電子簽章法新修正 勤業眾信解析新規之重點與法律科技應用新趨勢
電子簽章法自2001年11月14日公布後從未修正過,在數位部積極推動下,終於在2024年4月30日經立法院三讀修正通過,修法重點包括電子文件及電子簽章在功能上等同於實體文件及簽章、電子簽章與數位簽章關係明確化、數位簽章具有「推定」為本人親自簽名或蓋章效力、相對人未反對推定同意採用電子形式、國際技術標準的技術對接合作、行政機關公告排除電子簽章法適用之公告有落日期限。德勤商務法律事務所法律科技創新服務合夥律師熊誦梅指出,相關修法重點主要是朝向擴大電子簽章的適用範圍,特別是過往法院實務較易否認電子簽章文件之效力與書面不同,導致部分法律文件規定應訂定書面而排除電子簽章之適用,或各行政機關亦常以公告方式排除電子簽章法的適用,無法因應數位時代的發展。
@
電子簽章法新修正規定擴大電子簽章使用機會
2012至2015年的個人資料保護法亦有關於當事人同意都需要書面之規定,電子簽章的角色又浮出水面,主管機關亦舉例可以使用自然人憑證簽署同意書,但因當時電子簽章工具並不普遍使用,易使人誤解將電子簽章與數位簽章劃上等號,故此次修法亦特別區別兩者的概念,數位簽章屬於電子簽章的一種。德勤商務法律事務所法律科技創新服務資深律師張憲瑋表示,電子簽章是依附於電子文件,用以辨識及確認電子文件簽署人身分、資格及電子文件真偽;數位簽章則以簽署人的私密金鑰對其加密,形成電子簽章,得以公開金鑰加以驗證,並須具憑證機構簽發的憑證者,其安全性及可信性遠高於其他電子簽章,但並非法律文件僅能以數位簽章簽署,只是數位簽章可以享有推定效力,否則必須由否定數位簽章效力的一方舉證並非由其本人簽章。
另一個擴大適用電子簽章的規定即是使用電子簽章的一方不必再得到他方的同意,如果他方未適時表示反對,則電子簽章就取得其合法性。實務上較常發生的狀況是,一方使用電子簽章,他方則將電子檔列印紙本並簽署,紙本回傳給使用電子簽章方,此即可解釋他方同意一方使用電子簽章,故此次修法針對合理期間內未積極表示反對電子簽章的情形,推定為同意採用電子簽章。
@身分認證識別機制,各目的事業主管機關要求強度可能有所不同
電子簽章的目的是要辨識及確認電子文件簽署人身分,但身分識別強度仍取決交易當事人及各目的事業主管機關之態度而定。一般常見電子簽章工具是使用加密方式,且可系統工具驗證,雖然使用加密方式屬於數位簽章的層次,但必須經主管機關認可之發憑證機構所為之認證才屬於數位簽章。
使用者在電子簽章工具註冊時,應留意是否可確認當事人之確實身分,或需要更明確之認證方式;資安實務上亦發展出多重認證技術,包括憑證、晶片卡、SMS簡訊驗證碼、符記(Token)及一次性密碼(OTP)等,例如系統同時發送給電子郵件、手機簡訊的一次性密碼來確認是否與電子郵件、手機號碼之使用者具有同一性。更甚者就如同網路投保要求的身分識別機制,保險業辦理電子商務應注意事項第9、11點規定,既有保戶在網路進行註冊及身分驗證作業,保險業應以OTP、生物辨識、行動身分識別(Mobile ID)或金融行動身分識別(金融FidO)等方式,確認保戶身分,並引導保戶完成身分確認。在投保交易時,保險業應以前開驗證方式,確認要保人身分,並引導要保人完成身分確認,始得完成投保作業。亦即網路投保不僅是需要使用數位簽章,也必須高強度的本人身分驗證,除註冊必須經過嚴格驗證本人機制外,每次交易(亦即簽署保單)前也應再次完成身分驗證。
@電子簽章法新法與法律科技之應用
電子簽章法之新修正規定旨在於掃除電子簽章使用的限制與障礙,但仍然立基於當事人同意的原則,在當事人同意使用電子簽章的前提下,主要應用場景即以電子簽章簽署各項法律文件。但仍需近一步思考,如雙方都願意使用電子簽章,但僅有一方有電子簽章工具,或交易雙方使用的電子簽章工具不同時,是否會有交易上的影響。
例如交易雙方均為股份有限公司,係由業務單位接洽合約簽署,股份有限公司仍需由董事長代表簽署,即需要蓋印公司大小章,電子簽章部分則可比照公司內部控制程序,分別由大章、小章保管人之電子郵件及簡訊號碼進行多重認證方式,確保符合公司大小章用印的正確性與合法性。又例如公司及員工要簽署保密協議或勞動契約時,員工並無電子簽章系統之帳號,但不少系統方案是只需要一方有帳號即可使用電子/數位簽章的服務,只要公司能指明員工之手機號碼及私人電子信箱,系統亦能進行身分驗證。
綜上,新修正的電子簽章法排除了一些原來可能有爭議的情境,或透過推定同意之方式減少事後否認電子簽章使用的合法性,再加上現在已有不少電子簽章工具可以更方便採用,可見的將來新的法律科技應用將會更為普及,企業端亦宜評估採用適合之系統工具協助未來處理大量的電子簽章事務。
@
電子簽章法新修正規定擴大電子簽章使用機會
2012至2015年的個人資料保護法亦有關於當事人同意都需要書面之規定,電子簽章的角色又浮出水面,主管機關亦舉例可以使用自然人憑證簽署同意書,但因當時電子簽章工具並不普遍使用,易使人誤解將電子簽章與數位簽章劃上等號,故此次修法亦特別區別兩者的概念,數位簽章屬於電子簽章的一種。德勤商務法律事務所法律科技創新服務資深律師張憲瑋表示,電子簽章是依附於電子文件,用以辨識及確認電子文件簽署人身分、資格及電子文件真偽;數位簽章則以簽署人的私密金鑰對其加密,形成電子簽章,得以公開金鑰加以驗證,並須具憑證機構簽發的憑證者,其安全性及可信性遠高於其他電子簽章,但並非法律文件僅能以數位簽章簽署,只是數位簽章可以享有推定效力,否則必須由否定數位簽章效力的一方舉證並非由其本人簽章。
另一個擴大適用電子簽章的規定即是使用電子簽章的一方不必再得到他方的同意,如果他方未適時表示反對,則電子簽章就取得其合法性。實務上較常發生的狀況是,一方使用電子簽章,他方則將電子檔列印紙本並簽署,紙本回傳給使用電子簽章方,此即可解釋他方同意一方使用電子簽章,故此次修法針對合理期間內未積極表示反對電子簽章的情形,推定為同意採用電子簽章。
@身分認證識別機制,各目的事業主管機關要求強度可能有所不同
電子簽章的目的是要辨識及確認電子文件簽署人身分,但身分識別強度仍取決交易當事人及各目的事業主管機關之態度而定。一般常見電子簽章工具是使用加密方式,且可系統工具驗證,雖然使用加密方式屬於數位簽章的層次,但必須經主管機關認可之發憑證機構所為之認證才屬於數位簽章。
使用者在電子簽章工具註冊時,應留意是否可確認當事人之確實身分,或需要更明確之認證方式;資安實務上亦發展出多重認證技術,包括憑證、晶片卡、SMS簡訊驗證碼、符記(Token)及一次性密碼(OTP)等,例如系統同時發送給電子郵件、手機簡訊的一次性密碼來確認是否與電子郵件、手機號碼之使用者具有同一性。更甚者就如同網路投保要求的身分識別機制,保險業辦理電子商務應注意事項第9、11點規定,既有保戶在網路進行註冊及身分驗證作業,保險業應以OTP、生物辨識、行動身分識別(Mobile ID)或金融行動身分識別(金融FidO)等方式,確認保戶身分,並引導保戶完成身分確認。在投保交易時,保險業應以前開驗證方式,確認要保人身分,並引導要保人完成身分確認,始得完成投保作業。亦即網路投保不僅是需要使用數位簽章,也必須高強度的本人身分驗證,除註冊必須經過嚴格驗證本人機制外,每次交易(亦即簽署保單)前也應再次完成身分驗證。
@電子簽章法新法與法律科技之應用
電子簽章法之新修正規定旨在於掃除電子簽章使用的限制與障礙,但仍然立基於當事人同意的原則,在當事人同意使用電子簽章的前提下,主要應用場景即以電子簽章簽署各項法律文件。但仍需近一步思考,如雙方都願意使用電子簽章,但僅有一方有電子簽章工具,或交易雙方使用的電子簽章工具不同時,是否會有交易上的影響。
例如交易雙方均為股份有限公司,係由業務單位接洽合約簽署,股份有限公司仍需由董事長代表簽署,即需要蓋印公司大小章,電子簽章部分則可比照公司內部控制程序,分別由大章、小章保管人之電子郵件及簡訊號碼進行多重認證方式,確保符合公司大小章用印的正確性與合法性。又例如公司及員工要簽署保密協議或勞動契約時,員工並無電子簽章系統之帳號,但不少系統方案是只需要一方有帳號即可使用電子/數位簽章的服務,只要公司能指明員工之手機號碼及私人電子信箱,系統亦能進行身分驗證。
綜上,新修正的電子簽章法排除了一些原來可能有爭議的情境,或透過推定同意之方式減少事後否認電子簽章使用的合法性,再加上現在已有不少電子簽章工具可以更方便採用,可見的將來新的法律科技應用將會更為普及,企業端亦宜評估採用適合之系統工具協助未來處理大量的電子簽章事務。
- 記者:中央社訊息服務20240514 13:51:28
- 更多生活新聞 »
