北京市高級人民法院
行 政 判 決 書
(2021)京行終905號
上訴人(一審原告)薛曉潤�,男�,1988年4月17日出生���,漢族�����,戶籍所在地山西省芮城縣。
被上訴人(一審被告)中華人民共和國工業(yè)和信息化部�,住所地北京市西城區(qū)西長安街13號����。
法定代表人肖亞慶�,部長。
委托代理人梅揚�,中華人民共和國工業(yè)和信息化部工作人員。
委托代理人顧玲�,北京市蘭臺律師事務所律師。
被上訴人(一審第三人)北京數字認證股份有限公司����,住所地北京市海淀區(qū)北四環(huán)西路68號1501號。
法定代表人詹榜華�,董事長。
委托代理人蔡京露�����,男����,1984年10月8日出生,北京數字認證股份有限公司員工����,戶籍所在地北京市豐臺區(qū)���。
委托代理人蘇海萍,女�,1982年8月20日出生,北京數字認證股份有限公司員工�����,戶籍所在地內蒙古自治區(qū)牙克石市����。
上訴人薛曉潤因行政答復一案,不服北京市第一中級人民法院(以下簡稱一審法院)(2020)京01行初531號行政判決����,向本院提起上訴。本院受理后����,依法組成合議庭公開開庭進行了審理。上訴人薛曉潤�����,被上訴人中華人民共和國工業(yè)和信息化部(以下簡稱工信部)的委托代理人梅揚、顧玲����,被上訴人北京數字認證股份有限公司(以下簡稱北京數字認證公司)的委托代理人蔡京露���、蘇海萍在線參加了訴訟��。本案現已審理終結�。
2020年7月30日�����,工信部作出答復(工信信訪〔2020〕2580號��,以下簡稱被訴答復)����,內容為:
一、北京數字認證公司與平安科技(深圳)有限公司(以下簡稱平安科技公司)簽訂了購銷合同���,為其提供相關產品并簽發(fā)事件型證書���,用于固化業(yè)務場景信息。經調查,北京數字認證公司在為平安科技公司提供電子認證服務的過程中����,遵守了《北京數字認證股份有限公司電子認證業(yè)務規(guī)則(2.0.4版)》和《北京數字認證股份有限公司事件型證書策略(CP2)(1.0.1版)》,不存在違反認證業(yè)務規(guī)則的情況���。
二����、2019年12月�,北京數字認證公司根據平安科技公司申請,出具了相應的電子簽名驗證報告���。上述報告指定場景中��,平安科技公司持有電子簽名制作數據�,為“電子簽名人”,報告中載明的“證書持有者信息:‘薛曉潤’”不是《中華人民共和國電子簽名法》(以下簡稱電子簽名法)第三十四條定義的“電子簽名人”����。因此,北京數字認證公司出具的電子簽名驗證報告存在措辭不嚴謹��、表述不規(guī)范問題�����,工信部已責令其進行整改并向相關方書面說明。
薛曉潤不服�����,訴至一審法院�����。
一審法院經審理查明:
2019年12月16日�,北京數字認證公司受平安科技公司的委托�����,對一份名稱為“光大銀行查詢使用個人信用信息基礎數據庫授權書”的PDF格式電子合同進行電子簽名驗證并出具《電子簽名驗證報告》�����,驗證結論如下:
1.該電子合同中“授權人(簽字)”落款處的電子簽名���,電子簽名人身份通過身份證信息核實�����、人臉識別比對等在線方式進行了身份核實�,電子簽名使用的數字證書由數字認證簽發(fā),證書持有者信息:“薛曉潤”��,證書序列號128281000000664F4A���。
2.該電子簽名采用數字簽名技術�����,通過數字簽名驗證��,電子簽名時間為2018-02-2200:13:23�����,該電子簽名通過驗證有效��。
3.電子合同自電子簽名后未發(fā)生任何改動���。
2020年4月29日,工信部收到薛曉潤提交的舉報信及相關材料�����,薛曉潤舉報事項為北京數字認證公司向光大銀行上海永和新城支行及深圳平安普惠小額貸款公司提供虛假電子簽名驗證報告。薛曉潤請求工信部依法調查被舉報人��,給予其嚴厲的行政處罰��,并就針對此次事件給其造成的損失要求賠償�、書面道歉。
薛曉潤的主要理由為:其從未與被舉報人有過任何電子簽名的業(yè)務往來�����,被舉報人也未給薛曉潤發(fā)放電子認證證書�,薛曉潤未曾與被舉報人簽過《CA電子認證服務協(xié)議》���,薛曉潤沒有在案涉電子合同上進行簽字�。同年5月25日���,工信部電話告知薛曉潤將對其舉報事項開展調查�����。5月26日����,工信部對北京數字認證公司進行現場調查,并于同年6月1日向北京數字認證公司作出工信發(fā)函〔2020〕474號責令改正通知書�����,通知北京數字認證公司其向平安科技公司出具的相關電子簽名驗證報告存在措辭不嚴謹�、表述不規(guī)范的問題。根據電子簽名法及《電子認證服務管理辦法》有關規(guī)定�,責令北京數字認證公司在收到本通知書7日內完成上述問題整改,提交書面整改報告�,并向相關方出具有關電子簽名驗證報告真實意思表述的文字說明。
同年6月4日�����,北京數字認證公司向薛曉潤作出《說明函》��,并于次日寄出�����,薛曉潤于同年6月6日簽收����。在《說明函》中,北京數字認證公司對其出具《電子簽名驗證報告》的過程進行了說明���,同時對驗證結論中所述的“證書持有者信息”字段標識的內容向薛曉潤進行了解釋�,并就“證書持有者信息”表達方式所引起的誤解希望得到薛曉潤的理解。
同年6月18日�����,工信部電話答復薛曉潤對于其舉報�,工信部經調查,北京數字認證公司與平安科技公司簽訂了《數字證書應用產品購銷合同》��,并向平安科技公司提供電子認證數字證書�,用于固化簽名行為業(yè)務場景信息,不存在違反電子認證業(yè)務規(guī)則的情況�����。針對薛曉潤提出的需要書面回復的新訴求���,需要薛曉潤將材料寄送至工信部信訪部門。
2020年6月18日�����,薛曉潤向國家信訪局網站進行網上信訪��,要求工信部對薛曉潤的舉報事項進行書面答復,國家信訪局于次日將其信訪材料轉送至工信部信訪部門�。同年7月1日,工信部向薛曉潤作出工信訪告〔2020〕2763號函并于次日寄出��,通知薛曉潤補充相關舉報材料����,薛曉潤于同年7月4日簽收。工信部于同年7月8日收到薛曉潤寄交的補充材料�,并轉送工信部信息技術發(fā)展司處理。工信部信息技術發(fā)展司于2020年7月21日作出工信發(fā)函〔2020〕918號《關于核實投訴舉報問題的函》��,要求北京數字認證公司明確其出具的涉案《電子簽名驗證報告》中的“證書持有者”和“電子合同中‘授權人(簽字)’落款處的電子簽名”����,是否為電子簽名法第三十四條規(guī)定的“電子簽名人”。如不是���,則對“證書持有者”和“電子合同中‘授權人(簽字)’落款處的電子簽名”的定義進行解釋說明���,并明確電子簽名法第三十四條規(guī)定的“電子簽名人”“電子簽名依賴方”對應的法律實體身份。同年7月22日���,北京數字認證公司對工信部信息技術發(fā)展司作出回函并附其公司的電子認證業(yè)務規(guī)則�、事件型證書策略、使用數字證書進行電子簽名的有關文件����,上述回函中稱:北京數字認證公司2018年2月為平安科技公司簽發(fā)序列號為128281000000664F4A的事件型證書,通過證書簽名固化平安科技公司與用戶簽署電子合同的業(yè)務場景信息�����,證明相關信息的完整性����,相關證書服務符合CPS和CP的規(guī)定。涉案《電子簽名驗證報告》中的“證書持有者信息”���,是平安科技公司與用戶簽署合同時經平安科技公司核驗的用戶身份信息����,不是電子簽名法第三十四條規(guī)定的“電子簽名人”�。使用北京數字認證公司簽發(fā)的事件型證書實施電子簽名的主體是平安科技公司而不是用戶����。北京數字認證公司與用戶沒有電子認證服務合同關系。符合電子簽名法第三十四條規(guī)定的“電子簽名人”,是使用事件型證書實施電子簽名的主體�����,即平安科技公司��。而符合電子簽名法第三十四條規(guī)定的“電子簽名依賴方”�,是通過對電子簽名驗證從而信賴該合同簽署場景信息的任一實體。工信部于同年7月30日作出被訴答復�,并于次日寄送薛曉潤,薛曉潤于同年8月1日簽收�。薛曉潤不服,于同年8月7日訴至一審法院�����。
一審法院認為���,根據電子簽名法第三十一條并參照《電子認證服務管理辦法》第四十條的規(guī)定�����,工信部具有對電子認證服務機構不遵守業(yè)務規(guī)則等違法行為進行查處的法定職權��。本案中��,薛曉潤認為授權日期為2018年2月22日的電子合同《光大銀行查詢使用個人信用信息基礎數據庫授權書》“授權人(簽字)”處的電子簽名“薛曉潤”非其本人所簽�����,并據此認為北京數字認證公司出具虛假的《電子簽名驗證報告》��,進而向工信部進行投訴舉報�。上述《電子簽名驗證報告》實際上是北京數字認證公司基于與平安科技公司之間的合同關系就《光大銀行查詢使用個人信用信息基礎數據庫授權書》簽署時的業(yè)務場景信息有無發(fā)生改動等情況所作的第三方說明。北京數字認證公司在接受工信部調查后�,核實了相關情況,對上述電子合同頒發(fā)事件型證書的業(yè)務流程向工信部作出了說明�����。上述說明能夠合理解釋涉案《電子簽名驗證報告》出具的過程以及結論��。工信部根據調查反饋情況得出北京數字認證公司在為平安科技公司提供電子認證服務的過程中���,遵守了《北京數字認證股份有限公司電子認證業(yè)務規(guī)則(2.0.4版)》和《北京數字認證股份有限公司證書策略(1.0.1版)》�,不存在違反認證業(yè)務規(guī)則的情況��,該結論并無不當之處�。另外,平安科技公司作為北京數字認證公司的客戶�,向該公司提交簽名行為業(yè)務場景信息,該公司根據平安科技公司的請求簽發(fā)出事件型證書�����,并將平安科技公司提交的用戶身份信息作為業(yè)務場景特征寫入證書甄別名中的“證書持有者信息”��。涉案《電子簽名驗證報告》載明的“證書持有者信息”���,實際上是平安科技公司與用戶簽署合同時經平安科技公司核驗的用戶身份信息�。但該報告中有關“證書持有者信息:‘薛曉潤’”的表述確有歧義���。根據電子簽名法第三十四條第一項之規(guī)定��,電子簽名人�����,是指持有電子簽名制作數據并以本人身份或者以其所代表的人的名義實施電子簽名的人�����。本案中���,平安科技公司接受北京數字認證公司的電子認證服務�����,使用該公司簽發(fā)的事件型證書并實施電子簽名���,因此平安科技公司為電子簽名人。工信部將上述問題定性為“措辭不嚴謹�、表述不規(guī)范”并無不當之處。且針對上述問題�,工信部已經責令北京數字認證公司進行整改,北京數字認證公司提交了書面整改報告并就上述問題向薛曉潤進行了說明���。工信部在被訴答復中將上述情況向薛曉潤進行告知����,符合法律規(guī)定�����,已經履行了法定調查處理職責��。至于薛曉潤主張的在另案審理過程中上述問題誤導法院作出不利于薛曉潤的裁判�����,缺乏事實根據,不予支持����。綜上����,薛曉潤的訴訟理由均缺乏事實和法律依據,對其訴訟請求�,不予支持。依照《中華人民共和國行政訴訟法》第六十九條之規(guī)定���,判決駁回薛曉潤的訴訟請求����。
薛曉潤不服一審判決��,向本院提起上訴稱�����,一審判決認定事實不清���,對北京數字認證公司違法認證���、違法存證�����、工信部監(jiān)管失職問題未予認定�����。北京數字認證公司簽發(fā)的電子簽名認證證書錯誤記載證書持有人及電子簽名人信息���,并非“措辭不嚴謹、表述不規(guī)范”����,而是違反電子簽名法的規(guī)定,是一種違法行為�,并造成了嚴重的法律后果。北京數字認證公司無權將相關業(yè)務場景中的電子合同簽名非法由平安科技公司進行認證�。綜上,請求撤銷一審判決�,依法改判或發(fā)回重審。
一審期間各方當事人在法定期限內提交的證據均已移送至本院��。經審查���,本院對一審法院對本案有關投訴舉報及調查處理過程的事實及相關證據的認定予以確認�。但工信部提供的證據不足以證明被訴答復認定事實清楚。
本院認為�,電子簽名法第二十五條規(guī)定,國務院信息產業(yè)主管部門依照本法制定電子認證服務業(yè)的具體管理辦法���,對電子認證服務提供者依法實施監(jiān)督管理?!峨娮诱J證服務管理辦法》第四條規(guī)定,中華人民共和國工業(yè)和信息化部依法對電子認證服務機構和電子認證服務實施監(jiān)督管理���。根據上述規(guī)定����,工信部具有對電子認證服務機構的違法行為進行查處的職責���。
根據電子簽名法第十三條規(guī)定��,可靠的電子簽名�����,其條件包括電子簽名制作數據用于電子簽名時����,屬于電子簽名人專有;簽署時電子簽名制作數據僅由電子簽名人控制等���。該法第二十一條規(guī)定�����,電子認證服務提供者簽發(fā)的電子簽名認證證書應當準確無誤��,應當載明的內容包括證書持有人名稱���、證書持有人的電子簽名驗證數據等。
本案中���,北京數字認證公司對“光大銀行查詢使用個人信用信息基礎數據庫授權書”的PDF格式電子合同進行電子簽名驗證后出具《電子簽名驗證報告》����,驗證結論中確認:“1.該電子合同中‘授權人(簽字)’落款處的電子簽名����,電子簽名人身份通過身份證信息核實、人臉識別比對等在線方式進行了身份核實,電子簽名使用的數字證書由數字認證簽發(fā)����,證書持有者信息:‘薛曉潤’,證書序列號128281000000664F4A��。2.該電子簽名采用數字簽名技術��,通過數字簽名驗證����,電子簽名時間為2018-02-2200:13:23,該電子簽名通過驗證有效�。3.電子合同自電子簽名后未發(fā)生任何改動�����?�!逼涓郊膀炞C過程說明”記載:“1���、根據平安向數字認證提供的資料�,該電子合同中‘授權人(簽字)’落款處的電子簽名人身份的真實性通過身份證信息核實�����、人臉識別比對等方式進行在線核實,核實結果為電子簽名人姓名:‘薛曉潤’���,身份證號:×××��。2�、通過解析證書信息��,該電子合同中‘授權人(簽字)’落款處的電子簽名使用的數字證書顯示證書持有者:‘薛曉潤’���,證書序列號128281000000664F4A�;通過解析證書路徑��,驗證該數字證書由Trust-SignSM2CA-2000181證書體系簽發(fā)����,屬于數字認證的證書體系。因此該電子合同中‘授權人(簽字)’落款處的電子簽名‘薛曉潤’的數字證書由數字認證簽發(fā)���。3、通過數字簽名驗簽運算��,計算數字證書���、簽名值����,與附件一電子合同數字摘要值進行對比�,驗證電子合同中‘授權人(簽字)’落款處的電子簽名有效,證明電子合同內容自電子簽名時間(2018-02-2200:13:23)起�,內容完整����,未發(fā)生篡改���。”上述《電子簽名驗證報告》內容明確�,指向清晰��,表明:“光大銀行查詢使用個人信用信息基礎數據庫授權書”的PDF格式電子合同中“授權人(簽字)”落款處“薛曉潤”的電子簽名使用的數字證書的證書持有者為“薛曉潤”�����,該電子簽名驗證有效���。亦即����,薛曉潤使用數字認證簽發(fā)的數字證書在“光大銀行查詢使用個人信用信息基礎數據庫授權書”上進行電子簽名�,該電子簽名經北京數字認證公司驗證有效�。
但工信部在被訴答復中認定的事實為:北京數字認證公司向平安科技公司簽發(fā)“事件型證書”���,平安科技公司持有電子簽名制作數據�,為“電子簽名人”;驗證報告中載明的“證書持有者信息:‘薛曉潤’”不是電子簽名法上的“電子簽名人”���。該事實認定與北京數字認證公司出具的涉案《電子簽名驗證報告》的內容明顯不同���。
《中華人民共和國行政訴訟法》第三十四條規(guī)定,被告對作出的行政行為負有舉證責任�����,應當提供作出該行政行為的證據和所依據的規(guī)范性文件���。該法第七十條第一項規(guī)定,行政行為主要證據不足的���,人民法院判決撤銷或者部分撤銷�,并可以判決被告重新作出行政行為���。電子簽名法第三十四條第一項規(guī)定,電子簽名人,是指持有電子簽名制作數據并以本人身份或者以其所代表的人的名義實施電子簽名的人�����。本案中�����,工信部認定平安科技公司是持有電子簽名制作數據的電子簽名人����,“證書持有者薛曉潤”非電子簽名人����,但未提供北京數字認證公司簽發(fā)的相關數字證書、當事人實施相關電子簽名等認定本案實際電子簽名人的主要證據,故被訴答復認定事實不清����、主要證據不足,依法應予撤銷����,工信部對薛曉潤投訴舉報事項應當重新進行調查處理����。
綜上���,一審判決認定事實不清��、適用法律錯誤�,本院應予糾正�����。薛曉潤上訴請求具有事實及法律根據���,本院應予支持����。依照《中華人民共和國行政訴訟法》第八十九條第一款第二項����、第七十條第一項的規(guī)定,判決如下:
一�����、撤銷北京市第一中級人民法院(2020)京01行初531號行政判決��;
二、撤銷中華人民共和國工業(yè)和信息化部于二○二○年七月三十日作出的工信信訪[2020]2580號答復�;
三、中華人民共和國工業(yè)和信息化部于本判決生效之日起六十日內對薛曉潤針對北京數字認證股份有限公司的投訴舉報重新作出調查處理��。
一�、二審案件受理費人民幣各50元,由中華人民共和國工業(yè)和信息化部負擔(于本判決生效之日起七日內交納)�����。
本判決為終審判決��。
審 判 長 胡華峰
審 判 員 趙世奎
審 判 員 哈勝男
二〇二一年五月二十四日
法官助理 譚曉晴
書 記 員 王雨桐
