第四章 區塊鏈與現行電子簽章法之相容性檢視
第三節 區塊鏈技術與國際電子簽章法之相容性
國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
94
第三節 區塊鏈技術與國際電子簽章法之相容性
第一項 區塊鏈簽章與電子簽章定義
第一款 傳統簽章之目的及功能
從部落至工商社會,為了讓雙方不會因為口頭約定而造成誤解或爭執,確 保雙方交易安全,因此多以契約書面將約定事項記載於紙本,並於契約上簽 章,以作為雙方不可否認之證據,傳統上簽章的目的及功能如下209: (1)識別簽署人的來源(識別功能)
(2)確保文件的完整性(認證功能)
(3)簽署人身分的真實性證明(不可否認功能) (4)簽署人意向之表達(表達意向功能)
(5)證明契約的存在(證據功能)
第二款 電子簽章之定義及法律效力
一、電子簽章定義
美國 UETA 第 2(8)條將「電子簽章」定義為附屬於紀錄或邏輯上有關聯的 電子聲音、象徵,由某人執行或接受,並有於該紀錄簽章之意圖210。
歐盟 eIDAS 則區分三種不同類型之電子簽章,並定有不同法律要件和效 力。最為基礎類型之「基本電子簽章」規範於第 3.10 條,係指一電子形式的數 據,附加於或邏輯地與其他電子形式數據相關聯,並提供簽名人用於簽署之目
209 Charlotte Salemans , An analysis of the legal effect of an electronic signature used to sign an agreement in a blockchain application under Dutch law(October 31, 2017), p6, available at:
http://www.ubvu.vu.nl/pub/fulltext/scripties/14_2604465_0.pdf
210 UETA§2(8)(1999), ‘Electronic signature” means an electronic sound, symbol, or processattached to or logically associated with a record and executed or adopted by aperson with the intent to sign the record.’
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
95
的211。
兩者皆採技術中立原則,只要電子技術所形成的電子簽章能達到法規要 求,法律不應差別待遇或獨厚某種技術,甚至應隨著科技發展而將「電子」一 詞作廣義解釋。因此電子簽章技術例如數位簽章、生物辨識、指紋辨識、瞳孔 虹膜辨識、聲紋辨識、DNA 比對鑑識等,皆為廣義之電子簽章。
二、電子簽章法律效力
美國 UETA 第 7(a)條212與歐盟 eIDAS 第 25.1 條213皆規定,不能僅因簽章是 電子形式而否認其法律上效力或執行力。但歐盟 eIDAS 另區分三種不同類型之 電子簽章:基本電子簽章、進階電子簽章、合格電子簽章,並異其法律效力,
符合合格電子簽章之要件者,始與手寫簽名有同等之法律效力,基本電子簽章 和進階電子簽章則須再進一步檢驗其電子簽章之可靠性,例如電子簽章生成之 技術標準或流程是否安全可靠,以作為法律上效力判斷之依據。
第三款 區塊鏈簽章與現行法之相容性
一、區塊鏈簽章定義
傳統簽章透過人類筆墨字跡的不可偽造、不可否認等特性,使簽署的文件 具有法律上效力和商業上之意義,但隨著科技技術進步,偽造人類筆墨字跡已 非難事,此外,電子商務蓬勃發展,電子交易逐漸取代傳統面對面的交易,如 何確認雙方交易當事人和交易效力成為重要課題,遂發展出電子簽章,以密碼 學技術、生物辨識技術,希望杜絕簽名仿造之情事,以維護交易安全。
211 eIDAS §3.10(2014) , ‘electronic signature means data in electronic form which is attached to or logically associated with other data in electronic form and which is used by the signatory to sign.’
212 UETA§7(a)(1999), ‘A record or signature may not be denied legal effect or enforceability solely because it is in electronic form.’
213 eIDAS §25.1(2014) , ‘An electronic signature shall not be denied legal effect and admissibility as evidence in legal proceedings solely on the grounds that it is in an electronic form or that it does not meet the requirements for qualified electronic signatures.’
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
96
而區塊鏈簽章係指透過區塊鏈技術所保護的簽章,並視為電子簽章的一種
214。用以證明電子文件是由發送方簽署且傳送的,並確保電子文件的完整性。
二、區塊鏈簽章運行方式
區塊鏈中每一筆交易皆透過數位簽章之簽署,而每一筆交易的標的可以是 所有權轉換、版權移轉等,並將交易的軌跡安全記錄在帳本,且不受中間機構 的控制,例如比特幣交易系統即是屬於數位貨幣的所有權轉換。
以比特幣為例,寄件者須先確認收件者之位址,以方便進行數位貨幣之所 有權轉換,收件者利用 SHA-256 雜湊函數產生私鑰,再利用私鑰進行橢圓曲線 加密運算產生相對應之公鑰,算出公鑰後再以 SHA-256 雜湊函數和 RIPEMD-160 雜湊函數得到公鑰之哈希值,此亦為比特幣之位址。
寄件者收到收件者之位址後,亦以 SHA-256 雜湊函數產生私鑰,並進行橢 圓曲線加密運算產生對應之公鑰,以私鑰對收件者的位址、交易資料的哈希值 進行加密,形成一個數位簽章,並將交易資料、數位簽章和寄件者之公開金鑰 一同打包廣播給區塊鏈網絡進行後續驗證。
寄件者是否有效的將比特幣轉移給收件者,並非由收件者進行確認,而是 由區塊鏈中的節點進行 POW 競逐取得記帳權,之後取得記帳權之節點須將答 案和該筆交易廣播至整個區塊鏈網絡,由全體節點共同進行驗證,驗證節點會 以寄件者之公開金鑰對此交易之數位簽章進行解密,解密後會得到一哈希值,
此外會再以此筆交易資料、收件者之位址進行單向雜湊函數得到另一個哈希 值,將兩個哈希值進行比對,若兩者一致,表示交易資料未遭到竄改,當多數 節點利用上述方法驗證交易資料確認無誤,有效交易即成立。
214 請參照亞利桑那州電子交易法第 44-7061 條(A), 參考網址:https://codes.findlaw.com/az/title-44-trade-and-commerce/az-rev-st-sect-44-7061.html;
、田納西州電子交易法第 47-10-201 條(1) , 參考網址:
https://publications.tnsosfiles.com/acts/110/pub/pc0591.pdf
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
97
上述過程讓驗證者得以確認電子資料是由簽署者所發送且其電子資料未遭 竄改,以達到不可否認性,至於是否為簽署者本人為之,則非所問,但目前在 認許制區塊鏈為方便管理和落實消費者保護,亦設計有中心機構事先進行身分 資格的查核,通過後方得加入區塊鏈的管理機制,但開放式區塊鏈為達到匿名 性的功能,通常不會進行身分勾稽。
三、區塊鏈簽章與國際現行法之相容性
美國 UETA 和歐盟 eIDAS 為了達成促進電子交易安全與全球電子商務發展 之立法目的,並因應資訊科技快速發展,對於電子簽章之定義皆採取抽象、廣 義之解釋,不限定電子簽章須由某種特定技術作成。
區塊鏈簽章係以雜湊函數、數位簽章技術確保了所簽署之數據之真實性、
完整性,並以時間戳作為特定時間之存在證明,而美國 UETA 和歐盟 eIDAS 對 於電子簽章之最基本定義係指,有簽署之意圖並以電子形式的數據附加或邏輯 性的關聯於另一電子數據。
因此在美國 UETA 和歐盟 eIDAS 的規範體系下,電子簽章簡單來說就是一 電子形式的數據,並附加於所欲簽署之文件215或具有邏輯上之關聯,這意味著 文件和電子簽章可以作為單獨的電子數據存在,不需要包含在相同的電子數據 或資料夾中,只要邏輯上相關聯即可216,而區塊鏈簽章亦使用數位簽章技術將 區塊鏈簽章附加於交易資料或電子文件並一同打包寄送給收件者,符合兩國電 子簽章之定義,惟歐盟 eIDAS 將電子簽章進一步細分為三種類型:基本電子簽 章、進階電子簽章、合格電子簽章。基本電子簽章的要件與美國 UETA 電子簽 章之定義相同,惟「進階電子簽章」另設有四個要件:
(1)與簽署者有著唯一的聯繫。
215 此處的文件是有別於電子簽章的電子數據。
216 Charlotte Salemans , supra note 208, at 10.
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
98
(2)能夠識別簽署者。
(3)電子簽章係以電子數據資料(electronic creation data)產生,簽署者可高度信賴 並擁有獨立的控制權。
(4)與簽署的資料具有連動性,任何資料的變動皆可檢測。
進階電子簽章之規範目的在於加強簽署者和簽署的數據之間的關聯性,可 增強簽署人之識別,但與基本電子簽章一樣,仍無法對於簽署人的身分作出真 實性的證明。因此,第三種類型之「合格電子簽章」要求須由合格的電子簽章 產生設備根據合格憑證以產生簽章,透過合格的第三方 TSP(Trust Service Provider)頒發憑證以認證簽署人身分的真實性,以達到不可否認之功能使簽署 人無法否認電子簽章之效力。
綜上所述,區塊鏈簽章符合現行美國 UETA 電子簽章之定義,但在歐盟 eIDAS 將電子簽章區分為三種類型的法律架構下,區塊鏈簽章僅符合 eIDAS 基 本電子簽章與進階電子簽章之定義,惟不符合「合格電子簽章」對於簽署人身 分真實性證明的要求,區塊鏈技術下之交易並無如電子簽章有所謂的憑證機構 此等中間機構針對簽署人(使用者)身分進行查核,因此無法知悉簽署人(使用者) 的姓名、信用等個人資料以與其簽章進行連結,故不該當合格電子簽章之要 件,亦無法被賦予與手寫簽名相同之法律效力。但若在認許制區塊鏈中,節點 加入前多須經過身分查核,因此可能符合合格電子簽章之要求。
第二項 中心化憑證機構之主體責任與區塊鏈分散式 節點責任
區塊鏈技術,又可稱為分布式帳本技術(Distributed Ledger Technology),讓 以往中心化的資源分配和風險管理的模式轉變為分布式(Distributed),換言之,
節點與節點之間無需有一中心節點主導資訊交換、風險管理或身分認證,因
‧
1997 年提出之互聯網監管政策-全球電子商務框架(The Framework for Global Electronic Commerce)217有關,其確立所謂不傷害準則(Do no harm approach)218, 並認為資訊科技時代應多藉由私人協議或市場機制來解決問題,而非採行由上 而下之傳統監管框架219,因此對比歐盟明文規範憑證機構之責任,美國傾向以 主導國際標準訂定的方式如 PKI 架構(Public Key Infrastructure) 220,讓業者自主 遵守,並透過市場競爭和監督的力量淘汰不適任之業者,政府只須採取最低 度、可預測性之干預措施,避免扼殺資訊科技指數式的發展能量221。217 A Framework for Global Electronic Commerce Executive Summary, supra note 112.
218 源自於 Hippocratic Oath,原為西方行醫者作為警惕自我的誓詞,認為醫生的首要考慮是切 勿傷害到病人。
219 Adam Thierer, 15 Years On, President Clinton's 5 Principles for Internet Policy Remain the Perfect Paradigm, available at: https://www.forbes.com/sites/adamthierer/2012/02/12/15-years-on-president-clintons-5-principles-for-internet-policy-remain-the-perfect-paradigm/#69bebc471703 (Last visited on 2019/07/01)
220 PKI (Public Key Infrastructure),又稱為公開金鑰基礎架構,是一個具有中心管理者、參與 者、硬體、軟體、管理流程規範的基礎架構,目的是為了將使用者的個人身分和公開金鑰進行 連結,進行使用者的憑證申請、管理,以確保使用者身分驗證(Authentication)和電子訊息交換 的完整性(Integrity)、不可否認性(Non-repudiation)和信賴(Confidentiality)。
221 Marco Dell’Erba, Demystifying technology. Do smart contracts require a new legal framework?
Regulatory fragmentation, self-regulation,public regulation(May 17, 2018), p29-30, available at:
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
100
歐盟 eIDAS 從憑證機構的定義、注意義務、損害賠償責任、舉證責任皆有 清楚之規定,有別於美國傾向最低管制態度,歐盟對於憑證機構的責任採取明
歐盟 eIDAS 從憑證機構的定義、注意義務、損害賠償責任、舉證責任皆有 清楚之規定,有別於美國傾向最低管制態度,歐盟對於憑證機構的責任採取明