近期,工信部依据《电子签名法》《电子认证服务管理办法》开展全行业合规专项检查,各家CA机构单位全面整改。随着《电子认证业务规则规范》(T/CQAE 11034-2025,下称新规)正式实施,部分不合规的CA平台与电子签平台面临清退,这也标志着电子认证服务行业正从“能用”走向“合规可审计”的行业分水岭。
那么CPS新规发布后,电子认证服务行业会有什么变化,企业使用的电子签需要更换和升级吗?如何避免对业务造成冲击,今天一篇文章讲清楚其中要点。
一、CPS新规出台的背景
电子认证服务已深度渗透金融信贷、医疗健康、政务服务等关键领域,成为当前数字经济的基础信任设施,但行业高速发展的背后,部分CA机构暴露了行业深层次的合规隐患:
- 身份查验流于形式:部分CA机构的身份核验环节存在外包、代验现象,核验数据不经CA之手,法律效力存疑;
- 意愿确认缺失:很多平台缺少明确的意愿留证机制,无法保证用户申请数字证书时,做到真正的知情同意;
- 证书分级管理缺位:高风险场景与低风险场景混用同一等级证书,安全保障不足;
- 历史数据不可追溯:签署过程的关键记录留存不全,一旦进入司法程序,举证链条断裂;
这些问题不仅影响电子签名的法律可靠性,也催生了监管升级的迫切需求。
二、CPS新规:电子签名的“四必须”条件
条件一:服务协议必须“CA直签”
电子认证服务协议必须由CA机构与证书订户直接签署,协议需清晰界定CA、订户、平台三方权利义务。杜绝:仅与电子签平台签约、默认勾选同意、一键授权。
条件二:身份认证必须“CA直验”
新规要求身份查验不得委托给外部机构或个人,证书申请的受理、审核全环节必须由持牌CA自主操作。杜绝:平台外包核验、第三方代实名、批量自动过审。
条件三:签署意愿必须“全程留证”
在涉及生命健康、财产权益等高风险业务场景,如招投标、贷款、保险、交易、医患知情书签署等场景中,使用电子签高等级证书时,需通过录音录像”双录“确认意愿;
而在低风险业务场景使用电子签基础级证书时,则需采用强制阅读、短信、邮件等电子方式留存确认记录。
条件四:私钥必须“严管可控”
签名私钥所有权归属用户,优先由用户自主持有保管。委托平台/CA托管私钥,必须单独签署书面授权文件,明确授权范围、使用场景、有效期限,私钥全生命周期操作全程日志留痕。
CPS新规对企业客户的直接影响
法律效力风险:司法实践已深入,法院参照新规审理。若签署流程不合规,CA无法出具全链路证据,电子签名被判定无效的风险显著上升;
诉讼激增风险:金融行业反催收等群体已开始以“签署不合规”为由拒履行合同。一旦出现判例,可能引发连锁诉讼,企业将耗费大量时间、资金应对。
业务连续性风险:由“自认证”强制转向“CA认证”,若客户集中整改,平台优先级降级、进度滞后;后台和CA被限,其他CA也不被接入,业务通道被实质性切断。
监管沟通风险:已有因签名有效性被投诉至国家金融监督管理总局、工信部的案例。不仅增加沟通成本,更面临被处罚的潜在风险。
而基于CPS新规,法大大为企业构建全流程、可信赖的电子认证服务体系,保障从证书申请到签署存证,每一步都符合监管要求,并且法大大还有以下优势:
优势一:自有CA+多家权威CA,"组合拳"布局而非"单腿走路"
法大大采取"自有CA+多家权威CA"的组合模式布局。一方面,自有豸信CA为全资持有,完全具备工信部正规CA牌照,核心环节自主可控,不依赖外部;另一方面,与国内多家头部持牌CA建立深度合作,多CA冗余,业务连续性有保障。
这一"组合拳"模式的核心价值在于:
- CA直验有底气:自有豸信CA确保身份查验等核心环节由CA直接执行,不外包、不代验;
- 业务不中断:单一CA非计划性中断时,多家CA通道确保签署业务不受影响;
- 分级适配:高风险场景用高等级证书CA通道,一般场景用基础级证书CA通道;
- 证据链更完整:多CA接入配合平台全链条记录管理,争议时能提供更完整的证据链
优势二:海量签发验证,合规能力已经市场检验
法大大旗下豸信CA,年度数字证书签发量超2亿张,时间戳服务年度交付量突破50亿次,核心服务可用性全年稳定保持99.99%以上,持牌运营超10年(2013年成立),通过6项国际权威安全与合规认证。
这些数字意味着什么?
超2亿张证书签发量,足以支撑各类海量、高并发业务场景,多年运营早已成功取得市场验证。50亿次时间戳服务,每一份电子签名背后都有可信时间戳加持,确保签署时间不可篡改。
优势三:新规起草人,从"定义标准"到"践行标准"
法大大联合创始人兼首席法务官梅臻,是T/CQAE 11034-2025《电子认证业务规则规范》的主要起草人之一。
参与标准制定意味着什么?——法大大对规范的理解不是"事后对标",而是"事前定义":哪些环节容易在司法实践中产生争议?法大大在新规起草时就已经深度考量。哪些细节决定了电子签名的法律效力?法大大的产品逻辑从创立之初便已融入。新规四大红线如何落地?法大大的合规体系是标准的"第一个实践样本"。
不是被动适应新规,而是主动定义标准。
优势四:四大合规红线逐一对标,全链条举证闭环
CA直验方面,所有身份查验均由豸信CA及其合作CA直接执行,整合人脸核身、银行卡校验、运营商校验、对公打款验证等分级适配手段。
CA直签方面,证书订户直接与豸信CA及其合作CA签署《电子认证服务协议》,明确双方权利义务,权责对等透明。
全程留证方面,豸信CA内置完整意愿留存能力,提供音视频双录、短信验证、邮件确认、强制阅读确认等多种方式,全过程记录、可追溯。
私钥直管方面,构建了从密钥生成、加密存储、授权使用到安全销毁的全周期管控体系,每次调用有明确授权加完整操作日志。
更关键的是,法大大旗下豸信CA提供从身份核验到电子证据出证的全链条一体化服务——当电子合同产生争议时,输出的不是一条孤立的签署结果,而是一条完整的司法证据链:告知 → 身份查验 → 意愿记录 → 协议签署 → 私钥调用 → 签名验证 → 数据留存。每一个环节都有CA直接参与、完整记录、可追溯举证。
综上所述,自2026年7月1日起CPS新规生效,正式从严核查,无证经营、外包核验、流程不合规的CA与电子签平台将面临清退、吊销牌照。
对于企业而言,选择合规的电子签名服务商,才能保障法律效力与商业安全。
而法大大作为CA新规的主要起草参与者、国内罕见的电子商务+电子政务双许可证持有者、"自有CA+多家权威CA"组合模式的践行者、年签发超2亿张证书的市场验证者,正以"CA直验、CA直签、全程留证、私钥直管"四大准则,为企业提供长期稳定、安全可信、全链条合规的电子签名服务。
