当你的企业需要与欧盟客户签署电子合同、招标或提交跨境税务申报、或在欧洲市场上线数字服务时,一个关键问题浮出水面:你的电子签名,在欧洲法律框架下是否被认可?
eIDAS QES,就是这一问题的答案。它不仅是技术标准的合规,更是欧盟法律赋予电子签名的"最高法律效力等级"。
电子签名的三个法律等级:从普通到合格
在欧盟2014年颁布的eIDAS法规(欧盟条例第910/2014号)框架下,电子签名被明确划分为三个法律等级,各自对应不同的技术要求和法律效力:
1. 普通电子签名(Simple Electronic Signature)
定义:以电子形式存在的数据,附加于或逻辑关联于其他电子数据,用于签名者身份识别
技术要求:几乎没有特定要求,可以是扫描的手写签名、点击"我同意"按钮、或输入姓名等
法律效力:可作为证据使用,但法律认可度最低,在争议中可能面临挑战
适用场景:低风险内部流程、非关键性确认、意向表达
2. 高级电子签名(Advanced Electronic Signature, AdES)
定义:满足特定安全要求的电子签名,能够明确标识签名者,确保签名数据的完整性
技术要求:
唯一关联到签名者
能够识别签名者身份
使用签名者独享且可控的签名创建设备生成
能够检测签名后的数据篡改
法律效力:比普通签名具有更强的法律推定力,但尚未达到手写签名的同等地位
适用场景:一般商业合同、电子审批、B2B交易确认
3. 合格电子签名(Qualified Electronic Signature, QES)
定义:满足eIDAS法规最严格要求的电子签名,基于合格证书和合格签名创建设备生成
技术要求:在高级电子签名的基础上,额外要求:
由合格信任服务提供商(QTSP)签发的合格证书
使用经欧盟成员国认证的合格签名创建设备(QSCD)
法律效力:在欧盟所有成员国享有与手写签名同等法律效力("Legal Equivalence")——这是QES最核心的价值
QES的核心价值:为什么企业必须关注?
价值一:跨境法律互认的"通行证"
eIDAS法规的核心目标之一是打破欧盟内部数字信任服务的跨境壁垒。根据eIDAS的互认原则,在一个成员国获得QES资格认证的服务和证书,在所有其他成员国自动获得认可。
这意味着:
中国企业使用QES与德国客户签署的电子合同,在意大利、法国、西班牙等所有欧盟国家均被视为与手写签名具有同等法律效力
无需在每个目标国家重新申请或验证签名资质,大幅降低跨境合规成本
为跨境电子政务、在线招投标、跨境司法程序提供坚实的法律基础
价值二:最高级别的不可否认性
在电子合同争议中,签名的法律效力往往成为关键焦点。QES提供的法律推定力(Legal Presumption)意味着:
在欧盟法院或仲裁程序中,QES签名的文档被推定为真实、完整且不可否认
举证责任发生转移:声称签名无效的一方需要承担举证责任,而不是签名持有者
对于跨境诉讼、合同执行、知识产权保护等场景,QES为企业提供了强有力的法律武器
价值三:符合欧盟数字合规要求
随着欧盟数字监管框架的不断完善,越来越多的业务流程强制或优先要求使用QES:
欧盟药品监管(EMA):电子提交中要求使用QES进行签署和审批
税务申报与海关:部分欧盟国家的电子税务申报和海关清关文件要求QES
金融服务:MiFID II等法规下的客户交易确认和合规报告
公共采购与招投标:欧盟公共采购指令鼓励使用QES确保投标文件的完整性和真实性
电子发票(Peppol网络):跨境电子发票的合规传输要求高级或合格签名
价值四:客户信任与品牌专业度
在与欧盟企业或机构合作时,使用QES不仅满足法律合规要求,更传递了企业对数字安全、合规经营和专业度的重视。这尤其体现在:
与欧盟政府机构、大型企业的合作中,QES常作为资质审查的硬性要求
在法律服务、金融服务、医疗健康等高度监管行业中,QES是建立业务信任的基础
在数据隐私保护(GDPR)语境下,QES有助于证明企业在数据处理活动中的合规性和责任感
QES的技术实现:合格证书 + 合格签名创建设备
1.合格证书(Qualified Certificate)
QES使用的合格证书由欧盟eIDAS信任清单(EU Trusted List)中列出的合格信任服务提供商(Qualified Trust Service Provider, QTSP,比如certum)签发。这类证书必须满足:
签发机构通过欧盟成员国的严格认证和定期审计
证书包含签名者的身份信息,并经QTSP验证
证书和私钥的生成、存储、使用全过程符合eIDAS附件的技术要求
证书可被验证,且吊销状态可查询(通过CRL或OCSP)
2.合格签名创建设备(Qualified Signature Creation Device, QSCD)
QSCD是确保签名私钥安全的核心硬件或软件组件,必须满足eIDAS附件II的严格标准:
私钥唯一性:签名私钥在设备内部生成,且无法从设备中提取或导出
安全存储:私钥存储在符合CC EAL4+或FIPS 140-2 Level 2及以上标准的安全硬件中
签名可控性:签名操作需要签名者的主动授权(如输入PIN码、生物特征验证等)
篡改检测:设备能够检测并防止对签名密钥和签名生成过程的物理或逻辑篡改
常见的QSCD形式包括:
智能卡(Smart Card)
USB Token(加密狗)
硬件安全模块(HSM)
经认证的云端签名服务(Remote QSCD),比如certum签发的云端QES证书
3.QES与远程签名的演进:eIDAS 2.0与EUDI钱包
值得关注的是,欧盟正在推进eIDAS 2.0改革,计划推出欧洲数字身份钱包(EUDI Wallet)。这一变革将:
允许公民和企业使用统一的数字身份钱包存储和使用QES
支持移动端远程签名,提升用户体验和可及性
进一步扩展QES在跨境数字政务、金融、医疗等场景的应用范围
推动更多成员国和CA机构加入QTSP认证体系
对于在欧盟开展业务或计划进入欧盟市场的中国企业而言,提前了解QES要求、建立合规的电子签名能力,将为未来的业务拓展奠定坚实基础。
中国企业获取QES的三条路径
对于需要使用QES的中国企业,目前的主要路径包括:
通过欧盟认证的QTSP直接申请:选择在中国有服务能力的欧盟认证QTSP授权机构,线下认证,提交企业身份验证材料,申请合格证书和QSCD设备,比如SSLDUN(河南聚妍)
远程签名服务:部分QTSP提供基于云端QSCD的远程签名服务,用户无需持有物理硬件,通过网络即可完成QES签名,需要申请者具备一定的英文沟通能力
批量部署与集成:对于有大量签名需求的企业,可通过API将QES签名能力集成到内部的ERP、CRM或合同管理系统中,实现流程自动化
选择QTSP时,建议重点关注:
是否被列入最新的欧盟eIDAS信任清单(EU Trusted List)
在中国是否提供本地化支持(中文界面、本地客服、授权代理商),知名QTSP机构certum在中国的下线面对面认证机构是ssldun(河南聚妍)
是否支持远程签名(Remote Signing)等灵活的部署方式
是否提供与企业现有系统集成的API和SDK
在数字经济全球化的今天,电子签名的法律效力不再是"可有可无"的附加值,而是企业跨境经营的基础设施级要求。eIDAS QES作为欧盟法律框架下电子签名的最高等级,为中国企业进入欧盟市场、与欧盟伙伴开展数字业务提供了"法律护照"。
对于有志于拓展欧盟市场、参与跨境电子政务、或在欧洲数字化生态中建立长期信任的企业而言,理解和部署QES能力,是通往合规与成功的关键一步。