探索与学习

什么是 eIDAS 2？您需要知道的一切

欧盟 (EU) 是监管环境最为复杂且最具挑战性的地区之一。随着第二版《电子身份认证和信任服务 (eIDAS) 条例》的生效，欧盟企业必须应对各种变革并适应自 2016 年以来该地区在数字身份、身份验证和信任基础结构方面最重大的转变之一。

结合相关技术标准，eIDAS 2 为个人的身份验证、身份数据共享和信任服务跨境运作方式建立了统一的法律和技术基础。它重塑了欧洲数字身份生态系统，使其具有更强的互操作性、隐私保护性和新兴欺诈与安全威胁抵御性。

同时，这些变革发生于全球 ID 证明融合的背景之下，因为全球监管机构正在不断加强安全预期、重点关注欺诈预防，同时推进远程 ID 证明和金融服务用户引导要求的相互融合。eIDAS 2 现已成为高度安全数字身份领域更广泛的国际转变的一部分。

以下内容将详细介绍 eIDAS 2，并提供实现监管要求合规性需要了解的所有信息。我们将讨论以下话题：

什么是 eIDAS？
什么是 eIDAS 2？
eIDAS 2 和 ETSI v2 下的身份验证
谁是信任服务提供商？
如何实现 eIDAS 2 合规性
使用 Entrust 简化合规流程

什么是 eIDAS？

eIDAS，即电子身份认证和信任服务，是为所有欧盟成员国引入首个电子身份与信任服务统一法律框架的综合性欧盟条例。

在采用 eIDAS 之前，欧盟依赖于一系列国家法律（例如，德国《电子签名法》、法国《电子签名法》、意大利《数字管理法》、西班牙《第 59/2003 号法律》等），其中每项法律都有其独特的规则、安全要求和格式。因此，各成员国执行电子身份识别和远程身份验证的方法差异显著。

这种碎片化管理使得跨境数字交互变得困难重重。在某个成员国有效的电子签名或身份凭据可能不被另一个成员国认可，这不但迫使各组织不得不维护平行流程，而且还削弱人们对电子交易的信任。缺乏统一的框架也限制了安全在线服务的拓展并对跨境电子商务的发展形成阻碍。

首部 eIDAS 条例（欧盟第 910/2014 号条例）旨在通过建立覆盖整个欧盟的统一框架来解决这些问题。该法规于 2014 年落地，2016 年起全面实施，包括三大核心原则：

相互认可：法律要求所有成员国认可彼此的已通报国家 eID 计划。
互操作性：该条例确保了欧盟范围内不同电子身份识别解决方案和信任服务之间的兼容性。
安全性：eIDAS 为电子签名、印章、时间戳和证书引入了严格的安全要求。

它还正式规定了信任服务提供商 (TSP) 的角色，TSP 只有在通过相关认证并接受监督的情况下才可提供合格的服务。

重要的是，eIDAS 不仅适用于公共部门机构，还适用于依赖电子身份识别或信任服务的私营部门组织（包括金融服务、保险、医疗保健和电子商务组织）。因此，它的作用是充当欧盟内部所有跨境电子交互的统一数字信任基础结构。

虽然该条例显著改善了欧洲的数字信任格局，但一些限制仍然存在。到 2021 年，国家 eID 的跨境使用仍然有限，私营部门的采用程度极不均衡，并且此框架的适用范围已无法反映数字身份和信任服务的使用方式。这些差距最终促成了该条例修正案（即  eIDAS 2）的制定。 

什么是 eIDAS 2？

eIDAS 2，即《欧洲数字身份条例》（（欧盟）第 2024/1183 号条例），是原 eIDAS 框架的更新和扩展版本。该条例于 2024 年 4 月在《欧盟官方公报》上发布，并于 2024 年 5 月 20 日开始逐步生效。

本次修订旨在解决第一版中持续存在的局限性。到 2021 年，国家电子身份识别计划的跨境采用率仍然很低，私营部门依赖方的采用率参差不齐，各成员国在远程身份保证和信任服务的实施方式上也存在显著差异。这些差异给在多个司法管辖区运营的企业带来了诸多不便，仅有 59% 的欧盟居民能在本国/地区之外使用可信的 eID。

eIDAS 2 代表了欧洲数字身份和信任服务框架的结构性演变。它解决了原框架的局限性，扩展了受监管信任服务的清单，加强了安全和治理要求，最值得注意的是，它引入了欧洲数字身份 (EUDI) 钱包，作为国家数字身份生态系统的强制性组成部分。

原条例为跨境信任奠定了基础，而 eIDAS 2 则为在整个欧盟范围内建立更先进、可互操作性更高、更加高度安全且用户更可控的数字身份模型提供了蓝图。

扩大监管范围

原 eIDAS 条例（2016 年版）为欧盟的电子身份识别和信任服务奠定了基础，但其范围仍然相对有限；该条例未能预见如今对高度安全的身份和信任机制具有较高依赖性的数字交互的广度。虽然该框架为电子签名、印章、时间戳和合格证书提供了法律确定性，但它并未涵盖后来成为数字商业模式和跨境互操作性核心的多项信任服务能力。

eIDAS 2 极大地扩展了这一点。更新后的条例强化了合格信任服务提供商 (QTSP) 的作用。合格信任服务提供商是指经认证可提供安全可靠的信任服务的实体，现在他们必须遵守与欧盟网络安全法相一致的统一监管要求。其中包括强制性安全基准、定期审计、正式事件报告，以及对欧盟密钥管理和运营弹性的统一要求。

此外，eIDAS 2 还扩大了规则的适用范围，新增了四项合格信任服务：

电子存档服务：这些服务可提供电子文档和数据的长期安全存储。这些服务可确保存档数据和文档在整个保留期内保持真实且未经篡改，从而维护其完整性和法律效力。该功能对于医疗保健、金融和公共部门等行业而言至关重要，因为如果要在这些行业中实现合规性，就需要可靠地保存敏感数据和文档并确保其长期完整性。
电子账本：该服务提供安全且不可篡改的交易与数据记录。这样可确保可靠地跟踪和验证电子数据，为金融交易、供应链管理等各种应用程序和用例提供支持。
远程电子签名和印章制作设备 (QSCD) 的管理：该信任服务使得电子签名供应商能够远程管理签名和印章流程，同时满足与 QSCD 相关的严格的安全要求。该服务支持云端安全签名和印章、助力远程办公与跨境交易，并在不影响签署方对其签名密钥的唯一控制权的前提下，扩展合格签名的可用性。
合格电子属性证明的签发：eIDAS 2 引入了合格电子属性证明 (QEAA)，允许值得信任的机构认证与个人、组织或设备相关的特定属性的准确性。这些属性可能包括年龄、职业执照、学历或账户标识符等。 QEAA 采用数字签名证明的形式，可在欧盟数字身份钱包中存储并使用，从而促进隐私保护属性共享，并在整个欧盟范围内实现高度安全的身份属性交换。

通过扩展信任服务目录，该条例加强了欧盟数字身份和信任生态系统的整体完整性、安全性和互操作性。

eIDAS 2 还为某些私营部门依赖方引入了新的义务。自 2027 年起，银行、电信运营商和其他高价值服务提供商将被要求在特定用例中接受欧盟数字身份钱包。该条例融入了用户唯一控制权和隐私设计原则，允许个人仅披露特定交易所需的最低限度属性。

最后，本次扩展解决了 eIDAS 1.0 下长期存在的不一致之处，即各国监管机构对远程身份验证要求的解读各不相同。部分成员国要求基于 QES 的用户引导（例如法国），其他成员国则依赖实时视频通话（例如德国），还有另一些成员国接受符合 ETSI 标准的远程 IDV（例如意大利和罗马尼亚）。eIDAS 2 统一了这些要求，并为欧盟范围内的高度安全身份证明与信任服务的使用提供了一致的跨境框架。

欧洲数字身份钱包（EUDI 钱包）

根据原 eIDAS 条例（2016 年版），成员国可以自愿通报其国家电子身份识别计划，从而使这些计划在整个欧盟获得法律认可。这种自愿模式存在关键的局限性：没有现有 eID 系统的国家/地区没有义务创建该系统。因此，各国的采用率差异显著，跨境互操作性仍然参差不齐。

eIDAS 2 用一种强制性的统一框架取代了这种方法。到 2026 年底，每个成员国必须发行至少一个欧盟数字身份钱包（EUDI 钱包）。该钱包将允许个人和企业存储并管理其国家 eID，以及经过验证的属性和凭据（例如，驾照、文凭、职业资格证书或银行账户信息），并且安全且有选择性地共享这些信息。这将在欧洲范围内创建一个通用的可移植数字身份。

这样做的目标是让欧洲人在进行在线互动时完全掌控自己的数字身份，使他们能够仅披露绝对必要的信息，减少对分散登录系统或重复身份验证的依赖。对于特定的公共和私营部门用例，依赖方必须接受以该钱包进行身份验证，从而确保在整个欧盟范围内提供一致的可信体验。

EUDI 钱包以三大关键支柱为基础：

安全性：该钱包符合现有的欧盟数据保护与网络安全立法，包括《通用数据保护条例》和 NIS2 指令，并且融入了隐私设计原则和强大的技术保障措施。
便利性：该钱包使公民和居民能够更加便捷地获取公共服务、申请工作、开设银行账户或开展其他跨境活动。他们可以利用该工具与相关组织共享身份详细信息，以便进行身份验证。它将身份信息整合到一个可重复使用的工具之中，免除多次登录或重复验证步骤。
互操作性：该条例建立了一个通用的技术框架和统一的标准，以确保整个欧盟均接受存储在钱包中的数字身份凭据。通过制定钱包、服务商和公共机构的通用规范，该条例确保了国家系统之间的互操作性。这种协调促成了统一的数字身份跨境验证方法，增强了公民和企业对凭据的信任和认可。

根据 eIDAS 2，每个成员国必须在 2026 年 12 月之前向公民和居民提供至少一个 EUDI 钱包，这标志着欧洲在构建完全可互操作的数字身份格局方面迈出了重要一步。

地区	eIDAS（2016 年版）	eIDAS 2（2024 年版）
适用范围	已通报 eID 计划和特定信任服务（签名、印章、时间戳、证书）的统一框架。	扩大适用范围，以涵盖欧盟数字身份 (EUDI) 钱包、QEAA、合格电子存档、合格电子账本和远程 QSCD 管理等内容，并制定更详细的依赖方和私营部门采用规则。
eID 认可	只有在签发成员国自愿通报的情况下，国家电子身份证才会得到认可。	要求每个成员国发行至少一个 EUDI 钱包，并接受其他成员国的钱包用于特定用例。
数字身份架构	依赖国家 eID 计划，互操作性有限。	为公民、居民以及企业（部分情况下）引入欧盟数字身份 (EUDI) 钱包框架，实现跨境使用的一致性。
信任服务	定义并监管电子签名、印章、时间戳和网站身份验证证书。	扩展范围，以涵盖电子存档、合格电子账本、 QEAA 和远程 QSCD 管理，同时更新现有服务规则。
依赖方义务	公共和私营部门均可使用信任服务，但私营部门依赖方没有在欧盟范围内接受特定 eID 方式的义务。	到 2027 年，对某些高价值私人服务（例如，银行和电信服务）强制实施钱包接受义务。
用户控制权与隐私权	用户对身份属性的控制权有限；主要取决于国家框架和服务特性。	将“用户唯一控制权”和选择性披露机制嵌入钱包模型，使用户能够针对特定交易选择共享哪些属性。
实施时间线	2014 年落地，2016 年 7 月生效。	2024 年 5 月生效，并在生效之日至 2026 年期间采取补充实施法案，强制要求在 2026 年 12 月前发行钱包，并自 2027 年起强制要求主要私营部门依赖方接受。

总而言之，这些变革使 eIDAS 从分散的数字身份框架转变为统一的、以用户为中心的强制性泛欧方法，同时提供数字身份和信任服务在整个欧盟范围内的发行、验证和接受方式通用规则。

eIDAS 2 与 ETSI 有何关系

欧洲电信标准协会 (ETSI) 是一个独立的非营利性标准机构，负责制定全球认可的信息和通信技术规范。在 eIDAS 下，ETSI 发挥着至关重要的作用：它将该条例笼统的法律义务转化为精准、可审计的技术要求。这可以在 ETSI TS 119 461 和更广泛的 ETSI EN 319 系列等标准中体现，这些标准定义了信任服务和身份证明必须如何在实践中运作。

随着 eIDAS 2 引入欧盟数字身份钱包和全新的合格信任服务（例如 QEAA），ETSI 更新并扩展了其标准，以定义合规所需的安全性、互操作性和技术控制。这些标准是确保成员国和信任服务提供商一致且安全地实施 eIDAS 2 的技术支柱。

eIDAS 2 和 ETSI TS 119-461 v2 下的身份验证 

远程身份验证是 eIDAS 2 生态系统的核心组成部分。为了支持在欧盟范围内实现统一性，该条例与其专用操作标准 ETSI TS 119 461 v2.1.1 相匹配。

两者之间存在重要关联：

eIDAS 2 规定了身份验证的法律要求。
ETSI v2 定义了在实践中必须如何通过具体的可审计技术控制措施来满足这些要求。

ETSI 119 461 v2 的作用：技术支柱

ETSI v2 规定了远程和自动化身份证明的详细要求，包括：

必须如何验证和交叉检查身份证件，包括 MRZ 和可见区域的一致性以及安全功能的验证
必须如何采集、分析和保护生物识别数据，以防欺诈、深度伪造和呈现攻击
必须如何跨来源匹配身份属性和证据
必须保留哪些证据以支持监管审计和监督
必须如何在身份证明扩展级别 (LoIP) 下进行更安全的用户引导

它确保了整个欧盟范围内的身份验证不仅统一，而且还技术严谨，可抵御现代欺诈模式。欧洲银行管理局 (EBA) 的远程用户引导指南、AML 指令以及即将出台的 AML 法规均已引用 eIDAS 条例。它也是支付服务指令 (PSD2) 及相关金融犯罪框架下的部分监管预期与要求。

这种监管一致性意义重大。 ETSI v2 已成为欧洲远程身份验证的操作基准，尤其是在金融服务领域。原则上，根据 ETSI v2 设计的身份验证流程将能够同时符合 eIDAS 2、履行 AML/KYC 义务并满足监管预期。对于金融机构而言，这种融合减少了分散性，并为跨境用户引导提供了清晰、统一的框架。

对金融服务的影响

欧盟正在努力实现 eIDAS 2 和反洗钱 (AML) 框架之间的监管融合，从而创建统一的远程身份验证 (IDV) 方法。这种一致性使 ETSI 认证的用户引导流程成为黄金标准，确保了所有欧盟成员国之间的法律确定性和互操作性。

因此，对于金融机构（例如，银行、支付服务提供商和受监管的金融机构）而言，eIDAS 2 的引入意味着为跨境客户引导提供了统一的框架。这种融合实现了：

降低合规成本：ETSI 认证的单一身份验证流程使金融服务提供商能够履行多个监管框架（eIDAS、AMLD6、PSD2）下的义务，从而减少重复工作并简化审计准备。
跨境互操作性：符合 ETSI 的用户引导流程得到了所有欧盟成员国的认可，从而实现了用户引导流程的一致性并简化了新市场拓展。
增强欺诈预防和安全性：ETSI v2 引入了严格的生物特征完整性和反欺诈控制措施，降低了与深度伪造和复杂呈现攻击相关的风险，这在如今的高风险交易环境中至关重要。

在此背景下，金融机构需要为分阶段合规做好准备：

什么是信任服务提供商？ 

信任服务提供商 (TSP) 是指根据 eIDAS 提供一项或多项信任服务并受国家当局监管的法人或自然人。他们的职责是确保数字交互（从签署和密封文档到为数据加盖时间戳或传输敏感信息）安全、真实且在法律上具有可靠性。TSP 还将维护信息的机密性和不可否认性，并支持对网站或签名者进行身份验证。

他们的服务提供了电子文档、身份和通信的真实性和完整性验证机制。他们是 eIDAS 2 框架的核心组成部分，可确保在线交互和数字交互达到与传统纸质流程相同的安全保障和法律效力水平。当服务提供商满足最严格的要求并获得正式认证后，即可成为合格信任服务提供商 (QTSP)，并可在欧盟范围内提供具有特定法律效力的合格信任服务。

根据 eIDAS 2，信任服务既包括根据原 eIDAS 条例设立的服务，也包括一系列旨在满足不断变化的数字身份需求的新服务。其中包括：

个人电子签名
电子签名使个人可以以数字方式签署文档，并提供完整性和真实性保证，即提供一种安全且可验证的方式来确保签名者是其本人，并且文档自签署以来未被篡改。该条例将这些签名分为三个级别：基本电子签名：提供适合低风险用例的基本安全性。 高级电子签名：通过将签名唯一链接到签名者并允许检测对签名数据所做的任何更改，提供了更高级别的安全性。 合格电子签名 (QES) 具有最高级别的安全性，且与手写签名具有相同的法律效力。 QES 必须使用 Qualified Signature Creation Device (QSCD) 创建，并由合格信任服务提供商 (QTSP) 颁发的 Qualified Certificate 背书。QSCD 通常依赖于通过 eIDAS 认证流程的安全加密硬件，例如硬件安全模块 (HSM)。
电子印章 (ESeal)
电子印章的功能类似于签名，但由法人实体（如公司）而非个人使用。它们广泛应用于发票、官方通信和合规性文件。根据 eIDAS 2，印章可确认文档的来源和完整性，验证文档是否由特定实体发布且未被篡改。与电子签名类似，印章可分为简单印章、高级印章和合格印章。
电子时间戳
时间戳可证明特定的电子文档或数据片段在某个时间点存在，并且此后未被篡改。它是一种确定文档创建、提交或接收来源的安全方法，可增加一层完整性和信任度。eIDAS 2 强化了时间戳要求，以支持用于证明数据在特定时刻存在的长期可验证证据，同时保持证据的完整性。时间戳主要用于金融、医疗保健和法律服务等领域。电子时间戳可以是合格的，也可以是不合格的。
合格网站身份验证证书 (QWAC)
简而言之，QWAC 是使用公钥加密来证明设备、服务器、用户或实体真实性的文件。它包含来自证书持有者的公钥副本，必须将其与相应的私钥匹配才能验证其来源。它是欧洲版的公共 TLS/SSL 证书。根据 eIDAS 2，QWAC 对于在用户和在线服务提供商（尤其是金融机构和政府门户网站）之间建立信任仍然至关重要。
合格电子注册交付服务 (ERDS)
ERDS 可确保数据电子传输的安全性，并提供发送和接收证明，其法律确定性类似于挂号邮件。它对于合同、监管文件和官方通知等敏感通信至关重要。eIDAS 2 通过 ETSI 标准增强了 ERDS 的互操作性，统一了跨境消息安全传递的监管方法。
合格电子属性证明 (QEAA)
QEAA 帮助实现了对个人或组织属性（例如，姓名、年龄、职业资格或许可证）的可信验证。该服务支持身份验证和 KYC 流程，通过选择性披露避免泄露不必要的个人数据。它为基于钱包的交互提供身份属性认证，因此是 EUDI 钱包生态系统中用于保护隐私的数字身份的基石。
数字文档的电子存档
该服务可确保电子文档的长期保存，并保证其完整性和真实性。它满足了医疗保健、金融和政府等合规性要求极高的行业对安全数字存储日益增长的需求。根据 eIDAS 2，存档需要依靠加密方法来长期维护信任。
电子账本服务
电子账本使用区块链或类似技术提供不可篡改的记录保存。它们为金融交易、供应链管理和监管报告提供透明的防篡改审计追踪。通过引入这项服务，eIDAS 2 支持去中心化的信任模型和面向未来的合规框架。
QSCD 远程管理
远程 QSCD 管理可实现安全的签名创建设备远程控制，用户无需亲临现场即可完成合格电子签名 (QES) 和印章。这项创新在支持远程工作和数字化转型的同时保持了极高的安全标准。它与跨境业务运营和基于云的签名解决方案尤其相关。

如何实现 eIDAS 2 合规性 

eIDAS 2 的推出标志着欧盟数字身份和信任服务的运作方式发生了重大转变。到 2026 年，所有成员国都必须支持 EUDI 钱包，受监管领域（包括金融服务、电信和医疗保健领域）的组织需要遵守新的身份验证和信任服务要求。

合规途径因组织在数字身份生态系统中的角色而异。依赖方（使用身份验证和信任服务的欧盟企业）与信任服务提供商 (TSP)（在监管监督下提供这些服务的服务提供商）之间的要求有所不同。

欧盟企业

对于在用户引导或交易流程中使用身份验证的欧盟企业而言，合规性将越来越依赖于 ETSI TS 119 461 v2 以及 eIDAS 2 引入的基于钱包的身份验证模型的遵守情况。在实践中，这意味着：

利用生物特征识别完整性、防欺诈能力和文档真实性检查来实施稳健的远程身份验证流程
在法律要求的情况下整合合格电子签名或证书  
准备接受基于 EUDI 钱包的身份验证和合格电子属性证明 (QEAAs) 的系统

这些变革确保了依赖方在整个欧盟范围内支持一致且高度可信的验证模型。

信任服务提供商

对于信任服务提供商而言，合规性要求其按照 eIDAS 和相关 ETSI 标准中定义的技术和监管要求运营 QSCD、PKI 基础结构和信任服务平台。

其中包括：

在 QSCD 中安全生成和存储签名密钥
严格控制对签名和印章功能的访问
可靠的证据记录、保留和存档
能够通过监管审计并履行事件报告义务的组织和安全框架。

TSP 必须使用经过认证的 QSCD 创建合格电子签名。这些设备可确保在安全的环境中生成、管理和存储签名创建数据（如私钥），防止未经授权的访问。

服务提供商还应实施强大的公钥基础结构 (PKI) 来管理数字证书和加密密钥。 PKI 为数字证书的安全签发、分发和验证提供支持，确保对电子签名和其他信任服务的信任。因此，TSP 必须保持合规的密钥管理实践、安全的生命周期控制，并满足所有适用的 eIDAS 要求。

有效的身份和访问管理系统对于 TSP 管理用户身份和控制对其服务的访问同样至关重要。这些系统应采用强大的身份验证方法（如多重身份验证 (MFA)）来验证用户的身份。身份和访问管理解决方案还可以确保只有获得授权的个人和人员才能执行敏感操作，例如签发证书或创建电子签名。

在这两种情况下，eIDAS 2 引入的转变不仅涉及组织使用的工具，还涉及管理、测试以及向监管机构演示这些工具的方式。符合 ETSI TS 119 461 v2 和更广泛的 ETSI 标准为证明身份验证和信任服务运营符合欧盟统一的全新安全保障水平期望提供了最清晰、最可审计的途径。

Entrust 如何帮助您保持合规性  

作为云签名联盟的创始成员以及 PKI、信任基础结构和网络安全领域的长期领导者，Entrust 帮助组织满足 eIDAS 2 不断变化的要求。

我们的解决方案与 KYC 和 AML 用户引导工作流程无缝集成，并支持 eIDAS 2 和金融领域法规所要求的以隐私为中心的稳健身份验证实践。

Entrust 提供符合 ETSI 的身份验证，将文档验证、生物识别检查和设备智能整合到一个高效的自动化工作流程中。这些功能有助于在不进行视频通话或人工处理的情况下实现安全可靠的远程用户引导，同时符合 GDPR 与 ETSI 要求。它们还支持跨境互操作性，使组织能够在欧盟成员国之间保持运营的一致性。

此外，Entrust 在 PKI 和信任基础结构领域的领先地位可以帮助客户在安全且可扩展的基础上打造并运营合规的数字信任服务。我们的技术为寻求以符合 IDAS 2 技术要求的方式实施数字签名工作流程或其他信任服务架构的组织提供支持。借助 Entrust，组织可在可靠、可互操作且面向未来的身份验证和信任基础结构功能的支持下自信地迈入 eIDAS 2 时代。

浏览各节

什么是 eIDAS 2？您需要知道的一切

什么是 eIDAS？