一、可靠电子签名的要件
根据《电子签名法》的规定,可靠的电子签名与手写签名或者盖章具有同等的法律效力,可靠的电子签名需要满足以下四个条件:
(1)电子签名制作数据用于电子签名时,属于电子签名人专有;
(2)签署时电子签名制作数据仅由电子签名人控制;
(3)签署后对电子签名的任何改动能够被发现;
(4)签署后对数据电文内容和形式的任何改动能够被发现。
《电子签名法》对可靠电子签名要件规定的用意,并不难理解,第1项与第2项要件,都是为了实现电子签名的必要功能,即能够识别签名人身份并表明签名人认可数据电文中内容,实现在签名的时点电子合同满足了合同生效的要求。而第3项与第4项要件,即是为了实现防篡改,保证电子签名与电子合同的持续真实性。
二、可靠电子签名的技术应用
《最高人民法院关于互联网法院审理案件若干问题的规定》规定,“当事人提交的电子数据,通过电子签名、可信时间戳、哈希值校验、区块链等证据收集、固定和防篡改的技术手段或者通过电子取证存证平台认证,能够证明其真实性的,互联网法院应当确认。”电子签名服务商们通过对身份认证、数字认证、可信时间戳、哈希值校验、区块链等技术手段的组合应用,实现了相对成熟的可靠电子签名的解决方案,并逐渐在司法实践得到印证与认可。
1. 身份认证技术
身份认证技术手段虽然种类多样,但万变不离其宗都是为了验证客户的身份是否真实。身份认证技术在日常生活中随处可见,比如最为寻常的为账号密码登陆、手机号短信验证,以及银行业曾经广泛使用的动态口令,USBkey都属于身份认证技术,而随着商业活动对身份验证便捷性、安全性的不断提高,又演进出各类基于生物信息识别的身份认证技术,包括面部识别、指纹识别、虹膜识别、语音识别等。
身份认证环节通常是是电子签名签署的前置环节,用以证明电子签名在签署人的控制下,电子签名的签署是由电子签名人本人完成,电子签名人同意签署此电子合同且意思表示真实。在电子合同争议纠纷中,被告常见以非本人真实签署、第三人以本人名义签署、账号被第三方盗用等。但是,如果被告方通过了有效的身份认证系统审核,那么法院也通常会认为原告已经尽到了足够的注意义务、举证已达到高度盖然性标准,或被告未尽到对电子签名的合理保管义务等,而认定电子合同成立生效。但身份认证技术并不能单独实现可靠的电子签名,因为其无法实现防止篡改的功能。
2. 数字证书
根据《电子签名法》《信息安全技术 公钥基础设施 数字证书格式》中相关规定,电子签名的认证,是由国家认可的、从事电子认证服务的认证机构对电子签名出具一个可信的数字化文件。根据《信息安全技术 公钥基础设施 数字证书格式》(GB/T20518-2018),数字证书中包含了用户的唯一性标识符,且数字证书是不可伪造的。而且数字证书的扩展域中能够包括电子合同签署场景的相关信息,如合同签署参与主体、电子合同的摘要值、电子印章数据,通过验证该等信息,能够证明电子合同的真实签署主体、以及电子签名后电子合同的内容是否完整、是否被篡改。
数字证书对可靠电子签名的证明作用,不但在司法实践中得到了印证,而且也得到了行业主管部门的认可。如人力资源和社会保障部办公厅发布的《电子劳动合同订立指引》中规定,“用人单位和劳动者要使用符合《中华人民共和国电子签名法》要求、依法设立的电子认证服务机构颁发的数字证书和密钥,进行电子签名。”
3. 可信时间戳
可信时间戳是广泛采用的电子合同存证手段之一,《电子劳动合同订立指引》中规定,“电子劳动合同经用人单位和劳动者签署可靠的电子签名后生效,并应附带可信时间戳”。《私募投资基金电子合同业务管理办法(试行)》中同样规定,“电子合同业务服务机构应当采用国家授时中心认可的时间戳,满足防重放要求。”
根据《信息安全技术 公钥基础设施 时间戳规范》(GB/T20520)的相关描述,可信时间戳是时间戳机构依据可信时间对电子签名颁发的时间戳,用以证明原始文件在签名时间前即已经存在,可信时间的来源一般是国家授时中心或使用国家权威时间部门认可的硬件和方法取得的时间。
可信时间戳能够可靠证明电子合同的准确产生时间,以及电子合同在经电子签名后未被篡改。可信时间戳的证明作用在司法实践中也得到较为广泛的认可。但是可信时间戳无法对电子签名者的身份进行验证,所以无法单独实现可靠的电子签名。
4. 哈希值验证
哈希值验证的基本原理是,计算签署完毕电子合同的哈希值,并将计算后的哈希值上传至云端予以保存。在验证时重新计算电子合同的哈希值,并将原哈希值予以比对,如果完全一样即可证明电子合同的一致性,未被篡改。由此可见,哈希值验证的主要功用也在于验证电子合同是否被篡改,实现电子合同的存证、证明电子合同的真实性。
5. 区块链存证
目前电子签名服务商所使用的区块链技术主要是应用于电子合同存证领域,通过验证存储于区块链上的哈希值,证明电子合同是否被篡改、是否真实完整。具体来说,其基本流程为,区块链上存储基于共识算法计算出的哈希值,被作为电子合同的“指纹”,具有唯一性与可识别性。一旦发生争议,可以将当事人提交的链下保存的电子合同计算出哈希值与链上存储的哈希值进行比对,以验证合同文件是否被篡改。
