【分享】

1 电子合同的定义

电子合同是双方或多方当事人之间通过电子信息网络以电子的形式达成的设立、变更、终止财产性民事权利义务关系的协议。今天讲述的电子合同是带有签署人电子签名的电子合同,不是平常我们注册一个APP的下方有个注册协议类型的电子合同。这个可能还是有点绕,后面会有详细解释。

电子合同有三个重要的名词需要说下,分别是时间戳、CA证书、电子签名

【时间戳】是一份能够表示一份数据在一个特定时间点已经存在的完整的可验证的数据。时间戳的作用就是确定什么人在什么时候拥有什么样的电子数据。 这个时间戳不能使用自建的时间戳,因为不具有权威和公正性,没有法律效力,必须使用专门的授时中心的时间戳服务。

【CA证书】就是个人或单位在网络上的身份证,由专门的CA机构颁发。 CA证书一般包含软证书和硬证书,硬证书就是类似网银形式的证书使用时需要插到电脑上,软证书是指证书存储在服务器上,使用时调用就可以了。 CA的申请和颁发:先向 CA 提出申请,在 CA 判明申请者的身份后,便分配一个公钥,并且 CA 将该公钥与申请者的身份信息绑在一起,并为之签字后,便形成证书发给申请者。 有的是申请者自己生成公私钥,向CA机构传身份信息和P10文件就可以得到证书。

【电子签名】是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。通常是指签署合同时使用签署人私钥对合同做hash运算附在合同上的数据。

所以,一份合同,时间戳确保了签署的时间、保证篡改可被发现;CA证书和电子签名确定了签署人身份。这三个要素构成了一份有效电子合同的基本要素。

2 电子合同相关的法律

《合同法》指出:当事人签订合同,有书面形式、口头形式和其他形式。书面形式是指合同书、信件和数据电文(包括电报、电传、传真、电子数据交换和电子邮件)等可以有形地表现所载内容的形式。 所以,电子合同跟纸质合同一样,同样是受法律认可的。

《电子签名法》: 然后是电子签名法,电子签名法中规定可靠的签名具备以下四点

  1. 电子签名制作数据用于电子签名时,属于电子签名人专有;
  2. 签署时电子签名制作数据仅由电子签名人控制;
  3. 签署后对电子签名的任何改动能够被发现;
  4. 签署后对数据电文内容和形式的任何改动能够被发现。

《电子签名法》还规定,不适用以下四种合同:

  1. 涉及婚姻、收养、继承等人际关系的;
  2. 涉及土地、房屋等不动产权益转让的;
  3. 涉及停止供水、供热、供气、供电等公用事业服务的;
  4. 法律、行政法规规定的不适用电子文书的其他情形。

【总结】

根据以上两个法律的规定,总结下来,一份有效的电子合同满足以下三个条件:

  1. 锁定签约主体真实身份;
  2. 合同生成、储存或传递方式可靠;
  3. 合同内容和形式的任何改变能被及时发现。

3 为什么要用电子合同

分为两个方面,纸质合同的缺点和电子合同的优点。

【纸质合同的问题】 首先是纸质合同存在的问题:线下纸质合同会有业务流程中断、合同管理繁琐、邮寄邮费、时间成本、公章私刻、工作效率低等问题。

【电子合同的优势】

  1. 便捷:多文件、多人异地可以随时随地签署,可以做到协同办公;
  2. 提升效率:减少流程等待、审批、寄送等步骤,可以缩短业务办理时长;
  3. 安全:实名认证保障签署者本人,一些加密技术保证合同防篡改,修改可被发现
  4. 方便合同的管理。

另外就是监管要求某些行业必须使用电子合同,例如P2P行业、医疗行业。

4 电子合同在一些行业的应用

【应用行业】

以上这些基本出于优化工作流程,提升办公效率、安全方面的考虑

5 电子合同企业

下面说下一些目前市场上电子合同业务做的比较大的公司:

E签宝、法大大、CFCA、上上签、云签、契约锁

  1. E签宝:最早开始做的,也是目前在各方面实力最强的、业务尤其在浙江省内做得比较大,与网易云音乐在版权合作艺人签约都有用,与医院合作的电子病历方面的合作。
  2. 法大大:创始团队是律师出身、目前在市场上开拓能力宣传都比较突出,与微软成立法链做存证、阿里邮箱存证、与携程在在线旅游方面都有合作。
  3. CFCA:本身是CA机构,主要客户是银行。
  4. 云签:电子合同相关法规的参与制定者。

6 电子合同实际应用中涉及到的其他方面的问题

【体验与法律效力的权衡】

签署合同就要确认签署人的身份,所以会做实名认证。实名认证的级别也并没有规定,具体看业务。

使用软证书时,公私钥的授权生成和使用以及CA证书的授权申请和托管都要做好。

在实名认证、签署过程都会保留尽量多的证据,形成完整的证据链确保合同的效力。例如实名认证记录、签署合同时的IP地址、录像、短信记录,做好CA证书申请和托管授权、代签授权。

由于严格按照电子签名法来执行需要做实名认证、做到CA由签署人唯一控制和掌握,这样的话一是增加用户操作流程、二是CA证书保存在用户端业务上不可行。

所以实际中为了用户体验往往不做实名认证,对接的P2P平台中不做实名认证,由P2P企业确保。 还有就是用户个人信息的使用授权以及CA证书的申请与托管授权,这些都会打扰用户、增加用户操作。实际应用中也会权衡要不要做、以及怎么样做的问题,一般有的弹窗提示用户一下就算授权了,严格保险一点会通过短信验证码验证。

下面说下,行业为了保证合同效力和出证方便所做的其他方面努力.

【保障电子合同效力和出证方便的努力】 为了保障电子合同的效力和出证方便,都会与第三方权威机构合作、例如公证处、数据司法鉴定中心、仲裁机构、律师服务、区块链存储、保险(电子合同法律险、信息安全险、电子签名法律有效险)、这些都是为了确保电子合同的证明力。

【问答】

1 Q:电子签名怎么证明这个签名自己就是自己?

A1:有证书,身份认证

A2:一般签署电子合同时,要使用私钥对合同做运算生成一串数据。公钥可以解密这个数据,公钥因为申请了CA证书,证书中含有公钥的持有人信息。这个公私钥对是非对称的,公钥解密出来的数据就是对应的私钥加密的,所以可以唯一确定。对了,在这里公钥是公开的,私钥是不公开的。

Q:嗯,就是说被截取了,通过证书来证明,那证书同样可以伪造?

A2:是什么被截取了呢?

Q:比如说我要给客户端颁布新的公钥来伪造。

A2:但是这个公钥要申请证书的,还有就是证书是伪造不出来的。另外说下这个公私钥防抵赖:公私钥是一对非对称的,公钥公开,私钥只有自己知道。别人用你的公钥加密,只有你的私钥可以解开。你的私钥对一个数据进行加密,只有用你的公钥解开了,那就是公钥对应的私钥加密的。再加上公钥申请的有证书这个就可以起到防抵赖作用。

Q:还有就是这种电子合同,有没有这种场景,私钥进行加密,公钥进行解密的呢?

A2:这种在通讯中会应用。例如,咱俩通讯,我把我的公钥给你,私钥保留,你把你的公钥给我,私钥保留。通讯时使用自己私钥加密,再使用对方公钥加密,就可以保证是只要你能解开,而且可以确认是我发给你的。

2 Q:请问下保全如何做?电签使用什么样的证书?

A:保全就是把合同什么的保存在第三方,第三方一般会对数据做固化,到时候出证时只证明数据未被篡改,不证明数据代表什么。全国有很多家Ca机构,使用这些Ca机构的证书都可以。

Q:保全各方的角色如何定义,适用方 证书提供方 司法鉴定中心?

A:保全其实只需要一个第三方就可以了,例如法大大,把数据存在他们那里,他们使用时间戳做证据固化就可以了。

Q:有存证和保全两个概念,以前业务只做存证,实际在出现纠纷时收集证据比较麻烦。

A:抱歉,刚看错了说成存证了。保全其实就是你在第三方电子合同做合同签署和存证,第三方会证明是谁在什么地点什么时间签署了那个文件,这个会根据具体对接的业务流程来证明。

Q:我的理解是让司法鉴定中心承认合同有效性,钱虽然是CA机构收的,感觉有部分费用要给司法鉴定中心。电签最大的问题就是合同有效性。

A:司法鉴定中心并不会承认合同有效性

Q:我了解到,如果做保全,司法鉴定中心会盖章,所以就有点糊涂。

A:那个是电子合同服务商与司法鉴定中心中心合作,业务流程按照数据司法鉴定中心规范设计,方便司法鉴定中心取证。司法鉴定中心会出鉴定书,只是一个意见书,是否采用要看法院。

Q:说到点子上了,就看法院认不认。

A:还有就是,对接电子合同并不直接对接Ca机构。电子合同企业会对接Ca的,一般会对接好几家。使用什么证书具体要看企业,场景证书就是一次性证书。

Q:你的意思是一个合同要对接好几家CA吗?需要他们同时留存吗?

A:不是的,一般只会使用一家的CA。CA机构就像一个网络身份证颁发机构,所以一个就可以了。

Q1:司法这块有效性,是指合同协议本身?

Q:是的,不然我们做业务都白做了。首先合同一定是有效的,有追诉权的。说白了就是债券或者产权。

A:一般电子合同服务提供商不会证明合同协议本身,只会证明谁在什么时候什么地方签署了哪个文件,不证明合同内容是否有效。

Q1:嗯明白了,以前本地化软件内部使用是没有电子签名这一说,后来在OA中碰过一些简单的,看到这么一句话:电子签名是一项新兴SaaS服务,不同于以往CRM、ERP软件由本地化向SaaS化转型。CA机构只是能提供本身合法化不被篡改,但合同重要的是本身是否有效的司法问题。

Q:你可以详细说下电子凭证加签,CA机构证明这份合同没有没有篡改,采纳权利有法院决定。

A:跟CA机构没关系的,是由电子合同服务提供商来证明这些,CA机构主要证明合同或者证据没有篡改。除非是企业跟CA机构直接合作,不然CA机构是不会证明的。只是签署合同时会用CA,合同是否被被篡改只是一部分,合同的有效性需要很多辅助证明的。因为实际应用中,企业是跟电子合同服务提供商合作,电子合同服务提供商是跟CA机构合作。所以CA机构不会去证明。

Q1:这里的合同提供商是个什么角色,仅仅是个渠道?那最终还是CA

A:电子合同的定位是:保存尽量多的关于合同签署的证据。CA机构的定位:给公钥颁发证书,证明公私钥对的在现实中对应的人。所以,一份合同要证明是否有效最主要的还是确认是不是由本人自愿主动或授权签署的,所以电子合同企业充当这样的角色。而CA机构颁发的证书只证明其中的一环,就是这个公私钥对对应现实中的人是谁。还有就是,即使一份电子合同有你的签名,也并不能证明什么,很有可能是别人盗用你的公私钥来签署的合同。为了形成一个完整证据链所以出现了电子合同服务提供商。

Q1:前者是证明颁布公私钥的本身,后者服务商提供证明是自己签署,不同的角度证明自己。

3 Q:电子协议中客户的签章证书,使用RA证书与CA证书,法律效力上会有区别么?

A:本质没区别的。自建RA吗?

Q:没有哈,但萨摩耶在电子司法立案方面做得很前沿。还有,存证这种业务有效性如何?我们之前在执行司法诉讼时,发现法院并不是太认可这类说明。你们是否有遇到类似问题?如果是这样,存证还有必要做吗?

A:我们刚做还没遇到。 比较大家对电子合同的认识了解、接受程度还是很低的。

4 Q:司法这块提供证明是个什么流程,能证明“证明”本身么?是不是少数听多数的?

A:略

Q:就是列举的材料真实性,证明证明本身。

A:司法鉴定中心就是一个公正权威的鉴定机构,他不会证明一些不存在或者存疑的东西。

A1:特别是目前通过电子化途径实现自动化司法立案,高中院都还在尝试,别说证据链,消金企业连立案案由都不确定。不知道是不是只有深圳是这种情况。

A:自动化司法立案还不太了解。觉着跟目前电子合同企业与公证处、仲裁机构、司法鉴定中心这差不多,网上一键出证。

5 Q:麻烦问一下p2p的哪个环节需要电子合同?借款合同?

A:一般是借贷合同、债转合同。


本文档来自支付产品技术交流群的聊天记录整理,由志愿者整理并发布到本网站。如需要及时收到来自支付产品技术交流群的最新消息,请扫码关注“凤凰牌老熊”的微信公众号。 本群面向支付行业的有经验(2年以上)的产品经理、软件工程师、架构师等,提供交流平台。如想加入本群,请在本文评论中留言(不公开),说明所在的公司、负责的工作、入群分享的主题和时间。