电子合同与传统纸质合同不同,在签订、保存等方面都存在较大差异。本文通过分析可靠电子签名、电子合同的有效订立、电子数据的真实性三个层面,分析电子合同远程签约的效力。
一、可靠电子签名
(一)可靠电子签名的定义
按照《电子签名法》第十三条的规定,“电子签名同时符合下列条件的,视为可靠的电子签名:
(一)电子签名制作数据用于电子签名时,属于电子签名人专有;
(二)签署时电子签名制作数据仅由电子签名人控制;
(三)签署后对电子签名的任何改动能够被发现;
(四)签署后对数据电文内容和形式的任何改动能够被发现。”
(二)可靠电子签名的实现形式
目前我国法律仅规定了电子签名的形式,并从功能、效果的角度对电子签名提出要求,而未指定具体的实现方式或者技术手段,因此理论上讲能够满足法律法规要求的数据电文、电子签名的表现形态并不唯一。只要采用满足法律法规对电子签名要求的实现方式,该电子签名与手写签名即具有同样的法律效力。
从技术的角度而言,可靠电子签名的实现方式有可能包括:
(1)基于PKI的公钥密码技术的数字签名;
(2)以生物特征(手纹、声音、虹膜)提取数据为基础的签名;
(3)一个让收件人能识别发件人身份的密码代号、密码或个人识别码PIN。目前第一种数字签名方式为司法实践普遍认可的可靠电子签名实现方式。
二、电子合同的有效订立
(一)一般举证责任
根据《最高人民法院关于适用的解释》第九十一条规定第(一)项规定,主张法律关系存在的当事人,应当对产生该法律关系的基本事实承担举证证明责任。因此,主张合同成立的一方对电子签名的可靠性承担举证责任。
(二)基于PKI的公钥密码技术的数字签名是司法实践普遍认可的可靠电子签名实现方式
在(2015)深福法民二初字第1164号中,原被告通过合拍在线网站(一个电子合同服务平台,为用户提供申请数字证书等中介服务)在线签署了《借款及担保合同》、《委托担保协议书》,广东省深圳市福田区人民法院依据《电子签名法》第十四条,直接认定了该《借款及担保合同》、《委托担保协议书》合法有效。
(三)能够识别个人身份即可视为个人行为
在当前的司法实践中,法院一般认为如果在电子交易中使用了私人密码、验证码、生物识别等能够识别个人身份的校验方式,除非存在特定情况(如其持有的交易密码所涉及的软件秘级程度过低、他人可轻易破译该软件生成的密码;或者交易密码失窃、失密后已经及时挂失;或者操作系统受到黑客攻击等),否则即视为交易者本人从事了交易行为,与可靠的电子签名可以达到同样的证明效果。如当事人主张是他人操作本人并不知情,或主张银行存在过错致使密码泄露,当事人需就此承担举证责任。
(2020)湘13民终646号案件中,法院认定办理案涉小微快贷业务需登录企业网上银行开通快贷业务,必须个人和企业通过各自网银盾、密钥同时登录,填写贷款信息、确认审批方案、经阅读同意借款合同、保证合同,通过数据电文方式进行网上签约,签约成功后才能进行贷款支用。办理过程中需使用被告贯达公司的企业网银盾以及被告赵纯明的个人网银盾。被告抗辩提出其对贷款事实不清楚,没有办理过涉案贷款,与上述企业网上银行贷款办理流程相悖,因此认定原被告金融借款合同关系成立。
(2016)浙01民终4526号案件中,法院认为,案涉《阿里信用贷款合同》系陈建忠以其名下的支付宝账户与阿里小贷公司通过网络数据电文的形式签订,陈建忠名下的支付宝账户也已通过上传本人身份证照片、绑定的银行卡验证等实名认证程序注册成功,所绑定的手机号码系陈建忠目前使用的手机号码,在支付宝账户名、登录密码、支付密码经验证一致的情况下订立的案涉合同,应视为陈建忠本人与阿里小贷公司签订,该电子合同形式、内容合法。
(2019)甘01民终3369号案件中,借款人与银行签订的协议中明确约定“甲方须妥善保管和正确使用密码,避免使用易被破译的数字,并且勿将密码透露给任何他人。凡使用密码进行的交易,均视为甲方本人所有,由此产生的后果由甲方承担”,“甲方身份认证要素(具体内容请见本协议第一条的相关规定)是乙方在提供电子银行服务过程中识别甲方的依据,甲方必须妥善保管,不得将身份认证要素提供给任何第三方(包括乙方工作人员)或交于任何第三方(包括乙方工作人员)使用。”法院认为根据双方约定,使用身份认证要素发出的交易指令或完成的交易操作均视为甲方本人所为,甲方应对由此产生的后果负责。
(2014)深中法商终字第249号案件也对私人密码使用即为本人行为原则进行了肯定和详细阐述。该案中,尽管中行锦绣支行作为涉案借记卡的发卡银行,未能识别出伪卡,违反了其应负担的安全防范义务,其对持卡人蔡建国的存款被非法盗刷存在过错,应承担相应过错赔偿责任。
但法院同时也认为,本案借记卡凭密码交易,涉案交易为在ATM机上取现,仅有伪造的银行卡尚不足以导致持卡人的存款被盗刷,还必须具备持有交易密码这一条件。银行卡密码具有私有性、唯一性和秘密性。正常情况下,银行卡信息尤其是密码为持卡人设定并仅为其掌握,同持卡人身份证、签名一样,具有身份识别功能,是持卡人进入电子交易系统的钥匙或身份凭证,从而起到电子签名的作用。
实践中,就单个银行卡而言,个人用卡不当所致泄密是大概率事件,而银行系统问题导致密码泄漏是小概率事件。
因此,持卡人对密码应当负有比一般财产更加严格的保管和保密的义务,才符合银行卡领用法律关系的特征。在无证据证明中行锦绣支行对涉案借记卡的密码泄露存在过错的情况下,法院推定持卡人没有尽到保管银行卡密码的义务。
(四)合同约定条件
根据《电子签名法》第13条规定,电子签名的“可靠条件”也可以由当事人约定,但在司法实践中,也仍需要形成完整的证据链来证明合同约定的“可靠条件”已成就,才可判断合同成立。
综上所述,目前的司法实践在认定电子合同订立时可分为两种情形,一种是对于符合《电子签名法》要件的可靠电子签名,一般采用基于PKI的公钥密码技术的数字签名方式,通过该种方式订立的电子合同的效力被司法实践普遍认可;第二种是采用不完全符合《电子签名法》规定的可靠电子签名要件的数据电文方式订立电子合同,法院将综合考量案件的具体情况判断合同签订方是否有“订立电子合同的真实意思表示”,对于使用了私人密码、验证码、生物识别等能够识别个人身份的校验方式完成的电子交易,法院一般认为其与可靠的电子签名可以达到同样的证明效果。如当事人主张是他人操作本人并不知情,或主张银行存在过错致使密码泄露,当事人需就此承担举证责任。
三、电子数据的真实性
(一)可靠电子签名的定义
2019年修订的《最高人民法院关于民事诉讼证据的若干规定》(“《新民事证据规则》”)明确了电子数据,包括用户注册信息、身份认证信息、电子交易记录、通信记录、登录日志,以及其他以数字化形式存储、处理、传输的能够证明案件事实的信息,都可以作为证据使用。
(二)电子数据的载体
新《民事证据规定》第十五条规定,“当事人以电子数据作为证据的,应当提供原件。电子数据的制作者制作的与原件一致的副本,或者直接来源于电子数据的打印件或其他可以显示、识别的输出介质,视为电子数据的原件。”同时,第二十三条规定人民法院调查收集电子数据以及对电子数据采取证据保全措施,应当要求被调查人提供原始载体,提供原始载体确有困难的,可以提供复制件。
可见《民事证据规定》对于存储的形式/格式并未做具体规定,只要是可显示、识别的输出介质,均可被视为电子数据的原件。但需注意,电子数据的保存、传输、提取需满足一定条件,才可被认定为“真实”的电子数据,详见下述。
(三)电子数据真实性审查
《电子签名法》第五条规定,“符合下列条件的数据电文,视为满足法律、法规规定的原件形式要求:
(一)能够有效地表现所载内容并可供随时调取查用;
(二)能够可靠地保证自最终形成时起,内容保持完整、未被更改。但是,在数据电文上增加背书以及数据交换、储存和显示过程中发生的形式变化不影响数据电文的完整性。”
新《民事证据规定》第九十三条规定“人民法院对于电子数据的真实性,应当结合下列因素综合判断:
(一)电子数据的生成、存储、传输所依赖的计算机系统的硬件、软件环境是否完整、可靠;
(二)电子数据的生成、存储、传输所依赖的计算机系统的硬件、软件环境是否处于正常运行状态,或者不处于正常运行状态时对电子数据的生成、存储、传输是否有影响;
(三)电子数据的生成、存储、传输所依赖的计算机系统的硬件、软件环境是否具备有效的防止出错的监测、核查手段;
(四)电子数据是否被完整地保存、传输、提取,保存、传输、提取的方法是否可靠;
(五)电子数据是否在正常的往来活动中形成和存储;
(六)保存、传输、提取电子数据的主体是否适当;
(七)影响电子数据完整性和可靠性的其他因素。人民法院认为有必要的,可以通过鉴定或者勘验等方法,审查判断电子数据的真实性。”
依照新《民事证据规定》第九十四条规定,“电子数据存在下列情形的,人民法院可以确认其真实性,但有足以反驳的相反证据的除外:
(一)由当事人提交或者保管的于己不利的电子数据;
(二)由记录和保存电子数据的中立第三方平台提供或者确认的;
(三)在正常业务活动中形成的;
(四)以档案管理方式保管的;
(五)以当事人约定的方式保存、传输、提取的。电子数据的内容经公证机关公证的,人民法院应当确认其真实性,但有相反证据足以推翻的除外。”
《最高人民法院关于互联网法院审理案件若干问题的规定》第十一条规定“当事人对电子数据真实性提出异议的,互联网法院应当结合质证情况,审查判断电子数据生成、收集、存储、传输过程的真实性,并着重审查以下内容:
(一)电子数据生成、收集、存储、传输所依赖的计算机系统等硬件、软件环境是否安全、可靠;
(二)电子数据的生成主体和时间是否明确,表现内容是否清晰、客观、准确;
(三)电子数据的存储、保管介质是否明确,保管方式和手段是否妥当;
(四)电子数据提取和固定的主体、工具和方式是否可靠,提取过程是否可以重现;
(五)电子数据的内容是否存在增加、删除、修改及不完整等情形;
(六)电子数据是否可以通过特定形式得到验证。
当事人提交的电子数据,通过电子签名、可信时间戳、哈希值校验、区块链等证据收集、固定和防篡改的技术手段或者通过电子取证存证平台认证,能够证明其真实性的,互联网法院应当确认。”