手写电子签名证据学审视及实现原则探析
2022-11-22王上,易旻
王 上,易 旻
(1.重庆工程学院,重庆 400056;2.西南政法大学,重庆 401120)
随着电子商务的应用需求不断增加,电子数据承载着企业和个人越来越多的重要交易信息。众多电子信息之安全性(双方的交易内容不为第三方所知)、完整性(交易内容不能被篡改)、识别性(信息发送者和接收者的唯一身份可以通过电子签名识别)、不可否认性(签署电子签名后发送的信息应必然被确认)应被确保,以避免新交易方式所引致的相关欺诈、虚假交易、侵犯隐私等风险。电子签名的应用为电子信息的上述问题提供了重要保障,保证了商家和客户以安全有效的方式处理电子商务。
电子签名的相关应用范畴包括电子合同、电子订单、电子票据、电子支付、企业信息系统等,目前其在金融业的应用最为广泛和活跃,例如,银行必须通过电子签名核实网上银行用户的身份。电子签名领域中,数字签名得到更多的应用,手写电子签名虽也得到了发展,但应用效果并不理想。由于手写电子签名的虚拟特性,如发生纠纷,手写电子签名的合法性、真实性、关联性难免成为对方当事人的攻诘重点。《中华人民共和国电子签名法》(以下简称《电子签名法》)的相关条文对电子签名的合法性、真实性、关联性作出了规定,但规则总体较为简略,未能完全解决关涉证据采信的合法性、真实性、关联性问题,给日常司法实践造成诸多不便,在具体适用中引起混乱。[1]因此,有必要从《电子签名法》与手写电子签名的特性出发,对手写电子签名证据三性的问题进行讨论,提出完善进路,以期为司法实践提供参考和指引,进而保障电子经济的持续发展。
一、手写电子签名的证据学审视
本源意义的签名,是一个动静结合的词语,既是指称书写个人姓名的动作,也指存留于载体上供人们识别的签名笔迹。签名是法律关系、法律事实成立与变化的要件。根据我国法律规定,无论合同成立或生效,签字都具有一定的法律效力。
对于传统纸质条件下的签名,其生活场景、法律意义,以及出现争议应当采取的审查行为和途径均已成为经验事实的组成部分,几乎不需要界定边界并予以证明。即使《电子签名法》第3条规定将签名的法律效力扩展到电子签名领域,但由于应用场景所发生的巨大变化,电子签名的证据三性在事实层面的认定和法律层面的适用方面,均和传统纸质条件下的签名有较大差异。尤其是电子签名中数字签名类型已在一定程度上偏离了签名之本源意义:以数字签名所实现的所谓“签名”,无论是行为模式、适用效果以及调取查用方式,均异于传统书写模式。相比之下,因直接书写而归属于生物特征类的手写电子签名则有更高的社会接受程度,具备一定的应用优势,但须从证据学属性对其进行剖析,将物证技术、电子及计算机技术等相关信息纳入一并讨论,否则在实务中易出现应用障碍。
(一)合法性:以功能同等原则应对社会应用障碍
手写电子签名的合法性与其关联文书的证据资格相关,关系其关联文书的法律效力。即使《电子签名法》赋予了包括手写电子签名在内的电子签名“具有与传统纸质签名或盖章同等的法律地位”[2],但在实践中,常有人存疑,手写电子签名是否也要按数字签名的方式,适用权威认证机构的授权使用模式。对于初接触电子签名或准备接受电子签名的人群,这是具有代表性的、颇为困扰的问题,也是手写电子签名实现模式及社会应用的障碍之一。直接书写签名的法律意义无需证明,是讨论得以展开的基本前提。无论古今中外,以签名作为法律事实成立、变更的标志的根源,在于主动性签名行为既呈现出签名人的人身识别性,也代表签名人对所签署对象内容的认可。至于签署在何种载体上,竹简、绢帛、纸张乃至各种物品表面,均不会被质疑和排斥。为何载体变为电子产品(如触控屏)后,会产生困扰呢?根本原因并不是在电子产品类载体上书写,而是因为所签署的姓名不是以物质形态呈现,失去了像物质对象一样被人们所习惯和接受的掌控性;但这并不属于签名本身是否能合法使用的讨论范畴,而属于真实性和关联性的审查范围。
《电子签名法》中将电子签名定义为“数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据”。可见,我国该立法采用了广义定义模式,未将电子签名限定至仅指数字签名的狭义范畴。只要满足能识别电子签名人、能确认签名人对电文信息的认可这两项功能,则依据功能同等的原则,视同合法电子签名。[1]62因此,就签名实施环节而言,只要确保手写电子签名是特定签名人的主动行为,则签名行为及所形成的签名即可适用传统文书证据审查理念和方式,而手写电子签名的签名工具以及承载客体并不构成合法性审查对象。
(二)真实性:由特定规则补偿技术形式的法律缺位
质证传统纸质证据的真实性通常以“原件”为要件,但因电子签名的数字性,认定其为“原件”的要素并不能完全符合证据法中相关规则,影响法律的明确适用。因为数据电文的形成和存储的技术特性,传统意义上“原件”所要求的“首次附着的媒介物”几乎不存在。基于此特点,关于电子签名真实性的司法认定,应不仅是事实层面的确认问题,还是法律层面的评价问题。根据《电子签名法》相关规定,我国采取了技术中立、有限管制和意思自治的立法模式,从实质出发,为电子签名真实性的认定提供评价标准,即对电子签名的真实性审查仅为电子签名的作用形态、功能等同方面,将相关标准的实现方式、技术选择交给市场主体进行自主决策,也由市场主体自行承担相应后果,只要可以确认是《电子签名法》意义上的可靠电子签名,①《电子签名法》第13条明确了可靠电子签名的认定标准:第一,电子签名制作数据的专有性;第二,电子签名制作数据的唯一可控性;第三,电子签名的防篡改性,即无法对已经签署的电子签名进行更改或者任何改动都易于发现;第四,数据电文的防篡改性,也即无法对签名确认的数据电文进行篡改或者任何改动可以被发现。则法院将支持其真实性的认定。
因此,在《电子签名法》可靠性认定标准下,附着手写电子签名的文书一经签署,即产生既定的法律约束力,对其内容和签署方式的任何改变,均会被视为变更法律效力的行为。但是,以电子形式存在的数据电文及其手写电子签名无论由何种方式产生、保存于何种存储载体中,如果缺乏特定规则及技术支持,均存在被他人获取并篡改的可能性,并且其是否被篡改的司法鉴定方面和传统签名差异较大,原因如下:其一,以电子产品为载体进行签名,无论采用何种技术方案,均难以达到如纸质条件书写一样的信息承载量,如缺乏书写用笔与纸张的直接物理作用所产生的形变(压痕等)、笔墨于纸张上的粘附和渗透、墨水本身的物质特性反映(如颜色、光泽等),也缺失了文书材料在保存过程中可能发生的各种变化,折叠、老化、局部损坏等。其二,尽管手写电子签名书写人的书写体验与纸质签名区别甚微,同样可以实现随写随见、笔画轻重缓急之动态感受,但事实上,作为载体的电子产品,记录的仅仅是特定签名用笔形工具与屏交互作用(如电容感应、电磁感应)而产生的轨迹,并以可识别的图形信号通过显示屏得以呈现在人们面前,并无实体笔墨颜色或物质的转移与变化,更没有纸张载体的空间性,且不借助工具无法知悉其内容和状态,等等。虽然,从技术角度识别是否存在篡改情形也许并不困难,但困难在于,在不同版本的数据电文中,如何确定认定事实的基点——因为在没有“原件”的情况下,比较的基础则不存在。数字签名规则中,关于公、私钥的使用会专门针对传输过程中不被修改进行考量,手写电子签名方式同样需要有相应的规则支撑,以确认其属于可靠电子签名,从而获得真实性的认可,真实性的审查的重点和难点正在于此。
我国《电子签名法》的立法理念在安全保障与科技发展的平衡之间更倾向于后者,体现出对科技的包容与开放,而对于安全保障,则须由符合手写电子签名特质的相应共识规则与技术优化来协同解决。
(三)关联性:利用事前规则设置强化签名的关联性
电子签名自身并没有法律意义,只有其关联数据电文才可能具备法律上的证据效力。电子签名中的数字签名类型采用私钥加密、公钥解密规则,以认证机构权威性保障数据公文的指向,实质上是采取逆向判断机制以确定关联性,即私钥为电子签名人专有,故其不能抵赖经私钥加密发送的数据电文。与数字签名不同,手写电子签名与数据电文的关联性确认,则遵循传统纸质签名规则,依赖于手写电子签名本身进行身份识别并确定签名人对签署内容的认可。[3]
对于手写电子签名和其附着的数据电文的关联性审查,是需要以真实性为基础的,但同样还需要审视关联性因素。具体而言,在实现规则的设置中,需审视手写电子签名能否提供完整的关联性回溯,即手写电子签名能否直指其签署行为。相较于传统纸质签名,手写电子签名在证明关联性方面,虽失去了部分依赖于物理物质的信息,但也因电子信息技术而有了可供使用的独特手段,若能适当应用,则可以显著增强手写电子签名在确认关联性方面相较于传统签名的优势。例如,在文书类司法鉴定实践中,变造文书鉴定是极为常见的鉴定事项,检出是否存在变造相对较为容易,但关联性的判断却甚难;如通过裁切纸张,利用空白部位书写内容以借用签名的情形,通常需要文字形成时间鉴定才能在一定程度上揭示变造事实,但形成时间鉴定的可靠性在技术层面限制较大。而手写电子签名则可以通过合理的事前与事中规则设置,从始至终均不留任何变造、修改的空间,并可以通过附加额外信息来强化手写电子签名与数据电文的关联性。
然而,目前在实践中,多数已上线使用的手写电子签名的实现方式在关联性的考量上存在一定问题。例如,一种常见情况是通过密码调用签名图片粘贴于数据电文上“组成”签署文件,导致其所有最终文件的签名形态均是可以完全重叠的复制签名,使得签名与签署内容的指向性无法证明;另一种情况是虽将手写电子签名直接签名于特定文件,但以图片方式形成并附加于数据电文,如此也同样存在数据电文内容被篡改而无从识别的风险。
综上,对于以生物特征识别为基础的手写电子签名,虽然其本质上具有传承性更好、行为本身的关联性更强、可供变化的空间更大等优势,但真正要无风险地实现该优势并不容易,需要更系统、全局的框架设计,以及更加严谨、连贯的技术路线。手写电子签名的证据性审查应不仅局限于事后审查的基本思路,也应体现在手写电子签名形式的事前规则与事中行为模式中,以满足《电子签名法》立法要求的方案设计指导理念。
二、手写电子签名平台的现实意义及构建原则
(一)手写电子签名平台的现实意义
一方面,发挥手写电子签名的技术优势需要第三方平台协助实现。在各类电子签名中,手写电子签名的优势是明显的。习惯传承方面,手写电子签名顺应了人们以手写签名完成意思表达的固有习惯,具备合法性、合理性与便捷性;适用范围方面,手写电子签名基本没有限制,可以用于传统签名适用的几乎所有场景;技术方面,科技进步带来的变革效果也是可预期的,如远程签署、高效环保、安全可靠的实现均在逐步进展中。然而,手写电子签名的种种优势均须建立在严谨缜密的平台设计基础之上,并可以通过更进一步的技术研发,融入更紧密的行为人因素,才能切合信息社会的发展需求。
另一方面,实现手写电子签名相关的证据效力需要公证机构之外的中立平台。如前所述,依据《电子签名法》采用的功能等同原则及技术折衷立法路径,只要满足能识别电子签名人、能确认签名人对电文信息的认可这两项功能,则视同电子签名合法;只要满足电子签名制作数据的专有性、唯一可控性、防篡改性,则视同电子签名真实可靠。对功能和标准的确认,依赖于是否存在某中立第三方机构可以对手写电子签名的签署人主体资料、签名信息、电子时间戳等要素予以认证、管理及核实。部分国家将公证作为电子签名证据效力的增强方式,但公证机构的确证存在一定缺陷:其一,公证的作用主要来源于公信力,体现在对电子签名与数据电文形态的固化和见证,然而公证无法进行技术层面的认可与确证,即难以依靠公证来证明签名形成、储存、提取等过程中的风险管控流程和技术实现情况;其二,公证价格较贵,不太能普遍适用于涉及金额不足以值得付出公证成本的大多数日常交易。
因此,有必要建设第三方手写电子签名平台,以确认手写电子签名的合法性、真实性、关联性为构建目的,以容纳相应证明规则为确证效力为实现方式,以技术运用的融合为实现手段。
(二)手写电子签名平台的构建原则
1.明确平台主体和程序的合法性
首先,手写电子签名平台建设的主体应当是适格的主体。同数字证书提供者(CA认证机构)必须申请对应资质不同的是,手写电子签名实现平台在法律上并没有规定必须是何种类型的主体,也不需要特定的授权,但基于其提供服务的重要性,应当由主管部门从行政管理层面设定一定的主体资质条件,以强化其服务的权威性与可靠性。该类主体可以是独立的服务提供者,提供面向全社会的相应服务,如电商平台;也可以是与其主营业务配套的平台,如电信、银行等;还可以是政府机关、事业单位的办公、服务平台。
其次,平台的程序设定必须充分考虑使用者意愿并达到合法性要求。在使用意愿的合法性层面,根据《电子签名法》第13条“当事人也可以选择使用符合其约定的可靠条件的电子签名”的规定,平台的程序设定应依法充分尊重当事人的使用意愿,如当事人不愿意使用拟约定的电子签名方式时,应提供备选、替代方案,或允许当事人以较为便捷的方式转换平台,不可利用服务提供者的资源掌控优势或垄断地位而对当事人以势压人,迫其认可。在技术合法性层面,平台对手写电子签名的采集、复制、储存等程序必须达到《电子签名法》所要求的“可靠的电子签名”条件,并能够提供充足的、可提取的相应证据;在发生争议时,该等证据将作为手写电子签名证据审查的重点。
最后,相关主管部门应对该类平台的运营全程进行规范化指引。主管部门有必要从技术、程序与实体的统合适用层面,确保运营程序及其产出结果的合法合规性。在有必要的特定情况下,主管部门可以引导鉴定机构、公证机构等公信机构介入平台建设的特定环节,对手写电子签名进行固化证据以及强化签名效力。
2.注重多方平台的链接运用与协同联动
前述手写电子签名的合法性、真实性、关联性证明需求,以及手写电子签名对信息技术、计算机技术的高度依赖性,决定了能够营运手写电子签名的平台必须具备完备的体系,有必要将硬软件设备、运行流程、监督机制、争议解决机制等统一纳入平台建设的考量范畴。但是,并不一定所有的环节均由同一主体统一建设,有些环节由同一主体建设反而并不合理,充分利用现有社会资源有序搭建以实现效用的整体性是最为合理的选择。
其一,合理链接各类单位的日常管理系统。信息技术的高速发展,使全社会各领域、各环节均已基本形成管理、运行的信息网络系统。该等系统既可以是支撑手写电子签名得以实现的基础系统架构,同时也可以通过手写电子签名技术的融入实现全流程信息化改造,以解决“最后一米”距离不能抵达的困境。如目前各单位基本上均建有OA系统,交互性具有足够的保障,但识别性却远远不够;文件的签署或者采用调用预留签名图片的方式,或者直接粘贴印刷字符,均无法达到识别签名行为人的关联性要求。因此,如能通过合理链接各类单位现有的管理系统,达到手写电子签名在全社会的普及运用,不失为弥补电子签名信息技术整体结构性缺陷的理想途径:一方面,有益于在现有社会资源基础上,明晰手写电子签名相关应用的法律效力,减少相关法律纠纷;另一方面,在确保信息安全的前提下,有助于就现有签字信息构建技术层面的数据库,为手写电子签名识别、鉴定、认证、储存等关键技术提供研究资料与数据。
其二,与鉴定、公证、电子文件管理等应用平台形成协同联动。在目前的司法实践中,认定电子形式证据的要件之一是审查其保管链是否具备完整性,即证据自获取至提交法庭,其流转、安置与保管的沿革情况。实质上,此环环相扣的链式思维也对附着手写电子签名之数据电文的全过程管理提出了技术性要求。因此,在促进手写电子签名信息高效应用的整体视阈下,对手写电子签名第三方机构的构建应从管理与技术层面,充分考虑与电子文件管理系统的对接,以及前置或后置鉴定、公证等环节的对接便捷性。架构方面,应预先考虑实现与该类系统的技术衔接与兼容,使手写电子签名形成能够被实时固化,且能够确认跨系统传输、变更责任人、更新版本等关键动作的痕迹,以最大程度还原、记录某电子文件自形成到提交诉讼的过程中各环节的形态,并将其组织为司法实践中所认可的形式。
3.保障签名环节具有法律意义的唯一性
确认手写电子签名合法性、真实性与关联性的规则背后隐藏着对该签名是否具备“唯一性”的判断标准,有学者认为电子签名的技术本性使其不可能具有如传统书面手写签名一样的绝对唯一性。一方面,从技术层面上,电子签名不需要也不能实现物理意义的绝对唯一性,否则无法助益远程网络交易的开展;另一方面,从法律层面上,我国《电子签名法》所采用的功能等同原则使符合法定条件的电子签名产生法律意义的相对唯一性[4]以满足“唯一性”需求。因此,应当以保障手写电子签名环节具备法律意义上的唯一性,作为构建手写电子签名平台应实现的原则之一。
具体而言,保障手写电子签名环节的唯一性原则可以从以下几方面探究:一是签署的任何环节均必须保证唯一性,即确保手写电子签名仅由签名人制作及控制,并确保签署环境、签署数据存储、托管、提取等环节的安全性;二是确保签名人各次主动签署的唯一性,其每一次签名均是独立且可识别的;三是签名人所签署的对象是唯一对象(即便是群签,也是具有整体性的唯一),并可识别;四是可以产生具有原件性质的唯一不可修改的对象,并通过规则和机制予以保障,且能事后证明该唯一性;五是所有环节的关联性是唯一且可追溯的,如可以通过审计日志等方式有效排查程序篡改、非法入侵等异常现象。目前时间戳的应用是唯一性问题的解决方案之一,时间戳体现为一串字符序列,可以唯一性地标志某一时间;但目前市场上提供时间戳的服务机构如未能符合《电子签名法》中“电子认证服务提供者”的界定,则无法证明时间戳与文件签署者主体身份之关联性,法律效力存在局限性。
唯一性是证据基本属性审查的技术要求,也是应当由信息及计算机技术着力保证和实现的结构性因素,如前述任何一方面出现瑕疵,均可能导致证据采信存在障碍。唯一性原则的实现,依赖于技术路线设计合理程度和信息与计算机技术保障力度,其技术环节还可能触及专利等专属权利,有待进一步具体深入探讨。
三、结语
手写电子签名以其各方面优势拥有广阔的发展空间,在国家鼓励信息发展、促进产业转型、倡导资源节约和环境保护的政策支持下,社会资源在该领域的投入越来越多。鉴于手写电子签名的跨行业特点,以证据视角审视其要素,对引导其发展是适时且必要的。应将证据学、笔迹学与电子证据相关技术、方法相结合,并综合考虑手写电子签名应用现状及现有相关管理软硬件的运行情况,构建可以容纳相应证据规则的手写电子平台,以有效处理手写电子签名的专门性问题,满足诉讼证明活动的需要。