電子簽名：可追蹤性及2026年內部審計指南

電子去紙化文件流量的增加使企業面臨一個常被低估的風險：無法在訴訟或檢查時重新構建圍繞簽署行為的完整事件鏈。然而，電子簽名的完整可追蹤性不僅是技術便利——它是法律要求、內部審計的槓桿作用，也是在民事和商事法院中的決定性論據。本文探討了eIDAS框架中規定的可追蹤性機制、其在強大的內部審計設備中的應用、事件日誌保留的最佳實踐，以及符合規範解決方案的選擇標準。

電子簽名中的可追蹤性是什麼？

完整審計跟蹤的組成部分

與電子簽署文件相關的審計跟蹤（或audit trail）遠不止簡單的時間戳。它包括從文件發佈到簽名存檔的所有記錄事件，包括每次諮詢、拒絕、委派或中間驗證。具體來說，可靠的事件日誌捕獲：

• 簽署人的已驗證身份：使用的認證方法（OTP短信、合格證書、eIDAS數字身份）、IP地址、設備指紋。

• 合格時間戳：由認證信任服務提供商（PSC）提供，根據ETSI EN 319 421標準，以無可爭辯的方式將每項操作固定在時間中。

• 文件完整性：在每次互動前後計算的密碼雜湊（SHA-256或SHA-3），允許檢測任何篡改。

• 上下文元數據：瀏覽器、語言、屏幕解析度、可選地理位置（經RGPD同意）、時區。

這種粒度對於日誌在法國和歐洲法院中構成可受理證據至關重要。要進一步瞭解這些機制的法律基礎，請參閱我們的電子簽名完整指南。

簽名級別及相關的可追蹤性級別

eIDAS規範區分了三個簽名級別——簡單（SES）、高級（AdES）和合格（QES）——每一個都涉及不同的可追蹤性程度：

| 級別 | 最低可追蹤性要求 | 證明價值 | |---|---|---| | 簡單（SES） | 時間戳、IP、電子郵件 | 簡單推定 | | 高級（AdES） | 強認證、證書、完整審計跟蹤 | 強推定（推翻舉證責任困難） | | 合格（QES） | 合格證書QSCD + 合格TSA | 等同於手寫簽名 |

級別的選擇應由適用於每個文件流的風險分析指導。我們的電子簽名解決方案比較可幫助您識別適合您的情境的解決方案。

將可追蹤性整合到內部審計裝置中

繪製關鍵文件流圖

在部署簽名解決方案之前，內部審計團隊必須繪製所有敏感文件流的完整圖表：商業合約、人力資源補充協議、董事會會議記錄、電匯指令、保密承諾（NDA）。對於每個流，應定義：

• 所需的簽名級別——根據相關法律價值和財務風險。

• 涉及的參與者及其角色（發起人、驗證人、簽署人、檔案保管人）。

• 日誌保留期限——與適用的訴訟時效期限保持一致（商業事項5年，公開文件10年）。

• 日誌訪問條件——確保職能分離。

這一圖表構成了與電子簽名相關的內部控制參考框架的基礎。它自然融入了更廣泛的企業電子簽名治理方法。

在審計任務中利用事件日誌

在內部審計任務期間，電子簽名平台生成的事件日誌允許：

• 驗證委權遵守——誰簽署了什麼、具有什麼授權級別、何時簽署？

• 檢測時間異常——在工作時間外、從異常位置或在異常短的時間內簽署的合約可能表明內部欺詐。

• 驗證聲明——在簽署人否認簽署的爭議情況下，審計日誌提供相反的技術證據。

• 支持合規報告——RGPD（處理登記簿）、ISO 27001（訪問可追蹤性）、部門指令（DSP2、保險部門、衛生部門）。

一個警惕點：事件日誌本身必須完整且不可改變。最佳實踐是定期將其列入時間戳並將其存儲在與生產系統分離的數字保險箱中，最好通過符合NF Z 42-013標準的電子存檔價值證明（AEVP）進行。

利用API自動化審計報告

現代電子簽名平台暴露REST API，允許自動提取可追蹤性數據並將其注入企業GRC工具（ServiceNow、SAP GRC、IBM OpenPages等）。這種自動化大大減少了內部審計人員的負擔，並消除了在手動整合證據時出現人為錯誤的風險。Certyneo的電子簽名ROI計算器說明了與此整合相關的可測量的生產力收益。

簽名證據的保留和存檔

法定保留期限和訴訟時效

簽名證據的保留遵守多個重疊的法律制度：

• 商業法（商業法第L. 123-22條）：會計文件和支持文件必須從會計年度結束之日起保留10年。

• 普通民法訴訟時效（民法第2224條）：人身或動產訴訟為5年，從持有人已知或應該知道事實之日起計算。

• 勞動法：工資單必須保留50年或至員工75歲。

• 健康數據：自最後就診之日起20年（《公共衛生法》第R. 1112-7條）。

這些期限要求存檔解決方案保證長期格式可讀性（PDF/A-3、XAdES-LTA用於XML簽名）和解密密鑰的可訪問性。

長期生命週期簽名格式

XAdES-LT和XAdES-LTA（長期存檔）概要文件，由ETSI EN 319 132標準定義，在簽署文件中嵌入驗證所需的所有信息：完整認證鏈、OCSP或CRL回應、存檔時間戳。這種文檔自足性至關重要，因為認證機構的證書有限的生命週期（1至3年），PKI基礎設施不斷發展。沒有此機制，今天有效的簽名可能在五年內變得技術上無法驗證，不可挽回地損害其證據價值。

可追蹤性成熟度指標：評估您的立場

五級成熟度模型

為幫助審計主任和合規性主管確定其組織的位置，使用分級成熟度模型很有用：

• 級別1 — 不存在：無正式審計跟蹤的電子郵件簽名。

• 級別2 — 基礎：基本時間戳、無證書、非結構化日誌。

• 級別3 — 定義：符合eIDAS的SaaS解決方案、可導出日誌、5年保留期。

• 級別4 — 管理：GRC整合、異常自動警報、符合NF Z 42-013的AEVP。

• 級別5 — 優化：實時審計跟蹤、異常AI檢測、自動化RGPD報告、年度參考框架審查。

根據Adobe的State of Digital Trust報告（2025），大多數法國中小企業位於第2至3級之間。CAC 40的大公司傾向於第4級，由其審計委員和部門監管機構的要求推動。

可追蹤和可審計解決方案的選擇標準

在選擇或遷移到新的簽名平台時，可追蹤性標準應與可用性或價格一樣受到重視。向服務提供商提出的關鍵問題：

• 審計日誌是否不可改變（防止編輯者本身進行篡改）？

• 時間戳是否由合格TSA提供，該TSA在eIDAS信任列表上註冊（Trust List）？

• 可追蹤性數據是否託管在歐洲（主權、RGPD）？

• 日誌是否可以以開放格式導出（JSON、XML、CSV）而無需專有依賴？

• 是否存在審計API允許與現有GRC工具集成？

• 服務提供商本身是否受SOC 2 Type II審計或ISO 27001認證約束？

如果您考慮更改解決方案，我們的從DocuSign或YouSign遷移至Certyneo的指南詳細說明了保留現有審計跟蹤連續性而無文檔中斷的步驟。

適用於電子簽名可追蹤性的法律框架

民法及證明價值

民法第1366條規定了基本原則：「電子形式的書寫具有與紙質支持上的書寫相同的證明力，前提是可以適當識別其來源人，且其的建立和保留方式能夠保證其完整性。」第1367條澄清說電子簽名「包括使用可靠的識別程序，保證與其附加的行為的聯繫」。這兩條條款使可追蹤性和完整性成為電子證據可受理的必要法律條件。

eIDAS法規n° 910/2014及eIDAS 2.0

eIDAS法規n° 910/2014為歐盟電子簽名建立了法律框架。其第25條規定合格電子簽名（QES）在所有成員國中具有與手寫簽名相同的法律效力。第26條（高級簽名）和第27條（跨境承認）對認證和完整性實施了精確的技術要求，這些要求直接轉化為可追蹤性義務。eIDAS 2.0法規（歐盟法規2024/1183，於2024年5月20日生效）通過整合歐洲數字身份錢包（EUDIW）並擴大對合格信任服務提供商的義務來加強這些要求。

RGPD n° 2016/679及可追蹤性數據

審計日誌包含個人數據（IP地址、簽署人身份、行為元數據）。因此，它們構成受RGPD約束的個人數據處理。主要義務：

• 法律基礎：合法利益（第6.1.f條）或法律義務（第6.1.c條），必須在處理登記簿中記錄。

• 最小化：僅收集嚴格必要的數據以實現證明目的。

• 保留期限：限於適用的訴訟時效期限，到期時自動清除。

• 安全性：靜態和傳輸中日誌的加密、嚴格訪問控制（第32條）。

• 歐盟外傳輸：未經適當保障禁止（標準合同條款、充分決定）。

ETSI標準及長期存檔價值證明

ETSI EN 319 132（XAdES）、ETSI EN 319 122（CAdES）和ETSI EN 319 102（生成和驗證程序）標準定義了長期生命週期簽名格式的技術要求。法國標准NF Z 42-013管轄電子存檔系統價值證明（SAEVP）。任何希望其審計日誌在長期內構成無可爭辯證據的組織都必須確保其服務提供商或內部SAE符合這些參考框架。

NIS 2及信任基礎設施的彈性

NIS 2指令（通過2024年7月9日第n° 2024-659號法律轉入法國法律）對基本服務運營商和重要實體施加風險管理和事件通知義務，這些義務明確包括用於電子簽名的信任基礎設施。PSC可追蹤系統的故障可能構成必須在24小時內通知ANSSI的可報告事件。

使用場景：可追蹤性付諸行動

場景1 — 一家擁有1200份年度供應商合約的中型工業集團

一家擁有約3500名員工、分佈在法國6個地點和中歐2個地點的工業集團每年管理超過1200份供應商合約（框架採購訂單、保密協議、價格修訂補充協議）。在實施具有集成審計跟蹤的電子簽名解決方案之前，其採購部門在共享網絡目錄中保留簽署的合約，沒有版本控制或事件日誌。在由機構股東委託進行的外部審計中，審計人員無法重構所檢查合約的23%的驗證歷史記錄：無法證明簽署人在簽署時確實具有所需的委權。

在部署具有不可改變審計日誌的高級簽名平台（AdES）和由合格TSA提供的時間戳後，該集團現在為每份合約提供了可點擊下載的PDF審計跟蹤報告。在18個月後的下一次審計中，驗證鏈重構的比率上升到100%，內部審計團隊用於收集證明文件的時間減少了65%。

場景2 — 一家40名顧問的管理諮詢公司受其客戶RGPD要求約束

一家為大型企業財務部門提供建議的諮詢公司定期受其客戶法律部門的審計，這些部門要求證明任務信函和保密協議確實由授權人簽署，並在合同期限內簽署。該公司之前使用簡單電子郵件簽名（屏幕截圖+ PDF），沒有堅實的證據價值。

通過遷移到最敏感文件的合格電子簽名（QES）和操作承諾的高級簽名（AdES），該公司現在可以為其客戶提供標準化證據包：簽名證書、審計跟蹤報告、合格時間戳和認證元數據。此包允許贏得兩個招標項目，其中文件可追蹤性是明確的淘汰標準，代表第一年估計增加180,000歐元的營收。

場景3 — 一家1100床位的醫院集團面臨審計法院的檢查

一家管理多個機構的公立醫院集團必須定期面臨區域審計法院對其公開招聘和合作協議的檢查。電子簽署的合約文件必須能夠在短期內（召喚時48至72小時）連同其完整審計跟蹤一起提供。

該機構建立了符合NF Z 42-013標準的價值證明電子存檔（AEVP）架構，通過API連接到其簽名平台。每個簽署的文件自動存入SAE及其相關的事件日誌。在涵蓋三個會計年度簽署的340份公開招聘的檢查中，所有支持文件都可以在不到4小時內提供，而在之前的檢查中需要兩週。報告法官在其綜合報告中明確提及了可追蹤性設備的質量。

結論

電子簽名的完整可追蹤性不再是大型結構保留的選項：這是法律要求、完整的內部審計工具，也是招標競爭和盡職調查中的差異化因素。通過結合符合ETSI標準的簽名格式、合格時間戳、價值證明存檔和與GRC工具的API集成，您將每個簽名轉變為無可辯駁、可在任何檢查或訴訟期間立即利用的證據。

Certyneo從一開始就被設計用來滿足這些要求：不可改變的審計日誌、歐洲合格TSA、主權託管和文檔API集成。無論您開始文檔電子化之旅還是尋求加強現有設備的成熟度，我們的團隊都可用於協助您。在certyneo.com/contact上申請個人化演示並探索如何從今天開始組織您的文件可追蹤性。