作者/ 位艳玲 何锡川(北京云亭律师事务所)
电子签名,在《中华人民共和国电子签名法》(下称“《电子签名法》”)中的概念是数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。数据电文,是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。通俗来讲,电子签名就是电子形式的签名。其功能主要体现在两方面:一方面在于识别、确认签名人本人的身份,另一方面用于说明电子数据内容已经签名人确认。电子签名因其效率高、成本低、安全性高等特点,已被大众所熟知,并已经得到广泛运用。相应的,司法实践中出现大量纠纷涉及认定电子签名的法律效力。目前,电子签名大多出现在合同纠纷中,其法律效力也得到认可。然而,电子签名的法律效力得到司法确认并不代表在任何案件中任何形式的电子签名都会被当然认定为“有效”。
由于电子签名有较高的技术门槛,同时对其篡改具有较高隐秘性的特点,在司法实务中,尤其在著作权权属、侵权纠纷案件中,在没有其他相关合同履行证据以佐证的情况下,依据《电子签名法》等确立的标准判断电子签名的效力时,仍然缺乏统一标准。下文通过研究天津自由贸易试验区人民法院针对著作权侵权纠纷案件所作判决、并结合多地法院在其它纠纷案件中对电子签名可靠性的判断,结合电子签名的逻辑框架、技术原理,以期为著作权权属、侵权纠纷案件中判定涉案作品作者授权合同所用电子签名的可靠性提供思路。
根据《民法典》第四百六十九条,当事人订立合同,可以采用书面形式、口头形式或者其他形式。书面形式是合同书、信件、电报、电传、传真等可以有形地表现所载内容的形式。以电子数据交换、电子邮件等方式能够有形地表现所载内容,并可以随时调取查用的数据电文,视为书面形式。根据《电子签名法》第二条第一款,电子签名是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。可见,电子签名是数据电文的一种体现形式,带有电子签名的电子合同亦是民法典所规定的合同的一种书面形式。
根据《民事诉讼法》第六十六条第一款[1]、《最高人民法院关于适用<中华人民共和国民事诉讼法>的解释》(法释〔2020〕20号)第一百一十六条第二款[2]的规定可知,从证据分类角度来说,电子签名属于“电子数据”。根据民事诉讼证据规则,当事人应向法庭提供原件或原物。而电子数据证据的原件是最初生成电子数据及其首先固定的存储介质,若严格按照《民事诉讼法》的相关要求,法院认可电子签名效力的第一步就是提供符合要求的原件,而提供电子签名的原件会大大增加成本、降低效率,这将与使用电子签名的初衷相悖。所以在证据形式方面,《电子签名法》为实践提供了更为高效可行的变通之法,即《电子签名法》第五条规定:“符合下列条件的数据电文,视为满足法律、法规规定的原件形式要求:(一)能够有效地表现所载内容并可供随时调取查用;(二)能够可靠地保证自最终形成时起,内容保持完整、未被更改。但是,在数据电文上增加背书以及数据交换、储存和显示过程中发生的形式变化不影响数据电文的完整性。”
如此一来,发生纠纷时费时费力地向法院提供电子签名的“原件”就不再是必要之举。
目前,在著作权权属、侵权纠纷案件中,针对可靠电子签名这一问题仍缺少生效判决以确定司法实践的统一判定标准。
天津自由贸易试验区人民法院率先在天津某科技有限公司诉北京某科技有限公司等侵害作品信息网络传播权纠纷一案[3]中(下称“天津侵害信网权案件”),认定涉案作品作者的电子签名是可靠的,进而认定了涉案电子合同的有效性。虽然该判决尚未生效,但为著作权权属、侵权纠纷案件当事人在日后纠纷中证明可靠电子签名提供了指引。根据该案确定的规则,要证明电子签名可靠需要提交的证据链至少应当包含:有资质的电子认证服务机构颁发的数字证书、签字时签名人的鉴别方式、可信时间戳、哈希值验证一致。
在天津侵害信网权案件中,原告天津某科技有限公司获得涉案作品著作权和相关维权权利的授权源自作者与其所签电子合同,该案认定原告所获授权情况的关键就在于作者电子签名的可靠性。原告为证明作者电子签名的可靠性,提交了由提供电子签名服务的第三方公司深圳法大大网络科技有限公司(下称“法大大”)出具的《数字证书技术报告》,该报告包含了:涉案电子签名的CA数字证书信息、签名时间戳信息、电子签名签署验证信息、数据电文是否被篡改的验证信息。其中,数字证书包含了证书序列号、证书持有人、证书颁发机构、签名人姓名、身份证号等信息;签署验证信息包含签署验证方式、签署验证所使用的手机号、验证码、验证结果等信息;签名时间戳信息包含签名双方分别签署的时间;数据电文是否被篡改的验证信息包含法大大将电子签名签署之日(2020年7月6日)其存证平台的数据电文与案件起诉后当事人申请验证之日(2021年10月20日)出证平台接收到的数据电文的哈希值进行对比、结果一致的结论。
法院认为,通过原告提交的《数字证书技术报告》对于存证技术、证明内容、验证过程的描述,对电子签名数字证书情况的详细记载和说明,以及对存证与出证数据电文哈希值一致的记载可知,涉案合作协议签署前对协议双方主体情况进行了相应核实,涉案《文学作品合作协议》等文件的签订真实存在。结合原告提交的涉案作品的身份证复印件、《文学作品合作协议》等文件中对涉案作品作者手机号、银行卡号和笔名等特定信息的记载,亦能证明涉案作品作者主体真实存在,以及其将涉案作品授权的真实性。
除此之外,重庆市渝中区人民法院在重庆某公司与张某某金融借款合同纠纷案[4]、天津市河北区人民法院在刘某与唐某某民间借贷纠纷案[5]、湖北省武汉市武昌区人民法院在上海某公司与张某某民间借贷纠纷[6]中,都采用了与天津自由贸易试验区人民法院相同的认定标准,即皆因当事人提交了相关证据证明涉案电子签名的CA数字证书信息、签名时间戳信息、电子签名签署验证信息、数据电文是否被篡改的验证信息,认定当事人在法大大网站进行数字签名的数据电文属于不可篡改的数字签名文件,进而认定了电子合同的效力。
下文将根据法律等对可靠电子签名的相关规定,并结合可靠电子签名的逻辑框架、技术原理,简要分析法院认定可靠电子签名的证据要件的充分性和必要性。
《电子签名法》第十三条:“电子签名同时符合下列条件的,视为可靠的电子签名:(一)电子签名制作数据用于电子签名时,属于电子签名人专有;(二)签署时电子签名制作数据仅由电子签名人控制;(三)签署后对电子签名的任何改动能够被发现;(四)签署后对数据电文内容和形式的任何改动能够被发现。当事人也可以选择使用符合其约定的可靠条件的电子签名。”第十四条:“可靠的电子签名与手写签名或者盖章具有同等的法律效力。”根据上述规定再结合《最高人民法院关于互联网法院审理案件若干问题的规定》(法释〔2018〕16号)第十一条[7]的规定可知,与手写签名或盖章具有同等法律效力的电子签名需要满足三大要件,即电子签名与签名人本人唯一对应;签署数据电文是签名人的真实意思表示;签署后电子签名本身和数据电文完整、不可被篡改。由上述法律、司法解释相关规定得出的可靠电子签名的要件仍然比较抽象,实践中到底何种形式的电子签名可以被认定为可靠,仍然没有得到解决。对此,目前国家推荐性标准为司法实践中证明可靠电子签名提供了有更具操作性意义的思路。《信息安全技术公钥基础设施 基于数字证书的可靠电子签名生成及验证技术要求》(GB/T 35285-2017)中规定,实现可靠电子签名主要涉及六个对象:电子认证服务提供者、电子签名人的身份、电子签名相关数据、签名生成模块、电子签名生成过程与应用程序、电子签名验证过程与应用程序。根据该标准,保证生成可靠电子签名的逻辑起点就是由电子认证服务提供者为电子签名人提供证书注册、证书生成、证书发布、证书撤销、时间戳等满足相应的安全要求的服务;电子签名人的身份通过电子认证服务提供者颁发的有效证书、符合安全要求的电子签名生成过程与应用程序、电子签名验证过程与应用程序可实现有效鉴别;电子签名相关数据、签名生成模块需要由提供电子签名服务的平台保证其符合安全要求。虽然《电子签名法》没有规定采用某种特定的技术,但以目前国际上比较公认、技术成熟的技术来看,主要是基于数字证书的电子签名技术。实现可靠电子签名包含生成可靠和经验证可靠两个过程,即电子签名人创建可靠电子签名和相关收件人验证收到的电子签名确为可靠。其逻辑框架就是电子签名人的通过计算机将与其唯一对应的签名数据通过某种算法处理附加在原始待签数据电文上,在保证数据传输私密、不会被篡改的前提下,将附带有签名的数据电文发送给相关需要验证的收件人;收件人在收到签名文件需要验证时,再通过某种算法处理,将收到的文件与原始文件的作对比,若收到的文件与原始文件一致,则电子签名可靠,反之,则不可靠。图注:基于数字证书的可靠电子签名生成及验证逻辑框架[8]根据我国《电子签名法》对可靠电子签名的相关规定,可靠电子签名首先需要满足的是实现电子签名人与电子签名的唯一对应,即完成身份认证。由前述生成可靠电子签名的逻辑框架可知,签名人生成可靠电子签名其实就是通过某种特殊的算法处理待签文件。在这种特殊算法中需要用到与签名人唯一对应的密钥(即私钥),经过该种算法处理后的文件就是“已签文件”。该“已签文件”通过网络传输给收件人,收件人收到“已签文件”后需要验证该文件是否在传输过程中遭人篡改,此时就需要用到与签名人唯一对应的另一密钥(即公钥),该公钥与签名人创建签名时所用私钥唯一对应。由于签名人所用私钥不对外公开,在没有任何信用第三方提供相关信用背书的情况下,收件人无法证明其验证“已签文件”时所用公钥确实是来自于签字人本人。这个问题体现在司法实践中,就是一个普通主体在不提供任何第三方认证的情况下很难证明电子签名数据与签名人唯一对应,因该证据存在瑕疵导致电子签名未能得到法院认可的案例并不少见。例如,在江西省上饶市中级人民法院审理的杜某与章某某民间借贷纠纷案[9]、江苏省南京市中级人民法院审理杜某与江苏某公司服务合同纠纷案[10]、广东省韶关市中级人民法院审理的萍乡某公司与吴某某国内非涉外仲裁裁决纠纷案[11]、辽宁省沈阳市中级人民法院审理的广州某公司与被执行人高某仲裁裁决纠纷执行案[12]中,法院均以根据现有证据无法确认电子签名数据与签名人的唯一对应性为由,否认了电子签名的效力。目前,通过依法设立的有认证资格的电子认证服务提供者提供的认证即CA认证是解决该问题的有效方案。与企业等使用印章之前需要在公安机关备案以实现公章和法人唯一对应类似,在电子签名领域,电子签名人通过向电子认证服务机构申请数字证书获得身份认证,可以保证其电子签名与其本人唯一对应。公安机关属于国家机关,有国家信用做担保,相应的,只有取得认证资格的电子认证服务提供者才能提供电子认证服务,其颁发的用于认证签名人身份的数字证书才能达到“可靠”的程度。所以,要想为电子签名验明真身,提供有资质的电子认证服务机构颁发的数字证书就是第一步。第二步,要判定数据电文中附有的电子签名是否可靠,还需要确定“签署数据电文是否是签名人的真实意思表示”。为保证签名人签署确系其真实意思表示,在提交前述证书以验明真身之外,签署平台一般会提供两种方式:一是基于知识的签名人鉴别(如PIN码或口令),二是基于生物特征的签名人鉴别[13]。例如签名人需要提供其手机接收的验证码,或者进行人脸识别以保证是其本人操作。苏州市吴江区人民法院在江苏吴江农村商业银行股份有限公司与姜一朱金融借款合同纠纷一案[14]中认为,“被告姜一朱在原告农商行柜面申请办理开通的USBKey动态口令令牌属于被告姜一朱专有;根据易贷通产品手机银行版主要操作流程,在使用手机银行版'市民易贷通’时,APP页面显示的'挑战码’仅被告姜一朱可见,可以推定根据'挑战码’在USBKey动态口令令牌获取的'动态口令’用于签署数据电文时仅由其控制,签署后不存在对电子签名的改动的功能,且由于其随时可在APP中查看数据电文的内容,因此签署后对数据电文内容和形式的任何改动能够被发现。据此,本院认定被告姜一朱使用USBKey动态口令令牌在手机银行版'市民易贷通’申请贷款并对合同内容确认的行为系可靠的电子签名,与手写签名或者盖章具有同等的法律效力。”在证据足以证明签名与签名人唯一对应、签名确系签字人真实意思表示之后,要证明电子签名可靠就需要提交证据以证明“签署后电子签名本身和数据电文完整、不可被篡改”。电子签名本身和所签数据电文的不易被篡改是电子签名最为重要和突出的特点,在保证已签文件确系签字人本人出自其真实意愿所签之后,关于相关数据未被篡改的证明其实就是提供电子签名验证可靠的证据。对于签名人所签电子合同内容是否被篡改,通常通过比对相关数据通过哈希函数(hash-function,也译作“杂凑函数”)处理得到的哈希值(hash-code,也译作“杂凑值”)来确认。哈希函数算法是通过将单向数学函数应用到任意数量的数据所得到的固定大小的结果。如果输入数据中有变化,则最终得到的哈希值也会发生变化。要找到哈希值相同的两个不同的输入,在计算上是不可能的。[15]正是因为这样的特点,数据的哈希值可以检验数据的完整性,并常常用来判断两个文件是否相同。当应用到电子签名验证领域时,只需要把经过签字人签字运算的文件的哈希值与原始待签文件的哈希值进行对比,如果相同,则可证明已签文件未遭篡改,即已签文件是签名人在原始待签文件上签名的真实意思表示,且已签文件在传输过程中安全、未被篡改。在对电子签名的实际应用中,电子签名的签署时间也是至关重要的,对于电子签名来说,签名本身及数据电文的形成时间及固定也是用于判定是否被篡改的重要因素。时间戳是一种使用数字签名技术产生的数据,签名的对象包括了原始文件信息、签名参数、签名时间等信息。时间戳机构对此对象进行数字签名产生时间戳,以证明原始文件在签名时间之前已经存在。[16]所以,司法实践中可靠电子签名的证据中应当包含时间戳内容。结合各地法院判决,根据电子签名的相关法律规定及逻辑框架、技术原理,在著作权权属、侵权纠纷案件中判定涉案作品作者授权所用电子签名是否可靠时,主张电子签名有效的被授权方应该向法院提供的证据至少应包含以下内容:有资质的电子认证服务机构颁发的数字证书、签字时签名人的鉴别方式、可信时间戳、哈希值验证一致。综上所述,电子签名作为认定电子合同效力的重要因素,司法实践中各地法院的接受度越来越高。在没有其它合同实际履行的证据能够进行佐证的情况下,当事人只要能够提交有资质的电子认证服务机构颁发的数字证书、电子签名时签名人的鉴别方式、可信时间戳、哈希值验证一致等直接证据或含有上述信息的第三方数据报告,在对方未能提出有效的相反证据进行抗辩时,电子签名的效力基本能够得到法院认可。在互联网行业繁荣发展的背景下,各类涉及电子签名效力的合同或侵权纠纷均可能在互联网领域内与司法审判产生新的联系,相信随着此类案件审判实践的积累及法律法规的完善,司法机关会逐渐形成更加明确统一的裁判思路。
[1]《中华人民共和国民事诉讼法》第六十六条:“证据包括:(一)当事人的陈述;(二)书证;(三)物证;(四)视听资料;(五)电子数据;(六)证人证言;(七)鉴定意见;(八)勘验笔录。证据必须查证属实,才能作为认定事实的根据。”[2]《最高人民法院关于适用<中华人民共和国民事诉讼法>的解释》(法释〔2020〕20号)第一百一十六条:“视听资料包括录音资料和影像资料。电子数据是指通过电子邮件、电子数据交换、网上聊天记录、博客、微博客、手机短信、电子签名、域名等形成或者存储在电子介质中的信息。存储在电子介质中的录音资料和影像资料,适用电子数据的规定。”[3]法院案号:(2021)津0319民初5920号。该判决由天津自由贸易试验区人民法院2021年11月23日作出,后因当事人一方提出上诉尚未生效。[7]《最高人民法院关于互联网法院审理案件若干问题的规定》法释〔2018〕16号第十一条:“当事人对电子数据真实性提出异议的,互联网法院应当结合质证情况,审查判断电子数据生成、收集、存储、传输过程的真实性,并着重审查以下内容:(一)电子数据生成、收集、存储、传输所依赖的计算机系统等硬件、软件环境是否安全、可靠;(二)电子数据的生成主体和时间是否明确,表现内容是否清晰、客观、准确;(三)电子数据的存储、保管介质是否明确,保管方式和手段是否妥当;(四)电子数据提取和固定的主体、工具和方式是否可靠,提取过程是否可以重现;(五)电子数据的内容是否存在增加、删除、修改及不完整等情形;(六)电子数据是否可以通过特定形式得到验证。当事人提交的电子数据,通过电子签名、可信时间戳、哈希值校验、区块链等证据收集、固定和防篡改的技术手段或者通过电子取证存证平台认证,能够证明其真实性的,互联网法院应当确认。当事人可以申请具有专门知识的人就电子数据技术问题提出意见。互联网法院可以根据当事人申请或者依职权,委托鉴定电子数据的真实性或者调取其他相关证据进行核对。”[8]摘自GB/T 35285-2017《信息安全技术 公钥基础设施 基于数字证书的可靠电子签名生成及验证技术要求》。[13]摘自GB/T 35285-2017《信息安全技术 公钥基础设施 基于数字证书的可靠电子签名生成及验证技术要求》。[15]参见GB/T 15852.2-2012《信息技术 安全技术 消息鉴别码第2部分:采用专用杂凑函数的机制》“3术语和定义”。[16]摘自GB/T 20520-2006《信息安全技术 公钥基础设施 时间戳规范》。
本站仅提供存储服务,所有内容均由用户发布,如发现有害或侵权内容,请
点击举报。
