第五章 區塊鏈與台灣電子簽章法之相容性
第六節 電子簽章法修改建議
國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
139
程式碼維護、系統設備更新等,以確保區塊鏈之運行正確順暢,進而加強區塊 鏈時間戳本身作為證據之證明力。
第六節 電子簽章法修改建議
本章第三節至第五節主要以區塊鏈簽名、區塊鏈分散式節點責任和區塊鏈 時間戳三個部分分析區塊鏈與電子簽章法之異同,以下亦以此分述電子簽章法 之修改建議:
第一部分,區塊鏈簽名能確保簽署者所加密和簽署的資料不被竄改,但因 無憑證機構作身分勾稽,因此並無法確認簽署者的真實身分和資格,故無法該 當本法第 2 條對於電子簽章可用以辨識及確認電子文件簽署人身分、資格的定 義。
考量本法立法目的和國際的趨勢,皆以技術中立為原則,因此只要能識別 簽署人(識別功能)、表達簽署人之意向(表達意向功能)、證明契約的存在(證據 功能)的電子技術,皆應可適用電子簽章法而有法律上之效力,不讓立法的文句 對技術發展造成限制或偏袒的效果,以維護自由市場競爭和創新發展。
據此應可參酌美國 UETA、歐盟 eIDAS 之電子簽章定義:
美國 UETA 第 2 條第 8 項:「「電子簽章」 係指以電子的聲音、標記(symbol)或 過程(process)附加於或邏輯上關聯於一份記錄。」
歐盟 eIDAS 第 3.10 條:「「基本電子簽章」係指一電子形式的數據,附加於或邏 輯地與其他電子形式數據相關聯,並提供簽名人用於 簽署之目的。」
由上述可觀察出美國 UETA 和歐盟 eIDAS 皆未規範電子簽章本身須具備識 別簽署者真實身分的功能298,僅說明其為一電子標記或數據附加於或邏輯上與
298 電子簽章中簽署者之身分通常另設立憑證機構進行識別和檢驗,有如現實生活中的戶政事務
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
140
電子文件相關聯,甚至未要求電子簽章須達到與簽署者或簽署之文件有不可否 認性之功能,將法規範客體放寬至最大,因此各項電子簽章技術隨著時間演進 或科技技術進步,皆能納入電子簽章法規範中,至於其法律上效力或證據能 力,則會因個案所使用的核心技術或標準嚴謹程度而賦予不同之法律上效力和 證據能力。
我國與歐盟皆為大陸法系國家,非如美國以實務判例之累積而形成判準,
故可參酌歐盟 eIDAS 區分三種不同之電子簽章類型:基本電子簽章、進階電子 簽章、合格電子簽章,規定不同要件並異其法律上效力和證據能力,以維護法 律上之安定性,並提供業者可供遵循之準則,亦同時保護消費者權益。
第二部分,區塊鏈分散式節點責任,各節點間與開發者之權利義務可參酌 合夥關係進行規範,而我國電子簽章法中關於憑證機構規範乃以數位簽章技術 為基礎建立,與區塊鏈運行機制有所不同,縱使如認許制區塊鏈,為改善公有 鏈使用 POW 共識機制所耗費之大量資源和時間,因此採用類似傳統中間機構 或只賦權於某些超級節點進行節點資格審核或驗證資訊以追求效率,雖有中心 化之特點,但實際運行原理仍與數位簽章憑證機構不同,因此我國電子簽章法 中對於憑證機構行政管理規範難以移植適用於開放式或認許制區塊鏈,但節點 損害賠償責任宜與憑證機構推定過失責任作相同設計,因被害者使用區塊鏈提 供之服務,對於區塊鏈使用的系統設備、演算法設計或資訊安全防護皆難以知 悉,在如此雙方資訊不對等、證據偏在的情形下,應課予負有專業知識能力或 對自己設備較為了解之節點負擔舉證責任,方符合公平要求。
至於注意義務之標準應以一個理性之開發者或節點應盡之注意義務作為衡
所負責個人身分審核並發給身分證明,電子簽章本身僅能證明係由正確之來源簽署,但無法證 明是由真正簽署者使用電子簽章。例如甲拿著乙的印鑑和存簿至郵局領錢,郵局僅能形式審查 檢驗其具備由乙帳戶領錢之必備文件:乙的印鑑和存簿,但無法確認拿著乙印鑑和存簿的甲是 否確實為乙本人。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
141
量基準,如程式碼維護、安全性漏洞修補與更新、組織資安教育訓練、風險管 理等,相關資訊安全規範亦可參照我國個人資料保護法第 19 條第 1 項第 2 款,
其指出非公務機關對於個人資料之蒐集或處理應採取適當之安全措施,又所謂
「適當之安全措施」依照個人資料保護法施行細則第 12 條係指防止個人資料被 竊取、竄改、毀損、滅失或洩漏,而採取技術上及組織上之措施,且此措施應 與所欲達成之個人資料保護目的間,具有適當比例為原則。而「措施」得包含 以下事項299:
一、配置管理之人員及相當資源。
二、界定個人資料之範圍。
三、個人資料之風險評估及管理機制。
四、事故之預防、通報及應變機制。
五、個人資料蒐集、處理及利用之內部管理程序。
六、資料安全管理及人員管理。
七、認知宣導及教育訓練。
八、設備安全管理。
九、資料安全稽核機制。
十、使用紀錄、軌跡資料及證據保存。
十一、個人資料安全維護之整體持續改善。
以上 11 項資訊安全措施亦可作為衡量區塊鏈網絡節點是否盡到善良管理人 注意義務之指標,以防相關法規所課予之資訊安全注意義務標準不一,不利業 者遵循和發展。
綜上所述,現行電子簽章法關於憑證機構規範是以數位簽章技術為基礎和 架構予以規範,難以適用區塊鏈之運作機制,宜另設章節作權利義務之規範方
299 個人資料保護法施行細則第 12 條第 2 項。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
142
為適宜,但對於所有電子簽章技術皆應注意的資訊安全議題,則可參照現行個 人資料保護法中對於非公務機關儲存或交換個人資料之系統設備所課予之資訊 安全規範300作相同程度的設計或以國際上資訊安全管理標準 ISO/IEC 27000、
ISO/IEC 27001 作為參考指標,可於法規以列舉方式定之,但不宜直接課予作為 義務,僅作為業者可資遵循的標準與法院進行損害賠償責任裁判的基準和心證 依據,其它則委由業者自律和市場監督,以避免過度妨礙市場的自由競爭,並 維持資訊科技技術創新發展的能量301。
第三部分,美國 UETA 並無時間戳的相關規範,故可參酌同屬大陸法系之 歐盟 eIDAS 對於時間戳的立法模式:
歐盟 eIDAS 第 41.1 條:「電子時間戳不得僅因時間戳為電子形式或不符合 本法合格電子時間戳之要件,而否認其作為法律上證 據之能力。」
歐盟 eIDAS 第 41.2 條:「合格電子時間戳應享有日期和時間準確性和其所 綁定資料具有完整性之推定。」
由上述可知,歐盟 eIDAS 不強行規定僅合格電子時間戳方有法律上效力,
而是符合合格電子時間戳之要件下享有法律上關於時間準確和資料完整之推 定,若對於合格電子戳之時間有所疑義或主張其所綁定之資料完整性有所欠 缺,則應由對造負舉證責任。
此種立法模式旨在保護電子時間戳不會因其電子形式而否認法律上之效
300 例如個人資料保護法施行細則第 12 條列舉公務機關或非公務機關所應盡之「適當
安全措施」義務。
301 業者若能遵循嚴格之資訊安全標準,例如具有國際公信力之準 ISO/IEC 27000、ISO/IEC 27001,將提升使用者使用相關產品之意願,至於不採用嚴格資訊安全標準之業者,則可能在市 場競爭之下逐漸不受使用者信賴,因而退出市場。尤其相較於其他產品,資訊科技產品或服務 之週期相當短暫,競爭激烈的情形下,眾家業者將競相推出好的產品和服務以取得顧客忠誠 度,實不須以法律規範相繩,而委由市場監督機制,並制定消費者保護的損害賠償規範即可。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
143
力,惟個案中是否具有法律上之效力和證據能力,則應進一步探討其所產生電 子時間戳的技術、設備、資訊安全防護等,因此合格電子時間戳要件之規定,
其實就是關於資訊安全之規範,當電子時間戳可偵測資料是否遭到竄改、時間 源準確、由合格機構所產生等中性條件,則應賦予法律上效力並享有法律上推 定以減輕舉證之責任,而不規範僅某項技術所產生的電子時間戳方為合格電子 時間戳,以符合國際電子簽章法一貫之「技術中立原則」,我國亦可參酌相關規 定以補足時間戳漏未規範之弊病,賦予法律上效力和證據能力,尤其未來以區 塊鏈為基礎之電子商務革命即將開展,電子交易和資料交換相關爭議只會更 多,而電子時間戳作為權利義務關係發生時間的佐證,具有商務上和法律上之 重要性,應速予規範,以利在法制上的基礎帶動區塊鏈下一波的電子商務革 命。