随着电子签名在各行各业的推广,使用电子签名技术打通无纸化的最后一公里已经成为行业共识。本文分析了电子合同在不同阶段的技术和应用场景,并提出了手机盾技术、区块链智能合约等技术对电子合同领域的影响。以电子合同的昨天、今天、明天给出了电子合同进阶之路。
大家都知道,电子合同最核心的价值是消除纸质合同给信息流的断层,可以提升业务效率、降低成本并提升管理能力。
以保险行业寿险为例,传统保险新契约需要7步:填写纸质保单、交单初审扫描、外包录单、核保、转账代扣、生效制单、保单投递。以上步骤涉及多个部门的流转和参与,承保周期为5-7天,投入成本非常高。使用电子签名解决投保单(投保人签名)、保单(保险公司盖章)无纸化后,录入投保信息、数字签名、即时核保收费生效、投保资料拍照上传,后台审核出具电子保单,整个流程下来可控制在30分钟以内。实际上发生变化的不仅仅是效率提升成本下降,而是加速了保险业务推进的效率,降低“反悔率”。
初次接触到电子合同的人对其最大的顾虑是合法性,实际上我们国家早就有相关的法律支撑。比如《合同法》第十一条是这样写的“书面形式是指合同书、信件和数据电文(包括电报、电传、传真、电子数据交换和电子邮件)等可以有形地表现所载内容的形式”。《电子签名法》第七条:“数据电文不得仅因为其是以电子、光学、磁或者类似手段生成、发送、接收或者储存的而被拒绝作为证据使用”;第十四条: “可靠的电子签名与手写签名或者盖章具有同等的法律效力”。《刑事诉讼法》《民事诉讼法》提到,可以用于证明案件事实的材料,都是证据;包括...(八)视听资料、电子数据。
其中《电子签名法》对电子签名、电子证据描述的最为详细,总结如下:
接下来,我们就以电子合同的昨天、今天、明天聊一聊行业主流解决方案以及未来的发展方向。
电子合同的昨天(1.0)
当前国内主流电子合同解决方案分为两个阵营,传统CA机构、互联网电子合同平台,其主要思路可以归纳为如下图所示:
(1)实名认证
在2015年之前,传统CA机构一般是通过线下方式进行客户身份的实名认证,针对个人用户核验用户身份证、企业用户核对营业执照等。
2015年后,由于P2P互联网金融的热起,在线实名方式被普遍使用,针对个人采用身份证联网核查(姓名、身份证号码匹配查询)、活体识别、人脸对比、银行卡四要素验证(姓名、身份证号码、卡号、预留手机号)等方式确定实名或实人。针对企业,一般采用企业信用号码查询、网银验证(给企业对公帐号打款若干,让企业填写金额)等。
(2)颁发数字证书
知道用户是谁后,接下来就是给用户颁发数字证书。数字证书是用户线下身份转化成线上身份的凭证。数字证书内有用户信息、用户公钥、证书序列号、有效期以及CA机构对以上信息的签名。提到公钥就不得不提非对称算法,非对称算法是相对于对称算法,对称算法的加密和解密的密钥是同一个,而非对称算法的密钥是二个,一个称为公钥可以公开,一个称为私钥,由用户私有。公钥加密只能用对应的私钥解密,反之亦然。私钥对数据加密后,任何人使用其对应的公钥就可以解密,从而证明该数据是私钥的加密的,那么持有私钥的人就不能抵赖该行为,所以我们又称这种用私钥加密的方法为数字签名。数字证书是CA机构对用户信息和公钥的签名,本质就是由CA机构担保证明这个公钥是某个人或单位的。
所以,私钥是核心,是行使签名的行为的“签名制作数据”。《电子签名法》第十三条明确指出,“签名制作数据”应属于电子签名人专有、仅由电子签名人控制。
针对私钥的存储和保护,历史上出现过三种方案,软证书(密钥)、U盾硬证书、云托管。
软证书即私钥作为一个文件保存在用户终端,通过口令保护,容易被黑客木马复制和破解。软证书在2008年之前PC网银时代曾经大行其道,后来屡屡发生被盗事件,监管部门彻底叫停了软证书。
软证书叫停后,银行开始普遍采用了U盾这种硬件介质。U盾,又称USBKEY、智能密码钥匙,内置了专用的密码芯片,保护私钥不被轻易复制和破解。被认为是当前安全级别最高的私钥保护手段,俗称金融级硬证书。
由于U盾成本高、分发困难、用户体验差,互联网电子合同平台采用了另外一种私钥存储方式:云托管。云托管顾名思义是在电子合同云平台代为用户存储了用户的私钥,通过平台自身的口令或者短信口令认证的方式鉴别用户。
(3)数字签名
用户有了私钥、数字证书,就可以对电子合同进行数字签名了。由于PDF格式的文件容易展现,同时支持电子签章的验证,行业中大多采用PDF签章的形式保存用户的签名和合同内容。
这里简单普及一下几个名词的区别:电子签名、数字签名、电子签章。
电子签名:《电子签名法》第二条本法所称电子签名,是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。
数字签名:利用现代密码技术,PKI/CA体系,实现电子签名的一种技术。
电子签章:在数字签名的基础上,利用图章的可视化形式,实现的电子签名。本质上仍是数字签名。
也就是说数字签名是电子签名的实现形式的一种,未来不排除其他技术手段满足可靠电子签名的要求。而电子签章是可视化的数字签名。
(4)司法取证
为了解决司法实践的实务问题,行业中引入了司法容易接受的公证处或司法鉴定机构辅助完成证据举证工作。
电子合同的今天(2.0)
电子合同1.0基本形成了相对完善的用户实名认证、证书发放、数字签名以及司法举证体系,但电子合同1.0模式中的私钥存储和保护方案是一个小小的遗憾。
软证书的方案由于安全性太差早被人唾弃,不在我们的讨论范围。
U盾硬证书总结下来是一个高贵冷艳的方案,好处是安全性好,绝对合规,但坏处也很明显:首先成本和管理成本过高,导致只有银行、政府类的应用在使用它,其次使用麻烦、兼容性差也是用户长期诟病的地方,各种浏览器不兼容问题,让银行的客服大为头疼。
云托管方案,虽然彻底解决了用户体验的问题,密钥在云端存储,不需要任何介质,只要有口令,随时随地、任何设备上都可以进行签名,但是安全性却值得商榷。众所周知,基于口令或者短信口令属于弱身份认证手段,攻击门槛低,故容易发生密钥泄漏事件。同时云合同平台管理了用户私钥,实际拥有了至高无上的权利,在一定的利益驱动下是有条件冒充用户替用户完成签名的。所以,国家密码管理部门至今没有为任何云托管方案颁发密码产品型号,其无法满足《电子签名法》中第十三条规定的可靠电子签名的条件。
那问题来了,有没有兼顾合法性、安全性与便利性的方案呢?
实际上人们一直探讨手机能不能成为认证的介质,幸运的是随着移动安全、密码技术的发展,以及手机自身安全条件的改善,一种叫手机盾的产品应运而生。
手机盾利用手机自身的密码芯片结合巧妙的私钥处理机制配合云密码机以及综合的移动安全技术,在私钥保护方面可以和U盾相媲美。其基本原理是由手机端、应用服务器端、密码服务中心端各自生成私钥因子,三方协同计算,最终结果完成数字签名。在生成和计算过程,任何时间、任何设备都没有完整的私钥出现,从而大大提升了攻击难度。手机端又利用TEE/SE、设备信息、指纹等技术以及抗逆向、防调试等移动安全的技术立体了保护手机端私钥因子。
由于不需要额外的介质,手机变U盾,兼容主流智能手机,支持APP和PC扫码应用,其安全性和易用性得到大大的提升。行业内已有部分产品通过国家密码局、公安部、银行卡检测中心的认证,真正达到了金融级别安全和互联网的体验。我们称这种把安全性和易用性得到良好平衡的方案为电子合同2.0
电子合同的明天(3.0)
电子合同2.0几乎完美解决了电子合同签署的问题,但本质上还是纸质合同的无纸化。合同内容是静态的,只是从文字上约定各方的权利义务,合同的执行和纸质合同一样,仍然依赖线下各单位的商业操守、法律底线。执行效率低,容易出现拖款、违约等情况,违约后的纠正成本非常高。另外,合同只解决了甲乙双方的权利义务,属于点对点的信任建立。实际产业链中,商流、信息流、资金流是流动的,跨多个组织的,静态的电子合同无法形成全链条的信任的传递和累积。
如果电子合同约定的权利义务能够公平公正的执行,则会大大提升执行效率和执行的公正性。如果商流、信息流、资金链、物流能够在多机构之间可信、可控的共享,那么一种新的商业信任体系就可以构建起来。
给我们带来希望的是区块链和智能合约技术。区块链是比特币的底层技术,是一个分布式账本,一种通过去中心化、去信任的方式集体维护一个可靠数据库的技术方案。智能合约是运行在区块链上模块化、自动执行的脚本,能够实现数据处理、价值转移、资产管理等一系列功能。
智能合约构建和执行流程如下:
1、多方用户共同参与制定一份智能合约:合约中包含了双方的权利和义务,触发的条件以及触发后的执行的动作,使用编程语言编程实现,开源公示给各方。
2、部署智能合约:根据合约内容,指定N个或全部节点部署智能合约,上传合约代码到指定节点。
3、达到条件触发合约执行:条件可以是规定的时间、可以是外部输入的交易和数据(比如到货、初验、终验、招标、抵押等,这些交易由调用者发起并保存到区块链),部署合约的节点,共同执行合约内容完成之前指定的动作(比如付款、抵押、解抵押),利用共识算法把运行状态保存到区块链。
比如在供应链金融领域,存在信息不对称、信息无法共享、信任无法传递、履约无法保障等问题,造成了中小企企业融资难、融资贵的现象。那么用区块链共享账本可以解决信息不对称;应收应付票据资产数字化,在区块链上确权转移解决信任传递问题;用智能合约实现结算支付自动化则可以有效管控风险。
综上,电子合同3.0,则是在解决纸质合同无纸化后,利用区块链技术把企业资产数字化,数字化资产价值可确权、可拆分、可传递。利用智能合约技术使合约能够按照约定公正的,无干扰的自动执行,从而构建新的商业信用体系。
作者简介:
马臣云,网络ID:“非著名信息安全砖家”,十五年的信息安全产品的研发和产品管理工作,主要方向是密码学、区块链、身份认证、电子签名。
系国家电子签章技术规范起草人、互金协会电子合同标准起草人,曾获省部级科技进步二等奖、首都劳动奖章、全国五一劳动奖章,著有《精通PKI网络安全认证技术与编程实现》一书。
2016年创办北京信任度科技,致力于技术让信任更简单!
信任度科技以“企业互联网”时代的客户需求为核心,专注于解决制约全流程互联网化运营的可信身份、可信行为、可信数据等问题,建立了以手机盾可信数字身份为核心,涵盖全平台、全场景的电子签名产品与解决方案体系,并通过区块链技术推动身份、行为、数据从组织内部向生态化、社会化领域的延伸。
