一、数据电文是电子存证和电子签名及认证的基础
无论是电子存证还是电子签名认证,其对象皆是数据电文,即电子数据或电子文件,比如常见的电子合同、电子单证、音视频资料、网页、软件代码等都属于数据电文。根据《中华人民共和国电子签名法》(以下简称《电子签名法》)的规定,数据电文是指“以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息(第二条)。能够有形地表现所载内容,并可以随时调取查用的数据电文,视为符合法律、法规要求的书面形式。”(第四条)
同时这部法律也规定了数据电文的形式要件,即:
1. 能够有效地表现所载内容并可供随时调取查用;
2. 能够可靠地保证自最终形成时起,内容保持完整、未被更改。但是,在数据电文上增加背书以及数据交换、储存和显示过程中发生的形式变化不影响数据电文的完整性。
因此,电子签名作为数据电文的一种,当满足了上述要求后,也即满足了电子签名法中要求的形式要件。
二、电子签名与电子认证
电子签名虽然在法律上满足数据电文的形式要求,但就其本身而言,还需要满足法律的规定,才被视为是一个可靠的电子签名,可以与手写签名或者盖章具有同等效力。
《电子签名法》规定,当事人可以选择使用符合其约定的可靠条件的电子签名,电子签名同时符合下列条件的,也可以视为可靠的电子签名(第十三条):
1. 电子签名制作数据用于电子签名时,属于电子签名人专有;
2. 签署时电子签名制作数据仅由电子签名人控制;
3. 签署后对电子签名的任何改动能够被发现;
4. 签署后对数据电文内容和形式的任何改动能够被发现。
同时,可靠的电子签名与手写签名或盖章具有同等的法律效力(第十四条)。
由于电子签名属于数据电文,具有天然的易篡改性,所以当事人在使用电子签名时,如果直接通过电子手段签上一个签名(例如使用电子版画一个签名等),或者直接用电子书写软件写上一个签名生成为自己的电子签名,这种属于当时人自己生产出来的签名,其效力相较于有国家依法认证机构颁发的签名要弱很多。在我国,电子签名认证服务是需要由依法设立的电子认证服务提供者提供。
根据国标GB/T25064《电子签名格式标准》,我国的电子签名由可信服务提供者(Trusted Service Provider简称TSP)提供,包括提供数字证书的机构(Certification Authority简称CA)和提供可信时间戳的专业时间戳服务机构(Time Stamp Authority 简称TSA)。
1.电子签名的实现原理
在我们使用电子签名的场景中,用签名在通讯时表明身份和在特定文件下用签名表示签署行为和归属于本人,是最重要的两种场景。
根据国标GB/T25064《电子签名格式标准》,我国的电子签名划分了五种类型,包括一种基本电子签名和其他四种长效签名类型。
基本电子签名是用于上述第一种场景,即短暂通讯过程的身份认证或者短暂签名(或临时签名),例如只用于一次性表明身份的通讯行为。
而电子合同、电子凭证所需要的电子签名属于上述的第二种场景,需要时间戳功能,表明签署时间等信息,用在这类需要长效签名的场景中。
为了实现以上电子签名认证,就需要上述数字证书认证机构和时间戳服务机构。即,数字证书认证机构颁发电子签名认证,时间戳服务机构签发可信时间源。
2.关于数字证书认证机构和时间戳服务机构
《电子签名法》第十六条规定“电子签名需要第三方认证的,由依法设立的电子认证服务提供者提供认证服务。”
目前我国对电子签名的CA认证是实行行政许可制,由工业和信息化部负责实施 ,CA被行政许可的业务范围只是对社会提供数字证书认证服务。
TSA则由国家法定时间源--国家授时中心负责建设和保障,统一对社会提供可信时间戳服务。目前我国有资质的TSA和CA机构名单可以在国家授时中心官方网站和工业信息化部官方网站查到。
3.关于数字证书和时间戳
如上述所言,数字证书可以分为由权威第三方机构CA产生的权威数字证书和CA软件产生的自签名证书。权威第三方CA机构经由国家许可,严格审查用户身份并鉴别后发放电子签名证书给持证人,这样的电子签名证书权威性更高。而自签名的数字证书,由于是用自己的软件或系统生成的电子签名证书,一般只在系统或单位内部使用时可以认可其效力,如果用于对外合同、凭证类的文档,则在权威性、真实性等方面受到质疑。
时间戳与数字证书类似,也分为权威的可信时间戳(Trusted Time Stamp)和自建的时间戳服务器产生的普通时间戳(Time Stamp)。目前我国可信时间源的唯一保障机构是国家授时中心,该机构对数据电文进行可信时间戳认证,用于证明数据电文申请时间和申请认证后内容保持完整、未被更改(参见《信息安全技术 公钥基础设施 时间戳规范 GBT 20520》)。普通时间戳由于是在当事人自己内部系统中生成的,则可以自由修改从而导致事后无法认定准确时间,因而也只在系统内部中使用,不能在对外的电子合同等文件中使用。
举例来讲:
一些医院虽然采用了具有资质的CA对电子数据进行了签名,但在可信时间戳(TSA)的选择和使用上却没有引起足够的重视,具体表现在:有的没有使用可信时间戳,有的采用厂家提供的时间戳软件用医院自己的系统签发时间戳,还有的采用了非可信时间戳机构提供的时间戳。这些时间戳的使用使电子病历作为法证时存在时间可以被篡改的不确定因素,有可能导致医院在纠纷举证时的法律风险。
4.关于时间戳在电子存证方面的作用
由于时间戳可以在数据电文方面赋予电子数据权威的时间节点认证,所以时间戳服务可以在以下场景中进行应用。包括:
1. 电子合同、单证的可信时间戳认证。主要目的是满足电子签名成为长效电子签名,拥有时间戳功能,满足电子签名法规定的可靠电子签名的条件。
2. 电商交易数据的固化认证。主要是为了赋予当事人电子交易数据、网络日志、系统日志可信时间戳,用于事后责任认定时证明数据产生后未被篡改。
3. 知识产权在先时间证明。在知产的著作权、商标、专利中,无论是著作权的著作产生时间还是商标专利的在先时间,都需要有一个权威的时间来证明权利人的权利在某个时间点就已形成,可信时间戳可以非常契合这一应用场景。
三、电子存证平台的资质问题
从目前的公开裁判案例可知,有不少法院已经以资质问题来否定了第三方存证的法律效力。例如在(2016)闽民终1485号案件中,法院就以原告未提供证据证明第三方存证平台属于合法有资质的机构,因此无法确信相关的电子证据是否可信。
上述案例显然是法官对电子认证和电子存证的概念产生了混淆,本文上述已说明,根据我国《电子签名法》以及《电子认证服务管理办法》的规定,第三方电子签名和认证机构需要通过行政许可取得资质,属于电子签名领域的电子认证业务,而不属于电子存证业务。
对于电子存证业务,我国尚未规定准入性规定或需要取得一定资质的规定,存证机构的主体资质并不直接影响其提供或确认的电子数据具有的证据资格。因此,目前有无获得行政许可并非是从事电子数据取证、存证经营业务的前提。进一步来说,从司法谦抑的角度来说,在相关案件的审理中直接否定相关主体是否可以从事相关领域的业务不太妥当,会滋生司法对相关行业发展产生影响的嫌疑。但若有证据证明第三方机构与取证方还有其他如投资、品牌使用、市场营销方面的合作,则可以认为两者之间具有一定的利益关联,从而在证据的真实性上予以重点怀疑。
因此,电子取证、存证平台的资质问题,不应成为法院否定证据资格的审理标准。法院应对电子存证的证据应进行综合性考量,针对不同的电子存证平台,对取证流程、取证时间、取证人、平台清洁性验证等等,采取个案原则,一案一认定,一一审查。从而在司法审判层面不过多地对行业准入进行干预,而是对个案当中的证据问题形成权威专业的审判观点。