「電子簽章法」三讀通過的進一步分析與觀察~從法律條文談起

整理/郭慧姿


太穎國際法律事務所研究部經理黃漢臣 提供


真可謂是千呼萬喚始出來啊！從八十八年底行政院研考會提出第一個電子簽章法草案的版本，到之後陸陸續續有立委鄭寶清、林志嘉、柯建銘、新黨黨團、朱立倫等版本的提出，其中經過多次的討論與協商，最後決定以研考會的版本為基礎，綜合各提案版本形成一份基礎條文，於本年五月二十三日（5/23/2001）在立法院第四屆第五會期科技及資訊、經濟及能源、司法三委員會審查一讀通過。


原本以為此案的二讀與三讀在這樣的政治氛圍與立院低落的議事效率下將遙遙無期，最後卻因幸運地搭上了與WTO相關法案要快速通過之壓力的便車而順利過關。這個攸關網際網路、電子商務、資訊安全與電子化政府重要法案的通過，讓所有關心這個領域發展的人感到無限的欣慰，也為相關的產業與低迷的市場注入了一劑強心針。


但還是別高興得太早，一來是本國在這方面的發展已落後歐美甚至亞洲先進國家甚多，再則是電子簽章法沒通過的確妨礙了電子商務、資訊安全或與電子化政府的發展，但不代表有了電子簽章法相關的產業和市場就一定會迅速的蓬勃發展。因此電子簽章法的相關配套措施、技術應用或發展的研究、對大眾的教育、及推廣的方式等等才是此法通過後吾人應該進一步去思考的重要議題。


基本上，上回一讀通過的電子簽章法（以下稱本法）乃是綜合各提案版本所形成的一份基礎條文，可以說是相當的精簡，其對於一些像是憑證機構的資格和管理、權責歸屬、消費者保護等重要議題並沒有提及，不免有所缺憾，不過此次三讀通過的版本倒是從善如流地對上述的問題有所增修。


然而，三讀通過的版本與一讀通過的到底還有何不同呢？修正後的版本仍保有原先的版本的基本精神，主要的不同有以下幾個部分：修改與刪除名詞定義、對於部分法條做了更進一步的說明、對憑證實務作業基準應載明事項的補充，以及新增三條「終止服務」、「賠償義務」、「施行細則」等。當然，還是少不了一些語句的修飾。對於上述不同部分詳細說明如下：



修改與刪除名詞定義
法一讀之用詞定義共有十一項，三讀之版本刪除了「私密金鑰」、「公開金鑰」、「公開金鑰憑證」三項於條文中不曾出現的字眼。其他修改的項目如下說明：


1. 對於「電子簽章」則重新定義為「指依附於電子文件並與其相關連，用以辨識及確認電子文件簽署人身分、資格及電子文件真偽者。」因為一般電子簽章的應用以數位簽章為最，技術上來說，數位簽章並非單獨存在，而是簽署人用其私密金鑰對於文件的「訊息摘要（Message Digest）」加密後所得，不同的文件會產生不同的訊息摘要，因此電子簽章需依附於電子文件並與其相關連。


2. 「憑證機構」的定義則由「指提供數位簽章製作及電子認證服務之機關、法人。」改成「指簽發憑證之機關、法人。」，一方面因數位簽章之製作可由簽署人端進行，一方面也避免狹隘地拘束了憑證機構的功能與提供服務之範圍。


3. 把「電子認證」的定義簡化為「憑證」，係指載有簽章驗證資料，用以確認簽署人身分、資格之電子形式證明。


對部分法條更進一步說明
1.第四條關於「書面文件得以電子文件為之」加入兩項，一是「經相對人同意者，得以電子文件為表示方法。」，另一是「前二項規定得依法令或行政機關之公告，排除其適用或就其應用技術與程序另為規定。但就應用技術與程序所為之規定，應公平、合理，並不得為無正當理由之差別待遇。」。前者明示了此法的適用仍需符合私法自治之「契約自由」的精神，非經相對人同意，單方不得以電子文件為表示方法；後者則是關於「技術中立」原則的聲明，對於應用技術與程序另為規定者，應符合公平、合理之原則，並且不能在無正當理由的情況下給於不同的技術差別待遇。「技術中立」原則之聲明也出現於第六條（書面文件之法定保存，得以電子文件為之）第三項與第九條（簽名或蓋章得以電子簽章為之）第二項。


2.第五條關於「書面文件之原本或正本得以電子文件為之」的條文從「依法令之規定應提出文書原本或正本者，得由原製作者以其電子簽章作成與原本或正本之內容相符，且可驗證真偽之電子文件為之。」，修正為「依法令規定應提出文書原本或正本者，如文書係以電子文件形式作成，其內容可完整呈現，並可於日後取出供查驗者，得以電子文件為之。但應核對筆跡、印跡或其他為辨識文書真偽之必要或法令另有規定者，不在此限。」，表示書面文件之原本或正本以電子文件作成，只要其內容可完整呈現且日後能夠取出供查驗，可以利用任何方式或技術為之，不必一定要利用電子簽章來作成。


3.第六條關於「書面文件之法定保存，得以電子文件為之」，其精神與第五條同，法定之書面保存，如其內容可完整呈現，並可於日後取出供查驗者，得以電子文件為之，但保存的方式或技術也應符合技術中立之原則。


4.第七條之「電子文件之收發文時間推定基準」，對於收發文時間的推定若非由「無法控制資訊系統」決定，則由當事人另行約定。三讀則增加除了由當事人約定外，亦可由行政機關公告來推定。


5.第八條關於「電子文件之收、發文地」，一讀之條文在「有一個以上執行業務之地」與「未有執行業務地」的情況下只提到發文者，而三讀後加上了收文者，表示發文者和收文者對於收發文地的確認適用第八條同一定義。


6.第九條對於「簽名或蓋章得以電子簽章為之」的規定則增加了「經相對人同意」及「前項規定得依法令或行政機關之公告，排除其適用或就其應用技術與程序另為規定。但就應用技術與程序所為之規定，應公平、合理，並不得為無正當理由之差別待遇。」。此兩項的增修與本法第四條相同，皆強調「契約自由」的精神與「技術中立」的原則。


7.在電子簽章應用中最關鍵的單位就是「憑證機構」，而憑證機構的營運應最重要的準則是所謂的「憑證實務作業基準（CPS，Certificate Practice Statement）」。一讀的版本對於憑證實務作業基準的應有內容並無明確規定，只要求由主管機關定之並於本法通過後公告，這樣的做法會讓憑證機構無所適從，無法預先知悉其憑證實務作業應有的內容，不但可能延誤其商機，對既有的憑證使用者也較無保障。
因此本法第十一條關於「憑證機構應製作及公布憑證實務作業基準」則增加了「憑證實務作業基準應載明事項」，規定其應有之內容如下：
一、足以影響憑證機構所簽發憑證之可靠性或其業務執行之重要資訊。
二、憑證機構逕行廢止憑證之事由。
三、驗證憑證內容相關資料之留存。
四、保護當事人個人資料之方法及程序。
五、其他經主管機關訂定之重要事項。


儘管上述五項對於甚為複雜的憑證實務作業而言只是極為原則性的要求，但至少讓憑證機構有了依循的準則，有助於本法通過後其業務的推行。


8.對於憑證機構違反第十一條規定者，第十二條「罰則」，則增加了「逾期未改正者，得按次連續處罰」，對於憑證機構可能有的不法行為加強了嚇阻的作用。



新增條文
本法一讀所通過的版本並沒有明示憑證機構的權利義務及其管理、或是憑證實務作業基準內容的規範，對於極為重要的憑證使用者相關權益之保障也沒有提及。在三讀的版本則增加了「終止服務」與「賠償義務」等條文對於上述的缺漏予以增補，雖然基本上已點出了憑證機構權責或消費者保護的重要精神，但在相關內容的質量上仍稍嫌不足。


憑證機構需具有相當的技術能力來保障對於私密性（confidentiality）、真確性（integration）、身分確認（authentication）、不可否認性（non-repudiation）及可用性（availability）等種種安全要求，也擔負了相當程度的公益性質，因此對於憑證機構的管理乃是一項至為重要的議題。憑證機構的設立與消滅都將嚴重的影響到憑證使用者的權益與隱私，其重要性不言可喻。


本法新增第十三條「終止服務」，內容規範了憑證機構自行或受勒令停業處分者在終止服務前，應有之相關必要措施，包括了：
一、於終止服務之日三十日前通報主管機關。
二、對終止當時仍具效力之憑證，安排其他憑證機構承接其業務。
三、於終止服務之日三十日前，將終止服務及由其他憑證機構承接其業務之事實通知當事人。
四、將檔案記錄移交承接其業務之憑證機構。
若無憑證機構依第一項第二款規定承接該憑證機構之業務，主管機關得安排其他憑證機構承接。主管機關於必要時，得公告廢止當時仍具效力之憑證。


關於憑證使用者權益保障的部分，新增之第十四條「賠償義務」，明示了憑證機構如因其經營或提供認證服務之相關作業程序，使得憑證使用者遭受損害，或讓他人因信賴該憑證而受到損害，應負賠償責任。不過此條的但書是，若憑證機構就憑證之使用範圍設有明確限制時，對逾越該使用範圍所生之損害，不負賠償責任。


對於憑證機構的管理、憑證實務作業基準之應有內容、外國憑證機構之許可辦法、或依本法需另行規定之相關實施方式，於新增第十六條「施行細則」，要求本法施行細則，由主管機關（經濟部）定之，以便讓執法機關、憑證機構或憑證使用者有所依循。



結語
總歸來說，這部歷經波折總算於日前通過的電子簽章法，使得我國電子文件與電子簽章的法律效力得以確立，並對憑證機構資格認定與管理方式明確化，將可以直接或間接促進網際網路的活絡或電子商務的應用，使得台灣電子商務早日與國際趨勢及應用接軌，將是我國在發展網際網路的應用上的一個新的里程碑。