王 上
成都清源司法鉴定中心,四川 成都 610047
在新发展格局和后疫情时代,电子商务的应用需求不断增加,电子数据承载着企业和个人的重要交易信息,众多信息之安全性(即双方的交易内容不为第三方所知)、完整性(即交易内容不能被篡改)、识别性(信息发送者和接收者的唯一身份可以通过电子签名识别)、不可否认性(签署电子签名后发送的信息应必然被确认)应被确保,以避免新交易方式所引致的相关欺诈、虚假交易、侵犯隐私等风险[1]。电子签名的应用为电子商务的上述问题提供了重要保障,保证了商家和客户以安全有效的方式处理商业事务,如电子合同、电子订单、电子票据、电子支付、企业信息系统等。目前,数字签名更多地应用于电子签名领域,手写电子签名虽也得到了发展,但应用效果并不理想[2]。
全球信息时代的环境催生了电子商务和电子政务的高速发展,改变了人们的生活与工作习惯,也影响了法律行为的轨迹。电子签名是20世纪80年代中期孕育的一种数字技术,在互联网和“互联网+”时代,其核心技术价值不断体现,相关的法律规制和司法实践活动也在逐步推进。联合国国际贸易法委员会于1996年制定了《电子商务示范法》,并于2001年制定了《电子签字示范法》,意在引导各国的电子签字法立法活动,以赋予电子签名相应的法律地位和证据效力,规范电子签名的法律行为,为电子商务和电子政务提供法律保护。欧洲联盟、亚太经济合作组织和国际发展与合作组织等国际组织都致力于倡导和推动相关电子签名法律的立法与实施,并已发布相关规则,如欧盟《电子商务指令》和《电子签名指令》。许多国家和地区也相继颁布了与电子签名有关的法律法规,如《美国统一电子交易法》《国际国内业务电子签名法》《犹他州数字签名法》《新加坡电子商务法》、我国《香港电子交易条例》。
我国经过长期的立法筹备,在广泛征求国内法律与电子商务专家的意见和建议,适度借鉴国外立法经验的基础上,于2003年开始起草《电子签名法》。2004年,第十届全国人大常委会第八次会议审定《电子签名法(草案)》,于2004年8月28日正式通过,并自2005年4月1日始实施;此后,《电子签名法》分别于2015年4月24日、2019年4月23日进行两次修正①2015年的修正,删除了第十八条第二款“申请人应当持电子认证许可证书依法向工商行政管理部门办理企业登记手续”;2019年的修正,缩小了电子签名适用范围的例外,允许在“涉及土地、房屋等不动产权益转让的”文书中使用电子签名。。我国《电子签名法》作为电子商务与电子政务发展历程中的里程碑,明确界定了电子签名的概念,并确定了相关的技术要求和适用条件,确认了电子签名的法律效力[3]。该法的实施对于推进我国政治、社会、经济、文化的信息化进程将产生广泛深远的影响。
《电子签名法》颁布实施10年来,电子签名逐渐影响到每个人的现实生活。在电信、银行、电子商务等服务提供商采用的交易平台上,通过触摸屏实现手写签名来签署和完成交易或服务时刻发生,但由此产生的法律纠纷也不断出现。任何影响生活方式的科技进步,最初都会受到人们固有认知的负面影响,疑虑和问题进而出现。例如,手写电子签名究竟是电子签名还是手写签名,如何对待《电子签名法》所界定的电子签名类型,都有必要进行深入的探讨。
签名是指签名行为人以书写工具或其他方式在文件上留下特定字符的行为,该行为与行为人的个体属性有着独特的对应关系,表明行为人认可文件的内容,并通过签名予以确认。传统的签名是基于可见的物理工具和载体,如笔和纸。故签名文档具有可识别的原件价值,可保存在唯一的物理空间中,并且以其原始状态被呈现和传阅,任何变化和复制在理论上都是可以识别的。然而,由于载体的改变,电子签名的变化远远超出了传统的手写签名形式。
所谓电子签名,是指能够识别与数据信息相关联的签名行为人,并表明行为人承认并同意数据信息内容的任何方法;包括电子录像录音、数字技术、生物识别技术、计算机密码与口令以及满足上述要求的任何其他技术手段,也有些学者认为非对称加密产生的数字签名是狭义的电子签名。然而,无论采用何种方法,签名能否成为有效的电子签名都取决于法律规则的界定。
1996年联合国国际贸易法委员会第85届大会通过的《电子商务示范法》第七条规定,当法律要求某人签名时,签名和数字电文必须同时满足以下要求:一是应该有一种识别签名人的方法,且能表明签名人对文件内容的批准;二是该方法可靠且适当,可适用于所有可能的情况和相关协议,并应用于数据形成和传输。联合国国际贸易法委员会于2001年3月通过了《电子签字示范法》,其中提出了电子签名的以下定义:“电子签名是数字电文中,以电子形式所依附或包含的,或和数字电文存在逻辑关系的数据,且须足以识别签名人、表示签名人确认该电文内容。”可以看出,电子签名的概念属于技术中立模式,即只要满足一定的条件,无需考察具体满足这些要求的技术条件,即可认为电子签名具有法律效力。
在我国《电子签名法》中定义的电子签名概念与上述理念是一致的。在该法第一章第二条中,将电子签名定义为“数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据”。可推之,该定义侧重于描述电子签名的功能和作用,可理解为我国电子签名的概念由以下几点构成:一是电子签名附属于数据电文,它们之间有着特定的逻辑联系和对应关系;二是电子签名以电子形式存在;三是电子签名可以识别签名人的身份,签名人应能够确认与电子签名相对应的数据电文的内容。如满足上述三点,就符合《电子签名法》所指的电子签名。进言之,判断某种形式的电子签名是否符合我国《电子签名法》的规定,是否为我国法律体系中有效的电子签名,须根据这三点来衡量和判断。可以看出,电子签名作为一种法律界定的客体,已经远远超出了“签名”一词最初的动态和静态范畴[4]。
我国《电子签名法释义》对电子签名有明确的定义。①电子签名具有多种形式,如:附着于电子文件的手写签名的数字化图像,包括采用生物笔迹辨别法所形成的图像;向收件人发出证实发送人身份的密码、计算机口令;采用特定生物技术识别工具,如指纹或是眼虹膜透视辨别法等。无论采用什么样的技术手段,只要符合本条规定的要件,就是本法所称的电子签名。虽然该解释文件只是举例说明,但结合签名的原始含义与相关技术现状,符合《电子签名法》要求的电子签名类型可分为数字签名和生物特征电子签名。
1.数字签名(Digital Signature)
数字签名是“收件人发出证实发送人身份的密码、计算机口令”方式实施电子签名的主流形式。数字签名是与传统签名迥异的“签名”形式,之所以以“签名”谓之,乃是借用传统签名对行为人进行认定并可以进行内容完整性审查这两重含义,通过公钥、私钥的加、解密来实现点对点的可信任的文件和信息交互方式。其中私钥是个人用于解密或数字签名所用,而公钥是由其公开一组用户(如商业伙伴)共享,用于加密或验证数字签名用途。使用数字签名首先需要向证书中心(CA机构)申请数字证书(Digital Certificate),作为数字凭据,证书将公钥与特定的个人相匹配,证书信息的有效性由数字证书颁发机构保证。
2.生物特征电子签名(Signature by Biometrics)
生物特征电子签名与数字签名的区别在于个人身份识别的基础不同。生物特征电子签名利用签名人的脑波、指纹、虹膜、声波、行为习惯等生理特征来识别签名人的身份,从而使电子签名发挥个体识别的作用。依据生理特征的运动状态,生物特征类电子签名可细分为两种类型:一是静态生物特征签名,即当生物特征起到个人识别的作用时,它是客观的、特定的,可通过仪器感知其自身的静态形态特征。二是动态生物特征签名,即签名识别是基于签名人的行为习惯,这种行为习惯因人而异,具有识别个体身份的功能。其中,手写电子签名是实现电子签名最成熟的方式,得到世界各国立法和社会生活习惯的认可。
数字签名与手写电子签名均是符合电子签名法要求的电子签名方式,但两者从实现手段、运用以及证据的可采信审查等方面并不相同,在一些关键节点上的差异较大,主要表现在如下方面:
数字签名必须申请数字证书,获取公、私钥后才能实现功能。而证书的有效性是由颁证机构予以保证,所以CA机构的取得相应地必须达到严格的要求,通过审核批准才能运营。手写签名作为自然人的动作习惯,以其特异性和与人身的直接关联性,历来被视为签署的“正宗”实现方式,且其地位并不因书写载体的变化而受到影响,从来不存在需要认证或授权才能实施的情形发生。
数字签名实施的为双向交互过程,是通过对签署对象(通常为数据电文)附加的验证手段,以证明其行为人意图并以此种机制达致信任。手写签名是直接带入签署对象、与其构成共同整体的签署实现方式,单方签署即实现法律效果,剩下的只是因载体变化而必须考虑的附加事项,其信任是不需证明、天然成立的。
数字签名必须视证书成立及共享程度方可实施,行为人应为自由、自愿的完全民事行为能力人。一些特定对象不能简单适用,如人身自由受限(诸如犯罪嫌疑人等)、特殊职业人群履行职务时(如讯问人员、审判人员等等)。而手写签名作为基础性的承载“签名”一词所有形式和功能的实现方式,没有任何除生理因素(包括心理原因所导致的例外情形)之外的制约,适用范围广泛。
数字签名方式因证书、密钥与人身的分离性,存在被破解、被盗用的风险,类似的风险就如同印章的使用一样,较难控制。作为与自然人不可分离的自主动作,手写签名必须由签名人自己实施,除非被胁迫,他人是不可能取得特定人的有效签名的。
数字签名与手写电子签名各有特色,可适用于不同应用场景。采用公钥体制的数字证书,安装于个人终端(包括移动终端),可针对特定的对象(或对象组)经简单设置后使用,而不用操心其复杂的后台机制,且此种方式也可与生物特征技术产生一定程度的结合,如指纹锁作为移动终端的开启密钥或支付密钥等。对于复杂对象、离散且非稳定对象的协议签署、公务履职等行为为主的电子签名场合,则更适用于手写电子签名方式。
数字签名是因为信息技术深度契入社会生活,为保障电子商务电子交易及支付的安全性、保密性,防范交易及支付过程中的欺诈行为而人为建立的一种信任机制。此种信任机制的技术方案可能有多种,但无论何种方案,均是以符合规则的行为具有不可抵赖性作为信任的基础,人的行为本身,已被此人定规则高度抽象化。所以《电子签名法》的大部分章节,在于规制此人定规则的主体,即电子认证方的行为。而对于生物特征类电子签名,只是规定了其适用性,以及作为符合要求的电子签名共性的审查性条件。
《电子签名法》第三条①“民事活动中的合同或者其他文件、单证等文书,当事人可以约定使用或者不使用电子签名、数据电文。当事人约定使用电子签名、数据电文的文书,不得仅因为其采用电子签名、数据电文的形式而否定其法律效力。”就民事活动中应用电子签名的有效性进行了规定,其范围自然包括归为人体生物特征识别之手写电子签名。手写签字形成的电子签名作为合法的电子签名类型,既有传承于传统纸质签名的、能够反映行为人书写动作习惯的实体签名,也需要满足载体、传输与保存方式以及出示方式变化而采取对应措施。此种混合型对象,其证据性审查必然异于数字签名,也同样有别于传统纸质签名。以证据性审查为基础,何为最佳的手写电子签名实现方式,自然会有所评价。在于商业、在于社会公众应用,均有着实质而现实的意义所在。