eIDAS 2 數位身分錢包：2026年指南

eIDAS 2法規的生效標誌著歐洲數位身分管理的歷史轉折點。透過EUDI Wallet——歐洲數位身分錢包——每位公民和企業很快將擁有一個主權、可互操作且在27個成員國認可的數位錢包。對於法務部、人力資源部、合規部和資訊安全部門而言，這項監管工程既帶來機遇，也帶來運營挑戰。本文詳細解讀EUDI Wallet的技術和法律運作原理、對企業的具體影響，以及它如何與現有的認可電子簽署解決方案相配合。

eIDAS 2和EUDI Wallet是什麼？

從eIDAS 1.0法規到eIDAS 2.0法規：結構性演進

2014年通過的eIDAS第910/2014號法規為歐洲數位信任奠定了基礎：認可電子簽署、印章、時間戳記和身份驗證服務。但十年後，其局限性變得顯而易見：成員國之間互操作性不足、數位身分國家認養不均、缺乏統一錢包。第(歐盟)2024/1183號法規，即所謂的eIDAS 2，於2024年4月11日正式通過並刊登在歐盟官方公報上，通過建立主權數位身分共同框架來彌補這些不足。

欲深入瞭解整套新監管框架，請參閱我們的eIDAS 2.0法規完整指南。

EUDI Wallet：架構和基本原則

EUDI Wallet（歐洲數位身分錢包）是一個行動應用程式和/或軟體應用程式，各成員國最遲須在2026年末前向其公民和居民提供，符合修訂法規第5a條的要求。具體而言，這個數位錢包可以：

• 儲存和出示經驗證的身分屬性：身分證、駕駛執照、文憑、專業資格、企業內部增值稅號。
• 向公共和私人服務驗證用戶身份，達到高級保證等級（根據法規附件I的LoA High）。
• 使用電子簽署文件，達到認可級別，依靠認可電子簽署創建設備(QSCD)認證。
• 有選擇地分享數據（selective disclosure原則），無需透露超出必要的信息——這對GDPR合規是重大進展。

架構基於歐盟委員會透過架構和參考框架(ARF)發佈的技術規範，由EUDIW聯盟（歐洲數位身分錢包聯盟）維護。採用的呈現格式包括ISO/IEC 18013-5（mDL——行動駕駛執照）和SD-JWT VC（選擇性披露JSON Web Token可驗證憑證），兩個開放標準確保可移植性。

誰受影響？依賴方企業(Relying Parties)

eIDAS 2法規引入了依賴方(Relying Party)的概念。任何接受來自EUDI Wallet的身分屬性的組織——私人企業、政府部門、線上平台——必須向其成員國註冊並遵守一系列技術和安全義務。法規第5b條明確指出，大型平台（按DSA定義）和某些部門（銀行、衛生、能源）將被迫接受EUDI Wallet，自國家部署投入生產起。

企業EUDI Wallet的技術運作

逐步進行的身份驗證和簽署流程

理解技術流程對於預期系統整合至關重要。透過EUDI Wallet簽署合約的典型場景如下：

1. 初始化：依賴方（例如：您的SaaS平台）生成符合OpenID4VP協議（OpenID for Verifiable Presentations）的呈現請求。
2. 通知：用戶在其EUDI Wallet行動應用上收到通知。
3. 同意和選擇：用戶通過selective disclosure界面選擇要分享的屬性（姓名、名字、出生日期）。
4. 可驗證呈現：錢包生成由受信頒發者（成員國或認可服務提供者）簽署的加密證明。
5. 驗證：依賴方透過歐洲信任登記(Trust Framework)驗證證明，無需儲存多餘數據。
6. 認可簽署：如果需要簽署行為，錢包中嵌入的QSCD或雲端託管(QSign)遠端簽署生成符合ETSI EN 319 132的認可簽署。

此流程保證了LoA High級別，即法規規定的最高級別，等同於面對面驗證。

與現有電子簽署平台的整合

電子簽署解決方案編輯者必須整合OpenID4VCI（發行）和OpenID4VP（呈現）協議，以連接到EUDI生態系統。對於已使用符合eIDAS 1.0平台的企業，向eIDAS 2的轉換涉及技術版本升級，但保留已簽署簽署的法律價值。因此，評估您當前供應商的路線圖是策略性的，特別是如果您考慮從從DocuSign或YouSign遷移到更符合要求的解決方案。

法人實體數位身分：企業議題

EIDAS 2不限於自然人。第5a條§3明確規定法人實體錢包，允許企業：

• 證明其法律存在（數位可驗證的Kbis摘錄等效項）。
• 以被審計和可撤銷的方式向其員工委託簽署權力。
• 在B2B合約程序中自動化KYB（了解您的業務）驗證。

此維度對企業電子簽署程序特別具有轉變意義，尤其在人力資源、法律和財務部門。

2024-2026年部署時間表和監管義務

根據法規的實施階段

第(歐盟)2024/1183號法規設定了具有約束力的時間表：

• 2024年4月：刊登官方公報，生效日期為刊登後20天。
• 2024年底：公佈實施法案(Implementing Acts)，界定強制性技術規範。
• 2025年：國家試點錢包部署（大規模試點項目：歐盟數位身分錢包大規模試點，由委員會投資4,600萬歐元）。
• 2026年底：所有成員國應至少提供一個EUDI Wallet可運作系統。大型平台和監管部門必須接受它。

對於法國企業，部署依靠La Poste數位身分和ANSSI關於國家受信頒發者認證的工作。

依賴方的義務

希望或必須接受EUDI Wallet的企業受以下多項義務約束：

1. 註冊至國家主管當局（在法國，根據具體情況由ANSSI和CNIL負責）。
2. 技術合規至歐盟委員會在GitHub上發佈的ARF v2.x規範。
3. 透明度：在公開登記冊中發佈所請求的屬性和處理目的。
4. 數據最小化：僅請求嚴格必需的屬性——GDPR強化了此義務。
5. 日誌記錄：保留可驗證呈現的日誌以供審計，不儲存原始身分數據。

在其法律事務所電子簽署流程或人力資源管理中整合EUDI Wallet的企業將從2026年起獲得顯著的競爭優勢。

企業的戰略議題和機遇

KYC/KYB流程中摩擦的減少

EUDI Wallet最直接的好處之一是消除手動身份驗證。當今，新客戶或合作夥伴的入職涉及通過電郵發送證明、人工驗證和處理延遲。透過EUDI Wallet，驗證變為即時、密碼學認證和被審計。銀行、房地產和保險部門——受反洗錢義務約束——看到符合自動化的重大機遇。房地產電子簽署部門特別受影響，身份驗證流程目前佔管理時間的最多40%。

數位主權和減少對GAFAM的依賴

EUDI Wallet迴應了一項強有力的政治野心：減少歐洲人對由非歐洲行為者（Google、Apple、Meta）操作的身份系統的依賴。對於企業而言，這轉化為一個可互操作、開放和非專有的身份驗證基礎設施，基於ISO和W3C標準，而非專利SDK。此主權也是公開招標中商業差異化論點，越來越多地對數據本地化條款敏感。

對認可電子簽署和QTSP的影響

認可信任服務提供者(QTSP——Qualified Trust Service Providers)看到其角色進化。透過EUDI Wallet，QSCD可以直接嵌入錢包或委託給雲端QTSP（遠端認可簽署）。對於企業而言，這意味著認可簽署——迄今因複雜性而保留給最關鍵案例——變為可訪問和可擴展。我們的電子簽署解決方案比較現在在其分析中整合了此EUDI Wallet兼容性標準。

適用於EUDI Wallet和企業的法律框架

eIDAS 2法規：(歐盟)2024/1183

基礎文本是2024年4月11日歐洲議會和理事會第(歐盟)2024/1183號法規，修訂eIDAS第910/2014號法規。它在所有成員國中直接適用，無需國家立法轉置，確保歐洲法律統一性。第5a至5c條界定與EUDI Wallet、保證等級和用戶權利相關的義務。第46f條引入監管部門的依賴方具體義務。

法國民法典：第1366和1367條

在法國法中，透過EUDI Wallet生成的認可電子簽署受法國民法典第1367條規定的可靠性推定的保護：「電子簽署由識別程式構成，該程式可靠性擔保其與其附加行為的聯繫。」當簽署按eIDAS定義是認可時，可靠性推定成立。第1366條將電子文件等同於紙質文件，條件是其作者被識別且完整性得到保證——兩個EUDI Wallet本地滿足的條件。

GDPR第2016/679號：與數據最小化的銜接

第(歐盟)2016/679號法規(GDPR)完全適用於處理來自EUDI Wallet的身份屬性的依賴方。數據最小化(第5條§1c)、目的限制(第5條§1b)和隱私設計(第25條)原則必須從技術整合設計之初整合。EUDI Wallet本地的selective disclosure便利技術合規，但企業仍然負責(第24條)記錄其處理法律基礎。

ETSI標準和技術標準

透過EUDI Wallet生成的認可簽署必須遵守ETSI EN 319 132(XAdES)、ETSI EN 319 122(CAdES)和ETSI EN 319 162(PAdES)進階和認可電子簽署格式規範。認證政策在ETSI EN 319 401(信任服務提供者通用政策要求)中界定。委員會實施法案澄清了受信頒發者認證要求(標準ISO/IEC 27001和通用評分基準EAL 4+)。

NIS2指令：(歐盟)2022/2555

EUDI Wallet基礎設施運營者(成員國、受信頒發者、QTSP)受NIS2指令(歐盟)2022/2555義務約束，在法國通過第2023-703號法律轉置。對於企業用戶，NIS2對與第三方服務提供者相關的風險管理施加義務(第21條§2d)，包括整合EUDI Wallet的供應商。因此，建議在任何部署前進行數位供應鏈風險影響分析。

企業EUDI Wallet使用場景

場景1：律師事務所——身份驗證和委託簽署

一個由約20名員工組成的律師事務所每月處理數百份委託書、委託信和授權書。目前，客戶身份驗證需要通過電郵發送證明副本、助理律師手動驗證和平均48小時的處理延遲。透過整合EUDI Wallet作為身份驗證機制，客戶在不到90秒內從其錢包出示數位身份證。認可簽署隨後進行，無額外摩擦。根據2023-2025年期間進行的大規模試點觀察，此類流程將客戶入職處理時間縮短60至75%，並消除了拼寫錯誤或過期文件風險。律師事務所還在反洗錢合規中獲益，身份屬性被國家成員國加密認證。

場景2：中小製造企業——供應商合約管理和簽署委託

一個擁有約100名員工的中小製造企業每年管理約300份供應商合約，涉及分散在三個地點的採購負責人。簽署委託管理目前在紙上記錄，難以審計。透過EUDI Wallet企業錢包（法人實體），管理層可向每位採購負責人分配可驗證委託屬性：承諾上限、地理範圍、有效期。這些屬性儲存在員工錢包中，並在每次簽署行為時自動呈現。如果員工離職或職位變化，撤銷是即時和被審計的。此機制減少與未授權簽署相關的合約爭議風險，並改進內部審計的可追蹤性。財務部門通常發現簽署權力管理和驗證所花時間減少30至40%。

場景3：醫院集團——患者同意和衛生數據訪問

一個包含數個機構且約1,500名衛生工作者的醫院集團面臨日益複雜的患者同意議題，特別是通過Mon Espace Santé共享醫療記錄訪問。整合EUDI Wallet作為知情同意機制允許患者從其智慧手機驗證專科醫生的數據訪問，指定訪問時長和範圍。selective disclosure保證僅相關醫療屬性被分享。對於衛生工作者，錢包提供其RPPS號(共享衛生專業人員名錄)作為可驗證屬性，消除當前手動驗證程序。此類部署，與歐洲衛生數據空間(EHDS)框架一致，可將授權衛生數據訪問延遲從數小時減少到秒級。欲深入瞭解部門特定議題，我們的衛生電子簽署指南詳細描述適用監管約束。

結論

EUDI Wallet和eIDAS 2法規構成過去十年歐洲數位身分最重要的轉變。對於企業而言，議題不僅在於遵守新監管，也在於抓住機遇深刻現代化其簽署、入職和委託管理流程。法律、人力資源、衛生和工業部門處於第一線。成功的關鍵在於預期：現在就評估您當前工具的兼容性、培訓團隊並選擇路線圖與eIDAS 2對齐的合作夥伴。

Certyneo陪伴企業完成此轉變，提供從其EUDI Wallet部署起即被設計為兼容的電子簽署平台。探索我們的產品及免費開始，以全然安心預期2026年。