一、乱象丛生的电子签名行业

在互联网和数字经济蓬勃发展的今天，电子签名技术越来越广泛地运用到互联网金融、电子商务、电子合同、电子公文流转、旅游、O2O、物流、租房、物联网、区块链等诸多领域，用以保证电子数据或者权利义务的主体性、完整性和时间性。

相应地，也带来了巨大的问题，例如2018年，就有多名互联网金融用户在网络中联名向工信部部长实名举报某些知名电子签名企业，说他们在电子签名的制作和使用过程中，存在身份核验把关不严，代用户签名的事实，造成了互联网金融等合同所签非所人的严重后果。

电子签名的使用，关乎用户的重大权利义务，必须规范化，如果不规范化，那就是“皇帝的新衣”，自己骗自己，出了事儿，悔之晚矣。

那么，我们平时所用到的电子签名，是可靠的吗？是符合法律规定的吗？真被提交到了法院，会被法院所认可法律效力吗？一个合法有效的电子签名，究竟应包含哪些要素？

“法123”公众号将通过本文对电子签名的重要细节正本清源，给用户和司法裁判者做出参考，还原电子签名确认身份、记录事实、意思表示的本真。

二、电子签名的核心作用

签名在民法中是一个主体在做出意思表示时候用笔写下自己的名字，承认某种法律上的效果的行为。

《合同法》第10条和11条规定，订立合同可以口头、书面或者其他形式，而书面形式就包括合同书、信件和数据电文（包括电报、电传、传真、电子数据交换和电子邮件）等可以有形地表现所载内容的形式。

因此，签名的本意是确定主体的真实且自由之意思表示，它并不限定某种技术，可以是手写签名、也可以是发微信、短信、电子邮件、也可以是点头，也可以是电子签名，只要能保证两点：

确认表达意思表示的主体的身份；

把意思表示所愿意受到约束的内容给固定下来，那么这就构成了意思表示的基本要件。

三、可靠电子签名需要满足的条件

鉴于在法律上，电子签名是签名的下位概念，因此《电子签名法》第34条进一步明确了电子签名也应具备传统签名的基本功能：确定主体、固定内容。

然而就好比利刃可以切肉，钝刀可以斩骨一样，电子签名技术是中立的，只有可靠不可靠之分，至于合法有效性评价，不同场景评价的标准不同，这只能交由立法者、执法者和司法者来评价。因此电子签名法在立法过程中，也秉持了技术色彩。

《电子签名法》第13条规定了可靠的电子签名有四个条件：

一、私钥签名人专有；

二、签署时，私钥归签名人控制；

三、签署后对电子签名的任何改动能够被发现；

四、签署后，对数据电文的任何改变能够被发现。

当事人也可以选择使用符合其约定的可靠条件的电子签名。

四、可靠电子签名应当包含的要素

根据之前所述，合法有效是一种主要由立法者、执法者和法院基于法律的评价。

当前市场的很多诸如自建CA、身份核验把关不严、私钥云托管、委托第三方代为签署等方案，因其存在瑕疵，那么当进入合法性评价环节，就容易导致法律效力缺陷，不被认可。

那么“法123”公众号将实务中一个完备的电子签名所包含的要素，重点阐述，以期能够促进电子签名行业能够规范发展，真正解决实际问题。

1.电子签名数字证书的颁发单位如提供第三方认证服务，应具有CA资质

1）自建CA从事电子签名服务，有没有法律效力？《电子签名法》第16条规定，电子签名需要第三方认证的，由依法设立的电子认证服务提供者提供认证服务。第18条规定，从事电子认证服务，应当向工信部申请CA牌照。

根据“法123”公众号从工信部官网查询，现在工信部总共颁发了40余张CA牌照。但是很遗憾很多政府部门和企业却知法犯法，在他们颁发的CA中，如果您仔细查阅其数字证书的颁发单位，却不在工信部的CA牌照名录中。

诚然，这些政府部门和公司自建CA的行为，并不当然违反法律，因为根据《电子签名法》第13条，可靠电子签名的条件可以由当事人之间的互认，同时根据《电子签名法》第16、18条，电子签名如不需要第三方认证，此时则电子签名数字证书的颁发单位，法理上可不具有CA牌照。

但是电子签名行业的规范化发展，必须有规矩，无规矩不成方圆，政府部门也应该带头做出表率，而不是带头违反法律。根据对《电子签名法》的解读，理论上自建CA只能在自己的系统内部使用，而不能向社会第三方提供服务，很多垂直管理的政府部门和企业自建CA就是在打《电子签名法》的擦边球，国家监管部门也睁一只眼闭一只眼，不予处罚，进一步加剧了电子签名行业的乱象。

2）电子签名集成公司与CA公司只进行PKI技术合作，身份核验把关不严，有没有法律效力？

目前主流的电子签名公司，除少数参股CA公司，通常是以技术合作的方式，与CA公司进行合作，主要就是CA公司根据电子签名集成公司的身份核验结果和指令，颁发数字证书。

但是根据《电子签名法》第20条，CA公司应对申请电子签名认证证书申请者的身份进行查验，并对有关材料进行审核。

所以CA公司的法定义务，既包含仔细核查证书申请人的身份，也包括证书的颁发环节，而不能只根据电子签名集成公司的身份核验结果和指令，进行数字证书颁发。

所以在司法审查电子签名公司的数字证书颁发环节中，要仔细核验证书申请者身份核验的细节，是线下核验还是线上核验、是公安数据库比对还是电子签名集成公司自身缓存的身份数据库比对，身份证、银行卡、手机号、人脸识别、生物特征识别、活体检测，等等多因子身份认证技术用了哪些，能不能排除合理怀疑把数字证书准确颁发到对应的法定主体处，归由该主体所实际控制、专用。

因此，不论是电子签名集成公司还是CA公司，只要身份核验环节有可能存在漏洞，那么其颁发的数字证书的主体性就是存疑的，是难以达到民法中的意思表示确定真实主体、固定实际权力义务的电子签名本真目的，合法有效性因此具有缺陷，也违背了《电子签名法》的立法本意。

2.网络在线的状态下，核验数字证书的有效性

电子签名的有效性核验，在PDF文件中通常会自动完成。但是在网络离线状态，因证书列表不是最新版或者无法向远程CA服务器发送核验证书有效性请求，故离线状态是无法有效核验数字证书及签名的有效性的。因此“法123”公众号推荐在司法审查中，如需核验数字证书和电子签名的有效性，应在网络在线的状态，进行如下方式核验。

1）电子签名时，进行数字证书CRL证书吊销列表校验CRL（Certificate Revocation List）是一个被CA所签署的证书列表，需要用户经常下载至本地，CRL中包含了被吊销证书的序列号。CRL中会包含证书的泄露密钥、泄露CA、从属关系改变、被取代、业务终止等状态。

一个有效的电子签名，在签署时，应当下载CRL证书列表，以核查证书的吊销状态，以确保私钥在签署时的有效性。如果未进行CRL证书吊销列表核验，那么所签署的电子签名，有可能就是用了被吊销或者过期的证书中的私钥签署的，此时电子签名就是无效的。

2）电子签名时，运行OCSP在线证书认证协议，核验证书的有效性。

CRL的不足就是必须经常在客户端下载以确保列表的更新，并且如果列表庞大，遍历证书吊销列表需要耗费一定的时间。而OCSP（Online Certificate Status Protocol）克服了CRL的主要缺陷。

当用户试图访问一个服务器时，在线证书状态协议（OCSP）发送一个对于证书状态信息的请求。服务器回复一个“有效”“过期”或“未知”的响应。用户电子签名时，只需要执行OSCP协议，那么就可以实时获知证书的有效性。

3.核验电子签名是否包含时间戳

一个可靠的电子签名，可以保证主体性的意思表示和电子数据形式的权利义务不被篡改，但是签署的法定时间性难以保证。所以在《GBT 25064-2010信息安全技术 公钥基础设施 电子签名格式规范》国家标准中，至少列出了BES、ES-T、ES-C、ES-X4等级别的电子签名。

其中ES-T即带时间戳的电子签名及以上级别，可以视作可靠的电子签名。最高人民法院也在2018年9月3日，专门出台了《关于互联网法院审理案件若干问题的规定》其中第11条“当事人提交的电子数据，通过电子签名、可信时间戳、哈希值校验、区块链等证据收集、固定和防篡改的技术手段或者通过电子取证存证平台认证，能够证明其真实性的，互联网法院应当确认。”

在中国，时间戳一般由CA公司或者时间戳服务机构采购符合国家标准的可信时间戳服务器，采用中科院国家授时中心的时间源，并就其时间数据包以其私钥进行电子签名以供验证，向社会提供时间戳服务。

必须要指出的是，时间戳是一种技术，全中国的可信时间源均来自于国家授时中心，不论是国家中心时间源还是时间戳服务，均不是某家公司所独有，或者独占经营。

所以在审查电子签名时间性的时候，要核验电子签名时间点是计算机本地时钟还是时间戳时钟，如果是计算机本地时钟，因为本地时钟可以自行篡改，则不具备时间上的有效性，而具有时间戳的电子签名，可以保证严格的时间性。

4.核查数字证书颁发的根证书体系

数字证书是包括国际证书和国内证书两大体系，而不论是国际证书还是国内证书，都是有自根证书起，一层一层的授权验证体系。

目前的国际体系证书，例如WebTrust体系下，需要定期进行国际审计，国际证书可以适用于签名业务或者是互联网的服务器证书用途，并且已植入Adobe PDF系列软件与主流浏览器（例如Chrome、IE等）中， 无需用户手动添加或导入。

而国内证书可以在中国国内使用，但是在Adobe Reader或者Acrobat软件证书核验中，会显示很多个问号。在根证书无法查验时，因我们无法了解到数字证书及公钥的最终认证层级和单位，我们认为此时电子签名的合法有效性也是具有缺陷的。

5.私钥保存位置和存储介质

“私钥不离介质”是国际通行的惯例。

例如，私钥初期的介质是U盾（USB-Key）或密码机，U盾本身并不仅是一个简单的存储器，而是一个安全性非常高的微计算机，私钥的生成和用私钥签名都是在U盾里实现，外界不但无法接触到私钥，也无法“拷贝”或“盗取”私钥。

所以，“私钥不离介质”是保证电子签名安全性与合法性的基石，必须严格遵守，而目前国内的现状却背道而行，软证书大行其道。

根据私钥的介质不同，最起码包含软证书、硬证书、手机证书等多种情形。但《电子签名法》要求私钥要专有、实时控制，因为私钥即代表身份，也代表承担权利义务的意思表示。

因此严格从立法角度看，云端托管私钥以及把私钥委托给第三方使用，是违反了《电子签名法》关于专有和实时控制的要求。

这也是为什么目前国际主流的趋势，是将私钥交还到用户所能控制的硬件介质本身，包括但不限于USB-Key、手机（最新款的手机已经可以把私钥写入Secure Element,即SE安全区域中，非常安全）、密码机等设备中。

因此在审查电子签名的合法有效性问题时，私钥的介质，直接影响到私钥是否存在被人复制、冒用的情形，需要被重点审查。云端存储私钥的方案，合法性有效性也是具有缺陷的。

遗憾的是，当下国内签名市场乱象丛生，归根结底，源于大多数的电子签名平台都采用“云签”方案，也就是把私钥存在云端，美其名是为了更好的用户体验，其实是非常不负责任的作法，不但违反了《电子签名法》对私钥专有性与控制性的严格规定，同时用户对其私钥安全性承受了莫大的风险而不自知。

实务中，私钥就相当于是公章或指纹，试问有多少企业（或个人）愿意把它的公章（或指纹）交给他人去管理与使用。

电子签名不但可以促进电子商务的发展，同时也可以有效遏止萝卜章的泛滥，但是，令人寒心的是，许多业界人士为了市场份额与私利，泯昧良知，明知用户不但不了解电子签名的技术细节，也不了解《电子签名法》的法律细节，铤而走险地大量使用“云签”方案。

这种做法导致整个行业野蛮生长乱象丛生，希望监管单位能够迅速取缔与整顿，否则整个行业将会被扼杀在摇篮里，对国家的信息化将造成巨大的损害。

五、合规电子签名实例验证

经过对如上CA资质、身份核验、CRL、OSCP、时间戳、私钥保存位置六个关键点的分析，我们已经能够初步看到一个完整的合法有效的电子签名，应该具有的状态，这里“法123”公众号就PDF格式的电子签名以Adobe为例示图说明。

1.最终证书核验状态，绿色的勾、身份有效、时间戳、证书路径、证书吊销状态均核验通过

2.可以看到完整的根证书体系层级

3.详细信息可以看到进一步的CPS（Certification Practice Statement）电子认证规则信息

4.吊销栏可以看到电子签名时进行了证书吊销列表CRL核验信息

5.点开电子签名高级属性，可以看到时间戳的证书链和证书信息，并且核验有效

六、行业寄语

电子签名以及背后的非对称加密技术，作为一种便捷、无纸化计算机技术方案，的确提高了签名的效率，节省了签名的成本，并且具有很好的安全性，遏止了萝卜章的泛滥。

但电子签名安全性的前提，是真实的身份与安全的私钥控制，电子签名才能等同于用户对于重大权利义务的认可，离开了这个前提，虚假的身份、第三方托管的私钥签约速度再快，也不会带来实际权利义务的承担。

如果虚假的签名，把不法分子非法占有、诈骗的目的，无限满足、畸形膨胀，那就是舍本逐末、南辕北辙，那么就一定会对中国整个电子化的经济业态不论是互联网金融还是电子商务、电子政务等造成重大损害。

当前不论是暴雷的善林金融还是团贷网，无一例外拿了很多奖项、很多资质，也遵循互联网金融协会的要求，使用了电子签名和电子合同，但是丝毫没有解决其业务借旧还新、庞氏诈骗的本质。

2018年4月美国电子签名公司DocuSign上市开始，市值一度突破100亿美元，引发了众多资本方和推手在发软文呼吁谁是中国的DocuSign，多家公司都声称自己是中国第一。

但是切记切记，火车不是推的，牛皮不是吹的，人家美国讲诚信，踏踏实实研究技术，我们中国人也只有踏踏实实把自己的技术方案做好、做安全，经得起群众的考验，真正解决了社会的问题，才是真正是伟大的公司在做伟大的事业，受人称赞。不然再高的估值，再高的用户数和签约量，也不过是企业方跑数据、资本方圈钱的把戏，终究要有人来买单。一旦出了问题，非但损害了电子签名行业本身，而且损害广大不知情的用户的重大利益。

亡羊补牢，为时未晚，真心期盼中国电子签名行业在政府督导、企业配合、用户知晓、司法审查的合力下，快速健康发展，为中国下一代的电子业态真正发挥中流砥柱的关键信息基础设施的作用。

责编：cnhan