北京市高级人民法院
行 政 判 决 书
(2021)京行终905号
上诉人(一审原告)薛晓润,男,1988年4月17日出生,汉族,户籍所在地山西省芮城县。
被上诉人(一审被告)中华人民共和国工业和信息化部,住所地北京市西城区西长安街13号。
法定代表人肖亚庆,部长。
委托代理人梅扬,中华人民共和国工业和信息化部工作人员。
委托代理人顾玲,北京市兰台律师事务所律师。
被上诉人(一审第三人)北京数字认证股份有限公司,住所地北京市海淀区北四环西路68号1501号。
法定代表人詹榜华,董事长。
委托代理人蔡京露,男,1984年10月8日出生,北京数字认证股份有限公司员工,户籍所在地北京市丰台区。
委托代理人苏海萍,女,1982年8月20日出生,北京数字认证股份有限公司员工,户籍所在地内蒙古自治区牙克石市。
上诉人薛晓润因行政答复一案,不服北京市第一中级人民法院(以下简称一审法院)(2020)京01行初531号行政判决,向本院提起上诉。本院受理后,依法组成合议庭公开开庭进行了审理。上诉人薛晓润,被上诉人中华人民共和国工业和信息化部(以下简称工信部)的委托代理人梅扬、顾玲,被上诉人北京数字认证股份有限公司(以下简称北京数字认证公司)的委托代理人蔡京露、苏海萍在线参加了诉讼。本案现已审理终结。
2020年7月30日,工信部作出答复(工信信访〔2020〕2580号,以下简称被诉答复),内容为:
一、北京数字认证公司与平安科技(深圳)有限公司(以下简称平安科技公司)签订了购销合同,为其提供相关产品并签发事件型证书,用于固化业务场景信息。经调查,北京数字认证公司在为平安科技公司提供电子认证服务的过程中,遵守了《北京数字认证股份有限公司电子认证业务规则(2.0.4版)》和《北京数字认证股份有限公司事件型证书策略(CP2)(1.0.1版)》,不存在违反认证业务规则的情况。
二、2019年12月,北京数字认证公司根据平安科技公司申请,出具了相应的电子签名验证报告。上述报告指定场景中,平安科技公司持有电子签名制作数据,为“电子签名人”,报告中载明的“证书持有者信息:‘薛晓润’”不是《中华人民共和国电子签名法》(以下简称电子签名法)第三十四条定义的“电子签名人”。因此,北京数字认证公司出具的电子签名验证报告存在措辞不严谨、表述不规范问题,工信部已责令其进行整改并向相关方书面说明。
薛晓润不服,诉至一审法院。
一审法院经审理查明:
2019年12月16日,北京数字认证公司受平安科技公司的委托,对一份名称为“光大银行查询使用个人信用信息基础数据库授权书”的PDF格式电子合同进行电子签名验证并出具《电子签名验证报告》,验证结论如下:
1.该电子合同中“授权人(签字)”落款处的电子签名,电子签名人身份通过身份证信息核实、人脸识别比对等在线方式进行了身份核实,电子签名使用的数字证书由数字认证签发,证书持有者信息:“薛晓润”,证书序列号128281000000664F4A。
2.该电子签名采用数字签名技术,通过数字签名验证,电子签名时间为2018-02-2200:13:23,该电子签名通过验证有效。
3.电子合同自电子签名后未发生任何改动。
2020年4月29日,工信部收到薛晓润提交的举报信及相关材料,薛晓润举报事项为北京数字认证公司向光大银行上海永和新城支行及深圳平安普惠小额贷款公司提供虚假电子签名验证报告。薛晓润请求工信部依法调查被举报人,给予其严厉的行政处罚,并就针对此次事件给其造成的损失要求赔偿、书面道歉。
薛晓润的主要理由为:其从未与被举报人有过任何电子签名的业务往来,被举报人也未给薛晓润发放电子认证证书,薛晓润未曾与被举报人签过《CA电子认证服务协议》,薛晓润没有在案涉电子合同上进行签字。同年5月25日,工信部电话告知薛晓润将对其举报事项开展调查。5月26日,工信部对北京数字认证公司进行现场调查,并于同年6月1日向北京数字认证公司作出工信发函〔2020〕474号责令改正通知书,通知北京数字认证公司其向平安科技公司出具的相关电子签名验证报告存在措辞不严谨、表述不规范的问题。根据电子签名法及《电子认证服务管理办法》有关规定,责令北京数字认证公司在收到本通知书7日内完成上述问题整改,提交书面整改报告,并向相关方出具有关电子签名验证报告真实意思表述的文字说明。
同年6月4日,北京数字认证公司向薛晓润作出《说明函》,并于次日寄出,薛晓润于同年6月6日签收。在《说明函》中,北京数字认证公司对其出具《电子签名验证报告》的过程进行了说明,同时对验证结论中所述的“证书持有者信息”字段标识的内容向薛晓润进行了解释,并就“证书持有者信息”表达方式所引起的误解希望得到薛晓润的理解。
同年6月18日,工信部电话答复薛晓润对于其举报,工信部经调查,北京数字认证公司与平安科技公司签订了《数字证书应用产品购销合同》,并向平安科技公司提供电子认证数字证书,用于固化签名行为业务场景信息,不存在违反电子认证业务规则的情况。针对薛晓润提出的需要书面回复的新诉求,需要薛晓润将材料寄送至工信部信访部门。
2020年6月18日,薛晓润向国家信访局网站进行网上信访,要求工信部对薛晓润的举报事项进行书面答复,国家信访局于次日将其信访材料转送至工信部信访部门。同年7月1日,工信部向薛晓润作出工信访告〔2020〕2763号函并于次日寄出,通知薛晓润补充相关举报材料,薛晓润于同年7月4日签收。工信部于同年7月8日收到薛晓润寄交的补充材料,并转送工信部信息技术发展司处理。工信部信息技术发展司于2020年7月21日作出工信发函〔2020〕918号《关于核实投诉举报问题的函》,要求北京数字认证公司明确其出具的涉案《电子签名验证报告》中的“证书持有者”和“电子合同中‘授权人(签字)’落款处的电子签名”,是否为电子签名法第三十四条规定的“电子签名人”。如不是,则对“证书持有者”和“电子合同中‘授权人(签字)’落款处的电子签名”的定义进行解释说明,并明确电子签名法第三十四条规定的“电子签名人”“电子签名依赖方”对应的法律实体身份。同年7月22日,北京数字认证公司对工信部信息技术发展司作出回函并附其公司的电子认证业务规则、事件型证书策略、使用数字证书进行电子签名的有关文件,上述回函中称:北京数字认证公司2018年2月为平安科技公司签发序列号为128281000000664F4A的事件型证书,通过证书签名固化平安科技公司与用户签署电子合同的业务场景信息,证明相关信息的完整性,相关证书服务符合CPS和CP的规定。涉案《电子签名验证报告》中的“证书持有者信息”,是平安科技公司与用户签署合同时经平安科技公司核验的用户身份信息,不是电子签名法第三十四条规定的“电子签名人”。使用北京数字认证公司签发的事件型证书实施电子签名的主体是平安科技公司而不是用户。北京数字认证公司与用户没有电子认证服务合同关系。符合电子签名法第三十四条规定的“电子签名人”,是使用事件型证书实施电子签名的主体,即平安科技公司。而符合电子签名法第三十四条规定的“电子签名依赖方”,是通过对电子签名验证从而信赖该合同签署场景信息的任一实体。工信部于同年7月30日作出被诉答复,并于次日寄送薛晓润,薛晓润于同年8月1日签收。薛晓润不服,于同年8月7日诉至一审法院。
一审法院认为,根据电子签名法第三十一条并参照《电子认证服务管理办法》第四十条的规定,工信部具有对电子认证服务机构不遵守业务规则等违法行为进行查处的法定职权。本案中,薛晓润认为授权日期为2018年2月22日的电子合同《光大银行查询使用个人信用信息基础数据库授权书》“授权人(签字)”处的电子签名“薛晓润”非其本人所签,并据此认为北京数字认证公司出具虚假的《电子签名验证报告》,进而向工信部进行投诉举报。上述《电子签名验证报告》实际上是北京数字认证公司基于与平安科技公司之间的合同关系就《光大银行查询使用个人信用信息基础数据库授权书》签署时的业务场景信息有无发生改动等情况所作的第三方说明。北京数字认证公司在接受工信部调查后,核实了相关情况,对上述电子合同颁发事件型证书的业务流程向工信部作出了说明。上述说明能够合理解释涉案《电子签名验证报告》出具的过程以及结论。工信部根据调查反馈情况得出北京数字认证公司在为平安科技公司提供电子认证服务的过程中,遵守了《北京数字认证股份有限公司电子认证业务规则(2.0.4版)》和《北京数字认证股份有限公司证书策略(1.0.1版)》,不存在违反认证业务规则的情况,该结论并无不当之处。另外,平安科技公司作为北京数字认证公司的客户,向该公司提交签名行为业务场景信息,该公司根据平安科技公司的请求签发出事件型证书,并将平安科技公司提交的用户身份信息作为业务场景特征写入证书甄别名中的“证书持有者信息”。涉案《电子签名验证报告》载明的“证书持有者信息”,实际上是平安科技公司与用户签署合同时经平安科技公司核验的用户身份信息。但该报告中有关“证书持有者信息:‘薛晓润’”的表述确有歧义。根据电子签名法第三十四条第一项之规定,电子签名人,是指持有电子签名制作数据并以本人身份或者以其所代表的人的名义实施电子签名的人。本案中,平安科技公司接受北京数字认证公司的电子认证服务,使用该公司签发的事件型证书并实施电子签名,因此平安科技公司为电子签名人。工信部将上述问题定性为“措辞不严谨、表述不规范”并无不当之处。且针对上述问题,工信部已经责令北京数字认证公司进行整改,北京数字认证公司提交了书面整改报告并就上述问题向薛晓润进行了说明。工信部在被诉答复中将上述情况向薛晓润进行告知,符合法律规定,已经履行了法定调查处理职责。至于薛晓润主张的在另案审理过程中上述问题误导法院作出不利于薛晓润的裁判,缺乏事实根据,不予支持。综上,薛晓润的诉讼理由均缺乏事实和法律依据,对其诉讼请求,不予支持。依照《中华人民共和国行政诉讼法》第六十九条之规定,判决驳回薛晓润的诉讼请求。
薛晓润不服一审判决,向本院提起上诉称,一审判决认定事实不清,对北京数字认证公司违法认证、违法存证、工信部监管失职问题未予认定。北京数字认证公司签发的电子签名认证证书错误记载证书持有人及电子签名人信息,并非“措辞不严谨、表述不规范”,而是违反电子签名法的规定,是一种违法行为,并造成了严重的法律后果。北京数字认证公司无权将相关业务场景中的电子合同签名非法由平安科技公司进行认证。综上,请求撤销一审判决,依法改判或发回重审。
一审期间各方当事人在法定期限内提交的证据均已移送至本院。经审查,本院对一审法院对本案有关投诉举报及调查处理过程的事实及相关证据的认定予以确认。但工信部提供的证据不足以证明被诉答复认定事实清楚。
本院认为,电子签名法第二十五条规定,国务院信息产业主管部门依照本法制定电子认证服务业的具体管理办法,对电子认证服务提供者依法实施监督管理。《电子认证服务管理办法》第四条规定,中华人民共和国工业和信息化部依法对电子认证服务机构和电子认证服务实施监督管理。根据上述规定,工信部具有对电子认证服务机构的违法行为进行查处的职责。
根据电子签名法第十三条规定,可靠的电子签名,其条件包括电子签名制作数据用于电子签名时,属于电子签名人专有;签署时电子签名制作数据仅由电子签名人控制等。该法第二十一条规定,电子认证服务提供者签发的电子签名认证证书应当准确无误,应当载明的内容包括证书持有人名称、证书持有人的电子签名验证数据等。
本案中,北京数字认证公司对“光大银行查询使用个人信用信息基础数据库授权书”的PDF格式电子合同进行电子签名验证后出具《电子签名验证报告》,验证结论中确认:“1.该电子合同中‘授权人(签字)’落款处的电子签名,电子签名人身份通过身份证信息核实、人脸识别比对等在线方式进行了身份核实,电子签名使用的数字证书由数字认证签发,证书持有者信息:‘薛晓润’,证书序列号128281000000664F4A。2.该电子签名采用数字签名技术,通过数字签名验证,电子签名时间为2018-02-2200:13:23,该电子签名通过验证有效。3.电子合同自电子签名后未发生任何改动。”其附件二“验证过程说明”记载:“1、根据平安向数字认证提供的资料,该电子合同中‘授权人(签字)’落款处的电子签名人身份的真实性通过身份证信息核实、人脸识别比对等方式进行在线核实,核实结果为电子签名人姓名:‘薛晓润’,身份证号:×××。2、通过解析证书信息,该电子合同中‘授权人(签字)’落款处的电子签名使用的数字证书显示证书持有者:‘薛晓润’,证书序列号128281000000664F4A;通过解析证书路径,验证该数字证书由Trust-SignSM2CA-2000181证书体系签发,属于数字认证的证书体系。因此该电子合同中‘授权人(签字)’落款处的电子签名‘薛晓润’的数字证书由数字认证签发。3、通过数字签名验签运算,计算数字证书、签名值,与附件一电子合同数字摘要值进行对比,验证电子合同中‘授权人(签字)’落款处的电子签名有效,证明电子合同内容自电子签名时间(2018-02-2200:13:23)起,内容完整,未发生篡改。”上述《电子签名验证报告》内容明确,指向清晰,表明:“光大银行查询使用个人信用信息基础数据库授权书”的PDF格式电子合同中“授权人(签字)”落款处“薛晓润”的电子签名使用的数字证书的证书持有者为“薛晓润”,该电子签名验证有效。亦即,薛晓润使用数字认证签发的数字证书在“光大银行查询使用个人信用信息基础数据库授权书”上进行电子签名,该电子签名经北京数字认证公司验证有效。
但工信部在被诉答复中认定的事实为:北京数字认证公司向平安科技公司签发“事件型证书”,平安科技公司持有电子签名制作数据,为“电子签名人”;验证报告中载明的“证书持有者信息:‘薛晓润’”不是电子签名法上的“电子签名人”。该事实认定与北京数字认证公司出具的涉案《电子签名验证报告》的内容明显不同。
《中华人民共和国行政诉讼法》第三十四条规定,被告对作出的行政行为负有举证责任,应当提供作出该行政行为的证据和所依据的规范性文件。该法第七十条第一项规定,行政行为主要证据不足的,人民法院判决撤销或者部分撤销,并可以判决被告重新作出行政行为。电子签名法第三十四条第一项规定,电子签名人,是指持有电子签名制作数据并以本人身份或者以其所代表的人的名义实施电子签名的人。本案中,工信部认定平安科技公司是持有电子签名制作数据的电子签名人,“证书持有者薛晓润”非电子签名人,但未提供北京数字认证公司签发的相关数字证书、当事人实施相关电子签名等认定本案实际电子签名人的主要证据,故被诉答复认定事实不清、主要证据不足,依法应予撤销,工信部对薛晓润投诉举报事项应当重新进行调查处理。
综上,一审判决认定事实不清、适用法律错误,本院应予纠正。薛晓润上诉请求具有事实及法律根据,本院应予支持。依照《中华人民共和国行政诉讼法》第八十九条第一款第二项、第七十条第一项的规定,判决如下:
一、撤销北京市第一中级人民法院(2020)京01行初531号行政判决;
二、撤销中华人民共和国工业和信息化部于二○二○年七月三十日作出的工信信访[2020]2580号答复;
三、中华人民共和国工业和信息化部于本判决生效之日起六十日内对薛晓润针对北京数字认证股份有限公司的投诉举报重新作出调查处理。
一、二审案件受理费人民币各50元,由中华人民共和国工业和信息化部负担(于本判决生效之日起七日内交纳)。
本判决为终审判决。
审 判 长 胡华峰
审 判 员 赵世奎
审 判 员 哈胜男
二〇二一年五月二十四日
法官助理 谭晓晴
书 记 员 王雨桐
