电子签名之-事件证书

首先看名称是否在标准中：

根据国家市场监督管理总局、中国国家标准化管理委员会发布的GB/T 25056-2018 信息安全技术 证书认证系统密码及其相关安全技术规范3.9的定义，数字证书类型按用途可分为“签名证书”和“加密证书”两种，按类别可分为“个人证书”、“机构证书”和“设备证书”三种，当中并无“事件证书”;

按照国家密码行业标准化指导性技术文件“GM/Z 0001-2013”《密码术语》第2.115条对数字证书的定义，“数字证书也称公钥证书，由证书认证机构（CA）签名的包含公开密钥持有者信息、公开密钥、签发者信息、有效期以及扩展信息的一种数据结构。按类别可分为个人证书、机构证书和设备证书，按用途可分为签名证书和加密证书”，其中也没有“事件证书”一说，由此可见，所谓事件证书，并非是具有正式法律渊源和合规依据的证书类型；

即没有事件证书这个规范说法！

那事件证书是从哪来的呢：参考百度安全验证,他主要是几家CA机构为了适应市场变化和使用场景所衍生出来到。例如：参考北京CA在其电子认证业务规则（CPS）第1.4.1条d项的定义，“事件型数字证书是北京CA面向签名行为业务场景签发出的数字证书，在业务过程中，根据订户提交的业务场景中相关信息（电子文档、签名行为特征信息、手写笔迹或其他签名行为证据信息等）自动固化至数字证书的扩展域，签发出事件型数字证书。事件型数字证书所对应的私钥为一次性使用，对业务场景的信息数据进行电子签名，在使用后即被销毁”；该CPS第6.1.1和6.1.2进一步明确“事件型证书的签名密钥对由签名设备生成并保管”。

事件证书的特点：

• 事件证书的私钥并非由用户（证书上记载的签名人）掌握，而是由签名场景的业务提供方实际掌控。

• 事件证书的生命周期都极短，在事件发生时颁发证书，事件结束证书即被终止；

• 事件证书是通过电子签名的技术，保证事件发生场景中相关电子数据的完整性，防止数据产生后被篡改，但对于数据产生的过程以及数据本身是否真实在所不问

事件证书的法律性质

    未达到预期的结果

事件证书虽然不是具有合规依据的证书类型，但由于获得的方式非常容易，让其事实上成为了目前市面上最广泛存在的一种数字证书形式，大量的电子合同SaaS平台都在使用事件证书提供电子签名服务，那么基于事件证书的电子签名，是否具有相关当事人所预期“等同于纸质签名”的法律效果呢？

签名的法律含义是“签名人对被签名内容的认可”，因而一份符合预期法律效果的电子签名需要具备3个条件：1、文件包含电子签名的事实，2、签名人的身份可以确定，3、签名行为人（即实际在文件上完成签名操作的人）与“文件上表明的电子签名人”身份一致。

按照数字证书签名的基本原理，签名是通过“私钥”运算完成的，掌握“私钥”是执行电子签名行为的前提，换言之，谁掌握“私钥”谁才可能成为实际的签名人；

在事件证书电子签名的场景中，根据前文北京CA、CFCA以及上海CA的CPS规则，事件证书的“私钥”并非由用户掌控，故而用户不可能成为实际的电子签名人，签名行为实际上是由提供签名系统的业务方所完成的；虽然事件证书的有效期很短，但短暂的有效期只是降低了其他第三方盗用私钥伪造签名的风险，却不能阻止提供签名系统的业务方滥用用户签名的能力，对此，CFCA在其CPS中更是特别强调“场景证书的密钥生成由负责场景业务的业务提供方生产，并负责保护场景证书私钥的安全”；由此可见，由于签名系统的业务方，可以随时以用户的名义向CA机构取得事件证书，也就使得业务方具有了随时以用户名义在任何文件上伪造签名的能力。

因此，从法律意义上说，基于这种事件证书电子签名，由于无法将签名行为与签名人身份建立不可否认的唯一绑定，因而不符合“电子认证”的基本原理，不能表明“签名人对被签名内容的认可”，不具有当事人等同纸质签名的预期法律效果。

《电子签名法》

第十三条　电子签名同时符合下列条件的，视为可靠的电子签名：

（一）电子签名制作数据用于电子签名时，属于电子签名人专有；

（二）签署时电子签名制作数据仅由电子签名人控制；

也就是说一个有效的电子签名必须三个要素同时出现：我本人、我本人盖章行动、合同。我和数字认证公司之间，我是唯一可以签署电子签名的人。

总结，通过事件证书的特点可以看出，如果要满足电子签名法，要三要素同时出现，那么事件证书可能不是那么符合，除非后期对事件证书的规范，定义和管理有变化，从而满足电子签名法。