TMD در مقابل TMK: تفاوتهای حقوقی و عملی
TMD و TMK دو مکانیسم اعتماد دیجیتالی با رژیمهای حقوقی متمایز هستند. تفاوتهای عملی آنها را کشف کنید تا انتخاب درست را انجام دهید.
تیم Certyneo
نویسنده — Certyneo · درباره Certyneo
مقدمه: چرا TMD و TMK را متمایز کنیم؟
در اکوسیستم اعتماد دیجیتالی اروپایی، مفاهیم نشان اعتماد دادهها (TMD) و نشان اعتماد کلیدها (TMK) — که به ترتیب مکانیسمهای علامتگذاری اعتماد برای دادههای الکترونیکی و برای زیرساختهای کلید رمزنگاری را نشان میدهند — اغلب سردرگمی در میان متخصصان حقوق و مسئولان فناوری اطلاعات ایجاد میکنند. با این حال، رژیمهای حقوقی، محدودههای فنی و پیامدهای عملی آنها بهطور بنیادی متفاوت است. این مقاله این دو مکانیسم را روشن میکند، چارچوب تنظیمی مربوطه را ارائه میدهد و سازمانهای B2B را در انتخاب مناسبترین راه برای جریانهای سند خود راهنمایی میکند.
---
TMD (نشان اعتماد دادهها) چیست؟
TMD، یا مکانیسم علامتگذاری اعتماد اعمالشده بر روی دادهها، مجموعهای از روشها و ویژگیهای رمزنگاری را نشان میدهد که امکان تصدیق یکپارچگی و صحت مجموعهای از دادهها یا یک سند الکترونیکی را فراهم میکند. این عمدتاً بر مکانیسمهای مهر الکترونیکی واجدشرایط (qualified electronic seal) بر اساس مقررات eIDAS تکیه میکند.
مبانی فنی TMD
از لحاظ فنی، TMD بر موارد زیر تکیه میکند:
- یک تابع هش (SHA-256، SHA-3) اعمالشده بر روی دادههای منبع، تولید یک اثر انگشت دیجیتالی منحصر بهفرد؛
- یک گواهی دیجیتالی صادرشده توسط یک ارائهدهنده خدمات اعتماد واجدشرایط (PSCQ)، که هویت نهاد صادرکننده را تضمین میکند؛
- یک مهرزمانی الکترونیکی واجدشرایط مطابق با استاندارد ETSI EN 319 421، که اثبات زمانی قابلاستناد را فراهم میکند.
این سه عنصر ترکیبشده به TMD ارزش اثباتی بالایی میدهند، معادل اسناد رسمی در بسیاری از کشورهای عضو اتحادیه اروپا. برای اطلاعات بیشتر درباره ارزش حقوقی اسناد دارای مهرزمانی، راهنمای جامع امضای الکترونیکی را ببینید.
حوزههای کاربردی اولویتدار TMD
TMD بهویژه برای شرایطی مناسب است که در آن سازمان نیاز به تصدیق یکپارچگی حجمهای بزرگی از دادهها بدون نیاز به مشارکت فعال فرد حقیقی شناساییشده دارد. این بهویژه در موارد زیر یافت میشود:
- تصدیق جریانهای حسابداری و مالی (روزنامچههای حسابرسی، ترازنامههای کلی)؛
- حفاظت قانونی از شواهد دیجیتالی (بایگانی اثباتی مطابق NF Z 42-013)؛
- تبادل EDI بین شرکای تجاری در زنجیرههای تامین.
---
TMK (نشان اعتماد کلیدها) چیست؟
TMK، یا مکانیسم علامتگذاری اعتماد متمرکز بر کلیدهای رمزنگاری، در منطق متفاوتی قرار دارد: این نه دادههای خود را، بلکه زیرساختهای کلید عمومی (PKI) و ابزارهای ایجاد امضا مورد استفاده توسط امضاکنندگان را تصدیق میکند. این ارتباط نزدیک با مفاهیم ماژول ایجاد امضای واجدشرایط (QSCD) تعریفشده در پیوست II مقررات eIDAS دارد.
معماری رمزنگاری TMK
TMK شامل موارد زیر است:
- یک ماژول HSM (Hardware Security Module) دارای گواهی CC EAL 4+ یا FIPS 140-2 سطح 3، که تضمین میکند کلیدهای خصوصی هرگز دستگاه ایمن را ترک نکنند؛
- یک سیاست گواهیدهی مستندشده (CPS – Certification Practice Statement) منتشرشده توسط PSCQ؛
- مکانیسمهای لغو در زمان واقعی از طریق OCSP (Online Certificate Status Protocol) یا CRL (Certificate Revocation List).
استحکام TMK بنابراین بر امنیت فیزیکی و منطقی ابزارهای تولید و ذخیرهسازی کلیدها تکیه میکند. برای درک نحوهی تناسب این الزامات با چارچوب تنظیمی جامع، راهنمای مقررات eIDAS 2.0 یک منبع ضروری است.
حوزههای کاربردی اولویتدار TMK
TMK در سناریوهایی که پاسخگویی حقوقی یک فرد حقیقی شناساییشده باید بهطور قطعی درگیر شود، الزامآور است:
- امضای قراردادهای با ارزش حقوقی بالا (واگذاری صناعی، اجارهنامههای تجاری، اسناد رسمی الکترونیکی)؛
- فرآیندهای احراز هویت قوی در درگاههای دولتی-تجاری (API گمرکی، پلتفرمهای Chorus Pro)؛
- تصدیق دستورات پرداخت در مؤسسات مالی تابع DSP2.
---
مقایسه حقوقی: TMD در مقابل TMK
تفاوت ساختاردهندهترین بین TMD و TMK در پیوند حقوقی آنها در مقررات eIDAS (شماره 910/2014) و جانشین آن eIDAS 2.0 (مقررات اتحادیه 2024/1183) نهفته است.
رژیم مسئولیت
| معیار | TMD | TMK | |---|---|---| | نهاد مسئول | شخص حقوقی (سازمان) | شخص حقوقی یا فرد حقیقی شناساییشده | | سطح اعتماد | پیشرفته یا واجدشرایط (مهر) | واجدشرایط (امضای الکترونیکی واجدشرایط) | | فرض حقوقی | یکپارچگی دادهها | رضایت و هویت امضاکننده | | دامنه فراملی | تشخیص خودکار اتحادیه اروپا | تشخیص خودکار اتحادیه اروپا (ماده 25 eIDAS) |
TMD مسئولیت نهاد صادرکننده را درگیر میکند: اگر یکپارچگی دادههای تصدیقشده بهخطر بیفتد، سازمان باید در پاسخ باشد. TMK، از سوی دیگر، مسئولیت فردی دارنده کلید را درگیر میکند — این آن را برای هر اقدامی که در آن اراده شخصی باید بدون ابهام اثبات شود، ابزار ضروری میسازد.
نیروی اثباتی در مقابل قضاوتهای فرانسوی
در حقوق فرانسه، ماده 1366 قانون مدنی بیان میکند که «نوشتار الکترونیکی همان نیروی اثباتی نوشتار بر روی کاغذ را دارد، مشروط بر اینکه هویت شخصی که از آن ناشی میشود بهدرستی شناسایی شود و بهگونهای تنظیم و حفظ شود که یکپارچگی آن را تضمین کند». این فرمولهبندی هر دو مکانیسم را پوشش میدهد، اما با تفاوتهای مهم:
- یک سند محافظتشده توسط TMD واجدشرایط از فرض یکپارچگی بهره میبرد که بار اثبات را برعکس میکند؛
- یک سند امضاشده از طریق TMK واجدشرایط علاوه بر این از فرض انتساب بهره میبرد — امضاکننده خود باید اثبات کند که امضا نکرده، که بسیار دشوار است.
این نابرابری اثباتی توضیح میدهد که چرا متخصصان حقوق و کنسولخانههای حقوقی با امضای الکترونیکی TMK را برای اسنادی که تابع شرط شکل حقوقی هستند ترجیح میدهند.
بینالملیپذیری و تشخیص متقابل
eIDAS 2.0 بینالملیپذیری را از طریق European Digital Identity Wallets (EDIW) تقویت میکند، که مکانیسمهای TMK را برای شهروندان و متخصصان یکپارچه خواهند کرد. TMD، بیشتر بر فهرستهای اعتماد ملی (Trusted Lists) منتشرشده توسط هر کشور عضو تکیه میکند. فرانسه این فهرست را از طریق ANSSI منتشر میکند و هر PSCQ واجدشرایط در آن ثبتشده است. برای تحلیل مقایسهای راهحلهای بازار، مقایسه راهحلهای امضای الکترونیکی عناصر تصمیمگیری ملموس را برای شما ارائه میدهد.
---
آثار عملی برای شرکتهای B2B
انتخاب بین TMD و TMK بر اساس نوع سند
قاعده طلایی ساده است: سطح ریسک حقوقی سند، مکانیسم مورد استقرار را تعیین میکند.
- اسناد با ریسک متوسط (سفارشهای خرید، پیشنهادات قیمت، شرایط عمومی، توافقنامههای محرمانگی استاندارد): یک TMD با مهر پیشرفته معمولاً کافی است. این حفاظت قوی از یکپارچگی را بدون هزینه اضافی مرتبط با صلاحدید QSCD فراهم میکند.
- اسناد با ریسک بالا (قراردادهای کار، وکالتنامهها، اسناد واگذاری، تعهدات مالی بیش از 50,000 یورو): TMK واجدشرایط توصیه میشود، یا حتی توسط برخی بخشهای تنظیمشده اجباری است (بانکداری، بیمه، سلامت).
برای تیمهای منابع انسانی که حجم بزرگی از قراردادهای کار را مدیریت میکنند، راهحل امضای الکترونیکی برای منابع انسانی به طور ذاتی سطح اعتماد مناسب برای هر نوع سند را یکپارچه میکند.
هزینهها و زمانهای استقرار
TMD معمولاً کمهزینهتر برای استقرار است زیرا نیاز به فرآیند تشخیص هویت قوی (KYC/AML) برای هر امضاکننده ندارد. یکپارچهسازی آن از طریق API در سیستم مدیریت اسناد (GED) یا ERP بهطور میانگین 2 تا 6 هفته طول میکشد بسته به پیچیدگی محیط IT.
TMK، به دلیل الزامات QSCD و فرآیند تصدیق هویت، شامل فرآیند آغازسازی 3 تا 10 روز کاری برای هر امضاکننده است. برای سازمانهایی که تعداد بسیاری از شرکای بیرونی را مدیریت میکنند، این میتواند یک عامل ترمز قابلتوجهی در مدیریت تغییر باشد.
بایگانی و حفاظت
صرفنظر از مکانیسم انتخابشده، هر سازمانی تابع حقوق فرانسه باید مدتزمان حفاظت قانونی را رعایت کند: 10 سال برای قراردادهای تجاری (ماده L. 110-4 قانون تجارت)، 5 سال برای دادههای شخصی مرتبط (ماده 5 RGPD). یک سیستم بایگانی اثباتی مطابق با استاندارد NF Z 42-013 تضمین میکند که ارزش حقوقی TMD یا TMK در طول زمان، حتی در صورت مهاجرت تکنولوژی، حفظ شود.
چارچوب قانونی قابلاعمال برای TMD و TMK
مقررات eIDAS و تکامل آن
پایهی تنظیمی مکانیسمهای TMD و TMK توسط مقررات (اتحادیه) شماره 910/2014 پارلمان اروپایی و شورای اتحادیه اروپا در تاریخ 23 جولای 2014 تشکیل میشود، که مقررات eIDAS نامیده میشود. این متن بنیادگذار سلسلهمراتب سطحهای اعتماد (ساده، پیشرفته، واجدشرایط) را تعریف میکند و شرایط تشخیص فراملی خدمات اعتماد در سراسر اتحادیه اروپا را مشخص میکند.
در 2024، مقررات (اتحادیه) 2024/1183 (eIDAS 2.0) این چارچوب را بهطور قابلتوجهی اصلاح کرده است، بهویژه معرفی:
- European Digital Identity Wallets (EDIW) اجباری برای کشورهای عضو قبل از 2026؛
- دستههای جدید خدمات اعتماد، از جمله تصدیقنامههای الکترونیکی از صفات واجدشرایط؛
- الزامات تقویتشده برای PSCQ در زمینه امنیت سایبری (ترازسازی NIS2).
قانون مدنی فرانسه: مواد 1366 و 1367
در حقوق داخلی، مواد 1366 و 1367 قانون مدنی (ناشی از مرسوم شماره 2016-131 مورخ 10 فوریه 2016) شرایط ارزش اثباتی نوشتار الکترونیکی را تعریف میکنند. ماده 1367 تصریح میکند که امضای الکترونیکی واجدشرایط (مبتنی بر TMK واجدشرایط و QSCD) «فرض ساده قابلاعتمادبودن را ایجاد میکند». این فرض قابلنقض است، اما بار اثبات را به نفع ذینفع امضا معکوس میکند.
استانداردهای ETSI قابلاعمال
مشخصات فنی TMD و TMK توسط ETSI (موسسه استانداردهای مخابرات اروپایی) نرمالسازی شدهاند:
- ETSI EN 319 132: امضای الکترونیکی پیشرفته XAdES؛
- ETSI EN 319 122: امضای CAdES؛
- ETSI EN 319 142: امضای PAdES (PDF)؛
- ETSI EN 319 421: خطمشی مهرزمانی الکترونیکی واجدشرایط؛
- ETSI EN 319 401: الزامات عمومی برای PSCQ.
RGPD و حفاظت از دادهها
استقرار TMD و TMK شامل پردازش دادههای شخصی (هویت امضاکننده، فرادادههای امضا) است. مقررات (اتحادیه) 2016/679 (RGPD) الزامات زیر را تحمیل میکند:
- یک مبنای حقوقی صریح برای پردازش (اجرای قرارداد، ماده 6.1.b، یا تعهد قانونی، ماده 6.1.c)؛
- یک ثبت پردازشها مستندکننده جریان دادهها به سمت PSCQ؛
- بندهای قراردادی مناسب اگر PSCQ در خارج از اتحادیه اروپا تاسیس شده باشد یا از زیرمقاولهای خارجاز اروپا استفاده کند.
دستورالعمل NIS2 و امنیت سایبری زیرساختهای PKI
دستورالعمل (اتحادیه) 2022/2555 (NIS2)، منعکسشده در حقوق فرانسه توسط قانون مورخ 17 آوریل 2024، PSCQ واجدشرایط را تابع الزامات تقویتشده مدیریت ریسک سایبری، اطلاعدهی حوادث (مهلت 24 ساعت برای اطلاع اولیه به ANSSI) و حسابرسی تناوبی میسازد. برای شرکتهای کاربر، این منجر به الزام احتیاط دقیق افزایشیافته هنگام انتخاب ارائهدهنده خدمات اعتماد خود میشود.
سناریوهای کاربردی ملموس
سناریو 1: یک تولیدکننده کوچک و متوسط صنعتی که سالانه 300 قرارداد تامینکننده را مدیریت میکند
یک تولیدکننده کوچک و متوسط صنعتی تقریباً صد کارمند، تخصصییافته در ساخت اجزاء مکانیکی، سالانه حدود 300 قرارداد تامینکننده را مدیریت میکند (خریدهای مواد خام، خدمات نگهداری، قراردادهای چارچوب لجستیکی). تاکنون، این اسناد از طریق پست یا ایمیل ناامن منتقل میشدند، با مدت زمان متوسط امضا 12 تا 18 روز کاری.
با استقرار مکانیسم TMD واجدشرایط برای قراردادهای دارای ارزش کمتر از 20,000 یورو و TMK واجدشرایط برای تعهدات بیشتر یا چند ساله، تولیدکننده مدت زمان امضا را به میانگین 1.8 روز کاری کاهش میدهد، یعنی کاهش بیش از 85 درصد. دعاوی مرتبط با عدماعتبار یکپارچگی سند، که بین 2 تا 3 پرونده اختلاف در سال نمایندگی میکردند، در 18 ماه بعد از استقرار به صفر میرسند — فرض حقوقی مرتبط با مکانیسمهای واجدشرایط تلاشهای برای زیرسوال بردن را منع میکند.
سناریو 2: یک گروه بیمارستانی تقریباً 600 تختخوابی
یک گروه بیمارستانی دولتی که چندین مؤسسه را مدیریت میکند باید سالانه هزاران سند امضا دهد: قراردادهای پزشکان بیمارستانی، پروتکلهای تحقیقات بالینی، کنوانسیونها با شرکای دانشگاهی و آزمایشگاههای داروسازی. بخش سلامت محدودیتهای تنظیمی خاصی را تحمیل میکند (HDS — Hébergement de Données de Santé، PGSSI-S).
گروه یک TMK واجدشرایط برای امضاهای پزشکان (درگیر کردن مسئولیت پزشکی و حقوقی آنان) و یک TMD پیشرفته برای تصدیق جریانهای دادههای بیماران بین مؤسسات استقرار میدهد. ترکیب این دو مکانیسم امکان کاهش هزینههای چاپ، اسکن و بایگانی فیزیکی را سالانه 45,000 یورو فراهم میکند و در عین حال انطباق RGPD و HDS را تقویت میکند. حسابرسیهای انطباق، که قبلاً نیاز به 3 هفته آمادگی سند داشتند، به 4 روز کاهش مییابند به دلیل روزنامچههای حسابرسی خودکار.
سناریو 3: یک دفتر مشاورهی ادغام و جذب تحت سطح میانی
دفتری تخصصییافته در M&A که تقریباً ده معامله در سال را همراهی میکند، باید نامههای نیت (LOI)، توافقنامههای محرمانگی تقویتشده، پروتکلهای توافق و اسناد واگذاری را مدیریت کند. ارزش معاملات بین 5 میلیون یورو تا 80 میلیون یورو قرار دارد. کمترین اختلافنظر در صحت سند میتواند معامله را برای ماهها مسدود کند.
با الزامدادن قراردادی استفاده از TMK واجدشرایط برای کل اسناد معامله از مرحله due diligence، دفتر ریسک اختلافنظر در قالب رسمی را حذف میکند. طرفهای خارجی (بهویژه بریتانیایی و آمریکایی پس از بریگزیت) ارزش اثباتی امضاهای واجدشرایط eIDAS را در
Certyneo را به صورت رایگان امتحان کنید
اولین پاکت امضای خود را در کمتر از 5 دقیقه ارسال کنید. 5 پاکت رایگان در ماه، بدون کارت بانکی.
عمیقتر شدن در موضوع
مقالات مرجع در مورد این موضوع.
عمیقتر شدن در موضوع
راهنماهای جامع ما برای تسلط بر امضای الکترونیکی.
مقالات پیشنهادی
دانش خود را با این مقالات مرتبط با موضوع تعمیق دهید.
مقایسه HelloSign در مقابل Certyneo: کدام یک را در سال 2026 انتخاب کنیم؟
HelloSign و Certyneo هر دو برای شرکتهای B2B طراحی شدهاند، اما رویکردهای آنها به طور کلی متفاوت است. بیاید بررسی کنیم کدام یک واقعاً نیازهای انطباق eIDAS و بهرهوری شما را برآورده میکند.
برنامهریزی سایت دیجیتال: امضای الکترونیکی در سال ۲۰۲۶
برنامهریزی سایت دیجیتال مدیریت پروژههای ساختمانی را در سال ۲۰۲۶ به طور بنیادی تغییر میدهد. امضای الکترونیکی، ردپایی و انطباق با مقررات: راهنمای جامع برای متخصصان این حوزه.
بازار عمومی ساخت و ساز: امضای الکترونیکی مطابق با قوانین در سال 2026
غیرمستندیسازی بازارهای عمومی ساخت و ساز اکنون یک الزام تنظیمی است. دریافت کنید که چگونه امضای الکترونیکی مطابق با eIDAS مدیریت درخواستهای پیشنهادی شما را تبدیل میکند.