حجية إثبات التوقيع الإلكتروني المحمي
تتميز المعاملات الإلكترونية بأنها لا تلجأ إلى الوثائق الورقية وإنما تعتمد على الرسائل الإلكترونية ، ولما كانت دولة الكويت تتهيأ لتكون مركزاً مالياً عالمياً، لذلك لا بد من التصدي للأثر القانوني للتوقيع الإلكتروني من حيث صحته وإمكان العمل به، حيث يكون للتوقيع الإلكتروني المحمي في نطاق المعاملات المدنية والتجارية والإدارية ذات الحجية المقررة للتوقيع الكتابي متى روعي في إنشائه وإتمامه الضوابط الفنية المنصوص عليها في قانون المعاملات الإلكترونية الكويتي. رقم 20 لسنة 2014
مفهوم التوقيع الإلكتروني
البيانات التي تتخذ شكل حروف أو أرقام أو رموز أو إشارات أو غيرها وتوضع بشكل إلكتروني أو رقمي أو ضوئي أو أي وسيلة أخرى على محرر إلكتروني، ويكون لها طابع يسمح بتحديد هوية الشخص الموقع ويميزه عن غيره.
حجية إثبات التوقيع الإلكتروني المحمي في قانون المعاملات الإلكترونية الكويتي
نظمت اللائحة التنفيذية لقانون المعاملات الإلكترونية الكويتي التي صدرت فس سنة 2015 شروط حجية إثبات التوقيع الإلكتروني المحمي على النحو التالي:
أولاً: الضوابط الفنية للتوقيع الإلكتروني المحمي
1- أن يكون التوقيع مرتبطاً بشهادة تصديق إلكتروني صادرة من مزود خدمات تصديق مرخص له ويجب أن يتوافر في التوقيع الإلكتروني المحمي كحد أدنى العناصر الفنية التالية:
- أ- جهة إصدار شهادة التصديق الإلكتروني، بحيث تحتوي الشهادة على جميع المعلومات الدالة على مزود خدمات التصديق، وتوقيعها الإلكتروني حسب المعيار المعني
- ب- نوع التوقيع، ورقمه التسلسلي، ونطاق عمله
- ج- تاريخ التوقيع وفقاً لمفهوم ختم الوقت، وفترة سريانه
- د- نوع خوارزمية التشفير المستخدم بالمفتاح العام وفقاً لسياسة الشهادة الإلكترونية وإجراءات التصديق الإلكتروني بمزود خدمات التصديق
- هـ- نطاق إستخدام التوقيع وحدود مسؤوليته النظامية، وكذلك شروط حماية سرية المعلومات وبيانات هوية الموقع، والتي تشمل إسمه وعنوانه كاملاً
2- أن تكون شهادة التصديق المرتبطة بالتوقيع سارية المفعول وقت إجراء التوقيع.
3- الحفاظ على سلامة بيانات هوية الموقع، وتوافقها مع شهادة التصديق الإلكتروني.
4- إذا تم التوقيع بالإشتراك مع منظومة بيانات إلكترونية لدى الموقع، فيشترط سلامة الإرتباط المنطقي والفني بين منظومة التوقيع الإلكتروني، ومنظومة البيانات الإلكترونية، وخلوهما من العيوب الفنية التي تؤثر في صحة إنعقاد التوقيع وإرساله.
5- توافر الحد الأدنى من البنية الفنية والإدارية، والموارد ذات الصلة التي تتحقق بهما السيطرة على إجراءات التوقيع، وضمان سرية البيانات حسب الشروط الفنية الواردة في إجراءات التصديق الإلكتروني الخاصة بمزود خدمات التصديق.
6- إلتزام الموقع بجميع الشروط الواردة في إجراءات التصديق الإلكتروني الخاصة بمزود خدمات التصديق فيما يتعلق بإجراء التوقيع الإلكتروني، وبما لا يتعارض مع الأنظمة واللوائح الصادرة من الجهة المختصة.
ثانياً: الإحتياطات اللازمة لتلافي الإستعمال غير المشروع للتوقيع الإلكتروني المحمي
في حالة إجراء توقيع إلكتروني يجب إتخاذ الإحتياطات اللازمة لتلافي أي إستعمال غير مشروع لبيانات إنشاء التوقيع وللمعدات الشخصية المتعلقة بتوقيعه، كما يجب أن تشمل تلك الإحتياطات ما يلي:
- الحفاظ على شهادة التصديق الإلكتروني ووثائق التوقيع الإلكتروني الصادرة من مزود خدمات التصديق التي لها طابع السرية، وعدم تمكين غير المصرح لهم بالإطلاع عليها.
- تطبيق حلول وتقنيات مناسبة وآمنة وغير قابلة للعبث، وفق أحكام مزاولة خدمات التصديق الإلكتروني التي تصدرها الجهة المختصة.
- يجوز للموقع الإستعانة بجهات فنية متخصصة للمراجعة والتدقيق بما يدعم جودة عملية التوقيع وسريته، مع عدم الإخلال بأي ضوابط، أو شروط نظامية، أو تعاقدية بين أطراف التعامل.
- يجب على صاحب التوقيع الإلكتروني إبلاغ مزود خدمات التصديق فور علمه بوجود إستعمال غير مشروع لتوقيعه، على أن يتم توثيق البيانات المتعلقة بالإستعمال غير المشروع.
ثالثاً: إجراءات التحقق من التوقيع الإلكتروني المحمي
يجب على من يعتمد على التوقيع الإلكتروني لطرف آخر أن يبذل العناية اللازمة للتحقق من صحة التوقيع، وذلك بإستخدام بيانات التحقق من التوقيع الإلكتروني، وفق الإجراءات التالية:
- التأكد من منشأ شهادة مرسل الرسالة، وأنها صادرة من مزود خدمات تصديق مرخص له وفق أحكام هذه اللائحة، والتحقق من صلاحيتها، وأنها سارية.
- التأكد من أن البيانات المرفقة مع التوقيع الإلكتروني مطابقة لبيانات صاحب التوقيع من واقع الشهادة الصادرة له.
- عدم ظهور رسائل تنبيه أو تحذير تفيد عدم المطابقة الآلية للتوقيع أو أي خلل آخر ذي صلة بالمنشأ أو المحتوى، وذلك ضمن الرسالة والتوقيع الواردين.
الشروط الواجب توافرها لإعتبار التوقيع الإلكتروني محمياً ومعتمداً
يعتبر التوقيع الإلكتروني محمياً ومعتمداً إذا تحقق ما يلي:
- إذا كانت أداة إنشاء التوقيع المستخدمة مقصورة على الموقع دون غيره
- إذا كانت أداة إنشاء التوقيع وقت التوقيع تحت سيطرة الموقع دون غيره
- إذا كان ممكناً كشف أي تغيير للتوقيع الإلكتروني يحدث بعد وقت التوقيع
- إذا كان ممكناً كشف أي تغيير في المعلومات المرتبطة بالتوقيع يحدث بعد وقت التوقيع
- إذا كان لا يمكن نسخه من الدعامة الإلكترونية التي أنشئ بها
تراخيص مزاولة نشاط التصديق الإلكتروني والتوقيع الإلكتروني
مزود خدمات التصديق الإلكتروني هو الشخص الطبيعي أو المعنوي المعتمد والمرخص له بإصدار شهادات تصديق إلكترونية أو أية خدمات أو مهمات متعلقة بها وبالتوقيعات الإلكترونية، وهذه الشهادات هي التي تصادق على إثبات نسبة التوقيع الإلكتروني إلى شخص معين وتثبت الإرتباط بين الموقع وبين بيانات إنشاء التوقيع إستناداً إلى إجراءات توثيق معتمدة.
شروط الحصول على ترخيص نشاط التصديق الإلكتروني والتوقيع الإلكتروني
يتم تقديم طلب الترخيص إلى الجهة المختصة بإصدار وتجديد التراخيص اللازمة لمزاولة أنشطة خدمات التصديق الإلكتروني والتوقيع الإلكتروني، ويجب توافر عدة شروط في مقدم طلب الترخيص أو التجديد لمزاولة أنشطة خدمات التصديق الإلكتروني والتوقيع الإلكتروني وهي:
أولاً: منظومة بيانات إلكترونية ومنظومة لشهادات التصديق الإلكتروني ولتوقيعات إلكترونية متكاملة لا تقل عن المستوى الأمني للمعايير المحددة من الجهة المختصة، حسبما يرد في إجراءات التصديق الإلكتروني والتوقيع الإلكتروني، وفقاً للضوابط التالية:
- عدم قابلية المفاتيح الخاصة أو البيانات المكونة للتوقيع الإلكتروني للإستنتاج أو الإستنباط، وتحدد الجهة المختصة المعايير اللازمة لذلك.
- الحفاظ على سرية البيانات وحمايتها من التلف أو التزوير أو الإختراق، وفق المستوى الأمني المحدد من قبل الجهة المختصة.
ثانياً: بنية تحتية فنية وموارد إدارية على درجة عالية من الكفاءة وبمستوى لا يقل عن المعايير المعتمدة من الجهة المختصة، لتشغيل وإدارة جميع عمليات التصديق الإلكتروني والتوقيع الإلكتروني التي من أهمها:
- إصدار شهادات التصديق الإلكتروني، وما يتبع ذلك من تجديد للشهادات ووفقها وإلغائها وإعادتها.
- إدارة عمليات التشفير وما يتبعها من حفظ للمفتاح الخاص بمزود خدمات التصديق، وكذلك للمفاتيح العامة.
- إستخدام أفضل الأنظمة والمعايير العالمية في أمن المعلومات، وفقاً للضوابط التي تحددها الجهة المختصة.
ثالثاً: إتاحة البيانات الخاصة بالتحقيق من صحة الشهادات والتوقيعات الإلكترونية لجميع أطراف التعامل الإلكتروني، مع ضمان ربطها مباشرة بقوائم الشهادات الموقوفة والملغاة.
رابعاً: تأسيس جميع الموارد الإلكترونية وتشغيلها وإدارتها وفق آلية تضمن عمليات الحفظ والأرشفة، وكذلك النقل إلى منظومات وقواعد بيانات أخرى، مع توفير البدائل والخطط التي بموجبها يتم ضمان إستمرار الخدمة.
خامساً: إصدار شهادة فنية من مدير جذر التصديق بالموافقة على الربط مع جذر التصديق ونص الشروط والضوابط التي يحددها مدير جذر التصديق والمعتمدة من الجهة المختصة.
إلتزامات مزود خدمات التصديق الإلكتروني للحصول على الترخيص
إعداد العقود وتحديد مقابل الخدمات
على مزود خدمات التصديق الإلتزام بإعداد العقود والإجراءات التفصيلية وكذلك مقابل الخدمات التي يؤديها، وإعتمادها من قبل الجهة المختصة بإصدار التراخيص اللازمة لمزاولة خدمات التصديق الإلكتروني والتوقيع الإلكتروني بما يحفظ حقوق جميع الأطراف ذات العلاقة.
إعداد خطة إنهاء النشاط
يلتزم مزود خدمات التصديق أيضاً بتقديم خطة إنهاء النشاط التي تتضمن تفاصيل الإجراءات الواجب إتباعها عندما يتوقف عن ممارسة نشاطه بناءاً على طلبه، أو في الحالات التي يتم إيقافه فيها أو إلغاء ترخيصه أو عدم تجديده للترخيص، وذلك بما يضمن حقوق جميع الأطراف ذوي الصلة.
تقديم الضمانات والتأمينات
يقدم طالب الترخيص بمزاولة أنشطة التصديق الإلكتروني والتوقيع الإلكتروني الضمانات والتأمينات التي تحددها الجهة المختصة بإصدار التراخيص اللازمة لمزاولة خدمات التصديق الإلكتروني والتوقيع الإلكتروني، وذلك لتغطية الأضرار أو الأخطار التي تتعلق بذوي الشأن في حالة إنهاء الترخيص أو إلغائه أو وقفه لأي سبب، أو لتغطية أي إخلال أو قصور يقع من جانبه في الإلتزامات الواردة في الترخيص.
مسئولية مزود خدمات التصديق
يٌسأل مزود خدمات التصديق عن جميع الخدمات والموارد الإدارية والفنية التي تكون تابعة له سواء بشكل مباشر أو غير مباشر أمام عملائه المستفيدين.
الشروط الواجب توافرها في طلب وقف النشاط أو التنازل عن الترخيص أو الإندماج
يجب للموافقة على طلب وقف النشاط أو التنازل عن الترخيص أو الإندماج أن تتوافر الشروط التالية:
- أن يستمر مزود خدمات التصديق في تقديم خدماته للمستفيدين، ولا يجوز لأي سبب التوقف عن تقديمها إلى حين إستيفاء الشروط التي تضعها الجهة المختصة والحصول على موافقتها، وذلك لضمان حقوق الأطراف ذات الصلة.
- عدم تنازل مزود خدمات التصديق أو الإندماج مع أي طرف آخر إلا بعد موافقة الجهة المختصة وتقديم دراسة شاملة، موضحاً بها المسوغات والأهداف وأثر ذلك على الخدمات والمستفيدين.
وللجهة المختصة بناءً على ما تقتضيه الأنظمة ومصلحة المستفيدين قبول الطلب أو رفضه أو تعديله.