電子簽章法逾20年首次修法,與國際接軌
113年4月30日我國立法院三讀通過電子簽章法修法草案,明確奠定電子簽章之法律地位,也為未來向國外憑證技術對接,與國際趨勢接軌打下堅實基礎。其中大家最關注的修正重點之一,包含明訂數位簽章屬於電子簽章的一種,透過政府認可之憑證機構所簽發的數位憑證簽署文件,將推定為本人親自簽名或蓋章,具有更強之效力。預期未來電子簽章及數位簽章技術將日益普及,有助於我國數位及永續轉型。
我國證券市場電子下單委託自89年8月起即採電子憑證驗章機制
事實上,我國證券市場自89年8月起即公告證券商採電子下單委託應使用認證機制,除了登入使用的帳號密碼外,每筆委託皆須經電子憑證驗證。惟因109年至110年證券市場撞庫事件發生,本公司修訂相關法規,如投資人於電子下單登入時,應採雙因子認證方式,且申請或更新憑證機制時,應增加與登入雙因子之不同因子,以強化資安防護,相關法規沿革詳附表。
值得注意的是,雙因子認證方式係應用於「登入」與「申請或更新電子憑證」階段,投資人每筆委託單目前仍需經電子憑證之單一因子驗證。回顧過往,曾有相關業者建議證交所是否可以使用OTP或生物辨識等機制取代電子憑證驗章機制,惟本公司考量憑證驗章機制之不可否認性及憑證機構公信力、電子憑證驗章速度極快及投資人下單操作流暢性等因素,應用於委託下單並非其他身分驗證機制所可完全取代。
附表、證券商辦理電子式交易及電子憑證相關規範沿革
日期 | 主要修正內容 | 法規依據 |
89年8月11日 | 證交所公告增修營業細則,證券經紀商與採網際網路之委託傳輸、委託回報及成交回報等電子文件傳輸,應使用認證機制。 | 證交所營業細則第75條(現行) |
90年1月31日 | 證交所函請未能如期完成建置認證機制之證券商,其處置期限予以緩衝至90年5月1日。 | 台證(90)交字第001881號函 |
90年10月23日 | 證期會(現證期局)修正「證券商受託買賣外國有價證券管理規則」,明定證券商受託買賣外國有價證券,委託人得以網際網路等電子式交易型態委託。 | 證券商受託買賣外國有價證券管理規則第13條(現行) |
91年2月21日 | 證交所發布「建立證券商資通安全檢查機制」,明定網路下單證券商應全面使用認證機制。 | 建立證券商資通安全檢查機制第7條(現行) |
93年11月19日 | 證券商公會發布「證券商電子式交易帳戶委託買賣有價證券同意書(範本)」,針對客戶採電子式交易委託買賣,所開立之帳戶需取得使用密碼及下載安裝憑證機構所簽發之電子憑證。 | 證券商電子式交易帳戶委託買賣有價證券同意書(範本)第3條(現行) |
110年1月8日 | 證交所為強化證券商資通安全防護機制,函請證券商網路下單登入時,應採雙因子認證方式。 | 臺證輔字第 1100500068號函 |
110年7月20日 | 證交所修正「建立證券商資通安全檢查機制」,明定證券商提供網路下單服務,應於網路下單登入時採多因子認證方式(例如:下單憑證、綁定裝置、OTP、生物辨識等機制),以確保為客戶本人登入。 | 建立證券商資通安全檢查機制第7條(現行) |
110年11月30日 | 證交所函請證券商強化資通安全管控措施,包含客戶申請或更新憑證機制,應增加與登入雙因子之不同因子(例如:OTP、SIM認證)驗證機制,避免非本人取得憑證。 | 臺證輔字第 1100503618號函 |
註:證交所整理 |
電子憑證驗章機制具高安全性及低延遲性,交易糾紛風險低
實務上,證券市場普遍採用軟體C3憑證之驗證機制[附註1],完全符合目前「電子簽章法」及「憑證實務作業基準應載明事項準則」規範之技術性安全管控及非技術性(程序面)安全管控機制,可有效防止駭客攔截交易訊息及變造訊息內容,確保投資人交易行為在公眾網路安全運作。
多年來,我國證券市場未因電子憑證加密驗證機制失效而發生重大交易糾紛之情事,今日電子簽章法修正通過後,投資人使用電子憑證運用於委託下單行為可推定為投資人本人之意思表示,若證券商與投資人在電子交易行為發生爭議糾紛進行司法訴訟時,將可由第三方憑證機構出具具證據能力之相關紀錄。
此外,因電子憑證可支援多種作業系統、滿足行動裝置、平板及個人電腦等多元下單管道,加上驗章速度快,即便證券市場於109年3月23日全面實施逐筆交易制度後,亦未因此造成交易速度延遲情形。另電子憑證驗章流程係透過證券商端下單及憑證驗章系統,由系統自動檢核投資人電子憑證有效性及憑證效期,投資人毋須於交易下單當下再行輸入任何密碼。試想投資人若於盤中下單時,除了雙因子登入外,委託時還須要輸入一次性驗證碼OTP或進行生物辨識驗證,恐造成投資人下單流程極大不便。
[附註1] 軟體C3憑證:指符合我國電子簽章法且經金融監督管理委員會認可之臺灣網路認證公司簽發第三級商務 EC+憑證、第三級商務XML憑證(含商務XML Plus)或中華電信公司簽發第三級Public CA憑證,其註冊中心應為證券商。
雖國外交易所未普遍實施電子憑證驗章機制,惟識別投資人身分之重視不減反增
外界曾有聲音質疑,如香港、美國及新加坡等市場,未有如我國須網路下單時須驗證電子憑證一事。惟本公司認為不同國家之證券交易市場發展均有其特殊環境及歷史背景,不可一概而論。例如,美國證券交易市場並非於單一平台交易,投資人下單後證券商可透過交易所集中平台、場外平台或黑池等進行撮合,若各交易平台皆導入專屬的電子憑證,客戶於自身裝置恐須備有大量不同憑證,邏輯上似乎較不可行。
另一方面,雖香港、美國及新加坡等國並未明確規範下單須驗證電子憑證,然資安防護趨勢日趨重要下,對於如何能有效識別客戶身分,各國之監管力度持續增強。舉例來說,香港證監會為了對市場進行更有效的監管,於2023年3月正式實施「港股實名制」,明確掌握每筆交易背後之身分識別。美國方面,2001年即要求證券經紀商、結算商等金融機構採取完整洗錢防制計畫,並建立「客戶身分識別作業程序(CIP)」,2023年美國證管會(SEC)持續提醒證券商落實身分識別作業,除開戶作業外,於合理可行範圍內,針對執行交易之客戶進行身分確認、保存相關紀錄。新加坡方面,新交所(SGX)明訂交易所會員應確保交易系統每筆訂單均能識別並追蹤相關客戶,另新加坡交易所規則實務要點中亦建議交易所會員採用數位簽章線上核驗客戶身分。
爰此,前揭國家針對如何能有效識別投資人身分之重視不減反增,而我國市場長年施行電子憑證作業,監管機關對於每筆交易背後之身分均能充分掌握,與國際趨勢一致,並無特殊理由放寬原有成熟且有效的身分識別機制。
結語
電子簽章法修法後,更確認了電子簽章與數位簽章之法律效益,而我國證券市場於20年前即導入電子憑證驗章機制,除了具備安全性、效率性與合規性外,其能確認投資人交易行為屬本人之意思表示之特性,除保障投資人權益,執法機關亦能充分掌握投資人身分識別。展望未來,電子簽章法修正內容提及,行政機關原排除適用電子簽章法之相關條文,將逐步落日,預期未來證券市場原有的臨櫃作業將陸續簡化,使證券市場之數位轉型又往前邁進了一大步。