在疫情中以高科技形象聞名全球的臺灣,有一點恐怕會讓您意想不到:上至政府、下至個人的各種文件,至今仍有很多官方行政作業仍以統紙本簽名與印章進行,為滿足這些用紙需求,耗費了大量的能源,製造了無數難以處理的汙染。
普羅大眾可能以為臺灣沒有電子簽章相關法律,因此相關產品無法在臺灣普及化。但其實臺灣《電子簽章法》早在 2001 年 11 月 14 日就三讀通過,並於隔年正式施行,已經施行超過 20 年。
《電子簽章法》最主要的問題,是其對法令涵蓋的電子簽章或數位簽章型式之敘述不足,對電子簽章僅有「指依附於電子文件並與其相關連,用以辨識及確認電子文件簽署人身分、資格及電子文件真偽者。(第 2 條)」之內容,加上政府各部門,仍有許多對於電子簽章的適用排除條款,使得一般企業或個人難以明確理解何種產品適合作為簽署使用,因此寧願繼續採用紙本簽名。
在如今電子簽名逐漸成為國際趨勢下,過往法規的過時尤為明顯。要使臺灣成為名實相符的科技先進大國,勢必需要以科技加速國家文件與業界合約消息傳遞的效率,如此則法律更需要清楚界定可用產品的規範,因而《電子簽章法》的修法刻不容緩。
電子簽章的應用場景
美國在 2000 年推出了《電子簽名法案 (ESIGN Act)》,自此美國人從合約到法院文件,皆可改用電子簽名形式完成簽署。英國法務部下屬的產業工作小組(IWG)在 2022 年的期中報告表示:「本組很確定的看法是,電子簽名可以而且應該在今日被廣泛應用,社會成員都應該要對其抱持信心。」
電子簽名不只是作為政府對環保的宣示範例,更是各國政府積極推動的政策。加州自然資源局(CNRA)就引入電子簽名產品,減少了 75% 的紙本傳遞耗時。
而英國政府的「數位、文化、媒體與體育部(DCMS)」也正在進行數位身分與特徵信任機制框架的設立,2022 年英國政府已與日本、澳大利亞、紐西蘭及新加坡等國簽訂了數位經濟協議(DEA),進一步解決跨境商業與交易的電子簽名應用問題。
政府的信心,源於產業界的趨勢。根據市場行銷研究機構報告,2021 年全球電子簽名市場約值 15.27 億美元,估計將於 2030 年成長至 127.21 億美元。
支撐此潮流的強勁成長力道,來自於全球跨產業對於個資安全、ESG、遠距辦公等場景的需求。因此除了傳統的軟體應用外,電子簽名在銀行、金融服務與保險相關場景的表現也備受注目。
電子簽名的全新轉機:新技術、新框架、新潮流
過往電子簽名或數位簽章,未能如預期般成功推廣到各地的原因之一,即在於安全性與易用性之間的矛盾。電子簽名雖然方便,但卻難以認證簽署者的身分,其簽名軌跡也不具鑑識可能;而數位簽章則往往需要實體卡片或信物作為身分驗證之用,讓使用者備感不便。
有鑑於此,找出一條能同時滿足安全性與易用性需求的電子簽名產品就顯得極為重要。幸虧如今因為科技進步,生物資訊的收集與應用已相當成熟,不論是臉部影像、指紋、聲紋、字跡、虹膜等,已經有許多非侵入式的生物資訊方法可供應用。對電子簽名而言,生物資訊就是其所需的關鍵解方。
區塊鏈技術的進步,也讓虛擬產品在加密層面上有新的可能。區塊鏈使得對簽名的變更與編輯都會被記錄下來,讓電子簽名的防偽能力進一步強化。搭配亂數碼、雜湊值以及數學方法的加密,電子簽名已有能力擔負更高風險的商業與法律用文件簽署,其安全性甚至較紙本簽章更為有效。
雲想科技取兩者之利,研發出有別於傳統「數位簽章技術」之「生物性電子簽章技術」,並推出產品 SelfieSign。其特色為簽名時同時錄製簽署者臉部影像、周遭聲音,以及記錄當下之 GPS 位置、時間等資訊,事後即可重現簽署當下之狀況,讓使用電子簽名的文件得以回溯鑑識,具有獨一無二的不可否認性。
信賴等級 LoA:按照需求選擇適當的電子簽名等級
技術之外,產官學近年的趨勢,是建立起一套分辨電子簽名效力的評鑑標準,此即所謂 LoA(信賴等級)。每個電子簽名可以依帳號註冊時所需提供的身分數據強度、簽名時需要的信物、驗證機制的複雜度、以及適合使用場景的風險高低,分為 4 個等級。
等級越高的簽名產品,註冊身份所需提供的資訊越多、簽名有效性或信物的信任機制就越強、驗證身分的因子數也越多。
例如,信任等級最低的 LoA1 電子簽名,使用者僅需一個電子郵件帳戶即可註冊使用,它可以用於低風險的場景中,例如簽到領取禮物、簡單的免費帳號登錄等。這些場景的應用不需要太過嚴格的身分驗證,反而更需要快速完成簽名,以及可以大量複製使用的易用性。
而信任等級最高的 LoA4,註冊時可能需真人臨櫃辦理、簽名時需綁定硬體安全金鑰、並且需要多因子驗證。這麼多要求是因為其可對應的高風險場景,例如涉及高額交易或具有法律風險重要性之文件,就值得使用者忍受這些麻煩,以獲得最高的安全等級。
歐盟 eIDAS 法規亦將電子簽名的效力,按照身分驗證的強度、是否透過授信服務業者授信等指標,分為 SES(簡易電子簽名)、AES(進階電子簽名)、QES(高級電子簽名)等三個等級,其概念與 LoA 相似。
透過對電子簽名的形式與效力做分級,可以讓用戶在採用電子簽名時,明確知道該使用哪種層級的電子簽名,有效減少爭議。
SelfieSign 由於記錄了簽名者的臉部影像、聲音等資訊,並且後續在加密時賦予該簽名獨一無二的亂數碼,使得所有透過 SelfieSign 完成的簽名不但能可靠地識別簽名者,更能讓簽名與簽名者建立獨一無二的聯結。
這樣的簽名符合 eIDAS 法規中 AES 等級進階電子簽名的要求,同時亦可在經過增加身分驗證要求、信物驗證等多重驗證方法後,輕易地達成LoA4 最高等級的需求。而對於僅需 LoA1 等級簽名的場景,SelfieSign 亦可在文件管理者設定文件時透過開關錄影要求、設定範本等方式,為用戶打造出可快速簽署且易於管理的電子簽名。
隨著臺灣數位轉型的腳步加快,《電子簽章法》的修訂已經是不得不為之事。在產業界的呼籲下,政府終於成立數位發展部,並考慮對《電子簽章法》的修訂。我們希望,能為數位轉型的潮流中略盡綿薄,拋磚引玉,讓臺灣數位軟體產業發展在全球中搶得先機。