electronic signature

(圖片來源: Gajus

文/曾更瑩(理律法律事務所合夥律師)

2021 年 5 月 COVID-19 疫情突然升溫,臺灣社會被迫突然展開全面性的居家工作實測,社會大眾同時瞬間被數位轉型之強烈需求所震撼,其中一個就是在 21 世紀仍然要求實體簽名、用印之落伍,從事資訊科技法律實務多年,使命感讓筆者強烈感覺到是該大聲疾呼的時候了!

20 年前就有電子簽章法了!你知道嗎?

台灣的《電子簽章法》乃於 2001 年 11 月 14 日由總統公布,2002 年 4 月 1 日起正式施行,開創臺灣數位法規之先河。

當時強調的立法原則之一就是「科技中立」,希望各種技術能自由發展不被法條綁死。但《電子簽章法》施行多年,連資訊業界都不普遍使用電子簽章,一但遇到法規要求應以書面為之的「要式文件」,大家多半還是以傳統紙本文件應付之。

《電子簽章法》僅對數位簽章有較清楚之定義(採用 PKI 非對稱加密技術之簽章),對於其他型態的電子簽章則僅作概括之敘述,雖保留無限開展空間,卻同時使得何種電子簽章技術具有《電子簽章法》之效力而得以在法律規定必須以要式文件為之時取代傳統書面,至今成為疑問。

國際上廣為使用電子簽章,台灣卻發展真空

這 20 年來,雖然在台灣電子簽章之發展處於真空狀態,國際間各種型態的簽章技術逐漸發展成型並廣被使用,但是在臺灣法下,這些技術是否符合《電子簽章法》所規定之「電子文件」、「電子簽章」之要件,有誰能夠確認?當企業面臨不得不數位轉型之壓力,終於願意花錢採購相關工具,應該如何選擇?

舉筆者最常處理之《個人資料保護法》案件為例。《個資法》底下有若干規定要求取得個資當事人之書面同意,為了避免法規窒礙難行,《個資法施行細則》規定,該等書面同意得以《電子簽章法》下規定之電子文件來取代,但到底哪一種技術符合《電子簽章法》下的電子文件呢?是電子郵件、手機簡訊、通訊軟體所發送的訊息、社群媒體或各種應用程式要用戶打勾勾或點選同意鍵、還是在平板裝置上面簽名確認的文件?

由於《個資法》並無統一之主管機關,每當對此有所疑問之時,往往需要徵詢目的事業主管機關之意見,而目的事業主管機關通常會表示某一技術是否符合《電子簽章法》下之電子文件或電子簽章,需要由《電子簽章法》之主管機關經濟部商業司來最後拍板。

主管機關公文往返饒舌,卻要民眾負擔可能違法的風險

筆者閱讀過諸多公文,最後公文的結論往往是「如果〔某技術〕符合《電子簽章法》下所規定的〔引述電子簽章法法條條文……〕等要件時,〔該技術〕即有《電子簽章法》下之電子文件(或電子簽章)……之效力」,也就是主管機關幾乎都會重新引用《電子簽章法》所規定之要件來回覆民眾的問題。但民眾想請問的其實就是某一種技術是否可以被認定為符合《電子簽章法》下所規定之要件,如果主管機關都沒有辦法正面肯認的話,民間如何能大膽地使用一個電子工具代替原本需要傳統書面的文件,而負擔沒有依法取得必要書面文件的法律風險呢?很多時候甚至是要負擔刑事責任的!

按《電子簽章法》將電子文件定義為:「文字、聲音、圖片、影像、符號或其他資料,以電子或其他以人之知覺無法直接認識之方式,所製成足以表示其用意之紀錄,而供電子處理之用者。」

依照這個定義筆者上述各種電子通訊方式,包括電子郵件、手機簡訊、通訊軟體短訊、在網頁或應用程式上面上打勾或點選同意,在平板裝置上手動簽名,應該都符合以上的規定。

而《電子簽章法》第 4 條另外增加電子文件取代書面之規定,要求必須要符合「如其內容可完整呈現,並可於日後取出供查驗者」之要件,是以所以如果技術上能夠留存一份將來可以人之知覺直接認識的電子副本,而不是僅留存機器可判讀的 0 與 1 的程式碼,似乎以上各種方法應該都可以符合電子文件的要件?主管機關應可大膽直接認定?

另查《電子簽章法》所定義之電子簽章係指「依附於電子文件並與其相關連,用以辨識及確認電子文件簽署人身分、資格及電子文件真偽者。」目前市面上的電子簽章產品,比較常見的是綜合了手寫簽名以及影像功能,將手寫簽樣加載到文件上之方式,形成日後可以如同傳統文件得以展開閱讀之電子檔案,與《電子簽章法》訂定之初,當時大家幻想的人之知覺無法直接認識的簽章不盡相同,但是這些技術看來與傳統手寫簽名的習慣比較相近,也都能保存文件簽署時候的模樣,加上也具有部分確認身份的功能,如此應該可以認定為係符合上述《電子簽章法》下定義之電子簽章才對。

自然人憑證其實也是數位簽章的一種

至於數位簽章之使用,目前最通行者其實就是政府所發行之自然人憑證,民眾使用自然人憑證報稅,政府可以驗證自然人身份,民眾報稅無需「簽名」即可線上提交,也可以保留報稅資料之副本,但是肉眼看不到「簽章」。

《電子簽章法》要求數位簽章須使用「經許可」之「憑證機構」所核發之憑證,目前僅有少數憑證機構取得主管機關許可,本地業者開發需使用憑證之數位簽章技術並不多見,而國際電子簽章業者或憑證機構,未必有興趣與在台灣之憑證機構對接,或來台申請憑證機構許可,是以跨國機構在台灣反而無法使用其集團廣為使用之外國數位簽章/憑證,例如跨國性之金融機構;是以政府亦應考量如何簡化對於外國憑證機構之許可程序

提到金融機構又須附帶一提「委外」規定,如電子簽章、數位簽章之使用涉及雲端儲存文件或資訊,恐又涉及金融機構委外相關辦法,需事前取得主管機關核准,加上雲端業者多半需異地備援跨國儲存資料,跨境委外許可耗費相當成本,降低使用意願,誠屬可惜。

以上對於電子簽章、電子文件之疑問,筆者呼籲由主管機關利用發布函釋或指引之方式正面給民間一個確認,以解決這些 20 年來一直存在之疑問。COVID-19 席捲全球,正當我們想盡辦法拼疫苗第 1 劑覆蓋率的同時,變種病毒對全球各地都帶來了新的挑戰,國家整體數位轉型無可避免,趁此良機趕快利用行政機關發布函釋或指引之權限,將電子簽章、電子文件,這些根本問題解決,完成臺灣數位轉型最後一哩路的部署,才是上上之策。

新聞報導電子簽章將來會劃歸數位發展部主管,但是數位發展部目前並未依原訂時程如期完成立法開始設立,如果還要再等到數位發展部設立才要開始準備解決這個問題,恐怕為時已晚(衷心希望不是再等 20 年),希望臺灣不要再度放棄這個進行數位轉型的絕佳機會!

(本文係作者個人意見,不代表理律法律事務所意見。)

推薦閱讀:

【唐鳳政委看這邊】新冠疫情下歐盟推出公民 eID 及「數位錢包」,台灣數位身份證還好嗎?

【戴季全專欄】New eID 不是洪水猛獸,而可能是台灣成為智慧民主國家之始

【最新!蘇揆下令全面暫緩換發 eID】優化資安文化,請看第一線資安人員怎麼說

【2021 換新證件,台灣真準備好了嗎】政府一年被網攻 3.6 億次!學者憂數位身分證成「資安破口」