《电子认证业务规则规范》正式实施电子认证行业进入强监管新阶段

随着《电子认证业务规则规范》（T/CQAE 11034-2025）正式实施，以及新版《电子认证服务管理办法》《电子认证服务使用密码管理办法》等相继落地，我国电子认证行业正迎来系统性合规升级。按照工业和信息化部监管要求，各电子认证服务机构（CA机构）须在规定时间内完成电子认证业务规则（CPS）修订工作，确保业务开展符合最新合规要求。

新规划定四条合规红线

本次规范的核心导向是压实CA机构主体责任，破解行业长期存在的责任模糊、流程不规范等结构性问题。规范从证书生命周期管理、用户告知、身份核验、私钥管控、数据留存等核心环节作出精细化规定，明确提出"一步四个关键动作"的刚性要求：

一是身份核验“CA直验”。 规范明确要求，身份查验不得委托给外部机构或个人（非同一法人主体视为外部机构），证书申请的受理、审核全环节须由持牌CA自主完成，从源头杜绝"实名不实人"的合规隐患。

二是服务协议“CA直签”。 电子认证服务协议须由CA机构与证书订户直接签署，严禁默认勾选、一键授权等不规范模式，协议需清晰界定各方权利义务。

三是签署意愿“全程留证”。 个人及企业证书办理、签署动作须全部留痕。高等级证书须通过录音录像等方式记录订户意愿；基础级证书可采用强制阅读、短信、邮件等电子方式留存确认记录。

四是私钥“直管可控。” 签名私钥所有权归属用户，优先由用户自主持有保管。若委托平台或CA托管，须单独签署书面授权文件，所有私钥操作须全程日志留痕。

行业面临合规整改窗口期

据了解，6月30日为全行业整改截止节点，7月1日起将启动从严核查。届时，无证经营、外包核验、流程不合规的CA机构与电子签平台将面临清退、吊销牌照等处罚。

e签宝相关负责人表示：“新规的实施不仅影响CA机构，也将深刻影响使用电子签名服务的企业客户。金融、建筑、人力资源、供应链等重点行业面临监管抽查，不合规企业将被责令整改。同时，存量合同的法律效力风险亦需关注，若签署过程不符合新规要求，涉诉时其证据效力可能大打折扣”。

多家机构启动合规升级

面对监管要求，行业内具备技术实力与合规资质的服务商已启动全方位迭代优化。e签宝等多家持牌CA机构及电子签名服务商均表示已对照新规要求，系统梳理业务流程，推进合规升级工作。

业内人士提醒，电子签名服务商并非必须持有CA牌照。电子认证机构与电子签名服务商是两个不同层级的角色，各有法定边界。只要电子签名服务商与持牌CA机构合规合作、不越权从事电子认证活动，即可合法合规运营。

随着整改窗口期临近，电子认证行业的合规化进程正在加速。在"法律—规章—标准"三位一体的合规框架体系下，电子签名的法律效力将获得更坚实的制度保障，数字信任体系有望得到进一步夯实。