新规之下,如何签得更稳——电子认证业务规则变化与实务解读
随着工业和信息化部推动《电子认证业务规则规范》(T/CQAE 11034-2025,以下简称“规则规范”)正式落地,以及全国电子认证行业合规专项检查持续深入,电子认证行业正在进入“强监管、强合规、强责任”的新阶段。此次监管升级主要围绕《中华人民共和国电子签名法》,进一步压实电子认证服务机构(CA)在身份核验、意愿确认、协议签署、私钥管理、证据留存等关键环节的法定责任,推动行业从“规模扩张”走向“可信发展”,从源头防范“冒名认证”“违规代签”“责任链断裂”等风险,构建更加安全、可信、可追溯的数字信任体系。
在此背景下,越来越多企业客户开始关注:
-
规则规范究竟影响哪些业务场景?
-
电子签约平台(RA机构)、CA机构、企业客户之间的责任边界如何划分?
-
技术服务平台在新监管框架下还能发挥哪些价值?
-
如何兼顾合规、体验与业务连续性?
围绕大家普遍关心的这些问题,上上签电子签约特别邀请大成律师事务所专家王峭律师进行专题解读,从法律、监管与行业实践等多个维度,对规则规范的核心变化、行业影响及企业合规关注点进行了系统分析,希望帮助企业更加理性、客观地理解本轮电子认证合规升级。
一、规则规范的出台背景与行业变革
2024年至2025年,我国电子认证服务行业正经历一轮深层次的制度重构。这一轮变革的驱动力来自多个维度:
1. 行业规模扩大与风险暴露并存
随着电子签名在金融信贷、医疗健康、政务服务、企业供应链等领域的广泛渗透,电子认证服务已从技术工具演变为数字经济的基础信任设施。然而,行业快速发展过程中也暴露出诸多问题:部分CA机构身份查验流于形式、订户意愿确认缺失、证书分级管理缺位、历史数据不可追溯等问题时有发生。这些问题直接威胁到电子签名的法律可靠性和公众信任基础。
2. 法律体系的系统性完善
近年来,《中华人民共和国数据安全法》(2021年)、《中华人民共和国个人信息保护法》(2021年)相继施行,《商用密码管理条例》(2023年修订)对密码应用提出了更高要求。电子认证服务作为连接密码技术与法律效力的关键环节,亟须在制度层面与上位法体系保持衔接和协调。
3. 两项核心规范的出台
在此背景下,两项关键规范相继发布或征求意见:
《电子认证服务管理办法(征求意见稿)》:工业和信息化部就现行《电子认证服务管理办法》(2009年版,2015年修订)的全面修订公开征求意见。征求意见稿在准入门槛(注册资本从3,000万提高至7,000万、人员从30人增至60人)、行为规范(新增CA不得委托核心职能、信息可追溯要求、投诉处理机制)、监管手段(合规性评估、失信名单制度、举报处理机制)、跨境互认等方面进行了系统性升级。
T/CQAE 11034-2025《电子认证业务规则规范》:由中国质量认证中心等机构起草,于2025年12月发布,2026年1月实施。该标准首次系统性地对电子签名认证证书进行分级管理(基础级/高等级),明确了高风险场景禁止使用基础级证书的规则,并对身份查验、意愿记录、告知义务、举证体系等关键环节提出了详细要求。
4. 行业格局面临重塑
新规的出台将对行业生态产生深远影响:准入门槛的大幅提高可能导致部分中小CA机构退出市场;证书分级管理和高风险场景的强制要求将推动电子签约服务向合规化、精细化方向发展;多CA接入、业务连续性保障等能力将成为电子签约平台的核心竞争力。
在这一政策背景下,本文针对大家普遍关注的核心问题,结合现行法律法规、征求意见稿及规则规范要求,进行系统性法律解读。
二、CA与电子签约平台的关系
近期部分市场观点:新规出台后,没有CA牌照就不能做电子签约,这是真的吗?没有自持CA牌照是否合规?
法律解答:
此说法不准确,属于对法律规定的误读。
法律框架分析
《电子认证服务管理办法》(2009年版)第二条规定:“本办法所称电子认证服务,是指为电子签名相关各方提供真实性、可靠性验证的活动。本办法所称电子认证服务提供者,是指为需要第三方认证的电子签名提供认证服务的机构。”
法律要求的是电子认证服务机构(即CA)须持有《电子认证服务许可证》,这是对CA自身的资质要求。电子签约平台作为技术服务提供方,其法律定位与CA不同——平台是整合CA认证能力、为用户提供签署工具和流程管理的技术中介。
平台直连持牌CA的合规性
《电子认证服务管理办法》(2009年版)规范的对象是CA机构本身,并未要求电子签约平台必须自持CA牌照。平台通过与一家或多家持牌CA直连合作,由持牌CA完成证书签发和身份认证,在现有法律上是完全合规的路径。
需要注意的是,《电子认证服务管理办法(征求意见稿)》第二十二条新增规定:“电子认证服务机构不得就证书申请的受理和查验,证书的签发和交付向外部机构或个人进行委托。”
这条规定一出,在业界引发了较大争议,并存在不同解读。笔者认为,从条文本意来说,由于《电子认证服务管理办法(征求意见稿)》对CA资质有较高的要求,为避免资质要求落空,所以特规定本条,约束的是CA不得将其核心职能委托外包,但并不禁止电子签约平台作为技术通道接入CA服务。关键在于:证书的受理、查验、签发、交付等核心环节仍由持牌CA完成,平台承担的是流程组织和技术对接角色。
三、多CA接入与业务连续性
客户企业提问:“近期行业内出现单一CA服务中断的情况,我们比较关心:平台如何保障关键环节不因单一CA问题影响合同合法性和业务连续性?”
法律解答:
1. 法律风险分析
单一CA通道中断可能带来以下法律风险:
证书状态查询中断:根据《电子认证服务管理办法》(2009年版)第十七条第(四)项,CA须“提供电子签名认证证书状态信息查询服务”。如果单一CA中断,依赖方无法验证证书状态,可能影响已签署文件的验证。
业务连续性中断:新的签署业务无法进行,造成商业损失。
已签文件的长期可验证性:如果CA终止服务且未妥善进行业务承接(《电子认证服务管理办法》(2009年版)第二十三条至第二十七条),可能影响历史签署文件的长期验证。
2. 多CA接入的法律必要性与价值
从法律和合规角度,多CA接入具有以下价值:
(1) 风险分散
根据《电子认证服务管理办法》(2009年版)第二十四条规定:“电子认证服务机构拟暂停或者终止电子认证服务的,应当在暂停或者终止电子认证服务九十日前,就业务承接及其他有关事项通知有关各方。”但实际中可能出现非计划性中断。多CA接入能确保单一CA中断时,业务不受影响。
(2) 合规灵活性
《电子认证业务规则规范》(T/CQAE 11034-2025),对不同等级证书有不同要求(参见第3.29条、第3.30条)。多CA接入使平台能够根据业务场景灵活匹配: 高风险场景使用高等级证书CA通道; 一般场景使用基础级证书CA通道; 不同CA的技术能力和服务区域互补。
(3) 数据可追溯与举证保障
根据《电子认证业务规则规范》(T/CQAE 11034-2025),第6.9.13条关于举证制度的要求,举证制度和能力体系应覆盖证书全生存周期,包括证书签发环节、签名环节、验证签名环节等。多CA接入配合平台自身的全链条记录管理,在发生争议时能够提供更完整的证据链。
四、高级证书使用及灵活性
法律解答:
1. 高级证书的规范依据
根据《电子认证业务规则规范》(T/CQAE 11034-2025)3.29条规定:“高等级电子签名认证证书,适用于涉及生命健康、财产权益等高风险场景的电子签名认证证书。”
第6.1.5.2条规定:“涉及生命健康、财产权益等高风险活动,禁止使用基础级电子签名认证证书。”
对于高等级个人证书,规则规范在身份查验和意愿记录方面有更严格的要求,在身份查验方面,需采用现场面对面查验、远程音视频查验、受托人实人查验等方式(T/CQAE 11034-2025 第6.3.2.2条);在意愿记录方面,如果是现场办理,需要面对面确认或手抄提示语,并采用录音录像记录,如果是远程办理,需要通过音视频(即“双录”)确认并记录订户意愿(T/CQAE 11034-2025 第6.3.3.2条)。
2. “金融场景”的范围界定
客户关心的问题:“授权书、支付协议等前置业务文件是否属于“涉及财产权益的高风险活动”?
从法律解释角度分析:
规则规范使用的表述是“涉及生命健康、财产权益等高风险活动”(T/CQAE 11034-2025 第3.29条),采用的是功能性定义而非形式性列举,授权书(如授权划扣)、支付协议等文件虽非直接的贷款合同,但如果其实质功能是为财产权益的转移、处分提供法律基础,则应被认定为“涉及财产权益”的场景。
其判断标准应为:该签署行为是否可能直接导致签署人的财产权益发生变动。如果答案是肯定的,即便不是贷款合同本身,也应采用高等级证书。
3. 未使用高级证书是否影响合同效力?
这需要区分两个层面:
4. 尽早使用高级证书的好处
首先,可以降低未来诉讼风险。由于证据链更加完整,签署人身份与签署意愿的证明力也会更强,在发生争议时更有利于企业举证。
其次,有助于更好满足监管持续趋严的要求。从《电子认证服务管理办法(征求意见稿)》政策方向来看,监管趋势并非放松,而是进一步强化电子认证全链路管理。
同时,也能够避免历史数据留下合规隐患。相比事前完成合规建设,后续再进行补充整改、历史数据修复和证据补强,往往成本更高、难度更大。
此外,在B2B等商业合作场景中,使用高级证书本身也是一种合规能力与风险控制能力的体现,有助于增强合作伙伴之间的商业信任。
结论:在涉及生命健康、财产权益的高风险场景中,应当使用高级证书。虽然未使用高级证书不直接导致合同无效,但会显著增加证据风险和合规风险。建议客户不要“拖着”,应尽早完成升级。
五、管理办法与规则规范的适用——管理性规范与法律效力的区分
客户问题:“规则规范和征求意见稿要求我们使用某些功能,但是否会影响合同效力?如果不按规则规范执行,会产生法律风险吗?”
法律解答:
1. 规范层级分析
2. 规则规范的间接约束力
虽然规则规范本身是推荐性标准,但其约束力通过以下路径间接实现:
《电子认证服务管理办法》(2009年版)第十五条明确要求:
电子认证服务机构应当按照工业和信息化部公布的《电子认证业务规则规范》等要求,制定本机构的电子认证业务规则和相应的证书策略,在提供电子认证服务前予以公布,并向工业和信息化部备案。
《电子认证服务管理办法(征求意见稿)》第十七条延续了这一要求:
电子认证服务机构应当按照工业和信息化部公布的电子认证业务规则等要求,制定本机构的电子认证业务规则和相应的证书策略,在提供电子认证服务前予以公布,并向工业和信息化部备案。
CA制定的CPS(认证业务规则声明)须向工业和信息化部备案,CA违反其已备案的CPS提供服务,可能面临行政处罚,因此,规则规范对CA机构具有实质约束力,CA需要遵守。
3. 对合同效力的影响
(1) 合同效力层面
根据《中华人民共和国民法典》第一百四十三条,民事法律行为有效的条件是:
- 行为人具有相应的民事行为能力;
- 意思表示真实;
- 不违反法律、行政法规的强制性规定,不违背公序良俗。
规则规范不属于“法律、行政法规的强制性规定”,因此不遵守规则规范不构成合同无效的事由。
(2) 证据效力层面
在司法实践中,法院审查电子签名的可靠性时,通常会参考行业标准和规范。《中华人民共和国电子签名法》第十三条规定了可靠电子签名的条件:
电子签名同时符合下列条件的,视为可靠的电子签名:(一)电子签名制作数据用于电子签名时,属于电子签名人专有;(二)签署时电子签名制作数据仅由电子签名人控制;(三)签署后对电子签名的任何改动能够被发现;(四)签署后对数据电文内容和形式的任何改动能够被发现。
如果CA未按规则规范要求进行身份查验和意愿记录,对方当事人可能质疑电子签名的可靠性,法院可能认为该电子签名不符合上述“可靠的电子签名”条件,导致举证责任发生不利转移。
(3) 司法实践参考
在法院实践中,法院不会仅因未遵守推荐性标准而否定合同效力,但法院会将是否遵守行业规范作为判断电子签名可靠性的重要参考因素。 如果一方能够证明电子签名过程存在身份查验不严格、意愿记录不完整等问题,即使合同不被判定无效,相关电子签名的证据证明力也可能被显著削弱。
4. 征求意见稿带来的变化
征求意见稿相较现行办法,在以下方面加强了要求:
结论:规则规范不直接影响合同效力,但会影响电子签名的证据证明力和CA的合规状况。
建议客户在高风险场景中遵循规则规范要求,以最大程度降低法律风险。推荐性标准虽非强制性法律条文,但在监管实践和司法裁判中具有重要的参考价值。
六、规则规范的行业影响与客户建议
1. 对行业的影响与展望
(1)电子签约行业将从“技术驱动”转向“合规驱动”
T/CQAE 11034-2025和《电子认证服务管理办法(征求意见稿)》的出台,标志着电子认证行业从粗放式发展进入精细化合规管理阶段。证书分级管理、高风险场景的强制要求、全过程可追溯等规则,将迫使行业参与者从“能签”向“合规地签”转变。未来,电子签约平台的核心竞争力将不再仅仅是技术能力和用户体验,更在于合规架构设计和法律风险管理能力。
(2)CA行业集中度将进一步提升
征求意见稿将注册资本从3,000万提高至7,000万(征求意见稿第五条第(三)项)、专业人员从30人增至60人(征求意见稿第五条第(二)项),并新增了“无重大违法记录或者不良信用记录”(征求意见稿第五条第(八)项)、“长期安全稳定提供电子认证服务的能力”(征求意见稿第五条第(七)项)等要求。
这些门槛的提高将导致部分中小CA机构面临退出压力,进一步验证了多CA接入策略的前瞻性——当行业整合发生时,多CA架构的平台能够平滑过渡,而绑定单一CA的客户可能面临被动局面。
(3)电子签名的司法采信标准将逐步统一
随着规则规范对身份查验、意愿记录、证书分级等环节的标准化,法院在审理涉及电子签名的案件时将获得更清晰的参考依据。可以预见,未来司法实践中,是否遵循行业规范进行身份查验和意愿记录,将日益成为法院判断电子签名可靠性的重要考量因素。提前完成合规升级的企业,在未来诉讼中将占据更有利的证据地位。
(4) “平台+CA”的协作模式将成为行业主流
《电子认证服务管理办法(征求意见稿)》第二十二条虽然明确CA不得委托核心职能,但并未否定平台与CA的技术协作模式。这意味着监管认可的是“CA负责核心认证职能,平台负责流程管理和技术对接”的分工协作格局。上上签电子签约的多CA直连模式恰好契合这一监管导向,既尊重了CA的法定职能边界,又发挥了平台在用户体验、业务管理和风险分散方面的优势。
2. 对客户的核心建议
高风险场景应尽快升级高级证书:虽然T/CQAE 11034-2025为推荐性团体标准,但其通过《电子认证服务管理办法》(2009年版)第十五条获得了实质约束力,且监管趋势明确趋严。
选择多CA接入平台:法律上多CA接入提供风险分散和业务连续性保障(参见《电子认证服务管理办法》(2009年版)第二十三条至第二十七条),是审慎的商业决策。
关注征求意见稿动向:新规在准入门槛、行为规范、监管手段等方面的系统性升级,可能对行业格局产生深远影响,建议客户提前做好合规规划。
重视全链条合规留痕:确保告知、身份查验、意愿记录、协议签署、资料保存等关键环节形成完整、可追溯、可举证的合规闭环(参见 T/CQAE 11034-2025 第6.8.2条;《电子认证服务管理办法(征求意见稿)》第二十条、第二十八条),始终是降低法律风险的核心基础。
对于企业而言,电子签约的合规能力不仅取决于底层CA能力,更取决于电子签约平台是否具备成熟的全流程合规管理能力、证据链整合能力以及长期稳定的服务体系。以上上签电子签约为代表的平台,长期围绕“全链路可追溯、关键环节可举证、业务连续性可保障”进行体系化建设,通过多CA接入、分级认证、全流程留痕及统一证据管理等能力,帮助企业在满足监管要求的同时,兼顾业务效率与长期合规安全。
上上签电子签约:
作为大家值得信赖的电子签约服务合作伙伴,上上签电子签约已第一时间联合多家头部持牌CA机构推进全链路合规升级,围绕身份查验、意愿留证、协议签署、证书管理、资料留存等关键环节完成体系化优化,全面对齐最新监管要求。现将相关事项及配套方案同步告知如下,请知悉:
1. 直连CA全流程合规
所有身份核验、证书颁发流程均由CA机构直接完成,严格落实“充分告知、身份核验、协议签署、数据留存”的“一证四步”要求,操作记录留存期限不少于证书失效后5年,满足监管检查及司法审计要求。
2. 分级证书灵活适配
上上签提供多安全等级的证书服务方案,客户可根据自身业务场景特点及风险控制要求灵活选择对应级别的证书。对于涉及生命健康、财产权益等高风险场景,或暂时无法准确判断证书适配等级的业务,建议优先采用高级证书方案,以覆盖更广泛的监管适用场景,进一步增强合规保障能力。
3. 多CA协同保障业务连续性
上上签长期与多家持牌CA机构保持稳定合作,通过多CA接入、多通道智能调度及冗余切换机制,不依赖单一CA通道,降低单点风险对业务连续性的影响。同时,可结合客户行业特性、业务风险等级及场景需求,灵活匹配更适合的认证路径与证书方案。
4. 合规升级兼顾用户体验
本次合规升级已尽可能融入现有业务流程,在满足监管要求的前提下,对用户操作路径进行了系统优化与简化,最大程度降低业务改造成本与用户使用感知,保障企业平稳过渡。
5. 坚持开放中立的平台定位
作为电子签约技术服务平台,上上签始终坚持开放、中立的合作原则,基于业务连续性、合规适配性及客户实际需求进行智能调度与方案匹配,不绑定单一CA或单一路线,保障企业的业务自主性。
