来源：亚太法务联盟

特别提示：凡本号注明“来源”或“转自”的作品均转载自媒体，版权归原作者及原出处所有。所分享内容为作者个人观点，仅供读者学习参考，不代表本号观点。

自2014年以来，我国电子签名行业进入高速增长阶段，市场上的电子签名平台多达上百家，电子签名技术已广泛应用于生产和生活的各个领域。

去年4月，电子签名巨头DocuSign在纳斯达克成功上市，市值百亿美金。放眼全球，美国、欧盟地区的电子签名产业发展较为成熟。研习国外电子签名产业与法律制度，对于我国电子签名产业具有一定的借鉴意义。

本文通过介绍美国、欧盟地区的电子签名法律现状，为关注电子签名产业发展或有意发展电子签名海外业务的同仁提供参考。

美国电子签名法律现状介绍

美国关于电子签名的成文法主要有两部，一部是统一电子交易法案（UETA，Uniform Electronic Transactions Act），另一部是国际和国内贸易电子签名法案 (Esign Act, Electronic Signatures in Global and National Act)。

Esign Act和UETA的大部分条款相似，只是Esign Act多一些关于对消费者的披露和保护。关于电子签名的法律效力，两者作出的规定也比较类似，均有“签名、合同或记录不得仅因为其电子化的形式而被认定无效”的条款。两者都采取了“技术中心”（technologically neutral）的立法方式，没有对电子签名应采用的技术作出规定，并且Esign不允许各州强制要求必须使用某种电子签名技术（除了政府采购）。

1）遗嘱及其修改、遗嘱信托；

2）收养、离婚及其他家庭法律事务；

3）在各州生效的《美国统一商法典》管辖的内容，除了放弃违约请求权、5000美元以上动产买卖、货物买卖和租赁。

4）法庭程序性文件；

5）公用事业（水、热、电）终止服务通知；

6）与个人主要住宅相关的信贷抵押或租赁协议的违约通知或救济等；

7）人寿保险合同的终止和取消；

8）关系到人身健康安全的产品召回、产品重大缺陷；

9）与有毒有害物质运输相关的文件[2]；

《美国统一商法典》也是美国统一州法委员会起草的，并且已经在美国绝大部分州得到了采纳[3]，根据Esign Act或UETA的规定，《美国统一商法典》规定的大部分商业场景都不适用电子签名或电子合同，如：银行存款/托收/支付/转账、信用证、仓单、提单、证券、担保交易等。由于Esign的第二部分规定了“可转让凭据”（Transferable Records ），因此，符合“可转让凭据”的电子商业票据与手写纸质商业票据效力等同。

美国国家远程通信和信息管理局（NTIA,National Telecommunication Information Administration）曾就Esign Act的不可适用情况进行了调研并给出了一份调研报告[4]，认为消费者对于仅凭电子媒体进行交易的信心仍不足，这些不可适用的情况仍有其合理性。

综上，美国的电子签名立法的特点是“技术中立”和“消费者保护”，电子签名的使用场景受到传统商事法律和司法习惯的限制。美国对于电子签名技术则采取“技术中立”的态度，并没有对不同安全程度的电子签名的法律有效性通过成文法的形式进行规定，主要交由司法程序来确定，美国社会对于其司法公正的信心比较强，美国有严格的民事证据举证和采纳规则（discovery & admission），且司法伪证和虚假陈述构成联邦刑事重罪，最高可判处5年监禁，因此美国公民在听证会、司法调查和审判过程中都不敢轻易说谎，也不会轻易否认电子签名的真实性。基于上述国情，美国的电子签名服务企业在电子签名的商业化应用中，并不太重视签署人的身份认证（attribution or authentication），往往不使用数字证书（digital certificate），一般的协议仅采用电子邮件的方式即可完成签署。

欧盟电子签名法律现状介绍

与美国“技术中立”、“以市场为导向”、“遵守法律传统”的立法原则不同，欧盟在电子签名立法中体现出了一种“技术统一”、“政府背书”、“全面适用”的倾向。为统一欧盟地区的电子交易规则，实现电子身份的跨国互认，促进在线交易的发展，欧盟欧洲委员会（European Commission）针对欧盟范围内电子签名、电子印章、电子证书、电子可信传输发布了(EU) No 910/2014 条例，该条例中文翻译为：联盟内电子交易身份认证和可信服务条例，英文称为 Regulation on Electronic Identification and Trust Services for Electronic Transactions in the Internal Market[5]，简称“eIDAS”条例。截至2018年9月29日，eIDAS的实施条例（Implementing Acts）颁布满三年，条例第6款“互认”（Mutual Recognition）正式生效，也就是欧盟各成员国之间的电子身份互认计划正式开始运行。

如下图所示，基于欧盟成员国之间的电子身份互认计划，一个基于eIDAS的信任系统（Trust System）开始建立：

1、电子身份认证服务

在eIDAS的信任系统中，eID-Service指的是电子身份认证(electronic identification)，根据eIDAS的配套实施条例——欧盟 (EU) 2015/1502实施条例，电子身份认证分为三种可信级别（assurance levels）：低（low）、实质（substantial）和高（high）。实质级别以上的电子签名在欧盟成员国范围内应得到互认。

欧盟 (EU) 2015/1502实施条例在以下业务流程中都区分了低、实质和高三种不同可信级别需要达到的技术要求：申请和注册、自然人和法人身份核实、电子身份认证方式、认证方式的特点和设计方案、账号发送和激活、账号暂停/撤销/重新激活、更新/更换、核验方式、审计和合规。

2、数字证书机构

在eIDAS的信任系统中，Certification Authority指的是数字证书发放机构，简称CA。CA机构基于公钥密码体系（即PKI，public key infrastructure)原理，搭建了根服务器，并向经过身份认证的主体发放数字证书，持有数字证书的主体可以通过自己的私钥进行信息的加密发布。数字证书中包含了CA机构分配的公钥，信息接收方通过公钥可以把加密的信息解密出来。数字证书和所包含的公钥是否来自于CA机构，则可以通过从CA机构官网下载根证书来验证。数字证书常应用于网站的安全认证，当应用于电子签名时，需要与签名和印章生成机构（Signature & Seal Generation Service，简称SigS）进行配合，SigS可以为持有CA证书的主体生成电子签名或印章，当需要签名时，通过调用存储在Ukey或云端的用户私钥完成电子签名。

3、时间戳机构

时间戳机构（Time Stamping Authority，TSA）是确定文件签署时间的权威机构。这类机构一般通过接受文件或文件的hash值，再进行电子签署并发还的方式来确定文件的签署或生成时间。

4、电子签名和印章生成机构

电子签名和印章生成机构（Signature & Seal Generation Service，简称SigS），可以为经身份认证并持有数字证书的主体生成电子签名，这种电子签名可以是普通的，也可以是高级的（advanced electronic signature）,还可以是合格的（qualified electronic signature），其中，合格的电子签名应当使用符合eIDAS条例要求的三种格式：CAdES、XAdES和PAdES。只有使用这三种格式的电子签名才能在欧盟范围内的所有公权力机构中获得认可。

5、验证机构

通过电子签名和印章生成机构生成的签名和印章可以通过验证机构的验证服务（Validation Service，ValS）来核验有效性。验证机构可以使用eIDAS条例规定的可信服务列表（Trust Mark List），并按照实施条例 CID (EU) 2015/1506和ETSI TS 119 162(v2.1.1)作为验证锚点，对电子签名和印章的有效性进行验证并给出验证结论。

6、存证机构

无论何种存储介质，都需要确保签署的文件可以安全地被长期保存，这样才能确保其合法有效性和完整性。ETSI SR 019 510规定了电子签名和印章长期保存需要适用的技术要求。

存证服务（Preservation Service,PresS)所实现的存证技术包括了证据记录，并且可以提升电子签名的法律有效性，因为存证服务能记录更多相关信息。

7、电子数据传输机构

在纸质书信时代，确保收件人已经接收到信函的方式之一就是采用挂号信的方式，挂号信是由邮政系统提供的服务。信函的触达和无篡改由邮政系统和邮递员来保障。而根据eIDAS条例，合格的电子挂号传输服务（qualified electronic registered delivery services）应满足以下要求：

1） 传输服务应由可信服务提供商提供；

2）传输服务商应确保对发件人身份的认证是可靠的；

3）传输服务商应在发送电子数据前确定收件人的身份；

4）被传输和接收的数据应该是被高级电子签名或印章保护的数据，由合格可信的服务商提供，且任何篡改都能被发现；

5）为了实现传送和接收而需要对数据所做的任何修改都向数据的发送和接收方作出了提示；

6）数据及其发送和接收的时间、对数据的任何修改都由合格时间戳服务机构进行了标示；

以上机构中，唯一不需要Trust Mark的机构是电子签名和印章生成机构（SigS），其他机构都需要获得可信服务认证，其服务才能在欧盟范围内得到认可。下图是截止2020年5月份，欧盟所有获得Trust Mark的服务商数量：

注释：

[1]https://www.uniformlaws.org/committees/community-home?CommunityKey=2c04b76c-2b7d-4399-977e-d5876ba7e034

[2]https://uscode.house.gov/view.xhtml?path=/prelim@title15/chapter96&edition=prelim

[3]https://www.uniformlaws.org/committees/community-home?CommunityKey=6317f73b-badb-47b2-8a5a-58ee62032ba1

[4]https://www.ntia.doc.gov/report/2003/electronic-signatures-review-exceptions-electronic-signatures-global-and-national-commerce

[5]https://go.eid.as/#about