TMD مقابل TMK: الاختلافات القانونية والعملية

المقدمة: لماذا نميز بين TMD و TMK؟

في النظام البيئي الأوروبي للثقة الرقمية، فإن مفاهيم علامة الثقة للبيانات (TMD) و علامة الثقة للمفاتيح (TMK) — التي تشير على التوالي إلى آليات وضع علامات الثقة للبيانات الإلكترونية وللبنى التحتية لمفاتيح التشفير — غالباً ما تسبب ارتباكاً بين ممارسي القانون والمسؤولين عن تقنية المعلومات. ومع ذلك، فإن أنظمتهما القانونية وحدود نطاقهما التقنية والآثار العملية لهما تختلف بشكل أساسي. تشرح هذه المقالة هاتين الآليتين، وتقدم إطارهما التنظيمي الخاص بكل منهما، وتوجه المنظمات B2B في اختيار الأنسب لتدفقات المستندات لديها.

---

ما هو TMD (علامة ثقة البيانات)؟

TMD، أو آلية وضع علامات الثقة المطبقة على البيانات، تشير إلى مجموعة من الإجراءات والخصائص التشفيرية التي تسمح بمصادقة سلامة وأصالة مجموعة بيانات أو مستند إلكتروني. يستند بشكل أساسي إلى آليات الختم الإلكتروني المؤهل (qualified electronic seal) بمعنى لائحة eIDAS.

الأسس التقنية لـ TMD

من الناحية التقنية، يعتمد TMD على:

• دالة التجزئة (SHA-256، SHA-3) مطبقة على البيانات المصدرية، مما يُنشئ بصمة رقمية فريدة؛

• شهادة رقمية صادرة عن مزود خدمات الثقة المؤهل (PSCQ)، يضمن هوية الكيان المصدر؛

• طابع زمني إلكتروني مؤهل متوافق مع معيار ETSI EN 319 421، يوفر إثباتاً زمنياً قابلاً للمعارضة.

هذه العناصر الثلاثة مجتمعة توفر لـ TMD قيمة إثباتية عالية، مماثلة لتلك الخاصة بالعقد الموثق في العديد من الدول الأعضاء في الاتحاد الأوروبي. لمزيد من المعلومات حول القيمة القانونية للمستندات ذات الطابع الزمني، راجع دليلنا الشامل للتوقيع الإلكتروني.

مجالات التطبيق المفضلة لـ TMD

TMD مناسب بشكل خاص للسياقات التي تحتاج فيها المنظمة إلى مصادقة سلامة أحجام كبيرة من البيانات دون الحاجة إلى التدخل النشط لشخص طبيعي محدد. توجد بشكل خاص في:

• مصادقة التدفقات المحاسبية والمالية (سجلات التدقيق، الأرصدة العامة)؛

• الحفظ القانوني للأدلة الرقمية (الأرشفة الإثباتية المتوافقة مع NF Z 42-013)؛

• تبادل EDI بين الشركاء التجاريين في سلاسل التوريد.

---

ما هو TMK (علامة ثقة المفاتيح)؟

TMK، أو آلية وضع علامات الثقة المركزة على المفاتيح التشفيرية، يندرج ضمن منطق مختلف: فهو يصادق ليس البيانات نفسها، بل البنى التحتية لمفتاح عام (PKI) والأجهزة المستخدمة لإنشاء التوقيع من قبل الموقعين. يرتبط ارتباطاً وثيقاً بمفاهيم جهاز إنشاء التوقيع المؤهل (QSCD) المحدد في الملحق الثاني من لائحة eIDAS.

البنية التشفيرية لـ TMK

ينطوي TMK على:

• وحدة HSM (وحدة أمان الأجهزة) معتمدة CC EAL 4+ أو FIPS 140-2 المستوى 3، تضمن أن المفاتيح الخاصة لا تترك أبداً الجهاز الآمن؛

• سياسة مصادقة موثقة (CPS – بيان ممارسات المصادقة) منشورة من قبل PSCQ؛

• آليات الإلغاء في الوقت الفعلي عبر OCSP (بروتوكول حالة شهادة عبر الإنترنت) أو CRL (قائمة إلغاء الشهادات).

تعتمد قوة TMK بالتالي على الأمان المادي والمنطقي لأجهزة إنشاء وتخزين المفاتيح. لفهم كيفية ترابط هذه المتطلبات مع الإطار التنظيمي العام، يمثل دليلنا حول لائحة eIDAS 2.0 مرجعاً أساسياً.

مجالات التطبيق المفضلة لـ TMK

يفرض TMK نفسه في الحالات التي يجب فيها إشراك المسؤولية القانونية لـ شخص طبيعي محدد بطريقة مؤكدة:

• التوقيع على العقود ذات القيمة القانونية العالية (بيع المحلات التجارية، عقود الإيجار التجاري، الأعمال الموثقة المرقمنة)؛

• عمليات المصادقة القوية في بوابات المنظمات-المؤسسات (واجهات برمجة التطبيقات الجمركية، منصات Chorus Pro)؛

• التحقق من أوامر الدفع في المؤسسات المالية الخاضعة لـ DSP2.

---

المقارنة القانونية: TMD مقابل TMK

الفرق الأكثر تنظيماً بين TMD و TMK يكمن في ارتباطهما القانوني ضمن لائحة eIDAS (رقم 910/2014) وخليفتها eIDAS 2.0 (لائحة الاتحاد الأوروبي 2024/1183).

نظام المسؤولية

| المعيار | TMD | TMK | |---|---|---| | الكيان المسؤول | الشخص المعنوي (المنظمة) | شخص طبيعي أو معنوي محدد | | مستوى الثقة | متقدم أو مؤهل (ختم) | مؤهل (توقيع إلكتروني مؤهل) | | الافتراض القانوني | سلامة البيانات | موافقة وهوية الموقع | | النطاق عبر الحدود | الاعتراف التلقائي بالاتحاد الأوروبي | الاعتراف التلقائي بالاتحاد الأوروبي (المادة 25 eIDAS) |

TMD يشرك مسؤولية الكيان المصدر: إذا تم المساس بسلامة البيانات المصادقة عليها، يجب أن تتحمل المنظمة المسؤولية. TMK، من ناحية أخرى، يشرك المسؤولية الفردية لصاحب المفتاح — مما يجعله الأداة الحتمية لأي عمل قد تحتاج فيه الإرادة الشخصية إلى الإثبات بدون التباس.

القوة الإثباتية أمام الجهات القضائية الفرنسية

بموجب القانون الفرنسي، تنص المادة 1366 من القانون المدني على أن "الكتابة الإلكترونية لها نفس القوة الإثباتية للكتابة على دعامة ورقية، شريطة أن يمكن تحديد هوية الشخص الذي تصدر عنه بشكل صحيح وأن تتم صياغتها والحفاظ عليها بطرق كفيلة بضمان سلامتها". يغطي هذا الصيغة كلا الآليتين، لكن مع الفروقات المهمة:

• المستند المحمي بـ TMD مؤهل يستفيد من افتراض السلامة الذي ينعكس على عبء الإثبات؛

• المستند الموقع عبر TMK مؤهل يستفيد، بالإضافة إلى ذلك، من افتراض القابلية للإسناد — يجب على الموقع نفسه أن يثبت أنه لم يوقع، وهذا أمر صعب للغاية.

هذا عدم التناسق الإثباتي يشرح لماذا يفضل القانونيون ومكاتب المحاماة التي تستخدم التوقيع الإلكتروني استخدام TMK للأعمال الخاضعة لشرط الشكل القانوني.

التوافقية والاعتراف المتبادل

تعزز eIDAS 2.0 التوافقية من خلال محافظ الهوية الرقمية الأوروبية (EDIW)، التي ستدمج آليات TMK بشكل طبيعي للمواطنين والمحترفين. TMD، من جانبه، يعتمد بشكل أكبر على القوائم الموثوقة الوطنية (Trusted Lists) المنشورة من قبل كل دولة عضو. تنشر فرنسا قائمتها عبر ANSSI، وكل PSCQ مؤهل مدرج فيها. للحصول على تحليل مقارن للحلول الموجودة في السوق، سيمنحك المقارنة بين حلول التوقيع الإلكتروني عناصر قرار عملية.

---

الآثار العملية للمنظمات B2B

الاختيار بين TMD و TMK حسب نوع المستند

القاعدة الذهبية بسيطة: مستوى المخاطر القانونية للمستند يحدد الآلية المراد نشرها.

• المستندات ذات المخاطر المتوسطة (أوامر الشراء، العروض، شروط وأحكام عامة، اتفاقيات السرية NDA القياسية): التوافق مع TMD ذي الختم المتقدم عادةً ما يكون كافياً. يوفر حماية قوية للسلامة بدون تكاليف إضافية مرتبطة بمؤهل QSCD.

• المستندات ذات المخاطر العالية (عقود العمل، التفويضات، أعمال التنازل، الالتزامات المالية التي تتجاوز 50000 يورو): يوصى باستخدام TMK المؤهل، وفي بعض القطاعات المنظمة قد يكون إلزامياً (البنوك والتأمين والصحة).

بالنسبة لفرق الموارد البشرية التي تدير أحجاماً كبيرة من عقود العمل، فإن حل التوقيع الإلكتروني لقطاع الموارد البشرية يتضمن بشكل طبيعي مستوى ثقة مناسباً لكل نوع من المستندات.

التكاليف وجداول الزمن للنشر

عادةً ما يكون TMD أقل تكلفة في النشر لأنه لا يتطلب عملية تحديد هوية قوية (KYC/AML) لكل موقع. يستغرق التكامل عبر واجهة برمجية التطبيقات (API) في نظام إدارة المستندات (GED) أو نظام ERP حوالي أسبوع إلى 6 أسابيع اعتماداً على مدى تعقيد بيئة تقنية المعلومات.

TMK، نظراً لمتطلبات QSCD وعملية التحقق من الهوية، ينطوي على وقت إدراج من 3 إلى 10 أيام عمل لكل موقع. بالنسبة للمنظمات التي تدير عدداً كبيراً من الشركاء الخارجيين، قد يمثل هذا عامل احتكاك يجب توقعه في إدارة التغيير.

الأرشفة والحفظ

بغض النظر عن الآلية المختارة، يجب على أي منظمة خاضعة للقانون الفرنسي أن تحترم مدد الحفظ القانونية: 10 سنوات للعقود التجارية (المادة L. 110-4 من قانون التجارة)، 5 سنوات للبيانات الشخصية المرتبطة (RGPD المادة 5). نظام الأرشفة الإثباتية المتوافق مع معيار NF Z 42-013 يضمن الحفاظ على القيمة القانونية لـ TMD أو TMK بمرور الوقت، حتى في حالة الهجرة التقنية.

الإطار القانوني المعمول به TMD و TMK

لائحة eIDAS وتطورها

الأساس التنظيمي لآليات TMD و TMK يتكون من لائحة (الاتحاد الأوروبي) رقم 910/2014 من البرلمان الأوروبي والمجلس بتاريخ 23 يوليو 2014، المعروفة بلائحة eIDAS. يؤسس هذا النص الأساسي لتسلسل مستويات الثقة (بسيطة، متقدمة، مؤهلة) ويحدد شروط الاعتراف عبر الحدود بخدمات الثقة داخل الاتحاد الأوروبي.

في عام 2024، لائحة (الاتحاد الأوروبي) 2024/1183 (eIDAS 2.0) عدّلت هذا الإطار بشكل كبير، مقدمة على وجه الخصوص:

• محافظ الهوية الرقمية الأوروبية (EDIW) الإلزامية للدول الأعضاء قبل عام 2026؛

• فئات جديدة من خدمات الثقة، بما في ذلك شهادات إلكترونية لسمات مؤهلة؛

• متطلبات معززة لـ PSCQ فيما يتعلق بالأمن السيبراني (التوافق مع NIS2).

القانون المدني الفرنسي: المواد 1366 و 1367

بموجب القانون الداخلي، المواد 1366 و 1367 من القانون المدني (الناشئة عن المرسوم رقم 2016-131 بتاريخ 10 فبراير 2016) تضع شروط القيمة الإثباتية للكتابة الإلكترونية. تحدد المادة 1367 أن التوقيع الإلكتروني المؤهل (المستند إلى TMK مؤهل و QSCD) "ينشئ افتراضاً بسيطاً للموثوقية". هذا الافتراض قابل للتقويض، لكنه ينعكس على عبء الإثبات لصالح مستفيد التوقيع.

معايير ETSI المعمول بها

تم توحيد المواصفات التقنية لـ TMD و TMK من قبل ETSI (معهد معايير الاتصالات الأوروبي):

• ETSI EN 319 132: التوقيع الإلكتروني المتقدم XAdES؛

• ETSI EN 319 122: توقيع CAdES؛

• ETSI EN 319 142: التوقيع PAdES (PDF)؛

• ETSI EN 319 421: سياسة الطابع الزمني الإلكتروني المؤهل؛

• ETSI EN 319 401: المتطلبات العامة لـ PSCQ.

RGPD وحماية البيانات

يتطلب نشر TMD و TMK معالجة البيانات الشخصية (هوية الموقع، بيانات وصفية التوقيع). لائحة (الاتحاد الأوروبي) 2016/679 (RGPD) تفرض:

• أساس قانوني صريح للمعالجة (تنفيذ العقد، المادة 6.1.b، أو التزام قانوني، المادة 6.1.c)؛

• سجل المعالجات يوثق تدفقات البيانات نحو PSCQ؛

• شروط عقدية مناسبة إذا كان PSCQ مؤسساً خارج الاتحاد الأوروبي أو يستخدم معالجات فرعية خارج أوروبا.

التوجيه NIS2 والأمن السيبراني للبنى التحتية PKI

توجيه (الاتحاد الأوروبي) 2022/2555 (NIS2)، المنقول إلى القانون الفرنسي بموجب القانون بتاريخ 17 أبريل 2024، يخضع PSCQ المؤهلين لالتزامات معززة لإدارة مخاطر الأمن السيبراني وإخطار الحوادث (مهلة 24 ساعة للإخطار الأولي إلى ANSSI) والتدقيق الدوري. بالنسبة للشركات المستخدمة، يترجم هذا إلى التزام العناية الواجبة المتزايدة عند اختيار مزود الخدمة الموثوق به.

سيناريوهات الاستخدام العملية

السيناريو 1: شركة صناعية صغيرة ومتوسطة تدير 300 عقد موردين سنوياً

شركة صناعية صغيرة ومتوسطة الحجم يبلغ عدد موظفيها حوالي مائة موظف، متخصصة في تصنيع المكونات الميكانيكية، تدير سنوياً حوالي 300 عقد موردين (شراء المواد الخام وخدمات الصيانة والعقود الإطارية اللوجستية). حتى الآن، كانت هذه المستندات تنتقل عبر البريد البريدي أو البريد الإلكتروني غير الآمن، مع متوسط تأخير توقيع من 12 إلى 18 يوم عمل.

بنشر آلية TMD مؤهلة للعقود بقيمة أقل من 20000 يورو و TMK مؤهل للالتزامات التي تتجاوز أو متعددة السنوات، تقلل الشركة الصغيرة والمتوسطة من متوسط تأخير التوقيع إلى 1.8 يوم عمل، أي تخفيض بنسبة تزيد عن 85 ٪. المنازعات المتعلقة بمعارضة سلامة المستندات، التي مثلت 2-3 ملفات نزاع سنوياً، تنخفض إلى صفر خلال 18 شهراً التالية للنشر — الافتراض القانوني المرتبط بالآليات المؤهلة يثني محاولات إعادة النظر.

السيناريو 2: مجموعة مستشفيات بحوالي 600 سرير

يجب على مجموعة مستشفيات عامة تدير عدة مؤسسات توقيع آلاف المستندات سنوياً: عقود الممارسين بالمستشفيات، وبروتوكولات البحث السريري، والاتفاقيات مع الشركاء الجامعيين والمختبرات الصيدلانية. يفرض قطاع الصحة قيود تنظيمية محددة (HDS — استضافة بيانات الصحة، PGSSI-S).

تنشر المجموعة TMK مؤهل لتوقيعات الممارسين (تشرك مسؤوليتهم الطبية والقانونية) و TMD متقدم لمصادقة تدفقات بيانات المرضى بين المؤسسات. يسمح الجمع بين الآليتين بتقليل تكاليف الطباعة والمسح الضوئي والأرشفة المادية بنسبة 45000 يورو سنوياً مع تعزيز التوافق مع RGPD و HDS. عمليات التدقيق على التوافقية، التي كانت تتطلب سابقاً 3 أسابيع من تحضير المستندات، تنخفض إلى 4 أيام بفضل السجلات المراجعة التلقائية.

السيناريو 3: مكتب استشارات متخصص في الاندماجات والاستحواذات متوسط الحجم

مكتب متخصص في الاندماجات والاستحواذات ترافق حوالي عشر عمليات سنوياً يجب أن تدير رسائل النوايا (LOI)، واتفاقيات السرية المعززة، وبروتوكولات الاتفاق، وأعمال التنازل. تتراوح قيمة العمليات بين 5 مليون يورو و 80 مليون يورو. أي معارضة على أصالة المستند قد تحظر الصفقة لعدة أشهر.

بفرض التزام تعاقدي باستخدام TMK مؤهل لجميع المستندات المتعلقة بالصفقة بدءاً من مرحلة العناية الواجبة، يزيل المكتب مخاطر المعارضة الشكلية. الأطراف المقابلة الأجنبية (وخاصة البريطانية والأمريكية ما بعد البريكست) تعترف بالقيمة الإثباتية للتوقيعات المؤهلة eIDAS في سياق شروط القانون الأوروبي المعمول به. يقل متوسط وقت الإقفال الموثقي من 22 يوم إلى 8 أيام، أي حد أقصى بنسبة 63 ٪ في مواعيد الانتهاء.

الخلاصة

TMD و TMK ليسا قابلين للتبديل: الأول يصادق على سلامة البيانات على مستوى المنظمة، والثاني يشرك المسؤولية الفردية للموقع بأقصى قوة إثباتية يوفرها eIDAS. فهم هذا الفرق أصبح الآن شرطاً أساسياً لأي سياسة موثقية جادة في بيئة B2B. يعتمد اختيار الآلية الصحيحة بشكل مباشر على مستوى المخاطر القانونية لكل نوع من المستندات والقيود القطاعية المعمول بها.

يرافقك Certyneo في تطوير إستراتيجية الثقة الرقمية التي تجمع بين TMD و TMK وفقاً لتدفقات المستندات الحقيقية لديك. توفر منصتنا دعماً لكلا الآليتين وتدمج متطلبات eIDAS 2.0 وتتكيف مع نظام المعلومات الموجود لديك. اطلب عرض توضيحي أو قارن عروضنا على صفحة أسعار Certyneo — خبراؤنا القانونيون والتقنيون متاحون لتدقيق حالتك مجاناً.