新闻中心
新规体系落地,电子认证行业迎来高质量发展新机遇
作者: 杨飞
四川省数字证书认证管理中心有限公司副总经理,四川省密码行业协会技术专家委员会专家、四川省电子学会网络安全技术专业委员会副主任、成都信息工程大学人工智能学院产业导师。长期从事电子认证服务行业,参编信息安全和密码相关标准10余项,获得10余项电子认证或密码相关发明专利。
2026年4月13日,国家密码管理局发布修订后的《电子认证服务使用密码管理办法》。叠加2024年工信部《电子认证服务管理办法(征求意见稿)》、2025年9月国务院《电子印章管理办法》、2026年1月实施的《T/CQAE 11034-2025 电子认证业务规则规范》,电子签名的相关法律法规、行业标准、监管规则形成完整闭环,电子签名行业迎来规范化转型窗口期。作为电子认证从业人员,结合行业发展现状与系列新规要求,分享几点认识与体会。
一、多层监管协同,行业规范整治迫在眉睫
依据《电子签名法释义》,我国电子签名采用技术中立与技术特定折衷模式,生物识别、区块链无法单独构成可靠电子签名:人脸核身可确认身份,但无法防原文篡改;区块链可固化文书,却不能核验真实意愿,唯有密码技术加持的电子认证是法定可信认证底座。《电子签名法》第十七条明确,CA机构必须持有密码使用许可资质。
此前行业存在重业务创新、轻密码合规乱象,多层代理核验、代发证、私钥托管失管等问题频发。诸多电子签名案例在司法实践中因流程不合规未获采信,不仅导致签名依赖方业务诉求无法落地,也损害了电子认证机构行业信誉,同时引发社会对监管合规效能的质疑,形成多方受损的局面。本次《电子认证服务使用密码管理办法》从密码安全、密钥运维、合规评估、人员培训划定刚性要求,加之工信部收紧业务委托限制,行业标准明确“一证四步”合规红线,监管形成合力,从源头肃清不合规经营模式。
二、权责全面重构,CA机构从幕后走向台前
《T/CQAE 11034-2025 电子认证业务规则规范》彻底终结第三方平台代为核验、CA仅输出API的轻量运营模式,强制要求CA直连用户、直验身份、直管私钥、直签协议、全程可溯,承担司法举证责任。
运营链路全面重构:CA机构需搭建适配多场景SAAS服务;完善证书签发过程中对订户的告知、身份确认、意愿记录、协议签署等动作;新增面向终端用户的客服体系,法务团队全程负责纠纷举证与出庭支撑;同时承载高并发存证算力压力,音视频记录需至少存储5年以上。
市场逻辑同步转变:采购决策由IT部门延伸至法务、风控,低价接口售卖模式淘汰,差异化合规解决方案、快速适配各类场景成为核心盈利点。另外存储、核验、人力成本持续上涨,需依托AI智能客服、前沿技术创新、冷热分层存储架构,实现运营精细化降本增效。
三、统一标准落地,赋能全国CA互联互通
多项新规同步搭建起CA行业互联互通的顶层制度框架。其中,密码管理办法明确,由国家密码管理局统筹负责电子认证服务系统安全性审查与互联互通测试工作;电子印章管理办法明确,国家密码管理局负责电子印章有关密码管理工作,促进电子印章在政务活动中的互信互认;电子认证业务规则规范进一步细化互认标准,支持合规持证CA机构签订互认协议,完善证书跨域验签、跨场景互认业务流程。
此前政企、金融、招投标领域存在多CA重复对接、证书互不认可难题,增加企业数字化成本。依托统一业务规则和技术规范,不同机构证书可交叉验签、信任链互通,形成全国统一可信基础设施。互联互通既能降低企业多CA对接成本,也倒逼CA提升标准化服务能力,避免行业碎片化发展。