Tworzenie i weryfikacja podpisu elektronicznego: Jakie są jego skutki prawne?
W przypadku interakcji w Internecie, nie ma potrzeby spotykania się twarzą w twarz z drugą stroną, dlatego konieczne jest sprawdzenie, czy nadawca i odbiorca informacji są naprawdę tymi, za kogo się podają, oraz czy informacje nie zostały zmienione w trakcie transmisji.
W tym miejscu omówimy tworzenie podpisów elektronicznych za pomocą technologii szyfrowania, która jest skutecznym środkiem do tego celu, oraz proces weryfikacji.
Czym jest podpis elektroniczny
“Ustawa o podpisie elektronicznym (Japońska Ustawa o podpisie elektronicznym i usługach certyfikacyjnych)” definiuje “podpis elektroniczny” stosowany w dokumentach elektronicznych, reguluje działalność związaną z jego uwierzytelnianiem i określa jego prawną ważność.
W ramach tej Ustawy o podpisie elektronicznym, “podpis elektroniczny” to środek, który można zastosować do informacji, które można zarejestrować w zapisie elektromagnetycznym, który:
- Wskazuje, że dany podpis elektroniczny został utworzony przez osobę, której dotyczy (autentyczność)
- Pozwala na sprawdzenie, czy dany podpis elektroniczny nie został zmieniony (integralność)
Spełnia oba te wymagania (zgodnie z artykułem 2 ustęp 1 Ustawy o podpisie elektronicznym). Jeżeli podpis elektroniczny, który może być wykonany tylko przez osobę, której dotyczy, został wykonany, uważa się, że jest prawdziwy, tak jak dokument podpisany lub opatrzony pieczęcią przez osobę, której dotyczy (zgodnie z artykułem 3 Ustawy o podpisie elektronicznym).
Prawna moc umowy elektronicznej
Umowa jest zawierana, gdy strona, która wyraża zamiar zawarcia umowy, wyraża zgodę na jej treść (zgodnie z artykułem 522 Kodeksu cywilnego). Nie ma konieczności tworzenia dokumentu na piśmie. Jednakże, jeżeli umowa staje się przedmiotem sporu, konieczne jest przedstawienie dowodu w sądzie.
W tym kontekście, zgodnie z artykułem 228 ustęp 1 Kodeksu postępowania cywilnego, “dokument musi udowodnić, że jest prawdziwy”, aby służyć jako dowód w sądzie. Jeżeli dokument na papierze jest przedstawiany jako dowód, uważa się, że jest prawdziwy (utworzony zgodnie z wolą osoby, której dotyczy), jeżeli zawiera podpis osoby, której dotyczy, lub jej pełnomocnika (zgodnie z artykułem 228 ustęp 4 Kodeksu postępowania cywilnego).
W odpowiedzi na to, Ustawa o podpisie elektronicznym uregulowała prawną moc umów elektronicznych.
Usługi certyfikacji podpisu elektronicznego
Aby umowa elektroniczna miała moc dowodową w sądzie, musi spełniać wymóg “utworzenia przez osobę, której dotyczy”. W przeciwieństwie do podpisu na piśmie, który można zweryfikować przez samo spojrzenie na niego, podpis elektroniczny jest danymi elektronicznymi, dlatego potrzebny jest sposób na udowodnienie, że pochodzi od osoby, której dotyczy.
W tym kontekście, artykuł 2 Ustawy o podpisie elektronicznym mówi:
Ustawa o podpisie elektronicznym (definicje) Artykuł 2
Ustęp 2 W tej ustawie “usługi certyfikacji” oznaczają działalność polegającą na potwierdzaniu, że osoba korzystająca z tych usług (zwana dalej “użytkownikiem”) lub inna osoba na jej żądanie, dokonała podpisu elektronicznego, potwierdzając, że dane używane do tego celu dotyczą użytkownika.
Ustęp 3 W tej ustawie “specjalne usługi certyfikacji” oznaczają usługi certyfikacji, które są wykonywane dla podpisów elektronicznych, które tylko osoba, której dotyczą, może wykonać zgodnie z określonymi standardami ustalonymi przez rozporządzenie ministerialne.
W ten sposób, Ustawa o podpisie elektronicznym przewiduje, że osoba trzecia potwierdzi, że podpis elektroniczny pochodzi od osoby, której dotyczy, i nazywa tę działalność “usługami certyfikacji”, a usługi certyfikacji, które są wykonywane dla podpisów elektronicznych, które tylko osoba, której dotyczą, może wykonać zgodnie z określonymi standardami ustalonymi przez rozporządzenie ministerialne, są określane jako “specjalne usługi certyfikacji”.
Obecnie, technologia certyfikacji przyjęta jako standard dla “specjalnych usług certyfikacji” to technologia PKI (Public Key Infrastructure) wykorzystująca kryptografię z kluczem publicznym (zgodnie z artykułem 2 Rozporządzenia wykonawczego do Ustawy o podpisie elektronicznym). “Specjalne usługi certyfikacji” to działalność polegająca na wykorzystaniu tej technologii do szyfrowania dokumentów elektronicznych i weryfikacji tożsamości, a następnie wydawaniu certyfikatu elektronicznego potwierdzającego, że podpis elektroniczny pochodzi od osoby, której dotyczy. Te usługi certyfikacji mogą być świadczone przez prywatne firmy, a instytucje trzecie świadczące usługi certyfikacji są nazywane “centrami certyfikacji elektronicznej”, a ich kryteria akredytacji są określone w artykule 4 i następnych Ustawy o podpisie elektronicznym.
Elektroniczny podpis i znacznik czasu
Elektroniczny podpis i znacznik czasu to “dowody”, które gwarantują “kiedy”, “co” i “kto” w społeczeństwie internetowym, a są one skutecznym środkiem do potwierdzenia autentyczności dokumentów elektronicznych.
Tworzenie i wysyłanie elektronicznego podpisu
Tworzenie i wysyłanie elektronicznego podpisu obecnie odbywa się za pomocą metody wykorzystującej parę kluczy prywatnego i publicznego w “schemacie kryptografii z kluczem publicznym” oraz metody wykorzystującej funkcję skrótu, zgodnie z poniższym procesem:
- Twórca składa wniosek o korzystanie z certyfikatu elektronicznego do organu certyfikującego.
- Organ certyfikujący, po przeprowadzeniu weryfikacji tożsamości i potwierdzeniu zgodności klucza prywatnego i publicznego, generuje klucz prywatny do szyfrowania dokumentu i klucz publiczny do deszyfrowania dokumentu.
- Organ certyfikujący wydaje certyfikat elektroniczny dla klucza publicznego zarejestrowanego przez twórcę.
- Twórca akceptuje certyfikat elektroniczny od organu certyfikującego.
Na tej podstawie, nadawca korzysta z certyfikatu elektronicznego do wysyłania danych elektronicznych.
- Nadawca przekształca dane elektroniczne za pomocą funkcji skrótu, generując wartość skrótu (nazywaną również skrótem wiadomości). Funkcja skrótu to funkcja, która przekształca dane (wartości wejściowe), takie jak litery i cyfry, w pewną wartość numeryczną (wartość wyjściową).
- Tę wartość skrótu szyfruje za pomocą klucza prywatnego odpowiadającego kluczowi publicznemu potwierdzonemu w certyfikacie elektronicznym. Ten akt nazywany jest “elektronicznym podpisem”.
- Nadawca łączy dane elektroniczne (tekst jawny) i elektroniczny podpis, a następnie wysyła je do odbiorcy wraz z certyfikatem elektronicznym.
- Odbiorca dzieli otrzymane dane na dane elektroniczne (tekst jawny) i elektroniczny podpis, a następnie generuje wartość skrótu z danych elektronicznych (tekstu jawnego) za pomocą tej samej funkcji skrótu, którą użył nadawca.
- Odbiorca odszyfrowuje elektroniczny podpis za pomocą klucza publicznego nadawcy, uzyskując wartość skrótu.
- Porównując wartości skrótu uzyskane w punktach 4 i 5, jeśli są one zgodne, można potwierdzić, że dane elektroniczne pochodzą od nadawcy i nie zostały sfałszowane.
Ze względu na swoje właściwości, wartość skrótu dokumentu elektronicznego będzie taka sama jak wartość skrótu odszyfrowanego, jeśli zawartość dokumentu elektronicznego jest dokładnie taka sama jak w momencie podpisania elektronicznego. Jeśli nawet jedno znak jest różne, wartość skrótu będzie całkowicie inna.
W związku z tym, potwierdzenie zgodności dwóch wartości skrótu pozwala na stwierdzenie, że dany dokument elektroniczny nie został sfałszowany.
Znacznik czasu
Można potwierdzić, że zawartość dokumentu nie została zmieniona poprzez sprawdzenie zgodności wartości skrótu dokumentu elektronicznego i podpisanego dokumentu, ale dodatkowo, “kiedy” ten dokument istniał (dowód istnienia) i że zawartość dokumentu nie została zmieniona po tym czasie (dowód nienaruszalności) jest potwierdzana przez “znacznik czasu” (TS). Znacznik czasu, w połączeniu z podpisem elektronicznym, jest uważany za skuteczny środek do potwierdzenia autentyczności dokumentów elektronicznych.
Użytkownik wysyła wartość skrótu oryginalnych danych do organu certyfikującego czas (TSA: Time-Stamping Authority), a TSA wysyła do użytkownika TS z dołączoną informacją o czasie do tej wartości skrótu. Można potwierdzić, że zawartość nie została zmieniona, porównując wartość skrótu dokumentu elektronicznego i wartość skrótu znacznika czasu.
Przechowywanie danych
Firmy i przedsiębiorcy indywidualni są zobowiązani do przechowywania dokumentów księgowych, takich jak zamówienia i umowy, które są przedmiotem przetwarzania księgowego, przez 7 lat (lub 10 lat), a zgodnie z japońską ustawą o przechowywaniu ksiąg elektronicznych (Ustawa o specjalnych przepisach dotyczących sposobu przechowywania dokumentów księgowych związanych z podatkami krajowymi tworzonych za pomocą komputerów), jest obowiązek przechowywania informacji o transakcjach w przypadku przeprowadzania transakcji elektronicznych (Artykuł 10 japońskiej ustawy o przechowywaniu ksiąg elektronicznych).
W odniesieniu do długoterminowego przechowywania tego dokumentu elektronicznego, zgodnie z rozporządzeniem wykonawczym do japońskiej ustawy o przechowywaniu ksiąg elektronicznych, konieczne jest “dołączenie znacznika czasu związanej z pracą, który jest certyfikowany przez Japońską Fundację ds. Komunikacji Danych” do danego dokumentu elektronicznego (Artykuł 3, ustęp 5, punkt 2 japońskiego rozporządzenia wykonawczego do ustawy o przechowywaniu ksiąg elektronicznych), a także “zapewnienie możliwości sprawdzenia informacji dotyczących osoby przechowującej ten zapis elektromagnetyczny lub osoby bezpośrednio nadzorującej tę osobę” (Artykuł 8 japońskiego rozporządzenia wykonawczego do ustawy o przechowywaniu ksiąg elektronicznych).
Podsumowanie
Elektroniczna dokumentacja staje się podstawą dla usprawnienia procesów biznesowych, poprawy obsługi klienta itp., a znaczenie zapisu i zarządzania poprzez elektroniczną dokumentację rośnie z każdym dniem.
Ważność umów elektronicznych jest uznawana, a w sądzie umowy elektroniczne mogą być używane jako dowód. Trend cyfryzacji w umowach między przedsiębiorcami postępuje szybko. Konieczne jest zrozumienie różnych praw i przepisów związanych z umowami elektronicznymi i odpowiednie reagowanie na nie.
Zapoznaj się z naszymi rozwiązaniami
Kancelaria prawna Monolis specjalizuje się w IT, a w szczególności w prawie internetowym. W ostatnich latach obserwujemy wzrost zastosowania elektronicznych podpisów, co zwiększa potrzebę kontroli prawnej. Nasza kancelaria analizuje prawne ryzyka związane z prowadzonymi lub planowanymi działaniami biznesowymi, biorąc pod uwagę różne regulacje prawne. Dążymy do legalizacji działalności bez konieczności jej zatrzymywania, o ile to możliwe. Szczegóły znajdują się w poniższym artykule.