作者:胡琪、陈成、付涵冰
时至今日,电子合同与电子签名已不再是一个新兴概念,人们对于电子合同、电子签名的不信任感逐渐消除,在政务、商业活动中也已经广泛的应用。而在新冠疫情爆发后,在疫情及疫情管控措施的影响下,政务办理、贸易往来受困于时间、空间的限制,电子合同凭借其便捷、高效、安全的优势,愈发受到政企主体的关注与青睐。但是如何判别有效的电子合同与可靠电子签名、如何保障签署的电子合同真实有效、如何甄别选择电子签名服务商等问题,仍令众多电子合同使用者感到困惑。本文旨在结合相关法律法规规定、相关国家标准、司法判决案例,对前述问题予以探讨。
结合《民法典》《电子签名法》的规定,可以将电子合同理解为民事主体之间以数据电文设立、变更、终止民事法律关系的协议。根据《民法典》的规定,合同按照形式的不同,可以分为口头形式合同、书面形式合同和其他形式合同。其中书面形式,并不是单指以传统的纸质书面形式订立的合同,而是指“可以有形地表现所载内容的形式”,这也是书面形式合同与口头形式合同、其他形式合同的本质区别。不难发现,我们日常所见的电子合同,大多也满足了前述书面形式的要求,即电子合同中记载了合同的具体内容并可有形展示。其实电子合同与其他书面合同的主要差异在于,电子合同是通过数据电文的方式实现“有形表现合同内容”。因而采取符合书面形式要求的数据电文而订立的电子合同,按照法律规定可以视为书面合同。
数据电文也称为电子信息、电子通信、电子数据、电子记录、电子文件等,一般是指通过电子手段形成的各种信息。我国的《电子签名法》中规定,数据电文是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。我国的《数据安全法》中规定,数据是指是指任何以电子或者其他方式对信息的记录。结合上述定义,可以理解为,数据电文在本质上属于数据的一种,但相较于其他数据而言,数据电文可相对完整、系统的反映一定的事实、法律关系,如电子合同、电子订单等等。根据《民法典》与《电子签名法》的规定,符合书面形式要求是指,“能够有形地表现所载内容”与“可以随时调取查用”。如前所述,“能够有形地表现所载内容”是所有书面形式合同的基本要求。我们通常理解的“能够有形地表现所载内容”,是电子合同与传统的纸质合同一样,通过电脑、手机等电子终端向缔约方完整的展现合同的内容。在司法实践中,已明确“电子合同未必具有传统概念下的书面正式文本形式,只要能够准确反映当事人之间达成意思表示一致的信息,便应当认为符合《合同法》对于书面要求的规定。”[1]可见如当事人间通过电子邮件往来进行要约与承诺,也可以是认定为满足了该要件。
而“可以随时调取查用”的用意在于,合同是签约方行使权利与履行义务的依据,是争议发生后的关键证据,如果不能做到适当保存与随时调用,那么就丧失了作为书面形式合同的关键作用。所以签署完成后的电子合同,应当以适当的形式保存,并能够在需要时随时调取查阅,如电子邮件的正文或附件,或者通过使用第三方电子签名服务商提供的存证服务而保存的电子合同。
根据《电子签名法》规定,“民事活动中的合同或者其他文件、单证等文书,当事人可以约定使用或者不使用电子签名、数据电文”。因此,除非法律法规另有禁止性规定,当事人可以根据自己的需求自由选择是否以电子合同的方式完成合同的签署。除合同外,目前实践中也存在其他以数据电文形式签署的文件,如公司内部的OA流程审批文件、公司内部决议文件,以及在电子政务活动中涉及的相关文件。
考虑到适用场景、调整法律关系等问题,除了兜底性条款外,《电子签名法》明确列举了两类不能使用电子签名、数据电文签署的文书,包括涉及婚姻、收养、继承等人身关系的文书以及涉及停止供水、供热、供气等公用事业服务的文书。
关于电子合同的效力问题,可以从两个维度理解,首先,电子合同不因其数据电文的性质而导致其效力受到“歧视”,《民法典》《电子签名法》以及《最高人民法院关于互联网法院审理案件若干问题的规定》均已赋予其合法的效力;其次,电子合同属于合同的一种,其生效条件也适用《民法典》关于合同订立与生效的一般构成要件,即满足由缔约双方真实签订,且缔约双方意思表示真实。因此,要回答电子合同是否有效的问题,关键在于如何证明电子合同满足了前述合同生效的一般构成要件。为此,便不得不提到电子签名。
根据《电子签名法》的规定,电子签名,是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。据此,电子签名需要满足的要件包括,(1)形式上以电子形式生成、制作与保存;(2)功能上能够识别签名人身份并表明签名人认可数据电文中内容;(3)为电子合同等数据电文的组成部分。根据电子签名的定义,电子签名并不强调必须要以有形的签章形式出现,不一定是我们所通常理解的电子形式的签字、印章,电子签名的形式可以多种多样,通过动态密码卡、USBkey,抑或是目前常用的面部、指纹或其他生物信息构建的身份认证系统后进行的点击确认等,都属于《电子签名法》下的电子签名。可以说电子签名所具备的功能满足了前述合同订立与生效的一般构成要件,(1)电子签名的“能够识别签名人身份”功能,与合同由缔约双方真实签订相对应;(2)电子签名的“可表明签名人认可电子合同中的内容”功能,与合同缔约双方意思表示真实相对应。那是否就意味着在电子合同签署电子签名后,就万事大吉了呢?“刘某、广州农村商业银行股份有限公司金融借款合同纠纷案”中,广州农商行在线上与刘毅订立涉案电子借款合同,具体方式为通过人脸识别、银行卡四要素鉴权等对借款人身份进行核验,且刘某申请贷款时使用其e帐通密码、银行卡绑定手机号码、据此获得的手机验证码等均由刘毅本人掌握。上述签署流程,通过多重身份验证手段满足了电子签名的功能要求,因此法院也认定广州农商行与刘某之间的借款合同关系成立并生效。但刘某举证并主张提出,签署的电子借款合同创建时间、修改时间、创建者PDF制作者等等这些内容都是有过修改的,不是当初形成的版本,对涉案借款合同的真实性提出质疑。
可见,电子合同签署电子签名后,还面临的一个关键问题是,电子合同与电子签名是否存在被篡改情形,如果存在篡改的情形,将导致电子合同真实性存疑,存在此电子合同非彼电子合同的罗生门,难以确认现有电子合同与签约方原真实自愿签署的电子合同内容是否一致。对于书面合同而言,在经过签字或盖章后,无论是合同内容还是签字盖章都业已固定且难以篡改,即使存在篡改的情况,也可以通过司法鉴定等手段予以识别。而对于电子签名而言,由于是以电子形式制作与存储,而负责制作与保存的一方乃至其他第三方,可能具有篡改电子签名与电子合同的技术条件与能力。因此电子签名需要通过技术手段,实现防止篡改,或者具备证明不存在被篡改的能力,才能消除公众对其的不信任感,证明其真实性。
根据《电子签名法》的规定,可靠的电子签名与手写签名或者盖章具有同等的法律效力,可靠的电子签名需要满足以下四个条件:(1)电子签名制作数据用于电子签名时,属于电子签名人专有;(2)签署时电子签名制作数据仅由电子签名人控制;(3)签署后对电子签名的任何改动能够被发现;(4)签署后对数据电文内容和形式的任何改动能够被发现。
《电子签名法》对可靠电子签名要件规定的用意,并不难理解,第1项与第2项要件,都是为了实现电子签名的必要功能,即能够识别签名人身份并表明签名人认可数据电文中内容,实现在签名的时点电子合同满足了合同生效的要求。而第3项与第4项要件,即是为了实现防篡改,保证电子签名与电子合同的持续真实性。
《最高人民法院关于互联网法院审理案件若干问题的规定》规定,“当事人提交的电子数据,通过电子签名、可信时间戳、哈希值校验、区块链等证据收集、固定和防篡改的技术手段或者通过电子取证存证平台认证,能够证明其真实性的,互联网法院应当确认。”电子签名服务商们通过对身份认证、数字认证、可信时间戳、哈希值校验、区块链等技术手段的组合应用,实现了相对成熟的可靠电子签名的解决方案,并逐渐在司法实践得到印证与认可。身份认证技术手段虽然种类多样,但万变不离其宗都是为了验证客户的身份是否真实。身份认证技术在日常生活中随处可见,比如最为寻常的为账号密码登陆、手机号短信验证,以及银行业曾经广泛使用的动态口令,USBkey都属于身份认证技术,而随着商业活动对身份验证便捷性、安全性的不断提高,又演进出各类基于生物信息识别的身份认证技术,包括面部识别、指纹识别、虹膜识别、语音识别等。身份认证环节通常是是电子签名签署的前置环节,用以证明电子签名在签署人的控制下,电子签名的签署是由电子签名人本人完成,电子签名人同意签署此电子合同且意思表示真实。在电子合同争议纠纷中,被告常见以非本人真实签署、第三人以本人名义签署、账号被第三方盗用等。但是,如果被告方通过了有效的身份认证系统审核,那么法院也通常会认为原告已经尽到了足够的注意义务、举证已达到高度盖然性标准,或被告未尽到对电子签名的合理保管义务等[2],而认定电子合同成立生效。但身份认证技术并不能单独实现可靠的电子签名,因为其无法实现防止篡改的功能。根据《电子签名法》《信息安全技术 公钥基础设施 数字证书格式》中相关规定,电子签名的认证,是由国家认可的、从事电子认证服务的认证机构对电子签名出具一个可信的数字化文件。根据《信息安全技术 公钥基础设施 数字证书格式》(GB/T20518-2018),数字证书中包含了用户的唯一性标识符,且数字证书是不可伪造的。而且数字证书的扩展域中能够包括电子合同签署场景的相关信息,如合同签署参与主体、电子合同的摘要值、电子印章数据,通过验证该等信息,能够证明电子合同的真实签署主体、以及电子签名后电子合同的内容是否完整、是否被篡改[3]。数字证书对可靠电子签名的证明作用,不但在司法实践中得到了印证,而且也得到了行业主管部门的认可。如人力资源和社会保障部办公厅发布的《电子劳动合同订立指引》中规定,“用人单位和劳动者要使用符合《中华人民共和国电子签名法》要求、依法设立的电子认证服务机构颁发的数字证书和密钥,进行电子签名。”可信时间戳是广泛采用的电子合同存证手段之一,《电子劳动合同订立指引》中规定,“电子劳动合同经用人单位和劳动者签署可靠的电子签名后生效,并应附带可信时间戳”。《私募投资基金电子合同业务管理办法(试行)》中同样规定,“电子合同业务服务机构应当采用国家授时中心认可的时间戳,满足防重放要求。”根据《信息安全技术 公钥基础设施 时间戳规范》(GB/T20520)的相关描述,可信时间戳是时间戳机构依据可信时间对电子签名颁发的时间戳,用以证明原始文件在签名时间前即已经存在,可信时间的来源一般是国家授时中心或使用国家权威时间部门认可的硬件和方法取得的时间。可信时间戳能够可靠证明电子合同的准确产生时间,以及电子合同在经电子签名后未被篡改。可信时间戳的证明作用在司法实践中也得到较为广泛的认可[4]。但是可信时间戳无法对电子签名者的身份进行验证,所以无法单独实现可靠的电子签名。哈希值验证的基本原理是,计算签署完毕电子合同的哈希值,并将计算后的哈希值上传至云端予以保存。在验证时重新计算电子合同的哈希值,并将原哈希值予以比对,如果完全一样即可证明电子合同的一致性,未被篡改[5]。由此可见,哈希值验证的主要功用也在于验证电子合同是否被篡改,实现电子合同的存证、证明电子合同的真实性。
目前电子签名服务商所使用的区块链技术主要是应用于电子合同存证领域,通过验证存储于区块链上的哈希值,证明电子合同是否被篡改、是否真实完整。具体来说,其基本流程为,区块链上存储基于共识算法计算出的哈希值,被作为电子合同的“指纹”,具有唯一性与可识别性。一旦发生争议,可以将当事人提交的链下保存的电子合同计算出哈希值与链上存储的哈希值进行比对,以验证合同文件是否被篡改[6]。
作为电子签名人,想要实现可靠的电子签名,关键还是要选择可靠的电子签名服务商。电子签名关乎电子合同效力,而使用电子签名批量签署电子合同的B端企业用户,一着不慎,可能导致合同效力存在“系统性风险”。对于需要选择电子签名服务商的非专业技术人士,在因面对纷繁缭乱的宣传标语和技术名词而不知所措时,可以转而重点关注以下几个方面:电子签名服务提供商所提供电子签名服务的电子合同,在司法实践中的效力认定情况是其可靠性最好的背书。部分电子签名服务商会将其提供电子签名服务的合同效力被支持的代表案例在官网中予以展示,其销售客服可能还会根据客户要求进一步提供具体的司法案例以供参考。在查阅该类案例时需要注意以下几个方面:首先,拟选择的电子签名服务提供商并不一定是诉讼主体,但案件中诉争的电子合同应当是由其提供了签署、存证服务。其次,案件是否将电子合同的效力作为了争议焦点,或者案件中是否对于电子合同的效力经过了有效的举证、质证、抗辩与答辩。否则,在一方未对电子合同效力提出异议的情况下,人民法院通常会认定电子合同有效。最后,案件的审理法院是否为专门互联网法院,或者审理法院地域、级别是否与拟签署电子合同中约定的适用管辖法院重合或相近。如缺乏可靠司法判例的情况下,则可关注电子签名服务商公开宣传的客户中是否有政府机构、知名或同行业上市公司、大型国有企业与金融机构,一般来说该类主体的合规风控相对更为严格,可以侧面印证电子签名服务商的可靠性。在考察电子签名服务商提供的签约流程与方案时,一方面,应当在业务、商业层面考量,其签约流程与方案是否满足了业务需求,是否高效、便捷,是否与公司内部的OA流程相接洽,是否可以定制化的设计与自身业务需求相符的签约流程、方案。另一方面,应当基于合规层面考量,如针对可能存在格式条款的电子合同,签约流程中是否有对关键条款的高亮、摘录展示以及单独确认的环节,又如签约后是否有电话回访以对合同签署的确认环节,再如是否满足特殊规定类型电子合同的签署要求(如电子劳动合同签署前对劳动者的明确告知环节)。以电子签名服务商常用的数字认证服务为例,电子签名服务商提供数字认证业务,需要取得电子认证服务许可,因此可以事先通过网络公开查询或其在官网展示的资质许可文件,确认其是否已取得电子认证服务许可。而对于未取得电子认证服务许可但实际提供数字认证服务的电子签名服务商,通常采取了曲线救国道路——与相关持证数字认证机构合作,实际由数字认证机构最终提供电子签名的数字认证。对此,可以尝试要求电子签名服务商提供脱敏版的合作协议,以确认该类电子签名服务商是否与数字认证机构真实签署有合作协议,以及合作协议约定的合作期限,是否能够覆盖所需电子签名服务期限。除数字认证服务外,如可信时间戳、区块链存证、乃至身份认证系统,都可能存在电子签名服务商与第三方机构合作的情形,同样需要关注相关合作、授权协议的签署情况。
如电子合同的存证服务,包括存证期限、存证费用收取情况,毕竟存证服务关系重大,涉及是否可以随时调取(满足电子合同书面形式要求的要件)以及是否被篡改(满足可靠电子签名的要件)。又如涉及纠纷、诉讼后的辅助服务,如是否可提供验证证书、是否可提供存证合同、是否可配合提供专家证人等等。
有效的电子合同与可靠的电子签名紧密相连,使用可靠的电子签名签署电子合同,能够保障电子合同成立生效且完整真实。实现可靠的电子签名,已经有相对成熟的技术解决方案,且陆续在司法实践中得到认可,为公众使用电子合同、电子签名扫除了顾虑。公众的关注重点已经从能不能使用电子合同与电子签名,转化为如何使用电子合同与电子签名,而此问题的核心即在于如何选择靠谱的电子签名服务商。结合电子合同的含义、可靠电子签名的构成要件,以及技术路径,建议从提供服务的电子合同效力司法判决、签约流程与方案设计、资质与许可、配套与辅助服务情况对电子签名服务商予以评价及选择。
[1] 详见上海海事法院2019年度十大典型案例之舟山群岛国际邮轮港有限公司诉上海大昂天海邮轮旅游有限公司海事海商纠纷案
[2] 《电子签名法》中明确规定,“电子签名人应当妥善保管电子签名制作数据。电子签名人知悉电子签名制作数据已经失密或者可能已经失密时,应当及时告知有关各方,并终止使用该电子签名制作数据。”明确了电子签名人对电子签名的妥善保管及通知义务。
[3] 如在“杜耀岭与吉林国际商品交易中心有限公司期货交易纠纷案件”中,法院查明,“北京天威诚信电子商务服务有限公司受吉商交易中心的委托出具了天威诚信数字认证中心数字签名验证意见书,编号为iTrusChina[2018]鉴字第1XX号,其验证结论认为数字证书序列号为24d5688ff726830a740a4ed66000396099ec7XXX并在其中载明“证书所有者”为杜耀岭的数字证书由天威诚信签发,数字证书有效期限自2016年12月26日17:14:34开始至2017年12月26日17:15:34终止,该数字证书在有效期内处于持续有效状态。电子签名验证结论为杜耀岭的数字证书签署了“杜耀岭c5e11c7e-1c99-4d9c-bf1f-9f1241721XXX.pdf”的电子文件,且该电子文件签署后未被改动。”
[4] 如在杭州互联网法院已审理并认可多起涉及可信时间戳的电子合同案件。在“漳州龙文区裕尚豪廷娱乐中心、中国音像著作权集体管理协会侵害作品放映权纠纷案件中”,法院认为联合信任时间戳服务中心签发的可信时间戳是解决电子签名有效性和数据电文(电子文件)时间权威问题的有效方式,主要应用于知识产权证明、电子证据固化、电子合同等领域的电子数据原始性认证。
[5] 具体可见厦门市七星通联科技有限公司与孔令国追偿权纠纷一案。
[6] 参见《2021年中国电子签名行业研究报告》