在資訊如此發達的數位世界,現實中企業與政府的諸多作業程序,卻仍然停留在:簽名在紙上,以字跡的生物特徵,代表個人意思之表達。或以印章代表信物,用印代表授權與同意。兩千年前蔡倫造紙的方案,兩千年後仍被自詡為進步的現代人深信不疑。因為當同樣的場景,轉變成使用數位模式,數位檔案如何保留如同紙本天然的防偽、防變造、防竄改的特性?這在純粹以0101的數位架構時空中,那完全是另一個世界的故事了!
某則笑話:「在網際網路上沒人知道你其實是一條狗!」
我國《電子簽章法》立法至今已 20 餘年,當時電腦世代的時空背景與現今行動世代迥異,科技也經多次迭代而與現代大不相同。二十年未修的電子簽章舊法,已不符合時代潮流與社會需求,許多新興科技技術,因為舊法條文不明而明珠暗投的不計其數,連帶讓社會想拋開簽名與蓋章文化、邁向無紙化的期待也變得遙不可期!民間對這部「老爺級法律」修法早已殷殷企盼。
因緣際會,因《電子簽章法》管轄主管機關將從經濟部商業司轉至數位發展部轄下,《電子簽章法》修法開展了新契機,筆者與數位治理協會共同參與了幾場數發部修法公聽會,在此也想拋磚引玉,分享一些想法,望諸位先進不吝回饋。
《電子簽章法》20年未修很重要的原因,是因為它其實是部很有修改難度的法律,它不是只單純從法理觀點就可以修法解決問題,《電子簽章法》牽涉很多電子簽章,電子文件技術與與科技業界標準,更有甚者,它更涉及了最困難最複雜的網路數位身份驗證。
數位身份議題單單從系統角色就可以分成信物服務提供者 (Credential service provider)、身份註冊信任機構 (Registration authority)、身份驗證信賴服務機構 (Relying Party)、身份驗證信賴驗證機構(Verifier)、身份驗證信賴、服務第三方 (Trusted Third Party)、科技技術提供者(Technology Provider)、技術及服務驗證單位 (Technology and service auditing party),遑論還有位身分系統之法律框架、技術、體系結構和治理、資安保護、風險、保證等級等複雜的問題。
筆者過去因為參與衛福部「醫療同意書數位化試辦計畫」,計畫方案後來經法國 LeSwave 加速器推薦,參與以歐盟 elDAS 框架進行審核查驗技術架構之合規性與適法性。這個經歷讓筆者了解歐盟是如何處理這類同時事涉法律與技術的法案。歐盟 elDAS 框架不會僅止於法規面還會以科技技術標準、資安、資料加密與程序等面向來確認保證等級。
新《電子簽章法》修法方向在諸多專家學者建議討論下,如立法意旨、更明確區分電子簽章與數位簽章、電子簽章與電子文件的法律效力等,都更清楚說明闡釋;過去造成實務困擾最多的「必須經相對人同意」等條文,也都可能獲得修法改正;而讓許多政府機關無法使用電子簽名的「電子簽章排除適用條款」也規劃了落日終止時程;行政機關以須核對印跡,筆跡為由而排除的『逸脫條款』,在目前的草案也被改正。
這次《電子簽章法》修法如能順利經立法院通過,進步幅度已不可謂不大。但最可惜的,是在修法法條中未如歐盟在法條中明文定義保證等級的分級。
歐盟 elDAS 法案中,將電子簽章按照資安加密條件,採用的技術規格、標準與程序能是否能降低身份識別與資料被濫用的風險,對應個不同場景面臨風險所需求的保證等級,分為 BES(基本)、AES(進階)、與 QES(完整)三個不同等級;美國 NIST 數位身分指引(DigitalIdentity Guidelines)也分低、中、高三個等級。 ISO29115 國際標準則分成 LoA 1-4(Level of Assurance)四個信任等級。
各國法律會這樣分級的原因,是為了讓使用者可以依據本身需求及法遵要求,可以有跡可循地選擇不同效度保證等級的電子簽章技術方案。這樣也能讓各種不同電子技術方案可以自由地在在有明確的法律規範下被市場運用,進而促進整個電子簽章產業的發展。
對《電子簽章法》條訂出明確的保證等級分級,未來才不至於讓各界在使用不同之電子簽章技術法方案時產生適用與適法性的疑慮,同時也會避免因產品適用性與適法性模糊不清而產生糾紛。
因為各種電子簽章與電子文件在技術本質先天就有嚴謹度與保證效度不同的特性,而應用在各行各業,也有其風險高低或權利義務輕重之別。例如,企業日常公告傳簽適用的產品,就與企業法人申貸時所應用的場景不同。
如未明確分級適用制度,不僅應用上會讓對應法遵莫衷一是,如在高風險或重大權利義務的場合,卻採用了屬於本該是低保證效度的電子簽章方案,屆時產生的糾紛與或意外風險該由哪一方來承擔?
再者,如未在這次修法,依國際標準訂定分級,將來如何接軌國際?20年前的《電子簽章法》舊法,對於「數位簽章」以及憑證的管理應用辦法已相當清楚,反而大家最期待的是對「其他類型的電子簽章」,能有法律上更明確的說明與規範。
如今世界各國都在加速推行國際間電子簽章文件的往來性,例如 2021 年 12 月英國與新加坡已經簽定「數位經濟協定 DEA」,其中就規定兩國同意將貿易文件數位化,同意電子簽名的使用。
如這次修法沒有清楚的訂立保證等級分級,大家對於「其他類型的電子簽章」適法與適用的期待,恐會落空!也會讓這次修法帶來的實質社會進步程度受到質疑。
電子簽章事涉交易,契約,法律等權利義務之事務,吾人建議在法律的層級即將電子簽章定義保證等級分級。而效度分級建議同時參酌歐盟《電子簽章法》 elDAS,此框架在於電子文件及簽章技術標準有相對明確之規範,另外也同時採納 ISO29115 數位身份驗證強度級別(LoA,Level of Assurance)標準,與NIST之框架,對於數位身份之登錄、註冊、信物管理,及交易驗證等方面,訂定分級之標準。
elD 數位身份證推行功敗垂成,原先也有規畫使用電子簽章,但在數位化呼聲的同時,各界也同時反思站在數位化對立面,關心個資使用、個資保護,與後續衍生可能的資安的問題。數位浪潮下不可避免,未來 elD 數位身份證議題,未來勢必會再重啟,也會再次面對其中涉及《電子簽章法》的部分,建議政府把握此次修法的機會,如未能一次在修法條文建立保證等級分級制度,不妨可以仿效其他技術服務能量登錄制度,來建立電子簽章技術能量登度制度,並依照歐盟及其他國際框架,訂立保證等級分級制度,也為未來 elD 議題,甚至為因應未來 elDAS 2.0 的趨勢浪潮,奠立完善的基礎。
Comments