近幾日來����,不少地方開始陸續復工��。但疫情期間��,人們的當面交往仍將受限�����。拜訪�、會議可以通過電話或者視頻方式進行�,但如有需要面簽的重要合同等文件,如何簽署呢�����?有些客戶因此受到了困擾并向我們提出咨詢����,A公司是一家融資性擔保公司,詢問如何通過電子簽名方式簽約以及其法律效力的保障性如何�����?B公司是一家施工企業���,詢問在公章不便加蓋時��,是否可以用企業的電子印章代替?
筆者根據A�����、B兩家公司的客觀情況和具體需求,相應的給出了具體的解釋和法律意見。其實,上述問題并非是因為疫情產生的新問題。只是在疫情的背景下,放大了傳統紙質方式的局限和不便��,進而容易使人們重視和考慮電子簽名的應用。這對于電子簽名行業的發展無疑是有助益的�。
我國的電子簽名行業近一兩年來已經產生了加速發展的趨勢,但整體而言���,頭部公司的市場規模仍然很小���,與美國市值曾達百億美元的DocuSign相比���,仍有相當大的差距。其中原因,一方面與信用狀況��、公章使用習慣等環境因素有關�����,另一方面�����,也和人們對電子簽名的認識程度不高有關系。筆者擬通過本文,介紹對電子簽名性質、功能及其法律效力的基本理解。與各位同仁交流探討��。
一��、電子簽名和數字簽名
1�、電子簽名的定義
《電子簽名法》第2條第1款規定:“本法所稱電子簽名��,是指數據電文中以電子形式所含、所附用于識別簽名人身份并表明簽名人認可其中內容的數據。”從理解的角度,應當把握如下幾點:
首先��,電子簽名的本質是數據�����。電子簽名并不是對傳統手寫簽名的電子化�。將傳統簽名經掃描后形成電子文件并粘貼在需簽署的電子文件上,并非本條所規定的電子簽名�����。實踐中����,為了在視覺上保持與傳統簽名一致�����,在文件上常常仍會呈現有簽字或印章的圖像�����,但實質上起到簽名作用的�,是包含在簽字或印章圖像中的數據����,并非圖像本身��。
其次���,電子簽名及相應電子文檔的可驗證性需要在系統中才能夠實現�����。如果將此電子文檔打印出來,哪怕看起來顏色�����、樣式一致�,亦僅相當于傳統紙質簽名文件的復印件�����。復印件并非沒有效力�,只是其效力與原件相比�����,具有本質的差別��。
再次��,電子簽名之所以稱為“簽名”�����,是從“功能等同”的角度而言的。憑日常經驗可知����,傳統簽名的基本功能包括:確定一份文件的作者����、證實該作者同意了該文件的內容,以及表明一份文件已經制作完成并證明該文件的完整性��。
值得說明的是�����,該定義條款的內容強調了識別簽名人身份以及表明其對內容的認可�����,但并未涉及保證文件的完整性。因此���,《電子簽名法》第13條又專門規定了“可靠的電子簽名”�����,即符合下列條件的,視為可靠的電子簽名:1、電子簽名制作數據用于電子簽名時,屬于電子簽名人專有���;2、簽署時電子簽名制作數據僅由電子簽名人控制;3���、簽署后對電子簽名的任何改動能夠被發現��;4�、簽署后對數據電文內容和形式的任何改動能夠被發現��。
目前在實踐中��,在判斷電子簽名可靠性和法律效力的時候����,通常按照上述四個條件來把握。而符合上述條件的簽名方式,一般認為主要包括生物特征簽名和數字簽名�����。下文對數字簽名做概括介紹���,與通常的介紹不同的是���,筆者嘗試在介紹數字簽名的各項功能時���,將之分別與傳統簽名進行比對觀察����。
2��、數字簽名
數字簽名是一種應用不對稱密碼算法實現的電子簽名方式����,用哈希函數來驗證文件的完整性,利用時間戳技術來確定文件的形成時間�,并通過認證機構(簡稱“CA”)頒發密鑰的方式來確定密鑰對應的簽名人身份。
(1)不對稱加密
對稱加密算法情況下,加密和解密采用同一把密鑰���,接受方和發送方持有同樣的密鑰,因此���,如果接收方對文件解密后進行篡改后����,然后再加密����,則難以判定是誰進行的篡改���。這種方式有些類似于古代“判書”[2]一分為二的取信方式����,對于債務人來說��,固然可以核對債權人持有的另一半����,但對于債權人來說�,如果債務人從根本上否認持有另一半,則將使債權人陷入無從核對的境地���。
為了克服這一重大缺陷����,不對稱加密技術應運而生。不對稱技術利用兩個不同的密鑰���。一個密鑰是公開的,可以被公開分發,不需要保密;另一個密鑰是私鑰���,一方單獨持有��。用私鑰加密后,只能用配對的公鑰解密,但公鑰解密后卻不能再進行加密。私鑰持有人發送加密的文件后��,持有公鑰的接收人通過解密即可確定文件的發送人。
(2)哈希函數
為了確保文件內容未被篡改��,則需要利用Hash(哈希)函數��。哈希函數的特點是,只有完全相同的內容才可以得出相同的哈希值,任何一個字眼�����、標點的變動都會導致哈希值的變化,這種變化是完全隨機、沒有規律的�,而且���,哈希值的運算具有不可逆性�����,可以根據文件內容得出哈希值以進行比對�����,但不能通過哈希值反推出文件內容�。由此�����,可以實現對內容完整性的驗證����。
(3)認證機構
對簽名人身份的認證,是數字簽名不可或缺的配套制度。在傳統簽名環境下,接受方對簽名人身份的確認��,是通過當面驗證的方式進行的。但在網絡環境下��,需要由專門的機構來確認簽名人的身份����,確保密鑰和簽名人之間的同一性。持有通過認證機構(簡稱CA ��,英文Certificate Authority的縮寫)頒發的數字證書和密鑰��,簽名人的身份才得以確定���。
在我國,工信部是認證服務機構的行政主管部門�,根據《電子簽名法》第18條的規定����,從事電子認證服務,應當獲得工信部的許可���,取得認證資格的電子認證服務提供者,應當按照工信部的規定在互聯網上公布其名稱�����、許可證號等信息�。
(4)可信時間戳
傳統簽名環境下,書面文件的形成時間通常在文件落款處����,由簽名人注明����。但在計算機環境下,卻需要可信時間戳(Time stamp)技術來確定文件的形成時間����。因為計算機的時鐘是可以任意調整的��,在個人計算機設備上所記錄的電子文件的形成時間并不具備可靠性��。利用“可信時間戳”��,即由可信的第三方時間戳服務中心頒發的證明電子文件產生時間的電子憑證,可以保證電子文件的形成時間的確定性�����。
通過以上技術和服務機制�����,數字簽名的大致流程為:簽名人先向CA機構申請身份認證并獲得密鑰����,包括私鑰和密鑰����,私鑰自行妥善保管��,公鑰相應分發�。發送電子文檔時,先用哈希函數將文件生成摘要,然后用私鑰對這個摘要進行加密��,隨后將加密后的摘要作為數字簽名信息和電子文檔一起發送給接收方,接收方收到電子文檔和加密的摘要信息后,一方面用公鑰對加密摘要進行解密,解密得以確認簽名人身份以及獲得摘要信息���,另一方面用哈希函數對電子文檔進行計算并得出摘要����,兩相比對,如果一致�����,則可以確認該電子文檔是完整的��。
3�、數字證書的申請和司法審查
依上述分析可見�,通過CA機構認證的數字證書是確定簽名人身份�、確保密鑰和簽名人之間同一性的關鍵因素����。數字證書分為兩類�����,一類稱為“軟證書”��,即文件數字證書�����,可存放在電腦里或托管在云服務器上��;另一類稱為“硬證書”���,存放在類似U 盤的USBkey 里�。從法律效力上講,這兩類數字證書并無不同��。
社會公眾使用的數字證書應由獲得工信部《電子認證服務許可證》的CA 機構頒發;而每個合法的CA 機構應提供電子簽名認證證書目錄信息查詢服務以及提供電子簽名認證證書狀態信息查詢服務�����。
從司法實踐的角度來講���,法官應首先查明如下事實:(1)用于電子簽名的數字證書是否系工信部許可的CA 機構頒發�����;(2)數字證書屬于誰所有以及將數字證書頒發給電子簽名人的過程。從技術上來講�,可以通過三種方式確保簽署時數字證書由電子簽名人控制:其一是通過電子簽名人設置簽名密碼���;其二是系統下發驗證碼到電子簽名人提供的手機或郵箱,或提供驗證碼生成器給電子簽名人����,通過電子簽名人回填驗證碼的方式確保數字證書由電子簽名人控制��;其三是通過EID 調用數字證書。[3]如下案例涉及到訴訟中對數字簽名的認證�,可供參考:
北京市海淀區人民法院(2016)京0108民初第17220號民事判決書:對游戲而言,apk是執行程序���,數據包是鏈接數據,apk包的數字簽名是權利人在自己的程序上打上的標記用于指示游戲來源����,一般具有唯一性���。目前��,apk數字簽名是Android系統要求必須具備的����,一款程序要想上線Android系統�,必須要在該應用程序中體現自身的簽名��,用來標識程序作者和程序的對應性���。
本案在對公證保全的游戲程序下載到手機后��,原告的技術人員對該apk包進行了反編譯�,破解出該apk包的數字簽名,證明了公證保全的游戲與被告運營的游戲之間的一致性�����。本案不僅確立了游戲apk包數字簽名可以確定游戲歸屬的主體的原則���,其勘驗過程也對實踐中如何進行勘驗操作有指引作用�。
二、電子印章
電子印章是數字簽名的一種特別方式�,在電子政務�����、電子商務等領域已獲得較為廣泛的運用�����。在法律實務工作中也常常會碰到,比如有些地方的工商內檔、法院的案卷檔案中��,已經使用電子印章技術��。企業在民商事領域當中使用電子簽名時,也通常將數字簽名信息捆綁在圖像化顯示的電子印章中。
1��、電子印章的本質和定義
上海市人民政府2018年發布的《上海市電子印章管理暫行辦法》滬府辦規〔2018〕29號第2條將電子印章定義為:“本辦法所指的電子印章�����,是可靠電子簽名的可視化表現形式,以密碼技術為核心,將數字證書���、簽名密鑰與實物印章圖像有效綁定��,用于實現各類電子文檔完整性、真實性和不可抵賴性的圖形化電子簽名制作數據。”
電子印章的圖像化顯示�����,僅僅是為了契合使用傳統印章的習慣性視覺體驗�����,實現簽名功能的并非印章圖像,而是其內含或綁定的電子簽名���。前文已述�����,電子簽名是一種數據和信息�,其雖然可以實現與傳統簽名同樣的功能,但實現簽名功能的邏輯卻還是存在著重大的區別�����。
傳統印章的取信邏輯是印章圖像與實體印章的同一性以及實體印章和簽名人的關聯性�����,電子印章的取信邏輯則是簽名數據與簽名人之間的關聯性���。對于保證文件完整性的功能,傳統印章加蓋的文件原件本身即可保證文件的完整性���,如被改動可以發現��,這是最簡單的日常經驗�����,而電子簽名則需要通過非常專業的技術,通常是哈希函數的特性來驗證文件的完整性�����。文件形成時間,傳統方式下通過簽名人注明����,電子簽名則需要通過可信時間戳服務機構提供的時間證書服務�����。
將上述一系列數字簽名的信息打包附在電子文檔中���,并在電子文檔中添加實體印章圖像,便形成了最終的簽名結果�,一般為pdf格式的文件�。目前電子印章在企業工商登記�����、稅務�����、海關等電子政務以及招投標����、電子發票��、電子病例��、電子合同等民事交易中已有普遍應用��,其基本原理均類似。
2、電子印章的效力和規范依據
電子印章本質上是數字簽名�,因此���,其法律上的效力依據最基礎和重要的是《電子簽名法》�����。由于電子印章應用日益廣泛�,有些地方政府部門圍繞電子印章的效力�����、使用范圍等方面做出了相應規定��。以《上海市電子印章管理暫行辦法》為例�����,其第2條規定:“電子印章綁定的數字證書�����,應由依法設立的電子認證服務機構提供。基于電子印章實現的可靠電子簽名與手寫簽名或蓋章有同等法律效力���,不得因其采用電子化表現形式而否定其法律效力�,電子簽名相關法律明確不適用的情形除外�。”
第16條規定了使用范圍:“本市各類政務辦公���、公共管理和社會公共服務活動可使用電子印章����,對公文����、證照�、協議、憑據����、流轉單等各類電子文檔進行簽章�����。鼓勵自然人���、法人和非法人組織在經濟和社會活動領域中使用電子印章。本市各級行政機關�、履行公共管理和服務職能的事業單位不得拒絕電子印章的使用,法律法規規定不適用的情形除外���。”
3�����、電子印章打印件的性質和效力
關于電子印章打印件的效力�����,上述《上海市電子印章管理暫行辦法》第18條作出了規定,將之視為復印件:“加蓋電子印章的公文�����、證照�����、協議���、憑據、流轉單等各類電子文檔�,與加蓋實物印章的紙質書面材料具有同等法律效力;經過打印或其他電子格式轉換的����,不具備同等法律效力��,視同復印件���。”
不同的是《三亞市電子印章管理暫行辦法》����,其第四條規定:“加蓋電子公章的電子公文與加蓋實物公章的紙質公文具有同等法律效力���。通過認證并按照規定打印而成的紙質公文具有公文的法律效力,但電子公文其他方式的打印稿、復印稿或經任何形式的電子格式轉換稿不具備相同的法律效力�����。”
三亞市的規定特別強調了“按照規定”打印��,但具體如何判斷真偽,確定文件是由規定的方式打印而成的,實踐中可能還是一個難題。筆者理解���,雖然電子政務中�,以及銀行等面向大眾的機構在某些經營業務中�,已經較為經常的使用電子印章的打印件�,但此時人們信任該打印件的邏輯自有不同�,是基于對行政機關�、銀行等機構信任��,而不是對該打印件上印章的信任���。
4���、電子印章的申請和使用
電子印章使用人首先需要向電子印章服務機構提出申請�����,服務機構在履行相應手續后�,為申請者制作電子印章,并提交給申請者。例如,《上海市電子印章管理暫行辦法》第7條規定:申請電子公章、電子職務章按照實體印章相關管理規定刻制實物印章后����,申請制發。申請電子公章的���,應提供單位或機構以及經辦人的合法身份證明材料��;申請電子職務章的����,應提供持有人�、所在單位或機構以及經辦人的合法身份證明材料����。
電子印章產品提供商給用戶提供電子印章的同時,還會提供一套電子印章客戶端系統���。這套系統應該安裝在電子印章保管者所使用的終端電腦中�����。電子印章客戶端系統的主要作用就是用于進行蓋章��、驗章以及電子印章管理等��。
驗證帶有電子印章的電子文書時��,也需要裝有電子印章客戶端系統的終端電腦���。當帶有電子印章的電子文書被打開后,電子印章客戶端系統會自動驗證該電子文書的電子印章是否有效。如果電子文書被非授權修改過����,或電子印章是被復制粘貼在當前的電子文書上的����,則客戶端系統能夠發現并立即警告,且使得電子印章不能正常顯示����。
5����、電子印章的內部管理
在電子印章的內部管理和控制層面,有著與傳統印章同樣的涉及權力配置以及相應制度安排的問題�����。與傳統印章不同的是,電子印章的使用可以更方便的實現雙人控制,因為一般用章流程需要軟件系統和密鑰的配合,這樣可以將之分別由不同的人員管理����。同時���,電子印章配合OA系統,申請、審批和使用全部在網上完成,也可以更好的實現責任追溯�����。在驗證環節���,如果接收方也裝有電子印章客戶端系統���,在收到發件人的電子印章后�����,可以方便的檢驗章本身的真偽,而在傳統蓋章條件下,接收蓋章文件的一方�,除非有預留印鑒可供比對�,否則,通常無從核實印章本身的真偽����。
三���、結語
疫情終將過去���,工作與生活很快會重回軌道。電子簽名因為疫情的原因受到了人們額外的重視��,而其自身發展��,則仍會遵循內在的規律和邏輯����。電子簽名當然也會帶來新的問題,但對于解決當前傳統蓋章的局限�,對于改善信任環境,必然會有積極的作用���。
基于上述分析梳理,應可以使大家對電子簽名和電子印章有一個更全面和清晰的了解��。概括而言��,對于希望使用電子簽名的企業而言�����,應當重視《電子簽名法》的規范作用�,選擇服務機構時�,要注意審查服務機構的資質,并且在申請環節和使用管理環節�����,都需要加強規范和控制�����。
注釋
[1] 標題:本文的主體內容摘錄自拙著《公章法論:原理與案例》第八章�����,有刪改����。
[2] 參見拙著《公章法論:原理與案例》,法律出版社2019年12月,第8~9頁�。
[3] 參見梅臻:《<電子簽名法>適用的難點問題探析》���,載《法律適用》2016年第3期���。
