به قلم : محمدرضا اديب سردفتر اسناد رسمي شماره يک تبريز
بسم الله الرحمن الرحيم
چکيده
عدم امکان شناخت هويت واقعي طرف مقابل معاملات و مبادلات الکترونيکي از طريق روش عادي يعني رويت چهره به چهره از طرفي موجب تحريک افراد فرصت طلب براي سوء استفاده از اين وضعيت شده و از طرفي ديگر نگرانيهايي براي فعالين اقتصادي بوجود آورده است که به لحاظ اقتضائات زمان ناگزير از استفاده از روشهاي نوين هستند ،آيا جهت انجام فعاليتهاي اقتصادي در يک بستر امن و سالم تمهيداتي از نظر فناوري اطلاعات رايانه اي فراهم شده است؟ در صورتيکه طرف مقابل اين قبيل عمليات اقتصادي منکر اعمال حقوقي انجام شده خود گردند آيا دلايل و مدارک فني داراي قدرت اثباتي کافي جهت احقاق حقوق طرف متضرر وجود دارد؟ مقاله حاضر سعي دارد با بررسي روشهاي موجود براي احراز هويت ارزش ادله مربوطه را نيز در اين عرصه در مقررات موضوعه بررسي نمايد.
مقدمه
تحولاتي که درعلوم و فنون رخ ميدهد به موازات تسهيلاتي که در عرصه فعاليتهاي اقتصادي و صنعتي براي بشريت فراهم مي آورد در کنار آن ، اوضاع و احوال جديدي را نيز ايجاد ميکند که اين اوضاع و احوال به اشکال گوناگون بستر بروز مسايل و مشکلات تازه اي را فراهم مي آورد و ضرورت ايجاب ميکند تا در کنار هر گونه تغيير و تحولاتي ، مسايل و مشکلات جنبي آن نيز واکاوي و چاره جويي شود تا تسهيلات ناشي از پيشرفتهاي جديد بتواند بدون دغدغه ، گواراي جامعه گردد و راه سوء استفاده اشخاص فرصت طلب و تبه کار بسته شود.
در معاملاتي که طرفين معامله با حضور فيزيکي خود در يک مکان به معامله مي پردازند احراز هويت طرف معامله امري خطير و بسيار حائز اهميت است زيرا چه بسيار مواردي بوده است که شخصي با توسل به وسايل متقلبانه خود را با هويت جعلي و غير واقعي معرفي يا بجاي مالک کالا يا ملکي قلمداد نموده و با فريب طرف مقابل کلاهبرداري کرده است. اکنون که مبادلات مهم مالي از طريق الکترونيکي بدون حضور فيزيکي اشخاص انجام ميشود اوضاع و احوال براي چنين اشخاص فرصت طلب ، بيش از پيش معد و مهياست تا با کسب مقداري مهارت در زمينه ارتباطات الکترونيکي ، براحتي و در فراغ بال در خانه يا محل ديگري پشت رايانه شخصي خود قرار گرفته و در اقصي نقاط کشور يا کره خاکي به سرکيسه کردن ديگران بپرازد.
بنابراين لازمست فعاليتهايي که بصورت الکترونيک انجام ميشود اعم از ذخيره سازي ، پردازش ، انتقال و مديريت اطلاعات الکترونيکي که هم اکنون فناوري اطلاعات نام گرفته است به نحو اطمينان بخشي مديريت گرددکه افشاء نشود و از دسترس اشخاص غير محافظت گردد تا فرصتي براي سوء استفاده شيادان و کلاهبرداران فراهم نياورد.[1]
در مبادلات وعمليات تجاري به شيوه الکترونيکي ،که در فضاي مجازي و بدون حضور فيزيکي و رويت شخص يا اشخاص طرف مقابل صورت ميگيرد مسلما بايستي جهت شناسايي طرف مقابل معامله ، حد اقل به اندازه شيوه تجارت سنتي ، امکانات کافي که از پشتوانه قانوني لازم نيز برخوردار باشند وجود داشته باشد. با دست مايه قرار دادن فرضيه مذکور ، ميخواهيم بينيم چه روشها و شيوه هايي در مورد احراز هويت طرف مقابل در روش تجارت الکترونيک در سر راه فعالان اين عرصه وجود دارد؟ بهترين شيوه احراز هويت که هم اطمينان بخشي لازم را بهمراه داشته و هم در صورت بروز اختلاف و طرح دعاوي بتواند مانع از تضييع حقوق طرفهاي قرارداد شود کدام است؟ آيا مقررات موضوعه نسبت به اسناد و مدارک الکترونيکي اعتبار کافي جهت اثبات دعاوي و احقاق حقوق اشخاص داده است؟
مقاله حاضر تلاشي است براي بررسي روشهاي احراز هويت طرفهاي مبادلات الکترونيکي با نگرشي بر مقررات قانوني که در اين خصوص وضع گرديده است، پر واضح است در اين بررسي جنبه هاي فني صرف روشهاي بکار گرفته شده مورد نظر نبوده و در اين خصوص صرفا به اشاره مختصر اکتفا خواهد شد.
فصل اول - تجارت الکترونيک چيست ؟
تجارت الکترونيک از ديدگاههاي مختلفي نظير ارتباطات ، تجارت ، فرآيند کسب و کار ، خدماتي ، آموزشي ، تشريک مساعي ، فناوري اطلاعات ، اجتماع و غيره تعريف شده است.[2] اجمالا ميتوان از مجموع تعاريف ارائه شده تعريف زير را که جامعتر است بيان کرد: « به کارگيري شبکه ارتباطي ديجيتالي در انواع تبادل الکترونيکي داده ها در تمام يا بخشي از فعاليتهاي تجارتي ، تجارت الکترونيکي است». [3]
1-1 تاريخچه و مزاياي تجارت الکترونيک
اولين فعاليتها درزمينه تجارت الکترونيک درسال 1965 با استفاده کردن ازکارتهاي الکترونيک آغاز شد سپس در ابتداي دهه 90 ، ارتباطات الکترونيکي باراه اندازي شبکه هاي کامپيوتري ، در خدمت مبادلات تجاري شرکتهاي بزرگ قرار گرفت.[4]
مزايايي که بر تجارت الکترونيک مترتب بود موجب شد تا در کشورهايي که بسترهاي لازم در آنها فراهم بود استفاده از روشهاي جديد الکترونيکي روز به روز توسعه يابد. مزاياي مذکور براي فعالان بزرگ اقتصادي جذاب و وسوسه انگيز ميباشد ، فراهم شدن امکان عرضه محصولات فراتر از قلمرو مناطق و مرزهاي دولتها و بصورت جهاني ، کاهش چشمگير هزينه ها ، وصول انواع سفارشات و تنوع يافتن محصولات ، ايجاد مدلهاي کسب و کار جديد ، ارائه محصولات خاص و بسيار ويژه، سرعت عرضه محصولات به بازار ، هزينه هاي پايين تر برقراري ارتباط ، خريد کارآمد[5] و رفع محدوديت شب و روز و تعطيلي ها و مزاياي ديگر[6]که به تفصيل از آنها ياد شده است از دلايل رواج استفاده از شيوه تجارت الکترونيک ميباشد.
اما امروزه پيوستن بر قطار سريع السير پيشرفتهاي علمي و فني روز در زمينه هاي مختلف ، صرفاجهت بهره مندي از مزاياي آنها نيست، بلکه بصورت الزامي فراگير در آمده است که جاماندن از اين قطار ، عدم امکان عرضه و فروش محصولات و عدم موفقيت در رقابتهاي تجاري و ورشکستگي را بدنبال دارد لذا درشرايط کنوني همگان بر يادگيري ، ايجاد امکانات و بسترهاي لازم و نهايتا استفاده از روشهاي نوين در انواع فناوريها مجبور هستند.
1-2 منابع قانوني تجارت الکترونيک
خصيصه بين المللي مقررات مربوط به تجارت موجب شده است تا قانون نمونه آنسيترال[7] در مورد تجارت الکترونيک [8] توسط کميسسيون حقوق تجارت بين الملل سازمان ملل متحد در سال 1966 به تصويب برسد تا بمنظور يکسان سازي مقررات کشورهاي مختلف نمونه و الگويي مناسب براي قانون گذاران باشد. اين قانون در سال 2004 توسط ايران نيز امضا شده است.[9]
در همين راستا قانون نمونه آنسيترال راجع به امضاي الکترونيک [10] نيز در سال 2001 توسط کميسيون مذکور و بهمان اهداف ياد شده به تصويب رسيده است که قانون مذکور تاکنون توسط ايران امضا نگرديده است.[11]
از ديگر مقررات بين المللي در اين زمينه ميتوان از «کنوانسيون سازمان ملل متحد راجع به استفاده از ارتباطات الکترونيکي در قراردادهاي بين المللي»[12] و «دستورالعمل تجارت الکترونيکي اتحاديه اروپا»[13] نام برد.[14]
در کشور ما نيز الزاماتي در جهت راه اندازي و بکارگيري شيوه هاي الکترونيکي براي بانکها و وزارتخانه ها با تعيين فرجه هاي قانوني ايجاد شده است که خوشبختانه در رواج استفاده از روشهاي نوين الکترنيکي موثر افتاده و مواردي از قبيل استفاده از دستگاههاي خودپرداز فروشگاهي و کارتهاي بانکي الکترونيکي ثمره تلاشهاي مذکور بوده است.
در سال 1381 هيات وزيران اقداماتي در جهت اصلاح قانون تجارت مصوب 1311 با تشکيل کارگروهي از اساتيد و کارشناسان حقوق تجارت آغاز نمود نتيجه کارگروه مذکور ، که مبحثي از آن به تجارت الکترونيک اختصاص داشت در هيات دولت و کميسيون ويژه متشکل از نمايندگان هر سه قوه با جلب نظر کارشناسان ديگر در حوزه هاي مختلف حقوق تجارت مکررا بررسي و تدوين و بعنوان لايحه دولت در هيات وزيران به تصويب رسيد و به مجلس ارسال گرديد. پس از چند سال معطلي بالاخره اين لايحه در سال 1391 توسط کميسيون قضايي مجلس به تصويب رسيد تا به مدت 5 سال بصورت آزمايشي اجرا گردد متاسفانه شوراي نگهبان با اعلام اينکه ضرورت مندرج در اصل 85 قانون اساسي در مورد اين لايحه وجود ندارد لايحه مذکور را به مجلس اعاده داد تا همچنان قانون مصوب 1311 بر امور تجاري کشور حاکم باشد و لايحه مذکور که بيش از يک دهه از تدوين آن سپري شده همچنان در انتظار طي مراحل قانوني معطل بماند.[15]
با اين وجود در 17 ديماه سال 1382 قانون تجارت الکترونيک مشتمل برهشتاد و يكماده وهفت تبصره به تصويب رسيده است و پشتوانه قانوني عمليات تجارت الکترونيک در ايران ميباشد.
اين قانون مشتمل بر مجموعه اصول و قواعدي است كه براي مبادله آسان وايمن اطلاعات در واسطههاي الكترونيكي و با استفاده از سيستمهاي ارتباطي جديد به كار ميرود[16] داده پيام الکترونيکي حسب مقررات قانون مذکور ميتواند جايگزين نوشته کاغذي باشد مگر در مواردي خاصي که به لحاظ اهميت ويژه آنها قانونگذار مبادلات آنها را از طريق الکترونيکي به مصلحت ندانسته و استثنا کرده است.[17]
با توجه به آنچه گفته شد اسناد تجاري الکترونيکي از قبيل چک و برات و سفته الکترونيکي هم که بصورت داده پيام مبادله ميشود نيز در قلمرو شمول قانون مذکور قرار ميگيرد و از پشتوانه قانوني آن برخوردار است. [18]
1-3 خطرات و تهديدات موجود در تجارت الکترونيکي
با رواج روشهاي جديد الکترونيکي در زندگي روزمره ، سوء استفاده هايي که توسط اشخاص شياد و کلاهبردار صورت ميگيرد نيز روز افزون شده و هر از چندگاهي به شکلي جديد رخ نموده و هشدارهاي مراجع قانوني و پليس در رسانه هاي جمعي کم و بيش حکايت از افزايش اين قبيل جرايم دارد.
تهديدات امنيتي در حوزه تجارت الکترونيک رابه دو دسته ميتوان تقسيم کرد:
- تهديداتغيرفني براي بدست آوردن اطلاعات امنيتي ازطريقي غير از مسايل فني رايانه مانند استفاده از مکالمه تلفني و فريب کاربران و دراختيارگرفتن رمز آنها.
- تهديدات فني رايانه اي مانند ويروسها ، کرمها ، تروجانها[19].
امنيتي که در تجارت الکترونيک از آن بحث ميشود امري دو سويه است نه اختصاص به طرف عرضه کننده دارد و نه مختص به خريدار ميباشد چه بسا وب سايتي که کالايي را براي فروش عرضه ميدارد واقعي نبوده و فريب کارانه ايجاد شده است ، ديده شده است وب سايتي از نظر ظاهر و آدرس (با يک کاراکترتفاوت) مشابه وب سايت بانکي ايجاد شده و لينک آن با شيوه هاي تبليغي از طريق وب سايتهاي ديگر و ايميل در دسترس کاربران اينترنت قرار ميگيرد، کاربران به تصور اينکه سايت واقعي بانک است جهت انجام امور بانکي خود وارد سايت جعلي مذکور ميشوند و نام کاربري و رمز عبور خود را در محل تعبيه شده نوشته و بدينوسيله افشا مينمايند. از سوي ديگر به کرات در رسانه هاي جمعي اخباري را شنيده ايم که حاکي بوده اند وب سايتهاي خدمات اينترنتي بانکها عليرغم سيستمهاي سختگيرانه امنيتي بارها توسط اشخاص غير مجاز حک شده و مورد سوء استفاده مالي نيز قرار گرفته است.
فصل دوم - روشهاي متداول احراز هويت
احراز هويت يکي از مباحث امنيت در تجارت الکترونيک و جزئي از آن ميباشد و تعيين و احراز هويت حقيقي طرف مقابل در همه انواع مختلف عملياتي که تحت عنوان کلي تجارت الکترونيکي قرار ميگيرند لزومي ندارد بلکه در مواردي ممکن است کاربران تمايل داشته باشند درعمليات الکترونيکي که انجام ميدهند ناشناخته باقي بمانند و صرف ناشناخته ماندن کاربر نميتواند سوء نيت يا مجرمانه تلقي شود وقتي فردي با استفاده از کيف پول الکترونيکي خريدي انجام ميدهد تعيين هويت او براي وب سايتي که کالا يا خدماتي را عرضه نموده است اهميتي ندارد وقتي از امنيت در اين قبيل موارد بحث ميشود مراد تعيين هويت شخص نيست بلکه درستي و بي غل و غش بودن مابازائي است که در قبال دريافت خدمت يا کالا مي پردازد.
مکانيزمهايي که براي امنيت مورد استفاده قرار ميگيرد عبارتند از :
- تعيين نام کاربري و رمز عبور و کنترل سطح دسترسي کاربران.
- استفاده ازشناسه هاي غير فعال و شناسه هاي فعال[20].
- شناسايي از طريق استانداردهاي جسماني اشخاص مانند اثر انگشت يا عنبيه چشم (سيستمهاي بيومتريک)[21]
- رمز نگاري
- امضاي الکترونيک
2-1 تعيين نام کاربري و رمز و کنترل دستيابي
در اين روش به هرکدام از کاربران مجاز نام کاربري و رمز عبور در سيستم تعريف ميشود و سطح دسترسي هرکدام از کاربران نيز مشخص و اعمال ميگردد بدين صورت که شخصي که وارد سيستم ميشود با توجه به اينکه کاربر عادي است يا کارمند يا مدير قسمت خود سيستم است در وحله اول با توجه به نام کاربري که از قبل تعريف شده و در سيستم موجود است شناسايي ميگردد و به تناسب اينکه چه نوع سمتي در سيستم دارد اجازه دسترسي داده ميشود يعني مشخص ميگردد به کدام قسمتها حق ورود دارد وآيا فقط حق مشاهده دارد يا ميتواند تغييرات نيز ايجاد کند ، اقلام کالاها را اضافه نمايد يا حذف کند ، يا قيمتها را تغيير دهد ، يا فقط حق سفارش و خريد دارد. بنابراين احراز هويت کاربري که وارد سيستم شده است در ابتداي ورود از طريق نام کاربري که در زمان ورود به سيستم ارائه ميکند انجام ميشود. اين روش در رايانه ها و شبکه هاي اينترنتي بطور گسترده مورد استفاده قرار ميگيرد ، اکانتهاي ايجاد شده درپورتال ها و سايتهاي مختلف و ايميل ها ، عموما از اين روش سود مي برند. اين روش در تجارت الکترونيکي نيز بطور گسترده اي مورد استفاده است ليکن روش مطمئني نميباشد زيرا رمزهايي که اشخاص مورد استفاده قرار ميدهند اکثرا قابل حدث زدن ميباشند معمولا اشخاص از رمزهايي مانند نام فرزند ، تاريخ تولد خود يا فرزندان ، يا تاريخ ازدواج و شماره ملي استفاده ميکنند که ديگران هم از آن آگاهي دارند از سوي ديگر خود اشخاص نيز از رمز خود به خوبي محافظت نميکنند و به راحتي آن را نزد ديگران افشا مينمايند يا يادداشت رمز خود را در محلهاي نامناسبي قرارميدهند.
2-2 شناسه هاي فعال و غيرفعال
جهت رفع معايب و ارتقاء امنيت سيستم تعيين کاربر از اين شناسه ها استفاده ميشود کارت هاي پلاستيکي که براي حسابهاي بانکي استفاده ميشود از انواع شناسه هاي غيرفعال است اين شناسه ها محتوي کدهاي محرمانه ايست که توسط دستگاههاي کارتخوان بررسي و اجازه دسترسي داده ميشود شناسه هاي فعال نيز عبارت است از دستگاههاي کوچکي است که مستقلا يا با اتصال به کامپيوتر از درگاه USB ، توليد رمز مينمايند که هر رمز فقط يکبار براي ورود قابليت استفاده دارد اين روش توسط بانکها به مشتريان خود توصيه ميگردد و از ضريب امنيتي بالايي برخوردار بوده و در شرايطي که کاربر شخصا مرتکب بي احتياطي و تقصير نشود اطمينان بخشي لازم را دارا ميباشد.[22]
هرچند روشهاي نامبرده در صورت عدم افشاءرمز و عدم مفقودي و سرقت ابزار سخت افزاري مورد استفاده ، امنيت لازم راتامين ميکند ليکن در موارديکه احراز هويت حقيقي طرف مقابل اهميت داشته باشد قابل اطمينان نبوده و در موارد ترافعي نميتوانند از قاطعيت لازم در اينخصوص برخودار باشند.
2-3 شناسايي از طريق ويژگيهاي حياتي اشخاص (سيستمهاي بيومتريک[23])
ويژگي اثر انگشت انسان از ديرباز مورد توجه بوده و در اعمال حقوقي و پرونده هاي کيفري مورد استفاده قرار گرفته و در صورتيکه مطابقت اثر انگشت فرد با نمونه قطعي باشد ترديدي در انتساب آن به فرد مورد نظر را روا ندانسته اند. در اسکن اثر انگشت شکل شيارهاي موجود در نوک انگشتان و فاصله آنها با استفاده از الگوريتم خاصي ذخيره و طبقه بندي ميشود تا در مواقع استفاده قابليت تطبيق با نمونه ارائه شده را داشته باشد. احتمال تشابه اثر انگشت دو فرد يک در ميليارد ميباشد.
اين ويژگي مخصوص اثر انگشت نيست ، گفته ميشود عنبيه چشم افراد از اين حيث بر اثر انگشت برتري دارد دستگاههايي که کار اسکن عنبيه چشم را انجام ميدهند در عرض چند ثانيه تصوير عنبيه را با استفاده از الگوريتم خاصي به کدهايي تبديل و ذخيره مينمايند. شناسايي الکترنيکي صدا نيز از ديگر ويژگيهاي بيولوژيک افراد است که ميتواند مورد استفاده براي شناسايي و احراز هويت قرار گيرد [24] همچنين شاخصه هايي مانند شکل صورت ، دماي صورت ، شکل هندسي دست ، شبکيه چشم نيز درمورد احراز هويت مطرح ميباشند.[25]
استفاده از ويژگيهاي بيولوژيک هرچند جهت احراز هويت اطمينان بخش است ليکن تاکنون بدليل گراني دستگاههاي مربوطه يا هر علت ديگري چندان مورد اقبال قرار نگرفته است هرچند گفته ميشود با ارزان تر شدن دستگاههاي مربوطه گرايش به استفاده از آنها افزون تر شده است.[26]
خصوصيت واقعي بودن و يکتايي ويژگيهاي حياتي (برخلاف رمزها که تصنعي هستند) هرچند ارزش استنادي آنها را ارتقا بخشيده و بلامناقشه کرده است ليکن در صورت ربوده شدن بانک اطلاعات مربوطه ميتواند مشکل ساز باشد زيرا مانند رمزها امکان نوسازي و جايگزيني ندارند لذا اقتضا دارد در حفاظت از بانک اطلاعات آنها بيشتر دقت شود. [27]
2-4 رمزنگاري
رمز نگاري عبارت است از تبديل متن از محتواي واضح و قابل فهم به محتوايي که غير قابل فهم و غيرقابل استفاده است. همين طور در مورد فايلهاي رايانه اي، تبديل داده از يک فرمت عادي قابل فهم به فرمت غير قابل فهم رمزنگاري ميباشد. سابقا رمزنگاري صرفا به نيت حفظ محرمانگي در گزارشات جاسوسيها و فرماندهان نظامي و ديپلماتها مورد استفاده قرار ميگرفته است ليکن هم اکنون در بسياري زمينه ها از جمله احراز هويت مورد استفاده قرار ميگيرد.[28]
دو سيستم در رمز نگاري مورد استفاده است:
- سيستم رمز نگاري متقارن
- سيستم رمزنگاري نامتقارن
2-4-1 سيستم رمز نگاري متقارن
در سيستم رمزنگاري متقارن از کليد مخفي واحد براي رمزنگاري و رمز گشايي استفاده ميشود بنابراين لازمست علاوه بر پيام ، کليد رمز نيز بنحوي به طرف مخاطب ارسال شود تا او بتواند پيام را رمزگشايي نمايد. ارسال کليد همراه با اصل پيام احتمال افشاي آن را بالا ميبرد و لازمست کليد از طريق امني به مخاطب ارسال شود. لذا چگونگي ارسال کليد از راه مطمئن يکي از مشکلات استفاده از اين سيستم ميباشد.[29]
براي اينکه رمز نگاري متقارن امنيت پيامها را تامين نمايد لازمست الگوريتم مورد استفاده براي رمزنگاري ، ساده و قابل کشف نباشد و درصورتي که سارق اطلاعات متني واحد را در دو حالت بدون رمزنگاري و حالت رمزنگاري شده ، در اختيار داشته باشد نتواند کليد رمز را کشف نمايد.[30]
با اين حال گفته ميشود الگوريتمهايي که جهت کليد رمز مورد استفاده قرار ميگيرند شناخته شده هستند و حدس زدن کليد و کدهاي مورد استفاده نيز زياد سخت نيست بنابراين توصيه شده جهت ارتقاء بيشتر ايمني در اين نحوه رمزگذاري از کليدي با طول بيشتر استفاده شود.[31]
مشکل ديگر رمز نگاري متقارن انباشت تعداد کليدهاي رمز نگاري است که با توجه به مبادلاتي که بصورت دو بدو صورت ميگيرد لازمست جهت حفظ محرمانگي ، براي هرکدام از مخاطبين کليد مجزا استفاده شود لذا تعدادکليدهاي رمزنگاري مورد استفاده زياد خواهد بود و نگهداري و مديريت آنها نيز مشکلات مضاعفي ايجاد خواهد کرد.[32]
2-4-2 سيستم رمز نگاري نامتقارن
مشکلاتي که در رمز نگاري متقارن وجود داشت موجب ايجاد سيستم رمز نگاري نامتقارن شده است در اين سيستم براي رمز نگاري و رمز گشايي از دو کليد مجزا استفاده ميشود کليد عمومي و کليد خصوصي. کليد عمومي کليدي است که هيچ نوع حالت محرمانگي ندارد و هر کسي نه تنها ميتواند بدان دسترسي داشته باشد بلکه براي اينکه اشخاص مختلف بتوانند با مالک کليد در ارتباط باشند لازمست که کليد عمومي او را در اختيار داشته باشند ، اما کليد خصوصي فقط در اختيار صاحب آن است ، الگوريتم مورد استفاده در کليد عمومي و کليد خصوصي کاملا از هم متفاوت است بنحويکه هرگز نميتوان با استفاده از کليد عمومي به کليد خصوصي دست يافت. هرکسي ميتواند با استفاده از کليد عمومي پيام خود را رمز نگاري و به مالک کليد ارسال نمايد وقتي پيامي با استفاده از کليد عمومي رمز نگاري شده باشد هرگز نميتوان آن را با استفاده از کليد عمومي رمز گشايي کرد بلکه براي رمز گشايي ، کليد خصوصي لازم است که فقط در اختيار مالک آن است. ليکن در صورتيکه با کليد خصوصي رمز نگاري شده باشد با کليد عمومي قابل رمز گشايي خواهد بود ، دو طرفي که باهم مبادلات الکترونيکي دارندبراي اينکه پيامهايشان محرمانه بماند لازمست هرکدام کليد عمومي خود را در اختيار ديگري قرار دهد و طرفي که در صدد ارسال پيام به ديگري است بايد با استفاده از کليه عمومي مخاطب آن را رمز نگاري کرده و ارسال نمايد و مخاطب با استفاده از کليد خصوصي که فقط در اختيار خودش ميباشد آن را رمز گشايي و مشاهده کند او نيز وقتي در صدد ارسال پاسخ است براي حفظ محرمانه گي پاسخ، آن را با استفاده از کليد عمومي مخاطب فعلي (فرستنده قبلي) رمز نگاري و ارسال ميکند. [33] در اين سيستم اگر بنحوي که گفته شد عمل شود امکان جعل و ارسال پيام از طرف فرستندگان غيرمجاز و دروغين و دخالت در پيام در واسطه هاي الکترونيکي وجود ندارد ضمن اينکه فرستنده پيام نيز نميواند بعدا منکر ارسال پيام باشد.[34]
اين سيستم شباهت زيادي به صندوق پستي دارد ، صندوق پستي به گونه اي تعبيه گرديده است که همگان ميتوانند نامه هاي خود را داخل صندوق بريزند ليکن هيچ کس نميتواند به نامه هايي که داخل صندوق ريخته شده است دسترسي پيدا کند مگر دارنده کليد صندوق.[35]
با اين حال مشکلي که اين سيستم دارد سرعت پايين عملکرد آن است و مدت زمان بيشتري براي رمزگزاري يا رمزگشايي صرف ميگردد از اينرو در صورتيکه داده ها حجيم باشد استفاده از اين شيوه نميتواند مناسب باشد ، جهت رفع اين نقيصه نيز پيشنهاد شده است تا از ترکيبي از هردو روش رمزنگاري متقارن و نامتقارن استفاده شود.[36]
2-5 امضاي الکترونيک
«امضا ، اجازه کردن ، تنفيذ عقد و يا هرچيز ديگر ، نوشتن نام يا نام خانوادگي يا هردو ، يا رسم علامت بعنوان بيان هويت صاحب علامت ذيل اوراق و اسناد براي تاييد متن سند ...» است [37] ، بنابراين اثراتي که بر امضا مترتب است عبارت از تاييد هويت صاحب امضا ، اقرار يا رضايت بر مفاد سند، يا تعهد و التزام به مندرجات سند ميباشد. [38]
گذشته از تفاوت هايي که در عناوين« امضاي ديجيتالي» و «امضاي الکترونيکي» و تفاوت آن دو بايکديگر در برخي کتب بصورت گذرا و جزئي اشاره شده است[39] با توجه به اينکه اين موضوع توسط بسياري از مولفين مورد توجه قرار نگرفته است و از طرفي قانون تجارت الکترونيک نيز از آن تحت عنوان امضاي الکترونيک ياد کرده است لذا در اين مقاله نيز تحت اين عنوان بررسي ميشود.
امضاي الکترونيک دو نوع است امضا الکترونيک ساده و امضاي الکترونيک مطمئن.
2-5-1 امضاي الکترونيک ساده
امضاي الکترونيکي بموجب بند «ي» ماده 2 قانون تجارت الکترونيک[40] عبارت است از هرنوع علامتي به داده پيام منضم شده يا به نحومنطقي متصل بدان متصل شده است شكه براي شخص کننده هويتامضاءكنندهدادهپيام ميباشد.
اين تعريف مطابق است با تعريفي که در دستور العمل شماره CE /93/1999 اروپا از امضاي الکترونيک ارائه گرديده است: «داده اي است که به شکل الکترونيکي ، که به ساير داده هاي الکترونيکي منضم شده و يا بطور منطقي ، ملحق ميشود و بعنوان روشي براي اعتبار و اصالت بخشيدن ، استفاده ميشود».[41]
2-5-2 امضاي الکترونيک مطمئن
امضاي الکترونيکي در صورتيکه شرايطي خاصي[42] در ايجاد آن رعايت شده باشد امضاي الکترونيک مطمئن خواهد بود برابر ماده 10 قانون مذکور براي اينکه امضاي الکترونيک وصف مطمئن به خود بگيرد بايد چهار شرط را دارا باشد که عبارتند از منحصر بفرد بودن ، مشخص نمودن هويت امضا کننده داده پيام ، صدور آن با اراده صاحب امضا و متصل شدن به داده پيام بصورتيکه هر تغييري در داده پيام بعمل آيد قابل کشف باشد[43] اين شرايط دقيقا منطبق است با شرايطي که در قانون نمونه آنسيترال در زمينه امضاي الکترونيک 2001 [44] و در دستور العمل امضاي الکترونيک اروپا از امضاي الکترونيک پيشرفته آمده است[45] همين شرايط به گونه اي در مصوبه امضاي الکترونيکي شوراي دولتي فرانسه نيز ذکر شده است.[46]
با توجه به اينکه ابزار صدور امضاي الکترونيکي ساده در دسترس همگان قراردارد لذا در مقام استناد قابل اعتماد و اطمينان نيستند از اينرو لازم است که مرجع ثالثي کار صدور و نگهداري و تاييد اصالت و اعتبار گواهيهاي الکترونيکي را بعهده داشته باشد اين کار در بسياري از کشورها توسط مراجع دولتي صورت ميگيرد در کشور ما برابر ماده 2 آئين نامه ماده 32 قانون تجارت الکترونيک ، شوراي سياستگذاري گواهي الکترونيکي متشکل از معاونين وزارتخانه هاي مختلف تحت رياست وزير بازرگاني يا معاون وي تشکيل شده و صدور مجوز تاسيس مرکز ريشه صدور گواهي الکترونيک ، سياستگذاريها و نظارت عاليه بر فعاليتهاي مراکز ريشه و مياني و ساير وظايف احصا شده در ماده 3 آئين نامه مذکور را بعهده دارد. برابر ماده 31 نيز ارائه خدمات صدور امضاي الكترونيكي که شامل توليد ، صدور ، ذخيره ، ارسال ، تاييد ، ابطال و به روز نگهداري گواهيهاي اصالات (امضاي) الكترونيكي است توسط دفاتر خدمات صدور گواهي الکترونيکي انجام ميشود همچنين کليه مؤسسات اعم از دولتي يا غيردولتي ميتوانند در حوزه فعاليت داخلي خود بدون اخذ مجوز از مرکز ريشه مبادرت به ثبت و صدورگواهي نمايند. گواهيهايي که توسط اين موسسات صادر ميشود از شمول مقررات ماده 10 خارج بوده و صرفا ًقابل استفاده در همان مؤسسات خواهد بود. بنابراين وقتي از امضاي الکترونيکي مطمئن ياد ميشود منظور آن امضائي است که از دفاتر خدمات صدور گواهي الکترونيکي موضوع ماده 31 قانون تجارت الکترونيک و دفاتر ثبت نام گواهي الکترونيکي موضوع بند پ ماده 4 آئين نامه ماده 32 قانون مذکور صادره شده است ، و ساير موارد تحت شمول عنوان امضاي الکترونيک ساده قرار ميگيرد.
اطمينان بخشي امضاي الکترونيک مطمئن و اعتبار خاصي که مقررات به آن بخشيده است آن را در ميان ساير روشهاي احراز هويت در عمليات الکترونيکي ممتاز نموده است. همچنين خصوصيت ويژه ديگري که امضاي الکترونيک مطمئن نسبت به ساير روشهاي احراز دارد اينست که هويت واقعي فرد را مشخص و تائيد مينمايد.
ساز وکاري که در مبادلات با استفاده امضاي الکترونيک بکارگرفته ميشود تا اطمينان کامل از حفظ محرمانگي و احراز هويت و انکارناپذيري آن حاصل شود بدينگونه است:
1- ايجاد متن پيامي که درصدد ارسال الکترونيکي آن است.
2- جهت اجتناب از انباشتگي و حجيم شدن پيام اصلي در اثر رمزنگاري با استفاده از نرم افزارهاي خاصي پيام باصطلاح هش[47] ميشود.
3- با استفاده از کليد خصوصي پيام خلاصه (هش) شده را رمزنگاري ميکند در اينجا چون پيام با استفاده از کليد خصوصي رمز نگاري شده است هرکسي ميتواند با استفاده از کليد عمومي فرستنده محتواي پيام را رمزگشايي و مشاهده کند.
4- جهت جلوگيري از دسترسي ديگران به محتواي پيام ، فرستنده پيام با استفاده از کليد عمومي گيرنده آن را رمز نگاري ميکند.
5- ارسال پيامي رمزنگاري شده.
6- گيرنده پيام پس از دريافت ابتدا آن را با استفاده از کليد خصوصي خود و سپس با کليد عمومي فرستنده امضاي الکترونيکي آن را رمزگشايي ميکند.
7- با رمز گشايي امضاي الکترونيکي خلاصه پيام بدست مي آيد خلا صه پيام را با خلاصه پيام اصلي مقايسه و در صورتيکه تفاوتي ميان آن دو نباشد هويت فرستنده و درستي پيام احراز ميشود.
فصل سوم - اعتبار قانوني داده پيام هاي الکترونيکي
داده پيام هايي که در فضاي مجازي مبادله ميگردندآيا از نظر قانوني داراي اعتبار هستند؟ وقتي دليل استناد شده در دعواي مطروحه راجع به معاملات تجاري ، يک عدد فايل الکترونيکي است که ادعا ميشود به خوانده تعلق دارد تکليف دادگاه چيست؟ اگر چنين فايلي به عنوان دليل در پرونده پذيرفته شود اعتبار کداميک از ادله اثبات دعوا را خواهد داشت؟ ارزش اثباتي داده پيامهايي که در مقام ادله اثبات دعوي استفاده ميشوند در قبال همديگر چگونه است آيا هرداده پيامي داراي ارزشي همتراز ديگر داده پيام هاست يا تفاوتهايي بين انواع مختلف آنها وجود دارد؟
عليرغم گذشت متجاوز از ده سال از زمان تصويب مقررات تجارت الکترونيک ، توجه زيادي از سوي اساتيد و نويسندگان کتب حقوقي در مورد جنبه هاي حقوقي تجارت الکترونيک و ارزش ادله الکترونيکي مشاهده نميشود هرچند شايد رواج به ظاهر کمتر اين شيوه از تجارت و عدم احساس نياز ، از دلايل موضوع بوده باشد لکن ميتوان گفت دليل عمده آن بخاطر اين است که مقررات قانون تجارت الکترونيک در آن قسمت که مربوط به ارزش ادله اثباتي است براي ادله الکترونيک خصوصيات ويژه و متفاوت از ادله ديگر اثبات دعوي قائل نشده است بنابراين مانند اسناد غير الکترونيکي که به اسناد عادي و رسمي تقسيم شده است اسناد الکترونيکي را نيز ميتوان به اسناد عادي و اسناد ممتاز تقسيم کرد اسناد الکترونيکي عادي نيز در طبقه خود داراي ارزش معادلي با هم نيستند بلکه با توجه به نحوه و ايجاد و ساختار شکلي آن و ميزان اطمينان بخشي و قدرت اثباتي و تاثيري که در اقناع وجدان دادرس ميتوانند داشته باشند با همديگر متمايز هستند ، اسناد الکترونيکي ممتاز نيز بدليل اعتبار خاصي که قانون به آنها بخشيده است دارنده چنين دلايلي را از ارائه دلايل ديگر براي اثبات اصالت آن بي نياز ميکند.
با توجه به قانون تجارت الکترونيک ، ادله الکترونيک را با توجه به ارزش آن ميتوان به دو دسته تقسيم کرد : 1- داده پيام و امضاي الکترونيک ساده 2- داده پيام و امضاي الکترونيکي مطمئن.
3-1 داده پيام و امضاي الکترونيک ساده
ماده 6 قانون تجارت الکترونيک داده پيام را در حکم نوشته کاغذي قرار داده است بنابراين هيچ تفاوتي ندارد که سند مورد استناد در يک دعوي نوشته اي کاغذي باشد مطابق آنچه تاکنون مرسوم بوده و هست يا اينکه داده پيام الکترونيکي باشد البته بدليل اهميت خاصي که برخي اموال دارند براي حکم عام صدر ماده استثنائاتي بيان شده است که عبارتند از الف – اسناد مالكيت اموال غير منقول – ب – فروش مواد دارويي به مصرف كنندگان نهايي ج- اعلام ، اخطار ، هشدار و يا عبارات مشابه يك دستور خاصي براي استفاده كالا صادر ميكند و يا از بكارگيري روشهاي خاصي به صورت فعل يا ترك فعل منع ميكند.
برابر ماده 7 نيز در هر موردي که وجود امضاي فيزيکي لازم باشد امضاي الکترونيک همان اعتبار و اثر را دارد[48] با اين وصف امضاي الکترونيکي از مصاديق امضاي موضوع ماده 1301 قانون مدني ميباشد و بر عليه امضا کننده آن دليل محسوب ميشود. [49] از آنچه گفته شد مشخص ميگردد هر داده پيامي حتي اگر متصف به وصف مطمئن نباشد نيز از نظر مقررات قانون ميتواند داراي اعتبار باشد. ماده 12 قانون تجارت الکترونيک تاييد ديگري بر اعتبار داده پيام ميباشد که اشعار ميدارد در صورتيکه داده پيام بعنوان اسناد و ادله اثبات دعوي ارائه شود هيچ محكمه يا اداره دولتي نميتواندآنها را صرفاً به دليل شكل و قالب آنها رد کند.[50] ارزش اثباتي داده هرکدام از داده پيامها نيز در مقابل ديگري باتوجه به عوامل مطمئنه از جمله تناسب روشها با موضوع و منظور مبادله داده پيام معين ميشود. [51] با اين وجود ، عليرغم تفاوت ارزش داده پيامهاي غير مطمئن با همديگر، بر اساس نوع و ساختار آنها بطور کلي از حيث ادله اثبات دعوي در زمره اسناد عادي قرار ميگيرند. و بنابراين خوانده يا خواهاني که عليه او چنين اسنادي ابراز ميشود ميتواند برابر ماده 216 قانون آئين دادرسي مدني انکار و ترديد نمايد و احکام منکر بر او مترتب خواهد شد.
3-2 داده پيام و امضاي الکترونيکي مطمئن
قانون تجارت الکترونيک نسبت به داده پيام ها و امضاهاي الکترونيکي که شرايط مقرره در آن قانون را را دارا باشند ارزشي همطراز با ارزش اسنادي که در حکم اسناد رسمي هستند قائل شده است برابر ماده 14 قانون تجارت الکترونيک كليه داده پيامهايي كه به طريق مطمئن ايجاد و نگهداري شده اند از حيث محتويات و امضاي مندرج در آن ، تعهدات طرفين يا طرفي كه تعهدكرده وكليه اشخاصي كه قائم مقام قانوني آنان محسوب ميشوند ، اجراي مفاد آن و ساير آثار در حكم اسناد معتبر و قابل استناد در مراجع قضايي وحقوقي است. با توجه به اينکه برابر ماده 15 قانون مذکور انکار و ترديد در قبال داده پيام مطمئن مسموع نميباشد و صرفا ميتوان در قبال آن ادعاي جعليت نمود لذا ميتوان گفت هرچند در فرايند تصويب ماده 14 عبارت در «حکم سند رسمي» به عبارت «درحكم اسناد معتبر و قابل استناد» تغيير يافته است[52] ليکن از نظر ادله اثبات دعوي مقرراتي به مثابه اسناد در حکم اسناد رسمي براي آن مقرر شده است.[53]
براي اينکه داده پيام و امضاي الکترونيکي متصف به وصف مطمئن گردد لازم است حسب مورد شرايط مقرر در ماده 10 و 11 را داشته باشد و مطابق ماده 16 نزد شخص ثالث نگهداري شود.
لازم به توضيح است در قسمت دوم ماده 15 راجع به امکان ادعاي جعليت صرفا داده پيام ذکر شده و به دو گزينه ديگر اشاره اي نگرديده است که بنظر ميرسد علت آن عدم امکان ادعاي جعليت نسبت به امضاي الکترونيک مطمئن و سوابق الکترونيک مطمئن نميباشد بلکه عبارت داده پيام در اين قسمت از ماده برخلاف قسمت اول آن در معناي عام داده پيام استعمال شده است که اعم از داده پيام به معناي خاص و سوابق الکترونيکي و امضاي الکترونيکي ميباشد و اين معنا با توجه به سياق ماده به راحتي قابل استنباط است.
سخن آخر اينکه روشهايي که در معاملات و عمليات تجاري در فضاي مجازي عملا مورد استفاده قرارميگيرند همچنانکه قبلا به تفصيل اشاره شده است متعدد و متفاوت ميباشند بنگاههاي اقتصادي ، بجاي اينکه توجه زيادي به آثار و تبعات روش مورد استفاده خود داشته باشند به تناسب کاري که دارند روشي را بر مي گزينند که بازده مطلوبي از جهت اهداف کسب و کار برايشان داشته باشد از اينرو همواره اقتضائات شغل تجارت و سهولت کار و ارتباط با مشتريان بيش از جنبه هاي قانوني امنيت موردتوجه است و از نظر مديريت کار ، انتخاب روش مناسب از نظر امنيت تجارت بعنوان صرفا بعنوان يکي از پارامترها مورد توجه در مديريت مشاغل مختلف ميباشد. بنابراين در مشاغل مختلفي که از شيوه هاي تجارت الکترونيک سود ميبرند بيشتر بر مسدود کردن راه سوء استفاده و عدم دسترسي اشخاص غير با استفاده از جنبه هاي فني دقت مينمايند تا انتخاب مطمئن ترين راه قانوني ، هرچند که مطمئن ترين راه قانوني خود مطمئن ترين راه فني نيز هست لکن معمولا راحت ترين راه نيست و اين در تجارت اهميت زيادي دارد. بنابراين ممکن است يک شرکت در مبادلات عمده خود از امضاي الکترونيک سود ببرد در حالکيه در فروشهاي کمتر صرفا به روشهاي عادي و غير مطمئن بسنده نمايد.
نتيجه گيري
در تجارت الکترونيک از روشهاي مختلفي براي احراز هويت طرف معامله مورد استفاده قرار ميگيرد که عبارتند از تعيين نام کاربري و رمز و کنترل دستيابي ، استفاده از شناسه هاي فعال و غيرفعال ، شناسايي از طريق اسکن ويژگيهاي حياتي اشخاص ، رمزنگاري و امضاي الکترونيک. اين شيوه ها هرچند از نظر اطمينان بخشي و ارزش استنادي درجات متفاوتي دارند لکن به تناسب کار و درجه سهولت ، همگي روشها مورد استفاده و مرسوم ميباشند لکن امضاي الکترونيک مطمئن، مشخص کننده هويت حقيقي طرف مقابل مبادلات و ارتباطات در فضاي مجازي بوده و ميتواند ضمن تامين امنيت مبادلات و مراسلات الکترونيکي ، غير قابل انکار بودن معاملات را نيز تضمين نمايد.
[1]محمد فتحيان ؛ رامين مولاناپور ، «تجارت الکترونيکي» ، چاپ پنجم ، 1391، صفحه 273
[2]پيام حنفي زاده ؛ مهرداد رضائي ، «تعاريف ، موانع و راهکارهاي تجارت الکترونيکي » ، انتشارات ترمه ، چاپ هفتم 1391 ، صفحه 8 ؛ محمد فتحيان ، رامين مولاناپور ، همان ، صفحه 22
[3]محمد ساردوئي نسب ؛ احد طاهري ، «اسناد تجارتي الکترونيکي» ، نشر ميزان ، چاپ اول 1393 ، صفحه 24
[4]پيام حنفي زاده ؛ مهرداد رضائي ، همان ، صفحه 5
[5]محمد فتحيان ؛ رامين مولاناپور ، پيشين ، صفحه 49
[6]پيام حنفيزاده ؛ مهرداد رضائي ، پيشين ، صفحه 15
[7]United Nations Commission on International Trade Law
[8]Commerce 1996UNCITRAL Model Law of Electronic
[9]محمد ساردوئي نسب ؛ احد طاهري ، همان ، صفحه 15 پاورقي
[10]Signature 2001UNCITRAL Model Law of Electronic
[11]محمدساردوئي نسب ؛ احدطاهري ، پيشين
[12]United Nation Convention on theUse of Electronic Communication in the International Contract 2005
[13]Electronic Commerce Directive
[15]پيشين ، صفحه 56 پاورقي
[16]ماده 1 قانون تجارت الکترونيک :«اين قانون مجموعه اصول و قواعدي است كه براي مبادله آسان وايمن اطلاعات در واسطههاي الكترونيكي و با استفاده از سيستمهاي ارتباطي جديد به كار ميرود».
[17]ماده 6 :«هرگاه وجود يك نوشته از نظر قانون لازم باشد ، «داده پيام» درحكم نوشته است مگر درموارد زير: الف – اسناد مالكيت اموال غيرمنقول ب – فروش مواد دارويي به مصرف كنندگان نهايي ج- اعلام ، اخطار ، هشدار ويا عبارات مشابه يك دستور خاصي براي استفاده كالا صادر ميكند و يا از بكارگيري روشهاي خاصي به صورت فعل ياترك فعل منع ميكند».
[19]پيام حنفي زاده ؛ مهرداد رضائي ، پيشين ، صفحه 202 و 205
[20] محمد فتحيان ، رامين مولاناپور ، پيشين ، صفحه 284
[27]اميرخانعليزاده ، نصراله خاني ، «تجارت الکترونيک» ، ناشر علوم رايانه ، چاپ دوم 1389 ، صفحه 371
[28]ماريا فسلي ، «فناوري عامل درتجارت الکترونيک» ، مترجم ، اکبرداستاني ، ناشر : کيان رايانه سبز ، چاپاول 1389 ، صفحه 370
[29]اميرخانعليزاده ، نصراله خاني ، همان ، صفحه 121
[30]ماريا فسلي ، همان ، صفحه 371
[31]محمد فتحيان ، رامين مولاناپور ، پيشين ، صفحه 284
[32]اميرخانعليزاده ، نصراله خاني ، پيشين ، صفحه 122
[33]محمد ساردوئي نسب ؛ احدطاهري ، پيشين ، صفحه 122
[34]امير خانعليزاده ؛ نصراله خاني ، پيشين ، صفحه 123
[36] محمد فتحيان ؛ رامين مولاناپور ، پيشين ، صفحه 289
[37] محمدجعفر جعفري لنگرودي ، پيشين ، صفحه 636