TMD vs TMK: juriidilised ja praktilised erinevused

Sissejuhatus: miks eristada TMD ja TMK?

Euroopa digitaalse usalduse ökosüsteemis tekitavad Andmete usalduste märgised (TMD) ja Võtmete usalduste märgised (TMK) — mis tähistavad vastavalt elektroonilistele andmetele ja krüptograafiliste võtmete infrastruktuurile rakendatavaid usalduse märgistamise mehhanisme — sageli segadust õigusspetsialistide ja IT-vastutavate isikute hulgas. Siiski erinevad nende juriidilised režiimid, tehnilised ulatused ja praktilised tagajärjed põhimõtteliselt. See artikkel selgitab neid kahte mehhanismi, esitab nende eraldi regulatiivse raamistiku ja juhendab B2B-organisatsioone nende dokumentide voogudele sobivaimat valikut tegema.

---

Mis on TMD (Andmete usalduste märgis)?

TMD ehk andmetele rakendatav usalduse märgistamise mehhanism tähistab protseduuride ja krüptograafiliste atribuutide kogumit, mis võimaldab sertifitseerida andmekogumi või elektroonilise dokumendi terviklikkust ja autentsust. See toetub peamiselt kvalifitseeritud elektrooniliste pitserite (qualified electronic seal) mehhanismidele vastavalt eIDAS-määrusele.

TMD tehnilised alused

Tehniliselt toetub TMD:

• Räsifunktsioonile (SHA-256, SHA-3), mis rakendatakse lähteandmetele ja tekitab ainulaadse digitaalse jäljendi;

• Digitaalsele sertifikaadile, mille on väljastanud kvalifitseeritud usaldusteenuse pakkuja (QUSP), mis garanteerib väljaandja entiteedi isikust;

• Kvalifitseeritud elektroonilisele ajatemplile, mis vastab standardile ETSI EN 319 421 ja annab tulemusteks vastandatava ajatõendi.

Need kolm elementi kombineeritult annavad TMD-le kõrge tõendustusväärtuse, mis on sarnane paljudes ELi liikmesriikides autentse dokumendi omaga. Elektroonselt ajakalibeeritud dokumentide juriidilisest väärtusest täiendavalt teada saamiseks vaadake meie elektrooniline kirja täielikku juhist.

TMD-le soodsad rakendusalad

TMD sobib eriti hästi kontekstidesse, kus organisatsioonil on vaja sertifitseerida suure mahuga andmete terviklikkus ilma aktiivse osaluse vajaluseta identifitseeritud füüsilistelt isikutelt. Seda leidub eelkõige:

• Raamatupidamis- ja finantsandmete sertifitseerimisega (auditilogi, bilanss);

• Digitaalsete tõenduste seadusliku säilitamisega (nõuetekohase arhiivimine vastavalt NF Z 42-013);

• Tarneahela partnerite vahel käidava EDI-vahetusega.

---

Mis on TMK (Võtmete usalduste märgis)?

TMK ehk krüptograafilistele võtmetele keskenduv usalduse märgistamise mehhanism kujutab endast erinevat loogikat: see sertifitseerib mitte andmeid ennast, vaid avalike võtmete infrastruktuure (PKI) ja allkirjastajate poolt kasutatavate allkirja loomise seadmeid. See on tihedalt seotud kvalifitseeritud allkirja loomise seadme (QSCD) mõistetega, nagu on määratletud eIDAS-määruse II lisas.

TMK krüptograafiline arhitektuur

TMK hõlmab:

• HSM-moodulit (Hardware Security Module), mille sertifitseeritakse CC EAL 4+ või FIPS 140-2 tasemel 3, garanteerides, et privaatsed võtmed ei lahku kunagi turvalisest seadmest;

• Dokumenteeritud sertifitseerimispoliitikat (CPS – Certification Practice Statement), mille on avaldanud QUSP;

• Reaalajas tühistamise mehhanisme OCSP (Online Certificate Status Protocol) või CRL (Certificate Revocation List) kaudu.

TMK solidaarsus toetub seega võtmete genereerimis- ja salvestamisseadmete füüsilisele ja loogikalisele turvalisusele. Nende nõuete sobitumisest üldise regulatiivse raamistikuga arusaamiseks moodustab meie juhis eIDAS 2.0 määrusele olulist viitealust.

TMK-le soodsad rakendusalad

TMK on hädavajalik stsenaariumites, kus identifitseeritud füüsilise isiku juriidiline vastutus peab olema kindlustatud:

• Kõrge juriidilise väärtusega lepingute allkirjastamisega (ärifondide üleandmised, ärilisad, materialiseeritud notariaalsed dokumendid);

• Tugevas autentimises avaliku sektori-ettevõtte portaalides (tollapi-d, Chorus Pro platvormid);

• Makseorderite valideerimisel finantsasutustes, mis kuuluvad DSP2 alla.

---

Juriidiline võrdlus: TMD vs TMK

Kõige struktureerivam erinevus TMD ja TMK vahel peitub nende juriidilises sidumises eIDAS määrusega (nr 910/2014) ja selle järglasega eIDAS 2.0 (EL määrus 2024/1183).

Vastutussuhe

| Kriteerium | TMD | TMK | |---|---|---| | Vastutav isik | Juriidiline isik (organisatsioon) | Identifitseeritud füüsiline või juriidiline isik | | Usalduse tase | Käekäik või kvalifitseeritud (pitser) | Kvalifitseeritud (kvalifitseeritud elektrooniline allkiri) | | Seaduslik eeldus | Andmete terviklikkus | Nõusolek ja allkirjastaja isik | | Üleriigeline ulatus | Automaatne ELi tunnustamine | Automaatne ELi tunnustamine (eIDAS art. 25) |

TMD pandi väljastava entiteedi vastutuse peale: kui sertifitseeritud andmete terviklikkus on kahjustatud, peab organisatsioon selle eest vastutama. TMK vastupidiselt jätab vastutuse võtme hoidja üksikule isikule — muutes selle asendamatuks tööriistaks iga tegu puhul, kus isiklik tahe peab olema tõestatud ilma kahtluseta.

Tõendustusjõud Prantsusmaa kohtutes

Prantsuse õiguses sätestab tsiviilseadustiku 1366. artikkel, et "elektrooniline kirjutis omab sellesama tõendustusjõudu kui paberil kirjutis, tingimusel et võib korralikult tuvastada isiku, kellelt see pärineb, ja et see on koostatud ja säilitatud viisil, mis tagab selle terviklikkuse". See sõnastus hõlmab mõlemat mehhanismi, kuid oluliste nüanssidega:

• Kvalifitseeritud TMD-ga kaitstud dokument omab terviklikkuse eeldust, mis pöördab tõendamiskoorma;

• Kvalifitseeritud TMK-ga allkirjastatud dokument omab lisaks imputeerumise eeldust — allkirjastaja ise peab tõestama, et ta ei kirjutanud alla, mis on äärmiselt raske.

See asümmeetriline tõendustusjõu omadus selgitab, miks juristid ja elektroonilist allkirja kasutavad õiguskantseleid eelistavad TMK kasutamist aktide puhul, mille puhul on juriidiliselt ette nähtud tingimus.

Koostoimimine ja vastastikune tunnustamine

eIDAS 2.0 tugevdab koostoimivust Euroopa digitaalse identiteedi rahakottide (EDIW) kaudu, mis integreerivad loomupäraselt TMK mehhanisme kodanike ja spetsialistide jaoks. TMD-d kasutavad rohkem riiklikke usaldusloendeid (Trusted Lists), mille avaldab iga liikmesriik. Prantsusmaa avaldab oma loendi ANSSI kaudu ja iga kvalifitseeritud QUSP on seal loendatud. Turusaaduste lahenduste võrdlemiseks annab meie elektrooniline allkirja lahenduste võrdlus teile konkreetsed otsustamise elemendid.

---

Praktilised tagajärjed B2B-ettevõtetele

TMD ja TMK valik dokumendi tüübi järgi

Kuldne reegel on lihtne: dokumendi juriidiline riskitase dikteerib kasutatava mehhanismi.

• Keskmise riskiga dokumendid (tellimused, pakkumised, üldtingimused, standardsed NDA-d): TMD koos käekäiguga piisab tavaliselt. See pakub tugevat terviklikkuse kaitset ilma QSCD-kvaifikatsiooniga seotud lisatingimuste ja kuludeta.

• Kõrge riskiga dokumendid (töölepingud, volitused, loovutamise aktid, finantsettevõtted üle 50 000 euro): kvalifitseeritud TMK on soovitav, mõnel sektoril isegi kohustuslik (pank, kindlustus, tervishoid).

RH-tiimidele, kes haldavad suures mahus töölepinguid, integreerib meie elektrooniline allkirjaline lahendus HR-le loomupäraselt igale dokumentide tüübile sobiva usalduse taseme.

Kulude ja rakendamise ajad

TMD-d on üldiselt odavam juurutada, sest see ei nõua tugevat identifikatsiooni (KYC/AML) iga allkirjastaja kohta. Selle integreerimine API kaudu dokumentide halduse süsteemis (GED) või ERP-s võtab keskmiselt 2 kuni 6 nädalat sõltuvalt IT-keskkonna keerukusest.

TMK nõuab QSCD nõuetega seoses ja isikutuvastamise protsessi tõttu 3 kuni 10 tööpäeva sisseseadmisaega allkirjastaja kohta. Organisatsioonidele, kes haldavad paljusid väliseid partnereid, võib see olla signaal käsitsusprotsessis ette nähtuks.

Arhiveerimine ja säilitamine

Sõltumata valitud mehhanismist peab iga Prantsusmaa õigusele alluv organisatsioon järgima seaduslikke säilitamistähtaegu: 10 aastat ärilisele lepingutele (kaubandusseadustike L. 110-4), 5 aastat sellega seotud isikuandmetele (GDPR art. 5). Nõuetekohase arhiivimine vastava NF Z 42-013 standardiga tagab, et TMD või TMK juriidiline väärtus säilib aja jooksul, isegi tehnoloogilise migratsiooni korral.

TMD-le ja TMK-le kohaldatav õigusliku raamistik

eIDAS määrus ja selle areng

TMD ja TMK mehhanismide regulatiivne alus on Euroopa Parlamendi ja Nõukogu määrus (EL) nr 910/2014 23. juulist 2014, nn eIDAS määrus. See sissevalukohtumine määratleb usaldusetaseme hierarhia (lihtne, käekäik, kvalifitseeritud) ja tingimused teenuste piiride- ületamata tunnustamiseks Euroopa Liidu piires.

1. aastal on määrus (EL) 2024/1183 (eIDAS 2.0) oluliselt ajakajastad seda raamistikku, tutvustades eelkõige:

• Liikmesriikidele kohustuslikud Euroopa digitaalse identiteedi rahakotid (EDIW) enne 2026. aastat;

• Uued usaldusteenuste kategooriad, sealhulgas kvalifitseeritud elektroonilised atribuutide kuulutused;

• Tugevdatud nõuded QUSP-dele küberturvisuse valdkonnas (NIS2 joondamine).

Prantsuse tsiviilseadustik: artiklid 1366 ja 1367

Siseõiguses sätestab tsiviilseadustiku artiklid 1366 ja 1367 (mis pärinevad määrusest nr 2016-131 10. veebruarist 2016) elektroonilise kirja tõendustusväärtuse tingimused. Artikkel 1367 täpsustab, et kvalifitseeritud elektrooniline allkiri (mis toetub kvalifitseeritud TMK-le ja QSCD-le) "loob usaldusväärse lihtsa eelduse". See eeldus on ümber pöördav, kuid see pöördab tõendamiskoorma allkirja saaja kasuks.

Kohaldatavad ETSI standardid

TMD ja TMK tehnilised spetsifikatsioonid on standardiseeritud ETSI (Euroopa Telekommunikatsiooni Standardimise Instituut) poolt:

• ETSI EN 319 132: kvalifitseeritud elektrooniline allkiri XAdES;

• ETSI EN 319 122: allkiri CAdES;

• ETSI EN 319 142: allkiri PAdES (PDF);

• ETSI EN 319 421: kvalifitseeritud elektroonilise ajatempli poliitika;

• ETSI EN 319 401: üldised nõuded QUSP-le.

GDPR ja andmekaitse

TMD ja TMK juurutamine hõlmab isikuandmete töötlemist (allkirjastaja isik, allkirja metaandmed). Määrus (EL) 2016/679 (GDPR) nõuab:

• Selget juriidilist alust töötlemiseks (lepingu täitmine, art. 6.1.b, või seadusliku kohustuse täitmine, art. 6.1.c);

• Toimingute registrit, mis dokumenteerib andmevoogusid QUSP-dele;

• Lepinguliseid tingimusi, kui QUSP on asutatud väljaspool ELi või kasutab ELi väliseid alamtöövõtjaid.

NIS2 direktiiv ja PKI-infrastruktuuri küberturvisus

Direktiiv (EL) 2022/2555 (NIS2), mis on üle võetud Prantsusmaa õigusesse seadusega 17. aprillist 2024, on andnud QUSP-dele kvalifitseeritud kohustused riskijuhtimises, intsidentide teavitamisel (alghindamise teavitamise tähtaeg 24 tundi ANSSI-le) ja perioodilistes auditites. Kasutajate ettevõtete jaoks tähendab see teadlikku hoolt valimist oma usaldusteenuste pakkuja valikul.

Konkreetsed kasutusscenaariumid

Stsenaariumid 1: PME tööstus haldab 300 lepingut aastas

PME tööstusettevõtted umbes saja palkajaga, kes spetsialiseeruvad mehaanikakomponentide valmistamisele, haldavad aastas umbes 300 tarnijate lepingut (toorainete ostud, remonditeenused, logistikalepingud). Seni liikusid need dokumendid paberpostiga või turvamata e-postiga, keskmine allkirjastamise aeg oli 12 kuni 18 tööpäeva.

Juurutades kvalifitseeritud TMD mehhanismi lepingutele väärtusega alla 20 000 euro ja kvalifitseeritud TMK mehhanismi engagementidele üle selle või mitmeaastastele, vähendab PME allkirjastamise ajad keskmiselt 1,8 tööpäevale, mis on üle 85% vähenemine. Dokumendi terviklikkuse vaidlustamisega seotud vaidlused, mis esindavad 2 kuni 3 kohtumenetluste failidele aastas, kukkuvad nulli järgneval 18 kuul — kvalifitseeritud mehhanismidega seotud seaduslik eeldus ohjeldab remise in question katsete katseid.

Stsenaariumid 2: haiglate grupeeritus umbes 600 voodikoha jaoks

Haiglate avalikel grupeerimisel mitme asutusega peab aastas allkirjastama tuhandeid dokumente: praktikaõigusliku lepinguid, kliiniliste uuringute protokolle, lepinguid ülikooli partnerite ja farmaatsiat laboratooriumitega. Tervise sektor kehtestab spetsiifilised regulatiivnõuded (HDS — tervise andmete majutamine, PGSSI-S).

Grupeerutus juurutab kvalifitseeritud TMK mehhanismi praktikaõiguste allkirjade jaoks (mis kaasavad nende meditsiini ja juriidilise vastutuse) ja kvalifitseeritud TMD mehhanismi haigla patsiendi andmete voogude sertifitseerimiseks. Kahe mehhanismi kombinatsioon võimaldab vähendada trükkimise, skaneerimise ja füüsilise arhiivimise kulusid 45 000 euroga aastas, tugevdades samal ajal GDPR ja HDS nõuetekohast naasmist. Nõuetekohase auditid, mis eelnevalt nõudsid 3 nädala dokumentide ettevalmistamist, vähenevad 4 päevani tänu automatiseeritud auditilogi.

Stsenaariumid 3: keskmise suurusega füüsion-omandamise konsultatsioonikabinetit

Kabinetid, kes spetsialiseeruvad M&A-le ja saavad kaastegevad umbes kümnel operatsioonil aastas, peavad haldama kavatsuse kirju (LOI), tugevdatud salajasus lepinguid, protokolle ja loovutamis aktuseid. Operatsioonide väärtus asub 5 M euro ja 80 M euro vahel. Isegi väikseim vaidlus dokumendi autentsuse üle võib varjata kandetehingut kuude jooksul.

Kehtestades lepinguliselt kvalifitseeritud TMK kasutamise kõikidele kandetehingute dokumentidele alates due diligence faasist alates, kõrvaldab kabinetis ära formaalse vaidlustamise riskid. Välised vastaspooled (eriti pärast Brexiti Ühendkuningriik ja Ameerika) tunnustavad kvalifitseeritud eIDAS allkirjade tõendustusväärtuse Euroopa kohaldatava õiguse lepinguliste klauslite raames. Keskmine sulgemine dokumentide ajal läheb 22 päevast 8 päevani, mis on 63% kasv lõpetamise tähtaegadel.

Kokkuvõte

TMD ja TMK ei ole asendatavad: esimene sertifitseerib andmete terviklikkust organisatsiooni tasandil, teine seob allkirjastaja individuaalset vastutust maksimaalse tõendustusjõuga, mis on ette nähtud eIDAS-iga. Nende eristamise mõistmine on nüüd eeltingimus igale tõsisele dokumentide poliitikale B2B keskkonnades. Õige mehhanismi valimine sõltub otseselt iga dokumendi tüübi juriidilise riskitaseme ja kohaldatavate sektorireeglite alusest.

Certyneo juhendab teid digitaalse usalduse strateegia kehtestamisel, mis ühendab TMD ja TMK teie dokumentide tegelike voogude alusel. Meie platvorm toetab mõlemat mehhanismi, integratsiooni eIDAS 2.0 nõuded ja kohandub teie olemasoleva IT-keskkonnaga. Taotlege demonstratsiooni või võrrelge meie pakkumisi Certyneo hinnate leheküljel — meie juriidiliste ja tehniliste spetsialistide meeskond on saadaval teie olukorra vabaks auditiks.