امضای الکترونيکی عبارت از داده ای الکترونيکی است که به یک داده پيام ضميمه می گردد، که موجب شناسایی امضا کننده و رضایت او نسبت به مندرجات و محتویات داده پيام است. این امضا به لحاظ ارزش اثباتی، به دو نوع امضای الکترونيکی ساده و امضای الکترونيکی مطمئن تقسيم می شود. امضای دیجيتال نوعی از امضای الکترونيکی است که در آن از فناوری رمزنگاری برای توليد امضا استفاده می شود و از سطح بالایی از امنيت نسبت به سایر انواع امضای الکترونيکی برخوردار است. مطابق قانون تجارت الکترونيکی، گواهی الکترونيکی در مفهوم عام آن عبارت از ” تصدیق رسمی یک متن، امضاء یا هر مدرک الکترونيکی دیگر از سوی نهادی است که به موجب قانون و با داشتن تخصص و تسلط بر موازین حقوقی بدین منظور تعيين می گردد” . در ادامه به تشریح قوانین امضای الکترونیکی خواهیم پرداخت.

با استفاده از روش امضای دیجيتال یا امضای مبتنی بر رمزنگاری نامتقارن تماميت سند، محرمانه بودن اطلاعات در صورت لزوم و امنيت داده ها تضمين می شود؛ اما یک مساله مهم حل نشده باقی می ماند و آن، تضمين هویت امضا کننده است. در واقع به لحاظ حقوقی، مهمترین اثر امضاء اثبات رابطه سند با کسی است که امضاء به او نسبت داده شده است، و برای اشخاصی که پيام رمزنگاری شده ارسال می شود باید این اطمينان حاصل شود که کليد عمومی ای که در اختيار آنهاست، واقعی است. امضای الکترونيکی مطمئن یا دیجيتال به تنهایی قادر به تضمين هویت امضا کننده نيست. از این رو از زمانی که فناوری امضای الکترونيکی مطرح شده، یکی از دغدغه های اصلی قانون گذاران ملی و سازمان های تجاری بين المللی و اتاق‌های بازرگانی این است که مرجع ثالثی، اعتبار پيام را از طریق تعيين هویت امضا کننده دیجيتال تضمين کند.

ماده 14 قانون تجارت الکترونيکی امضای الکترونيکی و داده پيام مطمئن را در حکم اسناد معتبر و قابل استناد در مراجع قضایی و حقوقی می داند. حتی تا آنجا که ماده 15 همان قانون نسبت به داده پيام مطمئن و امضای الکترونيکی مطمئن عدم پذیرش انکار و تردید را مطرح می کند و با این امر، قانونگذار همان آثار حقوقی‌ای را برای امضا و داده پيام الکترونيکی مترتب می‌داند که در ماده 1292 ق.م بيان شده است. بنابراین اطمينان یافتن از صحت جریان صدور امضاء و سابقه الکترونيکی آن امری بسيار حياتی می باشد و این موضوعی است که در فصل اول قانون تجارت الکترونيکی ایران بدان توجه شده است.

تاریخچه امضا

مطابق لغتنامه دهخدا امضاء واژه ای عربی است از ریشه «مضی» به معنای روان کردن، فرمان، اجرا کردن، عمل کردن است (دهخدا 1385 :233) . فرهنگ معين نيز امضاء را به معنای گذرانيدن، جایز داشتن، نام خود را در زیر نوشته ای نوشتن و دستينه تعریف نموده است.( معين 1375 : 353)

وجه مشترک تعاریف لغوی ذکر شده، ریشه در ابراز رضایت شخص صاحب امضاء در انجام امری دارد. از نظر لغوی در متون خارجی امضاء نام، علامت یا نوشته ای است که با قصد تایيد یک سند مورد استفاده قرار می گيرد. ( 579 : 2000 Garner )[1] مطابق منابع فرانسوی از نظر مفهوم کلی امضاء علامتی شخصی است که در پای یک نوشته یا یک اثر می گذاریم، برای تأیيد و تصدیق اینکه ما بطور حتم، ایجاد کننده و خالق آن هستيم یا اینکه محتویات و مندرجات آن را تصدیق می کنيم. (کی نيا 1388 :13)[2].

به موجب ماده 1293 قانون مدنی «رکن مشترک و اساسی و پایه اعتبار اسناد عادی امضایی است که انتساب مفاد سند به امضا کننده و اراده قاطع او به صدور سند را نشان می دهد» و مستفاد از ماده 1291 همان قانون «نوشته وقتی عليه شخص سندیت دارد که امضاء یا اثر انگشت او ذیل سند باشد». بنابراین اعتبار اسناد ناشی از امضا و تصدیقی است که در آن درج شده است. نوشته منتسب به اشخاص در صورتی قابل استناد است که امضاء شده باشد.( اصغرزاده بناب 1391 :154) سند امضا نشده، ناقص بوده و فاقد مهترین رکن اعتبار می باشد، و این حقيقت مستنبط از اصول کلی حقوق و عرف مسلم است.

برای تعریف امضای الکترونيکی لازم است که منابع حقوقی و مواد قانونی مصوب در ایران، کميسيون حقوق تجارت بين الملل سازمان ملل متحد آنسيترال ، مصوبات اتحادیه اروپا و سایر نظامات حقوقی ملی همچون فرانسه را بررسی کرده و از گذر مطالعه تطبيقی منابع مذکور به تعریفی جامع از امضای الکترونيکی دست یابيم.

قانون‌گذار ایران در بند «ی» ماده 2 قانون تجارت الکترونيکی مصوب 1382 امضای الکترونيکی را هر نوع علامت منضم شده یا به نحو منطقی متصل شده به داده پيام (data message)  تعریف می‌کند که برای شناسائی امضاء کننده «داده پيام» مورد استفاده قرار می‌گيرد. نقد و بررسی این تعریف از امضای الکترونيکی نيازمند بررسی مفاهيم مزبور در علوم کامپيوتر می باشد و بسط این موضوع نيازمند تببين مفاهيمی چون داده پيام، علامت، انضمام و اتصال و کاربردهای امضاء می باشد. در تعریف داده پيام، قانون‌گذار در بند الف ماده مذکور بيان می دارد که « داده پيام هر نمادی از واقعه، اطلاعات یا مفهوم است که با وسایل الکترونيکی، نوری و یا فناوری‌های جدید اطلاعات توليد، ارسال، دریافت، ذخيره یا پردازش می‌شود». بنابراین مطابق تعریف ارائه شده، جنس داده پيام یکی از سه حالت زیر خواهد بود:

الف- نمادی از واقعه

ب- اطلاعات

ج– مفهوم

با بررسی مبانی فناوری اطلاعات و مباحث مدیریت دانش در می‌یابيم که سه عبارت «نمادی از واقعه»، «اطلاعات» و «مفهوم» مندرج در قانون تجارت الکترونيکی، مطابقت معنایی با سه عبارت داده، اطلاعات، دانش در علوم مرتبط با فناوری اطلاعات، دارند، به نحوی که در چارچوب فناوری اطلاعات مفهوم واژه دانش، با واژه های داده و اطلاعات بسيار متفاوت است. در حالی که داده مجموعه‌ای از دانسته ها، محاسبات و آمار است و فرهنگ رایانه مایکروسافت، «داده» را یک جزء اطلاعاتی می داند(قلی زاده 1379 ،167 .[3]) اطلاعات، داده سازمان یافته یا پردازش شده ای است که به هنگام update صحيح است. و واژه دانش، اطلاعاتی است که مفهومی، مرتبط و قابل اجراست (توربان 1386 :661 .) همچنين به نظر می رسد که استفاده از عبارت «علامت» توسط قانون‌گذار در تعریف امضای الکترونيکی بدليل ذهنيتی است که در کتب حقوقدانان از تعریف کهن امضاء، که به هر نوع «علامت یا نوشته» اطلاق می‌شد، صورت گرفته باشد( مظاهری کوهانستانی 1393 ،10). در صورتی که در قالب سيستم های فناوری اطلاعات، عبارت علامت یا نوشته به نظر، تعبير صحيحی نيست، زیرا وقتی داده پيام از جنس داده و اطلاعات است و در قالب دیجيتال ارائه می شود، جنس امضای متصل و منضم به آن نيز باید در قالب دیجيتال و به صورت داده باشد. لذا به نظر می رسد که بهتر بود قانون‌گذار امضاء را نوعی داده متصل به داده پيام می‌دانست که وظيفه آن شناسایی امضاء کننده و …. می باشد. عبارت فراداده Metadata نيز از جمله عبارات موجود در علوم فناوری اطلاعات است. آنها داده‌هایی هستند درباره‌ی داده های دیگر که جهت توصيف آن داده ها به آن، ضميمه می شوند.

نکته دیگر آن که تعریف امضاء در قانون تجارت الکترونيکی ایران، صرفاً به یک جنبه از آثار امضاء یعنی شناسایی امضاء کننده عنایت دارد حال آنکه اثر مهم دیگر امضاء اعلام رضایت و التزام به مفاد سند است که متأسفانه در این ماده مورد غفلت قرار گرفته است.

تعریف امضای الکترونیکی در سایر نظامات حقوقی بین المللی و ملی

در مهمترین منابع حقوقی خارجی در سطح بين المللی در مورد امضای الکترونيکی و به طور کلی حقوق اسناد الکترونيکی می‌توان به قانون نمونه آنسيترال راجع به تجارت الکترونيکی، قانون نمونه آنسيترال راجع به امضای الکترونيکی، کنوانسيون سازمان ملل متحد راجع به استفاده از ارتباطات الکترونيکی در قراردادهای بين المللی، دستورالعمل اتحادیه ی اروپا راجع به تجارت الکترونيکی، دستور العمل اتحادیه ی اروپا راجع به امضای الکترونيکي و قانون 203 مورخ 13 مارس 2000 فرانسه و آئين نامه های بعدی آن اشاره کرد.

مطابق بند الف ماده 2 قانون نمونه ی امضای الکترونيکی 2001 آنسيترال « امضای الکترونيکی به معنای داده ای در شکل الکترونيکی است که چسبيده یا به طور منطقی به یک داده پيام متصل شده است و می تواند برای شناسایی هویت امضاء کننده در ارتباط با داده پيام و یا نشان دادن رضایت امضاءکننده نسبت به اطلاعات موجود در داده پيام مورد استفاده قرار گيرد« ( UNCITRA§a.2001  ) همين قانون در تعریف داده پيام در بند ج ماده 2 مقرر می دارد «داده پيام عبارت است از اطلاعاتی که با وسایل الکترونيکی، نوری یا مشابه از جمله مبادله الکترونيکی داده ها، پست الکترونيکی، تلگراف، تلکس، تلکوپی، توليد، ارسال یا دریافت و یا ذخيره می شود و از طرف خود یا کسی که از جانب او نمایندگی دارد عمل می کند » ([4]  2001UNCITRA)  مهمترین نکته در تعریف مزبور، این است که امضای الکترونيکی به عنوان «داده» مطرح می شود و این تعریف مبين ماهيت فنی و جنس حقيقی و منطقی امضاست. ضمناً برخلاف تعریف امضاء الکترونيکی در حقوق ایران که در آن صرفا به جنبه شناسایی هویت امضاء کننده از طریق صدور امضای الکترونيکی به عنوان تنها آثار و کاربرد امضا اشاره شده است، در مصوبه آنسيترال دو  کارکرد شناسایی هویت امضاءکننده و نشان دادن رضایت شخص ممضی نسبت به اطلاعات موجود در داده پيام سند الکترونيکی یا قرارداد الکترونيکی برای امضای الکترونيکی احصا شده است. دستورالعمل 1999 اتحادیه اروپا نيز بعنوان تاثيرگذارترین سند در زمينه ایجاد بستر حقوقی مناسب برای ترویج استفاده از امضای الکترونيکی و تصویب مقررات لازم در کشورهای اروپایی محسوب می‌شود. هرچند که دستورالعمل فقط برای اعضای این اتحادیه الزام آور است و صرفاً کشورهای عضو موظفند در تدوین قوانين خود از آن تبعيت نمایند، اما این سند الگوی اصلی برای فعاليت های تحقيقاتی و قانون‌گذاری در جهان بوده است. بند 1 ماده 2 این دستورالعمل به تعریف امضای الکترونيکی پرداخته و اعلام می دارد: « امضای الکترونيکی داده‌ای است که به شکل الکترونيکی، به سایر داده های الکترونيکی ضميمه و یا منطقاً متصل است و به عنوان روشی برای اثبات هویت به کار می رود»

دستورالعمل اتحادیه اروپا در تعاریف مندرج در ماده یک خود، با تعاریف موارد و جوانب مختلف مرتبط با امضای الکترونيکی، راه تفاسير مختلف را بسته و این خود از نکات مثبت این دستورالعمل است. مطابق بند 3 از ماده 2 این دستورالعمل «امضاء کننده فردی است که ابزار ایجاد امضاء را دارد و از سوی خود یا یک فرد حقيقی یا حقوقی یا یک واحد مستقل که نماینده آن است، عمل می کند». بند 4 ماده 2 ،داده های ایجاد امضاء بيان شده به معنی « داده های منحصر به فرد مثل کدها و کليدهای خصوصی رمز نگاری است که توسط امضاء کننده برای ایجاد امضای الکترونيکی به کار می رود» ( 4.2 Directive.1999)[5]

حقوق فرانسه به عنوان یکی از نظامات حقوقی پيشرو در زمينه اسناد الکترونيکی و طبعا امضای الکترونيکی همواره مورد توجه بوده است و در حال حاضر سه متن قانونی مرجع و اصلی به شرح ذیل وجود دارد:

• قانون شماره 230-2000 مورخ 13 مارس 2000
• آیین نامه شماره 272-2001 مورخ 30 مارس 2001
• آیین نامه شماره 973-2005 مورخ 10 اوت 2005

در این قوانین به ماهیت امضا الکترونیکی و اهمیت احراز هویت فرد امضا کننده اشاره شده است که مبنایی برای قانون‌گذاران در جهان می‌باشد.

امضای الکترونیکی و امضای دیجیتال

امضای دیجيتال در واقع نوعی از امضای الکترونيکی است که از سطح بالایی از امنيت نسبت به سایر انواع امضای الکترونيکی برخوردار است و به عنوان موثرترین و کاربردی ترین وسيله برقراری ارتباط ایمن بين طرفين تبادل پيام در محيط مجازی تلقی می گردد. علت این است که، در این روش از فناورری «رمزنگاری» ( Cryptography ) برای توليد امضاء استفاده می شود.

امضای دیجيتال پيشرفته ترین و پرکاربردترین نوع از امضاهای الکترونيکی است و به دليل امنيت بالای آن جایگزین سایر روش‌های موجود شده و بيشتر قانون‌گذاران ـ از جمله قانون‌گذار ایران ـ این شيوه از امضاء را پذیرفته‌اند. همانطور که گفته شد، امضای دیجيتال مبتنی بر علم رمزنگاری است و از دو نوع الگوریتم به نام های کليد عمومی ( key public )  و کليد خصوصی (key private)  استفاده می‌کند. رمزگذاری یعنی تبدیل اطلاعات به یک شکل غير قابل فهم جهت انتقال آن به مقصد و رمزگشایی به معنای برگرداندن اطلاعات رمز شده به حالت اوليه و قابل خواندن. رمز نگاری به دو شيوه متقارن (symmetric)  و نامتقارن  (asymmetric) وجود دارد. رمزنگاری متقارن عبارت است از الگوریتم های رمزنگاری که در آن دو شریک تجارتی، برای امضاء و رمزنگاری و رمزگشایی مبادله ی الکترونيکی داده ها باید از کليد واحد و یکسانی استفاده کنند که الگوریتم های رمزنگاری متقارن ناميده می‌شود. در این روش هر دو طرفی که قصد رد و بدل اطلاعات را دارند از یک کليد مشترک برای رمزگذاری و نيز بازگشایی رمز استفاده می‌کنند. دراین حالت، بازگشایی و رمزگذاری اطلاعات دو فرآیند معکوس یکدیگر می‌باشند. بنابراین یک الگوریتم متقارن از یک کليد هم برای رمزنگاری و هم برای رمزگشایی استفاده می‌کند. در رمزنگاری نامتقارن به جای یک کليد مشترک، از یک زوج کليد به نام‌های کليد عمومی و کليد خصوصی استفاده می‌شود. کليد عمومی مشترک بين طرفين است و کليد خصوصی به صورت محرمانه توسط هر یک از طرفين حفظ می شود.

امضای الکترونیکی ساده و امضای الکترونیکی مطمئن

با بررسی تطبيقی ماهيت فنی و حقوقی امضای الکترونيکی به دو سطح مختلف از امضای الکترونيکی رسيده و در می‌یابيم که این پدیده حقوقی به دو دسته امضای الکترونيکی ساده و امضای الکترونيکی مطمئن تقسيم شده است. برخی از حقوق‌دانان بين امضای دیجيتال و امضای الکترونيکی قائل به تفکيک شده‌اند. این افراد معتقدند به کار بردن هر کدام از این اصطلاحات به جاى دیگرى تعبير بر مسامحه شده و عرفاً با ایرادى روبرو نيست. ولی از جنبه علمى در تمایز این دو به اختصار می‌توان گفت که امضاى دیجيتالى نمودار داده‌هایى است که به شکل یک واحد داده، الصاق یا با رمزگذارى منتقل می‌شود و به گيرنده اجازه می‌دهد تا سرمنشأ و اصالت آن را تشخيص دهد. این ساختار منطقى مانع از جعل امضا می‌شود. امضاى الکترونيکى داراى معناى عام‌ترى است و شامل امضاى دستى اِسکن شده یا اسم شخص که در قسمت انتهایى نامه الکترونيکى نيز می‌شود. براى تأمين ایمنى و اصالت امضاى الکترونيکى باید از امضاى دیجيتالى به عنوان فناورى رمزگذارى استفاده کرد.

امضای الکترونیکی ساده

در بند « ی» ماده 2 قانون تجارت الکترونيکی ایران امضای الکترونيکی اینگونه تعریف شده است: « امضای الکترونيکی عبارت از هرنوع علامت منضم شده یا به نحو منطقی متصل شده به داده پيام است که برای شناسایی امضاکننده داده پيام مورد استفاده قرار می‌گيرد.» همچنين بند «الف» ماده 2 قانون نمونه آنسيترال (2001) نيز در تعریف این امضا آورده است : « امضای الکترونيکی به معنای داده الکترونيکی است که به یک داده پيام منضم، یا به نحو منطقی متصل شده است و برای شناسایی امضاکننده و تأیيد وی در خصوص اطلاعات موجود در داده پيام به کار می‌رود».

امضای الکترونیکی مطمئن

ماده 1 قانون تجارت الکترونيکی ایران که ناظر به بند «ک» ماده 2 همان قانون است، در تعریف این نوع امضا می‌گوید: امضای الکترونيکی مطمئن باید دارای شرایط زیر باشد:

الف-نسبت به امضاکننده منحصربه فرد باشد

 ب-هویت امضاکننده داده پيام را معلوم کند.

ج-به وسيله امضاکننده و یا تحت اراده انحصاری وی صادر شده باشد.

د-به نحوی به یک داده پيام متصل شود که هر تغييری در آن داده پيام، قابل تشخيص و کشف باشد.

همچنين در بند 3 ماده 6 قانون نمونه آنسيترال آمده است:  امضای الکترونيکی قابل اعتماد باید دارای شرایط زیر باشد:

الف- داده ایجاد امضا به همراه مطلبی که در آن امضا مورد استفاده قرار می‌گيرد، مرتبط با شخص امضاکننده باشد و نه فرد دیگری.

ب- داده ایجاد امضا در زمان امضا، تحت کنترل امضاکننده باشد و نه فرد دیگری

ج- هرگونه تغييری در امضا، بعد از زمان امضا، قابل کشف باشد.

د- در جایی که هدف از امضا حصول اطمينان درخصوص اصالت اطلاعات مرتبط با امضا است، هرگونه تغييری در اطلاعات بعد از امضا، قابل کشف باشد.

در حقوق ایران، ماده 10 قانون تجارت الکترونيکی ایران که ناظر به بند ک ماده ی 2 همان قانون است، در تعریف امضای الکترونيکی مطمئن مقرر می‌کند:  امضای الکترونيکی مطمئن باید دارای شرایط زیر باشد:

الف- نسبت به امضا کننده منحصر به فرد باشد.

ب- هویت امضا کننده داده پيام را معلوم کند.

ج- به وسيله ی امضاءکننده و یا تحت اراده ی انحصاری وی صادر شده باشد.

د- به نحوی به یک داده پيام متصل شود که هر تغييری در آن داده پيام، قابل تشخيص و کشف باشد.

‌همچنین ماده 7 همین قانون عنوان می‌کند: ” هرگاه قانون، وجود امضاء را لازم بداند امضای الکترونیکی مکفی است.”

در بررسی فنی ميان انواع مختلف امضای الکترونيکی، می‌توان گفت که تنها امضای دیجيتال است که در دسته امضای الکترونيکی مطمئن قرار گرفته و مابقی را می توان امضای الکترونيکی ساده دانست. منحصر به فرد بودن و تحت کنترل انحصاری بودن کليد خصوصی، امکان بررسی تغييرات بعدی در امضاء و اطلاعات مندرج در داده پيام با کمک کليد عمومی، که همگی از شرایط تحقق امضای الکترونيکی مطمئن است، از طریق امضای دیجيتال امکان پذیر است. بنابراین به عنوان نتيجه کلی می‌توان گفت: امضای دیجيتال در ميان انواع دیگر امضای الکترونيکی گذر واژه، بيومتریک، قلم نوری و …. از شرایط امضای الکترونيکی مطمئن برخوردار است. و آثار حقوقی از جمله برابری کارکرد با امضا دست نویس بر آن مترتب می شود.

[1] Garner, A, Brayan. 2000 . Black’s Law Dictionary. Tehran: Dadgostar

[2] کی نیا، محمد، 1388 ،امضایالکترونیک منطبق با حقوق فرانسه، تهران، انتشارات بنیاد حقوقی میزان

[3]قلی زاده نوری،فر هاد، 1379 ،فرهنگ تشریحی اصطلاحات کامپیوتری مایکروسافت ترجمه ، تهران، انتشارات کانون نشر علوم

[4] UNCITRAL Model Law on Electronic Signatures with Guide to Enactment 2001

[5] DIRECTIVE 93/1999/EC OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 13December 1999on a Community framework for electronic signatures

ترجمه و تالیف: فروغ مروّج صالحی