电子合同的简介
什么是电子合同
电子合同实现了合同的签约方可以通过互联网进行签订,广泛应用于互联网金融、电子商务、O2O等行业,是互联网中一项相当重要的基础性服务,也是从事互联网行业的产品经理必须着重研究学习的领域。电子合同的有效性来自于电子签名,本篇文章将详细解析电子合同及电子签名的原理以及电子合同的产品设计思路。
依据2013年商务部公布的《电子合同在线订立流程规范》, 电子合同是指”平等主体的自然人、法人、其他组织之间以数据电文为载体, 并利用电子通信手段设立、变更、终止民事权利义务关系的协议”。 而根据《电子签名法》的规定, 数据电文是指”以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息”。据此, 我们理解, 电子合同是以数据电文为载体, 以电子通信为手段的协议, 适用关于数据电文的相关规定。
电子合同的属性
根据《合同法》的规定, 当事人订立合同, 有书面形式、口头形式和其他形式。法律、行政法规规定采用书面形式应当采用书面形式。当事人约定采用书面形式的, 应当采用书面形式。同时, 《合同法》也规定, 书面形式是指合同书、信件和数据电文(包括电报、电传、传真、电子数据交换和电子邮件)等可以有形地表现所载内容的形式。据此, 结合上述论述, 电子合同既然以数据电文作为载体, 即能够作为书面形式合同的一种, 得到《合同法》的认可与适用。
电子合同的电子签名
考虑到一份成立并生效的电子合同需要合意的达成作为先决条件, 又结合电子合同与传统纸质合同相比采用了新的信息承载方式, 所以电子合同作为一种特殊的数据电文, 除了要满足传统合同所要求的法律要件外, 还需要满足《电子签名法》中关于数据电文的意思表示达成方式的法律要件。
电子合同的组成
结合法律法规, 一份完整的数据电文主要包括: 数据电文和电子签名;
其中电子签名又包括 数字证书、可信时间戳 和 其他信息。如下图所列示。
CA 证书法律效益(有效性)
电子签名法条例
第十一条:
书面形式是指合同书、信件和数据电文(包括电报、电传、传真、电子数据交换和电子邮件)等可以有形地表现所载内容的形式。
该条例确定了电子合同属于书面合同的一种,得到了合同法的任何和适用;
第十三条:
电子签名制作数据用于电子签名时,属于电子签名人专有;
签署时电子签名制作数据仅由电子签名人控制;
签署后对电子签名的任何改动能够被发现;
签署后对数据电文内容和形式的任何改动能够被发现。
该条例规不仅认可了可靠电子签名(电子签章)的法律效力,同时也对可靠电子签名(电子签章)做出了要求:锁定签约主体真实身份、有效防止文件篡改、精确记录签约时间。
第十四条:
可靠的电子签名与手写签名或者盖章具有同等的法律效力
“可靠的电子签名”: 就是采用合法CA签发的数字证书签署产生的数字签名
第十六条:
电子签名法第十六条: 电子签名需要有第三方认证的,由依法设立的电子认证服务提供者提供认证服务。
该条例规定了电子签名的认证来源
总结:
电子签名是由依法设立的电子认证服务提供者提供的法律认可的一种书面形式的合同;
并且有效的电子合同需要满足电子签名法第十三条以下四个属性, 简称为: “真实身份、真实意愿、签名未改、原文未改“
合法的第三发CA机构
具有法律效益的国家CA机构有大约37家左右,任何一家都可以作为电子合同的第三方认证机构;
比较常用的CA机构有: 沃通CA、CFCA 等。。。
电子签名技术原理(确保有效性)
电子签名满足电子签名法第十四条的规定,需要满足四个属性,简称为“身份真实、真实意愿、签名未改、原文未改”,是进行产品设计时要考虑的首要因素。
这些属性,电子签名认证提供商需要充分考虑, 只有满足了这些属性,才能确保电子签名具有一定的有效性;
1. 真实身份
对签约方真实身份的确定,是通过各种实名认证方式来进行保证,所以实名认证是电子合同产品设计中必不可少的一环。实名认证功能可以由电子合同服务提供商提供,也可以由其他第三方符合要求的服务商提供。
实名认证分为多种方式,可靠性和用户体验各有不同,要根据产品需求灵活选用。
2. 真实意愿
意愿认证是指在每一次签署前对用户的身份进行确认,保证是用户本人操作的认证方式。我们常见的用户密码登录其实就是一种意愿认证,但由于目前登录密码丢失、被盗取、被破解的风险很高,所以对于涉及金额较大和较重要的电子合同,产品设计中要考虑加入其他意愿认证方式进行可靠性强化。
常见的意愿认证方式有:指纹登入、短信验证码登入、语音验证码登入、人脸识别登入、UKEY登入等。各种意愿认证方式同样可靠性和用户体验各有不同,根据不同产品要求可以进行选用。
比如在比特币网络中,用户如果想要进行交易,则必须用保存在本地的私钥进行签名才能进行交易,因此也确保了真是意愿性;
3. 签名未改及原文未改
签名未改及原文未改是通过数字签名技术+时间戳+CA机构颁发的数字证书一起保证和实现的,数字签名技术是其中的核心部分,时间戳和数字证书的实现方式都使用到数字签名。
对于数字签名和非对称算法等内容,可以参考区块链部分的密码学文章;
下面介绍一下数字签名在电子签名中的应用:
假设一个用户A执行了电子合同签约,则服务端先对电子合同原文进行哈希算法,得到电子合同原文的哈希值。然后使用用户A的私钥对哈希值进行加密,把加密得到的数字签名连同电子合同一起发送出去。
用户B收到带数字签名的电子合同后,先对原文用哈希算法得到哈希值,然后使用用户A的公钥对数字签名进行解密(对于用户A的公钥可信度是由CA机构的数字证书来保证,只要是国家认证的CA机构颁发的数字证书都认为是可信的,在此不展开讲解),解密得到的哈希值与原文用哈希算法得到哈希值进行比对,如果哈希值一致,则证明电子合同确实是A所签署的,并且没有被纂改过,也就达到验证“签名未改、原文未改”的目的。
时间戳在电子合同中的应用:
签订时间同样是电子签名成立和有效性关键环节,电子签名一般使用时间戳技术来对电子合同的签订时间进行有效确认。原理是对电子合同进行一次哈希运算,将哈希值发送给时间戳签发中心,时间戳签发中心使用数字签名技术对哈希值和当前时间进行一次数字签名。
由于对于电子合同哈希值具有唯一性,所以时间戳的数字签名可以确认电子合同签约的时间点,这样就保证了“签名未改”的实现。
如何接入第三方CA机构(CFCA安心签 + 供应链金融 为例)
CFCA的证据保全与司法服务
CFCA为证据采集、证据准备及证据受理提供全流程服务。
在证据采集阶段,电子证据保全系统通过采集客户业务活动过程中产生的电子数据,进行保全,形成电子证据,并出具证据保全报告。
在证据准备阶段,通过数字签名验证平台为客户业务活动中使用的数字签名进行验证,并出具数字签名验证报告。
在证据受理阶段,司法机关通过法律服务平台对数字签名验证报告和证据保全报告等电子证据进行专业化在线验证。
CFCA 对供应链金融的解决方法
业务概述
随着社会化生产方式的不断深入,市场竞争已经从单一客户之间的竞争转变为供应链与供应链之间的竞争,同一供应链内部各方相互依存,同时赊销已成为交易的主流方式,处于供应链中上游的供应商,很难通过传统的信贷方式获得银行的资金支持,而资金短缺又会直接导致后续环节的停滞。
2011年以来,各家商业银行受到信贷规模的限制,可以发放的贷款额度十分有限,但是通过承兑、票据、信用证等延期支付工具,既能够增强企业之间的互相信任,也稳定了一批客户,银行业空前重视供应链金融业务。面对国内互联网金融的飞速发展,传统线下的供应链金融模式已经很难满足企业客户对于高效、便捷、不受时空限制的需求,利用线上供应链金融平台实现线上业务办理已是趋势。
传统供应链金融采用现场面签的方式,而采用互联网模式的供应链金融面临的最大的挑战还是法律风险、交易风险、技术风险,引入CFCA数字证书体系可以有效的解决上述风险。
平台价值
解决方案
总体架构
·参与各方(融资企业、核心企业、商业银行)获得由供应链金融平台发放的数字证书,登录平台、签署电子合同时使用证书做身份验证和电子签名;
·供应链金融平台调用RA系统实现证书管理功能,调用签名验签服务器实现签名验签的功能,RA系统连接CFCA的CA系统完成证书签发和管理。
业务流程
方案特点
用户真实身份
线下面对面并使用纸质证件代表参与各方的身份,线上使用数字证书实现高强度的身份认证,并解决用户身份真实性验证问题,防止假冒用户恶意操作;
电子合同法律效力
在平台签署电子合同时使用电子签名技术,符合电子签名法的要求,从而保证平台签署的电子合同具有法律效力;
电子合同信息做到防篡改和保密
平台各参与方签署电子合同包含敏感业务信息,使用签名和加密技术实现敏感业务信息的防篡改和保密;
平台用户的易操作性
数字证书和签名技术已经是广泛应用的成熟技术,目前在网上银行广泛使用,平台用户已经成熟掌握该技术的操作和使用。
安心签平台接入流程
安心签平台介绍
安心签是中国金融认证中心(以下简称“CFCA”)旗下的第三方电子缔约服务平台,为持有有效数字证书的用户提供数据电文或电子缔约文件的在线签署、存储和管理服务。
名词介绍
客户平台: 与安心签对接的电子合同建设方。
平台用户: 客户平台的用户,通过客户平台方使用安心签电子合同服务。
用户三要素: 用户名、证件类型、证件号码,用以判断用户身份及唯一性,相同的三要素视为同一个用户。
业务流程分类
客户平台与安心签对接,实现电子合同签署,根据业务场景,可以分为以下四种方式。
1. 证书托管 + 合同模板方式
平台用户通过客户平台在安心签开户,安心签自动为用户生成数字证书并保存在安心签中。客户平台预先生成合同模板并保存在安心签中。合同签署时,客户平台将关键信息及用户信息传给安心签,安心签自动将关键信息填入相应的合同模板中,并调用用户证书进行签署,生成电子合同。
2.证书托管 + 自定义合同方式
平台用户通过客户平台在安心签开户,安心签自动为用户生成数字证书并保存在安心签中。合同签署时,客户平台将合同文件和用户信息传给安心签,安心签调用用户证书在合同的指定位置进行签署,生成电子合同。
上述两种方式的区别在于,如果每份合同差别不大,则适用合同模板的方式;如果每份合同差别较大,则适用自定义合同的方式。
3.自有证书签署 + 合同模板方式
如果客户平台或平台用户不希望安心签托管证书,平台用户可以通过客户平台在安心签开户,并绑定自有的CFCA证书,即在安心签中使用用户自己保管的CFCA证书(该证书信息必须已经收录在网络身份认证平台数据库中,具体业务中客户若需要绑定自有证书,请技术支持与业务确认该信息)。客户平台预先生成合同模板并保存在安心签中。合同签署时,客户平台将关键信息及用户信息传给安心签,安心签自动将关键信息填入相应的合同模板中,生成合同全文,获取合同摘要(哈希值),客户平台在用户本地调用用户证书对合同摘要进行签署(签名值),并将签名值发送到安心签,生成电子合同。
4.证书托管 + 合同模板方式
如果客户平台或平台用户不希望安心签托管证书,平台用户可以通过客户平台在安心签开户,并绑定自有的CFCA证书,即在安心签中使用用户自己保管的CFCA证书(该证书信息必须已经收录在网络身份认证平台数据库中,具体业务中客户若需要绑定自有证书,请技术支持与业务确认该信息)。合同签署时,客户平台将合同文件和用户信息传给安心签。客户平台在获取合同摘要(哈希值)后,在用户本地调用用户证书对合同摘要进行签署(签名值),并将签名值发送到安心签,生成电子合同。
