Ukey电子签名与及SaaS中心化电子签名为到底有没有法律效力?
之前我们聊了数字签名,今天我们就来聊聊数字签名的发展以及大家最为关心的数字签名有没有法律危险的问题。
基于Ukey证书的数字签名
数字签名进入我们的视野最初以Ukey为载体,大家以前在银行办理业务时应该有所接触,Ukey是硬件设备,虽然外观上看起来与U盘并无二致,但在功能上却相当于一台微小型电脑,由独立运算单元。
Ukey签名的原理
一般情况下,Ukey的公私钥对是在用户在柜台办理业务时,由用户在柜面工作人员的协助下激活时产生的,产生的公私钥均存储于Ukey内部。用户在激活时会设置一连串的密码,称为PIN码,只有输入仅用户可知的PIN码完成校验,才能够调用存储于其中的私钥,完成签名。
一般来说,若Ukey能够合理使用,借由其完成的签名属于可靠的电子签名。
使用Ukey的弊端
但是,基于Ukey证书的数字签名是单机版的,此种模式下签名需要搭配特定的软件,一定程度来说Ukey设备是变相的印章,仍具有物理局限性,限制了电子签名的应用场景,尤其是无法满足数字化时代随时随地签名的便捷性需求。
此外,由于各家CA机构的数字证书无法互认,很有可能会出现单个用户持有数枚Ukey的情况,各Ukey只用于特定场景,而这些Ukey在技术上又可以完成签署,但使用人是否获得企业授权却无法通过直接核实,凡此种种都会给企业带来管理上混乱。
客观上,需要有更便捷,更适应数字时代发展的电子签名方法的出现。
基于SaaS平台的电子签名并不可靠
SaaS平台电子签名简述
顺应互联网发展的需要,一种以SaaS平台为表现形式的电子签名服务出现了,SaaS电子签名最大的特点在于中心化部署,即签名平台处于绝对优势地位,它以中心化的服务器系统作为管理中枢,所有签名人用于签名的密钥由中心服务器负责管理,当某一签名人需要对文件F进行签名时,可以将文件F(或文件的散列函数特征值)上传至服务器,服务器对用户的身份进行判别后,调用用户的密钥,代替用户对文件F完成数字签名。
SaaS平台电子签名的操作流程:
SaaS签名中,电子签名制作数据到底是什么?
《电子签名法》明确规定,电子签名是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。
根据《电子签名法》第三十四条的规定,电子签名制作数据,是指在电子签名过程中使用的,将电子签名与电子签名人可靠地联系起来的字符、编码等数据。
从签署流程中,我们可以很清楚地看出,SaaS平台中作准文本中的电子签名制作数据很明显是用户的私钥:
SaaS平台在接收到用户签名申请后,以用户的名义调用私钥,代替用户完成文件的签署,最终生成作准文本,将签名与签名人建立联系的数字是专属于用户的私钥;
此前用户收到的短信验证码,仅仅是SaaS平台自身设置的验证用户身份的一种方式。用户输入短信验证码后,并不会立即完成签名,而是转由SaaS平台调用私钥以用户进行签名。
SaaS签名服务一定不可靠
很明显,通过中心化部署提供签署服务的SaaS平台的数字签名一定不是可靠的。
这是因为,SaaS平台的电子签名服务中,作准文本中作为电子签名制作数据的私钥是存储于平台云端,实际使用私钥完成电子签名的并非用户,而是平台,至于短信验证码的调取验证方式都是平台设置,由平台服务器向用户发送。
即便没有用户参与,平台仍有能力调取用户私钥以用户名义完成电子签名,这明显与“唯一控制性”相违背,不属于可靠的电子签名,无法发挥同纸质签名相等的法律效力。
很容易理解,在中心化的系统架构之下,中心就是上帝之手,主宰着用户签名资源的所有控制权,虽然按照标准流程,平台在代替用户进行签名前,需要对用户的身份进行判别,但身份判别的尺度或者采用何种判别方式仍然都是由平台掌控,因而除非您能无条件地信任平台,否则您将永远需要担心您的签名是否会被伪造。
显然,并不是每一个责任主体都愿意接受这种将无条件的信任赋予一家SaaS平台公司的做法,相对于Ukey数字签名而言,SaaS电子签名虽然提升了便捷性,但却在更为重要的可靠性问题上降低了标准。