【Q&A】法务关心的12个常见电子签约问题
1. 上上签会采集哪些信息,是否与《个保法》冲突,这些信息可以不采集吗?
上上签电子签约:电子签约与《个保法》不存在政策冲突。《个保法》是为了保障个人信息不会被系统过度采集和过度应用。由于《电子签名法》中规定电子签约需要由相关认证机构颁发带有签约方信息的数字证书,因此在采用电子签约前,对于签约方的个人信息采集流程是否规范,采集目的是否告知,应用范围是否明确,信息管理和保密是否安全,才是电子签约平台依据《个保法》需要进行流程规范之处。
上上签电子签约平台满足《个保法》的相关要求,遵循最小必要原则,仅采集电子签约所需信息,并遵循相关合规要求,加密存储,未经用户同意不会用作他途,在支持电子签约顺利进行的同时,保护用户隐私信息。
2. 上上签如何确保合同的安全性,被黑客攻击后是否会泄露我们的合同?
上上签电子签约:从技术层面看,上上签电子签约平台部署在金融级别数据中心上(等保4级),具备完善的安全防御设施,包括DDoS、IDS、WAF、云杀毒和态势感知。通过对合同进行一文一密的加密存储、对客户隐私数据进行国密4加密存储,能够有效保证电子合同数据隐私。另外数据传输中的加密也是至关重要的一环,电子合同签约中数据传输通过 SSL/TLS加密,并且对请求进行签名,可以有效确保只有合法身份发起的请求才会被正确响应,能杜绝恶意盗用的情况发生。
从管理层面看,为能最大化保障安全,上上签以银行的标准严格自我要求。上上签运维必须在由堡垒机管理的专用工作站上进行操作,限制任何数据的下载,而堡垒机记录所有操作行为。且管理账号的权限没有重合,每月进行全面安全审计。
这样的管理方式,也通过了汇丰银行的评估。其安全团队在我们总部驻场两周,现场考察安全措施,前后历时半年完成108项安全审核,上上签最终全部满足,达成合作。
世界500强企业赛诺菲也曾邀请国际独立的第三方专业安全厂商CyberVadis对上上签电子签约进行安全测试,结果显示上上签成为其测评分数最高的供应商,获得历史最高分912(满分1000分,高于850分就被归类为最高等级的成熟系统)。
此外,上上签电子签约还接受了客户世界500强BP(英国石油)安排的第三方专业审计机构安永的安全审计,审计结果显示无中高风险项目,完全满足BP安全审计要求。目前,J.P.Morgan、德意志银行、建设银行、光大银行、广发银行、工商银行等超过50家大型银行已经选择了上上签电子签约。
3.个人认证数据源需要关联公安人口库,企业认证的数据源需要关联工商数据库并且在进行数据比对,确认身份后, 需要接入CA认证中心,通过CA认证机构为签署主体颁发数字证书,确保身份是真实有效的。请问上上签是如何操作的?
上上签电子签约:上上签作为RA,属于CA认证体系中的一部分,负责验证申请主体的身份。实名认证方式分为个人认证和企业认证。
个人认证方式如下:
第一步:提交身份信息。发起方可在后台配置,指定个人认证的身份信息提交方式,三选一即可。
第二步:认证意愿校验。上上签提供默认的三种通用的个人实名校验方式(由简单到复杂):刷脸校验、手机号验证码校验、银行卡校验。以及一种备选的实名校验方式:手持身份证校验方式,当通用的校验方式都不通过时,自动启用备选方式。
另外针对非大陆居民包括护照、外国人永久居留身份证、港澳台往来大陆通行证等,如果本人在中国大陆银行实名办理过银行卡,可以通过预留手机号来完成意愿校验。如果没有银行卡,则通过手持证件认证,需要人工审核(一个工作日内)。
企业认证方式如下:
第一步:上传营业执照,平台自动OCR识别企业名称、统一社会信用代码、法人姓名。
第二步:上传法人/经办人证件,二选一即可。
第三步:上上签提供默认的四种通用的企业实名校验方式(由简单到复杂),法人刷脸认证、法人手机号认证、打款认证、授权书认证。
针对实名认证过程出现操作问题,由专门的400服务热线及在线客服人员提供技术指导服务。同时,支持由企业配置指定签约相对方采用其中1种或多种组合方式完成实名认证。
4. 相对方信息如果有变更,作为企业如何知晓?能否有手段及时发现以避免相对方变更之后,还用变更之前的身份与企业签合同?如果能提前发现相对方企业信息有变化,怎样让他们变更?
上上签电子签约:企业信息变更包括企业名称变更、法定代表人变更、注册资金变更、企业注销、经营范围变更等。可以将变更情况分为三类:
第一类因注销、更名、合并等原因导致企业的统一社会信用代码无效或发生变化。这时,原有统一社会信用代码代表企业已无法具备继续法律履约能力,因此其原电子合同的企业实名也会无效,需以新社会信用代码的企业主体完成实名后才可以继续签署。
第二类,企业名称或企业法人变化但其企业统一信用代码没变。虽然法律上其企业履约性质未变,但很多金融业务在合同签署时,企业法人作为担保人也是双方合同签署的前提。因此当企业名称或法人变更时,其在上上签的企业实名认证也会无效,需重新实名认证。
第三类注册地、注册资金发生变化时,则不会影响其在上上签的实名结果,可以继续签署,并且通常这类信息变化也并不影响双方业务签署,只需由工商部门审核其相关信息并作变更公示即可。
对于三种情况,第一、二种,上上签提供“企业年审”方案,企业用户可在上上签平台定期对企业签约相对方进行资质年审,比对工商权威数据源,当企业名称或法人变更时提示本方,对方签署时自动触发强制重新实名,屏蔽签署无效风险。第三种情况,因通常并不影响双方合同签署,优化业务运转效率则不会进行提示。
融资租赁场景示例图
5.是否只能通过公证的电子签名才能让仲裁或者法院采信我们提交展示的合同文件为原始的合同文件?如果需要公证文件,上上签取得公证文件需要多长时间?其他能为我们举证提供怎样的支持?
上上签电子签约:电子签约作为成熟的合同签署方式受到法律的认可保护,生成时有专业的技术手段,验证时有严谨的校验方法。
上上签出具的电子合同作为合同原件,大部分情况下法院可直接校验认可有效。因此在司法纠纷中,可直接提供电子合同原件和上上签平台出具的证据报告便能受到法院或仲裁庭认可,加快案件审理进度。
在此基础上,上上签平台与权威公证处对接,实现对所有合同做到关键节点实时公证,可出具全过程实时公证书。其目的是当案件纠纷重点就在合同签署本身时,公证书具有免证效力和优势证据效力,法院需直接认可公证书结论,一份公证书包括全部需证明事项,无需提供其他额外辅证。对于使用上上签电子签约的企业确保胜诉,且大大加快审判进度,无需投入额外精力收集整理相关证据。
对于申请及出证,上上签将提供完整的出证服务,联系上上签客户成功人员后,将由上上签联系公证处进行预约申请工作,公证处会将出具的纸质公证书直接邮寄给企业用户。考虑到快递邮寄时间,公证书从申请到签收一般在10-15个工作日。
6. 作为甲方,如何管控乙方用印风险,即如何规避乙方乱用、错用电子印章的情况发生?
上上签电子签约:在正式使用电子签约之前,甲方可以通过上上签“档案+”采集签约相对方的信息,确保乙方签署主体的准确性。上上签会对乙方的基础信息进行验真以及实名认证的工作。同时,每年甲方可以对乙方进行实名认证的年审工作,确保乙方的主体真实可靠、有效。
在合同发送之前,甲方可以为模版设定模版专用章,为自己的己方和相对方设定专用章。当用印人员盖章时,只有权限使用设定的专用章才可以完成合同签署。
此外,上上签提供“签署方印章识别”的功能,在合同、文件和单据的签署过程中,如果相对方(乙方)签署使用的合同印章可能存在风险,如企业名称和实际签约企业不匹配,或者有异常印章(如非印章图片、不合规的印章图案)的情况,上上签会提示发件方进行印章的确认,及时发现使用异常。
7. 相对方的经办人有可能不是实际用印人,相对方的用印权限是如何分配和管理的?如何保证相对方的用印流程是合规的,即我方和相对方签署的合同是有效的?
上上签电子签约:相对方企业的主管理员对其企业内的用印进行集中管理、分配,有权限的角色和用户可以访问、使用或签后管理合同、文档和文件等。没有权限的企业用户,无法直接对合同进行用印,经办人只能转交给有权限进行签署的企业用户进行用印。
如果根据企业流程,该经办人可以对此文件或合同进行用印,可以在上上签平台向企业管理员申请用印,申请通过之后则可以对此文件或合同进行用印。
上上签提供全过程关键节点实时公正的存证服务,从用户注册、实名认证、证书申请、合同文件、签约存证页关键节点,可以确保整个合同签约流程真实、有效、可靠。我方和相对方的签署过程都会记录在上上签的平台上。如果遇到纠纷,用户可以凭借电子合同原件、签约存证页、电子签约数据存证报告和公证文书来应对。
8. 人事场景给员工出具的上上签电子合同证明是否能受到政府部门认可,如民政部门、社区、人社部门等
上上签电子签约:《民法典》规定电子合同也是书面合同的一种,电子签的法律依据来源于《中华人民共和国电子签名法》,该法第十三、十四条规定:可靠的电子签名与手写签名或者盖章具有同等的法律效力。我们平常所说的劳动合同、员工手册、保密协议、在职证明、收入证明、离职证明等等,都可以实现线上电子签署。
疫情以来,国家陆续出台了多个政策,鼓励用人单位签署电子劳动合同。2021年7月,人社部发布《电子劳动合同订立指引》,指出各地要加大《电子劳动合同订立指引》的宣传力度,指导有订立电子劳动合同意愿的用人单位和劳动者,参照《电子劳动合同订立指引》协商一致订立电子劳动合同,确保电子劳动合同真实、完整、准确、不被篡改。
当前企业给员工出具的上上签电子合同证明,已经得到银行、大使馆、社保等机构的认可。开具的每份电子证明都会标注一个上上签查验二维码,扫码即可显示该证明文件的盖章人、签署过程等信息。同时还有进一步的作用,也是更为重要的证明力——发件方允许第三方机构查看文件原文。这些证明文件在提交至各政府部门时,工作人员可以用此方法验证文件的真伪。
上上签的一家头部家电客户,在上线电子合同前,联合当地市人社局及劳动监察局、市人力资源协会、上上签一起召开了企业电子劳动合同研讨会,并与当地银行、政府等机构就“是否接受员工收入证明、在职证明等改为电子合同”进行了探讨并做了可行性论证。最终将电子签约推广应用到了集团人事证明类文件场景。
另外还有一家500强外企医药客户给员工出具的电子证明文件,获得了大使馆的认可。
目前电子签约在《在职证明》、《离职证明》、《收入证明》、《内部晋升信》等场景,均已得到银行、大使馆、社保机构的认可。
9. 根据《劳动合同法》规定:签署完成的劳动合同文本由用人单位和劳动者各执一份。上上签平台会在签署完成后将合同发到员工邮箱或者员工也可以登录账号进行查看,但都不能保证其会主动下载,请问只确保送达,无法保证员工下载持有,这在劳动仲裁或者诉讼环节会有问题吗?
上上签电子签约:电子签的法律依据来源于《中华人民共和国电子签名法》,签署时员工需要完成实名认证、意愿校验,所以整个过程合法有效。
合同签署完成后,系统会将其发送到员工邮箱,全程都有记录。如果没有通过邮箱发送给员工,员工登录账号后也可以查看到个人签署的劳动合同。所以即使员工没有下载,在诉讼环节也没有问题。
10. 电子印章是否要去公安备案?电子印章和在公安局申请物理印章备案时,公安同步颁发的电子章有什么区别?
上上签电子签约:电子签约中的电子印章是不需要去公安备案的。
关于电子签约中的电子印章(电子签名)是否要去公安备案这个问题,其实是因为大家对印章的传统思维引发的,传统上所有实体印章必须在公安机关备案,才具有法律效力。所以会自然地想到电子签约中的电子印章是否也需要进行备案。
从法律基础来说,《印章治安管理办法》第十条明确规定,需要刻制印章的单位应当到公安机关批准的刻制单位刻制;刻制单位将刻制的印章向公安机关办理印鉴备案后,方准启用。而电子签约中的电子印章不同于实体印章,根据《电子签名法》规定,只要在工信部许可的电子认证机构(CA)申请并颁发数字证书,根据数字证书所生成的电子印章,即可拥有与实体印章一样的司法效力。所以实体印章认证体系与电子签约中的电子印章认证体系不同,只要申请合规,都是合法有效的。
其次,关于电子签约中的电子印章与物理印章同步颁发的电子章也是有区别的,二者不是同一个概念,不能等同。
随着经济发展和科技进步,线下实体印章已经不能很好地适应和满足社会发展的需要。国家层面也提出了“电子印章”的概念,此处的电子印章就是实体印章的电子化。有些地方政府也审时度势,制定了一些地方性法规用于监管电子印章。如北京2019年制定发布《关于电子印章管理工作意见》,其中就提到电子印章是指电子数据表现形式的公章和具有法律效力的个人名章。电子印章的图形化特征与实物印章的印模完全一致。电子印章由经公安机关许可的公章制作单位制作,其规格、式样、存储介质要符合国家有关规定。电子印章制作完成后的24小时以内,应当将规定的信息向公安机关备案。
通过上述规定,我们可以看出《关于电子印章管理工作意见》所指的电子印章其实是实体印章电子化的过程,其制作、备案、使用等是依据和实体印章类似的逻辑。如果一家公司在实体印章的基础上刻制电子印章,则需要到公安机关指定的印章刻制单位刻制,并需要在刻制后依法备案。
综上所述,依照《电子签名法》规定的电子签名和公安机关颁发的有关印章管理规定的印章和电子印章其法律依据不同、管理逻辑不同,是不同的事物。上上签电子签约平台是依据《电子签名法》提供服务的组织,其提供的电子签名无需向公安机关备案。
11. 签署完成后,如对数据电文内容、形式、电子签名有任何改动,是如何被发现的?
上上签电子签约:电子合同的不可篡改性,主要是通过时间戳技术+数字签名,证明合同不可篡改或者篡改能被发现。
在电子合同中,时间是十分重要的信息。在书面合同中,文件签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容。具有法律效力的时间戳,是由国家授时中心负责时间的授时与守时监测,因其守时监测功能而保障时间戳证书中的时间准确性和不被篡改。
电子合同的签署,是通过电子签名即数字签名的技术实现的,基于高等级的加密算法进行加密。电子签名是签名者本人认可签名原文件内容(一份文档,一张图片等)并使用代表本人身份的“钥匙”进行加密得到的一段数字串(即“数字签名”),再和签名或公章的图片化数据、签名者本人的数字证书、签名原文件合成结构化文档,即得到已加盖电子印章的文件,数字签名技术保证了签名原文件由签名者本人签名发送,且签名原文件没有被篡改。
电子合同签署后发送的过程也是一个加密、解密的过程,发送电子合同即数据电文时,发送方用一个哈希函数(HASH)从数据电文文本中生成数据电文摘要,然后用自己的私钥对该摘要进行加密,加密后的摘要将作为数据电文的数字签名和数据电文一起发送给接收方。接收方首先用与发送方一样的哈希函数从接收到的原始数据电文中计算出数据电文摘要,接着再用发送方的公钥来对数据电文附加的数字签名进行解密,如果这两个摘要相同,那么接收方就能确认该数字签名是发送方的。
电子合同签署后,如果签名人对签名进行改动,即改动了对数据电文摘要的加密值,这种改动将轻易被识别,因为这将导致用公钥解密的失败,或者导致用公钥解密后所得到的摘要值与所收到的数据电文再次经过哈希运算后的摘要值不符。
12. 我们是跨国公司,业务系统服务器基本上部署在境外。如果应用上上签这类电子签约平台,是否可以部署在境外,把数据存储在境外是否合规?
上上签电子签约:上上签电子签约平台是一个成熟的电子签约系统,系统本身部署在境内还是境外并非技术问题,技术上是可行的。是否可以部署在境外,这里我们通常要考虑两个问题。
第一,成本高昂。除去境外部署服务器、持续运维升级的人员投入以外,由于合法合规的电子签约会涉及大量的(企业/个人)实名认证、CA证书申请、时间戳、存证出证等基础服务,频繁的境内-境外数据传输对网络带宽会有一定要求,而随着企业签约业务量的增长,所需跨国专线的价格不菲。
第二,数据合规。数据跨境、数据出境的核心是要对个人信息和重要数据的出境过程进行管控,《个人信息保护法》、《数据安全法》、《网络安全法》、《数据出境安全评估办法》对我们有非常好的指导作用。如果境外要收集、存储敏感数据,按照中国的法律法规,首先要确认是否合法、正当,如果没有经过评估就跨境传输,企业可能会受到处罚,最终影响整体经营业绩。
关于信息存储,《个人信息保护法》还提到处理个人信息达到国家网信部门规定数量的,应当储存在境内,如果出境则要求通过所在地省级网信部门向国家网信部门申报数据出境安全评估。一方面当个人信息处理者处理个人信息达到一百万人时,这种情况哪怕出去一条信息也要进行备案。另一方面,如果累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息也要进行评估。
总体而言,境外部署在技术上可行但综合成本较高。数据并非绝对不可以跨境传输,而是要符合各种规范,包括符合国家要求进行实施备案。
企业合规经营的首要前提是符合当地的法律法规。不同地区的法律法规,可能会有一些差异。在处理这些差异时,上上签要帮助客户在遵守国家法律的前提下兼顾数据合规与数据安全。因为数据安全的目的不是将数据完全锁在一个地方束之高阁,在这过程中,仅仅靠我们还不够,还需跟数据安全专家,法律界专家人士一起为客户提供咨询服务。