法大大李琳：“最強合規”背后的安全底座

4月26日，國內領(lǐng)先的電子合同和電子簽云服務(wù)平臺法大大舉辦了以“數智‘簽’引 萬(wàn)物生長(cháng)”為主題的春季產(chǎn)品發(fā)布會(huì )，并推出全新一代數智化簽約管理平臺。該平臺型產(chǎn)品經(jīng)過(guò)2年半的調研分析及打磨驗證，聚焦新的市場(chǎng)環(huán)境下企業(yè)、組織、個(gè)人在簽約場(chǎng)景及管理需求上的變化，圍繞合同簽署的前、中、后全流程，融合AI、NLP、OCR等技術(shù)手段，實(shí)現了合同簽署、合同管理從“數字化”到“數智化”的突破性升級，是中國電子簽行業(yè)里程碑式的飛躍。

本文為法大大技術(shù)中心總經(jīng)理李琳在分享會(huì )上的發(fā)言精華，更多精彩內容，歡迎關(guān)注法大大。

大家好，我是李琳，接下來(lái)由我為大家分享：法大大是如何打造安全、合規、無(wú)憂(yōu)的新一代數智化簽約管理平臺的。

同時(shí)也提出了“沒(méi)有網(wǎng)絡(luò )安全就沒(méi)有國家安全”的重要理念。從2017年到2021年，國家陸續出臺了《網(wǎng)絡(luò )安全法》、《數據安全法》和《個(gè)人信息保護法》。到了2019年的時(shí)候，國家又對《電子簽名法》進(jìn)行了修訂。

依照這四部法律，國家也制定了相應的管理辦法和安全標準。由此可見(jiàn)，目前的監管形勢是越來(lái)越嚴了。法大大一直嚴格以上述法律法規、國家標準作為安全合規建設的指引，致力于為大家打造一個(gè)安全、合規、無(wú)憂(yōu)的電子簽約平臺，下面我將為大家介紹我們本次新發(fā)布的數智化簽約管理平臺在安全合規體系的三重安全保障機制上，都做了哪些升級：

第一重安全保障機制：業(yè)務(wù)合規升級

首先介紹法大大對《網(wǎng)絡(luò )安全法》的合規落地情況。依據網(wǎng)絡(luò )安全法以及網(wǎng)絡(luò )安全等級保護基本要求（即等保2.0國家標準），公司成立了以CEO為首的信息安全管理委員會(huì )，組建了專(zhuān)業(yè)的信息安全團隊，致力于建立完善的防御感知體系與軟件開(kāi)發(fā)全生命周期的安全審查流程。同時(shí)我們還依據等保2.0的技術(shù)要求，構建了完整的安全技術(shù)框架。

法大大的安全技術(shù)框架覆蓋了物理、網(wǎng)絡(luò )、主機、應用、數據、業(yè)務(wù)等多個(gè)層面，形成了一套成熟的風(fēng)險識別、防御、檢測、響應、恢復體系，實(shí)現了“事前、事中、事后”的簽約場(chǎng)景全流程覆蓋。

接下來(lái)介紹法大大是如何合規落地《個(gè)人信息保護法》的。

早在2017年，我們組建了包含安全、法務(wù)、合規等各領(lǐng)域專(zhuān)家的隱私保護團隊，并依據PbD模型（privacy by design），將保護個(gè)人數據與隱私的理念以技術(shù)手段運用到產(chǎn)品和服務(wù)的各個(gè)環(huán)節。

我們在產(chǎn)品設計之初就把隱私保護納入需求，使隱私保護的設計貫穿個(gè)人信息的采集、傳輸、存儲、使用、展示、注銷(xiāo)、刪除的全生命周期，而不是在產(chǎn)品成型后再尋求事后的補償措施和手段。

我們始終堅持以用戶(hù)為主體來(lái)進(jìn)行權利保障設計，確保法大大用戶(hù)享有個(gè)人信息的訪(fǎng)問(wèn)權、查閱復制權、選擇權、更正權和刪除權。

第二重安全保障機制：數據授權合規升級

根據《數據安全法》的要求，法大大建設了以數據為核心的動(dòng)態(tài)數據安全管理體系，重點(diǎn)識別和控制 數據采集、傳輸、存儲、處理、共享、銷(xiāo)毀等環(huán)節中的安全風(fēng)險。針對識別到的風(fēng)險以及對應的合規要求，我們從組織建設、管理能力、技術(shù)能力三個(gè)方面出發(fā)，采用多種管理方法與技術(shù)手段相結合來(lái)確保數據全生命周期中的有效安全治理。

第三重安全保障機制：CA證書(shū)合規升級

現在重點(diǎn)介紹法大大針對《電子簽名法》的合規遵循。早在2005年，國家就已頒布了《電子簽名法》；2009年，工信部出臺了《電子認證服務(wù)管理辦法》；2022年8月，為進(jìn)一步規范電子認證服務(wù)行為,工信部發(fā)布了《關(guān)于開(kāi)展電子認證服務(wù)合規性專(zhuān)項整治工作的通知》，主要提到了以下問(wèn)題：

1）身份查驗流程不規范；

2）申請主體、接受主體和證書(shū)載明主體不一致；

3）受理證書(shū)申請前，向申請人告知有關(guān)事項不充分；

4）受理證書(shū)申請后，未與申請人簽訂合同明確雙方權利義務(wù)；

5）未妥善保存與認證相關(guān)的信息等。

這些不合規的問(wèn)題可能會(huì )導致申請的數字證書(shū)無(wú)效，繼而導致其制作的電子簽名無(wú)效，并引發(fā)糾紛或涉訴案件。

這里想給大家看一個(gè)真實(shí)的涉訴案例：有用戶(hù)起訴某CA機構與某電子簽名服務(wù)商冒用他的身份信息制作了他不知情的電子簽名證書(shū)，并以此簽署虛假借款合同，直接導致他遭受到了經(jīng)濟損失。從這個(gè)案例中我們可以看到，不合規帶來(lái)的風(fēng)險絕不可小視。

針對以上問(wèn)題，法大大的產(chǎn)品高度對標法律法規的要求，完成了全面的合規升級：

第一點(diǎn)，用戶(hù)需要與CA機構簽訂一對一的證書(shū)服務(wù)協(xié)議。無(wú)論是個(gè)人用戶(hù)還是企業(yè)用戶(hù)，申請數字證書(shū)前，都必須同意相應CA機構的《證書(shū)服務(wù)協(xié)議》，閱讀并點(diǎn)擊同意即視為接受該協(xié)議的約束，以此確保在證書(shū)申請流程中，CA機構向用戶(hù)充分告知了有關(guān)事項，并明確了雙方的權利義務(wù)。法大大也會(huì )留存用戶(hù)關(guān)于協(xié)議的確認記錄。

第二點(diǎn)，在用戶(hù)身份鑒別方面。法大大作為CA機構的授權RA機構，提供多種身份認證方式供用戶(hù)選擇，包括人臉核身、手機號認證、銀行卡認證以及人工審核，無(wú)論是哪種方式，用戶(hù)提供的信息均通過(guò)權威數據源進(jìn)行比對校驗，確保身份信息真實(shí)有效且是用戶(hù)本人的真實(shí)意愿表達，避免了身份偽造、冒用、盜用等風(fēng)險。

第三點(diǎn)，關(guān)于證書(shū)更新環(huán)節。當證書(shū)過(guò)期時(shí)，我們會(huì )提醒用戶(hù)重新申請新的數字證書(shū)，這個(gè)過(guò)程需要用戶(hù)再次同意《證書(shū)服務(wù)協(xié)議》，同時(shí)我們也會(huì )留存用戶(hù)同意協(xié)議的記錄。

第四點(diǎn)，關(guān)于證書(shū)申請結果的通知。證書(shū)申請受理后，法大大會(huì )通過(guò)站內信等方式，明確告知用戶(hù)申請結果及證書(shū)簽發(fā)CA機構的名稱(chēng)、序列號、有效期等信息。

第五點(diǎn)，用戶(hù)證書(shū)申請流程中的相關(guān)數據會(huì )在法大大證據中心存證，保存期限至少為證書(shū)失效后五年。

法大大可以為用戶(hù)提供技術(shù)報告 或 公證保全報告，整個(gè)證據留存過(guò)程受CA機構監管，確保其完整性和嚴肅性。

最后給大家展示一下我們的安全資質(zhì)大滿(mǎn)貫。

經(jīng)過(guò)多年的安全合規體系建設，法大大已經(jīng)取得了多項權威的安全資質(zhì)及認證，包括由BSI英標協(xié)會(huì )頒發(fā)的四個(gè)ISO國際管理體系認證，覆蓋信息安全、隱私保護、業(yè)務(wù)連續性等領(lǐng)域。同時(shí)法大大簽約平臺也通過(guò)了網(wǎng)絡(luò )安全等級保護三級測評，并獲得了公安部頒發(fā)的安全專(zhuān)用產(chǎn)品銷(xiāo)售許可證、國家密碼管理局頒發(fā)的商用密碼產(chǎn)品認證證書(shū)，以及工信部頒發(fā)的企業(yè)級SaaS服務(wù)“可信云”認證。

未來(lái)，我們會(huì )持續以高標準、嚴要求來(lái)加固法大大的安全合規體系，不斷夯實(shí)安全壁壘, 為用戶(hù)的每一次簽約保駕護航，謝謝大家。

標簽：