ETK

ELEKTRONİK İMZALAR KONUSUNDA UNCITRAL MODEL KANUN TASLAĞI

(Elektronik Ticaret Alanında UNCITRAL Çalışma Grubunun 18-29 Eylül tarihleri arasında Viyana'da yapılan Otuzyedinci toplantısında onaylanmış şekliyle)

Madde 1 Uygulama Alanı (Kapsam)
Bu kanun elektronik imzaların ticari faaliyetler** kapsamında* kullanıldığı alanlarda uygulanır. Bu kanun, tüketicilerin korunması amacına yönelik herhangi bir hukuk kuralına halel getirmez.
*Komisyon bu kanunun kapsamını (uygulama alanını) genişletmek isteyen devletler için aşağıdaki metni önerir:
* "Bu kanun, aşağıda belirtilen durumlar hariç, elektronik imzların kullanılması halinde uygulanır: (...)
** "Ticari" terimi, sözleşmeye dayanıp dayanmadığına bakılmaksızın ticari nitelik taşıyan tüm ilişkilerden doğan hususları kapsamak üzere, geniş yorumlanmalıdır. Ticari nitelikteki ilişkiler, bunlarla sınırlı olmamakla birlikte, aşağıdaki işlemleri içerir : mal ve hizmet arzı ve değişimi için yapılan tüm ticari işlemler; dağıtım anlaşmaları; ticari mümessillik ve acenteler; factoring, leasing, inşaat; müşavirlik; mühendislik; lisans verme; yatırım; finansman; bankacılık; sigortacılık; yararlanma (kullanma) ve imtiyaz anlaşmaları; joint venture ve sanayi ve ticaret alanında diğer işbirliği türleri; hava, deniz, demiryolu veya karayolu ile malların taşınması.

Madde 2
Tanımlar
Bu kanunun amacı bakımından:
(a) Bir veri mesajına eklenmiş veya mantıken birleştirilmiş ve veri mesajına ilişkin olarak imza atanı belirlemek üzere kullanılabilecek olan, veri mesajında bulunan bilginin imza sahibi tarafından onaylandığını gösteren elektronik formatta bir bilgidir.
(b) "Sertifika", imza atan ile imza yaratım veri arasında ilgiyi teyit eden bir veri mesajı veya diğer bir kayıt anlamına gelir.
(c) "Veri mesajı", elektronik bilginin karşılıklı değişimi (EDI), elektronik posta, telgraf, telex ve telekopyalamanın da aralarında bulunduğu, ancak, bunlarla sınırlı olmayan, elektronik, optik veya benzer araçlarla yaratılan, gönderilen, alınan ve saklanan bilgi anlamına gelir.
(d) "imza atan", imza yaratım bilgisini elinde bulunduran ve kendi adına ya da temsil ettiği kişi adına hareket eden kişi anlamına gelir.
(e) "sertifikasyon hizmeti sunucusu", sertifika veren ve elektronik imzalara ilişkin diğer hizmetleri sunan kişi anlamına gelir;
(f) "güvenen taraf", bir sertifika veya elektronik imzayı esas alarak hareket eden kişi anlamına gelir.

Madde 3 İmza Teknolojilerine Eşit Muamele
Bu kanunda yer alan hiçbir husus, 5. Madde hariç, 6(1) maddede belirtilen şartları yerine getiren veya uygulanacak hukukun şartlarını başka şekillerde yerine getiren herhangi bir elektronik imza yaratılma yöntemini, hukuki etki doğurmaktan hariç tutamaz, mahrum bırakamaz ya da hukuki etkisini sınırlayamaz.

Madde 4 Yorum
(1) Bu kanunun uygulanmasında uluslararası kaynaklı oluşuna, uygulanmasında yeknesaklığın geliştirilmesi ihtiyacına ve iyiniyet ilkesinin gözetilmesine özen gösterilmesi gerekir.
(2) Bu kanun kapsamına girmekle birlikte açıkça düzenlenmemiş hususlara ilişkin meseleler, bu kanunun esas aldığı (dayandığı) genel ilkeler tarafından düzenlenir.

Madde 5 Anlaşma Yoluyla Kanun Hükümlerine Değişiklik Öngörme (Ayrılma)
Bu Kanun hükümlerinden ayrılmak veya etkilerini değiştirmek, ilgili anlaşmanın uygulanacak hukuka göre geçersiz veya hukuki etkiden yoksun olmaması şartıyla, anlaşma yoluyla mümkündür.

Madde 6 İmza için Öngörülen Bir Şarta Uyum
(1) Kanunun bir kişinin imzasını gerektirdiği hallerde, tüm koşulların ışığında, ilgili herhangi bir anlaşma da dahil olmak üzere, bu şart, veri mesajları açısından veri mesajının yaratıldığı veya iletildiği amaca uygunluk açısından güvenilir bir elektronik imzanın kullanılması durumunda yerine gelmiş sayılır.
(2) (1). Paragraf, burada belirtilen şartın bir yükümlülük şeklinde olması veya hukukun sadece imzanın yokluğuna sonuçlar bağlamasına bakılmaksızın uygulanır.
(3) Bir elektronik imza, (1). Paragraftaki şartları yerine getirmek açısından, şu hallerde, güvenilir kabul edilir :
(a) imza yaratım verileri, kullanıldıkları bağlamda, sadece imzalayan kişi ile irtibatlı ise ve imzalayan kişiden bir başkası ile irtibatlı değilse;
(b) imza yaratım verileri, imza esnasında sadece imzalayan kişinin kontrolünde ise ve herhangi başka bir kişinin kontrolünde değilse;
(c) elektronik imzada, imza anından sonra yapılmış her türlü değişiklik, fark edilebilir nitelikte ise; ve
(d) bir imza için hukuken şart öngörülmesinin amacı, ilgili olduğu bilginin bütünlüğü konusunda teminat sağlamaksa, bu bilgiye ait, imza anından sonra yapılan her türlü değişikliğin fark edilebilir olması gereklidir.
(4) (3). Paragraf, aşağıda sayılan konularda kişinin başvurabileceği imkanları sınırlandırmaz:
(a) (1). Paragrafta belirtilen şartın yerine getirilmesi amacıyla, elektronik imzanın güvenilirliğini, herhangi başka bir biçimde ortaya koyma (tesis etme); veya
(b) elektronik imzanın güvenilmezliğini ortaya koyacak kanıtlar sunma.
(5) Bu madde hükümleri, aşağıdaki hallerde uygulanmaz (...)

Madde 7 Madde 6'nın Yerine Getirilmesi (Uyulmasının Sağlanması)
(1) (Kanunu çıkaran devlet tarafından yetkili olarak belirlenecek kamu veya özel nitelikli her türlü kişi, organ veya makam) elektronik imzanın 6. Maddedeki şartları yerine getirip getirmediğini tespit edebilir.
(2) (1). Paragraf uyarınca yapılacak her türlü tespit, kabul edilmiş (tanınmış) uluslararası standartlarla uyumlu olacaktır.
(3) Bu maddedeki hiçbir husus devletler özel hukuku kurallarının işleyişini etkilemez.

Madde 8 İmzalayan Kişi
(1) İmza yaratım verilerinin hukuki etki doğuran bir imza yaratmak üzere kullanılması halinde her imzalayan kişi:
(a) Kendisine ait imza yaratım verilerinin yetkisiz kullanımına engel olmak üzere makul olan özeni gösterecektir.
(b) İmzalayan kişi tarafından makul bir biçimde elektronik imzaya güvenen veya elektronik imzayı desteklemek üzere hizmet sunması makul bir biçimde öngörülebilecek olan herhangi bir kişiye, aşağıdaki hususların gerçekleşmesi halinde gecikmeksizin bildirimde bulunacaktır :
(i) imzalayan kişi imza yaratım verilerinin ele geçirilmiş (compromised) olduğunu biliyorsa; veya
(ii) imzalayanın bilgisi dahilinde olan durumlar, imza yaratım verilerinin ele geçirilmiş (compromised) olduğuna dair esaslı (temelli) risklerin varlığına yol açıyorsa.
(c) elektronik imzayı desteklemek üzere bir sertifikanın kullanıldığı hallerde, sertifikanın ömrü süresince kendisi ile ilgili olan ve imzalayan tarafından yapılan tüm esaslı tanıtımların (representations) doğruluğu ve tamlığını temin konusunda makul özeni göstermiş olmalıdır.
(2) İmzalayan kişi, (1). Paragraftaki şartları yerine getirememesi halinde sorumlu tutulacaktır.

Madde 9 Sertifikasyon Hizmeti Sunucusu
(1) İmza gibi hukuki etki doğurmak üzere kullanılabilecek bir elektronik imzayı desteklemek üzere sertifikasyon hizmeti sunan her hizmet sunucu, aşağıdaki hususları yerine getirecektir:
(a) politika ve uygulamaları hakkında yapmış olduğu tanıtımlara (representations)uygun hareket edecektir.
(b) sertifikanın ömrü süresince yapmış olduğu, sertifika ile ilgili olan veya içine dahil edilen tüm esaslı representationların doğruluğu ve tamlığını temin konusunda makul özeni göstermiş olmalıdır.
(c) Sertifikaya güvenen tarafın sertifikada aşağıdaki hususları makul biçimde belirleyebilmesine (ayırt edebilmesine) imkan sağlayan araçları temin etmelidir:
(i) sertifikasyon hizmeti sunucusunun kimliği;
(ii) sertifikada belirtilen imzalayan kişinin sertifikanın verildiği sırada imza yaratım verilerini kontrolü altında bulundurduğu;
(iii) imza yaratım verilerinin sertifikanın verildiği sırada veya daha önce geçerli olduğunu.
(d) güvenen tarafın, ilgili durumlarda, sertifikadan veya diğer şekillerde aşağıdaki hususları tespitine imkan verecek, makul ölçüde erişilebilir araçlar sağlaması:
(i) imzalayan kişinin belirlenmesinde kullanılan yöntem;
(ii) imza yaratım verilerinin veya sertifikanın kullanılabileceği amaç ve miktara (değere) ilişkin sınırlamalar;
(iii) imza yaratım verilerinin geçerli olduğu ve ele geçirilmiş (compromised) olmadığı hususu;
(iv) sertifikasyon hizmeti sunucusu tarafından belirtilen sorumluluğun kapsam ve miktarına ilişkin her türlü sınırlama;
(v) imzalayan kişinin madde 8 (1) (b) uyarınca bildirimde bulunmasına imkan veren araçların bulunup bulunmadığı hususu;
(vi) zamanında iptal hizmeti sağlanıp sağlanmadığı.
(e) (d) (v) paragrafında öngörülen hizmetlerin sunulması halinde, imzalayan kişinin 8 (1) (b) maddesi uyarınca bildirim yapılmasına imkan sağlanması ve (d) (vi) paragrafındaki hizmetlerin sunulması halinde, zamanında bir iptal hizmetinin mevcudiyetinin temini;
(f) hizmetlerinin ifasında güvenilir (emniyetli) (trustworthy), sistemlerin, prosedürlerin ve insan kaynaklarının kullanımı.
(2) İmzalayan kişi, (1). Paragraftaki şartları yerine getirememesi halinde sorumlu tutulacaktır.

Madde 10 Güvenilirlik (trustworthiness)
(9) (1) (f) maddesinin amaçları bakımından, sertifikasyon hizmet sunucuları tarafından kullanılacak sistem, prosedür ve insan kaynaklarının güvenilir olup olmadığının ve ne ölçüde güvenilir olduğunun tespitinde aşağıdaki hususlar dikkate alınabilir:
(a) aktiflerin mevcudiyeti de dahil olmak üzere, mali ve insan kaynakları;
(b) hardware ve software hizmetlerinin kalitesi;
(c) sertifikaların işlenmesi, uygulanmaları ve tutulmaları (alıkonulmaları) için prosedürler;
(d) sertifikalarda belirtilen imzalayan kişilere ve muhtemel kişilerin bilgiye ulaşabilmeleri;
(e) bağımsız bir organ tarafından denetimin düzenliliği ve ölçüsü;
(f) yukarıdaki hususların mevcudiyetine veya bunlara uyulduğuna dair ilgili devlet, bir akreditasyon makamı veya sertifikasyon hizmet sunucusu tarafından yapılacak bir deklarasyon
(g) her türlü ilgili diğer faktör.

Madde 11 Güvenen Taraf
Güvenen taraf aşağıdaki hususları dikkate almamasından kaynaklanan hukuki sonuçlara katlanır :
(a) elektronik bir imzanın güvenilirliğini doğrulayacak makul adımların atılması; veya
(b) bir elektronik imzanın bir sertifika ile desteklenmesi halinde, şu hususlarda makul adımlar atılır:
(h) sertifikanın geçerliliğinin, askıya alınmasının ve iptalinin doğrulanması; ve
(i) sertifika ile ilgili herhangi bir sınırlamanın dikkate alınması.

Madde 12 Yabancı Sertifika ve Elektronik İmzaların Tanınması
(1) Bir sertifikanın veya elektronik imzanın hukuki geçerliliğinin ve ne ölçüde geçerli olduğunun belirlenmesinde aşağıdaki hususlar dikkate alınmayacaktır:
(a) Sertifikanın verildiği veya elektronik imzanın yaratıldığı veya kullanıldığı coğrafi mekan; veya
(b) Sertifika veren veya imzalayanın iş yerinin coğrafi mekanı.
(2) (Kanunu kabul eden devletten) başka ülkede verilen sertifika, (Kanunu kabul eden devlette), esaslı (temelli) olarak eş bir güvenlik düzeyi sağlanması şartıyla (kanunu kabul edilen üye devletten) verilen bir sertifika ile aynı hukuki etkiye sahip olacaktır;
(3) (Kanunu kabul eden devletten) başka ülkede yaratılan veya kullanılan elektronik imza (Kanunu kabul eden devlette), esaslı (temelli) olarak eş bir güvenlik düzeyi sağlanması şartıyla (kanunu kabul edilen üye devlette) yaratılan veya kullanılan bir elektronik imza ile aynı hukuki etkiye sahip olacaktır;
(4) Paragraf (2) ve (3)'ün amaçları bakımından bir sertifika veya elektronik imzanın esaslı olarak eş bir güvenlik düzeyi sağlayıp sağlamadığının tespitinde, kabul edilmiş uluslararası standartlar ve tüm diğer ilgili hususlar dikkate alınacaktır.
(5) (2), (3) ve (4). Paragraflar dışta bırakılarak, tarafların aralarında anlaşarak belirli türde elektronik imza ve sertifikaların kullanımını kararlaştırmaları halinde, ilgili anlaşmanın uygulanan hukuka göre geçerli ve etkili olması şartıyla, işbu anlaşma, sınırötesi tanıma açısından yeterli kabul edilecektir.