其中即包含MyTWES臺灣電子簽章中心服務,可符合最新修法通過的電子簽章法,透過憑證技術,防止文件竄改,同時確認簽署者的意思表示。最後亦提供完整的簽署歷程記錄文件,如姓名、收件資料、IP位址、簽署前的身分驗證方式及操作時間等,讓簽署更有保障。
臺灣網路認證協理連子清指出,TWCA提供的數位簽章主要有三大特色,亦即透過多元身分識別確認簽署人身分、由主管機關許可之憑證機構簽發簽署人憑證、電子文件簽署歷程可日後取出查驗,完整符合電子簽章法有關數位簽章的相關規定。
TWCA與合作機構須依照已公告的憑證實務作業基準進行簽署人的身分識別。簽署人在產製對應的私鑰與公鑰之後,由憑證機構簽發簽署人憑證。這些憑證讓用戶生成的數位簽章可以透過對應的公開金鑰進行驗證,此程序完全符合電子簽章法修正第2條第3款的定義。
依據電子簽章法第6條規定,TWCA簽發的數位簽章可被推定為本人親自簽名或蓋章。這一推定基於使用的憑證是由主管機關許可的憑證機構所簽發,並且確保憑證在有效期間內且符合其使用範圍。
TWCA提供電子文件簽署服務,能確保內容的完整呈現,並能夠在需要時取出供查驗。如果需要進一步的查驗資訊,當事人可以向TWCA提出查驗申請或將具數位簽章的電子文件上傳至TWCA官網進行查驗,檢視簽署的歷程、日期、時間等訊息(符合第8條規定)。此外,電子文件簽署服務亦可加上發文者無法控制的時間戳記。透過這些規範,TWCA便能夠嚴格確保其數位簽章服務的法律效力和可靠性。
身分識別不屬於電子簽章法規範
舊版電子簽章法於2001年頒布,為了確保資料在網路傳輸過程中不被窺視、鑑別交易雙方的身分、防止偽造或竄改,以及留下交易不可否認的數位軌跡,政府及民間企業開始利用密碼學技術,建置各領域的電子認證體系,提供身分認證及交易認證服務。
法條中定義的電子簽章,指依附於電子文件並與其相關連,用以辨識及確認電子文件簽署人身分、資格及電子文件真偽。至於數位簽章,指將電子文件以數學演算法或其他方式運算為一定長度之數位資料,以簽署人之私密金鑰對其加密,形成電子簽章,並得以公開金鑰加以驗證,且具備憑證機構簽發之憑證者。
電子簽章採技術中立原則,法律未限定何種技術所建立的簽章才算是電子簽章。但是數位簽章的技術,則是依據憑證實務作業基準應載明事項、遵循國際相關標準(例如RFC 3647)所建立的公開金鑰基礎架構(PKI)。
實際上,不同應用場景須配發相對應的憑證,憑證機構須依據用途提交一本憑證實務作業基準(CPS),獲得主管機關批准後提供服務。目前TWCA涵蓋簽發電子商務(含交易、身分識別等)相關應用憑證、用於證明資料與簽署當下時間戳記關聯、身分識別(電子商務暨政府應用業務、金融交易應用)、網站認證等8種。
明確化數位簽章法律地位
電子簽章的使用時機,在於服務提供者與客戶,對於雙方所約定的事物需要留下數位軌跡,以作為日後不可否認的依據。例如客戶與投信業者、協同銀行,共同約定每月定期、定額自帳戶中扣款購買基金,或是買家與賣家雙方以電子文件簽署合約,就需要採電子簽章作為確認約定的方式。
自2023年數位發展部公告電子簽章法修正草案,並積極推動審議,日前已正式立法通過開始實施,主要是因為新冠疫情加速了遠距工作與數位化交易的趨勢,使得電子文件的簽署需求急劇增加。在此之前,儘管已有數位簽章技術的應用,但這些數位簽名在法律上卻未被賦予足夠的認可,從而限制了其實際應用。
連子清觀察,電子簽章法修正案中最關鍵變化是將數位簽章的法律地位明確化,賦予其與親筆簽名相同的效力。這不僅為數位簽名提供了更高的法律保障,也使得在發生爭議時,可認定文件的簽署真實性,而無需額外證明。
此外,電子文件的合法保存也是電子簽章法修正案中的一環。法律要求電子文件的保存應包括發文地點、收文地點、時間、簽署人以及簽名軌跡等資訊,以確保文件的完整性和可追溯性。TWCA身為憑證機構之一,不僅提供數位簽章服務,TWID身分識別中心的MyTWES臺灣電子簽章中心服務,還可提供保存數位軌跡及相關資料,以滿足法律要求。
政府許可憑證機構發放簽章才具效力
在現代商業活動中,電子簽名與電子簽章的使用日益普及,然而這兩者在法律層面上卻具有不同的定義與應用範疇。「電子簽名」通常指的是任何以電子方式進行的簽名,用以表示同意;「電子簽章」則必須符合電子簽章法定義的條件及安全性要求,其中也包括更嚴格的、由主管機關核可認證機構所發放的「數位簽章」。
今年正式施行的新法,不僅確立數位簽章的法律地位,同時也為市場提供了使用其他形式的電子簽章的可能性。連子清認為,修法的效應之一是擴展電子簽署的應用,不僅限於數位簽章,也包括其他創新的電子簽名技術。只是連子清提醒,企業評估市場上的電子簽署服務方案時,須留意即使終端用戶操作介面採用手機或平板電腦的方式塗寫簽名,但是背後的憑證管理與整合方面,可能與數位簽章標準有所出入。例如使用電子簽署平台的憑證來確認簽名操作,而非直接發給簽署人的個人憑證,也就是不符合「經主管機關許可之憑證機構簽發之憑證,且憑證未逾有效期間及其使用範圍」。因此,該類型技術方案可能較不適合涉及重要法律文件或需要嚴格身分驗證的場景。