企業(yè)自建電子合同簽署平臺，要使用哪些技術？

自建合同訂立系統(tǒng)的基本功能要求

根據(jù)《電子合同在線訂立流程規(guī)范（征求意見稿）》（“《規(guī)范意見稿》”），電子合同訂立系統(tǒng)應該具備以下功能：

(1)能生成符合法律格式要求的合同文本；

(2)能支持多種方式，包括文字、視頻或音頻，進行在線談判和合同文本修改；

(3)能實現(xiàn)合同信息和談判信息的實時備份，備份信息可追溯、可復制；

(4)能通過電子簽名或其它方式查驗合同內(nèi)容的真實性、完整性；

(5)能接入第三方的電子合同存儲服務商的存儲服務。

結合以上要求，此處將著重分析如果企業(yè)欲自建電子合同訂立系統(tǒng)/平臺，所需要注意的電子簽名、時間戳等技術的應用問題。

①電子簽名技術的應用

電子簽名技術的功能類似傳統(tǒng)的簽字蓋章，是用于識別締約人身份、確認締約人對簽名文件的內(nèi)容上的認可的技術手段。我國法律采用“技術中立原則”，沒有明確規(guī)定電子簽名具體應當采用的技術類型，只要能夠達到“可靠的電子簽名”的技術手段就可以是與手簽名或蓋章具有同等法律效力的電子簽名。

實踐中，數(shù)字簽名（digital signature）是電子簽名（electronic signature）的最主要實現(xiàn)方式。目前受到普遍認可的實現(xiàn)數(shù)字簽名的手段一般涉及以下技術和第三方：哈希算法（hash function）、非對稱加密技術（asymmetric cryptology）、公鑰基礎設施（Public Key Infrastructure, PKI）和電子簽名認證機構（Certificate Authority, CA）。

哈希算法是指任何能夠?qū)⑷我獯笮〉臄?shù)據(jù)不可逆地轉(zhuǎn)化為固定字節(jié)的數(shù)字摘要（hash value，或稱哈希）并輸出，并且哈希與數(shù)據(jù)原文一一對應的算法。數(shù)據(jù)電文的簽名方/發(fā)送方使用哈希算法對原文生成一個哈希（hash value），然后使用電子簽名系統(tǒng)的私鑰（private key）對該哈希加密，生成數(shù)字簽名，隨后將該原文和數(shù)字簽名發(fā)送給接收方；接收方使用一個與私鑰不同但與私鑰唯一對應的公鑰（public key）解密數(shù)字簽名，得出哈希；接收方隨后對原文使用同樣的哈希算法生成一個新的哈希，將2個哈希比對，如果相同，則數(shù)據(jù)確由發(fā)送方產(chǎn)生、且在傳輸過成功沒有被篡改，數(shù)據(jù)傳輸成功。

發(fā)送方能夠進行數(shù)字簽名的前提，是發(fā)送方掌握著一套非對稱秘鑰（相互關聯(lián)的私鑰和公鑰）。根據(jù)《電子簽名法》等相關法律的規(guī)定，發(fā)送方通常先向具有資質(zhì)的電子簽名認證機構申請電子證書（digital certificate），該證書包含了發(fā)送方的身份信息和公鑰。每當發(fā)送方對某份數(shù)據(jù)電文簽名，該認證機構將確認簽名為發(fā)送方所謂并向接收方告知用于核驗解密的公鑰。公鑰基礎設施就是支持這一套電子認證機制的以電子簽名認證機構為中心搭建的包括硬件、軟件、人員和規(guī)范的體系，用于實現(xiàn)和管理密鑰和證書的產(chǎn)生、管理、存儲、分發(fā)和作廢。

為發(fā)送方簽發(fā)電子證書認證的電子簽名認證機構必須具有相關資質(zhì)：必須符合《電子簽名法》、《商用密碼管理條例》、《計算機信息系統(tǒng)安全保護條例》等法律，至少擁有《商用密碼產(chǎn)品生產(chǎn)定點單位證書》、《商用密碼產(chǎn)品銷售許可證》和《商用密碼產(chǎn)品型號證書》。最重要的，只有經(jīng)過我國工信部許可的機構才能從事第三方電子認證服務。因此，如果企業(yè)選擇自建電子合同訂立系統(tǒng)，所使用的電子簽名必須經(jīng)有工信部資質(zhì)許可的電子認證機構簽發(fā)電子證書。

②時間戳技術的應用

時間戳（timestamp）是一種電子合同的輔助認證技術，用于加密并固定特定數(shù)據(jù)電文的生成、傳輸、刪改的時間記錄，并用于核驗該特定時間點下的數(shù)據(jù)電文內(nèi)容的技術手段。

一般來說，時間戳的技術手段涉及到以下技術和第三方機構：哈希算法、非對稱加密技術、公鑰基礎設施和第三方時間戳服務機構（Timestamp Authority, TSA）。

需要對特定數(shù)據(jù)電文進行時間戳認證的用戶使用哈希算法將數(shù)據(jù)原文生成一個哈希，然后將該哈希發(fā)送給第三方時間戳服務機構。自此之后，任何對該數(shù)據(jù)電文的修改都必須和該第三方機構重新溝通。第三方機構將收到的哈希和其他信息，包括該機構的權威時間下的哈希接收時間，結合后用該機構的私鑰加密，產(chǎn)生一個時間戳通證（timestamp token）。隨后，第三方機構將時間戳通證發(fā)回給用戶。如果此后數(shù)據(jù)電文的接收方需要驗證文件是否經(jīng)過篡改（準確來說，是驗證從第三方機構接收該數(shù)據(jù)后，數(shù)據(jù)是否被篡改），該接收方需要首先使用哈希算法將其接收的數(shù)據(jù)電文生成一個新的哈希，然后使用第三方機構的公鑰解密時間戳通證、獲得其中的哈希，最后將兩份哈希比對，如果相同，則說明其所接收的數(shù)據(jù)電文是自時間戳認證以來未經(jīng)篡改的。

所以，技術上來看，時間戳和電子簽名是相通的，可以理解為第三方時間戳服務機構包含了權威時間的電子簽名。

但是，只有由個人計算機產(chǎn)生電子文件的時間取決于該臺計算機設備的時鐘，而此類時鐘可以任意修改，只有根據(jù)可信的掌握權威時間的第三方認可的時間才產(chǎn)生可信時間戳，具有法律效力。每個國家的標準時間是具有權威性的，由各國權威授時中心管理。

因此，如果將時間戳技術應用到自建的合同訂立系統(tǒng)，則需要與聯(lián)合信任時間戳服務中心交互，為電子合同蓋時間戳。

③自建電子合同訂立系統(tǒng)必須采用第三方存儲系統(tǒng)

實踐中，企業(yè)訂立電子合同涉及“電子合同訂立”和“電子合同信息存儲”兩個環(huán)節(jié)，對于潛在糾紛中的舉證問題，后者的重要性不可忽略。值得注意的是，《意見稿》規(guī)定了“隔離原則”：“電子合同訂立系統(tǒng)設立人是合同締約的一方當事人時，該設立人不得同時作為第三方存儲該電子合同。”因此，如果企業(yè)選擇自建電子合同訂立系統(tǒng)，應當注意納入第三方完成電子合同的存儲。該設計背后的含義應該不是擔心由防篡改的電子合同被一方篡改，而是擔心締約一方因道德風險誘發(fā)的物理毀損電文數(shù)據(jù)的載體。