企业数字化转型，电子签名与电子合同是每个企业都涉及的部分，在运用过程中也可以极大地通过技术手段解决大量繁琐复杂地工作，进行系统性的管理。

而站在法务合规为企业安全保驾护航的角度，更多地则是观察到技术背后，如何保证电子证据的证据链完整性；如何确认签字主体的真实性；网络安全如何保证等等问题更是他们关注的焦点。

今日小编带来精选问答集锦，为大家解决如下问题：

• 请问针对电子签名是否需要双方使用的都是同一个电子签名服务平台么？

• 可是电子签名合同法下有要求电子认证服务者的资质，这个资质现实中没有开放申请吗？

• 上上签有电子认证服务提供者的证照吗？能讲一下RA和CA的区别吗

• 时间戳这一步骤是CA机构发起的吗？

• 实名认证是通过CA和公安局数据库进行交换吗？

• 电子合同平台和公证机构是如何合作的？

• 目前是否有因为电子签名效力瑕疵导致合同无效的案例？

• 电子签名的效力对合同的效力到底有什么影响？

• 手动签署是必须的吗？是否可以用密码等方式

• 线上签订电子合同遇到纠纷，是否可以要求电子合同供应商进行协助提供证据支持？

• 对于网络安全法用户隐私问题，有什么措施吗？

本问答集锦由王宇萌专家解答（上上签电子签约解决方案专家，AWS认证解决方案架构师）他拥有丰富的医药医疗行业标杆客户服务经验，帮助赛诺菲、九州通、英特药业、华大基因等诸多企业实现电子签约项目的落地。

Q1：签署电子合同时，验证码是否能够验证客户的真实意愿，万一签署人的手机被盗或者是被别人使用，如何验证，如何确认验证码是非本人输入？

答：这个是一个很好的问题。这个问题在极端的环境下其实是可以发生的，但是在司法实践跟我们平常的这种业务实践当中，我们讲的是一个证据链，大家都是法务从业者，我们国家都是讲的是谁主张谁举证，就是签约的过程，是有很多的要素组成的，里面会有上上下下的一个环节，包括这种登录的信息，他的这种签署信息，其实验证码是其中的一部分，这边像我们可能会提供的证据，包括他实名认证的数据，签署的数据，实名和签署都是同样的一个手机号，同时可能还会有我们的客户自己提供的一些附证，比方签署人之前在他们的平台上或者业务中，跟他一些往来的资料，这些加在一起会构成一个比较全面的证据。这个签署人如果想去否定这个手机是被别人冒认的，也要去提供相应的被别人冒领这样的证据。相对于来说，我们这边能提供的证据种类是更丰富的，这种司法机构会更认可，就是证据丰富方这样一个诉求。

Q2：对于网络安全法用户隐私的问题是有什么措施吗？

答：网络安全法的用户的隐私啊，这部分其实是一个隐私问题，可以分为几个方面。首先从电子签约的法律角度，分为几个步骤，就是刚才也讲到了，一个叫实名认证，一个叫签署的校验。实名认证，以个人为例，在实名制之后，需要把个人的姓名，还有身份证号，去发送给CA机构，就我们国家持牌的四十几家CA机构，他们来颁发一个数字证书，数据就是姓名和身份证号这两个数据是一定要在网络上进行传输的，因为CA这边获取到。这个里面，首先这个数据是要出来，就看如何去保障它，就是第二个层面。这个时候看各家电子签约提供方，能提供的一些安全措施跟资质在哪里？我就以上上签为例，上上签的平台与客户端的数据传输，还有与众CA的传输都是走的一个加密通道，就是会把这些用户的数据进行加密，像这种数据毕竟是传到了商业的平台上，会有一系列的制度来保护用户隐私的这种安全。我还是以几个维度来举例，首先是制度上，上上签制度上会有一个专门的、安全的审计团队，在我们公司内部的地位是很高的，会全程去参与各方面这种事物的决策来保证用户的安全。在资质上，在行业内首先拿到很多资质，跟您关注的点是比较像的，比方我们有一个叫I sold的27018个人云隐私保护认证，这个专门去审查这种云平台外部用户的信息数据是如何进行保存，包括在内部的流转当中是否有泄露的风险。另外，像我们有ISO的38505数据治理服务认证，也是讲的就是一个个人隐私数据在内部的流转是怎么样进行的，其实这个就是要看实施方是如何去处理这些隐私数据的。所有的数据在我们的云端是这样存储的，是存储在一个叫TMC的密钥管理中心里，是部署在叫阿里金融云，就是比较高端的一个云平台，所以说是根据各个方面来保护这样用户的隐私。

Q3：线上签订电子合同，如果遇到纠纷，是否可以要求电子合同供应商进行协助提供证据支持呢？

答：这个是肯定的，既然选择一个电子合同供应商进行合作，肯定就要去提供相应的这种法律支持，只不过是法律知识的种类，不同的供应商会提供不同的这样的服务。还以我们为例来举例讲一下，如果与上线合作，我们是提供这样几种法律支持的服务，大家可以参考一下。首先，我们每签的那一份电子合同，本身就是有很强法律效力的这样一个东西，因为稍后法律顾问会讲到，根据《电子签名法》的要求进行，电子合同一经签署就是无法被篡改，而且在技术上是能去查询的，所以首先这样一个未被篡改过的电子合同本身就能说明很多问题，然后上上签会针对每份电子合同去出一个叫做签约证据报告，这个东西就是一个刚才讲的证据链，它里面就是丰富证据链的这样一份内容，里面像签署双方的信息，包括签署的时间，合同的哈希值，签署的地点就是IP地址，包括它用印的位置等等这些内容里面是做了一个详细的覆盖，就是丰富我们这边的一个证据链。另外还会有一个叫电子证据报告，它是更详细的一个报告。还有就是公证书，公证书在我们国家是有免证效力和优势证据效力，而且用的是一种叫实时公证的这样一个技术，这些所有的证据加一起，就是一个很完善的证据组成了，帮助我们的合作方去应对这样的法律诉讼。

Q4：手动签署是必须的吗？是否可以用密码等方式？

答：手动签署这个问题是这样的，就是我们假设一个合同签署的双方，还是以医药企业为例，如果是跟一个外部供应商去签合同，对方我们建议用这种手动签约，毕竟签署的相对方，发起合同的这一方就是医药企业，首先每天需要签署合同非常多，然后这个合同由它发起的，所以它完全可以采用一种叫自动签的方式，就是后台去静默的把这份合同签署掉，这个在法律上不会有太大的瑕疵，因为毕竟是由发起的一份合同。对于对方来讲，我们就建议要求他用手动签署的方式，因为这样能最大化的去加强一个证据链。您提到的这种密码方式，在以前的应用中也是有的，在最近几年其实应用的并不多，因为它毕竟没有手机验证码唯一性那么强，密码的可泄漏性其实是更大的。在诉讼的时候，你要去举的证据就要更多，所以现在以上上签为例，我们是没有去做密码这样的产品。我们的密码功能是一个加固性的功能，就是既要有短信验证码，又要有密码，这是我们能提供的功能。所以在我们的建议来讲，也不太建议就是用密码来代替验证码这样的方式，会加大诉讼证据提供的一个成本。

Q5：第1个问题，目前是否有因为电子签名效力的瑕疵而导致合同无效的案例？

答：首先，其实上上签目前涉及的诉讼，我们是没有经历过败诉的。这个跟产品的设计有关，是否首先就把这个证据链的完整性考虑到第一位。第1个问题实际上在业内其实是有的，法院就是质疑你这个电子合同不是本人签署的，是有这样的失败的判例，在其他的一些友商的身上。这个点一般在哪里，原因可能对方在做这个方案的时候，有一些客户就觉得说我实名认证做一次校验，签署的时候也要做一次校验，给我的用户的体验负担太重了，不利于这个业务的开展，能不能把它做得简单一点，有的电子券服务方也为了服务这样的客户，他就是好，身份认证这部分就不要再做短信验证码校验或者刷脸校验了，就比如你上传身份证，我们比对一下，就给你发证，这样业务是顺利开展，但是到诉讼的时候，法院就会质疑，就说你实名认证不是他本人做的，完全是可能有人拿他的身份证去代替他做这样的业务，我讲这个是实际的失败案例，确实是质疑的就是这一点。最后就是质疑了这份电子合同有效性，所以还是要看整个方案设计的是否严谨，只要方案设的严禁，法院目前来讲一般都是支持的，这是电子合同有效性的，因为我们国家现在也在支持这样电子券的发展。

Q6:第2个问题，电子签名的效力对于合同的效力到底有什么影响？

答：其实法院是会分两个部分来考虑，首先，先考虑这份电子合同是否有效，这个时候比方就会应用上线这些电子证据，法院来评估签署双方的证件完备，也没有被篡改过，这个合同是有效的。第二部分就要会考虑合同的内容了，合同内容不是电子签约供应商可以做的，或者应该去做的，不应该去碰这个合同的内容。这一部分反正就会考虑合同内容是否是合规的，有没有强买强卖的这种问题在里面，就是另外的一层问题了。所以，它们两个并不是画等号的，电子合同效力被认可，并不代表你就已经胜诉了，还是要经历这种合同内容的辩论。

Q7：第1个问题实名认证是通过CA和公安局数据库进行交换的吗？

答：第1个问题实名认证这部分是这样的，国家会有一些权威的数据源，比方我刚才提到的几个，像公安部的网络数据库，就是身份证照片保存的数据库，包括像运营商的，银联这种数据，这些数据跟征信数据一样，是属于一个管控的行业，会去提供给一些第三方，就有资质的第三方，我们是通过这样的第三方去拿到这个数据，但是最终的数据源都是要走最权威的那一套。所以，我们是以这样方式来进行数据的认证和比对，在比对成功之后，就会把这样的比方个人的姓名、身份证号去发给私人机构，然后再进行发证。这个里面引伸一点，像我们这种电子服务的提供商叫I，是属于注册机构，是属于CA机构的一个外延。以上上签为例，我们合作的是国内头部的三家CA，CFCA、北京CA跟浙江CA，所以我们是有义务来进行用户实名认证信息的一个真伪鉴别，然后我们再把这样的数据去拿给CA，去申请这样的CA证书，是这样的一个流程。

Q8：第2个问题上上签和公证机构的合作能够仔细的再解释一下吗？

答：与公证处的合作我详细的解释一下，我们合作的两个公证处，一个是上海东方公证处，一个是杭州互联网公证处，它们两个有一个特殊的地方，就是共用了一套内部开发的叫实时公证的系统，大家都是法务从业者，可能也知道我们一般的公证叫线下公证，也叫事后公证。比方我们以线下合同为例，可能拿到这份合同之后，再去找仲裁，让它找公证处，让它依据已经签订的合同来给我出具某种类型的公证书，这种就叫做事后公证。我们为什么叫实时公证，就是这两个公证处把这套他们开发好的实时公证系统，会有一个SDK就是应用包，要把它放到我们的系统里面，然后它来实时的抓取我们这边产生的一些电子证据，比方像我们实保认证阶段的哈希值，然后签署时候的这些数字指纹就是哈希值，是由它来抓取的，然后会把这些证据保存到它的服务器里面。这样我们事后去开具公证书的时候，它其实不只针对电子合同进行查看、审阅，会直接去它的数据库服务器里面，去查询当时留存的这些哈希值数字指纹来进行比对，比对无误的，才会给开具这样一份公证书，所以这个就叫做实时公证的公证书，顾名思义这个法律证据肯定会更强一些，这是我们的一个特色的服务。

Q9：时间戳这一步骤是上上签自己发起的，还是CA机构发起的？

答：其实都不是，时间戳这个部分也一样，我们一样要去借助权威的机构来完成，我们合作的是中科院的硕士中心。这样我们在签署的时候，实际上我们是既有CA的证书，又要有一个时间戳签署的行为。讲的细点，其实我们还是会去购买一个时间戳证书，我们这边买的是CSCA的，然后在签署时间戳的时候，用这个CSCA的时间戳证书以及我们从实时公证中心这边去获取实时的时间来进行加盖，完成一个时间戳的签名，从技术上来讲是这样的，可以简单理解为我们合作的公证处设计中心，有它那边去提供权威的时间服务。

Q10：双方在不同的电子签章平台来签约，同一份合同是否有效？或者我公司使用电子合同平台，对方公司并不使用，仍然是纸质打印、敲章，合同是否有效呢？

答：其实这是两个问题。第1个问题，我举一个例子，就是我们合作的也是500强的一个制造业的客户，所以他就遇到了这样的问题，就是他要与某个电商平台进行业务的往来，但是这两方相当于都上了不同的电子签约平台，所以现在他们的一个合作协议要经历互签署，比如上上签和另外一家两家互相的去签署，这个时候其实就涉及到一个合同是否锁定的问题，从技术上来讲，如果一份电子合同并没有被锁定，是可以再继续进行加签的。打个比方，首先制造业的客户在他这一侧用上上签进行了合作协议的一个再盖，盖完这个证书了，方案完成电子签名了，先不锁定这份合同，但是不锁定其实就是很多证据并没有进行固化，然后把文件去传给对方，对方利用另外一套电子签约的平台来进行签署。这个就是第2个部分了，在签完之后双方再进行锁定合同，这样就可以了，这是一种类型。另外一种类型，我举个实际的例子，这个就是我们与武汉农商行进行一个合作，然后其次美团也是我们的客户，这个属于是双方应用同一个电子签约平台进行互签，他们是进行了类似于理财的这样一个合作。首先这份合同是在武汉农商行这边用上上签进行签署，然后再流转到美团那边，然后也用上上签进行签署，是另外一种形式。所以这个是可以的，技术上是可行的，具体的方案就要看具体的实物的操作了。

第2个问题，其实可以简单说就是一半线上签，一半线下签，这种模式也确实有客户在这样用，但是其实不是很建议，因为会导致一个证据的割裂。打个比方，比如像这份合同用上上签去做了甲方的签署，这部分甲方签署的没有问题，我们这个供应商就可以提供相应的书证，或者上上签也好，还有其他的供应商也好，肯定甲方是签了这份电子合同的，你把这份合同打印下来，再给到乙方，它在进行签署，在诉讼的时候，相当于就要出两份证据，就是电子签约这一部分证据和对方签的这一部分证据，所以说不是体验特别好的这样一个方式，我们不是很建议。但是，在实际的操作中确实有这样的情况出现，因为毕竟各行各业对电子券的接受度有一定的滞后性，尤其如果这个客户是跟他一些强势方的合作方去进行电子签推广的时候，可能对方说我就用纸质签，所以现在这个也确实是存在的。

Q11：上上签有电子认证服务提供者的证照吗？能讲一下RA和CA的区别吗？

答：RA跟CA的区别是这样的，就是CA其实是一种持牌的机构，相当于是一种国家的机构，我们国内现在工信部发放了牌照的大概有43家这样CA的机构。但是CA的机构基本主营业务、最核心的业务其实就是CA证照的发放，它在进行对外合作业务开展的时候，比方与我们上上签这样的公司进行合作，我们其实就是它的一个I机构，就是一个注册机构，我们会去寻找这样的客户，然后去给他做实名认证，做意愿性的校验，去认证他信息的真实性，然后我们再去从CA那边申请这样的证书。所以其实证据这部分我们这边是获取的比较全的，因为CA这边只是把证书发放出来，甚至在诉讼的过程中，其实需要I机构来进行相应的这种证据提供、留存，我们跟CA是一个相辅相成的关系，这样一个关系，这是CA。

第2个问题就是电子电子服务的资质，其实我们国内是这样的，国家的法律并没有去要求电子签约的从业方一定要具备哪种资质，一个唯一的要求应该就是三级等保的资质了，对系统稳定性的这样一个要求。上上签是作为一个行业的一个引领者，我们主动的去申请了很多的资质，包括像刚才大家提到的像这种ISO的27018的个人云隐私数据认证，包括像ISO的38505的这种数据服务认证，包括ISO的27001信息安全管理体系的认证，其实我们都是行业首家，或者说现在还是行业独家，去获取到这些资质的。我们相当于是扩宽了从业的一些资质门槛，现在是这样的一个状态。

各位会员朋友，可以先拿出手机去扫码左侧的二维码，这个是我们的电子签约顾问，你有什么问题可以与我们进行联系，或者拨打我们的热线电话4009936665，然后针对本次的安拓会员，我们会有一个专属的福利活动，会免费200份电子合同，可以去体验，去使用我们赠送的这200份电子合同。

Q12：针对电子签名是否需要双方使用的都是同一个电子签名服务平台吗？比如上上签？

答：其实技术上来讲是不需要的，但是会不是很方便，因为它要需要一些系统开发和对接的这种工作，才能实现这样的功能。如果普通使用，其实还是在一个平台上是比较方便的，也就是在同一平台上会更便利一些，因为出证也是一个平台来出证，如果是分开的，其实也是要双方共同举证。