资深律师：企业如何通过数字签名保障信息安全？

当互联网渗透到金融信息行业的各个领域，其发挥的降本提效作用有目共睹。放眼当前，区块链技术正在用于实现数字存证、数据加密、资产交易等多方面的网络信息安全；而大数据、云计算、人工智能等新型技术手段也正为行业发展提供反欺诈、征信风控等多场景解决方案。

科技需服务于人，也需服务于日渐关注权益保护的消费者们。

3月15日，由上海金融信息行业协会主办、法大大合办的“3.15上海金融信息安全论坛”在上海举行。论坛以“信息安全护航金融科技长远发展”为主题，法大大高级法务顾问田卫民律师受邀出席，做《信息安全下的数字签名》主题演讲。

企业如何通过采取数字签名，做好信息安全工作？田律师总结了如下两点。 

一方面，企业需要建立并完善自己的风控体系或方案，重点在签约用户的风险控制、管理及实名认证上，对信息真实性的审核把关；

另一方面，企业需配合做好电子文件签约场景下业务流程的梳理及设计，在合适的流程节点中嵌入数字签名服务。

信息安全软硬件的范围涵盖4个方面：

1.应用与数据安全：包括身份验证，授权管理，数据安全防护；

2.主机与系统安全：包括标准系统安全，漏洞扫描与加固，病毒防范，主机安全监管；

3.网络安全：包括网络边界安全，VPN（虚拟专用网）、防火墙；

4.物理和环境安全：门禁系统、摄像监控、物理环境。

信息安全以真实、保密、安全为达到目的。而电子认证机构在信息安全中的作用，则是向用户发行电子签证证书，为用户提供成员身份验证和密钥管理等功能。

可靠的电子签名（《中华人民共和国电子签名法》对此有明确定义）需具备防篡改和不可抵赖性，前者可保证数据的一致性、防止数据被篡改，后者可建立有效的责任机制、防止用户否认其行为。那么，纸质合同拍照/扫描后是否可视为电子合同？当然不是。事实上，数字签名不可等同于书面签名的数字图像化，它是通过密码技术对电子文档进行的电子形式签名。

注：电子认证与电子签名一样，都是电子商务中的安全保障机制，是由特定的机构提供的，对电子签名及其签署者的真实性进行验证的服务。（来源：华律网）

而实名认证也是平台保障信息安全、符合“可靠电子签名”定义的关键技术。以法大大为例，其实名认证方式包含了刷脸、身份信息、银行卡、EID等多种认证方式。在为个人、企业用户签发具有个体标识意义的数字证书后，缔约双方即可在线上完成电子文件的签署、盖章等签约全操作，这份电子文件即为合法有效、可作维权证据的电子合同。

一份可靠的电子合同，除了保证签名为真、内容不可篡改外，还必须保证时间的准确性，这涉及到时间戳技术。可信时间戳即由国家法定时间源来负责保障时间的授时和守时监测，任何机构包括时间戳中心都不能对时间进行修改以保障时间的权威，只有这样产生的时间戳才具有法律效力。时间戳技术的核心技术仍是数字签名技术。

早在2016年8月，法大大便与微软（中国）、Onchain达成战略合作，成立电子存证区块链联盟“法链”。

2016年10月，法大大联合阿里邮箱推出全球首个基于区块链技术的邮箱存证产品。

“此外，阿里还进行过多种对于区块链技术落地的尝试：……和微软、小蚁、法大大等合作开发‘法链’，试图通过在法链上备份的电子邮件让中国法院能够大规模采用数字证据邮件等等。”

——PingWest品玩《关于区块链，BAT 三家老板在两会上怎么说的，背地里又是怎么做的？》

凭借区块链与可靠电子签名技术的加持，法大大电子合同的产品和服务已被阿里巴巴、微软（中国）等企业采用，目前平台已签署超过4.2亿份电子合同。

2017年年底，法大大与中国广州仲裁委员会合作的“网络仲裁服务系统”正式上线试运行，为互金平台的逾期贷后管理提供了新型的“一站式”纠纷解决之道——与一般线下仲裁规定的“四个月内”“两个月内”相比，申请人通过该系统最快7个工作日便可拿到仲裁裁决书。

“从电子合同到线上争议的高效解决，法大大在努力为用户提供契约的全生命周期法律保障。”法大大创始人兼CEO黄翔表示，维护用户权益，正是法大大守护互联网时代契约精神的目的。

本文为法大大原创，非商业转载请注明文章来源。对未经许可擅自使用者，本公司保留追究其法律责任的权利。如需转载或商业合作，请联系pengxy@fadada.com。