TMD مقابل TMK: الفروقات القانونية والعملية

المقدمة: لماذا نميز بين TMD و TMK؟

في النظام الأوروبي للثقة الرقمية، تثير مفاهيم Trustmark لبيانات (TMD) و Trustmark لمفاتيح (TMK) — التي تشير على التوالي إلى آليات وضع علامات الثقة للبيانات الإلكترونية والبنى التحتية لمفاتيح التشفير — ارتباكاً متكراراً لدى ممارسي القانون والمسؤولين عن التكنولوجيا. غير أن أنظمتهما القانونية وطاقتهما التقنية وتداعياتهما العملية تختلف بشكل جذري. يوضح هذا المقال هاتين الآليتين، ويقدم إطارهما التنظيمي الخاص بكل منهما، ويرشد المنظمات B2B في اختيار الحل الأنسب لتدفقات وثائقهم.

---

ما هو TMD (Trustmark للبيانات)؟

يشير TMD أو آلية وضع علامات الثقة المطبقة على البيانات إلى مجموعة من الإجراءات والخصائص التشفيرية التي تسمح بالتصديق على سلامة وأصالة مجموعة بيانات أو وثيقة إلكترونية. يعتمد بشكل أساسي على آليات الختم الإلكتروني المؤهل (qualified electronic seal) بمعنى لائحة eIDAS.

الأسس التقنية للـ TMD

من الناحية التقنية، يعتمد TMD على:

• وظيفة هاش (SHA-256, SHA-3) مطبقة على البيانات المصدر، مما ينتج بصمة رقمية فريدة؛

• شهادة رقمية صادرة من مزود خدمات ثقة مؤهل (PSCQ)، مما يضمن هوية الكيان المُصدر؛

• طابع زمني إلكتروني مؤهل متوافق مع معيار ETSI EN 319 421، توفير إثبات زمني قابل للمعارضة.

تمنح هذه العناصر الثلاثة مجتمعة TMD قيمة إثباتية عالية، معادلة لقيمة الفعل الرسمي في العديد من الدول الأعضاء في الاتحاد الأوروبي. للمزيد عن القيمة القانونية للوثائق الموقوتة، راجع دليلنا الشامل للتوقيع الإلكتروني.

المجالات التطبيقية المفضلة للـ TMD

يعتبر TMD مناسباً بشكل خاص للسياقات حيث تحتاج المنظمة إلى التصديق على سلامة أحجام كبيرة من البيانات دون الحاجة إلى تدخل نشط من شخص طبيعي محدد. يوجد بشكل خاص في:

• التصديق على تدفقات محاسبية ومالية (سجلات التدقيق، الأرصدة العمومية)؛

• الحفظ القانوني للأدلة الرقمية (الأرشفة الإثباتية المتوافقة مع NF Z 42-013)؛

• تبادلات EDI بين الشركاء التجاريين في سلاسل الإمداد.

---

ما هو TMK (Trustmark للمفاتيح)؟

يندرج TMK أو آلية وضع علامات الثقة المركزة على مفاتيح التشفير في منطق مختلف: فهو لا يصدق البيانات نفسها بل البنى التحتية لمفاتيح عامة (PKI) والأجهزة المستخدمة للتوقيع من قبل الموقعين. يرتبط ارتباطاً وثيقاً بمفاهيم جهاز إنشاء التوقيع المؤهل (QSCD) المحدد في الملحق الثاني من لائحة eIDAS.

الهندسة المعمارية التشفيرية للـ TMK

يتضمن TMK:

• وحدة HSM (وحدة أمان الأجهزة) معتمدة CC EAL 4+ أو FIPS 140-2 مستوى 3، مما يضمن عدم مغادرة المفاتيح الخاصة للجهاز الآمن؛

• سياسة شهادة موثقة (CPS – بيان ممارسة الشهادات) منشورة من قبل PSCQ؛

• آليات إلغاء الصلاحية في الوقت الفعلي عبر OCSP (بروتوكول حالة شهادة عبر الإنترنت) أو CRL (قائمة إلغاء الشهادات).

تستند قوة TMK إذاً إلى الأمان الفيزيائي والمنطقي لأجهزة إنشاء وتخزين المفاتيح. لفهم كيفية تعاون هذه المتطلبات مع الإطار التنظيمي الشامل، يمثل دليلنا حول لائحة eIDAS 2.0 مرجعاً أساسياً.

المجالات التطبيقية المفضلة للـ TMK

يفرض نفسه TMK في السيناريوهات حيث يجب إشراك المسؤولية القانونية لشخص طبيعي محدد بطريقة مؤكدة:

• توقيع العقود ذات القيمة القانونية العالية (نقل تحويل المتاجر، عقود الإيجار التجاري، الأفعال الموثقة)؛

• عمليات المصادقة القوية في بوابات الإدارة والمؤسسات (واجهات برمجية للجمارك، منصات Chorus Pro)؛

• التحقق من أوامر الدفع في المؤسسات المالية الخاضعة لـ DSP2.

---

المقارنة القانونية: TMD مقابل TMK

يكمن التمييز الأكثر أهمية بين TMD و TMK في التعلق القانوني بهما في إطار لائحة eIDAS (رقم 910/2014) وخليفتها eIDAS 2.0 (لائحة الاتحاد الأوروبي 2024/1183).

نظام المسؤولية

| المعيار | TMD | TMK | |---|---|---| | الكيان المسؤول | شخص معنوي (منظمة) | شخص طبيعي أو معنوي محدد | | مستوى الثقة | متقدم أو مؤهل (ختم) | مؤهل (توقيع إلكتروني مؤهل) | | الافتراض القانوني | سلامة البيانات | موافقة وهوية الموقع | | النطاق عبر الحدود | الاعتراف التلقائي بالاتحاد الأوروبي | الاعتراف التلقائي بالاتحاد الأوروبي (المادة 25 من eIDAS) |

يعتبر TMD مسؤولية الكيان المُصدر: إذا تم تعريض سلامة البيانات المُصدَّقة للخطر، فيجب أن تتحمل المنظمة المسؤولية. يعتبر TMK، على النقيض من ذلك، المسؤولية الفردية لصاحب المفتاح — مما يجعله الأداة الضرورية لأي فعل حيث يجب إثبات الإرادة الشخصية بوضوح لا لبس فيه.

القوة الإثباتية أمام الجهات القضائية الفرنسية

في القانون الفرنسي، تنص المادة 1366 من القانون المدني على أن "الكتابة الإلكترونية لها نفس قوة الكتابة على دعامة الورق، شريطة أن يمكن التعرف بشكل صحيح على الشخص الذي تصدر عنه وأن تكون قد وضعت وحُفظت بطريقة تضمن سلامتها". يغطي هذا الصياغة الآليتين، لكن مع فروقات مهمة:

• المستند المحمي بـ TMD مؤهل يستفيد من افتراض سلامة يعكس عبء الإثبات؛

• المستند الموقع عبر TMK مؤهل يستفيد، بالإضافة إلى ذلك، من افتراض النسبة — يجب على الموقع نفسه إثبات عدم توقيعه، وهو أمر صعب للغاية.

يشرح هذا عدم التماثل الإثباتي سبب تفضيل الفقهاء والقانونيين و المكاتب القانونية التي تستخدم التوقيع الإلكتروني لـ TMK للأفعال الخاضعة لشرط الشكل القانوني.

قابلية التشغيل البيني والاعتراف المتبادل

يعزز eIDAS 2.0 قابلية التشغيل البيني عبر محافظ الهوية الرقمية الأوروبية (EDIW)، التي ستدمج بشكل طبيعي آليات TMK للمواطنين والمحترفين. يعتمد TMD بشكل أكبر على قوائم الثقة الوطنية (Trusted Lists) المنشورة من قبل كل دولة عضو. تنشر فرنسا نسختها عبر ANSSI، وكل PSCQ مؤهل يُسرد فيها. للحصول على تحليل مقارن للحلول المتاحة في السوق، سيعطيك مقارنة حلول التوقيع الإلكتروني عناصر قرار ملموسة.

---

التداعيات العملية للمؤسسات B2B

الاختيار بين TMD و TMK حسب نوع الوثيقة

القاعدة الذهبية بسيطة: مستوى المخاطرة القانونية للوثيقة يحدد الآلية المراد نشرها.

• المستندات ذات المخاطرة المتوسطة (طلبات الشراء، عروض الأسعار، شروط وأحكام عامة، اتفاقيات السرية القياسية): يكفي عموماً TMD بختم متقدم. يوفر حماية قوية للسلامة دون تكلفة إضافية مرتبطة بمؤهل QSCD.

• المستندات ذات المخاطرة العالية (عقود العمل، التفويضات، أفعال النقل، الالتزامات المالية التي تتجاوز 50,000 يورو): يُنصح بـ TMK المؤهل، بل قد يكون إلزامياً في بعض القطاعات المنظمة (المصارف، التأمين، الصحة).

بالنسبة لفرق الموارد البشرية التي تدير أحجاماً كبيرة من عقود العمل، يدمج حل التوقيع الإلكتروني للموارد البشرية مستوى ثقة مناسباً لكل نوع من المستندات.

التكاليف وأوقات التوزيع

عادة ما يكون TMD أقل تكلفة في التوزيع لأنه لا يتطلب عملية تحديد قوية (KYC/AML) لكل موقع. يستغرق الدمج عبر API في نظام إدارة الوثائق (GED) أو ERP في المتوسط من 2 إلى 6 أسابيع حسب تعقيد بيئة تكنولوجيا المعلومات.

يتضمن TMK، نظراً لمتطلبات QSCD وعملية التحقق من الهوية، فترة تسجيل من 3 إلى 10 أيام عمل لكل موقع. بالنسبة للمنظمات التي تدير الكثير من الشركاء الخارجيين، قد يمثل هذا عاملاً احتكاكياً يجب الأخذ به في الاعتبار في إدارة التغيير.

الأرشفة والحفاظ

بغض النظر عن الآلية المختارة، يجب على أي منظمة خاضعة للقانون الفرنسي أن تحترم المدد القانونية للحفظ: 10 سنوات للعقود التجارية (المادة L. 110-4 من قانون التجارة)، 5 سنوات للبيانات الشخصية المرتبطة بها (RGPD المادة 5). يضمن نظام الأرشفة الإثباتية المتوافق مع معيار NF Z 42-013 أن القيمة القانونية للـ TMD أو TMK محفوظة عبر الوقت، حتى في حالة الهجرة التكنولوجية.

الإطار القانوني المطبق على TMD و TMK

لائحة eIDAS وتطورها

يتكون الأساس التنظيمي لآليات TMD و TMK من لائحة (الاتحاد الأوروبي) رقم 910/2014 من البرلمان الأوروبي والمجلس بتاريخ 23 يوليو 2014، لائحة eIDAS. ينشئ هذا النص الأساسي التسلسل الهرمي لمستويات الثقة (بسيط، متقدم، مؤهل) ويحدد شروط الاعتراف عبر الحدود بخدمات الثقة داخل الاتحاد الأوروبي.

في عام 2024، قامت لائحة (الاتحاد الأوروبي) 2024/1183 (eIDAS 2.0) بمراجعة شاملة لهذا الإطار، مقدمة على وجه الخصوص:

• محافظ الهوية الرقمية الأوروبية (EDIW) الإلزامية للدول الأعضاء قبل عام 2026؛

• فئات جديدة من خدمات الثقة، بما فيها شهادات إلكترونية للخصائص المؤهلة؛

• متطلبات معززة لـ PSCQ فيما يتعلق بأمن المعلومات (محاذاة NIS2).

القانون المدني الفرنسي: المواد 1366 و 1367

في القانون الداخلي، تضع المواد 1366 و 1367 من القانون المدني (من المرسوم رقم 2016-131 بتاريخ 10 فبراير 2016) شروط القيمة الإثباتية للكتابة الإلكترونية. توضح المادة 1367 أن التوقيع الإلكتروني المؤهل (القائم على TMK مؤهل وجهاز QSCD) "ينشئ افتراضاً بسيطاً للموثوقية". هذا الافتراض قابل للدحض، لكنه يعكس عبء الإثبات لصالح المستفيد من التوقيع.

معايير ETSI المطبقة

يتم توحيد المواصفات التقنية لـ TMD و TMK بواسطة ETSI (معهد معايير الاتصالات الأوروبي):

• ETSI EN 319 132: التوقيع الإلكتروني المتقدم XAdES؛

• ETSI EN 319 122: التوقيع CAdES؛

• ETSI EN 319 142: التوقيع PAdES (PDF)؛

• ETSI EN 319 421: سياسة الطابع الزمني الإلكتروني المؤهل؛

• ETSI EN 319 401: متطلبات عامة لـ PSCQ.

RGPD وحماية البيانات

ينطوي نشر TMD و TMK على معالجة بيانات شخصية (هوية الموقع، بيانات وصفية للتوقيع). تفرض لائحة (الاتحاد الأوروبي) 2016/679 (RGPD):

• أساس قانوني محدد للمعالجة (تنفيذ العقد، المادة 6.1.ب، أو التزام قانوني، المادة 6.1.ج)؛

• سجل المعالجات توثيق تدفقات البيانات نحو PSCQ؛

• شروط عقدية مناسبة إذا كان PSCQ مؤسساً خارج الاتحاد الأوروبي أو يستخدم متعاقدين من خارج أوروبا.

توجيه NIS2 وأمن البنى التحتية PKI

تخضع توجيهة الاتحاد الأوروبي 2022/2555 (NIS2)، المنقولة إلى القانون الفرنسي بموجب قانون 17 أبريل 2024، PSCQ المؤهلة لالتزامات معززة بإدارة مخاطر الأمن السيبراني، وإخطار الحوادث (مهلة 24 ساعة للإخطار الأولي لـ ANSSI) وتدقيق دوري. بالنسبة للشركات المستخدمة، يترجم هذا إلى التزام العناية الواجبة المتزايدة عند اختيار مزود الثقة الخاص بهم.

سيناريوهات الاستخدام الملموسة

السيناريو 1: شركة صناعية صغيرة ومتوسطة تدير 300 عقد مورد سنوياً

تدير شركة صناعية صغيرة ومتوسطة حوالي مائة موظف، متخصصة في تصنيع المكونات الميكانيكية، حوالي 300 عقد مورد سنوياً (شراء المواد الخام، خدمات الصيانة، عقود الإطار اللوجستية). حتى الآن، كانت هذه المستندات تتنقل عبر البريد العادي أو البريد الإلكتروني غير الآمن، مع متوسط تأخير التوقيع 12 إلى 18 يوم عمل.

من خلال نشر آلية TMD مؤهلة للعقود بقيمة تقل عن 20,000 يورو وآلية TMK مؤهلة للالتزامات التي تتجاوز أو تتعدد السنوات، تقلل الشركة الصغيرة والمتوسطة متوسط تأخير التوقيع إلى 1.8 يوم عمل، أي تخفيض يزيد عن 85%. النزاعات المتعلقة بمعارضة سلامة المستندات، التي كانت تمثل 2 إلى 3 ملفات تقاضي سنوياً، تنخفض إلى الصفر خلال الأشهر الـ 18 التالية للنشر — الافتراض القانوني المرتبط بالآليات المؤهلة يثبط محاولات المعارضة.

السيناريو 2: مجمع مستشفيات يضم حوالي 600 سرير

يجب على مجمع مستشفيات عام يدير عدة مؤسسات توقيع عدة آلاف من المستندات سنوياً: عقود الممارسين الطبيين بالمستشفيات، بروتوكولات البحث السريري، اتفاقيات مع الشركاء الجامعيين والمختبرات الصيدلانية. يفرض قطاع الصحة قيوداً تنظيمية محددة (HDS — استضافة بيانات الصحة، PGSSI-S).

ينشر المجمع TMK مؤهل لتوقيعات الممارسين (حيث يتحمل مسؤوليتهم الطبية والقانونية) و TMD متقدم لتصديق تدفقات بيانات المرضى بين المؤسسات. يسمح الجمع بين الآليتين بتقليل تكاليف الطباعة والمسح الضوئي والأرشفة المادية بـ 45,000 يورو سنوياً مع تعزيز الامتثال لـ RGPD و HDS. عمليات التدقيق على الامتثال، التي كانت تتطلب سابقاً 3 أسابيع من تحضير الوثائق، تنخفض إلى 4 أيام بفضل سجلات التدقيق الآلية.

السيناريو 3: مكتب استشارات في الاندماجات والاستحواذات بحجم متوسط

يدير مكتب متخصص في عمليات الاندماجات والاستحواذ حوالي عشر عمليات سنوياً ويجب عليه إدارة رسائل النوايا (LOI)، واتفاقيات السرية المعززة، وبروتوكولات الاتفاق وأفعال النقل. تتراوح قيمة العمليات بين 5 ملايين يورو و 80 مليون يورو. قد تؤدي أقل معارضة على أصالة الوثيقة إلى حجب عملية لعدة أشهر.

من خلال فرض العودة إلى TMK مؤهل لمجموع وثائق المعاملة من مرحلة العناية الواجبة، يلغي المكتب مخاطر الطعن الرسمي. تعترف الأطراف الأجنبية (خاصة البريطانية والأمريكية بعد بريكست) بالقيمة الإثباتية لتوقيعات eIDAS المؤهلة في إطار شروط القانون الأوروبي المعني. يقل متوسط وقت إغلاق الوثائق من 22 يوماً إلى 8 أيام، أي كسب قدره 63% في تأخيرات التنهية.

الخلاصة

لا يمكن استبدال TMD و TMK ببعضهما البعض: الأول يصدق سلامة البيانات على مستوى المنظمة، والثاني ينطوي على المسؤولية الفردية للموقع مع أقصى قوة إثباتية مقررة بموجب eIDAS. يعتبر فهم هذا التمييز الآن متطلباً أساسياً لأي سياسة توثيقية جادة في بيئة B2B. يعتمد اختيار الآلية الصحيحة مباشرة على مستوى المخاطرة القانونية لكل نوع من المستندات والقيود القطاعية المعنية.

يرافقك Certyneo في تطبيق استراتيجية ثقة رقمية تجمع بين TMD و TMK حسب تدفقات وثائقك الفعلية. تتولى منصتنا كلا الآليتين، وتدمج متطلبات eIDAS 2.0 وتتكيف مع نظام المعلومات الخاص بك. اطلب عرضاً توضيحياً أو قارن عروضنا على صفحة أسعار Certyneo — خبراؤنا القانونيون والتقنيون متاحون لتدقيق الحالة الخاصة بك بالمجان.