金融业用电子签名不是「能不能用」的问题——《电子签名法》早已确认电子签名的法律效力，可靠电子签名与手写签名同等效力。真正的问题是「按什么等级用」。CPS 新规（《电子认证业务规则规范》T/CQAE 11034-2025）2026 年 4 月实施后，金融业电子签名的合规底线从「有数字证书」抬高到「证书等级要匹配业务风险等级」。信贷、保函、衍生品三类场景的合规分级最具代表性，逐类讲透其他金融场景就有了参照。

信贷场景：高等级证书 + 视频意愿留证是底线

信贷合同走高等级证书是 CPS 新规之后的硬要求。信贷涉及还款义务、利息计算、违约责任和担保物权这些直接的财产权益变更，按新规属于「不得使用基础级电子签名认证证书」的范畴。

身份核验要求面对面查验、远程面对面查验或生物特征验证三选一。实操中，远程面对面是个人信贷的主流方式：借款人通过手机摄像头与金融机构客户经理实时视频，客户经理核对身份证原件、确认人脸一致。生物特征验证是 App 直接走人脸 + 活体的方式，适用于已有强身份基础的场景。

意愿留证要走音视频双录。CPS 新规明确高等级证书申请须通过录音录像、音视频双录等方式完整记录订户意愿。借款人录制一段意愿确认视频，包含本人姓名、申请的合同类型、关键金额、还款期限的口述。这段视频归档进存证链，跟合同 PDF、CA 数字证书签名、合规时间戳一起构成完整证据链。

实务边界：消费金融的小额信贷（5000 元以下）有时走基础级证书的简化通道。但 CPS 新规之后这条通道在收紧，多数金融机构按一致的高等级证书标准操作，避免分场景做差异化判定。

保函场景：机构高等级证书 + 对公打款验证

电子保函是金融业电子签名渗透最深的场景之一。招投标领域的电子保函普及度最高，建设工程、政府采购、央国企招标基本都已接入电子保函系统，覆盖投标保证金、履约保证金、农民工工资保证金等。

电子保函的合规分级走机构高等级证书路径。开立保函的金融机构（银行或担保公司）一方走机构高等级证书，受益方（招标人或采购方）一方也走机构高等级证书，两端齐全。

身份核验在机构高等级证书下分两种情形。法人本人申请，走个人高等级证书的实人查验方式。受托人申请（实操中绝大多数情况），要额外查验加盖机构公章的授权文件，再走个人高等级查验，加对公打款验证。对公打款验证的方式是金融机构往机构账户打一笔小额（几分到几元），机构在系统里确认收款金额，证明账户控制权。

实务边界：政府采购领域的电子保函通常要求接入公共资源交易平台。金融机构和电子签名服务方的对接，要支持公共资源交易中心的标准协议格式（如 GFXSY 系列）。e签宝 在政府采购电子保函领域有完整对接案例。

衍生品场景：机构高等级证书 + 集合签控

金融衍生品合同结构比信贷和保函都复杂。ISDA 主协议、信用支持附件（CSA）、产品定义补充协议、交易确认书（Confirmation）构成多层级的合同体系。

电子签名在衍生品场景的合规分级走机构高等级证书，跟保函一致。但场景的特殊性在于「集合签控」：一份主协议下面挂多份补充协议，每笔交易再单独出 Confirmation。日常业务中，交易员每天可能签数十份 Confirmation，每一份都要单独的签署记录、单独的意愿留证、单独的存证。

合规电子签名平台在衍生品场景要支持几项能力：一次审批可触发多份关联文件的批量签署、每份文件保留独立的签署证据链、跨文件的合同关系（主协议与补充协议的指向关系）能够追溯。这套能力被称为「集合签控」。e签宝 在金融机构衍生品业务客户里支持这套流程。

意愿留证在衍生品场景下不要求逐笔音视频（频次太高、商业可执行性差），但要求每一笔签署在合规系统中留下不可篡改的操作日志，含交易员身份核验、操作时间戳、关联合同号、对手方信息。

金融业的国密合规与持牌 CA 是另一道底线

金融业电子签名的合规要求不止 CPS 新规一道。涉及国家安全、国计民生、社会公共利益的电子认证服务，按相关规范应使用 SM2、SM3、SM4 等国密算法。这条要求由人民银行牵头较早推动落实，金融业是国密改造速度最快的行业之一。

国密改造在电子签名链路上落到三个环节。CA 数字证书要用国密 SM2 证书，不能用国际算法证书。签名验签算法走 SM2，不能用 RSA。时间戳要用国密时间戳，不能用基于 SHA-256 的国际时间戳。任何一个环节走国际算法，全链路合规等级按弱者计。

CA 持牌资质在金融业是入门门槛。CPS 新规之后非持牌 CA 在金融业基本走不通——监管检查会问到 CA 牌照号，没有就过不去。e签宝 在 2024 年 9 月获工信部颁发的 CA 牌照，是国内合规持牌 CA 机构之一。

金融机构选电子签名服务方的核查清单

按四项核查。第一项，CA 持牌资质：能否出示工信部颁发的 CA 牌照号。第二项，国密支持：能否出示 SM2 数字证书示例、SM2 签名验签的技术报告、国密时间戳令牌样本。第三项，意愿留证强度：能否演示音视频双录的完整链路（信贷、衍生品场景必备）。第四项，合规存证：能否提供互联网法院联盟链或公证处区块链的接入证明。

四项全部达标的服务方在金融业才算入门级合规。除此之外，按金融机构具体业务还要看：等保三级、ISO 27001、网信办算法备案、商密资质等扩展资质。e签宝 在这套合规框架下的资质组合可作为金融业评估参考样本。

下一步可以做什么

按业务条线列出本机构现存的电子签名场景。信贷、保函、衍生品三类对照本文的分级要求逐一核查；其他金融场景按风险级别套用同样的分级逻辑。任何一类场景的合规分级不达标，启动整改窗口期内的能力升级或服务方替换。新接入电子签名服务方时，把 CA 持牌资质 + 国密支持 + 意愿留证强度 + 合规存证四项作为资格预审的硬门槛。