作者：上海CA

學(xué)法導(dǎo)讀：電子認(rèn)證的風(fēng)險不僅僅來自客戶身份及企業(yè)的信息外泄。當(dāng)下,，恰恰來自于電子認(rèn)證CA機構(gòu)的不規(guī)范,、甚至是非法認(rèn)證的問題。例如BJCA,、CFCA以及本文的作者等認(rèn)證公司的事件型數(shù)字證書創(chuàng)新業(yè)務(wù),。這種事件型數(shù)字證書嚴(yán)重違反《電子簽名法》第十三條規(guī)定，把本屬于客戶的數(shù)字證書違法的簽發(fā)給合同訂立平臺,，甚至是高利貸,、套路貸平臺,，使這些平臺非法的具備了代替客戶簽訂一系列高額電子收費合同的“權(quán)利”，嚴(yán)重?fù)p害了電子認(rèn)證行業(yè)維護社會公信力的基本職能,，危害了廣大群眾的財產(chǎn)安全,。

數(shù)字生活給各參與主體帶來更好的體驗與便利，數(shù)字證書應(yīng)用隨之日加普遍,。證書用戶在使用數(shù)字證書時不僅應(yīng)充分發(fā)揮其方便快捷,、具備法律效力和證據(jù)力的優(yōu)勢，還應(yīng)積極防范數(shù)字證書和使用的相應(yīng)風(fēng)險,，故本文就數(shù)字證書的法律效力和風(fēng)險防范進行簡要分析,。因數(shù)字證書的類型、認(rèn)證對象,、用途存在多樣性,，本文分析的數(shù)字證書聚焦于身份數(shù)字證書。

一,、數(shù)字證書基本知識

01

數(shù)字證書是什么,？

數(shù)字證書是經(jīng)由具有權(quán)威性、可信性和公正性的電子認(rèn)證服務(wù)機構(gòu)（簡稱“CA機構(gòu)”）頒發(fā)的,，包含個人或者組織網(wǎng)絡(luò)數(shù)字身份和公開密鑰等信息的數(shù)字化文件,。在用戶日常交易中，智能密碼鑰匙（Ukey）就是最常見的數(shù)字證書載體,。

數(shù)字證書以密碼學(xué)為基礎(chǔ),，采用數(shù)字簽名、數(shù)字信封,、時間戳服務(wù)等技術(shù),，在互聯(lián)網(wǎng)上建立起有效的信任機制。數(shù)字證書主要包含證書所有者的信息,、證書所有者的公開密鑰,、證書有效期和證書頒發(fā)機構(gòu)的簽名等內(nèi)容。

通俗講來,，數(shù)字證書是個人或組織參與網(wǎng)絡(luò)交易等活動的身份標(biāo)識,，由權(quán)威的頒發(fā)機構(gòu)與可靠的技術(shù)賦予了該身份標(biāo)識極強的可信度和安全度。

02

數(shù)字證書能實現(xiàn)什么功能,？

（1） 確認(rèn)網(wǎng)絡(luò)活動中的主體身份，確保參與主體的線上身份同線下身份一致,。

（2） 在互聯(lián)網(wǎng)活動中標(biāo)識證書持有人的數(shù)字身份,。

（3） 保證信息在互聯(lián)網(wǎng)傳輸過程中的安全性和完整性。

（4） 校驗傳送的信息是否被篡改或丟失,。

總而言之,，數(shù)字證書能實現(xiàn)的功能大體可總結(jié)為確認(rèn)并標(biāo)記身份,、保證信息傳輸安全與完整、驗證數(shù)字簽名或簽名文件是否篡改,，從而真正實現(xiàn)身份真實,、行為可信、結(jié)果可驗,。

03

數(shù)字證書以什么方式獲?。?/p>

若需要辦理數(shù)字證書,，則需要向CA機構(gòu)或者CA機構(gòu)的授權(quán)服務(wù)機構(gòu)（簡稱“RA機構(gòu)”）提出申請并簽署相關(guān)申領(lǐng)協(xié)議,。上述機構(gòu)在審核通過后為頒發(fā)證書。證書發(fā)放將以交付安全介質(zhì),、通過安全信道傳輸?shù)刃问綄崿F(xiàn),。

二、數(shù)字證書的法律分析

01

數(shù)字證書的相關(guān)法律依據(jù)

當(dāng)前對于數(shù)字證書及其法律效力與證據(jù)力的規(guī)范,，主要規(guī)定在《電子簽名法》,、《網(wǎng)絡(luò)安全法》、《密碼法》,、《民事訴訟法》,、《關(guān)于民事訴訟證據(jù)的若干規(guī)定》、《電子認(rèn)證管理辦法》等文件,。

02

數(shù)字證書的法律效力

數(shù)字證書多用于進行電子簽名,，通過數(shù)字證書實現(xiàn)的電子簽名，視為可靠的電子簽名,，可實現(xiàn)與手寫簽名或者蓋章同等的法律效力,。

（1）可靠的電子簽名與手寫簽名具有同等法律效力

《電子簽名法》第十四條規(guī)定：可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力。

（2）何謂“可靠的電子簽名”,？

《電子簽名法》第十三條規(guī)定：電子簽名同時符合下列條件的,，視為可靠的電子簽名：

（一）電子簽名制作數(shù)據(jù)用于電子簽名時，屬于電子簽名人專有,；

（二）簽署時電子簽名制作數(shù)據(jù)僅由電子簽名人控制,；

（三）簽署后對電子簽名的任何改動能夠被發(fā)現(xiàn)；

（四）簽署后對數(shù)據(jù)電文內(nèi)容和形式的任何改動能夠被發(fā)現(xiàn),。

（3）通過數(shù)字證書實現(xiàn)的電子簽名可認(rèn)定為“可靠的電子簽名”

首先,，使用數(shù)字證書，能夠確?！半娮雍灻麛?shù)據(jù)”在用于簽名時屬于簽名人專有,，且簽署電子文件時僅由電子簽名人控制?！峨娮雍灻ā返谌臈l規(guī)定：電子簽名制作數(shù)據(jù),，是指在電子簽名過程中使用的,，將電子簽名與電子簽名人可靠地聯(lián)系起來的字符、編碼等數(shù)據(jù),。在實際應(yīng)用中,，“電子簽名制作數(shù)據(jù)”可體現(xiàn)為電子簽名人所持有的私鑰。該私鑰且僅由簽名人保管與操作,，其唯一對應(yīng)的公鑰寫入數(shù)字證書,。

其次，使用數(shù)字證書,，能夠有效識別電子簽名以及所簽署的電子文件在簽署后是否被改動,，一旦發(fā)生任何改動可及時發(fā)現(xiàn)。CA機構(gòu)在簽發(fā)數(shù)字證書時,，都會產(chǎn)生一對密鑰對——即私鑰與公鑰,。私鑰由證書訂戶專有，公鑰包含于證書信息之中,。在證書訂戶使用數(shù)字證書進行電子簽名時,，將使用私鑰對電子文件的摘要值進行加密。驗證人使用該密鑰對中對應(yīng)的公鑰對電子文件進行解密,，得出解密后的摘要值,；同時驗證人對電子文件原文進行一定運算，得出原文摘要值,。如果解密后的摘要值與原文摘要值完全一致,，即證明電子文件未被改動。反之,，任何改動都會導(dǎo)致摘要值的不一致,，從而可被立即識別。

03

數(shù)字證書的證據(jù)證明力

總體說來,，使用包含數(shù)字證書的電子簽名在訴訟中具有更強的證據(jù)證明力,。

首先，電子文檔,、數(shù)字證書是法定的民事證據(jù)類型,。根據(jù)《民事訴訟法》第六十三條的規(guī)定，證據(jù)包括“電子數(shù)據(jù)”,；根據(jù)《關(guān)于民事訴訟證據(jù)的若干規(guī)定》第十四條的規(guī)定,，“電子數(shù)據(jù)”包括“文檔”、“數(shù)字證書”等電子文件,。

其次,，數(shù)字證書作為電子證據(jù)的真實性可獲法院認(rèn)可。根據(jù)《電子簽名法》第八條的規(guī)定,，審查數(shù)據(jù)電文作為證據(jù)的真實性應(yīng)當(dāng)考慮：生成,、儲存或者傳遞數(shù)據(jù)電文方法的可靠性、保持內(nèi)容完整性方法的可靠性,、用以鑒別發(fā)件人方法的可靠性等,。因此，使用CA機構(gòu)簽發(fā)的數(shù)字證書進行的電子簽署,，可滿足上述參考因素,，真實性易被認(rèn)可。同時,，根據(jù)《關(guān)于民事訴訟證據(jù)的若干規(guī)定》第九十四條的規(guī)定,，電子數(shù)據(jù)由記錄和保存電子數(shù)據(jù)的中立第三方平臺提供或者確認(rèn)的，人民法院可以確認(rèn)其真實性,，除非以足以反駁的相反證據(jù),。CA機構(gòu)作為具有權(quán)威性、可信性和公正性的電子認(rèn)證服務(wù)機構(gòu),，屬于中立第三方平臺,，其簽發(fā)的數(shù)字證書可以由法院確認(rèn)真實性。

最后,，采用了具備數(shù)字證書的電子簽名,，在司法審判中更容易獲得法院認(rèn)可。如,，在上海市第一中級人民法院(2020)滬01民終某號案件中,，法院認(rèn)為，上訴人與被上訴人簽署合同之時,， XX公司具備提供電子簽名服務(wù)的資質(zhì),，且本案電子簽名證書由有資質(zhì)的電子認(rèn)證機構(gòu)頒發(fā)。XX公司作為記錄和保存電子數(shù)據(jù)的中立第三方平臺,，通過哈希值校驗以及可信時間戳的技術(shù)手段,，證明上訴人與被上訴人之間簽署的《融資租賃合同》等合同中的電子簽名及文檔內(nèi)容自簽署之日起未被篡改，本院對此予以認(rèn)可,，確認(rèn)上訴人提交的《融資租賃合同》等合同的真實性,，上訴人與被上訴人之間成立融資租賃合同關(guān)系。

三,、數(shù)字證書的風(fēng)險防范

當(dāng)前,，數(shù)字證書已經(jīng)廣泛地應(yīng)用到各個領(lǐng)域：網(wǎng)絡(luò)簽約、網(wǎng)絡(luò)交易,、網(wǎng)上政務(wù)等等,，無疑為參與主體辦事提供了極大便利。但是，在享受便利的同時,，時刻勿忘風(fēng)險防范,。

1、謹(jǐn)慎保管證照資料與數(shù)字證書,，防范數(shù)字證書被冒領(lǐng),、冒用風(fēng)險

證照資料（個人身份證明、公司營業(yè)執(zhí)照等）不僅是線下交易時驗證身份的重要憑證,，也是辦理數(shù)字證書時證明主體身份的重要申請材料,。曾有不法分子通過買賣等非法手段獲取他人證照，企圖在證書驗證過程蒙混過關(guān),，以他人名義申請數(shù)字證書,，并將冒領(lǐng)后的數(shù)字證書用于各類違法違規(guī)用途，如此非法行為將給證明材料本人（即“證書訂戶”）造成巨大損害,。

當(dāng)前網(wǎng)絡(luò)上還出現(xiàn)一些“兼職廣告”,，若兼職者以本人名義辦理數(shù)字證書并將辦理后的證書交付給兼職招募者，即可獲得一定“兼職收入”,。另外,，還有部分證書訂戶，出于便利,、交情等原因,，將本人持有的數(shù)字證書交由第三方使用。如前文所述,，數(shù)字證書是識別網(wǎng)絡(luò)身份的重要標(biāo)志,，可以通俗地理解為“網(wǎng)絡(luò)身份標(biāo)識”，一旦將本人數(shù)字證書交付給他人,，他人即可利用該證書在網(wǎng)絡(luò)中辦理各種交易,，如申請網(wǎng)絡(luò)貸款、申請設(shè)立公司,，甚至從事各類違法違規(guī)行為,。若證書訂戶對于數(shù)字證書被冒領(lǐng)或冒用存在過錯，證書訂戶將相應(yīng)承擔(dān)關(guān)于該證書使用的不利后果,。因此,，證書訂戶應(yīng)當(dāng)自行保管好其私鑰，不得轉(zhuǎn)讓,、借用,。

此外，若用戶想要查詢是否存在被冒領(lǐng)的數(shù)字證書,，可聯(lián)絡(luò)CA機構(gòu)并獲取查詢途徑,，從而確定本人是否在該CA機構(gòu)辦理過數(shù)字證書,。

同時，冒領(lǐng)冒用他人數(shù)字證書必應(yīng)承擔(dān)法律責(zé)任,?！峨娮雍灻ā返谌l規(guī)定：偽造、冒用,、盜用他人的電子簽名,，構(gòu)成犯罪的，依法追究刑事責(zé)任,；給他人造成損失的，依法承擔(dān)民事責(zé)任,?；ヂ?lián)網(wǎng)不是法外之地，任何盜用他人身份材料冒領(lǐng),、冒用證書進行電子簽名的,，將依法承擔(dān)民事責(zé)任甚至是刑事責(zé)任。

2,、應(yīng)當(dāng)通過具備合法資質(zhì)的機構(gòu),、遵循法定程序申請數(shù)字證書

我們近期發(fā)現(xiàn)，部分用戶在“中介”的介紹下,，通過街邊打印店,、印章店辦理數(shù)字證書。整個辦理過程僅需要提供身份證件,，并未簽署任何文件,。《電子簽名法》第十六條規(guī)定：電子簽名需要第三方認(rèn)證的,，由依法設(shè)立的電子認(rèn)證服務(wù)提供者提供認(rèn)證服務(wù),。第三方認(rèn)證服務(wù)提供者即為CA機構(gòu)。同時,，CA機構(gòu)可將部分證書審核與簽發(fā)事宜委托給證書注冊機構(gòu)（RA機構(gòu)）,。RA機構(gòu)是證書認(rèn)證體系中的一個組成部分，它是接收用戶證書及證書注銷列表申請信息,、審核用戶真實身份,、為用戶頒發(fā)證書的管理機構(gòu)。另外,，認(rèn)證業(yè)務(wù)中可能存在RAT機構(gòu),，即代RA、CA機構(gòu)受理證書申請的機構(gòu),。因此,，用戶在申請數(shù)字證書時，有權(quán)要求辦理機構(gòu)出具其具備相應(yīng)辦理資質(zhì)的材料。比如,，若用戶面對的是CA機構(gòu),，可查看其開展業(yè)務(wù)必須具備的《電子認(rèn)證業(yè)務(wù)許可證》。若用戶面對的是RA,、RAT機構(gòu),，可要求查看該等機構(gòu)與CA機構(gòu)間的授權(quán)服務(wù)協(xié)議等類似文件。若辦理機構(gòu)無法出具任何證明,，建議用戶暫停辦理,。若用戶存疑，可通過工信部專有渠道
https://ythzxfw.miit.gov.cn/resultQuery 查詢持有法定資質(zhì)的機構(gòu)名單,，或則聯(lián)絡(luò)合法設(shè)立的CA機構(gòu)咨詢,。

《電子認(rèn)證服務(wù)管理辦法》第二十二條規(guī)定：電子認(rèn)證服務(wù)機構(gòu)受理電子簽名認(rèn)證申請后，應(yīng)當(dāng)與證書申請人簽訂合同,，明確雙方的權(quán)利義務(wù),。因此，用戶在申領(lǐng)數(shù)字證書時,，應(yīng)注意審視是否簽署線下紙質(zhì)或者線上電子形式的書面協(xié)議,。若沒有相關(guān)的書面文件，有權(quán)向辦理機構(gòu)提出質(zhì)疑,。

3,、特定情形下應(yīng)及時辦理數(shù)字證書的撤銷

根據(jù)《電子簽名法》第十五條與第二十七條，電子簽名人應(yīng)當(dāng)妥善保管電子簽名制作數(shù)據(jù),。電子簽名人知悉電子簽名制作數(shù)據(jù)已經(jīng)失密或者可能已經(jīng)失密時,，應(yīng)當(dāng)及時告知有關(guān)各方，并終止使用該電子簽名制作數(shù)據(jù),。電子簽名人因違反前述義務(wù)給電子簽名依賴方,、電子認(rèn)證服務(wù)提供者造成損失的，承擔(dān)賠償責(zé)任,。由此可見,，若發(fā)生電子簽名制作數(shù)據(jù)（通常體現(xiàn)為“密鑰”）已失密或者有失密風(fēng)險，如常見發(fā)生的遺失證書介質(zhì)時,，用戶應(yīng)當(dāng)及時告知證書辦理機構(gòu),，由證書辦理機構(gòu)進行及時撤銷。否則,，因失密導(dǎo)致的風(fēng)險將由用戶自行承擔(dān),。另外，若任何用戶發(fā)現(xiàn)被冒領(lǐng)數(shù)字證書,，以及用戶不再使用數(shù)字證書的,，均有權(quán)向證書辦理機構(gòu)申請撤銷證書,。

根據(jù)《電子認(rèn)證服務(wù)管理辦法》第二十九條，在證書持有人申請撤銷證書,、證書的安全性不能得到保證等情形發(fā)生時,，CA機構(gòu)可以撤銷其簽發(fā)的數(shù)字證書。因此,，證書用戶密鑰失密,、發(fā)現(xiàn)被冒領(lǐng)證書、以及有其他證書安全風(fēng)險的情況,，用戶應(yīng)當(dāng)及時聯(lián)系證書辦理機構(gòu),，并提交相應(yīng)的注銷申請、身份證明材料,。受理機構(gòu)在受理后予以審核,，確定撤銷申請的合法性。在審核通過后,，CA機構(gòu)將撤銷證書、告知用戶,，并通過加入證書撤銷列表等方式予以公告,。

關(guān)于證書撤銷（吊銷）的常規(guī)流程，用戶可參考以下圖示：

總而言之,，數(shù)字證書為提升文件簽署的便捷性,、信息的傳輸安全性與完整性、簽名與文件的防篡改性均起著積極利好作用,。使用數(shù)字證書的電子簽名具備與手寫簽名一樣的法律效力,，并具備較強的證據(jù)效力。但是,，數(shù)字證書是網(wǎng)絡(luò)身份的重要標(biāo)志,，任何用戶都應(yīng)提高風(fēng)險防范意識，杜絕將本人或本單位的身份證明材料,、營業(yè)執(zhí)照等材料外借給他人辦理數(shù)字證書,，不得轉(zhuǎn)借數(shù)字證書，發(fā)現(xiàn)證書被冒領(lǐng),、冒用或密鑰遺失等異常情況時,，應(yīng)及時辦理證書撤銷手續(xù)。為了保障數(shù)字生活的安全高效,，不僅應(yīng)正確發(fā)揮數(shù)字證書的正面作用,，還應(yīng)時刻防范數(shù)字證書不當(dāng)領(lǐng)用與使用的風(fēng)險。