作为企业最为重要的工具之一,印章参与到企业内部管理以及外部商务活动多环节中,直接关系到企业的利益得失,公章在很大程度上代表了企业的身份,因此企业对印章采取了严格的风险防控手段:
传统实体印章,基于物理唯一性,保管好印章介质,就可以控制用印风险,因此,企业针对印章的保管与使用有着严格的规章制度,授权可信任人员为印章管理员,将实体印章交由其保管,在企业需要用印用章时,通过签署用印登记并获取用印审批后,用印管理员再加盖印章。
经过严格的用印流程,企业可以精准控制用印风险,如若出现用印纠纷,也可通过用印登记、申请及审批签字等证据还原回溯事情真相,追究相关责任人。
在这种风控操作下,虽然无法彻底规避风险,但用印用章风险大规模降低。
随着信息化时代的来临,企业纷纷开启自身的数字化转型,为了能够实现线上打卡、用工管理,企业引入了钉钉、EHR系统等系统,为了能够实现企业内部智慧化办公,企业引入ERP系统;为了能够线上完成电子合同的签署,企业又引入了电子合同签约系统……不同信息系统中,可能分别存在多枚电子印章,这使得用印用章风险被数倍放大。就好比,传统实体印章单单一枚公章,企业就需要借助严格的用章登记审批制度对风险进行防控,如若有10枚公章,企业的用章风险又当如何评判呢?
国家标准GB/T 38540—2020《信息安全技术 安全电子签章密码技术规范》对电子印章进行了定义,一种由电子印章制章者数字签名的安全数据,包括电子印章所有者信息和图形化内容的数据,用于安全签署电子文件。
其中,电子印章所有者信息通常是以数字证书展示,数字证书是CA机构应当事人申请,在严格按照电子认证业务规则对申请人身份与某字符串的关联性认证后,为当事人颁发的证书,类似于身份证,包含颁发者、使用者、有效期、字符串等信息,可以证明当事人身份;图形化内容,指的是印章图样,能够直观辨认用章人,符合用印人以及其他当事人的用印习惯。
本质上来说,电子印章是电子数据,依赖于代码,具有易复制、易篡改、易删除等特点,在企业不知情状况下,电子印章被无痕使用,即被盗用的风险急剧上升,而这将使企业被动陷入纠纷漩涡,甚至需要承担印章被盗用引发的法律后果,为企业带来损失!
(2020)辽01民终8998号判例中,辽宁省沈阳市中级人民法院认定,沈阳某超市有限公司主张某商贸有限公司以电子签章方式认可了扣款确认单,并要求扣减该部分货款。本院认为,该电子签章目前无确切证据显示系某商贸有限公司操作下加盖,故对沈阳某超市有限公司的主张不予支持。
(2020)鲁0105民初2267号案件中某旅游平台作为被告,声称与旅客祝某之间没有有效的旅游合同关系。《出境旅游合同》并该旅游平台的真实意思表示,该合同的形成系案外人王某某盗用平台电子印章所为。山东省济南市天桥区人民法院认为,旅客祝某与旅游平台员工王某某洽谈旅游事宜,王某某向其发送了加盖该旅游平台电子合同专用章的旅游合同,旅客祝某作为旅游者,有理由相信王某某有代理权,其行为构成表见代理。……综上,王某某的行为构成表见代理,该旅游平台应对王某某的行为承担相应的民事责任。
在“真章未必有效,假章未必无效”的风控困扰中,最高人民法院于2019年出台《全国法院民商事审判工作会议纪要》,给出了印章风险控制的关键所在,纪要强调不能将重点放在公章的真伪上去,要纠正过分依赖鉴定来解决相关问题的裁判思路:盖章行为表明代表人或者代理人从事的是职务行为,因此,要根据签约人于盖章之时有无代表权或者代理权,并根据代表或者代理的相关规则来确定合同的效力,也就是“看人不看章”!
在“看人不看章”的这一风控思路下,较传统的实体印章,电子印章似乎具备天然的风控优势。
固然实体印章依赖用印审批登记制度,但如若当事人如果故意违反规定,虽然可以事后追责,但违规用印的结果已经为企业带来损失,风控成为了损失发生后的补偿手段;但在理想的电子印章系统中,可以事先为企业员工设置权限,授权成为了电子印章使用的前置条件,只有经授权的人才可以调用电子印章,无论是用印管理员还是用印申请人,都无法跨越权限,从而保证电子印章的调用是符合企业规定的,这种电子印章系统设计下,当事人无法恶意违规,风控是种事前的保护,避免损失发生的结果。
但是,并非所有的电子印章系统都能够严格从风控角度进行设计,很多时候,电子印章被企业看做是一种功能,而忽略了风控的重要性。因此,对电子印章的安全性进行判断,需要进一步思考:权限设置有没有可能被系统的admin账号无痕修改?是否有人可以假冒用印管理人身份欺骗系统调用印章?系统本身是否可以绕过权限,在没有审批人审批的情况下调用印章?
带着对这些问题的思考,我们可以对市面上常见电子印章系统的法律效力进行分析:
目前市面上的电子印章系统主要分为两大类,Ukey电子印章以及服务器电子印章:
Ukey是一个封装企业印章图样与数字证书的密码设备,与实体印章没有本质区别,在物理保管的基础上,加入PIN码的安全手段,保证了印章使用的高度安全,但物理属性导致的使用不便捷,使其应用场景受到很大限制,最为关键的是,它同实体印章相同,Ukey控制人可以恶意违反规则,Ukey电子印章的风控依旧是的事后救济手段;
而服务器电子印章,则通过将电子印章存储于服务器上极大满足用户调用公章的高效率追求,但这种中心化的电子印章调用方式反而加大了印章盗用风险,这主要体现在以下两个方面:
第一,服务器的电子印章管理员,并非唯一具备调用电子印章权限的主体
系统配置的电子印章管理员仅仅是形式上的印章控制人,他们依赖于“用印权限”的软件配置,作为管理员对企业的印章进行管理,而软件开发商、技术人员、admin系统管理员才是电子印章的实际控权人,他们可以通过后台设置绕开用印管理员,或是在后台修改用印管理员的权限配置,私自盗用电子印章,在任何电子合同上完成电子签章,给企业带来不可估量的损失。
第二,电子印章、数字证书存储于云端,易被盗用
服务器电子印章,最主要的特点在于中心化的部署,电子印章图样、数字证书,甚至是用印过程产生的签章数据都存储于中心服务器,这样存在数字证书与印章图样被复制,系统本身具备绕过权限,在未获取印章管理员签章权限的前提下,冒名使用电子印章的可能性,也无法规避签章内容外泄的风险。
究根结底,中心化的电子印章系统,存在固有缺陷。
从这个角度,理想的电子印章系统,应当进行去中心化设计,排除系统的作假能力,提供安全手段保证除了印章管理员以外,包括系统在内的任何人无法调用印章,保证企业用印必须要获得用印管理员的授权,系统识别并拒绝任何违反程序规则的用印申请,才能确保企业对电子印章的唯一控制权。
企业在挑选服务商时,可以试着考虑以下几个问题“企业如何设置电子印章管理员?”、“开发商、服务商有配置权限吗?”、“系统如何确保身份和授权真实?谁来审核真实性?”、“电子印章图样与数字证书等数据存储在何处?”、“签章数据有可能外泄吗?”、“能否对多平台的电子印章实现集中统一管理?”
在弄清楚这些问题后,相信可以选出符合企业风控要求的电子印章系统,保证电子印章调用权限牢牢把握在企业手中,规避数字化过程中电子印章盗用风险。