一文概覽美歐電子簽名產業與法律合規

作者|e簽寶  蔔帆

美國關於電子簽名的成文法主要有兩部，一部是統一電子交易法案（UETA，Uniform Electronic Transactions Act），另一部是國際和國內貿易電子簽名法案 (Esign Act, Electronic Signatures in Global and National Act)。

UETA由美國統一州法委員會（The National Conference of Commissioners on Uniform State Laws）於1999年起草，美國統一州法委員會是美國律師協會的附屬機構，致力於為各州法律的統一提供建議、諮詢和範本，目前，UETA已經被美國47個州所采納[1]，還包括哥倫比亞特區、波多黎各和美屬維京群島。伊利諾伊州、紐約州和華盛頓州沒有采用UETA範本。Esign Act於2000年通過美國聯邦立法程序確立，適用於美國全境，具有優先於州法的效力（preemption）。但是，Esign Act的規定比較原則性，對於Esign Act沒有涉及的內容，各州仍然適用UETA。

Esign Act和UETA的大部分條款相似，只是Esign Act多一些關於對消費者的披露和保護。關於電子簽名的法律效力，兩者作出的規定也比較類似，均有“簽名、合同或記錄不得僅因為其電子化的形式而被認定無效”的條款。兩者都采取了“技術中心”（technologically neutral）的立法方式，沒有對電子簽名應采用的技術作出規定，並且Esign不允許各州強制要求必須使用某種電子簽名技術（除了政府采購）。

但是，兩部法律都規定了很多不適用電子簽名的場景，如：

1）遺囑及其修改、遺囑信托；

2）收養、離婚及其他家庭法律事務；

3）在各州生效的《美國統一商法典》管轄的內容，除了放棄違約請求權、5000美元以上動產買賣、貨物買賣和租賃。

4）法庭程序性文件；

5）公用事業（水、熱、電）終止服務通知；

6）與個人主要住宅相關的信貸抵押或租賃協議的違約通知或救濟等；

7）人壽保險合同的終止和取消；

8）關系到人身健康安全的產品召回、產品重大缺陷；

9）與有毒有害物質運輸相關的文件[2]；

《美國統一商法典》也是美國統一州法委員會起草的，並且已經在美國絕大部分州得到了采納[3]，根據Esign Act或UETA的規定，《美國統一商法典》規定的大部分商業場景都不適用電子簽名或電子合同，如：銀行存款/托收/支付/轉賬、信用證、倉單、提單、證券、擔保交易等。由於Esign的第二部分規定了“可轉讓憑據”（Transferable Records ），因此，符合“可轉讓憑據”的電子商業票據與手寫紙質商業票據效力等同。

美國國家遠程通信和信息管理局（NTIA,National Telecommunication Information Administration）曾就Esign Act的不可適用情況進行了調研並給出了一份調研報告[4]，認為消費者對於僅憑電子媒體進行交易的信心仍不足，這些不可適用的情況仍有其合理性。

綜上，美國的電子簽名立法的特點是“技術中立”和“消費者保護”，電子簽名的使用場景受到傳統商事法律和司法習慣的限制。美國對於電子簽名技術則采取“技術中立”的態度，並沒有對不同安全程度的電子簽名的法律有效性通過成文法的形式進行規定，主要交由司法程序來確定，美國社會對於其司法公正的信心比較強，美國有嚴格的民事證據舉證和采納規則（discovery & admission），且司法偽證和虛假陳述構成聯邦刑事重罪，最高可判處5年監禁，因此美國公民在聽證會、司法調查和審判過程中都不敢輕易說謊，也不會輕易否認電子簽名的真實性。基於上述國情，美國的電子簽名服務企業在電子簽名的商業化應用中，並不太重視簽署人的身份認證（attribution or authentication），往往不使用數字證書（digital certificate），一般的協議僅采用電子郵件的方式即可完成簽署。

1、電子身份認證服務

在eIDAS的信任系統中，eID-Service指的是電子身份認證(electronic identification)，根據eIDAS的配套實施條例——歐盟 (EU) 2015/1502實施條例，電子身份認證分為三種可信級別（assurance levels）：低（low）、實質（substantial）和高（high）。實質級別以上的電子簽名在歐盟成員國範圍內應得到互認。

歐盟 (EU) 2015/1502實施條例在以下業務流程中都區分了低、實質和高三種不同可信級別需要達到的技術要求：申請和注冊、自然人和法人身份核實、電子身份認證方式、認證方式的特點和設計方案、賬號發送和激活、賬號暫停/撤銷/重新激活、更新/更換、核驗方式、審計和合規。

2、數字證書機構

在eIDAS的信任系統中，Certification Authority指的是數字證書發放機構，簡稱CA。CA機構基於公鑰密碼體系（即PKI，public key infrastructure)原理，搭建了根服務器，並向經過身份認證的主體發放數字證書，持有數字證書的主體可以通過自己的私鑰進行信息的加密發布。數字證書中包含了CA機構分配的公鑰，信息接收方通過公鑰可以把加密的信息解密出來。數字證書和所包含的公鑰是否來自於CA機構，則可以通過從CA機構官網下載根證書來驗證。數字證書常應用於網站的安全認證，當應用於電子簽名時，需要與簽名和印章生成機構（Signature & Seal Generation Service，簡稱SigS）進行配合，SigS可以為持有CA證書的主體生成電子簽名或印章，當需要簽名時，通過調用存儲在Ukey或雲端的用戶私鑰完成電子簽名。

3、時間戳機構

時間戳機構（Time Stamping Authority，TSA）是確定文件簽署時間的權威機構。這類機構一般通過接受文件或文件的hash值，再進行電子簽署並發還的方式來確定文件的簽署或生成時間。

4、電子簽名和印章生成機構

電子簽名和印章生成機構（Signature & Seal Generation Service，簡稱SigS），可以為經身份認證並持有數字證書的主體生成電子簽名，這種電子簽名可以是普通的，也可以是高級的（advanced electronic signature）,還可以是合格的（qualified electronic signature），其中，合格的電子簽名應當使用符合eIDAS條例要求的三種格式：CAdES、XAdES和PAdES。只有使用這三種格式的電子簽名才能在歐盟範圍內的所有公權力機構中獲得認可。

5、驗證機構

通過電子簽名和印章生成機構生成的簽名和印章可以通過驗證機構的驗證服務（Validation Service，ValS）來核驗有效性。驗證機構可以使用eIDAS條例規定的可信服務列表（Trust Mark List），並按照實施條例 CID (EU) 2015/1506和ETSI TS 119 162(v2.1.1)作為驗證錨點，對電子簽名和印章的有效性進行驗證並給出驗證結論。

6、存證機構

無論何種存儲介質，都需要確保簽署的文件可以安全地被長期保存，這樣才能確保其合法有效性和完整性。ETSI SR 019 510規定了電子簽名和印章長期保存需要適用的技術要求。

 存證服務（Preservation Service,PresS)所實現的存證技術包括了證據記錄，並且可以提升電子簽名的法律有效性，因為存證服務能記錄更多相關信息。

7、電子數據傳輸機構

在紙質書信時代，確保收件人已經接收到信函的方式之一就是采用掛號信的方式，掛號信是由郵政系統提供的服務。信函的觸達和無篡改由郵政系統和郵遞員來保障。而根據eIDAS條例，合格的電子掛號傳輸服務（qualified electronic registered delivery services）應滿足以下要求：    

1） 傳輸服務應由可信服務提供商提供；

2）傳輸服務商應確保對發件人身份的認證是可靠的；

3）傳輸服務商應在發送電子數據前確定收件人的身份；

4）被傳輸和接收的數據應該是被高級電子簽名或印章保護的數據，由合格可信的服務商提供，且任何篡改都能被發現；

5）為了實現傳送和接收而需要對數據所做的任何修改都向數據的發送和接收方作出了提示；

6）數據及其發送和接收的時間、對數據的任何修改都由合格時間戳服務機構進行了標示；

以上機構中，唯一不需要Trust Mark的機構是電子簽名和印章生成機構（SigS），其他機構都需要獲得可信服務認證，其服務才能在歐盟範圍內得到認可。下圖是截止2020年5月份，歐盟所有獲得Trust Mark的服務商數量：

2015年11月，Docusign收購了歐洲數據安全公司OpenTrust（現在 IDnomic）的電子簽名業務，由此，Dousign具備了提供符合eIDAS要求的各類電子簽名的能力，包括高級簽名和合格簽名（advanced and qualified）[6]。此外，Docusign還引入了可信服務供應商合作夥伴計劃（ Trust Service Provider Partner，簡稱“TSP”），通過與IBM Intesa、Firmaprofesional、Athens Exchange、IDNow、QuickSign、Swisscom等進行合作，使Docusign簽署時的身份認證方式多元化，也兼容了很多歐洲國家的電子身份管理體系[7]。對於歐盟要求的高級簽名（AES）和合格簽名（QES），Docusign提供了相應的產品來滿足合規上的要求[8]。

注釋：

[1]https://www.uniformlaws.org/committees/community-home?CommunityKey=2c04b76c-2b7d-4399-977e-d5876ba7e034

[2]https://uscode.house.gov/view.xhtml?path=/prelim@title15/chapter96&edition=prelim

[3]https://www.uniformlaws.org/committees/community-home?CommunityKey=6317f73b-badb-47b2-8a5a-58ee62032ba1

[4]https://www.ntia.doc.gov/report/2003/electronic-signatures-review-exceptions-electronic-signatures-global-and-national-commerce

[5]https://go.eid.as/#about

[6]https://www.docusign.com/learn/eidas-faq-understanding-eus-latest-electronic-signature-regulation

[7]https://www.docusign.com/how-it-works/electronic-signature/digital-signature

[8]https://support.docusign.com/en/guides/ndse-user-guide-sending-digital-certificates