>
2022-06-23|
分享到:
|1524 |文章来源:互联网

SaaS平台电子合同无效的4处抗辩,你都了解吗?

数字化时代引入电子合同签约系统,已是大势所趋,在疫情隔离政策的大背景下,原本稀松平常的合同“盖章”成为困难,将原先的纸质签署转变为电子签署更是企业良好运营的必要之举。

实务中,越来越多的电子合同纠纷类案件被大家注意到,随着司法机构对《电子签名法》以及电子签名技术的深入了解,电子合同存在的抵赖风险逐渐被证实电子合同被判定为无效的案例不在少数,如何去分析市面上电子签名的法律效力,为电子合同的抗抵赖提供法律风控保护,已经成为企业实现数字化必须要考虑的一大问题。

作为新兴签约方式,电子合同与纸质合同在法律可靠性方面存在区别:

传统纸质合同之所以可靠,在于它依赖手写签名或公章用印,凭借签名人长期养成的签名字迹以及备案公章,确保他人无法替代签名人完成签名,实现合同最本质的抗抵赖特性

电子环境下,是通过电子签名制作数据完成合同签署的,《电子签名法》第三十四条对电子签名制作数据做出解释,是指在电子签名过程中使用的,将电子签名与电子签名人可靠地联系起来的字符、编码等数据。简单来说,就好比指纹或者多年形成的书写痕迹,能够清晰定位特定主体,表明签名是由谁实施。谁掌握电子签名制作数据,谁就能够完成签约,因此电子签名制作数据的专属与控制极为重要《电子签名法》第十三条与第十四条对可靠电子签名的构成要件以及法律效力做出了明确规定:

《电子签名法》第十四条明确规定,可靠的电子签名与手写签名或者盖章具有同等的法律效力,并在第十三条对可靠电子签名进行了详细规定,电子签名同时符合下列条件的,视为可靠的电子签名:

(一)电子签名制作数据用于电子签名时,属于电子签名人专有;

(二)签署时电子签名制作数据仅由电子签名人控制;

(三)签署后对电子签名的任何改动能够被发现;

(四)签署后对数据电文内容和形式的任何改动能够被发现。

对四要件进行分析不难发现:2个要件,是指签名行为只能由签名人本人实施,他人无法替代2个要件是指签名内容与签名结果无法被篡改,电子签名必须满足这些条件,才能成为具备抗抵赖能力的、不可否认的有效签名。

电子签名的实现方式多种多样,使用数字证书的数字签名是其中的一种,也是最为常见的一种。接下来,我们将以《电子签名法》第十三条为准绳,对市面上常见的数字签名法律效力问题进行深度剖析:

结合全国人大《电子签名法释义》第十六条以及国家密码管理局颁布的GB/Z001《密码术语》标准第2.113条的两个定义,可以简要概括出,“数字签名是基于非对称密码技术的一种电子签名方法,签名者使用私钥对数据电文进行签名,签名结果可以使用私钥对应的公钥进行验证”,数字签名模式下,能够代表某主体身份的电子签名制作数据就是此处提及的:私钥。

市面上大多电子签名服务商采用的SaaS中心化电子签名,正是典型的数字签名。我将通过SaaS电子签名的服务流程,对其特征及存在的问题进一步分析:

 

SaaS中心化电子签名服务流程图

SaaS电子签名服务流程图,足以看出签名服务的中心化特点,其中最显著的就是:在中心化平台中,电子签名制作数据也就是私钥的专属性与唯一控制性存在风险,SaaS电子签名服务商掌握用户的私钥,并代替用户申请电子认证,建立用户与私钥的专属性。

如果你仔细查阅市面上的大部分电子签名服务商的《使用协议》,你就会了解称其为中心化电子签名的缘由,《使用协议》中明确写明,用户确认委托平台将其身份传输CA机构用于申请数字证书,也明确表示平台托管数字证书,并且用于认证并签署的签名密钥对也是由平台申请并保管,不需要将私钥传送给用户。

SaaS电子签名服务商的使用协议

从用户的体验方面,也可以验证SaaS电子签名的中心化特点:签名人可以通过不同设备,如手机、pad抑或是电脑随时随地完成签名,这给用户的签署带来了极大便捷,但同时也意味着用于签名的私钥存储于中心化的平台服务器,签名人用于签名的私钥都由中心的服务器负责管理,平台掌握用户签名的全部资源。

此模式下,平台仿若用户的中心代理人,用户需要签名时通知云平台,云平台借助设置的安全门槛验证无误后,以用户的名义调用私钥完成签署,这使得SaaS电子签名无法同时满足《电子签名法》第十三条规定的电子签名制作数据的专有和唯一控制性要件当事人可以从以下四处提出抗辩,从而使得电子签名存在抵赖风险:

一、平台代替用户向CA申请并保管数字证书

此处并不是说委托申请数字认证不合规定,而是说平台如若掌握用户姓名、身份证号码等信息,是会存在私自申请数字证书的可能性,这与CA机构的实际运营模式情况有很大关系。

按照电子认证规则,CA机构需要严格依照电子认证业务规则完成电子认证;然而实务中,有些CA机构一味追求发证数量,私下将审核权限下放至大客户,这造成了在用户不知情状况下,平台私自以用户身份申请数字证书,私自以其名义完成签署。

正如(2020)粤01民终12365号裁判文书中,金融平台在未经洪某某同意的情况下,代洪某某申请电子签名证书,通过此数字签名证书签署的电子协议,自然不具备抗抵赖特性。

2019)粤0112民初12565号裁判文书中,广东省广州市黄埔区人民法院认为,被告通过某签约平台为原告申请了一张数字签名证书,但没有证据显示已经过原告同意,并由原告申请。被告在未经原告同意的情况下,代原告申请电子签名证书,显然违反了上述法律法规的规定,因此,上述协议的签订并不是原告的真实意思表示。

SaaS中心化电子签名代申请保管数字证书的模式,往往会产生电子签名抵赖风险,司法实务中越来越多的电子签名案件因此被认定为无效。

二、平台自主设置签名前身份校验的安全门槛

SaaS中心化电子签名中,用户点击【去签名】后,服务商会向用户发送短信验证码或进行人脸识别,要求用户输入验证码或人脸识别通过后,即可实施签名操作。

但无论此处使用短信验证码或者人脸识别,本质上都是服务商为调用私钥签名设置的安全门槛,验证码是服务商的服务器发送,校验工作也由其完成,这就相当于游戏主设置了游戏规则,参与者必须遵守游戏规则,但并不意味着游戏主也必须遵守。

因此,此类的安全手段并不是绝对的安全。

三、实际调用私钥完成签名的行为由平台实施

参考《使用协议》,平台申请并保管用户签名密钥对,用户甚至都没有经手密钥,在签名时,是由服务商接到用户指令后,以用户名义调用私钥和数字证书,帮助用户完成签名行为。

签名的实际体验中,表面上是由用户自主调用私钥,在电子协议中完成签名,但本质上操作主体是平台。先不论信任与否的问题,平台作为完全能力者,拥有在用户未提出签名申请时,就调用的能力。

四、签名内容的更改

电子签名行为发生在哪里呢?是服务器?还是本地?

联系到私钥与数字证书就可以明白,签名所需资源都存储于云服务器,签名行为自然也是发生在服务商平台。

签名人通过电脑(手机等装置)的显示屏,看到待签名的内容和表示同意的承诺,但对应的电子签名痕迹却并不是发生在签名人的电脑上,而是在签名业务运营方的远端服务器上产生,签名行为与签名痕迹相互分离,无法实现将签名痕迹与签名者认可内容的直接绑定。

在这种不可靠的电子签名方案中,由于签名痕迹与被认可的签名内容不具有不可分离的绑定作用,使得用户得以就此流程,提出“签名内容被调包”、“我签的不是这个内容”的否认抗辩。

中心化平台在电子签署流程风控的瑕疵,最终将会导致电子合同产生抵赖风险,无法实现同纸质签名相同的抗抵赖效果,给合同当事人造成潜在的损失。

除此以外,采用中心化电子签约平台,还会出现撤销授权后私钥与数字证书无法销毁,以及商业机密泄露的风险。此前发生的“中信银行事件”,就是中心化管理所滋生的弊端,2020年5月,中信银行发布道歉信,称其内部员工违规盗取并泄露客户信息,引发网友们的高度关注。银行这样的权威机构都存在私自窃取信息的现象,原因就在于传统的中心化存储方式,所有数据都由几大数据中心巨头统一管理,所以,当个人数据被私自查看,用户却一无所知。

企业亟需正视电子合同的法律风险,不可以持有侥幸心理,须知这种电子合同因抵赖产生纠纷的败诉案件虽是低频事件,却是系统性的,一旦有一起电子合同因中心化被判定为无效,企业所签署的电子合同或许都面临被推翻的风险。企业为追求高效便捷引入中心化电子合同平台,而牺牲电子合同本身安全可靠性的行为,实不可取!

既然中心化的平台存在这些问题,要想消除电子合同的抵赖风险,就必须实现去中心化。

去中心化的实质,是撤销对中心的信任委托,不依赖于对系统的无条件信任,将控制权回归本人。去中心化的电子签约平台,排除平台对电子签名制作数据的控制,使得电子签名制作数据仅用户知晓、签名必须由用户实施,确保包括系统在内的任何人都无法代替用户实施签约行为,从而实现电子合同的抗抵赖效果。

此外,理想的电子合同系统,除了去中心化架构,还要确保签约行为发生在本地服务器,确保所见即所得,并且借助内外网隔离的部署方式,排除机密内容外泄,保护企业的商业机密。

若是企业预备引入电子合同系统,在考察各电子合同服务商时,不妨多问以下几个问题,“数字证书是谁申请的?”、“电子签名制作数据是什么?保管在哪里?”、“如何保障制作数据唯一控制?”,以检测电子合同系统是否是中心化以及信息安全保护等级。在众多电子合同服务商中,坚定不移地选择去中心化平台,在保障法律有效性的前提下,追求便捷性,确保企业完成高质量数字化转型,实现高质量发展。

文章评论

请输入您的留言: