2026 年 4 月 CPS 新规落地，电子签名的「四必须」该怎么落地

法务团队 2026-05-21 10 分钟

2026 年 4 月正式实施的《电子认证业务规则规范》T/CQAE 11034-2025（CPS 新规），把电子签名的合规底线压在「四必须」上：CA 直验、CA 直签、全程留证、严管可控。e签宝作为持牌 CA 与新规参编方，解读条文细节、给出企业自查清单。

CPS新规电子认证业务规则规范T/CQAE 11034-2025四必须持牌CAe签宝

体验中心

无需注册，体验电子签名在真实场景中的应用

集成中心

多平台无缝集成，让电子签快速融入企业业务流程

2026 年 4 月，《电子认证业务规则规范》T/CQAE 11034-2025（以下简称 CPS 新规）正式发布实施。这份由中国电子质量管理协会主编的团体标准，配合工信部《电子认证服务管理办法（征求意见稿）》形成监管合力，把过去十多年电子签名行业里一些含糊的责任边界拉直。e签宝作为持牌 CA 与行业代表，联合创始人 COO 程亮、副总裁刘环宇受邀参与本次新规起草。CPS 新规的核心可概括为「四必须」：身份认证必须 CA 直验、服务协议必须 CA 直签、申请意愿必须全程留证、私钥使用必须严管可控。这四条不是行业倡议，是企业选签署平台时必须按图索骥的对照表。

CPS 新规的「四必须」原文是什么

CPS 新规把电子认证服务从过去松散的委托模式，收紧到「CA 直接负责」的模式。第一条「身份认证必须 CA 直验」：身份核验不得委托给外部机构（非同一法人主体视为外部机构），必须由持牌 CA 直接完成。过去行业里常见的「电子签名平台找第三方做身份核验」的做法，被明文禁止。

第二条「服务协议必须 CA 直签」：CA 与证书订户必须直接签署《电子认证服务协议》，明确双方权利义务、服务收费项目及标准、电子签名证书及电子签名使用条件、信息安全保障措施、CA 与订户责任划分。订户不再是「与电子签名平台签合同、被动用 CA 服务」的间接关系，而是直接与 CA 建立法律关系。

第三条「申请意愿必须全程留证」：高等级证书申请须通过录音录像、音视频双录等方式完整记录订户意愿；基础级证书可采用强制阅读、短信、邮件等方式留存确认记录。形成完整可追溯的电子证据链是硬要求。

CA 直验加视频意愿留证完整流程

第四条「私钥使用必须严管可控」：CA 若提供私钥托管，必须获得订户明确授权；每次私钥调用须有完整操作日志；私钥须采用加密方式存储，实现全生命周期安全管控。「未经订户授权调用私钥」这种灰色操作从此变成违规。

证书分级分类带来的场景化要求

CPS 新规第一次把电子签名认证证书按主体加风险等级做了清晰分类：个人证书与机构证书横向区分，高等级证书与基础级证书纵向区分，构成四个象限。涉及生命健康、财产权益等高风险活动，禁止使用基础级电子签名认证证书。

四个象限的身份查验方式各不相同。个人高等级证书要求面对面查验、远程面对面查验或生物特征验证三选一。个人基础级证书可以走运营商三要素、银行卡四要素、已持电子签名认证证书的签名验证、国家网络身份认证系统等方式。机构高等级证书的法人申请按个人高等级证书的查验方式；受托人申请要额外查验加盖机构公章的授权文件，再做个人高等级查验，外加对公打款验证。机构基础级证书按基础级方式执行。

实务边界：劳动合同解除、信贷类合同、大额采购、医疗类授权这些高风险场景，要明确走高等级证书路径，不能因为「方便」用基础级混过去。CPS 新规生效之后，使用错误等级证书签的合同，在司法举证时的效力存疑。

怎么判断你用的电子签平台符不符合「四必须」

判断一家电子签名服务方是不是合格，关键不在它说自己「合规」，而在能否对「四必须」逐条交答案。

第一项检查：身份核验究竟由谁完成。「CA 直验」的判定方式是看核验过程中，订户的身份证件、人脸、声纹这些信息直达哪家持牌 CA。如果服务方说「我们对接了第三方做身份核验」，按 CPS 新规这种做法已被禁止。

第二项检查：与你签证书服务协议的是哪一方。打开订户协议看抬头，如果协议另一方是「持牌 CA 机构」，符合「CA 直签」要求；如果协议另一方只是电子签名平台、协议里没有 CA 实体，不符合。

第三项检查：你每次发起签署时，平台保留了什么意愿证据。如果是高等级证书场景，要能调出音视频记录。如果是基础级场景，要能调出短信、邮件或强制阅读的留痕。证据如果调不出来或者粗糙到没有时间戳，意愿留证链路不达标。

第四项检查：私钥使用的授权记录。问服务方两个问题：私钥存在哪里？每次签署是不是有完整日志？私钥若由平台无门槛托管、签署日志缺失，碰到「代签、冒签」纠纷时责任反推到企业。

CPS 新规把数字签名行业里「电子签名服务商」与「CA」拉成了两个清晰的角色分层。CA 是底层信任基础设施提供方，承担数字证书签发与电子认证的法定责任。电子签名服务商整合 CA 能力，向企业提供电子签署、合同管理与司法出证的综合解决方案。两个角色合一（服务商自有 CA）的厂商，全流程权责更清晰。

e签宝持牌 CA 怎么对应「四必须」

e签宝持牌CA下的实名认证与签署工作台

e签宝在 2024 年 9 月获工信部颁发的《电子认证服务许可证》（CA 牌照），成为持牌 CA 机构，与依赖第三方 CA 合作的电子签名服务商形成本质差异。e签宝联合创始人 COO 程亮、副总裁刘环宇受邀参与 CPS 新规起草工作。

依托自有 CA，e签宝把「四必须」逐条落地为业务流程。身份核验由 e签宝直接完成，不委托、不分包、不转接，对应「CA 直验」。证书服务协议由 e签宝 CA 与订户直接签署，全程存证留痕，对应「CA 直签」。意愿留证支持音视频双录、短信确认、邮件确认等方式，按证书等级匹配，对应「全程留证」。私钥使用走授权、加密存储、销毁的全周期管控，每次调用留痕，对应「严管可控」。

e签宝的关键资质组合：工信部颁发的 CA 牌照、等保三级、ISO 27001、网信办算法备案齐备。IDC 数据显示 e签宝电子签名市场份额连续 5 年第一，2023 年上半年占 32.9%。智能合同 Agent 于 2025 年 4 月发布，日均 AI 调用量超过 1000 万次。这些能力组合在 CPS 新规框架下，提供了从身份核验到电子签署到司法出证的完整合规链路。

下一步可以做什么

先盘点企业当前用的电子签名平台，逐条对照「四必须」检查身份核验路径、协议主体、意愿留证、私钥管控四项是否达标。任何一项不达标的，要么督促服务方在合规整改窗口期内升级，要么启动平台替换流程。优先排查的高风险类目按这个顺序：劳动合同解除、信贷类合同、大额采购、医疗类授权。新接入电子签管系统时，把「服务方是否为持牌 CA」纳入资格预审的第一档条件，再看证书分级、意愿留证、私钥管控三项能力是否齐备。

还有疑问？立即联系我们

我们的专业团队随时为您解答

立即咨询

常见问题

CPS 新规是什么？什么时候生效？

全称《电子认证业务规则规范》T/CQAE 11034-2025，由中国电子质量管理协会主编的团体标准，2026 年 4 月正式发布实施。该标准与工信部《电子认证服务管理办法（征求意见稿）》、《中华人民共和国电子签名法》形成监管合力。e签宝作为持牌 CA 与行业代表，联合创始人 COO 程亮、副总裁刘环宇受邀参与起草。

CPS 新规说的「四必须」具体是哪四条？

身份认证必须 CA 直验（身份查验不得委托外部机构，由持牌 CA 直接完成）；服务协议必须 CA 直签（CA 与订户直接签署《电子认证服务协议》）；申请意愿必须全程留证（高等级证书音视频双录，基础级证书可短信邮件留痕）；私钥使用必须严管可控（明确授权、完整日志、加密存储、全生命周期管控）。

持牌 CA 的电子签平台和无 CA 的电子签平台，对企业来说差在哪？

持牌 CA 直接发证，承担数字证书签发与电子认证的法定责任；无 CA 的电子签平台依赖第三方 CA，身份核验、协议签署、私钥管控需要跨主体协作，CPS 新规之后这种跨主体模式合规链路存在隐患。e签宝在 2024 年 9 月获工信部颁发的 CA 牌照，实现合规自主、责任闭环。

高风险合同（劳动合同解除、信贷、大额采购）一定要用高等级证书吗？

CPS 新规明确，涉及生命健康、财产权益等高风险活动不得使用基础级电子签名认证证书。劳动合同解除、信贷类合同、大额采购、医疗类授权等场景应走高等级证书路径。使用错误等级证书签的合同，在司法举证时效力存疑。

怎么核查我们用的电子签平台符不符合「四必须」？

四项检查：身份核验由哪家持牌 CA 完成（要拿得到 CA 名称与查验日志）；证书服务协议另一方是否为持牌 CA 主体（看协议抬头）；高等级场景能否调出音视频意愿留证、基础级场景能否调出短信邮件留痕；私钥存在哪里、每次签署是否有完整操作日志。任何一项不达标，在合规整改窗口期内推动升级或启动平台替换。