電子簽章法自2001年11月14日公布後從未修正過,在數位部積極推動下,終於在2024年4月30日經立法院三讀修正通過,修法重點包括電子文件及電子簽章在功能上等同於實體文件及簽章、電子簽章與數位簽章關係明確化、數位簽章具有「推定」為本人親自簽名或蓋章效力、相對人未反對推定同意採用電子形式、國際技術標準的技術對接合作、行政機關公告排除電子簽章法適用之公告有落日期限。
德勤商務法律事務所法律科技創新服務合夥律師熊誦梅指出,相關修法重點主要是朝向擴大電子簽章的適用範圍,特別是過往法院實務較易否認電子簽章文件之效力與書面不同,導致部分法律文件規定應訂定書面而排除電子簽章之適用,或各行政機關亦常以公告方式排除電子簽章法的適用,無法因應數位時代的發展。
電子簽章法新修正規定擴大電子簽章使用機會
2012至2015年的個人資料保護法亦有關於當事人同意都需要書面之規定,電子簽章的角色又浮出水面,主管機關亦舉例可以使用自然人憑證簽署同意書,但因當時電子簽章工具並不普遍使用,易使人誤解將電子簽章與數位簽章劃上等號,故此次修法亦特別區別兩者的概念,數位簽章屬於電子簽章的一種。
德勤商務法律事務所法律科技創新服務資深律師張憲瑋表示,電子簽章是依附於電子文件,用以辨識及確認電子文件簽署人身分、資格及電子文件真偽;數位簽章則以簽署人的私密金鑰對其加密,形成電子簽章,得以公開金鑰加以驗證,並須具憑證機構簽發的憑證者,其安全性及可信性遠高於其他電子簽章,但並非法律文件僅能以數位簽章簽署,只是數位簽章可以享有推定效力,否則必須由否定數位簽章效力的一方舉證並非由其本人簽章。
另一個擴大適用電子簽章的規定即是使用電子簽章的一方不必再得到他方的同意,如果他方未適時表示反對,則電子簽章就取得其合法性。實務上較常發生的狀況是,一方使用電子簽章,他方則將電子檔列印紙本並簽署,紙本回傳給使用電子簽章方,此即可解釋他方同意一方使用電子簽章,故此次修法針對合理期間內未積極表示反對電子簽章的情形,推定為同意採用電子簽章。
身分認證識別機制,各目的事業主管機關要求強度可能有所不同
電子簽章的目的是要辨識及確認電子文件簽署人身分,但身分識別強度仍取決交易當事人及各目的事業主管機關之態度而定。一般常見電子簽章工具是使用加密方式,且可系統工具驗證,雖然使用加密方式屬於數位簽章的層次,但必須經主管機關認可之發憑證機構所為之認證才屬於數位簽章。
使用者在電子簽章工具註冊時,應留意是否可確認當事人之確實身分,或需要更明確之認證方式;資安實務上亦發展出多重認證技術,包括憑證、晶片卡、SMS簡訊驗證碼、符記(Token)及一次性密碼(OTP)等,例如系統同時發送給電子郵件、手機簡訊的一次性密碼來確認是否與電子郵件、手機號碼之使用者具有同一性。