前言
随着互联网技术的不断发展,越来越多的经济活动通过网络进行,随之而来的是电子签名的广泛应用。一旦产生争议,则电子签名真实性的判断就非常重要。本文就司法实践中对于电子签名真实性判断的方式进行探讨。
#01 关于电子签名的法律规定
目前关于电子签名的主要法律依据是《中华人民共和国电子签名法》,以下条文值得特别关注。
第二条:“本法所称电子签名,是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。
本法所称数据电文,是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。”
可见,只要用于识别签名人身份的数据,就可以视为是电子签名。
第十三条:“电子签名同时符合下列条件的,视为可靠的电子签名:
(一)电子签名制作数据用于电子签名时,属于电子签名人专有;
(二)签署时电子签名制作数据仅由电子签名人控制;
(三)签署后对电子签名的任何改动能够被发现;
(四)签署后对数据电文内容和形式的任何改动能够被发现。
当事人也可以选择使用符合其约定的可靠条件的电子签名。”
第十三条分两个条款,第一款为列举式,也就是说需要同时符合第一款所列四个条件的电子签名才能视为“可靠”的电子签名。值得注意的是,十三条第二款规定了“可以选择适用符合其约定的可靠条件的电子签名”,也可以视为可靠电子签名。
此外值得关注的规定是《电子认证服务管理规定》,若电子签名获得认证,则发生争议时认证机构会出具相应报告,这时就会涉及机构资质、认证是否规范等问题。其中特别需要注意的是关于认证规则的规定。
第十五条:“电子认证服务机构应当按照工业和信息化部公布的《电子认证业务规则规范》等要求,制定本机构的电子认证业务规则和相应的证书策略,在提供电子认证服务前予以公布,并向工业和信息化部备案。”
第十六条:“电子认证服务机构应当按照公布的电子认证业务规则提供电子认证服务。”
这方面类似于各仲裁机构会有自己的仲裁规则。
#02 电子签名认证中的不同证书
实践中,为了避免双方日后对于电子签名的真实性发生争议,通常都会通过第三方机构对电子签名进行认证。认证机构所签发的认证证书通常分为两种,及“个人证书”和“事件证书”。
所谓个人证书,其电子签名主体可能是自然人也可能是机构,由用户首先产生自己的密钥对,并将公共密钥及部分个人身份信息传送给认证中心。认证中心在核实身份后,将执行一些必要的步骤,以确信请求确实由用户发送而来,然后,认证中心将发给用户一个数字证书,该证书内包含用户的个人信息和他的公钥信息,同时还附有认证中心的签名信息。简而言之,就是签字人自己掌握密钥。
所谓事件证书,指在业务过程中根据订户提交的业务场景中相关信息(电子文档、签名行为特征信息、手写笔迹或其他签名行为证据信息等)自动固化至数字证书的扩展域,签发出事件型数字证书。事件数字证书所对应的私钥一般一次性使用即在使用一次后即被销毁,由负责场景业务的业务提供方生产,并负责保护场景证书私钥的安全。
上述两种证书密钥掌握者不同,所认证的内容也不同。前者认证的是电子签名主体的真实性,后者认证的是签约场景以及签约后内容未被修改,但不能直接认证签名主体身份。
#03 事件证书运用的前置条件
通过前述分析可以知道,两种证书所使用的情况不同。个人证书对于签字主体真实性的证明更为直接,但是申请过程较为繁复;事件证书无法直接证明签字主体的真实性,但是运用场景较为广泛。
如银行、保险等,由机构设置签约场景,对方为个人的情况下,事件证书被广泛应用。还有一个典型的场景是法院在线庭审,庭审结束后当事人需要签字确认笔录。上述情况下签约者不掌握密钥,但是签约场景均被固定。
当然,如前文所述,事件证书有明显的缺陷,就是无法确定签约主体的真实性。但是从民事诉讼的角度来看,这不是不能克服的缺陷。在判断合同是否有效时,首先需要判断的是签约行为是否是签约主体的真实意思表示,至于签约的形式是否有瑕疵则是次要的。比如在赵丽蓉、巩汉林的经典小品《如此包装》中,赵丽蓉签字落款是“麻辣鸡丝”而非赵丽蓉,但这个是她本人签字,并不能当然认为合同就无效。同样,并不能因为事件证书证明的是签约后内容没有篡改就认为事件证书无用。
事件证书运用的前置条件,是签约者的身份真实性认证,也就是要通过证据证明实施签名行为的是本人。通过登录认证确认身份真实性后,与事件证书确定的签约后内容没有篡改,两者相结合,从而证明签约行为是签约者的真实意思表示。
#04 司法实践中涉及事件证书的认定
在唐某与蚌埠某运输有限公司股权转让纠纷一案中,一审法院认为部分表述:“安徽省市场监督管理局对企业和群众可以通过网上办事系统办理市场主体主持登记业务也作了明确规定。对系统采取事件证书电子签名,对申请人(包括股东、法定代表人、企业管理人员等)进行实名认证和电子签名的步骤作了明确的规定,首先对姓名、身份证号、银行卡号、银行预留手机号进行比对,实现身份认证。认证通过之后再进行签名,签名过程中,系统会向身份认证时填写的银行预留手机号发送验证码,输入验证码后才可以完成电子签名的操作。被告公司为证实原告对股权转让是明知的,验证码是由原告唐康发给被告公司的工作人员后,才完成电子签名的”。
法院依据登录认证和事件证书的互相映证,认可签约行为的真实性。
日前我们代理的一个案件中同样遇到原告否认本人签约的情况,在提供事件证书的同时,我们举证了线下面谈记录、原告收到贷款、归还款项、原告经银行绑卡及预留手机号身份验证后登录APP、多次短信验证登录APP、同意线上签署验证码的填入、交易重要节点截图公证、交易成功的短信通知等证据还原签约过程,用以证明线上签署相关协议系原告本人,进而说明签署的相关内容为原告的真实意思表示。
最终法院认为,原告经身份验证的手机号登录APP并通过输入验证码的方式方能完成文件签署,从而推定原告本人或至少是原告授权的人签署了相关文件。金融机构所提供的证据基本还原签约过程,形成完整证据链,能够证明原告在相关协议上的签字有效,对文件内容应当清楚知晓。据此,驳回原告的全部诉讼请求。
综上所述,法院在审理电子签名相关的案件时,一方面遵循我国《电子签名法》的相关规定,排除不得使用电子签名的事项及违反《电子签名法》导致无效的情形;另一方面根据不同的数字证书类型,归纳相应的审理要点。
个人证书的审理关键在于签约方是否曾在签署涉案协议时申请或授权他人为其申请电子数字证书。因申请数字证书时,第三方电子认证服务机构在颁发电子数字证书的过程中,自然会审核其身份是否真实,无需再次实质审查。
而事件证书发生争议时,需要举证签约方登录时的身份验证情况,使身份验证和场景无篡改两者相互映证,从而确定签约行为的真实性。
