TMD vs TMK: juridiskās un praktiskās atšķirības

Ievads: kāpēc nošķirt TMD un TMK?

Eiropas digitālās uzticības ekosistēmā jēdzieni Datu uzticības zīme (TMD) un Atslēgu uzticības zīme (TMK) — attiecīgi apzīmējot elektronisko datu uzticības marķēšanas mehānismus un kriptogrāfisko atslēgu infrastruktūras mehānismus — bieži izraisa neskaidrības tiesību praktiķos un IT vadītājos. Tomēr to juridiskie režīmi, tehniskais mērķis un praktiskās sekas būtiski atšķiras. Šis raksts skaidro šos divus mehānismus, iepazīstina ar to attiecīgo normatīvo ietvaru un vadī B2B organizācijas pareizākā dokumentu plūsmu mehānisma izvēlē.

---

Kas ir TMD (Datu uzticības zīme)?

TMD jeb datu uzticības marķēšanas mehānisms apzīmē procedūru un kriptogrāfisko atribūtu kopumu, kas ļauj sertificēt elektroniska dokumenta vai datu kopas integritāti un autentiskumu. Tas galvenokārt balstās uz kvalificēta elektroniska zīmoga mehānismiem saskaņā ar eIDAS regulējumu.

TMD tehniskie pamati

Tehniski TMD balstās uz:

• Hešfunkciju (SHA-256, SHA-3), kas tiek pielietota avota datiem un ģenerē unikālu ciparu nospiedumu;

• Ciparu sertifikātu, ko izdevusi Kvalificēta Uzticības Pakalpojuma Sniedzēja (QSCP), garantējot emitējošās juridiskās personas identitāti;

• Kvalificētu elektroniska laika marķieri, kas atbilst ETSI EN 319 421 standartam, sniedzot pierādāmu laika pierādījumu.

Šie trīs elementi kombinācijā piešķir TMD augstu pierādīšanas vērtību, kas ir salīdzināma ar autentisku aktu vērtību daudzās ES dalībvalstīs. Lai uzzinātu vairāk par horodēto dokumentu juridisko vērtību, konsultējieties mūsu pilnu elektroniskās parakstīšanas ceļvedi.

TMD prioritārie lietošanas joumi

TMD ir īpaši piemērots kontekstiem, kuros organizācijai ir nepieciešams sertificēt lielu datu apjomu integritāti bez aktīvas fiziskas personas iesaistes. To atrod īpaši:

• Grāmatvedības un finanšu plūsmu sertificēšanā (audita žurnāli, pārskati);

• Ciparu pierādījumu likumiskā saglabāšanā (pierādošie arhīvi saskaņā ar NF Z 42-013);

• EDI apmaiņā starp komerciālajiem partneriem piegādes ķēdēs.

---

Kas ir TMK (Atslēgu uzticības zīme)?

TMK jeb atslēgu-orientēts uzticības marķēšanas mehānisms balstās uz atšķirīgu loģiku: tas sertificē nevis pašus datus, bet publiskās atslēgas infrastruktūras (PKI) un parakstīšanai izmantoto parakstīšanas krājuma ierīces. Tas ir cieši saistīts ar Kvalificēta Parakstīšanas Krājuma Ierīces (QSCD) jēdzienom, kas definēts eIDAS regulējuma II pielikumā.

TMK kriptogrāfiskā arhitektūra

TMK ietver:

• HSM moduli (Hardware Security Module), kas sertificēts CC EAL 4+ vai FIPS 140-2 līmenim 3, garantējot, ka privātās atslēgas nekad neatstāj drošo ierīci;

• Dokumentētu sertifikācijas politiku (CPS – sertifikācijas prakses paziņojums), ko publicējusi QSCP;

• Reāllaikā atcelšanas mehānismus izmantojot OCSP (tiešsaistes sertifikāta statusa protokols) vai CRL (sertifikāta atsaukšanas saraksts).

TMK stiprums tāpēc balstās uz fizisko un loģisko drošumu atslēgu ģenerēšanas un glabāšanas ierīcēs. Lai izprastu, kā šīs prasības saskaņojas ar vispārējo normatīvo ietvaru, mūsu ceļvedis par eIDAS 2.0 regulējumu ir būtisks atsauces materials.

TMK prioritārie lietošanas joumi

TMK ir obligāts scenārijos, kuros identificētas fiziskas personas juridiskā atbildība ir jānostiprināja droši:

• Augstu juridiskā vērtības kontraktu parakstīšana (komercfonda cesijas, komerciālie nomas līgumi, dematerializēti notariālie akti);

• Spēcīgas autentifikācijas procesi valsts-uzņēmuma portālos (muitas API, Chorus Pro platformas);

• Maksājumu rīkojumu validēšana finanšu iestādēs, kas pakļautas DSP2.

---

Juridiskā salīdzinājuma: TMD vs TMK

Visstiprinātākā atšķirība starp TMD un TMK ir to juridiskā saikne eIDAS regulējumā (Nr. 910/2014) un tā pēctecī eIDAS 2.0 (ES regulējums 2024/1183).

Atbildības režīms

| Kritērijs | TMD | TMK | |---|---|---| | Atbildīgā puse | Juridiska persona (organizācija) | Identificēta fiziska vai juridiska persona | | Uzticības līmenis | Paaugstināts vai kvalificēts (zīmogs) | Kvalificēts (elektroniskais paraksts) | | Legāla prezumpcija | Datu integritāte | Piekrišana un parakstītāja identitāte | | Pārrobežu darbības joma | Automātiska ES atzīšana | Automātiska ES atzīšana (eIDAS 25. pants) |

TMD angažhē emitējošās juridiskās personas atbildību: ja sertificēto datu integritāte ir kompromitēta, organizācija par to ir atbildīga. TMK turpretim angažhē atslēgas turētāja individuālo atbildību — kas to padara neaizstājamu rīku ikvienam aktam, kur personīga griba ir jāpierāda bez jebkāda šaubas.

Pierādīšanas spēks Francijas tiesu sistēmā

Francijas tiesību jomā Civillikuma 1366. pants nosaka, ka "elektroniskajam tekstam ir tāda pati pierādīšanas spēks kā papīra tekstam, ar nosacījumu, ka ir pareizi identificējams cilvēks, no kura tas izriet, un tas ir sagatavots un glabāts tā, lai garantētu tā integritāti". Šī formulējuma pierādīšana aptver abus mehānismus, bet ar svarīgiem nianšu jautājumiem:

• Dokumentu, kas aizsargāts ar kvalificētu TMD, baudz integritātes prezumpciju, kas apgriež pierādīšanas slogu;

• Dokumentu, ko parakstījis kvalificēts TMK, papildus baudz atributējuma prezumpciju — parakstītājam pašam ir jāpierāda, ka viņš neparakstīja, kas ir ārkārtīgi grūti.

Šī pierādīšanas asimetrija skaidro, kāpēc juristu un tiesību firmu, kas lieto elektroniskās parakstīšanas risinājumus, dod priekšroku TMK aktos, kas pakļautas juridiskuma formālajam nosacījumam.

Savietojamība un gegenseitige Anerkennung

eIDAS 2.0 stiprina savietojamību caur European Digital Identity Wallets (EDIW), kas natiski integrēs TMK mehānismus pilsoņiem un profesionāļiem. TMD turpretim vairāk paļaujas uz nacionālajiem uzticības sarakstiem (Trusted Lists), ko publicē katra dalībvalsts. Francija to publicē caur ANSSI, un katrs kvalificēts QSCP tur ir registrēts. Lai veiktu analītisku salīdzinājumu pieejamiem risinājumiem tirgū, mūsu elektroniskās parakstīšanas risinājumu salīdzinājums jums sniegs konkrētus lēmuma pieņemšanas elementus.

---

Praktiskas sekas B2B uzņēmumiem

Izvēle starp TMD un TMK pēc dokumenta tipa

Zelta kārtula ir vienkārša: dokumenta juridiskā riska līmenis nosaka izmantojamo mehānismu.

• Vidēja riska dokumenti (pasūtījumi, piedāvājumi, VVU, standarta NDA konfidencialitātes nolīgumi): pietiek ar paaugstinātu TMD zīmogu. Tas sniedz stabilu datu aizsardzību bez papildu QSCD kvalifikācijas izmaksām.

• Augsta riska dokumenti (darba līgumi, mandāti, cesijas akti, finanšu saistības virs 50 000 €): ieteicams vai obligāts ir kvalificēts TMK, jo īpaši regulējošajās nozarēs (bankas, apdrošināšana, veselības aprūpe).

HR komandām, kas pārvalda lielu darba līgumu apjomu, mūsu HR elektroniskās parakstīšanas risinājums natiski integrē atbilstošu uzticības līmeni katram dokumenta tipam.

Izmaksas un izvēršanas termiņi

TMD ir parasti lētāks izvēršanai, jo neprasa spēcīgas identifikācijas procesu (KYC/AML) katram parakstītājam. Tā integrēšana caur API dokumentu vadības sistēmā (GED) vai ERP vidēji prasās 2 līdz 6 nedēļas atkarībā no IT vides sarežģītības.

TMK, sakarā ar QSCD prasībām un identifikācijas pārbaudes procesu, paredz 3 līdz 10 darbdienu onboarding laiku par katru parakstītāju. Organizācijām, kas pārvalda daudz ārējos partnerus, tas var būt ievērojams berzes faktors vadības izmaiņu veikšanā.

Arhīvēšana un glabāšana

Neatkarīgi no izvēlētā mehānisma, jebkurai organizācijai, kas pakļauta Francijas tiesībām, ir jāievēro likumiskās glabāšanas termiņi: 10 gadi komerciāliem līgumiem (Komerciālā likuma 110-4. pants), 5 gadi ar to saistītajiem personīgajiem datiem (GDPR 5. pants). Pierādošs arhīva sistēma saskaņā ar NF Z 42-013 standartu garantē, ka TMD vai TMK juridiskā vērtība tiek saglabāta laika gaitā, pat tehnologijas migrācijas gadījumā.

TMD un TMK piemērojamais normatīvais regulējums

eIDAS regulējums un tā evolūcija

TMD un TMK mehānismu normatīvā bāze ir Eiropas Parlamenta un Padomes regulējums (ES) Nr. 910/2014 no 2014. gada 23. jūlija, saukts eIDAS regulējums. Šis pamatdokuments izveido uzticības līmeņu hierarhiju (vienkāršs, paaugstināts, kvalificēts) un nosaka nosacījumus uzticības pakalpojumu Savienības pārrobežu atzīšanai.

1. gadā regulējums (ES) 2024/1183 (eIDAS 2.0) ir būtiski pārskatījis šo ietvaru, ieviesot jo īpaši:

• European Digital Identity Wallets (EDIW), kas dalībvalstīm ir obligātas līdz 2026. gadam;

• Jaunas uzticības pakalpojumu kategorijas, ieskaitant elektroniskos atribūtu sertifikātus;

• Stiprinātās QSCP prasības kiberdrošības jomā (NIS2 saskaņošana).

Francijas Civillikuma 1366. un 1367. pants

Iekšējā tiesībā Civillikuma 1366. un 1367. pants (no ordinances Nr. 2016-131, 2016. gada 10. februāris) iestata elektroniskā teksta pierādīšanas spēka nosacījumus. 1367. pants precizē, ka kvalificēts elektroniskais paraksts (balstīts uz kvalificētu TMK un QSCD) "rada vienkāršu uzticamības prezumpciju". Šī prezumpcija ir apgrieznama, bet tā apgriež pierādīšanas slogu paraksta saņēmēja labā.

Piemērojamie ETSI standart

TMD un TMK tehniskās specifikācijas ir standartizētas ETSI (Eiropas Telekomunikāciju standartu institūts) sertificētas:

• ETSI EN 319 132: paaugstināts elektroniskais paraksts XAdES;

• ETSI EN 319 122: paraksts CAdES;

• ETSI EN 319 142: PDF paraksts PAdES;

• ETSI EN 319 421: kvalificēta elektroniskā laika marķiera politika;

• ETSI EN 319 401: vispārējās prasības QSCP.

GDPR un datu aizsardzība

TMD un TMK izvēršana ietver personības datu apstrādi (parakstītāja identitāte, paraksta metadati). Regulējums (ES) 2016/679 (GDPR) nosaka:

• Skaidru juridisko pamatu apstrādei (līguma izpilde, 6.1.b pants, vai juridiska pienākuma veikšana, 6.1.c pants);

• Apstrādes reģistru, dokumentējošu datu plūsmu uz QSCP;

• Attiecīgas līgumlīdzekļus, ja QSCP ir izveidots ārpus ES vai izmanto ārpus-eiropiskus apakšuzņēmējus.

NIS2 direktīva un PKI kiberdrošība

Direktīva (ES) 2022/2555 (NIS2), transponēta Francijas tiesībās ar 2024. gada 17. aprīļa likumu, pakļauj kvalificētus QSCP stiprinātiem pienākumiem kiberriska pārvaldīšanas jomā, incidentu paziņošanā (ANSSI sākotnējās paziņošanas 24 stundu termiņš) un periodisku auditu veikšanā. Lietotāju uzņēmumiem tas nozīmē paaugstinātu rūpīgību viņu uzticības pakalpojuma sniedzēja izvēlē.

Konkrēti lietošanas scenāriji

1. scenārijs: vidēja izmēra rūpniecības mazais un vidējais uzņēmums, kas pārvalda 300 piegādātāju līgumus gadā

Aptuveni simts darbinieku liela rūpniecības mazā un vidējā uzņēmuma, kas specializējas mehānisko komponentu ražošanā, gadā pārvalda apmēram 300 piegādātāju līgumus (izejvielu pirkumi, apkopes pakalpojumi, loģistikas rāmju līgumi). Līdz šim šie dokumenti tika pārsūtīti pasta vai nedrošas e-pasta starpniecībā, ar vidējiem parakstīšanas termiņiem 12 līdz 18 darbdienas.

Izvēršot kvalificētu TMD mehānismu līgumiem, kuru vērtība ir zem 20 000 €, un kvalificētu TMK mehānismu saistībām, kas pārsniedz šo summu vai ir ilgtermiņa, mazā un vidējā uzņēmuma vidējie parakstīšanas termiņi samazinās līdz 1,8 darbdienai, kas ir vairāk par 85% samazinājumu. Strīdi, kas saistīti ar dokumentu integritātes apstrīdēšanu un kuros bija 2 līdz 3 pēc gadiem notiekošas lietas, pēc 18 mēnešus pēc izvēršanas var beigties — kvalificētu mehānismu ar saistītā juridiskā prezumpcija attur mēģinājumus apšaubīt.

2. scenārijs: aptuveni 600 gultas skaita slimnīcu apvienība

Publiska slimnīcu apvienība, kurā ir vairākas iestādes, gadā jāparaksta tūkstošiem dokumentu: praktiķu līgumi, klīniskās pētniecības protokoli, vienošanās ar akadēmiskajiem partneriem un farmācijas laboratorijām. Veselības aprūpes nozare nosaka specifiskas normatīvās prasības (HDS — veselības datu mitināšana, PGSSI-S).

Apvienība izvērš kvalificētu TMK parakstiem praktiķiem (iesaistot viņu medicīnisko un juridisko atbildību) un paaugstinātu TMD datu potoka sertifikācijai starp iestādēm. Divu mehānismu kombinācija ļauj samazināt drukas, skenēšanas un fiziskā arhivēšanas izmaksas par 45 000 € gadā, vienlaikus stiprinot GDPR un HDS atbilstību. Atbilstības auditi, kas agrāk prasīja 3 nedēļas dokumentu sagatavošanas, tiek samazināti līdz 4 dienām automātiskā audita žurnālu dēļ.

3. scenārijs: vidēja lieluma fūziju un pārņemšanas konsultāciju kabinets

Kabinets, kas specializējas M&A un pavada aptuveni desmit transakcijas gadā, jāpārvalda nodomu vēstules (LOI), pastiprinātie konfidencialitātes nolīgumi, vienošanās protokoli un cesijas akti. Transakcijas vērtības ir no 5 M€ līdz 80 M€. Jebkāds dokuments autentiskuma apšaubīšanas gadījums var bloķēt transakciju uz mēnešiem.

Paļaujoties likumdevinājošajiem noteikumiem par obligātu TMK kvalificētas lietošanu visiem transakcijas dokumentiem no due diligence fāzes sākuma, kabinets likvidē formālas apšaubīšanas riskus. Ārējās kontrapuses (jo īpaši Britu Salas un ASV pēc Brekzīta) atzīst eIDAS kvalificēto parakstu pierādīšanas vērtību Eiropas tiesību piemērojamības klausulu ietvaros. Vidējais dokumentu noslēgšanas laiks samazinās no 22 dienām uz 8 dienām, kas nozīmē 63% labojumu noslēgšanas termiņu.

Secinājumi

TMD un TMK nav aizstājami: pirmais sertificē datu integritāti organizācijas mērogā, otrais iesaista parakstītāja individuālo atbildību ar maksimālo pierādīšanas spēku, ko paredz eIDAS. Izprast šo atšķirību tagad ir priekšnosacījums jebkurai seriozai dokumentu politikai B2B vidē. Pareizā mehānisma izvēle tieši ir atkarīga no katra dokumenta tipa juridiskā riska līmeņa un piemērojamajiem nozares ierobežojumiem.

Certyneo jūs pavada skaidras digitālās uzticības stratēģijas ieviešanā, apvienojot TMD un TMK saskaņā ar jūsu reālajām dokumentu plūsmām. Mūsu platforma apstrādā abus mehānismus, integrē eIDAS 2.0 prasības un pielāgojas jūsu esošajai IS. Pieprasiet demonstrāciju vai salīdziniet mūsu piedāvājumu Certyneo Cenu lapā — mūsu juridisti un tehniskais personāls ir pieejami, lai bez maksas auditmātu jūsu situāciju.