一文揭穿電子印章的老底:關于我國電子印章的效力依據分析
作者:林先海、陸瀅伊 2018-04-24引言:工商內檔引發的疑慮
在項目盡職調查過程中,我們經常會碰到項目公司使用企業的“U盾”等法人一證通設備登錄電子政務系統下載、打印加蓋工商部門電子印章的企業工商內檔并提供企業工商內檔打印件;而負責項目盡職調查的律師或者項目經理經常會疑惑通過這種途徑獲取的企業工商內檔打印件是否有效,能否證明是工商部門提供的工商內檔資料?其實這個疑惑的根源在于電子印章[注:本文討論的電子印章限于企業使用的電子印章]的效力依據,本文將從理論角度對此進行追根溯源。
一、電子印章基本釋義:理論基礎及本質
我國自古以來便將印章作為一種重要的取信方式,電子印章與傳統印章具有相同的理論基礎,卻有不同的本質。
1、電子印章是與傳統印章具有相同的理論基礎:取信制度
取信制度是民商事交易中的重要制度,包括: ①確定取信方式;②認可取信效果。取信方式多種多樣,例如古代的簽字、畫押、官印,現代的簽字、蓋章、摁手印;取信效果包括兩方面: ①識別簽署主體身份;②表明簽署主體認可相關內容。取信方式的確定需要以獲得取信效果為宗旨,取信效果的獲得需要取信方式的保障,同時在法治社會還需要法律的保障和認可。因此,以國家強制力保證實施的法律確定取信方式、認可取信效果并保障取信效果實現便是現代取信制度的核心理論。
傳統印章自古以來便是我國重要的取信方式,20世紀末21世紀初隨著計算機技術對傳統交易的影響,我國逐步確定了電子簽名(含電子印章)作為取信方式。無論是傳統印章還是電子印章均是以取信制度作為理論基礎。目前我國傳統印章依靠《合同法》等法律法規確定傳統印章作為取信方式(確定取信方式)、認可使用傳統印章的取信效果(認可取信效果)并約束傳統印章不可隨意偽造(保障取信效果)。目前我國電子印章則依靠《電子簽名法》等法律法規確定電子印章作為取信方式(確定取信方式)、認可電子印章的取信效果(認可取信效果)并約束電子簽名技術以保障電子印章的安全可靠(保障取信效果)。
2、電子印章與傳統印章有著本質區別:電子印章是電子數據
傳統印章一般具有兩層含義:①圖章;②圖章印出的痕跡。在日常交易過程中,人們會將電子印章等同于上述第②層含義的傳統印章。對電子印章的這種看法是不準確的。
電子印章是電子簽名的一種形式。根據我國《電子簽名法》,電子簽名“是指數據電文中以電子形式所含、所附用于識別簽名人身份并表明簽名人認可其中內容的數據”。可見,電子簽名(含電子印章)的本質是電子數據,且這種電子數據需具備①識別簽名人身份和②表明簽名人認可相關內容的取信效果。
因傳統印章的使用歷史悠久,為契合人們加蓋傳統印章的傳統交易習慣和視覺體驗,在制作使用電子印章時便使用技術手段模擬了傳統印章加蓋痕跡,而這種符合視覺體驗的加蓋痕跡并不單獨具備取信效果,電子印章的取信效果還需要依靠計算機技術產生的其他電子數據予以保障。
3、電子印章的效力依據:技術依據和法律依據
綜上分析,電子印章的效力依據主要包括技術依據和法律依據,法律依據包括效力認可依據和效力保障依據;以技術依據確定取信方式,以效力認可依據認可取信效果,以效力保障依據保障取信效果。下文將對此詳細分析。
二、電子印章效力的技術依據:數字簽名技術
根據我國《電子簽名法》,“可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力。”同時,我國《電子簽名法》規定了可靠的電子簽名是指同時符合下列條件(以下統稱“四要素”)的電子簽名:“(一)電子簽名制作數據用于電子簽名時,屬于電子簽名人專有;(二)簽署時電子簽名制作數據僅由電子簽名人控制;(三)簽署后對電子簽名的任何改動能夠被發現;(四)簽署后對數據電文內容和形式的任何改動能夠被發現。”
目前可以確保實現可靠電子簽名的技術很多,包括數字簽名技術、生物識別技術等。電子印章一般采用的是第三方認證的數字簽名技術。
1、數字簽名技術原理:數據摘要技術與非對稱密鑰技術
根據我國數字簽名技術相關規范(以下統稱“《技術規范》”)及實踐操作,數字簽名電子數據形成的基本過程如下圖所示(以企業A加蓋電子印章為例):
上圖是企業A將其審閱認可的電子文檔加蓋電子印章形成簽名結果的基本過程,具體步驟如下:
①在使用數字簽名前,企業A需向電子認證服務機構申請數字證書,電子認證服務機構核實確認企業A的身份后向其頒發數字證書,數字證書包含企業A的身份信息及數字簽名密鑰對中的公鑰。
②企業A將經過其審閱認可的電子文檔進行一次信息摘要算法,得到電子文檔的摘要值。
③企業A使用自己的私鑰(一般存放在U盾中),對該摘要值進行加密,得到信息摘要的密文,該密文僅可使用數字證書中企業A的公鑰進行解密。
④摘要密文與數字證書一起打包附在電子文檔中并在電子文檔中添加實體印章形狀圖片,便形成了最終的簽名結果,簽名結果一般為pdf格式電子文檔。
目前電子印章在企業登記等電子政務以及招投標、電子發票、電子病例、電子合同等民事交易中已有普遍應用,其基本原理均與上圖類似。
電子印章用到的關鍵技術是:①數據摘要技術;②非對稱密鑰技術。其中,數據摘要技術的主要作用在于運用摘要算法得到電子文檔的摘要值且該摘要值是唯一的,電子文檔的任何改動均會導致同一算法得到摘要值的變動,目前國際上普遍使用的算法類型是美國國家安全局(NSA)設計的SHA-1算法,我國國家密碼管理局也提出了國產SM3算法標準;非對稱密鑰技術的主要作用在于加密者將摘要值用其私鑰進行加密得到摘要密文,該密文僅可通過加密者提供的公鑰進行解密,目前國際上普遍使用的算法類型是美國國家安全局(NSA)設計的RSA算法,我國國家密碼管理局也提出了國產SM2算法標準。目前對于這兩項技術進行具體介紹的文章比較多,此處不再贅述,不過需要強調一點,技術的可靠性不是永恒的,隨著計算機技術的發展,確保可靠電子簽名的技術也要不斷升級。
2、數字簽名技術效果:滿足四要素并實現取信效果
接收企業簽名結果文件的交易主體可以通過專業軟件或電子認證服務機構網站對企業簽名結果文件進行驗證,以判斷其是否真實,數字簽名技術可以保障電子印章為可靠電子簽名并達到取信效果。
(1)形式效果:滿足可靠電子簽名四要素
①企業向電子認證服務機構申請電子印章數字證書時,電子認證服務機構核實身份后會向企業頒發包含企業信息的數字證書,該數字證書為企業專有,可以識別企業身份,符合“電子簽名制作數據用于電子簽名時,屬于電子簽名人專有”的要素;
②電子認證服務機構一般將數字證書等電子印章制作數據存儲在不可進行數據復制的U盾中頒發給企業,并對U盾設置使用密碼,U盾里的電子簽名制作數據為企業控制,符合“簽署時電子簽名制作數據僅由電子簽名人控制”的要素;
③企業使用U盾對其認可的電子文檔加蓋電子印章時使用了非對稱密鑰技術,如摘要密文被第三人修改后重新加密,則數字證書中的公鑰無法對此解密,如數字證書被更換,則企業身份信息變化可被識別,符合“簽署后對電子簽名的任何改動能夠被發現”的要素;
④企業使用U盾對其認可的電子文檔加蓋電子印章時使用了數據摘要技術,如電子文檔被修改,則對該電子文檔進行計算得到的摘要與電子簽名數據中企業加密的摘要不一致,由此可以判斷電子文檔被修改,符合“簽署后對數據電文內容和形式的任何改動能夠被發現”的要素。
(2)實質效果:實現取信效果
①非對稱密鑰技術實現了以可以解密的公鑰確定主體身份;
②數據摘要技術以摘要值的未變動確定主體認可電子文檔內容。
三、電子印章效力的法律依據:效力認可依據及效力保障依據
為確保電子印章的效力,需要在法律法規從效力認可和效力保障兩個角度做出相應的規定。
(一)效力認可依據:法律及地方性規定
我國對于電子印章效力認可的規定主要是認可電子簽名效力的法律,此外,多數地方性規定對電子印章做出了專門規定。
1、電子印章主要效力認可依據:法律規定
(1)《合同法》
法律規定:第三十二條當事人采用合同書形式訂立合同的,自雙方當事人簽字或者蓋章時合同成立。
解析:我國《合同法》認可簽字和加蓋傳統印章在合同簽署時的效力。
(2)《電子簽名法》
法律規定:第十四條可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力。
解析:我國《電子簽名法》認可了可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力。
2、電子印章專門效力認可依據:地方性規定
我國各地省市對電子公文類電子印章做出的專門規定較多,但是實質內容基本一致,基本都是對電子印章的效力進行再次明確,但是部分地方性規定同時也明確了電子印章相關電子文件打印件的效力,本文僅對不同類別電子文件打印件的效力相關規定進行舉例列示。
(1)認可規定方式打印而成的打印件的效力
法規規定:《三亞市電子印章管理暫行辦法》第四條:“加蓋電子公章的電子公文與加蓋實物公章的紙質公文具有同等法律效力。通過認證并按照規定打印而成的紙質公文具有公文的法律效力,但電子公文其他方式的打印稿、復印稿或經任何形式的電子格式轉換稿不具備相同的法律效力。”
解析:根據該規定,通過認證并按規定打印的電子公文打印稿具有法律效力,其他任何形式的打印件沒有法律效力。但是,對于事實發生的電子公文打印稿而言,如何判斷其是通過規定形式打印的還是通過其他形式打印的,在實踐中可能具有一定難度。
(2)不認可打印件效力法規規定:
法律規定:《普陀區教育系統電子印章和電子簽名管理使用的規定》(上海市)第四條:“加蓋電子印章及電子簽名的電子公文與加蓋實物印章的紙質公文具有同等法律效力。但該電子公文的打印稿、復印稿或經任何形式的電子格式轉換稿,不具備相同法律效力。”
解析:該規定直接否認了一切形式電子公文打印稿的法律效力,僅認可電子形式電子公文的法律效力。
(二)效力保障依據:行政法規、部門規章及技術規范
目前我國對于電子簽名(含電子印章)效力保障的相關規定主要是規范數字簽名服務的行政法規、部門規章及指引數字簽名技術標準的技術規范。[當然,我國電子簽名的效力保障機制尚有不斷完善的空間,這里不做深入探討。]
1、數字簽名服務規范:行政法規、部門規章
法規名稱:《電子認證服務管理辦法》、《商用密碼管理條例》、《電子認證服務密碼管理辦法》。
主要內容及解析:上述法規規范了數字簽名中電子認證服務機構的電子簽名使用者身份認證、電子認證服務密碼規范使用等電子認證服務義務。該等法規對電子簽名中的身份確認及技術保障具有重要作用。
2、數字簽名技術標準:技術規范
規范名稱:《證書認證系統密碼及其相關安全技術規范》、《信息安全技術 公鑰基礎設施 基于數字證書的可靠電子簽名生成及驗證技術要求》、《信息安全技術 公鑰基礎設施 電子簽名格式規范》、《信息安全技術 SM2橢圓曲線公鑰密碼算法 第2部分:數字簽名算法》、《信息安全技術 SM3密碼雜湊算法》、《信息安全技術 公鑰基礎設施 XML數字簽名語法與處理規范》等。
主要內容及解析:上述技術規范主要規定了數字簽名技術用到的相關數字證書基礎設施標準、數據摘要算法標準以及非對稱密鑰算法標準。目前,我國國家密碼管理局認為美國國家安全局(NSA)設計的算法正在逐漸失去安全性,鼓勵各服務機構及相關企業使用我國國家密碼管理局提出的相關算法標準。該等技術規范對電子簽名的技術保障具有重要作用。
四、結語:電子印章打印件的效力分析
綜上分析,我國電子印章本質上屬于電子數據,在數字簽名技術的技術保障和我國法律法規的效力認可和效力保障前提下,符合規定形式的可靠電子印章與傳統印章具有同等法律效力。但是,電子印章打印件是否有效呢?這也決定著“引言”中所述工商內檔的打印件是否有效?
電子印章的打印件是指電子印章的簽名結果中顯示的與傳統印章痕跡相似的圖像的打印件(以下簡稱“打印件”),打印件一般被認定為電子印章的復制件[注:當然,學術界對于這個問題也存在不同的學說,這里我們不做深入探討]。電子印章的本質是電子數據,而打印件并不是電子數據,打印件容易通過PS等圖片處理技術進行偽造,沒法獲得識別簽署主體身份和表明簽署主體認可相關內容的取信效果,因此,打印件不能單獨具有與傳統印章相同的法律效力,這也與前文提及的電子印章地方性規定相關內容相契合。附含電子印章打印件的電子文件打印件與附含電子印章的有效電子文件內容完全一致,方可依據電子文件的效力認可電子文件打印件的效力。對于引言中提及的工商內檔,項目公司如僅向律師或項目經理提供工商內檔的打印件,則存在律師或項目經理事后無法證明其效力的風險,律師或項目經理應要求該項目公司同步提供附含工商部門電子印章的工商內檔電子文件(一般為pdf格式)。
