eIDAS 2 Ví Danh Tính Kỹ Thuật Số: Hướng Dẫn 2026

Sự có hiệu lực của quy định eIDAS 2 đánh dấu một bước ngoặt lịch sử trong quản lý danh tính kỹ thuật số ở châu Âu. Với EUDI Wallet — European Digital Identity Wallet — mỗi công dân và mỗi doanh nghiệp sẽ sớm có một ví kỹ thuật số có chủ quyền, có tính tương tác và được công nhận trong 27 quốc gia thành viên. Đối với các bộ phận pháp lý, nhân sự, tuân thủ và CNTT, dự án quy định này mở ra nhiều cơ hội cũng như những thách thức vận hành. Bài viết này giải mã cách hoạt động kỹ thuật và pháp lý của EUDI Wallet, tác động thực tế của nó đối với các doanh nghiệp và cách nó kết hợp với các giải pháp chữ ký điện tử đủ điều kiện đã được triển khai.

eIDAS 2 và EUDI Wallet là gì?

Từ quy định eIDAS 1.0 đến quy định eIDAS 2.0: một sự phát triển cơ bản

Được thông qua vào năm 2014, quy định eIDAS n°910/2014 đã đặt nền tảng cho sự tin tưởng kỹ thuật số ở châu Âu: chữ ký điện tử đủ điều kiện, dấu, dấu thời gian và dịch vụ xác thực. Nhưng một thập kỷ sau, những hạn chế của nó đã xuất hiện: tính tương tác không đủ giữa các quốc gia thành viên, áp dụng không đều các danh tính kỹ thuật số quốc gia, không có ví thống nhất. Quy định (EU) 2024/1183, được gọi là eIDAS 2, được thông qua chính thức vào ngày 11 tháng 4 năm 2024 trên Tờ rơi chính thức của EU, khắc phục những thiếu hụt này bằng cách áp đặt một khuôn khổ chung về danh tính kỹ thuật số có chủ quyền.

Để tìm hiểu thêm toàn bộ khuôn khổ quy định mới, vui lòng tham khảo hướng dẫn hoàn chỉnh về quy định eIDAS 2.0.

EUDI Wallet: kiến trúc và các nguyên tắc sáng lập

EUDI Wallet (European Digital Identity Wallet) là một ứng dụng di động và/hoặc phần mềm mà mỗi quốc gia thành viên phải cung cấp cho công dân và cư dân của mình không muộn hơn năm 2026, phù hợp với điều 5a của quy định đã sửa đổi. Cụ thể, ví kỹ thuật số này cho phép:

• Lưu trữ và trình bày các thuộc tính danh tính được xác minh: giấy tờ tùy thân, bằng lái xe, bằng cấp, chứng chỉ chuyên nghiệp, mã số thuế giá trị gia tăng trong cộng đồng đối với các pháp nhân.
• Xác thực người dùng với các dịch vụ công và tư nhân ở các mức bảo đảm cao (LoA High theo phụ lục I của quy định).
• Ký điện tử các tài liệu ở mức độ đủ điều kiện, dựa vào các Thiết bị Tạo Chữ ký Điện tử Đủ Điều kiện (QSCD) được chứng nhận.
• Chia sẻ lựa chọn dữ liệu (nguyên tắc selective disclosure) mà không tiết lộ nhiều thông tin hơn mức cần thiết — một đóng góp lớn cho sự tuân thủ RGPD.

Kiến trúc dựa trên các thông số kỹ thuật được Ủy ban châu Âu xuất bản thông qua Architecture and Reference Framework (ARF), được duy trì bởi liên minh EUDIW (European Digital Identity Wallet). Các định dạng trình bày được áp dụng bao gồm đặc biệt ISO/IEC 18013-5 (mDL — mobile Driver's Licence) và SD-JWT VC (Selective Disclosure JSON Web Token Verifiable Credentials), hai tiêu chuẩn mở đảm bảo khả năng di động.

Ai được liên quan? Các bên dựa vào (Relying Parties)

Quy định eIDAS 2 giới thiệu khái niệm Relying Party (bên sử dụng). Bất kỳ tổ chức nào — doanh nghiệp tư nhân, cơ quan quản lý, nền tảng trực tuyến — chấp nhận các thuộc tính danh tính từ EUDI Wallet phải đăng ký với quốc gia thành viên của mình và tuân thủ một bộ các yêu cầu kỹ thuật và bảo mật. Điều 5b của quy định quy định rõ ràng rằng các nền tảng lớn (theo nghĩa của DSA) và các lĩnh vực nhất định (ngân hàng, y tế, năng lượng) sẽ bắt buộc phải chấp nhận EUDI Wallet kể từ khi triển khai sản xuất quốc gia.

Cách hoạt động kỹ thuật của EUDI Wallet cho các doanh nghiệp

Luồng xác thực và ký từng bước

Hiểu luồng kỹ thuật là điều không thể thiếu để dự đoán sự tích hợp trong các hệ thống thông tin. Một kịch bản điển hình về ký hợp đồng thông qua EUDI Wallet diễn ra như sau:

1. Khởi tạo: Relying Party (ví dụ: nền tảng SaaS của bạn) tạo một yêu cầu trình bày phù hợp với giao thức OpenID4VP (OpenID for Verifiable Presentations).
2. Thông báo: người dùng nhận được thông báo trên thiết bị di động EUDI Wallet của mình.
3. Sự đồng ý và lựa chọn: người dùng chọn các thuộc tính để chia sẻ (tên, họ, ngày sinh) thông qua giao diện selective disclosure.
4. Trình bày có thể xác minh: ví tạo một bằng chứng mật mã được ký bởi Trusted Issuer (quốc gia thành viên hoặc một nhà cung cấp dịch vụ được phép).
5. Xác minh: Relying Party xác minh bằng chứng thông qua sổ đăng ký tin tưởng châu Âu (Trust Framework), mà không lưu trữ dữ liệu dư thừa.
6. Chữ ký đủ điều kiện: nếu cần một hành động ký, QSCD được nhúng trong ví hoặc được lưu trữ trong đám mây (QSign) tạo ra một chữ ký đủ điều kiện phù hợp với ETSI EN 319 132.

Luồng này đảm bảo mức độ bảo đảm LoA High, mức cao nhất được quy định trong quy định, tương đương với xác minh trực tiếp.

Tích hợp với các nền tảng chữ ký điện tử hiện có

Các nhà sản xuất giải pháp chữ ký điện tử phải tích hợp các giao thức OpenID4VCI (phát hành) và OpenID4VP (trình bày) để kết nối với hệ sinh thái EUDI. Đối với các doanh nghiệp đã sử dụng nền tảng tuân thủ eIDAS 1.0, quá trình chuyển sang eIDAS 2 liên quan đến nâng cấp kỹ thuật, nhưng bảo vệ giá trị pháp lý của các chữ ký đã được thực hiện. Do đó, bạn nên đánh giá chiến lược phát triển của nhà cung cấp hiện tại, đặc biệt nếu bạn đang xem xét di chuyển từ DocuSign hoặc YouSign sang giải pháp tương thích hơn.

Danh tính kỹ thuật số của pháp nhân: vấn đề doanh nghiệp

EIDAS 2 không giới hạn ở các cá nhân. Điều 5a §3 quy định rõ ràng ví cho pháp nhân, cho phép các doanh nghiệp:

• Chứng minh sự tồn tại pháp lý của họ (tương đương với một bản trích Kbis kỹ thuật số có thể xác minh).
• Ủy quyền cho các cộng sự của họ ký theo cách được kiểm tra và có thể thu hồi.
• Tự động hóa xác minh KYB (Know Your Business) trong các quy trình hợp đồng B2B.

Chiều hướng này đặc biệt thay đổi cuộc chơi cho các quy trình chữ ký điện tử trong doanh nghiệp, đặc biệt là trong các lĩnh vực nhân sự, pháp lý và tài chính.

Lịch trình triển khai và các nghĩa vụ quy định 2024-2026

Các giai đoạn triển khai theo quy định

Quy định (EU) 2024/1183 xác định một lịch trình ràng buộc:

• Tháng 4 năm 2024: xuất bản trên Tờ rơi chính thức của EU, có hiệu lực 20 ngày sau.
• Cuối năm 2024: xuất bản các Phán quyết thực hiện (Implementing Acts) xác định các thông số kỹ thuật bắt buộc.
• 2025: triển khai ví thí điểm quốc gia (các dự án quy mô lớn: EU Digital Identity Wallet Large Scale Pilots, được tài chính với 46 triệu euro bởi Ủy ban).
• Cuối năm 2026: cung cấp bắt buộc bởi tất cả các quốc gia thành viên của ít nhất một EUDI Wallet hoạt động. Các nền tảng lớn và các lĩnh vực được quy định phải chấp nhận nó.

Đối với các doanh nghiệp Pháp, việc triển khai dựa vào danh tính kỹ thuật số La Poste và công việc của ANSSI liên quan đến chứng nhận các Trusted Issuers quốc gia.

Các nghĩa vụ đối với Relying Parties

Các doanh nghiệp muốn hoặc phải chấp nhận EUDI Wallet phải tuân thủ một số nghĩa vụ:

1. Đăng ký với cơ quan có thẩm quyền quốc gia (ở Pháp, ANSSI và CNIL tùy trường hợp).
2. Sự tuân thủ kỹ thuật với các thông số kỹ thuật ARF v2.x được xuất bản trên GitHub bởi Ủy ban châu Âu.
3. Tính minh bạch: xuất bản trong sổ đăng ký công khai các thuộc tính được yêu cầu và mục đích xử lý.
4. Tối thiểu hóa dữ liệu: chỉ yêu cầu các thuộc tính hoàn toàn cần thiết — nghĩa vụ tăng cường bởi RGPD.
5. Ghi nhật ký: giữ các bản ghi nhật ký của các trình bày có thể xác minh để kiểm toán, mà không lưu trữ dữ liệu danh tính thô.

Các doanh nghiệp tích hợp EUDI Wallet trong các luồng chữ ký điện tử cho các văn phòng luật sư hoặc cho quản lý nhân sự sẽ có lợi thế cạnh tranh đáng kể kể từ năm 2026.

Các vấn đề chiến lược và cơ hội cho các doanh nghiệp

Giảm ma sát trong các quy trình KYC/KYB

Một trong những lợi ích tức thì nhất của EUDI Wallet là loại bỏ xác minh danh tính thủ công. Hôm nay, onboarding khách hàng hoặc đối tác mới liên quan đến gửi giấy chứng thực, xác minh của con người và thời gian xử lý. Với EUDI Wallet, xác minh trở nên tức thì, được chứng nhận về mật mã và được kiểm toán. Các lĩnh vực ngân hàng, bất động sản và bảo hiểm — chịu các nghĩa vụ LCB-FT — thấy đây là một cơ hội lớn để tuân thủ tự động hóa. Lĩnh vực chữ ký điện tử trong bất động sản bị ảnh hưởng đặc biệt, với các quy trình xác minh danh tính hiện đại lên tới 40% thời gian hành chính.

Chủ quyền kỹ thuật số và giảm sự phụ thuộc vào GAFAM

EUDI Wallet đáp ứng một tham vọng chính trị mạnh mẽ: giảm sự phụ thuộc của người châu Âu vào các hệ thống danh tính do các tác nhân không phải là châu Âu điều hành (Google, Apple, Meta). Đối với các doanh nghiệp, điều này được dịch thành cơ sở hạ tầng xác thực có tính tương tác, mở và không bị giam giữ, dựa trên các tiêu chuẩn ISO và W3C chứ không phải SDK độc quyền. Chủ quyền này cũng là một lập luận thương mại về sự khác biệt trong các cuộc đấu thầu công khai, ngày càng nhạy cảm với các điều khoản định địa phương dữ liệu.

Tác động lên chữ ký điện tử đủ điều kiện và các QTSP

Các Nhà cung cấp Dịch vụ Tin tưởng Đủ Điều kiện (QTSP — Qualified Trust Service Providers) thấy vai trò của họ phát triển. Với EUDI Wallet, QSCD có thể được lưu trữ trực tiếp trong ví hoặc được ủy thác cho một QTSP đám mây (Remote Qualified Signature). Đối với các doanh nghiệp, điều này có nghĩa là chữ ký đủ điều kiện — cho đến nay bị giới hạn ở những trường hợp phê bình nhất vì độ phức tạp — trở nên dễ tiếp cận và có thể mở rộng. Sự so sánh các giải pháp chữ ký điện tử của chúng tôi hiện bao gồm tiêu chí tương thích EUDI Wallet này trong phân tích của nó.

Khuôn khổ pháp lý áp dụng cho EUDI Wallet và các doanh nghiệp

Quy định eIDAS 2: (EU) 2024/1183

Văn bản sáng lập là quy định (EU) 2024/1183 của Nghị viện châu Âu và Hội đồng Liên minh Châu Âu ngày 11 tháng 4 năm 2024, sửa đổi quy định eIDAS n°910/2014. Nó được áp dụng trực tiếp trong tất cả các quốc gia thành viên mà không cần chuyển đổi pháp luật quốc gia, điều này đảm bảo sự đồng nhất pháp lý châu Âu. Các điều 5a đến 5c xác định các nghĩa vụ liên quan đến EUDI Wallet, các mức độ bảo đảm và quyền của người dùng. Điều 46f giới thiệu các nghĩa vụ cụ thể cho Relying Parties của các lĩnh vực được quy định.

Bộ luật dân sự Pháp: điều 1366 và 1367

Theo pháp luật Pháp, chữ ký điện tử đủ điều kiện được sản xuất thông qua EUDI Wallet được hưởng lợi từ sự giả định độ tin cậy được quy định bởi điều 1367 của Bộ luật dân sự: "Chữ ký điện tử bao gồm việc sử dụng quy trình đáng tin cậy để xác định nhân dạng đảm bảo liên kết của nó với hành động mà nó gắn liền." Độ tin cậy được giả định khi chữ ký đủ điều kiện theo nghĩa của eIDAS. Điều 1366 coi bằng chứng điện tử tương đương với bằng chứng giấy tờ với điều kiện là tác giả của nó được xác định và tính toàn vẹn được đảm bảo — hai điều kiện mà EUDI Wallet đáp ứng sẵn.

RGPD n°2016/679: sự kết hợp với tối thiểu hóa dữ liệu

Quy định (EU) 2016/679 (RGPD) áp dụng đầy đủ cho Relying Parties xử lý các thuộc tính danh tính từ EUDI Wallet. Các nguyên tắc tối thiểu hóa dữ liệu (điều 5 §1c), giới hạn mục đích (điều 5 §1b) và bảo mật theo thiết kế (điều 25) phải được tích hợp từ khi thiết kế tích hợp kỹ thuật. Selective disclosure sẵn có của EUDI Wallet tăng thuận lợi tuân thủ kỹ thuật, nhưng doanh nghiệp vẫn chịu trách nhiệm (điều 24) để ghi lại các cơ sở pháp lý xử lý của mình.

Tiêu chuẩn ETSI và các tiêu chuẩn kỹ thuật

Chữ ký đủ điều kiện được sản xuất thông qua EUDI Wallet phải tuân thủ các tiêu chuẩn ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) và ETSI EN 319 162 (PAdES) cho các định dạng chữ ký điện tử nâng cao và đủ điều kiện. Các chính sách chứng nhận được xác định trong ETSI EN 319 401 (Yêu cầu Chính sách Chung cho Nhà cung cấp Dịch vụ Tin tưởng). Các phán quyết thực hiện của Ủy ban làm rõ các yêu cầu chứng nhận của Trusted Issuers (tiêu chuẩn ISO/IEC 27001 và tiêu chí chung EAL 4+).

Chỉ thị NIS2: (EU) 2022/2555

Các nhà điều hành cơ sở hạ tầng EUDI Wallet (các quốc gia thành viên, Trusted Issuers, QTSP) phải tuân thủ các nghĩa vụ của chỉ thị NIS2 (EU) 2022/2555, được chuyển đổi thành pháp luật Pháp bởi luật n°2023-703. Đối với các doanh nghiệp sử dụng, NIS2 áp đặt các nghĩa vụ quản lý rủi ro liên quan đến các bên cung cấp bên thứ ba (điều 21 §2d), bao gồm các nhà cung cấp giải pháp tích hợp EUDI Wallet. Do đó, phân tích tác động rủi ro của chuỗi cung cấp kỹ thuật số được khuyến nghị trước bất kỳ triển khai nào.

Các kịch bản sử dụng EUDI Wallet trong doanh nghiệp

Kịch bản 1: Văn phòng luật sư — xác minh danh tính và ký các ủy quyền

Một văn phòng luật sư chuyên về công ty có khoảng hai chục cộng sự xử lý hàng trăm ủy quyền, thư ký vụ và ủy thác mỗi tháng. Hôm nay, xác minh danh tính của khách hàng liên quan đến gửi giấy chứng thực bằng email, xác minh thủ công bởi trợ lý pháp lý và thời gian xử lý trung bình 48 giờ. Với tích hợp EUDI Wallet như một cơ chế xác thực, khách hàng trình bày giấy tờ tùy thân kỹ thuật số của mình từ ví của mình trong vòng chưa đầy 90 giây. Chữ ký đủ điều kiện được sản xuất theo sau, không có ma sát bổ sung. Theo phản hồi từ các dự án quy mô lớn được thực hiện giữa 2023 và 2025, loại luồng này làm giảm thời gian xử lý onboarding khách hàng 60 đến 75% và loại bỏ rủi ro lỗi nhập dữ liệu hoặc hết hạn tài liệu. Văn phòng cũng lợi hơn về tuân thủ LCB-FT, các thuộc tính danh tính được chứng nhận về mật mã bởi một quốc gia thành viên.

Kịch bản 2: Doanh nghiệp vừa và nhỏ công nghiệp — quản lý hợp đồng nhà cung cấp và ủy quyền ký

Một doanh nghiệp vừa công nghiệp với khoảng một trăm nhân viên quản lý khoảng 300 hợp đồng nhà cung cấp mỗi năm, liên quan đến các trưởng bộ phận mua hàng phân tán trên ba địa điểm. Quản lý ủy quyền ký hiện được ghi lại trên giấy tờ và khó kiểm toán. Với EUDI Wallet doanh nghiệp (pháp nhân), ban lãnh đạo có thể gán các thuộc tính ủy quyền có thể xác minh cho mỗi trưởng bộ phận mua hàng: giới hạn cam kết, phạm vi địa lý, thời gian hiệu lực. Các thuộc tính này được lưu trữ trong ví của cộng sự và được trình bày tự động trong mỗi hành động ký. Trong trường hợp ra đi hoặc thay đổi vị trí, việc thu hồi là tức thì và được kiểm toán. Cơ chế này giảm rủi ro tranh chấp hợp đồng liên quan đến chữ ký không được phép và cải thiện khả năng truy xuất cho các cuộc kiểm toán nội bộ. Các bộ phận tài chính thường nhận thấy giảm 30 đến 40% thời gian dành cho quản lý và xác minh quyền hạn ký.

Kịch bản 3: Nhóm bệnh viện — sự đồng ý của bệnh nhân và quyền truy cập vào dữ liệu sức khỏe

Một nhóm bệnh viện gồm nhiều cơ sở và khoảng 1.500 nhân viên y tế phải đối mặt với những thách thức ngày càng phức tạp về sự đồng ý của bệnh nhân, đặc biệt là để truy cập các hồ sơ y tế được chia sẻ thông qua Mon Espace Santé. Tích hợp EUDI Wallet như một cơ chế sự đồng ý có hiểu biết cho phép bệnh nhân xác nhận, từ điện thoại thông minh, quyền truy cập vào dữ liệu của mình bởi một bác sĩ chuyên khoa, xác định thời lượng và phạm vi truy cập. Selective disclosure đảm bảo rằng chỉ các thuộc tính y tế có liên quan được chia sẻ. Đối với nhân viên y tế, ví cung cấp số RPPS của họ (Répertoire Partagé des Professionnels de Santé) làm thuộc tính có thể xác minh, loại bỏ các quy trình xác minh thủ công hiện tại. Loại triển khai này, phù hợp với khung của Không gian Dữ liệu Sức khỏe Châu Âu (EHDS), có thể giảm độ trễ truy cập vào dữ liệu sức khỏe được phép từ nhiều giờ chỉ trong vài giây. Để tìm hiểu thêm về các vấn đề cụ thể cho lĩnh vực, hướng dẫn của chúng tôi về chữ ký điện tử trong chăm sóc sức khỏe chi