業(yè)務(wù)流程的數(shù)字化需要可靠的電子手寫簽名來(lái)執(zhí)行合同和協(xié)議。隨著個(gè)人和組織采用無(wú)紙化工作流程，數(shù)字簽名的采用近年來(lái)呈爆炸式增長(zhǎng)。然而，不同數(shù)字簽名標(biāo)準(zhǔn)的合法性和接受程度在不同地區(qū)存在很大差異。本綜合指南探討了全球主要市場(chǎng)中基于PKI的數(shù)字簽名法律和法規(guī)的有效性。

目錄——

1、美國(guó)
2、歐洲
3、英國(guó)
4、 中國(guó)
5、 印度
6、日本
7、新加坡
8、拉美地區(qū)
8.1、墨西哥
8.2、秘魯
8.3、哥倫比亞
8.4、阿根廷

1、美國(guó)

概述——

在美國(guó)，數(shù)字簽名在聯(lián)邦和州層面享有完全的法律效力和可執(zhí)行性。

國(guó)會(huì)于2000年頒布的《全球和國(guó)家商務(wù)電子簽名 (ESIGN) 法案》正式授予電子合同和數(shù)字簽名與傳統(tǒng)紙質(zhì)文檔和手寫簽名相同的法律地位。該法律為美國(guó)合法有效的電子簽名提供了基本框架。

此外，幾乎所有州都頒布了立法，承認(rèn)其管轄范圍內(nèi)的商業(yè)和政府交易數(shù)字簽名的合法性。任何基于PKI的數(shù)字簽名方法只要滿足ESIGN中概述的特定身份驗(yàn)證和安全標(biāo)準(zhǔn)，就可以在美國(guó)合法有效。

數(shù)字簽名標(biāo)準(zhǔn)——

美國(guó)最常用的數(shù)字簽名標(biāo)準(zhǔn)是：

• Adobe批準(zhǔn)的信任列表 (AATL)：AATL提供數(shù)字證書(shū)頒發(fā)和簽名的行業(yè)指南和技術(shù)規(guī)范。大多數(shù)證書(shū)頒發(fā)機(jī)構(gòu)都遵守AATL規(guī)則，以便其證書(shū)能夠與Adobe產(chǎn)品和桌面簽名工作流程無(wú)縫協(xié)作。
• 使用AATL兼容證書(shū)和Adobe產(chǎn)品（如Acrobat）應(yīng)用的簽名在州和聯(lián)邦層面均被認(rèn)為是安全且在ESIGN下具有法律強(qiáng)制執(zhí)行性的。

2、歐洲

概述——

電子簽名和數(shù)字合同的合法性在整個(gè)歐盟范圍內(nèi)統(tǒng)一通過(guò)eIDAS（電子識(shí)別、認(rèn)證和信任服務(wù)）。

歐盟議會(huì)于2014年通過(guò)的eIDAS法規(guī)定義了所有成員國(guó)必須采用的電子識(shí)別方法、信托服務(wù)和電子交易標(biāo)準(zhǔn)。它保證了單一市場(chǎng)中某些類型的安全數(shù)字簽名的跨境法律有效性。

數(shù)字簽名標(biāo)準(zhǔn)——

eIDAS為高級(jí)和合格數(shù)字簽名定義了特定的PKI標(biāo)準(zhǔn)。以下是歐盟法律認(rèn)可的簽名類型：

• 高級(jí)電子簽名 (AES)：AES是指滿足簽名者身份驗(yàn)證和文檔完整性技術(shù)要求的所有數(shù)字簽名。它們保證簽名屬于簽名者，并且文檔自簽名后沒(méi)有更改。
• 合格電子簽名 (QES)：QES是指使用由經(jīng)過(guò)認(rèn)可和審核的信任服務(wù)提供商頒發(fā)的合格簽名證書(shū)創(chuàng)建的高級(jí)數(shù)字簽名。由于需要高水平的安全性和身份驗(yàn)證，QES與歐盟法律下的手寫簽名享有完全的法律等同性。

QES采用歐盟認(rèn)可的三種標(biāo)準(zhǔn)格式，以促進(jìn)跨境多方數(shù)字交易：

• PAdES：PDF文檔的QES
• XAdES：XML文檔的QES
• CAdES：用于高級(jí)簽名的增強(qiáng)型CMS標(biāo)準(zhǔn)

因此，使用合格的簽名證書(shū)按照這些規(guī)范應(yīng)用的任何數(shù)字簽名與歐盟內(nèi)的濕簽名（手寫簽名）具有相同的有效性。

3、英國(guó)

英國(guó)脫歐后，英國(guó)的電子簽名法規(guī)與歐盟略有不同，但仍保持高標(biāo)準(zhǔn)的安全性和可執(zhí)行性。

即使使用的簽名密鑰位于歐盟，符合eIDAS技術(shù)規(guī)范的高級(jí) (AES) 和合格數(shù)字簽名 (QES) 在英國(guó)仍然有效。

4、中國(guó)

中國(guó)自主研發(fā)了與世界不同的加密算法和PKI標(biāo)準(zhǔn)。這些包括：

• SM2加密算法
• GM/T 0013 – 使用SM2公鑰/私鑰加密的電子簽名標(biāo)準(zhǔn)。

在中國(guó)，根據(jù)國(guó)家電子簽名法，使用具有SM2算法的證書(shū)頒發(fā)機(jī)構(gòu)證書(shū)申請(qǐng)的數(shù)字簽名具有法律效力和可執(zhí)行性。外國(guó)訪客可能需要獲得兼容的CA證書(shū)才能具有法律效力。

5、印度

早在2000年，印度就頒布了《2000年信息技術(shù)法》，這是第一批管理數(shù)字簽名的全國(guó)性法律之一。該法為使用經(jīng)過(guò)許可的印度CA的數(shù)字簽名授予了法律效力。

2008年法律的更新還承認(rèn)滿足某些技術(shù)標(biāo)準(zhǔn)的電子簽名具有法律效力。然而，只有獲得印度信息技術(shù)部許可的認(rèn)證機(jī)構(gòu)控制者頒發(fā)的數(shù)字簽名在該國(guó)才具有完全的法律地位。

6、日本

日本也是數(shù)字簽名法的早期先驅(qū)。日本2001年通過(guò)的《電子簽名法》第3條賦予使用公鑰密碼技術(shù)生成的高級(jí)電子簽名與手寫簽名同等的法律效力。

因此，使用符合簽名者身份驗(yàn)證安全規(guī)范的日本許可頒發(fā)CA應(yīng)用的數(shù)字簽名被認(rèn)為在該國(guó)具有完全的法律約束力。

7、新加坡

根據(jù)新加坡2010年《電子交易法》，只要數(shù)字簽名是使用獲得許可的證書(shū)頒發(fā)機(jī)構(gòu)頒發(fā)的證書(shū)生成的，則數(shù)字簽名與濕簽名（手寫簽名）具有相同的法律地位。

該國(guó)已經(jīng)在不同的垂直領(lǐng)域指定了標(biāo)準(zhǔn)，詳細(xì)說(shuō)明了數(shù)字簽名必須滿足的技術(shù)要求才能在該領(lǐng)域或交易類型中獲得法律效力。這些特定部門框架的運(yùn)作符合總體電子交易法。

8、拉美地區(qū)

許多拉丁美洲國(guó)家已頒布電子交易法，賦予數(shù)字簽名與手動(dòng)簽名相同的有效性：

8.1墨西哥——

墨西哥于2003年更新了《墨西哥商業(yè)法》，明確允許個(gè)人和公司使用電子簽名和數(shù)字證書(shū)以數(shù)字方式簽署所有類型的商業(yè)協(xié)議、合同和交易。

根據(jù)《商業(yè)法》第89條，如果滿足某些技術(shù)和安全檢查，高級(jí)或可靠的數(shù)字簽名與墨水簽名具有完全的法律等同性，包括：

• 簽名者的唯一性
• 有待獨(dú)立驗(yàn)證的能力
• 檢測(cè)后續(xù)變化

8.2 秘魯——

秘魯早在2000年就制定了數(shù)字認(rèn)證和電子簽名的立法標(biāo)準(zhǔn)。最高法令N° 019-2002-JUS規(guī)定了使用秘魯授權(quán)CA生成的數(shù)字簽名必須滿足的技術(shù)標(biāo)準(zhǔn)才能獲得完全的法律效力。

法律要求簽名使用公鑰/私鑰加密標(biāo)準(zhǔn)X.509版本3和哈希函數(shù)SHA-1。能夠證明簽名者身份、真實(shí)性和完整性的合格數(shù)字簽名與手工簽名具有相同的有效性。

8.3 哥倫比亞——

在哥倫比亞，1999年頒布的第527號(hào)法律明確規(guī)定，個(gè)人和法人實(shí)體都可以通過(guò)使用數(shù)字簽名來(lái)執(zhí)行具有約束力的法律協(xié)議，保證與手稿簽名相同的有效性。

哥倫比亞政府還建立了國(guó)家電子認(rèn)證系統(tǒng)，以監(jiān)管允許生成用于在該國(guó)合法有效的數(shù)字簽名的數(shù)字身份證和證書(shū)的頒發(fā)機(jī)構(gòu)。

8.4 阿根廷——

阿根廷關(guān)于數(shù)字簽名的第25,506號(hào)法律于2001年頒布。該法律建立了一個(gè)法律框架，管理授權(quán)的認(rèn)證機(jī)構(gòu)，允許在該國(guó)頒發(fā)數(shù)字簽名證書(shū)。

使用此類受監(jiān)管證書(shū)并符合規(guī)定技術(shù)標(biāo)準(zhǔn)的數(shù)字或電子簽名與根據(jù)傳統(tǒng)簽名法簽署的紙質(zhì)合同具有完全的法律效力。

結(jié)論

全球有一個(gè)明顯的趨勢(shì)，即承認(rèn)電子簽名在發(fā)達(dá)國(guó)家和發(fā)展中國(guó)家都具有法律效力。

雖然各國(guó)的具體情況各不相同，但數(shù)字證書(shū)、公鑰/私鑰加密、哈希函數(shù)、可信身份驗(yàn)證和篡改證據(jù)等PKI標(biāo)準(zhǔn)為在大多數(shù)司法管轄區(qū)獲得法律效力提供了技術(shù)支柱。

通過(guò)從受信任的 CA選擇正確的文檔簽名證書(shū)，并實(shí)施正確的方法來(lái)使用該證書(shū)應(yīng)用數(shù)字簽名，組織可以在全球范圍內(nèi)安全地采用無(wú)紙化工作流程，并大規(guī)模應(yīng)用與濕簽名（手寫簽名）具有相同合法性的數(shù)字簽名。

來(lái)源｜ssl.com
編輯｜公鑰密碼開(kāi)放社區(qū)
重要聲明：本文來(lái)自公鑰密碼開(kāi)放社區(qū)，經(jīng)授權(quán)轉(zhuǎn)載，版權(quán)歸原作者所有，不代表銳成觀點(diǎn)，轉(zhuǎn)載的目的在于傳遞更多知識(shí)和信息。