随着人工智能、大数据、云计算等新技术迅猛发展,数据日益成为社会发展的新型生产要素,数字时代给人们工作生活带来很多便利与更好的体验,CA数字证书也因其“网络身份真实性、信息传输安全性、完整性、可追溯性、具有法律效力”等功能优势,被应用到“政府、医疗、招投标、教育、交通”等各种领域,也被越来越多人认识及使用。因数字证书的类型、认证主体、用途存在多样性,本文从以下几个方面进行介绍。
一、数字证书基本知识
01
数字证书是什么?
数字证书是经由具有权威性、可信性和公正性的电子认证服务机构(简称“CA机构”)颁发的,包含个人或者组织网络数字身份和公开密钥等信息的数字化文件。在用户日常交易中,智能密码钥匙(Ukey)就是最常见的数字证书载体。
数字证书以密码技术为基础,采用数字签名、身份认证、时间戳服务等技术,在互联网上建立起有效的信任机制。数字证书主要包含证书所有者的信息、证书所有者的公开密钥、证书有效期和证书颁发机构的签名等内容。
通俗讲来,数字证书是个人或组织参与网络交易等活动的身份标识,被称为“网络身份证”,由权威的CA颁发机构提供的可靠的技术及国家各项相关法律赋予了该身份标识极强的可信度、安全度和法律效力。
02
数字证书能实现什么功能?
身份认证:在网络中传递信息的双方互相不能见面,利用数字证书可确认双方身份,而不是他人冒充的。
保密性:通过使用数字证书对信息加密,只有接收方才能阅读加密的信息,从而保证信息不会被他人窃取。
完整性:利用数字证书可以校验传送的信息在传递的过程中是否被篡改过或丢失。
防抵赖:利用数字证书进行数字签名,可以准确标示签名人身份及验证签名内容,因此签名人对签名及签名内容具有不可否认性,其作用与手写的签名具有同样的法律效力。
总而言之,数字证书能实现的功能大体可总结为确认并标记身份、保证信息传输安全与完整、验证数字签名或签名文件是否篡改,从而真正实现身份真实、行为可信、结果可验。
03
数字证书的获取方式?
若需要办理数字证书,则需要向河北CA这样的CA机构提出申请并签署相关申领协议。审核通过后为颁发数字证书。证书发放通常以交付安全介质key的形式实现。
二、数字证书的法律效力
01
数字证书的法律依据
当前对于数字证书及其法律效力与证据力的规范,主要规定在《电子签名法》、《网络安全法》、《密码法》、《民事诉讼法》、《关于民事诉讼证据的若干规定》、《电子认证管理办法》等文件。
02
数字证书的法律效力
《中华人民共和国密码法》
第八条:···公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。
第二十九条:国家密码管理部门对采用商用密码技术从事电子政务电子认证服务的机构进行认定,会同有关部门负责政务活动中使用电子签名、数据电文的管理。
《中华人民共和国电子签名法》
第二条:···电子签名,是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。
第三条:民事活动中的合同或者其他文件、单证等文书,当事人可以约定使用或者不使用电子签名、数据电文。当事人约定使用电子签名、数据电文的文书,不得仅因为其采用电子签名、数据电文的形式而否定其法律效力···
第四条:能够有形地表现所载内容,并可以随时调取查用的数据电文,视为符合法律、法规要求的书面形式。
第七条:数据电文不得仅因为其是以电子、光学、磁或者类似手段生成、发送、接收或者储存的而被拒绝作为证据使用。
第十四条:可靠的电子签名与手写签名或者盖章具有同等的法律效力。
《中华人民共和国网络安全法》
第二十四条:···国家实施网络可信身份战略,支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证之间的互认。
数字证书多用于进行电子签名,通过数字证书实现的电子签名,视为可靠的电子签名,可实现与手写签名或者盖章同等的法律效力。
03
数字证书的证据证明力
使用包含数字证书的电子签名在诉讼中具有较强的证据证明力。
首先,电子文档、数字证书是法定的民事证据类型。根据《民事诉讼法》第六十三条的规定,证据包括“电子数据”;根据《关于民事诉讼证据的若干规定》第十四条的规定,“电子数据”包括“文档”、“数字证书”等电子文件。
其次,数字证书可以作为电子证据的真实性被法院认可。根据《电子签名法》第八条的规定,审查数据电文作为证据的真实性应当考虑:生成、储存或者传递数据电文方法的可靠性、保持内容完整性方法的可靠性、用以鉴别发件人方法的可靠性等。而数字证书符合其可靠性要求。
对照可靠电子签名的标准来看:
1、数字签名在制作电子签名时,私钥是自己独有的;
2、在签署电子签名时,签署人只能用自己的私钥进行签名,别人无法使用;
3、对电子签名有任何改动,通过签名验证非常容易发现;
因此,使用CA机构签发的数字证书进行的电子签署,可满足上述参考因素,真实性易被认可。同时,根据《关于民事诉讼证据的若干规定》第九十四条的规定,电子数据由记录和保存电子数据的中立第三方平台提供或者确认的,人民法院可以确认其真实性,除非以足以反驳的相反证据。CA机构作为具有权威性、可信性和公正性的电子认证服务机构,属于中立第三方平台,其签发的数字证书可以由法院确认真实性。
最后,采用具备数字证书的电子签名,在司法审判中更容易获得法院认可。因电子签名证书由有资质的电子认证机构颁发。可通过密码技术及可信时间戳技术手段,证明签署的电子合同中的电子签名及文档内容自签署之日起未被篡改,因此法院可确认电子合同的真实性。
三、数字证书的风险防范
当前,数字证书已经广泛地应用到“政府、医疗、招投标、教育、交通”等各种领域,为参与主体办事提供了极大便利。但是,在享受便利的同时,时刻勿忘风险防范。
1、谨慎保管证照资料与数字证书,防范数字证书被冒领、冒用风险
证照资料(个人身份证明、公司营业执照等)不仅是线下交易时验证身份的重要凭证,也是办理数字证书时证明主体身份的重要申请材料。请妥善保管证照资料,以免造成巨大损害。
同时河北CA为降低冒领冒用风险,在数字证书办理流程中加入“法人手机认证”及“对公账户打款”两种认证方式,做到层层把关,为保护用户信息再添安全锁。
冒领冒用他人数字证书必应承担法律责任。《电子签名法》第三十二条规定:伪造、冒用、盗用他人的电子签名,构成犯罪的,依法追究刑事责任;给他人造成损失的,依法承担民事责任。互联网不是法外之地,任何盗用他人身份材料冒领、冒用证书进行电子签名的,将依法承担民事责任甚至是刑事责任。
2、应当通过具备合法资质的机构、遵循法定程序申请数字证书
《电子签名法》第十六条规定:电子签名需要第三方认证的,由依法设立的电子认证服务提供者提供认证服务。第三方认证服务提供者即为CA机构。
合法合规的CA机构需具备以下条件:
1.《电子认证服务管理办法》第二章第五条:电子认证服务机构,应当具备下列条件:(五)具有符合国家有关安全标准的技术和设备;(六)具有国家密码管理机构同意使用密码的证明文件;
2.《电子认证服务管理办法》第三章第十七条:电子认证服务机构应当保证提供下列服务:(一)制作、签发、管理电子签名认证证书;(二)确认签发的电子签名认证证书的真实性;
3.《中华人民共和国电子签名法》第十七条规定:提供电子认证服务,应当具备国家密码管理机构同意使用密码的证明文件。
4.《中华人民共和国电子签名法》第十八条规定:从事电子认证服务应当向国务院信息产业主管部门提出申请,予以许可的颁发电子认证许可证。
5.获得当地电子认证服务主管机构允许在本地开展电子认证服务的批文。
因此,用户在申请数字证书时,有权要求办理机构出具其具备相应办理资质的材料。比如《电子认证业务许可证》。若办理机构无法出具任何证明,建议用户暂停办理。
《电子认证服务管理办法》第二十二条规定:电子认证服务机构受理电子签名认证申请后,应当与证书申请人签订合同,明确双方的权利义务。因此,用户在申领数字证书时,应注意审视是否签署线下纸质或者线上电子形式的书面协议。若没有相关的书面文件,有权向办理机构提出质疑。
3、特定情形下应及时办理数字证书的吊销
根据《电子签名法》第十五条与第二十七条,电子签名人应当妥善保管电子签名制作数据。电子签名人知悉电子签名制作数据已经失密或者可能已经失密时,应当及时告知有关各方,并终止使用该电子签名制作数据。电子签名人因违反前述义务给电子签名依赖方、电子认证服务提供者造成损失的,承担赔偿责任。CA丢失存在被冒名参与招投标、开票、签订协议,或使用CA登录篡改或泄露招投标、社保、公积金信息等风险。一旦CA丢失,请及时携带单位营业执照原件及经办人身份证到河北CA当地办事处办理挂失(吊销)或补办。
更多CA申请、使用、吊销等细则详见《河北省电子认证有限公司数字证书使用协议》及《河北CA电子认证业务规则》。
总而言之,数字证书为提升文件签署的便捷性、信息传输的安全性与完整性、签名与文件的防抵赖、防篡改性以及法律效力方面均起着积极重要作用。使用数字证书的电子签名具备与手写签名一样的法律效力,并具备较强的证据效力。但是,数字证书是网络身份的重要标志,任何用户都应提高风险防范意识,发现证书被冒领、冒用或密钥遗失等异常情况时,应及时办理证书挂失(吊销)或补办手续。
