from http://mp.weixin.qq.com/s?__biz=MzAwNDcwMDgzMA==&mid=2651029410&idx=3&sn=da4dad0dfaec2e7b78228159b686e683&chksm=80d03053b7a7b9459d15d4d8535c0fd058e2e2c45f6edb2f77503be16af59a4f5b1d9ab22f2b&mpshare=1&scene=23&srcid=0329nVNW5O0sqWwhB0hX4QtS#rd
Author: He Fang, Wang Bo, King & Wood Mallesons
I believe that everyone has asked themselves and their relatives and friends when they first experienced WeChat red envelopes and Taobao buying and buying for the first few times: money goes out or comes in with a click of a mobile phone or mouse, is this reliable? In fact, these applications are the popularization of electronic signatures in the Internet and digital technology in today's daily life. In addition to the above-mentioned e-commerce network, in commercial activities, many documents have been transmitted and stored in the form of electronic files. However, the field of legal documents, which is traditionally considered to be more rigorous than e-commerce transactions, is basically a forbidden area or blind area for electronic documents. This will undoubtedly greatly increase the time cost of signing legal documents. Due to the universal and objective existence of the "radish seal", the traditional method of stamping or signing may not be reliable.
The reason for the above situation is that, on the one hand, the legal norms related to electronic signatures have been lacking for a long time, and the judicial community cannot rely on them, so they tend not to recognize the authenticity of electronic legal documents; Guaranteed authenticity.
The "Electronic Signature Law of the People's Republic of China" promulgated in 2005 (revised in 2015, hereinafter referred to as the "Electronic Signature Law") provides a judicial basis for the validity determination of electronic legal documents; with the development of computer science and cryptography , the technology to ensure that electronic documents cannot be tampered with is becoming more and more mature, the public's concept is slowly changing, and the electronic popularization of legal documents is gradually emerging.
Based on the "Electronic Signature Law", this paper introduces electronic signatures from four aspects: the definition of electronic signatures, the implementation of electronic signatures, the application of electronic signatures, and the recognition of electronic signatures in judicial practice. Operation provides reference.
The concept of electronic signature
1. Function of traditional signature
In order to understand the concept of electronic signature, it is necessary to briefly review the concepts and functional characteristics of traditional signatures (including handwritten signatures, fingerprints, and seals). The traditional signature has two meanings: the first meaning is a noun, which refers to a kind of imprint; the second meaning is a verb, which refers to the process of the actor leaving the above imprint. There are two functions of traditional signature: (1) the identity of the signer can be determined; (2) the signer recognizes the content of the signed document. The above functions of traditional signatures are based on the following consensus (or assumption):
-
The handwritten signature or seal can uniquely correspond to the signer: this assumes that each person's handwriting is different, each person's seal is different, and it is difficult to privately engrave the seal and counterfeit the signature of others;
-
Signing or stamping a paper document presumes that the signatory approves what the document says: this assumes that a reasonable person would not sign or stamp a document without looking at its content;
-
Once signed or stamped, a document cannot be modified: this assumes that modification of what is printed on a paper document and the signature on the document is technically difficult to achieve.
2. The concept of electronic signature
Similar to the understanding of traditional signatures, the word "electronic signature" also has two meanings: the first meaning is a noun, which means a kind of data. Article 2 of the "Electronic Signature Law of the People's Republic of China" (revised in 2015, hereinafter referred to as " Electronic Signature Law ") , which came into effect on April 1, 2005 , draws on the functions of traditional signatures, and analyzes electronic signatures from the perspective of function and effect. Defined: The term “electronic signature” as used in this Law refers to the data contained in electronic form in a data message and attached to identify the signer’s identity and indicate that the signer approves the content . Information generated, transmitted, received or stored by electronic, optical, magnetic or similar means. And in Article 13, it further stipulates the conditions that a reliable electronic signature should meet: (1) When the electronic signature creation data is used for electronic signatures, it belongs to the electronic signatory; (2) When signing, the electronic signature creation data is only Controlled by the electronic signatory; (3) Any changes to the electronic signature after signing can be discovered; (4) Any changes to the content and form of the data message after signing can be discovered. Article 14 of the Electronic Signature Law clearly states that a reliable electronic signature has the same legal effect as a handwritten signature or seal .
The second meaning of "electronic signature" is also a verb, that is, the process (or method) of the actor generating the above-mentioned data, such as Article 34(4) of the "Electronic Signature Law": electronic signature production data, refers to Characters, codes and other data used in the electronic signature process to reliably link the electronic signature with the electronic signatory.
From the above definition, it can be seen that the definition of electronic signature in the Electronic Signature Law actually stipulates the form of electronic signature (electronic form, included in data message), and puts forward requirements for electronic signature from the perspective of function and effect , and does not specifically limit the specific implementation or technical means of electronic signatures.
How electronic signatures are implemented
如上文所述,目前的法律仅规定了电子签名的形式,并从功能、效果的角度对电子签名提出要求,而未指定具体的实现方式或者技术手段,因此理论上讲能够满足法律法规要求的数据电文、电子签名的表现形态并不唯一。只要采用满足法律法规对电子签名要求的实现方式,那么该电子签名与手写签名具有同样的法律效力。
从技术的角度而言,电子签名的实现方式有可能包括:
-
基于PKI(Public Key Infrastructure,即公钥基础设施)的公钥密码技术的数字签名;
-
以生物特征(手纹、声音、虹膜)提取数据为基础的签名;
-
一个让收件人能识别发件人身份的密码代号、密码或个人识别码PIN;
目前,上述第1种实现方式已经被司法实践直接认定有效。第1种实现方式的核心是数字签名、权威认证机构(CA)和可信时间戳,该方式是利用密码学成果,借助技术手段保证电子签名的可靠性,也是目前世界范围内最广为接受的电子签名实现方法之一。本部分对该种实现方式的原理作简要介绍。
1. 数字签名
数字签名是电子签名的一种具体实现,是一个技术术语而非法律术语,因此法律法规并没有对数字签名进行定义。数字签名也代表两层含义,第一层含义为名词,代表一种附在电子文件后的一种数据,这种数据能电子文件接收者识别出任何人对电子文件的任何修改。数字签名的第二层含义代表一整套用于产生上述数据的方法流程。
数字签名的简化流程大致为:发送数据电文时,发送方用一个哈希函数(HASH)从数据电文文本中生成数据电文摘要,然后用自己的私钥对这个摘要进行加密,这个加密后的摘要将作为数据电文的数字签名和数据电文一起发送给接收方,接收方首先用与发送方一样的哈希函数从接收到的原始数据电文中计算出数据电文摘要,接着再用发送方的公钥来对数据电文附加的数字签名进行解密,如果这两个摘要相同,那么接收方就能确认该数字签名是发送方的。流程图如下:
图一
关于哈希函数(HASH):哈希函数是一种特殊的数据处理方法,实现方式不唯一,典型的实现方式有MD5和SHA。但这些实现方式有着若干共同的性质。可以将哈希函数理解为一个黑盒,这个黑盒有一个输入端(输入数据电文),一个输出端(输出摘要),并且这个黑盒具有如下性质:
-
在输入端输入任意长度的比特流,输出端都会输出一个固定长度的比特流;
-
从输入通过黑盒计算输出很容易,但从输出反向推算输入在计算机上不可行;
-
输出的空间远小于输入的空间,因此理论上存在碰撞(即不同的输入结果对应相同的输出结果),但是:找到碰撞输入在计算上不可行。
关于私钥和公钥:私钥和公钥是非对称加密中的概念。非对称加密有如下性质:
-
公钥和私钥总是成对的,一个公钥有一个唯一对应的私钥;
-
用公钥加密的数据,只能用与该公钥对应的私钥解密;用私钥加密的数据,也只能用与该私钥对应的公钥解密;
-
私钥为加密人私有,而公钥是公开的。
通过上述实现方式可以看出,数字签名有如下特点:(一)数字签名制作数据,即私钥,由签名人持有,因此签名人签署数据电文时私钥受签名人控制;(二)签署后,如果签名人对签名进行改动,也即改动了对数据电文摘要的加密值,那么这种改动将轻易被识别,因为这种改动将导致用公钥解密的失败,或者导致用公钥解密后所得到的摘要值与所收到的数据电文再次经过哈希运算后的摘要值不符;(三)签署后,如果签名人对数据电文进行了改动,那么这种改动也很轻易可以被识别,因为根据哈希函数的性质,该改动后的数据电文经过哈希运算后,生成的摘要会不同于改动前的数据电文所生成的摘要。
对比数字签名的特点和《电子签名法》对电子签名的要求,不难发现,数字签名尚未解决私钥为签名人专有的问题。解决该问题的实现方式是通过权威认证机构。
2. 权威认证机构
权威认证机构包括证书认证中心(Certificate Authority,简称CA)和注册认证中心(Registration Authority,简称RA)。RA负责对用户进行身份审核,审核通过后通知CA向用户签发数字证书(内含公钥和证书所有者信息)。
由于公钥和私钥是一一对应的,并且权威认证机构是可信第三方,因此CA签发的数字证书记载了公钥和证书所有者信息,实际就解决了私钥为签名人专有的问题。
事实上,权威认证机构的工作还需要负责数字证书保存的目录服务器、能安全通信的Web服务器和应用系统接口等其它组件的配合,这些组件组成一个完整的体系,就叫做公钥基础设施(Public Key Infrastructure,简称PKI)。
3. 可信时间戳
时间对于法律文件(例如合同)而言是极为重要的因素。传统纸质法律文件的形成时间一般是通过当事人在文件中写明签订时间来实现的,由于社会对“签订的文件难以修改”达成共识,因此对于传统的纸质文件,即使文件属于倒签,法律上也会优先推定文件中列明的签订时间即为事实上的文件签订时间,除非有邮局(一种可信第三方)邮戳等其它证据作为反证。
时间戳(Time stamp)是一种计算机术语,是指电子文件产生的时间。个人计算机产生电子文件后的时间取决于该台计算机设备的时钟,而此类时钟可以任意修改,因此在普通个人计算机设备上形成的电子文件的时间戳因难以证明不可篡改性而没有一般意义上的证据效力。
但一个国家的标准时间是具有权威性的,每个国家的标准时间由各国权威授时中心管理。“可信时间戳”就是由可信的第三方时间戳服务中心(TSA)颁发的证明电子文件产生时间的电子凭证。
电子签名的应用
《电子签名法》第三条明确,电子签名适用于民事活动中的合同或者其他文件、单证等文书,但排除了电子签名在下列法律文书中的适用:(1)涉及婚姻、收养、继承等人身关系的;(2)涉及土地、房屋等不动产权益转让的;(3)涉及停止供水、供热、供气、供电等公用事业服务的;(4)法律、行政法规规定的不适用电子文书的其他情形。
目前,实务中数字签名已经被应用到平等主体之间的商事合同、雇主与雇员的劳动合同以及部分行政管理性文书中。下文将简介数字签名在签订电子合同和签署行政管理文件两类情况中的应用。
1. 数字签名在电子合同中的应用
(1)电子合同的概念
本文的电子合同指依据《中华人民共和国合同法》(下称《合同法》)第十一条,采用数据电文的形式订立的合同。关于数据电文,除了上述《电子签名法》第二条对其的定义外,《合同法》第十一条还给出了数据电文的五种表现形式:包括电报、电传、传真、电子数据交换和电子邮件。
根据《合同法》第十一条规定,采用数据电文形式订立的合同与传统的纸质合同一样属于书面合同,也即宏观上《合同法》认可电子合同形式上的有效性。《电子签名法》第四至第八条明确了数据电文的真实性标准。《电子签名法》第十三条、第十四条对可靠的电子签名的要求及效力规定,为利用电子签名签订电子合同提供了法律依据。
目前,法律法规对于数据电文真实性标准的规定集中体现在《电子签名法》第四至第八条中,整体可概括为“可读、可保存、可识别、真实”四个方面。
《电子签名法》对数据电文真实性提出的要求,也均为在功能和效果方面的要求,而未指定其具体实现方式或操作步骤。换言之,理论上讲存在多种技术手段或实现方式,均能实现我国法律对数据电文“可读、可保存、可识别、真实”的真实性要求,并且只要能够达到前述真实性要求,那么该数据电文即被视为满足法律、法规规定的原件形式要求,而以该数据电文形式订立的电子合同法律效力就等同于传统的纸质书面合同。
(2)使用数字签名方式签订电子合同的实践操作
实践中,通过数字签名的实现方式签订电子合同,通常需要有四方介入:
-
权威认证机构:权威认证机构的成立需要符合《电子签名法》、《商用密码管理条例》、《中华人民共和国计算机信息系统安全保护条例》等法律法规的规定,至少拥有《商用密码产品生产定点单位证书》、《商用密码产品销售许可证》、《商用密码产品型号证书》;
-
合同签订人;
-
电子合同服务平台(中介);
-
可信第三方时间戳服务中心,目前我国的可信第三方时间戳服务中心为联合信任时间戳服务中心,网址:www.tsa.cn。
三方的逻辑关系如下图:
图二
关于权威认证机构的功能上文已经介绍,此处不再赘述。电子合同服务平台的作用主要是代理合同签订人与权威认证机构和可信时间戳服务中心交互,完成身份认证、数字证书申请、盖时间戳、电子合同存储等工作,简化合同签订人订立电子合同的操作。
目前电子合同服务平台较多,较流行的包括云签、法大大、e签宝、上上签、DocuSign等。这些电子合同服务平台原理均相同,功能和使用流程都大同小异。
2. 数字签名在签署行政管理文件中的应用
上文的图2中示出了一个包括了电子合同服务平台、权威认证中心的电子合同签订系统模型,该模型的基础是采用数字签名保证数据电文的真实性。
事实上,同样利用数字签名保证数据电文的真实性,图2所示的系统模型稍加变化(见下图3),将其中的“电子合同服务平台”替换为具有不同功能的电子政务平台,则该模型还可以用于公众与政府管理部门之间的可靠数据通信。
图三
目前社会公众采用图3所示模型与政府管理部门进行数据通信的典型应用包括:专利、商标的电子申请、税务电子申报、跨境电商进口数据申报(向公共数据中心“中国电子口岸”申报)等。
以专利的电子申请为例,国家知识产权局开发(或委托开发)了一套在线提交专利申请的电子平台(相当于图2中的电子合同服务平台),专利代理机构获得国家知识产权局批准成立后,可以向国家知识产权局申请开通电子提交业务,国家知识产权局将代为向权威认证机构申请数字证书和密钥信息,再将私钥分发给专利代理机构,从而专利代理机构可以对所提交文件进行数字签名,以数据电文形式向国家知识产权局提交材料,知识产权局通过验证专利代理机构的数字签名,确认专利代理机构所提交的数据电文的真实性和专利代理机构的身份。商标代理机构的电子提交方式与专利代理机构类似,不再赘述。
另,广东省人大常委会审议《广东省工商登记管理条例(草案)》第四章,对“全程电子化登记”作了专门规定,明确了电子文件、电子档案以及电子签名的法律效力,规定“全程电子化登记中,加具电子签名的电子文件、电子档案与纸质形式材料具有同等法律效力”,“全程电子化登记涉及的电子签名与手写签名或者盖章具有同等的法律效力”。因此广东省的企业工商登记也有望采用以数字签名为基础的电子化登记方式。
司法实践对电子签名及电子合同的认可情况
目前还未检索到因电子签名签署的行政管理文件的有效性引发的案例。以下列出部分电子合同的有效性案例
1. 数字签名方式签订电子合同有效性的案例
案例1(司法案例):(2015)深福法民二初字第1164号,原被告通过合拍在线网站(一个电子合同服务平台,为用户提供申请数字证书等中介服务)在线签署了《借款及担保合同》、《委托担保协议书》,广东省深圳市福田区人民法院依据《电子签名法》第十四条,直接认定了该《借款及担保合同》、《委托担保协议书》合法有效。
案例2(劳动仲裁案例):申请人张某使用加载eID的工商银行金融IC卡在电子合同缔约平台法大大注册了账号,并与上海某公司签订了一份线上劳动合同,后申请人质疑线上劳动合同的无法律效力,并要求企业依照相关条文规定支付二倍工资。2016年7月,上海市嘉定区劳动人事争议仲裁委员会作出裁定,认为当事双方在平等自愿的基础上,通过国家认可的电子签名平台以电子形式签订劳动合同,符合《电子签名法》的相关规定,该合同真实有效,驳回了申请人的请求。
在2016年9月26日央视10套《科技之光》节目对这起案例进行了报道,并邀请工信部特约顾问郭宏杰先生针对公安部公民网络电子身份标识(eID)、电子签名、电子票据等热门问题进行了解答。
2. 其它涉及数据电文或者电子合同真实性的案例
如上文所述,目前法律对于数据电文的真实性,仅从功能和效果的角度提出了要求,因此理论上讲,达到这一要求的方式并不唯一,数字签名仅是其中一种实现方式。
下表中列出了近期法院认可电子合同/数据电文真实性的相关案例,这些案例表明:如果有其它证据或者方式证明数据电文的真实性,司法机关并不排斥数据电文作为证据,也并不否认以数据电文方式签订的电子合同的有效性。
3. 目前关于电子签名的司法实践存在的问题
有关电子签名的数据电文、电子合同有效性问题,涉及较为复杂的技术知识,且属于新兴事务。目前司法界相关的审判经验不多,司法审判时存在对“电子签名制作数据”、“电子签名”、“数字签名”、“用户密码”等概念的认知偏差,这有可能导致司法实践中对于数据电文和电子合同有效性认定的条件,与《电子签名法》的规定出现偏差的情况。例如以下两个案例:
(2008)浙民二中字第154号案件中,原告杨甲在被告期货交易公司处开户后,原告凭用户名和口令(口令系原告自己设置,被告并不知晓)可登录被告的信息系统委托被告代理期货交易。后原告否认某笔交易系其委托,与被告产生纠纷并诉至法院。浙江高院在二审时,基于用户口令的私有性、惟一性和秘密性的特征,认定用户口令是可靠的数字签名,与书面签名一样具有同等效力,进而认定原对被告的委托(实际是一份委托电子合同)有效。
类似的,(2014)深中法商终字第249号案件中,原告蔡建国在被告中国银行股份有限公司深圳锦绣支行处办理借记卡,并设定用户口令(口令系原告自己设置,被告并不知晓)。原告可凭借记卡在被告设立的ATM机上取款,取款时需要同时提供借记卡并输入用户口令。后原告借记卡被盗刷,深圳中院认为:被告未能识别伪造的借记卡,存在过错;而原告的用户口令具有私有性、唯一性和秘密性特征,起到电子签名的作用,并推定原告对密码泄露存在过错,最终判令双方各自承担责任。
此处对于上述两案件的法律适用和裁判结果并不作分析,仅简单讨论案件审判中关于电子签名的事实审理和认定部分。浙江高院将用户的登陆平台的口令认定为非对称加密中的私钥,同时又认为用户口令属于数字签名,这一认定值得商榷。深圳中院也同样认为用户口令是数字签名。事实上,根据《电子签名法》第三十四条第(四)项对电子签名制作数据的解释和用户口令与私钥在整个电子签名中的作用,用户口令与私钥都属于电子签名制作数据,用户口令本身不构成电子签名。我们认为上述两案件中,法院固然应当审查用户口令的私有性、唯一性和秘密性,这对于确认数据电文和电子签名产生过程的可靠性至关重要,但我们还认为,法院也应当同时审查(1)被告信息系统所采用的数据电文或电子签名的生成方式、传输方式以及接收方的接收方式、验签方式具体是什么;(2)这些方式是否满足《电子签名法》规定的数据电文的真实性条件。根据电子签名和电子合同有效成立的法律要件,法院只有在完全审查并确认举证义务方所证明的数据电文、电子签名在产生、传输和接收过程中均是可靠的情况下才能达到没有偏差的审理结果。
基于上述司法实践,对于电子合同而言,我们认为采用图2所示的电子合同实现方式所签订的电子合同比较容易在目前的司法实践中被认定为有效。对于签署行政管理文件而言,其目前的实用性主要取决于行政主管部门的电子政务平台建设。如利用行政主管部门所指定的电子政务平台、严格按照主管部门规定的操作流程提交或者交互数据电文,则该数据电文一般会被认为有效。