ws318路由器登录密码(如何选择一家靠谱的电子合同服务商)
自从新冠疫情以来,各地为了抗击疫情不得不减少线下活动,推迟复工。电子合同也迎来一波新的推广高潮。我所在的团队就有很多小伙伴来找我希望帮他们设计原有业务上纸质合同变为电子合同的方案。(别问我怎么知道的,朋友圈被电子合同服务商的各位老板们刷屏了~)
那么怎么去选择一家靠谱的电子合同服务商呢?让我们站在客户的角度来看下。(这也是很多小伙伴因为看到我的电子合同三篇之后找我咨询的问题。)
先强调一点:不是你把合同搞成 PDF,然后用 PDF 编辑器 P 上去一个红章就是合同了(限定地区:中国大陆地区)……你这是在侮辱我的智商!!!!
在选择电子合同作为合同签署方式之前,你先要说服你们公司的法务、风险、审计等同事,让他们认可电子合同作为合同表现形式的合同性。
有请《合同法》,看看《合同法》对于合同形式的规定:
简单点说就是:数据电文形式属于书面形式的合同。似乎 PDF 可以当合同,不要急,还有一部法律《电子签名法》来规定了数据电文在生成上、内容完整以及鉴别方法上的完整性,以及可靠的电子签名的判断标准和效力。
另外,《电子签名法》上还确认可靠的电子签名与手写签名或者盖章具有同等的法律效力 。
好了,理论上你可以说服他们了,如果说服不了他们,下边的文字你就不要看了。
根据《电子签名法》以及相关司法实践,电子合同只是一个结果,但是产生这个结果的一系列操作是否完善将直接影响电子合同的效力,无法直接证明电子合同是签署各方真实意愿的表达。
还是拿一个狗东的判例来看:《袁斌与合肥梦川玖贸易有限公司等小额借款合同纠纷二审案件》【案号:北京市第三中级人民法院(2018)京03民终4903号】[1]
如果电子合同被判无法直接证明是签署各方真实意愿的表达,则需要提供更多的间接证据来证明,比如借贷纠纷中可以通过打款记录、还款记录之类的来证明,但是很麻烦,提交的证据越多越容易出现纰漏,能一棍子打死绝对不要多打几下。→_→
我将一个电子合同全生命流程定义成以下四个阶段:
(偷偷说,我觉得我这页 PPT 做的特别好)
一个完整的电子合同生命流程应该可以串起从证书颁发到合同存储的全部路径,这样才可以在事后举证的过程中对该合同是签署人真实意愿的表达提供证据支持。关于实名认证和意愿认证,可以看我的这篇文章:《身份认证全解析》
我一直说电子合同不是一个技术问题而是一个法律问题。电子合同所涉及的技术其实并不复杂:
(1)电子合同的六个基础技术
1)电子认证技术(PKI)
电子认证技术以公钥基础设施 PKI 体系为支撑,通过对网络上传输的信息进行加解密、数字签名和验证,来确保网络传递信息的机密性、完整性和不可否认性,确保网络应用的安全。
2)电子签章技术
该技术主要是在电子签名技术的基础上的一种可视化升级,通过图像处理等方式将电子签名的操作转化为人们习惯的传统盖章或签名的可视效果,并配合电子签名技术来保障电子信息的完整性以及签名人的不可否认性。
3)密钥算法技术
在密码学中,常见的密钥算法主要分为对称密钥算法和非对称密钥算法。在电子签名技术里采用的最多的还是非对称加密算法,比如 SHA1SHA256 以及国密算法 SM1SM2 (→_→)。
4)数字签名
数字签名是可信电子签名技术中使用最广泛的一种,利用非对称加密技术对要传输的技术进行加密。数字签名在电子合同中的应用原理是:
5)数字证书
数字证书是由证书授权机构(certificate authority,CA)发行的用于识别互联网用户身份的一种权威性电子文档,绑定了公钥及其持有者的真实身份,人们可以在电子合同的缔约过程中用它来证明自己的身份和验证对方的身份。当然,数字证书并不是谁都可以签发的(虽然从技术上讲,我也能发一个小璋 CA)。在数字证书颁发的过程中证书认证中心作为权威的、公正的、可信赖的第三方,其作用是至关重要的。
目前我国采取的是「资质许可」的形式来确保 CA 机构的权威、公正和可信赖。截止2020年 3 月 23 日,在工信部网站上公示的电子认证服务机构一共48家。
6)可信时间戳
可信时间戳的可信主要体现在时间源可信和时间戳证书可信。在我国,唯一的法定时间源来自于中国科学院国家授时中心( NTSC ),该机构承担着我国标准时间的产生、保持和发播。可信时间戳服务是国家授时中心时间服务的延伸,一个国家只能有一个时间源,一个可信时间戳服务中心,以保证可信时间戳服务的权威。我国唯一权威可信时间戳服务机构则是联合信任时间戳服务中心(TSA)。
(via: 联合信任时间戳服务中心)
其作用主要通过为电子签名提供确实的签署时间,保证电子签名的有效性,同时解决数据电文(电子文件)易被伪造、产生时间不确定的问题。
(2)如何选择一个靠谱的服务商(此处广告位招租)
看似技术不复杂,理论上小璋快签找个大学生当毕业设计给我做一做,明天就可以开业了。(感觉马上当上总经理、出任CEO、迎娶白富美、走上人生巅峰,想想还有点小激动。[手动狗头])
但是实际上来看,各种技术的集成也是一门学问。系统集成商的存在意义也就是如此。
那么首先,你要找一个靠谱的服务商。电子合同服务商干的就是系统集成这个生意,至于怎么选么?选头部玩家,找几个在行业报告上经常出现的(虽然行研报告也要恰饭但是大型机构还是要脸的,所谓排名里前三或者前五以及举例的企业绝大部分还是靠谱的。)
另外,你还可以关注下行业内标杆企业选哪家跟着选,大差不差。还有一个就是去「中国裁判文书网」[3]上搜下「电子合同」关键字,看看哪家服务商被提及的多就选哪家→_→,当然还有就是查询下以往案例是否有不认可该服务商的情况,如果有的话就要慎重下看看具体是为什么。
然后你得看下和这个服务商合作的 CA 机构,找服务商要下授权书,看下 CA 机构是否授权了该服务商使用这个 CA机构颁发的证书,还有关注下授权书有效期。
最后再去工信部网站查一查这个 CA 机构是否依法有效。
可以通过几个地方查:
一般CA 机构会在官网展示他们的《电子认证服务许可证》和《电子认证服务使用密码许可证》,这两个证一个是工信部发的,一个是国密局发的。
像某如那种自己搞一个 CA 发证书的,不说啥了
这里多说一句:未经审批设立的 CA 机构,仅仅是从电子签名法角度有重大瑕疵,但是在一些司法判例中,如果能从其他方面证明当事人之间存在相关关系,法院还是会大概率判定要求侵权方承担民事责任,不过在一些具体合同条款上可能无法予以认定。
最后我说一嘴,很多服务商会提他们有《商用密码产品生产定点单位证书》、《商用密码产品销售许可证》来标榜有多权威,你就假装很牛逼好了,早在 2017 年国密局就根据国发 2017-46 号文《国务院关于取消一批行政许可事项的决定》,取消了这两个证的行政许可工作,已经颁发的证书到期自然失效,不在办理变更和更新手续。但是《商用密码产品型号证书》还是需要的,这一点要关注。
总结下:
[1]《袁斌与合肥梦川玖贸易有限公司等小额借款合同纠纷二审案件》【案号:北京市第三中级人民法院(2018)京03民终4903号】:http://t.cn/AiYEOrYd
[2]工信部-数据资料库-电子认证服务机构设立审批:http://data.miit.gov.cn/resultSearch?categoryTreeId=1101
[3]「中国裁判文书网」:http://wenshu.court.gov.cn/
[4]工信部《电子认证服务许可证》查询地址:https://zwfw.miit.gov.cn/miit/resultSearch?wd=&categoryTreeId=318&categoryTreePid=&pagenow=1
[5]国密局《电子认证服务使用密码许可证》查询地址:http://www.oscca.gov.cn/app-zxfw/xzspsx/syxkdw.jsp?channel_code=c100142
张小璋,公众号:张小璋的碎碎念(ID:SylvainZhang),人人都是产品经理专栏作家。野蛮生长的产品经理,专注于互联网金融领域。
本文原创发布于人人都是产品经理。未经许可,禁止转载。
题图来自 Unsplash,基于 CC0 协议