گسترش تجارت الکترونیک مستلزم ایجاد اطمینان و اعتماد عمومی نسبت به این نوع تجارت است و این اطمینان باید از طریق تضمین امنیت و اعتبار تبادل الکترونیک دادهها صورت گیرد. یکی از عواملی که باعث اعتبار قرارداد یا هر سند دیگری میشود، صحت انتساب آن به صادرکننده است که تاکنون از طریق مهر یا امضا صورت میگرفته و دلیل معتبری برای تحقق صحت انتساب صادرکننده بوده است. در قراردادهای الکترونیک نیز اسناد و اطلاعات و داده پیامها باید به امضای شخص صادرکننده برسد تا بتوان صحت انتساب آنها را به او احراز کرد.
بنابراین، برای اعتبار و صحت انتساب اسناد قراردادهای الکترونیک لازم است یک امضای الکترونیک تعریف کرد و آن را جایگزین امضاهای دستنویس نمود. ارزش اثباتی اسناد قرارداد که به شیوه الکترونیک صادر شدهاند، ایجاب میکند تا ابعاد علمی و ارکان لازم برای تأثیرگذاری یک امضای الکترونیک به طور دقیق معین شود. همچنین باید به دقت محدوده اعتبار و اطمینان روشها و نرمافزارهای امضای الکترونیک مشخص شود. از آنجایی که امضا یک عمل حقوقی است و به همین جهت، فناوری امضای الکترونیک به عنوان یکی از مباحث حقوقی تجارت الکترونیک باید از منظر علم حقوق مورد توجه قرار گیرد. در این مقاله سعی میشود ضمن تعریف و آشنایی با امضای الکترونیک، جنبههای فنی و حقوقی آن مورد بررسی قرار گیرد.
2. تعریف امضا و جایگاه حقوقی آن
امضا عبارت است از نوشتن نام یا نام خانوادگی (یا هر دو) یا رسم علامت خاصی که نشانه هویت صاحب علامت است، در ذیل اوراق و اسناد عادی یا رسمی که متضمن وقوع معامله یا تعهد یا قرار یا شهادت و مانند آنها است یا بعداً باید روی آن اوراق تعهد یا معاملهای ثبت شود (سفید مهر)[1]. بنابراین، اثر مهم امضا متعهد شدن به تمام آثار جنبههای سند یا قراردادی است که امضا شده باشد.
به طور کلی، نوشته منتسب به اشخاص در صورتی قابل استناد است که امضا شده باشد. امضا نشان تأیید اعلامهای مندرج و پذیرش تعهدهای ناشی از آن است و پیش از آن نوشته را باید طرحی به حساب آورد که موضوع مطالعه و تدبر است و هنوز تصمیم نهایی درباره آن گرفته نشده است.[2] بنابراین، هر سندی که امضا میشود، در واقع اعتبار مییابد و میتوان آن را به شخصی منتسب نمود و وی را به مندرجات آن ملتزم ساخت.
3. تفاوت امضای مکتوب و امضای دیجیتال
گرچه برای هر دو از واژه امضا استفاده میشود، ولی در واقع امضای دیجیتالی و امضای دستی مشخصات و خواص کاملاً متفاوتی دارند. اگر یک سند که به وسیله امضای دیجیتالی امضا شده، به هر طریقی دستکاری شود، امضای دیجیتالی مورد تأیید قرار نمیگیرد؛ ولی یک امضای دستی که به یک روش بیومتریک متعلق به یک شخص مرتبط است، نمیتواند از دستکاری به طوری که آثار آن روی سند مشخص نباشد، جلوگیری نماید. یک امضای دستی گواهی است که شخص روی سند اعمال میکند؛ در حالی که یک امضای دیجیتالی گواهی است که کلید خصوصی روی سند اعمال میکند. همچنین یک امضای دیجیتالی مشخص مینماید که سند از زمان امضا تغییری نکرده است[3].
4. امضای مکتوب و ویژگیهای آن
با امضا در پای یک نوشته امضاکننده هویت خود را به عنوان نویسنده مشخص میکند، جامعیت سند را تأیید نموده و بیان میدارد که به محتویات آن متعهد و پایبند است.
برخی از خواص مهم امضاهای دستی عبارتاند از:
1. امضای یک شخص برای تمام مدارک یکسان است؛ بهآسانی تولید میشوند؛ بهراحتی تمیز داده میشوند؛ باید به گونهای باشند که حتیالامکان بهسختی جعل شوند؛ به طور فیزیکی تولید میشوند.
در کل باید امضای دستی منحصر به فرد بوده و تنها به وسیله شخصی که سند را امضا کرده، قابل تولید مجدد باشد. وقتی سندی امضا میشود، محتوای سند نباید بدون اطلاع شخص امضاکننده آن تغییر یابد. در نتیجه، امضای دستی قفل محتوای سند کاغذی نیز به حساب میآید و در نهایت، امضای دستی مشخص میکند که شخص امضاکننده به محتوای سند آگاه بوده و با محتوای سند کاغذی موافق است.
5. امضای دیجیتال و ویژگیهای آن
امضای دیجیتالی یک شناسه الکترونیکی برای دنیای دیجیتالی است که انتقال اطلاعات محرمانه و حساس را به صورت امن فراهم میکند.
امضای دیجیتالی، اصلیتِ(1) یک پیغام یا سند و یا فایل اطلاعاتی را تضمین میکند و در واقع، ابزار سندیت بخشیدن الکترونیکی میباشد که از طریق رمزنگاری انجام میشود.
موارد ضروری برای یک امضای دیجیتال که در واقع ویژگیهای آن نیز محسوب میشوند، در زیر فهرست شده است:
- امضا باید تحت کنترل اختصاصی شخص باشد؛
- باید بهراحتی قابل بررسی و تأیید(2) باشد تا از جعل و انکار احتمالی آن جلوگیری شود؛
- امضا باید برای هر شخص منحصر به فرد(3) باشد؛
- امضا باید رضایت شخص را برای انجام معامله نشان دهد (اعلام آگاهی و موافقت با محتوای سند)؛
- امضا باید باعث قفل شدن سند شده و هر تغییری در محتوا را نشان دهد؛
- امضای هر سندی متفاوت با امضای اسناد دیگر است.
مورد مهمی که باید به آن دقت شود، روشی است که امضا به وسیله آن انجام شده (چه کسی، چه چیزی، در چه زمانی، کجا و چرا) و اطلاعات باید برای اطمینان از نتیجهای غیر قابل انکار(4) و صحیح حفاظت شود.
برای اثبات هویت یک کاربر، تکنیک تعیین به کار میرود. وقتی هویت یک کاربر شناسایی شد، کاربر به هویت دیجیتالی خود دسترسی پیدا میکند. گواهی دیجیتالی مجموعهای از اعتبارنامههای(5) مورد استفاده در فرآیند امضا است که از مراکز صدور گواهی داخلی یا خارجی بعد از تأیید کامل هویت شخص صادر میشود.
نرمافزارهای خاصی برای اجرای فرآیند امضا استفاده میشود. این نرمافزارها، اطلاعات منحصر به فردی از فایل مورد امضا و گواهی دیجیتالی را ترکیب میکنند تا یک امضای دیجیتالی درون یک فایل قرار گیرد. این امضا میتواند به وسیله نرمافزارهای مخصوصی دیده و بررسی و تأیید شود که اغلب به صورت رایگان هستند.
6. تصوری رایج و غلط از امضای دیجیتالی
افراد مختلف از امضای دیجیتالی برداشتهای متفاوتی دارند. یکی از بیشترین تصورات، تصور امضای دیجیتالی به صورت رسم گرافیکی امضای دستی است که در واقع تصویر امضای روی سند به حساب میآید.
این تصور، امضای متعلق به شخص را همانند امضای دستی نگاه میکند؛ چرا که رسم گرافیکی یک امضا میتواند به وسیله هر شخصی مجدداً تولید شود که این کار بهآسانی با اسکن امضا و قرار دادن آن روی سند امکانپذیر است. همچنین بهراحتی میتوان محتوا را تغیر داد و سپس امضا را اضافه نمود. در نهایت، رسم گرافیکی هیچ ضمانتی نمیکند که امضاکننده با محتوای سند موافق است.
همچنین بعضی شیوههای جدید تنها برای تعیین سندیت به یک موجودیت جهت دسترسی استفاده میشوند؛ برای مثال، نباید یک سیستم تشخیص هویت انگشتنگاری رایانهای، یک امضای دستی اسکن شده یا وارد کردن اسم شخص در انتهای یک پست الکترونیکی را به عنوان یک جایگزین معتبر برای امضاهای دستی پذیرفت؛ زیرا همه عملکردهای یک امضای دستی را نخواهد داشت.
7. تفاوت امضای دیجیتالی و امضای الکترونیکی
در سالهای اخیر، واژههای امضای الکترونیک(6) و امضای دیجیتالی(7) به طور گستردهای مورد استفاده قرار گرفتهاند و گاهی اوقات استفاده از این دو واژه به جای هم باعث اشتباه و گاهی سردرگمی شده است.
امضای الکترونیک اغلب برای نسبت دادن یک امضا به یک متن از طریق یک یا چند وسیله الکترونیکی یا ابزار رمزنگاری جهت افزودن خواص عدم انکار و جامعیتِ(8) پیغام به یک سند استفاده میشود. در واقع، یک امضای الکترونیکی هر نشانه یا سمبلی است که رضایت و قصد شخص را در یک فرم الکترونیکی نشان دهد که میتواند به طور ساده نوشتن نام شخص، کلیک روی دکمه تأیید، یا وارد کردن یک شماره شناسایی شخصی یا رمز عبور، امضای بیومتریک و امضای دیجیتال باشد[4].
امضای دیجیتالی معمولاً به یک امضای رمز شده برمیگردد که میتواند روی یک سند یا یک ساختار سطح پایینتر قرار گیرد و صریحاً به عنوان بخشی از استاندارد NIST(9) برای PKI(10) و DSS(11) تعریف شده است.
این اشتباه لغوی در بسیاری از حالات ناخوشایند است و تا زمانی که این مورد در قوانین و مقررات بهدرستی استانداردسازی نشود، همین طور باقی میماند.
در صورتی که امضای الکترونیک از روشهای رمزنگاری برای اطمینان از جامعیت و سندیت پیام استفاده کند، یک امضای دیجیتالی محسوب میشود. با استفاده از مکانیسمهای جامعیت پیام، هر تغییری در سند حاوی امضای دیجیتالی، بهسهولت قابل کشف بوده و باعث عدم اعتبار امضای ضمیمه شده میشود.
استانداردهای امضای الکترونیک شامل استاندارد Opne PGP که به وسیله PGP (12) و GnuPG (13) پشتیبانی شده و برخی از استانداردهای S/MIME میباشد.
متنی که امضای دیجیتال دارد، ممکن است برای حفاظت بیشتر در طی انتقال رمزگذاری شود؛ در صورتی که اگر فرآیند امضا به طرز صحیح اعمال شده باشد، دیگر نیازی به این کار نیست.
8. تعریف امضای دیجیتال
اولین بار کانون وکلای ایالات متحده(14)، در سال 1992 میلادی در خصوص مسائل حقوقی و قانونی امضا در قراردادهای الکترونیک شروع به کار کرد و در سال 1995 میلادی پیشنویس و رهنمودهای امضای دیجیتال(15) را که در خصوص چگونگی امضا در قراردادهای الکترونیک و زیرساختهای آن بود، تهیه کرد. در همان سال اولین قانون در مورد امضای دیجیتال تصویب شد که در مورد ایجاد قطعیت و اعتبار قراردادهای الکترونیک و نیز فناوریهای مربوط به رمزنگاری(16) و احراز هویت و مراجع گواهی(17) امضای الکترونیک بود. در سال 1996 میلادی آنسیترال قانون نمونهای در باب تجارت الکترونیک(18) تدوین کرد که شامل مقرراتی در خصوص امضای الکترونیک بود. در سال 1997 میلادی، اتاق بازرگانی بینالمللی(19) مبادرت به صدور «راهنمای عمومی برای تجارت بینالمللی دیجیتال مطمئن»(20) نمود. اتحادیه اروپا در سال 1999 میلادی، «دستورالعمل امضای الکترونیک»(21) را به تصویب رسانید و در نهایت، گروه کاری آنسیترال در باب تجارت الکترونیک، «قانون نمونه آنسیترال در باب امضای الکترونیک»(22) را تصویب کرد تا به عنوان یک معیار استاندارد و رهنمون برای قانونگذاریهای ملی مورد استفاده کشورها قرار گیرد.
بسیاری از کشورها، بین سالهای 1996 تا 2001 میلادی، با استفاده از مقررات بینالمللی موجود و رهنمونهای ارائه شده در خصوص امضای الکترونیک مبادرت به قانونگذاری در این زمینه کردهاند و در حال حاضر میتوان گفت امضای الکترونیک در تمام نظامهای حقوقی مورد پذیرش قرار گرفته است.[5]
هیچ سندی در علم حقوق اعتبار ندارد؛ مگر اینکه دارای علامتی باشد که بر صدور آن از جانب مرجع مسلم الصدور دلالت کند. از جمله اهدافی که امضا در ذیل نوشتهها دنبال میکند، میتوان به اهدافی مانند: رسمیت یافتن، تأیید و قطعیت یافتن اسناد اشاره کرد. اما نباید غافل از آن بود که امضا فارغ از اهداف ذکر شده مبین قصد انشای فرد در انعقاد قرارداد است؛ به طوری که اگر سندی امضا نگردد، در حقیقت فرد قصد به وجود آوردن آن را نداشته و قرارداد کان لم یکن تلقی میگردد.
به منظور تنظیم روابط حقوقی و معاملاتی افراد در بستر مبادلات الکترونیک، تجارت از طریق اینترنت باید دارای یک چارچوب مشخص قانونی گردد و خلأهای قانونی آن مرتفع گردد تا هم عموم افراد به این شیوه از تجارت روی آورند و هم اینکه حقوق آنها تضمین گردد. بنابراین، میتوان گفت فقدان زیرساخت حقوقی و قانونی، از موانع اصلی رشد تجارت الکترونیک است.
خدمات ارائه شده توسط امضای دیجیتال
تأیید هویت: گیرنده میتواند مطمئن باشد که فرستنده کیست.
جامعیت: گیرنده میتواند مطمئن باشد که اطلاعات حین انتقال تغییر پیدا نکرده است.
انکارناپذیری: فرستنده نمیتواند امضای داده را انکار نماید.
9. امضاهای دیجیتال استاندارد
در زیر به معرفی مختصر و مقایسه اجمالی سه روش استاندارد امضای دیجیتال پرداخته شده است.
الف- امضای دیجیتال مبتنی بر RSA
این روش امضا مبتنی بر الگوریتم رمز کلید عمومی RSA بوده و در سال 1991 توسط ANSI به عنوان استاندارد پذیرفته شد.[6]
ب- استاندارد امضای دیجیتال DSS
روش امضای DSS بر اساس سیستم رمزنگاری کلید عمومیالجمال استوار است. DSS در آگوست سال 1991 توسط مؤسسۀ ملی استاندارد و تکنولوژی آمریکا پیشنهاد شد و در سال 1993 به عنوان یک استاندارد پردازش اطلاعات فدرال دولت آمریکا پذیرفته گردید. DSS اولین روش امضای دیجیتالی بود که به صورت قانونی رسمیت یافت. در این روش به منظور کاهش اندازه امضاها از زیرگروههای کوچک در Zp استفاده میشود.
ج- امضای دیجیتال مبتنی بر منحنیهای بیضوی
الگوریتم امضای دیجیتال مبتنی بر منحنیهای بیضوی ECDSA(23) مشابه با DSS میباشد؛ بدین معنا که به جای کار در یک زیرگروه مرتبۀ q، در گروه نقاط روی منحنی بیضوی روی Zp کار میکنیم. [7]
مقایسۀ سه استاندارد امضای دیجیتال RSA، DSS و ECDSA در جدول زیر مشخصات عمومی هر سه استاندارد امضای دیجیتال آورده شده است.
نام استاندارد امضا سیستم رمزنگاری مبنا تابع درهمساز به کارگرفته شده نام استاندارد و مؤسسه استانداردکننده سال پذیرش استاندارد DSS الجمال 1- SHA FIPS 186-2 (ANSI X9.30) 1991میلادی RSA RSA MD2 MD5 ANSI X9.31 1991 میلادی ECDSA الجمال 2- SHA ANSI X9.62 IEEE PI363 ISO SC27 1998 میلادی
شکل 1: مشخصات عمومی سه استاندارد امضای دیجیتال
در روش استاندارد مبتنی RSA برای به دست آوردن چکیدۀ پیام مجوز به کارگیری تابع درهمساز خاصی نیست؛ ولی توصیۀ ANSI این است که بهتر است از MD2 یا MD5 استفاده شود. در صورتیکه در دو استاندارد دیگر به کارگیری SHA-1 اجباری است.
نکتۀ دیگر اینکه امضای دیجیتال مبتنی بر منحنیهای بیضوی توسط سه مؤسسه ANSI و IEEE و ISO انجام گرفته است که اصول هر سه یکی است.
الگوریتمهای تعیین اعتبار برای تولید امضای دیجیتالی بر اساس رمز کردن داده به وسیله کلید خصوصی و رمزگشایی آن با استفاده از کلید عمومی نیاز دارند]9 و 8[. این فرآیند دقیقاً معکوس فرآیند محرمانه نگه داشتن داده میباشد. در نتیجه، سیستمهای رمزنگاری کلید عمومی بیشتر برای تولید امضا پیشنهاد داده میشود[10] و امتیاز اصلی رمزنگاری کلید عمومی این است که نه تنها جامیت داده را فراهم میکند، بلکه برای تعیین اعتبار نیز استفاده میشود.[9] تعیین اعتبار به وسیله امضای دیجیتالی، خاصیت عدم انکار را فراهم میکند؛ بدین معنا که از انکار فرستنده مبنی بر فرستادن اطلاعات جلوگیری مینماید. این خواص برای رمزنگاری اساسی میباشند و برای حفاظت از هر الگوریتم رمزنگاری مورد نیاز هستند. فرآیند رمزنگاری بر اساس چند جملهایهای کوتاه شده(24)، شبیه NTRU هستند ]12 و 11[ که برخی از مسائل تولید اعداد اول بزرگ و توابع ریاضی در برگیرنده را که در برخی الگوریتمها نیاز است، حل کرده است.[6]
10. ساخت امضای دیجیتالی
در ابتدا اطلاعاتی که قرار است امضا شود، مشخص میشود، مانند ارائه یک شیء اطلاعاتی به صورت دیجیتالی که میتواند متن، شکل و یا هر نوع دیگری از اطلاعات دیجیتالی باشد. امضای دیجیتال برای یک پیغام در دو گام زیر ساخته میشود: [13]
1. تولید چکیده پیام(25): چکیده پیام، خلاصه پیغامی است که قرار است انتقال داده شود؛ به عبارت دیگر، عددی منحصر به فرد برای هر پیغام است که تغییر کوچکی در پیغام باعث تولید یک چکیده متفاوت میشود. چکیده پیام با استفاده از یک سری الگوریتمهای در همسازی(26) ساخته میشود. در واقع، ایجاد یک مقدارِ در هم(27) از اطلاعات معمولاً چکیده پیام نامیده میشود. در صورتیکه حتی یک بیت از واحد داده تغییر کند، مقدارِ در هم مرتبط با آن دستخوش تغییرات وسیع میگردد.
2. رمزنگاری(28): چکیده پیام به وسیله کلید خصوصی فرستنده رمز میشود. در واقع، چکیده پیام رمز شده یک امضای دیجیتال تولید شده به روش بالا که مقداری منحصر به فرد هست، به پیغام ضمیمه میشود و به گیرنده فرستاده میشود.
پس از اینکه گیرنده پیغام را دریافت کرد، به روش زیر عمل میکند:
- امضای دیجیتالی ضمیمه سند توسط کلید عمومی امضاکننده رمزگشایی میشود.
- الگوریتم چکیده پیام که در سمت فرستنده استفاده شده، در سمت گیرنده نیز استفاده میشود.
- دو چکیده پیام به دست آمده مقایسه میشود و در صورت معادل بودن، پیغام معتبر و دارای اعتبار شناخته میشود. چنانچه نتیجه یکسان بود، امضا پذیرفته و در غیر این صورت، رد میشود.
با این روش میتوان مطمئن بود که امضای دیجیتالی به وسیله فرستناده اصلی فرستاده شده است؛ زیرا فقط کلید عمومی فرستنده قادر به باز کردن امضای دیجیتالی است. اگر در وقت رمزگشایی با استفاده از کلید عمومی، چکیده پیامی که دارای اشکال است، برگردانده شود، بدین معنی است که این پیغام اصلی نیست.
هدف از به کارگیری روشهای رمزنگاری در اینجا، اطمینان از یکپارچگی دادهها و معتبر بودن و اصالت امضاکننده، جدا از کاربرد آن برای اطمینان از محرمانگی دادهها میباشد.
در عمل برای بالا بردن سرعت، به جای کل پیغام، چکیدههای آن امضا میشود. این چکیده از نظر اعتبار مانند کل متن است.تمام فرآیند در شکل زیر توضیح داده شده است.
شکل 2: فرآیند امضای دیجیتالی
11. مراجع صدور گواهی(29)
رویه تصدیق امضا در کلیه روشها با فرض اینکه کلید عمومی واقعاً متعلق به امضاکننده است، صورت میگیرد. اگرچه این استنباط بدیهی نمیباشد و خطر آن وجود دارد که فردی جفت کلیدی درست کرده، کلید عمومی را در دایرکتوری عمومی در زیر نام فرد دیگری قرار داده و بنابراین، پیامهای الکترونیکی را تحت نام دیگری امضا کند. به علاوه، هر جفت کلید (خصوصی و عمومی) هیچگونه وابستگی ذاتی با یک هویت معین ندارد؛ بلکه تنها یک جفت از ارقام میباشند. پس این اطمینان باید وجود داشته باشد که کلید عمومی واقعاً به هویت مدعی تعلق دارد.
مشکل تأیید هویت به دست شرکتهای طرف ثالث حل میشود. یک نهاد طرف ثالث وجود ارتباط بین هویت و کلید عمومی را تضمین میکند. این ارتباط در تأییدیه الکترونیکی که کلید عمومی را به یک شخص مرتبط میکند، حاصل میشود. این نهادهای طرف ثالث به عنوان مراجع صدور گواهی شناخته شده و باید توسط تمام کاربران به عنوان نهاد طرف ثالث مطمئن(30) پذیرفته شوند. رویه تأیید کلید باید عاری از هر گونه خطا و اشتباه بوده و بالاترین سطح امنیت را احراز نماید. با انتشار یک تأییدیه دیجیتالی، یک مقام تأیید کننده، هویت کاربر را تأیید و تضمین میکند که کلید عمومی واقعاً به کاربر مزبور تعلق دارد.
این نهادها با استفاده از ابزارهای متداول تشخیص هویت (به طور معمول با تهیه اسناد فیزیکی از مشخصات افراد)، هویت امضاکننده را مشخص نموده و سپس تأییدیههای الکترونیکی را که باعث ارتباط کلیدهای امضای دیجیتالی به اسامی اشخاص یا مؤسسات میشوند، صادر میکنند. هر تأییدیهای منحصربهفرد بوده و امکان کپیبرداری را ندارد.
12. تأییدیه امضای دیجیتالی
تأییدیههای دیجیتالی شامل: کلید عمومی مالک، نام مالک، تاریخ انقضای تأییدیه، نام نهاد رسمی تأیید کنندههایی که تأییدیه دیجیتالی را صادر کرده، یک شماره سریال و سایر اطلاعات میباشد.
یک تأییدیه از چهار بخش تشکیل شده است:
- موضوع و خصوصیات آن: این اطلاعات در مورد با موضوعی است که قرار است تأیید شود؛ مثلاً برای یک شخص، این اطلاعات میتواند شامل: نام، ملیّت و نشانی، سازمان مربوطه و دپارتمان وی در آن سازمان باشد. همچنین میتواند شامل تصویری از شخص، یک اثر انگشت تبدیل به رمز شده و شماره پاسپورت باشد.
- اطلاعات کلید عمومی: اطلاعاتی در باره کلید عمومی است، که تأیید شدهاند. این تأییدیه باعث الحاق کلید عمومی به مندرجات مدرک مورد نظر میگردد.
- مقام تأیید کننده امضا: نهاد رسمی تأیید کننده (CA) دو مورد بالا را در هر سند امضاکرده و آن را به تأییدیه مربوطه الحاق کنند. افرادی که تأییدیه را دریافت میکند، امضا را کنترل نموده و چنانچه به این CA اطمینان داشته باشند، صحت اطلاعاتی را که کلید عمومی به آن الحاق شده نیز قبول خواهند داشت.
- تاریخ انقضای تأییدیه: هر تأییدیه دارای تاریخ انقضای میباشد. پس از انقضاء تاریخ تأییدیه، محتویات آن از طرف CA مربوطه تضمین نمیشود.
13. منابع حقوقی تجارت الکترونیکی
فناوری اطلاعات این امکان را فراهم آورده است که بسیاری از مبادلات تجاری، داد و ستدها و ارائه خدمات از طریق اینترنت انجام شوند. گسترش این نوع از روابط معاملاتی و تجاری بین افراد با طرح برخی مسائل حقوقی در زمینه قواعد حاکم بر روابط قراردادی افراد همراه بوده است. به رسمیت شناختن فناوریهای نوین ارتباطی در تشکیل قراردادها، چگونگی تشکیل و اعتبار آنها، قابلیت انتساب اسناد الکترونیک، مسائل مربوط به امضای الکترونیک و روند پرداختهای الکترونیک از جمله مسائل مهم مطرح در این زمینه بوده است.
با رسمیت یافتن تجارت الکترونیک در جهان، بیش از هر چیز توجه به جنبههای حقوقی این نوع تجارت و قانونمند کردن آن احساس نیاز میشود. از همین رو، بیشتر کشورها در این زمینه اقدام به وضع قوانین جدید یا اصلاح قوانین موجود کردهاند. مجامع بینالمللی از قبیل آنستیرال(31)، اتحادیه اروپا(32)، سازمان توسعه و همکاری اقتصادی(33) و اتاق بازرگانی بینالمللی(34) از جمله سازمانهای فعال در این عرصه بودهاند که تاکنون برای ایجاد چارچوب قانونی تجارت الکترونیک قوانین و مقررات، دستورالعملها و رهنمودهایی را پیشبینی کردهاند.
گروه کاری تجارت الکترونیک آنسیترال در سال 1996م مبادرت به تدوین یک قانون نمونه در خصوص تجارت الکترونیک کرده و در سال 2001م نیز قانون نمونهای در باب امضای الکترونیک به تصویب رسانده است. اتحادیه اروپا تاکنون دستورالعملهای متعددی در زمینه الکترونیک وضع کرده و در قالب آنها علاوه بر به رسمیت شناختن تجارت الکترونیک، مهمترین مسائل حقوقی آن را از قبیل شرایط انعقاد قراردادهای الکترونیک، امضای الکترونیک و حقوق مصرف کننده مورد بررسی قرار داده است.
دستورالعملهای مذکور در واقع رهنمودهایی برای کشورهای عضو اتحادیه هستند تا در وضع قوانین جدید با مقررات دستورالعملها هماهنگ باشند. سازمان توسعه و همکاری اقتصادی در زمینه تجارت الکترونیک طرحهای مختلفی را به کشورهای عضو پیشنهاد کرده که مهمترین آنها در خصوص حمایت از مبادله فرامرزی دادههای شخصی (راهنمای سال 1980م)، امنیت سیستمهای اطلاعاتی (راهنمای 1992م) و راهنمای رمزنگاری (راهنمای 1997م) بوده است. اتاق بازرگانی بینالمللی نیز مبادرت به ارائه سندی تحت عنوان «راهنمای عمومی برای تجارت بینالمللی دیجیتال مطمئن(35) کرده است تا از طریق آن چارچوبی کلی برای استفاده از امضای دیجیتال و مبادلات تجاری الکترونیک بینالمللی ایجاد نماید.
14. پذیرش قانونی ادله الکترونیک
تجارت الکترونیک، تجارت بدون کاغذ و مبتنی بر دادههای الکترونیک است. بنابراین، اسناد و اطلاعات مورد تبادل بین تجار نیز باید لزوماً به صورت الکترونیک باشد. در فضای مجازی، تمام مبادلات از طریق انتقال دادهها صورت میگیرد و افراد، روابط معاملاتی را از طریق سیستمهای اطلاعرسانی(36) خویش انجام میدهند. پس آنچه که بین معاملان به عنوان وسیلهای برای بیان اظهار اراده انشایی آنها مورد استفاده قرار میگیرد، در دادههای الکترونیک که درون سیستم اطلاعرسانی آنها قرار داد، نگهداری میشود.
بروز اختلاف بین افراد در بستر تجارت الکترونیک نیز همانند فضای سنتی و مرسوم، اجتنابناپذیر است. بنابراین، مباحث مربوط به ادله اثبات دعوی در محیط الکترونیک نیز مطرح بوده و یکی از جنبههای حقوق تجارت الکترونیک محسوب میشود. اسناد و ادله الکترونیک به عنوان دلیل محکمه پسند و قابل ارائه در دادگاه محسوب میشوند؛ به عبارت دیگر، دادههای الکترونیک نیز میتوانند ارزش و اعتبار حقوقی اسناد کاغذی مرسوم را داشته باشند؛ زیرا تنها راه حل و فصل اختلافات احتمالی در مبادلات الکترونیک استناد به همین داده پیامها(37) میباشد. بنابراین، در پذیرش و شناسایی ادله و اسناد الکترونیک نباید تردید کرد؛ چرا که پذیرش مبادلات و قراردادهای الکترونیک مستلزم پذیرش قانونی اسناد و اطلاعات مبتنی بر دادههای الکترونیک مورد تبادل بین دو طرف معامله است.
در قوانین وضع شده در باب تجارت الکترونیک، ارزش اثباتی داده پیامها و اعتبار قانونی آنها مورد پیشبینی قانونگذاران قرار گرفته است. در قانون نمونه تجارت الکترونیک آنسیترال مصوب 1996م که با هدف سازگار کردن قواعد عمومی قراردادها با فناوریهای نوین تدوین شده است، ارزش اثباتی داده پیامها مورد پذیرش قرار گرفته و به این موضوع تصریح شده که در رسیدگیهای قضایی نباید ادله الکترونیک را به این علت که به صورت داده پیام هستند و دارای اصالت نمیباشند، رد کرد و نپذیرفت.
اطلاعات ارائه شده به شکل داده پیام از اعتبار و ارزش اثباتی برخوردار است. بنابراین، اثر قانونی یا قابلیت اجرای سند را نمیتوان صرفاً به دلیل شکل الکترونیک آن رد کرد.
قانون تجارت الکترونیک ایران نیز که از قانون نمونه آنسیترال الهام گرفته است، مقررات مشابهی را در بردارد. ماده 12 قانون مذکور مقرر میدارد: «اسناد و ادله اثبات دعوی ممکن است به صورت داده پیام بوده و در هیچ محکمه یا اداره دولتی نمیتوان بر اساس قواعد ادله موجود، ارزش اثباتی داده پیام را صرفاً به دلیل شکل و قالب آن رد کرد». همان طور که پیدا است، قوانین مربوط با اعتباربخشی به داده پیامها، اسناد الکترونیک را در شمار دلایل قانونی آوردهاند. اینکه تمام دادههای الکترونیک دارای ارزش اثباتی هستند یا خیر، قانون نمونه آنسیترال در باب تجارت الکترونیک، مصوب 1996م در این خصوص اینگونه اظهار نظر میکند: «در انعقاد قرارداد، ایجاب و قبول میتواند از طریق داده پیامها اعلام شود؛ مگر اینکه طرفین به نحو دیگری توافق کرده باشند. هنگامی که برای انعقاد قرارداد، داده پیامها مورد استفاده قرار میگیرند، اعتبار یا قابلیت اجرای قرارداد مذکور صرفاً به این دلیل که از داده پیامها استفاده شده، نباید رد شود.» همان طور که پیدا است، ماده مذکور صریحاً قرارداد الکترونیک را مورد پذیرش قرار داده و برای آنها اعتبار و قابلیت اجرای لازم را قائل است.
15. قوانین تجارت الکترونیک ایران
قانون تجارت الکترونیک ایران با الهام از قانون نمونه آنسیترال به تصویب نهایی مجلس و شورای نگهبان رسیده است که در آن، موارد زیر در باره امضای دیجیتالی به چشم میخورد:
ماده 7) هرگاه قانون وجود امضا را لازم بداند، امضای الکترونیکی مکفی است.
ماده 10) امضای الکترونیکی مطمئن(38) باید دارای شرایط زیر باشد:
- - نسبت به امضاکننده منحصر به فرد باشد.
- - هویت امضاکننده «داده پیام» را معلوم نماید.
- - به وسیله امضاکننده و یا تحت اراده انحصاری وی صادر شده باشد.
- - به نحوی به یک «داده پیام» متصل شود که هر تغییری در آن «داده پیام» قابل تشخیص و کشف باشد.
ماده 11) سابقه الکترونیکی مطمئن عبارت از «داده پیام»ی است که با رعایت شرایط یک سیستم اطلاعاتی مطمئن ذخیره شده و به هنگام لزوم در دسترس و قابل درک است.
ماده 14) کلیه «داده پیام»هایی که به طریق مطمئن ایجاد و نگهداری شدهاند، از حیث محتویات و امضای مندرج در آن، تعهدات طرفین یا طرفی که تعهد کرده و کلیه اشخاصی که قائم مقام قانونی آنان محسوب میشوند، اجرای مفاد آن و سایر آثار در حکم اسناد معتبر و قابل استناد در مراجع قضایی و حقوقی است.
ماده 15) نسبت به «داده پیام» مطمئن، سوابق الکترونیکی مطمئن و امضای الکترونیکی مطمئن، انکار و تردید مسموع نیست و تنها میتوان ادعای جعلیت به «داده پیام» مزبور وارد و یا ثابت نمود که «داده پیام» مزبور به جهتی از جهات قانونی از اعتبار افتاده است.
ماده 31) دفاتر خدمات صدور گواهی الکترونیکی واحدهایی هستند که برای ارائه خدمات صدور امضای الکترونیکی در کشور تأسیس میشوند. این خدمات شامل تولید، صدور، ذخیره، ارسال، تأیید، ابطال و به روز نگهداری گواهیهای اصالات (امضای) الکترونیکی میباشد.
16. امنیت مبادلات الکترونیکی
در روش سنتی، مکتوب بودن، اصل بودن سند،لاک و مهر بودن پاکت حاوی اسناد و ممهور بودن یک سند، دلیل اعتبار آن است. در مبادلۀ الکترونیکی اطلاعات، حفظ محرمانگی با رمزنگاری و تضمین جعلی نبودن با امضای الکترونیکی فرستنده فراهم میشود. با استفاده از الگوریتمهای نامتقارن رمزنگاری و خدمات یک مرکز گواهی دیجیتالی، میتوان امنیت را در انواع مبادلات الکترونیکی به کار برد.
در یک سیستم واقعی، در هر لحظه امکان دارد ارتباط بین مبدأ و مقصد مورد چهار نوع حملۀ: قطع ارتباط، استراق سمع، تغییر و جعل هویت واقع شود. علاوه بر این حملات، ممکن است بعد از ارسال اطلاعات، فرستنده کار خود را تکذیب کند و منکر ارسال اطلاعات شود.
منظور از مسائل امنیتی، حمایت از دادهها و امنیت اطلاعات در مقابل دسترسیهای غیر مجاز در فرآیند تجارت الکترونیک است.
اقدامات، سلایق و فعالیتهای کاربران بهآسانی زیر نظر گرفته و ردیابی میشوند. دادهها و اطلاعات آنها بهراحتی کپی شده و مورد نقل و انتقال قرار میگیرد. اینترنت یک شبکه کاملاً باز است و امکان دسترسی افراد غیر مجاز به اطلاعات محرمانه و استفاده از آنها وجود دارد؛ به عنوان مثال، چنانچه شماره کارت اعتباری افراد در اختیار افراد غیر مجاز قرار گیرد، آنها میتوانند از کارت مذکور سوء استفاده کنند. بنابراین، حفاظت از اطلاعات مالی، اعتباری و شخصی افراد، یکی از چالشهای مهم تجارت الکترونیک است؛ زیرا مسیر گردش اطلاعات و منابع روی شبکه بسیار است. از این رو، معلوم نیست که اطلاعات مذکور کجا میروند و چه کسانی از آنها بهرهبرداری مینمایند.[14]
17. امضای دیجیتال و امنیت آن
امنیت امضای دیجیتال شامل امنیت الگوریتم رمزنگاری کلید عمومی، امنیت توابع درهمسازی و امنیت کلید خصوصی میباشد. برای اعتبارسنجی امضای هر کس، از کلید عمومی او استفاده میشود. امضای دیجیتالی به گونهای طراحی شده است که نه تنها استنتاج پیام از امضا تقریباً غیرممکن است، بلکه امکان یافتن دو پیغام با امضاهای مشابه نیز بسیار کم است. فرستنده، پیام و کلید خصوصی خود را به یک رویۀ رمزنگاری میدهد. خروجی این فرایند یک متن رمز شدۀ فشرده شده از متن اصلی است که امضای دیجیتالی نامیده میشود. سپس این امضا همراه با متن پیام به هم متصل و ارسال میشوند. گیرنده، متن پیام و امضا را دریافت کرده و برای کنترل هویت فرستنده و جامعیت پیام، با کلید عمومی فرستنده امضا را رمزگشایی میکند تا متن پیام اولیه را به دست آورد. اگر این متن با متن اصلی دریافت شده یکی باشد، میتوان نتیجه گرفت که متن پیام و امضا نه جعلی هستند و نه در بین راه تغییر کردهاند.
18. رمزنگاری
اصلیترین راه حلی که امروزه در جهان برای برقراری امنیت مبادلات الکترونیکی و مقابله با این مشکلات استفاده میشود، رمزنگاری است. با استفاده از رمزنگاری میتوان به جز حملات قطع ارتباط، جلوی سایر حملات و تهدیدات را نیز گرفت. در میان روشهای مختلف رمزنگاری، رمزنگاری مبتنی بر کلید (در مقابل رمزنگاری مبتنی بر الگوریتم) مناسبترین روشها است و عموماً منظور از رمزنگاری، همین نوع رمزنگاری است. منظور از کلید، یک مقدار دادهای است که در الگوریتم رمزنگاری به کار میرود. الگوریتمهای رمزنگاری مبتنی بر کلید به دو دستۀ عمده تقسیم میشوند: رمزنگاری متقارن و رمزنگاری نامتقارن. در ادامه مباحث ضمن ارائه توضیحات در باره مفاهیم رمزنگاری، به تشریح انواع رمزنگاری خواهیم پرداخت.
رمزنگاری، علمی است که به وسیله آن میتوان اطلاعات را به صورتی امن منتقل کرد؛ حتی اگر مسیر انتقال اطلاعات (کانالهای ارتباطی) ناامن باشد. دریافتکننده اطلاعات آنها را از حالت رمز خارج میکند. به این عمل در واقع، رمزگشایی گفته میشود. از رمزنگاری میتوان برای تأمین امنیت و تأمین اعتبار پیام به صورت جداگانه یا همزمان استفاده کرد.
تأمین امنیت پیام: اینکه به غیر از گیرنده مجاز، شخص دیگر قادر به فهمیدن متن پیام نباشد.
اعتبار پیام: اینکه فرستنده واقعی پیام، مشخص باشد.
19. نتیجه
همزمانی گسترش تجارت الکترونیک و طرح جهانیسازی اقتصاد و پیوستن جوامع مختلف به این طرح و نیز گسترش روزافزون کاربران شبکه جهانی اینترنت، این تجارت نوین را به تجارتی فراگیر مبدل ساخته است؛ به طوری که امروزه خود را به عنوان امری اجتنابناپذیر در متن زندگی انسان امروز جای داده است. قرار گرفتن در دهکده جهانی ما را ناگزیر به مهیا نمودن زیرساختهای لازم تجارت الکترونیکی میسازد و عدم توجه به این قانونمندیهای نوین، در آیندهای نه چندان دور فاجعهآمیز خواهد بود.
اکثر سازمانها ترجیح میدهند به سوی حذف کاغذ با استفاده از فرمهای دریافت و ارسال داده الکترونیکی حرکت کنند. در این صورت ضروری است که نه تنها فرستنده، گیرنده را تعیین اعتبار کند، بلکه گیرنده نیز فرستنده را تعیین اعتبار نماید. یک امضای دیجیتالی اهداف مورد نظر یک امضای دستی را دنبال میکند و ویژگی ممتاز آن این است که بهسختی جعل میشود[13]. در نتیجه، برای تسهیل بهرهگیری از امضای الکترونیکی میتوان از خدمات تصدیق گواهی، قواعد و دستورالعملهایی استفاده نمود که در آن، امضای الکترونیکی مانند یک ابزار فنی رضایتبخش و یک توشیح حقوقی محسوب میشود.
پی نوشت ها:
منابع: