昨天我們完成了從簽署者的角度體驗一次完整的簽署流程，從收到文件到簽署完成，一切非常簡便迅速。

但如果有一天，這份合約發生了糾紛，對方耍賴說：「這不是我簽的！」、「我那時候沒看過這頁！」或是他質疑說「我簽的時候，合約內容寫的跟現在不一樣！」

這時候我們要如何證明，才能避免冗長的官司以及造成損失？我們都知道，單憑一個簽名圖案肯定是不夠的，這時，就需要請出我們今天的主角 — 稽核軌跡 (Audit Trail)。

什麼是稽核軌跡 (Audit Trail)

用個實際的東西來比喻的話，我們可以把它想像成飛機上的黑盒子 (Black Box)。如同黑盒子會客觀、忠實地記錄飛機起飛後的所有歷程數據，以及駕駛艙內的對話；一份完整的稽核軌跡，也像黑盒子一樣，詳細紀錄了一份文件從誕生到完成簽署的每一個關鍵足跡。他是一份客觀、中立、由第三方平台紀錄的完整歷程，讓任何事後的抵賴都無所遁形。

稽核軌跡到底紀錄了什麼？

身為 PM，在評估一個電子簽章系統或檢視自家產品時，稽核軌跡的詳細程度是一個關鍵的技術指標。合格的稽核軌跡，通常會包含以下資訊：

• 文件履歷：文件名稱、獨一無二的文件 ID，以及最重要的文件雜湊值 (Hash)，用來證明文件版本是否進行過更動。
• 人員履歷：誰在何時發起了這個簽署、簽署人姓名、Email 或手機號碼等資訊。
• 行為履歷：
  • 簽署人何時開啟了文件
  • 簽署人的 IP 位置
  • 簽署時使用的裝置及瀏覽器
  • 簽署前使用哪種方式驗證身份
  • 在何時完成了簽署

稽核軌跡的法律價值

這些看似瑣碎的紀錄，卻是讓我們在糾紛中可以釐清真相真相的證據。將這些紀錄組合，我們就可以找出：

• 是誰簽的？ → 看簽署者 Email / 手機、身份驗證紀錄。
• 何時簽的？ → 對照時間戳。
• 簽的是哪個版本的文件？ → 確認文件雜湊值 (Hash)。
• 簽屬者是否知情同意？ → 確認簽署者開啟文件、點按同意或簽名框的紀錄。

由此可見，稽核軌跡的重要性其實遠大於我們簽名的圖案本身。簽名筆跡可以模仿，但這份由中立的第三方平台所記錄的完整歷程，是無法被單方面偽造的。

簽名與稽核軌跡，缺一不可

雖然前面說稽核軌跡的重要性大於簽名的圖案，但一份電子簽名文件的價值，還是得由簽名與稽核軌跡共同構成。簽名代表了「意願」，而稽核軌跡則提供完整的「證據」，兩者結合，才是一份在商業與法律上都站得住腳的數位文件。

前面在講解稽核軌跡的過程中，提到了很多次「時間」。要如何確保這個「時間」是可信且無法竄改的，就需要講到另一項技術：時間戳 (Timestamp)。明天，就讓我來帶大家看看這個好像常聽到，但又好像不太熟的技術吧！