事件證書的主要功能,在於以簽名的形式,對事件場景中形成的電子數據進行固定以防止數據被篡改,而不在於保證電子簽名的抗抵賴性。
也就是說,事件證書的電子簽名本身並非是《電子簽名法》意義上“具有法律約束力”的電子簽名,而更多地表現為壹種技術工具,使用證書簽名技術實現電子數據的防篡改功能。
事件證書的含義可以從CA認證機構對事件證書的定義中尋求的答案:
參考北京CA在其電子認證業務規則(CPS)第1.4.1條d項的定義,“事件型數字證書是北京CA面向簽名行為業務場景簽發出的數字證書,在業務過程中,根據訂戶提交的業務場景中相關信息(電子文檔、簽名行為特征信息、手寫筆跡或其他簽名行為證據信息等)自動固化至數字證書的擴展域,簽發出事件型數字證書。事件型數字證書所對應的私鑰為壹次性使用,對業務場景的信息數據進行電子簽名,在使用後即被銷毀”;該CPS第6.1.1和6.1.2進壹步明確“事件型證書的簽名密鑰對由簽名設備生成並保管”。
在上海CA的電子認證業務規則(CPS)中並無事件證書的相關內容,但其專門發布了《事件證書證書策略電子認證業務規則》,其中第1.6.13條給出定義,“事件數字證書是面向即時業務或者特定業務場景,上海CA所設計的壹類基於事件證書專利技術的特殊數字證書。在業務過程中,自動將業務場景中相關信息(電子文檔、簽名行為特征信息、手寫筆跡或其他簽名行為證據信息等)關聯至數字證書的擴展域,簽發出事件數字證書,實現業務過程中的可靠電子簽名。事件數字證書所對應的私鑰壹般壹次性使用,其在使用壹次後即被銷毀”;
從電子認證業務規則中可以看出,“事件證書”本身並非正式的證書類型,而更多的是各CA機構為市場拓展所衍生的營銷定義,綜合分析這些定義,無論是“事件證書”或是“場景證書”,可以發現具有如下***同點:
1、事件證書的生命周期都極短,在事件發生時頒發證書,事件結束證書即被終止;
2、事件證書的私鑰並非由用戶(證書上記載的簽名人)掌握,而是由簽名場景的業務提供方實際掌控。
事件證書的實用價值——用於保證被簽名數據的防篡改
正如CFCA在其CPS中所言,“使用場景證書對即時業務或者場景業務證據簽名後,可證明證據在取證結束後無篡改…”;在北京CA的CPS中雖然沒有明確事件證書的具體功能,但其在北京市高級人民法院“(2021)京行終905號”行政判決書中,也明確承認“北京數字認證公司2018年2月為平安科技公司簽發…的事件型證書,通過證書簽名固化平安科技公司與用戶簽署電子合同的業務場景信息,證明相關信息的完整性,…使用北京數字認證公司簽發的事件型證書實施電子簽名的主體是平安科技公司而不是用戶。…符合電子簽名法第三十四條規定的“電子簽名人”,是平安科技…”。
結合前文的分析和上述CA機構的自述,可以得出如下結論:
1、使用事件證書的實際“簽名人”並非是“事件證書上記載的證書持有人”,而是提供簽名系統的業務方;
2、事件證書上記載的證書持有人僅僅是“名義簽名人”,由於實際簽名行為並非名義簽名人所為,其不是依照《電子簽名法》規定“需要對電子簽名行為承擔法律後果的電子簽名人”,使用事件證書簽名的電子文件,對名義簽名人沒有法律約束力;
3、事件證書的主要功能是通過電子簽名的技術,保證事件發生場景中相關電子數據的完整性,防止數據產生後被篡改,但對於數據產生的過程以及數據本身是否真實在所不問,因此事件證書的電子簽名不具有抗抵賴性。