电子认证行业正迎来更严格的监管。近期,工业和信息化部依据《电子签名法》《电子认证服务管理办法》等法律法规,开展全行业合规专项检查,聚焦数字证书申请与管理的关键环节。与此同时,《电子认证业务规则规范》(T/CQAE 11034-2025,下称新规)也已正式落地。
这两项动作指向同一个目标:压实电子认证服务机构(CA)的责任,构建更加坚实可信的电子签名信任体系。它表面上是规范CA的经营行为,实际上最终保护的是证书订户(即电子签名人),以及采购电子签名服务的广大企业客户。
01
新规到底规范了什么?
电子签名行业的核心价值,最终要靠合规性与法律效力来兑现。但近年来,行业在快速发展中暴露出一些共性问题:证书办理告知不充分、CA未与订户直接订立证书服务协议、身份核验资料缺失等。数字证书相关投诉,已成为监管受理的主要投诉类型之一。
正因如此,监管部门明确要求,CA必须严格遵循“告知、身份查验、意愿确认、协议签署、证书签发、资料保存”的全流程操作规范。其中备受关注的,是身份核验环节——此前行业中普遍存在的认证业务层层委托、责任链条断裂、主体责任无法压实的做法,已被新规明文禁止。
法大大联合创始人兼首席法务官梅臻,是这份标准的主要起草人之一。
参与标准制定,意味着法大大对规范的理解更加深入——哪些环节容易在司法实践中产生争议、哪些细节决定了电子签名的法律效力,这些基于司法实践和海量客户场景的有关“合规”的认知,从法大大创立开始便已持续沉淀为法大大服务体系的底层逻辑。
02
电子签名有效,关键在“四必须”
新规对CA提出了四项核心要求,可以概括为“四必须”。法大大以此为准则,将每一项要求全面落实到产品设计与服务中。
01 身份认证必须“CA直验”
新规要求:身份查验不得委托给外部机构,必须由CA直接完成。
法大大的实践:所有身份查验均由法大大全资持有的持牌CA——山东豸信认证服务有限公司(简称“豸信CA”)及其合作CA直接执行。我们整合了人脸核身、银行卡信息校验、运营商信息校验、对公打款验证等多种手段,根据业务风险等级灵活配置、分级适配。
这意味着,证书订户的的身份是由持牌CA亲自核验。一旦进入司法程序,这一区别对电子签名的法律效力认定至关重要。
02 服务协议必须“CA直签”
新规要求:CA承担与订户签订电子认证服务协议的直接责任。
法大大的实践:证书订户直接与豸信CA及其合作CA签署《电子认证服务协议》,明确双方权利义务、服务内容、责任划分和信息安全保障措施,确保服务关系透明清晰、权责对等。
这意味着,协议主体清晰,CA与证书订户双方的权益都有明确的法律依据。
03 申请意愿必须“全程留证”
新规要求:高等级证书申请须通过录音录像等方式完整记录订户意愿;基础级证书可采用强制阅读、短信、邮件等电子方式留存确认记录。
法大大的实践:豸信CA内置完整的证书申请意愿留存能力,可根据不同证书等级提供音视频双录、短信验证、邮件确认、强制阅读确认等多种方式,对订户申请数字证书时的真实意愿进行全过程记录,并形成完整、可追溯的电子证据链。
这意味着,用户每一次证书申请、授权确认与签署行为,都具备明确的意愿证明和时间留痕。当出现合同争议或司法举证需求时,可有效证明“证书由本人申请、签名由本人授权”,进一步保障企业交易安全。
04 私钥使用必须“严管可控"
新规要求:CA若提供私钥托管,必须获得证书订户明确授权,且每次私钥调用需有完整记录;私钥须采用加密方式存储,实现全生命周期安全管控。
法大大的实践:豸信CA构建了从密钥生成、加密存储、授权使用到安全销毁的全周期管控体系,每一次电子签名背后都有明确的授权记录和完整的操作日志。
这意味着,数字证书只有证书订户本人能决定何时使用——即使是平台方也无法在未获得订户明确授权的情况下动用。这从根本上杜绝了“代签”“冒签”的风险。
03
签完之后:全链条举证能力与业务连续性保障
新规要求CA建立覆盖证书全生命周期的举证体系,涵盖证书签发、签名等全过程记录。
法大大旗下豸信CA提供从身份核验到电子证据出证的全链条一体化服务,当电子合同产生争议时,输出的是一条完整的司法证据链,而非一个孤立的签署结果。
新规同时要求CA应设立不低于上年营收1.5%的赔付准备金,为用户权益与业务连续性提供制度保障。
法大大凭借集团化运营的协同优势,以及旗下豸信CA的多年持牌运营经验,不仅严格落实监管要求,更构建了行业领先的风险保障体系。
我们深知,合规与安全没有终点,法大大将始终保持在电子认证底层领域的高强度持续投入,不断迭代技术能力、完善合规流程,为客户提供长期稳定、安全可信的电子签名服务。
同时需要说明的是,电子签名服务商与CA是两个不同层级的主体概念——
CA是持有工信部颁发的电子认证服务许可的电子认证服务提供方,作为底层信任基础设施提供者,承担数字证书签发与电子认证的法定责任。
而电子签名服务商整合CA及其他证书应用全链条各环节能力,向企业提供全流程电子签署、合同管理与司法出证的综合解决方案。
这一区分并非中国独有。以美国头部厂商DocuSign为例: 其支持接入欧盟eIDAS、巴西ICP Brasil等当地CA机构签发的证书。平台归平台,CA归CA——这是国际通行的架构。
法大大旗下全资持有豸信CA,该CA自2013年成立以来专注于核心电子认证领域技术研发与合规运营,已通过6项国际权威安全与合规认证,并于2024年上线新一代数字信任云平台,全面整合了多元核验、密钥全生命周期管理与可信时间戳服务能力。
基于自有CA的核心技术底座,法大大进一步构建了多CA冗余通道与多级别证书体系——
企业可根据业务场景需求灵活匹配不同持牌CA签发的证书,从架构上彻底规避单一 CA 的系统性单点故障风险;
同时针对个人/机构用户、高等级/基础级业务场景实现精准分级适配,在严格满足监管合规要求的前提下,最大化提升签署效率。
目前,豸信CA年度证书签发量超亿张,时间戳年调用量突破数十亿次,核心服务全年可用性稳定保持在99.99%以上。
04
选择电子签名服务商,可以关注这四点
新规的出台,为企业甄选合规服务商提供了清晰的判断依据。以下四大维度可供参考:
第一,看CA资质与接入方式。是否有自有CA并非唯一判断标准,真正需要关注的是其接入的CA是否持牌、是否具备持续稳定的运营年限及无重大违规的合规记录。
同时,仅依赖单一CA通道的服务商存在业务中断风险,支持多CA通道冗余切换的服务商在业务连续性保障方面更具优势。
第二,看身份查验是否“CA直验”。身份核验是由CA直接完成,还是委托给第三方?新规已明确禁止CA认证业务层层外包。由持牌 CA 直接完成的身份核验记录,在司法实践中具有更高的证据效力,能够有效降低后续争议中的举证难度。
第三,看证书是否分级分类。服务商是否提供覆盖个人/机构、高等级/基础级的分级证书体系?能否实现高风险场景自动匹配高等级证书?单一类型的证书体系难以满足企业多样场景下的合规要求。
第四,看私钥管理是否透明可控。私钥由谁保管?每次调用是否需要明确授权?是否有完整操作日志?这不仅直接决定数字证书的使用安全,更关系到企业是否会因私钥管理不当承担不必要的法律连带责任。
