摘 要:受制于法律、技术差异,电子签名跨境互认一直存在较大的落地障碍。我国由于监管核准的原因,开展电子签名跨境互认更加困难。从法律视角出发,首先,分析了造成电子签名难以互认的原因;其次,介绍了欧盟范围内成功的落地方案,并总结了我国对于欧盟方案可以借鉴之处;最后,提出了在现有条件下,我国可以通过监管部门明确核准要求、在合同条款中约定适用境外法律,以及借助区块链技术保障举证,促进跨境认证和签名业务合规有序发展。
内容目录:
1 电子签名互认的法律障碍
1.1 缺乏身份互认法律规范
1.2 现有法律规范缺乏互认的落地性规定
1.3 不同法域电子签名效力规定不统一
1.4 我国开展电子签名跨境互认尤为困难
2 欧盟地区立法与实践
2.1 欧盟电子签名立法现状
2.2 eIDAS 的体系框架
3 欧盟方案对中国的借鉴之处
3.1 开展身份认证立法并进行分级
3.2 立法扩展信任服务范围并进行分级
3.3 配套实施细则和政策宣贯
4 当前我国开展跨境电子签名的法律建议
4.1 监管部门明确核准程序和标准
4.2 约定选择适用境外法律解决争议
4.3 借助区块链和证据链达到举证证明效果
5 结 语
我国加入的《区域全面经济伙伴关系协定》(Regional Comprehensive Economic Partnership,RCEP)已于 2022 年 1 月 1 日生效,我国目前正在积极申请加入《全面与进步跨太平洋伙伴关系协定》(Comprehensive and Progressive Agreement for Trans-Pacific Partnership,CPTPP)、《数字经济伙伴关系协定》(Digital Economy PartnershipAgreement,DEPA)等贸易协定,这些贸易协定中都提到了跨境数字身份、电子签名互认,然而目前电子签名跨境互认却没有很好的解决方案。
法律不相符,与技术不兼容是造成电子认证和电子签名跨境互认困难的主要因素。在经济全球化时代,因缺乏必要的跨境身份和签名互认的方案,导致贸易主体需要耗费大量精力和财力来确认交易对手身份和签名的真实性,增加了贸易参与主体的交易成本,不利于世界贸易的发展。
近年来,关注跨境贸易问题的学者主要聚焦于跨境贸易领域的经贸合作、投资、贸易摩擦等,鲜有涉及跨境电子签名互认的探讨。从法律视角出发,通过分析当前跨境电子签名的法律障碍,介绍欧盟电子身份和电子签名互认的实践方案,归纳欧盟方案对我国的借鉴之处,最后,从现实出发,提出我国开展跨境签名互认的可行性建议。
1 电子签名互认的法律障碍
法律规范的缺乏和不同法域电子签名效力的不统一,使得电子签名跨境互认一直存在较大的落地障碍。我国由于监管核准的原因,开展电子签名跨境互认更加困难。
1.1 缺乏身份互认法律规范
使用电子签名的前提是完成身份认证,之后将认证结果与证书进行一一对应绑定。目前全球身份认证的标准并不统一,其主要原因如下:一是不同场景难以统一相同的认证标准,考虑到客户体验等因素,不同场景的业务一般都要求结合业务场景定制化认证标准;二是因文化差异,能接受的认证方案也不相同,例如,我国的人脸识别认证很常见,但是国外基于个人信息保护深入人心,人脸核验工作很难推开,一般常见的是邮箱认证;三是经济发展水平存在差异,认证手段也要结合国情,匹配成本合理,以及基础设施支持的认证方式。
1.2 现有法律规范缺乏互认的落地性规定
根据国家工业信息发展安全研究中心调查 ,美国、俄罗斯、新加坡、日本、韩国及我国等众多国家的电子签名相关立法表明各国均承认电子签名的效力,但在电子签名跨境互认方面,各国法律都未明确规定如何达成互认,也没有具体实施细则对互认流程做出指引,这使得电子签名互认无法真正落地。
1.3 不同法域电子签名效力规定不统一
不同国家对电子签名效力的法律规定并不相同,主要有以下几类法律规定:
(1)美国模式。以美国为代表的国家侧重签名人的意思表示,允许签名人采用各种手段证明签名的有效性,因此这些国家会认可一切形式的电子签名,无论是电子邮件中预留的签名档,还是手写签名的电子扫描形式,均认可签名行为的法律效力。
(2)新加坡模式。以新加坡为代表的国家对电子签名的适用范围采取分级要求,这些国家虽然不否认低安全级别签名的效力,但是对于某些场景,规定只能使用满足一定标准的电子签名。
(3)其他模式。除了美国模式和新加坡模式代表的国家,还有国家直接规定了使用数字证书签名才符合法律要求并具备法律效力。
1.4 我国开展电子签名跨境互认尤为困难
除上述全球国家共同的难点外,我国要认可境外的电子认证服务提供者还需要特别的行政许可程序,这进一步增加了电子签名的互认难度。我国《电子签名法》第 26 条规定:“经国务院信息产业主管部门根据有关协议或者对等原则核准后,中华人民共和国境外的电子认证服务提供者在境外签发的电子签名认证证书与依照本法设立的电子认证服务提供者签发的电子签名认证证书具有同等的法律效力。”但截至目前,尚未公布经过核准的境外认证服务机构,以及具体的核准流程和法律规范。基于此,适用我国法律难以对境外电子签名有效性进行判断,这无疑加大了认定签署文件真实性的难度,增加了贸易各方的成本。
2 欧盟地区立法与实践
他山之石,可以攻玉。较早开始电子签名立法的欧盟地区已经探索出比较可行的方案。
2.1 欧盟电子签名立法现状
在 21 世纪初,欧盟颁布了《电子签名指令》(eSignatures Directive 1999/93/EC),该规范属于推荐性规范,没有强制执行力,因此实际执行效果并不理想。直到 2014 年 7 月 1 日,欧盟制定了具有强制执行力的《电子身份和信任服务法案》(Electronic Identification, Authentiction and Trust Services,eIDAS)。eIDAS 的法律层级是法规,发布即生效,并且无须再经过欧盟成员国通过立法转化成国内法,一经生效即对成员国及其公民产生法律效力,这为欧洲电子签名互认扫清了法律障碍。
2.2 eIDAS 的体系框架
从 eIDAS 的名称就可看出,该条例包含电子身份认证(Electronic Identification,eID)和信任服务(Trust Services,TS)两个部分。eIDAS体系结构如图 1 所示。其中,TS 包含了电子签名、电子签章在内的多种服务产品。eID 打通了欧盟成员国间的身份互认,TS 则打通了签名互认。欧盟不要求成员国间身份认证和信任服务完全一致,而是通过分级互认的方式缓和了成员国间的冲突,只要不低于对应级别最低基线要求就算达成了互认要求,具体的技术方案可以由成员国自己决定,这种安排在一定程度上降低了互认的谈判成本。
图 1 eIDAS 体系结构
2.2.1 eID 认证
eID 的安全可靠是后续签署行为可靠的前提条件,欧盟的 eIDAS 通过设定身份认证等级的方式来区分法律效力。eIDAS 本身并没有强制规定必须使用哪个等级,而是由各成员国自身的eID 计划来确定。因此,各成员国都需要制定本国的 eID 并向欧盟委员会提交本国的 eID 计划,同时 eID 计划需要经过欧盟委员会和其他成员国审核,一旦 eID 计划通过审核,将会正式公布在欧盟网站并被欧盟成员国接受,而且成员国会指定一个政府部门对提供 eID 服务的主体进行监管。
每个成员国都需要建立一个 eIDAS-Node,并通过它实现各成员国 eID 计划之间的身份互认。eIDAS-Node 实质是一个网络连接器,能够为成员国的公民提供其他成员国在线服务的访问权限,将国家身份识别数据转换为成员国能够理解和使用的通用格式。例如,意大利公民可以使用本国的 eID 体系在法国的在线服务网站进行身份验证。换句话说,认证数据通过 eIDASNode 在各成员国之间传输。
不同的在线服务有着不同的身份认证等级要求,欧盟授权欧盟委员会来确定 eID 中不同等级的身份认证所需的最低要求、程序和方案,以适应不同在线服务的要求。eID 等级和认证要求的规定如下:
(1)低保证。签名人提供有限的身份认证信息,一般是单因子认证。认证可能仅仅要求被认证者提供邮件地址或者社交媒体账号,不需要和唯一身份识别码相绑定。
(2)实质保证。签名人提供较多的身份认证信息,一般是双因子认证。认证可能要求被认证者提供除邮件地址外的其他身份信息,比如姓名、出生年 / 月等信息。
(3)高保证。签名人提供较完整的签名认证信息,包括个人或组织的详细信息、社会身份等可用于作为唯一标定签名者身份的信息,可以直接锁定唯一的自然人或者组织。
电子身份服务的提供者想提供身份认证服务,必须经过严格的认证,完成认证后还需持续接受监管,所以欧盟 eID 服务的认可度及可信度很高。
2.2.2 信任服务和信任服务商
(1)信任服务。由图 1 可知,欧盟的信任服务包含很多种类,其中电子签名最为典型。欧盟将电子签名分成 3 个等级,并分别限定技术及管理基线,分别是普通电子签名(Standard Electronic Signature,ES)、高级电子签名(Advanced Electronic Signatures,AdES)、 可 信 电 子 签 名(Qualified Electronic Signatures,QES)。除 法律特别规定外,签名人可以根据自己业务场景的风险来选择适合的签名等级,这样既保证了《联合国国际贸易法委员会电子签名示范法》确立的技术中立原则,又在一定程度上规范了签名的标准,方便于技术对接。
①普通电子签名。ES 包括各类电子形式的签名形态,例如,邮件签名档和含有手写签名图片的协议等简单电子签名形式。
②高级电子签名。AdES 要求采用更高级别的安全技术,通常要求采用基于数字证书的电子签名。此类签名要求签名数据必须指向唯一的签署方,并采用签名数据保护文档,可以通过签名数据来验证文档的完整性,同时,签名者对签名数据拥有唯一的控制权。
③可信电子签名。QES 是在高级电子签名技术要求之上,还需采用可信数字证书。可信数字证书必须存储在可信的电子签名生成设备上。如加密卡、智能卡,以及采用手机盾技术的手机等。
(2)信任服务商。与签名等级对应,一般的信任服务商只可以提供普通电子签名和高级电子签名,只有可信的信任服务商(Qualified Trusted Service Provider,QTSP)才能提供可信电子签名。
QTSP 需要经过欧盟认证规范的认证,通过认证的服务商会获得统一的可信标识,方便被签名用户识别和选择。通常使用可信的信任服务商提供签名服务效力更强,更容易被司法裁判机关认可。
3 欧盟方案对中国的借鉴之处
欧盟方案对我国具备借鉴价值。从法律体系上看,欧盟成员国中法国、德国、意大利、西班牙等属于大陆法系立法模式,采取成文立法,同我国成文法一致。从契约文化来看,欧洲的社会互信程度虽然较高,但在商业社会中,欧洲各国的政治、社会习俗并未完全融合,因此对契约提出较高的安全需求。基于此,欧盟对身份认证、电子签名提出了明确的分类分级要求及清晰的标准规范。与欧洲类似,我国通过对电子签名设置较严格的监管要求,保障签署的安全可靠性。由此而言,我国学习借鉴欧盟有较好的制度基础,符合监管和使用对象的预期,更有利于落地。
3.1 开展身份认证立法并进行分级
欧盟的电子签名立法兼具身份认证和电子签名两个部分,但我国的《电子签名法》只规定了电子签名,未规定身份认证标准。这导致我国尚未形成相对明确的身份认证级别和标准。
解决跨境身份互认前,要先统一国内的身份认证级别和标准。建议由信息产业主管部门牵头订立身份认证规范,并由信息产业主管部门对违反规范的行为进行监督管理。认证标准可以参照欧盟的模式,规定低、中、高身份认定等级,并明确不同等级的最低基线标准。
在制定身份认证标准的前提下,分两步解决跨境身份互认。第一步,由信息产业主管部门与境外国家负责监管的主管部门开展身份互认合作谈判,就我国的身份认证等级与境外国家对应可靠的身份认证等级标准达成共识,互相认可合作国家的身份认证等级与国内对应身份认证等级具备同等法律效力。第二步,由国内认证服务机构与境外认证服务机构达成面向社会公众的身份互认服务方案,实施电子身份互操作。
3.2 立法扩展信任服务范围并进行分级
欧盟的信任服务包括电子签名在内的多种信任服务,例如,时间戳服务、网站认证服务。我国的认证服务商也需提供这些服务中的一种或者多种,但是目前我国没有对这些信任服务规定监管单位及明确这些信任服务的法律效力,使得除电子签名外的信任服务处于尴尬地位,对于提供服务的认证机构而言,不好解释其服务价值,对于争议解决部门来说,也不好判断服务的法律效力。在实践中,时间戳等服务与电子签名一起发挥证明作用,如电子签名的时间一般取可信时间戳时间,因此明确其他信任服务的效力会更便利于举证。
提升网络信任环境,需要全方位的信任服务共同发挥价值,现在的国际立法趋势 也明确规定了各类信任服务的效力。因此,我国未来修改《电子签名法》或者开展新的相关立法时,建议明确其他类型信任服务的法律效力。
此外,与身份认证标准一样,将包括电子签名在内的信任服务进行分级。目前我国的电子签名只规定了可靠电子签名要求,标准严格且单一,没有规定其他不同等级电子签名的基线要求和效力判断标准,不利于和不同发展水平、技术方案的国家开展对接。
3.3 配套实施细则和政策宣贯
在欧盟的法律实施体系下,除 eIDAS 法规外,欧盟还构建了落地的配套规范和服务。例如,在欧盟委员会官网发布 eID 最低标准及各成员国的 eID 计划,成员国可以充分了解并开展技术对接 ;针对中小微企业,欧盟提供 eIDAS 法规解读、发布使用指南,以及定期举办网络研讨会分享应用案例。通过以上措施,可以使中小微企业降低经营和合规成本,提升竞争力和发展机会 。
同样,我国除需和国外建立法律互认共识外,还需要进一步发布互认规定的操作与落地指引,让互认的实施流程和操作规范便于所有的认证服务商知悉。对有跨境签署需求的客户来说,为其提供便利的政策培训,可以增强其选择电子签名服务的信心。
4 当前我国开展跨境电子签名的法律建议
前文提到我国可以借鉴欧盟经验之处,这需要立法以及监管层的共识,完成需要一定流程和周期。鉴于现状,我国还可以从以下角度着手行动。
4.1 监管部门明确核准程序和标准
我国《电子签名法》规定,国外的认证服务机构在境外签发的证书需经过信息产业主管部门核准才能被认可。既然现有法条已经留有开口,信息产业主管部门需要尽快明确核准的流程和程序,给予境外认证服务商合规的申请核准渠道。相信在信息产业主管部门的标准发布后,许多与我国有贸易合作的国家会提出认证服务机构申请。
4.2 约定选择适用境外法律解决争议
前文提到,不同法域电子签名效力规定不统一是造成电子签名跨境互认的重要难点,且我国法律对电子签名可靠性标准要求较高,因此依据我国法律判断电子签名的效力不利于高效解决争议。
根据《中华人民共和国涉外民事关系法律适用法》的规定,在不违反我国法律强制性规定的前提下,当事人可以选择境外法律作为法律适用。境外的电子签名法律一般允许当事人自主地选择电子签名方式或承认自主选择的电子签名的效力,这有助于争议解决机关高效判断电子签名的效力。
4.3 借助区块链和证据链达到举证证明效果
我国《电子签名法》第 4 条到第 12 条规定,符合一定条件的电子证据具备法律效力,电子证据虽然不能直接提供像电子签名那样的法律效果,但仍可在一定程度上证明文件的真实性。此外,最高人民法院在《关于互联网法院审理案件若干问题的规定》中指出,诉讼当事人提交的区块链等证据收集、固定和防篡改的技术手段或者通过电子取证存证平台认证,能够证明其真实性的,互联网法院应当确认。区块链通过密码学原理,使得上链的电子证据很难被篡改。依据区块链无法篡改的特性,可以解决其在电子证据提取和使用的过程中不被信赖的问题,确保行为不可抵赖。
当前,我国法律不认可境外认证服务机构签发证书的效力,但并不否认国外形成的电子证据效力,境外的电子签名或者数字证书在证据分类上属于数据电文,仍然属于电子证据的一种。符合取证规则及举证要求的电子证据,可以通过技术手段将操作流程所有节点的记录同步在区块链平台上,在结合案件其他证据的前提下,依然可以完成举证证明责任。
5 结 语
电子签名跨境互认是个难而正确的事情,在当前贸易保护主义抬头的背景下,推动跨境身份和签名互认对于全球经贸的发展具有重要意义。将有助于提高各国之间的信任度,降低跨境交易的成本和风险,从而为全球贸易体系注入新的活力。
路虽远,行则将至,相信在行业监管单位及广大认证服务机构的努力下,会尽快实现电子签名跨境互认,为跨境贸易贡献电子认证服务机构从业者的力量。
引用格式:周意义 , 郑宁 . 中国电子签名跨境互认法律研究 [J]. 信息安全与通信保密 ,2024(3):52-59.
作者简介 >>>
周意义,男,硕士,主要研究方向为数据合规、金融合规、跨境签署;
郑 宁,女,硕士,高级工程师,主要研究方向为计算机技术、网络安全、跨境签署。
选自《信息安全与通信保密》2024年第3期(为便于排版,已省去原文参考文献)
声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。