工信部查處CA機構為行業敲響合規警鐘

近日，工業和信息化部依據《中華人民共和國電子簽名法》《電子認證服務管理辦法》等法律法規，對沃通電子認證服務有限公司提供電子認證服務的相關情況開展了行政檢查，檢查指出該公司存在違反身份查驗義務、告知與合同義務、系統安全合規義務三項違法違規行為。

一是未提供對電子簽名認證證書申請人進行身份查驗和對有關材料進行審查的有效證明材料。

電子認證服務是依據行政許可、向全社會提供信任基礎服務的嚴肅活動，身份查驗是其中的核心環節。申請人負有真實陳述義務，但認證機構必須履行對申請人身份進行查驗和對有關材料進行審查的義務，這是確保電子簽名認證證書可信的基礎。沃通未能提供有效證明材料，意味著其無法證明已履行法定審查義務，可能導致虛假身份申請證書，破壞證書體系的公信力。

二是在受理證書申請前未對申請人進行充分告知，未與申請人直接簽訂合同明確雙方權利義務。

告知義務與合同簽訂義務是保障用戶知情權、維護合同自由的關鍵程序。沃通未充分履行告知義務，用戶可能在不知情的情況下承受不利后果；未與用戶簽訂合同，導致用戶對服務條款的認知不夠明確，相應的法律保障也有所弱化。黨的二十大提出“六個必須堅持”，其中首要原則是“必須堅持人民至上”，這是新時代各項工作的根本價值遵循。在電子認證服務領域，CA機構作為技術供給方處于相對強勢地位，用戶屬于相對弱勢一方。法律法規明確設定CA機構的告知義務、合同訂立和履行等相關義務，本質上就是“人民至上”理念在電子認證服務領域的落地體現。

三是未使用符合國家安全標準的技術和設備，未使用取得國家密碼管理機構同意使用密碼的證明文件的電子認證服務系統。

電子認證服務是一項專業的技術服務，密碼安全、系統安全是電子認證服務的安全底線。沃通未使用合規技術與系統，意味著其認證服務可能存在密鑰泄露、證書偽造等重大安全風險，直接威脅證書的可信性和用戶數據安全，破壞了證書信任體系。

2022年，工信部開展電子認證服務合規性專項整治工作，明確將“身份查驗不規范”“告知不充分”等問題列為重點整治內容。檢查結果說明部分CA機構老問題重犯，還出了新問題，這反映出部分CA機構合規紅線畫得不夠清晰，安全責任落不到實處。本次對沃通的查處，釋放了行業監管嚴字當頭、有責必問的強烈信號，必將對推動全行業合規經營、實現高質量發展產生深遠且積極的影響，值得所有行業從業機構和人員警醒。

隨著《電子認證服務管理辦法》修訂工作的推進，以及配套《電子認證業務規則規范》要求的更新細化，將為電子認證服務機構提供更規范、更具體的運營要求，建議相關機構及負責人強化規范服務的意識，加強從業人員的培訓教育，加強認證業務的合規審核，加強內控制度的有效執行，用可靠、優質的服務獲得用戶的認可。