吳右任
我國《電子簽章法》立法至今已 20 餘年,當時電腦世代的時空背景與現今行動世代迥異,科技也經多次迭代而與現代大不相同。二十年未修的電子簽章舊法,已不符合時代潮流與社會需求,許多新興科技技術,因為舊法條文不明而明珠暗投的不計其數,連帶讓社會想拋開簽名與蓋章文化、邁向無紙化的期待也變得遙不可期!民間對這部「老爺級法律」修法早已殷殷企盼。
因緣際會,因《電子簽章法》管轄主管機關將從經濟部商業司轉至數位發展部轄下,《電子簽章法》修法開展了新契機,筆者與數位治理協會共同參與了幾場數發部修法公聽會,在此也想拋磚引玉,分享一些想法,望諸位先進不吝回饋。
《電子簽章法》因管轄主管機關將從經濟部商業司轉至數位發展部轄下,開展了修法新契機。(本報資料照)
《電子簽章法》20年未修很重要的原因,是因為它其實是部很有修改難度的法律,它不是只單純從法理觀點就可以修法解決問題,《電子簽章法》牽涉很多電子簽章,電子文件技術與與科技業界標準,更有甚者,它更涉及了最困難最複雜的網路數位身份驗證。
筆者過去因為參與衛福部「醫療同意書數位化試辦計畫」,計畫方案後來經法國 LeSwave 加速器推薦,參與以歐盟 elDAS 框架進行審核查驗技術架構之合規性與適法性。這個經歷讓筆者了解歐盟是如何處理這類同時事涉法律與技術的法案。歐盟 elDAS 框架不會僅止於法規面還會以科技技術標準、資安、資料加密與程序等面向來確認保證等級。
這次《電子簽章法》修法如能順利經立法院通過,進步幅度已不可謂不大。但最可惜的,是在修法法條中未如歐盟在法條中明文定義保證等級的分級。 歐盟 elDAS 法案中,將電子簽章按照資安加密條件,採用的技術規格、標準與程序能是否能降低身份識別與資料被濫用的風險,對應個不同場景面臨風險所需求的保證等級,分為 BES(基本)、AES(進階)、與 QES(完整)三個不同等級;美國 NIST 數位身分指引(DigitalIdentity Guidelines)也分低、中、高三個等級。 ISO29115 國際標準則分成 LoA 1-4(Level of Assurance)四個信任等級。
對《電子簽章法》條訂出明確的保證等級分級,未來才不至於讓各界在使用不同之電子簽章技術法方案時產生適用與適法性的疑慮,同時也會避免因產品適用性與適法性模糊不清而產生糾紛。
如未明確分級適用制度,不僅應用上會讓對應法遵莫衷一是,如在高風險或重大權利義務的場合,卻採用了屬於本該是低保證效度的電子簽章方案,屆時產生的糾紛與或意外風險該由哪一方來承擔?
再者,如未在這次修法,依國際標準訂定分級,將來如何接軌國際?20年前的《電子簽章法》舊法,對於「數位簽章」以及憑證的管理應用辦法已相當清楚,反而大家最期待的是對「其他類型的電子簽章」,能有法律上更明確的說明與規範。 如今世界各國都在加速推行國際間電子簽章文件的往來性,例如 2021 年 12 月英國與新加坡已經簽定「數位經濟協定 DEA」,其中就規定兩國同意將貿易文件數位化,同意電子簽名的使用。
elD 數位身份證推行功敗垂成,原先也有規畫使用電子簽章,但在數位化呼聲的同時,各界也同時反思站在數位化對立面,關心個資使用、個資保護,與後續衍生可能的資安的問題。數位浪潮下不可避免,未來 elD 數位身份證議題,未來勢必會再重啟,也會再次面對其中涉及《電子簽章法》的部分,建議政府把握此次修法的機會,如未能一次在修法條文建立保證等級分級制度,不妨可以仿效其他技術服務能量登錄制度,來建立電子簽章技術能量登度制度,並依照歐盟及其他國際框架,訂立保證等級分級制度,也為未來 elD 議題,甚至為因應未來 elDAS 2.0 的趨勢浪潮,奠立完善的基礎。
(作者為科技公司執行長)
自由開講》是一個提供民眾對話的電子論壇,不論是對政治、經濟或社會、文化等新聞議題,有意見想表達、有話不吐不快,都歡迎你熱烈投稿。請勿一稿多投,文長700字內為優,來稿請附真實姓名(必寫。有筆名請另註)、職業、聯絡電話、E─mail帳號。本報有錄取及刪修權,不付稿酬;錄用與否將不另行通知。投稿信箱:LTNTALK@gmail.com
相關新聞
編輯精選
自由評論網粉絲團