Réglementation
中小企業 eIDAS 合規性:完整的 2026 年清單
2026年如何確保中小企業符合eIDAS法規? 12 點清單:簽章等級、服務提供者、檔案、GDPR。
8 min
EU 第 910/2014 號規則 · 2026 年更新
eIDAS 規則:理解 歐洲電子簽名的一切
最後更新於
eIDAS 規則是歐洲電子簽名的基礎法規。它定義三個簽名等級(簡單、進階、合格)、建立電子文書的法律效力,並規範信任服務提供者。本指南說明您在 2026 年為合規所需的一切資訊。
什麼是 eIDAS?為何而生?
eIDAS 之前,歐盟各會員國各有電子簽名法規,造成阻礙跨境交易的法律碎片化。在法國有效的電子簽名,不一定在德國或西班牙獲得承認。
EU 第 910/2014 號規則(稱為 eIDAS,Electronic IDentification, Authentication and trust Services)於 2014 年 7 月 23 日通過,並於 2016 年 7 月 1 日生效。作為規則(而非指令),它直接且統一地適用於 27 個會員國,毋需國家內化。
eIDAS 追求三個主要目標:透過相互承認電子身分,於歐洲建立統一數位市場;保障跨境電子交易的法律確定性;以及透過合格信任服務提供者(QTSP — Qualified Trust Service Provider),為數位服務建立信任架構。
eIDAS 所定義的 3 個簽名等級
eIDAS 建立三個電子簽名等級的金字塔,各自有其技術要求與證據效力。
等級 1 — SESeIDAS 第 3(10) 條
簡單電子簽名
Certyneo 可用
eIDAS 要求
- 以電子形式存在且與其他資料連結
- 用於簽署(無特定技術要求)
- 可為簡單點擊、勾選方塊或輸入姓名
使用範例
- 服務條款同意
- 線上表單
- 確認電子郵件
法律效力
基本合約效力,無法律推定
等級 2 — AESeIDAS 第 26 條
進階電子簽名
Certyneo 可用
eIDAS 要求
- 與簽署人具唯一連結
- 可識別簽署人
- 以簽署人獨家控制之資料建立
- 可偵測文件後續之任何修改
使用範例
- 勞動合約
- 保密協議
- 商業合約
- 委任書
法律效力
強證據效力 — 推薦用於重要合約
等級 3 — QESeIDAS 第 25(2) 條 + 附件 I
合格電子簽名
Certyneo 可用
eIDAS 要求
- 符合 AES 所有要求
- 以合格簽名建立裝置(QSCD)建立
- 基於 QTSP 核發之合格憑證(EU 信任清單)
使用範例
- 電子公證文書
- 要求嚴謹之公共採購
- 受規範文書
法律效力
法律推定等同於手寫簽名(eIDAS 第 25 條)
eIDAS 2.0:2024 年的新變革
eIDAS 規則已由 EU 2024/1183 號規則修訂,於 2024 年 4 月 30 日在歐盟官方公報公布,並於 2024 年 5 月 20 日生效。此次修訂使初始架構現代化,以因應當代數位挑戰:公民數位身分、主權雲端、信任服務提供者之韌性。
eIDAS 2.0 的旗艦措施是歐洲數位身分錢包(EUDIW)。2026 年底前,每個會員國須為其公民與居民提供一個應用程式,用於儲存與出示經認證的身分證明 — 即身分證、駕照、學歷的數位等同物。此發展將對合格簽名流程產生直接影響。
數位身分錢包(EUDIW)
eIDAS 2.0 引入 European Digital Identity Wallet:每位歐洲公民皆可於歐盟境內互通之行動應用程式中,儲存其經認證之身分證明(身分證、駕照、學歷)。
強化 QTSP
適用於合格信任服務提供者(QTSP)的要求,特別是在資訊安全、稽核與服務連續性方面,得到強化。
新的信任服務
eIDAS 2.0 新增合格服務:合格電子歸檔、合格屬性資料管理、合格電子登記簿(經認證的區塊鏈)。
強化互通性
會員國間數位身分的更佳相互承認。任何歐盟國家核發的合格簽名於各國皆獲承認。
如何實務上符合 eIDAS?
eIDAS 合規並非僅止於選擇簽名等級。它涉及對整個流程的思考:風險識別、工具選擇、證據保存與文件治理。
以下為希望依照 eIDAS 保障其電子簽名流程之企業的實用檢查清單:
為每種文件類型識別合適的簽名等級
使用提供者於歐盟境內代管資料的解決方案
保留每份已簽署文件的附時間戳記稽核軌跡
確保簽署人依所選等級進行適當的身分識別
備有明文記錄的保存政策(期限、存取、銷毀)
確認提供者備有符合 GDPR 的 DPA(資料處理合約)
對 AES:實作 OTP 或強身分驗證機制
對 QES:採用列於國家信任清單上的 QTSP 服務
Certyneo 的 eIDAS 合規做法
Certyneo 實現了 eIDAS 規定的 SES(簡單電子簽名)和 AES(進階電子簽名) 級別。進階簽名基於 雙因素認證:通過電子郵件發送的一次性鏈接和通過我們的 OTP SMS 提供商發送的 OTP 代碼。此機制符合 eIDAS 第 26 條關於進階簽名的四項標準。
每個信封會產生完整的稽核軌跡:每項動作(寄送、開啟連結、OTP 驗證、完成簽名、可能之拒絕)之時間戳記、簽署人 IP 位址、瀏覽器 user-agent。此稽核軌跡會整合於最終 PDF 各頁底部(稽核頁尾)並保存 10 年。
資料代管於法國(IONOS 基礎架構),位於歐盟境內,符合數位主權要求與GDPR。請至我們的安全與合規頁面了解所有技術細節。
eIDAS 常見問題
什麼是 eIDAS 規則?
eIDAS(Electronic Identification, Authentication and Trust Services)是建立歐盟境內電子簽名、電子印章、時間戳記、電子掛號服務與網站驗證服務共同法律架構的 EU 第 910/2014 號規則。於 2016 年 7 月 1 日生效,直接適用於 27 個會員國。
eIDAS 和 eIDAS 2.0 之間有什麼區別?
eIDAS 2.0(規定 (EU) 2024/1183,於 2024 年 5 月 20 日生效)通過引入歐洲數位身份錢包 (EUDIW — European Digital Identity Wallet) 來現代化 eIDAS 1.0,該錢包將允許歐洲公民存儲經過認證的數位身份憑證。對於企業,eIDAS 2.0 加強了合格信任服務提供商 (QTSP) 的要求,並改善了跨境互操作性。
依 eIDAS,簡單電子簽名是否具法律效力?
是的。eIDAS 第 25 條明確禁止僅以電子簽名以電子形式呈現為由拒絕其法律效力。因此,簡單簽名(SES)具法律效力,但不享有合格簽名(QES)所保留的法律推定。於爭議發生時,主張該簽名之一方須證明其真實性。
如何為我的合約選擇合適的 eIDAS 等級?
一般規則是依文件的法律與商業風險校準等級。對於日常低風險文件(估價單、內部訂單),簡單簽名即足。對於重要的商業合約、勞動合約、保密協議或委任書,建議進階簽名(AES)。合格簽名(QES)保留給法律明確要求(某些行政文書、大型公共採購)或爭議風險最高的情況。
Certyneo 如何符合 eIDAS?
Certyneo 依 eIDAS 實作簡單簽名(SES)與進階簽名(AES)。進階簽名依賴雙重 OTP 電子郵件 + 簡訊(OTP SMS),將簽署人與其文書連結。每個信封產生整合於最終 PDF 的附時間戳記稽核軌跡。資料代管於法國(歐盟),符合數位主權要求。
eIDAS 是否適用於歐盟以外的企業?
eIDAS 適用於在歐盟內提供的信任服務。在歐盟以外成立但希望其簽名在歐盟內被認可的企業必須使用符合 eIDAS 的解決方案或在成員國信任清單中認可的合格信任服務提供商 (QTSP)。對於國際 B2B 交換,與某些第三國存在相互承認協議。