合資格電子證書企業指南：2026年版

合資格電子證書何以成為企業必不可少的工具

隨著合約文件無紙化進程在各行業加速推進，合資格電子證書已成為法律部門、資訊長與執行主管的策略性議題。根據法國資訊安全機構(ANSSI)2024年年度報告，超過78%採用合資格電子簽署的法國中小企業縮短了超過60%的合約簽署時間。然而許多人仍混淆簡單簽署、進階簽署與合資格簽署，冒著法律文件遭質疑的風險。本文分步驟引導您理解合資格電子證書的定義、如何在RGS與eIDAS框架內取得，以及如何在您的組織內有效部署。

什麼是合資格電子證書？

電子證書是由認證機構(AC)簽發的數位檔案，將自然人或法人身份與公開密鑰相連結。它是第三方驗證數位簽署真實性與完整性的關鍵工具。

「合資格」此詞源自歐盟電子身份識別與信任服務法規eIDAS（2014/910號法規第28條）的精確定義：證書必須由列入國家信任清單（在法國由ANSSI發布）的合資格信任服務提供商(PSCQ)簽發，並須遵守ETSI EN 319 411-2規範標準的技術要求，該規範規範認證政策與實踐。

實際上，合資格證書保證：

• 簽署人的身份經過驗證（面對面文件驗證或同等認可方式）；
• 已簽署文件的完整性（事後任何修改都可被偵測）；
• 不可否認性（簽署人無法否認曾簽署）。

簡單簽署、進階簽署與合資格簽署的差異

eIDAS法規區分三個電子簽署等級，各自對應不同的證書等級：

| 等級 | 所需證書 | 效力 | 典型用途 | |---|---|---|---| | 簡單 | 非必需 | 弱 | 一般採購單 | | 進階 | 進階證書(PSCQ) | 中等 | 企業對企業商業合約 | | 合資格 | 合資格證書(合資格PSCQ) | 最高，等同手簽 | 公証書、政府採購、敏感人力資源事務 |

只有合資格簽署——唯一享有與手簽法律等效推定權的簽署（民法第1367條）——絕對需要合資格證書。欲了解等級間的更多差異，請參閱我們的完整電子簽署指南。

---

RGS框架：法國特有的要求

在法國，通用安全標準(RGS)由2010年112號法令規定，由ANSSI定期更新，規範行政機構資訊系統的安全要求。對於與公共實體簽訂合約的企業（政府採購、電子辦事），RGS合規通常是合約或法律義務。

適用於證書的RGS等級

RGS為證書定義三星等級：

• RGS*(一星)：基礎等級，適合低敏感度常規用途；
• RGS(二星)**：中等等級，大多數電子行政辦事所需；
• RGS(三星)*：高等級，適用於高法律或財務風險的文件。

根據2016年360號法令（第39及40條），電子政府採購通常至少要求二星RGS簽署等級，涉及相當資格的證書。

RGS與eIDAS的協調

自eIDAS法規生效以來，兩個標準共存。eIDAS意義下的合資格證書通常被視為滿足RGS**要求。ANSSI已發布對應表以確保相容性。因此，對於同時與私人與公共伙伴合作的企業，建議優先選擇由列入法國信任清單的PSCQ簽發的合資格eIDAS證書——這可同時涵蓋兩個標準。

欲深入了解歐盟法規，我們的eIDAS 2.0指南詳述計劃的重大演變及其對法國企業的影響。

---

如何取得合資格電子證書：分步流程

取得合資格電子證書並非簡單之舉：涉及簽署人身份的嚴格驗證，以及對於法人，需驗證其法律代表權。以下是主要步驟。

第一步：識別合適的合資格信任服務提供商

在法國，有權簽發合資格證書的PSCQ列於由ANSSI發布的信任服務狀態清單(TSL)中（可在esignature.gouv.fr門戶網站取得）。此清單中的參與者包括CertEurope、Certinomis（法國郵政子公司）、Keynectis等認證機構，以及根據eIDAS相互承認原則被認可的歐洲服務商。

選擇標準審查：

• 實際登録法國及/或歐洲TSL；
• 提供的證書格式（軟體、智慧卡、雲HSM）；
• 與現有IT基礎設施的相容性；
• 定價與有效期（通常1至3年）；
• 支援等級與註冊延遲。

第二步：準備註冊申請檔案

對於企業，合資格證書申請需提供文件證明簽署人（自然人）的身份及其代表法人的權限。通常需要的文件為：

• 簽署人的官方身份證件（護照、國家身份證）；
• 不超過3個月的商業登記摘錄(或協會、公共機構等同等文件)；
• 若簽署人非法定代表人的授權委託書；
• 特定PSCQ的申請表。

身份驗證必須由PSCQ指定的註冊運營商面對面進行，或通過經認可的遠端驗證程序（符合ETSI TS 119 461規範的影片識別）。

第三步：證書交付與啟用

根據選定的格式，證書以如下方式交付：

• 在合資格簽署建立裝置(QSCD)上：Common Criteria EAL 4+認證的加密USB鑰匙或智慧卡；
• 通過由PSCQ管理的遠端簽署服務(遠端合資格電子簽署——RQES)，其中私密鑰存於符合ETSI EN 419 241規範的認證HSM(硬體安全模組)中。

RQES服務部署已成企業最廣泛採用的解決方案，避免了密碼支援物理管理而保持合資格合規。比較電子簽署解決方案以識別最適合您背景的模式。

第四步：整合至您的業務流程

獲得證書後，其整合到企業文件流通通常透過SaaS電子簽署平台進行。該平台必須相容ETSI標準（XAdES、PAdES、CAdES）以保證相互運作性與數位證據的持久性。我們關於企業電子簽署的專題文章將幫助您結構化此部署。

---

費用、有效期與續簽：企業必須預期的事項

2026年價格範圍

合資格證書的費用因格式與服務商而異：

• 實體載體證書(USB鑰匙/智慧卡)：每個簽署人每年80至250歐元(稅前)；
• 雲合資格證書(RQES)：每個簽署人每年40至150歐元(稅前)，視規模而定；
• 企業套餐：從10個簽署人起提供顯著折扣，可達單價的30至40%。

應將此類費用與產生的節約相比較：消除列印、郵資、郵寄處理時間及簽署遭質疑相關的爭訟。

有效期與續簽

合資格證書的有效期通常為1、2或3年，視所訂購的方案而定。到期後，先前簽署的文件保持有效（前提是通過合資格時間戳服務保持完整性），但無法再用已過期的證書簽署新文件。因此必須建立監控與提前續簽流程——理想情況下在到期前60天。

撤銷與事件管理

如密碼鑰洩露(載體遺失、被盜、或遺露嫌疑)，證書必須立即向PSCQ撤銷。PSCQ將在其證書撤銷清單(CRL)或OCSP協議中發佈撤銷，使任何後續用此證書簽署均無效。內部安全政策應規定一個專屬聯絡點及24小時內的警報時間。

---

企業成功部署的最佳實踐

治理與內部角色

成功的部署取決於清晰的治理。建議指定：

• 一位由IT負責的PKI管理員(公開金鑰基礎設施)，負責與PSCQ的關係及續簽跟進；
• 一位法律顧問驗證需合資格簽署的使用案例(對比進階簽署)；
• 各部門委派管理員負責簽署人的操作管理。

訓練與變更管理

採用合資格證書單靠此不夠：員工必須理解如何使用其證書、何時啟用及事件應對方式。短期訓練計劃(1至2小時)與文件化程序可大幅減少使用錯誤與支援工單。

稽核與可追蹤性

為滿足證據保留義務，保存每次簽署的帶時間戳審計日誌：簽署人身份、文件指紋、認證日期/時間、證書識別碼。此類數據構成爭訟時證據鏈的基礎。ETSI EN 319 132(XAdES)標準預見的簽署格式本身包含此類訊息。

適用於合資格電子證書的法律框架

民法與證據力

在法國法律中，民法第1366條樹立電子文件與紙本文件等效原則，條件是「身份得確保，且按性質保證其完整性」。第1367條第2項指明合資格電子簽署享有可靠性推定：否認簽署者應負舉證責任，將舉證責任轉移至簽署人。

eIDAS法規2014/910號

eIDAS歐盟法規(2014/910號)自2016年7月1日起在所有成員國直接適用，構成超國家基礎。其第25(2)條規定「合資格電子簽署的法律效力等同手簽」。第28及29條定義適用於合資格證書及合資格簽署建立裝置(QSCD)的要求。附件I列出合資格證書的強制提述(政策OID、PSCQ身份、公開鑰、有效期等)。

eIDAS 2.0演變

eIDAS 2.0法規(歐盟法規2024/1183，2024年5月20日生效)引入歐洲數位身份錢包(EUDIW)並加強合資格信任服務的可用性要求。企業應預期到2026-2027年整合此類新機制。

適用ETSI規範

• ETSI EN 319 411-2：簽發合資格證書的PSCQ政策與實踐；
• ETSI EN 319 132(XAdES)與ETSI EN 319 122(CAdES)、ETSI EN 319 162(PAdES)：進階與合資格電子簽署格式；
• ETSI EN 419 241：簽署伺服器(RQES)要求。

GDPR與資料保護

在註冊框架中個人資料處理(身份驗證、文件蒐集)受歐盟GDPR 2016/679規範。PSCQ與企業客戶是共同處理者或在負責人/處理者關係中。需簽署符合第28條GDPR的DPA(資料處理協議)。註冊數據須保留至證書壽命期加上適用訴訟時效(民事事宜5年)。

NIS2指令與基礎設施安全

NIS2指令(2022/2555/EU)由法國法律2024年449號轉錄，要求關鍵及重要實體實施包括數位供應鏈安全在內的風險管理措施。訴諸列入國家TSL的合資格PSCQ構成認可的最佳實踐，在滿足此類要求上有幫助。

使用場景：合資格證書的實際應用

場景1：律師事務所管理高效力文件

一家擁有約20名合夥人與員工的商事律師事務所必須定期簽署股份轉讓書、和解協議與訴訟委託。之前，每份文件需列印、手簽、掃描與郵寄——平均每個簽署周期為4至7個工作天。部署合資格雲證書(RQES)後，不需要公証介入的文件簽署時間縮至少於4小時。該事務所估計行政管理時間減少65%，在使用初期18個月內未記錄任何簽署遭質疑案例。Certyneo提供的律師事務所電子簽署解決方案原生整合此類流程。

場景2：中小企業與政府採購商簽訂合約

一家約120名員工的金屬加工中小企業定期參加電子政府採購競標。其必須用RGS**最低等級證書電子簽署報價及承諾書。在為執行長與一位授權商業主任取得兩份合資格證書後，該企業能按期提交報價，無需往返或郵寄。一年內，涉及約35份採購公告，代表僅文件管理已節省約15人工天。證書的eIDAS合規性也確保其簽署被德國與比利時採購商認可，拓寬其商業範圍。使用我們的ROI計算機估算您自身背景的潛在收益。

場景3：衛生機構安全人力資源與供應商文件

一家約1,200張病床的醫院集團年均處理近3,000份勞動合約、修訂與供應商承諾。人力資源與採購部聯合部署合資格簽署解決方案，為授權主任簽發證書。同時，員工簽署的文件透過進階簽署工作流處理，預留合資格簽署用於高價值法律文件。結果：勞動合約平均完成時間從12天降至2.5天，不完整檔案比例(簽署遺失、錯誤版本)減少78%。Certyneo的衛生健康電子簽署解決方案整合衛生部門的特定法規。

結論

取得合資格電子證書已成為任何企業安全保護數位文件、符合政府採購要求及遵循eIDAS法規框架的必經之路。此非限制，而是競爭優勢：簽署時間縮短、證據鏈無懈可擊、整個歐盟的跨境認可。

核心步驟概括：選擇登録ANSSI信任清單的PSCQ、準備嚴格的註冊檔案、選擇雲格式(RQES)便於部署、將證書整合至符合ETSI標準的平台。

Certyneo於每步陪伴您：從選定合適的簽署等級到整合於業務流程。請求免費示範，發現如何在48小時內在組織內部署合資格簽署。