主管、监督和背书。区别于普通的身份服务提供商,CA机构的电子认证服务是经过工信部国密局严格审查的,包括我们提供身份的核实服务,如何颁发凭证,如何保证凭证颁发过程中的安全可靠等一系列规则是通过工信部国密局的背书进行核实。这里是否有专业的团队,安全团队,技术团队,审计团队在这里要进行审查,包括整个系统设施,这些都是通过严格审查以后。可以说CA机构在提供电子认证服务里面,其实背后通过了一系列的国家权利机构,从服务角度、技术角度确保这些服务的可靠安全,而这些一般的合同服务商,或者一般的服务者其实这块是需要去额外证明的,而不像CA是天然这样一个身份。

  所以,在电子合同签署中,CA中心所颁发的数字证书其实是电子合同法律效力与责任证明的核心,CA的证明承担的是电子合同的合法记录。

  第二个问题,签署行为和签署内容的保护,这里面有批判性的技术。刚才已经有专家列举了《电子签名法》第14条和13条。13条里面已经提到了像电子签名制作数据,这几点要求跟签名技术有什么关联关系呢?签名技术为什么符合这几点呢?第一,电子签名数据属于签名专有,在签名中证书私钥以及密码机制,签名人使用证书、私钥完成签名。第二,由签名人控制。因为私钥是在安全的电子签名设备中,仅有签名人所掌控,无法到处、复制、窃取,所以确保每一个签名斗争肯定由签名人自己去控制、使用的。所以,保证了签名时的电子数据只由签名人控制。第三和第四是对电子签名以及电子合同内容的完整性的保护,这里面通过签名技术,包括具体通过摘要、哈希技术保证任何改变都能够通过验证签名的方式去实现。所以,这一系列应用保证了数字签名提供可靠的电子签名,能够与传统的手写签名和盖章具有同等法律效力。

  数字签名技术可以证明签名行为责任、合同内容的真实。只有拥有这把钥匙,私钥的用户才能计算出对应的签名值,我们只要去看签名值就能够看到谁是签名人,所以剥离了电子签名人的身份和签名行为内容的一个可靠的关联。

  第二,通过签名预算中的数字摘要技术,能保证经过数字摘要以后的合同内容发生任何改变,金额、信息发生改变都能够被验证发现,所以保证了电子合同具备了客观性,具备了真实性。

  第三,怎么证明这些都是真正可靠的,服务提供商,提供服务的这些技术方案是符合安全要求的,是通过合规的密码产品。实现电子合同签名的密码产品是需要通过国家密码管理局的产品安全检测,国家密码安全局会为这些符合密码安全、符合技术安全的产品颁发商用密码产品型号证书。比如说,我们公司在申请电子签章产品的密码证书中,具体国密局会审查我们刚才所有的进行数字签名时的密码、算法的强度是否安全,审查我们所颁发的证书里面的私钥是否像刚才体系中所说到的足够安全,它的生成、存储和使用环节不可到处,有具备防窃取的风险,是否能保证电子合同是安全可靠的,防篡改的。通过这些安全检测以后,才会颁发证书。所以,判断一个电子合同应用是否符合安全要求,看他使用的电子合同中是否具备了国家密码管理局的商用密码产品许可。

  举两个具体的事例。第一,人力资源领域现在在广泛的应用电子合同。我们在京东集团提供电子合同服务,对于京东来说,因为从事专业的大型的电商服务,有庞大的员工群体,全国员工数量超过16万。导致有一个巨大的人资合同的工作压力,因为每周可能超过数千人要进行新入职或者续签,像京东物流人力资源部门面向的员工往往都是全国范围,甚至包括海外的,这就给他的合同签署,劳资人力合同签署带来巨大的成本挑战。包括雇方合同管理的压力。所以,促使京东选择电子合同实现劳动合同的签署。对于京东的签署过程中,因为采用远程合同订立的方式,他们非常关心这里面身份核实,事后身份真实性的证明这一点。

  具体京东运用电子合同的时候采用由CA中心为所有员工提供身份鉴别并颁发证书的服务,包括采用到身份证的核实、人脸信息的识别,手机号码的实名验证,通过这些服务在京东自己的服务上面完成劳动电子合同的签署。

  第二个例子,在地产行业,因为供应链和各个采购商的业务的往来,也有大量的合同签订的需求,现在的万科、恒大,包括在SOHO中国都已经运用了我们的电子合同的服务。例如,万科所在的供应商主要的合同业务是在采购类的合同和管理运营的合同,因为万科的供应商数量非常巨大,分布于全国各地。所以,每年采用传统纸质合同签署会消耗大量的纸质耗费成本,同时也带来巨大的快递的成本。大概每年在这上面的花费超过700万元。在数字化产业升级方面,万科采用电子合同方式,这里面万科涉及到很多参与角色,参与签署的过程。比如供应商授权人,万科方面自己印章管理权限的管理人员,具体的印章的操作人,签名人,这些操作人员在电子合同签署过程中的所有操作行为责任认定其实是事后,如果出现纠纷、争议以后,责任认定是解决这些纠纷的关键。只有能够可信的追溯、证明业务中电子合同签署的过程,才能够去解决这些法律风险。

  通过采用刚才所提到的PKI的数字签名技术,能够实现所有参与用户,所有参与角色具体的电子合同签名行为的责任认定。比如说,可以看到他的一份合同中,当时甲乙双方所有的授权人员在电子合同上进行了签名。甲乙双方进行了时间戳,这样通过数字签名实现全流程记录。在这种可靠技术的保证下,才实现了地产商单笔合同额上千万,或者上亿金额的地产合同,能够用数字化的形式进行一种跨区域、全天候的开展。

  总结一下。第一,信任对于电子合同来说至关重要,只有可信才能更广泛的去推广和应用,放心的应用这个合同。第二,如何去构成信任呢?有三个方面:1.需要合法的第三方认证为电子合同提供签名身份的证明。2.需要采用可靠的技术,就是KPI的签名技术证明、保护电子合同签署行为签署内容。3.所有技术上的安全可靠是需要通过国家具体的机关,国家密码管理局许可的密码产品来保护电子合同应用的安全可靠。

  最后,简单介绍一下我们公司,数字认证是具有合法第三方资质的这样一个机构,也是在全国范围内提供广泛的电子认证服务,电子签名服务与电子合同服务,有多个行业的应用经验,参与了多项国家标准、规划体系,以及很多重要的国家课题,例如信息服务证明课题,科技支撑的课题,并且在2016年数字认证在创业板上市。通过提供具有法律效力的电子认证服务,帮助客户实现他们数字认证升级当中的信任问题。谢谢大家!

0