【电子合同存在的抵赖风险】--风险及分析篇
《民法典》第四百六十九条,电子合同,是指以电子数据交换、电子邮件等方式能够有形地表现所载内容,并可以随时调取查用的数据电文,电子合同视为书面形式的合同。
书面形式的合同是通过手写签名、盖章的方式达成的,它最重要的功能就是通过立字为据,在当事人违背合同条款时,作为证据以防当事人抵赖早已承诺的权利义务,可以说,抗抵赖是合同的本质作用。
然而实务中,很多电子合同因诸多原因无法保障抗抵赖特性:
(2021)晋08执375号案例中,山西省运城市中级人民法院认定,该案所涉《借款合同》中借款人名称杨雨薇的签名系电子签章,无法确认签名真实性以及是否系其本人真实意思表示;
(2020)沪0105民初3332号判例中,上海市长宁区人民法院认为,根据法**公司出具的《技术报告》,法**公司系通过身份证号码、短信验证码的形式进行实名认证及签署验证。然而原告作为专业的融资租赁公司实际应已掌握被告的身份证信息,而对短信验证码接收设备是否为被告控制,《技术报告》并未说明,原告也未提供其他证据佐证,故本院难以认定相关电子签名为被告本人所为,对原告提供的《补充协议》及《技术报告》均不予采纳;
(2020)粤01民终12365号判例,广东省广州市中级人民法院在查明真相后,认为:钱盆公司通过”法**”公司为洪佩敏申请了一张数字签名证书,但没有证据显示已经过洪佩敏同意,并由洪佩敏申请。钱盆公司在未经洪佩敏同意的情况下,代洪佩敏申请电子签名证书,显然违反了上述法律法规的规定,因此,上述协议的签订并不是洪佩敏的真实意思表示。
(2019)皖1623民初3951号判例中,安徽省亳州市中级人民法院认为,昆山市玉山镇贰壹柒陆号好活商务服务工作室注册时间为2018年8月28日,其于2018年8月10日与好活(昆山)网络科技有限公司在“e签宝”电子平台签订的移动通信业务代理协议,属无效合同;
除了上述列举的,司法实务中法院认定电子合同无效的案件比比皆是,有些企业为追求所签署合同拥有完备的法律效力,而舍弃便捷高效的追求,选择搁置或者取消引入电子签名服务。归根到底,是因为电子签名涉及的领域知识较宽较深,大部分人没办法精准判断,只能听信签名服务商的一面之词或是因噎废食。
而,想要追求安全可靠与高效便捷双赢并不困难,只要了解签名抗抵赖特性及其实现原理,在对电子签名进行考察时,可以有自己的思考,就能够众多电子签名服务商中,挑选出一步到位抗抵赖特性的电子签名服务。
手写签名之所以能实现抗抵赖特性,在于手写签名痕迹可以与某个人建立不可否认的关联,签名痕迹源于签名人长久以来的书写习惯,其他人无法伪造,即意味着:只要出现某人的签名字迹,就可以反向推理出是特定人实施了签名行为,签名人享受签名内容所载权利,也需承担签名内容规定的义务。在日后因合同履约产生纠纷时,有签名痕迹的合同可以作为证据,帮助当事人维护自身合法权益。实现抗抵赖效果。盖章行为亦是如此,实体印章依赖于物理保护,通过严格的公章保管、登记和审批程序,以保障印章使用的安全。
由于交通、通讯的迅猛发展,商务活动由原先的局部地域拓展至跨市、跨省甚至是跨国,传统面对面签名盖章的行为模式早已不适用,高效便捷的签约方式成为需求,电子合同时代已然来临。
电子合同是通过电子签名的技术方式实现的,电子合同是否具备抗抵赖特性在于电子签名是否可靠,《电子签名法》第十四条明确规定,可靠的电子签名与手写签名或者盖章具有同等的法律效力;并在第十三条阐明,符合下列条件,视为可靠的电子签名:
(一)电子签名制作数据用于电子签名时,属于电子签名人专有;
(二)签署时电子签名制作数据仅由电子签名人控制;
(三)签署后对电子签名的任何改动能够被发现;
(四)签署后对数据电文内容和形式的任何改动能够被发现。
前两条,电子签名制作数据属于签名人专有且唯一控制,可以实现签名仅由签名人完成,与手写签名字迹仅出自特定签名人如出一辙;后两条签名以及签名内容的不可改动,可以实现签名的固定,与传统签名盖章的一式多份、分别保管实现相同效果。
实务中,后两条的防篡改实现方法多样,例如数字证书、哈希运算以及区块链等都可实现,但前两条的电子签名制作数据专有且唯一控制却存在诸多问题。
依照《电子签名法》第34条,电子签名制作数据,是指在电子签名过程中使用的,将电子签名与电子签名人可靠地联系起来的字符、编码等数据。它类似于手写签名中的签名字迹,可以对应到特定主体,不同之处在于,签名字迹天然可以对应到某个自然人,但是电子签名制作数据本质上是字符串,它依赖于法律拟制后天地于特定主体建立关联,设定关联关系的机构也就是CA机构,常见的数字签名中,能够代表某主体身份的电子签名制作数据就是常说的:私钥。
市面上常见的电子签名主要分为两类,Ukey电子签名以及SaaS中心化电子签名,前者因物理属性,无法满足商务活动追求的高便捷性,在招投标场景中使用较为频繁;后者SaaS电子签名,却因中心化存在诸多风险,其中最显著的就是:SaaS电子签名服务商代替用户申请并保管数字证书与签名密钥对,由此产生的电子签名抵赖风险!
如果你仔细查阅市面上的大部分电子签名服务商的《使用协议》,你就会了解称其为中心化电子签名的缘由,《使用协议》中明确写明,用户确认委托平台将其身份传输CA机构用于申请数字证书,也明确表示平台托管数字证书,并且用于认证并签署的签名密钥对也是由平台申请并保管,不需要将私钥传送给用户。
显然,平台掌握了用于签名的所有数据,私钥与数字证书都由其保管,它仿若用户的中心代理人,用户需要签名时,通知云平台,云平台会通过发送验证码要求用户输入,确认验证码无误后,以用户的名义调用私钥完成签署,这个过程中有四处值得注意:
一、平台代替用户向CA申请并保管数字证书
此处并不是说委托申请数字认证不合规定,而是说平台如若掌握用户姓名、身份证号码等信息,是会存在私自申请数字证书的可能性,这与CA机构的实际运营模式情况有很大关系。
按照电子认证规则,CA机构需要严格依照电子认证业务规则完成电子认证;然而实务中,有些CA机构一味追求发证数量,私下将审核权限下放至大客户,这造成了在用户不知情状况下,平台私自以用户身份申请数字证书,私自以其名义完成签署。
正如(2020)粤01民终12365号裁判文书中,钱盆公司在未经洪佩敏同意的情况下,代洪佩敏申请电子签名证书,通过此数字签名证书签署的电子协议,自然不具备抗抵赖特性。
(2019)粤0112民初12565号裁判文书中,广东省广州市黄埔区人民法院认为,被告通过法大大公司为原告申请了一张数字签名证书,但没有证据显示已经过原告同意,并由原告申请。被告在未经原告同意的情况下,代原告申请电子签名证书,显然违反了上述法律法规的规定,因此,上述协议的签订并不是原告的真实意思表示。
SaaS电子签名代申请保管数字证书的模式,往往会产生电子签名抵赖风险,司法实务中越来越多的电子签名案件因此被认定为无效。
二、平台自主设置签名前身份校验的安全门槛
SaaS中心化电子签名中,用户点击【去签名】后,服务商会向用户发送短信验证码,要求用户输入,校验完毕后,即可实施签名操作。
此处的短信验证码就是服务商为调用私钥签名设置的安全门槛,验证码是服务商的服务器发送,校验工作也由其完成,这就相当于游戏主设置了游戏规则,参与者必须遵守游戏规则,但并不意味着游戏主也必须遵守。
因此,短信验证码此类的安全手段并不是绝对的安全。
三、实际调用私钥完成签名的行为由平台实施
参考《使用协议》,平台申请并保管用户签名密钥对,用户甚至都没有经手密钥,在签名时,是由服务商接到用户指令后,以用户名义调用私钥和数字证书,帮助用户完成签名行为。
签名的实际体验中,表面上是由用户自主调用私钥,在电子协议中完成签名,但本质上操作主体是平台。先不论信任与否的问题,平台作为完全能力者,拥有在用户未提出签名申请时,就调用的能力。
四、签名内容的更改
电子签名行为发生在哪里呢?是服务器?还是本地?
联系到私钥与数字证书就可以明白,签名所用资源都存储于云服务器,签名行为自然也是发生在服务商平台。
签名人通过电脑(手机等装置)的显示屏,看到待签名的内容和表示同意的承诺,但对应的电子签名痕迹却并不是发生在签名人的电脑上,而是在签名业务运营方的远端服务器上产生,签名行为与签名痕迹相互分离,无法实现将签名痕迹与签名者认可内容的直接绑定。
在这种不可靠的电子签名方案中,由于签名痕迹与被认可的签名内容不具有不可分离的绑定作用,使得用户得以就此流程,提出签名内容被调包的否认抗辩。
除此以外,采用此类电子签名,还会出现撤销授权后私钥与数字证书无法销毁,以及商业机密泄露的风险。
电子签署流程风控的瑕疵,最终将会导致电子合同产生抵赖风险,无法实现同纸质签名相同的抗抵赖效果,给合同当事人造成潜在的损失。
如果你们企业预备引入电子签名服务,记得在对比签名服务、挑选服务商时,多问几句:“数字证书是谁申请的?”、“电子签名制作数据是什么?保管在哪里?”、“如何保障制作数据唯一控制?”、“签署行为发生在何处?”、“企业机密文件会泄露吗?”
这样,在选择时就可以化被动为主动,选择出真正可靠的电子签名服务,在保障法律有效性的前提下,实现便捷性追求。