隨著電子簽名在各行各業(yè)的推廣,使用電子簽名技術(shù)打通無紙化的最后一公里已經(jīng)成為行業(yè)共識(shí)。本文分析了電子合同在不同階段的技術(shù)和應(yīng)用場景,并提出了手機(jī)盾技術(shù)、區(qū)塊鏈智能合約等技術(shù)對電子合同領(lǐng)域的影響。以電子合同的昨天、今天、明天給出了電子合同進(jìn)階之路。
大家都知道,電子合同最核心的價(jià)值是消除紙質(zhì)合同給信息流的斷層,可以提升業(yè)務(wù)效率、降低成本并提升管理能力。
以保險(xiǎn)行業(yè)壽險(xiǎn)為例,傳統(tǒng)保險(xiǎn)新契約需要7步:填寫紙質(zhì)保單、交單初審掃描、外包錄單、核保、轉(zhuǎn)賬代扣、生效制單、保單投遞。以上步驟涉及多個(gè)部門的流轉(zhuǎn)和參與,承保周期為5-7天,投入成本非常高。使用電子簽名解決投保單(投保人簽名)、保單(保險(xiǎn)公司蓋章)無紙化后,錄入投保信息、數(shù)字簽名、即時(shí)核保收費(fèi)生效、投保資料拍照上傳,后臺(tái)審核出具電子保單,整個(gè)流程下來可控制在30分鐘以內(nèi)。實(shí)際上發(fā)生變化的不僅僅是效率提升成本下降,而是加速了保險(xiǎn)業(yè)務(wù)推進(jìn)的效率,降低“反悔率”。
初次接觸到電子合同的人對其最大的顧慮是合法性,實(shí)際上我們國家早就有相關(guān)的法律支撐。比如《合同法》第十一條是這樣寫的“書面形式是指合同書、信件和數(shù)據(jù)電文(包括電報(bào)、電傳、傳真、電子數(shù)據(jù)交換和電子郵件)等可以有形地表現(xiàn)所載內(nèi)容的形式”?!峨娮雍灻ā返谄邨l:“數(shù)據(jù)電文不得僅因?yàn)槠涫且噪娮印⒐鈱W(xué)、磁或者類似手段生成、發(fā)送、接收或者儲(chǔ)存的而被拒絕作為證據(jù)使用”;第十四條: “可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力”?!缎淌略V訟法》《民事訴訟法》提到,可以用于證明案件事實(shí)的材料,都是證據(jù);包括...(八)視聽資料、電子數(shù)據(jù)。
其中《電子簽名法》對電子簽名、電子證據(jù)描述的最為詳細(xì),總結(jié)如下:
接下來,我們就以電子合同的昨天、今天、明天聊一聊行業(yè)主流解決方案以及未來的發(fā)展方向。
電子合同的昨天(1.0)
當(dāng)前國內(nèi)主流電子合同解決方案分為兩個(gè)陣營,傳統(tǒng)CA機(jī)構(gòu)、互聯(lián)網(wǎng)電子合同平臺(tái),其主要思路可以歸納為如下圖所示:
(1)實(shí)名認(rèn)證
在2015年之前,傳統(tǒng)CA機(jī)構(gòu)一般是通過線下方式進(jìn)行客戶身份的實(shí)名認(rèn)證,針對個(gè)人用戶核驗(yàn)用戶身份證、企業(yè)用戶核對營業(yè)執(zhí)照等。
2015年后,由于P2P互聯(lián)網(wǎng)金融的熱起,在線實(shí)名方式被普遍使用,針對個(gè)人采用身份證聯(lián)網(wǎng)核查(姓名、身份證號(hào)碼匹配查詢)、活體識(shí)別、人臉對比、銀行卡四要素驗(yàn)證(姓名、身份證號(hào)碼、卡號(hào)、預(yù)留手機(jī)號(hào))等方式確定實(shí)名或?qū)嵢?。針對企業(yè),一般采用企業(yè)信用號(hào)碼查詢、網(wǎng)銀驗(yàn)證(給企業(yè)對公帳號(hào)打款若干,讓企業(yè)填寫金額)等。
(2)頒發(fā)數(shù)字證書
知道用戶是誰后,接下來就是給用戶頒發(fā)數(shù)字證書。數(shù)字證書是用戶線下身份轉(zhuǎn)化成線上身份的憑證。數(shù)字證書內(nèi)有用戶信息、用戶公鑰、證書序列號(hào)、有效期以及CA機(jī)構(gòu)對以上信息的簽名。提到公鑰就不得不提非對稱算法,非對稱算法是相對于對稱算法,對稱算法的加密和解密的密鑰是同一個(gè),而非對稱算法的密鑰是二個(gè),一個(gè)稱為公鑰可以公開,一個(gè)稱為私鑰,由用戶私有。公鑰加密只能用對應(yīng)的私鑰解密,反之亦然。私鑰對數(shù)據(jù)加密后,任何人使用其對應(yīng)的公鑰就可以解密,從而證明該數(shù)據(jù)是私鑰的加密的,那么持有私鑰的人就不能抵賴該行為,所以我們又稱這種用私鑰加密的方法為數(shù)字簽名。數(shù)字證書是CA機(jī)構(gòu)對用戶信息和公鑰的簽名,本質(zhì)就是由CA機(jī)構(gòu)擔(dān)保證明這個(gè)公鑰是某個(gè)人或單位的。
所以,私鑰是核心,是行使簽名的行為的“簽名制作數(shù)據(jù)”?!峨娮雍灻ā返谑龡l明確指出,“簽名制作數(shù)據(jù)”應(yīng)屬于電子簽名人專有、僅由電子簽名人控制。
針對私鑰的存儲(chǔ)和保護(hù),歷史上出現(xiàn)過三種方案,軟證書(密鑰)、U盾硬證書、云托管。
軟證書即私鑰作為一個(gè)文件保存在用戶終端,通過口令保護(hù),容易被黑客木馬復(fù)制和破解。軟證書在2008年之前PC網(wǎng)銀時(shí)代曾經(jīng)大行其道,后來屢屢發(fā)生被盜事件,監(jiān)管部門徹底叫停了軟證書。
軟證書叫停后,銀行開始普遍采用了U盾這種硬件介質(zhì)。U盾,又稱USBKEY、智能密碼鑰匙,內(nèi)置了專用的密碼芯片,保護(hù)私鑰不被輕易復(fù)制和破解。被認(rèn)為是當(dāng)前安全級別最高的私鑰保護(hù)手段,俗稱金融級硬證書。
由于U盾成本高、分發(fā)困難、用戶體驗(yàn)差,互聯(lián)網(wǎng)電子合同平臺(tái)采用了另外一種私鑰存儲(chǔ)方式:云托管。云托管顧名思義是在電子合同云平臺(tái)代為用戶存儲(chǔ)了用戶的私鑰,通過平臺(tái)自身的口令或者短信口令認(rèn)證的方式鑒別用戶。
(3)數(shù)字簽名
用戶有了私鑰、數(shù)字證書,就可以對電子合同進(jìn)行數(shù)字簽名了。由于PDF格式的文件容易展現(xiàn),同時(shí)支持電子簽章的驗(yàn)證,行業(yè)中大多采用PDF簽章的形式保存用戶的簽名和合同內(nèi)容。
這里簡單普及一下幾個(gè)名詞的區(qū)別:電子簽名、數(shù)字簽名、電子簽章。
電子簽名:《電子簽名法》第二條本法所稱電子簽名,是指數(shù)據(jù)電文中以電子形式所含、所附用于識(shí)別簽名人身份并表明簽名人認(rèn)可其中內(nèi)容的數(shù)據(jù)。
數(shù)字簽名:利用現(xiàn)代密碼技術(shù),PKI/CA體系,實(shí)現(xiàn)電子簽名的一種技術(shù)。
電子簽章:在數(shù)字簽名的基礎(chǔ)上,利用圖章的可視化形式,實(shí)現(xiàn)的電子簽名。本質(zhì)上仍是數(shù)字簽名。
也就是說數(shù)字簽名是電子簽名的實(shí)現(xiàn)形式的一種,未來不排除其他技術(shù)手段滿足可靠電子簽名的要求。而電子簽章是可視化的數(shù)字簽名。
(4)司法取證
為了解決司法實(shí)踐的實(shí)務(wù)問題,行業(yè)中引入了司法容易接受的公證處或司法鑒定機(jī)構(gòu)輔助完成證據(jù)舉證工作。
電子合同的今天(2.0)
電子合同1.0基本形成了相對完善的用戶實(shí)名認(rèn)證、證書發(fā)放、數(shù)字簽名以及司法舉證體系,但電子合同1.0模式中的私鑰存儲(chǔ)和保護(hù)方案是一個(gè)小小的遺憾。
軟證書的方案由于安全性太差早被人唾棄,不在我們的討論范圍。
U盾硬證書總結(jié)下來是一個(gè)高貴冷艷的方案,好處是安全性好,絕對合規(guī),但壞處也很明顯:首先成本和管理成本過高,導(dǎo)致只有銀行、政府類的應(yīng)用在使用它,其次使用麻煩、兼容性差也是用戶長期詬病的地方,各種瀏覽器不兼容問題,讓銀行的客服大為頭疼。
云托管方案,雖然徹底解決了用戶體驗(yàn)的問題,密鑰在云端存儲(chǔ),不需要任何介質(zhì),只要有口令,隨時(shí)隨地、任何設(shè)備上都可以進(jìn)行簽名,但是安全性卻值得商榷。眾所周知,基于口令或者短信口令屬于弱身份認(rèn)證手段,攻擊門檻低,故容易發(fā)生密鑰泄漏事件。同時(shí)云合同平臺(tái)管理了用戶私鑰,實(shí)際擁有了至高無上的權(quán)利,在一定的利益驅(qū)動(dòng)下是有條件冒充用戶替用戶完成簽名的。所以,國家密碼管理部門至今沒有為任何云托管方案頒發(fā)密碼產(chǎn)品型號(hào),其無法滿足《電子簽名法》中第十三條規(guī)定的可靠電子簽名的條件。
那問題來了,有沒有兼顧合法性、安全性與便利性的方案呢?
實(shí)際上人們一直探討手機(jī)能不能成為認(rèn)證的介質(zhì),幸運(yùn)的是隨著移動(dòng)安全、密碼技術(shù)的發(fā)展,以及手機(jī)自身安全條件的改善,一種叫手機(jī)盾的產(chǎn)品應(yīng)運(yùn)而生。
手機(jī)盾利用手機(jī)自身的密碼芯片結(jié)合巧妙的私鑰處理機(jī)制配合云密碼機(jī)以及綜合的移動(dòng)安全技術(shù),在私鑰保護(hù)方面可以和U盾相媲美。其基本原理是由手機(jī)端、應(yīng)用服務(wù)器端、密碼服務(wù)中心端各自生成私鑰因子,三方協(xié)同計(jì)算,最終結(jié)果完成數(shù)字簽名。在生成和計(jì)算過程,任何時(shí)間、任何設(shè)備都沒有完整的私鑰出現(xiàn),從而大大提升了攻擊難度。手機(jī)端又利用TEE/SE、設(shè)備信息、指紋等技術(shù)以及抗逆向、防調(diào)試等移動(dòng)安全的技術(shù)立體了保護(hù)手機(jī)端私鑰因子。
由于不需要額外的介質(zhì),手機(jī)變U盾,兼容主流智能手機(jī),支持APP和PC掃碼應(yīng)用,其安全性和易用性得到大大的提升。行業(yè)內(nèi)已有部分產(chǎn)品通過國家密碼局、公安部、銀行卡檢測中心的認(rèn)證,真正達(dá)到了金融級別安全和互聯(lián)網(wǎng)的體驗(yàn)。我們稱這種把安全性和易用性得到良好平衡的方案為電子合同2.0
電子合同的明天(3.0)
電子合同2.0幾乎完美解決了電子合同簽署的問題,但本質(zhì)上還是紙質(zhì)合同的無紙化。合同內(nèi)容是靜態(tài)的,只是從文字上約定各方的權(quán)利義務(wù),合同的執(zhí)行和紙質(zhì)合同一樣,仍然依賴線下各單位的商業(yè)操守、法律底線。執(zhí)行效率低,容易出現(xiàn)拖款、違約等情況,違約后的糾正成本非常高。另外,合同只解決了甲乙雙方的權(quán)利義務(wù),屬于點(diǎn)對點(diǎn)的信任建立。實(shí)際產(chǎn)業(yè)鏈中,商流、信息流、資金流是流動(dòng)的,跨多個(gè)組織的,靜態(tài)的電子合同無法形成全鏈條的信任的傳遞和累積。
如果電子合同約定的權(quán)利義務(wù)能夠公平公正的執(zhí)行,則會(huì)大大提升執(zhí)行效率和執(zhí)行的公正性。如果商流、信息流、資金鏈、物流能夠在多機(jī)構(gòu)之間可信、可控的共享,那么一種新的商業(yè)信任體系就可以構(gòu)建起來。
給我們帶來希望的是區(qū)塊鏈和智能合約技術(shù)。區(qū)塊鏈?zhǔn)潜忍貛诺牡讓蛹夹g(shù),是一個(gè)分布式賬本,一種通過去中心化、去信任的方式集體維護(hù)一個(gè)可靠數(shù)據(jù)庫的技術(shù)方案。智能合約是運(yùn)行在區(qū)塊鏈上模塊化、自動(dòng)執(zhí)行的腳本,能夠?qū)崿F(xiàn)數(shù)據(jù)處理、價(jià)值轉(zhuǎn)移、資產(chǎn)管理等一系列功能。
智能合約構(gòu)建和執(zhí)行流程如下:
1、多方用戶共同參與制定一份智能合約:合約中包含了雙方的權(quán)利和義務(wù),觸發(fā)的條件以及觸發(fā)后的執(zhí)行的動(dòng)作,使用編程語言編程實(shí)現(xiàn),開源公示給各方。
2、部署智能合約:根據(jù)合約內(nèi)容,指定N個(gè)或全部節(jié)點(diǎn)部署智能合約,上傳合約代碼到指定節(jié)點(diǎn)。
3、達(dá)到條件觸發(fā)合約執(zhí)行:條件可以是規(guī)定的時(shí)間、可以是外部輸入的交易和數(shù)據(jù)(比如到貨、初驗(yàn)、終驗(yàn)、招標(biāo)、抵押等,這些交易由調(diào)用者發(fā)起并保存到區(qū)塊鏈),部署合約的節(jié)點(diǎn),共同執(zhí)行合約內(nèi)容完成之前指定的動(dòng)作(比如付款、抵押、解抵押),利用共識(shí)算法把運(yùn)行狀態(tài)保存到區(qū)塊鏈。
比如在供應(yīng)鏈金融領(lǐng)域,存在信息不對稱、信息無法共享、信任無法傳遞、履約無法保障等問題,造成了中小企企業(yè)融資難、融資貴的現(xiàn)象。那么用區(qū)塊鏈共享賬本可以解決信息不對稱;應(yīng)收應(yīng)付票據(jù)資產(chǎn)數(shù)字化,在區(qū)塊鏈上確權(quán)轉(zhuǎn)移解決信任傳遞問題;用智能合約實(shí)現(xiàn)結(jié)算支付自動(dòng)化則可以有效管控風(fēng)險(xiǎn)。
綜上,電子合同3.0,則是在解決紙質(zhì)合同無紙化后,利用區(qū)塊鏈技術(shù)把企業(yè)資產(chǎn)數(shù)字化,數(shù)字化資產(chǎn)價(jià)值可確權(quán)、可拆分、可傳遞。利用智能合約技術(shù)使合約能夠按照約定公正的,無干擾的自動(dòng)執(zhí)行,從而構(gòu)建新的商業(yè)信用體系。
作者簡介:
馬臣云,網(wǎng)絡(luò)ID:“非著名信息安全磚家”,十五年的信息安全產(chǎn)品的研發(fā)和產(chǎn)品管理工作,主要方向是密碼學(xué)、區(qū)塊鏈、身份認(rèn)證、電子簽名。
系國家電子簽章技術(shù)規(guī)范起草人、互金協(xié)會(huì)電子合同標(biāo)準(zhǔn)起草人,曾獲省部級科技進(jìn)步二等獎(jiǎng)、首都勞動(dòng)獎(jiǎng)?wù)?、全國五一勞?dòng)獎(jiǎng)?wù)拢小毒≒KI網(wǎng)絡(luò)安全認(rèn)證技術(shù)與編程實(shí)現(xiàn)》一書。
2016年創(chuàng)辦北京信任度科技,致力于技術(shù)讓信任更簡單!
信任度科技以“企業(yè)互聯(lián)網(wǎng)”時(shí)代的客戶需求為核心,專注于解決制約全流程互聯(lián)網(wǎng)化運(yùn)營的可信身份、可信行為、可信數(shù)據(jù)等問題,建立了以手機(jī)盾可信數(shù)字身份為核心,涵蓋全平臺(tái)、全場景的電子簽名產(chǎn)品與解決方案體系,并通過區(qū)塊鏈技術(shù)推動(dòng)身份、行為、數(shù)據(jù)從組織內(nèi)部向生態(tài)化、社會(huì)化領(lǐng)域的延伸。