התקנות האירופיות על חתימה אלקטרונית ואמצעי אימות אלקטרוניים
ב-1 ביולי 2016 נכנסו לתוקף באיחוד האירופי תקנות חדשות על חתימה אלקטרונית ואמצעי אימות אלקטרוניים אחרים. התקנות, המכונות בקיצור eIDAS, מביאות עמן רפורמה בפלח של מרחב הסייבר באירופה. הן מחליפות את הדירקטיבה האירופית על חתימות אלקטרוניות משנת 1999 שהתוותה עקרונות כלליים שמדינות האיחוד נדרשו לאמץ בחקיקה לאומית פנים-מדינתית. התוצאה התבטאה בדיני חתימה אלקטרונית שונים מאוד בין מדינות האיחוד. השונות הציבה מחסומים בפני פעילות מסחרית חוצה-גבולות בקרב מדינות האיחוד.
להבדיל מהדירקטיבה, התקנות החדשות חלות במישרין בדין הלאומי של כל מדינות האיחוד האירופי. הדין במדינות האיחוד האירופי יהיה אפוא אחיד הרבה יותר בנושא זה.
התקנות החדשות הן חוליה במהלך רחב היקף של האיחוד האירופי למצב את אירופה כ"שוק דיגיטלי אחיד". הן נועדו לאפשר ממשקים אלקטרוניים מהימנים בין עסקים, תושבים וגופים ציבוריים באיחוד האירופי, להגביר את האמון בסחר אלקטרוני ובכך לקדם ולהרחיב את השימוש בשירותים מקוונים.
חתימות וחותמות אלקטרוניות (Electronic Signatures and Electronic Seals)
התקנות מסדירות שלושה מדרגים של חתימות אלקטרוניות המיועדות לשימוש בני אדם, ושלושה מדרגים מקבילים של חותמות אלקטרוניות (electronic seals) המיועדות לשימוש תאגידים:
- חתימה אלקטרונית וחותמת אלקטרונית "רגילה". זהו מידע אלקטרוני שמשויך לתוכן אלקטרוני כלשהו ומשמש לצורך חתימה. לדוגמה, מקבץ התווים המרכיבים את שמו של החותם בסוף הודעת דואר אלקטרוני.
- "חתימה אלקטרונית מתקדמת" ו"חותמת אלקטרונית מתקדמת" (advanced electronic signature/seal). אלה נדרשות לקיים ארבעה תנאים פונקציונליים שמטרתם לאפשר זיהוי של האדם או התאגיד החותם ולאמת שהתוכן החתום הוא אכן זה שנחתם על-ידם. הן דומות לחתימה אלקטרונית מאובטחת לפי חוק חתימה אלקטרונית בישראל.
- "חתימה אלקטרונית מאושרת" ו"חותמת אלקטרונית מאושרת" (qualified electronic signature/seal). אלה מבוססות על אמצעי חתימה או אמצעי חותמת שהונפק על-ידי גורם מאושר לשירותי אימות אלקטרוניים (trust services – עליהם נרחיב בהמשך). הן נדרשות לקיים את התנאים של חתימה או חותמת אלקטרונית מתקדמת (לפי העניין) וכן תנאים נוספים שנועדו להגביר את מהימנות אמצעי החתימה או החותמת, אבטחת המידע בהם ואימות זהותו של בעל אמצעי החתימה או החותמת. הן דומות לחתימה אלקטרונית מאושרת לפי חוק חתימה אלקטרונית בישראל.
תאגיד לא רשאי לחתום בחתימה אלקטרונית מתקדמת או מאושרת המזהה את התאגיד עצמו. במקום זאת, תאגידים רשאים לחתום בחותמת אלקטרונית (electronic seal) הנושאת את שם התאגיד ונמסרת לשימוש מורשה חתימה בתאגיד. לחילופין, מורשה חתימה בתאגיד רשאי לחתום באמצעות חתימה אלקטרונית המזהה אותו.
אמצעי אימות אלקטרוניים נוספים
התקנות מסדירות סוגים נוספים של אמצעי אימות אלקטרוניים לשימוש בסחר אלקטרוני:
- חותמת זמן אלקטרונית (electronic time stamp) המשמשת ראיה לכך שהתוכן האלקטרוני שאליו היא מוצמדת היה קיים במועד המתועד בחותמת;
- שירות דואר אלקטרוני רשום (electronic registered delivery services) המספק ראיה למשלוח מידע אלקטרוני והגעתו לנמען ומגן על שלמות המידע ומפני גישה לא מורשית;
- תעודה אלקטרונית המשמשת לאימות אתר אינטרנט וזיהוי בעליו או מפעיליו (certificate for website authentication).
האמצעים הללו מוסדרים בשני מדרגים: אמצעי "רגיל" ואמצעי "מאושר" (qualified) שמונפק על-ידי גורם מאושר לשירותי אימות אלקטרוניים ומקיים שורה של תנאים שנועדו להגביר את מהימנותו.
מעמד משפטי
התקנות קובעות הוראות מיוחדות על מעמדם המשפטי של אמצעי אימות אלקטרוניים:
- חתימה אלקטרונית מאושרת היא שוות-ערך לחתימה בכתב יד;
- חתימה או חותמת אלקטרונית מאושרת שהונפקה באחת ממדינות האיחוד תהיה תקפה ומוכרת לשימוש בכל מדינות האיחוד;
- גופים ציבוריים במדינות האיחוד האירופי המעניקים שירות מקוון חוצה-גבולות לא רשאים לדרוש שימוש באמצעי אימות אלקטרוני בעל תכונות אבטחה העולות על חתימה או חותמת אלקטרונית מאושרת;
- חותמת אלקטרונית מאושרת נהנית מחזקה משפטית שלפיה היא מזהה לכאורה את התאגיד וכי מקורו של התוכן שעליו מתנוססת החותמת הוא לכאורה התאגיד בעל החותמת; גם דואר אלקטרוני רשום מאושר ייהנה מחזקות משפטיות המתאימות לאופיו;
- מעמדם וקבילותם המשפטיים של חתימה וחותמת אלקטרונית רגילות, דואר אלקטרוני רשום רגיל וחותמת זמן אלקטרונית רגילה, לא ישללו רק בשל היותם אלקטרוניים.
ספקי שירותי אימות אלקטרוניים
גורמים מאושרים לשירותי אימות אלקטרוניים כמו גם גורמים לא מאושרים נדרשים לנקוט אמצעי אבטחת מידע והגנת מידע נאותים ולדווח על תקריות אבטחת מידע (breach notification). התקנות קובעות אחריות מוגברת והסדרי פיקוח הדוקים יותר על גורמים מאושרים, לרבות כפיפות לפיקוח רגולטורי קבוע, ביצוע ביקורת חיצונית, החזקת הון הולם וקיום כיסוי ביטוחי. על גורם מאושר חלה חזקה משפטית כי הוא נושא באחריות לנזק שנגרם עקב הפרת הוראות התקנות על-ידו. התקנות גם מאפשרות לספקי שירותי אימות אלקטרוניים המאוגדים במדינה חוץ-אירופית לפעול כגורמים מאושרים באיחוד האירופי במידה והם מקיימים את דרישות התקנות החלות על גורמים מאושרים ומדינת ההתאגדות שלהם התקשרה בהסכם עם האיחוד האירופי להכרה הדדית בגורמים מאושרים.
תעודות זהות אלקטרוניות (Electronic Identification)
התקנות מקדמות הכרה הדדית בתעודות זהות אלקטרוניות בין מדינות האיחוד: גוף ציבורי באחת ממדינות האיחוד המציע שירותים מקוונים הדורשים אימות באמצעות תעודת זהות אלקטרונית יאפשר שימוש בתעודות זהות שמדינות אחרות באיחוד הנפיקו לתושביהן, אם הן מאמתות באופן מספק את זהות בעל התעודה. הכרה חוצה-גבולות של תעודות זהות אלקטרוניות במגזר הפרטי תהיה וולונטרית.