现代社会，互联网已经渗透进企业商业交易的各个领域，尤其是疫情爆发的这几年，企业生产经营逐步移至线上，电子签名逐渐进入大家的视野。风控是企业的生命线，习惯线下签约的企业在重新搭建线上签约机制的过程中，必然面临较大的合规风险。电子签名是否具有法律效力？如何选择电签产品？电签产品是否存在法律风险以及如何做好合规措施？是企业涉网的必修课。

一、电子签名概述

《中华人民共和国电子签名法》第2条规定：“本法所称电子签名，是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。本法所称数据电文，是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。”按照第2条的规定，所谓的电子签名必须通过电子形式进行生成、发送、接收或者储存，然而，如果数据电文使用的是“光学、磁或者类似手段”进行信息的“生成、发送、接收或者储存”，是否不属于“电子签名”？

在互联网世界中，以发送邮件举例，邮件的传递方式为：用户A拟发送一封邮件给用户B，首先邮件会从用户A电脑的应用层、表示层、会话层、传输层、网络层、数据链路层和物理层层层传送，再从物理层通过“传输通道”将数据传送至用户B的物理层，再从物理层、数据链路层、网络层、传输层、会话层、表示层传送至应用层。此处所谓的“传输通道”可能使用的是电子传输方式，也可能是光纤传输方式。如果勾选客户端协议的行为所使用的“传输导通”是光纤，磁等方式，难道就不属于“电子签名”？

笔者认为《中华人民共和国电子签名法》第2条关于“电子形式”应作扩大解释，即不仅包括电子形式，还应包括“光学、磁或者类似手段”等。因此，所谓的电子签名，可理解为数据电文中以电子、光学、磁或者类似手段所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。

二、电子签名存在的法律问题

司法实务中，关于使用电子签名缔结的电子合同，其真实性存在较大的争议。主要的争议点包括如下事项：

（一）否认注册

鉴于电子签名的签约双方主体互不认识，使得签约主体是否具有适格的权利能力和行为能力存疑。实务中出现不少的案例在于：电子合同发生纠纷后，一方主体抗辩未签署该电子合同，特别是消费者一方否认注册问题。

（二）否认控制

实务中不少电子签约方不否认电子签名的事实，但认为电子合同在签约后因遗失账号密码、账号密码转让给第三方或密码失窃，否认后续的交易行为为本人行为，拒绝承担合同义务。

（三）认为电子合同易被篡改

实务中不少电子签约方不否认电子签名的事实，但认为签约后电子合同存在容易被电子合同留存方篡改的问题，进而主张电子合同无效。

由于电子签名存在否认主注册、否认控制以及认为易篡改等问题，因此，司法实践中，多数企业对于电子签名实际上仍持有排斥的态度，电子签名的前述问题严重阻碍了电子合同的发展进程。

三、可靠电子签名的法律原理

针对前文所指出的普通电子签名存在否认注册、否认控制、认为易篡改的问题，《电子签名法》特别指出如果电子签名是可靠电子签名的话，则该类电子签名就具有和手写签字或盖章同等的法律效力。那么，怎么认定某一电子签名属于“可靠的电子签名”呢？

《电子签名法》第13条规定：“电子签名同时符合下列条件的，视为可靠的电子签名：（一）电子签名制作数据用于电子签名时，属于电子签名人专有；（二）签署时电子签名制作数据仅由电子签名人控制；（三）签署后对电子签名的任何改动能够被发现；（四）签署后对数据电文内容和形式的任何改动能够被发现。”简而言之，可靠的电子签名需满足“专属性”、“唯一控制性”和“不可篡改性”等三个典型特征。

可靠电子签名遇到的第一个问题便是如何使得电子签名制作数据专属于电子签名人所有？现实生活中，公章和公司建立“专属性”的连接点在于“公章备案制度”。即：公司在设立后，需要在篆刻公章后到公安局进行公章的备案。此时，公安会留存公章模印，以确认公章是该公司专有。参照“公章备案制度”， 《电子签名法》规定，电子签名由第三方认证机构进行认证，从而建立“电子签名制作数据认证制度”。该制度的具体做法是，电子签名申请人将身份信息，电子签名制作数据（俗称私钥）提交电子认证机构（俗称“CA机构”）进行审核认定，CA机构审核无误后，向申请人发放电子签名认证证书，以此确认电子签名制作数据（俗称私钥）归属申请人所有，从而确认“专属性”。

援引“电子签名的法律实践”课程截图

针对“唯一控制性”的问题，司法实践的做法是设计Ukey密码设备。在Ukey密码设备中植入数字证书、证书私钥、印章图鉴，同时让电子签名人设置PIN码，由于该密码只有自己知晓，因此可从硬件层面保障该Ukey密码设备自始至终由电子签名人所掌控。当然，该设备可能存在丢失等问题，但丢失后因为其他人难以对该Ukey密码设备进行破解，因此具有较强的保护性。

电子签名的“不可篡改性”，则主要通过技术手段实现。一般来说，电子签名申请人会将Ukey插入电脑中，在电脑办公软件上确认合同后，点击签署按钮进行签署。此时合同会经过哈希运算，生成一串哈希值A，并将哈希值A导入Ukey中。在Ukey内哈希值A会再经过私钥的加密运算，从而将哈希值A加密为签名值，并连同数字证书和印章图鉴导出，在合同处体现为落款签名（实际上，该落款签名含有数字证书和签名值）。电子签名申请人将该有落款签名的合同发送给拟签名的另一方当事人时，另一方当事人所使用的程序会读取合同上的数字证书和签名值，再利用公钥将签名值进行解密后可得到哈希值A。同时，另一方当事人对接受的合同经过哈希运算得到哈希值B，将哈希值A与哈希值B进行对比，如哈希值一致，则可确认该合同未被篡改，从而满足所谓的“不可篡改性”。

援引“电子签名的法律实践”课程截图援引“电子签名的法律实践”课程截图

由上可知，可靠的电子签名可通过“电子签名制作数据认证制度”实现“专属性”；通过Ukey密码设备实现“唯一控制性”；通过哈希算法以及公私钥加密解密等技术手段实现“不可篡改性”，以此实现可靠电子签名所必备的三大特征要素。

四、电签产品的可靠性认定

当前受疫情影响，多数企业开始尝试使用SaaS签名服务平台（例如法大大、e签宝、电子牵），以实现线上电子签约的目的。那么，目前市面上的SaaS签名服务平台使用的是可靠的电子签名吗？

一般来说，可靠电子签名分为两大环节，分别是数字证书申请环节和电子签名环节。在数字证书申请环节，主要是为了满足“专属性”的要求，电子签名申请人会将身份信息，电子签名制作数据（俗称私钥）提交CA机构进行审核认定，CA机构审核无误后，向申请人发放电子签名认证证书。在该环节中，申请主体是电子签名人，审核主体为CA机构；在电子签名环节，主要是电子签名双方进行哈希值的传输，公私钥的加密和解密动作，主要是为了满足“不可篡改性”的要求，不存在所谓的第三方机构。

然而现实生活中，可靠电子签名需要当事人自己申请数字证书，自己留存Ukey密码设备，自己和对方进行哈希算法运算，对于当事人的要求过高，且流程过于繁琐复杂，当事人较难操作。为了减少当事人的操作负担，市面上应运而生所谓的SaaS签名服务平台，此类平台作为第三方介入电子签名申请人，CA机构以及电子签名接收方之间。在数字证书申请环节中，作为当事人的代理人向CA机构进行数字证书的申请，并将数字证书留存于自己的平台中；在在电子签名环节中，居中撮合当事人双方进行电子签约，电子文本留存于平台内，哈希算法以及公私钥解析均在平台进行，大大减轻了当事人双方的负担。但在减轻当事人负担的同时，也破坏了“专属性”、“唯一控制性”和“不可篡改性”三性的要求。因此，市面上SaaS签名服务平台使用的并非是可靠的电子签名，而仅是单纯的电子签名手段而言，无法完全做到“具有和手写签字或盖章同等的法律效力”。

因此，对于市面上的SaaS签名服务平台，笔者认为不可苛责其必须具备完全有效的法律效力，毕竟在民事领域内，高度盖然的认定足以认定电子合同的有效性。因此只要利用SaaS签名服务平台所签订的电子合同能被高度认定为是当事人双方真实意思的表示，也可实现合同的目的。对此，笔者认为判断一款SaaS签名服务平台所签约的电子合同是否有效，可从如下几个方面进行分析：

第一、落实签约主体的实名认证。针对自然人而言，SaaS签名服务平台最好能做到人脸识别认证，并且在每次签约前必须进行人脸验证，以确保签约主体的真实性；对于法人而言，SaaS签名服务平台最好要求法人提供加盖公章的营业执照、法定代表人身份证明、法定代表人声明以及进行对公打款，以确保法人身份的真实性。

第二、由于CA机构是申请认证机构，属于营利性组织机构，市面上的CA机构鱼龙混杂。因此，SaaS签名服务平台最好能够全资控股CA机构，提高CA机构认证的安全度和可靠性，同时将可能存在的第三方不可控因素尽量减少至最低。

第三、利用区块链技术，连接仲裁委、互联网法院、公证处、司法鉴定中心以及当事人双方，实现电子签约全流程记录以及实时司法存证，证据实时备份，实时出具公证书或实时出具司法鉴定意见书，实现一建提交证据等。

第四、鉴于SaaS签名服务平台属于中心化角色，所有权力和资源均由SaaS签名服务平台所控制。一旦SaaS签名服务平台出现问题，将可能导致大量数据流失，用户信息泄露。因此，SaaS签名服务平台应利用技术手段做好客户数据的保护，例如搭建ISO27018个人信息安全管理体系认证，ISO270001信息安全管理体系认证等。

Eden-Jiang4 次咨询5.0厦门大学 法学硕士1983 次赞同去咨询