電子簽章法新制與產業新興應用場景
數位產業署平臺經濟組 黃國源
數位產業署政策規劃組 雷雅淇
數位發展部部長室 彭筱婷
在日常生活中我們常常需要簽名來證明本人身份,像是刷信用卡、拿包裹、結婚離婚或是租房買房等等。而當數位科技越來越深入生活之後,我們能不能利用數位技術,讓「簽名」變得更加便利又安全?「電子簽章」便應運而生,現在,我們可以看見電子簽章已經常出現在銀行金融服務與保險業、資訊技術與電信、健康醫療、法律與政府等多個應用場景。
不過,不是把簽名存成圖片檔就是電子簽章,因為這樣沒辦法證明是本人簽名。在臺灣,具有法律效力的電子簽章,需要符合《電子簽章法》的相關規範,尤其是利用演算法與加密技術,可以確保電子簽章的安全性更高。
但到底什麼是電子簽章?我們又會在什麼時候用到它?從施行以來 20 年都還沒改版的《電子簽章法》,近期將會有哪些調整呢?本篇文章將簡述電子簽章的修法緣由,以及修法之後如何帶動產業發展,以及達到從源頭助防詐的效果。
什麼是電子簽章?為何要修《電子簽章法》?
電子簽章指的是依附在電子文件上,能識別簽署者身份、確保文件完整的數位技術,且要符合《電子簽章法》的規範才具有法律效力。它可能是文字簽名、圖片、聲音或是指紋等生物特徵,當進一步利用演算法與加密技術時,可以確保電子簽章的安全性更高。像是在報稅時使用的「自然人憑證」、零接觸申辦保險及金融服務等,都是電子簽章的相關應用。
也就是說,只是「把簽名存成圖片檔」,並不符合電子簽章,必須包含「身份識別」、「數位技術」和「符合法規」這三大要件,才是電子簽章。
而「數位簽章」是電子簽章的其中一種,除了要符合既有電子簽章的定義之外,還必須要「使用公開金鑰驗證技術」,並且有「政府核定的憑證機構所簽發的憑證」,這樣的安全性與公信力,數位簽章具有「推定」和本人親自簽署一樣的效力。
有鑒於電子簽章技術日新月異,數位部在 2022 年 12 月發佈了產經字第 1114000229 號的「具電子簽章效力之電子簽章技術」函釋,列舉了符合《電子簽章法》中,「電子簽章」效力的演算法及國際技術標準。
其中包含:公開金鑰基礎建設(Public Key Infrastructure)技術與架構,例如網際網路工程任務組(IETF)公開金鑰基礎建設小組(PKIX)所制定的標準,或是以國際組織或主要國家所制訂的簽章格式或演算法,例如歐洲電信標準協會(ETSI)、美國國家標準研究院(NIST)等單位所制定或核可的簽章演算法1。
也就是說,依現行電子簽章法,只要使用函釋例示的演算法或技術標準,足以驗證能達到電子簽章法第 2 條第 2 款「電子簽章係指依附於電子文件並與其相關連,用以辨識及確認電子文件簽署人身分、資格及電子文件真偽者」,就屬於電子簽章法定義的電子簽章。
而為了更全面推動電子簽章的普及運用,因應數位生活型態改變而增加的各式數位應用服務,數位部推動《電子簽章法》修法,並已於 113 年 4 月 26 日由立法院三讀通過。
有哪些修法重點?
使用電子簽章有許多好處:讓簽約的流程更為快速、減少維護和管理文件的費用與時間成本。同時,因為《電子簽章法》所規範的是已經安全認證的技術架構與演算法,因此以能確保文件傳輸與交易的安全。再者,無紙化作業也呼應了國際節能減碳的趨勢。
以下簡要說明這次的修法重點:
1.明示電子簽章和紙本具同等功能
書面文件、簽章變成電子形式後的「效力」,是電子簽章發展以來最關鍵的核心概念。為了消除疑慮,數位部參考了國際案例,像是聯合國貿易法委員會電子商務模範法、美國聯邦全球與國家商務電子簽章法、韓國電子簽章法、歐盟內部市場電子身分識別與可信賴電子交易服務規則(eIDAS Regulation)等國際法例,規範了電子文件與電子簽章的效力等同紙本文件,不能因為它是電子的形式而否認其法律效力。
2.電子簽章與數位簽章關係明確化,與明定數位簽章效力更強
這次修法也明定數位簽章為電子簽章的一種類型。數位簽章除了要符合電子簽章的三個條件,另外還需要(1)使用公開金鑰驗證技術,(2)政府核定的憑證機構所簽發的憑證,才是數位簽章。因為這樣的安全性與公信力,數位簽章具有「推定」和本人親自簽署一樣的效力。
以「印章」來比喻,如果電子簽章是一般可以自行找人刻的印章,那數位簽章就像是經過印鑑證明的印章,因為有第三方認證,因此效力更強。
3.調整經相對人之要件
現行條文中若要使用電子簽章,需要使用者同意的規定,會在某些實務狀況上有些窒礙難行。為兼顧數位化需求與數位包容,因此這次修法,刪除了使用電子簽章需要經過當事人同意的必要條件,但也賦予了當事人能夠拒絕使用電子簽章的權利。
4.減少公告排除電子簽章法適用之可能性
為了提升行政機關對電子文件、電子簽章的應用,這次修法刪除了目前行政機關可以公告排除使用電子簽章的規定,並設定 3 年落日條款。考量到司法程序的特殊性,因此司法程序暫先不適用本法的規定。
5.考量未來電子簽章國際對接的機會
為了讓國際合作能更蓬勃發展,本次修法也增加了「技術對接合作」的條件。在安全條件一樣的情況下,如果符合兩國的互惠或者技術對接條件,外國的憑證機構和本國的憑證具有一定的效力。反之,我們的憑證也可以到外國實施,這是雙向互惠的。
這次修法,不只能夠塑造更有利於電子簽章發展的法治環境,促進電子簽章能與國際接軌,也可以加速普及與和推廣到更多元的應用,進而達成智慧政府和數位轉型的政策目標。
《電子簽章法》如何帶動產業發展?
能量登錄制度的建立
徒法不足以自行,為了要健全產業生態、提升電子簽章供需的效能,數位部研擬規劃能量登錄制度。本著資訊透明化的精神,要求相關業者登錄其服務種類、技術標準等資訊於數位部指定的公開網站,以期能清楚呈現市面上各種符合《電子簽章法》規範的解決方案。
目前規劃分為三個方向:數位簽章憑證機構、數位簽章解決方案,以及單純的電子簽章服務。各類登錄的審查重點有所不同,第二類及第三類側重於引導業者主動公開技術資訊,提供消費者選擇參考,申請登錄的業者通過機制所定資格審查後,由數位部數位產業署召開審議會進行實質內容審查。
能量登錄制度不為特定業者背書,而是透過這樣的機制去促進產業自律、自發性提升服務品質,也增加主管機關對於產業現況的掌握與管理。
源頭防詐:推動網路廣告驗證數位簽章
完善電子簽章相關規範不僅有助於防範詐騙,也能從源頭防詐。數位部目前正與經濟部研議新增「網路廣告平臺業者」的營業項目,並由數位部主管,未來計畫推動網路廣告平臺驗證廣告刊登者的數位簽章。這將提供平臺更便利的機制確認客戶身分,同時透過跨平臺聯防機制,更迅速下架網路詐騙廣告。
以目前在 Meta 的臉書、IG 等社群平臺刊登政治廣告為例,Meta 會進行 KYC(Know Your Customer,客戶身分確認)審核,要求廣告刊登者提供身分證正反面影本等資料。修法通過後,KYC 將可採認數位簽章,將審核流程自動化,降低網路廣告平臺的審核成本,進而擴大這項作法適用範圍。
目前在 Meta 刊登投資廣告並不需要 KYC,只有被檢警調認定的一頁式詐騙,可以進行阻斷網域,並在 24 小時內下架廣告。但在下架前仍會顯示廣告,且民眾仍可點擊此連結(雖然只會看到 165 的防詐警示,不會有實質損失),有沒有更好的做法?數位部在《詐欺危害防制條例》草案裡明定,網路廣告平臺業者「應以數位簽章、快速身分識別機制或其他安全性相當之技術或方式,驗證委託刊播者及出資者之身分」。這將使得各平臺在檢警認定詐騙時能夠透過聯防平臺同步得知資訊,進而快速下架同一簽署人刊登的其他廣告,達到跨平臺聯防的目標。
結合新科技的發展應用
電子簽章與新科技的結合,可以提供過往紙本簽署時無法支援的解決方案。例如,運用融合多項技術的數位簽名技術,可在簽名當下同步錄影,並在用戶簽名當下同步記錄簽署當下的人、事、時、地、物,避免電子簽名造成的偽簽爭議等後續狀況,解決行動裝置遠距簽署及簽署人簽名認定不易的問題,大幅協助醫療院所縮短文書處理時間,進而改善醫療人力的工作量,備受醫療產業肯定2。
此外,也有日本本土業者提出企業型電子簽章(事業者署名型)之 NFT 印鑑3,其構想是活用 NFT 獨一無二的特點,使個人訊息與印章緊密連結,並且使用生物特徵對本人身分進行嚴格認證,以增進民眾對 NFT 印鑑的熟悉度與信任度。此項於 2021 年推出、屬日本首創的 NFT 印鑑服務,透過難以竄改之區塊鏈進行記錄,確實留下「何時由誰因為何種目的簽署」之確實證據,此種運用新興電子簽章技術,可省略公司內部繁瑣的印章管理作業,節省成本與勞力。
完善電子簽章制度,推動產業生態
本次電子簽章法的修法方向,包括明定電子文件地位、區分電子簽章定義、放寬同意規定等,不只有利電子簽章系統與國際標準銜接及商務往來,也能加速智慧政府進展及社會數位轉型。
配套實施的登錄制度則將協助產業提高經營透明度,引導業者揭露更多技術細節與資訊,預期將全面提升現行產業生態。數位部作為電子簽章法的主管機關,將持續與產官學三方充分合作推動電子簽章的多元應用,開創數位新紀元。
下一篇,我們會介紹電子簽章的技術細節,讓大家了解便利安全的電子簽章是如何形成的,文章請見:電子簽章的相關技術介紹
註1:如:一、公開金鑰基礎建設(Public Key Infrastructure)技術與架構為之,如網際網路工程任務組(IETF)公開金鑰基礎建設小組(PKIX)所制定之標準。二、以國際組織或主要國家所制定之簽章格式或演算法為之,如:(一)歐洲電信標準協會(ETSI)所制定之簽章格式,包括密碼訊息語法進階電子簽章(CAdES)、可延伸標記式語言進階電子簽章(XAdES)、可攜式文件格式進階電子簽章(PAdES)、關聯式簽章容器(ASiC)、JavaScript物件標示法進階電子簽章(JAdES)等;(二)美國國家標準研究院(NIST)或ISO所制定或核可之簽章演算法。
註2:CIO Taiwan,《 雲想推影像電子簽章 備受醫療產業肯定》,網址: https://www.cio.com.tw/cloud-wants-to-push-an-electronic-signature-the-medical-industry-is-certain/ (最後瀏覽日:2023年11月24日)
註3:日本旗牌股份有限公司(シヤチハタ株式会社)推出企業型電子簽章,又被稱為見證人型電子簽章(立会人型署名),係指依據使用者之指示,透過服務提供業自身之簽章金鑰進行簽章。至於當事人型電子簽章(当事者型署名),則係運用使用者自身自簽章金鑰進行簽章。詳細可參閱〈「事業者署名型(立会人型)」と「当事者署名型」の違い—電子契約サービスの分類と選び方〉,CLOUDSIGN,https://www.cloudsign.jp/media/20210317-jigyousyasyomeigata/(最後瀏覽日:2023/11/24)。