数字证书是由CA机构签发的电子凭证,签发前会通过多种手段验证拥有者的真实身份并与其数字证书进行绑定,由证书注册审核机构做权威性背书。早期的线上签批仅依赖OA办公系统完成,一般不具备真实性、机密性、完整性和不可否认性保护的能力。又如一些保险合同签署、患者知情同意书签署的方案中,仅使用事件证书作为签名依据,根据《电子签名法》的相关规定,难以形成有法律效力的电子签名,签署行为是否有效自然也令人怀疑。
无纸化签署,听起来跟云计算、大数据、区块链一样,好像都属于很有科技感,很“高大上”的一类词儿。如果跟你说,无纸化签署——就像其他现代感满满的技术一样——早已渗透到了我们每个人日常的购物、娱乐、学习、求职等活动中,你会觉得惊讶吗?
其实,无纸化签署离我们并不遥远。最简单的例子是,我们在下载使用一个APP、注册一个账号、在线购买一张门票或者一份保险的时候,都会遇到一个绕不过去的勾选“我已查看并同意协议内容”的步骤,这个勾选同意的过程,就是一个最简单的无纸化签署过程。无纸化签署的基本含义就是指将原本在线下使用纸质文件完成的各类签署过程转移到线上,用电子文件代替纸质文件,将加盖印章、签署姓名或其他字样用某种线上方式替代,使签署参与方不需要使用纸笔即可在电脑或手机、平板等设备上完成签署。
不过要完成签署过程的无纸化并非表面看来那么简单,人们之所以信任纸质契约、合同或凭证的内容,是因为从纸质文件中可以采集到足够多的验证因子,比如签署人的公章、私章、字迹或某种暗记,以及文件本身所蕴含的信息如材质、标记、水印、纹路甚至是气味、年代感,进而得到一个信息:该文件所载明的内容在签署的时刻,从盖然性的角度可推定是各签署人都确定、认可的——这是一个理想的情况。实际上针对纸质文件的伪造手段层出不穷,其本身易污损、易丢失、易毁灭和难恢复、难验证、难追溯的缺陷更是平添了不少麻烦。无纸化签署可以解决纸质文件制作和传递成本高、流转慢、存储占空间的问题,但如何继承或增加上述纸质文件承载的验证因子,使无纸化签署的电子文件能产生约束和法律效力,就不仅仅是一句“电子化”就能解决的事。
对上面“勾选确认”的无纸化签署案例进行分析,就会发现如果不附加其它安全手段,这种签署是不能产生等同于纸质文件签署的效力的,签署过程中仅收集到一个勾选操作,即使绑定了用户信息,因为没有使用防篡改、防抵赖手段,在产生纠纷时,基本不能提供任何证据证明该勾选行为确实由某个特定用户基于其真实意愿做出。针对无纸化签署的身份验证、防篡改、防抵赖需求,以及某些电子文件的保密性需求(如涉及个人隐私、商业秘密的合同等),我们引入了数字证书技术,利用数字证书提供身份真实性认证、文件机密性、完整性保护以及签署行为的不可否认性保护。数字证书是由CA机构签发的电子凭证,签发前会通过多种手段验证拥有者的真实身份并与其数字证书进行绑定,由证书注册审核机构做权威性背书。常见的数字证书应用形式有银行网银U盾、网站SSL证书、移动端用户证书(如手签宝、手机盾)等,通过对数字证书、人脸识别、手写电子笔迹采集等技术的合理应用,无纸化签署才真正做到等同于或者超越纸质文件的法律效力,开始在我们生活的方方面面提供安全性和便利性的服务,常见的无纸化签署有以下场景:
1. 电子合同:商业合同、人事任用合同、购房/购车合同、保险合同的无纸化签署已较为常见,通过签约网站或平台如网信签电子合同签署平台使用组织或个人的数字证书,结合电子印章、手写签名完成电子合同的快速签署和存证,在教育、保险、物流、电子商务、人力资源、供应链、不动产、租赁等行业近年来快速推广应用,取得了良好的效益。
2. 线上签批:线上签批指在企业内部或上下级部门之间,以线上方式进行文件流转、查看和添加审批意见,以达到收集各相关方对电子文件所载内容意见的过程,包括合同审批、提报表单审批、人事管理审批、财务审批、项目审批、资料借阅审批等。早期的线上签批仅依赖OA办公系统完成,一般不具备真实性、机密性、完整性和不可否认性保护的能力。随着企业安全意识和国家对密码应用安全性评估要求的提高,OA与Ukey、电子签章服务、手机盾等结合形成联合解决方案的方式将会成为一种兼顾经济性、便利性和安全性的应用模式。
3. 医护技、患者线上签署:医疗场景中电子病历、电子处方通过医院HIS系统已在中大型医院得到普遍应用,但(患者)知情同意书一般仍为纸质文件,使得医院在用户相关资料的流转、归档、查验过程中的全程电子化存在环节缺失,通过信安签等签署平台,患者或家属可在小程序或APP上快速完成知情同意书签署,且签署文件自动与医院HIS同步并进行可信存证,在促进医疗文件电子化全闭环的同时,帮助患者和医院降低出现纠纷的风险,压缩出现纠纷时的维权周期和维权成本。
无纸化签署在电子政务、电子商务、医疗、企业内部管理等领域存在着大量的应用场景,从应用实践来看,总体上取得了良好的效果,但市场上部分解决方案在对密码应用的合规性、正确性和有效性方面仍存在诸多问题,如移动端数字证书签名私钥的安全性保护方面,一些方案中仍在使用软证书的方式,在手机开放的网络环境下,显然难以满足安全需求。又如一些保险合同签署、患者知情同意书签署的方案中,仅使用事件证书作为签名依据,根据《电子签名法》的相关规定,难以形成有法律效力的电子签名,签署行为是否有效自然也令人怀疑。
数字证书在无纸化签署领域的引入,为解决签署行为合规性、有效性、不可否认性,以及解决签署文件的完整性、机密性问题提供了诸多的可能方式,但如何做到真正解决用户业务系统实际面临的问题,而不仅仅是在表面上迎合国家对网络安全和密码应用的相关要求,还需要从《电子签名法》、《数据安全法》出发,基于业务系统实际情况,去伪存真,筛选出真正兼顾经济性、安全性和合规性的无纸化签署解决方案。
