【专栏 ? 俊眼观察】电子签名白话解

★文章为LexisNexis独家内容,未经允许严禁转载 【俊眼观察】不为良医,便为良律;医学与法律,其实背后有很多的共通点。本专栏主要分享医疗卫生与知识产权领域,以及两者交叉领域所…

★文章为LexisNexis独家内容,未经允许严禁转载

【俊眼观察】
不为良医,便为良律;医学与法律,其实背后有很多的共通点。本专栏主要分享医疗卫生与知识产权领域,以及两者交叉领域所遇到的法律问题以及相应见解。


郭俊
上海融孚律师事务所

专栏作者郭俊律师具有医学与法律双硕士学位,擅长处理医疗卫生,知识产权,国内与涉外争议解决,再保险等法律领域的问题。


摘要:本文以电子签名的概念入手,与实际公章的效力和使用进行对比,依托现有法律条文,为读者详尽解释了电子签名的四个特征:专有、由签章人控制、独一无二、篡改可被发现,并逐一解释了四项特征如何体现并发挥功效。




电子签名对于需要多次重复盖章的公司来说,比如保险公司与再保险公司之间的合同,或者公司与采购商之间的合同等等,是一个非常经济与便利的选择。但笔者与客户沟通中发现很多人对于电子签名有很多误解,比如误将公章截图做成电子水印视作为电子签名。且在和客户内部非法律人员沟通相应概念时,大家也对电子签名有一定的误解。笔者遂打算以白话解释一下电子签名的基础概念。

大家都知道,签名一般是用来证明你对法律文件的认可,愿意受其约束,自愿签上自己的姓名,这和盖公章基本是一样的道理。电子签名也就是将这个动作电子化,并赋予相应的法律意义。

首先,我们来看下电子签名法的法律条文。


《中华人民共和国电子签名法》第十三条,电子签名同时符合下列条件的,视为可靠的电子签名:

(一)电子签名制作数据用于电子签名时,属于电子签名人专有;
(二)签署时电子签名制作数据仅由电子签名人控制;
(三)签署后对电子签名的任何改动能够被发现;
(四)签署后对数据电文内容和形式的任何改动能够被发现。

第十四条,可靠的电子签名与手写签名或者盖章具有同等的法律效力。

我们可以看出,其中的重点在于可靠的电子签名有四个特征:专有的,能识别出签名人的身份;由签章人控制;签章本身是独一无二的,任何改动能够被发现;被签章后的内容是被固定下来,篡改是可以被发现的。


其实传统的盖在纸上的公章也是具备这四个特征的。我们先来看传统的公章是如何实现上述四个特征的呢?一般来说,大家会将合同打印,并在打印的纸上盖上公章。

对于专有性而言,一个公司的公章只有一个,在制作的时候是去公安部门指定的地点制作(第三方制作),并且在制作处留存样张,章上刻的是公司的名字。这样的话就达到了,独有一个公章(专有),公章上有公司的名字(识别身份)。天下没有两片相同的叶子,同理,即使同一个机器制作,天下没有两个完全相同的公章,而且因为留存样张,因此可以鉴别你所拿到的这个公章是否是当初公司制作的公章。

公章一般在公司自己内部控制(由签章人控制),有的公司有规定公章使用的内部流程与规则以保障责任到人。

对于签章本身是独一无二的,任何改动能够被发现这一点,之前解释过,刻出来的公章是独一无二的,因为有样张留存,所以可以拿不明的公章所该章印与样张进行对比,从而发现是否是原来的那个公章所盖。

对于签章后的内容是被固定的这一点来看,一般会将公章盖在打印的纸上有字的地方。一旦纸上有红印,很难再篡改内容。手写的可能有一定麻烦,但是现实中常使用打印的合同来避免这个问题。

签名也是同样的道理,每个人的签名都是独一无二的,是可以鉴定识别的。

然后我们来看电子签名如何实现上述功能。

现实中的公章需要去公安部指定的机构去制作,电子世界的公安部就是中国工业和信息化部,其通过《电子认证服务管理办法》来管理制作公钥和私钥的平台。这个平台需要获得工业和信息化部颁发的《电子认证服务许可证》,这个平台又叫“数字证书认证机构(Certificate Authority)”(简称“CA”)。

我们将电子签名假设成电子公章来看,CA选定算法,是生成一对密码来制作成电子公章。这一对密码有两个,我们一般称之为私钥与公钥,并且标记好申请公钥和私钥的申请人的身份信息。然后将申请人信息,其申请的公钥和算法等信息放在公开渠道上供用户浏览,将私钥私下发给申请人保管。不同的CA使用的算法,以及生成的公钥和私钥都是不同的。CA会将一系列信息打包放在一起,这个包就叫“数字证书 digital certificate”数字证书也称公钥证书,由证书认证机构(CA)签名的包含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及扩展信息的一种数据结构。

其中,私钥是不公开的,只能用来加密的,是交给申请人(我们假设为Z公司);公钥是公开的,只能用来解密的,是放在平台上公开查阅,并且会标明属于这个Z公司,公钥的功能是识别秘钥持有人身份以及查看加密文件。

我们来看,当Z拿着私钥对某一份word文件进行加密,就相当于对文件进行盖章固定了。当Z公司将加密过的文件给交易对方X公司,因为加密后的word文档本身是一个电子文件,从电脑屏幕查看的文件的人是无法知道这个文件是什么、以及谁对它进行加密的。这个时候就需要公钥了。X公司就去CA平台查询,Z公司的公钥是什么,然后下载公钥来解密这个文档,如果能解密,就说明这个word文档是Z公司进行加密的。

这个加密的过程就类似于盖章,不过这个章一定要通过公钥解密来推断出来。就好像私钥就是我们的公章,但这个公章盖的章在常见光下看不到,而公钥就是紫外线灯,只有在它的照耀下,才能看到盖着的那个章的内容。



那电子签名如何实现上述四个特征呢?我们一一来看。


专有,能识别身份


因为公钥和私钥是成对的,公钥只能解密这个相对的私钥加密的文件。这个功能主要是通过密码学RSA算法(1977年三位数学家Rivest、Shamir 和 Adleman 设计的一种算法)来实现。

其方式是选择一种RSA算法,之后生成唯一的一对质数(位数可长可短)分别作为公钥和秘钥,公钥是用来解密,私钥是用来加密。根据公钥是无法推算出私钥的。

因为现实中的章的内容是靠我们肉眼识别,而电子世界中,识别是通过公钥对加密的文本进行解密。因为公钥的拥有人身份是公开的,且它所能解密的只能是那个对应的私钥,只要是这个公钥能解密的,肯定是这个私钥进行加密的。如果私钥发生变化,公钥就无法对加过密的文件进行解密。这样,只要确保公钥对应的是特定的人,比如在CA平台上公示的是Z公司的公钥,那么对应能解密的只有Z公司的私钥,从而来确定是Z公司私钥加的密。


由签章人控制

私钥是不公开的,由Z公司自己掌握,就像现实中的公章一样,一般来说,现实中常见的是CA会将私钥那个密码放在一个U盘里交给申请制作的公司。


签章本身是独一无二的,任何改动能够被发现;被签章后的内容是被固定下来,篡改是可以被发现的


我们之前已说过,公钥和私钥是成对的,公钥只能将对应私钥加密文档进行解密,别的私钥都不行。这一对公钥和私钥是世上一般是根据算法随机生成的仅有的一对密码。

然后,为了实现被盖过章的文档的独一无二性,技术上是使用二层来保障,第一层是独一无二的私钥本身加密,第二是在加密的文件上加盖上时间戳。盖时间戳即是在加密的时候与第三方可信时间认证机构服务器(比如中国国家授时中心)相连,利用哈希加密等方式,在加密文档上固定文档制作时间点。

这两个技术的同时使用,使得文档被固定下来形成独一无二的文档。要篡改这个文档或者说制作一个假的文档,需要获得私钥,篡改第三方服务器上的时间,破解时间戳的加密,这三个条件同时符合;一般来说几乎不可能完成。

由此可见,电子签名通过技术手段来达到法律上规定的四个特征。

合同一般由双方当事人盖章,就电子签名来说,就是两个公司都申请电子签名,各自使用各自的私钥加密,验证的时候使用2个公司的公钥来解密验证各自的私钥。

因为现实中的公章盖章后,我们可以通过章上的文字来识别出盖章人的身份。但是电子签名是一对数据,需要要通过CA平台的公示来识别公钥的持有人信息从而来确认电子签名人的身份。

所以国家对CA平台进行管理,对其有一定的标准与规范。只要符合相应的规范,达到相应的资质,就可以成为CA。

和现实中的公章相比,电子签名的最大区别是,现实中刻有某公司的公章只有一个;而电子签名需要在每个使用的CA平台上制作一个,会有很多个。一般来说经常有往来的公司可以去同一个平台申请制作电子签名,就可以实现双方互相盖章的。实践中,也有由行业交流平台为行业会员去同一个CA平台制作电子签名,然后在行业内部使用。

希望能对大家有所帮助!

关于律商联讯

律商联讯成立于1818年,总部位于美国纽约,是励讯集团(RELX Group PLC )的旗下公司,全球拥有超10000名员工,为全球175个国家和地区的客户提供世界领先的法律内容和技术解决方案,帮助法律、企业、税务、政府、学术和非营利性组织的专业人员做出知情决策,实现更好的业务发展。律商联讯凭借其在全球法律信息服务市场的资源优势,与中国最具实务经验的专家团队合作,相继开发了律商网和律商实践指引系列产品(www.lexiscn.com),致力于为法律专业人士提供贴近实务的工作流程,帮助其处理实务难题、撰写法律文书和高效法律检索的360度解决方案。

扫描二维码,了解更多精彩内容

为您推荐

发表评论

电子邮件地址不会被公开。 必填项已用*标注