某某与北京数字认证股份有限公司等其他二审行政判决书

北京市高级人民法院 行政判决书 （2024）京行终9258号 上诉人（一审原告）张某某。 被上诉人（一审被告）中华人民共和国工业和信息化部。 被上诉人（一审第三人）北京数字认证股份有限公司。 上诉人张某某因诉中华人民共和国工业和信息化部（以下简称工信部）行政答复及行政复议一案，不服北京市第一中级人民法院（以下简称一审法院）（2024）京01行初401号行政判决（以下简称一审判决），向本院提起上诉。本院受理后，依法组成合议庭审理了本案。本案现已审理终结。 2024年1月19日，工信部作出工信信访〔2024〕33号《信访事项处理意见书》（以下简称被诉处理意见），主要内容为：根据《中华人民共和国电子签名法》（以下简称电子签名法）《电子认证服务管理办法》等规定，工信部负责电子认证服务业的行政监管。关于张某某反映的北京数字认证股份有限公司（以下简称北京数字公司）在“平安”相关项目中未经本人同意颁发数字证书等问题，工信部已对北京数字公司涉平安科技（深圳）有限公司（以下简称平安科技公司）事件型数字证书相关事项进行调查，前期于2021年7月14日向北京数字公司发出整改通知，北京数字公司已于当年向工信部汇报了相应整改情况。2023年10月18日，工信部再次向北京数字公司下达集中整改函。2023年10月24日，北京数字公司通过其官网发布集中整改情况。张某某所反映的数字证书相关问题已经包含在此次整改范围之内。张某某不服，提出复议申请。工信部于2024年6月3日作出工信复决字〔2024〕第408号《行政复议决定书》（以下简称被诉复议决定），决定维持上述处理意见。 张某某起诉称：张某某向工信部寄交举报信，工信部作出被诉处理意见，张某某不服该意见书进而提起行政复议申请，后，工信部作出被诉复议决定。1.张某某认为工信部认定事实错误，证据不足，遗漏复议请求。被诉复议决定中没有进行论述和回应举报信中张某某要求对平安科技公司盗用张某某身份信息向北京数字公司申请电子证书移交公安机关立案处理的相关诉求。北京数字公司颁发给平安科技公司的电子签名证书属于事件型证书，违反《北京数字认证股份有限公司电子认证规则》和电子签名法的相关规定。2.北京数字公司的事件型证书存在申请主体、接受主体、载明主体不一致的情形。平安科技公司没有得到张某某授权的情况下盗用张某某身份信息向北京数字公司申请电子签名证书，利用非法冒名申请的证书进行非法电子签名。工信部认定涉案电子签名人为平安科技公司错误，该涉案电子签名验证报告中的电子签名人为张某某，并被佛山市中级人民法院作出的生效判决所羁束。3.工信部认为其已经履行了职责，但是工信部多次对北京数字公司事件型证书进行整改，但是此前颁发的证书没有被作废。工信部亦未提交证据证明平安科技公司核实了张某某的身份信息。综上，请求撤销被诉处理意见；撤销被诉复议决定；本案诉讼费由工信部承担。 一审法院经审理查明：工信部于2023年12月13日收到转来的举报信。该举报信的附件中含有张某某于2023年11月14日向工信部提交《对北京数字非法制作电子签名证书并出具虚假电子签名验证报告的涉嫌违法等行为的举报》，主要内容为：1.受理张某某举报并5个工作日给予是否受理书面盖章通知答复，不接受电话答复和短信答复；2.对北京数字公司违法行为进行立案调查并书面盖章答复处理结果；3.确认北京数字公司颁发给平安科技公司冒用“张某某”信息的电子签名证书无效（包括不限于“借款合同”“平安个人借款保证保险投保单”“信用信息查询及使用授权书（产险）”“付款金额确认书”等）；4.责令北京数字公司撤销电子签名验证报告（报告编号P1202110152457011、报告编号P120211015152457319、报告编号P120211012104612999、报告编号P120211012104614707）；5.对平安科技公司盗用本人身份信息向北京数字公司申请电子签名证书移交公安机关立案处理。2024年1月19日，工信部作出被诉处理意见。张某某不服被诉处理意见，于2024年3月22日向工信部提交行政复议申请书，请求：1.受理张某某行政复议，并7个工作日作出书面受理通知书；2.撤销被诉处理意见并责令工信部重新对张某某举报事项重新处理并书面盖章答复回应张某某举报请求；3.对工信部作出复议答辩意见和证据后通知张某某并邮寄给张某某。2024年5月31日，工信部作出《延期审理通知书》（工信复延字[2024]408号）。2024年6月3日，工信部作出被诉复议决定，决定维持被诉处理意见。张某某亦不服，向一审法院提起行政诉讼。 一审法院另查，针对工信部就张某某的投诉举报事项进行的调查，北京数字公司向工信部提交《关于电子认证服务有关情况的说明》及相关证明材料。上述材料显示，北京数字公司与平安科技公司签订合同，由北京数字公司向平安科技公司提供电子认证服务。电子认证服务中，平安科技公司向北京数字公司提供相关业务场景信息，申请电子认证。北京数字公司向平安科技公司签发事件型数字证书，该数字证书中记录平安科技公司提交的电子合同文件摘要、合同签署用户信息、手写签名笔迹等业务场景信息。平安科技公司是数字证书的申请主体、接受主体和电子签名人。北京数字公司向平安科技公司签发的序列号为1052810000025DE5A6、1302810000004D4FF8、13028100000055C3DD、1222810000018EBA59、1312810000018EE3B1、1192810000018F269C、12328100000190693D、1072810000025DDA6C、1232810000019067F7的“事件型证书”中“实体信息”显示为“***，张某某”。 在此前调查过程中，工信部于2021年7月8日就北京数字公司与平安科技公司有关数字证书业务，组织专家研讨。专家意见是：从北京数字公司签发的数字证书及其事件型证书策略（CP21.0.1版）、电子认证业务规则（CPS2.0.4版）等证据看，北京数字公司签发数字证书过程中，存在证书申请主体、接受主体和载明主体不一致的情形，应当按照电子签名法第二十一条等条款进行整改。 工信部于2021年7月14日向北京数字公司作出《关于对有关证书业务开展整改工作的通知》（工信发函〔2021〕422号，以下简称422号整改函），主要内容为：北京数字公司签发事件型数字证书的过程中，存在申请主体、接受主体和证书载明主体不一致的情形，要求该公司根据电子签名法第二十一条等条款进行整改。北京数字公司于2021年8月6日向工信部提交整改报告，报告有关整改措施，包括：改造平安科技公司的事件型数字证书模板格式，解决证书记录信息不一致的问题，在新签发的事件型数字证书模板的主体信息中标识平安科技公司名称，将平安科技公司核实后提交的合同签署主体身份信息记录在证书专用扩展域并与电子合同文件摘要、手写笔迹数据一同保存。北京数字公司新签发的事件型数字证书，载明证书颁发给平安科技公司、证书“使用者”是平安科技公司，与数字证书的申请主体、接受主体一致。 2023年10月18日，工信部向北京数字公司作出《工业和信息化部信息技术发展司关于责令就涉及平安科技（深圳）有限公司相关电子认证服务集中整改的函》（工信发函〔2023〕486号，以下简称486号整改函），主要内容为：工信部收到大量反映北京数字认证公司涉平安科技公司电子认证服务不合规问题的举报反映，经调查，北京数字公司签发给平安科技公司的相关事件型证书，证书申请主体、证书接受主体、证书载明主体不一致。为推动解决争议纠纷，责令北京数字公司进行集中整改，并及时将整改情况官网上进行公告。北京数字公司于2023年10月24日通过其官网发布《关于涉平安项目事件型证书整改情况公告》，公告了相关证书签发的起止时间、颁发信息、序列号、签发情况等，说明整改情况，告知投诉方式。北京数字公司于2023年10月27日作出《北京数字认证股份有限公司关于集中整改完成及公告发布情况报告》，说明整改完成情况及公告发布情况。 一审法院认为：电子签名法第二十五条规定，国务院信息产业主管部门依照本法制定电子认证服务业的具体管理办法，对电子认证服务提供者依法实施监督管理。《电子认证服务管理办法》第四条规定，工信部依法对电子认证服务机构和电子认证服务实施监督管理。据此，工信部具有对电子认证服务机构实施监督管理的法定职责，具有对张某某投诉举报事项进行调查处理的法定职责。 本案争议焦点为：工信部针对张某某投诉事项，是否履行了法定查处职责。 根据在案证据材料，本案涉及“事件型数字证书”的服务和监管。该类电子签名认证是指电子认证服务机构依申请人申请，将电子合同文件摘要、合同签署用户信息、手写签名笔记数据等合同业务场景信息写入证书，用以固化申请人提交合同签署场景信息的过程。在此过程中，申请人对业务办理用户进行实名身份核验，采集用户在电子文件上的手写笔迹等签名行为特征信息及电子文件数据信息等业务场景信息，并向电子认证服务机构提交上述信息，申请与之对应的电子签名认证证书。电子认证服务机构依据申请人申请，将上述信息写入证书扩展域中，并签发与之相对应的电子签名认证证书，对相关业务场景信息实行固化。之后，电子认证服务机构根据申请人的电子签名验证申请，通过存档的电子签名认证证书等信息和电子签名运算结果，验证电子合同文件完整性、真实性，并出具相关验证报告。因此，在“事件型数字证书”的运行模式下，电子认证服务机构系依据申请人申请，通过电子签名认证证书等信息和电子签名运算结果，保证和验证电子合同文件完整性和真实性，并对其核验结果出具相关验证报告；该机构并不负责相关合同文件用户方的实名身份核验，亦不涉及相关合同文件确系由合同用户方本人签署真实性的认证。 本案中，平安科技公司作为电子签名法第三十四条第一项所规定的涉案证书电子签名人、涉案证书的申请人，持有电子签名制作数据即证书私钥，采集并向北京数字公司提供用户信息等涉案合同场景信息，对电子合同实施电子签名。北京数字公司作为《电子认证服务管理办法》规定的取得电子认证服务许可的机构，依据电子认证业务规则、与平安科技公司的购销协议等，制作、签发涉案证书、出具涉案验证报告，对涉案电子合同文件完整性及是否进行篡改进行验证、说明。在此过程中，涉案证书系北京数字公司依据平安科技公司申请制作，并非针对张某某颁发。至于平安科技公司向北京数字公司提供的张某某身份信息、手写笔迹数据等是否系张某某真实个人信息及是否获得张某某同意，不属于北京数字公司电子认证服务范畴。因此，张某某关于北京数字公司未审核其本人是否有申请意愿等理由不能成立。 根据在案证据，平安科技公司是涉案数字证书的申请主体、接受主体。但北京数字公司签发的涉案数字证书中“实体信息”栏却载明“***，张某某”，在形式上确存在数字证书载明主体与数字证书的申请主体、接受主体不一致，属于技术表述不规范问题，亦容易引起误解，违反电子签名法第二十一条“电子认证服务者签发的电子签名认证证书应当准确无误”的规定。对该问题，工信部曾发出422号整改函、486号整改函，认定北京数字公司签发的相关事件型证书存在的上述问题，书面责令北京数字公司对有关电子认证服务进行整改。北京数字公司亦已按照工信部的整改要求，改造事件型数字证书模板格式，解决证书记录信息不一致的问题，保证此后新签发的事件型数字证书载明主体与数字证书的申请主体、接受主体一致。北京数字公司亦在其官网上就此予以公示。公示的内容已包括张某某举报所涉事件型证书。因此，工信部针对张某某投诉调查中未再要求北京数字公司整改，并无不当。工信部根据调查情况向张某某作出被诉处理意见，对调查结果进行了告知，履行了相应的调查处理职责，并无不当。张某某所提相关诉讼理由，均缺乏事实和法律依据，一审法院不予采纳。 经一审法院审查，工信部在作出被诉处理意见及复议决定过程中履行了相关行政程序，符合《中华人民共和国行政复议法》等法律规定，一审法院予以确认。工信部针对张某某提出的复议请求作出被诉复议决定，结论亦无明显不当，张某某关于工信部遗漏复议请求等诉讼主张一审法院不予支持。 综上，张某某的诉讼理由均缺乏事实和法律依据，对其诉讼请求，一审法院不予支持。依照《中华人民共和国行政诉讼法》第六十九条、第七十九条之规定，判决驳回张某某的诉讼请求。 张某某不服一审判决，向本院提起上诉称，一审判决认定事实错误，适用法律错误，请求撤销一审判决，支持其诉讼请求，诉讼费由工信部承担。 工信部答辩称，请求驳回张某某的上诉请求。 北京数字公司答辩称，请求驳回张某某的上诉请求。 在案证据及一审庭审笔录已随卷移送本院。经审查，一审法院对证据的分析与认定正确，本院予以确认。二审期间，张某某提交《佛山市禅城区人民法院开庭笔录》（1-6页节选）及《关于电子认证服务有关情况的说明》作为新证据。经过质证，本院认为，张某某提交的《佛山市禅城区人民法院开庭笔录》（1-6页节选），不符合二审新证据的条件，本院不予接纳。张某某提交《关于电子认证服务有关情况的说明》，欲证明工信部一审提交的证据3不属于商业秘密，一审法院未公开质证不正确。工信部一审提交的证据3为《关于电子认证服务有关情况的说明》及附件，张某某能够获取其中的说明部分，并不能否定证据3整体具有商业秘密的性质，本院对张某某该项证据的证明目的不予认可。 综合上述合法有效证据，本院对一审法院查明的事实予以确认。 本院认为，电子签名法第二十五条规定，国务院信息产业主管部门依照本法制定电子认证服务业的具体管理办法，对电子认证服务提供者依法实施监督管理。《电子认证服务管理办法》第四条规定，工信部依法对电子认证服务机构和电子认证服务实施监督管理。 本案中，张某某认为北京数字公司存在非法制作电子签名证书并出具虚假电子签名验证报告等涉嫌违法行为，向工信部举报。关于涉案的电子签名认证证书，系北京数字公司应平安科技申请，向平安科技签发，并非向张某某签发，张某某不是电子签名人。该电子签名认证证书并不负责识别张某某的身份，亦不具备表明张某某认可相关数据电文内容的功能。关于涉案的电子签名验证报告，目的在于对平安科技的电子签名及其所附着的数据电文是否篡改进行验证，同样不能产生对张某某的身份及其意愿进行确认的功能。至于数据电文中保存的张某某的手写笔迹等签名行为特征信息，与张某某的实名身份验证一道，均为平安科技采集和完成，其是否真实，是否得到张某某的许可，是否表明张某某与相关数据电文的联系，不是涉案电子认证服务所包含的内容。平安科技运用签发给自己的涉案电子签名认证证书，对其采集和控制的数据电文予以固定，并不违反现行的法律规定和电子签名认证服务规则。 但北京数字公司签发的涉案数字证书中“实体信息”栏却载明“***，张某某”，在形式上确存在数字证书载明主体与数字证书的申请主体、接受主体不一致，属于技术表述不规范问题，亦容易引起误解，违反电子签名法第二十一条“电子认证服务者签发的电子签名认证证书应当准确无误”的规定。对该问题，工信部曾发出422号整改函、486号整改函，认定北京数字公司签发的相关事件型证书存在的上述问题，书面责令北京数字公司对有关电子认证服务进行整改。北京数字公司亦已按照工信部的整改要求，改造事件型数字证书模板格式，解决证书记录信息不一致的问题，保证此后新签发的事件型数字证书载明主体与数字证书的申请主体、接受主体一致。北京数字公司亦在其官网上就此予以公示。公示的内容已包括张某某举报所涉事件型证书。因此，工信部针对张某某投诉调查中未再要求北京数字公司整改，并无不当。工信部根据调查情况向张某某作出被诉处理意见，对调查结果进行了告知，履行了相应的调查处理职责，并无不当。工信部所作被诉复议决定，亦无不当。 综上，一审法院所作判决并无不当，本院应予维持。张某某的上诉理由缺乏事实根据及法律依据，本院不予支持。依照《中华人民共和国行政诉讼法》第八十九条第一款第一项的规定，判决如下： 驳回上诉，维持一审判决。 二审案件受理费人民币50元，由上诉人张某某负担（已交纳）。 本判决为终审判决。 审判长*** 审判员*** 审判员*** 二〇二四年十二月九日 法官助理*** 书记员***