随着社会数字化转型和商务无纸化的发展,传统的纸质签名盖章越来越多地被电子签名所取代,虽然所有电子签名服务商都声称其提供的电子签名是有效的电子签名,但很明显这不会是事实;如何判断某项电子签名是否是真正有效的电子签名,已经成为现代企业法律风险控制的重要组成部分,对于已经使用或者打算使用电子签名的用户而言,更是当务之急。
然而,由于电子签名本身是跨越技术和法律双重领域的应用,建立电子签名的有效鉴别方法并不那么容易,为此,本文将从技术和法律的基本原理着手,进行两个方面的结合分析。
——有效签名的法律含义及其证据属性
签名是传统生产生活中最为熟悉的行为之一,几乎所有涉及权益影响的事项,都离不开签名(即签字盖章),从法律意义上说,签名的内在含义是“表达对被签名内容的认可”,无论是签发收据、签订合同,或是出具承诺,每一次的签字盖章,都构成了“签名者愿意接受所签名内容约束的意思表示”。
可是,能够表达“意思表示”的方法还有很多,比如“点头确认、举手表决、口头协议”等,为什么只有签名成为了最为广泛,又世界通行的意思表示形式呢?
这就与签名的证据属性,即“立字为凭”有关。
对于签名者而言,签名行为是进行意思表示的方法,而对于接受签名的人而言,签名则成为防止签名者事后抵赖的保障。
签名之所以具有防止抵赖的作用,就在于有效的签名都具有2个关键特征:
1、签名痕迹与签名者身份具有“不可否认”的关联性
签名作为“动词”时,表达的是意思表示“行为”,而作为“名词”时,则代表签名行为所产生的“签名痕迹”。
对于个人签名者,由于每个人都具有天然与众不同的行为习惯,理论上每个人的签名笔迹都不相同,因此签名痕迹一旦形成,就天然地与签名者身份建立了唯一关联,从而让个人签名痕迹具有了抗抵赖的作用;
对于盖章签名者,虽然印章作为一个“外在装置”,无法像“行为习惯”那样与特定主体之间形成天然的关联关系,但正因为此,法律特别对印章设定了备案要求,企业的印章之所以要向公安机关进行备案,其目的就在于将盖章产生的签名痕迹与企业主体身份之间建立法律设定的唯一关联,从而让盖章签名痕迹同样具有了抗抵赖作用。
2、签名痕迹与被签名内容具有“不可分割”的唯一关联性
具有法律意义的签名必然包含内容,被签名的内容构成了签名者做出的承诺;当签名者在包含承诺内容的纸张上完成签字或者盖章后,签名痕迹与被签名内容同步完成了绑定,签名痕迹与内容不可分离地关联在一起,基于签名痕迹的不可否认,进而让被签名内容也不可否认。
复印件和影印件之所以不能像原件那样具有直接的证据效力,根本缘由就在于复印件和影印件上的“签名”,已经不是“签名痕迹”而是“签名图样”,“签名痕迹”由签名行为产生,因而是不可复制的,只能在原件上存在,而“签名图样”可以被无限复制并应用到不同内容的文件之上;由于“签名图样”能够与“被签名内容”分离,无法实现“签名图样”与“被签名内容”的绑定作用,因而不具有证明效力;同样,实务中,企业在进行多页文件的签名时,之所以会要求加盖“骑缝章”,其缘由也是因为要防止“签名痕迹”与“被签名内容”可能出现分离,影响承诺的抗抵赖作用。
基于以上分析,“签名痕迹”与“签名者身份”的唯一关联性,保证了签名行为的不可抵赖,“签名痕迹”与“被签名内容”的唯一关联性,保证了签名者对于“意思表示内容”(即承诺内容)的不可抵赖,此两者相互结合,让签名具有了法律意义上回溯待证事实和完备抗抵赖的能力,进而使得签字盖章成为了商业活动中最通行的交易手段。
——电子签名与可靠电子签名的区别
然而,虽然可以称为电子签名的方法有很多,但并非所有的电子签名都是有效的电子签名;
举例来说,用户以输入账号密码的方式,对某技术系统呈现的信息进行确认,其中账号与用户身份存在关联,输入密码可以代表用户的认可行为,符合电子签名的定义,但显然该电子签名的结果只是在技术系统中添加了一条“某用户确认了某内容”的数据记录,该记录虽然包含用户的身份,但本质上与用户并没有直接关系,试想,即便没有用户的确认,技术系统也可以单方随意添加这条记录,因此这种电子签名产生的“痕迹”与签名者身份之间并不具有“不可否认”的关联性,其作用更多体现在技术系统对用户的一次识别,而不是具有抗抵赖性的有效电子签名。
为此,《电子签名法》在定义了“电子签名”之外,又特别界定了“可靠电子签名”,根据该法第13条的规定,同时满足如下4项要件的构成“可靠电子签名”:1、电子签名制作数据用于电子签名时,属于电子签名人专有;2、签署时电子签名制作数据仅由电子签名人控制;3、签署后对电子签名的任何改动能够被发现;4、签署后对数据电文内容和形式的任何改动能够被发现。
并在第14条明确规定,只有“可靠的电子签名”才能具有等同于传统纸质签字盖章的法律效力。
依照可靠电子签名要件的第1项和第2项,在电子签名时,用于签名的电子签名制作数据只能由签名人专有并唯一控制,也就是说“电子签名必须只能由签名人才能做出”;依照第3项和第4项,电子签名完成后,签名和被签名的文件出现任何改动都能够被发现,也就是说电子签名完成后,保证“电子签名本身和被签名文件防篡改”,综观这4项要件可以发现,本质上与前文分析“有效签名所具有的特征”一样,前2项规定保证了“签名痕迹与签名者身份具有不可否认的唯一关联性”,后2项则保证“签名痕迹与被签名内容具有不可分割的唯一关联性”。
因此,有效的电子签名必须是满足“可靠电子签名”要件的电子签名,具备抗抵赖能力的电子签名才是不可否认的有效签名。
——数字签名与可靠电子签名的关系
电子签名的实现方式多种多样,使用数字证书的签名是其中的一种:
使用数字证书的签名也就是数字签名,根据全国人大《电子签名法释义》第十六条的解释,数字签名是指通过使用非对称密码加密系统对电子记录进行加密、解密变换来实现的一种电子签名。
按照国家密码管理局颁布的GB/Z001《密码术语》标准第2.113条,“数字签名是签名者使用私钥对待签名数据的杂凑值做密码运算得到的结果,该结果只能用签名者的公钥进行验证,用于确认待签名数据的完整性、签名者身份的真实性和签名行为的抗抵赖性”。
以上两项规定从不同角度,明确给出了“数字签名”严谨的法定含义,结合这两个定义可以简要概括出,“数字签名是基于非对称密码技术的一种电子签名方法,签名者使用私钥对数据电文进行签名,签名结果可以使用私钥对应的公钥进行验证”。
“公钥”和“私钥”是密码学的一个基本概念,由相互之间具有特别数学关系的一组“公私钥对”组成,公钥与私钥的关键特征在于“外观上两个密钥完全不同,但使用私钥进行的运算结果,可以通过公钥进行验证”。
故而,公钥通常向大众公开,而私钥仅由拥有者秘密持有;GB/Z001《密码术语》中也对此明确规定“私钥是非对称密码算法中只能由拥有者使用的不公开密钥”,“公钥是非对称密码算法中可以公开的密钥”。
当私钥拥有者使用私钥对信息进行签名运算后将信息公开,所有接收到签名信息的人都可以使用公开的公钥,验证签名是否是私钥拥有者所签。
但是,无论是公钥还是私钥,表现出来的都是计算机生成的字符串,字符串没有语义不具有可读性,单纯通过字符串去判断某一公钥对应的是何人,显然是不可能的,因此,为了能够将某一公钥字符串与特定人的身份建立关联,需要有专门机构对此进行管理,这种机构就是《电子签名法》第16条所称的“电子认证服务提供者”,俗称“CA”机构,CA机构负责对某一公钥代表何人进行认证,并基于认证颁发“数字证书”。
在标准的数字证书颁发过程中,首先由用户(签名人)使用通用的计算工具产生“公私钥对”,然后将其中的公钥和用户身份信息发送给CA机构,CA机构对用户身份进行核验后,将公钥和用户身份信息按照特定的格式,封装成数字证书文件返回给用户并向社会公开,从而让全社会都可以知晓该数字证书拥有者的对应身份,并可使用数字证书验证使用对应的私钥进行的电子签名。
由于私钥是用户(签名人)秘密持有,因而理论上能够使用该私钥完成签名的人只能是用户本人,因此,该私钥就成了将用户的身份与签名行为进行绑定的媒介,鉴于私钥与公钥在密码学上的唯一对应关系,CA机构虽然是对公钥进行的认证,其本质却是对私钥持有者身份的认定,让私钥签名成为了用户(签名人)电子身份的代表。
那么是否意味着,只要是使用了数字证书的电子签名,就是有效的电子签名呢?
并不是。
因为大量基于数字证书的电子签名,并不满足《电子签名法》对“可靠电子签名”的规定。
《电子签名法》第13条规定,可靠的电子签名在签署时“电子签名制作数据”必须为签名人专有并唯一控制,再结合第34条对“电子签名制作数据”和“电子签名验证数据”的名词解释,在数字证书的签名场景下,“私钥”就是“电子签名制作数据”,“公钥”则为“电子签名验证数据”;因此,签名时,数字证书对应的私钥是否为签名人专有并唯一控制,是判断电子签名法律有效性的关键所在,然而事实上,常见的数字证书签名,私钥却经常不在签名人的控制之中。
举例来说,北京市高级人民法院“(2021)京行终905号”“薛某某”诉“工信部”行政诉讼案件中,平安科技公司使用北京CA颁发的数字证书用于“银行与薛某某”之间的法律文件签署,而事实上“薛某某”从未向北京CA申请过数字证书,但平安科技公司却以“薛某某”数字证书生成了“薛某某”的电子签名,并基于该电子签名向“薛某某”主张权利;为此“薛某某”将平安科技公司及北京CA的违规做法向工信部进行了投诉,由于工信部未能恰当履行监管职责,“薛某某”进而向法院提起行政诉讼,最终北京高院判定工信部败诉。本案中,一个重要的事实被揭开,在平安科技与北京CA的业务合作中,平安科技可以使用任何人的名义从北京CA获得证书,而北京CA并不会向当事人进行核实,因为北京CA已经将审核的权限转移给平安科技,只要平安科技提出要求就能直接获得证书,从而让平安科技可以控制“任何人”的私钥,以“任何人”的名义完成签名。
这起案件并非只是北京CA的个案,查阅工信部在线投诉的版块,类似事项还有很多;事实上几乎所有的CA机构都在推行这种业务合作模式,为了能够更多地提高数字证书的销量,直接将合作公司当作渠道商,根据合作公司提供的信息直接签发证书。
由CA公司本身营利性企业的性质决定,追求业务利润是CA公司的目标,用户将自身的法律安全寄希望于CA公司是不现实的,最高法院裁判文书网上发布的大量无效电子合同的案例,多数也与此类数字证书的滥用有关,而多家CA机构更是在各自公布的《电子认证业务规则》中明确表示,对因证书差错导致的损失不承担责任或者只承担不超过800元~4000元的责任,因无效电子签名产生的不利法律后果最终都只能由用户自己承担。
——电子签名争议中的举证与抗辩关键点
1、电子签名的盗用风险
在传统纸质签名的场景下,因为个人签名行为与人身无法分离的特性,手写签名通常不存在被盗用的问题,但企业印章的盗用风险显而易见,因此防范印章盗用成为了所有企业法律风控的重要组成部分。
在电子签名场景下,由于电子签名所依赖的“私钥或电子签名制作数据”变成了计算机字符,不再与签名者具有天然不可分离的关联属性,如同公章备案一样,“私钥(电子签名制作数据)”与签名者之间身份关系的联结需要来自于外部的法律设定,因而无论是个人电子签名或是企业电子签章,都存在可能被盗用的风险。
与传统公章盗用一样,电子签名盗用也主要表现在“真章盖在假文件上”,包括盗用印章签署未经批准的电子文件,和签名过程中调换被批准的文件内容;
实体印章盗用风险的防范手段,主要在于对“印章实物”的使用管控,而电子签名盗用风险防控的关键,则在于对“电子签名制作数据”的控制,由于实际上谁控制了电子签名制作数据就意味着谁就控制了电子签名,电子签名制作数据的安全管理是防止电子签名盗用的重中之重,电子签名制作数据是否被签名者实际控制,是判断电子签名是否存在盗用风险的关键所在。
2、电子签名的抵赖风险
对于签名者方面而言,电子签名的风险在于防盗用,而对于接受签名者(亦称“签名依赖者”)而言,电子签名的风险则在于防抵赖。
通常,签名者可以从以下3个方面否认电子签名的真实性:
1)“签名不是我的”——即该签名与签名者完全无关
一份盖章署名为“A公司”的文件,并不能必然对“A公司”产生约束力,因为盖章痕迹也可能是他人伪造,盖章图样与“A公司”之间并不必然存在联系,因此,A公司可以提出“公章不是我的”抗辩,以待司法鉴定的结论。
同样,一份包含“B公司”数字证书署名的电子文件,也并不必然对“B公司”产生约束力,因为该数字证书也可能并非“B公司”真正所有,为此,颁发该证书的CA机构还需要提供“B公司”确实申请了该数字证书且证书私钥为“B公司”控制的证据材料,前文提及的北京市高级人民法院“(2021)京行终905号”案件就是典型的反面案例。
在没有充分的证据可以证明“签名痕迹与签名者本人之间存在必然联系”的条件下,签名者可以从根本上否认签名与自己的关联,从而无需接受电子文件内容的约束。
2)“签名不是我签的”——即能够完成签名的人不只签名者一人
但当使用电子签名时,签名所依赖的“电子签名制作数据”不再是具有物理唯一性的“实物”,而是可以被无差别复制和光速传输的计算机字符,每一份复制的“电子签名制作数据”都与原件无异,因此,如果电子签名方案存在设计缺陷,则非常容易出现“电子签名制作数据”同时被多人持有的问题。
举例来说,使用手机短信验证码是社会上最常见的一种电子签名方法,用户通过在指定的任务中输入手机收到的随机码,以确认自己的意思表示;随机码看似只有用户知晓,但实际上却经过了签名业务运营方的“业务服务器生成验证码,并将验证码提交给通讯运营商”,“通讯运营商收到验证码,向用户手机号码发送验证码”,“用户通过手机接收验证码”至少三个环节,在此过程中“业务运营方”、“通讯运营商”和“用户”三方都能够明确获悉随机码,即便不考虑通讯运营商截取验证码的可能性,“业务运营方”和“用户”对于验证码必然都是明知的,因此,在这种电子签名方案中,能够完成签名的可能是用户,也可能是业务运营方,因不具备抗抵赖性,从而让用户可以有依据提出否认的抗辩。
3)“我签的不是这个内容”——即签名者认可的内容被调包
前文已述,纸质签名的一个典型特征在于签名一旦完成,则签名痕迹与被签名内容不可分离地绑定在一张纸面上,因此,保证了签名者不得再提出否认承诺内容的抗辩。
但在电子签名模式下,签名人通过电脑(手机等装置)的显示屏,看到待签名的内容和表示同意的承诺,但对应的电子签名痕迹却并不是发生在签名人的电脑上,而是在签名业务运营方的远端服务器上产生,签名行为与签名痕迹相互分离,无法实现将签名痕迹与签名者认可内容的直接绑定。
抗抵赖的本质是考察证据证明能力的问题,需要通过切实的证据,证明抵赖不能成立;签名者基于以上3个方面的抵赖抗辩,在证据法的法理上和电子签名的技术流程上都具有一定的合理性,虽然根据个案的具体情况举证责任的分配可能不尽相同,但其中法律风险的存在却是不争的事实,对比《电子签名法》的规定也可以发现,可靠电子签名的4项要件,核心目的也正是为了杜绝这样的风险出现;因此,在进行电子签名方案的法律风险评估时,有必要对抗抵赖的证据证明能力,加以重点分析。
4、商业机密的泄密风险
在所有需要签名的法律文件类型中,合同无疑是最常见的对象,而合同中记载的大量商业机密又是企业风险管理中的重要内容;纸质合同的商业机密保护通常只要做好阅读者范围控制,就能解决大部分问题,但对于电子合同,如果使用的电子签名方案不恰当,却可能产生新的问题。
举例来说,如果选用“私钥托管模式”的电子签名方案,即类似电子合同SaaS平台的签名服务,由于用户的“私钥”由平台持有,因此,当签署电子合同时,需要将合同的电子文件发送到平台服务器,以调用“私钥”完成签名操作,在这一过程中,平台将完整地掌握所有合同的明文信息,当平台出现不受控或者不忠诚时,将成为商业机密的泄露源,给用户的商业机密构成直接损害;更有甚者,出于商业利益的考量,平台甚至有能力对用户的电子合同信息进行大数据提取和分析,从而构成更大的信息安全风险。
1、关于“数据存证”对“可靠电子签名”的证明能力问题
实务中,经常出现将“实时数据存证”等同于“可靠电子签名”的误导,特别是在区块链存证的业务领域,以电子签名系统接入区块链并提供实时区块链存证为由,意图证明电子签名系统中产生的电子签名都是可靠的电子签名,这是典型的将数据存证与可靠电子签名的混同。
事实上区块链只能保证数据上链之后可以防篡改,而对于数据在上链之前是否真实无能为力,为了避免区块链功能在司法上的错误使用,最高法院特别在《人民法院在线诉讼规则》第18条明确规定“人民法院根据案件情况,可以要求提交区块链技术存储电子数据的一方当事人,提供证据证明上链存储前数据的真实性,……当事人不能提供证据证明或者作出合理说明,该电子数据也无法与其他证据相互印证的,人民法院不予确认其真实性。”
因为电子签名的数据在使用上链存证或者其他形式的存证服务之前就已经产生,因此,无论是区块链的数据存证或者其他任何技术形式的存证服务,本质上对于电子签名是否可靠起不到任何证明作用。
2、关于“第三方”与“中立第三方”的区分问题
当事人双方或多方之外的参与者统称为第三方,从证据法的角度,第三方又可分为中立第三方和非中立第三方,其中,与待证事实后果无利害关系的第三方称为中立第三方,通常由中立第三方提供的证据资料具有较高的真实性,对此,最高法院在《关于民事诉讼证据的若干规定》第94条也明确规定“由记录和保存电子数据的中立第三方提供或者确认的电子数据,人民法院可以确认其真实性,但有足以反驳的相反证据的除外”。
然而在电子证据领域的实务中,非常容易忽视“无利害关系”的前置要求,直接将“第三方”等同于“中立第三方”。
3、关于对“真实电子数据”证明能力的认知问题
有效的证据需要具备“合法性、真实性、关联性”,在电子数据作为证据应用时,抛开合法性不谈,很容易出现侧重“数据真实性”审查,而忽略“关联性”认定的偏差。
真实的电子数据需要与待证事实之间具有足够的关联才能证明待证事实,举例来说,当我们使用数码相机在深圳的“世界之窗”,拍摄了一张“北京故宫”的照片后,照片的电子数据保存在相机中从未被篡改,电子数据本身完全是真实的,但却不能用于证明“北京故宫在深圳”的事实。署名为张三的借条也可能是别人以张三的名义伪造的,对于电子签名而言,当一份署名为Alice的电子合同产生争议时,不但要审查电子数据本身的真伪,更为重要的是,需要查清签名是否是Alice所为,即便电子合同系统的服务器上完全客观的保存了全部电子合同数据,但这些电子数据如果无法与Alice实现唯一关联,或者说如果无法证明这些数据只有在Alice真实参与的前提下才能产生,则无法证明Alice签署了此电子签名。
4、关于“流程控制”与“抗抵赖”认知的混淆问题
流程管理是现代社会运行的重要特征,也是所有信息化系统设计的重要内容,通过流程的控制和优化,可以提升各项工作的运行效率。
在基于流程控制的信息系统中,系统管理员和软件开发商预先定义若干节点,并通过权限分配的方式,设定好完成某项操作所需要的业务流程,本质上,流程控制就是高权限者对低权限者操作权限的控制。
举例来说,在门禁系统中,有的人可以打开一扇门,有的人可以打开多扇门,而系统管理员可以打开所有的门,并且可以设定或取消所有人的开门权限;同样地,在一些控制了用户“电子签名制作数据”的电子签名系统中,即便按照预设流程,用户需要输入验证码或者人脸识别后系统才会进行签名,但实质上,即便没有用户输入的验证码或者人脸识别,系统仍然可以跳过所有流程直接完成操作。
抗抵赖的前提是“某一痕迹只能由行为人才能产生”,但流程控制中所有的痕迹都是系统产生,而与行为人没有直接关联,高权限者也可以轻易跳过流程,因而不能把权限控制当作抗抵赖依据。
5、关于个案风险与系统性风险的认知问题
如前文所述,签名的本意在于立字为凭以防风险的发生,而风险本身又是相对低概率的事件,进而在电子签名方案的评估中,容易出现“是否有必要严格将满足可靠电子签名条件当作刚性要求”的分歧,特别是当某种不可靠的方案也已经被其他企业使用时,更是强化了这种认知分歧。
对此,有几个关键问题需要得到认知:
1)传统纸质签名过程中如果出现疏漏,往往只会带来个案的法律风险,但电子签名系统是标准化的统一模式,一旦个案出现风险,将带来全系统的连锁效应,诱使更多的案件出现,可能成为全面的系统性风险;
2)常规的计算机软件系统出现bug,可以通过系统升级的方式进行更新解决,但不可靠的电子签名系统即便进行系统更新,也无法使之前签署的不可靠电子签名文件成为可靠的文件;
防范风险本质上就是以防万一,风险概率低并非放弃风险防范的恰当理由,需要权衡的是用于风险防范的成本是否在可以接受的合理范围;对于电子签名方案的选择,理应坚持“可靠电子签名”为必要条件,并且审慎地从技术与原理上,评估具体方案是否真正满足抗抵赖的各项要件,排除商业干扰,做出客观判断;在无法找到“可靠电子签名”方案,或者实施成本过高的情况下,理性的选择应该是放弃电子签名,而非放弃风险防范。
其一,无论是司法鉴定或是仲裁,都是争议事后救济制度的一部分,因此从法律的基本原理上,就不存在争议发生之前,进行“先行鉴定”和“先行仲裁”的合法性前提,对此,最高法院在“法释〔2018〕10号”《关于仲裁机构“先予仲裁”裁决或者调解书立案、执行等法律适用问题的批复》中也明确规定,对于此类“先予仲裁”不予认可。
其二,本质上,签名的法律效力来自于签名痕迹所产生的过程,也即签名行为的实施过程,当签名痕迹产生即表明签名已经结束,除非让用户再进行一次新的签名,否则任何行为都无法再对签名的效力进行补强。
因此,无论是将电子签名的数据提交给“鉴定机构”或是“直通仲裁”,所起的作用也就是“数据存证”,除此以外,更多的都只是电子签名服务商混淆视听的营销手段,而对电子签名效力的补强起不到实质的作用。
综览全文可见,电子签名虽然是跨越信息技术与法律知识两个专业领域的应用,但其实只要具备基础的技术常识,并认知到“签名痕迹只能由签名行为人才能产生”是法律上抗抵赖的基本原理,以此作为标准,评估电子签名方案是否满足“可靠电子签名”的法律要件也就不再那么困难。
通过本文,也希望能够给企业法务部门和律师在参加电子签名方案的法律风险论证时,提供些许的帮助和参考!