APP下载

中国电子签名立法与实践问题研究

2022-06-30邢爱芬付姝菊

科技与法律 2022年3期
关键词:电子签名数字签名比较法

邢爱芬 付姝菊

摘    要:电子签名因其技术和法律特性而备受关注并成为数字贸易的王牌与核心。《电子签名法》为电子签名提供了法律依据,但电子签名立法中仍存在概念外延不周、适用范围不全、法律效力不明、主体定位不准等问题;在实践中体现为:电子签名的内涵和外延尚待明确与完善;在实务界签名人的何种行为可被视为“同意签署”尚不明确;“同意以电子签名形式签署”尚有疑虑;法律规定的电子签名适用范围与实践不相匹配;第三方电子认证服务机构定位、作用和责任不明朗等。这些问题一定程度上成为电子签名发展的掣肘。厘清电子签名的法律内涵与外延、扩大电子签名的适用范围、弥补未约定或约定不明造成的法律缺省,明确第三方电子认证服务机构的定位等工作兼具理论和实践价值。

关键词:电子签名法;电子签名;数字签名;第三方认证;比较法

中图分类号:G 990   文献标志码:A       文章编号:2096?9783(2022)03?0014?10

一、电子签名的法律效力与技术特点

电子签名是一种意思表示的方式,该意思表示是电子签名法律效力的来源。根据《中华人民共和国电子签名法》(以下简称《电子签名法》)中第5条数据电文的定义以及第13条对电子签名的要求,可知我国对电子签名采用“功能等同主义”而非“技术特定主义”1,《电子签名法》语境下的“电子签名”不特指某种技术的签名形式而是具有丰富内涵,这使《电子签名法》成为传统签名的有效补充,具有广阔的应用场景,为我国数字经济的发展、跨国贸易的繁荣提供了稳定的法律支持。

(一)电子签名对意思表示方式的发展

法律语境中的意思表示其本质是将行为人(个人或单位)的意愿性用一定方式固定下来。传统的意思表示方式有口头表达、手写签名或盖章等,但都有各自的局限性。口头表达是最原始、最直接的意思表示方式,但口头表达的内容有不完整、易变、存证困难等缺陷。手写签名虽然可以用手写方式将签名人的意思表示固定下来,但手写签名具有很强的身份依赖性,实践中需首先通过笔迹鉴定确定该签名为行为人手写,再进一步判断该签名是否为签名者本人凭自己意愿的真实意思表达。印章作为印章主人意象的代表,可以显示签名人的人身属性[1]和意愿性,是对手写签名的一种改良和进步,但与手写签名一样,也需判断签名时印章为签名人自主控制,没有发生丢失或他人冒用等情形。

随着科技发展和人类生产、生活方式的进步,从20世纪80年代起,人们已经开始将意思表示通过电子方式固定下来。电子签名于20世纪80年代在欧美率先流行,为对此新鲜事物提供法律依据,2001年由联合国制定的《贸易法委员会电子签名示范法》,正式说明在符合条件的情况下,电子签名与手写签名具有同等法律效力。电子签名在20世纪90年代开始传入中国,随后于1998年,中国金融认证中心在央行的牵头下正式组建并不断发展,成为中国金融领域最早的电子签名认证机构。全国人大于2004年正式通过被称为“中国首部真正意义上的信息化法律”的《电子签名法》。2021年施行的《中华人民共和国民法典》(以下简称《民法典》)第469条中,已通过扩大“书面”外延的方式,将电子形式(如电子数据交换)的意思表示包含在广义的“书面”形式中,从而确保当事人可以采用电子方式签订合同,用民法的形式确认了电子签名的意思表示。2015年4月,《电子签名法》通过功能等同的方式,进一步明确可靠的电子签名与手写签名或者盖章具有同等法律效力。在以高效、便捷为特征的信息化时代,以及倡导低碳、绿色、环保生产生活方式的背景下,电子签名作为得到法律确认与保护的意思表示载体,将会获得愈益广阔的市场和更加普遍的应用[2]。

(二)电子签名的“可靠性”属性

作为意思表示的载体,根据《电子签名法》第14条的规定,想要在法律效力上等同于手写签名或盖章,电子签名需满足“可靠性”要求。《电子签名法》对“可靠的电子签名”具体有4个要求:电子签名制作数据用于电子签名时,属于电子签名人专有;签署时电子签名制作数据仅由电子签名人控制;签署后对电子签名的任何改动能够被发现;签署后对数据电文内容和形式的任何改动能够被发现。因此,电子签名具有专有性、专控性、防篡改性特征。鉴于我国《电子签名法》采用的是功能等同主义而非技术特定主义鉴定标准,因此在我国,电子签名的过程并非仅依赖某一项技术才能完成,换句话说,能以电子(非手写)方式实现签名功能的技术手段不止一种。《最高人民法院关于互联网法院审理案件若干问题的规定》再次确认了这一结论,肯定了电子签名技术包括可信时间戳、哈希值校验、区块链等2。在此有必要对电子签名和数字签名这两个易于混淆的概念进行区分:电子签名是宏观总体概念,是一类技术的统称;而数字签名是电子签名的一种,是目前电子商务、电子政务中应用最普遍、可操作性最强、技术最成熟的一种电子签名技术[3]。下面以数字签名技术为例,说明电子签名如何满足专有性、专控性、防篡改性的要求,如何成为“可靠的电子签名”。

1.专有性

在数字签名中,签名人(自然人和法人)需要通过一张数字证书进行签名,而在签名人被颁发该数字证书前,进行必要的申请人信息(包括身份信息)验证是保证电子签名具有专有性的必要步骤。专有性是与传统的意思表示方式一脉相承的要求,只有确定人身专有性,才能将电子签名与签名人本身一一对应,这是电子签名蕴含的意思表示对签名人人身具有依赖的表现。在给签名人颁发数字证书前验证签名人身份,并要求签名人设置专属于自己的密钥,以此保证数字证书不被冒用,数字签名为签名人专有。在实践中,对签名人申请信息进行验证并没有完全固定的准则,因此,数字证书颁发者往往选择将几种方式结合起来对签名人进行交叉验证,以此减少使用不真实、不明确的申请材料申请数字证书,发生错领、冒领现象,导致数字签名失去专有性。

自然人向颁发数字证书的机构发出“请求向其颁发数字证书用于电子签名”申请后,颁发机构可以通过以下方式对申请人进行验证,以确保专有性:一是通过公安部数据联网认证。数字证书颁发主体可通过与合法拥有公安部数据的供应商合作,对申请者的证件种类、证件号码、姓名、出生日期、户口所在地、证件有效期等要素进行申请者身份认证。二是通过电信运营商进行认证。由于目前運营商均实行实名制3,故数字证书颁发主体可通过证件类型、证件有效期、证件号码、姓名、手机号码等要素对个人申请者进行身份认证。三是通过银行卡信息进行实名认证。数字证书颁发主体可通过申请者的金融信息认证申请者的真实性,通过银行卡号码、开户行、开户人姓名、开户人证件号码等要素对个人申请者进行实名认证。四是针对政府职员、公职人员等低风险主体,以及签署劳动合同、快递签收等低风险业务的意愿性认证,可以采取邮件确认、短信验证、业务显式告知、业务连续性控制等任何一种方式实现意愿性确认。针对涉及金额支付(自动扣款)、财产抵押、贷款、保险等业务的,除业务显示告知、业务连续性控制等方式外,还必须增加活体人脸识别、现场照片、录音、视频等任何一种或者多种方式进行意愿性认证。8DBDBD7A-EE0A-41EC-AB3A-103F3FDDE642

2.专控性

专控性是指在数字证书申请过程和电子签名过程中,与此有关的数据电文、申请资料等均由证书申请者、电子签名人控制,而非被他人控制。此处的“他人”可以是与合同无关的第三人,但实际交易(特别是金融类交易)过程中,因交易双方地位不对等,该数据电文、申请资料可能被强势一方(如各类银行、金融机构)控制,而弱势一方(如个人或企业)则失去对签署时电子签名制作数据的控制。

广东省韶关市中级人民法院于2020年发布的一份裁定书显示,申请执行人广东言道创业投资合伙企业(有限合伙)向法院提交了《贷款协议》《关于争议解决方式及电子送达的确认函》等材料,旨在证明被执行人何仔文签署了上述文件,上述文件有效。但法院经审理判定:上述文件上均为何仔文的打印体签名,无法确定上述文件为何仔文本人签署,无法认定该电子签名具有专有性和独占性,不应认为是可靠的电子签名,结合仲裁过程缺乏对被执行人程序权利的保障等事实,无法认定仲裁条款甚至整个贷款协议的效力4。由此可知法院在判案过程中,通过衡量是否由电子签名人专控判断电子签名是否可靠;若无充分证据证明该数字电文仅由电子签名人控制,则该电子签名有可能被判定无效。在实践中,若想证明电子签名过程中签名人对签名数据享有“专控”,一般需要由举证人从签名后台调取数据,包括时间紧密相连的一系列操作日志、签名人对相关合同的勾选、对弹窗等提示性文字的阅读(包括在弹窗页面停留的时间)、手写签名,以及人脸识别录像或照片等。举证人也可以提交反面证据如手机丢失、报警记录等,反向证明自己对电子签名失去“专控”性。

3.防篡改性

可靠的电子签名还需要两个条件,即签署后对电子签名和数据电文内容和形式的任何改动能够被发现。这是从技术层面对电子签名提出的要求。如前文所述,我国采用的是功能等同主义,即只要满足《电子签名法》第13条所列明的4个条件,即可视为可靠的电子签名。数字签名因其基于PKI(公钥基础设施)的加密技术基础而获得天然的防篡改性,故采取数字签名技术的电子签名本质上可以满足防篡改的要求。

在实践中,电子签名的各方因不直接接触技术、维护系统、保存数据,故对防篡改这一要求一般难以自行举证,这正是《电子签名法》引入“电子认证服务提供者”这一主体的原因之一。商务部在《电子合同在线订立流程规范》同样指出,第三方能够保证电子合同的签署过程公正、签署结果有效。《电子签名法》和工信部《电子认证服务管理办法》规定,工信部可向符合申请条件的主体可以颁发“电子认证服务许可证”。目前中国有52家单位5获得该许可证并对外提供电子认证服务。获准提供电子认证服务的单位在经营场所,技术、设备、物理环境,运营管理等方面均已受到工信部的事前审查、事中监督,且工信部有权随时对其进行定期、不定期的监督检查6,由此可见其在技术层面的防篡改性是有保障的;另外,当电子签名各方依司法程序需要承担举证责任(如需要证明电子签名可靠且真实)时,倘若该电子签名是由第三方电子认证服务机构(即获准提供电子认证服务的单位,一般称之为Certificate Authority或CA)提供,则该CA一般会向电子签名人提供载明该电子签名在技术上未被篡改等关键信息的《电子签名验证报告》,且该验证报告一般会被法院采纳。在江苏省的一份判决中7中,载明北京CA作为依法取得认证资格的电子认证服务提供者,所出具的电子签名验证报告的证明力应予确认,法院对借款合同的真实性予以认定;又如重庆市的一份判决书8中,法院认为证书信息标识通过第三方身份核验服务完成实名认证并向数字认证公司提交的合同签署参与主体信息,该电子签名对应的摘要值校验比对一致,证明该电子合同自电子签名时间起至今未发生任何改动,即未被篡改。下面以数字签名为例对电子签名的技术基础与实现过程作一阐述,以便理解技术上如何保证电子签名的防篡改性。

数字签名是一种技术手段与方法,也可以理解成是通过某种公开的PKI对信息的发送方和接收方之间某些数据原文进行签名的过程。数字签名具体可分为两个过程,即签名和验证,正是这两个过程结合起来使数字签名具有某些特定的特点和功能,如抗抵赖性[4]。数字签名的核心方法是哈希运算9,哈希运算有几种常见的算法,如MD4、MD5、SHA-1、SHA-256等[5]。哈希运算的特点之一是单向性和不可逆性,即在目前的数学运算能力下,只能通过输入数据算出输出数据,不能通过输出数据倒推出输入数据;特点之二是长度固定性,即对于同一种哈希运算算法,不论输入数据长度为何,输出数据长度都一样;特点之三是唯一对应性,即同一输入数据,通过同一种哈希运算算法得到的输出数据是确定的、不会变化的。数字签名中的另一重要工具是公钥和私钥,两者一一对应。私钥用于签名,仅签名人自己知晓;公钥用于加密,能够被数据接收方知晓。

在上述概念的基础上,数字签名过程可简要叙述如下:①信息发送方对自己的数据原文(以下简称“原文”,指将要被数字签名的电子文件)做哈希运算,使原文变成一段长度固定的哈希值即原文摘要;②信息发送方使用自己的私钥加密原文摘要,得到数字签名;③信息发送方将原文摘要和数字签名一起发送给信息接收方;④信息接收方使用公钥对数字签名进行解密,得到新摘要;⑤信息接收方将新摘要与原文摘要进行对比,验证是否一致。其中①—②为签名过程,④—⑤为验证过程。在验证过程中,若经验证新摘要与原文摘要一致,则可知公钥和私钥是匹配的,由于私鑰仅为电子签名人所有(排除私钥泄露等非技术情况),故信息接收方可确认信息发送方的身份,这就是数字签名在数字贸易中的作用之一,即在交易前,能够验证交易双方身份真实;因为在数字签名中引入了哈希运算,若经公钥解密后的新摘要与原文摘要一致,也就表明对应的哈希值(或称“原文摘要”)是确定且唯一的,这就是数字签名在数字贸易中的作用之二,即在交易中,能够保障信息不被篡改;在交易后,信息发送方也不可不承认(或称抵赖)该笔交易,因为私钥仅为信息发送方所有,该数字签名的存在即表明签名行为仅为信息发送方所为,这就是数字签名在数字贸易中的作用之三,即在交易后,能够抗抵赖。8DBDBD7A-EE0A-41EC-AB3A-103F3FDDE642

二、电子签名发展的法律掣肘

正是因为电子签名既有技术支持又有法律依据,因此不论是关注国内还是放眼全球,数字贸易都呈现出生机勃勃的发展态势,甚至大国之间也将争夺数字贸易的话语权和主导权作为主要的博弈战场之一[6]。随着数字贸易的普及,合同以及其他文件越来越多地以电子形式表现、签署、传递、存档,电子签名因此备受青睐[7],中国电子认证服务行业向外颁发的证书数以亿计且呈稳步爬升态势10,越来越多的当事人利用电子签名确认彼此身份,保证业务安全、真实以及不可抵赖。随着“一带一路”沿线经贸的发展,电子签名服务有了实际落地的沃土。电子签名相比传统签名,不仅能响应我国民法典上的“绿色原则”,节约当事方纸墨、快递费用,更能节省时间,大大加快“一带一路”沿线国家的国际合作流程处理,节省资金流和物流,推动“一带一路”高效、智能发展。2021年9月16日,中国宣布正式申请加入《全面与进步跨太平洋伙伴关系协定》(CPTPP),电子签名必将在跨太平洋领域的经贸往来中发挥更大作用。与此同时,在全球反恐领域,反恐工作亟须切断涉恐资金链,而恐怖组织、恐怖分子也不断通过高科技手段与现代金融监管手段进行周旋[8]。电子签名作为底层技术基础被广泛运用于加密货币、区块链,这为反洗钱、反恐怖融资提供了技术上的有力支持。电子签名,特别是数字签名在技术上的保障使其不会张冠李戴,能保证专有、专控、防篡改,在法律实践中,因第三方电子认证服务机构在其中充当缓冲地带而未出现大的纰漏。

然而事实上,《电子签名法》自制定之初,就因其立法内容与国内实情存在错位而引发争议[9];在《电子商务法》《民法典》相继出台后,《电子签名法》与此类法律的融合度不高甚至出现法律内容缺省的情况[10];2021年,国内部分司法判例更是表明电子签名领域立法与实践不相匹配的矛盾日益突出11。因此,当前中国电子签名立法从框架到细节仍存在一系列问题,在实践中一定程度上限制了电子签名行业的发展,影响了电子签名技术在民商事、电子政务、防恐反恐、数字经济、跨境贸易等领域中发挥作用。

(一)电子签名的内涵与外延问题

如前文所述,我国电子签名法采用的是功能等同主义,即若使用一种技术进行签字能达到与手写签字完全相同或基本等同的可靠性时,就可称其为“可靠的电子签名”。但是“所含、所附”并不能囊括目前所有的以电子形式表现的签名形态,例如:SSL证书可以作为单独数据单元发送,是一种脱离数据电文的电子签名,同样符合电子签名的内涵。但鉴于其属于单独、延迟发送电子数据,显然很难被解释为“所含、所附”,实际上属于“逻辑联系式”电子签名,显然没有被纳入我国《电子签名法》第2条列明的范围[9]。

(二)电子签名的适用范围问题

《电子签名法》第3条规定电子签名可用于民事活动,且当事人可以约定使用或者不使用电子签名、数据电文。但实际上,我国电子签名使用场景并不囿于民事、商务活动,其有广阔的适用范围。近年来,我国各地都在积极打造数字型政府,仅2020年就在电子政务、银行金融、人力资源、医疗健康、不动产、旅游、财税等方面出台了诸多文件并在其中指明了电子签名的适用场景,例如:国家知识产权局2020年发布的《关于在专利申请中使用电子印章的通知》;住建部2020年发布的《关于在建筑工程施工许可证中推行电子证照的通知》;国家卫健委、公安部2020年发布的《关于推进跨地区、跨部门应用出生医学证明电子证照的通知》等。类似文件数量众多,在此不再赘述,但从中可知我国电子签名广泛应用于电子政务系统中,且国家对此持赞同、鼓励态度。另外,在行政处罚或处分(如警告、罚款、行政拘留)活动中,使用有电子签名的电子文件可能大大提升执法效率,可见我国《电子签名法》第3条所列的“民事活动”范围过窄,一定程度上限制了电子签名法的适用场景和法律效力。此外,我国电子签名法尚未合理区分普通民商事电子签名以及政务电子签名的有效性,这也是法律内容缺省的表现。

(三)电子签名的法律效力问题

实践中使用电子签名的方式可能存在以下三种情况:第一,约定使用电子签名实际也使用了电子签名;第二,当事人明确约定使用手写或盖章方式实际却使用了电子签名;第三,当事人未对签署方式进行约定实际使用了电子签名。在这三种情況下,电子签名的效力问题值得研究。

在通常情况下,表1第1行的情形是被默认为具有法律效力的,正如《电子签名法》第3条第2款规定的那样。其法律依据是从意思自治原则和诚实信用原则出发,当事人不能对自己的真实意思表示进行反悔。虽然理论上,当事人“约定使用电子签名”这一约定本身也是需要电子签名来认证和保障的,但如果最终还是需要一个手写签名或盖章,这显然有违电子签名的初衷,即高效、绿色。鉴于此,可以通过事后实际使用电子签名这一行为表达对前述“约定使用电子签名”的认可,以推定和追认“约定使用电子签名”的法律效力。

但表1第2行及第3行的电子签名效力却存在法律漏洞。《电子签名法》第3条第1款仅规定了表1第一行的情形,而对表1第2行及第3行的电子签名效力则没有进行规定或说明,而此类情况却恰恰是实践中更容易引起争议的。

(四)“权威第三方”的定位问题

《电子签名法》第3章“电子签名与认证”指出,可以由第三方作为电子认证服务提供者;主管单位工信部《电子认证机构管理办法》也对第三方电子认证机构(CA)提出了要求,要求CA要满足技术人员和管理人员、资金和经营场所、技术和设备、密码相关证明文件等要求,并依申请取得电子认证许可证书方可从业12。虽然《电子签名法》第13条赋予了当事人自主选择的权利,但实践中,当发生争议时当事人想要自己证明电子签名可靠是非常困难的,因此实践中当事人往往需要转向“权威、中立”的CA,故CA在我国目前电子认证业务发展中发挥了基础性作用。但实际上,CA的“权威、中立”值得商榷13。8DBDBD7A-EE0A-41EC-AB3A-103F3FDDE642

电子签名的认证步骤可分为两部分:信息审核和制证发证,这两个部分本应由同一个“权威、中立”的CA完成。但实际上,获得了国家电子认证相关资质的CA往往不亲自进行信息审核环节,而是将信息审核环节外包、转移给注册机构(Registration Authority-“RA”),由RA负责审核证书申请者的真实身份。RA审核通过后,将用户信息上传给CA,由CA进行最后的制证发证。也就是说,信息审核和制证发证步骤是割裂的,信息审核这个关键步骤并非由“权威、中立”的第三方电子服务认证机构实施的,RA是否具有权威和中立性是没有法律保障的。这带来的风险是显而易见的,因为在实践中,RA往往与待审核的用户有某种利益关系,如两者是有实际业务往来的合同相对方,RA通常因其强势地位掌握了用户的大量信息,故RA可能代替用户在其不知情的情况下申请数字证书并签署电子合同,这将直接导致用户的权益被侵犯。

三、电子签名立法的反思与完善

如上所述,电子签名在数字贸易、数字政府建设,以及反恐等领域均发挥了不可忽视的作用,但上述问题却一定程度上影响了电子签名的法律效力并制约了电子签名的广阔实际应用前景。为保障电子签名行业持续健康发展,发挥数字经济等创新驱动产业的新业态、新优势,我国电子签名领域立法亟须反思与完善,以满足快速发展的实践需要。

(一)明确内涵与外延

当前《电子签名法》中关于电子签名概念的内涵过窄,无法将实践中可能出现的电子签名类型囊括在内。具体来说,我国部分电子形式的签名既不属于“所含”,也不属于“所附”,在使用《电子签名法》时存在师出无名的窘境。

为厘清并明确电子签名的内涵与外延,需要从法律与技术的双重视域审视“所含”“所附”的含义。“所含”是最常见的电子签名形式,如数字签名便是其中一种:签名对象(即被签名的文件)被完全转化成一串哈希值,被加密、解密后,通过将新摘要与原文摘要进行对比,验证是否一致;数字签名被完全“含”于此过程。公众对数字签名可能有一些误解,认为常见的文件上的签字或图像就代表数字签名,如数字签名人为张三,则电子文件上要有“张三”的手写签字才意味着张三进行了有效的数字签名。其实,数字签名是一种利用技术进行计算的过程,即使文件上没有显示任何印记、或者显示了一张风景图片、或者显示了“李四”、或者显示了“张三”的印刷体,只要从技术上和法律上进行了有效的加解密过程,该文件就是进行了有效的数字签名。从这个意义上讲,数字签名被完全“含”于此过程。“所附”是另一种常见的电子签名形式,往往用于通过某种字迹上附着数据来判断某种签名行为。例如:在银行,顾客会使用银行一种特殊的电子笔在电子屏幕展示的文件上签字,该签名被传输进计算机系统,由计算机分析该手写签字背后的数值,将其转化成数据电文,生成电子签名。个人识别码、手写签字的数字版及点击“OK 框”均属于“所附”形式的电子签名14。

但是,“所含、所附”并不能穷尽所有的电子签名形式。事实上,联合国《贸易法委员会电子签名示范法》中虽与我国一样采用功能等同式认定电子签名的内涵标准,但其外延是不仅包括“所含、所附”,还包括“在逻辑上与数据电文有联系的数据”;我国香港特别行政区的《电子交易条例》6(1)(a)中也囊括了“逻辑联系式”电子签名。我国在起草电子签名法时对电子签名的内涵也采用了功能等同式认定标准,但人为将“逻辑联系式”剔除出电子签名,这显然有失周延。从适用范围讲,我国电子签名法不仅适用于当前比较成熟的数字签名,还适用于依约定适用的其他技术的电子签名方式,这些电子签名技术并不一定“所含、所附”于数据。

为解决电子签名内涵缺失、外延不周这一问题,需要从内涵和外延上完善电子签名的概念,在《电子签名法》第3条将电子签名的定义确定为,电子签名是指数据电文中以电子形式所含、所附或与数据电文逻辑相连的用于识别签名人身份并表明签名人认可其中内容的数据。

(二)扩大电子签名适用范围

我国电子签名法制定时间晚于联合国贸易法委员会的《电子签名示范法》,适用范围上也是参照其约定的,但这种直接的“拿来主义”却与我国法律运用的实践并不契合,显得水土不服。联合国的《电子签名示范法》开宗明义地写明其规则适用于“商务活动”,且专门针对“商务”一词作了广义解释15,大大扩大了电子签名的适用范围。而我国将“商务”行为替换为“民事”活动后直接使用,这显然缩小了电子签名法的适用范围。

以历史研究和目的研究的视角回顾我国电子签名法的立法环境对確定该法的真正适用范围具有重要意义。首先,联合国的《电子签名示范法》由贸易法委员会起草,因此将电子签名的适用范围限制为商务活动情有可原;但我国电子签名法是位阶仅次于宪法的法律制度,制定主体是人大常委会,因此电子签名作为一种技术,并不囿于民事活动、商务活动,而应当向前推进一步,将其拓展为任何合法适用电子签名的场景,包括但不限于民事和行政活动。其次,联合国因当时的国际社会需要先制定了《电子商务示范法》,随后制定了《电子签名示范法》,故后者的适用范围、立法初衷囿于促进贸易和电子商务的发展情有可原;而我国电子签名法立法和出台时间均早于《中华人民共和国电子商务法》,且《电子签名法》第1条指出,该法立法目的是“为了规范电子签名行为,确立电子签名的法律效力,维护有关各方的合法权益”,可在立法目的上,电子签名并不囿于电子商务领域。最后,《中华人民共和国数据安全法》中专章列明“政务数据安全与开放”,表明我国已通过相关立法确认了政务电子文件的合法性。因此,《电子签名法》中关于电子签名的适用范围应予以拓宽,添加行政使用情景,相应条款可以表述为:在民商事、行政等活动中,当事人可以约定使用或者不使用电子签名、数据电文;相应地,第28条等相关表述也应作出调整。

(三)弥补对电子签名效力规定的法律缺省

鉴于《电子签名法》对“未约定签署方式或未约定采用电子签署方式情况下的电子签名具有何种法律效力”未作任何规定与说明,为防止对这一问题产生不同理解,造成司法实践中的困惑进而影响法律公信力,我国电子签名法应当借鉴域外经验弥补这一法律缺省。目前联合国和一些国家及地区针对这一问题的处理有强行性规范、任意性规范和补充性规范等几种方法。8DBDBD7A-EE0A-41EC-AB3A-103F3FDDE642

强行性规范。《德国民法典》采用的是强行性规范,即明确指出“电子形式可以被认可,除非法律另有规定”,从而排除了当事人的意思自治。如此规定直接赋予电子签名法律上的可靠性和合法性,即不论当事人约定与否,电子形式均可以被认可。这大大减轻了司法实践中为证明双方当事人均接受电子签名而付出的成本。

任意性规范。如上所述,我国当前电子签名立法可被归于任意性规定,即赋予了当事人意思自治的权利。但我国对任意使用的情景却未作穷尽式罗列,而仅就其中一种情形(即《电子签名法》第3条第2款规定的情形)做了规定,且对民商事活动、政务活动等不同使用场景中的电子签名有效性未作明确规定。我国香港特别行政区的《电子交易条例》也采用任意性规范形式,但就电子政务等行政事务中电子签名的效力做了特别解释,是一种较为完善、全面的任意性规范16。

补充性规范。联合国的《国际合同使用电子通信公约》、美国的《电子交易法》赋予了当事人意思自治的权利,同时针对没有意思自治的场合,法律做了补充性解释。联合国的《国际合同使用电子通信公约》指出当事人的某些行为可以作为推断其同意使用或接受电子通信的依据。美国的《电子交易法》类似,指明在当事人每一方均同意以电子手段进行交易的情况下电子签名固然有效。在当事人没有约定时,可以通过上下文、当事人的行为、周围情势等因素来判断当事人是否同意以电子手段进行交易。新西兰、加拿大、新加坡都有类似规定。此类规定允许进行法律解释,从而在当事人之间没有明确约定使用亦没有明确排除电子签名的情况下,可根据当事人的行为推定其认可电子签名的效力。

但即便如此,各国的司法实践在何种行为能够推定“行为人同意以电子签名方式签署文件”这一关键问题暂未形成统一标准,甚至一国境内也存在分歧,主要原因是电子签名技术本身不止一种、没有统一标准;各电子签名服务提供商要求当事人进行签署的操作事项、操作流程、操作顺序也不一样,故很难就当事人的何种行为能够推定“行为人同意以电子签名方式签署文件”这一问题划定标准。以美国为例,总体来说,美国司法实践认为一个有效的电子签名的关键是赋予电子签名与手写签名(或称为“书面‘湿签名”)相同的有效性,这与《电子签名法》第14条意思相同。因此,在没有证据表明存在欺诈或他人代为签名的情况下,法院通常会认为电子签名等同于湿签字,具体的辅助判断标准包括:行为人点击“是,我同意”的方框;文本已明确披露使用某应用程序的行为会被视为同意使用电子签名,行为人仍选择使用某应用程序;行为人以邮件、短信或电话方式回应和响应营销活动17。

另外值得注意的是,在如何推定“行为人同意以电子签名方式签署文件”方面,不同法官在司法判例中给出的回应有所不同。2020年,美国联邦法院在Randle v. Conduent一案中表明,上述方法构成签名,但该签名仍然必须经过“认证”,也即签名本身必须与签名人存在关联性;因该案当事人通过唯一登录名输入仅自己创建并知晓的密码,故认为该人同意以电子签名形式签署文件18。在另一些司法管辖区,当原告在法庭上的宣誓证词声称他/她没有签署合同,尤其是如果被告没有足够的相反证据,例如:登录/密码系统或任何其他识别系统可能不安全,则法院就不会支持合同的有效性,显然这是两种不同的判定方法19。

结合我国实际,我国在判定表1第2行和第3行情况下电子签名的法律效力时,可以继续采用任意性规范,但需对未穷尽的情形中电子签名的有效性作出规定;也可转而采用补充性规范,借鉴联合国和美国相关立法,优先尊重当事人的意思自治;在当事人没有明确表意時,可根据当事人的作为推断其是否同意使用或接受电子签名,例如:在民商事、行政使用场景下,若无当事人明确排除,则可以推定当事人认可电子签名,这有助于电子签名法迸发更蓬勃的生命力、赢得更广泛的接受度。

(四)确保“第三方电子认证服务机构”的中立性和权威性

从立法目的看,第三方电子认证服务机构应充当中间服务商,即本着中立的立场,在确保尽到申请信息审核义务且审核无误的前提下签发证书,证书所有人可利用此证书独立在电子文件上进行电子签名。但由前述分析可知,我国电子签名行业第三方电子认证服务机构将审核义务外包,不能保证审核的中立性和权威性,可能会给证书持有人带来直接损害或者令证书持有人对签名过程产生质疑,进而影响电子签名行业有序发展。

以2021年北京高院发布的“薛晓润等与中华人民共和国工业和信息化部其他二审行政判决书”20为例,该判决书载明各方业务过程为,薛晓润因需向深圳平安普惠小额贷款公司(以下简称:平安公司)贷款而需与之签署电子合同,由北京数字认证股份有限公司(以下简称:北京CA)为其提供第三方服务,即薛晓润和平安公司分别向北京CA申请一张数字证书,随后分别使用自己的数字证书在电子合同上签名,签署后贷款协议生效。但是薛晓润向北京CA申请数字证书的过程中,薛晓润的申请信息并非由北京CA直接审核。北京CA通过与平安公司签署购销合同,将该审核义务转移给平安公司。

本案反映出目前电子认证服务过程中的一种现象,即审核义务的外包化和密钥托管化[11]。《电子签名法》规定的CA本应因其“第三方”的身份和《电子签名法》对其的诸多限制(技术人员和管理人员、资金和经营场所、技术和设备、密码相关证明文件等)而可靠,但审核义务外包后,审核数字证书申请者信息的往往就是与申请者有实际业务往来的合同相对方,该审核方“既是运动员又是裁判员”,这很难推断其为“权威第三方”;且国家没有向此类审核机构(RA)发放牌照,法律上对其缺乏限制,可能带来诸多风险,可能造成司法实践中证书申请者质疑CA出具的《数字签名验证报告》。

为解决上述问题,《电子签名法》第28条应添加对CA的要求:CA提供的数字签名应当满足《电子签名法》第13条规定的可靠性条件,若第三方电子认证服务机构不能证明提供的服务符合可靠性要求,承担赔偿责任。另外,应将实际中CA将审核义务外包给RA的情况纳入考虑,在《电子签名法》或《电子认证服务管理办法》等法律法规中对CA提出要求,即在CA委托RA对用户进行身份认证和意愿性认证的场景下,应在委托合同(CA&RA)中明确双方的职责,相互间提供必要的协助。对于符合约定条件的,第三方电子认证机构可信赖其审核结果,可不再重复进行审核,但仍应承担未履行审核义务而导致的责任。8DBDBD7A-EE0A-41EC-AB3A-103F3FDDE642

四、結论与思考

电子签名因其技术和法律特性而备受关注并成为数字经济的王牌与核心。我国2004年出台的《电子签名法》广泛应用于民商事、电子政务,且在新时代跨境贸易、区域经济往来、防恐反恐中充当重要角色。但目前我国电子签名立法和实践中仍面临着概念外延不周、适用范围不全、法律效力不明、主体定位不准等法律问题,在实践中体现为:电子签名的内涵和外延有待明确与完善;实务界对签名人的何种行为可被视为“同意签署”“同意以电子签名形式签署”尚有疑虑;法律规定的电子签名适用范围与实践不相匹配;第三方电子认证服务机构定位、作用和责任不明朗等。这些问题一定程度上成为电子签名发展的掣肘。为解决以上问题,我国电子签名法应当进一步完善:明确电子签名的内涵和外延,将“逻辑相连式”纳入电子签名范围;采用任意性规范或补充性规范明确在当事人未约定或约定不明情况下电子签名的法律效力;将民事、行政活动纳入电子签名的认可适用范围,使之与实践相匹配,并规定在民商事、行政等活动中,若无当事人明确排除,则推定当事人认可以电子形式签署文件;明确第三方电子认证服务机构的定位和权责;此外,外交部、工信部、商务部等相关部门可积极沟通对话,推动电子签名跨境互认,同时通过与国际组织合作的方式,签署国际条约,提高第三方电子认证服务机构权威性,进而推动电子签名证书跨境互认工作。

参考文献:

[1] 赵改侠. 电子印章风险及防范措施探析[J]. 中国质量与标准导报, 2021(1):13-17.

[2] 孙学致,孙博亚. 反思与创新:电子意思表示的应然法定形式[J]. 学习与探索,2019(12):81-87.

[3] 关振胜. 《电子签名法》对中国金融界的影响[J]. 金融电子化,2004(10):94-95.

[4] 洪琳. 数字签名、数字信封和数字证书[J]. 计算机应用,2000(2):41-42.

[5] 沈昌祥等. 信息安全综述[J]. 中国科学(E辑:信息科学),2007(2):129-150.

[6] ZUBAREVA E A. Financial e-control: modernization of the state financial control system in the conditions of digital economy[J]. Journal of Automation and Information Sciences, 2021, 52(10):  62-75.

[7] LINDSAY V H. Electronic signatures gaining momentum[J].  Automotive News, 2021, 95(6971):  22.

[8] 杨东,徐信予. 法定数字货币的反洗钱问题研究[J]. 人民检察,2021(9):1-6.

[9] 于海防. 我国电子签名框架性效力规则的不足与完善.法学[J]. 2016(1):26-37.

[10] 梅臻. 《电子签名法》适用的难点问题探析. 法律适用[J]. 2016(7):107-111.

[11] 赵鸣. 可信第三方电子签约服务平台研究[J]. 电子商务,2020(12):50-66.

Research on Legislation and Practice of Electronic Signature in China

Xing Aifen, Fu Shuju

(Law School, Beijing Normal University, Beijing 100875, China)

Abstract: Electronic signature has become the trump card and core of digital trade because of its technical and legal characteristics. The Law of the People's Republic of China on Electronic Signature provides a legal basis for electronic signature, but there are still some problems in the legislation of electronic signature, such as inadequate concept extension, incomplete scope of application, unclear legal effect and inaccurate subject positioning. In practice, the connotation and extension of electronic signature need to be clarified and improved; it is not clear what acts of the signer can be regarded as "consent to sign"; "agree to sign by electronic signature" has doubts; the scope of application of electronic signature stipulated by law does not match with practice; the position, role and responsibility of the third party electronic authentication service organization are not clear. These problems to some extent become the limitation of the development of electronic signature. Suggestions for improvement include clarifying the legal connotation and extension of electronic signature, expanding the scope of application of electronic signature, making up the legal default caused by unagreed or unclear agreement, and clarifying the positioning of third-party electronic authentication service institutions, which have both theoretical and practical value.

Keywords: law of electronic signature; electronic signature; digital signature; third party authentication; comparative method8DBDBD7A-EE0A-41EC-AB3A-103F3FDDE642

猜你喜欢

电子签名数字签名比较法
单套制背景下电子签名应用的困境与思考
应用比较法 培养物理知识迁移能力
交通运输行业数字签名系统的设计与实现分析
怎样引导学生证明不等式
数字签名技术在计算机安全防护中的应用
电子签名
关于电子商务中安全数字签名的研究
地理比较法在高中地理教学中的应用探析
基于数字签名系统的可信知情文书在医疗机构的应用研究
掌握方法用好数字签名