一、自建合同订立系统的基本功能要求

根据《电子合同在线订立流程规范（征求意见稿）》（“《规范意见稿》”），电子合同订立系统应该具备以下功能：

(1)   能生成符合法律格式要求的合同文本；

(2)   能支持多种方式，包括文字、视频或音频，进行在线谈判和合同文本修改；

(3)   能实现合同信息和谈判信息的实时备份，备份信息可追溯、可复制；

(4)   能通过电子签名或其它方式查验合同内容的真实性、完整性；

(5)   能接入第三方的电子合同存储服务商的存储服务。

结合以上要求，此处将着重分析如果企业欲自建电子合同订立系统/平台，所需要注意的电子签名、时间戳等技术的应用问题。

二、电子签名技术的应用

电子签名技术的功能类似传统的签字盖章，是用于识别缔约人身份、确认缔约人对签名文件的内容上的认可的技术手段。我国法律采用“技术中立原则”，没有明确规定电子签名具体应当采用的技术类型，只要能够达到“可靠的电子签名”的技术手段就可以是与手签名或盖章具有同等法律效力的电子签名。

实践中，数字签名（digital signature）是电子签名（electronic signature）的最主要实现方式。目前受到普遍认可的实现数字签名的手段一般涉及以下技术和第三方：哈希算法（hash function）、非对称加密技术（asymmetric cryptology）、公钥基础设施（Public Key Infrastructure, PKI）和电子签名认证机构（Certificate Authority, CA）。

哈希算法是指任何能够将任意大小的数据不可逆地转化为固定字节的数字摘要（hash value，或称哈希）并输出，并且哈希与数据原文一一对应的算法。数据电文的签名方/发送方使用哈希算法对原文生成一个哈希（hash value），然后使用电子签名系统的私钥（private key）对该哈希加密，生成数字签名，随后将该原文和数字签名发送给接收方；接收方使用一个与私钥不同但与私钥唯一对应的公钥（public key）解密数字签名，得出哈希；接收方随后对原文使用同样的哈希算法生成一个新的哈希，将2个哈希比对，如果相同，则数据确由发送方产生、且在传输过成功没有被篡改，数据传输成功。（参见图1）

发送方能够进行数字签名的前提，是发送方掌握着一套非对称秘钥（相互关联的私钥和公钥）。根据《电子签名法》等相关法律的规定，发送方通常先向具有资质的电子签名认证机构申请电子证书（digital certificate），该证书包含了发送方的身份信息和公钥。每当发送方对某份数据电文签名，该认证机构将确认签名为发送方所谓并向接收方告知用于核验解密的公钥。公钥基础设施就是支持这一套电子认证机制的以电子签名认证机构为中心搭建的包括硬件、软件、人员和规范的体系，用于实现和管理密钥和证书的产生、管理、存储、分发和作废。

为发送方签发电子证书认证的电子签名认证机构必须具有相关资质：必须符合《电子签名法》、《商用密码管理条例》、《计算机信息系统安全保护条例》等法律，至少拥有《商用密码产品生产定点单位证书》、《商用密码产品销售许可证》和《商用密码产品型号证书》。最重要的，只有经过我国工信部许可的机构才能从事第三方电子认证服务。因此，如果企业选择自建电子合同订立系统，所使用的电子签名必须经有工信部资质许可的电子认证机构签发电子证书。

三、时间戳技术的应用

时间戳（timestamp）是一种电子合同的辅助认证技术，用于加密并固定特定数据电文的生成、传输、删改的时间记录，并用于核验该特定时间点下的数据电文内容的技术手段。

一般来说，时间戳的技术手段涉及到以下技术和第三方机构：哈希算法、非对称加密技术、公钥基础设施和第三方时间戳服务机构（Timestamp Authority, TSA）。

需要对特定数据电文进行时间戳认证的用户使用哈希算法将数据原文生成一个哈希，然后将该哈希发送给第三方时间戳服务机构。自此之后，任何对该数据电文的修改都必须和该第三方机构重新沟通。第三方机构将收到的哈希和其他信息，包括该机构的权威时间下的哈希接收时间，结合后用该机构的私钥加密，产生一个时间戳通证（timestamp token）。随后，第三方机构将时间戳通证发回给用户。如果此后数据电文的接收方需要验证文件是否经过篡改（准确来说，是验证从第三方机构接收该数据后，数据是否被篡改），该接收方需要首先使用哈希算法将其接收的数据电文生成一个新的哈希，然后使用第三方机构的公钥解密时间戳通证、获得其中的哈希，最后将两份哈希比对，如果相同，则说明其所接收的数据电文是自时间戳认证以来未经篡改的。

所以，技术上来看，时间戳和电子签名是相通的，可以理解为第三方时间戳服务机构包含了权威时间的电子签名。

但是，只有由个人计算机产生电子文件的时间取决于该台计算机设备的时钟，而此类时钟可以任意修改，只有根据可信的掌握权威时间的第三方认可的时间才产生可信时间戳，具有法律效力。每个国家的标准时间是具有权威性的，由各国权威授时中心管理。目前在我国广为接受的可信第三方时间戳服务中心为联合信任时间戳服务中心。

因此，如果将时间戳技术应用到自建的合同订立系统，则需要与联合信任时间戳服务中心交互，为电子合同盖时间戳。

四、自建电子合同订立系统必须采用第三方存储系统

实践中，企业订立电子合同涉及“电子合同订立”和“电子合同信息存储”两个环节，对于潜在纠纷中的举证问题，后者的重要性不可忽略。值得注意的是，《意见稿》规定了“隔离原则”：“电子合同订立系统设立人是合同缔约的一方当事人时，该设立人不得同时作为第三方存储该电子合同。”

因此，如果企业选择自建电子合同订立系统，应当注意纳入第三方完成电子合同的存储。该设计背后的含义应该不是担心由防篡改的电子合同被一方篡改，而是担心缔约一方因道德风险诱发的物理毁损电文数据的载体。