《电子签名法》适用的难点问题探析

来源:法大大发布时间:2016-08-09 00:00:00

近年来,电子签名技术在互联网上广泛应用于文件签署。本文从电子签名行业的应用实践出发,对《电子签名法》适用的诸多法律问题进行了归纳、思考和探讨,希望能为在司法实践中适用《电子签名法》提供有益的分析和参考。

我 国于2004年8月28日通过《中华人民共和国电子签名法》(后简称“《电子签名法》”)并自2005年4月1日起施行;2015年4月24日,我国《电 子签名法》进行了第一次小幅修订。但是该法施行后,电子签名技术并未普及,仅限于在金融和电子政务等有限领域使用,原因是“电子签名的使用成本较高,导致 数字签名在电子交易中使用率偏低,这一情况反映在诉讼上就是我国《电子签名法》是目前我国极少被法院裁判所引用的法律之一”。 经笔者检索法院案例库发现,自2005年电子签名法施行以来,我国法院引用《电子签名法》为裁判依据的案例不超过二十宗。因笔者所在的企业致力于电子签名 技术的互联网推广和应用并按照《电子签名法》和相关技术规范构建了自己的电子文件签署云服务系统,在此过程中,我们发现《电子签名法》中确实存在很多问题 值得思考和探讨。


关于数据电文

(一)数据电文是否属于书面形式

《电 子签名法》第4条规定:“能够有形地表现所载内容,并可以随时调取查用的数据电文,视为符合法律、法规要求的书面形式。”在2013年发生的原告北京时间 传媒文化传播有限公司诉被告常涤非劳动争议一案中,被告认为手机短信通知不属于书面形式的通知。但北京市朝阳区人民法院认为:“手机短信作为一种以手机及 其应用软件为媒介和载体的用以表达个人意思的形式,只要其可以证明案件的事实就可以成为证据,属于该条中的“书面形式”,理由如下:第一,书面形式不应局 限于我们通常所说的普通书证,手机短信虽然与普通书证的记载方式、记载介质不同,但却具有相同的功能,即均能记录完全的内容,并以其内容证明待证事实的真 实情况。第二,手机短信也是以其显示和记载的内容来说明案件的某一问题,且可以书面的形式呈现出来被人们看到及利用,其导出、打印出来后与书面形式并无不 同;第三,我国《合同法》以及《电子签名法》等已经将传统的书面形式扩大到电子数据形式,而手机短信也属于广义上的电子数据形式。据此,可以认定手机短信 属于实质上的书面形式。”

从上述案例来看,司法实践中把有形地表现所载内容并可调取查用的数据电文视为书面形式并无障碍。从数据电文的定义来看,这里的书面形式并未要求防篡改,因此一般的电子邮件、电子文档等即便未经过电子签名技术处理,也属于书面形式。

(二)电子证据中的“原件”问题

按 照我国现有的民事诉讼证据规则,当事人应当向法院提供原件或原物。《最高人民法院关于民事诉讼证据的证据规定》(以下简称“《证据规定》”)第22条规 定:“调查人员调查收集计算机数据或者录音、录像等视听资料的,应当要求被调查人提供有关资料的原始载体。提供原始载体确有困难的,可以提供复制件。”按 照这一规则,最初生成电子数据及其首先固定的存储介质,才是电子数据证据的原件,其他形式的证据是复制件。

但 是,《电子签名法》第5条规定:“符合下列条件的数据电文,视为满足法律、法规规定的原件形式要求:(一)能够有效地表现所载内容并可供随时调取查用; (二)能够可靠地保证自最终形成时起,内容保持完整、未被更改。但是,在数据电文上增加背书以及数据交换、储存和显示过程中发生的形式变化不影响数据电文 的完整性。”按照这一规则,只有内容完整未被更改的并可随时调取内容的数据电文,才被视为电子数据的证据原件。

由上可见,对于证据原件的认定规则,《证据规定》与《电子签名法》是不一致的,前者是从载体以及电子数据来源的角度判断是否原件,后者是从内容完整是否被更改的角度判断是否原件,这造成了电子数据证据原件的认定标准不一。

笔 者倾向于《电子签名法》对原件的认定标准,理由如下:第一,民事诉讼法要求提交书面证据原件是为了全面地、客观地审查核实证据,确保证据的真实性是关键所 在,而《电子签名法》对于原件的形式要求符合《民事诉讼法》对于证据真实性的要求。第二,在互联网时代要确定数据电文的原始载体非常困难,甚至无法实现。 因为很多数据电文是在云端的服务器上产生、传输和存储,云存储通常会采用碎片化的存储方式,一个文件可能会存储到多台服务器上,但到底存储在哪台服务器上 并不确切,且存储服务器可能分布在全球任何位置。即便知道存储涉案文件的服务器所在,因该服务器上可能还会存储其他用户的文件且该服务器与其他服务器连 接,因此法院要求提供有关资料的原始载体并不现实,即便可以实现也会严重影响社会公众和其他方利益。第三,从规定的效力上来看,《电子签名法》的法律效力 远高于《证据规定》,而且是新的在后的规定,因此无论按照“上位法优于下位法”还是“新法优于旧法”的原则,都应适用《电子签名法》的规定。在互联网时 代,《证据规定》中的原件认定规则不合时宜,应按照《电子签名法》的规定来认定数据电文是否符合原件的形式要求。

 

总则部分的疑难问题

由 于电子签名、数据电文并未在社会活动中获得广泛应用,广大民众的认知度不高。同时,电子签名、数据电文的应用需要借助于一定的技术手段,物质条件也会限制 一部分民众使用这种交易方式。由于上述原因并基于交易安全因素的考虑,一些国家和地区的电子签名法或电子商务法规定某些领域不适用电子签名。我国的《电子 签名法》参考了外国和有关地区的立法例,并结合我国的实际情况,规定了不适用电子签名、数据电文的文书。

《电 子签名法》第3条规定:“民事活动中的合同或者其他文件、单证等文书,当事人可以约定使用或者不使用电子签名、数据电文。当事人约定使用电子签名、数据电 文的文书,不得仅因为其采用电子签名、数据电文的形式而否定其法律效力。前款规定不适用下列文书:(一)涉及婚姻、收养、继承等人身关系的;(二)涉及土 地、房屋等不动产权益转让的;(三)涉及停止供水、供热、供气、供电等公用事业服务的;(四)法律、行政法规规定的不适用电子文书的其他情形。

上述条文的内容看似简单明了,但是细想起来疑点重重,确有很多问题值得探讨。

(一)如何理解“当事人约定使用电子签名”?

从 电子签名法原文的规定来看,有些绕口令的意味,“民事活动中的合同或者其他文件、单证等文书,当事人可以约定使用或者不使用电子签名、数据电文。当事人约 定使用电子签名、数据电文的文书,不得仅因为其采用电子签名、数据电文的形式而否定其法律效力。”这段话的意思似乎是使用电子签名、数据电文需要当事人约 定,约定才有效。问题随之而来,当事人约定使用电子签名是需要特别书面约定,还是可以通过行为确认?

有 学者认为:“如果当事人事先没有明确约定是否使用电子签名、数据电文的文书,则电子签名是否具有法律效力取决于交易相对方是否予以事后追认或实际予以履 行。如果交易相对方事后予以追认或予以实际履行,则电子签名对交易相对方发生法律效力;反之,则不予以适用。”本人不赞同此观点。

笔 者认为,当事人各方只要实际使用电子签名或数据电文,即可视为该文书已约定使用电子签名、数据电文,当事人无需事先达成使用电子签名、数据电文的协议或约 定,也无需事后追认。理由是《合同法》第37条规定:”采用合同书形式订立合同,在签字或者盖章之前,当事人一方已经履行主要义务,对方接受的,该合同成 立”,因此我国《合同法》允许通过合同各方的实际履行行为确认合同成立,而约定使用数字签名实际上是一种合同,而实际使用电子签名、数据电文就已履行了主 要义务。因此笔者认为,只要文书签署各方未事先反对或拒绝使用电子签名、数据电文,可以通过文书签署各方实际采用电子签名、数据电文的行为来确认当事人各 方已约定使用电子签名、数据电文,无需事先约定,也不需要等待各方事后追认或通过实际履行合同来判断电子签名、数据电文的法律效力。

(二)不可采用电子签名、数据电文的文书范围界定

1.如何理解“涉及婚姻、收养、继承等人身关系”的文书?

《电 子签名法》此处规定涉及两个问题:第一,此处所述的文书是否仅限于“婚姻、收养、继承关系”的文书,其他的涉及人身关系的文书是否包括?第二,此处人身关 系的范围应如何理解?我们知道,人身关系既包括人格关系和身份关系,那么此处的人身关系是仅指身份关系,还是包括人格关系?比如属于人格权中的肖像权的许 可使用合同是否可以采用电子签名、数据电文的方式?另外,如果涉及存在复合性质的权利,比如劳动合同和知识产权合同中涉及的权利既包含财产权属性也包括人 身权属性,这类合同是否可以采用电子签名、数据电文的方式?

笔 者认为,基于可靠电子签名完全可以取代手写签名的技术特点,用达到法定条件的电子签名和数据电文来替代手写签名和达到原件的法律效力,这在技术上是可行 的,在法律实践上是行之有效的。事实上在电子签名技术应用最为广泛的美国,电子签名技术已经深入到社会生活的方方面面,例如在美国,大量的投资协议、不动 产转让协议都已习惯采用电子签名的方式签署以替代手写签名和纸质文件。正因为电子签名在互联网时代具有广阔的应用前景,在法律上采取限缩解释有利于可靠电 子签名技术的推广和应用。

基于上述理由,笔者认为此条不宜作扩张解释,不能采用电子签名、数据电文的文书应仅限于涉及婚姻、收养、继承关系的文书;而此处的所指的人身关系,从该条列举的“婚姻、收养、继承关系”来看,其实只是涉及身份关系,并不涉及人格关系,更不涉及财产关系。

2.如何理解涉及土地、房屋等不动产权益转让的文书范围?

笔 者认为,此处也应做限缩解释,只有涉及土地、房屋不动产权益转让的文书不能采用电子签名、数据电文的方式。如果不涉及到产权转移,只是在不动产上设定用益 物权或担保物权,此类文书应该可以采用电子签名、数据电文的方式。还有就是需要登记的动产权益转让,以及涉及需要登记的动产用益物权或担保物权的文书应该 也可以采用电子签名。

3.涉及停止供水、供热、供气、供电等公用事业服务的文书范围如何确定?

笔 者认为,上述文书范围应仅限于涉及“停止供水、供热、供气、供电”的文书,如果是涉及“供水、供热、供气、供电”的其他事宜,可以采用数据电文、电子签名 的方式;其他不涉及“供水、供热、供气、供电”公用事业服务的文书也可以采用数据电文、电子签名的方式,原因是可靠的电子签名可以确保文件不可篡改,确定 签署人和签署时间,除了法律的规定以外,没有理由限制其使用范围,不应做扩张解释。

4.法律、行政法规规定的不适用电子文书的其他情形还有哪些?

不 适用电子文书的其他情形,法律及其法规并没有特别规定,笔者发现的可以算得上其他不适用电子文书的情形应包括人民法院的判决书、裁定书和调解书。《民事诉 讼法》第87条规定:“经受送达人同意,人民法院可以采用传真、电子邮件等能够确认其收悉的方式送达诉讼文书,但判决书、裁定书、调解书除外。”从此款规 定来看,由于人民法院的判决书、裁定书、调解书不能采用电子邮件的方式进行送达,因此间接排除了电子签名、数据电文在诉讼当事人中使用,但是仲裁文书没有 被纳入此范围,因此不应受到限制。事实上,中国广州仲裁委员会、深圳仲裁委员会等机构已经开通了网络仲裁系统,并已在仲裁系统中使用了电子签名技术。


电子签名与认证

(一) 可靠电子签名的判断标准

《电 子签名法》第13、14条规定:电子签名同时符合下列条件的,视为可靠的电子签名:(一)电子签名制作数据用于电子签名时,属于电子签名人专有;(二)签 署时电子签名制作数据仅由电子签名人控制;(三)签署后对电子签名的任何改动能够被发现;(四)签署后对数据电文内容和形式的任何改动能够被发现。可靠的 电子签名与手写签名或者盖章具有同等的法律效力。

从司法实践来看,法官可以从以下三个方面判断是否符合上述可靠的电子签名要素:

1. 考察电子签名是否属于签名人专有和控制。 电子签名不适用共有规则,必须捆绑某个特定的主体,可以是单位或个人。世界上现有应用最广泛的电子签名技术是数字签名技术,数字签名技术中的数字证书可用 来制作数据电文,该证书必须捆绑特定的主体才能使用。数字证书分为两类,一类称为“软证书”,及文件数字证书,可存放在电脑里或托管在云服务器上;另一类 称为“硬证书”,存放在类似U盘的USBkey里。从法律效力上讲,这两类数字证书并无不同。社会公众使用的数字证书应由获得工信部《电子认证服务许可 证》的CA机构颁发;而每个合法的CA机构应提供电子签名认证证书目录信息查询服务以及提供电子签名认证证书状态信息查询服务。从司法实践的角度来讲,法 官应首先查明如下事实:(1)用于电子签名的数字证书是否系工信部许可的CA机构颁发;(2)数字证书属于谁所有以及将数字证书颁发给电子签名人的过程。

2.考察在签署数据电文时,数字证书是否由电子签名人控制。 从技术上来讲,可以通过三种方式确保签署时数字证书由电子签名人控制:其一是通过电子签名人设置签名密码;其二是系统下发验证码到电子签名人提供的手机或 邮箱,或提供验证码生成器给电子签名人,通过电子签名人回填验证码的方式确保数字证书由电子签名人控制;其三是通过EID调用数字证书。EID是派生于居 民身份证、在网上远程证实身份的证件,即“电子身份证”。在技术上。EID也是采用PKI(Public Key Infrastructure,公钥基础设施)的密钥对技术,由智能芯片生成私钥,再由公安部门统一签发证书、并经现场身份审核后,再发放给公民。EID 采用了PKI、硬证书加PIN码的技术,通过这些技术可以有效防止在网络上身份信息被截取、篡改和伪造。而且由于EID具有PIN码,别人捡到或盗取后也 无法使用。EID本身采用先进密码技术,重要信息在key中物理上就无法被读取,因此无法被破解,从而有效避免被他人冒用。

3.考察电子签名的技术方案,如果采用了“数字签名”技术,一般可认定为可靠的电子签名。 数字签名并非是书面签名的数字图像化,而是通过密码技术对电子文档进行电子形式的签名。实际上人们可以否认曾对一个文件签过名,且笔迹鉴定的准确率并非 100%,但却难以否认一个数字签名。因为数字签名的生成需要使用私有密钥,其对应的公开密钥则用以验证签名,再加上目前已有一些方案,如数字证书,就是 把一个实体(法律主体)的身份同一个私有密钥和公开密钥对绑定在一起,使得这个主体很难否认数字签名。就其实质而言,数字签名是接收方能够向第三方证明接 收到的消息及发送源的真实性而采取的一种安全措施,其使用可以保证发送方不能否认和伪造信息。数字签名的主要方式是:报文的发送方从报文文本中生成一个散 列值(或报文摘要)。发送方用自己的私有密钥对这个散列值进行加密来形成发送方的数字签名。然后,这个数字签名将作为报文的附件和报文一起发送给报文的接 收方。报文的接收方首先从接收到的原始报文中计算出散列值(或报文摘要),接着再用发送方的公开密钥来对报文附加的数字签名进行解密和验证。如果两个散列 值(也称哈希值)相同,那么接收方就能确认该数字签名是发送方的。哈希值有固定的长度,运算不可逆,不同明文的哈希值不同,而同样明文的哈希值是相同并唯 一的,原文的任何改动其哈希值就会发生变化,通过此原理可以识别文件是否被篡改。事实上,被篡改的经过数字签名的数据电文很容易被发觉,甚至该文件在外观 上即可识别、无需鉴定,除非被告能够提交不同内容且未发现篡改的经过数字签名的数据电文。

(二) 电子认证服务的有关问题

1. 电子认证服务提供者的范围

《电 子签名法》第16条至第25条提到了电子认证服务提供者,规定了电子认证服务提供者的申请条件、许可流程、应履行的义务、电子签名认证证书的内容、业务暂 停与终止、主管部门等内容。在《电子签名法》颁布以后,我国信息产业部于2005年2月8日发布了《电子认证服务管理办法》;国家密码管理局于2005年 3月31日发布了《电子认证服务密码管理办法》。上述法律和规章自2005年4月1日起开始施行。

从 上述规定的内容来看,《电子签名法》所指的电子认证服务提供者仅限于获得工信部颁发的《电子认证服务许可证》的企业法人,即业界所说的CA机构。现在在工 信部官网上公示的有37家CA机构,其他的第三方服务机构不属于《电子签名法》中的电子认证服务提供者。之所以要强调这个问题,是因为在实践中某些机构混 淆视听,在未获得《电子认证服务许可证》的情况下,宣传自己是《电子签名法》提及的“电子认证服务提供者”,这是不正确的。

另 外,虽然《电子签名法》第二十六条规定“经国务院信息产业主管部门根据有关协议或者对等原则核准后,中华人民共和国境外的电子认证服务提供者在境外签发的 电子签名认证证书与依照本法设立的电子认证服务提供者签发的电子签名认证证书具有同等的法律效力”,但是尚未有境外的电子认证服务提供者被工信部核准或许 可,因此现在境外的电子认证服务提供者在境外签发的电子签名认证证书的法律效力不被我国《电子签名法》及相关部门规章认可。

2.时间戳的应用问题。

在 电子商务交易文件中,时间是十分重要的信息。在书面合同中,文件签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容。数字时间戳服务 (digital timestamp service,简称DTS)是网上电子商务安全服务项目之一,能提供电子文件的日期和时间信息的安全保护。时间戳(timestamp),通常是一个字 符序列,唯一地标识某一刻的时间。数字时间戳技术是数字签名技术一种变种的应用,也通常在数字签名系统中被采用,现有的CA机构在数字证书应用时也同时提 供了时间戳服务,以确保时间信息不被篡改和伪造。但现在市场上仅仅提供时间戳服务而不提供数字证书服务的机构并非《电子签名法》中所指的“电子认证服务提 供者”,因为其未获得工信部颁发的《电子认证服务许可证》,也不能证明文件签署者或服务使用者的主体身份,在技术上和法律效力上都存在局限性。

3.信息保存期限的问题。

《电子签名法》第24条规定:“电子认证服务提供者应当妥善保存与认证相关的信息,信息保存期限至少为电子签名认证证书失效后五年。”

笔 者认为《电子签名法》规定的电子认证服务提供者的信息保存期限时间太短。《民法通则》第137条规定:“诉讼时效期间从知道或者应当知道权利被侵害时起计 算。但是,从权利被侵害之日起超过二十年的,人民法院不予保护。”从此规定来看,经过电子签名的文件在签署后如果发生纠纷,可能追溯相关的数字证书认证信 息,如果CA机构信息保存时间过短,则不利于数字签名技术的推广使用。因此笔者认为信息保存期限至少为电子签名认证证书失效后20年较为妥当。

4.电子认证服务各方法律责任的承担。

我 国的《电子签名法》中,对电子签名人和电子认证服务提供者在数字签名使用和认证上应各负有的义务的规定是较为一致的,并规定了其各自应负的法律责任,而对 于电子签名依赖方的责任与义务《电子签名法》未作规定。电子签名依赖方是较为被动的一方,它应以合理方式对电子签名进行验证。电子签名人与电子签名依赖方 之间一般表现为商务合同关系,主要受《合同法》的调整,一般要求其作为善意的谨慎商人尽到合理的注意义务即可。

电 子签名人应负有的法律责任是:电子签名人知悉电子签名制作数据已经失密或者可能已经失密未及时告知有关各方、并终止使用电子签名制作数据,未向电子认证服 务提供者提供真实、完整和准确的信息,或者有其他过错,给电子签名依赖方、电子认证服务提供者造成损失的,承担赔偿责任。

而根据《电子签名法》第28条规定,对于电子认证服务提供者适用过错推定原则,电子签名人或者电子签名依赖方因依据电子签名认证服务从事民事活动遭受损失,电子认证服务提供者不能证明自己无过错的,承担赔偿责任。

笔 者认为应从如下两方面来证明电子认证服务提供者不存在过错:第一,电子认证服务提供者证明其已履行了法定义务,具体包括:(1)依法申请许可资格,遵守国 务院信息产业部的管理规则;(2)公开其名称、许可证号、电子认证业务规则,包括责任范围、作业操作规范、信息安全保障措施。(3)以合法的手段,审查签 名人的身份及相关情况。(4)保证认证证书内容在有效期内完整、准确,并保证依赖方能够证实或者了解认证证书所载内容及其他有关事项。(5)妥善保存与认 证相关的信息,至少为电子签名时效后五年;(6)妥善解决认证人暂停或终止服务的后续工作。第二,证明电子签名人或电子签名依赖方存在导致损失的过错行 为。

从 世界各国立法来看,各国电子商务立法基本都考虑到对认证机构的责任需要加以适当限定。例如欧共体电子签名指令规定,认证机构的民事法律责任主要是,签发权 威性证书的认证机构,除非证明自己没有过错,应当对证书内容的完整性和准确性、签名生成数据持有人的身份、签名生成数据和签名验证数据的对应关系以及对因 未及时撤销证书而造成的损失负责。不过,认证机构可以事先限制证书的使用范围和责任限额。英国电子签名条例也有类似规定。我国《电子签名法》没有明确电子 认证服务提供者承担民事法律责任的范围,将来立法应予以完善;另外,我国《电子签名法》没有禁止CA机构通过协议约定事先限制证书的使用范围和责任限额。 至于完全免责的约定,笔者认为不能排除《电子签名法》第28条过错推定原则的适用。

在 互联网蓬勃发展的今天,电子签名技术已开始越来越广泛的应用到了互联网金融、电子商务、电子合同、电子公文流转、旅游、O2O、物流等诸多领域,司法系统 不应再对《电子签名法》保持沉默和漠视的态度,希望本文能够抛砖引玉,引起更多司法界同仁对于与电子签名相关法律问题的关注和思考。