电子合同,哪些“麻烦”不能省?(电子合同有法律责任吗怎么写)
在这个快节奏的时代,很多人办理网上业务操作时都不想有太多的思考和麻烦。但要知道,所有风险隐患都埋伏在怕麻烦、图省事的侥幸心理之下,安全事故的导火索都源自安全意识淡漠、安全管理“偷工减料”。
从线下到线上,电子合同成为支撑工作效率提升、业务协同模式创新和数字化变革的一大利器。但电子合同不仅仅是一个互联网产品、工具,更是一种安全认证的密码技术、产品和服务。
合规的电子合同,设置了多重安全防线,确保“真实身份、真实意愿、签名未改、原文未改”,确保合同效力。但是,为迎合用户需求提升高效易用性、降低成本,也有一些厂商会选择省略环节、减少步骤、降低安全门槛;企业、用户在选型、使用时缺乏基本的技术知识和认知,也会埋下安全隐患,甚至造成经济损失。
那么,电子合同哪些“麻烦”不能省?在安全和高效间,如何取得平衡呢?
基础认知关: 从合法出发,以安全落脚
数字经济时代,需要每个人对电子合同都有一定的认知:它并不是抠个图、打水印或者扫描电子版;在线办理业务时,我们可能只是随手点个“同意协议”、输个验证码、刷个脸等,就签署了一份电子合同。
合同关系着企业、个人和组织的切身利益,《民法典》、《电子签名法》等法律赋予了电子合同与传统合同同等的法律效力。什么是合法可靠的电子合同?在不同行业、不同业务场景,对安全的要求不一样,电子合同产品也是五花八门,如何选择?只有知己知彼,才能实现安全签署。
安全守护关: 私章密钥,防盗防丢
以电子签名的典型应用场景——网上银行为例,如果你够细心,会发现无论哪家银行网银大额转款必须使用U盾,企业网银必须使用U盾转款……而其他场景下的电子合同,有人脸识别、短信验证码等在内的多种核验手段。
这背后的根本区别在于:证书、密钥的存储、调用方式不同。
网上交易鉴权的方式,从互联网最初的用户名+密码不断发展完善,到目前最为安全可靠的基于PKI的数字签名技术,其底层技术手段是密钥和数字证书。简单来说,数字证书包含用户身份信息和一对密钥:公钥随证书公开分发,任何人都能看到;私钥只能自己保存,相当于用户的签名或企业公章;通过公钥解密、私钥加密,确保签名身份、签名本身和文件内容的签署结果不受篡改的完整性。
而证书和密钥存放的方式可分为两类:一类称为硬证书,存放在形状类似U盘的介质中,最常见的是银行使用的U盾,通过PIN码保护U盾,且密钥一旦导入 U盾中,不可被导出、复制。
另一类称为软证书,以数据形式存放在本地电脑或者云端,通过刷脸、短信等方式验证使用者身份来调用,实现随时随地的进行签名。这种方式,对于用户来说操作便捷,但证书、密钥存在泄露风险。当然一些新的技术手段,也弥补了软证书的部分安全性缺陷。
因此,在选型和使用时,要根据项目可接受的安全风险,选择证书、密钥的存放方式。
安全签署关: 不可否认、抗抵赖的完整证据链
伪造印章在数字世界也真实地发生过:在当事人不知情的情况下,非法利用当事人身份信息申请制作数字证书,并把数字证书交给第三方在电子合同上签名,伪造电子合同,造成损失。
法律实践有着更为严谨的要求,并不是有签名、盖章,法院就认可;法院判定的依据是具有不可否认和不可抵赖的完整证据链。
因此,意愿认证是签署过程中的必备环节。它是指在每一次签署前对用户的身份进行确认,保证是用户本人操作、真实意愿的认证方式,比如通过同步录音录像下签署、人脸识别、工商认证、短信验证码等多种电子认证技术检验用户合法性的操作加以佐证,避免签署人账号、密码等被其他第三方盗用后冒名顶替进行签署的情形,使签署结果具备可不否认、抗抵赖性,保护了双方中针对任何一方的否认攻击,为日后可能存在的交易纠纷提供了一个可信的证据。
流程安全关: 权责分立,有迹可循
相较于纸质合同的签约过程没有记录,电子合同事后溯源有迹可查。通过技术手段对电子合同签约的整个过程做全程记录,这是签署不可否认、抗抵赖的重要内容,也是形成完整的证据闭环的重要补充。
建议企业对电子合同流程、账号密码、用章管理建立有效的内部管理制度,将电子合同管理、印章管理以及人员权限控制三者有机结合统一管控,通过系统管理、电子印章管理和系统日志审计管理权限的分立,实现所有用户行为及管理员管理行为可审计,以确保电子签章、电子合同的管理安全。
信息安全关: 保护数据安全完整
市面上,大多数的电子合同服务商提供的是公有云SAAS模式的电子合同产品,数据存于云端的数据中心,用户的电子合同签署、数据均存储于公有服务器上。
云上网签合同会不会丢失、泄露、篡改?如果需要恢复数据,需要多久才能恢复?从采集、传输、签署、存储、使用、共享、销毁的全生命周期,服务商在安全管控做了什么?服务商是否能够在竞争激烈的市场中长久生存下去?这些都是需要考虑的问题。
事实上,电子合同部署方式、签署方式可以很灵活,在用户身份真实性识别强度和安全性方面,也各有高低:如,采用本地化部署,在客户端签完成电子合同签署,签章独立可控、数据自主掌控,无法律争议,安全级别最高;手机盾签合法有效安全更便捷;API后台签,用户不需要在业务系统端任何部署,可与企业OA、ERP等业务系统做嵌入式集成服务集成,也可在线签约。但在调用过程中,存在文本数据被“掉包”的可能性。平台可综合利用数据权限隔离、数据访问控制、数据碎片式存储、数据分片加密等安全技术手段,最大程度确保用户关键敏感信息不外泄和永久存储。
综上,把握好这几关,在对电子合同的风险有足够意识,并具备相应应对措施的情况下,比起纸质合同,电子合同绝对是一个更好的选择。
反之,贪便宜、怕麻烦,忽视这些安全环节,后期则可能带来无休止的麻烦。
