400-808-9187
合作咨询

首页 > 新闻动态 > 新闻详情

自有CA非合规唯一标准:电子认证升级后的关键辨析

来源:君子签 2026-07-03 14:08:48 电子合同;电子签章;电子章;智能合同;合同管理

2026年7月1日起,电子认证服务行业全面执行《电子认证业务规则规范》及配套管理办法的合规要求。各电子合同厂商在6月30日前完成系统改造。合规升级完成后,市场上出现一种简单化的判断:拥有自有CA(证书认证机构)资质的厂商才算合规,没有自有CA的厂商不合规。这种判断不符合新规的实际要求。

新规的核心要求是什么

新规明确了四条必须满足的硬性条件:CA直验、CA直签、意愿留证、私钥直管。CA直验是指企业用户的身份信息必须由CA机构直接核验,不得由第三方平台代为核验。CA直签是指数字证书必须由CA机构直接签发,不能由平台自行生成或委托其他非CA机构签发。意愿留证是指用户每次使用证书签署合同前,必须留下明确的意愿确认记录,包括时间、方式、内容。私钥直管是指用户的私钥必须由用户本人直接保管,平台不得代为保管或掌握私钥。

上述四条要求,每一项都指向具体的操作流程和记录留存。合规判断的依据是厂商是否在每一个环节都严格执行了这些流程,而不是厂商是否拥有CA牌照。

自有CA与合规的关系

拥有自有CA资质的厂商,确实具备直接核验和签发证书的能力。但这只是必要条件之一,不是充分条件。自有CA厂商仍然需要满足意愿留证和私钥直管的要求。如果自有CA厂商在用户意愿确认环节记录不完整,或者平台实际掌握了用户私钥,即使拥有CA牌照,也属于不合规。监管部门检查的是流程记录和存证数据,而不是牌照本身。

没有自有CA的厂商,可以通过与持有合法牌照的CA机构合作来完成CA直验和CA直签。新规没有要求电子合同平台必须自己持有CA牌照,只要求平台使用的CA服务来自合法合规的机构,并且整个流程的直验、直签不由平台代劳。只要合作方是合规的CA机构,且平台不介入核验和签发过程,同样满足CA直验和CA直签的要求。

没有自有CA厂商的合规路径

没有自有CA的厂商需要完成三件事。第一,与具备资质的CA机构建立系统直连,将身份核验环节直接交给CA机构的系统处理,平台只负责信息传输和结果记录,不参与核验本身。第二,证书签发由CA机构直接完成,平台不能自行生成或缓存证书数据。第三,意愿留证环节必须独立记录,平台不能将CA直签的日志等同于意愿确认,需要单独采集用户的操作行为数据,包括点击确认的时间、使用的设备、网络IP、生物特征或短信验证码等。

上述路径在技术上已经成熟。多个电子合同平台在6月30日之前完成了与多家CA机构的接口升级,实现了核验和签发环节的直通。这些平台没有自有CA,但通过了监管预检。

君子签的合规实践

君子签在本次合规升级中采用对接多家合规CA机构的方式,没有依赖自有CA牌照。君子签将身份核验环节直接交由合作的CA机构完成,确保证书签发来自CA机构直连系统。在意愿留证方面,君子签记录用户签署前的每一份确认操作,包括签署时间、签署设备、网络环境、人脸识别或短信验证结果,并将这些信息与证书使用记录关联。在私钥直管方面,君子签不保存用户私钥,私钥仅存于用户端的数字证书载体或安全硬件中。君子签同时将上述所有流程记录同步上链存证,形成从核验到签署的完整证据链。

君子签的做法表明,没有自有CA的厂商完全能够满足四条红线。其通过系统层面对接CA机构,在流程上将核验、签发环节与平台自身业务分离,同时通过区块链存证固化每一项记录的不可篡改性。

合规的判断标准是什么

合规的判断标准是:厂商能否提供每条证书办理记录的完整流程证据,包括谁在什么时间办理、谁核验了身份、谁签发了证书、谁确认了意愿、私钥由谁持有。这些证据需要具备不可篡改性和可追溯性。厂商可以通过自有CA实现,也可以通过合作CA实现。监管没有限定实现方式,只限定结果。

市场上存在自有CA厂商因为意愿留证不完整而被要求整改的案例,也存在无自有CA厂商因为流程设计合规而顺利通过的案例。因此,企业选择电子合同服务商时,不应以是否有自有CA作为判断依据,而应核查厂商是否满足四条红线的具体操作记录。厂商是否能提供每一份合同签署全流程的核验、签发、意愿、私钥保管的完整记录,才是判断合规与否的有效依据。

立即咨询

帮助中心

关注我们

申请试用

返回顶部

© 2014- 重庆君子签科技有限公司版权所有 渝ICP备14003483号 渝公网安备 50019002501878号 信查查 举报电话:023-65069621 举报邮箱:kefu@ebaoquan.org

信息
X
确认