香港電子簽署服務供應商的法律責任
eIDAS資格認證、RGPD合規性、ANSSI要求:電子簽署服務供應商面臨嚴格的法律框架。瞭解需要遵守的所有責任。
Certyneo 團隊
撰稿人 — Certyneo · 關於 Certyneo
介紹
在法國部署電子簽署解決方案並非隨意決定。在每份合格或進階簽署背後隱藏著數十項適用於信任服務供應商(PSCo)的法律責任。eIDAS規則、RGPD、一般安全參考架構、ETSI標準……監管框架既複雜又不斷演變。對於使用企業來說,瞭解這些法律責任至關重要,以便選擇合規的合作夥伴並避免任何法律風險。本文將逐段詳細說明適用於在法國境內運營的PSCo的所有要求。
---
合格信任服務供應商的地位
eIDAS意義下的PSCo是什麼?
eIDAS第910/2014號規則區分了兩類供應商:非合格信任服務供應商和合格供應商(PSCQ)。前者可以提供簡單或進階電子簽署服務,無需強制第三方審計。後者——只有獲得授權才能按eIDAS第3(15)條提供合格簽署——必須滿足相當嚴格的要求。
在法國,國家資訊系統安全局(ANSSI)擔任eIDAS第17條規定的監督機構角色。它發佈並維護法國信任清單(TSL——Trust Service List),可在其官方網站上訪問,列出合格供應商及其服務。
認證程序:審計和合規性
為了獲得合格地位,PSCo必須:
- 由根據EN ISO/IEC 17065標準獲得COFRAC認證的合格機構(CAB——Conformity Assessment Body)對其服務進行審計。
- 將審計報告提交給ANSSI,ANSSI決定是否授予合格地位。此地位至少每24個月重新評估一次(eIDAS第20§1條)。
- 在計劃修改前3個月內向ANSSI通知其服務的任何實質性變更(eIDAS第21條)。
不遵守這些步驟會導致供應商從TSL中除名,並失去與合格簽署相關聯的法律推定。對於企業客戶而言,使用未在TSL上列出的PSCo相當於完全喪失法律可靠性推定。
> 關於簽署不同級別及其法律效果的更多信息,請查閱我們的資源。
---
對PSCo的技術和安全責任
遵守ETSI標準
合格供應商必須符合歐洲電信標準協會(ETSI)發佈的一套歐洲標準。主要標準包括:
- ETSI EN 319 401:適用於所有PSCo的一般安全要求。
- ETSI EN 319 411-1和411-2:頒發合格簽署證書的認證機構的政策和做法。
- ETSI EN 319 132:進階電子簽署格式(XML的XAdES、PDF的PAdES、CMS的CAdES)。
- ETSI EN 319 122:合格簽署的CAdES格式。
- ETSI TS 119 431:遠程簽署創建服務(遠程QSCD)的要求。
這些標準並非可選的:eIDAS規則(附件II、III和IV)明確引用它們以定義合格證書和簽署創建設備的最低要求。
合格簽署創建設備(QSCD)的管理
合格簽署的支柱之一是使用符合eIDAS附件II的合格簽署創建設備(QSCD)。供應商必須確保:
- 簽署人的私鑰只能在QSCD內生成、存儲或複製。
- 密鑰生成僅在經過認證的環境中進行(Common Criteria EAL 4+認證或同等級別)。
- 簽署前的簽署人認證基於至少兩個認證因素。
在遠程簽署背景下——在SaaS環境中越來越普遍——這些要求適用於託管密鑰的服務器HSM(硬件安全模塊)。ANSSI發佈了特定的保護配置文件(PP-0075、PP-0076),定義了應達到的安全標準。
業務連續性和事件通知政策
eIDAS第19條要求每個信任服務供應商(無論合格與否):
- 在發現可能影響服務可靠性的安全漏洞後24小時內通知監督機構(ANSSI),如適用還應通知數據保護機構(CNIL)。
- 保持一份文件化並定期測試的業務連續性計劃。
- 擁有正式的信息安全政策,特別涵蓋風險管理、事件管理和備份政策。
這些要求部分與NIS2指令(2022/2555/EU)相重疊,該指令已通過2023年8月1日第2023-703號法律轉化為法國法律,將重要規模的PSCo列為受強化網絡安全責任的重要或基本實體。
> 瞭解如何在您的文檔工作流程中整合這些限制。
---
適用於PSCo的RGPD特定責任
PSCo是數據處理者還是數據處理商?
PSCo的RGPD資格取決於所提供服務的性質:
- 當PSCo代表簽署人直接頒發合格證書並確定個人數據處理的目的時(身份、身份驗證生物識別數據),它以RGPD第4(7)條意義下的數據控制者身份行動。
- 當它將其API集成到B2B客戶的平台中並根據該客戶的指示處理個人數據時,它具有數據處理商身份(RGPD第4(8)條),必須簽署符合RGPD第28條的DPA(數據處理協議)。
實際上,大多數SaaS PSCo兼具兩種身份:負責其自身認證基礎設施管理的控制者,以及負責簽署人文檔和元數據處理的數據處理商。
與生物識別和身份數據相關的特定責任
簽署人的身份確認和認證——頒發合格證書的必要步驟——通常涉及敏感數據的處理:身份證掃描、自拍視頻、面部識別生物識別數據。這些數據構成受RGPD約束的個人數據,甚至可能是受RGPD第9條約束的生物識別數據(特殊類別)。
PSCo的責任包括:
- 法律基礎:對於生物識別數據的處理,需要明確同意(第9§2a條)或在某些情況下法律義務(第9§2b條)。
- 保留期限受限:根據CNIL指南,身份數據應保留為期必要,通常與證書有效期+法定保留期一致(私法文件通常為10年,《民法典》第2224條)。
- 強制性影響評估(AIPD)(RGPD第35條),只要處理可能造成高風險——這對生物識別系統來說是系統性的。
- 處理記錄(RGPD第30條)保持最新並記錄每個處理類別。
國際數據轉移
許多PSCo將其基礎設施的全部或部分託管在歐洲經濟區(EEE)以外。在這種情況下,RGPD第V章要求的適當保障適用:適當性決定、歐盟委員會標準合同條款(SCCs)或具有約束力的企業規則(BCR)。Schrems II判決(CJEU,C-311/18,2020年7月16日)提醒人們,向美國的轉移需要事先進行國家風險分析。
> 要瞭解這些規則對您的組織的影響,請查閱我們的資源。
---
對用戶的透明度和信息責任
認證政策(PC)和認證做法聲明(DPC)
每個頒發證書的PSCo都必須按照ETSI EN 319 411標準發佈認證政策(PC)和認證做法聲明(DPC)。這些文件可自由訪問,詳細說明:
- 簽署人的身份確認和登記程序。
- 已部署的物理和邏輯安全措施。
- 證書撤銷的條件和相關延遲。
- PSCo的責任和保證限制。
缺乏或不完整這些文件構成不合規,在由認證機構進行的重新認證審計期間可能會被發現。
對客戶的售前和合同信息
除了純技術責任外,RGPD第13條要求PSCo向收集其數據的每個人提供明確且可訪問的信息,說明:
- 數據控制者的身份和DPO(數據保護官)的聯繫方式(對於大規模處理敏感數據的PSCo是強制的,RGPD第37條)。
- 每個處理的目的和法律基礎。
- 個人權利(訪問、更正、刪除、可攜性、反對)。
- 數據的任何潛在接收者(數據處理商、當局)。
這些信息必須出現在服務隱私政策、使用條款中,以及在適用情況下在與專業客戶簽署的DPA中。
合格時間戳和審計追蹤
為了確保簽署的長期法律價值,認真的PSCo系統地將合格電子時間戳(eIDAS第42條)與每個簽署的行為相關聯。此時間戳構成法律上推定的數據存在於指示日期的證據。審計追蹤的保存(身份確認日誌、文檔指紋、簽署數據)是事實上的責任,以便允許任何未來的司法驗證。
> 根據這些標準在我們的比較中比較市場上的解決方案。
---
eIDAS 2.0:2026-2027年視野內的新責任
eIDAS 2.0規則(UE)2024/1183
於2024年4月30日發佈在《歐盟官報》上,eIDAS 2.0規則(UE)2024/1183圍繞三個軸線顯著加強了PSCo的責任:
- 歐洲數字身份錢包(EUDI Wallet):成員國必須在2026年11月2日前提供經認證的數字身份錢包。PSCo將需要整合其服務與此錢包,通過eIDAS 2.0身份提供合格簽署。
- 屬性證明的管理:eIDAS 2.0引入合格屬性證明(QEAAs),由合格證明供應商頒發。新的審計和認證程序將適用。
- 監督強化:國家監督機構(法國的ANSSI)的權力得到擴大,特別是進行突擊審計和在縮短期限內實施具有約束力的糾正措施的能力。
對當前供應商的實際影響
已在eIDAS 1.0下獲得認證的PSCo必須在歐盟委員會規定的截止日期前逐步達到合規性(已發佈或正在發佈的執行行為)。主要適應涉及:
- 基礎設施重新配置,以支持EUDI錢包作為認證手段。
- PC/DPC的更新,以整合新的證書和證明類型。
- 遠程QSCD的安全要求加強,新的保護配置文件即將推出。
對於企業客戶而言,這意味著立即驗證其供應商是否具有文件化且可驗證的eIDAS 2.0合規路線圖。
適用於電子簽署供應商責任的法律框架
在法國運營的電子簽署供應商適用的標準鏈在多個互補的層級架構上進行組織。
法國《民法典》——第1366和1367條
《民法典》第1366條確認電子書面作為等同於紙質書面的證明方式,條件是「可適當識別其來源的人,並以保證其完整性性質的條件建立和保存」。第1367條澄清電子簽署「由可靠的身份確認程序的使用組成,保證其與該行為的聯繫」。合格簽署在eIDAS意義下享有可靠性推定的好處,為簽署人反轉舉證責任。
eIDAS第910/2014/EU號規則
該規則在所有成員國中直接適用,為信任服務建立法律框架。其第26條定義進階電子簽署的條件;第28條定義合格證書的要求;附件I詳細說明這些證書的強制性內容。合格PSCo享有符合該規則技術和法律要求的推定(第19§2條),在發生爭議時構成一項重大優勢。
eIDAS 2.0——(UE)2024/1183
於2024年4月30日發佈,此修訂規則引入新的信任服務類別(合格屬性證明、合格存檔服務)並加強監督責任。它部分廢除和替換第910/2014號規則,根據歐盟委員會執行行為的適用時間表逐步適用。
RGPD——規則(UE)2016/679
RGPD適用於電子簽署服務框架內進行的任何個人數據處理。第5條(合法性原則)、第6條(法律基礎)、第9條(敏感數據)、第13-14條(信息)、第28條(數據處理商)、第32條(安全)、第33-34條(違規通知)、第35條(AIPD)和第37條(DPO)構成最頻繁適用的條款。CNIL是法國的主管控制機構,可處以最高2000萬歐元或年全球營業額4%的罰款(RGPD第83§5條)。
NIS2指令——(UE)2022/2555
通過2023年8月1日第2023-703號法律轉化為法國法律,NIS2將重要規模的PSCo列為受網絡風險管理和事件24小時內通知ANSSI(早期警告)義務的重要或基本實體,隨後72小時通知(完整通知)。
ETSI標準
所有EN 319 401、EN 319 411-1/2、EN 319 132、EN 319 122和TS 119 431標準構成認證審計的強制技術參考。不遵守它們導致無法獲得或維持合格地位。
不符合時的法律風險
不符合的供應商面臨:從法國TSL中除名、合同和非合同責任、CNIL行政處罰、NIS2罰款可達1000萬歐元或全球營業額2%(對於重要實體)和2000萬或4%(對於基本實體),以及因簽署在法律上無效而蒙受損失的客戶的司法訴訟。
使用場景:企業如何驗證PSCo的合規性
場景1——管理每年3000份供應商合同的工業集團
一個中型工業集團(ETI),從事機械設備製造,通過SaaS電子簽署平台對其所有供應商合同進行去中介化。在由監管變更觸發的內部審計後,法律部門發現最初選擇的供應商——最初以價格為基礎選擇——既未在法國TSL上列出,也未在任何歐洲TSL上列出。提供的簽署是「簡單」類型,沒有簽署人強大的身份確認機制。
面對法律風險——所有已簽署合同的法律價值在訴訟情況下可能受到質疑——企業開始遷移到ANSSI合格的PSCo。新解決方案整合了具有合格證書的進階簽署、合格時間戳和可導出的審計追蹤。遷移項目在不到8週內完成,允許追溯保護新行為並建立符合規定的文檔政策。法律團隊估計與舊合同相關的內容風險很小,因為它們已執行而未引起爭議,但所有新簽署現在都有保護。
觀察到的收益:與簽署真實性相關的潛在訴訟減少60%,複雜合同的平均簽署延遲減少3.5天,這要歸功於驗證工作流程的自動化。
場景2——一個25人的商業法律專科律師事務所
一個律師事務所希望將授權書、諮詢和訴訟行為的簽署去中介化,評估多個供應商。其分析網格包括以下標準:TSL上的存在、可訪問的PC/DPC發佈、符合RGPD的DPA存在、可聯繫的DPO可用性和遠程QSCD認證。
在五個評估的供應商中,只有兩個滿足所有標準。律師事務所最終選擇提供本機遠程QSCD合格簽署的PSCo,確保《民法典》第1367條推定的可靠性。實施用時3週,包括培訓。結果:75%的授權書現在在不到24小時內簽署,而之前需要5至7天(郵件發送),律師事務所可以向其客戶證明解決方案提供的法律安全級別——這是其商業提案中的一個差異化論點。
場景3——一個約1200張病床的醫院集團
一個公立醫院集團希望將工作合同、實習協議和與合作醫療機構的夥伴協議去中介化。所處理數據的敏感性(醫療人員健康數據、人力資源數據)要求對PSCo的RGPD責任特別謹慎。
信息系統部門和機構DPO要求:在經過認證的HDS供應商(衛生數據託管商,由《公共衛生法典》第L.1111-8條規定的認證)處進行數據託管,無EEE外轉移,為簽署人身份確認處理記錄的文件化AIPD,以及任何生產前部署前簽署的DPA。
在選擇了符合這些標準的PSCo後,部署首先涵蓋HR合同(每年約800項)。定期合同簽署的平均延遲從9天降至不到48小時,為人力資源團隊解放了可觀的能力。該機構還擁有所收集同意的完整可追溯性,由其DPO每年審計。
結論
法國電子簽署服務供應商肩負的法律責任形成了一個要求苛刻的標準語料庫:eIDAS認證、RGPD合規性、ETSI標準遵守、NIS2責任和即將到來的eIDAS 2.0適應。對於使用企業,確保其PSCo的合規性並非可選舉措——這是簽署行為法律價值和簽署人個人數據保護的先決條件。
Certyneo是一個電子簽署供應商,旨在滿足所有這些要求:eIDAS合規性、RGPD設計嵌入、主權託管和文件化的eIDAS 2.0路線圖。準備好確保您的簽署完全合規了嗎?聯繫我們並從第一天起受益於個性化陪同。
深入探討主題
關於此主題的參考文章。