الف- داده ی ایجاد امضاء به همراه مطلبی که در آن امضا مورد استفاده قرار می گیرد، مرتبط با شخص امضاء کننده باشد و نه فرد دیگری.
ب- داده ی ایجاد امضاء، تحت کنترل امضاء کننده باشد و نه فرد دیگری.
ج- هرگونه تغییری در امضاء، بعد از زمان امضاء، قابل کشف باشد.
د- در جایی که هدف از امضاء حصول اطمینان در خصوص اصالت اطلاعات مرتبط با امضاء است، هرگونه تغییری در اطلاعات بعد از امضاء، قابل کشف باشد.»[۱۴۴]
با توجه به توضیحاتی که آمد، امضای الکترونیکی مطمئن با امضای الکترونیکی ساده تفاوت هایی دارد:
-
- امضای الکترونیکی مطمئن مربوط به حفظ تمامیت داده پیام است که هرگونه تغییری را که در داده پیام رخ می دهد، پیش بینی می کند در حالی که امضای الکترونیکی ساده از این قابلیت برخوردار نیست.
-
- همچنین امضای الکترونیکی ساده با ابزارهایی به وجود می آید که در دسترس همه اشخاص قرار دارد و به همین دلیل انتساب داده پیام به صادر کننده را با تردید روبرو می سازد.[۱۴۵]
در بررسی فنی میان انواع مختلف امضای الکترونیکی، می توان گفت که تنها امضای دیجیتال است که در دسته امضای الکترونیکی مطمئن قرار گرفته و مابقی را می توان امضای الکترونیکی ساده دانست. منحصر به فرد بودن و تحت کنترل انحصاری بودن کلید خصوصی، امکان بررسی تغییرات بعدی در امضاء و اطلاعات مندرج در داده پیام با کمک کلید عمومی، که همگی از شرایط تحقق امضای الکترونیکی مطمئن است، از طریق امضای دیجیتال ممکن است. بنابراین به عنوان نتیجه کلی می توان گفت: امضای دیجیتال در میان انواع دیگر امضای الکترونیکی (گذر واژه، بیومتریک، قلم نوری و ….) از شرایط امضای الکترونیکی مطمئن برخوردار است. و آثار حقوقی از جمله برابری کارکرد با امضا دست نویس بر آن مترتب می شود که در ادامه به بررسی آنها می پردازیم.
۲-۵ بخش پنجم : مراجع گواهی امضاء الکترونیکی
همانطور که پیشتر توضیح داده شد، با بهره گرفتن از روش امضای دیجیتال یا امضای مبتنی بر رمزنگاری نامتقارن تمامیت سند، محرمانه بودن اطلاعات(در صورت لزوم) و امنیت داده ها تضمین می شود؛ اما یک مساله مهم حل نشده باقی می ماند و آن، تضمین هویت امضا کننده است. در واقع به لحاظ حقوقی، مهمترین اثر امضاء اثبات رابطه سند با کسی است که امضاء به او نسبت داده شده است. امضای الکترونیکی مطمئن یا دیجیتال به تنهایی قادر به تضمین هویت امضا کننده نیست. به عنوان مثال در معاملات از طریق اینترنت که در یک طرف تجار و در طرف دیگر شرکتها و موسسات تجاری و خدماتی و در طرف دیگر عمدتا مصرف کنندگان قرار دارند، تضمین هویت امضا کنندگان ضرورت دارد. از این رو از زمانی که فناوری امضای الکترونیکی مطرح شده، یکی از دغدغه های اصلی قانون گذاران ملی و سازمان های تجاری بین المللی و اتاقهای بازرگانی این است که مرجع ثالثی، اعتبار پیام را از طریق تعیین هویت امضا کننده دیجیتال تضمین کند. مضافا برآن ماده ۱۴ قانون تجارت الکترونیکی امضای الکترونیکی و داده پیام مطمئن را در حکم اسناد معتبر و قابل استناد در مراجع قضایی و حقوقی می داند.[۱۴۶] حتی تا آنجا که ماده ۱۵ همان قانون نسبت به داده پیام مطمئن و امضای الکترونیکی مطمئن عدم پذیرش انکار و تردید را مطرح می کند.[۱۴۷] و با این امر، قانونگذار همان آثار حقوقی را برای امضا و داده پیام الکترونیکی مترتب میدارد که در ماده ۱۲۹۲ ق.م بیان شده است.[۱۴۸] در همین راستا و در تایید ضرورت تضمین هویت امضاکنندگان ماده ۱۶ قانون تجارت الکترونیکی می گوید: «هر داده پیامی که توسط شخص ثالث مطابق ماده (۱۱)[۱۴۹] این قانون ثبت و نگهداری می شود، مقرون به صخت است». بنابراین صحت انتساب داده پیام مطمئن و امضای الکترونیکی مطمئن به فرد صادر کننده آن و لزوم تصدیق آن از سوی مرجع ثالث و صالح رسمی، امری است که اهمیت آن غیرقابل انکار است.
این مرجع ثالث در قانون تجارت الکترونیکی و قانون نمونه امضای الکترونیکی آنسیترال (۲۰۰۱) اصطلاحا «دفاتر خدمات صدور گواهی الکترونیکی» یا «دفاتر خدمات الکترونیکی» یا «مراجع گواهی» نامیده می شود. مطابق ماده ۳۱ قانون تجارت الکترونیکی: «دفاتر خدمات صدور گواهی الکترونیکی واحدهایی هستند که برای ارائه خدمات صدور امضای الکترونیکی در کشور تأسیس میشوند. این خدمات شامل تولید، صدور، ذخیره، ارسال، تأیید، ابطال و به روز نگهداری گواهیهای اصالت (امضای) الکترونیکی میباشد.» ماده ۲ (هـ) قانون نمونه امضای الکترونیکی آنسیترال (۲۰۰۱) در تعریف این دفاتر آورده است: «دفتر خدمات صدور گواهی الکترونیکی عبارت از شخصی است که اقدام به صدور گواهی می کند و امکان دارد خدمات دیگری در ارتباط با امضای الکترونیکی ارائه دهد.»[۱۵۰] بنابراین وظیفه دفاتر گواهی الکترونیکی تعیین هویت امضاءکننده و نتیجتا سندیت بخشیدن به اطلاعات الکترونیکی است. در واقع، گواهی دیجیتال که توسط دفاتر خدمات الکترونیکی صادر می شود، هویت امضا کننده را از طریق کنترل رابطه بین کلید عمومی و دارنده کلید خصوصی مربوط تضمین م
ی کند. همانطور که می دانید امضای دیجیتال دارای دو جز متفاوت، اما از نظر ریاضی مرتبط است. کلید خصوصی که در اختیار صاحب امضا است و کلید عمومی که در فهرست مرجع گواهی قرار دارد. این مرجع تضمین می کند که کلید عمومی مستقر در فهرست به درستی اعلام و ایجاد شده است؛ زیرا هویت دارنده کلید خصوصی که منطبق با کلید عمومی است نزد مرجع گواهی وجود دارد. برای اطمینان از اینکه داده پیام از سوی کسی که ادعا می کند صادر شده، وجود کلید عمومی ضروری است. در واقع، مرجع گواهی دو وظیفه مهم دارد: اول تخصیص یک کلید خصوصی به دارنده و ثبت آن به عنوان یک مستند اطلاعاتی؛ دوم نگهداری کلید مکمل آن به عنوان کلید عمومی و در دسترس قرار دادن فهرست نام دارندگان کلید عمومی از طریق سیستم درون خطی و بانکهای اطلاعاتی ویژه.
تاسیس دفاتر خدمات صدور گواهی برای تایید و تصدیق داده های منضم به امضا و ارائه گواهی لازم در دستورالعمل شماره CE/93/1999 مورخ ۱۳ دسامبر ۱۹۹۹ پارلمان و شورای اروپا پیش بینی شده است. ماده ۲ این دستورالعمل، دولتهای عضو را مجاز می سازد نسبت به تاسیس دفاتر خدمات الکترونیکی و یا نگاهداری دفاتر موجود، طبق شرایط مندرج در دستور العمل اقدام کنند.[۱۵۱] بر این اساس، مصوبه شماره ۲۷۲-۲۰۰۱ مورخ ۳۰ مارس ۲۰۰۱ شورای دولتی فرانسه ضمن تعریف گواهی الکترونیکی (بند ۹ ماده ۱) و گواهی الکترونیکی معتبر (بند ۱۰ ماده ۱)، شرایط لازم برای گواهی الکترونیکی معتبر را بر شمرده است.
برای ثبت امضای الکترونیکی در ایران، شخص امضاء کننده باید برای شناسایی هویتش به صورت حضوری به دفاتر گواهی امضای الکترونیکی مراجعه نماید، البته این شرط در قانون ذکر نشده است و علت آن نیز شاید بدیهی بودن این امر بوده است، چون در صورتی که شخص نزد دفاتر برای ثبت امضای الکترونیکی حاضر نشود، امضایش نیز از اعتبار برخوردار نخواهد بود، همانطور که ذکر شد، علت مراجعه حضوری شخص، صرفا برای تشخیص هویت می باشد نه امضای اسناد و مدارک خاصی که تا امکان صدور امضای الکترونیکی را امکان پذیر نماید، چون فرد، قبل از ثبت امضاء، اسناد و مدارک لازم را در دفتر صدور امضای الکترونیکی تکمیل کرده است.
۲-۶ بخش ششم : آثار حقوقی امضای الکترونیکی و جایگاه آن در نظام ادله اثبات دعوا
در بررسی ارزش اثباتی امضای الکترونیکی و بعبارتی قابلیت استناد به آن در محاکم و در صورت طرح دعوی علت اصلی باید گفت که پذیرش و ارزش اثباتی اسناد الکترونیکی بستگی به اعتبار حقوق امضای مندرج در سند دارد. برای اینکه امضای الکترونیکی در مقام دعوی یا دفاع قابل استفاده باشد ضروری است که حائز برخی از ویژگیهای مهم امضای دستی، یعنی منحصر به فرد بودن، تعیین هویت، تحت کنترل داشتن و امکان ممیزی باشد.
ماده ۹ قانون نمونه آنسیترال مصوب ۱۹۹۶ برای امضای الکترونیکی قائل به ارزش اثباتی است که بر اساس قابلیت اطمینان روش ایجاد امضا، نگهداری و ارسال پیام، حفظ تمامیت اطلاعات، هویت ارسال کننده و سایر ملاحظات ارزیابی می شود. دستورالعمل مورخ ۱۹ دسامبر ۱۹۹۹ اتحادیه اروپا نیز در ماده ۵ خود تحت عنوان آثار حقوقی امضای الکترونیکی دولت های عضو را موظف می سازد که اولا برای امضای الکترونیکی پیشرفته (مطمئن) همان آثاری را بشناسند که برای امضای دستی قائل هستند و ثانیا آن را به عنوان دلیل در دادگاه مورد پذیرش قرار دهند. بند ۲ این ماده برای امضای ساده نیز ارزش اثباتی قائل شده است.[۱۵۲]
حقوق فرانسه نیز اصل پذیرش امضای الکترونیکی را رعایت کرده و این حقیقت در قانون مورخ ۱۳ مارس ۲۰۰۰ مشهود است. همچنین براساس ماده ۱-۱۳۱۶ قانون مدنی فرانسه ، نوشته الکترونیکی نیز همانند نوشته کاغذی به عنوان دلیل پذیرفته می شود، به این شرط که هویت شخص صادر کننده آن را مشخص سازد و تمامیت آن را تضمین کند. ماده ۳-۱۳۱۶ نیز در تکمیل ماده ۱-۱۳۱۶ همان قانون مقرر می دارد: «نوشته الکترونیکی از نظر قدرت اثباتی برخوردار از همان میزان از اعتبار می باشد که نوشته کاغذی داراست و به عنوان دلیل پذیرفته می شود». ناگفته پیداست برای اینکه دلایل الکترونیکی با دلایل کاغذی برابر باشند باید اولا امضای الکترونیکی از تمامی تضمینهای نوشته کاغذی برخوردار باشد و ثانیا قواعد فعلی مرتبط با دلایل کاغذی در کوچکترین اجزای خود در خصوص امضای الکترونیکی اعمال شود که به نظر امضای الکترونیکی مطمئن حاوی خصوصیات گفته شده می باشد.
در حقوق ایران ، چه در پیش نویس اولیه قانون تجارت الکترونیکی و چه در قانون تجارت الکترونیکی مصوب ۱۳۸۲ در پذیرش امضای الکترونیکی به عنوان دلیل گام را فراتر نهاده و مطابق ماده ۱۹ پیش نویس ارزش اثباتی داده هایی که به طریق مطمئن ایحاد شده اند معادل اسناد رسمی تلقی شده بود. هرچند بعدها در اصلاح پیش نویس و نسخه های آتی آن مطابق ماده ۱۴ آن نه در حکم «سند رسمی» بلکه در حکم «اسناد معتبر و قابل استناد» می داند.
ماده ۱۲ قانون تجارت الکترونیکی مقرر می دارد: «اسناد و ادله اثبات دعوی ممکن است به صورت داده پیام بوده و در هیچ محکمه یا اداره دولتی نمی توان براساس قواعد ادله موجود، ارزش اثباتی داده پیام را صرفا به دلیل شکل و قالب رد کرد»
در تایید اصل برابری آثار امضای الکترونیکی و امضای دستی بند یک ماده ۶ قانون نمونه الکترونیکی ۲۰۰۱[۱۵۳] و بند یک م
اده ۷ قانون نمونه تجارت الکترونیکی نیز گویای مطلب بوه، همچنین ماده ۷ قانون تجارت الکترونیکی ایران مقرر میدارد: «هرگاه قانون، وجود امضاء را لازم بداند امضای الکترونیکی مکفی است» مطابق این ماده بین امضای دستی در اسناد کاغذی و امضای الکترونیکی به لحاظ آثار حقوقی هیچ تفاوتی وجود ندارد.
در بررسی آثار محتویات داده پیام مطمئن باید گفت طبق مفاد ماده ۱۱ ق.ت.ا، داده پیام مطمئن داده پیامی است که با امضای مطمئن و با رعایت شرایط یک سامانه اطلاعاتی مطمئن ذخیره شده و هنگام لزوم در دسترس باشد. پیشتر تعریف امضای الکترونیکی مطمئن مطابق ماده ۱۰ ق.ت.ا ارائه گردید[۱۵۴]. اما در تعریف سامانه اطلاعاتی مطمئن در بند ح ماده ۲ ق.ت.ا. آمده است: «سیستم اطلاعاتی مطمئن سیستم اطلاعاتی است که:
۱- به نحوی معقول در برابر سوءاستفاده و نفوذ محفوظ باشد.
۲- سطح معقولی از قابلیت دسترسی و تصدی صحیح را دارا باشد.
۳- به نحوی معقول متناسب با اهمیت کاری که انجام میدهد پیکربندی و سازماندهی شده باشد.
۴- موافق با رویهی ایمن باشد. »
رویه ایمن نیز وفق بند ط همان ماده «رویهای است برای تطبیق صحت ثبت (داده پیام)، منشأ و مقصد آن با تعیین تاریخ و برای یافتن هر گونه خطا یا تغییر در مبادله، محتوا و یا ذخیرهسازی (داده پیام) از یک زمان خاص. یک رویهی ایمن ممکن است با بهره گرفتن از الگوریتمها یا کدها، کلمات یا ارقام شناسایی، رمزنگاری، روشهای تصدیق یا پاسخ برگشت و یا طرق ایمنی مشابه انجام شود.» به طور خلاصه در تعریف داده پیام مطمئن می توان گفت داده پیام مطمئن داده پیامی است که با امضای الکترونیکی مطمئن امضا شده باشد و در شرایط فعلی امضای رقمی (دیجیتال)، امضای الکترونیکی مطمئن تلقی می شود.[۱۵۵]
در نهایت ارزش اثباتی داده پیام مطمئن مطابق قاعده کلی مندرج در ماده ۱۳ قانون تجارت الکترونیکی با در نظر گفتن شرایطی، تعیین می شود. این ماده بیان می دارد: « به طور کلی، ارزش اثباتی (داده پیام)ها با توجه به عوامل مطمئنه از جمله تناسب روشهای ایمنی به کار گرفته شده با موضوع و منظور مبادله (داده پیام) تعیین میشود.» و صراحتا در مواد ۱۴ و ۱۵ همان ارزش اثباتی این نوع داده پیام را اعلام می کند. در ماده ۱۴ ق.ت.ا آمده است «کلیهی (داده پیام)هایی که به طریق مطمئن ایجاد و نگهداری شدهاند از حیث محتویات و امضای مندرج در آن، تعهدات طرفین یا طرفی که تعهد کرده و کلیه اشخاصی که قائممقام قانونی آنان محسوب میشوند، اجرای مفاد آن و سایر آثار در حکم اسناد معتبر و قابل استناد در مراجع قضایی و حقوقی است.» و همچنین قانونگذار در ماده ۱۵ همان قانون می گوید «نسبت به (داده پیام) مطمئن، سوابق الکترونیکی مطمئن و امضای الکترونیکی مطمئن انکار و تردید مسموع نیست و تنها میتوان ادعای جعلیت به (داده پیام) مزبور وارد و یا ثابت نمود که (داده پیام) مزبور به جهتی از جهات قانونی از اعتبار افتاده است.» فلذا مستفاد از ماد بالا و ماده ۱۲۹۲ ق.م می توان گفت پیامی که به طریق مطمئن و با امضای الکترونیکی مطمئن ایجاد شده، از لحاظ محتویات و امضاء دارای اعتبار کامل است. یعنی انکار و تردید در آن مسموع نیست و تنها می توان ادعای جعل را مطرح کرد که آن هم نیاز به اثبات دارد.
اما در مورد امضای الکترونیکی ساده باید گفت که این نوع از امضاء همانند سند عادی است ولی نمی توان گفت که فاقد ارزش اثباتی است و با توجه به ماده ۱۳ قانون تجارت الکترونیکی ایران، ارزش اثباتی آن بستگی به نظر قاضی رسیدگی کننده دارد. در نتیجه دلیل الکترونیکی عادی ضعف هایی دارد، ولی بطور کلی نمی توان، ادله الکترونیکی عادی را فاقد اعتبار و ارزش اثباتی دانست. زیرا گرچه قانون تجارت الکترونیکی با تاکید بر دلایل الکترونیکی مطمئن، آن ها را در حکم اسناد معتبر و غیرقابل انکار معرفی نموده، اما هرکز ادله الکترونیک عادی و غیرمطمئن را نیز فاقد ارزش و اعتبار ندانسته است. در نهایت اینکه با توجه به ماده ۱۲ قانون تجارت الکترونیکی می توان ادله الکترونیکی ساده (امضای الکترونیکی ساده) را در حکم اسناد عادی و دارای اعتبار و ارزش اثباتی معادل اسناد عادی دانست. به این ترتیب، در صورتی که مانند اسناد عادی مورد انکار و تردید قرار گیرند، بار اثبات دلیل به عهده مدعی بوده و در صورت اثبات اصالت و صحت آن، دلیل موردنظر دارای اعتبار و ارزشی برای ادله الکترونیکی مطمئن خواهد شد. بنابراین تا زمانیکه اصالت ادله الکترونیک عادی مورد انکار و تردید طرف دعوا واقع نشده، اصل بر صحت آن ها می باشد و دادرس نمی تواند به علت عدم وجود امنیت و شرایط یک سیستم اطلاعاتی مطمئن، دلیل مورد نظر را فاقد اعتبار و ارزش اثباتی بداند.
در مورد مستثنیات قلمرو داده های الکترونیکی باید گفت به موجب ماده ۶ قانون تجارت الکترونیک «هر گاه وجود یک نوشته از نظر قانون لازم باشد، (داده پیام) در حکم نوشته است مگر در موارد زیر:
الف- اسناد مالکیت اموال غیرمنقول
ب- فروش مواد دارویی به مصرفکنندگان نهایی
ج- اعلام، اخطار، هشدار و یا عبارات مشابهی که دستور خاصی برای استفاده کالا صادر میکند و یا از به کارگیری روشهای خاصی به صورت فعل یا ترک فعل منع میکند. »
فصل سوم:
مرجع صدور گواهی و تأیید امضاهای الکترونیکی در حقوق ایران و سایر نظ
امهای حقوقی
مقدمه
مطابق قانون تجارت الکترونیکی، گواهی الکترونیکی در مفهوم عام آن عبارت از تصدیق رسمی یک متن، امضاء یا هر مدرک الکترونیکی دیگر از سوی نهادی است که به موجب قانون و با داشتن تخصص و تسلط بر موازین حقوقی بدین منظور تعیین می گردد.[۱۵۶] همانگونه که در فصل دوم رساله گفته شد، با بهره گرفتن از روش امضای دیجیتال یا امضای مبتنی بر رمزنگاری نامتقارن تمامیت سند، محرمانه بودن اطلاعات(در صورت لزوم) و امنیت داده ها تضمین می شود؛ اما یک مساله مهم حل نشده باقی می ماند و آن، تضمین هویت امضا کننده است. در واقع به لحاظ حقوقی، مهمترین اثر امضاء اثبات رابطه سند با کسی است که امضاء به او نسبت داده شده است، و برای اشخاصی که پیام رمزنگاری شده ارسال می شود باید این اطمینان حاصل شود که کلید عمومی ای که در اختیار آنهاست، واقعی است. امضای الکترونیکی مطمئن یا دیجیتال به تنهایی قادر به تضمین هویت امضا کننده نیست. به عنوان مثال در معاملات از طریق اینترنت که در یک طرف تجار و در طرف دیگر شرکتها و موسسات تجاری و خدماتی و در طرف دیگر عمدتا مصرف کنندگان قرار دارند، تضمین هویت امضا کنندگان ضرورت دارد. از این رو از زمانی که فناوری امضای الکترونیکی مطرح شده، یکی از دغدغه های اصلی قانون گذاران ملی و سازمان های تجاری بین المللی و اتاقهای بازرگانی این است که مرجع ثالثی، اعتبار پیام را از طریق تعیین هویت امضا کننده دیجیتال تضمین کند. مضافا برآن ماده ۱۴ قانون تجارت الکترونیکی امضای الکترونیکی و داده پیام مطمئن را در حکم اسناد معتبر و قابل استناد در مراجع قضایی و حقوقی می داند.[۱۵۷] حتی تا آنجا که ماده ۱۵ همان قانون نسبت به داده پیام مطمئن و امضای الکترونیکی مطمئن عدم پذیرش انکار و تردید را مطرح می کند.[۱۵۸] و با این امر، قانونگذار همان آثار حقوقی ای را برای امضا و داده پیام الکترونیکی مترتب میدارد که در ماده ۱۲۹۲ ق.م بیان شده است.[۱۵۹] بنابراین اطمینان یافتن از صحت جریان صدور امضاء و سابقه الکترونیکی آن امری بسیار حیاتی می باشد و این موضوعی است که در فصل اول قانون تجارت الکترونیکی ایران بدان توجه شده است.
آنچه که در این فصل به دنبال پاسخگویی به آنها هستیم :
-
- گواهی امضای الکترونیکی چیست؟
-
- تعریف و جایگاه دفاتر صدور گواهی الکترونیکی چه می باشد؟
-
- سلسله مراتب و وظایف دفاتر خدمات صدور گواهی الکترونیکی مطابق با حقوق ایران و سایر کشورها چیست؟
-
- صدور یک گواهی الکترونیکی به چه نحو صورت می گیرد؟
در ادامه به تعریف و جایگاه حقوقی دفاتر صدور گواهی الکترونیکی مطابق با حقوق ایران و سایر نظامات حقوقی (۳-۱) پرداخته خواهد شد، سپس در بخش دوم فصل، سلسله مراتب و وظایف دفاتر خدمات صدور گواهی الکترونیکی در ایران و سایر کشورها(۳-۲) تبیین می گردد. بخش سوم فصل نحوه عملی صدور یک گواهی الکترونیکی (۳-۳) را آموزش داده است و در نهایت نقدی بر وضعیت کنونی گواهی الکترونیکی در ایران (۳-۴) خواهیم داشت.
۳-۱ بخش اول : تعریف و جایگاه حقوقی دفاتر صدور گواهی الکترونیکی