法大大李琳：“最强合规”背后的安全底座

　　4月26日，国内领先的电子合同和电子签云服务平台法大大举办了以“数智‘签’引 万物生长”为主题的春季产品发布会，并推出全新一代数智化签约管理平台。该平台型产品经过2年半的调研分析及打磨验证，聚焦新的市场环境下企业、组织、个人在签约场景及管理需求上的变化，围绕合同签署的前、中、后全流程，融合AI、NLP、OCR等技术手段，实现了合同签署、合同管理从“数字化”到“数智化”的突破性升级，是中国电子签行业里程碑式的飞跃。

　　本文为法大大技术中心总经理李琳在分享会上的发言精华，更多精彩内容，欢迎关注法大大。

　　大家好，我是李琳，接下来由我为大家分享：法大大是如何打造安全、合规、无忧的新一代数智化签约管理平台的。

　　我们先来看一下大的背景：早在2014年，总书记就提出了要努力把我国建设成为网络强国的目标愿景。同时也提出了“没有网络安全就没有国家安全”的重要理念。从2017年到2021年，国家陆续出台了《网络安全法》、《数据安全法》和《个人信息保护法》。到了2019年的时候，国家又对《电子签名法》进行了修订。

　　依照这四部法律，国家也制定了相应的管理办法和安全标准。由此可见，目前的监管形势是越来越严了。法大大一直严格以上述法律法规、国家标准作为安全合规建设的指引，致力于为大家打造一个安全、合规、无忧的电子签约平台，下面我将为大家介绍我们本次新发布的数智化签约管理平台在安全合规体系的三重安全保障机制上，都做了哪些升级：

　　第一重安全保障机制：业务合规升级

　　首先介绍法大大对《网络安全法》的合规落地情况。 依据网络安全法以及网络安全等级保护基本要求(即等保2.0国家标准)，公司成立了以CEO为首的信息安全管理委员会，组建了专业的信息安全团队，致力于建立完善的防御感知体系与软件开发全生命周期的安全审查流程。同时我们还依据等保2.0的技术要求，构建了完整的安全技术框架。

　　法大大的安全技术框架覆盖了物理、网络、主机、应用、数据、业务等多个层面，形成了一套成熟的风险识别、防御、检测、响应、恢复体系，实现了“事前、事中、事后”的签约场景全流程覆盖。

　　接下来介绍法大大是如何合规落地《个人信息保护法》的。

　　早在2017年，我们组建了包含安全、法务、合规等各领域专家的隐私保护团队，并依据PbD模型(privacy by design)，将保护个人数据与隐私的理念以技术手段运用到产品和服务的各个环节。

　　我们在产品设计之初就把隐私保护纳入需求，使隐私保护的设计贯穿个人信息的采集、传输、存储、使用、展示、注销、删除的全生命周期，而不是在产品成型后再寻求事后的补偿措施和手段。

　　我们始终坚持以用户为主体来进行权利保障设计，确保法大大用户享有个人信息的访问权、查阅复制权、选择权、更正权和删除权。

　　第二重安全保障机制：数据授权合规升级

　　根据《数据安全法》的要求，法大大建设了以数据为核心的动态数据安全管理体系，重点识别和控制 数据采集、传输、存储、处理、共享、销毁等环节中的安全风险。针对识别到的风险以及对应的合规要求，我们从组织建设、管理能力、技术能力三个方面出发，采用多种管理方法与技术手段相结合来确保数据全生命周期中的有效安全治理。

　　第三重安全保障机制：CA证书合规升级

　　现在重点介绍法大大针对《电子签名法》的合规遵循。早在2005年，国家就已颁布了《电子签名法》;2009年，工信部出台了《电子认证服务管理办法》;2022年8月，为进一步规范电子认证服务行为,工信部发布了《关于开展电子认证服务合规性专项整治工作的通知》，主要提到了以下问题：

　　1)身份查验流程不规范;

　　2)申请主体、接受主体和证书载明主体不一致;

　　3)受理证书申请前，向申请人告知有关事项不充分;

　　4)受理证书申请后，未与申请人签订合同明确双方权利义务;

　　5)未妥善保存与认证相关的信息等。

　　这些不合规的问题可能会导致申请的数字证书无效，继而导致其制作的电子签名无效，并引发纠纷或涉诉案件。

　　这里想给大家看一个真实的涉诉案例：有用户起诉某CA机构与某电子签名服务商冒用他的身份信息制作了他不知情的电子签名证书，并以此签署虚假借款合同，直接导致他遭受到了经济损失。从这个案例中我们可以看到，不合规带来的风险绝不可小视。

　　针对以上问题，法大大的产品高度对标法律法规的要求，完成了全面的合规升级：

　　第一点，用户需要与CA机构签订一对一的证书服务协议。 无论是个人用户还是企业用户，申请数字证书前，都必须同意相应CA机构的《证书服务协议》，阅读并点击同意即视为接受该协议的约束，以此确保在证书申请流程中，CA机构向用户充分告知了有关事项，并明确了双方的权利义务。法大大也会留存用户关于协议的确认记录。

　　第二点，在用户身份鉴别方面。 法大大作为CA机构的授权RA机构，提供多种身份认证方式供用户选择，包括人脸核身、手机号认证、银行卡认证以及人工审核，无论是哪种方式，用户提供的信息均通过权威数据源进行比对校验，确保身份信息真实有效且是用户本人的真实意愿表达，避免了身份伪造、冒用、盗用等风险。

　　第三点，关于证书更新环节。 当证书过期时，我们会提醒用户重新申请新的数字证书，这个过程需要用户再次同意《证书服务协议》，同时我们也会留存用户同意协议的记录。

　　第四点，关于证书申请结果的通知。 证书申请受理后，法大大会通过站内信等方式，明确告知用户申请结果及证书签发CA机构的名称、序列号、有效期等信息。

　　第五点，用户证书申请流程中的相关数据会在法大大证据中心存证，保存期限至少为证书失效后五年。

　　法大大可以为用户提供技术报告 或 公证保全报告，整个证据留存过程受CA机构监管，确保其完整性和严肃性。

　　最后给大家展示一下我们的安全资质大满贯。

　　经过多年的安全合规体系建设，法大大已经取得了多项权威的安全资质及认证，包括由BSI英标协会颁发的四个ISO国际管理体系认证，覆盖信息安全、隐私保护、业务连续性等领域。同时法大大签约平台也通过了网络安全等级保护三级测评，并获得了公安部颁发的安全专用产品销售许可证、国家密码管理局颁发的商用密码产品认证证书，以及工信部颁发的企业级SaaS服务“可信云”认证。

　　未来，我们会持续以高标准、严要求来加固法大大的安全合规体系，不断夯实安全壁垒, 为用户的每一次签约保驾护航，谢谢大家。