發表於網路資訊二○○一年十二月號
一、前言
電子簽章法在眾人引頸期盼多時後,終於在今年十月底,經立法院三讀通過。過去在網路上傳遞訊息,或是利用網路進行交易時,訊息的傳遞一直有被他人在網路上攔截、窺視或竄改的風險,如何驗證訊息的正確性、完整性,是造成數位交易環境信心不足的原因之一;而網路上的交易,並不像一般面對面(face to face)的交易方式,若沒有適當的機制來輔助,買賣雙方都無辦法辨識、確認對方的真實身份,也常發生當事人否認交易的問題。
而電子簽章法最大的目的,就是希望透過賦予電子文件和電子簽章法律效力,建立可信賴的網路交易環境,確保能夠掌握某一資訊在網路傳輸過程中,是否遭到偽造、竄改或竊取,以保障資訊正確與完整性,並透過識別交易雙方身分,防止事後否認已完成交易的事實。以下即為讀者簡單介紹電子簽章法的立法重點,並進一步探討對產業可能帶來的影響與衝擊。
二、電子簽章法的立法重點
(一)處理電子文件與電子簽章的法律效力
在電子簽章法未通過之前,電子文件能否取代書面?電子簽章能否取代簽名、蓋章?而其在訴訟上、證據上效力為何?這些問題都會引起很大的爭議。由於在法律或行政命令要求必須用「書面」、「簽章」表示意思或是成立契約的場合,假如沒有遵守法律規定以書面表示意思或締結契約,這一個意思表示或所締結的契約就有無效的可能,而這種書面或蓋章的要求又無法透過網路傳遞電子資訊的方式滿足,有礙於網路交易環境的建立。
因此在電子簽章法通過後,如果要在網路上進行依據法律規定必須要以書面方式表示意思、締結契約或保存文件的行為時,只要透過當事人約定,而電子文件的內容又可以完整呈現,而且可在日後取出以供查驗,又沒有依法令或行政機關的公告排除適用的話,電子簽章與電子文件就可以取代傳統簽名、蓋章與書面,而可以發生一定的法律效力。
(二)電子簽章目前僅明確規定數位簽章技術
目前電子簽章法中,雖未限制電子簽章的技術,未來亦可能包括像是生物辨識技術等,但由於條文中僅規範數位簽章具有電子簽章的效力(參閱第九條、第十條),對於其他技術應如何處理,是否委由行政機關來判斷,未來勢必造成困擾。。
而所謂的數位簽章技術,乃是運用一種「非對稱密碼系統」(Asymmetic Cryptoraphy),以公開金鑰(public key)與私密金鑰(secret key)配對來運作,可供核對所傳遞資訊的正確性與完整性。再配合憑證機構(CA)的建置,可使私密金鑰持有者的實際身分獲得確認。就目前來說,RSA技術雖然是電子簽章技術的主流,未來亦不排除其他電子簽章相關技術的發展,但因為法律僅規範數位簽章可能會產生不利影響,值得業者注意。
(三)特別法令將嚴重影響電子簽章法的適用
由於法定書面要式的規範,有很多種立法目的,有些是為了實體法上證據考量;有些則是具備警示功能,使當事人在簽訂契約時有慎重考慮的機會;有些則是基於是為了便利主管機關之監督(例如證交法第十九條),又或者是為了達成一定公示的作用,或便於辦理登記等等不一而足。
電子簽章法第四條第三項、第六條第三項、第九條第二項,分別規定電子文件、電子文件保存、電子簽章的效力,在一些特定的法律行為,經過評估後,如果認為電子文件尚無法滿足該法定要式規範的立法目的時,例如法律規定書面要式具有一定的警示功能,或使當事人於作成法律行為時得以慎重考慮時都可以透過法令或行政機關的公告排除適用或另訂規定。此外,本法中對於電子文件、電子簽章等,為保留技術發展空間,有許多規定非常簡單,因此,可以預見行政機關的法令或公告,將實際操控電子簽章相關事宜。
(四)電子文件及簽章之適用以當事人同意為原則
電子文件、電子文件的保存、電子簽章要發生一定的法律效力,除了必須滿足電子簽章法所規定的條件外,在法律關係涉及雙方或多方當事人的時候,並不是當然的可以代替書面,而是必須透過當事人間的同意,才能發生取代書面或簽名的效力。因此,在設計電子式的交易流程時,最好在進入該電子文件,或電子簽章的個別訊息傳遞流程前,先出現關於雙方約定以電子文件或電子簽章作為表示方法的約定條款,供使用者點選後,再進行該項電子訊息的傳遞,才能發揮預期的效力。
(五)電子文件的收發文時間與地點之推定
在一般交易的情形,要約、承諾、通知等,什麼時候發出、什麼時候到達、從什麼地方發出,對於法律行為是否成立、生效、遲到及相關訴訟關係時,產生相當程度的影響。下表為依電子簽章法所決定之收發文時間及收發文地點。
| 發文時間 | 收文時間 | 收文地、發文地 | |
| 法律規定 | 依法律規定 | 依法律規定 | |
| 當事人約定 | 依當事人約定 | 依當事人約定 | |
| 未為任何約定 | 進入發文者無法控制資訊系統之時間 | 電子文件進入收文者資訊系統的時間 | 發文者執行業務之地;收文者執行業務之地(詳見第八條) |
| 已指定收受電子文件之資訊系統 | 送至指定之系統:以電子文件進入該系統的時間 | ||
| 非該指定之系統:收文者取出電子文件之時間 |
(六)憑證機構及管理
所謂的憑證機構(CA),在非對稱性的加密技術中,主要是扮演驗證某個私密金鑰所作成的電子簽章與某一公開金鑰間的對應關係,確認該電子簽章製作人的真實身份之角色。而電子簽章法於第十一條以下,詳細規範了憑證機構應該製作與公布憑證實務作業基準、憑證機構終止服務前應完成的措施、憑證機構因經營或提供認證服務所應負的賠償義務等等事項,並明確規定依外國法律組織、登記之憑證機構,在國際互惠及安全條件相當原則下,經主管機關許可,其簽發之憑證與本國憑證機構所簽發憑證具有相同之效力。
目前電子簽章法對於憑證機構的管理上,採取低度管理的規範原則,基本上是讓民間主導發展各項電子交易需要的電子認證服務及相關標準,讓市場機能自由運作,由業者自行協調並相互競爭。至於憑證機構與其使用者間的權利義務關係,則是依據契約自由原則,讓雙方依據契約來決定。
三、電子簽章法對於產業生態的衝擊
在電子簽章法通過之後,在網路上就可以進行更多的交易行為或是更多的意思表示,一些原先法規上要求必須親自簽名或蓋章、要求保留書面申請文件,以書面進行通知等等行為,就可以透過網站與使用者間的約定,以網頁上的click,或是e-mail來進行。而在網站上使用服務、進行交易或付款等流程中的授權、匯款,證明以及證據保全的程度都可以相應提高,也會更安全、更有保障。一些僅提供商品或服務提供者所經營網站的連結,而不直接成為商品或服務提供者的產業,譬如入口網站,也會因為電子商務的活躍而受惠。
(一)金融服務業
透過網路提供金融服務,會直接、間接涉及資金的移轉與變動,為慎重及便利主管機關的監督,並考慮網路交易安全環境的成熟度,有關書面文件、簽章的相關規定相當繁複。在電子簽章法通過之後,相關金融法令中,要求要以書面形式告知、簽訂契約或保存文書的情況,原則上,都可以透過當事人同意的方式,用電子文件取代書面。
譬如大家最熟悉的信用卡的申請(參照信用卡業務管理辦法第八條及第九條);銀行發行或銷售現金儲值卡時的告知義務;證券投資顧問事業與證券投資人簽訂的委任契約等等,都可能在電子簽章法通過之後,經過當事人約定以電子文件的方式來進行,而使得線上金融服務的市場更為活絡,甚至以後也有可能直接透過網路公開發行股票(參照證券交易法第三十條與第三十一條)。
但是,正因為金融服務業的法令管制最多,縱使電子簽章法通過,還是可能有許多限制,所以我們在這方面特別要密切注意是否有相關的法令或行政機關的公告,對個別事項排除適用,或另訂規定。
此外,電子簽章法並不是電子商務的萬靈丹,受限於一些行政法規或契約範本的規定,還是有些問題無法解決。譬如,在金融法規中,有時對於成立契約的方式或保存文書,有時候並不是僅僅要求書面而已。目前現行之證交所營業細則,證交所、期貨交易所頒布之受託契約準則,都規定證券經紀商或期貨商,在接受委託證券、期貨買賣或基金申購時,除非委託人約定的每日買賣最高額度不超過一百萬元,且不開立信用交易帳戶,都會要求受託人親持身份證正本或類似之身分證明文件,並在受託契約上當場簽章以辦理開戶;且目前證券或期貨交易的委託人,如果是以網際網路的方式委託時,證券經紀商或期貨商可以不製作或代填委託書,但是仍必須要列印買賣委託記錄,並還要經過經辦人員及部門主管簽章。只要這種要求沒有修正,縱使電子簽章法通過,仍舊不能方便契約的成立或文件的保存。
(二)網路零售商
目前網路上的一般消費、購物與交易,大部分本來就不屬於法令上要求必須要以書面方式進行的行為。所以電子簽章法的通過,在這塊領域上,最大的貢獻,應該是突破電子商務最大的障礙—安全與信任的關卡,有助於建立一個大家都比較可以安心與信賴的交易環境。
而關於有些法律行為必須要用書面方式完成,在電子簽章法通過之前,最大的問題是出在消費者保護法上。由於網路購物的交易型態,不論是學說或是實務都認為是屬於消費者保護法上的郵購買賣。而依據消費者保護法第十八條及施行細則第十六條的規定,企業經營者為郵購買賣或訪問買賣時,要對消費者履行一定的告知義務,更麻煩的是,還要取得消費者聲明已受前述事項告知之證明文件。
在電子簽章法通過後,透過網路與消費者進行交易行為時,網路商家只要在網站明顯處、或得以明確辨認之超連結選項等,標示出消保法十八條、十九條等相關事項,並讓消費者按下「已知悉上述重要事項」的對話方塊;若以e-mail的方式履行告知義務時,則可透過消費者回覆電子郵件來符合消費者保護法的要求。
至於憑證業者的責任,依據電子簽章法第十四條,如憑證機構因過失,對因其經營或提供認證服務之相關作業程序,致相信該憑證而受損害的善意第三人負擔賠償責任,但是如果憑證機構就憑證的使用範圍設有明確限制的時候,對於逾越該使用範圍所生之損害,就不負擔損害賠償責任。因此,網路商家在信賴消費者所簽發之數位簽章或憑證前,最好要先詳閱該憑證機構的實務作業準則,先確定該憑證機構對信賴憑證者所負之責任範圍以及對信賴者所負之責任上限(責任上限有可能會會依據各憑證等級而有不同)。此外並應查看該憑證機構的檔案庫,確定該憑證為有效且未經廢止或中止,然後再核驗該數位簽章是在憑證有限期間內,以與該憑證中所列之公開公開金鑰相對應之私密金鑰所產生,且該經數位簽章簽署之訊息未遭篡改,以免造成不必要的損失。
(三)適用個資法的行業
電腦處理個人資料保護法,是目前關於在網路上蒐集會員或使用者資訊的最重要規定,而個資法上,對於非公務機關從事個人資料之蒐集或電腦處理,除了要基於特定目的外,多半還要經過當事人書面同意才可進行;如果要在蒐集之特定目的的必要範圍外來進行個人資料的利用,除了符合少數的例外狀況外,也要求要經過當事人的書面同意才可以。在電子簽章法通過之後,由於電子文件與電子簽章可以取代書面以及簽名、蓋章,因此適用個資法的事業,譬如徵信業、電信業、金融業、證券業、保險業及大眾傳播業以及其他經法務部會同中央目的事業主管機關指定之事業、團體或個人,如果要直接在網路上進行個人資料的蒐集或處理,或者是要在原先蒐集的特定目的的範圍外進行利用,譬如將會員資料使用在與其他廠商的合作案裡,或是提供予其他廠商或彼此交換會員資料時,就可以透過服務條款的安排,與使用者約定透過網路上之click或電子郵件通知的方式,取代電腦處理個人資料保護法所規定之當事人書面同意,而進行個人資料之蒐集或處理,或者是原先蒐集之特定目的範圍外的利用。
四、結語
電子簽章法的通過,對於電子商務業者、電子憑證業者、金融業者,甚至資訊安全軟體等相關市場的開展,都具有指標性的意義,可以名正言順開始推廣透過網路進行交易的各種營運方式。然而,由於電子簽章法為了避免在技術尚未成熟時,將電子簽章的技術限定在數位簽章(RSA)技術,因此,在條文訂得相當簡易,主要是提供電子文件、電子簽章法律效力的依據。至於實際執行層面,不確定性仍然相當高,恐怕仍須再進一步觀察各行政機關行政命令規範的內容。相信短期內對於使用者數位交易環境信心的建立,有一定程度的貢獻,然而,如何將數位交易的市場擴及不熟悉網路交易型態的廣大族群,仍有待業者在推廣及技術提昇上的努力。
