客服电话:021-962600
  1.   首页
  2. 事件公告
  3. 公告详情

数字证书法律简析及风险防范

发布时间:April 2, 2021

数字证书法律简析及风险防范

发布时间:April 2, 2021

数字生活给各参与主体带来更好的体验与便利,数字证书应用随之日加普遍。证书用户在使用数字证书时不仅应充分发挥其方便快捷、具备法律效力和证据力的优势,还应积极防范数字证书和使用的相应风险,故本文就数字证书的法律效力和风险防范进行简要分析。因数字证书的类型、认证对象、用途存在多样性,本文分析的数字证书聚焦于身份数字证书。

一、数字证书基本知识

01

数字证书是什么?

数字证书是经由具有权威性、可信性和公正性的电子认证服务机构(简称“CA机构”)颁发的,包含个人或者组织网络数字身份和公开密钥等信息的数字化文件。在用户日常交易中,智能密码钥匙(Ukey)就是最常见的数字证书载体。

数字证书以密码学为基础,采用数字签名、数字信封、时间戳服务等技术,在互联网上建立起有效的信任机制。数字证书主要包含证书所有者的信息、证书所有者的公开密钥、证书有效期和证书颁发机构的签名等内容。

通俗讲来,数字证书是个人或组织参与网络交易等活动的身份标识,由权威的颁发机构与可靠的技术赋予了该身份标识极强的可信度和安全度。

02

数字证书能实现什么功能?

(1) 确认网络活动中的主体身份,确保参与主体的线上身份同线下身份一致。

(2) 在互联网活动中标识证书持有人的数字身份。

(3) 保证信息在互联网传输过程中的安全性和完整性。

(4) 校验传送的信息是否被篡改或丢失。

总而言之,数字证书能实现的功能大体可总结为确认并标记身份、保证信息传输安全与完整、验证数字签名或签名文件是否篡改,从而真正实现身份真实、行为可信、结果可验。

03

数字证书以什么方式获取?

若需要办理数字证书,则需要向CA机构或者CA机构的授权服务机构(简称“RA机构”)提出申请并签署相关申领协议。上述机构在审核通过后为颁发证书。证书发放将以交付安全介质、通过安全信道传输等形式实现。

二、数字证书的法律分析

01

数字证书的相关法律依据

当前对于数字证书及其法律效力与证据力的规范,主要规定在《电子签名法》、《网络安全法》、《密码法》、《民事诉讼法》、《关于民事诉讼证据的若干规定》、《电子认证管理办法》等文件。

02

数字证书的法律效力

数字证书多用于进行电子签名,通过数字证书实现的电子签名,视为可靠的电子签名,可实现与手写签名或者盖章同等的法律效力。

(1)可靠的电子签名与手写签名具有同等法律效力

《电子签名法》第十四条规定:可靠的电子签名与手写签名或者盖章具有同等的法律效力。

(2)何谓“可靠的电子签名”?

《电子签名法》第十三条规定:电子签名同时符合下列条件的,视为可靠的电子签名:

(一)电子签名制作数据用于电子签名时,属于电子签名人专有;

(二)签署时电子签名制作数据仅由电子签名人控制;

(三)签署后对电子签名的任何改动能够被发现;

(四)签署后对数据电文内容和形式的任何改动能够被发现。

(3)通过数字证书实现的电子签名可认定为“可靠的电子签名”

首先,使用数字证书,能够确保“电子签名数据”在用于签名时属于签名人专有,且签署电子文件时仅由电子签名人控制。《电子签名法》第三十四条规定:电子签名制作数据,是指在电子签名过程中使用的,将电子签名与电子签名人可靠地联系起来的字符、编码等数据。在实际应用中,“电子签名制作数据”可体现为电子签名人所持有的私钥。该私钥且仅由签名人保管与操作,其唯一对应的公钥写入数字证书。

其次,使用数字证书,能够有效识别电子签名以及所签署的电子文件在签署后是否被改动,一旦发生任何改动可及时发现。CA机构在签发数字证书时,都会产生一对密钥对——即私钥与公钥。私钥由证书订户专有,公钥包含于证书信息之中。在证书订户使用数字证书进行电子签名时,将使用私钥对电子文件的摘要值进行加密。验证人使用该密钥对中对应的公钥对电子文件进行解密,得出解密后的摘要值;同时验证人对电子文件原文进行一定运算,得出原文摘要值。如果解密后的摘要值与原文摘要值完全一致,即证明电子文件未被改动。反之,任何改动都会导致摘要值的不一致,从而可被立即识别。

03

数字证书的证据证明力

总体说来,使用包含数字证书的电子签名在诉讼中具有更强的证据证明力。

首先,电子文档、数字证书是法定的民事证据类型。根据《民事诉讼法》第六十三条的规定,证据包括“电子数据”;根据《关于民事诉讼证据的若干规定》第十四条的规定,“电子数据”包括“文档”、“数字证书”等电子文件。

其次,数字证书作为电子证据的真实性可获法院认可。根据《电子签名法》第八条的规定,审查数据电文作为证据的真实性应当考虑:生成、储存或者传递数据电文方法的可靠性、保持内容完整性方法的可靠性、用以鉴别发件人方法的可靠性等。因此,使用CA机构签发的数字证书进行的电子签署,可满足上述参考因素,真实性易被认可。同时,根据《关于民事诉讼证据的若干规定》第九十四条的规定,电子数据由记录和保存电子数据的中立第三方平台提供或者确认的,人民法院可以确认其真实性,除非以足以反驳的相反证据。CA机构作为具有权威性、可信性和公正性的电子认证服务机构,属于中立第三方平台,其签发的数字证书可以由法院确认真实性。

最后,采用了具备数字证书的电子签名,在司法审判中更容易获得法院认可。如,在上海市第一中级人民法院(2020)沪01民终某号案件中,法院认为,上诉人与被上诉人签署合同之时, XX公司具备提供电子签名服务的资质,且本案电子签名证书由有资质的电子认证机构颁发。XX公司作为记录和保存电子数据的中立第三方平台,通过哈希值校验以及可信时间戳的技术手段,证明上诉人与被上诉人之间签署的《融资租赁合同》等合同中的电子签名及文档内容自签署之日起未被篡改,本院对此予以认可,确认上诉人提交的《融资租赁合同》等合同的真实性,上诉人与被上诉人之间成立融资租赁合同关系。

三、数字证书的风险防范

当前,数字证书已经广泛地应用到各个领域:网络签约、网络交易、网上政务等等,无疑为参与主体办事提供了极大便利。但是,在享受便利的同时,时刻勿忘风险防范。

1、谨慎保管证照资料与数字证书,防范数字证书被冒领、冒用风险

证照资料(个人身份证明、公司营业执照等)不仅是线下交易时验证身份的重要凭证,也是办理数字证书时证明主体身份的重要申请材料。曾有不法分子通过买卖等非法手段获取他人证照,企图在证书验证过程蒙混过关,以他人名义申请数字证书,并将冒领后的数字证书用于各类违法违规用途,如此非法行为将给证明材料本人(即“证书订户”)造成巨大损害。

当前网络上还出现一些“兼职广告”,若兼职者以本人名义办理数字证书并将办理后的证书交付给兼职招募者,即可获得一定“兼职收入”。另外,还有部分证书订户,出于便利、交情等原因,将本人持有的数字证书交由第三方使用。如前文所述,数字证书是识别网络身份的重要标志,可以通俗地理解为“网络身份标识”,一旦将本人数字证书交付给他人,他人即可利用该证书在网络中办理各种交易,如申请网络贷款、申请设立公司,甚至从事各类违法违规行为。若证书订户对于数字证书被冒领或冒用存在过错,证书订户将相应承担关于该证书使用的不利后果。因此,证书订户应当自行保管好其私钥,不得转让、借用。

此外,若用户想要查询是否存在被冒领的数字证书,可联络CA机构并获取查询途径,从而确定本人是否在该CA机构办理过数字证书。

同时,冒领冒用他人数字证书必应承担法律责任。《电子签名法》第三十二条规定:伪造、冒用、盗用他人的电子签名,构成犯罪的,依法追究刑事责任;给他人造成损失的,依法承担民事责任。互联网不是法外之地,任何盗用他人身份材料冒领、冒用证书进行电子签名的,将依法承担民事责任甚至是刑事责任。

2、应当通过具备合法资质的机构、遵循法定程序申请数字证书

我们近期发现,部分用户在“中介”的介绍下,通过街边打印店、印章店办理数字证书。整个办理过程仅需要提供身份证件,并未签署任何文件。《电子签名法》第十六条规定:电子签名需要第三方认证的,由依法设立的电子认证服务提供者提供认证服务。第三方认证服务提供者即为CA机构。同时,CA机构可将部分证书审核与签发事宜委托给证书注册机构(RA机构)。RA机构是证书认证体系中的一个组成部分,它是接收用户证书及证书注销列表申请信息、审核用户真实身份、为用户颁发证书的管理机构。另外,认证业务中可能存在RAT机构,即代RA、CA机构受理证书申请的机构。因此,用户在申请数字证书时,有权要求办理机构出具其具备相应办理资质的材料。比如,若用户面对的是CA机构,可查看其开展业务必须具备的《电子认证业务许可证》。若用户面对的是RA、RAT机构,可要求查看该等机构与CA机构间的授权服务协议等类似文件。若办理机构无法出具任何证明,建议用户暂停办理。若用户存疑,可通过工信部专有渠道https://ythzxfw.miit.gov.cn/resultQuery 查询持有法定资质的机构名单,或则联络合法设立的CA机构咨询。

《电子认证服务管理办法》第二十二条规定:电子认证服务机构受理电子签名认证申请后,应当与证书申请人签订合同,明确双方的权利义务。因此,用户在申领数字证书时,应注意审视是否签署线下纸质或者线上电子形式的书面协议。若没有相关的书面文件,有权向办理机构提出质疑。

3、特定情形下应及时办理数字证书的撤销

根据《电子签名法》第十五条与第二十七条,电子签名人应当妥善保管电子签名制作数据。电子签名人知悉电子签名制作数据已经失密或者可能已经失密时,应当及时告知有关各方,并终止使用该电子签名制作数据。电子签名人因违反前述义务给电子签名依赖方、电子认证服务提供者造成损失的,承担赔偿责任。由此可见,若发生电子签名制作数据(通常体现为“密钥”)已失密或者有失密风险,如常见发生的遗失证书介质时,用户应当及时告知证书办理机构,由证书办理机构进行及时撤销。否则,因失密导致的风险将由用户自行承担。另外,若任何用户发现被冒领数字证书,以及用户不再使用数字证书的,均有权向证书办理机构申请撤销证书。

根据《电子认证服务管理办法》第二十九条,在证书持有人申请撤销证书、证书的安全性不能得到保证等情形发生时,CA机构可以撤销其签发的数字证书。因此,证书用户密钥失密、发现被冒领证书、以及有其他证书安全风险的情况,用户应当及时联系证书办理机构,并提交相应的注销申请、身份证明材料。受理机构在受理后予以审核,确定撤销申请的合法性。在审核通过后,CA机构将撤销证书、告知用户,并通过加入证书撤销列表等方式予以公告。

关于证书撤销(吊销)的常规流程,用户可参考以下图示:

若用户想要撤销上海市数字证书认证中心有限公司(上海CA)签发的数字证书,可按照上述流程予以办理。若有任何疑问,可通过以下方式与上海CA取得联络:

传真: 021-36393132
服务热线: 021-962600
支持邮箱: jy@sheca.com
服务网点查询: http://www.sheca.com

总而言之,数字证书为提升文件签署的便捷性、信息的传输安全性与完整性、签名与文件的防篡改性均起着积极利好作用。使用数字证书的电子签名具备与手写签名一样的法律效力,并具备较强的证据效力。但是,数字证书是网络身份的重要标志,任何用户都应提高风险防范意识,杜绝将本人或本单位的身份证明材料、营业执照等材料外借给他人办理数字证书,不得转借数字证书,发现证书被冒领、冒用或密钥遗失等异常情况时,应及时办理证书撤销手续。为了保障数字生活的安全高效,不仅应正确发挥数字证书的正面作用,还应时刻防范数字证书不当领用与使用的风险。