中小企業 eIDAS 合規性：完整的 2026 年清單

歐洲 eIDAS 法規（EU n°910/2014，很快將由 eIDAS 2.0 進行修訂）規範整個歐盟的電子簽名。對於中小企業來說，合規不僅僅是一個需要檢查的方框：它保證其合約可執行，其簽名資料受到保護，並保護自己免受可能代價高昂的法律風險。以下是 2026 年清單，包含 12 個具體要點，用於檢查您的中小企業是否完全符合 eIDAS。

第 1 點：選擇正確的簽章等級

第一個反應：對應您的合約類型並關聯目標等級。標準商業合約（報價、採購訂單、簡單的保密協議）：SES 就足夠了。僱傭合約、租賃、敏感的保密協議、戰略協議：最低 AES，最好帶有 OTP SMS。受監管的行為（律師、公證人、高於門檻的公共合約）：強制性 QES。如果沒有此映射，您將面臨規模過小（拒絕合約）或規模過大（成本過高）的風險。

第 2 點：檢視服務提供者的資格

您的服務提供者必須是可信任服務提供者 (QTSP) 或依賴 AES/QES 等級的 QTSP。請參閱 ANSSI 發布的信任服務清單 (eidas.ssi.gouv.fr) 和歐洲信任清單 (webgate.ec.europa.eu/tl-browser)。法國參考 QTSP：Certigna、Docaposte、Certinomis、Universign。對於通過平台（Ceryneo、Yousign 等）的 SES/AES，請檢查其明確記錄的 eIDAS 合規性。

第 3 點：測試審核追蹤

簽署測試信封並收集審核追蹤（通常是單獨的 PDF）。它必須包含：簽署者的身分和電子郵件、每個步驟的時間戳記（傳送、開啟、驗證、簽署）、IP 位址、使用者代理、文件雜湊、OTP 驗證（如果是 AES）。如果缺少其中一項，證據價值就會減弱。即使是免費計劃，Certyneo 也可以提供完整的審計追蹤。

第 4 點：控制時間戳

時間戳必須由符合 RFC 3161 的時間戳機構 (TSA) 頒發。僅來自公司 NTP 伺服器的時間戳記是不夠的。在 Adob​​e Reader 中開啟已簽署的 PDF：簽名標籤 → 詳細資訊 → 時間戳記。您應該在那裡看到有效的 TSA 證書和經過認證的時鐘。如果 PDF 沒有經過認證的時間戳，請放棄選擇服務提供者。

第 5 點：存檔至少 10 年

《商法典》（第 L. 123-22 條）要求商業文件保存 10 年。 《勞動法》規定終止後的僱傭合約期限為 5 年。歸檔必須保持完整性（散列、密封）和訪問。理想：PDF/A 格式 (ISO 19005)、雙重儲存（主 + 異地備份）、合格的電子保險箱 (CFE) 以提供最大程度的證據。 Certyneo 預設存檔 10 年，並提供向 CFE 合作夥伴的匯出。

第 6 點：檢查資料本地化

您的簽章資料託管在哪裡？對於處理敏感合約的法國中小企業，請選擇法國或歐盟託管。向您的服務提供者詢問分包商清單及其位置（GDPR 第 28 條）。避免採用受美國雲端法案約束的戰略合約解決方案。 Certyneo 託管在法國，不依賴 Cloud Act。請參閱我們關於 /blog/cloud-act-signature-electronique 的文章。

第 7 點：與 GDPR 銜接

簽名與 GDPR 緊密相連：每個信封都包含個人資料（姓名、電子郵件、IP、電話）。確保您的處理登記冊（GDPR 第 30 條）包含電子簽名，保留期限一致（10 年），並且個人權利可以落實（訪問、更正、可移植性）。如果您要求大量簽名，建議使用 DPO。請參閱我們的文章/blog/signature-electronique-rgpd。

第 8 點：識別上游簽署者

對於可靠的 AES，識別不是從簽名開始：它從資料收集開始。檢查電子郵件（無別名、無郵件清單）、電話號碼（無共用線路），並追蹤身分識別來源（重型合約的 ID、正在進行的合約的現有客戶 KYC）。這種盡職調查可以在發生爭議時提供可靠的證據。

第9點：訓練團隊

您的銷售、人力資源和法律團隊必須了解這些規則：切勿強迫簽名者使用第三方設備，切勿返回修改後的簽名 PDF，切勿貼上掃描的簽名圖像來代替真實簽名。每隊一小時的訓練足以培養良好的反應能力。 Certyneo 提供了內部共享的完整指南（/資源）。

第 10 點：檢查服務提供者的合約

簽署服務提供者的 CGU/CGV 必須：啟動 eIDAS 合規性、指定存檔期限、包含 GDPR 分包協議（第 28 條）、記錄分包商、提供停止時的可逆計畫。如果您處理大量產品，也需要 SOC 2 Type II 或同等產品。對於 Certyneo，這些文件可在 /legal 和 /security 上找到。

第 11 點：準備 eIDAS 2.0 和 EUDI 錢包

eIDAS 2.0 法規 (EU 2024/1183) 逐步生效，並要求成員國在 2026 年底前部署 EUDI 錢包。此數位身分錢包將允許遠端存取 QES，無需實體註冊辦公室。為您的中小企業做好準備：檢查您的服務提供者是否有 EUDI 錢包路線圖，遵循 ANSSI 和歐盟委員會的溝通。請參閱/blog/eidas-2-nouveau-reglement-2026。

第 12 點：每年審核

合規不是一種獲得的狀態：它是一個持續的過程。安排年度審計（內部或外部）以檢查：監管變化、服務提供者的發展、合約類型的最新映射、有效保留、新員工培訓。對於中小企業來說，一次簡單的審核需要半天的時間，並且可以避免很多意外。首先在 certyneo.com/signup 建立一個免費的 Certyneo 帳戶來測試現實世界的合規性，然後查看我們的 eIDAS 指南以進行更深入的研究 (/guide/eidas)。