企业使用电子公章更安全吗?可以杜绝萝卜章吗?
2020-10-28 · 国内领先的第三方电子合同平台
法大大电子合同
使用可靠的第三方电子签约平台制作的有效的电子公章,确实可以避免遗失以及萝卜章等安全隐患。
电子公章以数字签名的方式通过第三方权威认证有效地进行网上身份认证,帮助各个主体识别对方身份和表明自身的身份,避免别人滥用、伪造。
电子公章是电子签名的一种表现形式
以传统的“萝卜章”(伪造的实体印章)为例,一个企业的实体印章包括法定名称章、财务专用章、合同专用章、内设机构章、分公司章等,但不论什么实体印章,其制作都需要经过公安机关审批,并由有资质的刻章机构刻制。而刻制“萝卜章”,显然没有经过上述审批,属于伪造的实体印章。
事实上,虽然网络上有不少鉴别“萝卜章”的方法,但对于企业而言,鉴别“萝卜章”无论从技术还是精力上,都是个巨大的工作。这都源于实体章容易被伪造,容易被滥用,也容易被乱用。
而有法律效力的电子公章是无法被伪造成的,根据电子签名法的规定:
第十三条 电子签名同时符合下列条件的,视为可靠的电子签名:
(一)电子签名制作数据用于电子签名时,属于电子签名人专有;
(二)签署时电子签名制作数据仅由电子签名人控制;
(三)签署后对电子签名的任何改动能够被发现;
(四)签署后对数据电文内容和形式的任何改动能够被发现。
当事人也可以选择使用符合其约定的可靠条件的电子签名。
第十四条 可靠的电子签名与手写签名或者盖章具有同等的法律效力。
但要满足法律规定的电子签名,就需要人电子签名技术,个人和普通企业很难实现,而有资质的第三方电子签名平台,一般拥有以下技术:
1. 权威认证系统:采用国家机构认证技术,确保电子签名主体真实身份;
2. 防篡改技术:采用国际通用哈希值技术固化原始电子文件数据,轻松识别文件是否被篡改;
3. 第三方取时技术:精确记录时间。
有效的电子公章,不仅防伪造,还能防止遗失,只有授权才能使用,也极大避免了被滥用和乱用的风险。
上海复园
2024-02-02 广告
解决方案:
在第三方电子合同平台进行的电子签名,通过技术手段确认签署方身份的真实性。用户在平台注册,实名认证通过后即可在平台上签订电子合同。实名认证后会颁发CA数字证书(CA数字证书是一种权威性的电子文档,它提供了一种在网络上验证身份的方式。它是由国家授权的指定权威认证机构发行的,人们可以在互联网交往中用它来识别对方的身份。)以保障合同签署双方的真实身份。当产生合同纠纷时,用户可以在公证处查证合同的真实性,从技术上确保电子合同签订涉及到的任何一方都不可能篡改合同。
电子公章会放大公章管理与使用的风险,但是如若对电子公章风险采取相应的风控措施,那么电子公章绝对比传统的实体公章更安全,杜绝萝卜章风险。
根据,国家标准GB/T 38540—2020《信息安全技术 安全电子签章密码技术规范》对电子印章进行的定义,电子印章,是一种由电子印章制章者数字签名的安全数据,包括电子印章所有者信息和图形化内容的数据,用于安全签署电子文件。
其中,电子印章所有者信息通常是以数字证书展示,数字证书是CA机构应当事人申请,在严格按照电子认证业务规则对申请人身份与某字符串的关联性认证后,为当事人颁发的证书,类似于身份证,包含颁发者、使用者、有效期、字符串等信息,可以证明当事人身份;图形化内容,指的是印章图样,能够直观辨认用章人,符合用印人以及其他当事人的用印习惯。
本质上来说,电子印章是电子数据,依赖于代码,具有易复制、易篡改、易删除等特点,在企业不知情状况下,电子印章被无痕使用,即被盗用的风险急剧上升,而这将使企业被动陷入纠纷漩涡,甚至需要承担印章被盗用引发的法律后果,为企业带来损失!
查阅裁判文书网的“电子印章”相关裁判案例,可以发现:真章未必有效,假章未必无效
最高人民法院于2019年出台《全国法院民商事审判工作会议纪要》,给出了印章风险控制的关键所在,纪要强调不能将重点放在公章的真伪上去,要纠正过分依赖鉴定来解决相关问题的裁判思路:盖章行为表明代表人或者代理人从事的是职务行为,因此,要根据签约人于盖章之时有无代表权或者代理权,并根据代表或者代理的相关规则来确定合同的效力,也就是“看人不看章”!
在“看人不看章”的这一风控思路下,较传统的实体印章,电子印章似乎具备天然的风控优势。
固然实体印章依赖用印审批登记制度,但如若当事人如果故意违反规定,虽然可以事后追责,但违规用印的结果已经为企业带来损失,风控成为了损失发生后的补偿手段;但在理想的电子印章系统中,可以事先为企业员工设置权限,授权成为了电子印章使用的前置条件,只有经授权的人才可以调用电子印章,无论是用印管理员还是用印申请人,都无法跨越权限,从而保证电子印章的调用是符合企业规定的,这种电子印章系统设计下,当事人无法恶意违规,风控是种事前的保护,避免损失发生的结果。
但是,并非所有的电子印章系统都能够严格从风控角度进行设计,很多时候,电子印章被企业看作是一种功能,而忽略了风控的重要性。因此,对电子印章的安全性进行判断,需要进一步思考:权限设置有没有可能被系统的admin账号无痕修改?是否有人可以假冒用印管理人身份欺骗系统调用印章?系统本身是否可以绕过权限,在没有审批人审批的情况下调用印章?
带着对这些问题的思考,我们可以对市面上常见电子印章系统的法律效力进行分析:
目前市面上的电子印章系统主要分为两大类,Ukey电子印章以及服务器电子印章:
Ukey是一个封装企业印章图样与数字证书的密码设备,与实体印章没有本质区别,在物理保管的基础上,加入PIN码的安全手段,保证了印章使用的高度安全,但物理属性导致的使用不便捷,使其应用场景受到很大限制,最为关键的是,它同实体印章相同,Ukey控制人可以恶意违反规则,Ukey电子印章的风控依旧是的事后救济手段;
而服务器电子印章,则通过将电子印章存储于服务器上极大满足用户调用公章的高效率追求,但这种中心化的电子印章调用方式反而加大了印章盗用风险,这主要体现在以下两个方面:
第一,服务器的电子印章管理员,并非唯一具备调用电子印章权限的主体
系统配置的电子印章管理员仅仅是形式上的印章控制人,他们依赖于“用印权限”的软件配置,作为管理员对企业的印章进行管理,而软件开发商、技术人员、admin系统管理员才是电子印章的实际控权人,他们可以通过后台设置绕开用印管理员,或是在后台修改用印管理员的权限配置,私自盗用电子印章,在任何电子合同上完成电子签章,给企业带来不可估量的损失。
第二,电子印章、数字证书存储于云端,易被盗用
服务器电子印章,最主要的特点在于中心化的部署,电子印章图样、数字证书,甚至是用印过程产生的签章数据都存储于中心服务器,这样存在数字证书与印章图样被复制,系统本身具备绕过权限,在未获取印章管理员签章权限的前提下,冒名使用电子印章的可能性,也无法规避签章内容外泄的风险。
究根结底,中心化的电子印章系统,存在固有缺陷。
从这个角度,理想的电子印章系统,应当进行去中心化设计,排除系统的作假能力,提供安全手段保证除了印章管理员以外,包括系统在内的任何人无法调用印章,保证企业用印必须要获得用印管理员的授权,系统识别并拒绝任何违反程序规则的用印申请,才能确保企业对电子印章的唯一控制权。
企业在挑选服务商时,可以试着考虑以下几个问题“企业如何设置电子印章管理员?”、“开发商、服务商有配置权限吗?”、“系统如何确保身份和授权真实?谁来审核真实性?”、“电子印章图样与数字证书等数据存储在何处?”、“签章数据有可能外泄吗?”、“能否对多平台的电子印章实现集中统一管理?”
在弄清楚这些问题后,相信可以选出符合企业风控要求的电子印章系统,保证电子印章调用权限牢牢把握在企业手中,规避数字化过程中电子印章盗用风险。
2023-12-31 · 百度认证:上海亘岩网络科技有限公司官方账号,科技领域创作者
契约锁电子签章
每年因为印章管理问题衍生出来的事件五花八门,但是仔细观察你会发现基本情况不外乎这几种:
私盖印章
私刻萝卜章
印章丢了
印章被抢
印章控制人权力过大、滥用印章
各类印章的管理员是同一个人
没有按照印章制度用章、制章、销毁印章
…
这些常见印章问题为什么总是防不住?根本原因还是“印章制度没落实、管理员权限缺乏监督、操作缺乏审批把控、人为干预因素多、过程没有记录”。
契约锁印章管控平台可以为您提供管章、用章一体化服务,帮您全生命周期管理印章,智能监控印章状态、构建流程化印章操作体系、自动生成印章操作记录、确保印章管理和使用权限分离,落实用章管理制度,帮您防范99%的印章问题。
1、印章管理员权力过大、缺乏监督,乱用印章
过去,大部分公司采用专人管理印章,有时印章管理员可能还同时担任总经理、财务负责人等要职,一个人管理几十甚至上百枚印章。但是由于线下很难进行监督,印章管理员权力过大,可能会出现私盖印章的风险。
现在,契约锁数字化印章管控平台执行严格的权限管控体系,实现印章管理权、使用权、系统运维权三权分立,同时设有独立的审计角色,可以随时监督管理员权限,确保拥有各类权限的人员各司其职,印章管理员无法使用印章,防止因权力集中、权力大缺乏监督而产生的用印风险。
2、印章管理和使用不规范,私盖、盗用印章
过去,很多公司印章管理和使用没有一套标准的执行规范,导致内部印章管理和使用混乱,时常可能出现高级管理人员私自盖章、伪造业务材料;员工利用职务之便盗用印章等风险。
但是在不少实际法院判例中,考虑到公司内部缺乏印章管理制度,常常无法证明私盖、盗用印章等行为,公司只能承担损失。
现在,契约锁可以帮您打造一套印章管理和使用流程体系,结合灵活的授权体系,实现用印根据印章制度要求经相关人员审批执行,自动生成用印记录,确保全程合规、可追溯,确保无授权不可使用印章,规范公司用印环节,杜绝私盖、盗用印章等行为。
3、私自伪造印章制作虚假业务文件
实体印章造假成本低,萝卜章以假乱真很难肉眼识别,可能会出现业务员凭借萝卜章伪造业务单据、销售人员私刻公司公章与客户签假合同或者利用假印章伪造标书、虚假投标等情况。
现在,通过电子印章应用将每枚印章与用户真实身份绑定,确保印章唯一不可篡改,在线即可查真假,从源头杜绝萝卜章。此外,结合流程化的用印审批环境,确保各岗位、各业务用印必经审批、留痕迹,防止伪造盖章文件。
4、印章领用不规范、外带缺乏监督
过去印章只要找“管理员”协商就能用,甚至可能因为没锁好被拿去乱用,有时还可能出现印章保管员碍于情面,违规出借印章的情况。一旦印章离开监管视线就会处于失控状态,盖了什么文件、由谁保管很难追踪,违规使用风险大。
现在,无论是电子章还是实体章都要经过流程审批才能统一调用,实体印章被锁在智能印控仪里通过授权码解锁才能使用,全程监控;打开手机就能了解印章动态,谁用了、盖了什么材料、盖了几次一查便知。借用、外带、监督一体化。
5、印章信息上报不及时,隐瞒印章状态
实体印章交由人工管理,印章状态全靠管理员报告,信息不仅存在时差还可能出现瞒报风险。有时印章丢了但是管理员并没有及时上报主管领导,而是私自刻了一枚新章,不仅日后盖章效力没保障,丢了的旧章也有可能因为没有及时登报作废被人滥用。
现在,所有印章全部放在一套系统中通过手机就能监督管理,管理层不仅可以随时了解印章状态,新制、停用、变更、销毁印章等任何操作都能自动生成记录、实时短信通知管理层,确保印章数据透明,防范风险。
6、废弃章销毁不合规,没及时收回被乱用
废弃章如果处理不及时很可能被乱用,比如利用废弃章在业务凭证上盖章,打着公司的旗号对外出售产品、签订合同,损害公司声誉和消费者利益。
现在,印章作废必须经过流程审批授权,防止私自作废印章;同时自动标记印章状态,确保印章被作废就无法使用,防止乱用废弃章的风险。
7、公章、合同章保管不当被抢、丢了
印章是公司权力的象征,章没了就办不了事。近年在众多公司的权力争夺战中,频繁出现抢印章事件,把印章锁在保险柜、带在身边已经无法保障印章安全了。
契约锁可以帮您把印章装进手机里,确保没有授权不能接触印章,实时监控印章状态确保印章在视线范围内。
构建统一的印章流程体系,根据印章管理制度落实制章、用章、停用、销毁流程,确保所有印章操作合规、留痕、动态可查,规范组织内部印章管理和使用环境,安全合规用印。
