什么是有效的电子签名?
一、背景
电子印章技术以先进的数字技术模拟传统实物印章,其管理、使用方式符合实物印章的习惯和体验,其加盖的电子文件具有与实物印章加盖的纸张文件相同的外观、相同的效力和相似的使用方式。2005年4月1日正式实施《中华人民共和国电子签名法》后,电子印章技术及其产品的研究与应用均有了较快的发展。
我国电子签名法,是为规范电子签名行为、确立电子签名的法律效力、维护有关各方的合法权益而制定的。
二、相关定义
1、电子签章是电子签名的一种表现形式,利用图像处理技术将电子签名操作转化为与纸质文件盖章操作相同的可视效果,同时利用电子签名技术保障电子信息的真实性和完整性以及签名人的不可否认性。
2、电子合同是双方或多方当事人,通过互联网以电子形式达成的设立、变更、终止某种民事权利义务关系的协议,当事人之间签订的这种合同是合同的电子化,是合同的新形式。合同签署各方都经过实名认证,并且采用了可靠的电子签名技术进行签署,具备了和纸质合同以及手写签章同等的法律效力。
3、CA机构,全称Certificate Authority,电子商务认证授权机构,也称为电子商务认证中心,是负责发放和管理数字证书的权威机构,并作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。
4、CA认证,即电子认证服务 ,是指为电子签名相关各方提供真实性、可靠性验证的活动。
三、什么是有效的电子签名?
根据《中华人民共和国电子签名法》第十三条的规定,电子签名同时符合下列条件的,视为可靠的电子签名:
(一)电子签名制作数据用于电子签名时,属于电子签名人专有;
(二)签署时电子签名制作数据仅由电子签名人控制;
(三)签署后对电子签名的任何改动能够被发现;
(四)签署后对数据电文内容和形式的任何改动能够被发现。
当事人也可以选择使用符合其约定的可靠条件的电子签名。
本条规定所包含的意思可理解为:
(一)本条第一款规定了可靠的电子签名应当具备以下法定条件:
1、电子签名制作数据用于电子签名时,属于电子签名人专有。电子签名制作数据是指在电子签名过程中使用的,将电子签名与电子签名人可靠地联系起来的字符、编码等数据。它是电子签名人在签名过程中掌握的核心数据。唯有通过电子签名制作数据的归属判断,才能确定电子签名与电子签名人之间的同一性和准确性。因此,一旦电子签名制作数据被他人占有,则依赖于该电子签名制作数据而生成的电子签名有可能与电子签名人的意愿不符,显然不能视为可靠的电子签名。
在实践中,为确保签署主体的可信度即通常讲的签署主体实名验证,电子签名服务商一般采取的技术手段包括四要素验证等,即电子签名持有人的名称、身份证号、银行卡、手机号,而验证通道则包括公安机构通道、三方支付机构通道等等。
相关案例
史莉莉与国壮借款合同纠纷一案执行复议执行裁定书
案号:(2020)吉执复53号
史莉莉向本院申请复议,请求:撤销吉林中院(2019)吉02执107号罚款决定并不予罚款。
事实与理由:
一、经居间方易联汇华平台查证,借款人国壮2017年9月10日在趣生财钱包APP上使用手机13804270483进行了注册并设置了登录密码,注册成功后又通过了本人银行卡四要素认证(即通过姓名、身份证号码、银行预留手机号、银行卡号进行个人身份真实性验证),然后使用电子签名的方式申请了借款并签订了《借款协议》。通过实名认证的人员,再次登录APP需要输入手机号和密码。另外,根据趣生财钱包APP注册手机号码唯一性规则,若使用该手机号码再次注册,APP提示“手机号已被占用”。因此,可证明是由借款人本人通过趣生财钱包APP使用13804270483手机号注册,且注册账号具有唯一性。
二、虽然借款人注册时使用的13804270483号码停止了各项通信服务,但其仍然可以采用手机号码+登录密码的方式进行登录,根据居间方平台调取到的《用户信息》证据显示,借款人国壮通过手机号码13804270483最近一次登录时间为2018年9月22日00:33:00分,在其登录系统后自动对有逾期还款的借款人进行提醒,并要求其签署《仲裁补充协议书》,被执行人确认签订补充协议时间为2018年9月22日00:35:50分,而且在“e签宝”官方查询电子签章未被篡改过,被执行人真实意愿签署,被执行人在签署前已全部了解补充协议内容,无需再次送达。综上,虽然被执行人国壮在合同中约定的手机号码停止了各项通信服务,但其可采用注册手机号码及其设置的登录密码登录APP并在线签署《仲裁补充协议》,该证据真实有效,吉林中院仅以被执行人电话不通为由认定申请执行人史莉莉伪造证据,属于对事实认定不清,同时有悖法律的公正性和严谨性。
根据史莉莉提交的证明材料,趣生财钱包隶属于易联汇华(北京)科技有限公司,是一款APP手机软件。国壮以13804370483手机号作为账号,在该APP进行注册的时间为2017年9月10日,该日期早于其手机号码2018年1月2日的拆机时间。
复议申请人史莉莉的委托代理人石悦于2020年3月26日向本院邮寄加盖易联汇华(北京)科技有限公司公章的书证一份及以U盘和光盘为载体的“趣生财钱包”APP登录演示视频一份,证明该APP在首次注册后可使用已注册的手机号码作为账号并输入相应密码进行登录,该手机号码拆机与否对上述操作并无影响。
除对“史莉莉提供的仲裁补充协议书,未经国壮同意后使用电子签章确认,系其单方伪造”外,本院对吉林中院查明的事实予以确认。
本院查明,史莉莉于2019年4月28日向吉林中院申请强制执行珠海仲裁委员会珠仲网字(2018)第1322号裁决书,2019年5月8日吉林中院作出执行立案通知书,通知该案予以立案,案号为(2019)吉02执107号。
本院认为,吉林中院以国壮手机号码于2018年1月2日即已拆机的事实,认定史莉莉提供的《仲裁补充协议书》未经国壮同意后使用电子签章确认,系史莉莉单方伪造,其事实依据并不充分,吉林中院据此作出对史莉莉罚款10万元的罚款决定不当,应予纠正。
2、签署时电子签名制作数据仅由电子签名人控制。这一项规定是对电子签名过程中电子签名制作数据归谁控制的要求。这里所规定的控制是指一种实质上的控制,即基于电子签名人的自由意志而对电子签名制作数据的控制。在电子签名人实施电子签名行为的过程中,无论是电子签名人自己实施签名行为,还是委托他人代为实施签名行为,只要电子签名人拥有实质上的控制权,则其所实施的签名行为,满足本法此项规定的要求。
在实践中,为确保签署行为有效,首先需确认电子签名制作数据确为电子签名人所控制,而一般采用的方式包括向已通过实名验证的手机号再次发送验证码进行验证、刷脸等生物识别技术验证等;另外,在法律上,对于经电子签名人合法有效授权的主体代为实施签名的,也认定具备相应效力。
相关案例
全锡民与吉林省颂禾农民服务有限公司刘晓立、王玉卫、刘富董秀凤合同纠纷再审审查民事裁定书
案号:(2020)吉民申1543号
本院经审查认为:全锡民主张颂禾公司没有向其交付电子签名的密钥,一直由颂禾公司掌控,故对账单系颂禾公司单方形成,不应作为定案依据。经查,全锡民对《电子签名和电子身份认证使用协议》为其本人与颂禾公司签订及《电子签名和电子身份认证使用承诺书》为其向颂禾公司出具无异议。《电子签名和电子身份认证使用承诺书》中记载“电子签名和电子身份认证一经签字即视为本人签字确认,具有与本人亲笔签字同等的法律效力。本人对电子签名和电子身份认证的使用和保管负全责。任何人使用其电子签名和电子身份认证进行的对电子公文签名行为,均视为本人亲自办理。因管理不慎而造成的后果、损失,及所产生的法律后果,均由本人承担。”依据上述内容,在无相反证据的情况下,应视为全锡民已收到电子密钥,对电子密钥的使用后果明知,并自愿承担因他人使用电子密钥而产生的风险。全锡民主张一审中颂禾公司认可全锡民没有收到密钥,但一审庭审笔录中在询问电子密钥交接过程时,颂禾公司回答“当时就能从系统当中生产密钥,直接交付到对方手中。没有收到密钥但是在后续的合作过程中已经付了16万余元的货款。”根据上述陈述的前后语境以及颂禾公司主要依据电子签章的对账单主张货款,上述陈述不能认定为颂禾公司对于未向全锡民交付电子密钥的认可,本院对全锡民的该项主张不予支持。综上,应认定全锡民已收到电子密钥,案涉供货合同及对账单等使用的电子签名视同全锡民的本人签名,对全锡民具有约束力。全锡民主张存在多个IP地址登陆,而全锡民家中仅有一台电脑,说明密钥不在全锡民处。由于IP地址与电脑并不具有对应性,即使使用同一台电脑上网,每次也会分配不同的IP地址,故全锡民以此主张密钥没有交付,本院不予支持。因全锡民对于其与颂禾公司之间存在供货关系且已支付部分货款无异议,仅是对于对账单及对账单中记载的欠付货款数额有异议,故在不能否认电子签名的真实性的情况下,一、二审依据对账单判令全锡民给付货款并支付违约金并无不当。
3、签署后对电子签名的任何改动能够被发现。采用数字签名技术的签名人签署后,对方当事人可以通过一定的技术手段来验证其所收到的数据电文是否是发件人所发出,发件人的数字签名有没有被改动。倘若能够发现发件人的数字签名签署后曾经被他人更改,则该项签名不能满足本法此项规定的要求,不能成为一项可靠的电子签名。
4、签署后对数据电文内容和形式的任何改动能够被发现。电子签名的一项重要功能在于表明签名人认可数据电文的内容,而要实现这一功能,必须要求电子签名在技术手段上能够保证经签名人签署后的数据电文不能被他人篡改。否则,电子签名人依据一定的技术手段实施电子签名,签署后的数据电文被他人篡改而却不能够被发现,此时出现的法律纠纷将无法依据本法予以解决。电子签名人的合法权益难以得到有效的保护。因此,要符合本法规定的可靠的电子签名的要求,必须保证电子签名签署后,对数据电文内容和形式的任何改动都能够被发现。
实践中,第3点和第4点,往往由具备相应资质的电子签名服务商在技术研发的阶段进行技术上的保护措施,因此,在电子签名完成签署后,右击电子签名查看签名属性即可显示,该电子签名以及文档形式及内容是否有被修改。
一项电子签名如果同时符合上述四项条件,可以视为可靠的电子签名,也即具备法律效力。
(二)上述规定第二款规定当事人可以约定选择可靠的电子签名应当具备的条件和采用的技术方案。尽管法条第一款规定了可靠的电子签名应当具备的法定条件,但并没有对达成上述法定条件的电子签名所需采取的技术作出统一规定。由于电子签名技术手段的多样性,当事人在从事电子商务或者其他活动中所约定采用的电子签名技术如能够满足当事人对于保障交易安全性的需求,法律同样承认其法律效力并予以保护。
四、笔者建议
1、实践中,电子签名一旦四要素验证通过或者电子签名配套的认证服务通过取得电子签名密钥,除非有确切的证据证明系第三方的过错,那么该电子签名一般认为是本人持有,无论谁操作签署的文件,都会被视为电子签名本人,对电子签名本人产生法律约束力,因此一定要保管好手机验证码和电子签名密钥。
2、部分情况下,不可避免的需要授权他人使用电子签名时,务必明确授权事项、授权时间,以尽可能降低其中不可把控的道德风险和操作风险;
3、在采用电子签名签署相关文件时,为避免文件无效给自身造成损失,需事前核验确保对方电子签名为可靠的电子签名,在核实对方电子签名效力时,注意是否按照上述电子签名可靠性要素进行。
作者:蒋润芳
邮箱:286849472@qq.com
