TMD مقابل TMK: الفروقات القانونية والعملية

المقدمة: لماذا يجب التمييز بين TMD و TMK؟

في النظام الأوروبي للثقة الرقمية، يثير مفهوما علامة بيانات الثقة (TMD) و علامة مفاتيح الثقة (TMK) — اللذان يشيران على التوالي إلى آليات وضع علامات الثقة للبيانات الإلكترونية والبنى الأساسية للمفاتيح التشفيرية — ارتباكاً متكرراً لدى ممارسي القانون والمسؤولين عن تكنولوجيا المعلومات. ومع ذلك، فإن أنظمتهما القانونية ونطاقاتهما التقنية وآثارهما العملية تختلف بشكل أساسي. تزيل هذه المقالة الغموض عن هاتين الآليتين، وتقدم إطارهما التنظيمي على التوالي، وتوجه المنظمات B2B في اختيار الأنسب لتدفقاتها الموثقة.

---

ما هو TMD (علامة بيانات الثقة)؟

يشير TMD، أو آلية وضع علامات الثقة المطبقة على البيانات، إلى مجموعة من الإجراءات والسمات التشفيرية التي تسمح بتصديق نزاهة وأصالة مجموعة بيانات أو وثيقة إلكترونية. يعتمد بشكل أساسي على آليات الختم الإلكتروني المؤهل (qualified electronic seal) بموجب نظام eIDAS.

الأسس التقنية ل TMD

من الناحية التقنية، يعتمد TMD على:

• دالة التجزئة (SHA-256, SHA-3) المطبقة على البيانات المصدرية، مما ينتج بصمة رقمية فريدة؛

• شهادة رقمية صادرة عن مزود خدمات ثقة مؤهل (PSCQ)، يضمن هوية الكيان المصدر؛

• طابع زمني إلكتروني مؤهل متوافق مع معيار ETSI EN 319 421، يوفر إثبات وقتي معترف به.

هذه العناصر الثلاثة مجتمعة تمنح TMD قيمة إثباتية عالية، معادلة لقيمة التصرفات الموثقة في العديد من دول الاتحاد الأوروبي. للمزيد حول القيمة القانونية للوثائق ذات الطوابع الزمنية، انظر الدليل الشامل للتوقيع الإلكتروني.

المجالات المفضلة لتطبيق TMD

TMD مناسب بشكل خاص للحالات التي تحتاج فيها المنظمة إلى تصديق نزاهة كميات كبيرة من البيانات دون الحاجة إلى تدخل فعال من شخص طبيعي محدد. يظهر بشكل خاص في:

• تصديق التدفقات المحاسبية والمالية (دفاتر التدقيق، أرصدة عامة)؛

• الحفظ القانوني للأدلة الرقمية (الأرشفة الإثباتية المطابقة لمعيار NF Z 42-013)؛

• تبادلات EDI بين الشركاء التجاريين في سلاسل التوريد.

---

ما هو TMK (علامة مفاتيح الثقة)؟

يندرج TMK، أو آلية وضع علامات الثقة المركزة على المفاتيح التشفيرية، في منطق مختلف: فهو يصدق ليس البيانات نفسها، بل بنى المفاتيح العامة (PKI) والأجهزة المستخدمة لإنشاء التوقيع من قبل الموقّعين. ترتبط ارتباطاً وثيقاً بمفاهيم جهاز إنشاء التوقيع المؤهل (QSCD) المعرّف في الملحق II لنظام eIDAS.

البنية التشفيرية ل TMK

يتضمن TMK:

• وحدة HSM (وحدة الأمان الحساسة) معتمدة CC EAL 4+ أو FIPS 140-2 المستوى 3، يضمن ألا تغادر المفاتيح الخاصة الجهاز الآمن أبداً؛

• سياسة توثيق موثقة (CPS – بيان ممارسات التوثيق) منشورة من قبل PSCQ؛

• آليات الإلغاء في الوقت الفعلي عبر OCSP (بروتوكول حالة شهادة عبر الإنترنت) أو CRL (قائمة إلغاء الشهادات).

تعتمد قوة TMK بالتالي على الأمان المادي والمنطقي لأجهزة إنشاء وتخزين المفاتيح. لفهم كيفية توضيح هذه المتطلبات مع الإطار التنظيمي الشامل، يشكل دليل نظام eIDAS 2.0 مرجعاً أساسياً.

المجالات المفضلة لتطبيق TMK

يفرض TMK نفسه في السيناريوهات التي يجب فيها تحديد مسؤولية شخص طبيعي معروّف بشكل مؤكد:

• توقيع العقود ذات القيمة القانونية العالية (تحويلات الأموال التجارية، عقود الإيجار التجارية، التصرفات الموثقة بشكل إلكتروني)؛

• عمليات المصادقة القوية في البوابات الحكومية والشركات (واجهات برمجية للجمارك، منصات Chorus Pro)؛

• التحقق من أوامر الدفع في المؤسسات المالية الخاضعة لـ DSP2.

---

المقارنة القانونية: TMD مقابل TMK

يكمن التمييز الأكثر بنيوياً بين TMD و TMK في ارتباطهما القانوني ضمن نظام eIDAS (رقم 910/2014) وخليفته eIDAS 2.0 (نظام الاتحاد الأوروبي 2024/1183).

نظام المسؤولية

| المعيار | TMD | TMK | |---|---|---| | الكيان المسؤول | شخص معنوي (منظمة) | شخص طبيعي أو معنوي محدد | | مستوى الثقة | متقدم أو مؤهل (ختم) | مؤهل (توقيع إلكتروني مؤهل) | | الافتراض القانوني | نزاهة البيانات | الموافقة وهوية الموقّع | | النطاق عبر الحدود | الاعتراف التلقائي بالاتحاد الأوروبي | الاعتراف التلقائي بالاتحاد الأوروبي (مادة 25 eIDAS) |

يرتب TMD مسؤولية الكيان المصدر: إذا تمت المساس بنزاهة البيانات المصدقة، يجب على المنظمة أن تتحمل المسؤولية. يرتب TMK، من جهته، مسؤولية فردية لمالك المفتاح — مما يجعله الأداة لا غنى عنها لأي تصرف يجب فيه إثبات الإرادة الشخصية دون التباس.

القوة الإثباتية أمام المحاكم الفرنسية

بموجب القانون الفرنسي، تنص المادة 1366 من القانون المدني على أن "الكتابة الإلكترونية لها نفس قوة الإثبات للكتابة على ورق، شريطة أن يكون من الممكن تحديد هوية الشخص الذي تصدر عنه بشكل صحيح وأن تكون قد تم إنشاؤها والحفاظ عليها في ظروف من شأنها ضمان سلامتها". تغطي هذه الصيغة كلا الآليتين، لكن مع تفاصيل دقيقة مهمة:

• الوثيقة المحمية بـ TMD مؤهل تستفيد من افتراض نزاهة يعكس عبء الإثبات؛

• الوثيقة الموقعة عبر TMK مؤهل تستفيد، بالإضافة إلى ذلك، من افتراض الإسناد — يجب على الموقّع نفسه إثبات أنه لم يوقع، وهو أمر صعب للغاية.

يشرح هذا عدم التماثل الإثباتي لماذا يفضل القانونيون و **الشركات القانونية التي تستخدم التوقيع الإلكتروني TMK للتصرفات الخاضعة لشرط الشكل القانوني.

القابلية للتشغيل البيني والاعتراف المتبادل

يعزز eIDAS 2.0 القابلية للتشغيل البيني عبر محافظ الهوية الرقمية الأوروبية (EDIW)، التي ستدمج بشكل طبيعي آليات TMK للمواطنين والمحترفين. يعتمد TMD بدوره بشكل أكبر على قوائم الثقة الوطنية (Trusted Lists) المنشورة من قبل كل دولة عضو. تنشر فرنسا قائمتها عبر ANSSI، وكل PSCQ مؤهل مدرج فيها. للحصول على تحليل مقارن للحلول المتاحة في السوق، سيوفر لك المقارنة بين حلول التوقيع الإلكتروني عناصر ملموسة للقرار.

---

الآثار العملية على شركات B2B

الاختيار بين TMD و TMK حسب نوع الوثيقة

القاعدة الذهبية بسيطة: مستوى المخاطر القانونية للوثيقة يملي آلية الاستخدام.

• الوثائق ذات المخاطر المعتدلة (أوامر الشراء، العروض، شروط الخدمة العامة، اتفاقيات السرية NDA القياسية): يكفي عادة TMD بختم متقدم. يوفر حماية قوية للنزاهة دون تكاليف إضافية المرتبطة بتأهيل QSCD.

• الوثائق ذات المخاطر العالية (عقود العمل، الوكالات، تصرفات التحويل، الالتزامات المالية التي تزيد عن 50,000 يورو): يُنصح بـ TMK المؤهل، بل يُفرض في بعض القطاعات المنظمة (البنوك، التأمين، الصحة).

بالنسبة لفرق الموارد البشرية التي تدير أحجاماً كبيرة من عقود العمل، فإن حل التوقيع الإلكتروني للموارد البشرية يدمج بشكل طبيعي مستوى ثقة مناسب لكل نوع وثيقة.

التكاليف والجداول الزمنية للنشر

عادة ما يكون TMD أقل تكلفة في النشر لأنه لا يتطلب عملية تحديد هوية قوية (KYC/AML) لكل موقّع. يستغرق دمجه عبر API في نظام إدارة الوثائق (GED) أو ERP حوالي أسبوعين إلى ستة أسابيع حسب تعقيد بيئة تكنولوجيا المعلومات.

يتطلب TMK، بسبب متطلبات QSCD وعملية التحقق من الهوية، فترة تسجيل من 3 إلى 10 أيام عمل لكل موقّع. بالنسبة للمنظمات التي تتعامل مع عدد كبير من الشركاء الخارجيين، قد يمثل هذا عامل احتكاك يجب توقعه في إدارة التغيير.

الأرشفة والحفظ

بغض النظر عن الآلية المختارة، يجب على أي منظمة خاضعة للقانون الفرنسي احترام فترات الحفظ القانوني: 10 سنوات للعقود التجارية (المادة L. 110-4 من قانون التجارة)، 5 سنوات للبيانات الشخصية المرتبطة (RGPD مادة 5). يضمن نظام الأرشفة الإثباتية المطابق لمعيار NF Z 42-013 أن القيمة القانونية ل TMD أو TMK محفوظة مع مرور الوقت، حتى في حالة الترحيل التكنولوجي.

الإطار القانوني المعمول به في TMD و TMK

نظام eIDAS وتطوره

يتكون السند التنظيمي لآليات TMD و TMK من نظام (الاتحاد الأوروبي) رقم 910/2014 للبرلمان الأوروبي والمجلس بتاريخ 23 يوليو 2014، المعروف بنظام eIDAS. يحدد هذا النص التأسيسي الهرمية لمستويات الثقة (بسيط، متقدم، مؤهل) ويحدد شروط الاعتراف عبر الحدود بخدمات الثقة داخل الاتحاد الأوروبي.

في 2024، قام نظام (الاتحاد الأوروبي) 2024/1183 (eIDAS 2.0) بمراجعة جوهرية لهذا الإطار، مقدماً على الخصوص:

• محافظ الهوية الرقمية الأوروبية (EDIW) الإلزامية للدول الأعضاء قبل 2026؛

• فئات جديدة من خدمات الثقة، بما في ذلك شهادات السمات الإلكترونية المؤهلة؛

• متطلبات معززة ل PSCQ فيما يتعلق بالأمان السيبراني (توافق NIS2).

القانون المدني الفرنسي: المادتان 1366 و 1367

من الناحية الداخلية، تضع المادتان 1366 و 1367 من القانون المدني (من مرسوم رقم 2016-131 بتاريخ 10 فبراير 2016) شروط القيمة الإثباتية للكتابة الإلكترونية. توضح المادة 1367 أن التوقيع الإلكتروني المؤهل (القائم على TMK مؤهل و QSCD) "ينشئ افتراضاً بسيطاً للموثوقية". يمكن عكس هذا الافتراض، لكنه يعكس عبء الإثبات لصالح صاحب التوقيع.

معايير ETSI المعمول بها

يتم توحيد المواصفات التقنية ل TMD و TMK بواسطة ETSI (معهد معايير الاتصالات الأوروبي):

• ETSI EN 319 132: توقيع إلكتروني متقدم XAdES؛

• ETSI EN 319 122: توقيع CAdES؛

• ETSI EN 319 142: توقيع PAdES (PDF)؛

• ETSI EN 319 421: سياسة الطابع الزمني الإلكتروني المؤهل؛

• ETSI EN 319 401: متطلبات عامة ل PSCQ.

RGPD وحماية البيانات

ينطوي نشر TMD و TMK على معالجة البيانات الشخصية (هوية الموقّع، بيانات وصفية للتوقيع). يفرض نظام (الاتحاد الأوروبي) 2016/679 (RGPD):

• أساس قانوني صريح للمعالجة (تنفيذ العقد، مادة 6.1.b، أو الالتزام القانوني، مادة 6.1.c)؛

• سجل المعالجات يوثق تدفقات البيانات نحو PSCQ؛

• بنود عقدية مناسبة إذا كان PSCQ مقراً خارج الاتحاد الأوروبي أو يستخدم معالجات فرعية خارج أوروبا.

توجيه NIS2 وأمان البنى التحتية لـ PKI

تخضع التوجيهية (الاتحاد الأوروبي) 2022/2555 (NIS2)، المنقولة إلى القانون الفرنسي بموجب القانون الصادر في 17 أبريل 2024، المنظمات PSCQ المؤهلة لالتزامات معززة بإدارة مخاطر السيبراني، وإخطار الحوادث (مهلة 24 ساعة للإخطار الأولي إلى ANSSI) والتدقيق الدوري. بالنسبة للشركات المستخدمة، يترجم هذا إلى التزام العناية الواجبة المتزايدة عند اختيار مزود الخدمة.

سيناريوهات الاستخدام الملموسة

السيناريو 1: شركة صناعية صغيرة ومتوسطة تدير 300 عقد موردين سنوياً

شركة صناعية صغيرة ومتوسطة الحجم يبلغ عدد موظفيها حوالي مئة، متخصصة في تصنيع المكونات الميكانيكية، تدير سنوياً حوالي 300 عقد موردين (شراء المواد الخام، خدمات الصيانة، عقود الإطار اللوجستية). حتى الآن، مرت هذه الوثائق عبر البريد البريدي أو البريد الإلكتروني غير الآمن، مع متوسط فترات التوقيع من 12 إلى 18 يوم عمل.

بنشر آلية TMD مؤهلة للعقود بقيمة أقل من 20,000 يورو و TMK مؤهل للالتزامات التي تزيد عن هذا المبلغ أو متعددة السنوات، تخفض الشركة الصغيرة والمتوسطة فترات التوقيع إلى متوسط 1.8 يوم عمل، أي تقليل يزيد عن 85 %. تنخفض النزاعات المتعلقة بالطعن في نزاهة الوثائق، التي كانت تمثل من 2 إلى 3 ملفات محاكمة سنوياً، إلى صفر خلال 18 شهراً بعد النشر — حيث يثني الافتراض القانوني المرتبط بالآليات المؤهلة على محاولات الطعن.

السيناريو 2: تجمع مستشفى حوالي 600 سرير

يجب على تجمع مستشفى عام يدير عدة منشآت توقيع آلاف الوثائق سنوياً: عقود الممارسين المستشفيين، بروتوكولات البحث السريري، الاتفاقيات مع شركاء جامعيين ومختبرات صيدلانية. يفرض قطاع الصحة قيوداً تنظيمية محددة (HDS — استضافة بيانات الصحة، PGSSI-S).

ينشر التجمع TMK مؤهل للتوقيعات من قبل الممارسين (يلزم مسؤوليتهم الطبية والقانونية) و TMD متقدم لتصديق تدفقات بيانات المرضى بين المنشآت. يسمح الجمع بين الآليتين بتقليل تكاليف الطباعة والمسح الضوئي والأرشفة المادية بمقدار 45,000 يورو سنوياً مع تعزيز الامتثال لـ RGPD و HDS. عمليات التدقيق على الامتثال، التي كانت تتطلب سابقاً 3 أسابيع لتحضير الوثائق، تنخفض إلى 4 أيام بفضل دفاتر التدقيق المؤتمتة.

السيناريو 3: شركة استشارات في الاندماج والاستحواذ بحجم متوسط

شركة متخصصة في عمليات M&A تصحب حوالي عشر عمليات سنوياً يجب أن تدير رسائل النية (LOI)، واتفاقيات السرية المعززة، وبروتوكولات الاتفاق وتصرفات التحويل. تتراوح قيمة العمليات بين 5 ملايين و 80 مليون يورو. قد يؤدي أي طعن في أصالة الوثيقة إلى إيقاف العملية لأشهر.

بفرض الاستخدام الإلزامي ل TMK المؤهل على جميع الوثائق عاملياً ابتداء من مرحلة العناية الواجبة، تزيل الشركة مخاطر الطعن الرسمي. تعترف الأطراف الأجنبية (خاصة البريطانية والأمريكية بعد بريكست) بالقيمة الإثباتية للتوقيعات المؤهلة eIDAS في إطار شروط القانون المعمول به الأوروبي. يمر متوسط الوقت المستغرق في الإغلاق الوثائقي من 22 يوماً إلى 8 أيام، أي ربح بنسبة 63 % في فترات الانتهاء.

الخلاصة

TMD و TMK غير قابلتين للتبادل: الأول يصدق نزاهة البيانات على مستوى المنظمة، والثاني يلزم مسؤولية الموقّع الفردية بأقصى قوة إثباتية المنصوص عليها في eIDAS. أصبح فهم هذا التمييز شرطاً مسبقاً لأي سياسة وثائقية جدية في بيئة B2B. يعتمد اختيار الآلية الصحيحة بشكل مباشر على مستوى المخاطر القانونية لكل نوع وثيقة والقيود القطاعية المعمول بها.

تساعدك Certyneo في تطبيق استراتيجية ثقة رقمية تجمع بين TMD و TMK وفقاً لتدفقاتك الوثائقية الفعلية. تتعامل منصتنا مع كلا الآليتين، وتدمج متطلبات eIDAS 2.0 وتتكيف مع أنظمة المعلومات الموجودة لديك. اطلب عرض توضيحي أو قارن عروضنا على صفحة تسعير Certyneo — خبراؤنا القانونيون والتقنيون متاحون للقيام بتدقيق مجاني لحالتك.