電子簽名服務商在法國的義務
eIDAS資格認證、RGPD合規性、ANSSI要求:電子簽名服務商面臨著複雜的法律框架。了解所有需要遵守的義務。
Certyneo 團隊
撰稿人 — Certyneo · 關於 Certyneo
介紹
在法國部署電子簽名解決方案不是一件臨時性的事情。在每個合格或進階簽名的背後,隱藏著數十項法律義務,這些義務由信任服務提供商(PSCo)承擔。eIDAS法規、RGPD、通用安全參考框架、ETSI規範……監管框架既密集又不斷發展。對於使用企業而言,理解這些法律義務對於選擇符合規定的合作夥伴並避免任何法律風險至關重要。本文逐節詳細說明適用於在法國領土運營的PSCo的所有要求。
---
合格信任服務提供商的地位
eIDAS意義下的PSCo是什麼?
eIDAS法規第910/2014號區分了兩類服務提供商:非合格信任服務提供商和合格提供商(PSCQ)。前者可以不進行強制性第三方審計而提供簡單或進階電子簽名服務。後者——只有被授權按照eIDAS第3(15)條定義提供合格簽名——必須滿足更為嚴格的要求。
在法國,國家信息系統安全局(ANSSI)履行eIDAS第17條規定的監督機構(「監督機構」)角色。它發佈並維護法國信任清單(TSL——信任服務清單),該清單在其官方網站上可訪問,列出合格的服務提供商及其服務。
資格認證程序:審計與合規
為獲得合格地位,PSCo必須:
- 由COFRAC根據EN ISO/IEC 17065規範認可的符合性評估機構(CAB)對其服務進行審計。
- 將審計報告提交給ANSSI,ANSSI對授予合格地位進行決定。該地位至少每24個月重新評估一次(eIDAS第20條第1款)。
- 在計劃修改前3個月內通知ANSSI任何實質性服務變更(eIDAS第21條)。
不遵守這些步驟會導致服務商被從TSL中撤銷,並失去與合格簽名相關的法律推定。對於企業客戶而言,使用未列在TSL上的PSCo相當於無法獲得任何法律可靠性推定。
> 有關簽名的不同級別及其法律效果的更多信息,請參閱我們的eIDAS 2.0規則完整指南。
---
對PSCo施加的技術和安全義務
遵守ETSI規範
合格提供商必須符合歐洲電信標準協會(ETSI)發佈的一套歐洲規範。主要包括:
- ETSI EN 319 401:適用於所有PSCo的一般安全要求。
- ETSI EN 319 411-1和411-2:頒發合格簽名證書的認證機構的政策和實踐。
- ETSI EN 319 132:進階電子簽名格式(XML的XAdES、PDF的PAdES、CMS的CAdES)。
- ETSI EN 319 122:合格簽名的CAdES格式。
- ETSI TS 119 431:遠程簽名創建服務(遠程QSCD)的要求。
這些規範不是可選的:eIDAS法規(附件II、III和IV)明確要求參考這些規範來定義合格證書和簽名創建設備的最低要求。
管理合格簽名創建設備(QSCD)
合格簽名的核心之一是使用符合eIDAS附件II的合格簽名創建設備(QSCD)。提供商必須確保:
- 簽名人的私鑰只能在QSCD內生成、存儲或複製。
- 密鑰生成完全在經認證環境(Common Criteria EAL 4+認證或等效)中進行。
- 簽名人認證在任何簽名行為前均基於至少兩個認證因素。
在遠程簽名環境中——在越來越多的SaaS環境中普遍存在——這些要求適用於託管密鑰的服務器HSM(硬件安全模塊)。ANSSI已發佈特定的保護配置文件(PP-0075、PP-0076),定義了應達到的安全標準。
業務連續性政策和事件通知
eIDAS第19條要求所有信任服務提供商(合格或非合格):
- 在檢測到可能影響服務可靠性的安全漏洞後的24小時內通知監督機構(ANSSI),並在適當情況下通知數據保護機構(CNIL)。
- 保持一份經過定期測試和文檔化的業務連續性計劃。
- 擁有正式的信息安全政策,特別涵蓋風險管理、事件管理和備份政策。
這些要求與NIS2指令(2022/2555/EU)部分重疊,該指令已通過2023年8月1日第2023-703號法律轉化為法國法律,將規模較大的PSCo列為重要實體或關鍵實體,受強化網絡安全義務的約束。
> 了解法律事務所的電子簽名如何必須在其文檔工作流中整合這些限制。
---
特定於PSCo的RGPD義務
PSCo是數據控制者還是數據處理者?
提供商的RGPD身份取決於提供的服務性質:
- 當PSCo直接以簽名人名義發放合格證書並確定個人數據處理目的(身份、認證生物識別數據)時,該服務商以數據控制者身份行事(RGPD第4(7)條)。
- 當其API集成到B2B客戶平台並根據客戶單獨指示處理個人數據時,其擁有數據處理者身份(RGPD第4(8)條)並必須簽署符合RGPD第28條的DPA(數據處理協議)。
實際上,大多數SaaS PSCo身份重合:在自有認證基礎設施方面是控制者,在簽名人文檔和元數據處理方面是處理者。
與生物識別和身份數據相關的特定義務
簽名人的身份驗證和認證——發放合格證書的必需步驟——通常涉及處理敏感數據:身份證掃描、自拍視頻、面部識別生物識別數據。這些數據構成受RGPD保護的個人數據,甚至受RGPD第9條管制的生物識別數據(特殊類別)。
PSCo的義務包括:
- 法律依據:明確同意(第9條第2款(a))或在某些情況下法律義務(第9條第2款(b))用於處理生物識別數據。
- 保留期限受限:根據CNIL指南,身份驗證數據必須保留必要的時間,通常與證書有效期+法律證明期限(通常10年用於私人契約,民法第2224條)相符。
- 影響評估(AIPD)必須進行(RGPD第35條),只要處理可能造成高風險——這對生物識別系統普遍適用。
- 處理記錄(RGPD第30條)保持最新並記錄每個處理類別。
國際數據轉移
許多PSCo將其基礎設施的全部或部分託管在歐洲經濟區(EEA)外。在這種情況下,RGPD第V章要求的適當保障是強制性的:充分性決定、歐盟委員會標準合同條款(SCCs)或具有約束力的企業規則(BCR)。Schrems II判決(歐盟法院,C-311/18,2020年7月16日)提醒人們向美國的轉移需要事先的國家風險分析。
> 要了解這些規則對您組織的影響,請參閱我們的企業電子簽名指南。
---
對用戶的透明度和信息義務
認證政策(PC)和認證實踐聲明(DPC)
任何頒發證書的PSCo都被要求發佈認證政策(PC)和認證實踐聲明(DPC),符合ETSI EN 319 411規範。這些文件可自由訪問,詳細說明:
- 簽名人的身份驗證和登記程序。
- 部署的物理和邏輯安全措施。
- 證書撤銷條件和相關時間表。
- PSCo的責任和保證限制。
缺乏或不完整這些文件構成非合規性,可能在授權機構進行的再次認證審計中被發現。
向客戶提供的合同前和合同信息
除了純技術義務外,RGPD第13條要求PSCo向收集其數據的每個人提供清晰易懂的信息,包括:
- 數據控制者身份和DPO聯繫方式(對於大規模處理敏感數據的PSCo強制性,RGPD第37條)。
- 每項處理的目的和法律依據。
- 個人的權利(訪問、修正、刪除、數據可攜性、反對)。
- 數據的任何收件人(處理者、機構)。
這些信息必須出現在服務的隱私政策、條款和條件以及與專業客戶簽署的DPA中。
合格的時間戳和審計線索
為確保簽名的長期法律價值,認真的PSCo通常將合格的電子時間戳(eIDAS第42條)與每項簽名行為關聯。該時間戳構成所指日期數據存在的法律推定證據。審計線索(身份驗證日誌、文檔哈希、簽名數據)的保留是一項事實義務,以允許任何後續司法驗證。
> 根據這些標準在電子簽名解決方案比較中比較市場解決方案。
---
eIDAS 2.0:2026-2027年期間的新義務
eIDAS 2.0法規(EU)2024/1183
發佈於2024年4月30日的(EU)2024/1183法規(稱為「eIDAS 2.0」)圍繞三個軸線大幅加強PSCo的義務:
- 歐洲數字身份錢包(EUDI Wallet):成員國必須在2026年11月2日前提供經認證的數字身份錢包。PSCo將需要將其服務與該錢包集成,以通過eIDAS 2.0身份提供合格簽名。
- 屬性證明管理:eIDAS 2.0引入了合格屬性證明(QEAAs),由合格證明提供商頒發。新的審計和認證程序將適用。
- 監督加強:國家監督機構(法國的ANSSI)權力擴大,特別是進行突查審計的能力和在短期內施加強制糾正措施的能力。
對現有提供商的實際影響
在eIDAS 1.0下已經合格的PSCo必須在委員會執行行為規定的期限前進行逐步合規調整(已發佈或正在發佈)。主要適應涉及:
- 身份驗證基礎設施的改造,以支持EUDI Wallet作為認證手段。
- PC/DPC的更新,以整合新的證書和證明類型。
- 遠程QSCD安全要求的加強,及新的保護配置文件。
對於企業客戶而言,這意味著從今天開始驗證其提供商是否具有經文檔證明且可驗證的eIDAS 2.0合規路線圖。
適用於電子簽名提供商義務的法律框架
適用於在法國運營的電子簽名提供商的規範鏈涉及多個相互補充的層級。
法國民法——第1366和1367條
民法第1366條承認電子書面形式等同於紙質書面形式的證明方式,前提是「可以適當識別簽署人身份,且該書面形式的建立和保存方式應當保證其完整性」。第1367條明確電子簽名「包括使用與所簽署行為建立可靠聯繫的可靠身份識別程序」。符合eIDAS定義的合格簽名的可靠性推定是有利於簽署人的,反轉舉證責任。
eIDAS法規第910/2014/EU
該法規在所有成員國直接適用,確立了信任服務的法律框架。其第26條定義了進階電子簽名的條件;第28條定義了合格證書的要求;附件I詳述了這些證書的強制性內容。合格PSCo受益於符合法規技術和法律要求的推定(第19條第2款),這在訴訟中構成了主要優勢。
eIDAS 2.0法規——(EU)2024/1183
發佈於2024年4月30日,該修訂法規引入了新的信任服務類別(合格屬性證明、合格存檔服務)並加強了監督義務。它根據歐盟委員會執行行為分階段廢止並替代第910/2014號法規。
RGPD——法規(EU)2016/679
RGPD適用於在電子簽名服務框架內進行的任何個人數據處理。第5條(合法性原則)、第6條(法律依據)、第9條(敏感數據)、第13-14條(信息)、第28條(數據處理委託)、第32條(安全)、第33-34條(違規通知)、第35條(影響評估)和第37條(DPO)構成最常適用的規定。CNIL是法國主管機構,可處以最高2000萬歐元或全球年營業額4%的罰款(RGPD第83條第5款)。
NIS2指令——(EU)2022/2555
通過2023年8月1日第2023-703號法律轉化為法國法律,NIS2將規模較大的PSCo列為受強化網絡風險管理和事件通知ANSSI義務約束的重要或關鍵實體,時限為24小時(早期警報)至72小時(完整通知)。
ETSI規範
所有EN 319 401、EN 319 411-1/2、EN 319 132、EN 319 122和TS 119 431規範構成資格認證審計的強制技術參考。不遵守這些規範導致無法獲得或維持合格地位。
非合規情況下的法律風險
不符合規定的服務商面臨:被從法國TSL撤銷、合同和侵權責任的承擔、CNIL行政制裁、NIS2罰款(重要實體最高1000萬歐元或全球CA 2%,關鍵實體最高2000萬歐元或4% CA)、以及因簽名在法律上無效而遭受損害的客戶的司法訴訟。
使用場景:企業如何驗證其PSCo的合規性
場景1——管理每年3000份供應商合同的工業集團
一家中等規模工業集團(ETI),從事機械設備製造,通過SaaS電子簽名平台將其所有供應商合同數字化。在因監管變化而啟動的內部審計期間,法律部主任注意到最初選定的服務提供商——基於價格標準——既未列在法國TSL上,也未列在任何歐洲TSL上。頒發的簽名是「簡單」類型,沒有健全的簽署人身份識別機制。
面對法律風險——所有簽署的合同在訴訟中其證明價值可能受到質疑——該企業開始遷移到ANSSI認證的合格PSCo。新解決方案集成了帶合格證書的進階簽名、合格的時間戳和可導出的審計線索。遷移工作在8週內完成,允許追溯保護新行為並建立符合規定的文檔政策。法律團隊估計與舊合同相關的訴訟風險微不足道,因為它們已在沒有爭議的情況下執行,但任何新簽名現在都受到保護。
觀察到的收益:與簽名真實性相關的潛在訴訟風險減少60%,並通過簽名驗證工作流自動化在複雜合同上獲得平均3.5天的延遲收益。
場景2——25名商業法律專家的律師事務所
一家專門從事商法的律師事務所希望將授權書、諮詢和訴訟行為的簽名數字化,評估了多個服務提供商。其分析網格包括以下標準:在TSL上的展示、PC/DPC可訪問性、符合RGPD的DPA存在、DPO可聯繫性和遠程QSCD認證。
在評估的五個提供商中,只有兩個滿足所有標準。該律師事務所最終選擇了本身提供通過遠程QSCD合格簽名的服務商,確保民法第1367條的法律可靠性推定。設置花費3週,包括培訓。結果:75%的授權書現在在24小時內簽署,而之前需要5-7天(郵寄),律師事務所可以向其客戶證明解決方案提供的法律安全級別——在其商業建議中一個區分性論點。
場景3——約1200張病床的醫院集團
一家公共醫院集團希望將工作合同、實習協議和夥伴醫療機構協議數字化。所處理數據的敏感性(醫療專業人員的醫療數據、人力資源數據)對PSCo的RGPD義務要求特別謹慎。
該集團的IT部和DPO要求:在經認證的HDS(醫療數據託管服務商,根據公共衛生法第L.1111-8條規定的認證)法國託管數據、無EEA外轉移、所簽署人身份識別處理的文檔化AIPD以及在開始投入生產前簽署的DPA。
選定符合這些標準的PSCo後,部署優先涵蓋人力資源合同(每年約800項行為)。定期合同簽署的平均延遲從9天降至不到48小時,為人力資源團隊釋放了重要能力。該機構擁有所有所收集同意的完整可追蹤性,由DPO每年審計。
結論
壓在法國電子簽名服務商身上的法律義務構成了一個要求嚴格的規範語料:eIDAS認證、RGPD合規、ETSI規範遵守、NIS2義務和即將適應eIDAS 2.0。對於使用企業而言,確保其PSCo的合規性不是可選工作——這是簽署行為的法律價值和簽署人個人數據保護的先決條件。
Certyneo是電子簽名服務提供商,旨在滿足所有這些要求:eIDAS合規、RGPD設計理念、主權託管和文檔化eIDAS 2.0路線圖。準備在完全合規的情況下保護您的簽名?要求演示或在Certyneo上創建您的帳戶,從第一天起獲得個性化支持。
深入探討主題
關於此主題的參考文章。