业务流程的数字化需要可靠的电子手写签名来执行合同和协议。随着个人和组织采用无纸化工作流程,数字签名的采用近年来呈爆炸式增长。
然而,不同数字签名标准的合法性和接受程度在不同地区存在很大差异。本综合指南检验了以下内容的有效性: PKI全球主要市场基于数字签名的法律和法规。
美国
概述
在美国,数字签名在联邦和州层面享有完全的法律效力和可执行性。
特 《全球和国家商业电子签名法》2000年美国国会颁布,正式赋予电子合同和数字签名与传统纸质文件和手写签名同等的法律地位。该法律为美国合法有效的电子签名提供了基本框架。
此外,几乎所有州都颁布了立法,承认其管辖范围内的商业和政府交易数字签名的合法性。任何 PKI基于 的数字签名方法只要满足 ESIGN 中概述的特定身份验证和安全标准,就可以在美国合法有效。
数字签名标准
美国最常用的数字签名标准是:
Adobe批准的信任列表(AATL):AATL 提供数字证书颁发和签名的行业指南和技术规范。大多数证书颁发机构都遵守 AATL 规则,以便其证书能够与 Adobe 产品和桌面签名工作流程无缝协作。
使用 AATL 兼容证书和 Adobe 产品(如 Acrobat)应用的签名在州和联邦层面均被认为是安全且在 ESIGN 下具有法律强制执行性的。
所有 SSL.com 数字签名证书均符合 Adobe 信任框架的开箱即用要求。使用我们的证书签署的合同、协议和其他文件受到 Adobe 软件的信任,并根据美国法律获得法律效力。 SSL.com 的云签名服务 eSigner 还与 Adobe Sign 原生集成。
重要的是要注意 SSL.com 证书符合 AATL 标准并完全符合 ESIGN 标准, SSL.com的云签名服务 eSigner 可以与来自任何其他受信任的证书颁发机构的任何文档签名证书一起使用,这些证书颁发机构遵守其他公认的标准,例如欧洲 eIDAS 标准。这确保组织可以使用广泛的数字签名解决方案并保证法律有效性。
欧洲
概述
电子签名和数字合同的合法性在全球范围内是统一的 欧盟 eIDAS – 电子识别、认证和信任服务。
欧盟议会于 2014 年通过的 eIDAS 法规定义了所有成员国必须采用的电子识别方法、信托服务和电子交易标准。它保证了单一市场中某些类型的安全数字签名的跨境法律有效性。
数字签名标准
eIDAS定义了具体的 PKI 高级和合格数字签名的标准。以下是欧盟法律认可的签名类型:
高级电子签名 (AES):AES 是指满足签名者身份验证和文档完整性技术要求的所有数字签名。它们保证签名属于签名者,并且文档自签名后没有更改。
合格电子签名 (QES):QES 是指使用由经过认可和审核的信任服务提供商颁发的合格签名证书创建的高级数字签名。由于需要高水平的安全性和身份验证,QES 与欧盟法律下的手写签名享有完全的法律等同性。
QES 采用欧盟认可的三种标准格式,以促进跨境多方数字交易:
PAdES:PDF 文档的 QES
XAdES:XML 文档的 QES
CAdES:用于高级签名的增强型 CMS 标准
因此,使用合格的签名证书按照这些规范应用的任何数字签名与欧盟内的湿签名具有相同的有效性。
我们与欧洲合作伙伴密切合作,确保整个欧盟的云签名无缝衔接。虽然我们的证书旨在与欧洲数字签名 PAdES 标准兼容,但我们目前尚未接受 eIDAS 合规性审核。但是,eSigner 云签名服务可以与任何其他证书颁发机构(包括符合欧洲数字签名标准的证书颁发机构)的文档签名证书一起使用。
United Kingdom
英国脱欧后,英国的电子签名法规与欧盟略有不同,但仍保持高标准的安全性和可执行性。
即使使用的签名密钥位于欧盟,符合 eIDAS 技术规范的高级 (AES) 和合格数字签名 (QES) 在英国仍然有效。
亚太地区
在亚太地区,不同国家的数字签名合法性差异很大。以下是亚太地区主要市场的要求概述:
中国
中国自主研发加密算法 PKI 与世界其他地区不同的标准。这些包括:
SM2加密算法
GM/T 0013 – 使用 SM2 公钥/私钥加密的电子签名标准。
在中国,根据国家电子签名法,使用具有SM2算法的证书颁发机构证书申请的数字签名具有法律效力和可执行性。外国访客可能需要获得兼容的 CA 证书才能具有法律效力。
印度
印度早在 2000 年就颁布了第一部全国范围内管理数字签名的法律之一 信息技术法,2000 年。这为使用经过许可的印度 CA 的数字签名授予了法律效力。
2008 年法律的更新还承认满足某些技术标准的电子签名具有法律效力。然而,只有获得印度信息技术部许可的认证机构控制者颁发的数字签名在该国才具有完全的法律地位。
日本
日本也是数字签名法的早期先驱。第3条 日本电子签名法 2001 年通过的法案赋予使用公钥加密技术生成的高级电子签名与手写签名相同的法律效力。
因此,使用符合签名者身份验证安全规范的日本许可颁发 CA 应用的数字签名被认为在该国具有完全的法律约束力。
新加坡
根据 2010 年新加坡电子交易法,只要数字签名是使用获得许可的证书颁发机构颁发的证书生成的,则数字签名与湿墨水签名具有相同的法律地位。
该国已经在不同的垂直领域指定了标准,详细说明了数字签名必须满足的技术要求才能在该领域或交易类型中获得法律效力。这些特定于部门的框架的运作与总体电子交易法保持一致。
拉丁美洲
许多拉丁美洲国家已颁布电子交易法,赋予数字签名与手动签名相同的有效性:
墨西哥
墨西哥于 2003 年更新了《墨西哥商业法》,明确允许个人和公司使用电子签名和数字证书以数字方式签署所有类型的商业协议、合同和交易。
根据《商业法》第 89 条,如果满足某些技术和安全检查,高级或可靠的数字签名与墨水签名具有完全的法律等同性,包括:
签名者的唯一性
有待独立验证的能力
检测后续变化
秘鲁
秘鲁早在 2000 年就制定了数字认证和电子签名的立法标准。最高法令 N° 019-2002-JUS 规定了使用秘鲁授权 CA 生成的数字签名必须满足的技术标准才能获得完全的法律效力。
法律要求签名使用公钥/私钥加密标准 X.509 版本 3 和哈希函数 SHA-1。能够证明签名者身份、真实性和完整性的合格数字签名与手工签名具有相同的有效性。
哥伦比亚
在哥伦比亚,527年颁布的第1999号法律明确规定,个人和法人实体都可以通过使用数字签名来执行具有约束力的法律协议,保证与手稿签名相同的有效性。
哥伦比亚政府还建立了国家电子认证系统,以监管允许生成用于在该国合法有效的数字签名的数字身份证和证书的颁发机构。
阿根廷
阿根廷关于数字签名的第 25,506 号法律 于 2001 年颁布。它建立了一个法律框架,管理授权的认证机构,允许在该国颁发数字签名证书。
使用此类受监管证书并符合规定技术标准的数字或电子签名与根据传统签名法签署的纸质合同具有完全的法律效力。
结论
全球有一个明显的趋势,即承认电子签名在发达国家和发展中国家都具有法律效力。
虽然各国的具体情况有所不同, PKI 数字证书、公钥/私钥加密、哈希函数、可信身份验证和篡改证据等标准为在大多数司法管辖区获得法律效力提供了技术支柱。
<p类=”md-end-block md-p”>通过从受信任的 CA(例如 SSL.com)选择正确的文档签名证书,并实施使用该证书应用数字签名的正确方法(例如 eSigner 等云签名服务),组织可以在全球范围内安全地采用无纸化工作流程,并通过以下方式应用数字签名:与大规模湿签名具有相同的合法性。