工商社論》修訂過時《電子簽章法》打造數位產業新契機

工商社論》

在疫情中以高科技形象聞名全球的臺灣,有一點恐怕會讓你我都意想不到的落伍趨勢。上至政府、下至個人的各種文件,至今仍有很多官方行政作業以紙本簽名與印章進行。爲滿足這些用紙需求,耗費大量的能源,製造了無數難以處理的污染。社會大衆可能會誤認爲臺灣沒有電子簽章相關法律,其實臺灣《電子簽章法》早在2001年11月14日就三讀通過,並於隔年正式施行,施行超過20年。

《電子簽章法》最主要的問題,是它對法令涵蓋的電子簽章或數位簽章型式的界定不足,對電子簽章僅有「指依附於電子文件並與其相關連,用以辨識及確認電子文件簽署人身分、資格及電子文件真僞者。(第2條)」之內容,加上政府各部門本身,至今仍有許多對於電子簽章適用的排除條款,以至於一般企業或個人難以明確理解何種產品適合作爲簽署使用,因此寧可繼續採用紙本簽名。

就歐美案例而言,美國在2000年推出了《電子簽名法案(ESIGN Act)》,自此美國人從合約到法院文件,皆可改用電子簽名形式完成簽署。電子簽名在不同的場域裡衍生不同的應用,加州自然資源局(CNRA)引入電子簽名產品,減少了75%的紙本傳遞耗損。2022年英國政府也已與日本、澳大利亞、紐西蘭及新加坡等國簽訂了數位經濟協議(DEA),進一步解決跨境商業與交易的電子簽名問題。

2021年全球電子簽名市場約值15.27億美元,估計將於2030年成長至127.21億美元,也產出超過十隻的獨角獸(如Docusign),根據市場行銷研究機構報告,支撐此強勁的成長力道,來自於全球跨產業對於個資安全、ESG、遠距辦公等場景的需求。因此除了傳統的軟體應用外,電子簽名在銀行、金融服務與保險相關領域的殷切需求也備受矚目。

基於ESG無紙化的強烈需求及對資安的普世價值,目前的解方仍有所不足,欲同時滿足不同安全等級性與易用性需求的電子簽名產品就顯得極爲重要。不過,可喜的是,近年來科技長足進步,生物資訊的收集與應用已相當成熟,不論是臉部影像、指紋、聲紋、字跡、虹膜等,已經有許多非侵入式的生物資訊方法可供應用。就電子簽名而言,生物資訊就是滿足辨識不足的關鍵解方。甚至,區塊鏈的應用,使得對簽名的變更與編輯都會被完整記錄下來,進一步強化電子簽名的防僞功能,這些更合乎人性的創新可以逐步滿足需求。

除了科技能力之外,產官學近年的趨勢,是建立起一套分辨電子簽名效力的評鑑標準,此即所謂「信賴等級(LoA)」。每個電子簽名可以依帳號註冊時所需提供的身分數據強度、簽名時需要的信物、驗證機制的複雜度,以及適合使用場域的風險高低,分成四個等級。等級越高的簽名產品,註冊身分所需提供的資訊越多、簽名有效性或信物的信任機制就越強,驗證身分的因素、要件也越多。例如,信任等級最低的LoA1電子簽名,使用者僅需一個電子郵件帳戶即可註冊使用;而信任等級最高的LoA4,註冊時仍需本人臨櫃辦理、簽名時需綁定硬體安全金鑰,並且需要多因子驗證。這麼多要求系基於對應的高風險場域,例如涉及高額交易或具有法律風險重要性之文件,就值得使用者忍受上述麻煩,以獲得最高的安全等級。全球的新創企業也致力開發優化的解方,藉由優化的解決方案所完成的簽名,不但能夠可靠地識別簽名者,更能讓簽名與簽名者建立獨一無二的連結,同步滿足LoA1等級簽名至LoA4最高等級場域的需求,進而爲用戶打造出可快速簽署且易於管理的電子簽名。

隨着臺灣數位轉型的腳步加快,《電子簽章法》的修訂已經箭在弦上。在產業界的呼籲下,政府終於成立數位發展部,並考慮對《電子簽章法》加以修訂。以電子資訊和半導體產業立國的臺灣,很難想像是由20年前的過時法令來主導臺灣整體的資安發展。在電子簽名逐漸成爲國際趨勢下,《電子簽章法》的修訂刻不容緩。此法一日不修訂,臺灣的資訊安全就有如植基於脆弱的沙丘之上,影響所及,臺灣在數位上的創新,就會綁手綁腳,在國際競爭中嚴重掉隊。

在此呼籲,在數位轉型的潮流中,政府單位及國人必須正視《電子簽章法》的必要性,方足以促成臺灣在全球數位軟體產業發展中搶得先機。