之前我寫的壹篇文章,希望可以幫助題主答疑解惑:
事件證書的含義——事件證書並非合規的數字證書類型
根據國家市場監督管理總局、中國國家標準化管理委員會發布的GB/T 25056-2018 信息安全技術 證書認證系統密碼及其相關安全技術規範3.9的定義,數字證書類型按用途可分為“簽名證書”和“加密證書”兩種,按類別可分為“個人證書”、“機構證書”和“設備證書”三種,當中並無“事件證書”;
按照國家密碼行業標準化指導性技術文件“GM/Z 0001-2013”《密碼術語》第2.115條對數字證書的定義,“數字證書也稱公鑰證書,由證書認證機構(CA)簽名的包含公開密鑰持有者信息、公開密鑰、簽發者信息、有效期以及擴展信息的壹種數據結構。按類別可分為個人證書、機構證書和設備證書,按用途可分為簽名證書和加密證書”,其中也沒有“事件證書”壹說,由此可見,所謂事件證書,並非是具有正式法律淵源和合規依據的證書類型;
那麽何謂“事件證書”?
參考北京CA在其電子認證業務規則(CPS)第1.4.1條d項的定義,“事件型數字證書是北京CA面向簽名行為業務場景簽發出的數字證書,在業務過程中,根據訂戶提交的業務場景中相關信息(電子文檔、簽名行為特征信息、手寫筆跡或其他簽名行為證據信息等)自動固化至數字證書的擴展域,簽發出事件型數字證書。事件型數字證書所對應的私鑰為壹次性使用,對業務場景的信息數據進行電子簽名,在使用後即被銷毀”;該CPS第6.1.1和6.1.2進壹步明確“事件型證書的簽名密鑰對由簽名設備生成並保管”。
在上海CA的電子認證業務規則(CPS)中並無事件證書的相關內容,但其專門發布了《事件證書證書策略電子認證業務規則》,其中第1.6.13條給出定義,“事件數字證書是面向即時業務或者特定業務場景,上海CA所設計的壹類基於事件證書專利技術的特殊數字證書。在業務過程中,自動將業務場景中相關信息(電子文檔、簽名行為特征信息、手寫筆跡或其他簽名行為證據信息等)關聯至數字證書的擴展域,簽發出事件數字證書,實現業務過程中的可靠電子簽名。事件數字證書所對應的私鑰壹般壹次性使用,其在使用壹次後即被銷毀”;
再參考CFCA(中國金融認證中心)的CPS,在CFCA的業務規則中沒有規定“事件證書”,但在第1.4.1.2中提出了“CFCA場景證書”,指出“CFCA 場景證書是壹種適用於對即時業務或者特定場景業務進行簽名認證的數字證書。在業務結束時自動申請,將業務場景中所有信息整合形成數字證書的擴展域信息。使用場景證書對即時業務或者場景業務證據簽名後可證明證據在取證結束後無篡改,並保證多個證據之間的關聯性和壹致性。場景證書使用時不限制簽名次數,也不限定特定文檔,可用於對即時業務或者場景業務中的所有證據分別簽名。脫離該場景後,證書即不能使用”,第6.1.1“密鑰對的生成”章節進壹步明確“場景證書的密鑰生成由負責場景業務的業務提供方生產,並負責保護場景證書私鑰的安全”。
從以上幾個典型CA機構的電子認證業務規則中可以看出,“事件證書”本身並非正式的證書類型,而更多的是各CA機構為市場拓展所衍生的營銷定義,綜合分析這些定義,無論是“事件證書”或是“場景證書”,可以發現具有如下***同點:
1、事件證書的生命周期都極短,在事件發生時頒發證書,事件結束證書即被終止;
2、事件證書的私鑰並非由用戶(證書上記載的簽名人)掌握,而是由簽名場景的業務提供方實際掌控。
事件證書的法律性質——不具有預期的法律效果
事件證書雖然不是具有合規依據的證書類型,但由於獲得的方式非常容易,讓其事實上成為了目前市面上最廣泛存在的壹種數字證書形式,大量的電子合同SaaS平臺都在使用事件證書提供電子簽名服務,那麽基於事件證書的電子簽名,是否具有相關當事人所預期“等同於紙質簽名”的法律效果呢?
簽名的法律含義是“簽名人對被簽名內容的認可”,因而壹份符合預期法律效果的電子簽名需要具備3個條件:1、文件包含電子簽名的事實,2、簽名人的身份可以確定,3、簽名行為人(即實際在文件上完成簽名操作的人)與“文件上表明的電子簽名人”身份壹致。
按照數字證書簽名的基本原理,簽名是通過“私鑰”運算完成的,掌握“私鑰”是執行電子簽名行為的前提,換言之,誰掌握“私鑰”誰才可能成為實際的簽名人;
在事件證書電子簽名的場景中,根據前文北京CA、CFCA以及上海CA的CPS規則,事件證書的“私鑰”並非由用戶掌控,故而用戶不可能成為實際的電子簽名人,簽名行為實際上是由提供簽名系統的業務方所完成的;雖然事件證書的有效期很短,但短暫的有效期只是降低了其他第三方盜用私鑰偽造簽名的風險,卻不能阻止提供簽名系統的業務方濫用用戶簽名的能力,對此,CFCA在其CPS中更是特別強調“場景證書的密鑰生成由負責場景業務的業務提供方生產,並負責保護場景證書私鑰的安全”;由此可見,由於簽名系統的業務方,可以隨時以用戶的名義向CA機構取得事件證書,也就使得業務方具有了隨時以用戶名義在任何文件上偽造簽名的能力。
因此,從法律意義上說,基於這種事件證書電子簽名,由於無法將簽名行為與簽名人身份建立不可否認的唯壹綁定,因而不符合“電子認證”的基本原理,不能表明“簽名人對被簽名內容的認可”,不具有當事人等同紙質簽名的預期法律效果。
事件證書的實用價值——用於保證被簽名數據的防篡改
正如CFCA在其CPS中所言,“使用場景證書對即時業務或者場景業務證據簽名後,可證明證據在取證結束後無篡改…”;在北京CA的CPS中雖然沒有明確事件證書的具體功能,但其在北京市高級人民法院“(2021)京行終905號”行政判決書中,也明確承認“北京數字認證公司2018年2月為平安科技公司簽發…的事件型證書,通過證書簽名固化平安科技公司與用戶簽署電子合同的業務場景信息,證明相關信息的完整性,…使用北京數字認證公司簽發的事件型證書實施電子簽名的主體是平安科技公司而不是用戶。…符合電子簽名法第三十四條規定的“電子簽名人”,是平安科技…”。
結合前文的分析和上述CA機構的自述,可以得出如下結論:
1、使用事件證書的實際“簽名人”並非是“事件證書上記載的證書持有人”,而是提供簽名系統的業務方;
2、事件證書上記載的證書持有人僅僅是“名義簽名人”,由於實際簽名行為並非名義簽名人所為,其不是依照《電子簽名法》規定“需要對電子簽名行為承擔法律後果的電子簽名人”,使用事件證書簽名的電子文件,對名義簽名人沒有法律約束力;
3、事件證書的主要功能是通過電子簽名的技術,保證事件發生場景中相關電子數據的完整性,防止數據產生後被篡改,但對於數據產生的過程以及數據本身是否真實在所不問,因此事件證書的電子簽名不具有抗抵賴性。
事件證書的濫用風險——事件證書的濫用現象及其嚴重後果
從前文可知,事件證書的主要功能,在於以簽名的形式,對事件場景中形成的電子數據進行固定以防止數據被篡改,而不在於保證電子簽名的抗抵賴性,因此,事件證書的電子簽名本身並非是《電子簽名法》意義上“具有法律約束力”的電子簽名,而更多地表現為壹種技術工具,使用證書簽名技術實現電子數據的防篡改功能。
然而實務中,事件證書的實際使用卻與此大相徑庭,大量的事件證書被直接應用於諸如電子合同等法律文書的簽署,且服務提供商公然宣稱其具有《電子簽名法》意義上的可靠電子簽名的效力,這就給用戶、名義簽名人、簽名依賴者,乃至電子認證行業產生了重大誤導,同時也給工信部的行業監管帶來了負擔。
舉例來說,前文提及的北京市高級人民法院“(2021)京行終905號”“薛某某”訴“工信部”行政訴訟案就是其中的壹個典型案件,在該案中,平安科技公司錯誤地將北京CA頒發的事件證書用於“銀行與薛某某”之間的法律文件簽署,而事實上“薛某某”從未向北京CA申請過數字證書,但平安科技公司卻以“薛某某”數字證書生成了“薛某某”的電子簽名,並基於該電子簽名向“薛某某”主張權利;為此“薛某某”將平安科技公司及北京CA的違規做法向工信部進行了投訴,但工信部又未能恰當處理,最終導致“薛某某”向法院提起行政訴訟,被法院判定工信部敗訴。除此之外,也還有更多的當事人,通過工信部的監督平臺,向工信部反映電子合同SaaS平臺擅自簽發數字證書的遭遇事件…,這壹系列現象直接表明,事件證書的濫用實際上已經是不爭的事實。
如同企業印章的公安備案壹樣,電子認證的本質是將壹個“外在標識”與特定的“人”(包括自然人和法人)建立綁定關系,從而獲得經權威認證的電子身份證明;對於具有身份識別功能的標準數字證書而言,其頒發流程的嚴肅程度通常不亞於“居民身份證”,事件證書並非標準的數字證書,其主要作用是防篡改而並非身份識別,因此實務中事件證書的頒發流程比標準數字證書容易得多,但由於從外觀上,事件證書與標準數字證書並無區別,這就給事件證書的濫用帶來了動機和隱患。
很多CA機構由於片面追求證書的發放數量和市場回報,將事件證書的簽發通道公開出售,對事件證書的實際使用放任管控,甚至有意無意地給予配合,使得越來越多的事件證書被錯誤地當作標準數字證書用於法律文件的簽署。電子認證這壹原本以“公信力”為根本,以嚴謹審慎為支撐的行業,成為了“橡皮圖章”的刻章單位,罔顧法律風險,儼然成了“認錢不認人”的證書販賣機構。
事件證書的應用泛濫,已經嚴重影響到了行業的健康發展。
事件證書風險問題的對策——解決事件證書濫用問題的幾項舉措
事件證書作為CA公司壹項市場化的證書業務創新,其發展中出現的問題應從CA行業入手進行解決,包括但不限於采取如下措施。
壹、主觀上充分認知“電子認證”服務的嚴肅性
“身份”是所有法律行為的基礎,電子認證行業之所以存在,就是因為需要壹個“可信”的權威機構,能夠獨立審慎地將壹個“外在標識”與“特定對象”的“真實身份”進行認證綁定,從而賦予特定對象壹個可靠的電子身份。CA機構雖然以“公司”的形式存在,但卻是“社會信用”建設的重要組成部分,電子認證並不僅僅是壹項市場化的技術服務,而且承載著對應的公信職能,每壹枚數字證書的可靠性程度,都可能會對簽名人、簽名依賴方及其他相關人的權益產生重大影響,因此,保證數字證書簽發過程的嚴肅性和結果的可靠性,是每壹個CA機構的應然之責,《電子簽名法》也明確規定“電子認證服務提供者收到電子簽名認證證書申請後,應當對申請人的身份進行查驗, 並對有關材料進行審查”,“電子認證服務提供者簽發的電子簽名認證證書應當準確無誤”。
但實務中,很多運營行為違背了這樣的要求,壹些CA公司將法律賦予的身份審核權,有償轉移給其他業務合作方,只要合作方願意付費,即可實現合作方業務系統與CA系統(RA)層面的對接,CA接到合作方向“特定主體”簽發證書的指示,就直接簽發證書,不但不去核實該特定主體是否真地提交了證書申請,而且還直接把數字證書交付給合作方而非證書所有人,正是這種做法,使得“業務合作方”成為了實際意義上的“電子認證”提供者,而CA卻成為了只管證書簽發的“數字證書代工廠”,也使得“業務合作方”實際上獲得了以任何人的名義獲得CA簽發的“數字證書”,進而獲得偽造任何人電子簽名的能力;前述北京市高級人民法院“(2021)京行終905號”案件中,平安科技公司之所以能夠獲得“薛某某”的證書,並能夠以“薛某某”名義完成電子簽名,就是因為這種業務模式造成的結果。
進壹步分析產生這種現象的原因,對“電子認證”服務的嚴肅性認知不足是壹個重要因素;
現實的物理世界中,個人和企業的身份由公安機關和工商機關負責認證,單位公章由行政許可的專門刻章機構制作並由公安機關備案,“認證、刻章、備案”構成了物理世界裏可靠身份管理的有機整體;本質上,電子認證就是電子世界裏身份認證、印章制作與備案的“三位壹體”,頒發數字證書如同刻制印章,證書鏈和公開證書列表如同印章的公安備案,而有效的身份認證是數字證書可靠性的源頭,正如公安機關不能將簽發身份證時身份核驗的職能讓渡給其他人壹樣,CA機構頒發數字證書時,身份認證不但是CA的權利,更是CA的基本義務,因而必須充分認識到可靠身份認證在“電子認證服務”中的關鍵作用,堅決糾正壹些CA因片面追求市場效益,將身份認證的主動性、數字證書的可靠性以及CA行業的權威性,販賣給業務合作方的錯誤做法。
二、禁止使用“名義簽名人”身份頒發事件證書
根據《電子簽名法》三十四條的規定,“電子簽名人是指持有電子簽名制作數據並以本人身份或者以其所代表的人的名義實施電子簽名的人”,因此,只有“持有證書私鑰”的人才可能成為法律意義上的“電子簽名人”,而在事件證書的場景中,無論是業務合作方的信息系統直接生成“私鑰”或是由業務系統中特定設備生成“私鑰”,“私鑰”都不可能被“名義簽名人”所持有,實際的電子簽名人永遠只能是業務合作方,因此事件證書頒發給業務合作方或者合作方的設備,才是正當之舉,以名義簽名人身份頒發證書不但涉嫌違規,而且也容易使用戶產生混淆,給行業監管帶來負擔,更是給合作方的不當使用提供了機會。
三、為事件證書的核驗提供專門OCSP證書狀態列表
由於事件證書的有效周期短且數量大,同時,事件證書的主要功能在於數據的防篡改,與標準數字證書的抗抵賴性具有顯著區別,因此將事件證書的公開證書狀態列表,與標準數字證書狀態列表進行區分具有壹定的必要,如此,既能有效優化證書列表的總體查詢性能,又能起到向用戶明確告知事件證書屬性的作用。
四、公開明示事件證書的功能是防篡改
事件證書在實務中被大量濫用的壹個主要原因,就在於事件證書功能上的誤導性,雖然壹些CA機構在其發布的CPS中明確了事件證書的用途,但並非每壹個證書使用者或電子簽名依賴者都是行業專家,能夠真正理解事件證書與標準數字證書的區別,為了避免事件證書被不當地使用於法律文件的電子簽署及其他非防篡改應用場景,有必要在每壹枚事件證書的擴展項中明確載明功能僅限於防篡改,並在各種事件證書的產品頁面上對其功能的限制性加以說明,從而進壹步杜絕事件證書的不當使用。
五、整頓濫用事件證書的業務合作場景
對於已經開展的事件證書業務,有必要按照實際的業務場景進行相應的梳理,對於符合事件證書功能需求的繼續沿用,對於存在偷換概念將事件證書用於法律文件簽署,有條件轉換為使用標準數字證書的,應更改合作模式,不具備轉換條件的,應停止事件證書的使用。