簽署電子合同，你真的規避安全隱患了嗎？_風聞

從線下到線上，電子合同成為支撐工作效率提升、業務協同模式創新和數字化變革的一大利器。但電子合同不僅僅是一個互聯網產品、工具，更是一種安全認證的密碼技術、產品和服務。

合規的電子合同，設置了多重安全防線，確保“真實身份、真實意願、簽名未改、原文未改”，確保合同效力。但是，為迎合用户需求提升高效易用性、降低成本，也有一些廠商會選擇省略環節、減少步驟、降低安全門檻；企業、用户在選型、使用時缺乏基本的技術知識和認知，也會埋下安全隱患，甚至造成經濟損失。

所以，簽署電子合同時，首當其衝就是要做好對安全風險的規避。那麼，具體該如何做呢？

 

私章密鑰，防盜防丟

以電子簽名的典型應用場景——網上銀行為例。如果你夠細心，會發現無論哪家銀行網銀大額轉款必須使用U盾，企業網銀必須使用U盾才能轉款。而其他場景下的電子合同，也有人臉識別、短信驗證碼等在內的多種核驗手段。

這背後的根本區別在於證書、密鑰的存儲、調用方式是不同的。

網上交易鑑權的方式，從互聯網最初的“用户名+密碼”形式開始，經歷不斷發展完善，目前最為安全可靠的的基於PKI的數字簽名技術，其底層技術手段是密鑰和數字證書。簡單來説，數字證書包含用户身份信息和一對密鑰：公鑰隨證書公開分發，任何人都能看到；私鑰只能自己保存，相當於用户的簽名或企業公章；通過公鑰解密、私鑰加密，確保簽名身份、簽名本身和文件內容的簽署結果不受篡改的完整性。

而證書和密鑰存放的方式可分為兩類：一類稱為硬證書，存放在形狀類似U盤的介質中，最常見的是銀行使用的U盾，通過PIN碼保護U盾，且密鑰一旦導入 U盾中，不可被導出、複製。另一類稱為軟證書，以數據形式存放在本地電腦或者雲端，通過刷臉、短信等方式驗證使用者身份來調用，實現隨時隨地的進行簽名。這種方式，對於用户來説操作便捷，但證書、密鑰存在泄露風險。當然一些新的技術手段，也彌補了軟證書的部分安全性缺陷。

因此，在選型和使用時，要根據項目可接受的安全風險，選擇證書、密鑰的存放方式。

 

完整證據鏈**，**有據可查

偽造印章在數字世界也真實地發生過：在當事人不知情的情況下，非法利用當事人身份信息申請製作數字證書，並把數字證書交給第三方在電子合同上簽名，偽造電子合同，造成損失。

法律實踐有着更為嚴謹的要求，並不是有簽名、蓋章，法院就認可；法院判定的依據是具有不可否認和不可抵賴的完整證據鏈。

因此，意願認證是簽署過程中的必備環節。它是指在每一次簽署前對用户的身份進行確認，保證是用户本人操作、真實意願的認證方式，比如通過同步錄音錄像下籤署、人臉識別、工商認證、短信驗證碼等多種電子認證技術檢驗用户合法性的操作加以佐證，避免簽署人賬號、密碼等被其他第三方盜用後冒名頂替進行簽署的情形，使簽署結果具備可不否認、抗抵賴性，保護了雙方中針對任何一方的否認攻擊，為日後可能存在的交易糾紛提供了一個可信的證據。

相較於紙質合同的簽約過程沒有記錄，電子合同事後溯源有跡可查。通過技術手段對電子合同簽約的整個過程做全程記錄，這是簽署不可否認、抗抵賴的重要內容，也是形成完整的證據閉環的重要補充。

因此，建議企業對電子合同流程、賬號密碼、用章管理建立有效的內部管理制度，將電子合同管理、印章管理以及人員權限控制三者有機結合統一管控，通過系統管理、電子印章管理和系統日誌審計管理權限的分立，實現所有用户行為及管理員管理行為可審計，以確保電子簽章、電子合同的管理安全。

 

**形式靈活，**保護數據安全完整

市面上，大多數的電子合同服務商提供的是公有云SAAS模式的電子合同產品，數據存於雲端的數據中心，用户的電子合同簽署、數據均存儲於公有服務器上。

雲上網籤合同會不會丟失、泄露、篡改？如果需要恢復數據，需要多久才能恢復？從採集、傳輸、簽署、存儲、使用、共享、銷燬的全生命週期，服務商在安全管控做了什麼？服務商是否能夠在競爭激烈的市場中長久生存下去？這些都是需要考慮的問題。

事實上，電子合同部署方式、簽署方式可以很靈活，在用户身份真實性識別強度和安全性方面，也各有高低：如，採用本地化部署，在客户端簽完成電子合同簽署，簽章獨立可控，數學簽名在客户端完成，可真實表達簽署人意願，無法律爭議，數據自主掌控，安全級別最高；手機盾籤合法有效安全更便捷；API後台籤，用户不需要在業務系統端任何部署，可與企業OA、ERP等業務系統做嵌入式集成服務集成，也可在線簽約。

但在調用過程中，存在文本數據被“掉包”的可能性。平台可綜合利用數據權限隔離、數據訪問控制、數據碎片式存儲、數據分片加密等安全技術手段，最大程度確保用户關鍵敏感信息不外泄和永久存儲。