اسناد الکترونیکی

 

قانون تجارت الکترونیک تعریفی از مدرک الکترونیکی به دست نمی‌دهد و تنها در بند«الف» ماده۲ در تعریف داده پیام چنین مقرر می‌دارد: هر نمادی از واقعه، اطلاعات یا مفهوم است که با وسایل الکترونیکی، نوری و یا فناوری جدید اطلاعات تولید، ارسال، دریافت، ذخیره یا پردازش می‌شود. باید افزود که ق.ت.ا همواره از ایمنی و اطمینان سیستم‌های اطلاعاتی و رایانه‌ای سخن به میان می‌آورد.‌این تصریح فی نفسه دارای اهمیت است. زیرا بدون‌ایمنی و اطمینان، داده پیام و امضای الکترونیکی از هر نظر فاقد اعتبار خواهد بود. بنابراین، چنانچه قانون مذکور نیز به حق تصریح دارد، قابلیت پذیرش اسناد الکترونیکی نیازمند وجود رکن اساسی اطمینان و ایمنی می‌باشد. به همین دلیل است که ق.ت.ا از موجودیت کامل و بدون تغییر داده پیام به مفهوم عدم خدشه به تمامیت داده پیام در جریان اعمال تصدی سیستم از قبیل ارسال، ذخیره یا نمایش اطلاعات، سخن به میان می‌آورد. بند«هـ» ماده۲ یا در بندهای «ح»و«ط» به ترتیب سیستم‌های اطلاعاتی ایمن و رویه ایمن را تعریف می‌کنند. اما می‌توان گفت که اسناد الکترونیکی داده‌هایی‌هستند که در مواردی مثل اسناد تجاری خاص با فرمت‌های ویژه و در موارد دیگر بدون توجه به فرمت و قالب آنها و فقط با توجه به محتوای سند در شکل الکترونیکی بوسیله دستگاه‌های پردازشگر مثل رایانه بوجود آمده‌اند، پیش نویس لایحه اصلاح قانون تجارت در بخش اسناد الکترونیکی، اسناد الکترونیکی تجاری را به دو نوع اسناد الکترونیکی اصل و جایگزین تقسیم می‌کند که منظور از سند اصل را، همان سند اصیل پردازش شده در دستگاه و سند جایگزین را رونوشت مصدق آن می‌داند.

به ادامه مطلب بروید.


البته اسناد الکترونیکی در فضای مجازی مسائل زیادی را به خود اختصاص می‌دهند که امضای الکترونیکی فقط مشکل امنیتی و اسناد آنها را به اشخاص، حل کرده است. حائز اهمیت است که اسناد نیازمند ثبت و ذخیره برای مراجعه جهت توجیه یا استناد به عنوان ادله می‌باشند و می‌دانیم که هیچ مدرکی را نمی‌توان بر یک دستگاه پردازشگر برای مدت طولانی بدون تغییر نگهداری نمود. زیرا جریان پیشرفت تکنولوژی و به روز رسانی سخت افزار و نرم‌افزارهای پشتیبانی‌کننده از اسناد، موجب می‌شود که اسناد، غیر قابل دسترس و ناخوانا گردند و‌این معضلی است که امروزه حقوق با آن دست به گریبان است. زیرا برای این که اسناد برای همیشه در دسترس باشند، باید آنها را نیز به همراه آلات وابسته به آن به روزرسانی کرد و این امر موجب می‌شود که اسناد قابلیت حقوقی خود را از دست بدهند، زیرا چنین سندی دیگر یک سند اصل نیست و‌این مشکل اهل فن و حقوقدانان را واداشته تا وارد یک مسئله جدید تحت عنوان آرشیوهای الکترونیکی شوند.
قابلیت نگهداری و ثبت اسناد تجاری الکترونیکی
به همان دلایلی که اسناد تجاری در دنیای تجارت حقیقی نگهداری و ثبت می‌شوند، لازم است در مورد اسناد تجاری الکترونیکی نیز این امر انجام گیرد. در حقیقت عوامل غیر قابل پیش بینی و منافع طرفین معاملات و اشخاص ثالث‌ایجاب می‌کند که آرشیوی در این مورد وجود داشته باشد. اسناد با ارزش قانونی ذخیره می‌شوند بدین منظور که احتمالاً در آینده به دلالت آنها نیاز شود.به طورکلی در آرشیو اسناد چهار نکته اساسی وجود دارد:
۱ – ایجاد امضا:
بدین منظور که امضا بوسیله دارنده قانونی کلید (امضا‌کننده) به وجود آمده است. در ثانی پس از امضا، سند برای طرف مقابل ارسال و توسط وی دریافت شده است.
۲ – اثبات امضای اولیه:
بدین معنا که امضا در زمان تولید یک امضای قانونی بوده و به جهات خاصی مثلاً ابطال یا تعلیق کلید از اعتبار نیفتاده است.
۳ – ذخیره سازی:‌
بدین معنا که اسناد باید در موقعیت و مکان مناسب به منظور حفظ قابلیت قانونی آنها نگهداری شوند.
۴ – ترافع:
اگر در مورد اسناد فوق‌الذکر ترافعی حاصل شد، باید هویت امضا‌کننده و صحت امضای وی مجدداً بررسی گردد.
به منظور رسیدن به نکته چهارم است که آرشیو امضاهای الکترونیکی معنا می‌یابد و اهمیت حفظ امضاهای الکترونیکی در آرشیوها مشخص می‌شود. یکی از خصوصیات اسناد تجاری الکترونیکی قابلیت حفظ آنها با حجم اندک و برای یک دوره طولانی است و در این مورد امضاهای الکترونیکی نقش مهمی ایفا می‌کنند که در بررسی ذیل بدان می‌پردازیم.
الف: نگهداری اسناد الکترونیکی اصیل
اولین بار موسسه استاندارد سازی اتحادیه اروپا دست به یک بررسی گسترده در مورد فعالیت‌های امضای الکترونیکی زد و اولین نتیجه این فعالیت‌ها یک گزارش کارشناسی در مورد استاندارد سازی امضاها در آینده بود. این گزارش تصدیق می‌کند که آرشیوهای ایمن نقش بسیار مهمی در پشتیبانی امضای الکترونیکی بازی می‌کنند. چنانچه ممکن است مدتها بعد از ایجاد امضا برای گواهی یا تعیین هویت به آنها نیاز شود. بنابر‌این فقط کافی نیست که یک سند در زمان حاضر قابل دسترسی و استناد باشد، بلکه باید برای سال‌های آینده ذخیره شود و قابل استناد گردد. به منظور قابلیت استناد آن باید گواهینامه‌ای که امضا‌کننده از آن استفاده کرده است در زمان ایجاد امضا معتبر بوده باشد. هر چند که ممکن است مدتی از آن زمان باطل شده یا معلق شده باشد. زمان ایجاد امضا که بوسیله مهرهای زمان نگار ثبت شده‌اند ارزش بسیار مهمی‌در بایگانی داده‌ها ایفا می‌کنند. زیرا بوسیله این زمان بسیاری از مسایل حقوقی اثبات می‌شود. مثل اهلیت اشخاص در زمان امضای سند و یا اعتبار کلید خصوصی در همان زمان و… تمام اشخاصی که به این آرشیو مراجعه می‌کنند با مراجعه به مهرهای زمان که بر اسناد الصاق شده است از‌این مورد اطمینان حاصل می‌کنند.در کنار اسناد الکترونیکی، امضاهای الکترونیکی نیز نگهداری می‌شوند، زیرا برای تطبیق اسنادی مطابق با اسناد ذخیره شده در آرشیو داده‌های دیجیتالی امضا قطعاً لازم است. اما این تنها شرط ممکن نیست، زیرا به هر حال داده‌های الکترونیکی تحت تاثیر گذر ایام و تغییرات فرمت‌های برنامه‌ها و بسیاری عوامل دیگر قابلیت خود را از دست داده و از بین می‌روند. بدین منظور این داده‌ها همواره باید به روزرسانی شوند. به روزرسانی این داده‌ها باید همراه با راه‌حل‌هایی باشد که مشکلات حقوقی در پی‌نداشته باشد. مثلاً اگر امضا‌کننده برای بازسازی امضا و سند سابق خویش سال‌ها بعد با یک کلید خصوصی که به روز رسانی شده امضا و سند را به روز رسانی کند این یک مثال غیر قابل قبول در دنیای حقوق است، زیرا این یک سند جدید است که با تغییر در داده‌های سند سابق‌ایجاد شده است.
حتی توافقات طرفین مبادله نیز نمی‌تواند سند و امضای سابق را بدین شکل تغییر دهد. به هر حال این وظیفه علم حقوق نیست که راه‌حلی برای این مشکلات پیدا کند، اما قطعاً این راه حل‌ها نباید به گونه‌ای باشند که معضلات حقوقی ایجاد کنند. زیرا اولین وظیفه هر علم توسعه آرامش و آسایش انسان‌هاست. اما می‌توان گفت که سرویس دهندگان آرشیوهای الکترونیکی در نگهداری اسناد و امضاهای الکترونیکی وظایف و تعهدات خاصی دارند و از آنجا که نگهداری این امور مهم بدان‌ها واگذار شده است، باید مسئولیت هرگونه آسیب و صدمه ناشی از فعالیت و سیستم آرشیو را به اسناد، امضاها، اشخاص حقیقی و حقوقی که به آنها اعتماد نموده‌اند بپذیرند. در حقیقت این آرشیوها در حفظ و نگهداری داده‌ها تعهد دارند و برای تضمین این امر نیاز به بیمه‌های قوی دارند. در حال حاضر شاید بهترین راه برای حفظ امنیت داده‌ها در بلند مدت تولید امضاهایی با قابلیت ماندگاری طولانی باشد.ب: نگهداری اسناد الکترونیکی جایگزین
یکی از مزایای مبادله الکترونیکی اسناد تجاری‌این است که در عین مبادله سریع، داده‌های الکترونیکی قابل چاپ و دریافت در عالم حقیقی تجارت هستند به همین منظور قانون یوتا مقرر می‌دارد:‌«اگر فرستنده یک سند الکترونیکی از ذخیره یا پرینت بوسیله دریافت‌کننده جلوگیری کند، آن سند علیه دریافت‌کننده سندیت نخواهد داشت». پیش‌نویس لایحه اصلاح قانون تجارت در ماده ۴۱۳ اعلام می‌دارد: «سند تجاری الکترونیکی به دو روش به وجود می‌آید. سند تجاری الکترونیکی اصل و سند جایگزین آن که منظور از سند جایگزین را در ماده ۴۱۴ قانون فوق همان سند پرینت شده می‌داند. به هر حال آنچه مورد بحث است اسنادی است که پس از دریافت از خروجی یک دستگاه الکترونیکی صادر شده‌اند.»
نگهداری این گونه اسناد به معنای حفاظت عملی آنها برای یک مدت طولانی است. اما به راستی نگهداری این گونه اسناد که بافت الکترونیکی دارند، چگونه است؟ این اسناد کاغذی شامل داده‌های دیجیتالی هستند. پس باید با روشی امضا شده باشند که مناسب با اسناد کاغذی باشد. زیرا داده‌های دیجیتالی در بسیاری موارد بر روی کاغذ نامفهومند و تطبیق آنها دشوار و یا ناممکن است. هر چند که برخی از امضاهای الکترونیکی‌این خواسته را تامین می‌کنند اما در مقابل، کاستی‌های بسیاری در فضای سایبر دارند که مبادله اسناد را به خطر می‌اندازند. سسیتم قانونی فعلی فقط در مورد اسناد کاغذی و ثبت و بایگانی آنها تدوین شده است، در حالی که‌این یک نیاز روز افزون است که نحوه ثبت و اعتبار بخشی از آنها در دنیای کاغذ به شکل قانونی بیان شود.
امروزه تکنولوژی در‌ایجاد دستگاههایی برای حفظ داده‌های دیجیتالی پس از پرینت گام مهمی‌برداشته است. فناوری‌هایmedia sec سیستم‌هایی را توسعه داده‌اند که در مدارک الکترونیکی که به شکل چاپ شده ظاهر می‌شوند اصالت را به ثبوت می‌رسانند. اما با تمام این موارد باز هم همان روش سنتی برابر با اصل کردن دفاتر اسناد رسمی درصورتی که یک سردفتر بر‌ایجاد این اسناد نظارت داشته باشد راه حل معتدلانه‌ای به نظر می‌رسد.
گفتار دوم: انتساب اسناد تجاری
آنچه از لحاظ حقوقی موضوعیت دارد آن است که بتوان عمل یا سندی را به شخصی منتسب نمود. به همین دلیل امروزه امضای الکترونیک یکی از عوامل مهم و تعیین‌کننده در اعتبار اسناد شناخته می‌شود. اما واضح است که هرگونه امضای الکترونیکی قدرت اعتبار بخشیدن را به اسناد ندارد و شرایط خاصی در مورد این فناوری وجود دارد که فقط با جمع بودن کلیه شرایط امضای الکترونیکی به سند اعتبار خواهد بخشید.
بند۱: قابلیت امضای الکترونیک
برای جلوگیری از بروز مشکلات و حملات اینترنتی و ایمن سازی فضای مجازی وب، مراکزی در جهان بوجود آمده‌اند که خدمات گواهینامه‌های امضا و اسناد الکترونیکی را انجام می‌دهند. قانون تجارت الکترونیک ایران در این مورد اصول وحدت کلید امضا‌کننده و انحصار کلید خصوصی و قابلیت تشخیص وضوح تغییرات در داده‌ها را پذیرفته است. اما حقیقت این است که بین کلید امضا و مالک آن ارتباط بسیار ضعیفی وجود دارد، زیرا به راه‌های مختلف این احتمال وجود دارد که امضا‌کننده، مالک کلید نباشد. بنابر‌این بسیار مهم است که امضای استفاده شده در سند به وسیله یک نرم‌افزار ایمن بوجود آمده و اثبات این امضا بر مبنای یک گواهی معتبر از مرجع صدور گواهینامه صورت گرفته باشد.

الف: اعتبار کلید خصوصی
به منظور ایمنی امضا، تنها اطمینان از این امر که مالک کلید خصوصی شخص خاصی است کافی نیست، بلکه باید از‌این امر اطمینان حاصل شود که تنها کسی که کلید را مورد استفاده قرار می‌دهد، شخص مزبور است. این همان قاعده‌ای است که در تمام قوانین امضاهای جهان پذیرفته شده است و قانون تجارت الکترونیک ایران نیز از آن با عنوان انحصاری بودن یاد می‌کند. عوامل مختلفی اعتبار کلید خصوصی را به خطر می‌اندازد. مثلاً مالک کلید ممکن است با بی‌دقتی رمز کلید را برای شخص باهوشی آشکار کند و یا دستگاهی که کلید بر روی آن ذخیره شده مورد سرقت واقع شود و یا از کلید خصوصی کپی برداری شود. در موارد بسیار استثنائی این امکان وجود دارد که سازنده نرم‌افزار کلید خصوصی مشابه آن را تولید کرده و در اختیار دیگران قرار دهد یا خود از آن استفاده کند. در این بین نرم‌افزارهای تولید امضا مهمترین بخش تولید امضا را به خود اختصاص داده‌اند. این نرم‌افزارها هم برای تولید امضا و هم برای اثبات امضا توسط اشخاص مورد استفاده قرار می‌گیرند. منظور از اعتبار‌این نرم‌افزارها این است که به طوری طراحی شده باشند که ضریب دقت و ایمنی امضا را در طول ایجاد و استفاده از داده‌های الکترونیکی از لحاظ فنی تضمین نمایند.ب: اعتبار و قابلیت گواهینامه
قانون نمونه آنسیترال گواهینامه را به یک پیام اطلاعاتی یا هر رکورد دیگری اطلاق می‌کند که ارتباط بین فرد صاحب امضا و اطلاعاتی که بر اساس آن، امضا ایجاد می‌شود را تایید می‌کند. ارائه دهنده خدمات مربوط به گواهینامه به شخصی گفته می‌شود که گواهینامه‌های مربوطه را صادر نموده و ممکن است دیگر خدمات مرتبط با امضای الکترونیکی را نیز ارائه نماید. متناظر با هر گواهی یک کلید خصوصی وجود دارد. پیام‌هایی را که با یک گواهی رمز شده‌اند، تنها با کلید خصوصی مربوط به همان گواهی می‌توان رمزگشایی کرد و بالعکس. گواهی قابل جعل نمی‌باشد، یعنی دارنده گواهی، کلید خصوصی متناظر با آن را در اختیار دارد، علت‌این امر امضای مراکز گواهی است که تولید آن بدون دسترسی به کلید خصوصی مرکز، غیر ممکن است. مالک گواهینامه، نباید کلید خصوصی آن را در اختیار دیگران قرار دهد، اما خود گواهی یک سند عمومی است که می‌توان آن را به همه نشان داد. مرکز گواهی فقط پس از اطمینان از صحت هویت فرد و تحت قوانین معینی برای وی گواهی صادر می‌کند. در صورتی که دارنده گواهی قوانین استفاده از آن را نقض کند یا کلید خصوصی وی افشا شود، گواهی او توسط مرکز گواهی باطل می‌شود. یک گواهینامه باید عناصر ذیل را در خود جای دهد:
• نام مراجع صدور گواهینامه
• نام شخصی که گواهی برای او صادر شده است
• نوع گواهینامه که محدودیت‌های گواهینامه را برای مالک آن نشان می‌دهد
• دوره اعتبار گواهینامه
• شرایط گواهینامه مثلاً این که گواهینامه حداکثر برای صدور چند سند تجاری قابل استفاده است
بند۲: مشکلات تبادل اسناد تجاری
مشکلات تجارت الکترونیک و به تبع آن تبادل اسناد در فضای سایبر بسیار زیاد است. در این بحث تلاش شده است تا بارزترین و مهم ترین این مشکلات مطرح شوند.الف: سرقت اطلاعات
مهمترین مشکل در تبادل داده‌های الکترونیکی سرقت اطلاعات یا دریافت غیر مجاز داده‌ها می‌باشد. واضح است که این امر چه اختلال عظیمی در دنیای تجارت و روابط تجاری و خصوصی افراد در بر خواهد داشت. بسیاری از اشخاص از تبادل داده‌ها در‌این فضا وحشت دارند که مبنای آن ترس از لو رفتن اطلاعات شخصی آنها و یا شماره کارت‌های اعتباری آنها و… به دست هکرهای رایانه‌ای و شیادان و استفاده غیر مجاز از آنها می‌باشد. البته امروزه‌این نگرانی با ظهور روش رمزنگاری کلیدهای عمومی و به کارگیری آن در امنیت جاواها کمتر شده و روش فوق نفوذ در تبادلات را تقریباً غیر ممکن می‌کند.
ب: برنامه‌های فریبنده
همیشه‌ایجاد رمزهای خوب نمی‌تواند به معنای ایجاد امنیت خوب باشد، بخصوص در یک سیستم تجاری وسیع نقاط حساس بسیار زیادی وجود دارند که ممکن است به وسیله برنامه‌های فوق مورد تعرض و بهره برداری واقع شوند، مثل جاواهای فریبنده. بدین طریق که شخصی با استفاده از آن خود را سرویس دهنده قانونی معرفی کرده و از مشتریان سرویس دهنده حقیقی هزینه‌های غیر قانونی دریافت کند. این امر کاملاً امکان‌پذیر است مگر این که تمهیدات پیشگیری‌کننده‌ای انجام شده باشد.
ج: پروتکل‌های خاص
مشکل دیگر در تبادل اسناد تجاری وجود پروتکل‌هایی است که هر کدام فرمت‌هایی را برای مبادله پیام‌ها تعریف می‌کنند. چرا که برنامه نویسان حرفه‌ای همیشه سعی کرده‌اند برنامه‌هایی را برای هدایت تجارت الکترونیکی‌ایجاد کنند. اغلب این برنامه‌ها هزینه بسیار زیادی را در این نوع تجارت طلب می‌کنند و از طرفی این پروتکل‌ها در بعضی از سیستم‌های تجاری عملاً پاسخگو نیستند.
مثلاً بسیاری از شرکت‌ها برای انتقال سند تجاری و کارت‌های اعتباری پروتکل‌های خاص خود را دارند و در برخی موارد این پروتکل‌ها با سیستم شرکت‌های دیگر سازگاری ندارند. به هر حال‌ایجاد یک پروتکل که همه شرکت‌ها را پوشش دهد هم بسیار حجیم است و هم مدیریت آن بسیار سخت و غیر قابل تصور می‌باشد.گفتار سوم: نقش اشخاص ثالث در مبادلات اسناد تجاری الکترونیکی
هرگاه صاحب امضا آن را به سندی ضمیمه کند، بدین‌معناست که قصد امضای آن سند را داشته و محتویات سند را پذیرفته است. در‌این حالت امضاکننده، امضای خود را با انتخاب از یک دکمه یا منوی دستگاهی که کلید امضا در آن ذخیره شده، اعمال می‌کند اما یک امضای الکترونیکی به تنهایی برای اثبات سه دلیل فوق کفایت نمی‌کند. زیرا در دنیای مجازی که اشخاص قادر به دیدن یکدیگر نیستند و موضوعات به طور ملموس نزد آنها موجود نیست، اعمال یک کلید به تنهایی نه هویت و نه قصد طرف مقابل را اثبات می‌کند. از طرفی دریافت‌کنندگان اسناد نیز نیاز به طرف مورد اعتمادی دارند تا دعاوی احتمالی ناشی از مبادله اسناد را تضمین کند.
بند۱: مراجع صدور گواهینامه و وابسته‌های آن
برای اینکه به یک گواهی اعتماد کنیم،‌این گواهی باید توسط شخصی که مورد اعتماد ماست امضا شده باشد. مبنای ایجاد اعتماد سراسری وجود یک شخص ثالث مورد اعتماد همگان می‌باشد. این شخص را مرجع صدور گواهیCA می‌نامیم. گواهی مستند رسمی‌برای تضمین تعلق شناسه به کلید است. گواهی می‌تواند شامل اطلاعات مربوط به:
۱. کلید
۲. شناسه صاحب کلید
۳. نوع کاربرد کلید
۴. دوره اعتبار سند
۵. اطلاعاتی که می‌تواند برای بررسی صحت شناسه و کلید استفاده شود.
معمولاً امضای الکترونیکی به همراه یک گواهینامه تشخیص هویت که از سوی مرجع گواهینامه صادر می‌شود، پیش بینی شده است.در این میان مراجعی حضور دارند که مرجع صدور گواهینامه را در تولید و کنترل یک امضا پشتیبانی می‌کنند. به طور خلاصه می‌توان آنها را به شرح ذیل نام برد:
الف: سرویس اصلی
برای از بین بردن جعل هویت و جعل کلید عمومی افراد به طرف سوم مطمئنی نیاز است تا وظیفه تشخیص و تایید هویت را به عهده داشته باشد. به این طرف سوم که وظیفه اصلی را در هدایت و مدیریت کلیدها بر عهده دارد، مرکز صدور گواهی یا Certificate Authority و اختصاراً CA گفته می‌شود.
این مرکز برای صدور گواهینامه و تایید هویت سرویس گیرنده و سرویس دهنده می‌باشد و بدین صورت عمل می‌کند که پس از درخواست گواهینامه از طرف کاربر، CA به آن دو کلید خصوصی و عمومی می‌دهد که کلید خصوصی در اختیار کاربر قرار می‌گیرد و باید در جای امنی ذخیره شود. CA با استفاده از کلید عمومی و مشخصات کاربر برای آن گواهینامه‌ای صادر می‌کند، که این گواهینامه شامل مشخصات کاربر و تاریخ اعتبار آن و امضای صادرکننده گواهینامه می‌باشد.
ب: سرویس‌های فرعی
سرویس‌های فرعی سرویس‌هایی غیر از مرکز صدور گواهینامه هستند که امور امضای دیجیتال و مسایل مربوط به تجارت الکترونیک و انتقال اسناد تجاری را پشتیبانی می‌کنند. این خدمات جزء وظایف اصلی یک مرکز صدور گواهی نیستند، اما این امکان وجود دارد که مراکز صدور گواهی چنین خدماتی را نیز تقبل کنند. به هر حال این سرویس‌ها موسسات یا شرکت‌های امین و قابل اعتمادی هستند که باید بر اساس اصول امنیتی فعالیت کنند و همین امنیت می‌تواند موجب تکامل خدمات این سرویس‌ها گردد. در ذیل به انواع این مراجع که در طی فعالیت یک امضای الکترونیک بدان‌ها نیاز است و مسئولیت‌های ناشی از خدمات آنها می‌پردازیم:
• سرویس بایگانی: مرجعی است که ثبت‌ها را برای یک مرجع گواهی امضا نگهداری می‌کند. این ثبت‌ها ممکن است به منظور امور بازرگانی و به درخواست اشخاص و یا بر طبق قانون نگهداری شوند. این بایگانی‌ها برای اثبات امور مربوط به امر امضای الکترونیک و گواهینامه مثلاً در موارد تعلیق یا ابطال گواهینامه و… قابلیت استناد دارند. طبعاً تنها نگهداری ایمن این اسناد می‌تواند آنها را به عنوان ادله الکترونیکی مطرح سازد.
• سرویس تایید اطلاعات: مرجعی است که به مرجع صدور گواهینامه در امر تایید اطلاعات مربوط به امضاها مساعدت می‌کند. این مرجع وظیفه دارد صحت اطلاعات امضاها و گواهینامه‌ها را بررسی و در صورت درستی آنها را تایید کند.
• سرویس‌های فنی برای پیشگیری از جرائم: مرجعی است که مطلوبیت و کفایت سیستم‌های فنی را بررسی و حراست می‌کند. پشتیبانی از مسائل فنی امضاهای دیجیتال و دستگاههای مهر زمان و امور فنی گواهینامه‌ها در ارتباطات مهم تجاری و معاملات مهم و اسناد تجاری و… بر عهده این مرجع می‌باشد.
فراهم کردن‌ایمنی فنی از سوی‌این مرجع اعتماد اشخاص را به انتقال داده‌ها و یا اسناد تجاری خود از طریق فرم‌های الکترونیکی زیاد می‌کند.‌این مرجع می‌تواند تایید کند که آیا در اسناد مبادله شده امضای الکترونیکی وجود داشته یا خیر؟ این که آیا گواهینامه‌های مورد استفاده اعتبار دارند یا خیر؟ این که آیا امضاهایی که مورد استفاده واقع شده‌اند در زمان اعتبار گواهینامه مورد استفاده واقع شده‌اند و مطابقت با کلید عمومی‌امضا دارند یا خیر؟ این که آیا گواهینامه اشخاص معلق یا باطل شده است یا خیر؟ در نهایت همین مرجع است که به داده‌های اطلاعاتی معاملات تجاری که امضای دیجیتالی شده و مهر زمان به آنها الصاق شده است را به طور مناسبی در محفظه‌های الکترونیکی قرار می‌دهد.
• سرویس بیمه: مرجعی است که مرجع صدور گواهینامه را در امر مسئولیت‌های مالیش پشتیبانی می‌کند.
• سرویس تولید کلیدها: مرجعی است که کلیدهای خصوصی و عمومی امضای الکترونیک را که اصطلاحاً به آنها کلیدهای جفتی گفته می‌شود، تولید می‌کند. این مرجع وظیفه بسیار حساسی در تولید کلیدها بر عهده دارد، چون از هر زوج کلید فقط باید یک نوع تولید شود. پس به کار گرفتن اشخاص کاملاً امین و مورد اعتماد نقش اساسی در‌این امر دارد.
• سرویس تایید پیام‌ها: مرجعی که داده‌ها را به تابع‌های هش تبدیل می‌کند، برای این که داده‌ها در طول مبادله تغییر نکنند. تایید الصاق مهر زمان به داده‌ها از وظایف این مرجع می‌باشد.
• سرویس‌های مهر زمان: مرجعی که مهر زمان را به امضاهای الکترونیکی و داده‌های مبادلاتی و ثبت‌های الکترونیکی و … ضمیمه می‌کند. این سرویس‌ها ازبعد اینکه نظارت بر تاریخ ارسال و دریافت دارند که اهم مسایل حقوقی را در بر می‌گیرد.مثلاً مسایل مربوط به اهلیت اشخاص و یا اعتبار کلید امضا، نقش بسیار مهمی در تبادل اسناد ایفا می‌کنند. بنابر‌این جداگانه به آنها می‌پردازیم:
۱ – سرویس‌های دیجیتال زمان نگار
در بحث امضاهای سنتی، سر دفتر اسناد رسمی بسیاری از مشکلات حقوقی را با ثبت امضاها و اسناد و تاریخ‌نگاری آنها حل می‌کند. این در حالی است که در فضای گسترده سایبر امضاهای دیجیتال و حتی مراجع صدور گواهینامه بدون پشتوانه‌های خاص قادر به حل این مشکلات نیستند.
مشکل بزرگی که در امضاهای الکترونیکی وجود دارد مسئله مدیریت کلید خصوصی می‌باشد. زیرا اگر کسی غیر از مالک به کلید دسترسی پیدا کند قادر خواهد بود اسنادی را به عنوان مالک امضا کند. بعلاوه اگر شخص مالک نیز در مواردی بخواهد امضای خود را انکار کند می‌تواند از مسئله فاش شدن هویت کلید استفاده کند، حتی اگر حقیقتاً این طور نباشد. در این جاست که مسئول کنترل امضاهای الکترونیک باید بتواند‌این امر را اثبات کند که آیا امضاکننده حقیقی بوده است یا خیر؟ سرویس‌های دیجیتال زمان‌نگار، این مشکل را حل می‌کنند.
می‌توان گفت که مهر زمان به طور ساده قسمتی از وظایف سر دفتر اسناد رسمی را انجام می‌دهد و نقش بسیار عمده‌ای در تامین امنیت اسناد الکترونیکی دارد تا جایی که می‌توان گفت اگر به یک سند الکترونیکی مهر ثبت زمان ضمیمه نشده باشد، آن سند اعتبار حقوقی نخواهد داشت.
۲ – مهرهای ثبت زمان
مهمترین مزایای داده‌های دیجیتال‌این است که با حجم کم و سرعت انتقال زیاد قادر به ابقا و نگهداری برای مدت طولانی نیز می‌باشند. اما این امر را نیز نباید از نظر دور داشت که آنها معایب خاص خود را نیز دارند. روش‌های معمول اثبات قانونی قضایا که در دنیای حقیقی رایج است اغلب در فضای الکترونیکی منجر به شکست می‌شود. اثبات زمان‌ها و اثبات سن اشخاص و همچنین اثبات هویت اشخاص مشکل بزرگی است که در فضای تجارت الکترونیک همواره وجود دارد. با توجه به این قضایا می‌توان گفت مهرهای ثبت زمان خدمت ویژه‌ای به دنیای تجارت الکترونیک کرده‌اند.
۳ – سیستم مهرهای ثبت زمان
در یک سند تجاری الکترونیکی در مورد امضای خاص آن چند مساله مهم وجود دارد که نیاز به اثبات دارد:
• سند بوسیله چه کسی امضا شده است؟(تشخیص هویت)
• سند در چه زمانی امضا شده است؟(تشخیص اهلیت شخص و تایید اعتبار امضا)
• سند در چه مکانی امضا شده است؟(تشخیص قانون حاکم)به طورکلی پاسخ سوالات فوق در مرحله ایجاد امضا مجهول است، مگر این که شخص ثالث امینی بر این مرحله نظارت دقیق داشته باشد. در این مورد سرویس‌های زمان نگار این وظیفه را بر عهده دارند. مهرهای ثبت زمان به وسیله این سرویس‌ها به اسناد ضمیمه می‌شوند. بدینصورت که شخص قبل از امضای داده‌های الکترونیکی خود از سرویس دهنده زمان نگار درخواست تاییدیه‌ای می‌کند که نوعی نشانه الکترونیکی است و قبل از امضای داده‌ها باید به آنها ضمیمه شود. سپس شخص، داده‌های الکترونیکی خویش را امضا کرده و در این بخش به داده‌های هش شده بوسیله سرویس مزبور مهر ثبت زمان الصاق می‌گردد. زمان امضای سند معدلی است بین الصاق نشانه الکترونیکی اولیه و الصاق مهر ثبت زمان که غیر قابل تغییر است و این زمان بوسیله سرویس دهنده نیز ثبت می‌گردد.
هر چند در هر مباحثه‌ای از‌این نوع، بحث از‌این مطلب نیز به میان خواهد آمد که آیا امنیت این سیستم به حدی است که بتوان بر آن تکیه کرد؟ اما به هر حال این تعیین زمان از نظر حقوقی اهمیت بسزایی در اسناد الکترونیکی دارد و با فرض یک سیستم امنیتی قوی این نوع سرویس در قسمت خاص وظایف خود می‌تواند همچون یک دفتر اسناد رسمی‌عمل نماید.
گفتار چهارم: تعهدات و مسئولیت‌های مشتری و مراجع تایید اعتبار و مراجع خدمات مربوط به گواهینامه
به موجب قانون نمونه انسیترال، افراد فوق الذکر می‌بایستی مراقبت‌های لازم و معقولی را بعمل آورند تا از خدمات مربوطه استفاده غیر مجاز نشود. در غیر این صورت، آن اشخاص مسئول تبعات و پیامدهای قانونی ناشی از قصور خود خواهند بود. طرف تاییدکننده اعتبار به درستی بایستی تبعات ناشی از قصورش را در تایید اعتبار امضای الکترونیکی (چنانچه آن امضا دارای اثر قانونی باشد) به عهده بگیرد.
بند۱: موارد ضمانت مرجع صدور گواهینامه
یک مرجع صدور گواهینامه در قرارداد اشتراک باید مسایل ذیل را در مقابل مشتری تضمین کند.
• مسئولیت هرگونه اغلاط مادی در متن قرارداد که موجب ابطال گواهینامه شود بر عهده مرجع صدور است.
• در صورت بروز هرگونه اشتباه در اطلاعات گواهینامه چه در بدو تصویب گواهینامه و چه در مدت اعتبار آن در صورتی که‌این اشتباه ناشی از عدم مراقبت متعارف و مدیریت ناصحیح مرجع صدور گواهی باشد، مرجع صدور گواهی ضامن است.
لازم به ذکر است که در‌این موارد مرجع صدور گواهینامه نه تنها در مقابل طرف اصلی قرارداد (مشتری) بلکه در مقابل اشخاص ثالث که در اثر کوتاهی وی متحمل خسارت شده‌اند، مسئول می‌باشد. اما تفاوت در نوع مسئولیت‌این دو می‌باشد زیرا در مقابل مشتری یک مسئولیت قراردادی و در مقابل اشخاص ثالث مسئولیت قهری دارد. یعنی به محض تخلف از متن قرارداد در مقابل مشتری مسئول است و مشتری برای دریافت خسارات ناشی از تخلف از قرارداد نیاز به اثبات تقصیر مرجع گواهینامه ندارد و نیاز ندارد اثبات کند که در اثر تخلف وی متحمل خسارتی شده است، اما شخص ثالثی که در نتیجه بی‌مبالاتی و بی‌احتیاطی مرجع صدور گواهینامه درگیر نوعی ضرر شده است، چه باید بکند؟ قاعده‌این است که شخص ثالثی که دخیل در قرارداد نیست برای دریافت خسارات خود نیاز به اثبات تقصیر دارد. قانون مسئولیت مدنی مبنای جبران این نوع خسارت است. واردکننده زیان ملزم است که تمام زیان‌های ناشی از فعل یا ترک فعل خود را که به زیاندیده وارد گردیده جبران کند. هدف قواعد مسئولیت مدنی نیز این است که هیچ زیان ناروایی جبران نشده باقی نماند.اما باید در مورد مراجع صدور گواهینامه قائل به تفکیک شویم. این مورد را به شکل ذیل بررسی می‌کنیم. در قانون اتحادیه اروپا این امر به صراحت ذکر شده است: «سرویس دهنده گواهی امضا که گواهی معتبر امضا صادر می‌کند و یا گواهی معتبری را ضمانت می‌نماید، مسئول هرگونه خساراتی است که برای اشخاص حقوقی یا حقیقی استفاده‌کننده از گواهی پدید آید. سرویس دهنده گواهی امضا در شرایط زیر می‌تواند از پذیرش مسئولیت خودداری کند:
• ثابت کند که سهل انگاری و اهمالی ننموده است.
• ثابت کند خساراتی که به کاربر وارد شده است، ناشی از تجاوز از حدود و شرایط کاربرد گواهی امضا می‌باشد.
• ثابت کند خساراتی که به کاربر وارد شده است ناشی از به کار بردن گواهی امضای معتبر در معاملاتی با ارزش، فراتر از حدود تعیین شده برای گواهی امضا بوده است.»
• پس در قانون فوق اصل بر مسئولیت مرجع صدور گواهینامه است و خود وی باید اثبات نماید که مرتکب اهمالی نشده است و میان طرف قرارداد و غیره نیز هیچ تفاوتی وجود ندارد. با کمی دقت در مضمون فوق در می‌یابیم که این شرط در اثر تسلسلی است که مرجع صدور گواهینامه بر گواهینامه دارد. به طوری که اشخاص ثالث بدون هیچ گونه تاثیری باید به مرجع مزبور اعتماد کرده و محتوی گواهینامه را بپذیرند و از طرفی می‌توان گفت که رجوع اشخاص ثالث به مراجع صدور گواهینامه و اعتماد کاملی که در‌این زمینه ابراز می‌دارند اگر کاملاً یک قرارداد نباشد یک مبنای تعهدساز است. از سویی استقرار اثبات تقصیر بر شخص ثالثی که هیچ تسلطی بر موضوع توافق ندارد، امری غیر عقلائی است. پس طبیعی است که مسئولیت مراجع گواهی را در مورد طرف قرارداد و اشخاص ثالث بپذیریم، مگر‌این که خود او بتواند اثبات کند که تقصیری نکرده است.
اما در هر حال بدان معنا نیست که اگر فرضاً مشتری به نوعی موجب تحریف گواهینامه شود این امر ظهور در ضمانت مرجع گواهی امضا دارد. مشتری برای اجتناب از خسارت باید اقداماتی انجام دهد که برای جلوگیری از آن لازم است و طبعاً یکی از وظایف مرجع صدور گواهینامه آگاه ساختن مشتریان بر این نکات است. در چنین مواردی می‌توان گفت مشتری با اقدام علیه خود موجب ورود خسارت شده است. پس مسئولیت مرجع صدور گواهی منتفی است. در هر صورت مجریان خدمات گواهینامه باید شرایط دیگری نیز برای انجام این وظیفه داشته باشند که می‌توان به شرح ذیل برشمرد:
• بهره‌گیری از پرسنل قابل اعتماد که دارای دانش تخصصی و تجربه برای ارائه خدمات گواهینامه باشند و از شرایط امنیتی مزبور اطلاعات کافی داشته باشند و هنگام قراردادهای امضای الکترونیکی در حد متعارف، به مالک کلید آموزش دهند.
• بهره‌گیری از دستاوردها و سیستم‌های اطلاعات ایمن که به طور مناسبی در مقابل دستیابی غیر مجاز و جرح و تعدیل محافظت شوند.
• دارا بودن منابع مالی کافی برای این که قادر باشند تعهدات خود را اجرا کنند و در صورت بروز خسارت قادر به جبران آن باشند.
• این مراجع باید امکان لغو سریع گواهینامه‌های باطل شده و تعلیق گواهینامه‌های مشکوک و تمدید گواهینامه‌های واجد شرایط را داشته باشند و گواهینامه‌های معلق و ابطالی و تمدید شده را فی الفور اعلام کنند.
• مجریان در صورت تغییر مقررات خاص خود باید بدون تاخیر، این تغییرات را به اطلاع مشتریان و هر ذی‌نفعی برسانند.
اما در مورد کلید خصوصی امضا چه می‌توان گفت؟ در مورد فوق چه کسی مسئولیت را بر عهده دارد؟ آیا مسئولیت بر عهده مرجع سازنده کلید است یا بار مسئولیت را دارنده و مالک کلید به دوش می‌کشد؟ طبعاً اگر مقصر شناخته شود نیازی به طرح این سوال نیست اما مساله این است که مسئولیت بدوی بر عهده چه کسی است؟ برای پاسخ بدین سوال باید به مبنای مسئولیت در موارد پیشین دقت کنیم. می‌توان گفت در مورد مسئولیت مراجع صدور گواهینامه در امور مربوط به گواهینامه‌ها، یک مبنای حقوقی و یک مبنای اخلاقی برای مسئولیت وجود دارد.
مبنای حقوقی تسلط خاص آنها بر گواهینامه‌هاست، به شکلی که قادرند هرگونه دخل و تصرفی در آن بنمایند و مبنای اخلاقی اعتماد عامه مردم به آنها به عنوان یک مرجع امین می‌باشد. مردمی‌که در حالت عادی هیچ تسلطی بر گواهینامه‌ها ندارند و این اعتماد از یک مسئولیت صرف اخلاقی فراتر رفته و شکل یک قرار داد را به خود می‌گیرد تا جایی که طرف مقابل با تضمین گواهی مرجع مذکور وارد معامله یا مبادله با مالک کلید می‌شود و طبعاً مرجع گواهی در حد تضمیناتی که داده ضامن است. مشاهده می‌کنیم که هر دوی این عناصر در مورد مالک کلید و مرجع سازنده کلید نیز وجود دارد. با این تفاوت که معتمد مستقیم و یا طرف قرارداد مستقیم در این میان شخص مالک کلید است و نه سازنده آن. البته می‌توان گفت که اشخاص با اعتماد به مالک کلید در واقع به طور ضمنی به سازنده کلید نیز اطمینان کرده‌اند. اما آنچه در اینجا مطرح است اعتبار شخصی است که طرف مستقیم معامله قرار گرفته است و چه بسا که در اغلب موارد طرف مقابل هرگز از وجود سازنده اطلاع نداشته باشد و صد البته که این به معنای نفی مسئولیت سازنده کلید نیست و فقط مسئولیت بدوی مالک کلید را اثبات می‌کند و در هر برهه و به هر شکلی که مشخص شود سازنده از کلید به طریقی سوء‌استفاده کرده است، طبعاً مسئولیت بر وی مستقر می‌گردد.بند۲: مسئولیت مشتریان مراجع صدور گواهینامه
وظایف و مسئولیت‌های مشتری را می‌توان به شرح ذیل برشمرد:
• مشتری باید در هنگام درخواست گواهینامه به مراجع صدور، اطلاعات صحیح بدهد. مشتری ضامن صحت اطلاعاتی است که جهت صدور گواهینامه در اختیار مرجع صدور گواهینامه می‌گذارد و همچنین اطلاعاتی که با اظهارات وی در گواهینامه گنجانده شده است.
• مشتری باید با مقررات و سیستمی‌که با آن کار خواهد کرد آشنا باشد و کتباً آن را تایید کند. طبیعی است که تبعات این تایید به خود او باز می‌گردد.
• مشتری باید کتباً اعلام کند که از محدودیت‌های اعمال شده در گواهینامه مطلع است و آنها را اجرا خواهد نمود.
• در صورتی که مشتری اطلاعات خویش را گم کند یا به نحوی از لو رفتن آن مطلع شود یا در صورت بروز شک به‌این موارد که ممکن است اطلاعات در اختیار شخص دیگری قرار گرفته باشد، باید بلاتاخیر فسخ یا ابطال گواهینامه خود را به طور کتبی از مرجع صدور گواهینامه درخواست کند. مشتری باید تضمین کند که اسناد و اطلاعات مربوط به کلید خصوصی خود را در اختیار هیچ شخص غیر مجازی قرار ندهد و در صورتی که به طور متعارف در مورد حفظ اطلاعات مربوط به گواهینامه اقدام نکند، مسئول است.
• مشتریان نسبت به خسارات وارد شده به اشخاصی که به گواهینامه او اعتماد کرده باشند و در اثر‌این اعتماد و فعل مشتری به آنان خسارتی وارده شده باشد، مسئول هستند. مثلاً در صورتی که به طور متعارف در مورد حفظ اطلاعات مربوط به گواهینامه اقدام نکرده باشد و یا اثبات شود شخص ثالثی از اطلاعات مشتری استفاده کرده و مشتری با وجود اطلاع بر آن تعلیق یا فسخ آن را درخواست نکرده است.
• هر امضای الکترونیکی با یک کلید خصوصی تولید می‌شود و همراه با کلید خصوصی زوج کلید عمومی‌تولید می‌شود که با آن رمز گشایی صورت می‌گیرد. مشتری باید تضمین دهد که از کلید خصوصی استفاده کند که متناظر با کلید عمومی‌لیست شده در گواهینامه است.
و در نهایت استفاده از گواهینامه صرفاً برای مقاصد قانونی مجاز است.

http://www.irbar.com

 

 طراحی و پشتیبانی: فناوری اطلاعات رسا