私钥泄露后，数字证书被人冒用了——谁来承担法律责任？

引子

今年3月，某派出所辅警王某在深夜值勤时，利用职务便利偷偷登录了副所长的公安网系统。他用的是副所长的数字证书——在系统中，这张证书代表着副所长本人的身份和权限。王某通过聊天软件联系买家，按对方要求查询并提供了大量公民个人信息。

短短45天，王某和陈某两名辅警通过盗用的数字证书，牟利超过11.7万元。

2025年11月17日，路南区人民法院作出一审判决：王某犯侵犯公民个人信息罪，判处有期徒刑二年八个月，并处罚金人民币8万元；陈某犯侵犯公民个人信息罪，判处有期徒刑一年十个月，并处罚金人民币5万元。违法所得全部予以没收，上缴国库。

这是一起典型的数字证书被冒用案。不同的是，被冒用的不是普通人的私人数字证书，而是执法机关的数字证书；冒用者是身边的同事；造成的是公民个人信息泄露而非经济损失。

这个案件揭示了一个很多人忽视的问题：数字证书一旦被冒用，不仅冒用者要承担责任，被冒用人、CA机构乃至用人单位，都可能在不同程度上面临法律后果。但问题在于，当数字证书真的被冒用了，责任链条从谁开始，又由谁结束？

本文从法律依据和司法实践两个维度，系统梳理数字证书被冒用后，各方主体的法律责任及认定规则。

一、数字证书是什么？为什么它会被冒用？

在讨论责任之前，先弄清楚一个问题：数字证书到底是什么？

《中华人民共和国电子签名法》第三十四条第三款给出了法律定义：电子签名认证证书，是指可证实电子签名人与电子签名制作数据有联系的数据电文或者其他电子记录。

翻译成白话：数字证书就是网络世界里的身份凭证，由具有法定资质的CA机构签发。CA机构的英文全称是Certificate Authority，中文称为电子认证服务机构，是经国家许可专门负责在网络世界中验证和确认用户身份的权威机构。证书中包含使用者的身份信息、公钥、证书有效期等内容。

数字证书的核心技术是非对称加密。系统会生成一对数学上相关联的钥匙——公钥和私钥。公钥可以对外公开，私钥则由持有者独自保管，绝不对外透露。当用户签署电子合同时，系统用私钥对合同内容进行加密签名，接收方则用对应的公钥验证签名是否真实。

私钥一旦泄露，任何人只要拿到了私钥，都可以冒充证书持有者的身份签署文件、确认交易。这就是数字证书冒用的技术根源。

二、法律责任的核心依据：《电子签名法》第三十二条

关于数字证书被冒用的法律责任，《中华人民共和国电子签名法》第三十二条作出了直接规定：伪造、冒用、盗用他人的电子签名，构成犯罪的，依法追究刑事责任；给他人造成损失的，依法承担民事责任。

本条的核心在于区分了两种法律责任：刑事和民事。

该条的立法释义进一步指出，伪造他人的电子签名，是指未经电子签名合法持有人的授权而创制电子签名或者创制一个认证证书列明但实际并不存在的用户的签名等行为；冒用他人的电子签名，是指非电子签名持有人未经电子签名人的授权以电子签名人的名义实施电子签名的行为；盗用他人的电子签名，是指秘密窃取并使用他人电子签名的行为。

这三个动词——伪造、冒用、盗用——涵盖了实践中数字证书被冒用的主要情形。王某和陈某盗用副所长数字证书的行为，就属于典型的“盗用”。

在刑法层面，行为人伪造、冒用、盗用他人电子签名，构成相关犯罪的，依照《刑法》第二百八十条的规定追究刑事责任。该条规定，伪造、变造国家机关公文、证件、印章的，处三年以下有期徒刑、拘役、管制或者剥夺政治权利；情节严重的，处三年以上十年以下有期徒刑。伪造公司、企业、事业单位、人民团体印章的，处三年以下有期徒刑、拘役、管制或者剥夺政治权利。

王某案正是这一法律适用的典型。二人的行为不仅构成盗用数字签名，还触犯了侵犯公民个人信息罪，最终被追究刑事责任。法院在判决中认定，二人为牟取非法利益，违反国家规定，向他人出售公民个人信息，情节严重，已构成侵犯公民个人信息罪。该案中，盗用数字证书只是手段，出售个人信息才是目的行为，最终按后果更严重的罪名定罪量刑。

同时，《电子签名法》还对电子签名人自身设定了保管义务。第十五条规定：电子签名人应当妥善保管电子签名制作数据。电子签名人知悉电子签名制作数据已经失密或者可能已经失密时，应当及时告知有关各方，并终止使用该电子签名制作数据。这一条建立了一个重要原则：证书持有者不能对自己的私钥保管不管不顾，一旦发现异常，有义务及时通知相关方，否则也要分担责任。

三、谁该负责？五类主体的法律责任

在数字证书被冒用的场景中，责任链条通常涉及五类主体。一个重要的法律前提是，对电子签名的举证并非法律规定的举证责任倒置情形，主张冒用的一方负有初步证明责任，反驳的一方需要提供相反证据。实践中，被冒用者最先面临的往往是“如何证明不是我签的”这一举证挑战。以下分类梳理各方主体在冒用事件中的具体责任。

第一类责任主体：冒用者。

这是最直接、最没有争议的责任主体。无论是王某、陈某那样盗用执法机构数字证书的，还是黑客远程窃取私钥后冒名签署合同的，冒用者首先是侵权行为的直接实施者。

刑事责任方面，如前所述，冒用行为可能构成侵犯公民个人信息罪、诈骗罪、金融诈骗罪等，根据具体犯罪行为而定。民事方面，冒用者对被冒用人和遭受损失的善意相对人承担侵权赔偿责任，赔偿方式包括赔偿损失、返还财产等。根据《电子签名法》第三十二条释义，冒用者承担的民事责任主要是侵权的民事责任，方式包括停止侵害、排除妨碍、返还财产、恢复原状、赔偿损失、赔礼道歉等，可以单独适用，也可以合并适用。王某、陈某案中，法院判决没收违法所得并处以罚金，正是民刑双重追责的直接体现。此外，冒用行为还可能构成行政处罚，例如《电子签名法》第二十九条规定，未经许可提供电子认证服务的，由国务院信息产业主管部门责令停止违法行为；有违法所得的，没收违法所得。

第二类责任主体：被冒用的证书持有者。

证书持有者在冒用事件中是最特殊的一类主体。在大多数情况下，被冒用人是“受害者”，不应当承担责任。但如果证书持有者没有妥善保管私钥、发现泄露后没有及时通知相关方、或者主动将私钥交给他人使用，则可能需要分担部分责任。

《电子签名法》第十五条对此作出了明确规定：电子签名人应当妥善保管电子签名制作数据。电子签名人知悉电子签名制作数据已经失密或者可能已经失密时，应当及时告知有关各方，并终止使用该电子签名制作数据。

这意味着，私钥的保管责任最终落在持有者自己身上。如果你的数字证书因为自己保管不善而被冒用，法院很可能会判决你需要承担部分责任——因为你没有履行法定的注意义务。

在举证层面，这一责任的分配逻辑更为清晰。被冒用人主张“证书不是本人操作的”，这个主张本身属于积极抗辩，在法律上并不当然免除其证明责任。司法实践中，法院通常要求被冒用方提供初步证据证明冒用事实的存在，如公安机关的报案回执、系统登录异常记录等，之后举证责任才会转移至合同相对方。而合同相对方则需依据《电子签名法》第十三条规定的四项条件，结合实名认证记录、操作日志、数字证书验证报告等证据，证明签名的可靠性。如果冒用事实最终难以被证实，被冒用人可能反而需要承担合同的履行责任。

第三类责任主体：CA机构。

CA机构在冒用事件中的责任问题较为复杂。《电子签名法》第二十八条规定：电子签名人或者电子签名依赖方因依据电子认证服务提供者提供的电子签名认证服务从事民事活动遭受损失，电子认证服务提供者不能证明自己无过错的，承担赔偿责任。

这条规定确立了一个举证责任规则——CA机构承担的是过错推定责任。也就是说，如果用户遭受了损失，CA机构需要自己证明自己没有过错，否则就要承担赔偿责任。

那么，什么情况下CA机构会被认定有过错？北京市第二中级人民法院在审理全国首例数字证书用户起诉CA机构侵权案时，对这一问题作出了司法回应。

该案中，原告董某认为自己从未向中金金融认证中心有限公司（即CFCA）申请过数字证书，主张CFCA未履行身份审核义务便制作其数字证书，且未将数字证书直接传输给她，存在过错并侵犯了其民事权益。

法院查明，2018年10月11日，科技公司受理了董某的数字证书在线申请请求，并在当天向其手机号发送了短信验证码进行告知，董某回填短信验证码后才验证通过。在庭审中，董某确认她是该手机号的机主，但对是否收到并回填验证码表示“记不清楚”。

北京市二中院认为，CA机构只需承担根据申请签发证书并确保内容真实性的义务，在本案中已经完成了举证，证明其履行了法定的审核义务。法院最终认定CFCA没有过错，驳回了董某的全部诉讼请求。该案是首例数字证书用户起诉CA机构获得终审判决的案件，确认了在此类纠纷中，应由用户承担举证责任的一般原则。

需要指出的是，该案发生在数据安全法、个人信息保护法等后续法律出台之前。随着2021年《个人信息保护法》、2021年《数据安全法》的实施，以及《密码法》第二十七条对关键信息基础设施使用密码技术提出的更高要求，CA机构在个人信息保护和数据安全管理方面面临着更严格的法律标准。如果有新的事实表明CA机构在流程中存在此类违规，其责任的认定将有更充分的法律依据。

反面案例同样存在。工业和信息化部信息技术发展司于2023年出具的《司局简函》（工信发函〔2023〕485号）认定，电子认证服务机构中金金融认证中心有限公司为北京玖富普惠信息技术有限公司签发的数字证书，在证书申请受理、事前告知、合同订立、私钥保管等全环节均存在违法违规行为，直接违反了《电子签名法》和《电子认证服务管理办法》。工信部已责令该CA机构于2023年10月25日前完成集中整改，并要求公开所有涉事证书详情及整改情况。该函件从根本上否定了相关电子签名（数字证书）的合法性与可靠性，证明在流程严重违规的情况下，CA机构也难逃其责。

第四类责任主体：用人单位。

数字证书的冒用不仅发生在个人之间，也广泛出现在工作场景中。王某、陈某盗用副所长数字证书的案例生动说明，当数字证书由单位统一配发、多个人员可以使用同一证书时，证书的保管和管理责任问题就暴露出来了。

在此类情形下，用人单位如果存在管理疏漏（如未建立证书领用登记制度、多人共用证书、未对离职人员进行权限清理等），可能需要承担内部管理责任，甚至在某些情况下需要分担对外赔偿责任。

例如，保定市满城区人民检察院在一起涉及数字证书泄露的案件中，向相关单位发出检察建议，督促其通过建立《数字证书领用登记台账》、收紧系统访问权限、完善从业人员岗位职责清单、组织全员开展保密警示教育等措施进行整改。

第五类责任主体：合同相对方或依赖方。

如果数字证书被冒用，被冒用的“名义签署人”对这份合同是否需要承担责任？原则上，被冒用人不对冒用行为签署的合同承担责任。但实践中问题的难点在于，合同的相对方——例如贷款公司、租赁公司——往往是善意且信赖电子证书效力的。此时如何分配损失？

法律原则上的解决方案是：如果CA机构的证书流程合规、电子签名表面合法有效，且对方已尽到合理注意义务，那么善意信赖方的利益应当受到保护，损失最终由冒用者或被冒用人中失职的一方承担。但如果能够证明CA机构在证书签发环节存在重大过错（如未完成实名认证就发放证书），CA机构也可能需要依据《电子签名法》第二十八条承担赔偿责任。但实务中举证路径存在一定难度，需要结合签署流程中的具体技术证据逐一论证。

四、发现数字证书被冒用后应该怎么做

如果发现自己的数字证书被冒用，可以参考以下步骤：

第一步，立即通知CA机构申请吊销证书。根据《电子签名法》第十五条，电子签名人知悉电子签名制作数据已经失密或者可能已经失密时，应当及时告知有关各方，并终止使用该电子签名制作数据。这是法定的义务。

第二步，保存证据。包括系统登录日志、数字证书操作记录、异常登录提示等。这些是后续追责的重要凭证。

第三步，报警。如果涉及刑事案件，应当及时向公安机关报案。以王某案为例，王某和陈某冒用数字证书的行为最终被追究刑事责任——两人的全部违法所得被没收，并分别被判处两年和一年多的有期徒刑。

第四步，收集证明非本人操作的证据。既然被冒用人需要承担举证责任，就要尽早收集能够证明“不是本人操作”的证据，包括账号异常活动的记录、证书操作日志、后台数据轨迹等。可以请公证机关对相关电子数据进行保全公证，或在必要时申请司法鉴定，以证明操作主体的唯一性和不可替代性。

第五步，通知各方停止使用该数字证书。及时通知与你有业务往来的银行、贷款公司、商业伙伴等，告知证书已失密，避免产生新的损失。

结语

数字证书的技术逻辑用一句话概括：谁的私钥，谁担责任。法律在这里给出了清晰的回答——冒用他人数字签名，构成犯罪的依法追究刑事责任，给他人造成损失的依法承担民事责任。CA机构不能自证无过错的，承担赔偿责任。证书持有者没有妥善保管私钥的，依法承担相应的责任。用人单位管理不善的，追责环节中也难辞其咎。

派出所辅警盗用副所长数字证书的案子，在2025年底画上了句号。11.7万元的违法所得全部被没收，两个人进了监狱。但这件事留下的教训是制度性的——数字证书代表着身份和权限，在技术上它是一串加密的字符，在法律上它是一份沉甸甸的责任。谁拿着它，谁就必须对它负责；谁乱用它，法律就一定追究到底。