一、背景:电子印章公共服务平台上线

根据上海市人民政府的微信公众号“上海发布”的消息,2019年4月11日起,“电子印章公共服务平台”(网址:dzyz.sh.gov.cn,以下简称“平台”)正式上线。平台可以对电子印章和电子签名进行包括申请、制作、备案、查询、变更、注销、冻结等全生命周期管理。

平台将文件盖章、签名的流程移植到线上,意味着电子政务将进入一个新阶段。试想一下,原本需使用实体印章或者本人签署的纸质文件变成可以使用电子印章签署的电子文档,那么传输方式也会从现场递送、快递寄送变成网络传输。政府机构的办事效率会呈几何级的提高,民众也将充分这种变化带来的便利性。

但是随之而来的问题是,电子印章是否可靠?用电子印章签署的文件是否具有法律效力?电子印章是否会被别人盗用?

为了尝试解决以上疑惑,笔者特从法律角度分析下电子印章的效力和使用风险,以求使大家更放心地使用电子印章,同时注意降低使用风险,让电子印章更好地完成提高效率的使命。

二、电子印章的概念

按照《上海市电子印章管理暂行办法》第二条第一款的定义,电子印章,是可靠电子签名的可视化表现形式,以密码技术为核心,将数字证书、签名密钥与实物印章图像有效绑定,用于实现各类电子文档完整性、真实性和不可抵赖性的图形化电子签名制作数据。

具体表现形式如下(左为机构电子印章,右为个人电子印章):

但上述两图并非真正的电子印章,只是为了提升电子印章的直观化印象所显示出来的电子印章图像或者图样,是电子印章的组成部分之一。电子印章本质上是数据,如需获得等同于盖章、签字的效力,必须经过法定程序产生。

三、电子印章的效力

电子印章本质上是数据,也是电子签名的一种表现形式,属于《中华人民共和国电子签名法》(“《电子签名法》”)规定的“电子签名”“数据电文”。而在获得与盖章、签字的效力的意义上,需要将电子印章作为电子签名看待,因此,电子印章如需产生法律效力,应当符合《电子签名法》对于电子签名的效力规定。

1. 使用范围

《电子签名法》第三条第一款规定,民事活动中的合同或者其他文件、单证等文书,当事人可以约定使用或者不使用电子签名、数据电文。

从以上条文可以看出,《电子签名法》最初是用来规制民事领域的电子签名行为的,且是“可以”约定使用或者不使用电子签名,即当事人有权拒绝使用电子签名。这里对于行政领域没有明确规定——条文中的“民事活动”是仅仅修饰“合同”还是同样修饰“其他文件、单证”是存在歧义的,但是至少并不直接禁止在行政领域使用电子签名。因此可以认为,如果政府接受使用电子签名[i],办事人也愿意使用电子签名,可以认定是与文书有关的当事人同意使用电子签名,并不违反《电子签名法》的规定。所以,在电子政务中使用电子印章是具有法律基础的。

但还需要注意一点,《电子签名法》第三条第三款规定了明确不可以使用电子签名的文书,包括:(1)涉及婚姻、收养、继承等人身关系的;(2)涉及土地、房屋等不动产权益转让的;(3)涉及停止供水、供热、供气、供电等公用事业服务的;(4)法律、行政法规规定的不适用电子文书的其他情形。

因此,在《电子签名法》修改前,签署上述文书仍不能使用电子签名。

2. 有效要件

《电子签名法》第十四条明确规定,可靠的电子签名与手写签名或者盖章具有同等的法律效力。《电子签名法》第十三条规定了电子签名生效的四个法定要件:(1)电子签名制作数据用于电子签名时,属于电子签名人专有;(2)签署时电子签名制作数据仅由电子签名人控制;(3)签署后对电子签名的任何改动能够被发现;(4)签署后对数据电文内容和形式的任何改动能够被发现。

值得注意的是,在法定要件外,存在使用意定要件的可能性——“当事人也可以选择使用符合其约定的可靠条件的电子签名。”

3. 平台实现电子印章有效的方式

根据笔者的实测,平台是通过以下几个方面实现电子印章的“可靠性”:

第一,身份认证。平台上提供了三种级别的认证方式,包括初级:身份证认证;中级:银行卡认证或人脸识别验证;高级:线下实名认证。而要使用电子印章,至少要完成中级认证。笔者使用的是银行卡认证,输入了真实身份证信息、银行卡信息,并填写了发送到笔者手机上的验证码后完成了认证。

这个过程实际是完成了证明“我”是“我”的过程,法律要求银行开卡时(I类账户)完成线下身份认证,确认“我”是“我”,而户名是我的真实姓名。平台是在假定银行已经履行法定义务后,将注册了平台账户的这个“我”和开卡的“我”以及使用电话的“我”进行绑定。

第二,签署验证。在笔者上传待签署的PDF文件后,准备使用电子印章,这时候弹窗提示需要输入发送到笔者手机上的验证码才能完成签署动作。

第三,签署。这个环节背后涉及大量的技术,我在使用过程中无法直接感知,结果是生成了一份含有笔者电子印章的PDF文件,并提供下载。比起我上传的PDF文件多了一个小图形,如下:

单击可以显示验证信息,里面的内容显示形式可能根据PDF阅读软件的区别略有差异,内容可以参考平台简介“七、如何验证签署有效性”:

图片来源:电子印章公共服务平台(网址:http://dzyz.sh.gov.cn/login?code=3001004)

通过上述流程可以发现,在只有“我”同时掌握身份证号、银行卡号、手机的情况下,可以认定电子签名制作数据用于电子签名时,属于“我”专有;签署时电子签名制作数据仅由“我”控制。而通过后台的技术手段,使得签署后对电子签名的任何改动能够被发现;签署后对数据电文内容和形式的任何改动能够被发现。从而满足四项法定要件,完成了可靠的电子签名,让电子签章产生了法律效力。

判断是否满足法定要件的依据就是图上的“签名属性”,在笔者使用电子印章的文件中,签名人是“刘昀东”,认证签名人的“颁发者”是“SHECA Rapid”,如下图所示:

SHECA即上海市数字证书认证中心有限公司(官网网址:www.sheca.com)。可以看到,上海市数字证书认证中心有限公司作为颁发者是知晓电子印章属于“我”的第三方,由此可以推测出,第一步身份认证也是由该公司介入完成的。而PDF文件技术上可以实现在加上电子印章后如果有改动会在“签名验证状态/签名验证结果”(或“签名属性”)中体现出来,如下所示:

通过Photoshop等工具加上的图形无法单击得出这样的信息。即使真的是“我”自己用画图做出来的小图形也无法作为可靠的电子签名,因为无法区分是否为拥有同样画图技术的第三人做的,更无法认定电子签名制作数据用于电子签名时,属于“我”专有、仅由“我”控制。

此外,在有电子签名的前提下,证明“我”是“我”的第三方也具有相应资质要求,只有符合《电子签名法》《电子认证服务管理办法》的规定,获得《电子认证服务许可证》的第三方才是合格的认证机构。

图片来源:上海数字证书认证中心(网址:https://www.sheca.com/qualifications)

四、电子印章的使用风险及防范

虽然使用电子印章很方便,但也需要注意到相应风险。与自己亲笔签名有被仿制笔迹且无法识别,自己的签章有被他人盗用的风险一样,使用电子印章也存在风险,笔者认为主要集中在以下三个环节:

1. 身份认证阶段被冒用

这种情形下,电子印章形式上是张三的,但是实际上是李四申请的。出现的原因可能是因为李四通过非法手段取得了张三的身份证,使用该身份证并且欺骗了银行、通信运营商,从而办理了银行卡和手机sim卡,然后完成身份认证。之后利用以上非法手段获得的电子印章进行使用。

2. 签署验证阶段被冒用

这种情形下,电子印章是张三申请的,但是实际上是李四使用的。出现的原因可能是因为李四通过非法手段取得了张三的手机,并且知悉了张三的手机密码,从而使用张三的手机登录平台,并且在使用电子印章签署时还可以同步获得验证码完成签署。

3. 认证机构失信

这是一种非常极端的情形,在这种情形下,认证机构及其工作人员可能自行或者与他人勾结伪造电子印章,“签名属性”里的信息将无法信赖。

以上三种情形中,第3种有赖于政府监管与认证机构内部管理,并非电子印章使用人可以控制的因素,但第1种和第2种都还存在通过电子印章使用人自身降低风险的可能性。比如注意保存重要证件及其信息、避免告知他人密码及验证码、手机开机及平台APP使用不同的密码等,核心思想就是避免给他人冒用自己身份、盗用自己手机的机会。

此外,如果确实发生证件遗失、密码泄露等情形,应当及时挂失、重新设置密码,以此证明使用电子印章时,电子印章并非属于“我”专有、并非仅由“我”控制,不满足“可靠的”法定要件,从而否定电子印章的效力,保护自己的合法权益。

五、小结

在可以预见的未来,电子印章的使用将大大方便我们的生活,政府在行政领域对于电子印章的接受更是重大的便民举措。同时,在看到信息化的发展方向是不可逆的时代趋势的时候,也要注意到相应的风险——生活工作中越来越多的必须项可以被集成到小小的手机上,手机的遗失与密码保存的不慎可能意味着巨大的损失。当然,笔者也相信,未来在身份真实性认证手段和电子印章使用时是否被冒用的判断上,技术也会带来更令人满意的答案,可以拭目以待。

[1] 《上海市电子印章管理暂行办法》第十六条 本市各类政务办公、公共管理和社会公共服务活动可使用电子印章,对公文、证照、协议、凭据、流转单等各类电子文档进行签章。鼓励自然人、法人和非法人组织在经济和社会活动领域中使用电子印章。本市各级行政机关、履行公共管理和服务职能的事业单位不得拒绝电子印章的使用,法律法规规定不适用的情形除外。

作者简介

岳巍,锦天城律师事务所高级合伙人

刘昀东,锦天城律师事务所律师

声明:本文来自锦天城律师事务所,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。