一文概览美欧电子签名产业与法律合规

作者|e签宝  卜帆

美国关于电子签名的成文法主要有两部，一部是统一电子交易法案（UETA，Uniform Electronic Transactions Act），另一部是国际和国内贸易电子签名法案 (Esign Act, Electronic Signatures in Global and National Act)。

UETA由美国统一州法委员会（The National Conference of Commissioners on Uniform State Laws）于1999年起草，美国统一州法委员会是美国律师协会的附属机构，致力于为各州法律的统一提供建议、咨询和范本，目前，UETA已经被美国47个州所采纳[1]，还包括哥伦比亚特区、波多黎各和美属维京群岛。伊利诺伊州、纽约州和华盛顿州没有采用UETA范本。Esign Act于2000年通过美国联邦立法程序确立，适用于美国全境，具有优先于州法的效力（preemption）。但是，Esign Act的规定比较原则性，对于Esign Act没有涉及的内容，各州仍然适用UETA。

Esign Act和UETA的大部分条款相似，只是Esign Act多一些关于对消费者的披露和保护。关于电子签名的法律效力，两者作出的规定也比较类似，均有“签名、合同或记录不得仅因为其电子化的形式而被认定无效”的条款。两者都采取了“技术中心”（technologically neutral）的立法方式，没有对电子签名应采用的技术作出规定，并且Esign不允许各州强制要求必须使用某种电子签名技术（除了政府采购）。

但是，两部法律都规定了很多不适用电子签名的场景，如：

1）遗嘱及其修改、遗嘱信托；

2）收养、离婚及其他家庭法律事务；

3）在各州生效的《美国统一商法典》管辖的内容，除了放弃违约请求权、5000美元以上动产买卖、货物买卖和租赁。

4）法庭程序性文件；

5）公用事业（水、热、电）终止服务通知；

6）与个人主要住宅相关的信贷抵押或租赁协议的违约通知或救济等；

7）人寿保险合同的终止和取消；

8）关系到人身健康安全的产品召回、产品重大缺陷；

9）与有毒有害物质运输相关的文件[2]；

《美国统一商法典》也是美国统一州法委员会起草的，并且已经在美国绝大部分州得到了采纳[3]，根据Esign Act或UETA的规定，《美国统一商法典》规定的大部分商业场景都不适用电子签名或电子合同，如：银行存款/托收/支付/转账、信用证、仓单、提单、证券、担保交易等。由于Esign的第二部分规定了“可转让凭据”（Transferable Records ），因此，符合“可转让凭据”的电子商业票据与手写纸质商业票据效力等同。

美国国家远程通信和信息管理局（NTIA,National Telecommunication Information Administration）曾就Esign Act的不可适用情况进行了调研并给出了一份调研报告[4]，认为消费者对于仅凭电子媒体进行交易的信心仍不足，这些不可适用的情况仍有其合理性。

综上，美国的电子签名立法的特点是“技术中立”和“消费者保护”，电子签名的使用场景受到传统商事法律和司法习惯的限制。美国对于电子签名技术则采取“技术中立”的态度，并没有对不同安全程度的电子签名的法律有效性通过成文法的形式进行规定，主要交由司法程序来确定，美国社会对于其司法公正的信心比较强，美国有严格的民事证据举证和采纳规则（discovery & admission），且司法伪证和虚假陈述构成联邦刑事重罪，最高可判处5年监禁，因此美国公民在听证会、司法调查和审判过程中都不敢轻易说谎，也不会轻易否认电子签名的真实性。基于上述国情，美国的电子签名服务企业在电子签名的商业化应用中，并不太重视签署人的身份认证（attribution or authentication），往往不使用数字证书（digital certificate），一般的协议仅采用电子邮件的方式即可完成签署。

1、电子身份认证服务

在eIDAS的信任系统中，eID-Service指的是电子身份认证(electronic identification)，根据eIDAS的配套实施条例——欧盟 (EU) 2015/1502实施条例，电子身份认证分为三种可信级别（assurance levels）：低（low）、实质（substantial）和高（high）。实质级别以上的电子签名在欧盟成员国范围内应得到互认。

欧盟 (EU) 2015/1502实施条例在以下业务流程中都区分了低、实质和高三种不同可信级别需要达到的技术要求：申请和注册、自然人和法人身份核实、电子身份认证方式、认证方式的特点和设计方案、账号发送和激活、账号暂停/撤销/重新激活、更新/更换、核验方式、审计和合规。

2、数字证书机构

在eIDAS的信任系统中，Certification Authority指的是数字证书发放机构，简称CA。CA机构基于公钥密码体系（即PKI，public key infrastructure)原理，搭建了根服务器，并向经过身份认证的主体发放数字证书，持有数字证书的主体可以通过自己的私钥进行信息的加密发布。数字证书中包含了CA机构分配的公钥，信息接收方通过公钥可以把加密的信息解密出来。数字证书和所包含的公钥是否来自于CA机构，则可以通过从CA机构官网下载根证书来验证。数字证书常应用于网站的安全认证，当应用于电子签名时，需要与签名和印章生成机构（Signature & Seal Generation Service，简称SigS）进行配合，SigS可以为持有CA证书的主体生成电子签名或印章，当需要签名时，通过调用存储在Ukey或云端的用户私钥完成电子签名。

3、时间戳机构

时间戳机构（Time Stamping Authority，TSA）是确定文件签署时间的权威机构。这类机构一般通过接受文件或文件的hash值，再进行电子签署并发还的方式来确定文件的签署或生成时间。

4、电子签名和印章生成机构

电子签名和印章生成机构（Signature & Seal Generation Service，简称SigS），可以为经身份认证并持有数字证书的主体生成电子签名，这种电子签名可以是普通的，也可以是高级的（advanced electronic signature）,还可以是合格的（qualified electronic signature），其中，合格的电子签名应当使用符合eIDAS条例要求的三种格式：CAdES、XAdES和PAdES。只有使用这三种格式的电子签名才能在欧盟范围内的所有公权力机构中获得认可。

5、验证机构

通过电子签名和印章生成机构生成的签名和印章可以通过验证机构的验证服务（Validation Service，ValS）来核验有效性。验证机构可以使用eIDAS条例规定的可信服务列表（Trust Mark List），并按照实施条例 CID (EU) 2015/1506和ETSI TS 119 162(v2.1.1)作为验证锚点，对电子签名和印章的有效性进行验证并给出验证结论。

6、存证机构

无论何种存储介质，都需要确保签署的文件可以安全地被长期保存，这样才能确保其合法有效性和完整性。ETSI SR 019 510规定了电子签名和印章长期保存需要适用的技术要求。

 存证服务（Preservation Service,PresS)所实现的存证技术包括了证据记录，并且可以提升电子签名的法律有效性，因为存证服务能记录更多相关信息。

7、电子数据传输机构

在纸质书信时代，确保收件人已经接收到信函的方式之一就是采用挂号信的方式，挂号信是由邮政系统提供的服务。信函的触达和无篡改由邮政系统和邮递员来保障。而根据eIDAS条例，合格的电子挂号传输服务（qualified electronic registered delivery services）应满足以下要求：    

1） 传输服务应由可信服务提供商提供；

2）传输服务商应确保对发件人身份的认证是可靠的；

3）传输服务商应在发送电子数据前确定收件人的身份；

4）被传输和接收的数据应该是被高级电子签名或印章保护的数据，由合格可信的服务商提供，且任何篡改都能被发现；

5）为了实现传送和接收而需要对数据所做的任何修改都向数据的发送和接收方作出了提示；

6）数据及其发送和接收的时间、对数据的任何修改都由合格时间戳服务机构进行了标示；

以上机构中，唯一不需要Trust Mark的机构是电子签名和印章生成机构（SigS），其他机构都需要获得可信服务认证，其服务才能在欧盟范围内得到认可。下图是截止2020年5月份，欧盟所有获得Trust Mark的服务商数量：

2015年11月，Docusign收购了欧洲数据安全公司OpenTrust（现在 IDnomic）的电子签名业务，由此，Dousign具备了提供符合eIDAS要求的各类电子签名的能力，包括高级签名和合格签名（advanced and qualified）[6]。此外，Docusign还引入了可信服务供应商合作伙伴计划（ Trust Service Provider Partner，简称“TSP”），通过与IBM Intesa、Firmaprofesional、Athens Exchange、IDNow、QuickSign、Swisscom等进行合作，使Docusign签署时的身份认证方式多元化，也兼容了很多欧洲国家的电子身份管理体系[7]。对于欧盟要求的高级签名（AES）和合格签名（QES），Docusign提供了相应的产品来满足合规上的要求[8]。

注释：

[1]https://www.uniformlaws.org/committees/community-home?CommunityKey=2c04b76c-2b7d-4399-977e-d5876ba7e034

[2]https://uscode.house.gov/view.xhtml?path=/prelim@title15/chapter96&edition=prelim

[3]https://www.uniformlaws.org/committees/community-home?CommunityKey=6317f73b-badb-47b2-8a5a-58ee62032ba1

[4]https://www.ntia.doc.gov/report/2003/electronic-signatures-review-exceptions-electronic-signatures-global-and-national-commerce

[5]https://go.eid.as/#about

[6]https://www.docusign.com/learn/eidas-faq-understanding-eus-latest-electronic-signature-regulation

[7]https://www.docusign.com/how-it-works/electronic-signature/digital-signature

[8]https://support.docusign.com/en/guides/ndse-user-guide-sending-digital-certificates