作為企業最為重要的工具之一,印章參與到企業内部管理以及外部商務活動多環節中,直接關系到企業的利益得失,公章在很大程度上代表了企業的身份,因此企業對印章采取了嚴格的風險防控手段:
傳統實體印章,基于物理唯一性,保管好印章介質,就可以控制用印風險,因此,企業針對印章的保管與使用有着嚴格的規章制度,授權可信任人員為印章管理員,将實體印章交由其保管,在企業需要用印用章時,通過簽署用印登記并獲取用印審批後,用印管理員再加蓋印章。
經過嚴格的用印流程,企業可以精準控制用印風險,如若出現用印糾紛,也可通過用印登記、申請及審批簽字等證據還原回溯事情真相,追究相關責任人。
在這種風控操作下,雖然無法徹底規避風險,但用印用章風險大規模降低。
随着信息化時代的來臨,企業紛紛開啟自身的數字化轉型,為了能夠實現線上打卡、用工管理,企業引入了釘釘、EHR系統等系統,為了能夠實現企業内部智慧化辦公,企業引入ERP系統;為了能夠線上完成電子合同的簽署,企業又引入了電子合同簽約系統……不同信息系統中,可能分别存在多枚電子印章,這使得用印用章風險被數倍放大。就好比,傳統實體印章單單一枚公章,企業就需要借助嚴格的用章登記審批制度對風險進行防控,如若有10枚公章,企業的用章風險又當如何評判呢?
國家标準GB/T 38540—2020《信息安全技術 安全電子簽章密碼技術規範》對電子印章進行了定義,一種由電子印章制章者數字簽名的安全數據,包括電子印章所有者信息和圖形化内容的數據,用于安全簽署電子文件。
其中,電子印章所有者信息通常是以數字證書展示,數字證書是CA機構應當事人申請,在嚴格按照電子認證業務規則對申請人身份與某字符串的關聯性認證後,為當事人頒發的證書,類似于身份證,包含頒發者、使用者、有效期、字符串等信息,可以證明當事人身份;圖形化内容,指的是印章圖樣,能夠直觀辨認用章人,符合用印人以及其他當事人的用印習慣。
本質上來說,電子印章是電子數據,依賴于代碼,具有易複制、易篡改、易删除等特點,在企業不知情狀況下,電子印章被無痕使用,即被盜用的風險急劇上升,而這将使企業被動陷入糾紛漩渦,甚至需要承擔印章被盜用引發的法律後果,為企業帶來損失!
(2020)遼01民終8998号判例中,遼甯省沈陽市中級人民法院認定,沈陽某超市有限公司主張某商貿有限公司以電子簽章方式認可了扣款确認單,并要求扣減該部分貨款。本院認為,該電子簽章目前無确切證據顯示系某商貿有限公司操作下加蓋,故對沈陽某超市有限公司的主張不予支持。
(2020)魯0105民初2267号案件中某旅遊平台作為被告,聲稱與旅客祝某之間沒有有效的旅遊合同關系。《出境旅遊合同》并該旅遊平台的真實意思表示,該合同的形成系案外人王某某盜用平台電子印章所為。山東省濟南市天橋區人民法院認為,旅客祝某與旅遊平台員工王某某洽談旅遊事宜,王某某向其發送了加蓋該旅遊平台電子合同專用章的旅遊合同,旅客祝某作為旅遊者,有理由相信王某某有代理權,其行為構成表見代理。……綜上,王某某的行為構成表見代理,該旅遊平台應對王某某的行為承擔相應的民事責任。
在“真章未必有效,假章未必無效”的風控困擾中,最高人民法院于2019年出台《全國法院民商事審判工作會議紀要》,給出了印章風險控制的關鍵所在,紀要強調不能将重點放在公章的真僞上去,要糾正過分依賴鑒定來解決相關問題的裁判思路:蓋章行為表明代表人或者代理人從事的是職務行為,因此,要根據簽約人于蓋章之時有無代表權或者代理權,并根據代表或者代理的相關規則來确定合同的效力,也就是“看人不看章”!
在“看人不看章”的這一風控思路下,較傳統的實體印章,電子印章似乎具備天然的風控優勢。
固然實體印章依賴用印審批登記制度,但如若當事人如果故意違反規定,雖然可以事後追責,但違規用印的結果已經為企業帶來損失,風控成為了損失發生後的補償手段;但在理想的電子印章系統中,可以事先為企業員工設置權限,授權成為了電子印章使用的前置條件,隻有經授權的人才可以調用電子印章,無論是用印管理員還是用印申請人,都無法跨越權限,從而保證電子印章的調用是符合企業規定的,這種電子印章系統設計下,當事人無法惡意違規,風控是種事前的保護,避免損失發生的結果。
但是,并非所有的電子印章系統都能夠嚴格從風控角度進行設計,很多時候,電子印章被企業看做是一種功能,而忽略了風控的重要性。因此,對電子印章的安全性進行判斷,需要進一步思考:權限設置有沒有可能被系統的admin賬号無痕修改?是否有人可以假冒用印管理人身份欺騙系統調用印章?系統本身是否可以繞過權限,在沒有審批人審批的情況下調用印章?
帶着對這些問題的思考,我們可以對市面上常見電子印章系統的法律效力進行分析:
目前市面上的電子印章系統主要分為兩大類,Ukey電子印章以及服務器電子印章:
Ukey是一個封裝企業印章圖樣與數字證書的密碼設備,與實體印章沒有本質區别,在物理保管的基礎上,加入PIN碼的安全手段,保證了印章使用的高度安全,但物理屬性導緻的使用不便捷,使其應用場景受到很大限制,最為關鍵的是,它同實體印章相同,Ukey控制人可以惡意違反規則,Ukey電子印章的風控依舊是的事後救濟手段;
而服務器電子印章,則通過将電子印章存儲于服務器上極大滿足用戶調用公章的高效率追求,但這種中心化的電子印章調用方式反而加大了印章盜用風險,這主要體現在以下兩個方面:
第一,服務器的電子印章管理員,并非唯一具備調用電子印章權限的主體
系統配置的電子印章管理員僅僅是形式上的印章控制人,他們依賴于“用印權限”的軟件配置,作為管理員對企業的印章進行管理,而軟件開發商、技術人員、admin系統管理員才是電子印章的實際控權人,他們可以通過後台設置繞開用印管理員,或是在後台修改用印管理員的權限配置,私自盜用電子印章,在任何電子合同上完成電子簽章,給企業帶來不可估量的損失。
第二,電子印章、數字證書存儲于雲端,易被盜用
服務器電子印章,最主要的特點在于中心化的部署,電子印章圖樣、數字證書,甚至是用印過程産生的簽章數據都存儲于中心服務器,這樣存在數字證書與印章圖樣被複制,系統本身具備繞過權限,在未獲取印章管理員簽章權限的前提下,冒名使用電子印章的可能性,也無法規避簽章内容外洩的風險。
究根結底,中心化的電子印章系統,存在固有缺陷。
從這個角度,理想的電子印章系統,應當進行去中心化設計,排除系統的作假能力,提供安全手段保證除了印章管理員以外,包括系統在内的任何人無法調用印章,保證企業用印必須要獲得用印管理員的授權,系統識别并拒絕任何違反程序規則的用印申請,才能确保企業對電子印章的唯一控制權。
企業在挑選服務商時,可以試着考慮以下幾個問題“企業如何設置電子印章管理員?”、“開發商、服務商有配置權限嗎?”、“系統如何确保身份和授權真實?誰來審核真實性?”、“電子印章圖樣與數字證書等數據存儲在何處?”、“簽章數據有可能外洩嗎?”、“能否對多平台的電子印章實現集中統一管理?”
在弄清楚這些問題後,相信可以選出符合企業風控要求的電子印章系統,保證電子印章調用權限牢牢把握在企業手中,規避數字化過程中電子印章盜用風險。
,