מאמרים ורשימות
סדנה לדיני מחשבים
החוק נגד "דואר זבל"
זכויות יוצרים באינטרנט
ארכיב מסמכים סרוקים
"טיפים" לחוזים טכנולוגיים
רישוי תוכנה - עקרונות
הפרת חוזה מחשוב-פיצויים
הסכם תחזוקת תוכנה-דוגמה
הסכם רשיון לתוכנה - דוגמה
נאמנות לתוכנת מקור-דוגמה
הסכם ליועץ מחשוב - דוגמה
תוכנות מקור - הבהקים
אופן הרישום של מאגרי מידע
החתימה האלקטרונית
מי צריך "עו"ד למחשבים" ?
תקנון אינטרנט - דוגמה
בל"ל ופרטיות הרמטכ"ל
יגאל עמיר באינטרנט
חוק חובת המכרזים
מסעיפי חוק הירושה
צוואה עכשיו ?
מ ו ז ר . . .

קישון על עו"ד


חתימה אלקטרונית / גד אופנהיימר

  1. קבילות רשומות בחוק המחשבים

    חוק המחשבים, התשנ"ה – 1995, עוסק בהיבטים משפטיים שונים של ענף המחשוב כגון עבירות מחשב במישור הפלילי, גרימת נזקים במישור האזרחי (נזיקין), ועוד. בין היתר נקבעו בו גם הוראות בתחום דיני הראיות. סעיף 10 לחוק קובע חזקה לפיה רשומה ממוחשבת יכולה לשמש ראיה קבילה להוכחת אמינות תוכנה בכל הליך משפטי, אם נתקיימו כל התנאים הבאים:

    • הארגון אשר ברשומותיו מדובר נוהג, במהלך ניהולו הרגיל, לערוך רישום של האירוע נושא הרשומה בסמוך להתרחשותו ;
    • דרך איסוף הנתונים נושא הרשומה ודרך עריכת הרשומה יש בהן כדי להעיד על אמיתות תוכנה של הרשומה.
    • דרך הפקת הרשומה יש בה כדי להעיד על אמינותה.
    • הארגון נוקט באורח סדיר אמצעי הגנה סבירים מפני חדירה לחומר מחשב ומפני שיבוש בעבודת המחשב.

    לפיכך בכל מקרה ספציפי יש לבדוק את מידת התאמתה של מערכת המידע הרלבנטית לדרישות הנ"ל. נניח שבמערכת אותה נבדוק נמצא תכונות ומאפיינים כדלקמן:

    • רישום כל הנתונים במערכת נעשה בזמן אמיתי.
    • כל נתוני המערכת נשמרים בה לצמיתות, לרבות ביטולי הוראות ויצירת הוראות חדשות.
    • קיים מערך מפורט, מסודר ומקצועי של מידור ושל הרשאות.
    • המערכת מבצעת שיוך חד משמעי וחד ערכי של כל רשומה ופעולה לרופא מסוים.

    בדוגמה זאת המסקנה תהיה כי רשומות ממוחשבות מתוך מערכת זו אשר יוגשו לבית משפט במסגרת הליכים משפטיים כלשהם יהיו קבילים ובעלי משקל ראוי, וחזקה עליהם כי תוכנם נכון. יודגש כי החזקה אינה מוחלטת וכי אם יוכח על ידי מאן דהוא כי הרשומה מזויפת, לא תעמוד יותר החזקה בדבר אמיתות התוכן בתוקפה.

    יצוין כבר עתה כי למרות חשיבות המשמעות הנ"ל, אין היא מספיקה כלל ועיקר באותם מקרים בהם נדרשת גם חתימה אלקטרונית מאובטחת ומאושרת – מונחים אשר יבוארו בהמשך.

  2. משמעות החתימה במערכת המשפט

    לעניין מהות ומשמעות החתימה בכלל, והחתימה האלקטרונית בפרט, יפים דבריו של עו"ד יהונתן בר שדה בספרו" האינטרנט והמשפט המסחרי המקוון" בהוצאת פרלשטיין גינוסר משנת 1998 בעמוד 154:

    "העיקרון המקובל במערכת המשפט הכללית הוא , שחתימה היא סימון או סמל שבו משתמש הפרט על מנת לאמת מסמך כתוב, שאכן הוא ראה את המסמך ומאשר את תוכנו... העיקרון התפקודי של חתימה מחייב שזו תאפשר לקבוע בוודאות את זהות האדם החותם ולתת תוקף למסמך החתום ולאמתו כמעשה חוקי של החותם.... במרחב האלקטרוני משתמשים בחתימות דיגיטליות בדרך דומה מאד לזו המקובלת בחתימות בכתב יד על מסמכי נייר. חתימות דיגיטליות משמשות כדי להוכיח כי (1) השולח חתם על מסר מסוים ; (2) מקורו של המסר הוא אכן בשולח הנטען ; (3) המסר לא עבר שינוי בדרך. חתימות דיגיטליות משמשות אפוא לא רק לוידוא ולאימות, אלא גם כדי להוכיח את שלמות הנתונים והמסמך".

    הדין אינו מחייב כי כל התחייבות משפטית או מסמך יהיו חתומים ורובם אף אינם חייבים להיות בכתב. גם הסכמה בעל פה או הסכמה כתובה בלתי חתומה מחייבים בדר"כ, אם כי מטבע הדברים קשה יותר להוכיחם. הדין מחייב באופן מפורש קיום מסמכים בכתב בנושאים אשר בעיני המחוקק הם "רציניים" יותר ובעלי השלכות כבדות על מצבו של האדם, לדוגמה: הסכם מכר מקרקעין. רק כאשר מדובר בעניין "סופר רציני", קבע המחוקק כי לא די במסמך בכתב, אלא יש צורך גם בחתימה, למשל בצוואה, בתצהיר, באישור נוטריוני, במספר מסמכים בתחום הרפואי וכד'.

  3. חוק חתימה אלקטרונית

    באפריל 2001 קיבלה הכנסת את חוק חתימה אלקטרונית, התשס"א 2001, ומכוחו נחקקו בהמשך שנת 2001 גם שתי סדרות של תקנות. החוק מגדיר מונחים של "חתימה אלקטרונית", "חתימה אלקטרונית מאובטחת" ו"חתימה אלקטרונית מאושרת". התוצאה הנגזרת מכך היא כי כל מסר ממוחשב יכול להיות באחת מארבע רמות מבחינת החתימה:

    • ללא חתימה כלשהי, למשל דיסקט שעורכו לא ניתן לזיהוי כלשהו.
    • בצירוף חתימה אלקטרונית "פשוטה", דהיינו מידע אלקטרוני המסמל את עורך המסר. לדוגמא: ציון פרטים מזהים כשם פרטי, שם משפחה, תפקיד וכד' באמצעות הקלדה רגילה (למשל במסמך WORD ) וכד'.
    • בצירוף חתימה אלקטרונית מאובטחת (דהיינו, היא ייחודית לבעל החתימה, ומאפשרת את זיהויו, והופקה באמצעי חתימה הניתנים לשליטתו הבלעדית של בעל החתימה ומאפשרת לזהות שינוי שבוצע במסר לאחר מועד החתימה).
    • בצירוף חתימה אלקטרונית מאושרת (חתימה מאובטחת אשר יש לה תעודה של גורם מאשרר – גוף רשמי שאושר על ידי שר המשפטים).

    לכל אחת מהרמות, ואפילו למסר הבלתי חתום בכלל, יינתן במקרה של מחלוקת משפטית משקל ראייתי שונה. יצוין כי בדרך כלל מדובר בשאלה של משקל ולא בשאלה של קבילות או אי חוקיות, אלא באותם מצבים בהם חייבת להיות חתימה מאושרת. המשקל הרב ביותר יהיה כמובן לחתימה המאושרת אשר את תקפותה/אמיתותה יהיה קשה ביותר לקעקע. לחתימה המאובטחת יינתן משקל נמוך יותר ואולם גם ב"מוצקותה" לא ניתן לזלזל כלל ועיקר. משקל נמוך עוד יותר בהיררכית המשקל יינתן לחתימה אלקטרונית "פשוטה" שאינה מאושרת ואינה מאובטחת.

    כדי להשיב על השאלה איזה סוג של חתימה יש להטביע על מסמך אלקטרוני זה או אחר, יש להבחין בין שני סוגים של "משפחות" מסמכים: האחד, מסמך אשר דין המדינה (חוקים או תקנות), מחייב את חתימתו של אדם. השני, מסמך אשר אין בנמצא חוק או תקנה המחייבים חתימה עליו.

    חוק חתימה אלקטרונית מחייב חתימה מאושרת לגבי כל המסרים האלקטרוניים המחליפים מסמך כתוב לגביהם יש הוראה בדין כי עליהם להיחתם על ידי מי שכתב אותם. במילים אחרות, בכל מקרה בו דורש הדין חתימה בכתב יד על מסמך, הרי אם סוג של אותו מסמך נוצר וקיים באופן ממוחשב - חייבים לעשות שימוש בחתימה הממוחשבת בעלת המהימנות הגבוהה ביותר – היא החתימה האלקטרונית המאושרת. הדבר נקבע מפורשות בסעיף 2 (א) לחוק, אשר כותרתו "חתימה הנדרשת לפי חיקוק" כדלקמן: "נדרשה על ידי חיקוק חתימתו של אדם על מסמך, ניתן לקיים דרישה זו לגבי מסמך שהוא מסר אלקטרוני – באמצעות חתימה אלקטרונית מאושרת".

    ואולם, אליה וקוץ בה. סעיף 2 (ב) לחוק קובע כי הוראות סעיף קטן (א) לא יחולו על הוראות חיקוק ששר המשפטים קבע, באישור ועדת החוקה חוק ומשפט של הכנסת, בתוספת הראשונה לחוק. עיון בתוספת הראשונה מלמד כי חלק ניכר של המקרים בהם אכן דורש הדין חתימה בכתב יד, הוצא מתכולת חוק החתימה האלקטרונית. במילים אחרות, בכל הנושאים המפורטים בתוספת לא ניתן גם היום להחליף את המסמך הכתוב והחתום בכתב יד במסר אלקטרוני , וגם חתימה אלקטרונית לא תעזור. להלן ציטוט של מלוא התוספת:

    • חוק הירושה, התשכ"ה - 1965, לעניין צוואה, זיכרון דברים על צוואה בעל פה, צו ירושה, צו קיום צוואה, צו ירושה וקיום צוואה ;
    • חוק הנאמנות, התשל"ט - 1979, לעניין כתבי הקדש;
    • חוק הנוטריונים, התשל"ז - 1976, ותקנות הנוטריונים, התשל"ז - 1977, לעניין חתימה בפני נוטריון וחתימה בידי נוטריון;
    • סעיף 91 לחוק לשכת עורכי הדין, התשכ"א - 1961, לעניין ייפוי כוח;
    • תקנות המקרקעין (ניהול ורישום), התש"ל - 1969, לעניין בקשות לרישום או לביטול רישום ושטרי עסקה;
    • תקנות הסכמים לנשיאת עוברים (אישור הסכם ומעמד היילוד) (הודעות, בקשות וצווים), התשנ"ח - 1998, לענין הודעות ובקשות;
    • חוק אימוץ ילדים, התשמ"א 1981-, ותקנה 272 לתקנות סדר הדין האזרחי, התשמ"ד - 1984, לעניין הסכמת הורה לאימוץ;
    • כללים והנחיות מקצועיות לפעולת עמותה מוכרת (לפי חוק אימוץ ילדים, התשמ"א – 1981), לעניין בקשות וחוות דעת;
    • כללי הבנקאות (שירות ללקוח) (גילוי נאות ומסירת מסמכים), התשנ"ב - 1992, לעניין הסכמים בין תאגיד בנקאי לבין הלקוח;
    • כל חיקוק שנדרשת לגביו חתימת אדם על תצהיר למעט חיקוק שעל פיו מוגש תצהיר לבית משפט
    • חוק כרטיסי חיוב, התשמ"ו - 1986, לענין כרטיס חיוב..
    הערה: מאידך אין כמובן כל מניעה כי גם מסרים אלקטרוניים המשקפים מסמך אשר הדין אינו מחייב לגביהם חתימה בכתב יד, יאובטחו גם הם באמצעות חתימה אלקטרונית. ואכן הולכים ומתרבים המקרים בהם ארגונים מטמיעים חתימות אלטרוניות במערכות מידע מסוימות בשל החשיבות הרבה לאימות ולביטחון המידע בהן, וזאת על אף שמכוח החוק אין בכך הכרח.

  4. מערכת מידע ספציפית וחוק חתימה אלקטרונית

    כדי לקבוע איזו רמה של חתימה נדרשת במערכת מידע זאת או אחרת, יש לבדוק את מהותה של כל פעולה המתבצעת במערכת. בכל מקרה בו מדובר בפעולה אשר אין לגביה דרישה מפורשת של חתימה על פי חיקוק מסוים – חופשי הארגון להחליט איזה רמה של חתימה ינהיג. ואולם במקרה בו מדובר ברישום אלקטרוני כתחליף למסמך כתוב לגביו יש חובה חוקית בחתימה, אין לארגון כל שיקול דעת וחובה עליו להשתמש אך ורק בחתימה מאושרת כהגדרתה בחוק חתימה אלקטרונית. שום צורת חתימה אלקטרונית אחרת אינה יכולה לשמש תחליף לחתימה המאושרת במקרה זה, תהא מידת אבטחתה בפועל גבוהה ככל שתהיה. במילים אחרות, גם אם המערכת הספציפית היא "סגורה" ומיושמים בה נהלי אבטחת מידע מחמירים במיוחד, כל עוד לא תינתן לכל מסר אלקטרוני חתימה מאושרת – יש בכך הפרה של החוק (ושוב, אם הנושא הוא מסוג הנושאים המפורטים בתוספת לחוק – גם חתימה אלקטרונית איננה תקפה).

    ניקח לדוגמה מערכת ממוחשבת הנמצאת על שולחנו של רופא. מטבע הדברים תטפל מערכת כזו במגוון פעילויות אדמיניסטרטיביות אשר אין לגביהן כל דרישה לחתימה בכתב יד מכוח חיקוק. ואולם אפשר והמערכת מטפלת גם בפעילויות לגביהן קיים חיקוק המחייב חתימה בכתב יד. אם המערכת משמשת את הרופא גם לצורך מתן מרשמים לתרופות, יחולו על פונקציה זאת תקנות הרופאים (מתן מרשם), התשמ"א-1981 אשר מגדירות "מרשם" כ"הוראה בכתב חתומה ביד רופא לספק לאדם סם או תכשיר רפואי" ומחייבות בסעיף 2(8) כי על המרשם יופיעו, בין היתר, "חתימה וחותמת הרופא". במילים אחרות, אם תפותח מערכת ממוחשבת אשר ביכולתה להעביר את המרשמים כמסר אלקטרוני למחשב בית המרקחת למשל, או למחשב במחלקה בבית חולים, או למחשב האישי של החולה או לכל מחשב אחר, כל העברה כזו תחייב חתימה אלקטרונית מאובטחת ומאושרת. כל עוד לא תכיל מערכת המידע הקונקרטית את האמצעים הדרושים לכך, יהיה על הרופא בכל מקרה להדפיס את המרשם במדפסת שברשותו ולחתום על המרשם המודפס בכתב ידו. יצוין כי בשל החשיבות והקריטיות של מסמכים רפואיים מסוימים, אך טבעי הוא כי דרישה מפורשת לחתימה מצויה גם בחיקוקים נוספים בתחום הרפואי. כך למשל קובע סעיף 26 בפקודת הרוקחות (נוסח חדש), התשמ"א-1981 כי "לא ינופקו תכשיר מרשם אלא לפי מרשם חתום בידי רופא" ותקנה 17 לתקנות טיפול בחולי נפש, התשנ"ב - 1992 קובעת כי "הרופא ירשום את אבחנתו ואת הוראות הטיפול בספר ההוראות ויאשר את הרישום בחתימת ידו".

  5. הגדרת חתימה מאובטחת

    לקראת סיום מן הראוי לסקור את הדרישות אותן יש לקיים כדי שהחתימה האלקטרונית תיחשב כחתימה מאובטחת. רק חתימה אשר תעמוד בדרישות אלה תהיה ראויה לאישור הגורם המאשר. הנושא מוסדר בתקנות חתימה אלקטרונית (חתימה אלקטרונית מאובטחת, מערכות חומרה ותוכנה ובדיקת בקשות), התשס"ב-2001. להלן נוסח התקנות:

    "חתימה אלקטרונית שמתקיים בה אחד מאלה, חזקה שהיא חתימה אלקטרונית מאובטחת:

    (1) לגבי אמצעי לאימות חתימה שמחזיק בידיו המבקש, ואמצעי החתימה שאותו הוא מזהה, מתקיימות לפחות הדרישות כמפורט להלן:

    (א) החתימה מופקת באמצעות מפתח המבוסס על תקן מקובל, העושה שימוש באחד מאלה:

    (1) מפתח RSA או DSA באורך 1,024 סיביות לפחות;

    (2) מפתח ELLIPTIC CURVE DSA באורך 160 סיביות לפחות;

    (ב) להפעלת אמצעי החתימה, או לגישה אליו, נדרש שימוש באמצעים פיזיים או הצפנתיים (קריפטולוגיים) ייחודיים, העומדים ברמת אבטחה של תקן 140-2 FIPS רמה 1, ברמת ביטחון של תקן COMMON CRITERIA EAL2 לפחות;

    (ג) היתה הפעלת אמצעי החתימה כרוכה בשימוש בסיסמה, תעמוד הסיסמה בדרישות אבטחה ברמה הגבוהה לפי ת"י 1495 חלק 3, או בדרישות חלופיות שקבע הרשם, אם נוכח כי ניתן לפטור מהדרישה האמורה;

    (2) היא חתימה אלקטרונית שאישר הרשם, לפי הוראות תקנה 9".

**  ניתנת רשות לעשות בתוכן רשימה זו שימוש חופשי, בתנאי שיצוין המקור (המחבר ואתר האינטרנט). אין להשתמש בתוכן לצורך שיגור "דואר זבל", אין למכור אותו, ואין לגבות תשלום בגין השימוש בו. התוכן מיועד לציבור הרחב והוא איננו בגדר מתן יעוץ משפטי. 



פיתוח - אסף אופנהיימר