סקירת רגולציה עולמית בתחום חתימה דיגיטלית 

מאת: רונן כהן צמח מנכ"ל קבוצת ארכיביון ומומחה בתחום אבטחת המידע

מתוך ילקוט מאמרים: מאמר מספר 23

מאחר וקבוצת ארכיביון פעילה בארגון העולמי של חברות הארכיב הסריקה ושירותי הגריסה והקולגות שלנו בכל העולם עוסקים ברגולציה ומרבית הוועידות שלנו עוסקות בשיתוף ידע בין מדינתי לרבות מה נהוג בכל יבשת בחרתי להביא סקירה זו שנותנת מענה לגבי רגולציה נהוגה במדינות אירופה, ארצות הברית ,יפן ואוסטרליה. 

המעבר הגלובלי לדיגיטציה של תהליכים עסקיים וממשלתיים יצר צורך קריטי במסגרת משפטית אחידה ואמינה להכרה בחתימות אלקטרוניות. שתי המערכות המשפטיות הגדולות והמשפיעות ביותר בעולם – האיחוד האירופי (EU) וארצות הברית (US) – ניגשו לאתגר זה באמצעות מודלים רגולטוריים שונים במהותם, אך שניהם מכוונים להבטיח את תוקפן המשפטי של חתימות אלו. בנוסף, מדינות כמו יפן ואוסטרליה אימצו חקיקה ייחודית משלהן.

1. חקיקה באיחוד האירופי: רגולציית eIDAS

המסגרת המשפטית העיקרית והמקיפה ביותר באיחוד האירופי בנושא זיהוי אלקטרוני ושירותי אמון היא רגולציית eIDAS ראשי התיבות 

   Electronic Identification, Authentication and Trust Services

זיהוי אלקטרוני, אימות ושירותי אמון

1. החקיקה והתקנות העיקריות של eIDAS  

רגולציית eIDAS נכנסה לתוקף ב-1 ביולי 2016, והחליפה את הדירקטיבה הקודמת משנת 1999. eIDAS 

ההבדל בין הרגולציה לדירקטיבה הוא שהיא חלה ישירות ובאופן אחיד בכל המדינות החברות באיחוד האירופי ובכך היא מבטיחה אחידות משפטית חוצת גבולות. 

הרגולציה מסדירה לא רק חתימות אלקטרוניות, אלא גם שירותי אמון נוספים כגון חותמות אלקטרוניות, חותמות זמן, שירותי משלוח אלקטרוני, רישום אלקטרוני ותעודות אימות אתרים. להלן TRUST SERVICES

1.2 . סוגי חתימות אלקטרוניות לפי eIDAS והתוקף המשפטי שלהן

רגולציית eIDAS קובעת מדרג של שלושה סוגי חתימות אלקטרוניות, כאשר לכל אחת רמת אבטחה ותוקף משפטי שונים:

א. חתימה אלקטרונית פשוטה (SES – Simple Electronic Signature): זהו למעשה כל נתון בצורה אלקטרונית המשמש כחתימה (כגון הקלדת שם או לחיצה על "אשר"). מבחינה משפטית, אסור לשלול את קבילותה המשפטית רק בשל צורתה האלקטרונית, אך נטל ההוכחה לקבילותה נמצא בדרך כלל על הצד המסתמך על החתימה.

ב. חתימה אלקטרונית מתקדמת (AdES – Advanced Electronic Signature):   

חתימה זו מחייבת רמת אבטחה גבוהה יותר. היא חייבת להיות מקושרת באופן ייחודי לחותם, מאפשרת את זיהויו, נוצרה באמצעות נתונים הנמצאים בשליטתו הבלעדית של החותם, וקשורה לנתונים הנחתמים באופן שניתן לזהות כל שינוי שנעשה בהם לאחר החתימה. רמת אבטחה גבוהה יותר זו מקלה על הוכחת קבילותה המשפטית.

ג. חתימה אלקטרונית כשירה   (QES – Qualified Electronic Signature): זוהי הדרגה הגבוהה ביותר. זוהי חתימה אלקטרונית מתקדמת שנוצרה באמצעות אמצעי יצירת חתימה כשיר (QSCD) ומבוססת על תעודת חתימה כשירה שהונפקה על ידי ספק שירותי אמון כשיר (QTSP), אשר זהותו אומתה בהליך מחמיר. סעיף 25(2) ל-eIDAS קובע כי ל-QES יש תוקף משפטי שווה ערך לחתימה בכתב יד ("Wet-Ink"), והיא מוכרת ככזו בכל מדינות האיחוד. 

במקרה של ערעור על תוקפה, נטל ההוכחה מוטל על הצד המערער.

2. אכיפת הכללים באירופה

האכיפה מבוצעת על ידי "גופי הפיקוח" (Supervisory Bodies) הלאומיים המיועדים בכל מדינה חברה. גופים אלו אמונים על הענקת מעמד "כשיר" לספקי שירותי אמון (QTSP), פיקוח שוטף עליהם, ורישום ה-QTSPs ברשימות האמון הלאומיות, המצטרפות ל-"EU Trust Backbone" (EUTL). הנציבות האירופית אחראית על התיאום ועל עדכון הרגולציה (כמו התיקון האחרון, eIDAS 2.0).

1. .החקיקה בארצות הברית: ESIGN ו-UETA – גישה ניטרלית לטכנולוגיה

הגישה המשפטית בארצות הברית היא "ניטרלית לטכנולוגיה" ומתמקדת בעיקר בכוונת הצדדים והסכמתם לנהל עסקים באופן אלקטרוני. מסגרת זו מורכבת משני חוקים עיקריים הפועלים במקביל: חוק פדרלי וחוק מודל מדינתי.

1. החקיקה הפדרלית       ESIGN Act

שם החוק הוא Electronic Signatures in Global and National Commerce Act 

החוק נכנס לתוקף ב-1 באוקטובר 2000. זהו חוק פדרלי שמטרתו להבטיח שבמסחר בין-מדינתי לא ניתן יהיה לשלול תוקף משפטי, קבילות או תוקף אכיפתי של חוזה או חתימה, רק בגלל שהוא בצורה אלקטרונית. החוק חל על כל 50 המדינות בארצות הברית.

3.2  החקיקה המדינתית     UETA

שם החוק הוא Uniform Electronic Transactions Act (UETA)  והוא נוסח לראשונה בשנת 1999 ומספק מסגרת חוקית אחידה ברמת המדינה לעסקאות אלקטרוניות. כאשר מדינה מאמצת אותו  היא גוברת על ה-ESIGN Act   הפדרלי בתחום השיפוט שלה, כל עוד UETA עומד בתנאי האכיפה של ESIGN 

3.3 דרישות התוקף המשפטי של התעודות בארה"ב

על מנת שחתימה אלקטרונית תוכר כבעלת תוקף משפטי תחת ESIGN ו-UETA, היא חייבת לעמוד בארבעה יסודות מרכזיים:

1. כוונה לחתום (Intent to Sign): החותם חייב להפגין כוונה ברורה להתחייב להסכם.
2. הסכמה לנהל עסקים באופן אלקטרוני 

   Consent to do business electronically

  הצדדים לעסקה חייבים להסכים במפורש להשתמש בחתימות אלקטרוניות.

1. ייחוס (Attribution) ושיוך לרשומה (Association): החתימה חייבת להיות מיוחסת לחותם, ונדרש תיעוד של התהליך שבו נוצרה.
2. שמירת רשומות (Record Retention): המסמך החתום והרשומה הנלווית (Audit Trail) חייבים להיות ניתנים לשמירה, העתקה מדויקת ונגישים לכל הצדדים.

בניגוד לאירופה, בארה"ב אין גוף פיקוח פדרלי ייעודי המפקח על "ספקי שירותי אמון". האכיפה היא בעיקרה שיפוטית – כלומר, התוקף המשפטי והאכיפה נקבעים על ידי בתי המשפט בהתאם לנסיבות העסקה והאם עמדה בדרישות ESIGN ו-UETA.

4. רגולציה של חתימה אלקטרונית במדינות נוספות

4.1 יפן

שם החוק העיקרי הוא Act on Electronic Signatures and Certification  Business (חוק החתימות האלקטרוניות ועסקי ההסמכה), שנכנס לתוקף ב-אפריל 2001. החוק קובע שחתימה אלקטרונית על מסמך נחשבת לאותנטית אם היא מיוצרת על ידי החותם והוא שולט בה באופן בלעדי. החוק היפני אינו יוצר מדרג רשמי כמו eIDAS, אך הוא מסדיר "עסקי הסמכה מוסמכים" (ACBs) המספקים תעודות דיגיטליות חזקות, המקבלות חזקת תוקף משפטי גבוהה בדומה לחתימה בכתב יד. האכיפה נעשית על ידי רשויות ממשלתיות, כגון הסוכנות הדיגיטלית.

4.2  אוסטרליה

שם החוק העיקרי הוא Electronic Transactions Act 1999 (ETA) (חוק העסקאות האלקטרוניות), שנכנס לתוקף ב-1999, עם חוקים תואמים בכל מדינה (Local ETA). החוק קובע כי לא ניתן לשלול תוקף משפטי ממסמך רק בגלל שהוא אלקטרוני. הדרישות הן: שיטה המשמשת לזיהוי החותם, שיטה המעידה על כוונת החותם לאשר את התוכן, והשיטה היא אמינה ככל הנדרש בנסיבות העניין. האכיפה היא בעיקרה שיפוטית, ונקבעת על ידי בתי המשפט.

5. השוואה וניתוח טכני: מנגנוני חתימה וחוזק הצפנה

ההבדל המהותי בין המודלים מתבטא באופי הגישה: eIDAS מציעה מסגרת מחמירה ומפוקחת (רגולציה מחייבת), המכירה בשלוש רמות חתימה; לעומתה, המודל האמריקאי (ESIGN/UETA) הוא ניטרלי לטכנולוגיה, גמיש ורחב יותר, ומעניק תוקף לרוב החתימות האלקטרוניות הסטנדרטיות אם עומדות בדרישות הכוונה והשיוך. המודל היפני משלב בין ניטרליות להסדרה של שירותי הסמכה מוסמכים.

5.1 חוזק ההצפנה וניהול המפתחות

הבדלי החוזק אינם מתמקדים באלגוריתם ההצפנה עצמו (שכן שתי המערכות משתמשות בסטנדרטים קריפטוגרפים מקובלים), אלא במנגנון שבו נוצרים ונשמרים מפתחות ההצפנה (ה-Private Keys.

5.2   המנגנון האירופי (eIDAS – QES) וחוזק האבטחה: רגולציית eIDAS דורשת חוזק קריפטוגרפי גבוה באופן מובנה עבור חתימה כשירה (QES). חתימת QES חייבת להיווצר באמצעות "אמצעי יצירת חתימה כשיר" (QSCD). זהו רכיב חומרה מאובטח (כגון כרטיס חכם או HSM) שנועד להבטיח שהמפתח הפרטי של החותם נמצא בשליטתו הבלעדית ואינו ניתן להעתקה או לחילוץ. 

החוזק נובע מההגנה הפיזית והקריפטוגרפית על המפתח (חובה לשמור אותו ב-QSCD), מה שהופך את החתימה לבעלת רמת אי-התכחשות (Non-Repudiation) הגבוהה ביותר.

5.3  המנגנון האמריקאי (ESIGN/UETA) וחוזק האבטחה: החוקים בארה"ב הם ניטרליים לטכנולוגיה, ולכן אינם דורשים או אוכפים שימוש ברכיב חומרה מאובטח (QSCD) או ברמת הצפנה מינימלית ספציפית מעבר לסטנדרטים המסחריים המקובלים. מרבית הפתרונות המסחריים בארה"ב משתמשים בחתימה דיגיטלית מבוססת PKI עם אלגוריתמים חזקים. אין דרישה חוקית שהמפתח הפרטי ישמר ברכיב חומרה כשיר. החוזק נמדד באיכות תיעוד הביקורת (Audit Trail), הכולל פרטים רבים (IP, חותמת זמן, אימות) כדי להוכיח את כוונת החתימה והשיוך, ולאו דווקא באיכות הפיזית של המפתח.

המסקנה: המנגנון האירופי, במיוחד בדרגת ה-QES, הוא מחמיר משמעותית מבחינת אבטחת יצירת המפתח (באמצעות חומרה כשירה – QSCD), ועל כן נחשב לבעל רמת אבטחה סטטוטורית גבוהה יותר מזו הנדרשת מפורשות על פי חוקי ESIGN/UETA הפדרליים בארה"ב. עם זאת, שני המודלים הצליחו להביא למהפכה באופן שבו עסקים ופרטים מנהלים עסקאות חוצות גבולות באופן מאובטח.

בישראל המחוקק קבע כללים המדמים את הכללים הנהוגים באירופה, והסמיך גופים באמצעות משרד המשפטים אשר יכולים למכור ולשווק שרתי חתימות דיגיטליים וכרטיסים ולאמת את האותנטיות של המשתמשים.

למידע מקצועי נוסף והטמעה של חתימה דיגיטלית גם בסביבת העבודה שלכם נשמח לסייע.