電子簽章修法爭議
為趕上現今數位服務的需求,我國電子簽章法施行 20 多年來首次修法,行政院於 2/29 通過數位部提出的電子簽章法修正草案。由於修法內容與當前實務應用有所衝突,引起產業界關注。
文/吳右任
電子簽章法本身因牽涉法規條文,實務場景,風險等級,資安管控,技術標準等不同複雜面向,在在都使這部法律變成一部最難製定或修法,也是最難被理解的法案。
筆者因有在醫療領域推展電子簽章(非數位簽章)的實務經驗, 目前台灣過如以病床數計(台灣有 13 萬多急性病床),過半床數醫院(超過 7 萬病床)是使用筆者發明的影像電子簽章技術來完成醫療同意書的簽名電子化(圖例)。筆者也從過去親身經歷歐盟 elDAS ( 歐盟電子簽章法)審核的經驗,了解歐盟是如何兼顧法律框架與技術審查的範疇,訂定電子簽章技術的審核方法,來確保電子簽章技術使用的可信賴性、安全性與適法性。
筆者對此次數發部推動電子簽章法修法,支持法案修法的立委們的努力高度肯定,畢竟電子簽章法對塑造多元電子簽章發展的有利法制環境,是國家數位轉型最為重要的一步。但是,對於本次電子簽章法修法範疇,有些觀念須要進一步說明釐清,期待對電子簽章技術之應用以及國家推動電子簽章產業發展能有所助益。
憑證數位簽章之使用是否能擴展至所有日常簽署場景?
憑證機構簽發的憑證,是演算法及加密技術的數位簽章,如同傳統紙本時代的印鑑證明,數發部這個比喻,筆者是認同的,因此推定數位簽章為本人親簽,這個也是沒有什麼疑慮。
但是需要去釐清的觀念是,不是所有的場景都適合使用印鑑證明,同時也不是所有的場景都適合使用憑證數位簽章。有些涉及重大義務權利或高風險場景,必須本人現場才可以完成的,如結婚、離婚、財產交易、公証等法定要式行為需要風險管控的場景,其規定不只本人要到場,還得出示雙證件、核對本人和親簽,才能保證整個過程的安全性,才能保障國民的重大權益。
[ 推薦閱讀:雲想推影像電子簽章 備受醫療產業肯定 ]
我們也應該以同樣的邏輯,來思考在許多特殊場景或特定風險事務情況下,確實不適合以遠距非現場的方式來進行。與此相反的情況是,本人已親臨現場,也不適合使用憑證數位簽章,這就如同病人或家屬在醫院要簽署同意書時,被要求使用自然人憑證簽章,因為他們不見得有自然人憑證。這也如同本人已在現場,卻被要求使用印鑑證明一樣,是不合理也不適宜的。
我想司法院在第一時間提出不適用電子簽章排除落日條款,也多是因為上述原因。但是不適合用憑證數位簽章,不代表不能使用電子簽章,就如病患可以在醫院現場以影像電子簽章技術,在現場親簽醫療同意書,只要具備有足夠的『不可否認性』,現場簽署是有可能被數位化的。
數位簽章優於電子簽章,是否符合技術中立原則?
簡單來說,我們用簽名和印章來比喻,紙本上的簽名,採信的是字跡的生物特徵;而印章之使用,則是信物的概念。相比於紙本,電子文件上的電子簽章,有如紙本的簽名,多須以生物特徵來確認簽署(理論上除簽名外還包括指紋、聲紋、虹膜),此類技術歸屬為生物性電子簽章,便可視同紙本上的簽名。
而數位簽章則如同數位形式的信物,以演算法技術來確認簽署,應歸屬為『信物類電子簽章』,如同紙本上的用印蓋章。這次修法,似乎是導向數位簽章位階高於電子簽章。這個似是而非的觀念似乎需要再進一步加以釐清。我們從電子簽章法立法原則之『技術中立原則』觀點來看,立法基礎應不以「數位簽章」(Digital signature)為限,因應生物科技等電子鑑別技術之創新發展,利用任何電子技術製作之電子簽章及電子文件,只要功能與書面文件及簽名、蓋章相當,皆可使用。
以憑證數位簽章技術,位階高於電子簽章,這會與『技術中立原則』衝突。但是發生這點衝突混淆的原因,並不在於數位簽章與憑證機構。政府認可的憑證機構,有一定信任第三方的基礎與架構,因此認定憑證數位簽章具備高規的信任與法律認定基礎,這點並沒有問題。衝突最主要的原因,至今為止是電子簽章技術沒有一定的審核和認定標準。但是因此逕因未有認定的標準,而認定數位簽章技術法律位階高於電子簽章,除了違反『技術中立原則』外,於實務場景也不完全合理。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球 CIO 同步獲取精華見解 ]
這就如同宣告,使用印鑑證明效力高於本人親簽一般。許多實務場景,如簽立遺囑或醫療手術同意書,立遺囑人或醫師是必須本人親簽,而不能使用印章。原因是親簽才能更能證明本人所為之『意思表達』,而信物是仍有可能有被他人代行之風險。為此,內政部某部門官員便曾表達,他們內部有些事涉土地的事務,也不敢只以自然人憑證作業,原因便是深怕有被他人代簽的風險。
所以對於電子簽章技術建立分級及評核鑑識及適法性的制度,才是當務之急,也是比較正確方向和做法。也唯有這樣才能釐清各單位在使用電子簽章技術,面臨的之諸多疑慮,也可以減低使用電子簽章技術,面臨不可控的風險與可能製造的糾紛與麻煩。
電子簽章法未來世界趨勢
歐盟 elDAS 是全世界對於電子簽章法規與技術框架,相對先進、嚴謹與完備的法案。這個法案,因應使用的風險及法律的需求,技術框架的嚴謹度分為 BES (Basic)、AES(Advanced)、QES(Qualified)三個等級。但是我們本次修法,僅只區分電子簽章與數位簽章,這對未來對接軌於歐盟或國際社會,或國內對於電子簽章應用,會多有不足之處。
再者歐盟自己內部檢討,就算已嚴謹的訂定法律與技術框架,elDAS 推展也是一如國內的自然人憑證目前的困境,普及程度及民間實務應用之情境,進展著實有限。故而歐盟近期也著手倡議 elDAS 2.0 之框架。據筆者自己的觀察與了解。數位簽章技術,生物性電子簽章技術,兩種不同技術各有所長,也各有所短,有其各自擅長發揮的應用場景。未來基於如何同時包容這些多元簽章技術、行動化、去中心化與數位身份認證機制,才會是電子簽章數位產業未來真正發展趨勢與方向。
綜上所述,生物性的電子簽章技術的出現與發明,除了可解決數位簽章應用侷限之問題,在許多實務場域(醫療、金融、不動產等)已獲得成功實行的驗證。而這次電子簽章法修法也的確為其應用適法性解開箍禁,為這個產業的未來的蓬勃發展,開啟良好的契機。
無論是數位簽章或是電子簽章,儘管應用技術原理不同,有其不同的優勢與劣勢,各自適用的場景也不同,最終都是期望能以數位的型式,完整表達簽署人的「數位意思」,並確保簽署的「不可否認性」。在資安挑戰日益嚴峻的網路世界,如同我們傳統的印章與簽名,未來同時併容兼用『信物』與『生物』,才會是未來的最終趨勢。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
