中国《电子签名法》下的自建电子签证据链构建

《中华人民共和国电子签名法》第 13 条定义了「可靠电子签名」的 4 个条件：

1. 电子签名制作数据为签名人专有 2. 签署时由签名人控制 3. 签署后任何改动可被发现 4. 签署后对数据电文内容和形式的任何改动可被发现

第三方 CA（e签宝、法大大）能直接满足。自建签署也能满足，但需要构建充分的证据链。

我们为客户构建的最小证据链包含：

- 短信实名验证记录（手机号 → OTP → 验证时间戳） - IP + UserAgent + 设备指纹 - 签署时间戳（精确到毫秒，UTC） - Canvas 手写签名 PNG（base64 + 图像哈希） - 合同 HTML/PDF 的 SHA-256 哈希 - 上述字段的复合哈希（evidence_hash）

落地实现要点：所有字段写入 contract_signatures 表 + audit_logs；PDF 含水印（合同号 + 签署时间 + 哈希前 8 位）；签署完成后任何修改都会触发哈希不匹配。

司法实践中，完整证据链 + 第三方时间戳服务已被多个法院采信。如果需要更强保险，再接 e签宝即可——技术上抽象 ContractService 接口，切换 CA 是 1 天工作量。