电子签名平台不会告诉你的：合法有效电子签名应当包含哪些要素

一、乱象丛生的电子签名行业

在互联网和数字经济蓬勃发展的今天,电子签名技术越来越广泛地运用到互联网金融、电子商务、电子合同、电子公文流转、旅游、O2O、物流、租房、物联网、区块链等诸多领域,用以保证电子数据或者权利义务的主体性、完整性和时间性。

相应地,也带来了巨大的问题,例如2018年,就有多名互联网金融用户在网络中联名向工信部部长实名举报某些知名电子签名企业,说他们在电子签名的制作和使用过程中,存在身份核验把关不严,代用户签名的事实,造成了互联网金融等合同所签非所人的严重后果。

电子签名的使用,关乎用户的重大权利义务,必须规范化,如果不规范化,那就是“皇帝的新衣”,自己骗自己,出了事儿,悔之晚矣。

那么,我们平时所用到的电子签名,是可靠的吗?是符合法律规定的吗?真被提交到了法院,会被法院所认可法律效力吗?一个合法有效的电子签名,究竟应包含哪些要素?

“法123”公众号将通过本文对电子签名的重要细节正本清源,给用户和司法裁判者做出参考,还原电子签名确认身份、记录事实、意思表示的本真。

二、电子签名的核心作用

签名在民法中是一个主体在做出意思表示时候用笔写下自己的名字,承认某种法律上的效果的行为。

《合同法》第10条和11条规定,订立合同可以口头、书面或者其他形式,而书面形式就包括合同书、信件和数据电文(包括电报、电传、传真、电子数据交换和电子邮件)等可以有形地表现所载内容的形式。

因此,签名的本意是确定主体的真实且自由之意思表示,它并不限定某种技术,可以是手写签名、也可以是发微信、短信、电子邮件、也可以是点头,也可以是电子签名,只要能保证两点:

确认表达意思表示的主体的身份;

把意思表示所愿意受到约束的内容给固定下来,那么这就构成了意思表示的基本要件。

三、可靠电子签名需要满足的条件

鉴于在法律上,电子签名是签名的下位概念,因此《电子签名法》第34条进一步明确了电子签名也应具备传统签名的基本功能:确定主体、固定内容。

然而就好比利刃可以切肉,钝刀可以斩骨一样,电子签名技术是中立的,只有可靠不可靠之分,至于合法有效性评价,不同场景评价的标准不同,这只能交由立法者、执法者和司法者来评价。因此电子签名法在立法过程中,也秉持了技术色彩。

《电子签名法》第13条规定了可靠的电子签名有四个条件:

一、私钥签名人专有;

二、签署时,私钥归签名人控制;

三、签署后对电子签名的任何改动能够被发现;

四、签署后,对数据电文的任何改变能够被发现。

当事人也可以选择使用符合其约定的可靠条件的电子签名。

四、可靠电子签名应当包含的要素

根据之前所述,合法有效是一种主要由立法者、执法者和法院基于法律的评价。

当前市场的很多诸如自建CA、身份核验把关不严、私钥云托管、委托第三方代为签署等方案,因其存在瑕疵,那么当进入合法性评价环节,就容易导致法律效力缺陷,不被认可。

那么“法123”公众号将实务中一个完备的电子签名所包含的要素,重点阐述,以期能够促进电子签名行业能够规范发展,真正解决实际问题。

1.电子签名数字证书的颁发单位如提供第三方认证服务,应具有CA资质

1)自建CA从事电子签名服务,有没有法律效力?《电子签名法》第16条规定,电子签名需要第三方认证的,由依法设立的电子认证服务提供者提供认证服务。第18条规定,从事电子认证服务,应当向工信部申请CA牌照。

根据“法123”公众号从工信部官网查询,现在工信部总共颁发了40余张CA牌照。但是很遗憾很多政府部门和企业却知法犯法,在他们颁发的CA中,如果您仔细查阅其数字证书的颁发单位,却不在工信部的CA牌照名录中。

诚然,这些政府部门和公司自建CA的行为,并不当然违反法律,因为根据《电子签名法》第13条,可靠电子签名的条件可以由当事人之间的互认,同时根据《电子签名法》第16、18条,电子签名如不需要第三方认证,此时则电子签名数字证书的颁发单位,法理上可不具有CA牌照。

但是电子签名行业的规范化发展,必须有规矩,无规矩不成方圆,政府部门也应该带头做出表率,而不是带头违反法律。根据对《电子签名法》的解读,理论上自建CA只能在自己的系统内部使用,而不能向社会第三方提供服务,很多垂直管理的政府部门和企业自建CA就是在打《电子签名法》的擦边球,国家监管部门也睁一只眼闭一只眼,不予处罚,进一步加剧了电子签名行业的乱象。

2)电子签名集成公司与CA公司只进行PKI技术合作,身份核验把关不严,有没有法律效力?