Son Gelişmeler Işığında Elektronik İmza Tanımı ve Türleri
Definition and Types of Electronic Signatures in the Light of Latest Developments
M. Ertan YARDIM
Elektronik imza en basitinden en karmaşığa çok farklı teknik ve teknolojileri kapsayan bir üst kavramdır. Elektronik imza teknik ve teknolojileri gün geçtikçe değişmekte ve gelişmektedir. Avrupa Birliği nezdinde de son yıllarda arka arkaya yeni düzenlemeler ve standartlar kabul edilmektedir. Elektronik İmza Kanunu’nda (EİK) da elektronik imza oldukça geniş ve kapsayıcı şekilde tanımlanmıştır. Buna karşılık, EİK’da sadece tanım verilmiş ve güvenli elektronik imza dışında hiçbir elektronik imza teknik veya teknolojisine hukuki sonuç bağlanmamıştır. Güvenli elektronik imza hem altyapısı hem de hukuki etkisi itibariyle özel düzenlemiştir ve halihazırda hukuki etkisi düzenlenmiş tek elektronik imza türüdür. Bu sebeple, biyometrik imza gibi gelişmekte olan farklı elektronik imza türlerinin ancak ve sadece genel hükümler çerçevesinde değerlendirilmesi mümkün olmaktadır. Belirtilen hususlar çerçevesinde, teknoloji yönüyle genel olarak elektronik imza kavramını; uluslararası düzenlemelerde ve EİK’da elektronik imza tanımını ve türlerini; son olarak elektronik imza bakımından oldukça önemli olan teknoloji tarafsızlığı prensibini ele alacağız.
Elektronik İmza, Güvenli Elektronik İmza, Biyometrik İmza, eIDAS, Teknoloji Tarafsızlığı Prensibi.
The electronic signature is an upper concept that covers many different techniques and technologies, from the simplest to the most complex. Electronic signature techniques and technologies are changing and developing day by day. New regulations and standards have been adopted one after another in the European Union in recent years. The Turkish Electronic Signature Act (TESA) defines electronic signature comprehensively and inclusively. On the other hand, only a definition is given in the TESA, but no legal consequences are attached to any electronic signature technique or technology other than a secure electronic signature. The secure electronic signature is specially regulated in terms of both its infrastructure and legal effect, and it is the only electronic signature type whose legal effect is currently regulated. For this reason, it is possible to evaluate different types of electronic signatures, such as biometric signatures, only within the framework of general provisions. Within the framework of the specified issues, the concept of electronic signature in general in terms of technology; definition and types of electronic signature in international regulations and TESA; Finally, we will discuss the principle of technology neutrality, which is very important in terms of electronic signature.
Electronic Signature, Secure Electronic Signature, Biometric Signature, eIDAS, Technology Neutrality Principle.
Giriş
Ülkemizde elektronik imzaya ilişkin temel düzenleme olan 5070 sayılı Elektronik İmza Kanunu (EİK) 13/01/2004 tarihinde kabul edilmiş ve 23/01/2004 tarihinde Resmi Gazete’de yayınlanmıştır. 5070 sayılı EİK’nın amacı, kanunun genel gerekçesinde belirtildiği üzere, elektronik imzanın hukuki ve teknik yapısını, elektronik imzayla ilgili işlemler ile elektronik sertifika hizmet sağlayıcılarının faaliyetlerini düzenlemektir. Oldukça teknik düzenlemeler içeren EİK bakımından ilk ele alınması gereken hususlardan biri elektronik imza tanımı ve türleri olabilir. Nitekim EİK’da sadece, belirli bir teknoloji ile sağlanması mümkün bulunan belirli kriterleri sağlayan güvenli elektronik imzanın hukuki etkisi düzenlenmiş; güvenli elektronik imza olmayan herhangi bir elektronik imza türü veya teknolojisi için hiçbir hukuki etki öngörülmemiştir.
EİK’da elektronik imza tanımını ve türlerini değerlendirmek için öncelikle elektronik imza kavramı üzerinde durulması gerekir. Elektronik imza kökeni oldukça eskiye dayanan, sıkça kullanılan ve oldukça geniş bir alanda çok farklı teknik ve teknolojileri ifade etmek için kullanılan bir kavramdır. Elektronik imzada geçen “elektronik” kelimesi teknik anlamda “elektron temeline dayanan, elektronla ilgili” anlamında değil; fiziki olmayan her ortamı ve iletimi kapsar şekilde kullanılmaktadır. Esasen sayısal veya dijital kelimeleri yerine elektronik kelimesi kullanılması dahi başlı başına kavramın genişliğine delalet etmektedir. İmza terimi bakımından ise yine “imza” kelimesi teknik anlamda imzadan çok daha geniş şekilde herhangi bir teknik veya teknolojinin kimlik doğrulama veya onaylama amacıyla kullanılmasını ifade etmektedir. Elektronik imza kavramında geçen “imza” kelimesinin genel olarak (elektronik imzanın belirli türleri dışında) elle atılan imzanın fonksiyonlarını karşılamadığı gibi bu yönde de bir iddia da bulunmamaktadır. Elektronik imza kavramının bu şekilde geniş anlaşılması sebeplerinden biri teknolojinin hızlı gelişimi karşısında zamansal olarak eskimeyen bir kavram ortaya konulma amacıdır. Çalışmamızın ilk bölümünde, elektronik imza kavramını ve çeşitli elektronik imza türlerini teknik olarak ele alacağız.
Çalışmamızın ikinci bölümünde, çeşitli ulusal ve uluslararası düzenlemelerde ve EİK’da elektronik imza tanımını ve türlerini karşılaştırmalı olarak inceleyeceğiz. 2000 yılların başında hem Birleşmiş Milletler hem de Avrupa Birliği nezdinde düzenlemelerle elektronik imza tanınmış ve bir hukuki altyapı içine alınmış ise de ticarette elektronik imza kullanımı beklendiği şekilde hızlı artmamıştır.1 Elektronik imzanın ve neticede uluslararası elektronik ticaretin yaygınlaştırılması için önce Avrupa Birliği nezdinde, 1999/93/EC sayılı Elektronik İmza Direktifi 2014 yılında kaldırılarak yerine Elektronik İşlemler İçin Elektronik Kimlik ve Güven (Onay) Hizmetleri Tüzüğü - Elektronik İşlemler Tüzüğü (Regulation on electronic identification and trust services for electronic transactions in the internal market eIDAS) düzenlemesi kabul edilmiş ve hızlıca birçok alanda standartlar belirlenmiştir. Hemen arkasında, 2017 yılında, (2001 tarihli Elektronik İmza Hakkında Model Kanun kaldırılmadan) Birleşmiş Milletler nezdinde İletilebilen Elektronik Kayıtlar Hakkında Model Kanun (UNCITRAL Model Law on Electronic Transferable Records) kabul edilmiştir. Çalışmamızda, uluslararası düzenlemeleri değindikten sonra özellikle EİK bakımından mevcut durumu ortaya koyarak görüşlerimizi aktarmaya çalışacağız.
Çalışmamızın son bölümde, elektronik imza tanımında ve türlerinde oldukça önemli rol oynayan teknoloji tarafsızlığı prensibi üzerinde duracağız. Görebildiğimiz tüm ulusal ve uluslararası düzenlemeleri etkileyen bu temel prensibin ayrı bir başlık altında ele alınmasının yararlı olacağı kanaatindeyiz. Teknoloji tarafsızlığı prensibi, temel olarak elektronik imzanın yasal etkisinin belirli bir elektronik imza teknolojisinden arındırılmasını ve geniş bir çerçevede, bazı temel kriterleri sağlayan farklı elektronik imza teknolojilere hukuki etki tanınmasını amaçlamaktadır. Prensibin öngörülen amaca ne kadar hizmet ettiği ve başarılı olduğu ayrıca tartışmaya açıktır. Konuyu farklı yönleriyle ele almaya çalışarak sonuç bölümü ile çalışmamızı sonlandıracağız.
I. Elektronik İmza Kavramı
Elektronik imza kavramı uluslararası kuruluşların düzenlemelerinde, pek çok ülke kanununda ve konu ile ilgili çalışmalarda farklı şekilde tanımlanmıştır. Kavramın nispeten yeni ve gelişen bir kavram olması sebebiyle içeriğinin ve kapsamının net olarak belirlenmesinde zorluk çekilmektedir. Aşağıda uluslararası düzenlemelerde yer verilen tanımlara ayrıca yer vereceğiz; bu aşamada, özellikle mevcut teknik ve teknolojilere istinaden elektronik imza ile kastedildiğini açıklamaya çalışacağız. Öncelikle belirtmek gerekirse, elektronik imza, bir elektronik dokümana veya maile adın yazılmasından, açık anahtar altyapısına; bir ekrana kalemle veya fare ile imza çizilmesinden retina, parmak izi kullanılması gibi biyometrik imzalara kadar çok geniş teknik ve teknolojileri kapsamaktadır.2 İçerdiği teknik ve teknolojilerden yola çıkan bir tanıma göre ise, “kişilerin biyometrik özelliklerine dayalı (ses, göz retinası taraması, parmak izi taraması gibi) biyometrik yöntemler, kredi kartlarında kullanılan PIN kodları, elle atılmış imzanın tarayıcıdan geçirilerek elektronik ortama aktarılmış hali, bilgisayar ekranında bu amaçla yapılmış bir kalemle atılan imza tekniği veya çift anahtarlı kriptografiyle oluşturulan dijital (sayısal) imzayı da içeren bir üst kavram”3 şeklinde tarif edilebilir. Elektronik imza günümüzde, kişinin elektronik ortamda tanınmasına olanak veren en basitten en karmaşığa kadar her türlü teknik çözüm için kullanılan4 bir üst kavramdır. Bir elektronik imza birçok biçimde görünebilir; mesela, dijital imza, dijitalize edilmiş parmak izi, retina taraması, pin kodu, bir elektronik veriye eklenmiş -sıklıkla bir elektronik postanın sonuna eklenmiş- bir isim,5 elle atılan imzanın dijital görünümü birer elektronik imzadır. Elektronik ortamda ıslak imzanın yerini almaya yönelik tüm teknoloji ve teknikler elektronik imza kavramı kapsamındadır.6 Her vesileyle elektronik imza, kullanıcının beyanının doğrulanmasına ve mesaj ile kullanıcı arasında ilişki kurmaya yöneliktir. Genel maksat, kısmen veya tamamen, sahteciliğin önlenmesi ve fiziksel olarak imzalanmış dokümanın yerine geçerli bir örneğinin sunulabilmesidir.7
Görüldüğü üzere, elektronik imzanın kavramsal olarak net bir tanımını ortaya koymak oldukça zordur; bu aşamada, kapsamın genişliğine dikkat çekmek yerinde olabilir. Belirtilen hususlar çerçevesinde, elektronik imzanın elektronik ortamda elle atılan imzanın doğrulama, tanımlama, onaylama gibi fonksiyonlarını kısmen veya tamamen karşılamayı amaçlayan her türlü teknik ve teknolojiyi içeren bir üst kavram olduğunu söyleyebiliriz.
Bu aşamada, belirtmek gerekirse, elektronik imza ile dijital imza kavramları bazen birbirinin yerine kullanılsa da, aynı kavramlar değildir.8 Belirttiğimiz üzere elektronik imza ıslak imzanın yerine veya herhangi bir kaydı doğrulamak amacıyla kullanılan tüm teknoloji ve teknikleri kapsar. Buna karşılık, dijital imza, açık anahtar altyapısına dayalı elektronik iletişimi şifreleyen ve mesajın bütünlüğü ve gerçekliğini doğrulayan belli bir teknolojiyi ifade eder.9 Bu bağlamda, dijital imza elektronik imzanın bir türüdür.10
Aşağıda teknolojik bakımdan çeşitli elektronik imza türlerini ele alacağız. Güvenlik seviyeleri, kullanıcının katılımı,11 şifreleme metotları gibi farklı kriterlere göre farklı sınıflandırmalar yapılabilir. Biz EİK ile benzerlik kurmak adına dijital imza dışında kalan elektronik imzalar ve dijital imza ayrımı çerçevesinde elektronik imza türlerini ele alacağız.
Duyarlı bir bilgisayar ekranına özel kalemi vasıtasıyla elle imza atılması veya kağıt bazlı ıslak imzalı bir metnin tarayıcı vasıtasıyla bilgisayara aktarılması başlıca elektronik imza teknikleri olarak sayılabilir. Bu yöntemler, bir elektronik imza teknolojisi olmaktan ziyade münferit teknolojilerin elektronik imza uğruna kullanılmasıyla meydana gelirler, bu yüzdendir ki, bu yöntemleri elektronik imza teknikleri başlığı altında incelemeyi tercih ettik.
Tarayıcı ile bilgisayara aktarılmış imza ise elektronik bir dokümana resim yapıştırır gibi, ıslak imzanın taranıp resim haline getirilerek dokümana eklenmesidir. Bu yöntem bazı kuruluşlar tarafından seri hazırlanan pazarlama tekliflerini göndermek için kullanılmaktadır.12 Maddi ortamda hazırlanan ve imzalanan verinin bir bütün olarak da taranması ve bilgisayara aktarılması mümkündür. Bu uygulamanın da yaygın bir elektronik imza uygulaması olduğu belirtilmiştir.13 Bu noktada ikili bir ayrıma gidilebilir. Tarayıcı vasıtasıyla yalnız imzanın bilgisayara aktarılması halinde, elektronik imzanın ayrı bir veri olarak, başka bir veriye eklenmesi veya mantıksal olarak bağlanması hususu gerçekleşebilir (Bkz. EİK m. 3/I-b). Çünkü bu halde, birbirinden farklı iki veri söz konusudur. Buna karşılık, ıslak imzalı belgenin tamamının bilgisayara aktarılması halinde ayrı bir elektronik veri söz konusu olmayacaktır. Her iki hal bakımından da kimlik doğrulama amacı kabul edilebilir ve somut olarak da kısmen dahi olsa imza sahibinin teşhisi mümkün olabilecektir.
Elle atılan imzanın veya elle atılan imzalı metnin taranması bir elektronik imza tekniği olarak değerlendirilmektedir. Bu imzalara dijitalize imza da denir. Böylece, bu verilerin internet vasıtasıyla veya veri depolayıcı belleklerle iletilmeleri mümkündür ancak bu tekniğin önemli yüksek seviye güvenlik sağlamadığı açıktır. Bu imza tekniğinin güvenlik seviyesi oldukça düşük ise de nitelikli elektronik imzanın yaygınlaşmaması karşısında günümüzde ciddi bir kullanım alanına sahiptir.14 Dijitalize imzanın biodinamik versiyonu da bilgisayar ekranına elle atılan imzadır. Bilgisayar ekranına elle imza atılması, uygun donanım ve yazılım vasıtasıyla özel kalemlerle touchpad’e veya dizüstü bilgisayar ekranına el yazısı ile imza atılmasıdır.15 Aşağıda biyotmetri imzalar bölümünde, bu imzalar üzerinde ayrıca duracağız.
Anılan teknikler dışında, bilgisayar ekranındaki “Ok” yazısının tıklanması16 veya onay olarak duyulan sesler, alıcıya göndericiyi tanıtmaya yönelik her türlü şifre, ATM kartlarında kullanılan kart ve kredi kartları17 da elektronik imza örneği teşkil etmektedir. Anılan teknikler dışında, ABD hukukunda elektronik postanın altına eklenen isim de elektronik imza sayılmış ve bağlayıcı olduğu kabul edilmektedir.18 Aynı yönde, İngiltere Ticaret Mahkemesi’nin 1997 yılında Hall ve Cognos şirketleri arasındaki davada elektronik postanın altına yazılmış gönderici isminin elektronik imza sayılması gerektiğine karar verdiği belirtilmiştir.19
