汇业评论

文 | 杨艳辉 合伙人 娄禺轩 律师 汇业律师事务所

一、问题的提出

随着智能设备的普及，以往许多需通过在传统印刷纸上加盖公章、签字捺印达成的签名方式，已经可以转换到通过电子签名完成签名行为。当我们在支付宝通过指纹识别付款、通过数字U盾进行网上银行交易、通过电子笔在银行设备上签署文件时，其实都是在通过电子签名方式完成对文件签署或交易行为的确认。那么，电子签名是否安全？其实施方式究竟是怎样的？法律又是如何确认电子签名效力的？

二、法律分析

（一）电子签名的法律本质

《中华人民共和国电子签名法》第二条规定：“本法所称电子签名，是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。”根据该条内容规定，电子签名主要用于识别签名人、并表明签名人对内容的认可。同时，该法第十三条规定，可靠电子签名所应具备的条件：

1、电子签名制作数据用于电子签名时，属于电子签名人专有；

2、签署时电子签名制作数据仅由电子签名人控制；

3、签署后对电子签名的任何改动能够被发现；

4、签署后对数据电文内容和形式的任何改动能够被发现。

简言之，电子签名的法律本质是一种电子数据的使用，其需要通过外部签约行为+内部加密行为的过程来固定和呈现。并且，该过程核心点在于内部的加密行为，通过加密使得所有电子签名具备唯一性，并使电子签名具备上述法律规定的可靠性标准“合同主体可信、签署行为真实、结果不可篡改”。

需说明的是，上述规定并未指定电子签名具体的实现方式或者技术手段，而从司法实践而言，其呈现形式也并不唯一。对于通常情况下电子形式的图章或企业公章，其实是电子签名中的外部表现形式。不管呈现样式如何，其背后形成的法律效力签名并非表现出来的红色电子章，而是电子章背后的代码。企业使用CA证书进行报税、使用数字U盾进行网上银行交易转账、通过支付保账户【1】或第三方网站【2】进行合同签订等均可被视为使用电子签名的行为（代码的编辑固定）。以我们向某电子合同服务平台公司咨询为例，电子合同上电子签章的呈现可以通过企业在白纸上扫描自己的公章上传完成，也可以通过输入名字后套用公章模板完成（如下图）：

（二）电子签名的法律适用范围

根据《合同法》第十条、第十一条【3】，以及《电子签名法》第三条【4】及其他相关规定，明确电子签名方式的适用范围包括一般民事合同如借款合同、买卖合同的签署、电子招投标活动【5】、会计档案管理【6】、电子营业执照【7】等。

但是，《电子签名法》第三条同时明确不可适用的文书：“……前款规定不适用下列文书：

（一）涉及婚姻、收养、继承等人身关系的；

（二）涉及土地、房屋等不动产权益转让的；

（三）涉及停止供水、供热、供气、供电等公用事业服务的；

（四）法律、行政法规规定的不适用电子文书的其他情形。”

三、电子签名的实现方式

实践中，通过电子签名方式签署电子合同，一般需要有四方介入：

1、电子认证服务机构【8】；

2、电子合同服务平台；

3、签订合同的主体，且主体均需在电子合同服务平台上完成认证注册；

4、可信第三方时间戳【9】服务中心（如联合信任时间戳服务中心，网址：www.tsa.cn）。

上述四方主体中，电子合同服务平台是最为关键的中介机构，它用以连接签订合同的主体和另外两方后台加密机构。如下图示：

尽管《电子签名法》第十三条同时规定，交易各方可使用符合其约定的可靠条件的电子签名，但为保障交易安全，通过第三方电子认证服务机构进行电子签名的认证的方式可以最大程度强化电子合同的法律效力（第三方电子认证服务机构需要根据《电子签名法》的规定取得认证资质），这也即本意见开篇所述的内部加密行为，使电子签名符合《电子签名法》规定的可靠性标准。

以下是我们在某电子合同服务平台查询到的操作步骤，可供参考：

四、电子签名的法律风险分析

从目前法律规范和司法实践而言，我们判断电子签名主要风险表现在：

1、电子签名使用人的失密告知。《电子签名法》第二十七条规定：“电子签名人知悉电子签名制作数据已经失密或者可能已经失密未及时告知有关各方、并终止使用电子签名制作数据，未向电子认证服务提供者提供真实、完整和准确的信息，或者有其他过错，给电子签名依赖方、电子认证服务提供者造成损失的，承担赔偿责任。”因此，电子签名使用人除需谨慎保管电子签名的使用密码之外，对于已知的失密或可能存在的失密状态都负有及时告知相关方的义务，否则要对给相关方造成的损失承担赔偿责任。

2、电子签名被冒用。传统的纸质合同交易模式，交易合同一般仅保存于交易双方，除非双方故意扩散图章信息，其印章被其他无关第三方发现和模仿的风险较低。若采用电子签名方式，则意味着交易双方均将其图章信息上传至互联网中，若一旦出现信息泄露，很有可能导致第三方利用数据收集的能力或购买信息收集电子签名的主体图章，进而模仿或盗用。对此，《电子签名法》第三十二条规定：“伪造、冒用、盗用他人的电子签名，构成犯罪的，依法追究刑事责任；给他人造成损失的，依法承担民事责任。”

3、第三方电子认证服务机构泄露信息。由于电子签名本质上是一串虚拟的数据或代码，与其他网络信息一样，电子签名也面临着网络信息安全风险，如认证机构故意或过失行为所致的信息泄露或遗失，电子签名人在遭遇上述风险时往往无法依靠自身技术条件实现安全保障或进行自力救济。不过，《电子签名法》第二十八条对此有所规定：“电子签名人或者电子签名依赖方因依据电子认证服务提供者提供的电子签名认证服务从事民事活动遭受损失，电子认证服务提供者不能证明自己无过错的，承担赔偿责任。”

五、司法实践对电子签名签约合同效力的认定

目前，已有法院对采用电子签名方式签订的合同的有效性认定作出了判决。深圳市中级人民法院在(2016)粤03民终22811号判决中直接认定了采取数据电文形式生成的涉案的《委托担保协议书》、《担保函》及《借款合同》等电子合同，因系当事人真实的意思表示且使用可靠的电子签名签署，应属于有效的协议。法官在上述判决书中明确了电子签名为合法的签名方式，并援引了《电子签名法》第十四条的规定，明确了当事人使用可靠的电子签名的法律效力等同于手写签名或盖章。

此外，司法实践中存在许多自然人与银行间的涉及电子签名的纠纷。在这类纠纷中，往往是自然人通过在银行开通个人网银服务，但因个人疏忽所致的电子签名信息泄露或因自身被骗而将网银电子签名信息泄露给犯罪嫌疑人而导致的财产损失。此时，自然人往往主张导致财产损失的电子签名并非由其自身作出，因此银行因未尽监管义务需承担赔偿责任。但在相关案例中，法院依据了《电子签名法》第十四条的规定，认定因开通网上银行需该自然人实名认证并开通，且网上银行登录的用户名和密码以及开通的“U盾”等均为该自然人设置并为其本人所掌控，因此由此产生的电子签名应被视为可靠的电子签名，该可靠的电子签名与本人的手写签名或盖章具有同等的法律效力，所以银行在所接收的电子签名正确的情况下完成的转账行为并不违约，相关的资金损失不应由银行承担。

可以看出，电子签名的效力已在司法实践中获得认可，符合《电子签名法》的可靠的电子签名在实践中与传统纸质的签字盖章也具有同等法律效力。此外，值得注意的是，最高人民法院在2018年9月发布了《最高人民法院关于互联网法院审理案件若干问题的规定》（下称《规定》）。《规定》第十一条中“当事人提交的电子数据，通过电子签名、可信时间戳、哈希值校验、区块链等证据收集、固定和防篡改的技术手段或者通过电子取证存证平台认证，能够证明其真实性的，互联网法院应当确认。”也被视为我国首次以司法解释的形式确认了电子签名的法律效力。

六、关于使用电子签名签约合同的法律建议

综上我们认为，企业使用电子签名签约商务合同具备法律效力和操作可行性。完善管理和使用电子签名进行交易，可节省大量合同签约、管理和归档成本，有效提高商业交易效率。但由于互联网技术的不确定性，电子签名仍然具有一定的法律风险，对此，我们建议在寻找电子合同服务平台时选择知名度较高经过认证的平台，在进行合同签章电子化时，应当确保电子签名制作数据专有且被专人控制，对电子签名等电子数据实施监控防止电子签名被篡改，以使得电子签名达到法定“可靠”性的标准从而使电子化的签章具备与手写签名盖章同等的法律效力。

同时在进行合同签字印章电子化的同时，对于重大合同的签订可以通过另行签订确认书的形式来弥补电子签名可能存在的未经认证或被冒用、盗用等风险，以保证合同的真实有效性，降低交易风险。

注释

【1】浙江阿里巴巴小额贷款股份有限公司与郑国华小额借款合同纠纷案中[案号：（2011）杭滨商初字第178号]，法院认为：“……原告通过支付宝的实名认证，可以确认其户主身份为本案的被告。在线签订《贷款合同》过程中，经过原告审查，使支付宝账号上的授信贷款处于可点击状态，视为原告向被告发出要约；通过输入被告的支付宝账号及密码，即可确认合同的签约人为被告本人或其授权的代理人，并表明认可合同相关内容，通过上述电子签名，视为被告对上述要约作出的承诺。”

【2】深圳市中兰德融资担保集团有限公司与林大伟,黄伟,霍健,黄双红,深圳市速必得电器有限公司,深圳市顶点先进科技有限公司等追偿权纠纷案件中[案号：（2015）深福法民二初字第1164号]，法院认为：被告林大伟通过合拍在线网站在线签署的《借款及担保合同》、《委托担保协议书》合法有效，理由如下：一、《中华人民共和国电子签名法》第十四条规定，可靠的电子签名与手写签名或者盖章具有同等的法律效力。被告林大伟申请办理了合拍在线会员数字证书，且签署了《天威诚信数字证书用户使用责任书》，其在合拍在线网站的电子签章已取得合法数字认证，依法具有法律效力。”

【3】《合同法》第十条规定：“ 当事人订立合同，有书面形式、口头形式和其他形式。”第十一条规定：“书面形式是指合同书、信件和数据电文（包括电报、电传、传真、电子数据交换和电子邮件）等可以有形地表现所载内容的形式。”

【4】《电子签名法》第三条规定：“民事活动中的合同或者其他文件、单证等文书，当事人可以约定使用或者不使用电子签名、数据电文。当事人约定使用电子签名、数据电文的文书，不得仅因为其采用电子签名、数据电文的形式而否定其法律效力。”

【5】《电子招标投标办法》第四十条规定：“招标投标活动中的下列数据电文应当按照《中华人民共和国电子签名法》和招标文件的要求进行电子签名并进行电子存档……”

【6】《会计档案管理办法（2015）》第九条规定：“满足本办法第八条规定条件,单位从外部接收的电子会计资料附有符合《中华人民共和国电子签名法》规定的电子签名的,可仅以电子形式归档保存,形成电子会计档案。”

【7】《国家市场监管总局关于印发<电子营业执照管理办法（试行）>的通知》第十五条：“市场主体使用电子营业执照可以对数据电文进行电子签名，符合《电子签名法》第十三条规定条件的，电子签名与手写签名或者盖章具有同等的法律效力。”

【8】《电子认证服务管理办法》第二条规定：“本办法所称电子认证服务，是指为电子签名相关各方提供真实性、可靠性验证的活动。本办法所称电子认证服务提供者，是指为需要第三方认证的电子签名提供认证服务的机构”。目前电子认证服务机构主要称作权威数字证书认证机构（Certificate Authority，简称CA）。

【9】可信时间戳就是由可信的第三方时间戳服务中心（TSA）颁发的证明电子文件产生时间的电子凭证，其与和第三方CA的数字证书相结合的方式， 实现满足《电子签名法》要求的可靠电子签名的不可篡改的时间，使电子合同具有与纸质合同相同的法律效力。在（2015）宁知民终字第243号南京途牛科技有限公司与华盖创意（北京）图像技术有限公司侵害著作权纠纷案中，法院认为：“可信时间戳是解决电子签名有效性和数据电文（电子文件）时间权威问题的有效方式，是解决数字作品或作品数字化后权利人证明其作品产生时间、内容及权属问题的一条途径。”