《互联网金融个体网络借贷电子合同安全规范》-最新解读
近日,中国互联网金融协会发布关于《互联网金融个体网络借贷电子合同安全规范》团体标准征求意见的通知。标准分章叙述,对于网贷电子合同的使用范围、电子签名的合法性要求、“第三方存储”的细则、电子合同服务商资质要求、司法举证方式、身份认证方式方法等都做了具体要求。为帮助企业进一步理解和划重点,现分析解读如下:
一、凸显“第三方存储”服务的重要性
以往在行业内,对于电子合同服务应包含哪些服务环节与服务内容,并无明确的规定。不同服务商之间提供的服务也不尽相同,但绝大多数服务商提供的仅为与电子合同“在线订立”有关的服务,鲜有涉及“第三方存储”。无论是服务商还是从业机构,均未能对“第三方存储”服务给与足够的重视。众签为其中少数认识到“第三方存储”服务重要性的服务商,并始终秉持向客户提供包括电子合同“在线订立”及“第三方存储”在内的全流程服务。
本规范的出台将彻底改变“第三方存储”服务的法律地位。本规范第1条第一款以“务虚”的方式明确本规范的制定目的在于确保电子合同满足“防篡改”、“ 抗抵赖性”等安全要求,并最终提高电子合同的安全性和证据效力。而第二款则“务实”地提出,从业机构开展网络借贷信息中介业务活动时,需要同时使用电子合同的“在线订立”及“第三方存储”两大环节服务。也即“第三方存储”服务具有与“在线订立”服务同等重要的地位。也只有同时使用上述两类服务,方可确保第一款中约定的电子合同的安全性与证据效力。
同时,本规范也对电子合同“第三方存储”服务的服务商提出了具体的要求,在第3.9条中明确规定存储服务商必须与从业机构无任何关联,必须是独立的第三方。因此,以往部分从业机构仅使用电子签章服务,不使用存储服务(而由从业机构自行进行存储)的做法目前已被本规范明确禁止。另外,本规范也要求“第三方存储”服务的服务商能够提供信息完整性和准确性证明,众签提供的“众签电子合同签署与存证说明函”完全符合本规范的要求。
目前,众签基于对“第三方存储”服务的充分重视,以及独有的“区块链存证”技术能力,已经在“第三方存储”服务的细分领域具备了先发优势。相信随着本规范的实施,越来越多的从业机构将选择包括众签在内的能沟通同时提供电子合同“在线订立”及“第三方存储”服务的服务商,以满足合规要求。
二、明确电子合同服务商的资质要求
对于电子合同“在线订立”及“第三方存储”两大服务,本规范分别规定了服务商应具备的资质要求。其中6.7.2条规定电子合同订立系统应具备公安部信息安全等级保护三级或者更高级别认证。电子合同订立系统的服务商应具备 ISO 27001 认证。第7.3条则规定电子合同第三方存储系统应具备公安部信息安全等级保护三级或者更高级别认证。电子合同第三方存储服务商应具备 ISO 27001 认证。由此可见,无论是提供“在线订立”还是“第三方存储”服务,服务商必须具备的资质为公安部信息安全等级保护三级或者更高级别认证,以及ISO 27001 认证。目前,众签具备上述全部资质。
另外,在6.7.2、7.2、7.3等条款中,本规范也对电子合同服务商的部分合作机构的资质提出了要求,比如电子合同订立或存储系统部署在公有云时,云服务应通过工业和信息化部的可信云服务认证。如使用密码模块或密码产品的,则应具有国家密码管理局颁发的商用密码产品型号资质证书。而电子认证服务机构则应取得工业和信息化部颁发的《电子认证服务许可证》,并符合工业和信息化部的各项管理要求和在工业和信息化部备案的《电子认证业务规则》。目前,众签选择的合作机构,均具备上述全部资质。
如上所述,本规范对电子合同服务商及合作机构各自应具备的资质有非常明确的规定。其中,公安部信息安全等级保护三级以及ISO 27001 认证是电子合同服务商(无论是订立系统服务商还是存储系统服务商)必须具备的资质,其他的资质均为针对合作机构的资质要求。众签注意到部分不具备公安部信息安全等级保护三级以及ISO 27001 认证的服务商,试图以自身具备其他的资质为由,试图诱导客户,造成了一定的不良影响。
三、初探电子合同纠纷的司法举证规则
在本规范的出台前,对于电子合同发生纠纷后应提供何种材料方可视为举证完成,并无明确规定,本规范的出台填补了相关的规定空缺。根据本规范第8条的规定,相关的举证工作应由各方共同完成。其中,(1)从业机构提供订立的电子合同原文,借款人、出借人在平台的实名核验、支付、投资记录、还款记录等证据,从业机构依据《网络安全法》对公民个人信息安全保护以及告知义务的履行证明文件,从业机构对接的支付机构或存管银行提供资金流水记录等证据。(2) 第三方电子合同订立系统服务商和电子合同第三方存储服务商宜与仲裁机构或司法鉴定机构等电子证据机构对接,如有司法举证的需求,合作的电子证据机构应出具鉴定报告。(3)电子认证服务机构出具数字证书验证报告,证明证书及电子签名的有效性。(4)电子签名人委托他人代为实施签名行为时,从业机构或第三方电子合同订立系统服务商提供电子签名制作数据由电子签名人控制的证据,包括调用电子签名制作数据的时间和方式、电子签名人位置、IP地址、授权及认证方式、授权及认证记录等。
上述规定也为电子合同服务的服务商在司法落地方面应具备的能力及措施做出了明确的指引。目前,众签与多家公证机构、司法鉴定机构、仲裁机构均有合作,一旦发生纠纷,除由众签出具可证明信息完整性和准确性的说明函外,众签还可协助从业机构获取公证文书、司法鉴定报告等重要的证据文件,协助从业机构履行司法举证义务。
四、完善身份认证的方式与方法
本规范第6.2.1条规定对实名核验提出了明确的要求,实名核验包含对借款人和出借人提供的有效证件真实性、一致性、意愿真实性三方面进行核验。只有实名核验通过的个人或企业,才能在平台进行投融资活动。当然,为了给与从业机构一定的灵活性,本规范也规定平台可根据平台自身的风控制度自主选择实名核验的方式。
由于实践操作中存在大量电子签名人委托他人代为实施签名的业务场景(如自动签场景),故在实名核验外,本规范进一步提出了电子签名验证关联性的要求。第6.8条规定,从业机构应对借款人和出借人提交的电子签名进行验证,以保证电子合同的完整性和抗抵赖性,尤其是需要验证产生签名的数字证书与用户的关联关系。
同时,在电子签名人委托他人代为实施签名的业务场景下,本规范对司法举证提出了极高的要求,即从业机构或第三方电子合同订立系统服务商提供电子签名制作数据由电子签名人控制的证据,包括调用电子签名制作数据的时间和方式、电子签名人位置、IP地址、授权及认证方式、授权及认证记录等。目前,众签的区块链存证技术已能做到收集并存储该等信息(需要从业机构使用相关服务),确保在发生纠纷时能满足本规范规定的举证要求。而大量其他服务商,尤其是仅关注于提供电子合同“在线订立”服务的服务商,缺乏相应的技术能力,一旦发生相关纠纷,极有可能因无法举证数字证书由电子签名人本人实际控制而承担相应的法律责任,给从业机构造成巨大的经济损失。
文章来源:http://51signing.com/newsDetail176.jsp
[本文由众签原创。如需转载请联系(微信服务号:众签)授权,未经授权,转载必究。]