電子合同場景適用與電子商務相伴發(fā)展。電子簽名法早于2015年頒布，至今已經兩次修訂。尤其近年來隨著后疫情時代線上辦公、線上交易方式的推行，金融領域基于交易便捷性和效率性的需要，以及交易成本的控制，人臉等生物特征識別方式的電子簽名方式似乎可以成為一種新的嘗試。尤其是生物識別特征技術早已較為廣泛運用于交易過程中的身份認證，且各種基于人臉等生物識別特征信息的商業(yè)應用場景更為多樣。但生物識別特征技術較少單純作為電子簽名形式使用，電子合同、電子簽名在私權領域運用所可能伴隨的合規(guī)風險實際并不為使用者盡知并能夠有效識別，可能是原因之一。本文試圖結合我國現(xiàn)行電子簽名、電子合同、人臉等個人信息保護有關法律規(guī)制以及相關領域相關監(jiān)管規(guī)范等，簡要分析基于人臉識別電子簽名方式運用于金融領域電子合同簽署可能涉及的主要合規(guī)問題，以供參考：

　　一、可信金融電子合同生效要件

　　依據(jù)《民法典》第四百六十九條[1]，法律認可以數(shù)據(jù)電文作為合同簽署方式之一。

　　根據(jù)商務部《電子合同在線訂立流程規(guī)范（征求意見稿）》（以下簡稱“《意見稿》”）第3.1條，電子合同是指平等主體的自然人、法人、其他組織之間以數(shù)據(jù)電文為載體，并利用電子通信手段設立、變更、終止民事權利義務關系的協(xié)議。

　　根據(jù)《電子簽名法》第三條第三款和商務部《意見稿》第一條，涉及婚姻、收養(yǎng)、繼承等人身關系的，涉及停止供水、供熱、供氣等公用事業(yè)服務的以及法律、行政法規(guī)規(guī)定的其他情形的文書，當事人不可以約定使用電子簽名、數(shù)據(jù)電文。

　　由此，電子合同并非完全脫離于傳統(tǒng)合同之外的創(chuàng)設概念，其功能目的在于達到與傳統(tǒng)合同簽署之后同樣的效果。這也是電子合同風控的核心目標，即保證電子合同法律效力等同紙質合同效力。

　　我國《民法典》并未明確電子合同的生效要件，但根據(jù)《民法典》關于合同的簽署、生效的一般要件規(guī)定，傳統(tǒng)合同簽署、生效所考慮的必要因素（①行為人具有相應的民事行為能力；②意思表示真實；③不違反法律、行政法規(guī)的強制性規(guī)定，不違背公序良俗。④作為書證的傳統(tǒng)證據(jù)形式，要求需要原件可供核對），結合電子合同生成方式以及我國目前對電子合同的四項國家標準[2]，可以大致規(guī)納出符合法律原則性規(guī)定且滿足國標認可的電子合同，基本采納可靠電子簽名因素，此外，國標也對電子合同的形成、電子合同的內容、電子合同的生命周期等相關安全支撐因素進行了規(guī)范和定義。同時，《電子簽名法》第十四條規(guī)定了“可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力。”指明了可靠的電子簽名與傳統(tǒng)的手寫簽字和蓋章具有同等的法律效力。由此，可靠的電子簽名應當作為電子合同的生效關鍵要素考量。

　　因此，結合《電子簽名法》有關電子簽名規(guī)定，電子合同意欲達到傳統(tǒng)紙質合同同樣的功能，其簽署和生效要件可以概括為：（一）簽署合同的主體身份確認；

　　（二）可靠的電子簽名；

　　（三）合同簽署后不能被單方篡改（修改留痕，也可以叫不可篡改性，指電子簽名和數(shù)據(jù)電文內容及形式如被修改應當有痕跡）；（四）同樣的，可以作為證據(jù)，即電子合同可驗證真實性，具有原件效力。

　　二、人臉等生物特征作為金融電子合同簽名實現(xiàn)方式的法律依據(jù)

　　《電子簽名法》實際并未限定電子簽名的實現(xiàn)方式為何，但從影響電子合同效力角度可以區(qū)分為“可靠電子簽名”和一般電子簽名。根據(jù)《電子簽名法》第二條“本法所稱電子簽名，是指數(shù)據(jù)電文中以電子形式所含、所附用于識別簽名人身份并表明簽名人認可其中內容的數(shù)據(jù)，本法所稱數(shù)據(jù)電文，是指以電子、光學、磁或者類似手段生成、發(fā)送、接收或者儲存的信息。”即，電子簽名是一種“數(shù)據(jù)”。第十三條[3]、第十四條[4]進一步規(guī)定了“可靠的電子簽名”同時需要滿足的四項條件：①電子簽名的專有性；②簽署時電子簽名制作數(shù)據(jù)僅由簽名人控制；③簽署后對電子簽名的任何改動能夠被發(fā)現(xiàn)；④簽署后對數(shù)據(jù)電文（電子合同）內容和形式的任何改動能夠被發(fā)現(xiàn)。

　　《電子簽名法》并沒有具體限定電子簽名的具體實現(xiàn)方式或技術手段。人臉識別技術運用于電子合同的簽署，并未超出電子簽名實現(xiàn)方式問題的討論。人臉等生物特征識別技術是指通過對實時或靜態(tài)的人臉圖像以及身體特征進行特征提取、分類識別，以達到識別、認證、監(jiān)控、偽造等目的的新興技術手段。是基于用戶的指紋、面部、虹膜、手寫簽字、語音等獨一無二的生理結構特征或融合了生理、心理、社會因素的行為特征簽名的方法。相比于一般個人信息，人臉等生物特征信息具有強識別性、難變更性、不可匿名性和不可替代性等特點，符合可靠電子簽名所要求滿足的四個特征。

　　理論上講，只要滿足上述可靠電子簽名的特征，即可構成法律規(guī)定概念上的可靠電子簽名。同時，法律法規(guī)層面也并不禁止生物特征識別電子簽名形式作為電子合同的簽署方式。但是應當注意區(qū)別人臉識別單純作為身份識別手段和作為可靠電子簽名所應當滿足的要件需求。可靠電子簽名需要滿足事前的身份認證，事中的可控性及真實意思表示確認，事后的可溯源性即不可篡改。金融機構運用人臉識別技術的場合較為多樣，但是單純的身份識別功能的運用并不等同于可靠電子簽名。如果考慮人臉等生物特征作為金融電子合同簽名實現(xiàn)方式，應當確保必須滿足可靠電子簽名的四項基本特征。

　　三、人臉等生物特征識別信息電子簽名方式主要合規(guī)問題分析

　　（一）個人敏感信息的處理問題

　　作為信息密集型的金融機構在使用生物特征識別信息電子簽名方式時，更應該側重關注的是個人生物特征類敏感信息保護的問題。人臉識別過程基本涉及個人信息處理的大部分環(huán)節(jié)，如收集、存儲、使用、共享等。《民法典》第一千零三十四條已經明確將人臉信息為代表的生物識別信息納入了個人信息的保護范疇，并規(guī)定了處理個人信息，應當遵循“合法、正當、必要”的原則。最高人民法院于2021年7月27日發(fā)布了《關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規(guī)定》，這是第一部針對人臉識別技術民事糾紛審理的司法解釋文件。隨后出臺的《個人信息保護法》將個人生物特征列為敏感個人信息，并對告知－同意提出更高要求，嚴格規(guī)范處理的必要性。前述法律法規(guī)形成目前有關生物識別特征信息保護的上位法規(guī)制體系。針對敏感個人信息的處理，《個人信息保護法》第十七條、第三十條[5]提出了更高的要求，要求處理敏感個人信息應當取得個人的單獨同意。據(jù)此，在處理敏感個人信息時，概括同意或推定同意的授權模式為法律所禁止。

　　人臉等生物特征信息運用于電子簽名領域，應當遵循上述關于個人信息處理的相關規(guī)定。尤其是用戶選擇人臉識別簽署方式時，應當做到獲取用戶關于個人信息收集、運用以及傳輸（第三方提供人臉信息比對庫，人臉識別分核實式和搜索式兩種比對模式。核實式是指將捕獲得到的人像或是指定的人像與數(shù)據(jù)庫中已登記的某一對象作比對核實確定其是否為同一人。搜索式的比對是指，從數(shù)據(jù)庫中已登記的所有人像中搜索查找是否有指定的人像存在。）的書面明示授權。即便事前未獲取單獨、明確授權，但用戶后續(xù)合同履行可以印證其對該種電子簽名的選擇，基于個人敏感信息保護的原則，不能當然推定其已經就人臉信息的處理進行了明確的授權。此外，對于獲取的人臉生物特征信息，應當妥善保管，且以最小必要原則為基礎確認保存時間。

　　（二）應當避免使用生物識別特征作為唯一簽署方式

　　與傳統(tǒng)合同一致的是，格式條款提供方在紙質合同中所承擔的義務在電子合同中同樣適用。金融機構是格式合同的使用“大戶”，在設計電子合同簽署條款時，不能僅設置某一種或某幾種或不允許用戶進行選擇。尤其是國家互聯(lián)網信息辦公室2021年11月14日發(fā)布的《網絡數(shù)據(jù)安全管理條例（征求意見稿）》第二十五條規(guī)定了“數(shù)據(jù)處理者利用生物特征進行個人身份認證的，應當對必要性、安全性進行風險評估，不得將人臉、步態(tài)、指紋、虹膜、聲紋等生物特征作為唯一的個人身份認證方式，以強制個人同意收集其個人生物特征信息。”因此，相關電子合同應當注意保留對電子簽名實現(xiàn)方式多種選擇。

　　（三）電子數(shù)據(jù)存證、舉證問題

　　盡管生物特征識別技術具有技術發(fā)展成熟、識別準確率高的特點，但其不足體現(xiàn)在容易被他人復制、盜用或強行使用。為確保基于該類電子簽名方式簽署的金融電子合同的有效性滿足司法實踐審查認定標準。結合我國現(xiàn)行《民事訴訟法》、《最高人民法院關于民事訴訟證據(jù)的若干規(guī)定》等法律法規(guī)對電子證據(jù)的存證和舉證的規(guī)定，基于面部特征識別類較為新型的技術領域的電子證據(jù)，其自始的合法性或者完整性證明難度較大。基于此，如果金融機構考慮業(yè)務開展中使用面部識別電子簽名方式的，在具備存證條件時，建議盡可能就交易涉及的電子證據(jù)（例如電子簽名、電子合同、電子郵件、線上系統(tǒng)后臺記錄等）進行公證。

　　[1] 《民法典》第四百六十九條 當事人訂立合同，可以采用書面形式、口頭形式或者其他形式。

　　書面形式是合同書、信件、電報、電傳、傳真等可以有形地表現(xiàn)所載內容的形式。

　　以電子數(shù)據(jù)交換、電子郵件等方式能夠有形地表現(xiàn)所載內容，并可以隨時調取查用的數(shù)據(jù)電文，視為書面形式。

　　[2] 即《電子合同訂立流程規(guī)范》（GB/T 36298-2018）、《電子合同基礎信息描述規(guī)范》（GB/T36319-2018）、《第三方電子合同服務平臺功能建設規(guī)范》（GB/T 36320-2018）、《電子合同取證流程規(guī)范》（GB/T 36321-2020）。

　　[3] 《電子簽名法》第十三條：電子簽名同時符合下列條件的，視為可靠的電子簽名：

　　（一）電子簽名制作數(shù)據(jù)用于電子簽名時，屬于電子簽名人專有；

　　（二）簽署時電子簽名制作數(shù)據(jù)僅由電子簽名人控制；

　　（三）簽署后對電子簽名的任何改動能夠被發(fā)現(xiàn)；

　　（四）簽署后對數(shù)據(jù)電文內容和形式的任何改動能夠被發(fā)現(xiàn)。

　　當事人也可以選擇使用符合其約定的可靠條件的電子簽名。

　　[4] 《電子簽名法》第十四條：可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力。

　　[5] 《個人信息保護法》第十七條 個人信息處理者在處理個人信息前，應當以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知下列事項：

　　（1）個人信息處理者的名稱或者姓名和聯(lián)系方式；

　　（2）個人信息的處理目的、處理方式，處理的個人信息種類、保存期限；

　　（3）個人行使本法規(guī)定權利的方式和程序；

　　（4））法律、行政法規(guī)規(guī)定應當告知的其他事項。

　　第三十條 個人信息處理者處理敏感個人信息的，除本法第十七條第一款規(guī)定的事項外，還應當向個人告知處理敏感個人信息的必要性以及對個人權益的影響；依照本法規(guī)定可以不向個人告知的除外。