引言：本文就“場景證書”的含義、使用場景、功能，以及大家最關心的場景證書用于電子簽名的法律有效性等進行講解，力求讓大家深入了解場景證書。

——場景證書并非是合規的數字證書類型

根據國家市場監督管理總局、中國國家标準化管理委員會發布的GB/T 25056-2018 信息安全技術 證書認證系統密碼及其相關安全技術規範3.9的定義，數字證書類型按用途可分為“簽名證書”和“加密證書”兩種，按類别可分為“個人證書”、“機構證書”和“設備證書”三種，當中并無“場景證書”;

按照國家密碼行業标準化指導性技術文件“GM/Z 0001-2013”《密碼術語》第2.115條對數字證書的定義，“數字證書也稱公鑰證書，由證書認證機構（CA）簽名的包含公開密鑰持有者信息、公開密鑰、簽發者信息、有效期以及擴展信息的一種數據結構。按類别可分為個人證書、機構證書和設備證書，按用途可分為簽名證書和加密證書”，其中也沒有“場景證書”一說，由此可見，所謂場景證書，并非是具有正式法律淵源和合規依據的證書類型。

參考CFCA（中國金融認證中心）的CPS，在CFCA的業務規則第1.4.1.2中提出了“CFCA場景證書”，指出“CFCA 場景證書是一種适用于對即時業務或者特定場景業務進行簽名認證的數字證書。在業務結束時自動申請，将業務場景中所有信息整合形成數字證書的擴展域信息。使用場景證書對即時業務或者場景業務證據簽名後可證明證據在取證結束後無篡改，并保證多個證據之間的關聯性和一緻性。場景證書使用時不限制簽名次數，也不限定特定文檔，可用于對即時業務或者場景業務中的所有證據分别簽名。脫離該場景後，證書即不能使用”，第6.1.1“密鑰對的生成”章節進一步明确“場景證書的密鑰生成由負責場景業務的業務提供方生産，并負責保護場景證書私鑰的安全”。

再參考北京CA的CPS，在北京CA的業務規則中沒有規定“場景證書”，但在第1.4.1條d項的定義，“事件型數字證書是北京CA面向簽名行為業務場景簽發出的數字證書，在業務過程中，根據訂戶提交的業務場景中相關信息（電子文檔、簽名行為特征信息、手寫筆迹或其他簽名行為證據信息等）自動固化至數字證書的擴展域，簽發出事件型數字證書。事件型數字證書所對應的私鑰為一次性使用，對業務場景的信息數據進行電子簽名，在使用後即被銷毀”；該CPS第6.1.1和6.1.2進一步明确“事件型證書的簽名密鑰對由簽名設備生成并保管”。

在上海CA的電子認證業務規則（CPS）中并無場景證書的相關内容，但其專門發布了《事件證書證書策略電子認證業務規則》，其中第1.6.13條給出定義，“事件數字證書是面向即時業務或者特定業務場景，上海CA所設計的一類基于事件證書專利技術的特殊數字證書。在業務過程中，自動将業務場景中相關信息（電子文檔、簽名行為特征信息、手寫筆迹或其他簽名行為證據信息等）關聯至數字證書的擴展域，簽發出事件數字證書，實現業務過程中的可靠電子簽名。事件數字證書所對應的私鑰一般一次性使用，其在使用一次後即被銷毀”；

從以上幾個典型CA機構的電子認證業務規則中可以看出，“場景證書”本身并非正式的證書類型，而更多的是各CA機構為市場拓展所衍生的營銷定義，綜合分析這些定義，無論是“場景證書”或是“事件證書”，可以發現具有如下共同點：

• 場景證書的生命周期都極短，在場景發生時頒發證書，場景結束證書即被終止；
• 場景證書的私鑰并非由用戶（證書上記載的簽名人）掌握，而是由簽名場景的業務提供方實際掌控。
• 場景證書是通過電子簽名的技術，保證發生場景中相關電子數據的完整性，防止數據産生後被篡改，但對于數據産生的過程以及數據本身是否真實在所不問

——不具有預期的法律效果

場景證書雖然不是具有合規依據的證書類型，但由于獲得的方式非常容易，讓其事實上成為了目前市面上最廣泛存在的一種數字證書形式，大量的電子合同SaaS平台都在使用場景證書提供電子簽名服務，那麼基于場景證書的電子簽名，是否具有相關當事人所預期“等同于紙質簽名”的法律效果呢？

簽名的法律含義是“簽名人對被簽名内容的認可”，因而一份符合預期法律效果的電子簽名需要具備3個條件：1、文件包含電子簽名的事實，2、簽名人的身份可以确定，3、簽名行為人（即實際在文件上完成簽名操作的人）與“文件上表明的電子簽名人”身份一緻。

按照數字證書簽名的基本原理，簽名是通過“私鑰”運算完成的，掌握“私鑰”是執行電子簽名行為的前提，換言之，誰掌握“私鑰”誰才可能成為實際的簽名人；

在場景證書電子簽名的場景中，根據前文北京CA、CFCA以及上海CA的CPS規則，場景證書的“私鑰”并非由用戶掌控，故而用戶不可能成為實際的電子簽名人，簽名行為實際上是由提供簽名系統的業務方所完成的；雖然場景證書的有效期很短，但短暫的有效期隻是降低了其他第三方盜用私鑰僞造簽名的風險，卻不能阻止提供簽名系統的業務方濫用用戶簽名的能力，對此，CFCA在其CPS中更是特别強調“場景證書的密鑰生成由負責場景業務的業務提供方生産，并負責保護場景證書私鑰的安全”；由此可見，由于簽名系統的業務方，可以随時以用戶的名義向CA機構取得場景證書，也就使得業務方具有了随時以用戶名義在任何文件上僞造簽名的能力。

因此，從法律意義上說，基于這種場景證書電子簽名，由于無法将簽名行為與簽名人身份建立不可否認的唯一綁定，因而不符合“電子認證”的基本原理，不能表明“簽名人對被簽名内容的認可”，不具有當事人等同紙質簽名的預期法律效果。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!