|
作者:上海CA 學(xué)法導(dǎo)讀:電子認(rèn)證的風(fēng)險不僅僅來自客戶身份及企業(yè)的信息外泄。當(dāng)下,恰恰來自于電子認(rèn)證CA機構(gòu)的不規(guī)范�����、甚至是非法認(rèn)證的問題����。例如BJCA、CFCA以及本文的作者等認(rèn)證公司的事件型數(shù)字證書創(chuàng)新業(yè)務(wù)����。這種事件型數(shù)字證書嚴(yán)重違反《電子簽名法》第十三條規(guī)定��,把本屬于客戶的數(shù)字證書違法的簽發(fā)給合同訂立平臺����,甚至是高利貸、套路貸平臺���,使這些平臺非法的具備了代替客戶簽訂一系列高額電子收費合同的“權(quán)利”��,嚴(yán)重?fù)p害了電子認(rèn)證行業(yè)維護社會公信力的基本職能��,危害了廣大群眾的財產(chǎn)安全�����。 數(shù)字生活給各參與主體帶來更好的體驗與便利�,數(shù)字證書應(yīng)用隨之日加普遍。證書用戶在使用數(shù)字證書時不僅應(yīng)充分發(fā)揮其方便快捷��、具備法律效力和證據(jù)力的優(yōu)勢���,還應(yīng)積極防范數(shù)字證書和使用的相應(yīng)風(fēng)險�����,故本文就數(shù)字證書的法律效力和風(fēng)險防范進行簡要分析���。因數(shù)字證書的類型、認(rèn)證對象���、用途存在多樣性����,本文分析的數(shù)字證書聚焦于身份數(shù)字證書����。 一�����、數(shù)字證書基本知識 01 數(shù)字證書是什么�����? 數(shù)字證書是經(jīng)由具有權(quán)威性�、可信性和公正性的電子認(rèn)證服務(wù)機構(gòu)(簡稱“CA機構(gòu)”)頒發(fā)的����,包含個人或者組織網(wǎng)絡(luò)數(shù)字身份和公開密鑰等信息的數(shù)字化文件。在用戶日常交易中����,智能密碼鑰匙(Ukey)就是最常見的數(shù)字證書載體�����。 數(shù)字證書以密碼學(xué)為基礎(chǔ)�,采用數(shù)字簽名、數(shù)字信封�����、時間戳服務(wù)等技術(shù),在互聯(lián)網(wǎng)上建立起有效的信任機制�。數(shù)字證書主要包含證書所有者的信息、證書所有者的公開密鑰�����、證書有效期和證書頒發(fā)機構(gòu)的簽名等內(nèi)容�����。 通俗講來����,數(shù)字證書是個人或組織參與網(wǎng)絡(luò)交易等活動的身份標(biāo)識,由權(quán)威的頒發(fā)機構(gòu)與可靠的技術(shù)賦予了該身份標(biāo)識極強的可信度和安全度����。 02 數(shù)字證書能實現(xiàn)什么功能? (1) 確認(rèn)網(wǎng)絡(luò)活動中的主體身份�����,確保參與主體的線上身份同線下身份一致��。 (2) 在互聯(lián)網(wǎng)活動中標(biāo)識證書持有人的數(shù)字身份��。 (3) 保證信息在互聯(lián)網(wǎng)傳輸過程中的安全性和完整性。 (4) 校驗傳送的信息是否被篡改或丟失����。 總而言之,數(shù)字證書能實現(xiàn)的功能大體可總結(jié)為確認(rèn)并標(biāo)記身份�����、保證信息傳輸安全與完整��、驗證數(shù)字簽名或簽名文件是否篡改�,從而真正實現(xiàn)身份真實、行為可信���、結(jié)果可驗�。 03 數(shù)字證書以什么方式獲?����?����? 若需要辦理數(shù)字證書����,則需要向CA機構(gòu)或者CA機構(gòu)的授權(quán)服務(wù)機構(gòu)(簡稱“RA機構(gòu)”)提出申請并簽署相關(guān)申領(lǐng)協(xié)議。上述機構(gòu)在審核通過后為頒發(fā)證書�。證書發(fā)放將以交付安全介質(zhì)、通過安全信道傳輸?shù)刃问綄崿F(xiàn)��。 二�、數(shù)字證書的法律分析 01 數(shù)字證書的相關(guān)法律依據(jù) 當(dāng)前對于數(shù)字證書及其法律效力與證據(jù)力的規(guī)范,主要規(guī)定在《電子簽名法》�����、《網(wǎng)絡(luò)安全法》����、《密碼法》、《民事訴訟法》���、《關(guān)于民事訴訟證據(jù)的若干規(guī)定》��、《電子認(rèn)證管理辦法》等文件����。 02 數(shù)字證書的法律效力 數(shù)字證書多用于進行電子簽名���,通過數(shù)字證書實現(xiàn)的電子簽名����,視為可靠的電子簽名,可實現(xiàn)與手寫簽名或者蓋章同等的法律效力�。 (1)可靠的電子簽名與手寫簽名具有同等法律效力 《電子簽名法》第十四條規(guī)定:可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力。 (2)何謂“可靠的電子簽名”��? 《電子簽名法》第十三條規(guī)定:電子簽名同時符合下列條件的�����,視為可靠的電子簽名: (一)電子簽名制作數(shù)據(jù)用于電子簽名時�����,屬于電子簽名人專有����; (二)簽署時電子簽名制作數(shù)據(jù)僅由電子簽名人控制; (三)簽署后對電子簽名的任何改動能夠被發(fā)現(xiàn)��; (四)簽署后對數(shù)據(jù)電文內(nèi)容和形式的任何改動能夠被發(fā)現(xiàn)�����。 (3)通過數(shù)字證書實現(xiàn)的電子簽名可認(rèn)定為“可靠的電子簽名” 首先�����,使用數(shù)字證書��,能夠確?�!半娮雍灻麛?shù)據(jù)”在用于簽名時屬于簽名人專有���,且簽署電子文件時僅由電子簽名人控制�?��!峨娮雍灻ā返谌臈l規(guī)定:電子簽名制作數(shù)據(jù)����,是指在電子簽名過程中使用的����,將電子簽名與電子簽名人可靠地聯(lián)系起來的字符、編碼等數(shù)據(jù)���。在實際應(yīng)用中�,“電子簽名制作數(shù)據(jù)”可體現(xiàn)為電子簽名人所持有的私鑰。該私鑰且僅由簽名人保管與操作��,其唯一對應(yīng)的公鑰寫入數(shù)字證書����。 其次,使用數(shù)字證書�,能夠有效識別電子簽名以及所簽署的電子文件在簽署后是否被改動,一旦發(fā)生任何改動可及時發(fā)現(xiàn)�。CA機構(gòu)在簽發(fā)數(shù)字證書時,都會產(chǎn)生一對密鑰對——即私鑰與公鑰�。私鑰由證書訂戶專有,公鑰包含于證書信息之中��。在證書訂戶使用數(shù)字證書進行電子簽名時��,將使用私鑰對電子文件的摘要值進行加密�����。驗證人使用該密鑰對中對應(yīng)的公鑰對電子文件進行解密�,得出解密后的摘要值;同時驗證人對電子文件原文進行一定運算���,得出原文摘要值�����。如果解密后的摘要值與原文摘要值完全一致����,即證明電子文件未被改動���。反之���,任何改動都會導(dǎo)致摘要值的不一致,從而可被立即識別�����。 03 數(shù)字證書的證據(jù)證明力 總體說來���,使用包含數(shù)字證書的電子簽名在訴訟中具有更強的證據(jù)證明力�。 首先���,電子文檔���、數(shù)字證書是法定的民事證據(jù)類型���。根據(jù)《民事訴訟法》第六十三條的規(guī)定,證據(jù)包括“電子數(shù)據(jù)”����;根據(jù)《關(guān)于民事訴訟證據(jù)的若干規(guī)定》第十四條的規(guī)定,“電子數(shù)據(jù)”包括“文檔”���、“數(shù)字證書”等電子文件���。 其次,數(shù)字證書作為電子證據(jù)的真實性可獲法院認(rèn)可��。根據(jù)《電子簽名法》第八條的規(guī)定�,審查數(shù)據(jù)電文作為證據(jù)的真實性應(yīng)當(dāng)考慮:生成、儲存或者傳遞數(shù)據(jù)電文方法的可靠性�����、保持內(nèi)容完整性方法的可靠性��、用以鑒別發(fā)件人方法的可靠性等�����。因此,使用CA機構(gòu)簽發(fā)的數(shù)字證書進行的電子簽署�����,可滿足上述參考因素�����,真實性易被認(rèn)可�����。同時����,根據(jù)《關(guān)于民事訴訟證據(jù)的若干規(guī)定》第九十四條的規(guī)定�����,電子數(shù)據(jù)由記錄和保存電子數(shù)據(jù)的中立第三方平臺提供或者確認(rèn)的�,人民法院可以確認(rèn)其真實性,除非以足以反駁的相反證據(jù)����。CA機構(gòu)作為具有權(quán)威性��、可信性和公正性的電子認(rèn)證服務(wù)機構(gòu)��,屬于中立第三方平臺��,其簽發(fā)的數(shù)字證書可以由法院確認(rèn)真實性����。 最后�,采用了具備數(shù)字證書的電子簽名,在司法審判中更容易獲得法院認(rèn)可����。如,在上海市第一中級人民法院(2020)滬01民終某號案件中�,法院認(rèn)為,上訴人與被上訴人簽署合同之時����, XX公司具備提供電子簽名服務(wù)的資質(zhì),且本案電子簽名證書由有資質(zhì)的電子認(rèn)證機構(gòu)頒發(fā)�。XX公司作為記錄和保存電子數(shù)據(jù)的中立第三方平臺,通過哈希值校驗以及可信時間戳的技術(shù)手段���,證明上訴人與被上訴人之間簽署的《融資租賃合同》等合同中的電子簽名及文檔內(nèi)容自簽署之日起未被篡改�����,本院對此予以認(rèn)可����,確認(rèn)上訴人提交的《融資租賃合同》等合同的真實性,上訴人與被上訴人之間成立融資租賃合同關(guān)系�����。 三�、數(shù)字證書的風(fēng)險防范 當(dāng)前��,數(shù)字證書已經(jīng)廣泛地應(yīng)用到各個領(lǐng)域:網(wǎng)絡(luò)簽約�、網(wǎng)絡(luò)交易、網(wǎng)上政務(wù)等等��,無疑為參與主體辦事提供了極大便利���。但是���,在享受便利的同時����,時刻勿忘風(fēng)險防范��。 1�����、謹(jǐn)慎保管證照資料與數(shù)字證書���,防范數(shù)字證書被冒領(lǐng)����、冒用風(fēng)險 證照資料(個人身份證明��、公司營業(yè)執(zhí)照等)不僅是線下交易時驗證身份的重要憑證���,也是辦理數(shù)字證書時證明主體身份的重要申請材料���。曾有不法分子通過買賣等非法手段獲取他人證照,企圖在證書驗證過程蒙混過關(guān)�,以他人名義申請數(shù)字證書,并將冒領(lǐng)后的數(shù)字證書用于各類違法違規(guī)用途��,如此非法行為將給證明材料本人(即“證書訂戶”)造成巨大損害。 當(dāng)前網(wǎng)絡(luò)上還出現(xiàn)一些“兼職廣告”���,若兼職者以本人名義辦理數(shù)字證書并將辦理后的證書交付給兼職招募者�,即可獲得一定“兼職收入”�����。另外���,還有部分證書訂戶�,出于便利����、交情等原因��,將本人持有的數(shù)字證書交由第三方使用��。如前文所述��,數(shù)字證書是識別網(wǎng)絡(luò)身份的重要標(biāo)志��,可以通俗地理解為“網(wǎng)絡(luò)身份標(biāo)識”���,一旦將本人數(shù)字證書交付給他人�����,他人即可利用該證書在網(wǎng)絡(luò)中辦理各種交易��,如申請網(wǎng)絡(luò)貸款��、申請設(shè)立公司�����,甚至從事各類違法違規(guī)行為�。若證書訂戶對于數(shù)字證書被冒領(lǐng)或冒用存在過錯,證書訂戶將相應(yīng)承擔(dān)關(guān)于該證書使用的不利后果��。因此���,證書訂戶應(yīng)當(dāng)自行保管好其私鑰���,不得轉(zhuǎn)讓、借用�。 此外���,若用戶想要查詢是否存在被冒領(lǐng)的數(shù)字證書,可聯(lián)絡(luò)CA機構(gòu)并獲取查詢途徑��,從而確定本人是否在該CA機構(gòu)辦理過數(shù)字證書�����。 同時��,冒領(lǐng)冒用他人數(shù)字證書必應(yīng)承擔(dān)法律責(zé)任����。《電子簽名法》第三十二條規(guī)定:偽造��、冒用����、盜用他人的電子簽名,構(gòu)成犯罪的���,依法追究刑事責(zé)任;給他人造成損失的�����,依法承擔(dān)民事責(zé)任?�;ヂ?lián)網(wǎng)不是法外之地���,任何盜用他人身份材料冒領(lǐng)���、冒用證書進行電子簽名的,將依法承擔(dān)民事責(zé)任甚至是刑事責(zé)任�。 2、應(yīng)當(dāng)通過具備合法資質(zhì)的機構(gòu)��、遵循法定程序申請數(shù)字證書 我們近期發(fā)現(xiàn)��,部分用戶在“中介”的介紹下�����,通過街邊打印店���、印章店辦理數(shù)字證書�����。整個辦理過程僅需要提供身份證件����,并未簽署任何文件?���!峨娮雍灻ā返谑鶙l規(guī)定:電子簽名需要第三方認(rèn)證的,由依法設(shè)立的電子認(rèn)證服務(wù)提供者提供認(rèn)證服務(wù)���。第三方認(rèn)證服務(wù)提供者即為CA機構(gòu)���。同時,CA機構(gòu)可將部分證書審核與簽發(fā)事宜委托給證書注冊機構(gòu)(RA機構(gòu))�����。RA機構(gòu)是證書認(rèn)證體系中的一個組成部分�,它是接收用戶證書及證書注銷列表申請信息、審核用戶真實身份���、為用戶頒發(fā)證書的管理機構(gòu)�。另外�����,認(rèn)證業(yè)務(wù)中可能存在RAT機構(gòu)�����,即代RA��、CA機構(gòu)受理證書申請的機構(gòu)�����。因此�,用戶在申請數(shù)字證書時,有權(quán)要求辦理機構(gòu)出具其具備相應(yīng)辦理資質(zhì)的材料��。比如���,若用戶面對的是CA機構(gòu)���,可查看其開展業(yè)務(wù)必須具備的《電子認(rèn)證業(yè)務(wù)許可證》。若用戶面對的是RA����、RAT機構(gòu)��,可要求查看該等機構(gòu)與CA機構(gòu)間的授權(quán)服務(wù)協(xié)議等類似文件�����。若辦理機構(gòu)無法出具任何證明�����,建議用戶暫停辦理�。若用戶存疑�����,可通過工信部專有渠道
https://ythzxfw.miit.gov.cn/resultQuery 查詢持有法定資質(zhì)的機構(gòu)名單����,或則聯(lián)絡(luò)合法設(shè)立的CA機構(gòu)咨詢。 《電子認(rèn)證服務(wù)管理辦法》第二十二條規(guī)定:電子認(rèn)證服務(wù)機構(gòu)受理電子簽名認(rèn)證申請后��,應(yīng)當(dāng)與證書申請人簽訂合同�,明確雙方的權(quán)利義務(wù)。因此�����,用戶在申領(lǐng)數(shù)字證書時,應(yīng)注意審視是否簽署線下紙質(zhì)或者線上電子形式的書面協(xié)議�。若沒有相關(guān)的書面文件,有權(quán)向辦理機構(gòu)提出質(zhì)疑�����。 3���、特定情形下應(yīng)及時辦理數(shù)字證書的撤銷 根據(jù)《電子簽名法》第十五條與第二十七條,電子簽名人應(yīng)當(dāng)妥善保管電子簽名制作數(shù)據(jù)�����。電子簽名人知悉電子簽名制作數(shù)據(jù)已經(jīng)失密或者可能已經(jīng)失密時���,應(yīng)當(dāng)及時告知有關(guān)各方�����,并終止使用該電子簽名制作數(shù)據(jù)����。電子簽名人因違反前述義務(wù)給電子簽名依賴方��、電子認(rèn)證服務(wù)提供者造成損失的,承擔(dān)賠償責(zé)任�。由此可見,若發(fā)生電子簽名制作數(shù)據(jù)(通常體現(xiàn)為“密鑰”)已失密或者有失密風(fēng)險��,如常見發(fā)生的遺失證書介質(zhì)時��,用戶應(yīng)當(dāng)及時告知證書辦理機構(gòu)�����,由證書辦理機構(gòu)進行及時撤銷����。否則,因失密導(dǎo)致的風(fēng)險將由用戶自行承擔(dān)��。另外���,若任何用戶發(fā)現(xiàn)被冒領(lǐng)數(shù)字證書��,以及用戶不再使用數(shù)字證書的�����,均有權(quán)向證書辦理機構(gòu)申請撤銷證書�����。 根據(jù)《電子認(rèn)證服務(wù)管理辦法》第二十九條���,在證書持有人申請撤銷證書��、證書的安全性不能得到保證等情形發(fā)生時,CA機構(gòu)可以撤銷其簽發(fā)的數(shù)字證書��。因此����,證書用戶密鑰失密、發(fā)現(xiàn)被冒領(lǐng)證書��、以及有其他證書安全風(fēng)險的情況��,用戶應(yīng)當(dāng)及時聯(lián)系證書辦理機構(gòu)����,并提交相應(yīng)的注銷申請、身份證明材料��。受理機構(gòu)在受理后予以審核����,確定撤銷申請的合法性��。在審核通過后�,CA機構(gòu)將撤銷證書��、告知用戶��,并通過加入證書撤銷列表等方式予以公告�����。 關(guān)于證書撤銷(吊銷)的常規(guī)流程�����,用戶可參考以下圖示: 總而言之�,數(shù)字證書為提升文件簽署的便捷性、信息的傳輸安全性與完整性�����、簽名與文件的防篡改性均起著積極利好作用�。使用數(shù)字證書的電子簽名具備與手寫簽名一樣的法律效力,并具備較強的證據(jù)效力。但是�,數(shù)字證書是網(wǎng)絡(luò)身份的重要標(biāo)志,任何用戶都應(yīng)提高風(fēng)險防范意識�,杜絕將本人或本單位的身份證明材料、營業(yè)執(zhí)照等材料外借給他人辦理數(shù)字證書����,不得轉(zhuǎn)借數(shù)字證書,發(fā)現(xiàn)證書被冒領(lǐng)��、冒用或密鑰遺失等異常情況時���,應(yīng)及時辦理證書撤銷手續(xù)。為了保障數(shù)字生活的安全高效�,不僅應(yīng)正確發(fā)揮數(shù)字證書的正面作用,還應(yīng)時刻防范數(shù)字證書不當(dāng)領(lǐng)用與使用的風(fēng)險��。
|
