两级模式视域下有效电子签名认定规则的检视与构建
2022-03-18聂云鹏
张 龙, 聂云鹏
(烟台大学 法学院,山东 烟台 264005)
自20世纪末电子商务兴起以来,世界范围内电子商务立法如雨后春笋般大量涌现,电子签名立法便是其中之一。电子签名立法在推动电子诉讼发展、维护公民个人隐私、辅助意思表示制度完善等方面扮演着重要角色。电子签名立法大致有三种模式:技术特定模式、技术中立模式和两级模式(也称“折中模式”)[1]3。两级模式下有效电子签名分为一般电子签名与可靠电子签名两类,法律一般对可靠电子签名会提出更高的稳定性要求[2]。2004年我国出台了基于两级模式制定的《中华人民共和国电子签名法》(下文简称《电子签名法》)作为认定有效电子签名的主要法律依据[1]4。司法实践中,法院对待“电子签名”主要是依据《电子签名法》第14条的规定,即“可靠的电子签名与手写签名或者盖章具有同等的法律效力”,直接将电子签名作为可靠电子签名予以看待并认定其法律效力而罕有说明。如在中国农业银行某支行与张某某借记卡纠纷一案中,法院直接依据第14条的规定将当事人设定的银行卡数字密码(理论上的一般电子签名)认定为可靠电子签名,并认可其与手写签名具有同等效力[3]。法院作出这种认定的论证说理却略显单薄,且此种情况在司法实务中屡见不鲜[4-7]。此外,亦有法院不再援引第14条的规定直接作出认定,采取了一种看似更为合理的处理方法。如在周某诉福建某公司等合同纠纷一案中,法院首先援引《电子签名法》第13条第2款的意思自治规则,将点击“同意”选项认定为当事人之间约定的可靠电子签名,然后再援引第14条的规定,最终得出点击“同意”选项与手写签名具有同等法律效力的结论[8]。上述这些认定方式大多有误,因为法院并没有对一般电子签名与可靠电子签名进行区分,点击“同意”选项、数字密码等均属于一般电子签名而非可靠电子签名,其与手写签名不具有同等的法律效力。法院之所以如此认定是因为《电子签名法》中有效电子签名的认定规则较为粗糙,并未对一般电子签名与可靠电子签名作出合理区分。因此,现阶段认定有效电子签名的逻辑路径还有待进一步厘清。
一、有效电子签名认定的立法模式
在传统的纸面交易过程中,往往通过当事人签名、盖章等方式识别签名人身份,以证明签名人对交易文件的认可,进而保证交易安全。而在电子交易环境下,当事人须采取一定的技术方案来替代传统手写签名所具有的识别、认可等功能以保证交易安全,这类技术方案被称为电子签名。由此我们可以做出如下定义:电子签名是在电子环境中发挥手写签名等各种认证机制功能的各类技术方案的总称。承认电子签名的法律效力是大势所趋,但何种电子签名才具有法律效力,以及如何构建有效电子签名的认定标准,对此联合国及不同国家(地区)以三种模式即技术特定模式、技术中立模式和两级模式给出了不同的回答。
(一)技术特定模式
技术特定模式是指法律规定只有采取特定技术的电子签名才具有法律效力的立法模式。如美国犹他州1995年颁布的《数字签名法》规定只有基于公开密匙基础架构(public key infrastructure, PKI)技术产生的数字签名才具有法律效力。早期的电子签名立法大都采取了这种立法模式,只承认在公开密匙基础架构下创建的数字签名才具有法律效力,如《德国数字签名法》《阿根廷数字签名法》等。在技术特定模式下,法律往往以现有最为安全可靠的电子信息技术为蓝本制定有关规则。对可靠性的追求在一定程度上确实推动了电子贸易的发展,但这种只偏向于某类或某几类特定电子签名的立法模式也存在一些弊端,后来逐渐被各国(地区)废止。如德国在《德国关于电子签名框架的立法》中采取了两级模式,推翻了《德国数字签名法》所采取的技术特定模式;我国香港地区参照美国犹他州立法模式制定的《电子交易条例》(下文简称《条例》)只承认特定的数字签名,2004年我国香港政府对《条例》作出修改,区分了电子签名与数字签名,并规定政府与代表政府行事的主体应当使用数字签名[9]。技术特定模式的立法范本即美国犹他州的《数字签名法》也于2006年5月1日被废止。目前,各国(地区)普遍采取的立法模式主要是技术中立模式与两级模式。
(二)技术中立模式
技术中立模式又称最低限度模式[2],是指法律承认各种类型的电子签名之法律效力的立法模式。广泛定义、技术中立是技术中立模式的最大特点。在这种模式下,法律往往对电子签名作出较为宽泛的定义,以确保各种类型的电子签名都能被纳入法律所认可的范围内。
联合国国际贸易法委员会(下文简称“贸法委”)于1996年6月通过的《贸易法委员会电子商务示范法》(下文简称《电子商务示范法》)就是技术中立模式的立法典型,规定只要电子签名能够满足其所认定的条件,法律就承认该电子签名的效力。该法非常谨慎地并未提及任何特定的技术方案,坚持不歧视、技术中性等原则,成为大多数国家制定电子签名相关法律的模板[2]。如美国统一州法全国委员会制定的《统一电子交易法》规定电子签名是指人们在电子记录中所附的或与电子记录在逻辑上存在联系的,能够表明其具有签署该电子记录意图的电子形式的声音、符号或程序(1)《统一电子交易法》第2条第8项。。立法者认为电子签名的法律效力不会因为技术方案的不同而有所差别,认定某种电子签名是否具有法律效力的关键在于其是否含有当事人的签名意图。加拿大政府于1999年推出的《统一电子商务法》也旨在贯彻落实技术中立原则,它规定电子签名是指人们为了前述文件而创建或采用的电子形式的信息,该信息为电子文件所含、所附或与之相联系。文件中关于“电子签名”的定义起到了两个作用:第一,明确了电子签名仅仅是一种电子形式的信息,尽管电子签名包括手写签名的数字形式,但法律并不要求电子签名看起来像手写签名;第二,承认电子签名不会像手写签名附于纸质文件那样附于电子文件,电子签名与电子文件之间的联系可以是多种多样的。在技术中立模式下,立法往往极力避免在制定相关规则时给人们留下先入为主的印象,将电子签名与某种特定形式联系起来。
(三)两级模式
两级模式与技术中立模式都秉持技术中立原则,平等地对待各类电子签名,较好地解决了技术特定模式所带来的问题。首先,人们很难从技术层面保证某种技术方案一直保有最高程度的安全性。当一种具有更高安全性的技术方案出现时,技术特定模式立法还未认可这种技术方案的法律效力,因此市场只能继续采用法律所规定的安全性较差的技术方案进行交易,更可靠的技术方案难以进入市场,这不仅会阻碍电子信息技术的发展,也会影响交易活动的安全稳定性。如此,法律只能亦步亦趋地对电子签名法进行修改,而这又将冲击法律的稳定性。立法采取技术中立原则可使法律较好地适应未来电子信息技术的快速发展,从而降低立法成本,保持法律的稳定性。其次,从交易主体的角度来看,安全性也并非其选择签名方案的唯一考量。由于电子交易本身就有着成本低廉、方便快捷的特点,这些因素往往成为交易主体选择电子签名类型的依据,交易主体对交易安全的要求并非完全一致,有的选择较为安全但较为昂贵的技术方案,也有的选择较不安全但成本低廉、方便快捷的技术方案,但技术特定模式却并未保留这样的空间。采取技术中立原则的立法模式有助于营造一种理想的市场环境,即存在多种安全程度不同的技术方案供交易各方依据交易的性质、规模、频率等影响交易成本的因素进行选择,因此技术中立原则在实践中普遍为各国所接受。
两级模式立法以贸法委《电子签名示范法》为代表(2)联合国《贸易法委员会电子签字示范法及其颁布指南》(2001年)采取了两级模式,推翻了其在《贸易法委员会电子商务示范法及其颁布指南》(1996年)中确立的中立立法模式,但仍有许多国家以中立模式制定本国电子商务的相关法律,如美国、加拿大、法国、南非等。,是指基于技术中立原则承认各类电子签名的法律效力,在此基础上将有效电子签名分为一般电子签名与可靠电子签名两类,并向可靠电子签名倾斜,以保障电子交易安全性的立法模式。如新加坡《电子交易法》一方面规定了电子签名的一般效力,另一方面又对安全的电子签名作出了特别规定;日本《电子签名法》在对一般电子签名作出明确规定的同时又规定了“特定认证机关所做的电子签名”与“具有推定效力的电子签名”两种更为安全的电子签名。技术中立模式与两级模式均以技术中立原则为核心,区别在于后者在坚持技术中立原则的基础上又吸收了技术特定模式追求电子签名安全性的立法经验,对一般电子签名与可靠电子签名进行区分。贸法委指出,两级模式的立法通常会从公开密匙基础架构技术方面对可靠电子签名加以定义。自20世纪末PKI技术被广泛应用以来,这一电子通信技术一直贯穿于电子签名立法的始终。不但许多采取技术特定模式立法的国家(地区)认为只有基于PKI技术生成的电子签名才具有法律效力,部分采取两级立法模式的国家(地区)也以此技术为基础进行立法,如我国香港地区《条例》第6条规定“……一种更为安全的数字签名,而这种数字签名正是基于公开密匙基础架构技术所产生的”。
PKI技术自诞生以来就拥有其他电子通信技术所不具备的安全性,是国际上公认的较为成熟的技术,在现行技术环境下将其作为认定可靠电子签名的模板,能够在最大程度上维护市场中各主体的利益,保证市场交易活动的安全。如果说技术中立模式为人们营造了一个完全开放的市场环境,那么两级模式则为人们营造了一个自由开放且有法律引导的市场环境。在各市场主体享有选择不同技术方案权利的同时,法律也为各类电子签名技术与交易方提供了一个安全稳定的“技术模板”,推动各类技术向PKI技术靠拢,推动市场标准向法律标准靠拢,这并非指法律要求各类电子签名在技术特征上向PKI技术看齐,而是指法律旨在推动各类电子签名的安全性、稳定性向PKI技术靠拢。
二、我国法中既有有效电子签名认定规则的检视
(一)我国法应区分一般电子签名与可靠电子签名
官方释义指出我国《电子签名法》采取的是折中模式,即对一般电子签名与可靠电子签名进行区分,并以国际上比较公认的成熟技术为基础,作为可靠电子签名认定的标准[1]4。但官方释义同时又指出,《电子签名法》关于可靠电子签名法律效力的规定借鉴了贸法委《电子商务示范法》的有关规定,“并与本法第十三条规定相联系”[1]28。而贸法委《电子商务示范法》关于电子签名法律效力的规定采取的却是技术中立模式,并未对一般电子签名与可靠电子签名加以区分,似乎我国的官方释义在理解中立模式还是两级模式的立场上陷入了“混乱”。同样,贸法委也在其发布的文件中指出我国的《电子签名法》是以采取技术中立原则的《电子商务示范法》为模板制定的[2],而贸法委官方网站却又表明我国通过了“以《电子签名示范法》为基础或在其影响下形成的立法”[10]。上述这些认识或理解上的不同,是由我国《电子签名法》相关规定不完善所导致的。纵观《电子签名法》全文,不难看出,其并没有对一般电子签名与可靠电子签名作出有效区分,只是在其第13条、14条中规定了可靠电子签名的认定规则与效力内容规则。但《电子签名法》并不会偏离至技术特定主义的道路上,因为第13条关于可靠电子签名认定规则的核心是重现PKI技术所能实现的功能而不是重现任何特定的技术模式,即以功能等同法构建可靠电子签名标准,这就使得《电子签名法》不会限定任何电子签名的具体技术,仍然秉持技术中立原则[11]。
笔者认为,我国《电子签名法》并没有采取技术中立模式,因为可靠电子签名是与一般电子签名相对的法律概念,在两级模式下可靠的电子签名专指更为安全、稳定的一类电子签名。纵观采取技术特定模式与技术中立模式的各国立法例,并未有以“可靠电子签名”指代全部有效电子签名的情形。因此,我国《电子签名法》采取的是两级模式而非技术中立模式,但由于其未对电子签名加以有效区分才使其具有了技术中立模式的特征。
在北大法宝网(3)检索网址https:∥www.pkulaw.com/,检索时间2021年7月17日。以“电子签名法第13条”为条件进行检索,共搜索到裁判文书1 480篇,再以“电子签名法第14条”为条件进行检索,共搜索到裁判文书12 758篇,这就意味着至少有11 278篇裁判文书援引了第14条但没有援引第13条,占全部援引第14条裁判文书的88.40%。从逻辑上讲,只有先依据第13条的规定将某一电子签名认定为可靠电子签名后,才能继续依据第14条的规定确定这一电子签名的法律效力。但现行《电子签名法》未对一般电子签名与可靠电子签名作出明确区分,特别是未对一般电子签名作出有针对性的规定,法院若不将银行卡数字密码、点击“同意”选项等理论上的一般电子签名认定为可靠电子签名,就会否认这些已在实践中被广泛运用的电子签名的法律效力。无奈之下,法院只得先将其认定为可靠电子签名,再依据第14条的规定认可其法律效力。可法院却在适用第13条可靠电子签名认定规则时遇到了困难,因为这些一般电子签名无法满足第13条关于可靠电子签名的要求,而法院又不得不将其认定为可靠电子签名从而认可其法律效力,所以只能暂时“搁置”第13条的规定,直接援引第14条来认定这些电子签名的法律效力,最终导致实务中“仅有可靠电子签名而无一般电子签名”的尴尬状态。
大数据时代网上银行存储的用户数据、交易数据等大幅度增长,银行的安全保障能力面临着巨大挑战,国内外各大银行纷纷采取电子签名技术确认交易各方的身份以保障交易安全[12]。电子签名的应用场景过去主要集中在网上银行系统的可靠电子签名之中,如U盾、K宝、中银e令等基于PKI技术的用户证书[13]。随着电商平台的兴起,一般电子签名迎来了超大规模的现实应用,并不断挤压着可靠电子签名的使用空间,甚至在金融行业内部也开始应用生物识别法这种一般电子签名对客户身份进行识别与验证[14]。可见,忽视一般电子签名立法的做法与我国电子商务的实务不符。电子签名不仅在电子交易领域发挥着重要作用,也在信息数据处理活动中扮演着重要角色。特斯拉公司公布某车主行车数据、滴滴出行App下架等事件再次将大众的视野引向数据安全领域。工信部启动App侵害用户权益专项整治活动[15]、网络安全审查办公室对多家平台企业启动网络安全审查工作等无不彰显着国家加强数据治理的决心[16]。维护数据安全、强化数据治理的第一步就是规制个人信息数据的收集环节。随着《中华人民共和国个人信息保护法》制定过程的不断推进,《中华人民共和国数据安全法》等法律的出台,知情同意规则成为我国个人信息数据收集的基石规则已是不争的事实,而电子签名作为网络空间中表达同意的技术手段,将在知情同意框架下得到更为广泛的应用。厘清有效电子签名的认定规则,将有助于数据治理活动的开展。此外,在数据跨境传输日益频繁的当下,《电子签名法》与贸法委示范规则、域外主要国家(地区)电子签名立法的衔接问题也日益凸显。
同时,将现代电子通信技术应用于诉讼程序也是我国今后司法改革的发展趋势之一,电子签名立法也在电子递交、电子送达、电子笔录和电子案卷等制度构建方面发挥着不可替代的基础性作用。在德国立法者构建的电子交往的整体环境中,当事人甚至可以通过电邮向法院递交电子文件,已经不需附认证的电子签名[17]。电子签名不仅是构建电子化诉讼流程的工具,有时还会作为证据出现在诉讼活动中,因此与程序法规则的衔接问题也是《电子签名法》改进过程中不可回避的问题之一。我国与欧洲国家在电子交往的整体立法构想上有所差异,但这也反映出我国电子签名的立法及其司法实践应用上的落后。无论从理论还是实践层面考虑,区分一般电子签名与可靠电子签名,设立一般电子签名有效条件规则都确有必要。
(二)我国法未做到一般电子签名与可靠电子签名和而不同
增设一般电子签名有效条件规则并不仅仅是在《电子签名法》中简单地增加相应的条文即可。从功能等同法的角度讲,一般电子签名与可靠电子签名之间应是和而不同的关系,即两者有着同等的法律效力,但在具体的生效规则上应有所不同——法律对可靠电子签名的认定提出了更为严格的要求。遗憾的是,现行《电子签名法》通篇只有可靠电子签名而无一般电子签名,可以说两者从未有“和”的基础,“不同”则更无从谈起。
一般电子签名与可靠电子签名既相互联系又相互区别,构成了应然状态下有效电子签名的全部内容,这意味着我们增设一般电子签名规则不得不涉及现行法中可靠电子签名规则即《电子签名法》第13条、14条的规定。实际上,我国可靠电子签名的认定规则也存在着一些缺陷,在增设一般电子签名认定规则的同时对可靠电子签名认定规则进行修改,形成完善的有效电子签名认定体系,最终使一般电子签名与可靠电子签名和而不同才是《电子签名法》修改的正确方向。通过增设一般电子签名与可靠电子签名的统一生效规则的形式构建我国法中一般电子签名的应然认定规则,并在此基础上对统一生效规则中的安全性内容进行细化,进而构建我国法中可靠电子签名的应然认定规则。在电子诉讼立法的必要性已然坚实存在的环境下,完善《电子签名法》有助于电子诉讼立法工作的开展,从而为解决电子诉讼领域的难题提供帮助,回应电子诉讼实践的关切[18]。
三、我国法中一般电子签名的应然认定规则
(一)运用功能等同法构建定义规则
两级模式下,一般电子签名与可靠电子签名均具有法律效力,但两者法律效力是否存在高低之分则需依据功能等同法来解决。书面环境有其合理的秩序,电子环境也有其相应的合理秩序,这两种秩序既相互独立又相互补充,在这种交织状态中准确定位与解读具体问题并提出解决方法,是理论研究所面临的结构性问题[19]。功能等同法是在电子签名领域解决结构性问题的途径之一,就是指立足于分析传统书面要求的目的和作用,以确定如何通过电子商业技术来达到这些目的或作用的方法[20]。前文对电子签名所作的定义就使用了这种方法,但该定义只是笼统地指出电子签名是在电子环境中发挥手写签名等各种认证机制功能的技术方案,没有对书面环境下各种认证机制的功能做进一步论述,而这正是电子签名定义的核心要义所在。那么需要由电子商业技术在电子环境下重现的功能究竟有哪些呢?以手写签名为例,首先是识别功能。在书面环境下人们可以根据某一手写签名来认定签名人的身份。正如世界上没有两片完全相同的叶子一样,世界上也不存在两个完全相同的签名,没有人能够完全复现出他人的签名,因此识别功能还包括认定签名人本人是否亲自完成了签名行为的内容。其次是联系功能。当手写签名出现在书面文件上时表明签名人已经完全阅览了这一文件的内容并与文件的内容发生了一定的联系。这种联系往往表现为签名人对文件内容所作出的真实的意思表示,通常为认可或同意。如果签名人并不认可文件的内容那么也无须在文件上签名,因此联系功能也被称为认可功能。在电子诉讼过程中,电子签章也发挥着这样的功能(4)如在立案阶段,要求法院附加“电子签章”“人脸识别”“实名认证”等技术性认证环节,有助于强化对当事人真实性的合法审查,防止当事人滥用诉权;在电子送达环节中,运用电子签章等技术则可以保障当事人及时了解、保存关涉自己重大利益的判决书、裁定书和调解书等司法文书。参见张兴美.中国民事电子诉讼年度观察报告(2017)[J].当代法学,2018(6):155-156.,这种功能可被概括为“表其主体,表其同意”。由此可对电子签名做出如下定义,即在电子环境下用于识别签名人并表明签名人认可数据电文之内容的技术方案。单独存在的电子签名没有任何法律意义,只有与某一数据电文相联系的电子签名才具备上述功能。考虑到这一点,我们就得到了完整电子签名的定义:电子签名是指与数据电文相联系的用于识别签名人身份,并表明签名人认可数据电文中所含信息的电子形式的技术方案。无论是一般电子签名还是可靠电子签名,二者都毫无例外地发挥着应有的识别与认可功能,唯一的区别在于可靠电子签名能够更为稳定、安全地发挥其识别、认可功能。基于技术中立原则,法律应当平等地对待可靠电子签名与一般电子签名,这就意味着法律并不会赋予可靠电子签名以高于一般电子签名的法律效力。既然二者效力相同,那么就应对可靠电子签名与一般电子签名的有效条件作出一体化的规定,没有必要将一般电子签名和可靠电子签名的有效条件进行区分。要在《电子签名法》中设立一般电子签名有效条件规则,就应当以一体化的形式对所有电子签名的生效条件作出统一规定,即制定统一的有效规则或统一的生效规则。
《电子签名法》虽然对电子签名的概念作出了规定(5)《中华人民共和国电子签名法》第2条规定:本法所称电子签名,是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。,但这只是从技术意义上对技术方案作出的描述性说明,而不是从法律意义上对有效电子签名作出的定义。所有电子签名并非都是有效电子签名。电子签名必须满足法律最起码的要求,才能进入电子签名法所调整的范围,才能具备相应的法律效力。需要注意的是,这并不与技术中立原则相违背,技术中立原则认为各种类型的电子签名都具有法律效力,而这一预设的前提是这些电子签名都已经满足了法律最起码的要求,因此立法将对其一视同仁。所谓“最起码的要求”就是指对电子签名可靠性最低程度的要求,只有当某一电子签名具备最低程度的可靠性时,法律才能对其效力予以认可。这种可靠性也可称作安全性,是指电子签名能否在电子环境下稳定、可靠地发挥书面环境中各类认证机制的识别与联系功能。电子环境与传统的纸面环境存在很大的差异。在纸面环境下,墨迹与纸张相结合,使得手写签名往往能够非常稳定、可靠地发挥识别、认可功能。但在电子环境下,数据的生成、传送和接收都存在很大的不确定性,即使是PKI技术也不能确保依据其技术方案而生成的电子签名具有绝对的稳定性。如果电子签名不能稳定地发挥其识别与联系功能,或者说不具备任何的稳定性,那么其在交易中就完全没有值得被使用的空间,法律也没有必要对其效力进行认定。
(二)增设电子签名的统一有效规则
可靠性并非一项可被量化的标准,电子签名可靠性的具体程度难以被准确描述,认定电子签名可靠性如何的途径只有市场自行认定和法律认定两种途径。这两种不同的认定途径会产生两种不同的认定标准,即市场标准与法律标准。在正常情况下,法律对电子签名可靠性的要求往往高于市场的要求,市场标准可被称为最低可靠性标准或一般可靠性标准,法律标准可被称为最高可靠性标准或高度可靠性标准。可靠性的法律标准与法律最起码的要求显然不同,前者是理想标准而后者则是最低标准。无论采取的是何种技术方案,电子签名的可靠性至少应达到为电子交易市场所认可的程度才能具有被使用的意义,这就是最低可靠性标准的内涵所在,同样也是法律对电子签名最起码的要求。如果市场认为在某种情况下使用某一电子签名是稳定可靠的,那么对生成或传递某一数据电文的目的来说当然也是适当的,但前提是电子签名须在正常、理性的环境下作出。例如,在某笔电子交易中双方当事人约定使用指纹作为电子签名,但一方当事人的指纹信息已经失密或面临极大的失密可能性,完全不具备相应的可靠性,若此时双方当事人仍然坚持使用指纹这种电子签名的话,那么这种情况就不应被考虑在内。实际上,《电子签名法》第15条也考虑到了这种情况,但其条文规定并不十分完善(6)该条规定“电子签名人应当妥善保管电子签名制作数据。电子签名人知悉电子签名制作数据已经失密或者可能已经失密时,应当及时告知有关各方,并终止使用该电子签名制作数据”,据此在当事人知悉其电子签名制作数据出现失密情况时仍坚持使用该制作数据确实是不当认可电子签名的情形之一,但该条并不能将所有不当认可电子签名使用的情况包含在内。因为该条只是规定签名人应及时终止使用该制作数据生成电子签名,而未规定签名人仍坚持使用失密的制作数据制作电子签名时应承担的法律责任,这就为这种签名人不当使用电子签名的情形保留了一定的法外空间。。
如果法律对电子签名稳定性的最低要求高于市场标准,那么稳定性程度处于两者之间的各类电子签名就会处于一种为电子交易市场所认可但不为法律所认可的处境之中,这将不当地限制市场中各类主体选择、使用电子签名的空间。如果法律最低程度的要求低于最低可靠性标准,那么稳定性程度位于两者之间的各类电子签名虽然能够得到法律的认可,具备相应的法律效力,但由于不被电子交易市场所认可,从而在现实的电子交易中就没有被当事人实际使用的空间了,那么法律对这部分电子签名的法律效力予以认可也就毫无意义了。综上所述,法律最低程度的可靠性标准就是市场标准,即电子签名的可靠性至少应当得到电子交易市场的认可。可靠性得到电子交易市场认可的电子签名才能进入法律调整的范围,才属于法律意义上的电子签名。
基于一般可靠性标准,可在《电子签名法》中一般电子签名与可靠电子签名的有效条件处增设如下统一规定:凡法律规定要求有一人的签名时,对于数据电文而言,同时具备如下情形时则满足了该项法律的要求:(1)使用了一种技术方案,能够识别签名人的身份,表明该人对数据电文所含信息的认可;(2)从各种情况来看,所用的数据方案是稳定可靠的,并且对生成或传递数据电文的目的来说也是适当的。
启动法律修改程序的成本过高,我们是否可以选择其他方式对现行《电子签名法》进行改进呢?答案是否定的。首先,《电子签名法》第2条对电子签名所做的定义忽视了可靠性要求,显然不能充当电子签名有效条件的统一规定;其次,《电子签名法》第14条明确规定“可靠的电子签名与手写签名或者盖章具有同等的法律效力”,显然将一般电子签名排除在外;最后,无论是《中华人民共和国民法典》还是《中华人民共和国电子商务法》,都没有与电子签名有效条件相关的条文可以援引,而《中华人民共和国民事诉讼法》第63条也只是认可了电子数据作为法定证据种类的合法地位。因此,在现行法律体系下想要解决司法实践中频发的一般电子签名认定不当问题,只能在《电子签名法》中增设电子签名有效条件的统一规则,为《电子签名法》容纳一般电子签名提供空间。
四、我国法中可靠电子签名的应然认定规则
可靠电子签名的生效条件应当与一般电子签名的生效条件一同存在于统一有效规则之中。从性质上讲,《电子签名法》第13条的内容并不是可靠电子签名所独有的特殊生效条件,而是对统一有效规则中“可靠”内容的进一步细化[21]。既然《电子签名法》已经在第13条第1款中规定了可靠电子签名的认定规则,那么认定某一电子签名是否属于可靠电子签名只需援引该款即可,但司法实践中法院却纷纷回避这一条款的适用[22-24]。法院回避适用《电子签名法》第13条第1款的做法是可以理解的,因为无论是银行卡数字密码还是点击“同意”选项,在本质上都属于一般电子签名,显然不符合法律对可靠电子签名所提出的要求。但在一些使用可靠电子签名的场合,法院也同样对第13条第1款视而不见。如在中信银行股份有限公司宁德分行诉阮某金融借款合同纠纷一案中,当事人使用的就是基于PKI技术设计的ukey设备所生成的电子签名,而这类电子签名理当属于可靠电子签名之列。该案中阮某虽然直接使用ukey设备生成了电子签名,一审法院却没有援引第13条第1款对阮某所使用的电子签名进行认定,亦未要求双方当事人提供电子签名认证证书,而是直接以“没有双方当事人的签名或盖章”为由否认合同效力[25]。法院回避适用《电子签名法》第13条第1款的原因,一方面是部分法官对“电子签名”这一新生事物认识较浅,对《电子签名法》条文的理解不深;另一方面是《电子签名法》本身存在着一些瑕疵,例如其对可靠电子签名的认定过于严苛,以致部分可靠电子签名难以得到法律认可,法院不得不跳过依据第13条第1款将某电子签名认定为可靠电子签名的环节,直接依据第14条承认某电子签名与手写签名有同等法律效力,认定电子签名为合法的签名方式,或直接认定当事人之间使用该签名所订立的合同有效或无效。
(一)识别功能视角下可靠电子签名的应然认定规则
对可靠电子签名的认定,应从其所发挥功能的视角进行考量。前文将电子签名的功能总结为“表其主体,表其同意”,那么可靠电子签名所发挥的功能则可用“精确识别主体,表其真实同意”来概括。从识别功能的角度来说,可靠电子签名必须保证其在使用过程中能够与签名人建立起一种高度稳定的、独有的联系,以更为精确地证明其归属,即法律对可靠电子签名所作出的独特性要求(7)最高人民法院、最高人民检察院、公安部《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》中也规定了若干独特性证明的鉴真方法,如第23条第4款、第24条第2款、第25条等,其中第22条第2款规定可以通过对电子数据是否具有数字签名、数字证书等特殊标识进行审查来判断其独特性,但此时电子签名所发挥的独特性作用主要是指电子签名等标识将某一电子证据区别于其他证据的作用,而本文所讨论的独特性要求则是指可靠电子签名应有的将签名人区别于其他人的功能。参见刘译矾.论电子数据的双重鉴真[J].当代法学,2018(3):94.。这时就需引入电子签名制作数据的概念,贸法委将制作数据定义为在制作电子签名过程中用以提供所产生电子签名与签名人本人之间可靠联系的那些秘密钥匙、编码或其他要素[26],某一电子签名的制作数据必须明确地指向某一特定签名人本人。
《电子签名法》第13条第1款第1项规定,可靠电子签名的“制作数据用于电子签名时,属于电子签名人专有”,这一规定存在一定问题。诚然,对电子签名制作数据的归属进行判断是确定电子签名人的有效途径,但这仅表明电子签名制作数据与电子签名人之间必须存在稳定的、独有的联系,并不意味着电子签名制作数据必须专属于电子签名人。实际上,要求制作数据专属于签名人显然严格于要求制作数据与签名人之间存在稳定的、独有的联系。贸法委早在2000年审议电子签名统一规则草案时就对此进行了讨论,当时就有观点认为从技术角度看电子签名制作数据应与签名人存在独一无二的联系,但不要求制作数据本身是独一无二的[27]。贸法委最终采纳了这一观点,认为电子签名制作数据与签名人之间的关联才是认定可靠电子签名必不可少的因素。至于是否要求制作数据专属于签名人,贸法委对此持否定态度,因为即使某种制作数据可能由许多使用者所共享,只要这种制作数据能够在每个电子签名中准确地指向其使用者,在满足可靠电子签名其他认定规则的情况下,基于这种制作数据所生成的电子签名可被认定为可靠电子签名[26]。虽然《电子签名法》要求制作数据应专属于签名人是出于对电子签名可靠性的考虑,但这种规定显然过于严苛,将会导致实践中某些可靠的电子签名不能被《电子签名法》认定为可靠电子签名。法律之所以对制作数据作出规定,并不是为了保护制作数据本身,而是为了保证其与签名人之间独一无二、稳定可靠的联系。制作数据有时会以个人隐私的形式出现,出于对个人隐私及个人信息保护与交易安全的考虑,制作数据似乎确实具有专属于签名人的性质。但制作数据并不完全等同于个人隐私或个人信息,无条件、无限制地要求制作数据专属于签名人不仅无益于防止个人隐私的泄露,还会增加可靠电子签名的应用成本从而提高整体交易成本。合理的解决方案是将《电子签名法》第13条中“电子签名制作数据用于电子签名时,属于电子签名人专有”修改为“电子签名制作数据用于电子签名时,与签名人本人而不是与他人相关联”。
电子签名制作数据在被用于制作电子签名时,还必须处于签名人本人的控制之下。指向签名人与处于其控制之下并非同一概念,以生物测定技术为例:在以生物鉴别装置为基础的电子签名中,电子签名制作数据就是指指纹扫描数据、虹膜扫描数据等生物鉴别标志,这些数据当然能够指向某一特定主体,但被他人盗用并制作电子签名时就不再处于签名人本人的控制之下了。实际上某些生物数据(如指纹)暴露在公共空间中的概率相当大,非常容易被泄露与盗用。由于生物数据本身也存在着一定的不确定性,尽管对大部分商业应用来说运用生物测定技术就可以满足其要求,但法律仍然不能将基于生物测定技术而生成的电子签名视作一种足够安全的电子签名。只有当电子签名的制作数据与签名人本人存在稳定的、独特的联系,并且在制作电子签名时制作数据正处于签名人的控制之下,我们才能认定这一电子签名高度稳定地发挥了识别功能,达到了“精确识别主体”的程度(8)当电子签名制作数据被他人用来制作电子签名时,我们无从得知原签名人(即电子签名数据指向的签名人)是否与数据电文的内容发生了联系进而作出真实的意思表示。从这一点上讲,电子签名制作数据在签名时处于签名人本人的控制之下是稳定实现电子签名联系功能的必然要求。。总之,保护制作数据本身并不是电子签名法的立法目的,确保制作数据与当事人之间的独特联系,保证制作数据的正当控制不受干涉才是法律规制电子签名制作数据的目的所在。
(二)认可功能视角下可靠电子签名的应然认定规则
随着意思表示构成学说不断向表示主义发展,交易安全与合理信赖原则越来越优先于表意人意思自治原则[28],这一趋势使得在电子环境中确定签名人的真实意思表示尤为重要。从认可功能的角度看,可靠电子签名正发挥着稳定、可靠地表达签名人对数据电文内容所作出的真实意思表示的作用。要获得签名人真实的意思表示,必须保证该数据电文的内容自签名人签署后不会发生改动(人为的修改或自然的失真),或者这种改动可及时被当事人所察觉,可靠电子签名应当具有保证数据电文完整性的作用。如果在签署后交易主体对数据电文内容的变动毫无察觉,那么就无从探究签名人的真意,意即其是对更改前的电文内容表示认可还是对更改后的电文内容表示认可。
但这一完整性要求并不意味着对数据电文内容的任何改动都是绝对禁止的或者说是应当被人所察觉的,因为签名人在某些数据电文中只是对部分内容作了确认。未经签名确认部分的电文内容的改动,显然不会影响电子签名发挥其应有的功能,同样也不会影响电子签名的法律效力,也即可靠电子签名只需对经其确认的电文内容或者说与其相关的文件内容的完整性提供保证,而不需要对数据电文全部内容的完整性提供保证。
就此看来,《电子签名法》第13条第1款第4项的规定即可靠电子签名在“签署后对数据电文内容和形式的任何改动能够被发现”,显然有些严苛。因为电子签名的功能只是表明签名人对经其确认的数据电文内容曾作出过真实意思表示,虽然通常情况下经签名人所确认的内容就是数据电文的全部内容但并不绝对,因此应采用“对电子签名涉及的数据电文内容”或“经电子签名确认的数据电文内容”这种更为准确的表述。此外,关于签署后数据电文形式上的改动是否会影响可靠电子签名的认定问题,法律不能一刀切地作出规定或者说无须对此作出规定,因为有些形式上的改动可能会引起经签名人签名确认部分内容的改动,从而有损数据电文内容的完整性,但有些形式上的改动则无损数据电文内容的完整性,一个形式上的改动是否应被发现取决于这一改动是否影响到了数据电文内容的完整性,所以《电子签名法》完全可以删除有关形式改动的规定。对此,合理的解决方法是将第13条中“签署后对数据电文内容和形式的任何改动能够被发现”修改为“签署后对签名涉及的数据电文内容的任何改动能够被发现”。
可靠的技术方案不仅要使相关数据电文内容的完整性得到保障,同样也要为电子签名本身的完整性提供保障(9)从证据法角度看,完整性实际上对电子数据内在载体的同一性提出了要求,而同一性又对证据事实真实性的保障发挥着直接和根本的作用,但二者不能完全等同。证据载体的同一性决定证据事实的同一性,假如证据的内在载体发生了变动,那么经由该证据载体所传达的证据事实也会改变,从而就与其原本要表达的证据事实发生了背离。参见刘译矾.论电子数据的双重鉴真[J].当代法学,2018(3):92.。如果一个电子签名在签署后发生了改动,而这种改动却不能被察觉或发现,那么电子签名的联系功能就很难得到稳定可靠的保障。如果一个电子签名发生了改动,无论这种改动来自原签名人抑或签名人以外的其他人,其究竟能否表达原签名人本人的真实意思不确定,原签名人是否愿意受到数据电文所含内容的约束也有待商榷。进一步讲,一个被改动过的电子签名是否是由原签名人所签署的也不确定,因此对完整性的保障也是稳定发挥电子签名识别功能的必然要求,电子签名识别与认可的两大功能并非完全独立,而是相互渗透、相互影响的。
单独存在的电子签名并没有任何法律意义,只有当电子签名通过各种方式与数据电文相联系时,电子签名才拥有了法律上存在的意义,数据电文的完整性与电子签名的完整性是密不可分的。在能够充分保障相关数据电文完整性与电子签名完整性的情况下,这种电子签名才能达到“表其真实同意”的程度,才属可靠电子签名。只有保证数据电文与电子签名的改动能够为外界所发现,才能保证数据电文与其上所附电子签名的真实性。也就是说,从认可功能角度考察可靠电子签名,实际上就是看其是否能够保障电文内容与电子签名自签署后的真实性,这将直接影响外界对二者真实性的认知与评价,这一点可被称之为认定电子签名认可功能的“过程性标准”(10)电子数据证据过程性理论认为电子数据证据具备证据效力之过程性与证据内容之过程性两大特征,前者是指证据的存储、收集、提取、分析等行为过程是否符合相关技术规范,将直接影响电子数据证据本身的真实性和关联性的评价和认定。参见裴炜.刑事立案前后电子取证规则衔接问题研究——以电子数据证据过程性为视角[J].当代法学,2019(2):115.无论是可靠电子签名的认可功能,还是电子数据内在载体的同一性,抑或是电子数据证据效力之过程性,其内涵均是要求数据电文内容保持同一完整性,至少是其改动能够为人所知晓。德国亦有法官提议将说明何时以及何人对卷宗进行过存储、修改、阅读、转发或者查阅的元数据作为一种电子签章嵌入相关文件,或者作为单独一页附在文件之后并纳入电子案卷中以供查阅。参见周翠.中国民事电子诉讼年度观察报告[J].当代法学,2017(4):144.,因此一项可靠的电子签名技术必须能够对这二者的变动情况有所关注。
(三)可靠电子签名应然认定规则与程序法的融合
电子签名服务于民事活动,在民法与民事诉讼法深度融合的视角下审视可靠电子签名的应然认定规则,是今后完善《电子签名法》的必然考量。《最高人民法院关于适用〈中华人民共和国民事诉讼法〉的解释》第116条明确列举了电子数据的种类,其中便包括电子签名。电子签名还会以固定电子数据的方式出现在民事诉讼活动中,不过这并非本文讨论的重点。《电子签名法》第8条规定了审查数据电文真实性的三项内容,《最高人民法院关于互联网法院审理案件若干问题的规定》(下文简称《规定》)中也规定了审查电子数据真实性的主要内容,电子签名作为数据电文中所含的数据,对其真实性的审查似乎也应遵循上述规则。无论是从法律规定的角度还是从司法实务的角度来看,关于电子数据真实性的争议问题主要集中于两个方面:一是主体真实性问题,二是内容真实性问题[29]。主体真实性问题与可靠电子签名的识别功能相关。程序法规范中对主体真实性的考察与可靠电子签名的认定规则类似,并不要求“专属性”而仅要求“可识别性”,即并不要求电子签名制作数据专属于电子签名人所有,而仅要求制作数据与签名人而不是与他人相关联。当事人若使用了可靠的电子签名,可以单独根据这一电子签名直接认定签名人的主体身份。
内容真实性问题则与可靠电子签名的认可功能相关。司法部印发的《声像资料司法鉴定执业分类规定》第19条指出,电子数据的真实性鉴定包括“对特定形式的电子签章,如电子签名、电子印章等进行验证”(11)“电子签章”并不是我国《电子签名法》中的规范用语,而司法部所指的“电子签名”,依据文义理解,应为数字形式或电子形式的手写签名,因此第19条的正确表述应为“……对特定形式的电子签名,如电子形式的手写签名、电子形式的印章等进行验证”。从相应文件的表述来看,我国对电子签名的理解与认识还有待加深。。审查可靠电子签名的内容真实性不仅要审查签署后的电子签名是否有改动,还要审查其所涉及的数据电文内容是否有改动。因为电子签名是表达签名人对数据电文内容之认可的手段,不能脱离数据电文而存在,对电子签名内容真实性的审查也不能脱离对数据电文内容真实性的审查。值得注意的是,无论是2015年还是2020年的民事诉讼法司法解释,最高人民法院都将电子签名作为一种单独的电子数据类型加以规定,但在2019年修改的《最高人民法院关于民事诉讼证据的若干规定》第14条却未将电子签名规定为一种单独的电子数据类型。两者同为司法解释,但在对待电子签名的态度上却有所不同。笔者认为基于电子签名对数据电文强烈的附属性或依附性,其能否单独作为一种电子数据出现,以及能否单独接受审查还有待进一步讨论。
五、结 论
两级模式兼顾了技术中立模式的技术中立原则与技术特定模式对技术安全性的追求,是较为先进的电子签名立法模式,也为我国立法所采纳。但《电子签名法》并没有构建出一个完善的有效电子签名认定体系,这就导致了司法实践中混淆一般电子签名与可靠电子签名的现象频繁出现。依据功能等同法明确电子签名的一般可靠性标准与高度可靠性标准,增设认定电子签名的统一有效规则,再对统一有效规则进行细化,完善可靠电子签名的应然认定规则,才能完成对一般电子签名与可靠电子签名的有效区分。实际上,我国《电子签名法》不仅对电子签名有效条件的认定过于严苛,在有效电子签名效力具体如何,以及如何理解“当事人也可以选择使用符合其约定的可靠条件的电子签名”等方面也存在着很大的争议,该争议亟须通过出台司法解释或修改立法予以解决。