电⼦印章的效⼒和使⽤风险分析
⼀、背景:电⼦印章公共服务平台上线
根据上海市⼈民政府的“上海发布”的消息,2019年4⽉11⽇起,“电⼦印章公共服务平台”(⽹址:
v,以下简称“平台”)正式上线。平台可以对电⼦印章和电⼦签名进⾏包括申请、制作、备案、查询、变更、注销、冻结等全⽣命周期管理。
平台将⽂件盖章、签名的流程移植到线上,意味着电⼦政务将进⼊⼀个新阶段。试想⼀下,原本需使⽤实体印章或者本⼈签署的纸质⽂件变成可以使⽤电⼦印章签署的电⼦⽂档,那么传输⽅式也会从现场递送、快递寄送变成⽹络传输。政府机构的办事效率会呈⼏何级的提⾼,民众也将充分这种变化带来的便利性。
但是随之⽽来的问题是,电⼦印章是否可靠?⽤电⼦印章签署的⽂件是否具有法律效⼒?电⼦印章是否会被别⼈盗⽤?
为了尝试解决以上疑惑,笔者特从法律⾓度分析下电⼦印章的效⼒和使⽤风险,以求使⼤家更放⼼地使⽤电⼦印章,同时注意降低使⽤风险,让电⼦印章更好地完成提⾼效率的使命。
⼆、电⼦印章的概念
按照《上海市电⼦印章管理暂⾏办法》第⼆条第⼀款的定义,电⼦印章,是可靠电⼦签名的可视化表现形式,以密码技术为核⼼,将数字证书、签名密钥与实物印章图像有效绑定,⽤于实现各类电⼦⽂档完整性、真实性和不可抵赖性的图形化电⼦签名制作数据。
具体表现形式如下:
左为机构电⼦印章,右为个⼈电⼦印章
但上述两图并⾮真正的电⼦印章,只是为了提升电⼦印章的直观化印象所显⽰出来的电⼦印章图像或者图样,是电⼦印章的组成部分之⼀。电⼦印章本质上是数据,如需获得等同于盖章、签字的效⼒,必须经过法定程序产⽣。
三、电⼦印章的效⼒
电⼦印章本质上是数据,也是电⼦签名的⼀种表现形式,属于《中华⼈民共和国电⼦签名法》(“《电⼦签名法》”)规定的“电⼦签名”“数据电⽂”。⽽在获得与盖章、签字的效⼒的意义上,需要将电⼦印章作为电⼦签名看待,因此,电⼦印章如需产⽣法律效⼒,应当符合《电⼦签名法》对于电⼦签名的效⼒规定。
1. 使⽤范围
《电⼦签名法》第三条第⼀款规定:
民事活动中的合同或者其他⽂件、单证等⽂书,当事⼈可以约定使⽤或者不使⽤电⼦签名、数据电⽂。
从以上条⽂可以看出,《电⼦签名法》最初是⽤来规制民事领域的电⼦签名⾏为的,且是“可以”约定使⽤或者不使⽤电⼦签名,即当事⼈有权拒绝使⽤电⼦签名。这⾥对于⾏政领域没有明确规定——条⽂中的“民事活动”是仅仅修饰“合同”还是同样修饰“其他⽂件、单证”是存在歧义的,但是⾄少并不直接禁⽌在⾏政领域使⽤电⼦签名。因此可以认为,如果政府接受使⽤电⼦签名[i],办事⼈也愿意使⽤电⼦签名,可以认定是与⽂书有关的当事⼈同意使⽤电⼦签名,并不违反《电⼦签名法》的规定。所以,在电⼦政务中使⽤电⼦印章是具有法律基础的。
但还需要注意⼀点,《电⼦签名法》第三条第三款规定了明确不可以使⽤电⼦签名的⽂书,包括:(1)涉及婚姻、收养、继承等⼈⾝关系的;(2)涉及⼟地、房屋等不动产权益转让的;(3)涉及停⽌供⽔、供热、供⽓、供电等公⽤事业服务的;(4)法律、⾏政法规规定的不适⽤电⼦⽂书的其他情形。
因此,在《电⼦签名法》修改前,签署上述⽂书仍不能使⽤电⼦签名。
2. 有效要件
《电⼦签名法》第⼗四条明确规定,可靠的电⼦签名与⼿写签名或者盖章具有同等的法律效⼒。《电⼦签名法》第⼗三条规定了电⼦签名⽣效的四个法定要件:(1)电⼦签名制作数据⽤于电⼦签名时,属于电⼦签名⼈专有;(2)签署时电⼦签名制作数据仅由电⼦签名⼈控制;(3)签署后对电⼦签名的任何改动能够被发现;(4)签署后对数据电⽂内容和形式的任何改动能够被发现。
值得注意的是,在法定要件外,存在使⽤意定要件的可能性——“当事⼈也可以选择使⽤符合其约定的可靠条件的电⼦签名。”
3. 平台实现电⼦印章有效的⽅式
根据笔者的实测,平台是通过以下⼏个⽅⾯实现电⼦印章的“可靠性”:
第⼀,⾝份认证。平台上提供了三种级别的认证⽅式,包括初级:⾝份证认证;中级:银⾏卡认证或⼈脸识别验证;⾼级:线下实名认证。⽽要使⽤电⼦印章,⾄少要完成中级认证。笔者使⽤的是银⾏卡认证,输⼊了真实⾝份证信息、银⾏卡信息,并填写了发送到笔者⼿机上的验证码后完成了认证。
这个过程实际是完成了证明“我”是“我”的过程,法律要求银⾏开卡时(I类账户)完成线下⾝份认证,确认“我”是“我”,⽽户名是我的真实姓名。平台是在假定银⾏已经履⾏法定义务后,将注册了平台账户的
这个“我”和开卡的“我”以及使⽤电话的“我”进⾏绑定。
第⼆,签署验证。在笔者上传待签署的PDF⽂件后,准备使⽤电⼦印章,这时候弹窗提⽰需要输⼊发送到笔者⼿机上的验证码才能完成签署动作。
第三,签署。这个环节背后涉及⼤量的技术,我在使⽤过程中⽆法直接感知,结果是⽣成了⼀份含有笔者电⼦印章的PDF⽂件,并提供下载。⽐起我上传的PDF⽂件多了⼀个⼩图形,如下:
单击可以显⽰验证信息,⾥⾯的内容显⽰形式可能根据PDF阅读软件的区别略有差异,内容可以参考平台简介“七、如何验证签署有效性”:
通过上述流程可以发现,在只有“我”同时掌握⾝份证号、银⾏卡号、⼿机的情况下,可以认定电⼦签名制作数据⽤于电⼦签名时,属于“我”专有;签署时电⼦签名制作数据仅由“我”控制。⽽通过后台的技术⼿段,使得签署后对电⼦签名的任何改动能够被发现;签署后对数据电⽂内容和形式的任何改动能够被发现。从⽽满⾜四项法定要件,完成了可靠的电⼦签名,让电⼦签章产⽣了法律效⼒。
判断是否满⾜法定要件的依据就是图上的“签名属性”,在笔者使⽤电⼦印章的⽂件中,签名⼈是“刘昀东”,认证签名⼈的“颁发者”是“SHECA Rapid”,如下图所⽰:
SHECA即上海市数字证书认证中⼼有限公司(官⽹⽹址:www.sheca)。可以看到,上海市数字
证书认证中⼼有限公司作为颁发者是知晓电⼦印章属于“我”的第三⽅,由此可以推测出,第⼀步⾝份认证也是由该公司介⼊完成的。⽽PDF⽂件技术上可以实现在加上电⼦印章后如果有改动会在“签名验证状态/签名验证结果”(或“签名属性”)中体现出来,如下所⽰:
通过Photoshop等⼯具加上的图形⽆法单击得出这样的信息。即使真的是“我”⾃⼰⽤画图做出来的⼩图形也⽆法作为可靠的电⼦签名,因为⽆法区分是否为拥有同样画图技术的第三⼈做的,更⽆法认定电⼦签名制作数据⽤于电⼦签名时,属于“我”专有、仅由“我”控制。
此外,在有电⼦签名的前提下,证明“我”是“我”的第三⽅也具有相应资质要求,只有符合《电⼦签名法》《电⼦认证服务管理办法》的规定,获得《电⼦认证服务许可证》的第三⽅才是合格的认证机构。
管理办法》的规定,获得《电⼦认证服务许可证》的第三⽅才是合格的认证机构。
四、电⼦印章的使⽤风险及防范
虽然使⽤电⼦印章很⽅便,但也需要注意到相应风险。与⾃⼰亲笔签名有被仿制笔迹且⽆法识别,⾃⼰的签章有被他⼈盗⽤的风险⼀样,使⽤电⼦印章也存在风险,笔者认为主要集中在以下三个环节:
1. ⾝份认证阶段被冒⽤
这种情形下,电⼦印章形式上是张三的,但是实际上是李四申请的。出现的原因可能是因为李四通过⾮法⼿段取得了张三的⾝份证,使⽤该⾝份证并且欺骗了银⾏、通信运营商,从⽽办理了银⾏卡和⼿机sim卡,然后完成⾝份认证。之后利⽤以上⾮法⼿段获得的电⼦印章进⾏使⽤。
2. 签署验证阶段被冒⽤
这种情形下,电⼦印章是张三申请的,但是实际上是李四使⽤的。出现的原因可能是因为李四通过⾮法⼿段取得了张三的⼿机,并且知悉了张三的⼿机密码,从⽽使⽤张三的⼿机登录平台,并且在使⽤电⼦印章签署时还可以同步获得验证码完成签署。
3. 认证机构失信
银行卡和手机绑定这是⼀种⾮常极端的情形,在这种情形下,认证机构及其⼯作⼈员可能⾃⾏或者与他⼈勾结伪造电⼦印章,“签名属性”⾥的信息将⽆法信赖。
以上三种情形中,第3种有赖于政府监管与认证机构内部管理,并⾮电⼦印章使⽤⼈可以控制的因素,但第1种和第2种都还存在通过电⼦印章使⽤⼈⾃⾝降低风险的可能性。⽐如注意保存重要证件及其信息、避免告知他⼈密码及验证码、⼿机开机及平台APP使⽤不同的密码等,核⼼思想就是避免给他⼈冒⽤⾃⼰⾝份、盗⽤⾃⼰⼿机的机会。
此外,如果确实发⽣证件遗失、密码泄露等情形,应当及时挂失、重新设置密码,以此证明使⽤电⼦印章时,电⼦印章并⾮属于“我”专有、并⾮仅由“我”控制,不满⾜“可靠的”法定要件,从⽽否定电⼦印章的效⼒,保护⾃⼰的合法权益。
五、⼩结
在可以预见的未来,电⼦印章的使⽤将⼤⼤⽅便我们的⽣活,政府在⾏政领域对于电⼦印章的接受更是重⼤的便民举措。同时,在看到信息化的发展⽅向是不可逆的时代趋势的时候,也要注意到相应的风险——⽣活⼯作中越来越多的必须项可以被集成到⼩⼩的⼿机上,⼿机的遗失与密码保存的不慎可能意味着巨⼤的损失。当然,笔者也相信,未来在⾝份真实性认证⼿段和电⼦印章使⽤时是否被冒⽤的判断上,技术也会带来更令⼈满意的答案,可以拭⽬以待。
[1] 《上海市电⼦印章管理暂⾏办法》第⼗六条本市各类政务办公、公共管理和社会公共服务活动可使⽤电⼦印章,对公⽂、证照、协议、凭据、流转单等各类电⼦⽂档进⾏签章。
⿎励⾃然⼈、法⼈和⾮法⼈组织在经济和社会活动领域中使⽤电⼦印章。
本市各级⾏政机关、履⾏公共管理和服务职能的事业单位不得拒绝电⼦印章的使⽤,法律法规规定不适⽤的情形除外。