最近被「諾亞財富34億踩雷」的新聞刷屏了，報案、否認、甩鍋，一波三折，如今演繹成了羅生門。承興造假，京東否認，諾亞報案。如何通過技術方案的設計在風險發(fā)生時為業(yè)務提供強有力的舉證支持是我最近一直在思考的事情，其中電子合同的有效性是我們一直在討論的重點問題。

隨著互聯(lián)網金融/金融科技的發(fā)展，合同通過電子化簽署逐漸被大家接受。但是受限制于國內《電子簽名法》采用了技術折中的立法模式，法律法規(guī)僅從功能性和效果上的角度上提出了要求。

如何界定電子簽名、數(shù)據(jù)電文及電子合同的有效性涉及較為復雜的技術知識，司法實踐中對于技術路徑審查的相關經驗并不多，存在著對“電子簽名制作數(shù)據(jù)”、“電子簽名”、“數(shù)字簽名”、“用戶密碼”等專業(yè)概念的認知偏差，對如何簽出一份合法有效的電子合同則比較模糊。

針對于此，我也與很多的法務同學、電子合同服務商進行過交流，整理了下我在交流中的感受，分享出來拋磚引玉，歡迎砸我。

一、電子合同是被法律認可的合同形式

首先我們得確認電子合同是合法有效的，這是這篇文章的基礎。

對于這一點，在《合同法》以及《電子簽名法》中都有明確規(guī)定：

《中華人民共和國合同法》

第十條：當事人訂立合同，有書面形式、口頭形式和其他形式；

第十一條：書面形式是指合同書、信件和數(shù)據(jù)電文（包括電報、電傳、傳真、電子數(shù)據(jù)交換和電子郵件）等可以有形地表現(xiàn)所載內容的形式。

簡而言之：電子合同屬于合同的一種。

《中華人民共和國電子簽名法》

第十三條 電子簽名同時符合下列條件的，視為可靠的電子簽名：

1. 電子簽名制作數(shù)據(jù)用于電子簽名時，屬于電子簽名人專有；
2. 簽署時電子簽名制作數(shù)據(jù)僅由電子簽名人控制；
3. 簽署后對電子簽名的任何改動能夠被發(fā)現(xiàn)；
4. 簽署后對數(shù)據(jù)電文內容和形式的任何改動能夠被發(fā)現(xiàn)。當事人也可以選擇使用符合其約定的可靠的條件的電子簽名；

第十四條 可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力

簡而言之：《電子簽名法》規(guī)定了可靠的電子簽名的有效性以及可靠的電子簽名的要素：專有、專控、不可篡改。

（當然，《電子簽名法》中也規(guī)定了一些不適用電子簽名的情況：涉及婚姻、收養(yǎng)、繼承等人身關系的；涉及停止供水、供電、供氣等公用事業(yè)服務的；法律、行政法規(guī)規(guī)定的不適用電子文書的其他情形。這些不在我們本次討論范圍之內。）

合同的成立在傳統(tǒng)合同書中一般通過簽字或者蓋章的方式來體現(xiàn)，在電子合同中簽字蓋章的行為被可靠的電子簽名所代替《電子簽名法》第十四條^[1]。

二、先從技術層面來說

本質上電子合同的成立生效沒有跳出傳統(tǒng)合同的要件要求，這些要求我們不在此做討論。

既然是「可靠的電子簽名」與手寫簽名或者蓋章具有同等的法律效力，那么我們只需要能在業(yè)務中能夠證明符合相關要素即可。市面上的一些第三方電子合同服務商都有符合相關規(guī)定（至少是能經得起推敲）的產品方案（畢竟人家賺的就是這份錢）。

但第三方服務商的標準產品開發(fā)需要最大程度的降低其自身的風險，一般情況下會將簽署合同的整個過程至于其可控范圍內，其產品流程并不一定適合我們的業(yè)務系統(tǒng)交互需求甚至可能與業(yè)務系統(tǒng)相沖突。

因此部分過程需要業(yè)務系統(tǒng)自己完成，業(yè)務系統(tǒng)在風險發(fā)生時需要承擔一定舉證責任（不得不說，某些服務商的方案對于業(yè)務系統(tǒng)侵入性太大，很難接受?。?。

我們先對電子合同簽署的生命流程進行拆解：

實名認證步驟，一般分為個人實名和企業(yè)實名。（不討論線下核驗的方式）

個人實名的方案很多：生物識別、銀行卡驗證、手機號實名認證……一般目前最保險的是掃臉認證活體檢測，最好將活體的視頻保存下來，以便舉證。

企業(yè)實名，目前用的最多的營業(yè)執(zhí)照、銀行賬戶小額打款、法人身份證來驗證。

這里順便我說一句，我只看到一家供應商可以提供法人姓名 身份證號的認證信息，不知道市面上還有沒有其他的服務商可以有此類服務提供（不是根據(jù)法人身份證對信息做二要素驗證，而是根據(jù)工商注冊信息對提供的法人姓名和身份證號做驗證）。

意愿認證上，方式有很多。目前大部分第三方電子合同服務商都采用云托管數(shù)字證書模式，在意愿認證上針對個人一般采用短信驗證碼、人臉識別等來作為簽署人意愿表達的行為；針對企業(yè)一般通過向企業(yè)授權人發(fā)送短信驗證碼、識別授權人人臉等方式或者采用 ukey 來作為意愿表達。

這里多說一句：如果你采用 ukey 來做鑒權，需要考慮一點就是簽署時使用的數(shù)字證書是否為 ukey 里存儲的數(shù)字證書。如果不是（極大概率不是）一定要注意證據(jù)鏈完整的問題，因為本質上還是云托管數(shù)字證書來完成簽署。

至于合同生成和司法舉證，去找第三方服務商吧，如果這些事情都要自己做，那你就是自己在做一個電子合同平臺了。

三、舉證能力的一些思考

其實技術上沒有難點，主要在舉證問題上有一些思考：

1. 如何證明已經進行完善的實名信息

一般來說，我們做實名都是調用第三方數(shù)據(jù)接口，我們需要盡量保證調用記錄的完整性及可查性。在出現(xiàn)電子合同有效性問題時可以提供我方已經進行應盡的實名義務，并在力所能及的范圍內做到了對用戶的實名認證。

針對企業(yè)實名，要至少核驗包括包括企業(yè)名稱、統(tǒng)一社會信用代碼，最好對法人姓名及身份證號進行核驗，同時應對經辦人進行個人實名核驗，以及企業(yè)核心隱私數(shù)據(jù)的核驗，例如對公銀行打款、開具指定金額發(fā)票等核驗方式；

也可通過電子認證服務機構頒發(fā)的數(shù)字證書進行實名核驗（這一點某 CA 的一個服務可以實現(xiàn)通過全國大部分（?。┿y行發(fā)放的 ukey進行實名認證，不過大行很少）。

這里需要注意的一點是我們在選擇第三方數(shù)據(jù)服務商的時候一定要主要選擇政府權威部門的數(shù)據(jù)庫或者取得政府權威部門授權或認可的電子數(shù)據(jù)庫（比如國政通……國政通麻煩廣告費結下）

2. 在意愿認證上盡可能多的收集簽署時的信息。

在合法合規(guī)的前提下，除通過短信驗證碼、人臉識別或 ukey 認證等方式完成用戶意愿認證外，管理系統(tǒng)還應該盡可能的收集用戶在簽署時的IP 地址、操作設備 MAC 地址、操作系統(tǒng)信息等可以佐證是用戶自身操作的信息。

3. 自動簽署（或者說代簽署）是否有效。

目前大部分系統(tǒng)對接第三方電子合同服務商的時候為了不讓電子合同系統(tǒng)侵入業(yè)務系統(tǒng)都采用了各家服務商提供的「自動簽署」方案（這一點我要吐槽下拉，各家差不多都有這樣的接口，但是在使用上并沒有很好的給用戶說明。）

首先，我們要說的是《電子簽名法》第十三條里提到的「簽署時電子簽名制作數(shù)據(jù)僅由電子簽名人控制」這一項規(guī)定是對電子簽名過程中電子簽名制作數(shù)據(jù)歸誰控制的要求。這里所規(guī)定的控制是指一種實質上的控制，即基于電子簽名人的自由意志而對電子簽名制作數(shù)據(jù)的控制。

在電子簽名人實施電子簽名行為的過程中，無論是電子簽名人自己實施簽名行為，還是委托他人代為實施簽名行為，只要電子簽名人擁有實質上的控制權，則其所實施的簽名行為，滿足本法此項規(guī)定的要求。（這段話不是我說的，是全國人大關于《電子簽名法》的釋法^[2]）

在中國互聯(lián)網金融協(xié)會《互聯(lián)網金融個體網絡借貸電子合同安全規(guī)范（征求意見稿）》第 8 司法舉證要求（d）中也提到「電子簽名人委托他人代為實施簽名行為時，從業(yè)機構或第三方電子合同訂立系統(tǒng)服務商提供電子簽名制作數(shù)據(jù)由電子簽名人控制的證據(jù)，包括調用電子簽名制作數(shù)據(jù)的時間和方式、電子簽名人位置、IP地址、授權及認證方式、授權及認證記錄等；」

所以，自動簽署的方案大家還是可以放心用，只需要你能通過其他方式來證明電子簽名人擁有實質上的控制權即可。

4. 關于舉證責任

關于電子簽名，有一個舉證的坑。

《電子簽名法》第二十八條：電子簽名人或者電子簽名依賴方因依據(jù)電子認證服務提供者提供的電子簽名認證服務從事民事活動遭受損失，電子認證服務提供者不能證明自己無過錯的，承擔賠償責任。

也就是說，關于電子簽名，舉證責任倒置。即對方提出的侵權事實，電子認證提供者如果予以否認，則應負舉證責任，證明自己沒有過錯。

在司法實踐上，《袁斌與合肥夢川玖貿易有限公司等小額借款合同糾紛二審案件》【案號：北京市第三中級人民法院（2018）京03民終4903號】^[3]中，法院也是這樣認定的。

當然，只要電子認證服務提供者能夠證明自己對于電子簽名人或者電子簽名依賴方所遭受的損失沒有過錯，就不承擔責任。而對于電子認證服務提供者來講，只要能夠證明其所提供的服務完全是嚴格按照本法和符合國家規(guī)定并向國務院信息產業(yè)主管部門備案的電子認證業(yè)務規(guī)則實施的，則應能夠證明沒有過錯。（《電子簽名法釋義 法律責任》^[4]）

5. 電子簽名無效的法律后果

電子簽名無效僅僅表示該電子簽名并非當事人真實意愿的表達，并不必然影響當事人之間的部分關系（比如債權債務關系、勞動關系）的成立。

如果能夠從其他方面來證明當事人之間存在相關關系，法院大概率上會要求侵權方承擔民事責任。但一些合同上具體規(guī)定可能無法予以認定。

比如上邊提到的《袁斌與合肥夢川玖貿易有限公司等小額借款合同糾紛二審案件》中，法院雖然認定電子簽名無效，但是從實名認證信息、操作記錄等方面認定借款合同有效。

6. 一定要用數(shù)字簽名么？

其實這一點上，《最高人民法院關于互聯(lián)網法院審理案件若干問題的規(guī)定》第十一條^[5]已經明確指出：「當事人提交的電子數(shù)據(jù)，通過電子簽名、可信時間戳、哈希值校驗、區(qū)塊鏈等證據(jù)收集、固定和防篡改的技術手段或者通過電子取證存證平臺認證，能夠證明其真實性的，互聯(lián)網法院應當確認?！?/p>

最后多說一句，如果有錢花一點錢找服務商做個證據(jù)保全系統(tǒng)或者直接和司法鑒定中心、公證處之類的合作，畢竟法官不是開發(fā)小哥，你跟他講技術遠不如公證處或者司法鑒定中心的一個章子管用。

四、我為了寫這篇東西，翻了多少材料

1. 《電子簽名法》：這個就不用說了，自己百度就好了；
2. 詳細的研究了各家服務商的材料（至少 Top3 的PPT 和接口文檔我都比對了好幾遍，其他一些的 PPT 我也都又翻了一遍）
3. 《GB∕T36298-2018 電子合同訂立流程規(guī)范》：商務部18 年新搞的推薦標準，至少目前各家服務商的 PPT 中我還沒看到把這個拿出來寫。有想要 PDF 的可以找我，不過也是圖片掃描版的。
4. 《互聯(lián)網金融 個體網絡借貸電子合同安全規(guī)范（征求意見稿）》：這個不說了，都是當年的存貨。（我不說當年我收集了中互金以及各地區(qū)的P2P 的規(guī)定、措施等等材料，畢竟當年也算家大業(yè)大。）
5. 《JR/T 0118-2015 金融電子認證規(guī)范》：這個簡單學習了下。
6. 法律實踐，說白了就是判例。一個在做法務的小伙伴跟我說，你問我不如去看判例……這里安利下「無訟」這個平臺比文書網好用多了。

#References#

[1]《電子簽名法》第十四條:可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力。

[2]全國人大關于《電子簽名法》的釋法:http://t.cn/AiYEl4bm

[3]《袁斌與合肥夢川玖貿易有限公司等小額借款合同糾紛二審案件》【案號：北京市第三中級人民法院（2018）京03民終4903號】:http://t.cn/AiYEOrYd

[4]《電子簽名法釋義 法律責任》:http://t.cn/AiYElv5w

[5]《最高人民法院關于互聯(lián)網法院審理案件若干問題的規(guī)定》第十一條:http://www.court.gov.cn/zixun-xiangqing-116981.html

#相關閱讀#

互金業(yè)務中經常提到的電子合同，到底是個啥？

#專欄作家#

張小璋，公眾號：張小璋的碎碎念（ID：SylvainZhang），人人都是產品經理專欄作家。野蠻生長的產品經理，專注于互聯(lián)網金融領域。

本文原創(chuàng)發(fā)布于人人都是產品經理。未經許可，禁止轉載。

題圖來自 Unsplash，基于 CC0 協(xié)議