煮酒言规 | 第176期 | 个保审计频率的起算时间

-问：找到了使用境外电子签约工具合同无效的案例：

但是根据大成的这篇文章，CA认证并非法律要求耶，而且也不需要获得国家审批：

虽然一审我质疑DocuSign有效性（偏向员工），二审还是企业赢了。

-答1：可以说不符合《电子签名法》要求吧。

-答2：1、电子签名法中对于可靠性的要求主要是按照13条拆解4要件，14条效力对标，涉及ca认证的是16条，只是基于客观的行业现状，在电子签名这个行业里，电子签名服务商都是用ca加签来做电子签名的，司法机关也会推定有合格效力ca加签的电子签名就是符合电子签名法的可靠签名，这是比较常见的裁判思路；

2、ca有行业准入门槛，也即获取电子认证服务许可证，可以参阅电子认证服务管理办法等规范（工信部及国密体系）。

3、【电子签名服务商认证】表述不够精准但符合行业实践，目前电子签名行业提供服务的服务商不是ca自己就是包着ca的ra，底层也是需要ca支撑的。

-答3：可以理解DocuSign不能用吗？所谓不能用，就是由于DocuSign没有CA认证，用它签署的文件会有不小概率（尤其劳动法领域）不被承认，那用这个就要承担风险了（因此最好换别的）现在Adobe sign在中国也不能用了，外企好像没什么选择只能用中国本地的了（只能和其他国家区别开来）？

-答4：应该说如果要用，可能会存在签名效力不被认可的风险。（如果牵扯到跨境签约就还有其他的问题，需要根据实际业务场景进一步分析）。其实这个更多是在举证证明上的难度（以及纠正认知）的难度，一个是默认推定有效的链路，一个是需要全力举证证明有效的链路，综合评估吧。

总结：承担风险当然可以用。

-问：个保审计计算定期审计的时间要从本年度算，还是是个保法发布？

-答1：审计时间从审计办法正式实行开始算吧。

-答2：看了不少分析文章，说的是regularity至少是三到五年一次，然后建议这个时常从2021起算为第一次计划审计的时间。

-答3：这个你得问国办了，我觉得从5.1开始算比较合适，从个保法之日起算都是想做生意的。

-答4：有个比较麻烦，《未成年人网络保护条例》第37条规定：个人信息处理者应当自行或者委托专业机构每年对其处理未成年人个人信息遵守法律、行政法规的情况进行合规审计，并将审计情况及时报告网信等部门。

-答5：青少年那个一点门槛要求也没有，难道处理了十几个人也要做年度审计吗。

总结：合规不易。