Rafræn undirritun sem lagaleg sönnun í deilum

Í Frakklandi eru um 2,5 milljarðar skjöl undirritað með rafrænum hætti á hverju ári, samkvæmt áætlunum iðnaðarins. Engu að síður, þegar viðskiptadeila uppkast, endurtekur ein spurning sig stöðugt: myndar rafræn undirritun traust sönnun fyrir dómstóli? Svarið er já, með skilyrðum. Milli borgaralegs laga, evrópskra reglugerðar eIDAS og franskrar réttarframkvæmdar sem hefur þéttast frá 2016, er raminn nákvæmur — en flókinn. Þessi grein skýrir skilyrði fyrir viðtöku rafræninnar undirskriftar í réttarhöldum, mismunandi sönnunarstig eftir gerð undirskriftar og mistökin sem á að forðast til þess að skjalið þitt endist deilukast.

Sönnunargildi rafræninnar undirskriftar: hvað segir franska rétturinn

Rafræn undirritun er ekki nýjung innan laga. Frá lögum 13. mars 2000 viðurkennir franski réttur beinlínis rafrænt rit sem sönnunarmittel, á sama hátt og pappír. Þessi viðurkenning er nú kóðuð í greinum 1366 og 1367 borgaralegs laga, sem setja tvö grundvallarreglur.

Fyrri regla: rafrænt rit hefur sömu sönnunarafl og pappírsbundin skrifleg yfirlýsing, með því skilyrði að sá sem það kemur frá sé almennilega auðkenndur og að heilleiki skjalsins sé tryggjað. Seinni regla: áreiðanleg rafræn undirritun nýtur löglegrar forsendu gildi. Greina 1367 tilgreinir að þessi áreiðanleiki er forsendur — það er að segja tryggð án fyrri sannanabúnaðar — þegar undirritunin fylgir tæknilegum kröfum sem settar eru með tilskipun.

Í reynd vísar þessi tilskipun til evrópskrar reglugerðar eIDAS, sem þú getur lesið ítarlega um í okkar leiðbeiningar um reglugerð eIDAS 2.0. Fyrirkomulagið er því sem hér segir: hæf undirritun samkvæmt eIDAS nýtur óbætanlegrar forsendu gildi í frönsku rétti, og leggur sönnunarbyrgina á þann sem deilir.

Þrír flokkar undirskriftar og sönnunargild þeirra

Reglugerð eIDAS gerir greinarmun á þremur stigum undirskriftar, sem bjóða ekki sömu styrkleika sönnunar fyrir dómara:

Einföld rafræn undirritun (SES) byggist á rafrænum gögnum sem eru fest við skjal — dæmigert tölvupóstur eða hakað reit. Hún hefur veika sönnunargildi: ef deilan kemur upp, er það að því sem henni styrks með því að sanna áreiðanleika hennar. Henni hentar fyrir athafnir af lítilum gildi eða samhengi með takmarkaðri áhættu.

Framfarir rafræn undirritun (SEA) er tengd á einkvæman hátt við undirritandann, gerir kleift að auðkenna hann, er búin til úr gögnum undir einkalegri stjórn hans og greinir allar breytingar eftir á. Hún gefur verulega hærra sönnunargildi og er hentuleg fyrir flesta viðskiptasamninga. Hún nýtur hins vegar ekki sjálfvirkar löglegrar forsendu.

Hæf rafræn undirritun (SEQ) er búin til með framfylkingu sem er vottað og byggist á hæfu skírteini sem gefið er út af þjónustuveitu trausts (TSP) sem skráð er á traustalista aðildarríkisins (Trust List). Þetta er eina stigið sem nýtur löglegrar forsendu gildi sem kveðið er á um í 1367. grein borgaralegs laga. Til að komast dýpra inn í muninn milli lausna, okkar samanburð á rafrænum undirritunarlausnum lýsir boðum sem til eru á markaðinum.

Hvað dómsalir skoða virkilega

Þegar rafræn undirritun er deilt um fyrir dómi skoða franskir dómarar dæmigerðilega fimm þætti:

1. Auðkenning undirritandans: með hvaða hætti var persónu auðkennd? Einfalt SMS OTP, kóði sendur með tölvupósti, eða líffræðileg staðfesting á skilríkjum?
2. Upplýstir samþykki: hafði undirritandinn þekkingu á efni skjalsins við undirskrift?
3. Heilleiki skjalsins: getur undirritað skjal sannað að það hafi ekki verið breytt eftir undirskrift (dulmálakælir, SHA úttak)?
4. Rekjanleiki: er til dagbók sem hefur verið tímasett og geymd af óháðum þriðja aðila, sem telur upp hverja aðgerð?
5. Geymsla: er skjalið og tengdar sannanir skjalfest við aðstæður sem gera kleift að framleiða þau fyrir dómi ár síðar?

Ákvarðanir gefnar af viðskiptadómstólum frá 2018 sýna skýra þróun: dómarar hafna ekki rafræninni undirskrift í sjálfu sér, heldur refsa fyrir skort á rekjanleika. Þjónustuveita sem getur ekki framleitt fulla dagbókaferil, eða þar sem tímasetning er ekki vottað, sér skjal sitt veikjast, og jafnvel vera útilokað.

Sönnunarbyrgina ef deilan kemur upp

Spurningin um sönnunarbyrgina er stefnumótandi afar mikilvæg í hvaða deilum sem snerta rafræna undirskrift. Reglurnar eru mismunandi eftir undirskriftastigi.

Forsenða áreiðanleika og breyting á sönnunarbyrginni

Með hæfum undirskriftum gera lög ráð fyrir áreiðanleika hennar. Meðal þess sem ákveðið er: ef aðili deilst um undirskriftina, er það hans að sanna að forsendunni sé vikið frá — til dæmis með því að sanna að vottorðið væri úrelt, að þjónustuveitandinn væri ekki hæfur, eða að búnaðurinn til að búa til undirskrift væri í hættu. Þessi snúningur er gífurlegur: hann verndar þann sem hefur undirskriftina.

Með háþróaðri eða einni undirskrift, verður rekstraraðili sem ýtir undir undirskriftina með hinum hálfu að staðfesta jákvæðlega áreiðanleika hennar. Hann verður að framleggja öll þau atriði sem gera kleift að auðkenna undirritandann: IP-tala tengingar, vottaðan tímasetning, annál sannprófunar auðkenningar, skýrt samþykki skráð. Þess vegna eru val á undirskriftarveitu og gæði hennar dagbóka löglegir breytur, ekki aðeins tæknilegar.

Franska réttarframkvæmdin: mikilvæg þróun

Nokkur nýleg úrskurður sýna afstöðu franskra dómstóla:

• Paris dómstjórnardeild, 2021: dómstjórnin samþykkti rafræna undirskrift sem var framfarirflokki í deilum um dreifingarsamning, með því að benda á að þjónustuveitandinn framleiddi heila sönnunaskrá sem innihélt SMS OTP, tímasetningu og SHA-256 úttak skjalsins.
• Hæstiréttur, 2022: Hæstiréttur minnti á að deilun á rafræninni undirskrift hafi verið skýrt rökstudd af stefnanda, en ekki einfaldlega svo almennt tjáð.
• Réttardeild París, 2023: dómstóll hafnaði einfaldri rafræninni undirskrift í deilum um vinnurétt, með þeirri rökstuðningi að auðkenning undirritandans væri aðeins stofnuð á ósannprófaðri tölvupóstfangi, án OTP eða tveggja sannprófunar.

Þessar ákvarðanir staðfesta grundvallarreglu: það er styrkur sönnunarskrár, fremur en snið skjalsins, sem ákvarðar útkomu réttarfars.

Smíða sönnunargagnagrunn sem hægt er að hnýta fyrir dóm

Að blikra deilum þýðir ekki að vera svartsýn; það þýðir að framfara með tillitsemi um samninga. Nokkur vinnubrögð gera kleift að efla verulega sönnunargildi rafræninnar undirskriftar.

Sönnunargagnagrunnur: ómissandi hlutir

Traustur sönnunargagnagrunnur verður að innihalda að lágmarki:

• Undirritaða skjalið með dulmálakæli hans (PAdES snið fyrir PDF, XAdES fyrir XML), eins og skilgreint er í ETSI EN 319 132 og ETSI EN 319 122 stöðlum.
• Rafrænt vottorð undirritandans, með útgáfudegi hans og gildistíma.
• Heili dagbókin: hver skref ferlisins (boð, opnun skjals, SMS OTP sannprófun, undirskriftarsmell) með tímasetningu og vottað af þriðja aðila sem er traust.
• Sönnun um auðkenni: geymsla auðkennigagna sem notuð voru (staðfest tölvupóstur, sími, skannað skilríki ef krafist).
• Hæf tímasetning: tímahluti gefin út af vottunarvaldyrki sem er i samræmi við eIDAS, sem tryggir að undirritunin hafi átt sér stað á gefnum tíma.

Þessi skjalaambyggja myndar kjarna þess sem Certyneo myndar sjálfvirkt við hverja undirskrift, innan ramma samræmis hans við okkar aðferð að rafræninni undirskrift í fyrirtækjum.

Geymsla sönnunar: tímalengd og snið

Geymsla sönnunar er oft vanræktuð, þó að hún skilyrði varanlega gangsemi samnings. Í viðskiptarétti geta deilur sprottið upp til fimm ára eftir undirskrift (almennur fyrirskrift, 2224. grein borgaralegs laga). Sum samningar — atvinnuhúsbúnaðarleigussamningar, ábyrgðir, samningsbundin ábyrgð — valda meiri áhættu.

Því er nauðsynlegt að geyma:

• Undirritað skjal á varanlegu sniði (PDF/A með undirskrift innbyggðri),
• Heila sönnunargagnagrunn sem tengist því,
• Í kerfiseyðunarkerfi sem tryggir heilleika til langs tíma (helst NF Z 42-026 eða eArchiving samhugmyndir).

Hugbúnaðarveita sem bjóðar ekki geymslutryggingu umfram endingu viðskiptastarfsemi hennar táknar raunverulega lagalega áhættu: ef fyrirtækið hættir starfsemi sinni geta sannanir horfið. Athugaðu kerfisbundið viðsnúnings- og gagnagönguákvæði í samningum þína við þjónustuveitandann — þetta er viðmið sem við lýsum í okkar leiðbeiningu til flytja frá DocuSign eða YouSign til Certyneo.

Hvenær eru hæfu undirskriftin ákjósanleg?

Ekki þurfa allir samningar að vera á hámarki. Val á undirskriftastigi skal vera í samræmi við lagalega þörf og fjárhagslega áhættu:

• Samningar um lítil gildi (pantanabækur, almennir skilmálar, trúnaðarsamningar til innra nota): hæf undirskrift nægjanleg.
• Verulegir viðskiptasamningar (þjónustuframboð > 10.000 €, árlegir rammsamningar, framsal réttinda): hæf eða hæf undirritun mælt með samkvæmt áhættumarki.
• Athafnir sem krefjast kunnra eða parasannra mynda (sumir stofnunakjósanir, persónulegar ábyrgðir): hæf undirritun nauðsynleg eða rafræn stofnunarathöfn.
• Samningar um vinnurétt (vinnusamningur, samningsbundin uppsögn, breyting): DGEFP mælir með hæfri undirskrift að lágmarki, og nokkrar ákvarðanir Réttardeilda um vinnumál hafa refsat einföldum undirskriftum.

Fyrir fyrirtæki sem takast á við mikinn magn samninga, ROI reiknivél Certyneo gerir kleift að meta samanburð á kostnaði eftir völdu undirskriftastigi, með tilliti til eftirstandandi lagalegrar áhættu.

Lagalegur rammi sem gildir um sönnun með rafræninni undirskrift

Lagagildi rafræninnar undirskriftar í Frakklandi rests á samtengdri hrúgu texta sem samhæfar hvern annan, sem þekking á er ómissandi fyrir hvern sem tekur þátt í viðskiptadeilum.

Borgaralegir lög, greinar 1366 og 1367: þessi tvær greinar mynda grunn rafræninnar sönnunarlöga í Frakklandi. 1366. grein jafnar rafrænt rit við pappírsbundin rit svo framarlega sem sá sem það kemur frá er auðkennanlegur og að heilleiki hans sé tryggður. 1367. grein veitir rafræninni undirskrift sem eru í samræmi við regluverk forsendu um áreiðanleika, með breytingu á sönnunarbyrginni til hagsbóta fyrir þann sem hana framleiðir.

Reglugerð eIDAS 910/2014 (ESB): þessi reglugerð gildir beint í öllum aðildarríkjum frá 1. júlí 2016, og skilgreinir þrjú undirskriftarstig (einföld, háþróuð, hæf), tæknilegar kröfur fyrir hvert stig, og lista yfir hæfu þjónustuveitu trausts (Trust Service Providers — TSP). Hún kemur á gagnkærinni þekkingu á hinum hliðum undirskrifta innan Evrópusambandsins, sem er mikilvægt fyrir deilur sem taka til aðila frá mismunandi aðildarríkjum. Endurskoðun eIDAS 2.0 (reglugerð 2024/1183) styrkar þessar kröfur og kynnir evrópsku stafrænu auðkenningu eignasafn (EUDIW).

Tilskipun nr. 2017-1416 frá 28. september 2017: þessi tilskipun skýrir í frönsku rétti skilyrði fyrir forsendu áreiðanleika sem kveðið er á um í 1367. grein borgaralegs laga, með beinum tilvísun í eIDAS-kröfur fyrir hæfa undirskrift.

ETSI EN 319 132 (XAdES) og ETSI EN 319 122 (CAdES), ETSI EN 319 162 (ASiC) staðlar: þessir tæknilegir staðlar skilgreina snið rafræninnar undirskriftar sem er viðurkennt sem í samræmi við eIDAS. Þeir eru andstyggildir fyrir dóm sem tæknilegt viðmiðunarkerfi til að meta gildi undirskriftar.

GDPR — Reglugerð 2016/679: safn og vinnsla líffræðilegra eða auðkennigagna í því skyni að staðfesta undirritandann verður að fylgja meginreglum gagna og tilgangi. Hver þjónustuveita sem vinnur með auðkennigögnum verður að hafa skýra löglega grunn (framkvæmd samnings, lagaleg skylda eða lögmæt hagsmunir) og upplýsa notandann í samræmi við greinar 13 og 14 GDPR.

NIS2 tilskipun (2022/2555/ESB): þjónustuveitur hins hæfa trausts eru nú innan gildissviðs nauðsynlegra eða mikilvægra aðila samkvæmt NIS2. Þeim eru sett meiri áskorun um öryggi upplýsingakerfa, sem styrkir óbeint styrkleika sönnunar sem þeir búa til.

Lagalegri áhættu ef ekki er fullnægt: notkun rafræninnar undirskriftarlausnar sem ekki er í samræmi við eIDAS veldur mörgum hættum: hafnun skjalsins af dómara, vanhæfni til að nota forsendu áreiðanleika, engingu samningsbundinnar ábyrgðar fyrir vanrækslu, og í sumum tilfellum, ógildingu athafnarinnar ef formið var krafist með neitunarútkomunni. Hvað varðar sönnun, getur skortur á vottaðri dagbók skapað ójöfnuð milli aðila og veikt órjúfandi afstöðu þess sem framleiðir undirskriftina.

Notkunarsvið: rafræn undirritun prófuð af deilum

Atburðarás 1 — Lögfræðistofan og samningur um verkefni deilt

Lögfræðistofan sem sérhæfir sig í fyrirtækjamerkjum, með um 20 starfsmenn, hefur notað háþróaða rafræna undirskriftarlausn fyrir verkefnabréf sín í tvö ár. Einn þessara verkefna, metin á 85.000 €, verður deilt um: viðskiptavinurinn deilir um að hafa undirritað verkefnabréfið við lýstar aðstæður og heldur því fram að vilji hans væri ekki upplýstur.

Stofan framleiðir fyrir viðskiptadóm heila sönnunargagnagrunn sem búinn var til af grunni hennar: vottaðan tímasetningu sendingar, opnunarannála skjalsins, SMS OTP-kóða sendan á sniðfang undirritandans sem tilgreint var við viðskiptavinupplýsingar, og dulmálakæli skjalsins sem var einn og sami milli sendingar og útgáfu sem framleidd var. Dómarinn tekur til gildi undirskriftar. Sem sönnunargagnagrunnur sem framleidd var af stofunni var framleiðandinn, sem deilir verður að sanna fölsugun — sem hann tekst ekki að gera. Stofan endurkræfir fullt skuld sína. Helstu kenningi: heildstæð sönnunargagnagrunnur getur snúið deilum á nokkrum síðum.

Atburðarás 2 — Lítið framleiðslufyrirtæki og deila við birgja um pöntun

Lítið framleiðslufyrirtæki sem stýrir um 300 birgjasamningum á ári hefur flutt yfir til einfaldar rafræninnar undirskriftar fyrir pantanabækur sína, án styrkrar auðkenningar. Birgji deilst um móttöku pantanabókar sem var afturkölluð of seint, og heldur því fram að hann hafi aldrei undirritað breyttu útgáfuna.

Fyrirtækið getur ekki framleitt vottaða dagbókaferil: lausnin hennar geymir aðeins tölvupóstfang sem sönnun um auðkenni. Viðskiptadómstóll, án nægjanlegra sönnunaratriða, beitir almennu sönnunarreglum og gefur birgja rétt um deilda málsatriði. Ofgefur deilumála endankostnaðar umfram 40.000 €, auk þess sem lögfræðikostnaður bætist við.

Eftir þessa deilingu breytir fyrirtækið til háþróaðrar undirskriftarlausnar með SMS OTP og vottaðri dagbók. Það minnkar hlutfall deilumála um samninga um 60% á næstu tveimur reikningsárum, samkvæmt innri skýrslum fyrirtækisins. Helstu kenningi: kostnaður við trausta undirskriftarlausn er jaðarmikil samanborið við kostnað aðeins einnar deilumála sem er illa skjöluð.

Atburðarás 3 — Heilbrigðisstofun og samningar við sérfræðinga

Heilbrigðisstofun með um 600 rúmum formaist samninga sína við einkaafgreiðingafræðinga með rafrænum hætti. Einn þessara samninga er deilt um við riftun: sérfræðingur heldur því fram að hann hafi ekki fengið sérstaka skilyrði samloguð við skjalið sem undirritað var, með fullyrðingu um breytingar eftir undirskrift.

Pallurinn sem heilbrigðisstofunin notar myndar undirskriftir á PAdES-sniði (PDF Advanced Electronic Signatures), í samræmi við ETSI EN 319 132 staðalinn. Hver endurskoðun skjalsins skapar nýja dulmálakæli. Dómstólastofa getur staðfest, með því að nota staðfestingartæki fyrir undirskrift á netinu sem viðurkennt er af framkvæmdastjórn Evrópusambandsins, að skjalið hafi ekki verið breytt frá undirskrift sinni. Deilunum er hafnað með tilheyrandi tilskipun. Helstu kenningi: tæknisnið undirskriftar (PAdES, XAdES) skilyrðir beint þá villumöguleika sem til eru fyrir dóm — viðmið sem oft er vanmetið þegar lausnir eru valdar.

Niðurstaða

Rafræn undirritun er trausk lagaleg sönnun við deilur — með því að velja rétta undirskriftarstig, áreiðanlega þjónustuveitanda og halda heilli sönnunargagnagrunn. Löglega forsendan um áreiðanleika sem hæf undirritun bætir framboðir er stefnumótandi ótengð kostur í réttarhöldum: hún snýr sönnunarbyrginni á þann sem deilst. Fyrir almennari samninga, háþróaðri undirritun sem tengist vottaðri dagbók veitir mjög viðunandi verndarstigi fyrir frönsku viðskiptadómstóla.

Ekki setja samninga þína í hættu vegna vansuðs gagna. Certyneo myndar sjálfvirkt vottaða, tímasettta og geymda sönnunargagnagrunn fyrir hverja undirskrift, í fullri samhæfingu við eIDAS og borgaraleg lög. Búðu þér ókeypis Certyneo reikning og tryggðu samningsbundin heit þín í dag.