李 达 赵 利

1.中金金融认证中心有限公司，北京 100054；2.公安部第一研究所，北京 100048

电子签名法在2005年4月正式实施，于2015年4月重新修订。电子签名法的颁布实施，大大促进了电子签名技术在互联网和广泛应用，而国家司法机关也逐步积累了电子签名类的电子数据案件的受理、鉴定和审判经验。近年来，随着无纸化在各个行业以及线上线下场景的应用，场景型数字证书开始得到广泛推广和使用，涉场景证书类案件将逐渐增加，因此，需要在现有电子签名数字证书类案件司法实践的基础上，深入研究涉场景证书类案件的司法实践。

传统数字证书司法实践较为简单，从证书管理流程上来讲，在证书申请时，用户提交数字证书申请书、CA机构审核用户申请信息和身份信息，审核通过签发证书、用户下载和保存数字证书。在用户证书介质丢失时应立即进行挂失操作，避免被冒用，业务系统实时的记录用户公钥证书信息并与用户系统账户进行绑定。这种数字证书管理机制旨在清晰的明确各方职责：电子认证机构负责审核身份、签发证书；业务运营商负责根据数字证书及数字签名判定用户身份和受理签名业务；用户作为证书使用者负责管理好自己数字证书。在责任分明的情况下传统数字证书的司法实践较为简单清楚，可完全依据《中华人民共和国电子签名法》进行案件的审理和宣判，案件中电子认证服务机构所出具的电子签名验证报告也可以起到举足轻重的作用。针对用户因为没有及时挂失数字证书导致出现风险的案件，各地司法机构或会根据具体案情酌情考虑，但也会本着尊重电子认证服务机构所出具的电子签名验证报告的客观性、真实性和权威地位来做适当地考量。

而场景证书司法实践较为复杂，为保证场景证书的有效性和可靠性，场景证据固化过程添加了大量的证据链，这就需要司法机关除了要参考电子签名验证报告判定电子合同的完整性外，还要通过证据链的鉴定来判断事实场景的真实性和可追溯性。

通常涉场景证书类案件均需要司法鉴定中心的介入。这时司法鉴定机构在开展司法鉴定工作时最基本的检材为带有场景证书数字签名的电子合同原件、场景证据固化的所有证据原文件、电子认证服务机构出具的场景证书电子签名验证报告，司法鉴定机构应按照以下流程开展鉴定工作：

1、确认电子认证服务机构是否为正当、合法的第三方认证机构；

2、使用或开发电子签名验证工具验证场景证书电子签名有效性，具体包括：验证电子签名是否正确、验证场景证书根证书链从而确定该场景证书是否为该电子认证服务机构签发、验证场景证书签名时的时效性；

3、验证场景证书场景证据扩展域中的Hash与场景证据固化的所有证据原文件是否完全匹配；

4、验证场景证书场景证据扩展域中的Hash与电子合同中所包含的Proof Hash是否完全匹配；

5、对场景证据固化的所有证据原文件进行检验，不同的文件类型(如照片、录音、指纹等)，司法鉴定机构依照相应的标准规范进行鉴定。

6、编制和发布司法鉴定意见书。

在司法实践中，如果电子合同是由电子认证服务机构无纸化电子签名系统产生和签名，并且该电子认证服务机构的无纸化电子签名系统已经经过了司法鉴定中心的前期系统评估，可省却上述1-4项鉴定工作内容，直接使用电子认证服务机构出具的电子签名验证报告文书中的验证结论，从第5步开始进行鉴定工作即可。

法院及仲裁机构依据司法鉴定中心的鉴定意见书判定证据的有效性，值得注意的是如果场景证书针对电子合同的场景证据固化和签名流程不是在一套应用系统中完成的时候，例如在A系统中产生电子合同/协议、在B系统中申请场景证书，这时法院及仲裁机构或需要证据出示方(通常为业务运营方)进一步提供有关在多个系统数据交互过程中如何保证数据的准确性的证明材料，例如近期针对整体业务系统的基于第三方权威测评机构的信息安全测评报告，用于证明系统间数据交互真实、准确、无漏洞，由于业务系统升级、变更频繁，通常应要求三个月内有效的信息安全测评报告。

总之，对涉场景证书类的检验鉴定，可以形成完整的证据链，确定证书使用时的所有场景信息，以及电子签名文件是否完整可信。这对于涉场景证书类的案件的司法实践具有不可或缺的作用。