由數位發展部提案並推動的《電子簽章法》修正案正式通過修法並由總統公布施行,為數位新時代應用場景下的電子文件和電子簽章,增添了明確的法律地位。
藉此可減少對於電子形式的質疑,提高跨國商業往來的效率。
數位發展部數位產業署副署長林俊秀指出,日前總統公布了立法院三讀通過的電子簽章法修正案,意味著新法正式生效,對於各行各業,尤其是IT或資安管理者而言,了解法律的具體內容及其對現有營運業務的影響相當關鍵。
電子簽章法修正案的核心在於促進數位化過程,將傳統的紙本簽署方式轉換為電子簽章,這一轉變不僅減少了實體儲存的需求,還提高了處理效率。此外,法案也將增進身分認證技術的應用,如公鑰基礎設施(PKI)和生物識別技術,這些都是電子簽章技術的基石。
林俊秀認為,對於IT或資安管理者來說,理解這些技術及其在法律框架內的應用非常重要。例如,電子簽章是以密碼學的方法來確保簽章的安全性和真實性。這些技術不僅能有效抵制詐騙行為,還能幫助打擊假訊息,藉由電子簽章與簽署者的真實身分綁定來追蹤,並且有助於讓辦公室環境達到無紙化,除了降低成本開支,亦可達到減少碳排放的效益。
重申具備法律效力的電子簽章
台灣自2001年頒布實施的電子簽章法,經過20多年未曾修訂,如今因應企業數位轉型應用場景趨向多元,已於今年(2024年)完成修法並公布施行,藉此確保電子文件和電子簽章在功能上與實體文件及簽章具有同等法律效力。林俊秀說明,此次新法的推行,預期將加速台灣在數位經濟、電子政府、電子交易、數位金融及電子商務等領域的發展。面對全球數位轉型的趨勢,企業對於數位化的文件與簽章解決方案的需求日益增加,修法不僅有助於提升電子簽章的應用普及性,還強化了其在提高效率、降低成本、保障交易安全及減少環保負擔方面的優勢。
事實上,為了明確定義何謂具有法律效力的電子簽章,數位發展部已於去年12月發布了有關電子簽章效力的技術標準函釋。此函釋列舉了符合國內法規定義的加密演算法和國際技術標準,確保任何採用這些技術的電子簽章平台,只要得到當事人的同意,便可具備相應的法律效力。這解決了以往在實踐中難以認定電子簽章的法律效力的問題,從而推動數位經濟的發展。
林俊秀說明,在新冠肺炎疫情大流行期間,電子簽章在全球商業活動中應用更加廣泛,產業界對於國際市場上流行的電子簽章平台,如Acrobat Sign、DocuSign等是否符合台灣法律的疑慮也日益增加。為此,數位發展部於去年11月底召集公協會、產業代表,並與歐洲商會、美國商會等討論,集合各方意見。隨後,在12月2日公布了具體的技術標準函釋,明確羅列了被國際組織或主要國家認可的演算法及簽章格式,以便業界參考,提升電子簽章在實務上的應用。
函釋中說明,若數位簽章技術架構上採用國際廣泛認可的公開金鑰基礎建設(PKI),例如由網際網路工程任務組(IETF)公開金鑰基礎建設小組(簡稱PKIX)制定的標準和技術規範,便符合電子簽章的效力。若採用由國際組織或主要國家所制定的簽章格式或演算法也可以,例如由歐洲電信標準協會(ETSI)所制定的密碼訊息語法進階電子簽章(CAdES)、可延伸標記式語言進階電子簽章(XAdES)、可攜式文件格式進階電子簽章(PAdES)、關聯式簽章容器(ASiC)、JavaScript物件標示法進階電子簽章(JAdES)等,或者由美國國家標準研究院(NIST)或ISO所制定的生成簽章演算法,都算是法定認可的電子簽章。
鼓勵能量登錄推動產業應用
具備電子簽章效力的技術需要具備防止被篡改或偽造的功能,才能符合法律所定義的電子簽章要求,即「指依附於電子文件並與其相關連,用以辨識及確認電子文件簽署人身分、資格及電子文件真偽」。目前資安市場的技術大致均可達到前述函釋中說明的演算法與技術架構要求,成為法律認可的電子簽章,並可在實務上應用。
法律不僅規範電子文件和電子簽章必須具備的安全性和不可分割性,還強調了技術中立性。技術中立性的核心思想是,法律不應對特定技術或解決方案有偏見或綁定,而是應確保所有技術方案在滿足基本要求的情況下均可接受。例如,不論是使用FIDO身分認證機制還是其他任何安全技術,只要能夠證明與文件的不可分割性,並確保資料的真實性和安全性,都應被認可。
數位發展部數位產業署副署長林俊秀指出,為使電子簽章應用更為普及,數位發展部正在推動電子簽章解決方案服務能量登錄機制,藉此勾勒出應用場景地圖,協助企業或公部門評估選用合適的方案。
在電子簽章法的框架下,任何形式的數位文件管理系統,無論是透過加密還是其他方式保護文件的完整性和安全性,都被視為電子簽章的一部分。這不僅限於簽署的流程,還包括了使用加密等技術來保護文件,避免未經授權的存取和修改。例如,若有未經授權存取保密文件的情況發生,只要有正確實施的電子簽章技術,便可追溯和證明存取者的行為記錄,對於法規遵循、防範資料外洩和處理訴訟糾紛相當有幫助。
為使電子簽章應用更為普及,數位發展部正在推動「電子簽章解決方案服務能量登錄」機制,由政府扮演第三方,透過登錄盤點市場上電子簽章服務業者,勾勒出產業地圖,協助企業或公部門評估選用合適的方案。林俊秀說明,畢竟多數企業可能未必了解電子簽章法的重要性,再加上超過20年未曾修改,如今修正案正式上路後,透過能量登錄,可匯集成為完整解決方案,以便需求單位依照自家營運應用場景,找到安全可信賴的作法。
值得一提的是電子簽章規範亦有助於從源頭防範詐騙。數位發展部與經濟部正研議,推動網路廣告平台驗證廣告刊登者的數位簽章。屆時KYC(客戶身分確認)將可採數位簽章,讓審核流程自動化來達成,亦可在檢警認定為詐騙時,透過聯防平台快速下架同一簽署人刊登的其他廣告,達到跨平台聯防的目標。