探秘深藏“密码”的电子合同市场 是否安全规范？

我国密码领域的第一部法律《密码法》日前出台——

探秘深藏“密码”的电子合同市场

随着我国密码领域的第一部法律《密码法》出台，“密码技术”这个幕后科技走进了大众视野。其实，近年来备受资本热捧的“电子合同”，其服务的基础核心技术就是“密码技术”——密码学已被广泛应用于日常生活。

一提到密码，大多数人对它的认知往往是模糊不清的。实际上，日常生活中涉及的“密码”，在密码学领域被称为“口令”(Password)，只是进入个人计算机、手机、邮箱的“通行证”。而密码学领域以及《密码法》中提及的“密码”对应的英文单词是“cryptography”，是一种复杂而庞大的信息处理系统，指使用特定变换数据等信息进行加密保护或者安全认证的产品、技术和服务。

密码技术不仅应用于保密通信、军事指挥、金融、政务、电网、工控网络等涉及国家安全的领域，还渗透到电商、手机支付、医疗、社保等民生领域。其中，近年来备受资本热捧的“电子合同”服务的基础核心技术就是“密码技术”。

值得思考的是，伴随互联网金融而盛行的电子合同，其提供的相关服务是否安全规范?电子合同合法性的判断依据是什么?

掌握核心密码技术是“硬门槛”

电子合同虽受资本市场青睐，而若想获得用户认可，是否具备核心密码技术服务能力才是电子合同服务商较量的本钱和基础。

具体来看，密码的主要功能有两个：一个是加密保护，另一个是安全认证。简单地说，加密保护是指使用数学变换，将明文变成密文;安全认证就是确认主体和信息的真实可靠性。

“在电子合同签署的流程中，身份认证、合同文件数据、网上数据传输等环节中应用了大量密码学算法和技术原理。密码技术在电子合同服务中发挥着关键性的基础作用。”北京数字认证股份有限公司多年来从事密码技术的相关产品与解决方案的研究，该公司总经理林雪焰告诉经济日报记者，电子合同属于信息与数据安全领域，其核心就是“签署”，即电子签名。电子签名的法律效力决定了电子合同有效与否，并成为了保证交易安全性、真实性以及不可篡改性的关键环节。

2005年，全国人大颁布《电子签名法》，从技术层面上对电子签名的地位给予了肯定;10月26日出台的《密码法》，将进一步规范电子签名厂商的运营与发展。“电子签名作为密码技术应用中的一种重要方式，一般区分为可靠电子签名和不可靠电子签名。简单而言，电子合同的法律效力中，最核心的技术保障就是采用了‘可靠’电子签名。”中国人民大学网络犯罪与安全研究中心秘书长谢君泽说。

记者了解到，电子认证服务机构提供的电子签名，是基于密码算法的PKI认证技术和数字签名技术，这两者是目前世界公认最为可靠的技术，符合《电子签名法》中对可靠的电子签名定义。“可靠的电子签名能够保证电子合同至关重要的两点：一是身份的真实性，二是合同内容的不被篡改性。”林雪焰表示，只有具备核心的密码技术服务能力，才能从根本上保证电子合同的合法性与可靠性。

服务提供商将进一步规范

除了技术要具备可靠性外，服务提供商是否为具有法定资质的第三方机构，也是司法界对电子合同合法性的判断标准。

值得注意的是，目前大部分互联网电子合同服务提供商，一般对接第三方电子认证为其电子签名提供认证服务。有业内人士指出，该形式中，电子认证机构并不直接参与认证电子合同双方身份以及电子签名的实现，电子合同服务的合法合规性、安全可靠性大大降低，用户在选择时需要慎重。

“电子合同服务核心是‘信任’。电子合同的信任不仅仅是人与人、企业与企业之间建立信任关系，也是在所关联的数据、代码和服务平台建立信任。”林雪焰强调，“这就需要保证网上身份的真实、签署数据的完整、网上系统的安全、个人数据的隐私等多种元素构建起这样的数字化信任。”

有业内人士坦言，能够提供网络信任服务的厂商需要具备相关资质，产品及企业运营要受国家主管机构监管。而很多为互联网金融服务提供的电子合同平台厂商，其业务与服务并不受权力机关的审查许可。与此同时，专家表示，此次出台的《密码法》中也提出对提供密码服务的企业进行许可和认定，并明确了对密码产品和服务机构实施许可和认定，势必将进一步规范密码产品和服务产业。

强化电子合同应用约束与规范

“在国家政策层面及相关主管机构层面，如果能够通过法律和条例的形式解决在电子劳动合同实操中所面临的问题，电子合同在人力资源领域将会有一个快速的腾飞。”人力资源三支柱和数字化专家左葆瑜表示，除了劳动合同，只要牵涉有法律、劳动纠纷风险和证明出具等场景的人力资源工作，如外聘协议、劳务协议、绩效协议、竞业避让协议、期权授予协议、培训协议以及薪酬确认单、各类证明的出具等，都会带来电子合同快速的普及。

在不少业内人士看来，强化电子合同应用的约束与规范很必要，这也是互联网条件下维系市场秩序不可或缺的环节。市场监管机构要开展审查备案服务，考察服务商是否符合监管机构的要求，让电子合同成为具有法律效力的合同，替消费者把关。

与此同时，林雪焰表示，“安全可信的自主核心技术、法律认可的电子认证服务资质、上级监管下的安全运营体系、随需应变的垂直行业解决方案、良好可信的用户口碑和持续经营能力，这些都是企业在选择电子合同服务时的关键”。在他看来，电子合同的发展不能一味“赶风口”，要扎扎实实打好基础，针对实际业务场景，充分应用国产密码算法、经验的积累，以求产生实际效果给社会带来确实收益，才具有真正的产业未来。(记者 钱箐旎)