從線下到線上，電子合同成為支撐工作效率提升、業(yè)務(wù)協(xié)同模式創(chuàng)新和數(shù)字化變革的一大利器。但電子合同不僅僅是一個互聯(lián)網(wǎng)產(chǎn)品、工具，更是一種安全認(rèn)證的密碼技術(shù)、產(chǎn)品和服務(wù)。

合規(guī)的電子合同，設(shè)置了多重安全防線，確?！罢鎸嵣矸?、真實意愿、簽名未改、原文未改”，確保合同效力。但是，為迎合用戶需求提升高效易用性、降低成本，也有一些廠商會選擇省略環(huán)節(jié)、減少步驟、降低安全門檻；企業(yè)、用戶在選型、使用時缺乏基本的技術(shù)知識和認(rèn)知，也會埋下安全隱患，甚至造成經(jīng)濟(jì)損失。

所以，簽署電子合同時，首當(dāng)其沖就是要做好對安全風(fēng)險的規(guī)避。那么，具體該如何做呢？

?

私章密鑰，防盜防丟

?

以電子簽名的典型應(yīng)用場景——網(wǎng)上銀行為例。如果你夠細(xì)心，會發(fā)現(xiàn)無論哪家銀行網(wǎng)銀大額轉(zhuǎn)款必須使用U盾，企業(yè)網(wǎng)銀必須使用U盾才能轉(zhuǎn)款。而其他場景下的電子合同，也有人臉識別、短信驗證碼等在內(nèi)的多種核驗手段。

這背后的根本區(qū)別在于證書、密鑰的存儲、調(diào)用方式是不同的。

網(wǎng)上交易鑒權(quán)的方式，從互聯(lián)網(wǎng)最初的“用戶名+密碼”形式開始，經(jīng)歷不斷發(fā)展完善，目前最為安全可靠的的基于PKI的數(shù)字簽名技術(shù)，其底層技術(shù)手段是密鑰和數(shù)字證書。簡單來說，數(shù)字證書包含用戶身份信息和一對密鑰：公鑰隨證書公開分發(fā)，任何人都能看到；私鑰只能自己保存，相當(dāng)于用戶的簽名或企業(yè)公章；通過公鑰解密、私鑰加密，確保簽名身份、簽名本身和文件內(nèi)容的簽署結(jié)果不受篡改的完整性。

而證書和密鑰存放的方式可分為兩類：一類稱為硬證書，存放在形狀類似U盤的介質(zhì)中，最常見的是銀行使用的U盾，通過PIN碼保護(hù)U盾，且密鑰一旦導(dǎo)入 U盾中，不可被導(dǎo)出、復(fù)制。另一類稱為軟證書，以數(shù)據(jù)形式存放在本地電腦或者云端，通過刷臉、短信等方式驗證使用者身份來調(diào)用，實現(xiàn)隨時隨地的進(jìn)行簽名。這種方式，對于用戶來說操作便捷，但證書、密鑰存在泄露風(fēng)險。當(dāng)然一些新的技術(shù)手段，也彌補(bǔ)了軟證書的部分安全性缺陷。

因此，在選型和使用時，要根據(jù)項目可接受的安全風(fēng)險，選擇證書、密鑰的存放方式。

?

完整證據(jù)鏈，有據(jù)可查

?

偽造印章在數(shù)字世界也真實地發(fā)生過：在當(dāng)事人不知情的情況下，非法利用當(dāng)事人身份信息申請制作數(shù)字證書，并把數(shù)字證書交給第三方在電子合同上簽名，偽造電子合同，造成損失。

法律實踐有著更為嚴(yán)謹(jǐn)?shù)囊螅⒉皇怯泻灻?、蓋章，法院就認(rèn)可；法院判定的依據(jù)是具有不可否認(rèn)和不可抵賴的完整證據(jù)鏈。

因此，意愿認(rèn)證是簽署過程中的必備環(huán)節(jié)。它是指在每一次簽署前對用戶的身份進(jìn)行確認(rèn)，保證是用戶本人操作、真實意愿的認(rèn)證方式，比如通過同步錄音錄像下簽署、人臉識別、工商認(rèn)證、短信驗證碼等多種電子認(rèn)證技術(shù)檢驗用戶合法性的操作加以佐證，避免簽署人賬號、密碼等被其他第三方盜用后冒名頂替進(jìn)行簽署的情形，使簽署結(jié)果具備可不否認(rèn)、抗抵賴性，保護(hù)了雙方中針對任何一方的否認(rèn)攻擊，為日后可能存在的交易糾紛提供了一個可信的證據(jù)。

相較于紙質(zhì)合同的簽約過程沒有記錄，電子合同事后溯源有跡可查。通過技術(shù)手段對電子合同簽約的整個過程做全程記錄，這是簽署不可否認(rèn)、抗抵賴的重要內(nèi)容，也是形成完整的證據(jù)閉環(huán)的重要補(bǔ)充。

因此，建議企業(yè)對電子合同流程、賬號密碼、用章管理建立有效的內(nèi)部管理制度，將電子合同管理、印章管理以及人員權(quán)限控制三者有機(jī)結(jié)合統(tǒng)一管控，通過系統(tǒng)管理、電子印章管理和系統(tǒng)日志審計管理權(quán)限的分立，實現(xiàn)所有用戶行為及管理員管理行為可審計，以確保電子簽章、電子合同的管理安全。

?

形式靈活，保護(hù)數(shù)據(jù)安全完整

?

市面上，大多數(shù)的電子合同服務(wù)商提供的是公有云SAAS模式的電子合同產(chǎn)品，數(shù)據(jù)存于云端的數(shù)據(jù)中心，用戶的電子合同簽署、數(shù)據(jù)均存儲于公有服務(wù)器上。

云上網(wǎng)簽合同會不會丟失、泄露、篡改？如果需要恢復(fù)數(shù)據(jù)，需要多久才能恢復(fù)？從采集、傳輸、簽署、存儲、使用、共享、銷毀的全生命周期，服務(wù)商在安全管控做了什么？服務(wù)商是否能夠在競爭激烈的市場中長久生存下去？這些都是需要考慮的問題。

事實上，電子合同部署方式、簽署方式可以很靈活，在用戶身份真實性識別強(qiáng)度和安全性方面，也各有高低：如，采用本地化部署，在客戶端簽完成電子合同簽署，簽章獨(dú)立可控，數(shù)學(xué)簽名在客戶端完成，可真實表達(dá)簽署人意愿，無法律爭議，數(shù)據(jù)自主掌控，安全級別最高；手機(jī)盾簽合法有效安全更便捷；API后臺簽，用戶不需要在業(yè)務(wù)系統(tǒng)端任何部署，可與企業(yè)OA、ERP等業(yè)務(wù)系統(tǒng)做嵌入式集成服務(wù)集成，也可在線簽約。

但在調(diào)用過程中，存在文本數(shù)據(jù)被“掉包”的可能性。平臺可綜合利用數(shù)據(jù)權(quán)限隔離、數(shù)據(jù)訪問控制、數(shù)據(jù)碎片式存儲、數(shù)據(jù)分片加密等安全技術(shù)手段，最大程度確保用戶關(guān)鍵敏感信息不外泄和永久存儲。