“杨康”了以后一直干咳,嗓子痒得很,人也提不起劲,这只“羊”看来不是那么简单,只有亲身经历过的才知道。年关岁尾,这几天逐渐闲了下来,除了等客户打款就是等过年了。当然。年货也要张罗着,希望过完年能够来劲吧!
(网络截图:今天你是什么羊?)
昨晚和一个朋友聊到数字证书和《电子签名验证报告》,她和某电子认证股份有限公司(CA)经过多次的沟通甚至诉讼,该CA针对同一份电子合同,先后提供了三份《电子签名验证报告》。其中第一份验证报告是证明她是“证书持有人”,第二份验证报告证明她是” CN=她”,第三份验证报告证明她是“合同签署参与主体”。当然,在报告的结尾处,都统一写明“本电子合同自签署时起,内容未发生篡改。”
(第一个版本的电子签名验证报告截图)
(第二个版本的电子签名验证报告截图)
(第三个版本的电子签名验证报告截图)
这三个版本的验证报告的内容除了截图内容外,还有附件一、二、三。其中附件一对应的是电子合同(三个版本的验证报告是同一份电子合同),附件二是验证过程说明,附件三是由工信部颁发、该CA的《电子认证服务许可证》复印件。
当然,最近还发现又出现了第四个版本的《电子签名验证报告》,第四个版本的验证报告上陈述CA只负责电子合同的完整性验证(有无篡改)、不负责电子合同签名的真实性验证。这个版本的验证报告我还没有看到,只是在头条上看到一个条友说起过。如果有哪位朋友已经拿到的,也可以分享给我一下,因此本文暂不讨论第四个版本的验证报告。
从“证书持有者某某某”到“CN=某某某”再到“签署参与主体某某某”,不知道为何这家CA机构要作出这样的改变?
在中国裁判文书上网分别搜索了这三种版本的《电子签名验证报告》所涉及到的诉讼,到目前为止能够搜索到的案例无一例外,法院都认定为这个“某某某”就是电子签名人、签署了电子合同。针对同一份内容完全相同的电子合同这一验证对象,该CA提供了这么多版本的验证报告,但最后的司法审判结果却又都完全一样,是因为这三个版本的验证报告的内容并未没有什么实质性的差别,都是证明了某某某就是签署电子合同的电子签名人。
从电子签名的法律规定和技术标准来看,第一个版本的验证报告的格式是符合法律法规和技术标准的。因为在电子签名中,“证书持有人某某某”就是法定的电子签名人,也代表了签名所用的数字证书由某某某持有和控制,这就符合了《电子签名法》第十三条关于“电子签名人要唯一掌握电子签名制作数据”的规定。只有“证书持有人”使用自己的数字证书签署的电子合同,才具有《电子签名法》第十四条规定的“与手写签名与盖章具有相同的法律效力”。
而第二个版本和第三个版本的验证报告内容实质相同。这两个版本的不同点在于将“CN=某某某”改成了“合同签署参与主体某某某”。从电子签名的法律法规定和技术标准来看,“CN=某某某”就是“证书持有者某某某”,因为在数字证书的技术规范中,“CN”分别是指电子签名人和CA机构的名称,显然电子签名验证报告要验证的不可能是CA机构的名称,只能是电子签名人。但是第二个版本的内容中又同时有“合同签署参与主体信息某某某”,而这两个某某某又都是同一个人名,因此第二个版本的验证报告证明了证书持有人和合同签署人都是某某某。
第三个版本的验证报告将“CN=某某某”去掉了,其它的内容和第二个版本的内容基本一致,也就不再啰嗦了。
从第二个版本到第三个版本的改变,个人猜测应该是源于工信部查明这家CA签发的数字证书“三主体不一致”的问题,所以将“CN=某某某”去掉了。因为“CN=某某某”这个太招眼了,就是不懂电子签名法的人也能百度出来CN是证书持有人或者电子签名人的意思。
一个有着正常思维的人,来看这三个版本的验证报告是看不出有什么本质区别的,这些报告都很明确指向某某某是“证书持有人”和“合同签署参与主体”,正常的人很自然地确信,这个某某某就是签署电子合同的电子签名人、这个结果是由该CA验证数字证书来担保的(因为数字证书是由该CA签发的、该CA又是持有工信部颁发的合格牌照的)―――这从中国裁判文书网上能够搜索到所有的判决书都是如此认定的判决刚好印证,就算精明如法官,也同样会认为这个电子签名人就是某某某!
虽然第二、三个版本的验证报告都一再强调“合同签署参与主体信息由某某公司”核验并提供给CA,但是从电子签名的法律规定和技术标准来看,某某公司核验身份信息再提交给CA是完全合法的,也是电子认证业务中的常规做法,现实中每一家CA都是这样开展电子认证业务的。
在电子签名的体系中,有一个角色叫做注册机构(简称RA),这个机构的作用就是核验电子签名人的身份后向CA提交证书申请信息,代CA完成整个认证过程中的一部分工作,这在电子签名的技术规范中都有明文规定,所有的CA都一定有RA,CA自身可以兼任RA,但是不能没有RA这个角色。RA通常就是这些具体业务端的实体公司,比如说保险电子合同的RA就是保险公司,存储电子合同的RA就是银行,房地产电子合同的RA就是开发商,劳动电子合同的RA就是提供职位的公司,这些都是电子签名业界的常识。
法律责任的主张上,在电子认证的业务中,RA所有工作的法律后果都应该是由CA最终来承担的,因为RA是依赖于CA而存在的,RA必须得到CA的授权才能进行与电子认证相关的工作,CA都会有一份像《注册机构电子认证服务管理规范》这样的文件对RA进行约束,并且还要和RA签署合作协议来约定双方的权责。所以如果RA提供了不准确的信息导致CA最终签发了错误的数字证书,法律上应由证书持有者(电子签名人)或者电子签名依赖方向CA追责、CA再依据与RA的合同约定或者管理规范向RA追责。因此,第二、三个版本的验证报告所强调的某某公司核验电子签名人的身份,本就是一个极其正常的电子认证业务中的一环。某某CA做出这两个版本的验证报告,业内人士实在看不过眼了!
但今天的重点还不在这。今天的重点我想说的是,目前几乎所有CA的《电子签名验证报告》都是不合格的,这样说毫无疑问会得罪整个CA行业,但是我这样说自然有我的道理,欢迎不服来辩,理越辩越明嘛。
我看了超过10家CA以及至少5家电子签名服务平台出具的《电子签名验证报告》,无一例外都是陈述了解析数字证书得到的内容,比如“证书持有者”、“签署时间”、“证书签发单位”以及“摘要值(或称哈希值)”,最后的结论无一例外是证书持有者签署了这份电子合同,且自其签名以后内容没有发生改变!这种格式的验证报告目前就是提供给法院作为证据的范本和主流,但是这种格式的验证报告在我看来,是严重不合法的!
个人认为《电子签名验证报告》最重要的内容,是CA机构应该明确写明数字证书在什么时间签发给了何人(即证书的实际持有人),或者在什么时间该数字证书通过什么技术手段(比如短信验证码、实时人脸录像、录音等方式)受控于电子签名人,而不仅仅是数字证书里面记录的内容。CA如果没有将数字证书签发给电子签名人或者采用技术手段保障电子签名人实际控制数字证书,或者CA将数字证书签署给了合同的另一方,那么无论数字证书里面验证出来的是什么内容、无论该内容中记录的证书持有人是谁,这样电子认证都是不符合电子签名法的!对应的电子签名验证报告也是不合法的!
《电子签名法》包括了两个内容,一个是对电子签名和数字证书进行了规定,用合法CA签发的数字证书进行的电子签名,是当下唯一符合法律规定的合法有效的电子签名,这也是为什么要引入CA的根本原因,这是第一个方面的内容;另一个方面的内容就是数字证书必须要签发给电子签名人,或者在进行电子签名的时间节点上要唯一受控于电子签名人。电子签名人要对电子签名负法律责任,因此其只有掌握了数字证书的控制权、并使用数字证书进行电子签名(或者向CA发出了电子签名的指令),这样的电子签名才具有法律效力。而对于电子签名人来说,控制数字证书才能体现其电子签名的意志,而签发数字证书是电子签名人不能控制的,只要某公司掌握了电子签名人的信息,加上CA毫无条件的相信某公司(有钱就是爷!一切向钱看、真假靠边站!某公司付钱给CA,那是真金白银真给呀!),那么这样的电子签名自然就不能满足签名人唯一掌控数字证书的法律规定。
打个简单的比方,甲乙两公司签署合同,甲方用乙方公司的信息向合法的刻章公司申请了一颗乙方的公章,这个公章在公安的印章系统还是备了案的,形式上是完全“合法”的公章,用该公章签署的合同在公安的印章系统中也能够找到该公章的备案信息,显然这样的合同乙方根本保障不了自己的权利。甲方是想怎么拟制合同就怎么拟制合同、想怎么签就怎么签!发生这种情况,乙方自然是要报警了,而警方当然要找“合法的刻章公司”―――“请你拿出你刻制乙公司公章的申请资料以及该公章的领取登记资料”, “合法的刻章公司”拿不出来这些凭证,那么立马就是合法的公司干了非法的事情了、这个刻章公司的老板立马就能享受到“免费单间”的VIP待遇了。接着老板就只好说出来这个公章是“怎么申请的”、又是“怎么签发的”、谁掌握的、谁使用的……一目了然。
同理,《电子签名验证报告》除了要验证哪家CA签发的数字证书、证书持有人的身份、合同的签署时间以及有无篡改以外,更为重要的是在验证报告中要体现出数字证书实际签发、受控的对象。假若CA将A作为数字证书的持有人(即电子签名人)制作了数字证书,却将这个证书实际签发给了B,事后你验证出来这个证书中的电子签名人信息当然只能是A、然后出具验证报告要A来承担法律责任,然而CA明知数字证书根本就没有发给A――――CA这就不是在“虾扯蛋”那么简单,而是在犯法!而且是以工信部颁发的合法资质在犯法!
所以,个人认为,一份完整的、具有法律效力的《电子签名验证报告》,至少要包括两个部分,即一是数字证书的内部信息(证书持人有、CA、签名时间、有无篡改),二是数字证书的外部信息(CA系统中记录的实际签发数字证书的记录信息,包括证书的实际接受人、实际控制人以及实际签发的时间或者相应的控制证书的技术手段等)。只有将数字证书的“一内一外”两个信息完全清楚明白的写在《电子签名验证报告中》,这才是一份完整的、不是“虾扯蛋”的验证报告,也才是一份符合电子签名法的报告。
你们认为呢?