電子印章的效力和使用風險分析
作者:岳巍、劉昀東 2019-04-23一、背景:電子印章公共服務(wù)平臺上線
根據(jù)上海市人民政府的微信公眾號“上海發(fā)布”的消息,2019年4月11日起,“電子印章公共服務(wù)平臺”(網(wǎng)址:dzyz.sh.gov.cn,以下簡稱“平臺”)正式上線。平臺可以對電子印章和電子簽名進行包括申請、制作、備案、查詢、變更、注銷、凍結(jié)等全生命周期管理。
平臺將文件蓋章、簽名的流程移植到線上,意味著電子政務(wù)將進入一個新階段。試想一下,原本需使用實體印章或者本人簽署的紙質(zhì)文件變成可以使用電子印章簽署的電子文檔,那么傳輸方式也會從現(xiàn)場遞送、快遞寄送變成網(wǎng)絡(luò)傳輸。政府機構(gòu)的辦事效率會呈幾何級的提高,民眾也將充分這種變化帶來的便利性。
但是隨之而來的問題是,電子印章是否可靠?用電子印章簽署的文件是否具有法律效力?電子印章是否會被別人盜用?
為了嘗試解決以上疑惑,筆者特從法律角度分析下電子印章的效力和使用風險,以求使大家更放心地使用電子印章,同時注意降低使用風險,讓電子印章更好地完成提高效率的使命。
二、電子印章的概念
按照《上海市電子印章管理暫行辦法》第二條第一款的定義,電子印章,是可靠電子簽名的可視化表現(xiàn)形式,以密碼技術(shù)為核心,將數(shù)字證書、簽名密鑰與實物印章圖像有效綁定,用于實現(xiàn)各類電子文檔完整性、真實性和不可抵賴性的圖形化電子簽名制作數(shù)據(jù)。
具體表現(xiàn)形式如下(左為機構(gòu)電子印章,右為個人電子印章):
但上述兩圖并非真正的電子印章,只是為了提升電子印章的直觀化印象所顯示出來的電子印章圖像或者圖樣,是電子印章的組成部分之一。電子印章本質(zhì)上是數(shù)據(jù),如需獲得等同于蓋章、簽字的效力,必須經(jīng)過法定程序產(chǎn)生。
三、電子印章的效力
電子印章本質(zhì)上是數(shù)據(jù),也是電子簽名的一種表現(xiàn)形式,屬于《中華人民共和國電子簽名法》(“《電子簽名法》”)規(guī)定的“電子簽名”“數(shù)據(jù)電文”。而在獲得與蓋章、簽字的效力的意義上,需要將電子印章作為電子簽名看待,因此,電子印章如需產(chǎn)生法律效力,應(yīng)當符合《電子簽名法》對于電子簽名的效力規(guī)定。
1. 使用范圍
《電子簽名法》第三條第一款規(guī)定,民事活動中的合同或者其他文件、單證等文書,當事人可以約定使用或者不使用電子簽名、數(shù)據(jù)電文。
從以上條文可以看出,《電子簽名法》最初是用來規(guī)制民事領(lǐng)域的電子簽名行為的,且是“可以”約定使用或者不使用電子簽名,即當事人有權(quán)拒絕使用電子簽名。這里對于行政領(lǐng)域沒有明確規(guī)定——條文中的“民事活動”是僅僅修飾“合同”還是同樣修飾“其他文件、單證”是存在歧義的,但是至少并不直接禁止在行政領(lǐng)域使用電子簽名。因此可以認為,如果政府接受使用電子簽名[i],辦事人也愿意使用電子簽名,可以認定是與文書有關(guān)的當事人同意使用電子簽名,并不違反《電子簽名法》的規(guī)定。所以,在電子政務(wù)中使用電子印章是具有法律基礎(chǔ)的。
但還需要注意一點,《電子簽名法》第三條第三款規(guī)定了明確不可以使用電子簽名的文書,包括:(1)涉及婚姻、收養(yǎng)、繼承等人身關(guān)系的;(2)涉及土地、房屋等不動產(chǎn)權(quán)益轉(zhuǎn)讓的;(3)涉及停止供水、供熱、供氣、供電等公用事業(yè)服務(wù)的;(4)法律、行政法規(guī)規(guī)定的不適用電子文書的其他情形。
因此,在《電子簽名法》修改前,簽署上述文書仍不能使用電子簽名。
2. 有效要件
《電子簽名法》第十四條明確規(guī)定,可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力。《電子簽名法》第十三條規(guī)定了電子簽名生效的四個法定要件:(1)電子簽名制作數(shù)據(jù)用于電子簽名時,屬于電子簽名人專有;(2)簽署時電子簽名制作數(shù)據(jù)僅由電子簽名人控制;(3)簽署后對電子簽名的任何改動能夠被發(fā)現(xiàn);(4)簽署后對數(shù)據(jù)電文內(nèi)容和形式的任何改動能夠被發(fā)現(xiàn)。
值得注意的是,在法定要件外,存在使用意定要件的可能性——“當事人也可以選擇使用符合其約定的可靠條件的電子簽名。”
3. 平臺實現(xiàn)電子印章有效的方式
根據(jù)筆者的實測,平臺是通過以下幾個方面實現(xiàn)電子印章的“可靠性”:
第一,身份認證。平臺上提供了三種級別的認證方式,包括初級:身份證認證;中級:銀行卡認證或人臉識別驗證;高級:線下實名認證。而要使用電子印章,至少要完成中級認證。筆者使用的是銀行卡認證,輸入了真實身份證信息、銀行卡信息,并填寫了發(fā)送到筆者手機上的驗證碼后完成了認證。
這個過程實際是完成了證明“我”是“我”的過程,法律要求銀行開卡時(I類賬戶)完成線下身份認證,確認“我”是“我”,而戶名是我的真實姓名。平臺是在假定銀行已經(jīng)履行法定義務(wù)后,將注冊了平臺賬戶的這個“我”和開卡的“我”以及使用電話的“我”進行綁定。
第二,簽署驗證。在筆者上傳待簽署的PDF文件后,準備使用電子印章,這時候彈窗提示需要輸入發(fā)送到筆者手機上的驗證碼才能完成簽署動作。
第三,簽署。這個環(huán)節(jié)背后涉及大量的技術(shù),我在使用過程中無法直接感知,結(jié)果是生成了一份含有筆者電子印章的PDF文件,并提供下載。比起我上傳的PDF文件多了一個小圖形,如下:
單擊可以顯示驗證信息,里面的內(nèi)容顯示形式可能根據(jù)PDF閱讀軟件的區(qū)別略有差異,內(nèi)容可以參考平臺簡介“七、如何驗證簽署有效性”:
圖片來源:電子印章公共服務(wù)平臺(網(wǎng)址:http://dzyz.sh.gov.cn/login?code=3001004)
通過上述流程可以發(fā)現(xiàn),在只有“我”同時掌握身份證號、銀行卡號、手機的情況下,可以認定電子簽名制作數(shù)據(jù)用于電子簽名時,屬于“我”專有;簽署時電子簽名制作數(shù)據(jù)僅由“我”控制。而通過后臺的技術(shù)手段,使得簽署后對電子簽名的任何改動能夠被發(fā)現(xiàn);簽署后對數(shù)據(jù)電文內(nèi)容和形式的任何改動能夠被發(fā)現(xiàn)。從而滿足四項法定要件,完成了可靠的電子簽名,讓電子簽章產(chǎn)生了法律效力。
判斷是否滿足法定要件的依據(jù)就是圖上的“簽名屬性”,在筆者使用電子印章的文件中,簽名人是“劉昀東”,認證簽名人的“頒發(fā)者”是“SHECA Rapid”,如下圖所示:
SHECA即上海市數(shù)字證書認證中心有限公司(官網(wǎng)網(wǎng)址:www.sheca.com)。可以看到,上海市數(shù)字證書認證中心有限公司作為頒發(fā)者是知曉電子印章屬于“我”的第三方,由此可以推測出,第一步身份認證也是由該公司介入完成的。而PDF文件技術(shù)上可以實現(xiàn)在加上電子印章后如果有改動會在“簽名驗證狀態(tài)/簽名驗證結(jié)果”(或“簽名屬性”)中體現(xiàn)出來,如下所示:
通過Photoshop等工具加上的圖形無法單擊得出這樣的信息。即使真的是“我”自己用畫圖做出來的小圖形也無法作為可靠的電子簽名,因為無法區(qū)分是否為擁有同樣畫圖技術(shù)的第三人做的,更無法認定電子簽名制作數(shù)據(jù)用于電子簽名時,屬于“我”專有、僅由“我”控制。
此外,在有電子簽名的前提下,證明“我”是“我”的第三方也具有相應(yīng)資質(zhì)要求,只有符合《電子簽名法》《電子認證服務(wù)管理辦法》的規(guī)定,獲得《電子認證服務(wù)許可證》的第三方才是合格的認證機構(gòu)。
圖片來源:上海數(shù)字證書認證中心(網(wǎng)址:https://www.sheca.com/qualifications)
四、電子印章的使用風險及防范
雖然使用電子印章很方便,但也需要注意到相應(yīng)風險。與自己親筆簽名有被仿制筆跡且無法識別,自己的簽章有被他人盜用的風險一樣,使用電子印章也存在風險,筆者認為主要集中在以下三個環(huán)節(jié):
1. 身份認證階段被冒用
這種情形下,電子印章形式上是張三的,但是實際上是李四申請的。出現(xiàn)的原因可能是因為李四通過非法手段取得了張三的身份證,使用該身份證并且欺騙了銀行、通信運營商,從而辦理了銀行卡和手機sim卡,然后完成身份認證。之后利用以上非法手段獲得的電子印章進行使用。
2. 簽署驗證階段被冒用
這種情形下,電子印章是張三申請的,但是實際上是李四使用的。出現(xiàn)的原因可能是因為李四通過非法手段取得了張三的手機,并且知悉了張三的手機密碼,從而使用張三的手機登錄平臺,并且在使用電子印章簽署時還可以同步獲得驗證碼完成簽署。
3. 認證機構(gòu)失信
這是一種非常極端的情形,在這種情形下,認證機構(gòu)及其工作人員可能自行或者與他人勾結(jié)偽造電子印章,“簽名屬性”里的信息將無法信賴。
以上三種情形中,第3種有賴于政府監(jiān)管與認證機構(gòu)內(nèi)部管理,并非電子印章使用人可以控制的因素,但第1種和第2種都還存在通過電子印章使用人自身降低風險的可能性。比如注意保存重要證件及其信息、避免告知他人密碼及驗證碼、手機開機及平臺APP使用不同的密碼等,核心思想就是避免給他人冒用自己身份、盜用自己手機的機會。
此外,如果確實發(fā)生證件遺失、密碼泄露等情形,應(yīng)當及時掛失、重新設(shè)置密碼,以此證明使用電子印章時,電子印章并非屬于“我”專有、并非僅由“我”控制,不滿足“可靠的”法定要件,從而否定電子印章的效力,保護自己的合法權(quán)益。
五、小結(jié)
在可以預(yù)見的未來,電子印章的使用將大大方便我們的生活,政府在行政領(lǐng)域?qū)τ陔娮佑≌碌慕邮芨侵卮蟮谋忝衽e措。同時,在看到信息化的發(fā)展方向是不可逆的時代趨勢的時候,也要注意到相應(yīng)的風險——生活工作中越來越多的必須項可以被集成到小小的手機上,手機的遺失與密碼保存的不慎可能意味著巨大的損失。當然,筆者也相信,未來在身份真實性認證手段和電子印章使用時是否被冒用的判斷上,技術(shù)也會帶來更令人滿意的答案,可以拭目以待。
[i] 《上海市電子印章管理暫行辦法》第十六條 本市各類政務(wù)辦公、公共管理和社會公共服務(wù)活動可使用電子印章,對公文、證照、協(xié)議、憑據(jù)、流轉(zhuǎn)單等各類電子文檔進行簽章。
鼓勵自然人、法人和非法人組織在經(jīng)濟和社會活動領(lǐng)域中使用電子印章。
本市各級行政機關(guān)、履行公共管理和服務(wù)職能的事業(yè)單位不得拒絕電子印章的使用,法律法規(guī)規(guī)定不適用的情形除外
