跳至主要內容
Certyneo

合格時間戳 eIDAS:確定日期的證明

合格時間戳 eIDAS 為任何電子簽署的文件提供確定且可對抗的日期。瞭解其運作原理對於任何希望保護其數字證據的組織至關重要。

Équipe éditoriale Certyneo3 分鐘閱讀

Équipe éditoriale Certyneo

撰稿人 — Certyneo · 關於 Certyneo

電子時間戳常被視為附帶的技術細節。實際上,它構成了電子簽署文件證明價值的支柱之一。沒有它,數字簽名無法說明簽署的時刻——這一缺陷在訴訟中可能是致命的。歐盟第 910/2014 號 eIDAS 法規精確引入了合格時間戳的概念,這是在歐盟所有成員國公認的最高級別日期認證。本文詳細解析了這一機制、其技術要求、法律效力以及其成為不可或缺的具體情況。

什麼是 eIDAS 意義下的合格時間戳?

定義和時間戳級別

eIDAS 法規區分了兩類電子時間戳:

  • 簡單電子時間戳:與其他數據相關聯日期和時間的任何電子形式的數據。它享有可反駁的可靠性推定(eIDAS 第 41 條)。
  • 合格時間戳:更高級別,由已在受監督的國家信任清單上登記的合格信任服務提供商 (PSCQ) 頒發。它享有日期和時間準確性的法律推定以及時間戳數據完整性的推定(eIDAS 第 42 條)。

這一區別是根本性的:合格時間戳推定準確,除非有相反證明,這在訴訟中扭轉了舉證責任。欲了解更多該條例規定的不同信任級別,請查閱我們的eIDAS 2.0 法規完整指南

合格時間戳的技術要求

為符合 eIDAS 合格標準,時間戳必須符合第 42 條規定的嚴格標準:

  1. 將日期和時間綁定到數據,以合理排除任何不可檢測修改的可能性。
  2. 基於精確的時間源,與協調世界時 (UTC) 相關聯,可追蹤且符合 ETSI EN 319 421 和 EN 319 422 標準。
  3. 使用合格 PSCQ 的高級電子簽名或高級電子印章進行簽名,或通過等效方法。

實踐中,服務提供商接收文件的加密指紋 (hash),對其加蓋已簽署的時間戳,並返回符合 RFC 3161 協議的時間戳令牌 (TST)。該過程絕不會將文件內容傳輸給服務提供商——僅傳輸其指紋——這保證了數據隱私。

信任清單和國家監督

在法國,ANSSI(國家信息系統安全機構)是維護合格服務提供商清單的監督機構。此清單以已簽署的 XML 格式發佈,並集成到歐洲信任清單 (EU Trusted List),可通過歐盟委員會 eIDAS 門戶網站訪問。任何列入清單的服務提供商都已按 ETSI EN 319 401(一般要求)和 ETSI EN 319 421(合格 TSA 政策配置文件)標準進行過嚴格的合規審計。

當您為企業評估電子簽名解決方案時,驗證服務提供商是否集成了合格時間戳——而非簡單的內部時間戳——是決定性的選擇標準。

為什麼合格時間戳對日期證明至關重要?

數字證據鏈中的日期

合格電子簽名證明簽署了和文件未被修改。但除非有合格時間戳相關聯,否則它不能證明簽名的何時被加蓋。這一區別在多個情景中具有重要意義:

  • 發明的優先權:證明專利或專有技術在特定日期前存在。
  • 遵守合同期限:證明合同在要約截止日期前簽署。
  • 長期檔案保存證明:簽名的密碼學有效期可能因演算法過時而過期(簽名老化現象)。合格時間戳將允許「重新時間戳」文件並延長其證明價值。

簽名老化和重新時間戳

密碼演算法在演變。2015 年被認為安全的基於 RSA-2048 的簽名證書,隨著量子計算能力的增強,到 2030 年可能被認為不足。具有證明價值的檔案保存依賴於重新時間戳的做法:在假定演算法穩健性失效前,將新的合格時間戳應用於整體(文件 + 簽名 + 先前時間戳),從而建立不間斷的信任鏈。

該方法在 ETSI EN 319 102-2(高級和合格簽名驗證程序)中標準化,建議用於任何需要保留超過 10 年的文件——公證行為、長期商業合同、醫療記錄或監管文件。

歐洲互操作性和相互承認

合格時間戳 eIDAS 的主要優勢之一在於其在所有 27 個歐盟成員國自動認可(eIDAS 第 41.3 條)。由法國 PSCQ 頒發的合格時間戳在德國、西班牙或波蘭產生相同的法律效力。這種法律可移植性對於在多個國家的歐洲市場上運營、與多個國家的合作夥伴簽署合同的企業特別寶貴。要比較市場上的不同方法,我們的電子簽名解決方案對比提供詳細分析。

在電子簽名流中整合合格時間戳

符合標準的技術架構

在合格電子簽名 (QES) 流程中,時間戳根據為長期簽名定義的 ETSI 格式在文件簽署的多個級別整合:

  • XAdES-LTA 格式(XML 高級電子簽名 - 長期檔案):用於 XML 文件。
  • PAdES-LTA 格式(PDF 高級電子簽名 - 長期檔案):用於 PDF,最常見的企業格式。
  • CAdES-LTA 格式(CMS 高級電子簽名 - 長期檔案):用於通用二進制文件。

LTA(長期檔案) 後綴精確指定包含合格時間戳和驗證所需撤銷數據的級別,即使在證書過期後也能進行未來驗證。

SaaS 簽名平台的角色

在 Certyneo 等 SaaS 解決方案中,合格時間戳的整合對最終用戶是透明的。該平台:

  1. 生成最終文件的加密指紋。
  2. 通過安全連接將此指紋發送給合作夥伴合格 TSA(時間戳授權)。
  3. 接收已簽署的時間戳令牌 (TST)。
  4. 根據 PAdES-LTA 格式將 TST 整合到 PDF 文件中。
  5. 將整個文件存儲在可審計的安全檔案環境中。

用戶因此擁有一份文件,其簽名完成日期已認證且可由任何第三方驗證,無需依賴執行簽署的平台基礎設施。這種驗證自主性是在採購招標時常被低估的卓越標準。如果您考慮從 DocuSign 或 YouSign 更換為 Certyneo 的服務提供商,我們的從 DocuSign 或 YouSign 遷移至 Certyneo 指南詳細說明了需要提前預期的技術警告點。

驗證和可審計性

任何整合合格時間戳 PAdES-LTA 的文件都可以通過免費工具(歐盟委員會的 DSS 庫)或符合 eIDAS 的在線驗證器驗證。驗證確認:

  • 簽署人的身份(合格證書)。
  • 文件的完整性(簽署後無修改)。
  • 認證的日期和時間(有效的 TST 令牌,TSA 在信任清單上)。
  • 簽署時證書的非撤銷狀態。

此完整可追蹤性對法律團隊在訴訟或監管審計框架內定期提交文件證據是決定性優勢。

適用於合格時間戳的法律框架

歐盟第 910/2014 號法規

歐洲議會和委員會 2014 年 7 月 23 日第 (UE) 910/2014 號法規,即所謂的 eIDAS 法規,構成歐洲合格時間戳的法律基礎。其關鍵規定為:

  • 第 3(34) 條:將電子時間戳定義為「與其他電子形式的數據相關聯特定時刻並建立這些數據在該時刻存在的證明的電子形式的數據」。
  • 第 41 條:授予簡單電子時間戳可反駁的準確性推定。
  • 第 42 條:規定時間戳合格條件(可追蹤的 UTC 源、合格 PSCQ 簽名、與數據的密碼綁定)。
  • 第 42(2) 條:對合格時間戳賦予日期和時間準確性的法律推定以及相關數據完整性的推定。此推定在歐盟任何司法管轄區有效,無需額外證據。

eIDAS 2.0 法規(歐盟 2024/1183 號法規,自 2024 年起分階段生效)通過將框架擴展到歐洲數字身份錢包 (EUDIW) 來加強這些規定,不影響合格時間戳的基礎。

法國民法典——第 1366 和 1367 條

根據法國法律,民法第 1366 條規定「電子書面文件與紙質書面文件具有相同的證明力,但須能恰當識別其來源人,且其建立和保護方式應保證其完整性」。第 1367 條明確了可靠電子簽名的條件。合格時間戳直接參與滿足這些條文所要求的完整性確定日期條件。

此外,2017 年 9 月 28 日第 2017-1416 號法令關於電子簽名明確參考 eIDAS 法規以定義在法國司法管轄區可接受的簽名級別。

保留義務和 GDPR

(EU) 2016/679 號法規 (GDPR),適用於任何個人數據處理,強制採取適當的技術安全措施(第 32 條)。合格時間戳通過保證所處理數據的完整性和日期認證,有助於涉及個人數據的文件流的 GDPR 合規性。

某些行業強制特定的法定保留期限:商業合同 5 年(商法典第 L.110-4 條),市民行為的公務 10 年,某些醫療文件 20 年。對於這些長期檔案保存,缺乏合格時間戳和定期重新時間戳構成重大法律風險:文件可能在法定保留期限到期前失去其證明價值。

ETSI 參考標準

  • ETSI EN 319 421:合格 TSA(時間戳授權)的政策和安全要求。
  • ETSI EN 319 422:時間戳令牌配置文件。
  • ETSI EN 319 102-1/2:高級和合格簽名的建立和驗證程序,整合時間戳。
  • ETSI EN 319 132 (XAdES) 和 EN 319 122 (CAdES):長期簽名格式。

使用情景:何時合格時間戳是決定性的?

情景 1 — 處理訴訟案件的商業律師事務所

一家 15 人左右、專注於 B2B 合同訴訟的商業律師事務所使用合格電子簽名來簽署訴訟文件、報酬協議和敏感信件。在一項涉及商業要約接受日期的訴訟中,對方質疑其客戶的簽名是否早於要約中規定的期限屆滿。

得益於集成在 PAdES-LTA 文件中的合格時間戳,律師事務所提交由已在法國信任清單上登記的 PSCQ 頒發的時間戳令牌。認證日期——精確到秒——可由法官和司法專家獨立驗證。eIDAS 第 42 條的法律推定適用:現在舉證責任落在對方身上。訴訟得以解決,無需昂貴的專家對質,根據通常的此類訴訟估計節省約 15 至 25 天的訴訟程序。

情景 2 — 管理供應商合同組合的工業中小企業

一家工業中小企業每年管理約 300 份供應商合同——保密協議、採購通用條款、價格修改——尋求在 ERP 改革背景下保護其文件檔案。該企業希望將其合同保存價值保持至少 10 年,符合其法律義務和保險公司要求。

通過部署集成合格時間戳和 PAdES-LTA 格式的電子簽名解決方案,該中小企業自動建立具有長期證明價值的檔案。部署後 18 個月進行的內部審計顯示,在供應商審計期間用於文件搜索和重建的時間減少了 40%,關於修改協議生效日期分歧的訴訟幾乎消除。人力資源團隊在勞動合同和修改協議中獲得相同好處,在工作檢查期間合規性得到加強。

情景 3 — 醫療機構和患者同意檔案保存

一家中等規模的醫院集團(約 600 張病床)將其手術和臨床試驗知情同意表格進行數字化。適用的法規(公共衛生法第 L.1111-4 條,歐盟 536/2014 號臨床試驗法規)不僅要求同意的可追蹤性,還要求其日期的確定性早於醫療行為

在患者同意簽名流中整合合格時間戳保證同意日期已認證且無可爭議,即使在衛生機構檢查(HAS、ANSM)或醫療訴訟情況下。對於該行業,適合醫療保健的電子簽名解決方案必須納入此合格時間戳以滿足特定監管義務。已部署此類解決方案的機構通常發現,與紙質流程相比,同意管理的行政時間減少 60 至 70%,根據醫療機構主任協會發佈的基準。

結論

合格時間戳 eIDAS 不是簡單的數字印章:它是一項強有力的法律推定,在整個歐盟得到認可,將電子簽署文件的日期轉化為對任何法庭都可對抗的證據。依靠受監督的 PSCQ、嚴格的 ETSI 標準和長期檔案格式 (PAdES-LTA),它提供的法律安全性是內部服務器時間戳或簡單文件元數據所無法達到的。

對於簽署合同、管理敏感檔案或必須多年保護文件證據的企業,在簽署流中整合合格時間戳不再是選項——這是良好法律實踐的要求。

Certyneo 在其平台頒發的每份合格電子簽名中本地集成合格時間戳。通過開始免費試用或查閱我們的透明定價,瞭解如何保護您的文件證據。

免費試用 Certyneo

只需不到 5 分鐘,即可寄出您的第一個簽名信封。每月 5 個免費信封,無需信用卡。

免費開始使用查看價格方案
所有文章

深入探討主題

我們的完整指南,協助您掌握電子簽章。

推薦文章

透過這些相關主題的文章,深化您的理解。

合格 eIDAS 服務提供者:2026年官方名單

並非所有合格 eIDAS 電子簽名服務提供者都是平等的。瞭解如何識別、比較和選擇最適合您企業的安全解決方案。

8 min

電子印章 eIDAS:組織的關鍵角色

電子印章 eIDAS 常與簽名混淆,但它實際上滿足不同且對企業具有戰略意義的用途。完整解密。

8 min

電子簽名:2026年可衡量的投資回報率和成本節省

電子簽名降低營運成本並加速您的合同周期。了解如何計算您的投資回報率以及從2026年開始可以實現的實際成本節省。

8 min