近期看到數發部官方臉書一則短文〈電子簽章、電子化簽名,有什麼差別呢?〉,用詞相當精準,對社會大眾釐清觀念很有幫助。
文中指出,在日常生活裡常見的「電子化簽名」,例如紙本簽名後拍照、截圖,或是在電子文件上用手機手寫簽名,都可歸於電子化簽名的範疇。然而,這類做法容易與電子文件分離、也可能被仿造,因此並不屬於電子簽章法所稱的「電子簽章」。相對地,「電子簽章」是在電子文件上能識別簽署者身分、並確保文件完整性的數位技術,具有「身分驗證 + 文件完整性驗證」的雙重功能,讓使用者享受電子文件的便利,同時不犧牲安全性。值得注意的是,文中也提醒,「電子化簽名」在民法上有時仍可能具有意思表示效力,仍需視具體情況適用民法或其他相關規定。
從實務角度來看,「電子簽章」之所以成為線上文件安全與法律效力的關鍵,核心就在於「身分驗證」。其機制通常透過事前身分識別方式(例如帳號密碼、多因素驗證,甚至生物辨識),再結合加密技術產生唯一的數位指紋,並搭配第三方機構認證(如數位憑證),用以確認簽署者身分,同時確保文件在簽署後未被竄改。藉由這些設計,數位簽章得以在法律上等同親筆簽名,並提供文件真實性、完整性與不可否認性,因此常見於合約、金融業務、政府文件等高安全需求的場景。
若以一句話概括,「身分驗證」處理的是「你是誰」的問題,目的在確保簽署人確為其所聲稱的真實身分。一般常見作法包含帳號密碼、一次性的簡訊驗證碼(OTP)、電子郵件驗證等;再往上,則會採用多因素驗證(MFA)、行動電話認證(MID),或生物辨識(如人臉、指紋)等方式。至於更高階的作法,則是透過數位憑證機構(CA)進行更嚴格的身分審核,例如採用面對面或視訊驗證等流程,以提高可信度。
與此相對,「電子簽章」要確保的是「簽署有效且內容不變」。其基礎技術是公私鑰加密技術(例如非對稱式加密):簽署時,系統會先對文件產生雜湊碼(Hash),形成文件獨一無二的數位指紋;接著由簽署者使用私鑰加密該雜湊碼,生成數位簽章,並將簽章附加於文件之上。接收方在驗證時,則會以簽署者的公鑰解密簽章取得原始雜湊碼,同時再對收到的文件重新計算雜湊碼,最後比對兩者是否一致:若一致,便可確認文件內容未被竄改(完整性),且確由持有私鑰者完成簽署(真實性)。
回到台灣的電子簽章法規與應用,只要符合規範的數位簽章,即具有與親自簽名或蓋章相同的法律效力。雖然數位簽章(Digital Signature)與電子化簽名(Electronic Signature)在日常討論中常被混用,但前者具備更嚴謹的技術與法律基礎。完善的簽署服務也通常會記錄簽署過程,例如時間、IP與行為等資訊,以備查驗,進一步支撐「不可否認性」。整體而言,「身分驗證」解決「簽署人是誰」,「電子簽章」確保「簽署行為有效且內容未改」,兩者結合後,才構成一個安全、可信賴的數位簽署環境,使線上交易與文件簽署能具備與線下相當的法律保障。
不過,傳統簽章行為在數位化之後,也會帶來額外風險。其一,是如何在遠端情境下確認簽署者身分與授權;其二,是一旦發生糾紛,相關流程與紀錄是否具備足夠的舉證效力;其三,則是如何確保資料的正確與完整性。也因此,隨著數位科技演進,「身分驗證」近年出現多種創新模式,其中之一便是「持證自拍」。
東吳大學法律系教授兼法學院長莊永丞在《當代法律》今年3月刊〈我國數字身分驗證法制之我思我見〉一文中,深入探討了數位身分與持證自拍相關的法律與科技問題。司法界確認其可作為呈堂證據以驗明身分,並指出其可將傳統身分驗證程序數位化,符合電子簽章法的三大要件:依附於電子檔、識別簽署人身分、以及確保電子文件完整性。其作法是由使用者上傳持證自拍與證件照片,透過台灣戶政系統API交叉驗證,並結合人臉識別與光學字元辨識(OCR)技術,以確認證件真實性與使用者身分一致性。這樣的流程可取代傳統手寫簽名與蓋章,並在法律上成為不可否認的依據;在金融交易或法律文件簽署中,也能即時確認簽署人身分、防止文件篡改,進一步提升法律效力,降低身分偽造與文件篡改風險。
綜合來看,身分驗證技術與流程的整合,將會是未來電子簽章市場上的關鍵要角。若能持續出現更多創新方案,讓使用者更便利、也讓業者更易於導入合適的業務場景,電子簽章的普及自然可望加速推進。