大家下午好,我是中国信息通信研究院云大所的闫丹,我主要负责企业级SaaS业务,下面我为大家介绍一下我们的工作成果,关于可信云电子合同信任服务的评估,以及我们做的关于电子合同信任服务的用户调查。
首先,先跟大家介绍一下可信云电子合同信任服务的评估情况。评估结果在上午主会场已经发布了,所以现在我主要是对标准进行一些解读。
首先,我们可以看到电子合同信任服务包括在合同签署之前、签署过程中,以及签署之后的法律服务,在使用电子合同过程中首先会进行身份管理,也就是说关于签署人的电子身份认证以及实名认证的过程,之后会颁发数字证书。这个大多数都是通过与CA机构合作进行,进行证书的签发。最后是包括个人以及企业的签章以及公章的管理,另外就是在签署过程中会进行电子签名来保证合同签署的真实性和合规性。签署过程后会涉及到一些合同管理,以及在签署之后如果涉及到一些法律纠纷,可能会出现关于电子合同存证保存的一些事情,这是电子合同全流程的概览。
可信云通过对电子合同信任服务全流程的梳理进行归纳,做出了可信云企业级SaaS电子合同信任服务的评估标准,评估标准主要包括五大类指标,分别是数据安全性、服务质量、权益保障、SaaS特有的一些指标,服务的运营能力。用户比较关注的一个问题是数据安全,我们主要对服务商进行了对数据持久的可销毁性、可迁移性、私密性等,就是不同租户之间的数据不可互访,数据的知情权、保密性等方面进行考察。
服务质量方面,我们会考察服务的可审查性,服务功能是不是完备,服务的可用性,故障的恢复能力,网络的接入性能,服务计量的准确性,详细的指标我会在后面进行详细的介绍。
在权益保障方面,主要是保障云服务商和云服务的用户双方的权益,包括一些终止条款,赔偿条件、用户约束条款等方面。SaaS特有的指标主要是针对SaaS服务,以及电子合同比较关注的身份的真实性和举证能力两个方面进行考察。运营能力主要考察服务商后续的运营支持,客户支持的能力,包括客户支持培训服务,事件的响应机制,以及客户成功服务的能力的考察。
数据服务的安全性一般包括电子合同,以及签署的关键信息,签署信息包括但不限于身份的一些证明,CA证书、签约时间,哈希摘要值等等。
下面就是标准里面关键的指标进行详细的介绍。数据存储的持久性一般来说是客户比较关注的,我的合同存储在SaaS服务上会不会存在丢失,无法持久存储的问题。所以,云服务商对数据存储的持久性进行承诺,同时我们对服务商长久以来的存储持久性进行考察,目前来说存储的持久性都会在7个9到11个9之间。
数据的可销毁性,这一方面电子合同还没有涉及到,因为电子合同的普遍应用在三年以内。根据现在法律要求是保存在五年以上。所以,我们现在只是对数据可销毁性进行了服务保存截止期之后删除的要求,所以暂时还没有进行技术方面的考量。
在数据可迁移性方面,会担心比如使用了某一个厂商的服务,一段时间内无法迁移到B厂商,关于厂商锁定的困扰,所以我们会对数据的可迁移性进行测试,保障您在云服务上的数据可以采取一定的技术手段迁入或者迁出。
数据安全还包括数据的私密性,主要分两个维度进行考察。第一个维度,企业用户之间,也就是租户之间的数据是不可以互访的。第二个维度,如果企业内部之间有多个子账户,子账户应该有一定的权限控制。数据的保密性这方面主要是对电子合同上传下载过程中的一个加密传输的考量要求。另外就是一些敏感数据在云上的加密存储的要求。
数据的知情群主要是要求云服务商对客户披露数据存储的位置,以及备份数据中心的位置,可以保证我们的数据没有出海,或者是存储在一些客户不希望存储的地方。然后,服务的可审查性,这个是对如果日后出现一些合规或者安全性的检查要求,我们要求云服务商必须配合客户进行相应的运行日志,运维日志的操作记录可调看。
在服务质量方面,首先第一个就是服务功能的要求。我们要求电子合同签约服务平台必须要具备以下七大功能:合同的创建,合同的签署,合同的验真,合同的归档,合同的存储,还有合同的查询和电子签名的管理。用服务商如果对客户承诺其他要求,我们要求云服务商也必须达到相应的功能。
服务的可用性,主要考察云服务在一段时间内是不是真实可用,我们目前对电子合同的要求应该是在3个9以上。故障的恢复能力是说考察如果一旦发生故障,云服务商是不是有足够的能力和机制恢复故障,以减少用户不可用的时间。网络的接入性能我们会在全国多节点进行接入测试,测试云服务的访问速度是可以达到用户满意的程度。
服务计量的准确性,这方面主要是考量,通过测试考察云服务商的计量计费系统是不是真实准确,不存在缺斤少两,或者多计费的情况。如果目前有一些线下计费形式,我们也会对线下合同和线上系统进行核实,说明云服务商确实在计费计量这方面不存在问题。比如用户是否能够弹性扩展自己的使用量,云服务商是否能够扩展对于大规模用户的需求。
SaaS特有指标。第一,用户体验性能的考察。考察的具体指标包括一些基础指标、页面类指标、流媒体指标等。具体不同的服务可能会有一些细微的差别,包括电子合同我们也会考察一些API接口调用的情况的性能指标。第二,在可定制化能力方面,我们主要考虑元数据模块和工作流程三个方面的可定制化。此指标项目前对于电子合同服务是个可选项,如果对大客户有相应需求情况下,云服务商才会提供可定制化的能力。第三,可集成能力,主要考察SaaS与其他的技术服务的数据互联以及可操作性的问题,目前我们要求服务商需要披露相应的API接口,或者可以集成厂商的目录,然后有相应的案例实操,对电子合同服务我们也对API接口的一些工具包也进行了相应的技术测试。
身份真实性,主要是对身份的真实性的核验,数据管理,身份的校验进行要求。举证能力,要求服务商对电子合同用户提供一些举证能力,举证信息包括但不限于电子合同,包括之前所说的签约信息,以及用户的操作日志,同时要求我们云服务商至少采用公证保全或者司法鉴定的方式进行相应的举证。
权益保障,就是四条常规性的条款,我们要求云服务商一旦对合同进行变更的时候,要对其有相应的承诺,以及数据持久性没有达到相应的指标要求的时候,相应的赔偿方式。然后,在用户约束条款和服务商免责条款,这个是我们服务协议里的常规条款,主要是云服务商和用户应该遵循的一些权益保障。
云服务的运营能力主要包括客户支持,云服务商能够对客户提供一些日常的投诉处理,然后问题解答,知识库,服务时间,服务方式的考察。在培训服务方面,我们要求云服务商在部署完成后,至少对于服务客户进行一次培训,在云服务过程中应该以现场培训的方式或者以课件的方式为客户提供一些服务。然后,事件的响应机制与前面的故障恢复能力是呼应的,对云服务一旦发生故障时候的一些响应机制、响应时间,以及故障等级的划分进行一些要求。
客户成功服务目前也是一个可选项,也是我们一直以来向云服务商倡导的。在前三个运营能力的基础上,为大型客户提供精细化的、主动的运营服务,帮助客户更好的使用咱们的SaaS服务以提高续约率。
我们首批电子合同签约服务一共通过了4家,分别是杭州尚尚签,杭州天谷,深圳法大大和兴业数金,另外北京懒猫联银通过了可信云的评估。针对信任服务的评估,我们在7月也做了电子合同信用服务的用户调查,主要想了解目前电子合同在国内的使用情况,以及用户的使用习惯,下面跟大家进行分享。
首先,我们发现电子合同用户的使用时间普遍都是在三年以内,我们可以看到接近90%、80%多的用户使用都在三年以内,使用在五年以上的用户只有1%。
除此之外,在使用电子合同信任服务的企业当中,有半数企业的签署量都达到五千份以上,就是有很多大型企业使用了电子合同的服务,其中的签署量很大,300份以上的也占到了将近七成。
企业用户2017年在电子合同的投入方面,可以看到有1/3企业投入在五万元以下,虽然大型企业的应用还是比较广泛,但是有一些小企业可能还是属于试用状态,需要我们云服务商和市场一起来引导客户,教育客户使用电子合同服务。
对于现在目前已经使用电子合同的企业来说,我们可以看到超过九成的企业有意愿保持,或者未来保持,或者加大电子合同方面的资金投入。所以说,电子合同信任服务的领域未来的市场潜力还是很大的。
通过我们对电子合同应用领域的一个调研来看,目前来说使用最多的还是互联网金融这个领域。其次,在租房、政务、电子商务、旅游、电子行程单、跨境贸易都分别要少量的应用,主要还集中在P2P,或者互联网金融这些方面的合同的签署。
我们是对电子合同服务的一个应用和部署情况进行了一个调查。我们发现超过六成的企业使用API或者SDK接口方式部署电子合同信任服务,另外有44%的企业是使用了SaaS平台私有化部署的,比例还是比较小的。
大家比较有意愿使用API或者SDK的接口主要还是希望能够与其他业务系统或者相关的一些服务系统进行集成。所以,我们也对用户希望集成的一些系统进行了调研,我们可以看到超过八成的企业希望与他们的业务系统,也就是他们面向客户的一些服务系统进行集成。部分可能希望与内部的OA审批系统、或者财务系统,人力系统进行集成,仅有7%的企业表示可能没有意愿与其他系统集成,可以单独的使用。
我们可以看一下电子合同用户的使用习惯。目前来说,超过七成的企业用户认为电子合同信任服务较传统的系统方式来说可以加快合同签署的速度。同时,方便电子签名、签章的一些管理。这个是我们目前对各个原因的一个调研结果。可以看到,其实这几个原因都是大家比较认可的电子合同的优势。
作为电子合同来说前面的身份管理是比较重要的,所以我们对用户比较倾向和认可的实名认证方式进行了调查。对于个人的实名认证方式可以说超过84%的用户还是倾向使用官方的身份证作为实名认证的方式,另外可能会有手机号和银行卡也是比较倾向和认可的方式。但是,生物识别、支付宝等目前并没有受到那么大的认可。在企业的实行认证过程中,使用工商营业执照等方面信息进行认证是比较认可的。无论是个人还是企业的实名认证方面,用户还是比较倾向使用一些官方的信息,像身份证、工商局颁布的这些工商营业执照这些作为实名认证的方式还是用户觉得比较可靠的。
在电子合同的签署方面,我们在使用电子签名进行实际签署的过程,那一过程中,有超过七成的用户还是比较倾向使用手机动态验证码这个签名的方式,选择这个方式的占了70%,可以说这个方式可能是目前来说最便捷,也是高效的。其次有40%的企业选择了人脸识别的方式,签署密码由于是动态的,可能在安全性方面有一定的顾虑。所以,只有31%的企业使用了,其次就是21%的使用了指纹。另外其他的选项里面,主要是有一些企业用户,可能像互金签署量比较大,所以使用了一些自动签的方式,就是没有涉及到动态的签署密码这个方面。
企业用户对于使用什么方式进行合同签署,使用什么平台。应该是使用微信公众号的占了36.84%,使用PC端的是接近六成,最多的还是使用APP端的占了78%。
电子合同信任服务对于云服务商的服务能力和资质有什么需求。首先,因为电子合同涉及到的法律问题比较多,所以说我们首先对这些企业用户,对于服务商提供的电子合同相关的法律增值服务的需求进行了调查。我们可以发现,他们对司法鉴定的需求量是大,最为旺盛的,是占了71%。此外,有64%的企业认为保全公证也是比较重要的。然后,提供相应的律师服务站了55%,另外还有在线仲裁,因为这两个可能是涉及到比较大的纠纷才会使用。所以说,相应的需求并没有前两项那么多。
最后,我们对用户比较看中云服务商的哪些能力进行了调查。可以看到,用户比较看中云服务商对数据安全的保护能力。其次是存证举证的能力,另外电子合同防篡改的能力是比较看中的,其次身份的真实性,签署流程的规范性,客户支持的能力也是用户会考察的一些指标项。最后,通过调研可以发现云服务用户对于云服务商,对ISO,等保,以及可信云方面都会有一些资质方面的考量,这些考量主要从服务的安全性,以及服务的质量方面进行评估,比较看中的一个资质。
谢谢!