前沿观察,

电子签名法律问题,看这一篇就够了

中国 | 中文
所在网站 :    中国   |   中文
澳大利亚
中国香港特别行政区
新加坡
美国
全球

作者:何放(合伙人)王波(律师)

相信每个人都曾经在最初几次经历微信红包发发发和淘宝上买买买时候都会问自己和亲友:手机或鼠标一按钱就出去或进来了,这个究竟靠谱吗?实际上这些应用都是电子签名在互联网和数字化技术在今天日常生活中的普及。除了上述的电子商务网络,在商事活动中,很多文书都已经采用了电子文件的方式传输、保存。然而,在习惯上被人们认为比电子商务买卖交易更为严谨的法律文书领域基本上还是电子文件的禁区或盲区,实践中需要签署正式法律文书时,当事人还是会把文件打印出来后,采用传统的方式盖章或签字,这无疑大大增加了法律文书签署的时间成本。由于"萝卜章"的普遍客观存在,传统方式盖章或签字还未必可靠。

上述情况出现的原因一方面是长期以来有关电子签名的法律规范缺失,司法界无法可依,因此对电子法律文书的真实性倾向于不认可;二是普通公众的传统观念认为电子文件易于篡改无法保证真实性。

2005出台的《中华人民共和国电子签名法》(2015年又经过修订,以下简称其为《电子签名法》)为电子法律文书的有效性认定提供了司法依据;随着计算机科学、密码学的发展,保证电子文件不可篡改的技术越来越成熟,公众的观念慢慢发生转变,法律文书电子化普及逐渐出现曙光。

本文以《电子签名法》为依据,从电子签名的定义、电子签名的实现方式、电子签名的应用、司法实践对电子签名的认可情况四个方面简介电子签名,以期对法律文书的电子化实务操作提供参考。

电子签名的概念

1. 传统签名的功能

为理解电子签名的概念,需要先简单回顾传统签名(包括手写签名、按手印、盖章)的概念和功能特点。传统签名有两层含义:第一层含义作为名词,指的是一种印记;第二层含义是动词,指的是行为人留下上述印记的过程。传统签名的功能有二:(1)就能确定签名人的身份;(2)签名人对所签文件内容予以认可。传统签名的上述功能是基于这样的共识(或称假设):

  • 手写签名或者盖章能够与签名人唯一对应:这假设的是每个人的手写笔迹不同、每个人的印章不同,并且私刻印章、仿冒他人签名难以实现;
  • 在纸质文件上签字或者盖章则推定签字人认可该文件记载的内容:这假设的是理性人不会在不看文件内容的情况下在文件上签字或者盖章;
  • 一经签字或者盖章的文件,就无法被修改:这假设的是对于打印在纸质文件上的内容和盖上文件上的签章进行修改在技术上难以实现。

2. 电子签名的概念

与传统签名的理解相似,"电子签名"一词也有两层含义:第一层含义为名词,表示一种数据。2005年4月1日起施行的《中华人民共和国电子签名法》(2015年修订,下称《电子签名法》)第二条,借鉴了传统签名的功能,从功能、效果的角度对电子签名进行了定义:本法所称电子签名,是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据,本法所称数据电文,是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。并在第十三条中,进一步规定了可靠的电子签名应当满足的条件:(一)电子签名制作数据用于电子签名时,属于电子签名人专有;(二)签署时电子签名制作数据仅由电子签名人控制;(三)签署后对电子签名的任何改动能够被发现;(四)签署后对数据电文内容和形式的任何改动能够被发现。《电子签名法》第十四条明确:可靠的电子签名与手写签名或者盖章具有同等的法律效力。

"电子签名"的第二层含义也为动词,即行为人生成上述数据的过程(或者方法),例如《电子签名法》第三十四条第(四)项:电子签名制作数据,是指在电子签名过程中使用的,将电子签名与电子签名人可靠地联系起来的字符、编码等数据。

从上述定义可以看出,《电子签名法》对电子签名的定义,实际是规定了电子签名的形式(电子形式、包含于数据电文中),并从功能、效果的角度对电子签名提出的要求,并没有具体限定电子签名的具体实现方式或技术手段。

电子签名的实现方式

如上文所述,目前的法律仅规定了电子签名的形式,并从功能、效果的角度对电子签名提出要求,而未指定具体的实现方式或者技术手段,因此理论上讲能够满足法律法规要求的数据电文、电子签名的表现形态并不唯一。只要采用满足法律法规对电子签名要求的实现方式,那么该电子签名与手写签名具有同样的法律效力。

从技术的角度而言,电子签名的实现方式有可能包括:

  • 基于PKI(Public Key Infrastructure,即公钥基础设施)的公钥密码技术的数字签名;
  • 以生物特征(手纹、声音、虹膜)提取数据为基础的签名;
  • 一个让收件人能识别发件人身份的密码代号、密码或个人识别码PIN;

目前,上述第1种实现方式已经被司法实践直接认定有效。第1种实现方式的核心是数字签名、权威认证机构(CA)和可信时间戳,该方式是利用密码学成果,借助技术手段保证电子签名的可靠性,也是目前世界范围内最广为接受的电子签名实现方法之一。本部分对该种实现方式的原理作简要介绍。

1. 数字签名

数字签名是电子签名的一种具体实现,是一个技术术语而非法律术语,因此法律法规并没有对数字签名进行定义。数字签名也代表两层含义,第一层含义为名词,代表一种附在电子文件后的一种数据,这种数据能电子文件接收者识别出任何人对电子文件的任何修改。数字签名的第二层含义代表一整套用于产生上述数据的方法流程。

数字签名的简化流程大致为:发送数据电文时,发送方用一个哈希函数(HASH)从数据电文文本中生成数据电文摘要,然后用自己的私钥对这个摘要进行加密,这个加密后的摘要将作为数据电文的数字签名和数据电文一起发送给接收方,接收方首先用与发送方一样的哈希函数从接收到的原始数据电文中计算出数据电文摘要,接着再用发送方的公钥来对数据电文附加的数字签名进行解密,如果这两个摘要相同,那么接收方就能确认该数字签名是发送方的。流程图如下:

 

图1

关于哈希函数(HASH):哈希函数是一种特殊的数据处理方法,实现方式不唯一,典型的实现方式有MD5和SHA。但这些实现方式有着若干共同的性质。可以将哈希函数理解为一个黑盒,这个黑盒有一个输入端(输入数据电文),一个输出端(输出摘要),并且这个黑盒具有如下性质:

  • 在输入端输入任意长度的比特流,输出端都会输出一个固定长度的比特流;
  • 从输入通过黑盒计算输出很容易,但从输出反向推算输入在计算机上不可行;
  • 输出的空间远小于输入的空间,因此理论上存在碰撞(即不同的输入结果对应相同的输出结果),但是:找到碰撞输入在计算上不可行。

关于私钥和公钥:私钥和公钥是非对称加密中的概念。非对称加密有如下性质:

  • 公钥和私钥总是成对的,一个公钥有一个唯一对应的私钥;
  • 用公钥加密的数据,只能用与该公钥对应的私钥解密;用私钥加密的数据,也只能用与该私钥对应的公钥解密;
  • 私钥为加密人私有,而公钥是公开的。

通过上述实现方式可以看出,数字签名有如下特点:(一)数字签名制作数据,即私钥,由签名人持有,因此签名人签署数据电文时私钥受签名人控制;(二)签署后,如果签名人对签名进行改动,也即改动了对数据电文摘要的加密值,那么这种改动将轻易被识别,因为这种改动将导致用公钥解密的失败,或者导致用公钥解密后所得到的摘要值与所收到的数据电文再次经过哈希运算后的摘要值不符;(三)签署后,如果签名人对数据电文进行了改动,那么这种改动也很轻易可以被识别,因为根据哈希函数的性质,该改动后的数据电文经过哈希运算后,生成的摘要会不同于改动前的数据电文所生成的摘要。

对比数字签名的特点和《电子签名法》对电子签名的要求,不难发现,数字签名尚未解决私钥为签名人专有的问题。解决该问题的实现方式是通过权威认证机构。

2. 权威认证机构

权威认证机构包括证书认证中心(Certificate Authority,简称CA)和注册认证中心(Registration Authority,简称RA)。RA负责对用户进行身份审核,审核通过后通知CA向用户签发数字证书(内含公钥和证书所有者信息)。

由于公钥和私钥是一一对应的,并且权威认证机构是可信第三方,因此CA签发的数字证书记载了公钥和证书所有者信息,实际就解决了私钥为签名人专有的问题。

事实上,权威认证机构的工作还需要负责数字证书保存的目录服务器、能安全通信的Web服务器和应用系统接口等其它组件的配合,这些组件组成一个完整的体系,就叫做公钥基础设施(Public Key Infrastructure,简称PKI)。

3. 可信时间戳

时间对于法律文件(例如合同)而言是极为重要的因素。传统纸质法律文件的形成时间一般是通过当事人在文件中写明签订时间来实现的,由于社会对"签订的文件难以修改"达成共识,因此对于传统的纸质文件,即使文件属于倒签,法律上也会优先推定文件中列明的签订时间即为事实上的文件签订时间,除非有邮局(一种可信第三方)邮戳等其它证据作为反证。

时间戳(Time stamp)是一种计算机术语,是指电子文件产生的时间。个人计算机产生电子文件后的时间取决于该台计算机设备的时钟,而此类时钟可以任意修改,因此在普通个人计算机设备上形成的电子文件的时间戳因难以证明不可篡改性而没有一般意义上的证据效力。

但一个国家的标准时间是具有权威性的,每个国家的标准时间由各国权威授时中心管理。"可信时间戳"就是由可信的第三方时间戳服务中心(TSA)颁发的证明电子文件产生时间的电子凭证。

电子签名的应用

《电子签名法》第三条明确,电子签名适用于民事活动中的合同或者其他文件、单证等文书,但排除了电子签名在下列法律文书中的适用:(1)涉及婚姻、收养、继承等人身关系的;(2)涉及土地、房屋等不动产权益转让的;(3)涉及停止供水、供热、供气、供电等公用事业服务的;(4)法律、行政法规规定的不适用电子文书的其他情形。

目前,实务中数字签名已经被应用到平等主体之间的商事合同、雇主与雇员的劳动合同以及部分行政管理性文书中。下文将简介数字签名在签订电子合同和签署行政管理文件两类情况中的应用。

1. 数字签名在电子合同中的应用

(1)电子合同的概念

本文的电子合同指依据《中华人民共和国合同法》(下称《合同法》)第十一条,采用数据电文的形式订立的合同。关于数据电文,除了上述《电子签名法》第二条对其的定义外,《合同法》第十一条还给出了数据电文的五种表现形式:包括电报、电传、传真、电子数据交换和电子邮件。

根据《合同法》第十一条规定,采用数据电文形式订立的合同与传统的纸质合同一样属于书面合同,也即宏观上《合同法》认可电子合同形式上的有效性。《电子签名法》第四至第八条明确了数据电文的真实性标准。《电子签名法》第十三条、第十四条对可靠的电子签名的要求及效力规定,为利用电子签名签订电子合同提供了法律依据。

目前,法律法规对于数据电文真实性标准的规定集中体现在《电子签名法》第四至第八条中,整体可概括为"可读、可保存、可识别、真实"四个方面。

《电子签名法》对数据电文真实性提出的要求,也均为在功能和效果方面的要求,而未指定其具体实现方式或操作步骤。换言之,理论上讲存在多种技术手段或实现方式,均能实现我国法律对数据电文"可读、可保存、可识别、真实"的真实性要求,并且只要能够达到前述真实性要求,那么该数据电文即被视为满足法律、法规规定的原件形式要求,而以该数据电文形式订立的电子合同法律效力就等同于传统的纸质书面合同。

(2)使用数字签名方式签订电子合同的实践操作

实践中,通过数字签名的实现方式签订电子合同,通常需要有四方介入:

  • 权威认证机构:权威认证机构的成立需要符合《电子签名法》、《商用密码管理条例》、《中华人民共和国计算机信息系统安全保护条例》等法律法规的规定,至少拥有《商用密码产品生产定点单位证书》、《商用密码产品销售许可证》、《商用密码产品型号证书》;
  • 合同签订人;
  • 电子合同服务平台(中介);
  • 可信第三方时间戳服务中心,目前我国的可信第三方时间戳服务中心为联合信任时间戳服务中心,网址:www.tsa.cn。

三方的逻辑关系如下图:

 

图2

关于权威认证机构的功能上文已经介绍,此处不再赘述。电子合同服务平台的作用主要是代理合同签订人与权威认证机构和可信时间戳服务中心交互,完成身份认证、数字证书申请、盖时间戳、电子合同存储等工作,简化合同签订人订立电子合同的操作。

目前电子合同服务平台较多,较流行的包括云签、法大大、e签宝、上上签、DocuSign等。这些电子合同服务平台原理均相同,功能和使用流程都大同小异。

2. 数字签名在签署行政管理文件中的应用

上文的图2中示出了一个包括了电子合同服务平台、权威认证中心的电子合同签订系统模型,该模型的基础是采用数字签名保证数据电文的真实性。

事实上,同样利用数字签名保证数据电文的真实性,图2所示的系统模型稍加变化(见下图3),将其中的"电子合同服务平台"替换为具有不同功能的电子政务平台,则该模型还可以用于公众与政府管理部门之间的可靠数据通信。

 

图3

目前社会公众采用图3所示模型与政府管理部门进行数据通信的典型应用包括:专利、商标的电子申请、税务电子申报、跨境电商进口数据申报(向公共数据中心"中国电子口岸"申报)等。

以专利的电子申请为例,国家知识产权局开发(或委托开发)了一套在线提交专利申请的电子平台(相当于图2中的电子合同服务平台),专利代理机构获得国家知识产权局批准成立后,可以向国家知识产权局申请开通电子提交业务,国家知识产权局将代为向权威认证机构申请数字证书和密钥信息,再将私钥分发给专利代理机构,从而专利代理机构可以对所提交文件进行数字签名,以数据电文形式向国家知识产权局提交材料,知识产权局通过验证专利代理机构的数字签名,确认专利代理机构所提交的数据电文的真实性和专利代理机构的身份。商标代理机构的电子提交方式与专利代理机构类似,不再赘述。

另,广东省人大常委会审议《广东省工商登记管理条例(草案)》第四章,对"全程电子化登记"作了专门规定,明确了电子文件、电子档案以及电子签名的法律效力,规定"全程电子化登记中,加具电子签名的电子文件、电子档案与纸质形式材料具有同等法律效力","全程电子化登记涉及的电子签名与手写签名或者盖章具有同等的法律效力"。因此广东省的企业工商登记也有望采用以数字签名为基础的电子化登记方式。

司法实践对电子签名及电子合同的认可情况

目前还未检索到因电子签名签署的行政管理文件的有效性引发的案例。以下列出部分电子合同的有效性案例

1. 数字签名方式签订电子合同有效性的案例

案例1(司法案例):(2015)深福法民二初字第1164号,原被告通过合拍在线网站(一个电子合同服务平台,为用户提供申请数字证书等中介服务)在线签署了《借款及担保合同》、《委托担保协议书》,广东省深圳市福田区人民法院依据《电子签名法》第十四条,直接认定了该《借款及担保合同》、《委托担保协议书》合法有效。

案例2(劳动仲裁案例):申请人张某使用加载eID的工商银行金融IC卡在电子合同缔约平台法大大注册了账号,并与上海某公司签订了一份线上劳动合同,后申请人质疑线上劳动合同的无法律效力,并要求企业依照相关条文规定支付二倍工资。2016年7月,上海市嘉定区劳动人事争议仲裁委员会作出裁定,认为当事双方在平等自愿的基础上,通过国家认可的电子签名平台以电子形式签订劳动合同,符合《电子签名法》的相关规定,该合同真实有效,驳回了申请人的请求。

在2016年9月26日央视10套《科技之光》节目对这起案例进行了报道,并邀请工信部特约顾问郭宏杰先生针对公安部公民网络电子身份标识(eID)、电子签名、电子票据等热门问题进行了解答。

2. 其它涉及数据电文或者电子合同真实性的案例

如上文所述,目前法律对于数据电文的真实性,仅从功能和效果的角度提出了要求,因此理论上讲,达到这一要求的方式并不唯一,数字签名仅是其中一种实现方式。

下表中列出了近期法院认可电子合同/数据电文真实性的相关案例,这些案例表明:如果有其它证据或者方式证明数据电文的真实性,司法机关并不排斥数据电文作为证据,也并不否认以数据电文方式签订的电子合同的有效性。

案号  审理法院  案由  案情简介 
(2016)云0111民初3711号  云南省昆明市官渡区人民法院  借款合同纠纷  原告栗玉云号被告洪正坤在昆明小微企业金融交易服务有限公司的运营的在线交易平台上以电子合同的形式签订了《借款合同》,后因该合同产生纠纷诉至法院。
法院最终认定原、被告通过第三人的电子交易平台,分别与电子交易平台经营者、管理者签订合同,约定同意使用电子签名、数据电文签订合同的,则交易双方形成采用电子签名、数据电文的电子合同为有效。
 
(2011)金义商初字第3006号  浙江省义乌市人民法院  借款合同纠纷  被告浙江日晟进出口有限公司与原告中国建设银行股份有限公司义乌分行签订《网上银行企业客户服务协议》,约定向原告申请成为网上银行企业服务客户,同时还申请了网上银行企业客户证书和密码,并约定借款人的证书和密码是借款人进入网上银行系统办理交易时确认身份的唯一有效凭证。
遂原被告以电子合同形式签订《保证金质押合同》,后因该合同发生纠纷诉至法院。法院直接依该合同判令被告还款,也即确认了该电子合同有效。
 
(2011)杭滨商初字第178号  浙江省杭州市滨江区人民法院  借款合同纠纷  被告通过阿某某用贷款网站与原告通过在线方式签订电子版的《贷款合同》,原告遂依该电子合同向被告经过实名认证的支付宝账户放贷。后原被告双方因合同发生纠纷。
法院根据《电子签名法》认定该贷款合同有效。 

3. 目前关于电子签名的司法实践存在的问题

有关电子签名的数据电文、电子合同有效性问题,涉及较为复杂的技术知识,且属于新兴事务。目前司法界相关的审判经验不多,司法审判时存在对"电子签名制作数据"、"电子签名"、"数字签名"、"用户密码"等概念的认知偏差,这有可能导致司法实践中对于数据电文和电子合同有效性认定的条件,与《电子签名法》的规定出现偏差的情况。例如以下两个案例:

(2008)浙民二中字第154号案件中,原告杨甲在被告期货交易公司处开户后,原告凭用户名和口令(口令系原告自己设置,被告并不知晓)可登录被告的信息系统委托被告代理期货交易。后原告否认某笔交易系其委托,与被告产生纠纷并诉至法院。浙江高院在二审时,基于用户口令的私有性、惟一性和秘密性的特征,认定用户口令是可靠的数字签名,与书面签名一样具有同等效力,进而认定原对被告的委托(实际是一份委托电子合同)有效。

类似的,(2014)深中法商终字第249号案件中,原告蔡建国在被告中国银行股份有限公司深圳锦绣支行处办理借记卡,并设定用户口令(口令系原告自己设置,被告并不知晓)。原告可凭借记卡在被告设立的ATM机上取款,取款时需要同时提供借记卡并输入用户口令。后原告借记卡被盗刷,深圳中院认为:被告未能识别伪造的借记卡,存在过错;而原告的用户口令具有私有性、唯一性和秘密性特征,起到电子签名的作用,并推定原告对密码泄露存在过错,最终判令双方各自承担责任。

此处对于上述两案件的法律适用和裁判结果并不作分析,仅简单讨论案件审判中关于电子签名的事实审理和认定部分。浙江高院将用户的登陆平台的口令认定为非对称加密中的私钥,同时又认为用户口令属于数字签名,这一认定值得商榷。深圳中院也同样认为用户口令是数字签名。事实上,根据《电子签名法》第三十四条第(四)项对电子签名制作数据的解释和用户口令与私钥在整个电子签名中的作用,用户口令与私钥都属于电子签名制作数据,用户口令本身不构成电子签名。我们认为上述两案件中,法院固然应当审查用户口令的私有性、唯一性和秘密性,这对于确认数据电文和电子签名产生过程的可靠性至关重要,但我们还认为,法院也应当同时审查(1)被告信息系统所采用的数据电文或电子签名的生成方式、传输方式以及接收方的接收方式、验签方式具体是什么;(2)这些方式是否满足《电子签名法》规定的数据电文的真实性条件。根据电子签名和电子合同有效成立的法律要件,法院只有在完全审查并确认举证义务方所证明的数据电文、电子签名在产生、传输和接收过程中均是可靠的情况下才能达到没有偏差的审理结果。

基于上述司法实践,对于电子合同而言,我们认为采用图2所示的电子合同实现方式所签订的电子合同比较容易在目前的司法实践中被认定为有效。对于签署行政管理文件而言,其目前的实用性主要取决于行政主管部门的电子政务平台建设。如利用行政主管部门所指定的电子政务平台、严格按照主管部门规定的操作流程提交或者交互数据电文,则该数据电文一般会被认为有效。

最新文章
前沿观察
近年来,很多以拓展海外业务为发展重心的中国企业已经注意到多边开发银行制裁对企业声誉及海外市场拓展的负面影响,努力通过合规体系建设等方式,成功地解除了多边开发银行的制裁。但是我们注意到,还有一些被制裁企业迟迟不采取行动,长期滞留在制裁名单上,甚至由于未及时解禁就参与新项目的投标,遭到二次加重制裁的。本文将结合团队多次代理企业获得解禁的成功经验,从企业发展的角度分享被制裁企业及时解除制裁的重要性与必要性。争议解决与诉讼-合规调查及公司治理,金融机构-多边开发性金融机构

2024/10/28

前沿观察
前一篇解读中(详见:保险业数据合规系列解读之二——保险业数据合规的法律体系),我们详细梳理了保险业数据合规的法律体系,特别是个人信息保护相关法律体系。同时,我们理解保险公司作为重要的金融服务提供者,在风险保障、服务优化和产品创新的过程中,需广泛收集并处理大量个人信息。这些信息不仅限于投保人的基本身份数据,还包括涉及个人隐私的健康状况、财务信息、财产登记及历史索赔记录等敏感个人信息。依法合规地管理和保护这些个人信息,不仅是保险公司履行法律责任的基本要求,也是增强客户信任、提升服务质量、维护市场声誉的重要保障。 近年来,《个人信息保护法》《网络安全法》《数据安全法》以及《网络数据安全管理条例》等相关法律法规的出台和实施,进一步对保险公司在个人信息的收集、使用、存储和传输等方面提出了更为严格的要求。本文将在前期解读的基础上,结合现行法律法规的规定,系统梳理保险公司在投保、核保、理赔及客服等关键环节中涉及的个人信息处理要求,并重点分析在实际操作中的合规义务和挑战,为保险行业数据合规实践提供参考。合规业务-网络安全与数据合规,保险,电信、传媒、娱乐与高科技-数据及隐私权保护

2024/10/28

前沿观察
10月23日,工业和信息化部组织召开增值电信业务扩大对外开放试点工作座谈会,正式启动北京、上海、海南、深圳四地增值电信业务扩大对外开放试点工作,并向北京、上海、海南、深圳四地发放开展试点复文。试点实施后,外资可在试点地区独资经营互联网数据中心(IDC)、在线数据处理与交易处理等电信业务,进入中国算力、云服务等市场。今年4月10日,工信部发布《关于开展增值电信业务扩大对外开放试点工作的通告》(工信部通信函〔2024〕107号)(以下简称《试点通告》)。(参见前期文章:千呼万唤始出来——解读工信部《关于开展增值电信业务扩大对外开放试点工作的通告》;花开堪折直须折,莫待无花空折枝——深入解读增值电信业务扩大对外开放试点工作)《试点通告》在北京、上海、海南、深圳四地试点对外扩大开放增值电信业务,并同时向四地发放复文,可以说是我国自加入WTO以来在增值电信业务领域实施的最大开放力度的试点工作,国内外相关企业对此高度关注。我们结合前期解读和业务经验,对增值电信业务开放试点进行梳理分析,以供社会各界参考。合规业务-网络安全与数据合规,数字经济,电信、传媒、娱乐与高科技-电信

2024/10/25