电子合同场景适用与电子商务相伴发展。电子签名法早于2015年颁布,至今已经两次修订。尤其近年来随着后疫情时代线上办公、线上交易方式的推行,金融领域基于交易便捷性和效率性的需要,以及交易成本的控制,人脸等生物特征识别方式的电子签名方式似乎可以成为一种新的尝试。尤其是生物识别特征技术早已较为广泛运用于交易过程中的身份认证,且各种基于人脸等生物识别特征信息的商业应用场景更为多样。但生物识别特征技术较少单纯作为电子签名形式使用,电子合同、电子签名在私权领域运用所可能伴随的合规风险实际并不为使用者尽知并能够有效识别,可能是原因之一。本文试图结合我国现行电子签名、电子合同、人脸等个人信息保护有关法律规制以及相关领域相关监管规范等,简要分析基于人脸识别电子签名方式运用于金融领域电子合同签署可能涉及的主要合规问题,以供参考:
一、可信金融电子合同生效要件
依据《民法典》第四百六十九条[1],法律认可以数据电文作为合同签署方式之一。
根据商务部《电子合同在线订立流程规范(征求意见稿)》(以下简称“《意见稿》”)第3.1条,电子合同是指平等主体的自然人、法人、其他组织之间以数据电文为载体,并利用电子通信手段设立、变更、终止民事权利义务关系的协议。
根据《电子签名法》第三条第三款和商务部《意见稿》第一条,涉及婚姻、收养、继承等人身关系的,涉及停止供水、供热、供气等公用事业服务的以及法律、行政法规规定的其他情形的文书,当事人不可以约定使用电子签名、数据电文。
由此,电子合同并非完全脱离于传统合同之外的创设概念,其功能目的在于达到与传统合同签署之后同样的效果。这也是电子合同风控的核心目标,即保证电子合同法律效力等同纸质合同效力。
我国《民法典》并未明确电子合同的生效要件,但根据《民法典》关于合同的签署、生效的一般要件规定,传统合同签署、生效所考虑的必要因素(①行为人具有相应的民事行为能力;②意思表示真实;③不违反法律、行政法规的强制性规定,不违背公序良俗。④作为书证的传统证据形式,要求需要原件可供核对),结合电子合同生成方式以及我国目前对电子合同的四项国家标准[2],可以大致规纳出符合法律原则性规定且满足国标认可的电子合同,基本采纳可靠电子签名因素,此外,国标也对电子合同的形成、电子合同的内容、电子合同的生命周期等相关安全支撑因素进行了规范和定义。同时,《电子签名法》第十四条规定了“可靠的电子签名与手写签名或者盖章具有同等的法律效力。”指明了可靠的电子签名与传统的手写签字和盖章具有同等的法律效力。由此,可靠的电子签名应当作为电子合同的生效关键要素考量。
因此,结合《电子签名法》有关电子签名规定,电子合同意欲达到传统纸质合同同样的功能,其签署和生效要件可以概括为:(一)签署合同的主体身份确认;
(二)可靠的电子签名;
(三)合同签署后不能被单方篡改(修改留痕,也可以叫不可篡改性,指电子签名和数据电文内容及形式如被修改应当有痕迹);(四)同样的,可以作为证据,即电子合同可验证真实性,具有原件效力。
二、人脸等生物特征作为金融电子合同签名实现方式的法律依据
《电子签名法》实际并未限定电子签名的实现方式为何,但从影响电子合同效力角度可以区分为“可靠电子签名”和一般电子签名。根据《电子签名法》第二条“本法所称电子签名,是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据,本法所称数据电文,是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。”即,电子签名是一种“数据”。第十三条[3]、第十四条[4]进一步规定了“可靠的电子签名”同时需要满足的四项条件:①电子签名的专有性;②签署时电子签名制作数据仅由签名人控制;③签署后对电子签名的任何改动能够被发现;④签署后对数据电文(电子合同)内容和形式的任何改动能够被发现。
《电子签名法》并没有具体限定电子签名的具体实现方式或技术手段。人脸识别技术运用于电子合同的签署,并未超出电子签名实现方式问题的讨论。人脸等生物特征识别技术是指通过对实时或静态的人脸图像以及身体特征进行特征提取、分类识别,以达到识别、认证、监控、伪造等目的的新兴技术手段。是基于用户的指纹、面部、虹膜、手写签字、语音等独一无二的生理结构特征或融合了生理、心理、社会因素的行为特征签名的方法。相比于一般个人信息,人脸等生物特征信息具有强识别性、难变更性、不可匿名性和不可替代性等特点,符合可靠电子签名所要求满足的四个特征。
理论上讲,只要满足上述可靠电子签名的特征,即可构成法律规定概念上的可靠电子签名。同时,法律法规层面也并不禁止生物特征识别电子签名形式作为电子合同的签署方式。但是应当注意区别人脸识别单纯作为身份识别手段和作为可靠电子签名所应当满足的要件需求。可靠电子签名需要满足事前的身份认证,事中的可控性及真实意思表示确认,事后的可溯源性即不可篡改。金融机构运用人脸识别技术的场合较为多样,但是单纯的身份识别功能的运用并不等同于可靠电子签名。如果考虑人脸等生物特征作为金融电子合同签名实现方式,应当确保必须满足可靠电子签名的四项基本特征。
三、人脸等生物特征识别信息电子签名方式主要合规问题分析
(一)个人敏感信息的处理问题
作为信息密集型的金融机构在使用生物特征识别信息电子签名方式时,更应该侧重关注的是个人生物特征类敏感信息保护的问题。人脸识别过程基本涉及个人信息处理的大部分环节,如收集、存储、使用、共享等。《民法典》第一千零三十四条已经明确将人脸信息为代表的生物识别信息纳入了个人信息的保护范畴,并规定了处理个人信息,应当遵循“合法、正当、必要”的原则。最高人民法院于2021年7月27日发布了《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》,这是第一部针对人脸识别技术民事纠纷审理的司法解释文件。随后出台的《个人信息保护法》将个人生物特征列为敏感个人信息,并对告知-同意提出更高要求,严格规范处理的必要性。前述法律法规形成目前有关生物识别特征信息保护的上位法规制体系。针对敏感个人信息的处理,《个人信息保护法》第十七条、第三十条[5]提出了更高的要求,要求处理敏感个人信息应当取得个人的单独同意。据此,在处理敏感个人信息时,概括同意或推定同意的授权模式为法律所禁止。
人脸等生物特征信息运用于电子签名领域,应当遵循上述关于个人信息处理的相关规定。尤其是用户选择人脸识别签署方式时,应当做到获取用户关于个人信息收集、运用以及传输(第三方提供人脸信息比对库,人脸识别分核实式和搜索式两种比对模式。核实式是指将捕获得到的人像或是指定的人像与数据库中已登记的某一对象作比对核实确定其是否为同一人。搜索式的比对是指,从数据库中已登记的所有人像中搜索查找是否有指定的人像存在。)的书面明示授权。即便事前未获取单独、明确授权,但用户后续合同履行可以印证其对该种电子签名的选择,基于个人敏感信息保护的原则,不能当然推定其已经就人脸信息的处理进行了明确的授权。此外,对于获取的人脸生物特征信息,应当妥善保管,且以最小必要原则为基础确认保存时间。
(二)应当避免使用生物识别特征作为唯一签署方式
与传统合同一致的是,格式条款提供方在纸质合同中所承担的义务在电子合同中同样适用。金融机构是格式合同的使用“大户”,在设计电子合同签署条款时,不能仅设置某一种或某几种或不允许用户进行选择。尤其是国家互联网信息办公室2021年11月14日发布的《网络数据安全管理条例(征求意见稿)》第二十五条规定了“数据处理者利用生物特征进行个人身份认证的,应当对必要性、安全性进行风险评估,不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式,以强制个人同意收集其个人生物特征信息。”因此,相关电子合同应当注意保留对电子签名实现方式多种选择。
(三)电子数据存证、举证问题
尽管生物特征识别技术具有技术发展成熟、识别准确率高的特点,但其不足体现在容易被他人复制、盗用或强行使用。为确保基于该类电子签名方式签署的金融电子合同的有效性满足司法实践审查认定标准。结合我国现行《民事诉讼法》、《最高人民法院关于民事诉讼证据的若干规定》等法律法规对电子证据的存证和举证的规定,基于面部特征识别类较为新型的技术领域的电子证据,其自始的合法性或者完整性证明难度较大。基于此,如果金融机构考虑业务开展中使用面部识别电子签名方式的,在具备存证条件时,建议尽可能就交易涉及的电子证据(例如电子签名、电子合同、电子邮件、线上系统后台记录等)进行公证。
[1] 《民法典》第四百六十九条 当事人订立合同,可以采用书面形式、口头形式或者其他形式。
书面形式是合同书、信件、电报、电传、传真等可以有形地表现所载内容的形式。
以电子数据交换、电子邮件等方式能够有形地表现所载内容,并可以随时调取查用的数据电文,视为书面形式。
[2] 即《电子合同订立流程规范》(GB/T 36298-2018)、《电子合同基础信息描述规范》(GB/T36319-2018)、《第三方电子合同服务平台功能建设规范》(GB/T 36320-2018)、《电子合同取证流程规范》(GB/T 36321-2020)。
[3] 《电子签名法》第十三条:电子签名同时符合下列条件的,视为可靠的电子签名:
(一)电子签名制作数据用于电子签名时,属于电子签名人专有;
(二)签署时电子签名制作数据仅由电子签名人控制;
(三)签署后对电子签名的任何改动能够被发现;
(四)签署后对数据电文内容和形式的任何改动能够被发现。
当事人也可以选择使用符合其约定的可靠条件的电子签名。
[4] 《电子签名法》第十四条:可靠的电子签名与手写签名或者盖章具有同等的法律效力。
[5] 《个人信息保护法》第十七条 个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:
(1)个人信息处理者的名称或者姓名和联系方式;
(2)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;
(3)个人行使本法规定权利的方式和程序;
(4))法律、行政法规规定应当告知的其他事项。
第三十条 个人信息处理者处理敏感个人信息的,除本法第十七条第一款规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响;依照本法规定可以不向个人告知的除外。