在疫情中以高科技形象聞名全球的臺灣,有一點恐怕會讓您意想不到:上至政府、下至個人的各種文件,至今仍有很多官方行政作業仍以傳統紙本簽名與印章進行,為滿足這些用紙需求,根據環保署統計,臺灣每年耗紙量高達數百萬噸,不僅造成龐大的資源浪費,更對環境造成嚴重負擔。
普羅大眾可能以為臺灣沒有電子簽章相關法律,因此相關產品無法在臺灣普及化。但其實臺灣《電子簽章法》(註1)早在 2001 年 11 月 14 日就三讀通過,並於隔年正式施行,已經施行超過 20 年。
《電子簽章法》最主要的問題,是其對電子簽章電子簽名效力之敘述不足,對電子簽章僅有「指依附於電子文件並與其相關連,用以辨識及確認電子文件簽署人身分、資格及電子文件真偽者。(第 2 條)」之內容,加上政府各部門,過去仍有許多對於電子簽章適用排除條款,使得一般企業或個人難以明確理解何種產品適合作為簽署使用,因此寧願繼續採用紙本簽名。
在全球數位轉型加速的趨勢下,臺灣的《電子簽章法》顯然已無法滿足當前的需求。要使臺灣成為真正的數位國家,勢必需要更明確的法律規範來保障電子簽名效力,加速推動各行各業的數位轉型。因此,《電子簽章法修法》刻不容緩,以提升臺灣在全球數位經濟競爭力,並減少對環境的負擔。
註1:電子簽章法. (2024, May 15). 全國法規資料庫. https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=J0080037
文章目錄
數位簽名的應用場景
數位簽名的應用場景極為廣泛。美國在 2000 年推出了《電子簽名法案 (ESIGN Act)》,賦予了數位電子簽名與傳統手寫簽名同等的法律效力,自此美國人從合約到法院文件,皆可改用電子簽名形式完成簽署。英國法務部下屬的產業工作小組(IWG)在 2022 年的期中報告表示:「本組很確定的看法是,電子簽名可以而且應該在今日被廣泛應用,社會成員都應該要對其抱持信心。」
數位電子簽名不只是作為政府對環保的宣示範例,更是各國政府積極推動的政策。加州自然資源局(CNRA)就引入電子簽名產品,無紙化減少了 75% 的紙本傳遞耗時,充分展現了電子簽名在提升行政效率方面的優勢。
而英國政府的「數位、文化、媒體與體育部(DCMS)」也正在進行數位身分與特徵信任機制框架的設立,2022 年英國政府已與日本、澳大利亞、紐西蘭及新加坡等國簽訂了數位經濟協議(DEA),進一步解決跨境商業與交易的電子簽名應用問題,並強化了電子簽名的效力。
政府對於電子簽名的信心,源於產業界的趨勢。根據市場行銷研究機構報告,2021 年全球電子簽名市場約值 15.27 億美元,估計將於 2030 年成長至 127.21 億美元, 顯示出企業對於電子簽名的需求日益增加。
支撐此潮流的強勁成長力道,來自於全球跨產業對於個資安全、ESG、遠距辦公等場景的需求。因此除了傳統的軟體應用外,電子簽名在銀行、金融服務與保險等高度重視資料安全與合規性的產業中也備受注目。
生物辨識 x 區塊鏈: SelfieSign 打造最安全的數位電子簽名解決方案
過往電子簽名或數位簽章,未能如預期般成功推廣到各地的原因之一,即在於安全性與易用性之間的矛盾。電子簽名雖然方便,但卻難以認證簽署者的身分,其簽名軌跡也不具鑑識可能;而數位簽章則往往需要實體卡片或信物作為身分驗證之用,讓使用者備感不便。 為此,市場迫切需要一種兼具電子簽名效力、安全性與便利性的解決方案。
有鑑於此,找出一條能同時滿足電子簽名適法性、安全性、與不可否認性需求的產品就顯得極為重要,影像數位電子簽名應運而生。隨著生物辨識技術與區塊鏈技術的成熟,生物資訊的收集與應用已相當成熟,不論是臉部影像、指紋、聲紋、字跡、虹膜等,已經有許多非侵入式的生物資訊方法可供應用與區塊鏈的不可篡改特性,為數位簽名帶來了全新的可能。對數位簽名而言,生物資訊就是其所需的關鍵解方,而區塊鏈電子簽名則利用區塊鏈的去中心化特性,搭配亂數碼、雜湊值以及數學方法的加密,已有能力擔負更高風險的商業與法律用文件簽署,確保簽名的完整性與不可否認性,其安全性甚至較紙本簽章更為有效。
雲想科技取兩者之利,研發出有別於傳統「數位簽章技術」之「生物性電子簽章技術」,並推出產品 SelfieSign。其特色為簽名時同時錄製簽署者臉部影像、周遭聲音,以及記錄當下之 GPS 位置、時間等多維度資訊,並將這些數據加密存儲在區塊鏈上。事後即可重現簽署當下之狀況,不僅能有效驗證簽署者的身份,還可追溯整個簽署過程,確保電子簽名效力。SelfieSign的出現,不僅解決了傳統電子簽名存在的安全問題,更為各行各業提供了更安全、可靠、便捷的簽署方式。
信賴等級 LoA:按照需求選擇適當的電子簽名等級
技術的革新之外,產官學界共建立起一套信賴等級(Level of Assurance, LoA)的評鑑標準,用以分辨電子簽名效力。LoA等級根據每個數位簽名依帳號註冊時所需提供的身分數據強度、簽名時需要的信物、驗證機制的複雜度、以及適合使用場景的風險高低,分為 4 個等級。
等級越高的簽名產品,註冊身份所需提供的資訊越多、簽名有效性或信物的信任機制就越強、驗證身分的因子數也越多。
例如,信任等級最低的 LoA1 電子簽名,使用者僅需一個電子郵件帳戶即可註冊使用,它可以用於低風險的場景中,例如簽到領取禮物、簡單的免費帳號登錄等。這些場景的應用不需要太過嚴格的身分驗證,反而更需要快速完成簽名,以及可以大量複製使用的易用性。
而信任等級最高的 LoA4,註冊時可能需真人臨櫃辦理、簽名時需綁定硬體安全金鑰、並且需要多因子驗證。這麼多要求是因為其可對應的高風險場景,例如涉及高額交易或具有法律風險重要性之文件,就值得使用者忍受這些麻煩,以獲得最高的安全等級。
歐盟 eIDAS 法規亦將數位電子簽名的效力,按照身分驗證的強度、是否透過授信服務業者授信等指標,分為 SES(簡易電子簽名)、AES(進階電子簽名)、QES(高級電子簽名)等三個等級,其概念與 LoA 相似。
透過對數位電子簽名的形式與效力做分級,可以讓用戶在採用電子簽名時,明確知道該使用哪種層級的電子簽名,有效減少爭議。
(圖1) SelfieSign電子簽名的不可否認性效度比較
SelfieSign 影像數位電子簽名滿足 eIDAS AES 及LoA4 標準
在數位轉型的浪潮下,電子簽名已成為各行各業不可或缺的工具。然而,傳統的電子簽名在安全性與易用性方面仍存在不少挑戰。為解決這些問題,雲想科技推出了創新的影像電子簽名產品 - SelfieSign。雲想SelfieSign 由於記錄了簽名者的臉部影像、聲音等生物特徵,並且後續在加密時賦予該簽名獨一無二的亂數碼,為每份簽名與電子文件建立了獨一無二的數位聯結。這種高度個人化的簽名方式,不僅能有效防止偽造,更能確保簽名的真實性與可靠性。
這樣的簽名方式符合 eIDAS 法規中 AES(進階電子簽名) 等級的要求,這意味著 SelfieSign 所產生的電子簽名具有高度的法律效力。同時亦可在經過增加身分驗證要求、以數位皮夾綁定信物驗證等多重驗證方法後,輕易地達成LoA4 最高等級的需求,滿足高風險場景的嚴格要求。此外,SelfieSign不僅適用於高安全性的場景,對於僅需 LoA1 等級簽名的場景,SelfieSign 亦可在文件管理者設定文件時透過開關錄影要求、設定範本等方式,為用戶打造出可快速簽署且易於管理的電子簽名。
隨著臺灣數位轉型的腳步加快,《電子簽章法》的修訂已經是不得不為之事。在產業界的呼籲下,政府終於成立數位發展部,於行政院會通過《電子簽章法修正草案》。我們希望,能為數位轉型的潮流中略盡綿薄,拋磚引玉,讓臺灣數位軟體產業發展在全球中搶得先機。
Comments