欧洲电子签名及信任体系：深度解读eIDAS（上）

破坏信任容易、构建信任很难

先跟大家讲个好玩的：据新浪娱乐报道，本月初，北美有名的流行音乐iTunes榜单上，吴亦凡新专辑在全球单曲前十中独中六首。由于刷单过猛，数据超过当红歌手A妹（Ariana Grande）和Lady Gaga百倍。美国人民直接被吓傻，满世界问这位Kris Wu到底是何方神圣。

娱乐行业的数据近期是一个热门话题，据说许多在媒体上显得被追捧的明星，数据大多都是造的。观众能做的就是统统不相信。

各行各业的发展都离不开信任。电子签名技术是构建信任的基础设施，因此信任作为在电子签名行业基石，是重要的话题。e签宝作为行业领头羊，深感唯有正本清源，坚守构建信任基础设施的初心，持续构建品牌和技术的信任感，才能赢得社会客户和大众对电子签名技术的认可。

欧洲近来发生了什么大事

围绕信任这个主题，本篇咱们来深入了解一下近期欧盟关于在线构建信任的大事——eIDAS条例的生效（eIDAS Regulation）。

在过去的两个十年中，互联网、移动互联网技术的高速发展和普及，催生了新的数字经济。人们越来越习惯信息技术带来的好处：移动、便利、随时随地。在以互联网银行为例，线上交易、移动交易已经成为广泛被接受的方式。然而，这些新的数字化交易方式也带来了许多的风险。像网络欺诈、身份欺骗，隐私信息泄密等案例与日俱增。许多个人和组织在面对线上交易时往往都面临以下三个疑问：

1）在线上交易时如何确认对方的身份？

2）如何确认在线业务的真实性？（即要确认在线交易业务不是钓鱼或欺诈网站）

3）如何以便捷及与当前我方系统无缝接续的方式进行具有法律效力的交易？

在这样的背景下，全球各国都在推动提供个人或企业可信的数字交易基础设施，这种可信的数字交易基础设施将有助于数字经济的发展。

2018年的 9月29日，欧盟在2014年颁布的910/2014 Regulation正式生效，取代了欧洲电子签名规范的前一个版本eSignatures Directive 1999/93/EC。这个910/2014条例的全称是electronic IDentification and Authentication Services，简称eIDAS。在eIDAS的加持下，欧盟的民众如今能利用他们的电子身份证（eID）来进行一系列的跨国界的可信纯在线活动：

▲远程使用欧盟成员国内的记录

▲在线进行采购、招投标

▲欧盟内的移民手续

▲在线完成跨国教育入学注册

▲在线完成纳税申报

▲在线交易签署电子合同

▲在线银行开卡、借贷等等

与2018年5月25日生效的《通用数据保护条例》（General Data Protection Regulation，简称GDPR）条例呼应，eIDAS 进一步的加强了GDPR条例的落地执行。

这里有个细节，欧盟的Directive（指令）和Regulation（条例）是不同的，Directive通常是是设定一个目标，各成员国有权选择落实到本国法规系统。但Regulation是指发布即生效的条例，无需经过欧盟成员国以内国家法律法规形式的落实措施，即无论对于成员国还是当事人具备同等法律效力。

在eIDAS实施之前，各国在以前的电子签名指令（Directive）时代是没有达成互通的，各国间的跨境电子交易互通是有很大困难的。而此次的eIDAS落地由原来的eSignatures Directive升级为Regulation则目标是通过强制的条例来实现互通，这是一个重大的调整，表明了欧洲在构建数字共同体的决心。

图示：在eSignatures Directive时代，欧洲各国间跨国电子交易存在障碍

eIDAS的愿景和关注点

eIDAS的主要愿景是通过构建数字化经济共同体来驱动创新。同时，eIDAS也有两个重要的关注点：

互通性

欧盟成员国之间要确保在一个共同的框架下通过eID技术来构建在线交易的真实性。在eIDAS框架下，欧盟各成员都被要求对各自的电子身份证（eID）进行互认，以便支持各成员国之间的数据互访，这将有助于提升跨境商务活动的便捷度。

透明度

eIDAS提供了一个清晰、随时可获得的可信服务商列表。在基于中心化构建信任的PKI体系中这个列表将有助于降低用户的选择成本。对于那些对信任构建、信息有诉求的用户而言，不必深入了解电子签名、信息等专业技术就可以很好的选择好的、合适的技术。同时，可信服务商列表也有助于服务商降低营销成本。如若中国也实施这样的制度，对e签宝这样的行业带领者而言无疑是一种利好。

eIDAS跟电子签名什么关系

eIDAS条例就是欧盟的电子签名法规，它认可电子签名具有法律约束力，并将电子签名分为三个不同的级别，以便在不同的场合下采用。

普通电子签名Standard Electronic Signature(ES)

包括各类电子形式的签名形态，如：邮件、含有手写签名笔迹图片的合约等简单电子签名形式。按此定义，我国许多电信营业厅在签署套餐合约时采用手写板签字就是普通电子签名形态。欧盟也认可普通电子签名具有法律效力，并要求司法体系不应单纯因为其电子的形式而否认它。但这种电子签名由于容易被挑战，甚至被抵赖，通常不建议采用在高交易金额、高违约风险场景下。

电子签名Advanced Electronic Signatures (AdES)

电子签名要求采用级别高的技术，通常要求采用基于数字证书的电子签名。

电子签名要求签名数据一定的指向签署方，并且采用签名数据保护文档，并且可以通过签名数据来验证文档的完整性。同时，签名者对签名数据拥有的控制权。我国《电子签名法》中规定的“可靠的电子签名”所指向的条件等同于欧盟的电子签名。

可信电子签名Qualified Electronic Signatures (QES)

在电子签名的要求之上，还要求采用可信的数字证书。可信数字证书一定被欧盟成员国认证和监管的CA机构颁发。可信的数字证书也必然存储在一个可信的电子签名生成设备（QSCD）上。

如：UKey、智能卡、基于云的硬件模块如采用了手机盾技术的手机等。e签宝长期推行的就是这类“可信电子签名”。

除了电子签名的所有内容，e签宝还采用全国权威的CA机构颁发的数字证书，并持续的通过和这些CA机构进行双向审计确保电子签名流程的可信度。

接下来我们来讲讲真实身份又有多么重要呢？请继续阅读《欧洲电子签名及信任体系：深度解读eIDAS（下）》