数字证书与数字笔迹:两种合法的电子签名,企业应该怎么选?
电子签名已经不是什么新鲜概念了。从《电子签名法》2005 年施行至今,近二十年时间里,电子签名技术经历了多轮迭代,早已渗透到各行各业的核心业务流程中。
但在实际的企业选型中,企业要么不知道有两种合法的电子签名路径,要么知道但却选错了。
数字证书路径,和数字笔迹路径,都是法律认可的电子签名实现方式。本文将对此深度剖析。
一、先搞清楚一个问题:法律认可的到底是什么?
很多人有个误解,认为“电子签名=CA 证书”,或者认为“只有 CA 证书才是合法的”。
这是错的。
《中华人民共和国电子签名法》第二条对电子签名的定义是:
“数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。”
第十三条进一步规定了“可靠的电子签名”需要满足四个条件:
电子签名制作数据用于签名时,属于电子签名人专有。
签署时电子签名制作数据仅由电子签名人控制。
签署后对电子签名的任何改动能够被发现。
签署后对数据电文内容和形式的任何改动能够被发现。
第十六条人大释义则解释了电子签名认证的规定。
第十六条 电子签名需要第三方认证的,由依法设立的电子认证服务提供者提供认证服务。
【释义】本条是关于电子签名认证的规定。
一、电子签名可以依赖于很多技术来实现,有些电子签名可能并不需要认证,例如一些以生物识别技术生成的电子签名,其直接依据签名人的生理特征就可以辨别电子签名的真伪。
注意:法律没有规定必须用CA 证书。任何技术路径,只要能满足第十三条的四个条件,就是合法的可靠电子签名。
CA 证书路径和数字笔迹路径,是两种主流的、被司法实践认可的实现方式。它们的区别在于:如何证明“签名人专有”和“签名人控制”这两个核心要素。
二、CA 数字证书路径:基于信任锚点的身份认证
1、技术原理
CA(Certificate Authority,证书认证机构)数字证书路径的核心逻辑是:通过一个可信的第三方机构,对签名人的身份进行认证,并颁发数字证书。签名时,使用证书中的私钥对数据进行加密签名。
这个过程可以简化为:
(1)企业或个人向CA 机构提交身份证明材料;
(2)CA 机构审核通过后,颁发数字证书(通常存储在 U 盾、手机盾或云端);
(3)签署时,签名人使用私钥对合同内容进行加密运算,生成数字签名;
(4)验证方使用公钥解密,确认签名人身份和内容完整性。
2、法律效力来源
CA 机构是依法设立的、具备资质的第三方认证机构。它的存在,相当于国家信用体系在数字世界的延伸。当一份合同带有 CA 数字签名时,法院可以通过 CA 机构出具的签名验证报告,追溯签名人的真实身份。
3、典型适用场景
企业对企业的合同签署(采购合同、对账协议、经销商协议)
招投标文件(《电子招标投标办法》明确要求使用CA)
供应链金融(应收账款转让、票据背书)
房地产签约(网签备案、购房合同)
监管报送(税务、海关、人社等政府系统对接)
……
4、局限性
用户体验重:需要提前申请证书、安装驱动、插U 盾或下载客户端;
成本较高:CA 证书有年费,集成开发需要对接 CA 机构接口;
不适合随机人群:无法让一个从未注册过的用户当场完成CA 签名;
不适合受限人群:对于被羁押、被执法、人身自由受限或无法接触互联网/移动设备的人员,CA 体系所依赖的实名认证、主动意愿表达、硬件持有及密码输入等环节均无法实现,形成根本性应用障碍。
三、数字笔迹生物特征识别路径:基于行为特征的事实性认证
1、 技术原理
数字笔迹路径的核心逻辑是:通过记录签名人的书写行为轨迹(笔序、笔压、速度、加速度等),结合AI 笔迹识别算法,确认“正在操作的人就是本人”。
这个过程可以简化为:
(1)签名人在手机/PAD 上书写签名;
(2)系统实时采集行为特征数据和生物特征数据;
(3)与预留笔迹样本进行比对;
(4)生成包含特征数据的数字笔迹记录。
2、法律效力来源
数字笔迹路径的法律效力建立在事实性证据上。
它不像CA 那样依赖一个“事先信任的第三方”,而是通过记录签名当时的行为特征,形成一条完整的证据链:谁、在什么时间、在什么设备上、以什么方式签了这份合同。
近年来,数字笔迹技术的手写电子签名已经在大量司法判例中被认可,支持笔迹鉴定。
3、典型适用场景
面向自然人的业务:在线服务协议、用户注册确认、电子收据等;
面向随机人群的业务:快递签收、门店会员注册、线下服务确认等;
面向特殊人群的业务:询问笔录、提讯笔录、认罪认罚具结、调解协议等;
高频、低风险的确认类业务:员工入职确认、内部审批、巡检打卡等。
4、局限性
书写稳定性:对于书写水平较低或书写内容极为简单的用户,笔迹特征的可区分度有限,现有识别算法在精度上仍面临一定挑战。
标准体系仍在完善:尽管数字笔迹技术已在多个行业领域实现落地应用,但与之配套的技术标准、数据规范及行业政策尚处于逐步推进和完善阶段。
四、核心对比:一张表看懂区别
| 对比维度 | CA 数字证书路径 | 数字笔迹生物识别路径 |
|---|---|---|
| 身份认证机制 | 第三方CA 机构背书,基于数字证书 | 生物特征比对,基于事实证据 |
| 签名前准备 | 需要提前申请证书、安装驱动 | 无需准备,即签即用 |
| 用户体验 | 较重(U 盾/客户端/证书管理) | 极简(手写签名) |
| 单次签名成本 | 较高(证书年费+ 单次费用) | 较低 |
| 适用签名方 | 企业法人、固定人员 | 自然人、随机人群、特殊人群 |
五、企业选型的决策步骤
第一步:判断签名方的身份类型
签名方是企业还是个人?
如果是企业法人、供应商、经销商、合作机构:优先考虑CA 路径。企业行为需要法人意志背书,CA 的数字认证体系与工商登记信息直接挂钩,证据效力最强。
如果是自然人、随机用户、特殊人群:优先考虑数字笔迹路径。个人用户无法接受繁琐的证书流程,数字笔迹是较优可行的规模化方案。
第二步:评估业务流程的用户触点
签名行为发生在什么场景下?
一次性、无预告的场景(如快递上门签收、门店消费确认):只能用数字笔迹。CA 证书需要提前发放,在这个场景下不可行。
有提前注册和认证环节的场景(如企业入驻平台、员工入职):CA 和数字笔迹都可以,此时需要综合判断成本和体验。
第三步:考虑混合部署的可能性
很多企业陷入一个误区:认为一个业务系统只能选一种签名方式。
实际上,CA 和数字笔迹可以共存、可以混用、可以组合。
典型的混合场景例如在线医疗:医生、护士、药师等固定执业人员,需要承担责任追溯,用CA;患者作为随机人群,确认知情同意书,用数字笔迹。
六、常见误区澄清
误区一:“只有 CA 才是合法的电子签名”
澄清:《电子签名法》从未规定只有CA 证书才合法。数字笔迹生物识别同样可以满足“可靠的电子签名”的四项条件,并在大量司法判例中被采信。
误区二:“数字笔迹就是一张图片,很容易伪造”
澄清:合规的数字笔迹不是一张静态签名图片,而是包含了笔序、笔压、速度、时间戳、设备指纹、操作日志等多维数据的加密数据包。伪造难度远高于想象。
误区三:“选了CA就不能再上数字笔迹了”
澄清:两者可以共存。成熟的企业会建立“风险等级-签名方式”的映射矩阵,不同业务走不同路径。这是架构设计问题,不是技术对立问题。
总的来说,CA 数字证书与数字笔迹各有所长,企业应结合自身业务场景和签署对象类型来做出选择。与此同时,务必考察服务商是否具备完整的合规资质——电子认证许可证、等保三级、存证报告、公证及鉴定等相关司法服务。