一、电子签章的涵义及其技术原理
电子签章是物理印章体系的电子化和网络化,是电子网络中的身份确认与授权“手段”,它将现代科学技术和人们的传统习惯结合在一起。是传统印章发展到信息社会后的一个新的阶段。
电子签章通过使用硬软件技术,以电子化的方式模拟物理印章的使用,使用户在电子政务,电子商务等活动中拥有一种符合传统用章习惯的应用体验;同时,电子印章又采用了先进的加密、签名、信息隐藏等安全技术,从而使其具有物理印章不可比拟的安全性和可追溯性。
电子签章本质上属于信息安全技术应用,它的原理是采用了数字签名技术。了解这一点对分析电子签章的法律性十分重要。而数字签名是信息安全领域内的一项核心技术,它保证了完整性和不可否认性这两个重要的信息安全要求,等同于传统纸质签名的作用。
数字签名是基于非对称加密原理,其产生过程在实务操作中运作如下:签名时,先对被签名的信息数据进行一种数字摘要式的运算,从而得到被签名数据的摘要数据,即特征值。特征值的特点在于能代表产生它的源数据,源数据变了,特征值也会随之改变。然后签名者用只有他本人控制的私钥对上述特征值进行加密运算,得到的加密结果即数字签名。验证签名时,验证者用签名者的公钥对数字签名进行解密。根据非对称加密原理,私钥的加密结果只有用对应的公钥才能正确解密。如果解密成功了,说明这个数字签名只能是用签名者的私钥加密生成的,而私钥只有本人控制,所以签名者的身份可确认,即保证了信息的不可否认性;然后验证者对被签名数据进行同样的数字摘要运算,将得到的结果和数字签名解密结果进行对比,根据数字摘要技术原理,如果对比结果一致,说明被签名数据在验证时与签名时相同,否则说明被签名数据在验证时已被篡改,这样就保证了信息的完整性。
由于上述过程并不能反映用户在现实中的真实身份,因此实际签名应用中需要一种机制用以标明签名用户的真实社会身份,其他用户也可以通过这种机制对其身份进行验证。因此CA应运而生了。CA是认证中心的英文Certification Authority的缩写,是互联网数据传输的权威性、可信赖性及公正性的第三方机构。CA为计算机网络中各个实体(个人、组织、单位)颁发数字证书,以证明各实体身份的真实性,并负责在交易中检验和管理证书。这样签名者的身份就由一个被广泛信任的第三方机构所担责和背书。同时CA证书包含了公钥,使得复杂的PKI技术以一种更简单,更符合人们使用习惯的应用形式出现。因此在实际数字签名应用中,都是使用数字证书而不是公钥。
电子签章技术产品已经广泛应用到社会生活的的许多方面,如政府公文流转、行政审批、公众服务等政务领域;合同订单签署、企业内部管理等商务领域;以及电子病历、房产评估、招投标等专业领域。可以说需要传统纸质盖章签名的应用场景,理论上都可以应用电子签章。
二、电子签章的法律效力
从上述技术原理分析可以看出,电子签章应用在技术上是没有问题的。而其法律效力的依据来源于以下两部法律:《中华人民共和国电子签名法》(简称《电子签名法》)和《中华人民共和国电子合同法》(简称《合同法》)。
《合同法》并没有直接说明电子签章是合法有效的。但它通过“当事人约定具有法律效力”这一途径,给电子签章的应用增加了一条确立其法律效力的途径。《合同法》第十条规定:“当事人订立合同,有书面形式、口头形式和其他形式。”由此可见,如果合同双方当事人都同意使用电子签章这一方式并加以事先约定,那么根据《合同法》的规定,他们之间的电子签章行为就是有效的。
在司法实践中,《电子签名法》出台之前,只能通过《合同法》为电子签章的合法性背书,它依赖于当事人的事先约定,而对电子签章的合法性地位并未进一步说明和确认;而《电子签名法》直接明确了有效电子签名的合法性,给电子签章的合法效力提供了更有力的法律支持。
世界上第一部电子签名法是美国犹它州1995年颁布的《犹它州电子交易法》,该法被奉为美国二十多个州的示范法。但由于《犹它州电子交易法》颁布之后10年互联网技术手段的几何速度发展,使得其在某些方面与实践之间存在差距;与2001年联合国起草的《电子签名示范法》草案相比,《犹它州电子交易法》也显得不够严谨;而且,美国联邦政府于2000年颁布的电子签名法相较于《犹它州电子交易法》,也有较大改动。此外,欧盟委员会于1999年12月13日制定了《欧盟电子签名统一框架指令》(简称《指令》)。《指令》由15个条款和4个附件组成,主要用于指导和协调欧盟各国的电子签名立法。
我国《电子签名法》由第十届全国人民代表大会常务委员会第十一次会议于2004年8月28日通过,2005年4月1日起施行。当前版本为2015年4月24日第十二届全国人民代表大会常务委员会第十四次会议修正后的版本。
期刊文章分类查询,尽在期刊图书馆
《电子签名法》第十三条规定符合下面四点要求的电子签名可视为可靠的电子签名,与手写签名拥有同等法律效力:(一)电子签名制作数据用于电子签名时,属于电子签名人专有;(二)签署时电子签名制作数据仅由电子签名人控制;(三)签署后对电子签名的任何改动能够被发现;(四)签署后对数据电文内容和形式的任何改动能够被发现。第十四条明确了可靠的电子签名与手写签名或者盖章具有同等的法律效力。而电子签章使用的数字签名技术完全符合《电子签名法》第十三条的四个条件,因此电子签章可以视为是可靠的,与手写签名盖章具有同等的法律效力。在电子签章相关法律出台之前,《电子签名法》就是电子签章法律效力最直接的法律渊源。
在社会生活中,很多人认为电子签章打印出来后就丧失法律效力,因为它不是手工盖上去的印章,这实质涉及到传统纸质签章的法律效力问题。事实上,并没有任何一部法律规定用哪种方式盖的物理印章才是合法有效的。法律并未明文规定:手工盖章才具有合法有效性,而打印出来的印章则无效。如我们经常收到的各种收费单据、办理业务时对方出具的工单,上面的签章基本都是事先印刷好的,而它同样具有法律效力。因此,只要能证明签章行为符合签章者的意愿,签盖的是属于自己(或被授权)的真实印章,那么签章就是合法的,也即电子签章打印后具有和纸质签章相同的法律效力。当然,在某些情况下需要一些技术手段来证明打印出来的签章是真实的,即它是签章人通过合法电子签章打印的,而不是别人伪造的。这也和传统的物理印章印鉴鉴定程序类似,是通过特定的技术手段确定该印鉴是否用相应的物理印章签盖,而非伪造的签章。
三、电子签章与电子认证服务的关系
第一部分已经论述了电子签章与数字证书的关系,同时阐明电子签章需要使用数字证书。那么数字证书从哪来呢?它一定是由第三方的认证机构(CA)颁发的吗?这里面就涉及到了电子签章与电子认证服务的关系。对此《电子签名法》第十六条规定:“电子签名需要第三方认证的,由依法设立的电子认证服务提供者提供认证服务。”由此可见,如果电子签章的应用需要第三方机构对签章者身份进行验证,那都应该使用第三方机构颁发的数字证书。这种第三方验证的需求主要发生在参与签章及验证的各方不是隶属或上下级关系,而是相互独立的市场主体的情况下:比如工商、税务、社保等政府公众服务系统中,针对各种电子申报材料上的企业公章和政府部门审批章签盖;企业之间电子合同往来的印章签盖等。
在解释《电子签名法》第十六条时,最通常的误区是“只有使用第三方CA的证书才具有法律效力”。实际上无论我国电子签名法还是世界各国电子签名法,都明确规定使用电子签名是基于当事人的约定和自愿,在没有约定的前提下,《电子签名法》的普遍适用原则是 “技术中性”原则。因此无论使用还是不使用“第三方CA证书”,电子签章中的签名只要符合第十三条的四个标准就具有法律效力。但如果根据双方约定或者其他法规需要对电子签名进行第三方认证,那就应该使用第三方CA颁发的数字证书进行电子签名或电子签章。
同时为确保认证机构的权威性与公正性,《电子签名法》第十七条到第二十六条对电子认证服务企业的条件、申请过程、主管机构、退出机制、相关责任和义务都做了明确规定。其中第十八条规定了电子认证服务企业需要得到国家相关主管部门的批准,并拿到电子认证服务许可证书。目前我国电子认证服务企业主管部门包括工业和信息化部和国家密码局。它们分别颁发适用于电子商务的电子认证服务许可和适用于电子政务的电子认证服务许可。其中,持有适用于电子商务的电子认证服务许可的企业是电子认证服务市场主要组成部分。截至2015年6月30日,共有34家电子认证服机构获得了工业和信息化部颁发的适用于电子商务的电子认证服务许可证。
在具体应用过程中,如果出现因电子签章问题造成用户损失的,如签章被盗用、签章人身份信息有误、电子签章未能正确保护电文档案等,相关责任也有明确法律界定。《电子签名法》第二十七条规定:“电子签名人知悉电子签名制作数据已经失密或者可能已经失密未及时告知有关各方、并终止使用电子签名制作数据,未向电子认证服务提供者提供真实、完整和准确的信息,或者有其他过错,给电子签名依赖方、电子认证服务提供者造成损失的,承担赔偿责任。”第二十八条规定:“电子签名人或者电子签名依赖方因依据电子认证服务提供者提供的电子签名认证服务从事民事活动遭受损失,电子认证服务提供者不能证明自己无过错的,承担赔偿责任。”由此可见,在电子签章过程中,如果是属于签章人的过失或错误的,相关责任由签章人承担;如果是电子认证服务提供机构的过错,则由电子认证服务提供者机构承担赔偿责任,而且法规针对电子认证服务机构的责任认定更为严格,服务机构须“自证清白”。
四、小结
电子签章是物理印章体系的电子化和网络化,它采用数字签名实现其安全功能,《电子签名法》及《合同法》是电子签章法律性的基础。《电子签名法》直接明确了有效电子签名的合法性,而电子签章采用的数字签名符合了电子签名的合法性要求,因此目前《电子签名法》就是电子签章法律效力最直接的法律渊源。此外,电子签章打印后具有和纸质手工签章相同的法律效力。电子签章时是否采用第三方电子认证服务提供的证书由具体情况决定,而不是必须使用。电子签章时签章人和电子认证服务机构的法律责任根据过错责任原则推断。
此论文为2014年广东省重大科技专项结题论文,项目名称:移动互联网电子签章应用项目(项目编号:2014B010112004)。
论文作者:张大年,唐钰婷
论文发表刊物:《科技中国》2016年6期
论文发表时间:2016/10/17
标签:签章论文; 电子论文; 电子签名论文; 数字签名论文; 法律效力论文; 印章论文; 第三方论文; 《科技中国》2016年6期论文;