TMD vs TMK: teisiniai ir praktiniai skirtumai

Įvadas: kodėl reikia atskirti TMD ir TMK?

Europos skaitmeninės pasitikėjimo ekosistemoje sąvokos Duomenų pasitikėjimo ženklas (TMD) ir Raktų pasitikėjimo ženklas (TMK) — atitinkamai žymintys skaitmeninių duomenų ir kriptografinių raktų infrastruktūros pasitikėjimo žymenų mechanizmus — dažnai supainioja teisininkai ir IT vadovai. Tačiau jų teisiniai režimai, techninės galimybės ir praktinės pasekmės iš esmės skiriasi. Šis straipsnis aiškinasi šias dvi priemones, pateikia jų atitinkamą reguliacinį pagrindą ir padeda B2B organizacijoms pasirinkti jiems labiausiai tinkamą sprendimą jų dokumentų srautams.

---

Kas yra TMD (Duomenų pasitikėjimo ženklas)?

TMD, arba pasitikėjimo žymenų mechanizmas, taikomas duomenims, žymi procedūrų ir kriptografinių atributų rinkinį, leidžiantį patvirtinti elektroninio dokumento ar duomenų rinkinio vientisumą ir autentiškumą. Jis pagrindžiamas sutvirtintais elektroniniu sanglaudu (qualified electronic seal) pagal eIDAS reglamentą.

TMD techniniai pagrindai

Techniškai TMD remiasi:

• Maišos funkcija (SHA-256, SHA-3), taikyta šaltiniams duomenims, generuojanti unikalią skaitmeninę nykštinę;

• Skaitmeninis sertifikatas, išduodamas Sutvirtinto pasitikėjimo paslaugų teikėjo (QTSP), patvirtinantis siuntėjo tapatybę;

• Sutvirtintas elektroninis laiko žymėjimas, atitinkantis ETSI EN 319 421 standartą, suteikiantis priešinamą laiko įrodymą.

Šie trys elementai kartu suteikia TMD aukštą įrodomąją vertę, palyginamą su autentiško akto verte daugelyje ES valstybių narių. Norėdami daugiau sužinoti apie horodatytų dokumentų teisinę vertę, žiūrėkite mūsų išsamų elektroninės parašo vadovą.

Pageidaujami TMD taikymo sritys

TMD yra ypač tinkamas kontekstams, kai organizacija turi patvirtinti didelių duomenų apimčių vientisumą be aktyvaus fiziniu asmeniu dalyvaujimo. Jį sutinkame:

• Apskaitos ir finansinių srautų sertifikavimoje (audito žurnalai, pagrindinės balansai);

• Skaitmeninių įrodymų teisinėje saugojyje (įrodyminio archyvavimo, atitinkančio NF Z 42-013, pavidalu);

• Tarpusavyje EDI keituose tarp komercinių partnerių tiekimo grandinėse.

---

Kas yra TMK (Raktų pasitikėjimo ženklas)?

TMK, arba pasitikėjimo žymenų mechanizmas, sutelktas į kriptografinius raktus, veikia skirtingai: jis patvirtina ne patys duomenys, o viešojo raktų infrastruktūros (PKI) ir signataro naudojamų parašų kūrimo įrenginiai. Jis glaudžiai susijęs su Sutvirtinto parašo kūrimo įrenginio (QSCD) sąvokomis, apibrėžtomis eIDAS reglamento II priede.

TMK kriptografinė architektūra

TMK apima:

• HSM modulį (Hardware Security Module), sertifikuotą CC EAL 4+ arba FIPS 140-2 lygiu 3, garantuojantį, kad privatūs raktai niekada neopalieka saugaus įrenginio;

• Dokumentuotą sertifikavimo politiką (CPS – Certification Practice Statement), paskelbtas QSTP;

• Realinio laiko anuliavimo mechanizmus per OCSP (Online Certificate Status Protocol) arba CRL (Certificate Revocation List).

TMK solidumas grindžiamas rakto generavimo ir saugojimo įrenginių fiziniu ir logišku saugumu. Norėdami suprasti, kaip šie reikalavimai siejasi su bendru reguliaciniu pagrindo, mūsų eIDAS 2.0 reglamento vadovas yra esminė nuoroda.

Pageidaujami TMK taikymo sritys

TMK yra būtinas scenarijuose, kur turi būti neabejotinai įsaistyta konkretaus fizinio asmens teisinė atsakomybė:

• Didelės teisinės vertės kontraktų parašymas (verslo fondų numaži, komercinės nuomos sutartys, demateriąjami notaro aktai);

• Stipraus autentifikavimo procesai valstybės-verslo portaluose (muitų API, Chorus Pro platformos);

• Mokėjimo orderių patvirtinimas finansų institucijose, paklausuose DSP2.

---

Juridinis palyginimas: TMD vs TMK

Pats struktūrinis TMD ir TMK skirtumas yra jų teisinė priklausomybė eIDAS reglamente (nr. 910/2014) ir jo pasinaudotojiui eIDAS 2.0 (ES reglamentas 2024/1183).

Atsakomybės režimas

| Kriterijus | TMD | TMK | |---|---|---| | Atsakinga subjekto | Juridinis asmuo (organizacija) | Identifikuotas fizinis ar juridinis asmuo | | Pasitikėjimo lygis | Išplėstas arba sutvirtintas (sanglaudas) | Sutvirtintas (sutvirtintas elektroninis parašas) | | Teisinė prezumpcija | Duomenų vientisumas | Sutikimas ir pasirašymo asmens tapatybė | | Tarppergalinis žemyn | Automatinė ES pripažinimas | Automatinė ES pripažinimas (eIDAS 25 straipsnis) |

TMD įpareigoja atsakomybę atsiskaitytą organizacijos: jei patvirtintų duomenų vientisumas yra kompromituotas, organizacija turi atsakyti. TMK, priešingai, įpareigoja individualų raktų turėtojo atsakomybę — dėl to tai yra nepakeičiamas įrankis bet kuriam veiksmui, kuriame jei reikalinga asmeninė valia be jokios abejonės.

Įrodomas jėga prancūziškuose teismuose

Prancūzų teisėje Civilinio kodekso 1366 straipsnis sako: „elektroninis tekstas turi tą patį įrodymų jėgą kaip raštas ant popierinės pagrindu, jeigu galima patikslinti asmenį, iš kurio jis išeina, ir jeigu jis yra nustatyta ir laikomas tam, kad garantuotų jo vientisumą". Ši formuluotė apima abu mechanizmus, bet su svarbiais niansais:

• Dokumentas, apsaugotas sutvirtintu TMD, naudojasi vientisumą inversine prezumpcija, apverčiančia įrodymų naštą;

• Dokumentas, pasirašytas per sutvirtintą TMK, naudojasi, be to, imputymo prezumpcija — pasirašantis turi pats įrodyti, kad neparašė, kas yra labai sunku.

Ši asimetrinė įrodymų jėga paaiškina, kodėl teisinkai ir teisiniai kabinetai, naudojantys elektroninį parašą, pasitiki TMK sudėtingiems veiksmams, kuriems taikytina teisės forma.

Tarpusavyba ir abipusis pripažinimas

eIDAS 2.0 stiprina tarpusavybę per Europos skaitmeninės tapatybės piniginę (EDIW), kurioje bus natūraliai integruoti TMK mechanizmai piliečiams ir specialistams. TMD, savo ruožtu, remiasi daugiau nacionaliniais pasitikėjimų sąrašais (Trusted Lists), publikuojamais kiekvienos valstybės narės. Prancūzija publikuoja savo per ANSSI, ir kiekvienas sutvirtintas QSTP yra jame nurodytas. Dėl konkrečios analizės sprendimų, mūsų elektroninio parašo sprendimų palyginimas duos jums konkrečius sprendimo elementus.

---

Praktinės pasekmės B2B kompanijoms

Pasirinkimas tarp TMD ir TMK pagal dokumento tipą

Paprastoji taisyklė yra: dokumento teisinių rizikų lygis diktuoja naudotiną mechanizmą.

• Vidutinės rizikos dokumentai (užsakymo kvitai, pasiūlymai, bendros šalys, standartinės NDA sutartys): paprastai pakanka TMD su išplėstu sanglaudu. Jis suteikia tvirtą duomenų apsaugą be papildomų QSCD kvalifikacijos išlaidos.

• Didelės rizikos dokumentai (darbo sutartys, mandatai, nuosavybės perdavimo aktai, finansiniai įsipareigojimai virš 50 000 €): sutvirtintas TMK yra rekomenduojamas, kai kuriose reguliuojamose srityse net reikalingas (bankininkystė, draudimas, sveikatos saugojimas).

HR komandoms, valdomoms dideliais darbo sutarčių kiekiais, mūsų elektroninio parašo sprendimas HR natūraliai integruoja kiekvienam dokumento tipui tinkamą pasitikėjimo lygį.

Išlaidos ir diegimo terminai

TMD yra paprastai pigiau diegti, nes jis nereikalauja stiprios identifikacijos proceso (KYC/AML) kiekvienam pasirašymui. Jo integravimas per API į dokumentų valdymo sistemą (GED) ar ERP trunka vidutiniškai 2-6 savaites priklausomai nuo IT aplinkos sudėtingumo.

TMK, dėl QSCD reikalavimų ir tapatybės tikrinimo proceso, numato pasirašytojo 3-10 darbo dienų onboarding trukmę. Organizacijoms, valdomoms daugeliui išorinių partnerių, tai gali būti veiklos pokyčio veiksnys, kurį reikia iš anksto numatyti.

Archyvavimas ir saugojimas

Nepriklausomai nuo pasirinkto mechanizmo, kiekviena organizacija, reglamentuojama prancūziškos teisės, turi laikytis teisinių saugojimo terminų: 10 metų komercinėms sutartims (Komercinės kodekso 110-4 straipsnis), 5 metai asmeninių duomenų (GDPR 5 straipsnis). Įrodymų archyvavimo sistema, atitinkanti NF Z 42-013, garantuoja, kad TMD ar TMK teisinė vertė yra išsaugoma laike, net atlikus technologinę migraciją.

TMD ir TMK taikytinas teisingas pagrindas

eIDAS reglamentas ir jo raida

TMD ir TMK mechanizmų teisinį pagrindą sudaro Europos Parlamento ir Tarybos reglamentas (ES) nr. 910/2014 iš 2014 m. liepos 23 d., vadinamas eIDAS reglamentu. Šis pamatinis tekstas nustato pasitikėjimo lygių hierarchiją (paprastas, išplėstas, sutvirtintas) ir apibrėžia sąlygas, kuriomis pasitikėjimo paslaugos yra tarppergalinai pripažistamos Europos Sąjungoje.

2024 metais reglamentas (ES) 2024/1183 (eIDAS 2.0) iš esmės perinėjo šį pagrindą, pristatydamas ypač:

• Europos skaitmeninės tapatybės pinigines (EDIW), privalomas valstybėse narėse iki 2026 m.;

• Naujas pasitikėjimo paslaugų kategorijas, įskaitant sutvirtintus elektroninio atributo patvirtinimus;

• Sustiprintus QSTP reikalavimus kibernetinio saugumo srityje (NIS2 suderinimas).

Prancūzų Civilinis kodeksas: 1366 ir 1367 straipsniai

Vidiniame teisėje Civilinio kodekso 1366 ir 1367 straipsniai (iš 2016 m. vasario 10 d. dekreto nr. 2016-131) nustatomi elektroninio rašto įrodomų vertės sąlygos. 1367 straipsnis precizuoja, kad sutvirtintasis elektroninis parašas (remiasi sutvirtintu TMK ir QSCD) „sukuria paprasto patikimumo prezumpciją". Ši prezumpcija yra papildomai ginčijama, tačiau ji apverčia įrodymų naštą pasirašyto naudai.

Taikomies ETSI standartai

TMD ir TMK techninės specifikacijos yra normalizuotos ETSI (Europos telekomunikacijų standartų instituto) pagal:

• ETSI EN 319 132: išplėstas elektroninis XAdES parašas;

• ETSI EN 319 122: CAdES parašas;

• ETSI EN 319 142: PAdES parašas (PDF);

• ETSI EN 319 421: sutvirtinto elektroninio laiko žymenų politika;

• ETSI EN 319 401: bendri QSTP reikalavimai.

GDPR ir duomenų apsauga

TMD ir TMK diegimas numato asmeninių duomenų apdorojimą (pasirašymo tapatybė, parašo metaduomenys). Reglamentas (ES) 2016/679 (GDPR) reikalauja:

• Aiškų teisinį pagrindą duomenų apdorojimui (sutarties vykdymas, 6.1.b straipsnis, arba teisinė prievolė, 6.1.c straipsnis);

• Duomenų apdorojimo registro dokumentavimą, aprašantį duomenų srautus QSTP;

• Sutartyje nustatytas sąlygas, jei QSTP yra nustatyta ES ribose ar naudoja papildomus saugotojus negrįš-Europos teritorijos.

NIS2 direktyva ir PKI kibernetinis saugumas

Direktyva (ES) 2022/2555 (NIS2), adaptuota prancūziškoje teisėje 2024 m. balandžio 17 d. priimtu įstatymu, sutvirtintiems QSTP nustatytus sustiprintus kibernetinio rizikos valdymo, incidentų pranešimų (pradinio pranešimo ANSSI trukmė – 24 valandos) ir periodinės audito reikalavimus. Naudojančioms kompanijoms tai yra sustiprintos atidžios patikros sąlyga pasirenkant pasitikėjimo paslaugų tiekėją.

Konkretūs naudojimo scenarijai

1 scenarijus: mažesnė pramonės įmonė, valdanti 300 tiekėjų sutarčių per metus

Mažesnė pramonės įmonė, apie 100 darbuotojų, specializuojantis mechaninių komponentų gamyboje, per metus valda maždaug 300 tiekėjų sutarčių (žaliavų pirkimai, priežiūros paslaugos, logistikos kadrinės sutartys). Iki to momento šie dokumentai buvo siunčiami paštu arba nesaugia elektronine pašto sistema, su vidutiniais parašo terminais 12-18 darbo dienų.

Diegus sutvirtintą TMD sutartyms, kurių vertė mažiau nei 20 000 €, ir sutvirtintą TMK angažuotams, viršijantiems arba daugeliui metų trunkančioms, įmonė sumažina parašo terminus vidutiniškai 1,8 darbo dienos, tai yra daugiau nei 85% sumažėjimas. Dokumentų vientisumą ginčijantys ginčai, kurie anuomet sudėlę 2-3 ieškinius per metus, tampa nuliniais 18 mėnesių po diegimo — sutvirtintų mechanizmų teisinė prezumpcija atgrąsina bandymus suabejoti.

2 scenarijus: ligoninės grupė, turinti apie 600 klinikinių lovų

Valstybinė ligoninės grupė, valdanti kelis įstaigus, privalo kiekvienais metais pasirašyti tūkstančius dokumentų: ligoninės praktikų sutartys, klininiai tyrimų protokolai, susitarimai su universitetiniais partneriais ir farmacijos laboratorijomis. Sveikatos sektoriaus prievartės nustatytos specifiniu reglamentavimu (HDS — sveikatos duomenų saugojimas, PGSSI-S).

Ligoninė diegia sutvirtintą TMK praktiškiems pasirašymams (įsaisčius jų medicininę ir teisinę atsakomybę) ir sutvirtintą TMD duomenų srauto sertifikavimui tarp įstaigų. Dviejų mechanizmų kombinacija leidžia sumažinti spausdinimo, skenavimo ir fizinio archyvavimo išlaidas 45 000 € per metus, kartu stiprindama GDPR ir HDS atitiktį. Sertifikavimo auditus, anksčiau reikalavusius 3 savaičių paruošą, sumažina iki 4 dienų dėl automatizuotų audito žurnalų.

3 scenarijus: vidutinio dydžio fūzijų ir įsigijimų konsultacijos kabinetai

Kabinetai, specializuojantys M&A, lydi maždaug dešimt operacijų per metus, prieinami šimtus dokumentų: ketinimo laiškus (LOI), sustiprintus konfidencialumo susitarimus, susitarimo protokolus ir nuosavybės perdavimo aktus. Operacijų vertės svyruoja nuo 5 mln. € iki 80 mln. €. Mažyčiausias ginčas dėl dokumento autentiškumo gali blokuoti transakciju keliems mėnesiams.

Įpareigojus sutartyje naudoti sutvirtintą TMK visiems transakcijos dokumentams nuo due diligence fazės, kabinetai pašalina formalinio ginčo rizika. Užsienio šalys (ypač Britanija ir JAV po Brexit) pripažįsta eIDAS sutvirtintų parašų teisinę vertę, kai taikoma Europos teise. Dokumentinio closing laika sumažėja nuo 22 dienų iki 8 dienų, tai yra 63 % laiko ekonomija baigtiesiantyje fazėje.

Išvados

TMD ir TMK nėra keičiami: pirmasis patvirtina duomenų vientisumą organizacijos mastu, antrasis įsaistina pasirašymo asmens individualią atsakomybę maksimalią eIDAS nustatytu įrodymų jėga. Šio skirtumo supratimas dabar yra būtina sąlyga bet kurias B2B aplinkos dokumentams skirtą seruzą nustatyti. Teisingo mechanizmo pasirinkimas tiesiogiai priklauso nuo kiekvieno dokumentu tipo teisinės rizikos lygio ir taikomų sektoriaus suvaržymų.

Certyneo padeda jums nustatyti skaitmeninės pasitikėjimo strategiją, derinant TMD ir TMK pagal jūsų faktualius dokumentų srautus. Mūsų platforma valdo abu mechanizmus, integruoja eIDAS 2.0 reikalavimus ir pritaikyta jūsų esamai IT infrastruktūrai. Paprašykite demonstracijos arba palyginiu mūsų pasiūlymus Certyneo kainų puslapyje — mūsų juridiniai ir techniniai ekspertai pasirengę nemokamai patikrinti jūsų situaciją.