2025.03.30
本文字數:3813,閱讀時長大約7分鐘
作者 | 第一財經 張麗華
“我們只是技術工具,公章真假由犛牛科技負責”,3月18日,電子簽名服務商e籤寶高管在浙江華僑系案件專班組織的溝通會上,面對投資人追問時丟擲爭議性回應。
自2005年4月1日起施行的《中華人民共和國電子簽名法》(下稱《電子簽名法》),即將迎來它的二十歲生日。半個月前,華僑系黃金理財詐騙案投資者代表與e籤寶管理層進行了第二次正式溝通會,這次對話中關於電子簽名行業技術合規性、責任邊界與行業生態的爭議,在《電子簽名法》20週年這個時點顯得頗為尷尬。
自半年前華僑系暴雷以來,中國黃金集團旗下公司“中鑫國際融資租賃(深圳)有限公司(下稱:中鑫國際)在不同場合宣告自己在華僑系涉案公章為假公章。這一宣告把電子簽名行業龍頭公司e籤寶推上了風口浪尖——假章如何批次從e籤寶出口流出?
“318”溝通會上,e籤寶第一次派出了高管作為代表,公司管理層解釋稱,e籤寶向華僑系平臺犛牛資訊科技(杭州)有限公司(下稱:犛牛科技,僑行天下APP的運營主體)提供的是工具性質的介面產品,且約定將實名認證的義務和責任,委託“讓渡”給犛牛科技。
這次溝通會再次引發電子簽名認證行業服務底線的討論。客戶的不正當需求是否應成為擋箭牌?將身份認證責任轉嫁給客戶平臺以規避稽核是否已成為行業潛規則?
央視“315晚會”曝光電子籤被高利貸利用,部分電子籤平臺的“實名認證”成了擺設,許多受害者簽署電子合同後才發現,收款方竟然是虛假身份,甚至“不是活人”。
在《電子簽名法》頒佈20週年之際,電子簽名行業的合規性困境和隱含的系統性風險是否已經充分暴露?
正如某電子簽名行業垂直媒體近日發文寫道:從鼓吹法律效力到濫發數字證書;從價格戰內捲到放任介面的“裸奔”,這場危機早被寫好了劇本。
技術“犯規”還是甩鍋”行業?
3月18日召開的溝通會,e籤寶派高階副總裁顧福燕和業務總裁餘賢圓作為代表來參加。記者獲得了此次溝通會的相關會談資料。
與e籤寶此前在多個場合中表達的意思類似,此次管理層仍然表示,其向市場提供的產品有兩套截然不同的流程:一套是工具類的產品,即e籤寶提供介面,供客戶在自己的業務平臺呼叫;一套是官網產品,即簽約的完整流程在e籤寶的平臺實現。僑行天下使用的第一類產品。
有行業內人士向第一財經記者指出,巢狀產品,可以稱之為工具類產品,即透過API介面整合到客戶平臺;後一種產品是SaaS產品,即在電子籤廠商的自有平臺實現全流程簽約。
e籤寶管理層稱,自2019年起,e籤寶作為RA(註冊機構)服務商為僑行天下提供電子合同簽署,根據雙方協議,身份認證透過僑行天下平臺完成。
去年12月,e籤寶釋出官方宣告稱:根據協議約定,犛牛科技平臺使用者的身份認證由犛牛科技完成並承擔相應法律責任。
記者近日從華僑系員工處獲得了e籤寶與犛牛科技2023版和2021版兩版合同,也佐證了“約定認證委託”和“讓渡”認證“責任”的事實。
以2023版合同為例,其中第4.2(7)條指出:雙方理解,透過整合乙方(e籤寶)軟體功能實現電子化簽約是基於甲方(犛牛科技)的需求,甲方可自行確認簽約流程和需驗證的要素,乙方僅可建議甲方按照符合《電子簽名法》和相關法律法規的要求進行操作。
在2021版合同中,同樣的條款出現在第4.2(6)條款中。另外,2021版合同所附風險提示函第6款條款為:您(犛牛科技)應知悉,乙方(e籤寶)對您提交至電子簽名系統和資料存證系統的資料不會做實質內容稽核,您應確保您透過技術介面傳遞的電子資料的合法性、真實性、完整性。
對此,e籤寶管理層表示,現實應用場景,比如平臺客戶中透過“約定認證委託”“讓渡”認證“責任”是普遍存在的行業現象。
e籤寶管理層承認,認證材料存於僑行天下的APP伺服器內,而非e籤寶伺服器。e籤寶只留存了中鑫國際的企業名稱與統一社會信用程式碼。
但是對於華僑系投資人來說,這件事情變得很荒唐。“中鑫國際在華僑系案件中本質上是一個增信人,借款人是犛牛科技,現在增信人的身份,由借款人來認證,這很荒唐。我們是相信e籤寶的平臺對於增信人來進行身份認證,結果他們把這個權利交給了借款人。”一位投資人對記者表示 。
“我們希望看到中鑫國際和e籤寶面對面發聲,到底章是真的還是假的;我們希望電子籤行業廠商站出來為自己的行業澄清,到底是一家之言一家所為,還是行業通行做法,我們也想知道這個系統性風險到底有多大”,上述投資人對記者表示。
模糊且利益豐厚的“灰色地帶”
北京一位不願具名的律師表示,不管工具類產品還是Saas產品,都要符合電子簽名法。電子認證行業服務的底線是需要堅守的,客戶的不正當需求該作為擋箭牌,不能為爭奪客戶降低稽核標準,甚至默許虛假合同。
e籤寶去年“甩鍋”行業之後,行業出現不同聲音。上上籤CEO萬敏正是其中一位。萬敏向記者表示,去年她試圖為行業“正名”的宣告文章,不久後便找不到蹤跡。
一位電子簽名行業匿名投資人對記者表示 ,當前各大廠商普遍在平臺中整合了電子簽名服務,可視為行業常態。然而,“約定認證委託”與“讓渡認證責任”等做法並不是行業“慣例”。
舉例來說,按規定應實施“三要素認證”的情況下,擅自降為標準較低的“二要素認證”,此種行為已經是對合規底線的挑戰,更遑論將認證責任全部“單邊委託”給電子合同的某方。此類超越規範的操作,往往潛藏著高額利潤,卻也步入了法律與道德風險邊緣的灰色區域。
萬敏告訴記者,平臺類客戶上線前必須完成實名認證,因為他們作為開發者主體會發起簽署大量的電子合同,“一齣錯就是大錯”,更要嚴格實名驗證。
嵌入客戶的平臺,在行業內稱為“客戶的生產環境”。“客戶上‘生產環境’前,需提交產品實名、合同簽署說明及日誌截圖進行合規稽核。每一份合同上,每一個簽署人,都要去做身份稽核 ,稽核通過後釋放開發者引數。“萬敏說。
法大大一名區域負責人也對記者表示,電子簽名公司法人實名認證需人臉比對法人及經辦人,並驗證組織資訊。
一位行業專家指出,如果“約定委託認證”確認存在,不論是e籤寶個別行為,還是“行業通行做法”,都隱含著巨大的風險隱患。“別說央企了,更高級別,甚至公權力部門的公章是否也可能被偽造?系統性風險不可不察。”
提到“天下無假章”的宣傳時,e籤寶管理層表示,天下無假章,只是社會公眾都希望實現的一種狀態。
當被投資者問及”以你們的技術服務,能保障章都是真的嗎?“,e籤寶代表回答:”“這個問題有點大。”
記者注意到,此前e籤寶官方影片號中,“天下無假章”的宣傳影片,目前已尋覓不到。
行業漏洞
1月中旬,華僑投資者投訴後得到工業和資訊化部12381的答覆,稱中鑫國際的電子簽名證書由江蘇智慧數字認證有限公司(下稱:江蘇CA)與黑龍江CA頒發,透過e籤寶平臺簽署電子合同,但杭州天谷資訊科技有限公司(下稱:杭州天谷,e籤寶運營主體)非該專案電子認證服務者。
根據投資人提供的合同驗證資訊,中鑫國際的CA證書服務商2024年1月2日前為江蘇CA,之後變為黑龍江CA。
有意思的是,杭州天谷曾為江蘇CA股東,2023年4月退出股東名單。
e籤寶管理層稱,退出江蘇CA股東與中鑫國際的電子認證服務商的轉換,沒有關係。
工業和資訊化部已向相關投資者回復表示,正在開展深入調查,並將依據調查結果依法作出相應處理。
專業人士指出,工業和資訊化部的回覆明確界定了e籤寶並非認證機構(CA),但同時也確認了e籤寶作為註冊機構(RA)的身份不容忽視。具體而言,當透過e籤寶的介面進行服務呼叫時,其角色即被界定為RA。作為RA,e籤寶承擔著實名認證稽核的法定責任與義務。
一名電子簽名領域的投資人向記者表示,電子合同簽署流程涉及三個關鍵協同實體:首要為CA(數字認證機構),其職責在於頒發、管理及吊銷數字證書,以認證使用者身份的真實性,構成了電子認證流程中的“根本信任源”;其次為RA(註冊機構),旨在緩解CA的身份驗證壓力,提升整體效率,直接服務於證書訂戶,並負責在訂戶與CA間傳遞證書管理相關資訊,功能類似於渠道服務商;第三則為電子簽約平臺,專注於提供合同簽署與管理服務。
具體操作流程通常如下:使用者首先向RA提交證書申請,例如SSL證書,隨後RA對使用者身份進行嚴格稽核,包括域名所有權或企業資訊的驗證;稽核通過後,RA將申請轉交至CA,由CA正式簽發證書並反饋給使用者。
CA機構與電子簽約平臺保持緊密合作,利用CA頒發的數字證書來驗證簽署方的身份,從而確保簽署行為的合法性與有效性。同時,RA負責證書的申請、審批及日常管理工作,並採用先進的加密技術來保障服務的安全性,有效防止簽名被非法篡改或偽造。
根據工業和資訊化部頒佈的《電子認證服務管理辦法》,所有CA公司均被要求公開其認證業務規則(CPS)。例如,中國銀聯集團及其控股子公司中金金融認證中心有限公司(CFCA)在其CPS中明確規定,CFCA體系下的註冊機構設置於CFCA內部,由CFCA自行承擔RA職責,不委託任何外部機構執行此任務。
然而,記者發現,黑龍江某CA機構未能公示其CPS,這已明顯違反了工信部的相關規定。
業內專家與法律界人士共同呼籲,應積極推動電子簽名行業建立“雙認證”機制,以進一步強化RA機構的責任擔當。
值得注意的是,2024年9月2日,工信部發布了《電子認證服務管理辦法》的徵求意見稿,其中明確指出,“電子認證服務機構不得將證書申請的受理、查驗以及證書的簽發、交付等環節委託給外部機構或個人執行”。這意味著,未來電子簽名的全流程將不再允許將認證工作授權給第三方,而必須由同一家企業獨立完成。
微信編輯 | 龍王
推薦閱讀