工信部查处CA机构为行业敲响合规警钟

近日，工业和信息化部依据《中华人民共和国电子签名法》《电子认证服务管理办法》等法律法规，对沃通电子认证服务有限公司提供电子认证服务的相关情况开展了行政检查，检查指出该公司存在违反身份查验义务、告知与合同义务、系统安全合规义务三项违法违规行为。

一是未提供对电子签名认证证书申请人进行身份查验和对有关材料进行审查的有效证明材料。

电子认证服务是依据行政许可、向全社会提供信任基础服务的严肃活动，身份查验是其中的核心环节。申请人负有真实陈述义务，但认证机构必须履行对申请人身份进行查验和对有关材料进行审查的义务，这是确保电子签名认证证书可信的基础。沃通未能提供有效证明材料，意味着其无法证明已履行法定审查义务，可能导致虚假身份申请证书，破坏证书体系的公信力。

二是在受理证书申请前未对申请人进行充分告知，未与申请人直接签订合同明确双方权利义务。

告知义务与合同签订义务是保障用户知情权、维护合同自由的关键程序。沃通未充分履行告知义务，用户可能在不知情的情况下承受不利后果；未与用户签订合同，导致用户对服务条款的认知不够明确，相应的法律保障也有所弱化。党的二十大提出“六个必须坚持”，其中首要原则是“必须坚持人民至上”，这是新时代各项工作的根本价值遵循。在电子认证服务领域，CA机构作为技术供给方处于相对强势地位，用户属于相对弱势一方。法律法规明确设定CA机构的告知义务、合同订立和履行等相关义务，本质上就是“人民至上”理念在电子认证服务领域的落地体现。

三是未使用符合国家安全标准的技术和设备，未使用取得国家密码管理机构同意使用密码的证明文件的电子认证服务系统。

电子认证服务是一项专业的技术服务，密码安全、系统安全是电子认证服务的安全底线。沃通未使用合规技术与系统，意味着其认证服务可能存在密钥泄露、证书伪造等重大安全风险，直接威胁证书的可信性和用户数据安全，破坏了证书信任体系。

2022年，工信部开展电子认证服务合规性专项整治工作，明确将“身份查验不规范”“告知不充分”等问题列为重点整治内容。检查结果说明部分CA机构老问题重犯，还出了新问题，这反映出部分CA机构合规红线画得不够清晰，安全责任落不到实处。本次对沃通的查处，释放了行业监管严字当头、有责必问的强烈信号，必将对推动全行业合规经营、实现高质量发展产生深远且积极的影响，值得所有行业从业机构和人员警醒。

随着《电子认证服务管理办法》修订工作的推进，以及配套《电子认证业务规则规范》要求的更新细化，将为电子认证服务机构提供更规范、更具体的运营要求，建议相关机构及负责人强化规范服务的意识，加强从业人员的培训教育，加强认证业务的合规审核，加强内控制度的有效执行，用可靠、优质的服务获得用户的认可。