余韬：金融纠纷中的电子签名审查

法盛金融投资

       致力于分享金融与不良资产、投融资并购、房地产与城市更新、基金资管、资本市场、公司纠纷、税务筹划及疑难案例等干货。

2023年4月27日，复旦大学司法与诉讼制度研究中心召开第9期司法实务讲坛“金融纠纷中的电子签名审查”。本次讲座由华东政法大学法学博士、上海市浦东新区人民法院金融审判庭副庭长余韬法官主讲，复旦大学法学院段厚省教授主持，同济大学法学院徐文海副教授、金诚同达律师事务所顾问李乾博士为与谈嘉宾，近百名师生共同参与，对互联网金融领域电子签名的背景和基本逻辑、司法审判中电子签名审查的困难和原因、电子签名司法审查标准和审查方式等方面进行了讨论。

主讲人：余韬法官

大家晚上好！很荣幸受到复旦大学司法与诉讼制度研究中心和段教授的邀请，来参加复旦司法实务讲坛。我在浦东法院金融庭工作，日常就是处理类型庞杂、数量众多的金融商事纠纷。在我们院受理的案件里，金融案件的数量是最多的，2021年浦东法院全年金融案件收案量4.6万件，2022年4.3万件，都占到全院民商事案件约三分之一，全院案件的四分之一。今天我要跟大家交流的主题是互联网金融纠纷中电子签名的审查。大家知道，现在大部分金融交易活动是通过互联网来完成的，所有的电子合同的签订都涉及到电子签名的问题。这也是我们近几年遇到的新问题、新挑战，而且相关的案件越来越多，需要我们予以关注并找出适当的解决方案。当然，接下来我要讲述的内容，仅仅是我个人从学术研究的角度，对这一问题进行的观察和思考，不代表单位的意见，更不代表我们的裁判规则。

一、互联网金融电子签名问题的背景和基本逻辑

（一）社会生活的电子化和金融交易的互联网化

你能接受一天不拿手机吗？大概率是不能，疫情时期，没有手机更是寸步难行。所以几年前就出现了这样一个说法，那就是手机已经成为现代人的“电子器官”了。移动支付已经是我国的新四大发明之一了，大家应该很久没用现金了吧。现在银行的实体网点不是在增加，而是在不断减少，因为绝大部分银行的金融业务已经不需要在网点办理了。近几年我国金融领域中业务基本都完成了网络化，而且这样的业务占比越来越高。

1.互联网交易需要电子签名

互联网具有高度便利性和高覆盖性，能够快速响应客户需求、深度优化用户体验，在与金融业务结合之后，可以打破传统业务模式下网点服务时间、地点等资源限制，实现金融服务与客户需求的快速对接。与网上购物等一般电子商务合同相比，金融电子合同所涉金额更高，内容更加复杂，需要有极高安全性和可靠性。《民法典》第四百六十九条规定：以电子数据交换、电子邮件等方式能够有形地表现所载内容，并可以随时调取查用的数据电文，视为书面形式。《电子签名法》第三条规定：当事人约定使用电子签名、数据电文的文书，不得仅因为其采用电子签名、数据电文的形式而否定其法律效力。

2.互联网金融交易需要特殊的电子签名

那么，接下来的一个问题就是，大家日常在互联网上进行的交易，法律的规制都是一样的吗？我们日常最常用的网上交易是什么？一是在淘宝京东这样的购物平台买东西；二是用微信支付或者用银行的APP转账。那么，这两种交易的法律规范一样吗？我刚才提到，与网上购物等一般电子商务合同相比，金融电子合同所涉金额更高，内容更加复杂，需要有极高安全性和可靠性。所以大家看，规范网上购物的法律——《电子商务法》第二条明确规定：法律、行政法规对销售商品或者提供服务有规定的，适用其规定。金融类产品和服务，……不适用本法。《电子商务法》第四十八条规定：电子商务当事人使用自动信息系统订立或者履行合同的行为对使用该系统的当事人具有法律效力。在电子商务中推定当事人具有相应的民事行为能力。但是，有相反证据足以推翻的除外。也就是说，电子商务领域，签约者的身份不是最突出的问题，效率优先。这个原则在互联网金融领域能适用吗？显然不行。

（二）缔约行为的底层逻辑及其电子化

1.传统缔约逻辑

既然互联网金融领域的缔约行为需要安全，需要准确的身份识别，那我们能不能从传统中汲取营养、获得灵感呢？签字画押、白纸黑字，千百年来我们的祖先已经用的炉火纯青，到今天我们一样在用，那么，我们能不能简便且顺利地把这套成熟的解决方案搬到互联网上呢？我们线下开展金融活动、订立合同的过程。说起来也很简单，核心的就三个动作：1.核验身份证件；2.在纸质合同上签字盖章。3.保存好合同。分解这几个动作，核心的要素有以下3点：

（1）身份识别

签约双方一般通过对方身份证来认定对方的真实身份。具体包括看身份证原件（通常身份证都是自己持有的）、比对身份证照片和持证人长相（通常持证人与照片是否相似能够肉眼识别）。对于法人来说，还包括法人盖章的授权证明、法人的办公场所的工作人员等等辅助身份识别手段。

（2）意思表示

在纸质合同上签字、捺印、盖章行为，一般可以表示签约人确认合同内容为己方真实意思表示，同时愿意接受书面合同所载明的内容的约束。那么这里面有个前提，自然人的签字、捺印具有明确的事后可鉴别性，也就是说，一旦当事人就签署行为的真实性发生争议，很容易通过鉴定等手段，比较准确地判断，签字是不是你签的，指纹是不是你某个指头的指纹图案，法人公章是不是与权威部门留存的印章图案一致等等。

（3）防止篡改

通常情况下，纸质合同文本具有一定的防止篡改的功能。也就是俗话说的“白纸黑字”，只要采取了一式两份、装订成册、骑缝签章等基本的防伪措施，纸质合同并不那么容易篡改，或者说单方面的篡改之后很容易留下痕迹。如果说一式两份的合同内容不一致、文字上有挖补涂改的痕迹、上下页内容不连贯等等情况，我们就比较容易判断出，合同文本存在事后篡改的嫌疑。

2.传统签约模式的线上迁移框架

基于上述3个要素，我们来看看如何框架性地将线下签约搬到线上去：

身份识别方面。最简单的如登录账号、密码，这个账号对应的注册资料是张三或者张三设定的，那么只要登录的账号密码匹配正确，就可以认为在这个账号登录之后的操作都是张三进行的。这里面有两个预设的前提：一个系统必须有账号密码登录后才能正常使用；一个账号只有注册人才知道对应的密码，其他人不知道。

意思表示方面。最简单的就是点击“我已阅读并同意”。现代人说过最多遍的“谎言”就是“我已阅读”，但不管怎么样，如果系统设置你必须点击“我已阅读并同意”按钮才能进行下面的操作，你也实际点击了这个按钮，那么法律上可以认为你作出了一个“同意”超链接中内容的意思表示。

防止篡改方面。最简单的比如金融机构的自我约束。银行作为强监管的金融机构，你说它在自己的业务数据系统中篡改一个小标的的借款合同内容，可能性是大还是小？显然是很小的。当然，金融电子合同的防止篡改要素不能依赖于金融机构的自我约束，必须有相应的技术和机制保障。

3.电子签名的逻辑演化

前面讲了，把线下签约过程搬到线上，同样要解决身份识别、意思表示和防止篡改三个问题，那么在线上同样要通过签名来解决，我们的解决方案是电子签名，规范这件事的法律就叫《电子签名法》。《电子签名法》第二条规定：本法所称电子签名，是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。本法所称数据电文，是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。电子签名法对电子签名的定义，核心即身份识别和意思表示两个方面，这里面最重要的就是身份识别。那么我们看一下，目前我们社会经济生活中的身份识别从框架和层级上是如何实现的。

第一层 身份证等实体身份证件。最典型的就是公安机关线下认证并受到《居民身份证法》规范和保障的身份证。这是最传统也是被广泛接受的身份识别方法，与之类似的还包括户口簿、护照、工作证等等。

第二层 权威机构经线下认证的身份关联信息。什么意思呢？就是经过比较权威的第三方，在经过身份识别之后绑定在主体身份上的关联信息。典型的比如银行一类账户开户、手机号码实名制认证、线下设置网银密码或取款密码。

第三层 基于上两层的在线识别信息。就是各家金融机构、金融业务平台通过在线身份识别后设置的客户识别信息。如在线设置的登录/支付密码、手机验证码、银行卡识别、身份证拍照、人脸识别、指纹识别（以及其他生物信息）、电子化手写签名等等。

第四层 基于第一、二层或第三层的数字签名（CA签名）。数字签名基于非对称密码下运用公钥基础设施（PKI）的电子签名技术，只有信息的发送者才能产生的别人无法伪造的一段数据，这段数据同时也是对信息的发送者发送信息真实性的一个有效证明。数字签名是非对称密钥加密技术（PKI）与数字摘要技术（hash函数）的应用。

（三）我国电子签名的立法模式及数字签名法律地位

前面我们讲了金融领域电子签名的背景、意义、目标、底层逻辑以及数字签名大概是怎么回事。那么接下来我们就要回到我们的专业——法律上来了，因为密码技术、信息技术不是我们要研究的内容，我们要研究他们的法律定位、法律规则和法律评价。

1.立法模式

根据立法对电子签名技术是持放任还是管制的态度，可将各国的电子签名立法分为三种技术方案：1）技术特定化方案，即立法基于安全保障的需要，仅认可当前技术较为成熟、安全性能较高的电子签名方式，而将其他的签名手段排除在法律适用之外。2）技术中立化方案，即立法不对电子签名的技术作任何形式限定，避免对其他签名技术的发展造成阻碍。采这一模式的立法规范有联合国国际贸易法委员会的《电子商务示范法》等。3）技术折衷化方案。技术折衷化方案则是对上述两种立法模式的耦合与兼顾，其一方面对电子签名技术作开放性规定，为各种签名技术的适用留下空间，另一方面又以范例的形式对技术成熟的电子签名进行规定，或者对电子签名的可靠性作补充性规定，以保障电子交易的安全。

我国家的《电子签名法》是怎么规定的？第十三条 电子签名同时符合下列条件的，视为可靠的电子签名：（一）电子签名制作数据用于电子签名时，属于电子签名人专有；（二）签署时电子签名制作数据仅由电子签名人控制；（三）签署后对电子签名的任何改动能够被发现；（四）签署后对数据电文内容和形式的任何改动能够被发现。当事人也可以选择使用符合其约定的可靠条件的电子签名。第十四条　可靠的电子签名与手写签名或者盖章具有同等的法律效力。从《电子签名法》的相关规定来看，我国电子签名立法实际上是采取技术中立加有限管制与意思自治的模式，具体可归入技术折衷的立法方案。

2.数字签名

《电子签名法》第二条仅从功能同等与作用形态方面对电子签名作出了界定，而将技术问题交由市场主体自行判断、自由选择，并自担风险。另外，《电子签名法》第十三、十四条将电子签名划分为法定可靠电子签名和约定可靠电子签名，我这里把前者称为可靠电子签名（当前主要表现为数字签名），后者称为一般电子签名。

对于可靠电子签名，立法明确了判断标准，并赋予其与手写签名或者盖章同等的法律效力。立法借此规定，为人们选择电子签名手段提供了指引，同时也为司法认定提供了裁判标准。此外，立法还允许当事人以合意方式对可靠电子签名的认定条件进行调整，体现了意思自治的原则。可以说，我国《电子签名法》立法在平衡科技发展与安全保障的理念之后，选择了前者，至于对电子签名的安全保障，则由实践中发展起来的各种签名技术来解决。在这一框架下，我国金融电子合同中所涉及的电子签名类型多样，既有第三方认证机构（Certification Authority，简称“CA”）颁发数字证书后创建的数字签名，具有理论上的可靠性；也有根据《电子签名法》第二条和第十三条第二款，利用密码技术、当事人生物特征等形成的一般电子签名，此类电子签名需要由当事人约定可靠条件。

二、司法实践中关于金融电子签名的争议及审理中遇到的困难

好，我们回顾了背景、概括了立法，现在看看具体的互联网金融领域电子签名有关争议变成诉讼案件，在金融商事审判中又遇到了哪些情况。

（一）司法实践概括

为了解有关金融电子合同中电子签名的证明及审查状况，我们对某地近三年来金融商事案件中涉及电子合同的案件进行了抽样统计分析，具体情况如下：

1.原告举证情况

当事人为证明交易对象及电子合同成立，举证内容多样，包括电子合同打印件、电子签名认证报告、人脸识别及短信验证记录、流程公证书、资金流水、账户开户信息等。从当事人所依赖的核心证据类型来看，电子签名认证报告及第三方平台验证报告占比约58%；流程公证或系统演示的占比约17%；线下确认信息的占比约14%；身份验证记录的占比约9%；开户信息及资金流水等辅助证据的占比约2%。

2.被告抗辩情况

上述案件中，针对电子签名提出抗辩意见主要包括：一是对电子签名真实性的抗辩，包括电子签名非本人操作，或电子签名图像系原告从他处复制等；二是对签名形式的抗辩，主张双方未就采用数字签名形成合意，仅实施电子签名的合同不具有法律效力；三是对签名载体的抗辩，系争电子签名载体为打印件，主张原告未提供原件，无法核对真实性，或载体存在被伪造的可能性；四是对存证机构资质的抗辩，主张提供验证材料的第三方机构不具有相应资质，电子证据不具可信性；五是对举证责任的抗辩，认为证明电子签名真实性的责任在原告，事实存疑的利益应当归于被告，即应当认定合同不成立。

3.法院裁判情况

实践中，法院在大多数案件中认可了电子签名的可靠性，支持了原告的诉请。但针对上述有关电子签名的抗辩，结合某市及其他地区法院类似案件裁判，可以发现，法院在认定时存在一定的差异。

（二）金融电子合同中电子签名证明审查的困难及问题

分层立法模式下，我国《电子签名法》第十三条第一款和第十四条仅对可靠电子签名的认定标准及法律效力作了概括性规定，对当事人协议选择的一般电子签名的审查则未作规定。在这种情况下，司法实践中审查金融电子合同中的电子签名面临着诸多困难。

1.金融机构举证不充分

互联网金融交易中，当事人从业务推广到签订合同、支付款项几乎所有的交易行为都在网络平台上进行，电子数据信息一般由金融机构保存在平台交易系统中。然而，司法实践中，部分金融机构出于控制成本等因素考虑，仅提供电子合同打印件及资金流水等证据，缺少电子签名类型、交易对象实名认证、签约过程、第三方电子签名认证等关键证据，在缺席审理或被告不认可合同真实性的情况下，法院面临事实查明的困境。

2.判定电子签名可靠性标准不够清晰

《证据规定》第九十三条对电子证据的审查判断规则内容繁多，包括软硬件环境可靠、软硬件正常运行、监测核查手段合格、完整保存传输提取、正常活动中产生、保存传输提取主体适当等因素综合判断，而《电子签名法》第十三条所规定的可靠电子签名条件则角度完全不同。认定标准的疑虑，势必导致在具体案件中法院认定的差异化。

3.电子签名认证、鉴定效果欠佳

一方面，司法实践中，是否存在CA认证、认证机构资质是法官认定电子签名真实性的重要依据。然而，CA认证在电子签名证明效力上应该是有限的，而且实践中也存在部分CA机构未进行充分的实名认证、出具的认证报告不完整的情况，“盲从”CA认证存在一定的误判风险。另一方面，权威的鉴定意见对技术知识相对欠缺的法官来说，在事实认定上具有重要意义。然而，目前我国并不存在专门的电子签名鉴定机构，电子合同真实性、电子签名真实性、签约流程等一系列特殊鉴定事项，与传统鉴定事项在技术方法上存在一定的差异，也给鉴定机构带来挑战。

4.电子证据向线下事实的跃迁障碍

以电子证据证明金融交易事实，需要完成线上“电子世界”事实向线下“现实世界”事实的跃迁。以线下借款为例，原告通常需提交纸质借款合同、借据等进行举证，被告则主要通过证明签名或印章虚假等来否认借款合同，签约事实容易查清。但在涉互联网金融电子合同纠纷中，受制于技术的专业性、复杂性，无论是原告举证、被告抗辩以及法院的审查，都难以从电子证据直接关联到现实世界，进而推断出当事人的真实意思表示。

（三）当前电子签名司法审查困难的主要原因

在刚刚的第二部分中，我们总结了互联网金融领域有关电子签名的当事人举证、法官审查中面临的主要的困难和问题。那么，出现这些问题的原因在哪里呢？

1.法官、诉讼参与人的“技术无知”

电子签名以电子信息技术和密码技术为基础，形成机读数字代码逻辑序列，使得在数据电文中附加或者逻辑相连的电子数据可以证明签名使用主体的身份并标明签名人同意数据电文中所包含的信息内容。关于电子签名的真实性证明及审查，必然是建立在技术维度的基础之上。虽然近年来互联网金融领域越来越多采用数字签名技术，可以利用CA机构的认证报告简化证明过程，但法官仍需要就签名人实际身份、数字证书与电子签名人的关联性、签名意愿、数据产生的环境安全性等问题进行不同程度的审查，仍无法回避此类审查的基本技术要求。然而，实践中绝大部分的法官、律师和金融消费者都不具备电子信息、网络传输、密码等专业技术知识，对纷繁复杂且不断变化的电子签名技术知之甚少。面对涉及电子签名的诸多争议，“技术无知”给电子签名真实性的举证、质证以及法官的审查和认证增添了巨大难度。

2.事实细节全量展示与证明审查成本控制的冲突

（1）传统解决方案不能满足金融电子签名审查需要

在社会高速发展的今天，案件涉及法律以外的专业性问题并不是一个新生事物，法院和法官对此也已形成了一个较为成熟的解决方案，即通过司法鉴定、专家证人等方式，由权威、中立的掌握专业技术的第三方代替法官，对技术问题进行审查并作出初步判断。然而，在现有条件下，传统解决方案在处理互联网金融领域电子签名时难以满足需求。第一，电子签名技术本身就是以密码为核心的，鉴定机构作为第三方亦难以对加密、解密进行底层审查，导致对电子签名的核心问题进行鉴定存在困难。第二，我国《电子签名法》专门规定了电子签名的CA认证，但CA机构不同于鉴定机构，其公正性、权威性并非不可置疑。第三，专家证人在涉互联网金融电子签名争议案件中极少出现，可得性存疑。即便有专家证人出庭说明，在欠缺基本技术知识的情况下，法官仍难以真正了解。

（2）电子签名作为电子证据的审查要求较高

《证据规定》为电子签名的举证和审查提供了一种路径指引，第九十三条对电子证据的审查判断规则作出了较为细致的规定，即对软硬件环境、软硬件运行、监测核查手段、数据保存传输提取、是否正常活动中产生等因素进行综合判断。这些要素基本涵盖了电子证据从产生到传输、保存、提取的全过程以及所依赖的全部软硬件环境。基于此规定，金融机构等电子签名的依赖者要证明电子合同的内容及交易对手，就需要根据合同订立的环节进行全部流程还原和展示。

（3）电子证据审查标准在电子签名领域难以满足成本控制要求

对于公平正义的追求，不能无视代价。严格按照电子证据审查要素的要求，意味着金融机构在举证证明电子合同时，需要就电子签约进行全面记录和全量展示，金融消费者如需举证证明其不受原告主张的电子合同约束，同样需要做此类高密度举证。然而，这种全景式证明方式显然与当事人诉讼成本控制、市场主体经营成本控制的要求产生了激烈冲突。也就是说，要求当事人全面举证的审查路径会带来巨大资源消耗，甚至产生“电子签名”被司法排斥的实际效果。

（4）信息提供与个保法的冲突

2021年11月1日起施行的《个人信息保护法》，各位同学可能不一定特别关注，但其实这部法律非常重要，对电子签名领域同样影响巨大。我们先看一下这个法律对处理个人信息的基本规定：第二十九条　处理敏感个人信息应当取得个人的单独同意；法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定。

在这部法律实施之前，我们在进行电子签名主体身份识别的时候尚有一个便捷的渠道，即掌握着较为成熟的在线身份识别技术的企业为金融机构提供识别和证明服务，他们有较高能力进行在线身份识别和防止身份欺诈的，之前他们可以为金融机构提供服务，诉讼的时候也可以证明相关账户的关联身份信息。但是，在《个人信息保护法》的约束下，这些企业在金融机构起诉个人的时候，通常无法就第三方作证事宜获取个人的单独同意，也就无法为第三方提供证明服务了，否则可能要承担严重的法律后果。

3.法官对电子签名真实可靠的内心确信难以实现

在司法责任制背景下，为防范“错判”风险，法官会自发地将证明标准设置于较高的水平，努力形成更加接近客观真实的“内心确信”。在被告缺席的情况下，这一倾向可能更加明显。司法裁判受到时空限制，不可能等到电子签名以及相应的取证、示证技术发展到无懈可击的程度，再作出裁判。基于社会发展的客观要求，民事案件中对案件事实的查明已逐步从客观真实发展为法律真实，高度盖然性的证明标准成为民事诉讼追求法律真实的基石。然而，在涉及电子签名的金融商事案件中，受到法官技术能力、当事人举证程度、认证鉴定机构的局限等因素影响，法官不得不依赖“盖然性”而非高度盖然性作出裁判，与内心确信标准产生了严重的背离。 

三、解决电子签名审查问题的方向和路径

（一）基于“可靠电子签名”四要素的证明审查标准

对于司法审判中的问题，我们要找到一个解决的路子，毕竟法官不能拒绝裁判。为了应对当前金融商事案件中电子签名的证明和审查困境，回归我国电子签名的基本制度框架中去寻找破解之道是一个可行的视角。我国《电子签名法》规定了可靠电子签名的四项要素：签名制作数据专有性、签名制作数据可控性、签名防篡改性和数据防篡改性。基于法律对电子签名可靠性要求的设定，无论是CA数字签名还是一般电子签名，诉讼程序中的证明与认定应参照法定“四要素”展开。

1.电子签名制作数据的专有性

电子签名制作数据是指在电子签名过程中使用的，将电子签名与电子签名人可靠地联系起来的字符、编码等数据。基于其功能要求，电子签名制作数据应当天然地具有专属性。具体把握中，一个适当的解释是电子签名制作数据用于电子签名时应唯一、确定地和签名人关联。对应该条件，诉讼中当事人需要证明数字签名满足以下要求：第一，一个民事主体可以拥有多个电子签名，但一个电子签名制作数据（无论是实体密钥还是虚拟密钥）不能属于多个不同的主体。第二，电子证书的颁发者（如CA机构）或电子签约系统的管理者应明确密钥和签名人间的对应关系，并可以就该等对应关系予以证明。相应地，法官在审查电子签名时，首先应注意系争电子签名制作数据是否具有专有性，是否能够与名义上的签名人建立唯一且确定的对应关系。

2.电子签名制作数据的唯一可控性

使用电子签名签署合同之时，签名制作数据只能由电子签名人或者受委托人控制，否则会导致签名制作数据与实际签名人之间的对应关系在实际使用中发生错误。关于《电子签名法》中的“控制”如何认定，权威观点认为，无论是电子签名人自己实施签名行为，还是委托他人代为实施签名行为，只要电子签名人拥有实质上的控制权，则其所实施的签名行为，满足本法此项规定的要求。也就是说，这里的控制是指实质上的控制，在签名动作基于电子签名人的自由意志而实施的情况下，并不排除在金融机构或电子签名服务商的信息系统中，由金融机构或服务商按照签名人的指令代为实施具体的电子签名操作，但金融机构或服务商应当承担获得签名人授权及签名指示的证明责任。

3.电子签名及数据电文的防篡改性

《电子签名法》要求可靠电子签名具有签名本身及签名数据电文具有防篡改性，即数据电文实施电子签名后，对签名结果的修改是可发现的。电子签名的一项重要功能在于对外明示签名人认可数据电文的内容，而要实现这一功能，必须要求电子签名在技术手段上能够保证经签名人签署后的电子签名及数据电文不能被他人篡改，也不能被自己直接单方修改。

我国可靠电子签名采用基于公钥基础设施（PKI）的数字签名技术，公钥密码技术原理可以确认数字证书所登记的签名人身份，而利用哈希函数等方式转换的消息摘要又可避免原始数据被篡改，能够满足电子签名及数据电文的防篡改性要求。在这种情况下，对可靠电子签名的该项证明和审查，就可以一定程度上转化为对CA机构资质及认证报告的审查。然而，对于依托对称密码、生物特征信息等技术实施的电子签名，其技术模式本身不具有高强度的电子签名及数据电文的防篡改能力，需要结合其他事实予以进一步证明和审查。

（二）“技术-法律”转化模式下电子签名证明审查方式

在现有条件下，我们需要依托“技术-法律”转化渠道，重构电子签名的证明方式和审查路径。

1.可靠流程展示——设定高度盖然性基础

金融机构在开展互联网金融业务时，一般通过自建的网上信息系统或服务商提供的系统，利用电子签名技术与金融消费者签订格式化电子合同。在这一过程中，各方并不只是通过电子签名确认合同文本，而是涉及用户注册、用户登录、消费者提出业务申请、系统对消费者进行身份、信用核验、消费者阅看合同文本、实施电子签名以及资金往来等诸多环节，这些环节流程设置的合理与否，和电子签名的专属性、唯一控制性以及签名、合同文本是否被篡改等密切相关。

对于一段时间内的特定业务类型，金融机构可通过实例展示从登陆系统到运用电子签名签约的整个业务流程和系统运行方式，并利用公证方式进行见证。此类示范性业务流程公证结果可以在同一类业务所涉电子签名争议中反复使用，在降低诉讼成本的同时，向法官证明电子签名的应用方式和电子合同签订的具体过程，为证明所涉电子签名的专属性、可控性和不可篡改性提供重要基础。当然，单凭示范性业务流程公证尚不足以证明涉案的个别电子签名的具体签约过程。为保证发生争议时能够清晰说明电子签名情况，金融机构或外部服务商应利用安全的数据记录方式，电子化保存签约操作日志，并根据需要申请第三方进行存证，用以证明个别电子签名的实施过程与示范性业务流程一致。

2.关键节点证明——排除电子签名审查中的合理怀疑

在涉电子签名的金融商事纠纷中，绝大部分是金融机构（包括其债权受让人）作为原告在诉讼中主张电子合同成立、签约对象为被告。为避免专业技术复杂导致的法官合理怀疑，对电子签名本身的技术问题应围绕下列关键节点进行举证和审查：

事前真实身份认定。对于CA机构认证的电子签名，虽然法律规定电子签名认证证书应当准确无误，并应当载明证书持有人名称，但基于我国CA机构当前的运行状况，部分CA机构在颁发数字证书时并未对登记的签名人身份进行充分核验，甚至仅凭金融机构的申请，即向金融机构直接颁发消费者电子证书，用于制作“可靠电子签名”。当事人和法官也不能直接免于证明或审查电子签名与具体签名人的对应关系，具体可以从电子认证机构的身份审查措施、颁发数字证书过程、系统安全措施等方面进行证明和审查。对于一般电子签名，同样需要证明和审查制作数据与签名人的唯一对应关系，如密码或个人识别码只为签名人所知晓，人脸识别中用于比对的特征信息的采集存储准确、比对方式可靠等。

事中签约意愿认定。在应用电子签名的过程中，使得签名有效的关键因素在于意图而非形式，意愿表达成为电子签名的最低标准，而签名人的意愿表达最终体现于签名人对电子签名制作数据的控制权。随着电子合同应用场景的日益增加，越来越多的电子签名制作数据缺乏U盾等“硬载体”，而是被存储于金融机构或服务商的信息系统中，由签名人发出签名指令后系统直接调用。在这种情况下，金融机构须通过业务流程、操作日志等证据证明，制作数据虽不在签名人的直接控制之下，但系争签名是签名人通过点击同意、输入验证码、密码等方式发出签约指令完成，以及在缺乏签名人签约意愿的情况下，他人无法完成签名。

事后签名及合同文本未经篡改。如前所述，利用CA机构出具的数字证书实施电子签名的，电子签名本身已记录电子合同的哈希值或摘要值，可通过验证相关数据来判断合同从签名时到提交认证时止是否被篡改。同时，基于现有PKI数字签名技术特点，改动CA机构电子签名却仍能通过签名认证在技术上极难实现。因此，经CA机构认证的电子签名及合同文本，在事后未经篡改具有较高的可靠性。然而，对于CA签名以外的电子签名则有明显不同。无论是个人密码、生物特征验证还是电子化手写签名，在技术上都不具有可靠的防止签名及合同被篡改的功能。为了解决这一问题，实践中越来越多的当事人试图通过第三方电子存证来补足一般电子签名的这一缺陷。

3.优化专业支持——技术细节争议的第三方辅助审查

一旦当事人就电子签名某一具体技术细节发生争议，离开外部专业力量的支持，法官仍无法做出公正判断。为此，有必要在上述举措的基础上，为法官的技术审查提供进一步支持。

借鉴技术调查官制度解决电子签名的鉴证难题。2019年，最高人民法院颁布了《关于技术调查官参与知识产权案件诉讼活动的若干规定》，明确人民法院可以配备技术调查官，在专业性较强的知识产权案件中参与审判活动。法院在审理涉及电子签名的金融商事案件时，面临着与此类知识产权案件类似的困难，同样需要专业技术人员作为审判辅助人员支持法官审判。为此，建议将技术调查官制度的适用范围扩展到涉及电子签名的金融商事案件中，由法院作一定的背景审查之后，聘请专业人员担任技术调查官，参与调查取证、勘验、保全，提出技术调查意见，为法官准确认定事实提供强有力的技术支持。

提升电子签名相关专业鉴定机构的数量、能力。与电子签名相关的司法鉴定需求既包括电子签名本身的真实性，也包括签订电子合同过程中涉及的身份识别、用户操作日志、合同文本是否伪造等。从当前电子数据司法鉴定的实践来看，主要涉及“电子数据提取与分析”“电子数据相似性鉴定”“声像资料处理与分析”等门类，鉴定方法则包括电子证据生成过程分析、处理传输异常信息分析、伪造痕迹搜索等，从而对电子数据的真实性和一致性作出判断。但是，由于电子签名技术的专业性和复杂性，实践中司法鉴定机构对电子签名专业技术问题提供的支持较为有限，现有的鉴定服务尚不能满足日益增长的案件审判需求，需要尽快提升我国专业鉴定机构的数量和鉴定能力。

（三）通过诉讼程序的应用弥补技术查明漏洞

对电子签名的举证、审查不能“就事论事”，而是要“耳听八方”，关注电子世界以外的案件情况，对电子签名有关专业技术问题的“无知”同样要求我们拓展视野，以寻求事实查明的备用渠道。

1.当事人自认或放弃抗辩

在诉讼过程中，一方当事人陈述的于己不利的事实，或者对于己不利的事实明确表示承认的，另一方当事人无需举证证明。在金融电子合同中，并非所有的当事人都会对案涉电子签名提出质疑。事实上，金融消费者起诉或到庭应诉的案件中，大部分对签订电子合同以及合同文本的真实性并无异议，在这种情况下，法院仅需排除虚假诉讼的嫌疑，即可认定相关事实，无需经过复杂的电子签名举证和审查过程。

2.证据提出命令

最高人民法院《关于适用〈中华人民共和国民事诉讼法〉的解释》规定，书证在对方当事人控制之下的，可以申请法院责令对方提交，拒不提交的，应视为相关主张成立。在涉电子签名的金融商事案件中，金融机构明显具有信息优势，通常掌握了签名人对合同实施电子签名的整个过程，并保有相关数据资料。为此，在消费者提出相关抗辩并证明金融机构掌握相关证据的情况下，即可申请证据提出命令，在金融机构拒不提交的情况下，由其承担事实认定上的不利后果。

3.辅助证据推定

在案件审判中，法官需要对案件的全部证据，从各证据与案件事实的关联程度、各证据之间的联系等方面进行综合审查判断。也就是说，对局部的事实难以查清的情况下，法官有权根据案件的全部证据，综合判断案件事实，并对难以查清的事实予以推定。在涉电子签名的金融商事纠纷中，并非只有签约这一个环节，还包括事先的沟通协商、事后的合同履行以及具体资金融通。如在某一线上金融借款纠纷中，借款人否定电子签名的真实性，但放款、还款的流向、金额、时间均与银行提供的合同文本一致，结合案件其他事实，法官认定了电子签名及相应合同的真实性。 

互联网将成为未来金融业发展的主要“战场”，越来越多的金融交易将完全从线下转移到线上，并依靠电子签名在线完成合同签订。面对法官的“技术无知”以及现有电子签名认证、电子数据鉴定等诸多不足，我们不能停滞不前，而是要立足当下，抓住《电子签名法》可靠要素这一核心，通过可靠流程展示、关键节点证明、优化专业支持和诉讼程序应用，构建诉讼中更加科学的电子签名证明、审查方式，为互联网金融商事交易提供更好的规则保障。

与谈人：徐文海副教授

谢谢余庭，通过报告内容我们可以学习到很多东西。短时间内丰富的报告内容并不容易被完全消化，我就简单地谈一谈我个人的理解。

首先，从余庭的表述上看，电子签名至少有两种类型，一种是个别单次的电子签名，每一次使用的电子签名都具有独特性，另一种则是使用系统本身已经保存的电子签名。这就会对应出两种不同的状态：第一种状态是在讨论电子签名的真实性问题，即其是否被篡改、有无错误的问题；第二种则是在讨论电子签名的使用者是否是其本人的问题，例如被他人得知电子签名平台的账号密码，从而电子签名可能被他人使用的问题。这其实是两个问题，也分别对应了两套不同的证明标准逻辑——如何证明电子签名未被篡改，以及如何证明使用电子签名的主体是本人。

回过头看，当一个证据来到法院时，首先应该将其推定为真还是推定为假，打印件是原件还是复制件？我的观点是，首先，任何证据来到法院，都应该推定其为真，而不能推定为假。其次，电子数据的打印件其实就是原件而非复制件，因为只涉及到载体不同。这就意味着上述问题与证明标准而非证明责任更为相关，更多应该交给被告来抗辩，而不应给原告方过度苛加自我证真的义务。当然也是要有要求的。证明标准和强度的要求所设计的要点可能就有很多了，比如原告方使用电子签名方法的安全性层级如何？对于没有能力构建一整套优质体系的小企业而言，使用被官方认可的CA证书的电子签名真实性更高，更容易被推定为真，在相对方反驳时法官更不容易动摇。

另一个值得思考的问题是，此类纠纷发生的概率究竟有多大？除了因身份证丢失导致伪造信用卡欠款的情况，电子签名的真实性在金融纠纷案件中到底有多大的比例会被法院否定掉？之所以提出这个问题，其实就是回到我前面说的，我们首先肯定推定这个电子签名为真，其次这种情况因相对方抗辩而被推翻掉的概率不高。一般情况下，金融机构不太至于连CA证书都不买，当然也可能有少数金融机构是这样的。

此外，与余庭的一个观点不同，我认为应该审慎使用鉴定。之所以要审慎使用鉴定不是说鉴定必然不中立或者不正确，而是想说即便没有这么多技术，我们也有很多种方法来实现对电子签名真实性的证明。如余庭所说，有很多的辅助手段。比如，不同的借款金额可能对证明标准的要求也是不一致的。如果是3000元左右，法官对于高度盖然性的要求可能只要85分就可以了；如果是50万或者100万，法官对于高度盖然性的要求就可能达到95分。这都是动态的，它可能没有办法完全定量化。是否有CA证书等也会影响到是否更容易被推定为真；如果举证方什么都没有，对于相对方的抗辩，法官就可能给予其证据法上更高证明力的认定。所以，对于证明法律关系是否真实存在，其他证据的辅助和补强是我觉得更重要的内容，如催收记录、周期性还款、当事人信用等。相比于鉴定，辅助证据的作用更加重要。鉴定应当慎用，以鉴代审的现象已经比较普遍了，尽管司法责任终身制下法官希望有鉴定机构的背书来分担裁判风险，但这其实也是一种自我卸责。我特别同意余庭讲的“法律的归法律，技术的归技术”，法律的事情不能都推给技术来做。

最后，这里面还有一个问题，我觉得特别有意思。在以U盾为代表的硬证书更有利于金融机构举证的情况下，为什么要使用软证书？进入软证书时代后，对举证方的证明标准要求可能更高了，那为什么要接受软证书？如果是出于便捷性考虑，那就会有很吊诡的悖论，即从硬证书到软证书的发展反而使金融机构在证据法上面临更苛刻的要求。这对金融机构公平吗？我们倒不是说应该为金融机构妥协，但是相应地也可能要调整一些裁判思路和证据认定的思路，不能为了交易便捷性给金融机构施加非常严苛的证据要求，可能也需要降低一些证明的要求，或者把压力更多给到法院，由法院系统寻找更多的辅助证据来帮助。否则，可能导致劣币驱逐良币的现象，倒逼金融机构回到U盾时代，金融消费者必须定期更新U盾。这样其实反而使对金融消费者更有利的创新成果因为过多的压力而无法延续下去。

这是我大概的一些学习体会，比较零散。谢谢余庭，谢谢段老师。

与谈人：李乾律师

因为时间问题，我就不在理论上做过多展开。首先，证据法到底是一部法律还是一个事实查明问题？我认为证据法可能更像是一个事实查明，或者说是科学论证的过程。我是2004年开始办案的，那时候案子很土，金融产品和借贷就是一张条子，但是法官很安全，越原始越安全，结果现在越先进来反而越不安全。因为越先进我们越要追求效率，而效率是我们国家的政策的价值取向，而国家的政策价值取向能够使国家在短时间内实现财富快速增长，这种发展可能会牺牲一些东西，比如有某些老百姓需要为制度中的某些小bug去买单。

其二，我们国家的法官其实压力挺大的，在移动支付等领域国家这些年的发展对西方国家来说就是弯道超车。今天司法审判中比较没有把握，也是因为以往有英美经验可以移植借鉴，但是在金融交易电子证据方面可供借鉴的比较少。所以，是否要回到证据或者感知本身，比如大量接触辅助证据？其实很简单，以花呗消费为例，比如说某天我不承认自己在金茂大厦吃饭的消费记录，怎么处理？很简单，运用辅助证据，比如我在世纪大道工作，今天中午吃了饭，法官就可以推定是我吃饭了。如果今天真的不是我吃饭，我也无法提供反证，那么就由我来为制度的bug买一次单。刚刚余庭说全院有1/4是金融案件，但是很多都涉及身份证，说明是百姓和金融机构间的案件特别多，日常交易特别多。这时候到底是保护普罗大众，还是为了促进交易？法官很痛苦。

在司法实践中，有的资深法官对于第三方认证机构因其私有和营利的运营模式而有失中立的情况，也仍然是有一些担忧的。对于企业家来说，银行可能为了促进交易和大量融资，宁愿冒着可能有极个别风险来使用第三方CA认证技术。即使可能因为个别法官不认可，需要赔付100万，但只要可能赚一个亿银行也就冲了。但是很多大型机构都不是这样的，对于涉及到几十个亿的大单子，仍然倾向于选择手写盖章的原始方式，而不是借助第三方平台的CA证书完成交易。为什么余庭说法院对于电子签名的审理比较困难？这也是因为我们很难看到电子签名背后是什么，而在接触一份纸质合同的时候，法官更有实感。