中國大陸於2024年發布《電子認證服務管理辦法(徵求意見稿)》,要求憑證機構在數位身分真實性驗證方面,必須承擔更高的責任。
在彙整各方意見後,預計在2026年修訂及完善此一辦法,其中最為關鍵的是以下三項規範:
一、憑證機構須完成最終使用者實名認證
實名認證是憑證機構服務的起點,直接影響數位身分的真實性。2024年中國大陸修訂的《電子認證服務管理辦法(徵求意見稿)》明確規定,憑證機構不得將證書申請的受理和查驗、證書的簽發和交付,委託給外部機構或個人。這意味著實名認證必須由合格的憑證機構獨立完成,禁止委託,甚至也不能交由金融機構代為完成。
過去,部分身分核驗可能並非由憑證機構完成,憑證機構未必能接觸到最終使用者,容易導致身分核驗不落實、客戶資料外洩、雙方責任界定不清等風險。如今,主管機關明確要求憑證機構必須承擔身分核驗責任,從源頭保障電子簽章的法律效力。
二、使用者申領證書須與憑證機構簽訂服務合約
憑證服務涉及多方主體的權利義務關係,主管機關要求需要透過合約形式,明確各主體間的權利義務關係。根據上述《電子認證服務管理辦法(徵求意見稿)》,其中第二十四條規定:『電子認證服務機構受理電子簽名認證證書申請後,應當與證書申請人簽訂電子認證服務協議,明確雙方的權利義務。』
此意義在於,服務合約是界定憑證機構與使用者之間責任範圍的確認文件,既保護使用者權益,也界定對憑證機構責任範圍,明確雙方權利義務。合約內容應涵蓋證書使用條件、責任範圍、資訊保存期限等條款,確保使用者在充分知情的前提下,使用電子認證服務。
三、憑證機構須嚴格遵守客戶私鑰保管責任
私鑰是製作電子簽章的素材來源之一,其安全性直接關係到電子簽章的法律效力。國際上主管機關常見的要求,私鑰的控制權應歸屬於使用者本人或經使用者明確授權。現行私鑰的保管方式多為兩種,一是使用者自行保管,例如將私鑰儲存在硬體載具,例如USB Key中;二是由憑證機構,在使用者授權下,提供保管服務,在逐次使用時,再由憑證機構通知和核驗使用者意願(例如發送OTP),進行私鑰的取用,再進行電子文件的簽署。同時,憑證機構需要留存軌跡。
但無論採取何種方式,其核心原則是一致的,私鑰的保管和使用,必須基於使用者的真實意願和明確授權;並且都須嚴格遵循安全管理規範,嚴禁出租、出借、轉讓私鑰及相關儲存的載具設備,若因保管不當,導致私鑰外洩、被盜用,相關責任需由保管的一方承擔,此為憑證機構提供安全的認證服務,一個至關重要的關鍵環節。
隨著中國大陸於2024年發布《電子認證服務管理辦法(徵求意見稿)》,數位身分驗證與電子簽章所憑藉的基本管理規範,大幅升級以及拉高強度。該辦法不僅針對憑證機構提出更高的責任要求,更在實名認證、服務合約締結、私鑰保管等關鍵環節建立了嚴格的制度,旨在保障數位身分的真實性及電子簽章的法律效力。
法律效力提升 金融應用更安全
電子簽章作為數位身分驗證的延伸,搭配嚴謹的認證流程,將具有高度信任及法律效力。特別是在金融機構推動電子文件簽署時,憑證機構所提供的安全認證服務,有效杜絕偽冒身分簽署與欺詐案件的風險,使金融交易更為安全可靠,對於與個人戶簽署合約而言,電子簽章的法律保障尤為明顯,不僅防堵風險,更提升使用者對金融服務的信心。
根據上述《電子認證服務管理辦法(徵求意見稿)》第二十四條規定,憑證機構需與證書申請人簽訂服務合約,明確雙方權利義務。合約內容涵蓋證書使用條件、責任範圍、資訊保存期限等,確保使用者在知情情況下使用電子認證服務。這不僅保護使用者權益,也讓憑證機構的責任範圍明確,避免爭議發生。
私鑰作為電子簽章的核心,保管方式與安全規範愈發嚴謹。無論是使用者自行保管,或是憑證機構在授權下提供保管服務,均需基於使用者真實意願與明確授權,並遵循安全管理規範。憑證機構需留存使用軌跡、嚴禁私鑰出租、出借、轉讓,保管不當導致私鑰外洩,保管方需承擔責任。這些規範進一步強化電子簽章的安全性,為金融應用提供強化保障。
在防堵風險的基礎上,電子簽章機制亦帶來商機的拓展契機。金融機構可考慮將電子簽章推廣至境外客戶簽署(例如亞資中心業務),藉由高度信任與法律效力,吸引更多國際客戶參與,擴展業務版圖。電子簽章的便利性亦大幅提升服務效率,縮短合約簽署流程,優化客戶體驗。
隨著憑證機構服務管理制度的完善,數位身分驗證與電子簽章將持續升級,對金融機構的啟發,是可在安全、信任的基礎上推動數位創新服務。無論是個人戶、企業戶,乃至境外客戶,都能享受高效、可靠的電子認證服務,促進金融市場的健康發展與全球化布局。