Створення та сертифікація електронного підпису: Яка є його юридична сила?
У взаємодії в інтернеті, оскільки немає потреби зустрічатися особисто, необхідно переконатися, що відправник та отримувач інформації дійсно є тими, за кого себе видають, і що інформація не була змінена під час передачі.
Тут ми розглянемо створення електронного підпису за допомогою криптографічних технологій, як ефективний засіб для цього, та процес його перевірки.
Що таке електронний підпис
“Закон про електронний підпис (Японський закон про електронний підпис та сертифікаційні послуги)” – це закон, який визначає “електронний підпис”, який застосовується до електронних документів, та його ефективність, а також регулює бізнес, який проводить його сертифікацію, встановлюючи юридичну дійсність електронного підпису.
У цьому Законі про електронний підпис “електронний підпис” – це захід, який виконується щодо інформації, яку можна записати в електромагнітний запис, і який:
- Показує, що цей електронний підпис був створений особисто (автентичність)
- Дозволяє перевірити, чи не були внесені зміни до цього електронного підпису (незмінність)
Відповідає обом цим вимогам (стаття 2, пункт 1 Закону про електронний підпис). Якщо був зроблений електронний підпис, який може бути зроблений тільки особисто, вважається, що він був належно укладений, як і документ, на якому був підпис або печатка особи (стаття 3 Закону про електронний підпис).
Юридична сила електронного договору
Договір укладається, коли сторона, яка показує зміст договору, виражає намір укласти його, а інша сторона погоджується з цим (стаття 522 Цивільного кодексу Японії). Немає необхідності обов’язково створювати письмовий документ. Однак, якщо договір стає предметом суперечки, потрібно мати докази, які можна подати до суду.
У цьому відношенні, “документ повинен довести, що його укладання є дійсним” (стаття 228, пункт 1 Цивільного процесуального кодексу Японії), але коли подається документ на паперовому носії як доказ, якщо на цьому документі є підпис особи або її представника або печатка, вважається, що цей документ був належно укладений (створений за бажанням особи) (стаття 228, пункт 4 Цивільного процесуального кодексу Японії).
У відповідь на це, юридична сила електронного договору була врегульована Законом про електронний підпис для електронних документів.
Сертифікаційні послуги для електронного підпису
Щоб зробити електронний договір доказом у суді, потрібно виконати вимогу “створено особисто”, але на відміну від підпису на папері, який можна перевірити, переглядаючи документ, електронний підпис є електронними даними, тому потрібен спосіб доведення, що він належить особі.
У цьому відношенні, стаття 2 Закону про електронний підпис:
Закон про електронний підпис (визначення) стаття 2
Пункт 2 У цьому законі “сертифікаційні послуги” означають послуги, які доводять, що питання, які використовуються для перевірки, що користувач (далі “користувач”) зробив електронний підпис, стосуються цього користувача, за запитом користувача або іншої особи.
Пункт 3 У цьому законі “спеціальні сертифікаційні послуги” означають сертифікаційні послуги, які проводяться для електронних підписів, які, відповідно до їх методу, можуть бути зроблені тільки особисто і відповідають критеріям, встановленим у наказі відповідного міністерства.
Таким чином, Закон про електронний підпис передбачає, що третя сторона доводить, що електронний підпис був зроблений особисто, і називає цю діяльність “сертифікаційними послугами”, а сертифікаційні послуги, які проводяться для електронних підписів, які можуть бути зроблені тільки особисто і відповідають критеріям, встановленим у наказі відповідного міністерства, визначаються як “спеціальні сертифікаційні послуги”.
На сьогоднішній день технологія сертифікації, яка була прийнята як стандарт для “спеціальних сертифікаційних послуг”, є технологією PKI (Public Key Infrastructure), яка використовує метод шифрування відкритого ключа (стаття 2 Правил виконання Закону про електронний підпис). “Спеціальні сертифікаційні послуги” – це послуги, які використовують цю технологію для шифрування електронних документів тощо та перевірки особи, та видають електронний сертифікат, що доводить, що електронний підпис належить особі. Ці сертифікаційні послуги можуть надавати приватні компанії, а третя сторона, яка надає сертифікаційні послуги, називається “електронною сертифікаційною установою”, і її критерії сертифікації та інше визначаються в статті 4 та наступних Закону про електронний підпис.
Електронний підпис та тайм-стемп
Електронний підпис та тайм-стемп є “доказами”, які гарантують “коли”, “що” та “хто” в інтернет-суспільстві, і є потужним засобом для перевірки автентичності електронних документів.
Створення та відправлення електронного підпису
Створення та відправлення електронного підпису зараз виконується за допомогою “публічного ключа криптосистеми” та методу, що використовує хеш-функцію, використовуючи приватний та публічний ключі як пару, в наступному порядку:
- Автор подає заявку на використання електронного сертифікату до сертифікаційного центру.
- Сертифікаційний центр після перевірки особи та підтвердження відповідності приватного та публічного ключів генерує приватний ключ для шифрування документа та публічний ключ для його розшифрування.
- Сертифікаційний центр видає електронний сертифікат публічного ключа, зареєстрованого автором.
- Автор приймає електронний сертифікат від сертифікаційного центру.
На цій основі, відправник використовує електронний сертифікат для відправлення електронних даних.
- Відправник перетворює електронні дані за допомогою хеш-функції, створюючи хеш-значення (також відоме як дайджест повідомлення). Хеш-функція – це функція, яка перетворює дані (вхідні значення), такі як символи або числа, в деяке числове значення (вихідне значення).
- Це хеш-значення шифрується приватним ключем, що відповідає публічному ключу, підтвердженому електронним сертифікатом. Цю дію називають “електронний підпис”.
- Відправник об’єднує електронні дані (відкритий текст) та електронний підпис, а потім відправляє їх одержувачу разом з електронним сертифікатом.
- Одержувач розділяє отримані дані на електронні дані (відкритий текст) та електронний підпис, а потім генерує хеш-значення з електронних даних (відкритий текст) за допомогою тієї ж хеш-функції, що використовувалася відправником.
- Він розшифровує електронний підпис за допомогою публічного ключа відправника та отримує хеш-значення.
- Порівнюючи хеш-значення, отримані в пунктах 4 та 5, якщо вони співпадають, можна підтвердити, що це електронні дані від відправника, і що вони не були змінені.
За своєю природою, хеш-значення, якщо вміст електронного документу є точно таким же, як і при створенні електронного підпису, хеш-значення, створене при створенні, та розшифроване хеш-значення будуть абсолютно однаковими, а якщо навіть один символ відрізняється, хеш-значення буде абсолютно іншим.
Тому, перевіряючи відповідність двох хеш-значень, можна підтвердити, що відповідний електронний документ не був змінений.
Тайм-стемп
Хоча можна підтвердити, що вміст документа не був змінений, перевіряючи відповідність хеш-значень електронного документа та підписаного документа, “тайм-стемп” (TS) використовується як доказ того, “коли” цей документ існував (доказ існування) та що вміст документа не був змінений після цього часу (доказ незмінності). Тайм-стемп вважається ефективним засобом для перевірки автентичності електронних документів разом з електронним підписом.
Користувач відправляє хеш-значення вихідних даних до часового сертифікаційного центру (TSA: Time-Stamping Authority), а TSA відправляє користувачу TS з часовою інформацією, доданою до цього хеш-значення. Можна підтвердити, що вміст не був змінений, перевіряючи відповідність хеш-значень електронного документа та тайм-стемпа.
Зберігання даних
Компанії та індивідуальні підприємці зобов’язані зберігати документи обліку, такі як замовлення та договори, які є предметом обліку, протягом 7 років (або 10 років), і відповідно до “Японського закону про зберігання електронних обліків” (Закон про спеціальні випадки зберігання документів податкового обліку, створених за допомогою електронних обчислювальних машин), вони також зобов’язані зберігати інформацію про транзакції в разі проведення електронних транзакцій (стаття 10 “Японського закону про зберігання електронних обліків”).
Щодо довгострокового зберігання цих електронних документів, відповідно до правил виконання “Японського закону про зберігання електронних обліків”, необхідно “додати тайм-стемп, що відповідає бізнесу, який сертифіковано Фондом Японської асоціації передачі даних” до відповідного електронного документа (пункт 2 підпункту 5 статті 3 правил виконання “Японського закону про зберігання електронних обліків”) та “забезпечити можливість перевірки інформації про особу, яка здійснює зберігання цього електромагнітного запису, або особу, яка безпосередньо наглядає за цією особою” (стаття 8 правил виконання “Японського закону про зберігання електронних обліків”).
Підсумки
Електронна документація стала основою для реформування бізнес-процесів, покращення обслуговування клієнтів та інших аспектів підвищення ефективності роботи, а значимість запису та управління за допомогою електронної документації зростає щодня.
Електронні договори також визнаються дійсними, і в судовому порядку електронні договори можуть бути використані як докази. Тенденція до електронізації договорів між підприємствами стрімко розвивається. Необхідно розуміти різні закони та нормативні акти, що стосуються електронних договорів, та відповідно реагувати на них.
Інформація про заходи, що вживаються нашим бюро
Юридичне бюро “Моноліт” – це юридична фірма, яка має високу професійність у сфері ІТ, особливо в інтернеті та праві. У останні роки, ситуації, коли використовується електронний підпис, стають все більш поширеними, і потреба в юридичній перевірці все більше зростає. Наше бюро аналізує юридичні ризики, пов’язані з бізнесом, який вже був започаткований або планується започаткувати, враховуючи регулювання різних законів, і намагається легалізувати бізнес без його припинення наскільки це можливо. Деталі описані в статті нижче.