Quy định eIDAS: hiểu mọi thứ về chữ ký điện tử ở châu Âu
Cập nhật ngày
Quy định eIDAS là văn bản nền tảng của chữ ký điện tử ở châu Âu. Nó định nghĩa ba cấp độ chữ ký (đơn giản, nâng cao, đủ điều kiện), thiết lập giá trị pháp lý của các hành vi điện tử và quản lý các nhà cung cấp dịch vụ tin cậy. Hướng dẫn này giải thích mọi điều Quý khách cần biết để tuân thủ vào năm 2026.
eIDAS là gì và tại sao nó được tạo ra?
Trước eIDAS, mỗi quốc gia thành viên của Liên minh Châu Âu có quy định riêng về chữ ký điện tử, tạo ra sự phân mảnh pháp lý cản trở giao dịch xuyên biên giới. Một chữ ký điện tử hợp lệ ở Pháp không nhất thiết được công nhận ở Đức hoặc Tây Ban Nha.
Quy định (EU) số 910/2014, gọi là eIDAS (Electronic IDentification, Authentication and trust Services), được thông qua ngày 23 tháng 7 năm 2014 và có hiệu lực ngày 1 tháng 7 năm 2016. Là một quy định (không phải chỉ thị), nó áp dụng trực tiếp và thống nhất ở 27 quốc gia thành viên, không cần chuyển đổi quốc gia.
eIDAS theo đuổi ba mục tiêu chính: tạo ra một thị trường kỹ thuật số duy nhất ở châu Âu nhờ sự công nhận lẫn nhau của danh tính điện tử, đảm bảo sự chắc chắn về pháp lý của giao dịch điện tử xuyên biên giới, và thiết lập một khuôn khổ tin cậy cho các dịch vụ kỹ thuật số thông qua các nhà cung cấp dịch vụ tin cậy đủ điều kiện (QTSP — Qualified Trust Service Provider).
3 cấp độ chữ ký được eIDAS định nghĩa
eIDAS thiết lập một kim tự tháp ba cấp độ chữ ký điện tử, mỗi cấp có yêu cầu kỹ thuật riêng và giá trị chứng cứ riêng.
Chữ ký Điện tử Đơn giản
Yêu cầu eIDAS
- Dữ liệu dưới dạng điện tử liên kết với dữ liệu khác
- Được sử dụng để ký (không có yêu cầu kỹ thuật cụ thể)
- Có thể là một cú nhấp đơn giản, hộp tích hoặc tên được nhập
Ví dụ sử dụng
- Chấp nhận điều khoản sử dụng
- Biểu mẫu trực tuyến
- Email xác nhận
Giá trị pháp lý
Giá trị hợp đồng cơ bản, không có giả định pháp lý
Chữ ký Điện tử Nâng cao
Yêu cầu eIDAS
- Liên kết duy nhất với người ký
- Cho phép nhận dạng người ký
- Được tạo với dữ liệu dưới sự kiểm soát độc quyền của người ký
- Mọi sửa đổi sau này đối với tài liệu đều có thể phát hiện được
Ví dụ sử dụng
- Hợp đồng lao động
- NDA
- Hợp đồng thương mại
- Ủy quyền
Giá trị pháp lý
Giá trị chứng cứ mạnh — được khuyến nghị cho các hợp đồng quan trọng
Chữ ký Điện tử Đủ điều kiện
Yêu cầu eIDAS
- Đáp ứng mọi yêu cầu của AES
- Được tạo bởi một thiết bị tạo chữ ký đủ điều kiện (QSCD)
- Dựa trên chứng chỉ đủ điều kiện do QTSP cấp (danh sách tin cậy EU)
Ví dụ sử dụng
- Văn bản công chứng điện tử
- Thị trường công yêu cầu cao
- Văn bản được quy định
Giá trị pháp lý
Giả định pháp lý tương đương với chữ ký viết tay (điều 25 eIDAS)
eIDAS 2.0: những điểm mới của năm 2024
Quy định eIDAS đã được sửa đổi bởi quy định (EU) 2024/1183, được công bố trên Tạp chí chính thức của EU ngày 30 tháng 4 năm 2024 và có hiệu lực từ ngày 20 tháng 5 năm 2024. Việc sửa đổi này hiện đại hóa khuôn khổ ban đầu để đáp ứng các thách thức của kỹ thuật số đương đại: danh tính kỹ thuật số của công dân, cloud chủ quyền, khả năng phục hồi của các nhà cung cấp tin cậy.
Biện pháp hàng đầu của eIDAS 2.0 là Ví danh tính kỹ thuật số châu Âu (EUDIW). Đến cuối năm 2026, mỗi quốc gia thành viên sẽ phải cung cấp cho công dân và cư dân của mình một ứng dụng cho phép lưu trữ và trình bày các chứng chỉ danh tính được chứng thực — tương đương số của thẻ căn cước, bằng lái xe, bằng cấp. Sự phát triển này sẽ có tác động trực tiếp đến các quy trình chữ ký đủ điều kiện.
Ví danh tính kỹ thuật số (EUDIW)
eIDAS 2.0 giới thiệu European Digital Identity Wallet: mỗi công dân châu Âu sẽ có thể lưu trữ chứng chỉ danh tính của mình (thẻ căn cước, bằng lái xe, bằng cấp) trong một ứng dụng di động có thể tương tác trong toàn EU.
Tăng cường QTSP
Các yêu cầu áp dụng cho các nhà cung cấp dịch vụ tin cậy đủ điều kiện (QTSP) được tăng cường, đặc biệt về an ninh mạng, kiểm toán và liên tục dịch vụ.
Các dịch vụ tin cậy mới
eIDAS 2.0 thêm các dịch vụ đủ điều kiện mới: lưu trữ điện tử đủ điều kiện, quản lý dữ liệu thuộc tính đủ điều kiện, sổ đăng ký điện tử đủ điều kiện (blockchain được chứng nhận).
Tăng cường khả năng tương tác
Công nhận lẫn nhau tốt hơn về danh tính kỹ thuật số giữa các quốc gia thành viên. Chữ ký đủ điều kiện được phát hành ở bất kỳ quốc gia EU nào đều được công nhận ở mọi nơi.
Làm thế nào để tuân thủ eIDAS trên thực tế?
Tuân thủ eIDAS không chỉ là lựa chọn mức chữ ký. Nó liên quan đến việc suy xét về toàn bộ quy trình: xác định rủi ro, lựa chọn công cụ, bảo quản bằng chứng và quản trị tài liệu.
Dưới đây là danh sách kiểm tra thực tế cho các doanh nghiệp muốn bảo vệ quy trình chữ ký điện tử của họ phù hợp với eIDAS:
Cách tiếp cận tuân thủ eIDAS của Certyneo
Certyneo triển khai các mức SES (Chữ ký Điện tử Đơn giản) và AES (Chữ ký Điện tử Nâng cao) của quy định eIDAS. Chữ ký nâng cao dựa trên xác thực hai yếu tố: liên kết dùng một lần gửi qua email và mã OTP gửi qua SMS qua OTP SMS. Cơ chế này đáp ứng bốn tiêu chí của điều 26 eIDAS cho chữ ký nâng cao.
Mỗi phong bì tạo ra một audit trail đầy đủ: dấu thời gian của mỗi hành động (gửi, mở liên kết, xác thực OTP, đặt chữ ký, từ chối nếu có), địa chỉ IP của người ký, user-agent của trình duyệt. Audit trail này được tích hợp ở dưới mỗi trang của PDF cuối cùng (chân trang kiểm toán) và được lưu trữ 10 năm.
Dữ liệu được lưu trữ tại Pháp (cơ sở hạ tầng IONOS), trong Liên minh Châu Âu, tuân thủ các yêu cầu về chủ quyền kỹ thuật số và GDPR. Tham khảo trang bảo mật và tuân thủ của chúng tôi để biết mọi chi tiết kỹ thuật.
Câu hỏi thường gặp về eIDAS
Quy định eIDAS là gì?
eIDAS (Electronic Identification, Authentication and Trust Services) là quy định châu Âu (EU) số 910/2014 thiết lập khuôn khổ pháp lý chung cho chữ ký điện tử, dấu điện tử, dấu thời gian, dịch vụ gửi có đảm bảo điện tử và dịch vụ xác thực trang web ở Liên minh Châu Âu. Nó có hiệu lực ngày 1 tháng 7 năm 2016 và áp dụng trực tiếp ở 27 quốc gia thành viên.
Sự khác biệt giữa eIDAS và eIDAS 2.0 là gì?
eIDAS 2.0 (quy định (EU) 2024/1183, có hiệu lực ngày 20 tháng 5 năm 2024) hiện đại hóa eIDAS 1.0 bằng cách đặc biệt giới thiệu Ví danh tính kỹ thuật số châu Âu (EUDIW — European Digital Identity Wallet), cho phép công dân châu Âu lưu trữ chứng chỉ danh tính số. Đối với doanh nghiệp, eIDAS 2.0 tăng cường các yêu cầu của nhà cung cấp dịch vụ tin cậy đủ điều kiện (QTSP) và cải thiện khả năng tương tác xuyên biên giới.
Chữ ký điện tử đơn giản có giá trị pháp lý theo eIDAS không?
Có. Điều 25 eIDAS cấm rõ ràng việc từ chối hiệu lực pháp lý đối với chữ ký điện tử chỉ vì nó ở dạng điện tử. Vì vậy, chữ ký đơn giản (SES) có giá trị pháp lý, nhưng không được hưởng giả định pháp lý dành cho chữ ký đủ điều kiện (QES). Trong trường hợp tranh chấp, người viện dẫn chữ ký phải chứng minh tính xác thực của nó.
Làm thế nào để biết mức eIDAS nào cần chọn cho hợp đồng của tôi?
Quy tắc chung là hiệu chỉnh mức độ theo rủi ro pháp lý và thương mại của tài liệu. Đối với tài liệu thông thường rủi ro thấp (báo giá, đơn đặt hàng nội bộ), chữ ký đơn giản là đủ. Đối với hợp đồng thương mại quan trọng, hợp đồng lao động, NDA hoặc ủy quyền, chữ ký nâng cao (AES) được khuyến nghị. Chữ ký đủ điều kiện (QES) được dành cho các tình huống mà luật yêu cầu rõ ràng (một số hành vi hành chính, thị trường công quy mô lớn) hoặc khi rủi ro tranh chấp là tối đa.
Certyneo tuân thủ eIDAS như thế nào?
Certyneo triển khai chữ ký đơn giản (SES) và chữ ký nâng cao (AES) phù hợp với eIDAS. Chữ ký nâng cao dựa trên OTP kép email + SMS (OTP SMS) liên kết người ký với hành vi của họ. Mỗi phong bì tạo ra audit trail có dấu thời gian tích hợp trong PDF cuối cùng. Dữ liệu được lưu trữ tại Pháp (EU), tuân thủ yêu cầu về chủ quyền kỹ thuật số.
eIDAS có áp dụng cho doanh nghiệp ngoài Liên minh Châu Âu không?
eIDAS áp dụng cho các dịch vụ tin cậy được cung cấp trong EU. Một doanh nghiệp thành lập ngoài EU muốn chữ ký của mình được công nhận trong EU phải sử dụng giải pháp tuân thủ eIDAS hoặc nhà cung cấp tin cậy đủ điều kiện (QTSP) được công nhận trong danh sách tin cậy của một quốc gia thành viên. Đối với trao đổi B2B quốc tế, có các thỏa thuận công nhận lẫn nhau với một số quốc gia thứ ba.