הכנסת אישרה אתמול (26 במרץ 2001) בקריאה שניה ושלישית את חוק חתימה אלקטרונית, התשס"א-2001. החוק מסדיר את מעמדן הראייתי של חתימות אלקטרוניות, קובע את נפקותן של תעודות אלקטרוניות (תעודות המאשרות, כי פלוני הוא בעל אמצעי מסוים לאימות חתימה – המקבילה המקוונת לתעודת זיהוי) ומורה כיצד צריכים לפעול גורם מאשר (Certificate Authority), המנפיק תעודות אלקטרוניות.
בדרך מקרה, בסוף השבוע פרסמה חב' Verisign, המחזיקה בכ- 97% משוק התעודות האלקטרוניות ברחבי תבל, הודעה מרעישה: החברה הנפיקה בשגגה תעודה אלקטרונית לאדם שהזדהה בפניה כנציג חב' מייקרוסופט, למרות שאינו קשור לענקית התוכנה מרדמונד, וושינגטון. מערכי הביקורת של החברה חשפו את הטעות מאוחר מידי ותלונה הוגשה ל- FBI בארצות-הברית. עתה יש בידי אותו מתחזה תעודה היכולה לשמש, לדוגמה, להסוואת מקורם של יישומי מחשב בעלי פוטנציאל הרסני, כדוגמת אפליקציות ActiveX. המבקש להתקין יישומים אלה עלול לסבור בטעות, על יסוד התעודה האלקטרונית, שהוא ניצב בפני יישום של מייקרוסופט בעודו עומד להתקין במחשבו יישום עוין.
סמיכותם האקראית של המאורעות היא מצע נוח לבחינת מהותו ותפקודו של גורם מאשר על-פי חוק חתימה אלקטרונית החדש. מה דורש החוק מאותו גורם, שהוא, הלכה למעשה, משרד הפנים של העולם המקוון? בלשונו היבשה והמדויקת של סעיף ההגדרות בחוק החדש (סעיף 1), גורם מאשר הוא "גורם המנפיק תעודות אלקטרוניות, והרשום במרשם לפי הוראות חוק זה". תעודה אלקטרונית, מצידה, היא מסר אלקטרוני שהנפיק גורם מאשר, המאשר, כי אמצעי אימות חתימה מסוים ("תוכנה, חפץ או מידע יחודיים, הדרושים על מנת לזהות שחתימה אלקטרונית מאובטחת הופקה באמצעי חתימה מסוים") הוא של אדם מסוים. הנה כי כן, תעודה אלקטרונית קושרת בין אדם לבין אמצעי לאימות חתימתו (כדוגמה מובהקת - מפתח הצפנה פרטי), ותפקידו של גורם מאשר הוא להנפיק תעודות כאלה (סעיף 18(א) לחוק). Verisign, שהנפיקה בשגגה תעודה אלקטרונית למתחזה, היא גורם מאשר, אלא שאינה פועלת או רשומה, כמובן, על פי החוק הישראלי.
גורם מאשר אינו חייב להירשם על פי חוק חתימה אלקטרונית, התשס"א-2001. החוק החדש אינו מחייב רישום גורמים כתנאי מוקדם לפעולתם, ויכול בהחלט שיהיה גורם מאשר שאינו רשום. אלא שהחוק מתמרץ בעקיפין גורמים מאשרים להירשם על פי הוראותיו אצל רשם הגורמים המאשרים. הוא עושה זאת בכל אחד מאלה – ראשית, במקום שנדרשת חתימה לפי חיקוק, לא ניתן לקיימה בחתימה אלקטרונית אלא אם לוותה בתעודה אלקטרונית שהנפיק גורם מאשר רשום (סעיף 2(א) לחוק ביחד עם הגדרת "גורם מאשר" בסעיף 1). שנית, אם ליווה אדם את חתימתו האלקטרונית בתעודה אלקטרונית שהנפיק גורם מאשר רשום, חזקה כי זו חתימה אלקטרונית מאובטחת (סעיף 4 לחוק), ואם החתימה מאובטחת – היא נהנית מחזקות שבחוק (סעיף 3 לו: "מסר אלקטרוני החתום בחתימה אלקטרונית מאובטחת, יהיה קביל בכל הליך משפטי ויהווה ראיה לכאורה לכך - (1) שהחתימה היא של בעל אמצעי החתימה; שהמסר האלקטרוני הוא זה שנחתם על ידי בעל אמצעי החתימה"). שלישית, גורם מאשר רשום, יכול שיהיה פטור מהתייצבות לעדות כדי לאשר שהנפיק תעודה מסוימת. במקום התייצבותו רשאי בית המשפט להסתפק בתעודת גורם מאשר, המקבילה לתעודת עובד ציבור בפקודת הראיות (סעיף 5 לחוק). ולבסוף, החוק יוצר הסדר פרטני ביחס לאחריותו הנזיקית של גורם מאשר רשום - הוא לא יהא אחראי לנזק שנגרם עקב הסתמכות על תעודה אלקטרונית שהנפיק, אם הוכיח כי נקט בכל האמצעים הסבירים לקיום חובותיו לפי חוק זה (סעיף 21(א) לחוק). בנוסף, אם הוא קבע הגבלות על סוגי השימוש בתעודה או על סכומי העסקאות שלגביהן ניתן לעשות שימוש בתעודה, לא יהיה אחראי לנזק שנגרם עקב שימוש החורג מההגבלה, ובלבד שפירט הגבלה זו על גבי התעודה (סעיף 21(ב) לחוק החדש).
מהם הנזקים שגורם מאשר יכול שיהיה אחראי בגינם? מדובר בעיקר בנזקי צד שלישי בגין שגגה בהנפקת תעודה אלקטרונית – הווה אומר, הנפקת תעודה המאשרת בטעות את זהותו של בעל אמצעי אימות חתימה (סעיף 18(ב) לחוק). בכך בדיוק כשלה Verisign בטרם התעשתה.
גורם מאשר יכול שיגרום נזק גם אם לא ביטל במועד תעודה אלקטרונית באחד המקרים שחובה עליו לעשות כן על פי סעיף 20(א) לחוק או אם לא רשם תעודה אלקטרונית במירשם התעודות הבטלות למרות שנודע לו על פקיעת תוקפה (סעיף 20(ב) לחוק). Verisign הזדרזה – ובדין – לרשום את התעודות האלקטרוניות שהנפיקה בשגגה ברשימת הפקיעה (Revocation List) שהיא מנהלת. ביטול תעודה אלקטרונית ייעשה באחד המקרים שלהלן: לפי בקשת בעליה; מיד כשנודע לגורם המאשר כי פרט מהפרטים המופיעים בתעודה אינו נכון, או כי נפגמה מהימנות התעודה בדרך אחרת, או כי נפל פגם בחתימתו האלקטרונית המאובטחת של בעל התעודה; כשנודע לגורם המאשר על מותו של בעל התעודה או על פירוקו (א ם הוא תאגיד), ולבסוף - מיד כשנודע לגורם המאשר על פגם בחתימתו האלקטרונית המאובטחת, או במערכות החומרה והתוכנה שלו, שיש בו כדי לפגוע במהימנות חתימתו או במהימנות התעודות האלקטרוניות שהוא מנפיק. בכל אחד מהמצבים הללו, צדדים שלישיים תמי לב המסתמכים על תעודה אלקטרונית וסובלים נזק עלולים לבוא בתביעות כלפי הגורם המאשר.
נזקים אחרים יכול שיתרחשו אם הגורם המאשר לא קיים את חובותיו להצטייד ולקיים מערכות חומרה ותוכנה מהימנות, המעניקות הגנה סבירה מפני חדירה, שיבוש, הפרעה או גרימת נזק למחשב או לחומר מחשב, והמקנות רמה סבירה של זמינות ואמינות (סעיף 11(א)(2) לחוק), ואפשר שגם אם לא מסר לבעל אמצעי חתימה מידע בדבר הסיכונים הכרוכים בשימוש בחתימה אלקטרונית מאושרת, והחובות המוטלות על בעל אמצעי החתימה לפי החוק (סעיף 24(א)(8) לחוק).
סוגיית האחריות מחזירה אותנו לנקודת המוצא – מה צריך גורם מאשר לעשות כדי שיהיה פטור מאחריות לנזקים? סעיף 18(ב) לחוק מבהיר מה הדין מצפה ממנו: "גורם מאשר לא ינפיק תעודה אלקטרונית אלא לאחר שנקט באמצעים סבירים לזהות את המבקש, לבדוק את אמצעי אימות החתימה שבידיו ולבדוק כי הפרטים שבבקשה להנפקת התעודה נכונים ומלאים". שלוש מטלות ניצבות בפני גורם מאשר המבקש לשלול את אחריותו הנזיקית בגין הנפקת תעודה שגויה –
ראשית, עליו לזהות את המבקש על ידי נקיטת אמצעים סבירים. Verisign לא פרטה בהודעתה לעתונות אילו אמצעים נקטה כדי לוודא את זהותו של מבקש התעודה האלקטרונית שהתגלה כמתחזה. נראה, עם זאת, שהנפיקה את התעודה בטרם קיבלה אישור של מייקרוסופט בדואר אלקטרוני חוזר שהיא ביקשה בכלל תעודה כזו.
שנית, עליו לבדוק את אמצעי אימות החתימה שבידי המבקש – כאן, החוק מגלה טפח ומסתיר שניים. אמצעי אימות חתימה, כאמור, הוא "תוכנה, חפץ או מידע יחודיים, הדרושים על מנת לזהות שחתימה אלקטרונית מאובטחת הופקה באמצעי חתימה מסוים". לרוב, אמצעי אימות החתימה הוא מפתח הצפנה פרטי. הגורם המאשר נדרש לוודא כי אמצעי אימות החתימה, מפתח ההצפנה, מתאים להפקת חתימה אלקטרונית מאובטחת ("חתימה אלקטרונית שמתקיימים בה כל אלה: (1) היא ייחודית לבעל אמצעי החתימה; (2) היא מאפשרת זיהוי לכאורה של בעל אמצעי החתימה; (3) היא הופקה באמצעי חתימה הניתן לשליטתו הבלעדית של בעל אמצעי החתימה; (4) היא מאפשרת לזהות שינוי שבוצע במסר האלקטרוני לאחר מועד החתימה"). מוטלת עליו, איפוא, אחריות כבדה. הלכה למעשה יהיה עליו לוודא כי האלגוריתם שאמצעי אימות החתימה משמש בו יכול להפיק חתימות מאובטחות וכן שמפתח ההצפנה הוא באורך המסכל אפשרות לשחזרו בקלות בלתי-סבירה.
שלישית, על הגורם המאשר לבדוק שהפרטים בבקשת אדם להנפיק לו תעודה אלקטרונית הם נכונים ומלאים. חוק חתימה אלקטרונית יהיה טעון תקנות מפורטות, המצויות בהכנה במשרד המשפטים בירושלים. סעיף 24(א)(10) לחוק מבהיר כי התקנות יסדירו גם גם מטלות אלה של גורם מאשר ויקבעו דרכים לזיהוי המבקש ובדיקת אמצעי החתימה שבידיו, לצורך קבלת תעודה אלקטרונית.
כאמור, אם פעל גורם מאשר בעת הנפקת תעודה על פי דרישות החוק, סעיף 21(א) פוטר אותו מאחריות בגין נזק שנגרם למסתמך על תעודה שהנפיק. ואם בכל זאת נגרם נזק, החוק מחייב גורם מאשר להפקיד בידי רשם הגורמים המאשרים, כתנאי לרישומו, ערובה בנקאית או ערובה אחרת לבטח את אחריותו (סעיף 11(א)(3) לחוק). התקנות ייקבעו כיצד תחולט הערובה כדי לפצות מסתמך תמים על נזקיו.
סיום הליכי החקיקה של חוק חתימה אלקטרונית, התשס"א-2001 הם שלב ראשון בהתאמת דיני ישראל לעידן המתוקשב. הצוות שגיבש והוביל את הליכי החקיקה במשרד המשפטים – המשנה ליועמ"ש לחקיקה אזרחית, טנה שפניץ, ומרכזת ועדת הסחר האלקטרוני, עו"ד ליהי פלדמן – מתלבט כבר עתה בסוגיית הכתב והתאמתה לדרישות המסחר האלקטרוני המודרני. לכשייגבשו את המלצותיהן להצעת חוק, ודאי ייפגשו שוב את ח"כ מיכאל איתן (ליכוד) שמכל חברי הכנסת, היה היחיד להתעניין ולקדם את חקיקת חוק חתימה אלקטרונית.