TMD vs TMK: юридически и практически разлики

Въведение: защо да различаваме TMD и TMK?

В екосистемата на европейското дигитално доверие понятията Trustmark на данни (TMD) и Trustmark на ключове (TMK) — обозначаващи съответно механизмите за маркиране на доверие за електронни данни и за инфраструктури на криптографски ключове — често причиняват объркване сред правните практици и IT мениджъри. Въпреки това техните юридически режими, техническите обхвати и практическите последствия се различават коренно. Тази статия разяснява тези два механизма, представя техния съответен нормативен контекст и ориентира B2B организациите в избора на най-подходящия за техните документни потоци.

---

Какво е TMD (Trustmark на данни)?

TMD, или механизм за маркиране на доверие приложен към данни, обозначава набор от процедури и криптографски атрибути, позволяващи сертифициране на интегритета и автентичността на набор от данни или електронен документ. Той разчита главно на механизми на квалифициран електронен печат (qualified electronic seal) по смисъла на регламент eIDAS.

Технически основи на TMD

Технически, TMD се основава на:

• Функция на хеширане (SHA-256, SHA-3) приложена към изходните данни, генерирайки уникален цифров отпечатък;

• Цифров сертификат издаден от Квалифициран доставчик на услуги за доверие (QSCP), гарантиращ идентичността на издаващия елемент;

• Квалифициран електронен времеви печат в съответствие с норма ETSI EN 319 421, осигуряващ противоположима временна доказателство.

Тези три елемента, комбинирани, дават на TMD висока доказателствена стойност, подобна на тази на официален акт в много държави членки на ЕС. За допълнителна информация относно юридическата стойност на времеви печатани документи, консултирайте нашия пълен указател на електронния подпис.

Привилегировани области на приложение на TMD

TMD е особено подходящ в контексти, където организацията трябва да сертифицира интегритета на големи обеми данни без да се изисква активното участие на идентифицирано физическо лице. Той се намира особено в:

• Сертификацията на счетоводни и финансови потоци (журнали за одит, обобщени салда);

• Законната консервация на цифрови доказателства (доказателствено архивиране в съответствие със стандарт NF Z 42-013);

• EDI размените между търговски партньори в веригите на доставките.

---

Какво е TMK (Trustmark на ключове)?

TMK, или механизм за маркиране на доверие центриран върху криптографски ключове, е вписан в различна логика: той сертифицира не самите данни, а инфраструктурите с публичен ключ (PKI) и устройствата за създаване на подпис, използвани от подписващите. Той е тясно свързан с понятията за Квалифициран модул за създаване на подпис (QSCD), определен в Приложение II на регламент eIDAS.

Криптографска архитектура на TMK

TMK включва:

• Модул HSM (Hardware Security Module) сертифициран CC EAL 4+ или FIPS 140-2 ниво 3, гарантиращ, че частни ключове никога не напускат защитеното устройство;

• Документирана политика за сертификация (CPS – Certification Practice Statement), публикувана от QSCP;

• Механизми на отзив в реално време чрез OCSP (Online Certificate Status Protocol) или CRL (Certificate Revocation List).

Здравината на TMK почива следователно на физическата и логическа сигурност на устройствата за генериране и съхранение на ключове. За да разберете как тези изисквания се свързват с общата нормативна рамка, нашият указател на регламент eIDAS 2.0 представлява съществено съответствие.

Привилегировани области на приложение на TMK

TMK се налага в сценарии, където юридическата отговорност на идентифицирано физическо лице трябва да бъде ангажирана със сигурност:

• Подписване на договори с висока юридическа стойност (преводи на търговски фондове, търговски наеми, дематериализирани нотариални акти);

• Процеси на силно удостоверяване в портали администрации-предприятия (API митници, платформи Chorus Pro);

• Валидиране на платежни нареждания в финансови институции, подложени на DSP2.

---

Юридическо сравнение: TMD vs TMK

Най-структурният разлик между TMD и TMK почива в техния юридически произход в рамките на регламент eIDAS (№ 910/2014) и неговия наследник eIDAS 2.0 (регламент ЕС 2024/1183).

Режим на отговорност

| Критерий | TMD | TMK | |---|---|---| | Отговорна единица | Юридическо лице (организация) | Идентифицирано физическо или юридическо лице | | Ниво на доверие | Напреднало или квалифицирано (печат) | Квалифицирано (електронен подпис) | | Законна презумпция | Интегритет на данни | Съгласие и идентичност на подписващия | | Трансграничен обхват | Автоматично признание в ЕС | Автоматично признание в ЕС (чл. 25 eIDAS) |

TMD ангажира отговорност на издаващата единица: ако интегритетът на сертифицираните данни е компрометиран, организацията трябва да отговаря за това. TMK, от друга страна, ангажира индивидуална отговорност на притежателя на ключа — което го прави незаменим инструмент за всеки акт, където личното желание трябва да бъде доказано без двусмисленост.

Доказателствена сила пред френските съдилища

По френско право, чл. 1366 от Гражданския кодекс определя, че „електронният писмен текст има същата доказателствена сила като текста на хартиен носител, при условие че личността, от която произлиза, може да бъде надлежно установена и че той е съставен и съхранен в условия, които позволяват да се гарантира неговият интегритет". Тази формулировка обхваща двата механизма, но с важни нюанси:

• Документ, защитен с квалифициран TMD, получава презумпция на интегритет, разпределяйки доказателствената тежест;

• Документ, подписан чрез квалифициран TMK, получава, в допълнение, презумпция на приписимост — подписващият сам трябва да докаже, че не е подписал, което е крайно трудно.

Тази асиметрия в доказателствата обяснява защо правниците и юридическите кабинети, прибягващи на електронния подпис, предпочитат TMK за актове, подложени на условие на форма.

Взаимодействие и взаимно признание

eIDAS 2.0 укрепва взаимодействието чрез European Digital Identity Wallets (EDIW), които ще интегрират естествено механизми TMK за граждани и професионалисти. TMD, напротив, разчита повече на национални списъци на доверие (Trusted Lists), публикувани от всяка държава членка. Франция публикува своя чрез ANSSI, и всеки квалифициран QSCP е референциран там. За сравнителен анализ на решенията на пазара, нашият сравнител на решения за електронен подпис ще ви даде конкретни елементи за решение.

---

Практически последствия за B2B предприятия

Избор между TMD и TMK според типа документ

Златното правило е просто: нивото на юридически риск на документа определя механизма, който трябва да бъде развернат.

• Документи с умерен риск (поръчки, оферти, условия, стандартни NDA споразумения за конфиденциалност): напреднал TMD обикновено е достатъчен. Той предлага здрава защита на интегритета без допълнителни разходи, свързани с QSCD квалификация.

• Документи с висок риск (трудови договори, мандати, акти на отчуждение, финансови задължения, превишаващи 50 000 €): квалифициран TMK се препоръчва, дори налага се от някои регулирани сектори (банкови, застраховки, здравеопазване).

За екипите по човешки ресурси, управляващи големи обеми трудови договори, нашето решение за електронен подпис за отдел по човешки ресурси интегрира нативно ниво на доверие, адаптирано към всеки тип документ.

Разходи и сроци за разгръщане

TMD обикновено е по-евтин за разгръщане, тъй като не изисква процес на силно удостоверяване (KYC/AML) за всеки подписващ. Интегрирането му чрез API в система за управление на документи (GED) или ERP отнема средно 2 до 6 седмици в зависимост от сложността на IT средата.

TMK, поради QSCD изисквания и процес на верификация на идентичност, включва период на онбордиране от 3 до 10 работни дни за всеки подписващ. За организации, управляващи много външни партньори, това може да представлява фактор на триене, който трябва да се предвиди в управлението на промяната.

Архивиране и консервация

Независимо от избрания механизм, всяка организация, подложена на френско право, трябва да спазва законните сроци на консервация: 10 години за търговски договори (чл. L. 110-4 от Търговския кодекс), 5 години за свързани лични данни (GDPR чл. 5). Система за доказателствено архивиране, съответстваща на стандарт NF Z 42-013, гарантира, че юридическата стойност на TMD или TMK е запазена във времето, дори в случай на технологична миграция.

Применим юридически контекст за TMD и TMK

Регламент eIDAS и неговото развитие

Нормативната основа на механизмите TMD и TMK се състои от регламент (ЕС) № 910/2014 на Европейския парламент и на Съвета от 23 юли 2014 г., наречен регламент eIDAS. Този основоположен текст установява йерархията на нивата на доверие (просто, напреднало, квалифицирано) и определя условията за трансграничното признание на услугите за доверие в Европейския съюз.

През 2024 г. регламент (ЕС) 2024/1183 (eIDAS 2.0) е съществено преразгледал този контекст, въвеждайки по-специално:

• European Digital Identity Wallets (EDIW), задължителни за държавите членки до 2026 г.;

• Нови категории услуги за доверие, включително квалифицирани електронни атестации на атрибути;

• Укрепени изисквания към QSCP относно кибербезопасност (подравняване NIS2).

Френския гражданския кодекс: членове 1366 и 1367

По вътрешно право членове 1366 и 1367 на Гражданския кодекс (произтичащи от уредба № 2016-131 от 10 февруари 2016 г.) определят условията за доказателствена стойност на електронния писмен текст. Член 1367 уточнява, че квалифицирания електронен подпис (почиващ на квалифициран TMK и QSCD) „създава проста презумпция на надеждност". Тази презумпция е опровержима, но разпределя доказателствената тежест в полза на бенефициера на подписа.

Приложими стандарти ETSI

Техническите спецификации на TMD и TMK са нормализирани от ETSI (Европейски институт за телекомуникационни стандарти):

• ETSI EN 319 132: напреднал електронен подпис XAdES;

• ETSI EN 319 122: подпис CAdES;

• ETSI EN 319 142: подпис PAdES (PDF);

• ETSI EN 319 421: политика за квалифициран електронен времеви печат;

• ETSI EN 319 401: общи изисквания за QSCP.

GDPR и защита на данните

Разгръщането на TMD и TMK включва обработка на лични данни (идентичност на подписващия, метаданни на подпис). Регламент (ЕС) 2016/679 (GDPR) налага:

• Явна законна основа за обработката (изпълнение на договор, чл. 6.1.b, или законно задължение, чл. 6.1.c);

• Регистър на обработките, документиращ потоците на данни към QSCP;

• Адаптирани договорни клаузи, ако QSCP е установен извън ЕС или използва подизпълнители извън Европа.

Директива NIS2 и кибербезопасност на инфраструктури PKI

Директива (ЕС) 2022/2555 (NIS2), преведена във френско право чрез закона от 17 април 2024 г., подлага квалифицираните QSCP на укрепени задължения за управление на рискове, уведомление на инциденти (период от 24 часа за първоначално уведомление към ANSSI) и периодични одити. За потребителските предприятия това се превежда в задължение на повишена поверка при избора на своя доставчик на доверие.

Конкретни сценарии на използване

Сценарий 1: малко и средно индустриално предприятие, управляващо 300 договора с доставчици годишно

Малко и средно индустриално предприятие със сто служители, специализирано в производството на механични компоненти, управлява ежегодно около 300 договора с доставчици (покупки на суровини, услуги по поддръжка, логистични рамкови договори). До сега тези документи преминават чрез пощенски пакет или незащитена електронна поща, със средни сроци на подпис от 12 до 18 работни дни.

Разгръщайки квалифициран механизъм TMD за договори със стойност под 20 000 € и квалифициран TMK за ангажименти, превишаващи този размер или многогодишни, малкото и средно предприятие намалява своите сроци на подпис до 1,8 работни дни в средност, което представлява намаление с повече от 85 %. Спорове, свързани със оспорване на интегритета на документи, които представляваха 2 до 3 съдебни досиета годишно, падат до нула в следващите 18 месеца след разгръщане — законната презумпция, свързана с квалифицираните механизми, отблъсквайки опитите за преразглеждане.

Сценарий 2: болничен комплекс с около 600 легла

Болничен комплекс, управляващ няколко учреждения, трябва да подпиши ежегодно хиляди документи: договори на болнични лекари, протоколи на клинични изследвания, конвенции с университетни партньори и фармацевтични лаборатории. Здравният сектор налага специфични нормативни ограничения (HDS — Хостване на здравни данни, PGSSI-S).

Болничният комплекс разгръща квалифициран TMK за подписи на практикуващи лекари (ангажирайки техния медицински и юридически отговорност) и напреднал TMD за сертификацията на потоци на пациентски данни между учреждения. Комбинирането на двата механизма позволява намаляване на разходите за печат, сканиране и физическо архивиране с 45 000 € годишно, докато едновременно укрепва съответствието GDPR и HDS. Одити на съответствието, преди това изискващи 3 седмици на подготовка на документи, намаляват до 4 дни благодарение на автоматизирани журнали на одита.

Сценарий 3: посредническа компания по сливания и придобивания със средна величина

Компания, специализирана в M&A и придружаваща дузина операции годишно, трябва да управлява писма с намерение (LOI), укрепени споразумения за конфиденциалност, протоколи на споразумения и акти на отчуждение. Стойност на операциите варира между 5 М€ и 80 М€. Най-малкото оспорване на автентичност на документ може да блокира сделка за месеци.

Налагайки договорно использване на квалифициран TMK за всички документи за сделки от фазата на поверителност на информация, компанията елиминира рискове от формално оспорване. Страни-контрчасти (по-специално британски и американски след Brexit) признават юридическата стойност на квалифицирани подписи eIDAS в контекста на клаузули за применимо право. Средното време за затварящо документиране намалява от 22 дни до 8 дни, което представлява печалба от 63 % в сроковете на финализация.

Заключение

TMD и TMK не са взаимозаменяеми: първата сертифицира интегритета на данни в мащаба на организацията, втората ангажира индивидуална отговорност на подписващия с максималната доказателствена сила, предвидена от eIDAS. Разбирането на това различие вече е предварително условие за всяка сериозна политика на документи в B2B среда. Избора на правилния механизъм почива пряко на нивото на юридически риск на всеки тип документ и применимите сектори ограничения.

Certyneo ви съпровожда при установяване на стратегия на дигитално доверие, комбинирайки TMD и TMK според ваши действителни документни потоци. Нашата платформа поддържа двата механизма, интегрира eIDAS 2.0 изисквания и се адаптира към вашата съществуваща система. Поискайте демонстрация или сравнете наши предложения на страницата Тарифи Certyneo — нашите юридически и технически експерти са налични да одитират безплатно вашата ситуация.