SES、AES、QES：欧盟电子签名三级体系，你的合同该用哪一级

在数字化办公日益普及的今天，电子签名已经成为我们日常工作生活的一部分。
但你有没有想过：同样是电子签名，为什么有的只是扫个码点个确认，有的却需要硬件令牌、人脸识别，甚至被法律赋予与手写签名同等的效力？
这背后，是欧盟eIDAS法规建立的一套电子签名分级体系。它将电子签名分为三个级别：普通电子签名（SES）、高级电子签名（AES）和合格电子签名（QES）。三个级别，对应着不同的安全强度和法律效力。
今天，我们就来彻底搞懂这三者的区别。
________________________________________
一、eIDAS法规：电子签名的“欧盟统一标准”
在eIDAS法规出台之前，欧盟各国对电子签名的认定各自为政——德国可能要求生物特征，法国侧重加密算法强度，企业跨境开展业务时苦不堪言。
2014年，eIDAS法规正式生效；2016年7月1日起全面实施。它废除了此前的电子签名指令，为欧盟27个成员国建立了统一的电子签名法律框架。
这个框架的核心，就是将电子签名划分为三个等级，每个等级都有明确的技术标准和法律效力认定。从此，在德国签发的合格电子签名，在法国、意大利、西班牙同样有效。
________________________________________
二、三级电子签名详解
第一级：普通电子签名（SES）——最基本的“电子形式”
SES是指与其他电子数据（如文档）逻辑相连的电子数据，签字人使用该方法进行签名。说白了，只要是以电子形式存在的签名，都可以算作SES。
包括哪些？扫描上传的手写签名图片、邮件末尾的自动签名、在平板电脑上用手指绘制的签名、点击网页上的“我同意”按钮……这些都属于SES。
在安全强度上，SES是最低的。它几乎没有任何身份验证机制，任何人都可以复制你的签名图片，或者冒用你的邮箱发送合同。
在法律效力方面，SES的效力不会被单纯因其电子形式而被否定。但在发生争议时，它的证明力很弱。比如在意大利，SES的证明力由法官酌情评估，完全取决于具体案情。
它适合哪些场景？内部非正式确认、低风险知情同意、无法律约束力的意向表达。
一句话总结：SES能证明“有这个动作”，但很难证明“是谁做的、有没有被改过”。
________________________________________
第二级：高级电子签名（AES）——可验证身份的“强化版”
AES是在SES基础上，增加了一系列技术保障措施的电子签名。根据eIDAS的要求，AES必须满足四个核心条件：
第一，签名必须唯一指向签署人。第二，必须能够辨认签署人的身份。第三，签名生成数据必须在签署人唯一控制下使用。第四，签名后文档的任何修改都能被发现。
常见的AES实现方式包括通过短信验证码确认身份、使用数字证书进行签名、基于PKI技术的云签名服务等。这些方法通过多因素认证，确保“确实是本人在签”。
在安全强度上，AES属于中等水平。它能有效防止他人冒用身份，且能检测文档是否被篡改。
法律效力方面，AES具有法律约束力，但并非所有欧盟成员国都赋予其与手写签名同等的效力。例如，德国就不承认AES等同于手写签名。不过在意大利，AES与QES一样具有完整的证明力。在争议中，使用AES签署的合同，质疑方需要承担举证责任。
它适合商业合同、客户协议、HR文件、采购订单等中等风险场景。
一句话总结：AES能证明“是谁签的、签完之后没被改过”。
________________________________________
第三级：合格电子签名（QES）——法律等同手写的“黄金标准”
QES是电子签名中的最高级别。它本质上是一个“超级AES”——在满足所有AES要求的基础上，额外增加两大硬性条件：
第一，必须使用经过认证的硬件设备（如安全令牌、智能卡、硬件安全模块）生成签名，确保私钥绝对安全、无法被复制。这就是所谓的“合格签名创建设备”（QSCD）。
第二，必须由列入欧盟信任列表的合格信任服务提供商签发数字证书。
在实际应用中，用户通常需要持有硬件令牌或使用符合标准的eID卡，配合生物识别（指纹、人脸）等多因素验证。例如，德国律师专用的beA邮箱系统，就满足QES要求。
在安全强度上，QES是最高的。它实现了“不可否认性”——签署人几乎不可能在法律程序中否认自己的签名。
法律效力方面，QES是唯一被eIDAS明确赋予与手写签名同等法律效力的签名类型。在整个欧盟27国及欧洲经济区内，QES签署的文件自动获得跨境互认，无需额外公证或认证。在意大利，使用QES签署的合同被视为完全证明，否认签名的一方需要承担“极困难”的举证责任。
它适合金融交易、房地产合同、公证行为、跨境法律文件、政府申报、涉及高价值或强监管领域的合同。
一句话总结：QES等同于“亲手签名”，最具法律效力，最难被推翻。
________________________________________
三、三个级别，怎么理解它们的区别？
从身份验证强度看，SES几乎没有验证，AES有多因素认证可识别身份，QES则有最严格的硬件加生物识别认证。
从技术核心看，SES可以是任何电子形式，AES基于PKI数字证书加多因素认证，QES则必须使用硬件设备和合格服务商证书。
从防篡改能力看，SES几乎没有，AES可以检测篡改，QES则有硬件级防护。
从法律效力看，SES不被否定但证明力弱，AES有约束力且举证责任在质疑方，QES则等同手写签名并在全欧盟互认。
从适用风险看，SES适合低风险场景，AES适合中等风险，QES则适合高风险和法律强制要求的场景。
________________________________________
四、企业在跨境业务中如何选择？
对于在欧盟开展业务的企业，选择合适的签名级别至关重要：
日常低风险场景，SES足以应对。比如内部通知、非正式确认这些，用SES就够了。
中等风险商业合同，建议使用AES。它在安全性和便捷性之间取得良好平衡，能满足大多数商业场景的需求。全球主流的电子签名平台如DocuSign、Adobe Sign都支持AES。
高风险或法律强制要求场景，则必须使用QES。比如需要满足法定书面形式要求的合同（如德国规定的消费者贷款合同、租赁合同终止等），向政府部门提交的正式文件（如在意大利向商会提交公司变更文件），跨境法律文件、房地产交易、公证文书，以及涉及严格监管领域的合规文件。
跨境业务特别提醒：选择符合eIDAS标准的合格信任服务提供商至关重要，其名单可在欧盟信任列表中查询。同时，QES的私钥必须妥善保管，通常存放在硬件令牌中，一旦丢失，补办流程会比较复杂。
________________________________________
五、结语
从SES到AES再到QES，欧盟eIDAS法规构建了一套完整、清晰、可执行的电子签名信任体系。
SES，是数字化时代的“便签纸”——方便，但别指望它证明什么。
AES，是商业世界的“标准合同”——可靠，能满足绝大多数场景。
QES，是法律层面的“亲笔签名”——最具效力，为最高风险保驾护航。
对于企业而言，理解这三者的区别，不仅是合规的需要，更是控制法律风险、提升交易效率的关键。在全球数字化浪潮中，选对签名级别，才能让每一份合同都“签得放心、用得安心”。