企業自建電子合同簽署平臺，要使用哪些技術？

自建合同訂立系統的基本功能要求

根據《電子合同在線訂立流程規范（征求意見稿）》（“《規范意見稿》”），電子合同訂立系統應該具備以下功能：

(1)能生成符合法律格式要求的合同文本；

(2)能支持多種方式，包括文字、視頻或音頻，進行在線談判和合同文本修改；

(3)能實現合同信息和談判信息的實時備份，備份信息可追溯、可復制；

(4)能通過電子簽名或其它方式查驗合同內容的真實性、完整性；

(5)能接入第三方的電子合同存儲服務商的存儲服務。

結合以上要求，此處將著重分析如果企業欲自建電子合同訂立系統/平臺，所需要注意的電子簽名、時間戳等技術的應用問題。

①電子簽名技術的應用

電子簽名技術的功能類似傳統的簽字蓋章，是用于識別締約人身份、確認締約人對簽名文件的內容上的認可的技術手段。我國法律采用“技術中立原則”，沒有明確規定電子簽名具體應當采用的技術類型，只要能夠達到“可靠的電子簽名”的技術手段就可以是與手簽名或蓋章具有同等法律效力的電子簽名。

實踐中，數字簽名（digital signature）是電子簽名（electronic signature）的最主要實現方式。目前受到普遍認可的實現數字簽名的手段一般涉及以下技術和第三方：哈希算法（hash function）、非對稱加密技術（asymmetric cryptology）、公鑰基礎設施（Public Key Infrastructure, PKI）和電子簽名認證機構（Certificate Authority, CA）。

哈希算法是指任何能夠將任意大小的數據不可逆地轉化為固定字節的數字摘要（hash value，或稱哈希）并輸出，并且哈希與數據原文一一對應的算法。數據電文的簽名方/發送方使用哈希算法對原文生成一個哈希（hash value），然后使用電子簽名系統的私鑰（private key）對該哈希加密，生成數字簽名，隨后將該原文和數字簽名發送給接收方；接收方使用一個與私鑰不同但與私鑰唯一對應的公鑰（public key）解密數字簽名，得出哈希；接收方隨后對原文使用同樣的哈希算法生成一個新的哈希，將2個哈希比對，如果相同，則數據確由發送方產生、且在傳輸過成功沒有被篡改，數據傳輸成功。

發送方能夠進行數字簽名的前提，是發送方掌握著一套非對稱秘鑰（相互關聯的私鑰和公鑰）。根據《電子簽名法》等相關法律的規定，發送方通常先向具有資質的電子簽名認證機構申請電子證書（digital certificate），該證書包含了發送方的身份信息和公鑰。每當發送方對某份數據電文簽名，該認證機構將確認簽名為發送方所謂并向接收方告知用于核驗解密的公鑰。公鑰基礎設施就是支持這一套電子認證機制的以電子簽名認證機構為中心搭建的包括硬件、軟件、人員和規范的體系，用于實現和管理密鑰和證書的產生、管理、存儲、分發和作廢。

為發送方簽發電子證書認證的電子簽名認證機構必須具有相關資質：必須符合《電子簽名法》、《商用密碼管理條例》、《計算機信息系統安全保護條例》等法律，至少擁有《商用密碼產品生產定點單位證書》、《商用密碼產品銷售許可證》和《商用密碼產品型號證書》。最重要的，只有經過我國工信部許可的機構才能從事第三方電子認證服務。因此，如果企業選擇自建電子合同訂立系統，所使用的電子簽名必須經有工信部資質許可的電子認證機構簽發電子證書。

②時間戳技術的應用

時間戳（timestamp）是一種電子合同的輔助認證技術，用于加密并固定特定數據電文的生成、傳輸、刪改的時間記錄，并用于核驗該特定時間點下的數據電文內容的技術手段。

一般來說，時間戳的技術手段涉及到以下技術和第三方機構：哈希算法、非對稱加密技術、公鑰基礎設施和第三方時間戳服務機構（Timestamp Authority, TSA）。

需要對特定數據電文進行時間戳認證的用戶使用哈希算法將數據原文生成一個哈希，然后將該哈希發送給第三方時間戳服務機構。自此之后，任何對該數據電文的修改都必須和該第三方機構重新溝通。第三方機構將收到的哈希和其他信息，包括該機構的權威時間下的哈希接收時間，結合后用該機構的私鑰加密，產生一個時間戳通證（timestamp token）。隨后，第三方機構將時間戳通證發回給用戶。如果此后數據電文的接收方需要驗證文件是否經過篡改（準確來說，是驗證從第三方機構接收該數據后，數據是否被篡改），該接收方需要首先使用哈希算法將其接收的數據電文生成一個新的哈希，然后使用第三方機構的公鑰解密時間戳通證、獲得其中的哈希，最后將兩份哈希比對，如果相同，則說明其所接收的數據電文是自時間戳認證以來未經篡改的。

所以，技術上來看，時間戳和電子簽名是相通的，可以理解為第三方時間戳服務機構包含了權威時間的電子簽名。

但是，只有由個人計算機產生電子文件的時間取決于該臺計算機設備的時鐘，而此類時鐘可以任意修改，只有根據可信的掌握權威時間的第三方認可的時間才產生可信時間戳，具有法律效力。每個國家的標準時間是具有權威性的，由各國權威授時中心管理。

因此，如果將時間戳技術應用到自建的合同訂立系統，則需要與聯合信任時間戳服務中心交互，為電子合同蓋時間戳。

③自建電子合同訂立系統必須采用第三方存儲系統

實踐中，企業訂立電子合同涉及“電子合同訂立”和“電子合同信息存儲”兩個環節，對于潛在糾紛中的舉證問題，后者的重要性不可忽略。值得注意的是，《意見稿》規定了“隔離原則”：“電子合同訂立系統設立人是合同締約的一方當事人時，該設立人不得同時作為第三方存儲該電子合同?！币虼?，如果企業選擇自建電子合同訂立系統，應當注意納入第三方完成電子合同的存儲。該設計背后的含義應該不是擔心由防篡改的電子合同被一方篡改，而是擔心締約一方因道德風險誘發的物理毀損電文數據的載體。