TAMER SOYSAL (*)
Cumhuriyet Savcısı
tamer.soysal@adalet.gov.tr
I. GİRİŞ
İlk olarak 1969 yılında ilk ağların kurulup bunun 1973 yılında bilim çevrelerine tanıtılması ile1 oluşan internet, veri iletim ağlarının en yaygın ve en geniş parçasıdır. Sanal alan ise, bilişim sistemleri ve bunları birbirine bağlayan her türlü veri iletim ağından oluşan sayısal verilerden oluşan bir ağdır. İletişim teknolojilerinin gelişmesi bilgi ve iletişim teknolojilerinin iş ilişkilerine de uygulanmaları ile elektronik ticaret ortaya çıkmıştır. Önceleri kapalı ağlar (closed networks) üzerinden yapılan elektronik ticaret internet ile birlikte açık ağlar (open networks) üzerinden yapılmaya başlamış ve kısa sürede önemli bir büyüklüğe ulaşmıştır. Ancak elektronik ticaretin büyümesi güvenlik problemlerini de beraberinde getirmiştir. Bu nedenle firmalar ve bireyler açık ağlar üzerinden iletişime geçmek için güvenlik (security), kişiliğin belirlenmesi (identification), bütünlük (integrity) ve doğruluk (authentication) sorunlarının çözülmesini beklemeye başlamışlardır. Bu gelişmeler sonucunda ‘elektronik imza’ kavramı ortaya çıkmıştır. Kişinin gerçek hayatta kendisini tanıtan ve imzalanan metnin kendisi tarafından okunduğunu ve onaylandığını belirten imzasının elektronik ortamda gerçekleştirilmesi yöntemlerine elektronik imza adı verilmiştir. Ancak elektronik ortamda güvenlik ve kimlik gibi sorunların halledilmesi için elektronik imzanın geliştirilmiş şifreleme (kriptografi) yöntemleri ile gerçekleştirilmesi gerekmiştir. Bu ise ‘dijital imza’nın oluşumunu getirmiştir. Dijital imza, gerçek hayatta kullandığımız imzanın elektronik ortama aktarılmış şekli değil; gerçek hayatta kullandığımız imzanın elektronik ortamda da hüküm ve sonuç doğuracak şekle getirilmesi ile oluşturulmuş dijital formatıdır. Elektronik imzanın geliştirilmesi ve yaygınlaştırılması elektronik ticaret ve elektronik devlet gibi kavramların gelişmesinin de vazgeçilmez bir gereği olmuştur. Bu amaçlarla Avrupa Birliği 13 Aralık 1999’da 1999/93/AT sayılı Avrupa Parlamentosu ve Konseyi Elektronik İmza Direktifi’ni2 kabul etmiş ve 19 Ocak 2000 tarihinde yürürlüğe sokmuştur. Türkiye’de Avrupa Birliği’ne aday bir ülke olarak ve Dünya’daki gelişmelere ayak uydurmak amacıyla 15.01.2004 tarihinde 5070 sayılı Elektronik İmza Kanunu’nu kabul etmiş ve 23.07.2004 tarihinde yürürlüğe sokmuştur.3
II. ELEKTRONİK TİCARET
2.1. Elektronik İletişim
Elektronik iletişim genel olarak, teknolojik araç ve yöntemlerle girişilen iletişimi ifade eder.4 Teknoloji bir mal veya hizmeti üretmenin topluma mal edilmiş bilgisidir. Sözcük, Antik Yunanca’dan gelen ‘tekhne’ kelimesine ‘bilgi’ anlamına gelen ‘logos’ son ekinin eklenmesiyle oluşmuştur. Antik Yunanca’da zanaat, beceri gibi anlamlarda kullanılan ‘tekhne’ kelimesi, daha sonra Hint-Avrupa dillerine girmiş ve zamanla üretmek, yapmak, elde etmek anlamlarında kullanılmaya başlamıştır.5 Teknik kelimesi de bir şeyi yapmanın, üretmenin ya da elde etmenin bilgisi, becerisi anlamına gelmektedir. İletişim teknolojileri ise iletişim alanındaki bütün teknolojileri kapsayan bir kavramdır. Bu nedenle iletişim teknolojileri kavramına iletim (transmission), telekomünikasyon (telecommunication), iletişim (communication), enformasyon (information), yayın (broadcasting), yayım (publishing) ve basım (printing) teknolojilerinin oluşturduğu telgraf, telefon, faks, teleks, radyo, televizyon, uydu, uzaktan kumanda, çağrı cihazı, telsiz, bilgisayar, modem, video çalar, video kamera, kaset çalar, matbaa, yazıcı, fotokopi gibi aygıtlar girmektedir. 1945 yılında ilk modern bilgisayar sayılan ENIAC’ın6 yapılması ardından 1948’de transistörün7 bulunması ile birlikte elektronik aygıtlarda bir devrim yaşanmış ve aygıtlar daha küçük boyutlarda yapılmaya başlanmıştır. Bilgisayarlar ilk zamanlarda analog esaslara göre çalışıyordu. Analog teknolojilerin temel ilkesi, iki değer arasında sonsuz sayıda değerin bulunmasıdır. Dijital teknolojilerde ise iki değer arasındaki değerler sonlu sayıdadır. Dijital teknolojiler iki temel elektriksel değerle ifade edilir. Bu rakamlar elektrik akımının varlığını ifade eden ‘1’ ve yokluğunu ifade eden ‘0’ dır. Mikro işlemciler (microprocessor) sayesinde dijitalleşmiş değerler elektronik ortamlarda iletilebilir, dönüştürülebilir ve işlenebilir. 1970’lerden beri elektronik iletişim uygulamalarının merkezinde yer alan bir kavram da Elektronik Veri Değişimidir.8 Elektronik veri değişimi yerel iletişim ağları üzerinden mal veya hizmetlerin siparişlerinin alınması, fatura, irsaliye ve konşimento düzenlenmesi işlemlerinin aktarılması temeline dayanan bir sistemdir. Elektronik veri değişimi dışarıya kapalı ağlar9 üzerinden yapılırlar. 1970’li yılların sonlarından itibaren bankalar aracılığıyla ATM10 cihazları ve EFT11 işlemleri de yapılmaya başlanmıştır.
2.2. Yeni Ekonomi ve Elektronik Ticaret Kavramı
Geniş anlamda elektronik ticaret kavramına elektronik iletişim araçlarıyla yapılan mal değişimi girer. Bu iletişim araçları faks, teleks, telefon, bilgisayar ve diğer her türlü elektronik iletişim araçlarıdır. Geniş anlamda elektronik ticaretin konusunu mal ve hizmetlerin işletmeler veya kişiler arasında elektronik ortamda elektronik iletişim araç ve yöntemleri kullanılarak pazarlanması ve sunulmaları neticesinde ortaya çıkan ticaret oluşturmaktadır. İşletmeler arasında veri değişimi (EDI), elektronik fon transferi (EFT), televizyon, faks, televizyon gibi elektronik araçlarla yapılan ticaret de geniş anlamda elektronik ticarete dahildir.12 Ancak 1969’da ilk ağların kurulması ve ardından 1972 yılında bilim çevrelerine tanıtılması ile13 oluşan internet, veri iletim ağlarının en yaygın ve en geniş parçası olarak var olan anlayışı ve elektronik ticaret potansiyelini kökünden değiştirmiştir. İletişim teknolojilerinin gelişmesi bilgi ve iletişim teknolojilerinin iş ilişkilerine de uygulanması ve bilhassa 1995 yılında Amerikan Ulusal Bilim Kurumunun interneti ticari olarak yaygınlaştırmaya başlamasıyla ile birlikte elektronik ticaret , e-ticaret14 olarak anılmaya başlanmış ve adeta internet ile özdeşleşen bir kavram olmuştur. Dar anlamda elektronik ticareti de açık ağlar yani internet üzerinden ve bilgisayar vasıtasıyla yapılan ticari aktiviteler oluşturmaktadır.15 Dünya Ticaret Örgütü, elektronik ticareti ‘internet üzerinden satılan ve ödenen ürünlerin fiziksel ve dijital olarak teslim edilmesi’ olarak; OECD ise ‘açık ağlar veya kapalı ağlar üzeniden sayısallaştırılmış yazılı metin, ses ve görüntünün işlenmesi ve iletilmesine dayanan kişileri ve kurumları ilgilendiren tüm ticari işlemler’ olarak tanımlamıştır. Elektronik ticaretteki bu hızlı dönüşüm süreci ortaya ‘Yeni Ekonomi’ kavramını çıkarmıştır. Özellikle 1996-2000 yılları arasında ABD’de düşük enflasyon ve tahminlerin üzerinde yakalanan büyüme oranları, bu gelişmede ABD’nin bilişim ve iletişim teknolojilerine yaptığı yatırımların etkisi olduğu kanaatini güçlendirmektedir. Her ne kadar önemli akademisyenlerce, bu dönemdeki sıçramanın sadece ekonomideki yeni enstrümanlardan kaynaklanmadığı ve yeni ekonomi kavramına biçilen rolün niteliği tartışılsa da, bilhassa internettin toplum hayatında yaygınlaşmaya başlaması ile hızla büyüyen küresel internet ağı, daha önce görülmeyen bir elektronik ortam yarattı. Bu yeni düzen ‘new economy’16 kavramı ile ifade edildi. Yeni ekonomi ortaya internet şirketleri veya ‘DotCom Şirketleri’17 denilen şirket yapılarını çıkardı. Yeni ekonomi ile birlikte ekonomi daha dinamik ve global bir hal aldı.
Elektronik ticaretin sınıflandırılmasında genel kabul gören ölçüt, mal veya hizmet sağlama süreçlerinin taraflarını esas almaktadır. Elektronik veri iletişiminde dört taraf bulunmaktadır. Bunlar kurumlar (işletmeler), tüketiciler, vatandaşlar ve devlettir. Elektronik ticaret işletmeler ve tüketiciler arasında oluşmaktadır. Mal veya hizmet sunan ve alan tarafların her ikisinin de işletmeler olduğu elektronik ticaret uygulamaları, işletmeler arası elektronik ticaret (Business to Business-B2B); mal veya hizmet sunan ve alan tarafların her ikisinin de tüketiciler olduğu elektronik ticaret, tüketiciler arası elektronik ticaret (Consumer to Consumer-C2C); mal veya hizmet sunan tarafın işletmeler alan tarafın ise tüketiciler olduğu elektronik ticaret, işletmeler ile tüketiciler arasında elektronik ticaret (Business to Consumer-B2C) olarak adlandırılmaktadır.18 Aralık 1995’de 16 milyon olan internet kullanıcılarının sayısı hızla artarak Mayıs 2002’de 580 milyona ulaşmıştır.19 Bu rakam 2004 yılında 934 milyona ulaşmıştır. İnternet kullanıcı sayısının 2005 yılında 1.07 milyara; 2006’da 1.21 milyara ve 2007 yılında da 1.35 milyara çıkması tahmin edilmektedir.20 Bir çok kullanıcı için siber uzay ticari gayeler için yepyeni alternatifler sunan bir fırsatlar dünyasıydı. Bu yeni olanaklar işletmeleri bu alana yönlendirmiş ve internet üzerinden yapılan ticaret hacmini arttırmıştır. 1996’da 100 milyar USD’ı bulan e-ticaret hacmi, 2000 yılında 650 milyar USD’a çıktı. Firmadan firmaya elektronik ticaret toplam elektronik ticaretin yaklaşık % 75’ini oluşturmakta ve önemli bir gelişim trendi izlemektedir. 21
Elektronik imzanın teknik olarak oluşturulması ve ardından uygulamaya geçmesi ile birlikte “E-İmza Ekonomisi” diye adlandırılan gelişmelerin ortaya çıkması gecikmedi. Ülkemizde de elektronik imzanın uygulanmasıyla bu yönde önemli gelişmeler olması kaçınılmaz görünmektedir. 1997 yılından beri elektronik imza konusunda çalışmalar yapan Çin’de 1 milyon kişi elektronik imza sertifikası alarak kullanmaya başlamıştır. Ülkemizde de önümüzdeki beş yıl için de 5 milyon kişinin elektronik imza sertifikası alarak kullanıma geçmesi beklenmektedir.22 Elektronik imzanın kullanımının yaygınlaşmasıyla birlikte elektronik imza üretim cihazları (çipli kart23 ve tokenler24) gibi yeni sektörler oluşacağı gibi cep telefonları alanında da önemli yenilikler görülecek ve elektronik imza üretebilecek cep telefonlarının daha fazla rağbet görmesi muhtemel olacaktır. Elektronik imzanın ülkelerin hukuk sistemleri tarafından tanınması noterlerin de işlevlerinde dönüşüme yol açacak ve ‘elektronik noterlik (e-noter)’25 kurumunu ortaya çıkaracaktır.26
Türkiye’de elektronik imzanın kamu sektöründe uygulanmasına ilk olarak Başbakanlığa bağlı Dış Ticaret Müsteşarlığı tarafından başlatılmıştır. Dış Ticaret Müsteşarlığı sürdürülebilir bir ihracat artışını sağlayacak ihracat yapısını oluşturmak üzere planlanmış “İhracat için Stratejik Plan” çerçevesinde “İhracatta Dahilde İşleme Rejimi-DİR”nin elektronik ortama aktrarılması ile ilgili yapılan işlemlerin elektronik imza uygulanarak yapılmasını kararlaştırmış ve başlatmıştır.27 Sözkonusu uygulama 01.01.2006 tarihinden itibaren zorunlu hale getirilecektir.28
2.3. Elektronik Devlet
Bilgi ve elektronik iletişim alanındaki gelişmeler kamu hizmetlerinin yürütülmesi şeklini de değişmeye ve dönüşmeye zorlamıştır. Elektronik devlet temel olarak kamunun verdiği hizmetlerin bilişim teknolojileri vasıtasıyla daha kaliteli, verimli ve etkin olarak sunulması anlayışına dayanmaktadır. Elektronik devletin oluşumunda geleneksel devletin hantal, maliyetli ve etkinlikten uzak yapısından sıyrılması isteği ile bilişim teknolojilerindeki gelişmeler etkili olmuştur. Kavramın ingilizce karşılığı ‘e-government’ yani ‘elektronik hükümet’ ve ‘yönetim’dir.29 Elektronik devlet uygulamaları nereye varacağı henüz kestirilemeyen bir hedef görünümündedir. Bir yandan geleneksel kamu hizmetleri ve klasik sosyal devlet anlayışı zayıflamakta öte yandan kamu hizmetlerinin yerine getiriliş şekli elektronik ortama aktarılmaktadır. Dünya ülkelerine baktığımız zaman elektronik devlet çalışmalarının 2000’li yıllarda başladığını görüyoruz. Portekiz’de kamu hizmetlerinin elektronik ortama aktarılarak etkinlik ve hız sağlanması amacıyla ‘INFOCID’30 adı ile elektronik devlet çalışmaları sürdürülmektedir. Singapur’da ‘E-CİTİZEN’,31 Birleşik Devletler’de ‘FİRSTGOV’32 adı ile elektronik devlet çalışmaları sürdürülmektedir. Ülkemizde de 1983 yılında kurulan Bilim ve Teknoloji Yüksek Kurulu’nun33 aldığı kararlarla başlatılan e-devlet çalışmaları devam etmektedir. Türkiye’de çeşitli bakanlıklar e-devlet uygulamasına geçmek üzere merkezi otomasyon sistemi projelerini sürdürmektedir.34
2.4. Elektronik Sözleşme
Sözleşme, genellikle birbirinden farklı menfaat ve amaçlarla hareket eden kişiler arasında hukuki bir sonuç doğurmak ve özelllikle bir borç ilişkisi kurmak, mevcut bir borçta değişiklik yapmak ya da onu büsbütün ortadan kaldırmak için yapılan anlaşmadır.35 Sözleşme için Türk hukukunda ‘akit’ veya ‘mukavele’ sözcükleri de kullanılmıştır. Ticaret Kanunumuzun 1464 üncü maddesine göre “Gerek bu kanunda, gerekse diğer kanunlardaki mukavele ve akit sözleri aynı manaya gelir.“
Borçlar Kanunun 11 inci maddesi “Akdin sıhhati, kanunda sarahat olmadıkça hiçbir şekle tabi değildir” diyerek sözleşmelerin yapılmasında kural olarak şekil serbestisini benimsemiştir. Böylece sözleşme hukuku alanında kural olarak sözleşme özgürlüğü ve şekil serbestisi ilkesi benimsenmiştir. Ancak Kanunda bir sözleşmenin kurulmasında şekil şartı kabul edilmiş ise asıl olan bu şekle riayet etmek olacaktır. Bu durum BK.’nun 11/II maddesinde “Kanunun emrettiği şeklin derecei şumul ve tesisi hakkında başkaca bir hüküm tayin olunmamış ise akit bu şekle riayet olunmadıkça sahih olmaz.” şeklinde belirtilmiştir. Sözleşmenin kurulması ise iki tarafın karşılıklı ve birbirine uygun surette rızalarını beyan etmeleri ile gerçekleşir. İki tarafın beyanları ise icap ve kabul şeklinde olacaktır. Taraflardan birinin diğerine yaptığı ve muvafakat edildiği takdirde sözleşmenin meydana gelmesini sağlayan teklif ‘icap’, muhatapça yapılan ve sözleşmenin icaba uygun olarak kurulmasına muvafakati kapsayan irade açıklaması da ‘kabul’ olarak adlandırılır.36 Elektronik iletişim vasıtalarının ortaya çıkmasıyla tarafların irade açıklamaları ile birlikte sözleşmeyi elektronik ortamda yerine getirebilmeleri imkanı doğmuştur. Geniş anlamda elektronik sözleşme kapsamına klasik elektronik iletişim araçları vasıtasıyla yapılan –telefon, teleks, faks vb.- sözleşmeler girerken ingilizce ‘e-contract’ 37 diye ifade edilen38 elektronik ticaret ile birlikte yaygınlaşan elektronik sözleşme kapsamına elektronik iletişimin kendine özgü yöntemleri aracılığıyla açık ağ veya kapalı ağlar üzerinden kurulan sözleşmeler39 girmektedir.40 Elektronik sözleşmelerin yapıldığı ortam ve şekli farklı olmakla birlikte sözleşmeler hukuku alanında geçerli olan temel prensipler elektronik sözleşmeler için de geçerli olacaktır. Kanunun yazılı şekil şartı aramadığı sözleşmeler elektronik iletişim araçları vasıtasıyla da rahatlıkla kurulabilecektir.41 Ancak kanunun yazılı şekil aradığı durumlarda bu yazılı şekil şartına uyulmadan yapılacak sözleşmeler geçersiz olacaktır.
III. ELEKTRONİK İMZA
3.1. Islak İmza ve Elektronik İmza Kavramları
İmza genel olarak bir belgenin kişi tarafından yazıldığını veya okunduğunu böylece onaylandığını belirtmek için yapılan her türlü işarettir. İmza çok eski zamanlardan beri kullanılmıştır. Roma hukukunda bir sözleşmenin hüküm ifade edebilmesi için sözleşme yapan kişilerin mühür yüzüklerini balmumuna basarak metni mühürlemeleri gerekiyordu. Orta çağ boyunca belgeler topraktan yapılmış mühürlerle mühürlenerek doğrulanmaya ve güvenilirlik sağlanmaya çalışılmıştır. Sonraları tarafların el yazısı ile gerçekleştirmiş oldukları kendilerine özgü işaretleri belgelerin doğrulanması ve güvenilirlik için kullanılmaya başlanmıştır. İmza ile ıslak imza birbirinden farklıdır. İmza geniş anlamda kullanılır ve faks, e-posta, kağıt vs. atılan tüm imzaları kapsar. Islak imza ise kişinin elektronik iletişim araçları kullanmaksızın kendi eliyle attığı imzasıdır. Borçlar Kanunun 13 üncü maddesine göre “Tahriri olması icap eden akitlerden borç deruhte edenlerin imzaları bulunmak lazımdır.” demekte 14 üncü maddesinde de ‘imza’ yı düzenlemektedir. Buna göre imza üzerine borç alan kimsenin el yazısı olmak lazımdır. Hukuki bakımdan asıl olan kişinin kendi el yazısı ile atmış olduğu ve ıslak imza olarak da bilinen imzadır. Bu manada imza, yazı bir irade açıklamasının kendisine ait olduğu ifade etmek amacıyla, bir kimsenin ismi için kullandığı özel biçimdeki çizi ve harflerden kurulu bir işarettir.42
Bilgi ve iletişim teknolojilerinin gelişmesi ile birlikte ortaya çıkan elektronik ticaret, elektronik devlet ve elektronik sözleşme gibi kavramlar elektronik ortamda işlem yapılmasını da kaçınılmaz kılmıştır. Ancak yapılan bu işlemler esnasında yapılacak sözleşmelerin ve beyan ve irade açıklamalarının kim tarafından oluşturulduğunun anlaşılabilmesi için tarafların imzalarının elektronik metinlerde de yer alması gerekli olmuştur. Elektronik imza geniş anlamda en basitten en komplekse kadar kişinin elektronik ortamda tanınmasını sağlayan her türlü işaretidir. Bu manada en basit çözüm olarak kişinin kendi el yazısı ile attığı imzanın ‘tarayıcı’ vasıtasıyla bilgisayara aktarılarak hazırlanan metinlerin altına eklenmesi de geniş anlamda elektronik imza kavramına dahildir. Elektronik imzanın bugün en çok kullanılan ve bilinen şekli ise dijital43 imza olarak bilinen şeklidir. Dijital imza temel olarak açık anahtar şifrelemesi (public key criptography) tekniği üzerine kuruludur. Günümüzde elektronik imza denildiği zaman genellikle kastedilen dijital imzadır ancak dijital imza elektronik imza türlerinden yalnızca birisidir. Elektronik imza, imza dosyaları, biyometri tekniği kullanılarak gerçekleştirilen elektronik imza olarak da gerçekleştirilebilmektedir.44 Biyometrik45 imza, insanların ses, parmak izi, göz retinası gibi bazı şahsi özelliklerinin sayısallaştırılması suretiyle elde edilen verilerin, imzalanmak istenen metne eklenmesi şeklindeki elektronik imza uygulamasıdır. Elle atılan bir imza da, biyometrik bir imza niteliğini kazanabilmektedir. İmzalayan kişinin imzası ile birlikte imzasını atarken elinin aldığı hareketler, hızı, ivmesi, kalem vuruşları ve kaldırışları gibi hususlar da sayısallaştırılmakta ve kişinin hususi bir imzası olmaktadır.
3.2. Dijital İmza
3.2.1. Genel Olarak
Elektronik ticaret ilk zamanlarında kapalı ağlar (closed networks) üzerinden gerçekleştiriliyordu. Kapalı ağlar ise işletmeler ve güvenilir kişilerin kendi aralarında oluşturduğu ağlar olduğu için ağ üzerinde güvenlik özel bir problem teşkil etmiyordu. Ancak internetin ortaya çıkmasından sonra elektronik ticaret açık ağlar (open networks) üzerinden yapılmaya başlandı. Herkesin bağlanabildiği ve herkesin birbirleriyle ilişkiye girebildiği bu ortamda güvenlik önemli ve çözülmesi gereken bir problem olarak ortaya çıktı. Bu problemin oluşması ile birlikte daha önce bir problem oluşturmayan iletişim sırasında güvenlik (security), kişiliğin belirlenmesi (identification), bütünlük(integrity), güvenilirlik/doğruluk (authentication) çözülmesi gerekli konular olarak belirdi. Bu konuların çözülmesi çalışmaları ortaya dijital imza kavramını çıkardı. Dijital imza, bir imzacının imzalanacak metni şifreleme ve sıkıştırma mantığıyla çalışan, açık ve gizli iki anahtarlı şifreleme (kriptoloji) tekniği ile sayısal karakterlere dönüşmüş özetinin şifreli olarak belge altına eklenmesi suretiyle kullanılan bir imzadır.46 Dijital imza bir gerekliliğin sonucu oluşmuştur. Dijital imza siber uzayda elektronik ticaret ve elektronik devlet yolu ile oluşan işlemlerin doğruluk, güvenilirlik ve gerçeklik unsurlarını haiz olarak yapılabilmesini sağlar.47
3.2.2. Dijital İmzanın Teknik Yapısı ve Kriptografi
Dijital imzanın temelinde kriptografi bilimi vardır. Kriptografi kavramı Eski Yunan dilinde ‘saklı’ anlamına gelen ‘kryptos’ ve ‘yazım’ anlamına gelen ‘graphia’ kelimelerinden oluşan ve ‘şifre bilimi’ anlamına gelen bir kelimedir. Kriptografi çok eski zamanlardan beri bilhassa askeri alanda kullanılmış48 bir gizli yazı yazma sanatıdır. Kriptoloji ise matematiğin hem şifre bilimi (kriptografi), hem de şifre analizini (kriptanaliz) kapsayan dalıdır. Şifre biliminin amacı ileti güvenliğini sağlamaktır. Şifre analizinin amacı ise varolan şifreleri çözmektir.49 Kriptografi ile karıştırılan bir başka kavram da Steganografi’dir. Steganografi50 kelimesi ‘örtülü, sır, görünmeyen’ anlamlarına gelen ‘steganos’ kelimesi ile yazım anlamına gelen ‘graphia’ kelimelerinden oluşmuştur. Kriptografi ile steganografi tarihi bakımdan ortak gibi görünmesine rağmen birbirinden farklı iki kavramdır. Steganografi ile taşınmak istenen mesajın bir başka masum görünüşlü ortamda saklanarak üçüncü şahısların iletilen mesajın varlığından haberdar olması engellenir. Steganografide amaç bir mesajın var olup olmadığının gizlenmesi ve böylece mesajın gizlice gönderilmesidir. Oysa kriptografide mesajın varlığı bilinse dahi51 mesaj şifrelenmiştir ve mesajın okunabilmesi için bu şifrelerin çözülebilmesi gerekir. Kriptografinin tarihi52 anlatılırken Heredot tarafından aktarılan ve M.Ö. 5 yy’da Eski Yunan’da yaşandığı belirtilen olay esasen kriptografinin değil steganografinin ilk örnekleridir. Sözkonusu anlatıya göre M.Ö. 5. yüzyılda Pers Kralı Daryus’un elinde tutsak olan Yunanlı komutan Histiaeus, Anadolu’da Milet şehrindeki damadı Aristagoras’a gizli bir mesaj göndermek ister. Histiaeus, kölesinin başını traş ettirip mesajı dövme olarak kölenin başına yazdırır. Daha sonra kölenin saçları yapılan dövmeyi örtecek şekilde uzadığında köle Milet şehrine gönderilirdi.53 Kölenin bilmesi gereken tek mesaj ‘kafamı kazıyın’ olacaktı.54 M.Ö. 2000’lerde Eski Mısırlılar okunmasını istemedikleri yazıları mezarlara hiyeroglif yazısı kullanarak süs ve işleme şeklinde yazıyorlardı. Gizli bilgileri aktarma tarih boyunca gelişerek devam etmiştir. Romalılar mektup satırları arasına meyve özleri ve sütü mürekkep gibi kullanarak görünmez şekilde yazılar yazmışlardır. M.Ö. 400’lerde Spartalılar silindir şeklindeki ağaç parçalarına sardıkları papirüsler aracılığıyla şifreleme yapıyorlardı. Buna göre silindir üzerinde sarılı bulunan papirüsteki harfler aynı hizaya getirilmeden anlam ifade etmiyordu. Roma imparatoru Julius Caesar generallerine gönderdiği mesajların okunmaması için kriptografinin ilk örnekleri denilebilecek bir şifreleme tekniği kullanmıştı. Bu şifreleme tekniğinde Caesar yazıları harflerin alfabedeki karşılıklarının üç harf sonrası ile eşleştirme yaparak yazıyordu. Örneğin A harfi yerine D harfi B harfi yerine E harfi kullanılması gibi. Zaman içinde şifreleme teknikleri gelişti ve 1800’lerde şifreleme askeri alanda sık kullanılan bir araç haline geldi. I. Dünya savaşında ABD’nin Almanlardan saklamak için kullandığı ‘tek kerelik bloknot’ yönteminde şifrelemeyi çözücü gizli anahtar şifre çözüldükten sonra imha edilirdi. Sayısal şifrelemenin en ünlü örnekleri ise Almanların II. Dünya Savaşı sırasında kullandıkları şifreleme tekniğidir. Almanlar şifre mesajları oluşturmak için ‘Enigma’ adlı bir şifre makinesi kullanmışlardır. Daha sonra bu makine İngilizlerin eline geçmiştir. 1938 yılında İngilizler ünlü Matematikçi Alan Turing (1912-1954)’den55 şifreleri çözmek için yardım istedi. Turing’in yardımları ile İngilizler Almanların savaş sırasındaki gizli haberleşmelerini çözmeye başladı. Ancak 1942’de Almanlar yeni bir şifre makinesi yaptılar. Almanların Enigma’yı yenileyerek yaptıkları yeni şifre makinelerinin adı ‘Geheimschreiber’ idi. İngilizler Turing önderliğinde ‘Colossus’ adında bir oda büyüklüğünde bir şifre çözücü makine yaptılar. Bu makine sayesinde İngilizler Almanların tüm gizli mesajlarını çözmeyi başardılar. Bu makine 1500 radyo lambasından oluşmakta ve 25.000 karakteri bir saniyede tarayabilmekteydi. Bu makine modern bilgisayarın da ilk örneklerindendir. Tarihçilere göre Almanların gizli şifrelerinin çözülmesi II. Dünya Savaşının en az iki yıl daha kısa zamanda bitmesini sağlamıştır.
Kriptografide mesaj plaintext (düz metin) veya cleartext (temiz metin) olarak adlandırılır. Mesajın içeriğini diğer kişilerden saklamak için yapılan kodlamaya ‘encryption (şifreleme)’; şifrelenmiş mesaja ise ‘ciphertext (şifreli mesaj)’ denir. Şifreli mesajdan düz metni elde etmek için yapılan işleme ise ‘decryption (şifre çözme)’ adı verilir. Modern kriptografinin ilgilendiği konular gizlilik (bilgi istenmeyen kişiler tarafından anlaşılamaz), bütünlük (bilgi saklanması veya iletilmesi sırasında farkına varılmadan değiştirilemez), reddedilemezlik (bilgiyi oluşturan ya da gönderen daha sonra bilgiyi kendisinin oluşturduğunu veya gönderdiğini inkar edemez), kimlik belirleme (gönderen ve alıcı birbirlerinin kimliklerini doğrulayabilirler)56 gibi şifrelemenin amacına ulaşmasına sağlayıcı hususlardır.
Şifreleme ve şifreyi çözme genelde bir anahtar kullanılarak yapılır ve şifrenin çözülmesi ancak doğru anahtarın bilinmesiyle gerçekleşebilir. Anahtar temelli algoritmanın simetrik (gizli anahtar)57 ve asimetrik (açık anahtar)58 olmak üzere iki çeşidi vardır. Simetrik algoritmalar şifreleme ve çözme işlemleri için aynı anahtarı kullanırken asimetrik algoritmalar şifreleme ve çözme için farklı iki anahtar kullanırlar. Dijital imzalar oluşturulurken asimetrik anahtar veya açık anahtar (public key cryptography) şifreleme tekniği kullanılır. Bir dijital imza, gizli anahtarlar kullanılarak yaratılmış küçük bir bilgi parçasıdır ve imzanın oluşturulması için ve çözülmesi için kullanılması gereken iki ayrı anahtar olmalıdır. Gizli şifreleme anahtarı (secret cryptography) sayesinde dijital imza oluşturulur ve açık anahtar (public key cryptography) sayesinde de dijital imzanın doğrulaması yapılır. Bu iki anahtar kullanıcı tarafından bizzat bilgisayarında bir takım programlar vasıtasıyla oluşturulabilir. Ancak siber uzayda güvenliği sağlamak işlevini sağlaması beklenen dijital imza için bu anahtarları sağlayacak güvenilir üçüncü kişilere ihtiyaç vardır. Bu üçüncü kişiler dijital imzanın oluşturulmasında ve çözülmesinde kullanılacak anahtarları sağlayacak olan Sertifika Hizmet Sağlayıcıları (Certification Service Providers)59 olacaktır. Kullanıcı sertifika hizmet sağlayıcılarına başvuracak ve açık anahtar ve gizle şifreleme anahtarlarının yüklü olduğu bir akıllı kart (smart kard) ve bunların kendisine ait olduğunu gösteren bir ‘sertifika’ alacaktır. Ardından almış olduğu akıllı kartı kendi kişisel bilgisayarında (PC) kullanarak özel bilgisayar programını çalıştırmak suretiyle elektronik olarak belgeleri güvenli şekilde –dijital imza ile- imzalamış olacaktır.60
Dijital imza bilginin doğruluğunu korurken imzalanmış belgenin özünü içeren bir şifreleme yapacaktır. Bilgisayar terminolojisinde ‘Hash(özdeğer)’ olarak ifade edilen terim bir mesajın kısaltılmış biçimini ifade eder.61 Dijital imzalama için gönderilecek elektronik metin önce hash fonksiyonu ile harf ve rakamlardan oluşan bir mesaj özetine yani ‘hash (öz) değerine (hash-code)’ çevrilir. Bir hash fonksiyonu (hash function) olası hash değerleri arasında olası mesajların dağıtıldığı bir yol kullanarak bir mesajın bitlerini sabit büyüklükteki bir ‘hash değerine’ sıkıştırır. Bu sıkıştırma belirli bir hash değerini parçalara ayırabilecek bir mesajın ortaya çıkmasını mümkün olduğunca zorlaştıracak bir şekilde yapılır. Hash değerinin şifreleme uzunluğu genellikle 128 bit veya daha büyüktür. Bilgisayar teknolojilerindeki gelişmelerle birlikte hash fonksiyonunun değeri genellikle 160 bit olarak standartlaşmaya başlamıştır.62 Kullanılan en ünlü kriptografik hash fonksiyonları MD563, SHA 1 ve RipeMD-160’dır. Hash fonksiyonu ile hash değeri alınan metin göndericinin özel anahtarı ile asimetrik şifreleme sistemi kullanılarak şifrelenmekte ve böylece metin dijital imza ile imzalanmış olmaktadır. Göndericinin asimetrik şifreleme yöntemi ile dijital imzayı atarken kullanacağı yöntemlerden en sık kullanılanları RSA64 ve DSA65’dır.66 RSA şifreleme yönteminde bir anahtar 1024 bitten oluşmaktadır. Bu yaklaşık 300 haneli bir ondalık sayıya eşittir.67 İmzalanan elektronik metin alıcıya gönderildikten sonra alıcı kendisine gönderilen belgenin ve kim tarafından gönderildiğini doğrulayacaktır. Alıcı, bir program vasıtasıyla metnin hash değerini hesaplayacak ardından gönderilen elektronik belgedeki dijital imzayı gönderenin açık anahtarını kullanarak deşifre edecektir. Bu işlem sonucunda gönderilen metnin hash değeri bulunur. Alıcı kendi bulduğu hash değeri ile açık anahtar kullanarak bulduğu orijinal metnin hash değerini karşılaştıracaktır. Bu iki değer birbirinin aynıysa, metnin değiştirilmeden ve bozulmadan gönderildiğinden ve dijital imzanın sahibi tarafından gönderildiğinden emin olacaktır.68 Bu iki değerin farklı olması halinde ise dijital imza doğruluk fonksiyonunu yitirecektir. Dijital imza ile belge imzalanırken belgenin imza tarihinin de şüpheye yer bırakmayacak şekilde tespiti istenebilir. Bu tespit gönderilecek dokümanlara ‘timestamp (zaman-pulu veya zaman kaşesi)’ eklenmek suretiyle yapılır. Gönderici dijital imza ile metni imzalarken zaman pulunu da imzalayacaktır.
Şekil 1: Dijital İmzada şifreli mesajın gönderilmesi ve alınması süreci69
Dijital imzanın hazırlanması teknik açıdan karmaşık bir süreci gerektirse de kullanıcı için bilgisayarda hazırlanan bir mesajı dijital imza ile imzalamak son derece kolay olacaktır. Kullanıcı önce ‘imzala’ komutunu tıklayacak sonra da ‘imza anahtarını yerleştir’ komutunu gördükten sonra sertifika kurumundan temin ettiği kartını kart okuyucuya takarak elektronik belgeyi dijital imzası ile imzalamış olacaktır.70
3.2.3. Sertifika Hizmet Sağlayıcılar71
Açık elektronik ağlardan dijital imza ile imzalanmış bilgiyi gönderen kişinin imzasının geçerliliğinin ve doğruluğunun saptanabilmesi için imzayı atan kişinin açık anahtarı gereklidir. Bu nedenle hangi açık anahtarın hangi kullanıcıya ait olduğunun belirlenebilmesi için açık anahtarları ve kimlik bilgilerini onay yetkisini haiz bir otoriteye gereksinim olmuştur. Bu görevi kanuna uygun olarak faaliyet izni almış sertifika hizmet sağlayıcıları yerine getirir. Dijital imza sahibi almak isteyen kişi yetkili bir sertifika hizmet sağlayıcısına başvurarak kimlik bildiriminde bulunur. Sertifika makamı bu kimlik bilgileri üzerine bir çift şifre hazırlar. Bu şifrelerden gizli anahtar kamuya açıklanmaz ve sadece dijital imza sahibine verilir. Bu şifrenin saklanması akıllı kartlar (smart cards) vasıtasıyla olabileceği gibi bilgisayarın sabit diskinde şifreli şekilde yerleştirilerek de gerçekleştirilebilir. Açık anahtar ise ‘dizin sunucular (directory services)’ adı verilen kamuya açık listelerde yayınlanır.72 Bu şifreler dijital imza sahibi ile metnin birbirini tutup tutmadığının doğrulanması için kullanılır. Sertifika hizmet sağlayıcılar herhangi bir kullanıcının kimliğini kontrol ederek, bu kimliğin hangi açık anahtara sahip olduğunu belgeler ve ‘sertifika’ adı verilen belgeyi düzenledikten sonra sertifika hizmet sağlayıcısana ait gizli anahtarla dijital olarak imzalar ve bu imza da sertifikaya eklenir. Kullanıcı sertifikalarının bir kopyasının sertifika hizmet sağlayıcısının kamuya açık bulunduracağı bir erişim dizinine kaydedilmesi gerekmektedir. Sertifika hizmet sağlayıcıları kişi ve kurumlara bu yolla elektronik kimlik belgesi (sertifika) üreten, dağıtan ve belgelerin yönetimini üstlenen güvenilir kurumlardır. Elektronik sertifika, elektronik imzanın doğrulanması için gerekli olan veriyi ve imza sahibinin kimlik bilgilerini içeren elektronik kaydı ifade eder.73 Sertifika hizmet sağlayıcı olarak görev yapabilme şartları her ülkenin mevzuatında düzenlenmiştir. Sertifika makamının açık şifresinin de aynı zamanda veya aynı alanda hizmet veren bir başka onay makamı tarafından onaylanmış olması gerekir.74 Sertifika hizmet sağlayıcılarının faaliyet izni alabilmeleri için aşağıdaki üç unsura sahip olmaları gerekir:
- Teknolojik yeterlilik: Güvenlik protokolleri ve standartları, güvenli iletişim ve kriptoloji gibi teknolojileri uygulayabilmelidir.
- Yeterli Altyapı: Gizlililik yetenekleri olmalı, yedekleme ve müşteri desteği hizmetlerini verebilmelidir.
- Önergeler: Bir sertifika hizmet sağlayıcısının yasal altyapısı ve internette güvenilir üçüncü kurum olma modeli, kapsamlı dökümanlar içeriğinde yayınlanmalıdır.
Bu şartları haiz sertifika hizmet sağlayıcıları elektronik kimlik bilgilerinin dağıtımı ve yenilenmesi, kişi ve kurumların kimliklerinin onaylanması, kişi ve kurumların kayıtlarının onaylanması, iptal edilen elektronik kimlik belgelerinin duyurulması hizmetlerini yerine getirirler.75
IV. ELEKTRONİK İMZA İLE İLGİLİ DÜZENLEMELER
4.1. YURT DIŞINDA
4.1.1. Birleşmiş Milletler Çalışmaları
A. Uncitral Elektronik Ticaret Model Kanunu
Birleşmiş Milletler Uluslararası Ticaret Hukuku Komisyonu’nun (UNCITRAL76) hazırlamış olduğu Elektronik Ticaret Model Kanunu Tasarısı77 16 Aralık 1996 tarihinde Birleşmiş Milletler Genel Kurulu’nda kabul edilmiştir. Model Kanun Uluslararası bir sözleşme niteliğinde değildir. Kanunun amacı Birleşmiş Milletler üyesi olan devletlere elektronik ticaret konusunda milli mevzuatlarında benimseyebilecekleri örnek bir model kanun metni sunmaktan ibarettir. Model Kanun iki bölümden oluşmaktadır. Birinci bölümde genel olarak elektronik ticaret, ikinci bölümde ise mal taşımacılığı ile ilgili hükümler yer almaktadır. Model Kanun birinci maddesinde Kanunun ticari faaliyetlerde kullanılan ‘veri mesajı (data message)’ şeklindeki her türlü bilgiye uygulanacağını belirtmiştir. Veri mesajı ise ikinci maddede “elektronik veri değişimi, elektronik posta, telgraf, teleks veya telefaks ile sınırlı olmayan elektronik optik veya benzeri araçlarla oluşturulan gönderilen, alınan veya kaydedilen bilgi” olarak tanımlanmıştır. Kanunun ikinci bölümünde ise 5-10 maddelerinde kanuni düzenlemelerin veri mesajı şeklindeki elektronik bilgilere uygulanması düzenlenmiştir. Yedinci madde ‘İmza’ başlığı ile düzenlenmiştir. Bu maddede ‘elektronik imza’ kavramından bahsedilmemekle birlikte imzanın göndericinin kimliğini tespit etmesi ve mesajın o kişi tarafından gönderildiği bilgisini içermesi durumunda ‘veri mesajı’ şeklinde göndermek yolu ile atılan imzanın da ulusal hukuk sistemlerinin aramış olduğu imza şartını yerine getireceği belirtilmiştir. Model kanun elektronik ortamda verilerin iletilmesi ve bu yolla ticaret geliştirilmesi için gerekli olan güven ortamının sağlanması gereğinden bahsetmiştir.78
B. Uncitral Elektronik İmza Model Kanunu
Birleşmiş Milletler Uluslararası Ticaret Hukuku Komisyonu’nun (UNCITRAL) hazırlamış olduğu Elektronik İmza Model Kanunu Tasarısı79 12 Aralık 2001 tarihinde Birleşmiş Milletler Genel Kurulu’nda kabul edilmiştir.Kanunun birinci maddesi kanunun uygulama kapsamını belirtmiştir. Buna göre elektronik imzanın ticari faaliyetlerde kullanılması durumunda bu kanun uygulanacaktır. Kanunun ikinci maddesinde tanımlar verilmiştir. Bu maddenin (a) bendine göre elektronik imza (electronic signature) “veri mesajı ile ilintili olarak imza sahibinin kimliğinin tespitini mümkün kılan ve veri mesajında yer alan bilginin imza sahibi tarafından onaylandığını gösteren veri mesajına eklenmiş veya veri mesajı ile mantıksal bir bağlantı içerisinde olan elektronik formattaki veri”80 olarak tanımlanmıştır. Veri mesajı kavramı da bu maddede Elektronik Ticaret Model Kanunundaki gibi tanımlanmıştır. Model Kanun elektronik imzanın elle atılan imzanın hukuki sonuçlarını doğurması için ‘güvenilir (reliable)’ olmasını şart kılmıştır. Elektronik imzanın güvenilir olması için ise ;
- elektronik imzayı oluşturan verilerin sadece imza sahibine ait olması gerekir.
- elektronik imzayı oluşturan verilerin imzanın oluşması sırasında tamamen imza sahibinin kontrolünde olması gerekir.
- elektronik imza gerçekleştirildikten sonra eğer elektronik imza üzerinde bir değişiklik yapılmış ise bu değişikliklerin tespit edilebilir olması gerekir
- Elektronik imza hukuki açıdan imza edilen belgenin içeriğini de garanti ediyor ise belgenin imza edilmesinden sonra belge içeriğinde değişiklik yapılması halinde bu değişikliklerin de tespit edilebilir olması gerekir.
Bu dört şartı haiz elektronik imza Model Kanun anlamında ‘güvenilir elektronik imza’ olarak hukuki sonuç doğurmaya elverişli olacaktır (Model Kanun m.6/3). Ancak elektronik imzanın güvenilir olmadığına dair kanıtlar her zaman getirebilecektir (Model Kanun m. 6/4-b).
4.1.2. Avrupa Birliği Çalışmaları
A. Avrupa Birliği Elektronik İmza Direktifi
Avrupa Konseyi, Birleşmiş Milletler Uncitral Model Kanunu Tasarısı çalışmalarından da faydalanarak elektronik ticareti güvenilir kılma ve topluluk içerisinde elektronik imza ile ilgili genel çerçeve belirlemek amacıyla 13 Aralık 1999’da Brüksel’de imzalanan 1999/93/AT sayılı Avrupa Parlamentosu ve Konseyi Elektronik İmza Direktifi’ni81 kabul etmiştir. Direktif Topluluk Resmi Gazetesinde 19 Ocak 2000 tarihinde yayımlanarak yürürlüğe girmiştir. Direktifin 13 üncü maddesine göre Üye devletler 19 Temmuz 2001 tarihinden önce bu direktife uyum sağlamak üzere gerekli kanun, düzenleme ve idari hükümleri yürürlüğe koyacaklardır.82 Direktif ile topluluk içinde elektronik imzaların hukuken tanınması ve elektronik imzanın kullanımını kolaylaştırmak amaçlanmaktadır. Direktifin 2. maddesinde elektronik imza “diğer elektronik verilere mantıken bağlı olan veya onlara eklenmiş ve bir tasdik yöntemi oluşturan elektronik form” şeklinde tanımlanmıştır. Bu tanım Uncitral Elektronik İmza Model Kanunu tanımına benzerlik göstermektedir. Direktif elektronik imzayı bu şekilde tanımladıktan sonra Model Kanun’daki ‘güvenilir elektronik imza’ kavramına benzer şekilde ‘gelişmiş elektronik imza (advanced electronic signature)’ kavramını benimsemiştir. Direktifin 5 inci maddesine göre elektronik imzanın el ile atılan imza ile aynı sonuçları doğurabilmesi için elektronik imzanın gelişmiş elektronik imza olması gerekecektir. Gelişmiş elektronik imza ise şu şartları taşımalıdır:
- sadece imza sahibine izafe edilebilmelidir.
- imza sahibinin kimliğinin tespitini mümkün kılmalıdır
- sadece imza sahibinin kontrolü altında tutabileceği araçlarla oluşturulmalıdır.
- verilerde daha sonradan yapılabilecek tüm değişikliklerin tespitine olanak sağlaması gerekir (Direktif m. 2/2).
Ayrıca Direktifin 5 inci maddesine göre gelişmiş elektronik imza ‘nitelikli bir sertifikaya’ dayanmalı ve güvenli imza yaratımına uygun araçlarla oluşturulmalıdır. Aksi takdirde elektronik imza el ile imzanın yarattığı sonuçları doğurmayacaktır. Güvenli imza yaratım araçları (secure-signature-creation device) ise şu şartları taşımalıdır:
- imza yaratımı için kullanılan veriler, uygulamada bir kez kullanılabilmeli ve gizlilikleri makul bir şekilde garanti (reasonable assurance) altında olmalıdır
- imza yaratımı için kullanılan verilerin elde edilememesi ve imzanın sahteciliğe karşı korunması teknolojik olanaklar da kullanılarak makul bir şekilde garanti altında olmalıdır.
- İmza yaratımı için kullanılan veriler imzanın meşru sahibi tarafından 3. kişilerin kullanımlarına karşı güvenilir bir şekilde korunabilmelidir.
- Güvenli imza yaratım araçları imzalanacak verileri değiştirmemeli ve imza süreci öncesinde imzalayan kişiye sunulmasını engellememelidir (Direktif Ek III).
Ancak Direktifin 5 inci maddesinin ikinci paragrafına göre Üye devletler elektronik imzanın hukuki etki doğurmasını ve yargı süreçlerinde kanıt olarak kullanılabilmesini;
- imzanın elektronik olarak sunulması sebebiyle,
- elektronik imzanın nitelikli bir sertifikası bulunmadığı gerekçesiyle,
- elektronik imzanın nitelikli bir sertifikası bulunmasına rağmen sertifikasyon hizmet sunucusunun akredite edilmemesi sebebiyle,
- elektronik imzanın güvenli imza oluşturma araçları ile oluşturulmaması sebebiyle,
reddedilmemesini temin edeceklerdir. Bunun anlamı AB sisteminin elektronik imzanın elle atılan imzanın hukuki sonuçlarını doğurması için ‘gelişmiş elektronik imza’ tanımını benimsediği ancak ‘gelişmiş elektronik imza’ kapsamında olmayan elektronik imzaların da hukuki etki doğurmasını ve yargı sürecinde kanıt olarak kullanılabilmesinin temin edilmesi gerektiğinin düzenlenmiş olmasıdır.
Direktifin 2. maddesinde sertifika (certificate) kavramı “imza doğrulama verisi83 ile kişi arasındaki bağlantıyı sağlayan ve ilgili kişinin kimliğini doğrulayan elektronik bildirim” olarak tanımlanmıştır. Sertifika hizmet sağlayıcısı ise “sertifika hazırlayan ve elektronik imzalarla ilgili diğer hizmetleri yerine getiren her türlü kurum veya özel/tüzel kişi” olarak tanımlanmıştır. Nitelikli sertifikaların sahip olması gereken unsurlar Direktifin I no’lu ekinde, nitelikli sertifika düzenleyen sertifika hizmet sağlayıcılarının yerine getirmesi gereken şartlar ise II no’lu ekte sayılmıştır. Buna göre sertifika hizmet sağlayıcılar yeterli güvenilirlikte olmalı ve hizmeti aksatmadan sürdürecek alt yapı ve donanıma sahip olmalıdır.
B. Avrupa Birliği Elektronik Ticaret Direktifi
Avrupa Konseyi Üye devletler arasında bilgi toplumu hizmetlerinin serbest dolaşımını sağlayarak pazarın düzgün işleyişine katkıda bulunmak ve elektronik ticaretin geliştirilmesi amacıyla 8 Haziran 2000 tarihinde Elektronik Ticaret Direktifi’ni84 kabul etmiştir. Direktif 17 Haziran 2000 tarihinde Topluluk Resmi Gazetesi’nde yayımlanarak yürürlüğe girmiştir. Direktifin 22 inci maddesine göre Üye devletler 17 Ocak 2002 tarihinden önce bu direktife uyum sağlamak üzere gerekli kanun, düzenleme ve idari hükümleri yürürlüğe koyacaklardır. Sözleşmenin 9 uncu maddesine göre Üye devletler, kendi hukuk sistemlerinin, sözleşmelerin elektronik vasıtalarla akdedilmesine izin vermesini sağlayıcı düzenlemeleri yapacaklardır. Ancak Üye devletler taşınmaz mülkiyeti sözleşmeleri, kamu otoritesinin katıldığı sözleşmeler, garanti (kefalet) sözleşmeleri, aile hukuku ve miras hukuku kapsamındaki sözleşmelerinin elektronik vasıtalara tabi olmamasını kararlaştırabileceklerdir (Direktif m. 9/2).
4.1.3. Diğer Ülkeler
A. Amerika Birleşik Devletleri
Birleşik Devletler’de elektronik ticaret ve elektronik imza ile ilgili olarak fedaral kanun (fedaral act), yeknesak kanun (uniform act) ve eyalet kanunları (state laws) bulunmaktadır. Federal düzeyde 30 Haziran 2000 tarihinde imzalanan ve 1 Ekim 2000 tarihinde yürürlüğe giren “Global ve Ulusal Ticarette Elektronik İmzalar Kanunu (Electronic Signatures in Global and National Commerce Act-E-SIGN)”85 bulunmaktadır. Bu kanuna göre sadece elektronik biçimde oldukları gerekçesiyle eyaletler arası ve dış ticarette kullanılan veya eyaletler arası ve dış ticareti etkileyen herhangi bir işlemle ilgili imza, sözleşme veya diğer kayıtların hukuki yürürlüğünün, geçerliliğinin veya uygulanabilirliğinin olmadığı iddia edilemez. Bu şekilde Birleşik Devletler federal düzeyde elektronik imzayı geçerli bir imza olarak tanımıştır. Elektronik imza ise “sözleşmeye veya diğer elektronik kayıtlara iliştirilen veya bunlarla mantıksal olarak bağlantılı olan ve şahıslarca kaydı imzalamak niyetiyle uygulanan veya kabul edilen elektronik formdaki bilgi veya veri” olarak tanımlanmıştır. Birleşik Devletler Elektronik İmza Sisteminin Kara Avrupası Elektronik İmza Yaklaşımından temel bir farklılık taşıdığı görülmektedir. Birleşik Devletler Yasası elektronik imzaların geçerliliği konusunda bir teknolojiyi benimsememiş, bunun yerine tarafsız (technologic neutrality)86 kalarak tarafların elektronik ortamdaki iradelerine üstünlük tanımıştır. Oysa Kara Avrupası elektronik imza düzenlemeleri ‘güvenilir imza’, ‘gelişmiş imza’ gibi başlıklar altında ‘dijital imza’ teknolojisini benimsemiş ve elektronik imzanın hukuki anlam ifade edebilmesi için dijital imza şeklinde oluşturulmuş olmasını şart koşmuştur.
Birleşik Devletler Elektronik İmza Kanunu bazı alanlarda elektronik imzanın en azından belirli bir süre için kullanılamayacağını da hükme bağlamıştır. Buna göre bu hususlar;
- Vasiyetnamelerin, ek vasiyetnamelerin veya vasiyetname ile ilgili emanetlerin düzenlenmesini ve imzalanmasını yöneten yasalar, yönetmelikler veya diğer yasa kuralları,
- Evlat edinme, boşanma veya aile hukuku ile ilgili diğer konuların tabi olduğu Eyalet Yasaları,
- Mahkeme emirleri veya bildirimleri veya mahkeme takibatlarıyla ilgili olarak düzenlenmesi gereken (dava özetleri, layihalar ve diğer yazılar dahil) resmi mahkeme belgeleri;
- Su, ısıtma ve enerji dahil kamu hizmetlerinin iptali veya sona erdirilmesine ilişkin bildirimler;
- Herhangi bir bireyin birincil ikametgahı ile ilgili bir kira anlaşması veya bu birincil ikametgah ile teminat altına alınmış bir kredi anlaşması kapsamında kusur, hızlandırma, yeniden sahip olma, rehnin paraya çevrilmesi veya tahliye veya telafi hakkı;
- Sağlık sigortasının veya sağlık sigortası yardımlarının (yıllık gelirler hariç) iptali veya sona erdirilmesi;
- Sağlık veya güvenliği tehlikeye sokma riski olan bir ürünün geri çağrılması veya böyle bir ürünün esaslı bir kusuruna ilişkin bildirim;
- Tehlikeli maddeler, böcek zehirleri veya diğer toksik veya tehlikeli malzemeler taşınırken veya yüklenip boşaltılırken bunlarla beraber bulunması gereken belgeler (Kanun m. 103).
Ancak bu istisnalar da Kanunun 103/c maddesi gereğince üç yıllık süre içinde tüketicilerin korunması için uygulanması gerekip gerekmediği açısından gözden geçirilecektir. Kanun tüketicilerin korunması ile ilgili 101/c maddesinde ‘Tüketiciye Yapılan Açıklamalar’ başlığı ile elektronik kayıtların tüketiciler tarafından kabulünde tüketiciler lehine bazı düzenlemeler getirmiş, 101/d maddesiyle “Sözleşmelerin ve Kayıtların Saklanması” başlığı ile yine tüketicileri koruyucu hükümler getirmiştir.
Birleşik Devletler’de bu alanda kabul edilen temel kanun niteliğindeki E-Sign Kanununun kabul edilmesinden sonra Birleşik Devletler’de eyalet temsilcileri elektronik ticaret ve elektronik imza alanında yeknesak bir kanun oluşturmak için toplanmışlar87 ve alınan tavsiye kararları sonrasında “Yeknesak İşlemler Kanunu”88 kabul edilmiştir. Bu Kanun’u kimi eyaletler aynen onaylayarak yürürlüğe sokarken kimi eyaletler ise tüketiciler lehine bazı değişiklikler89 ile bu Kanun’u yürürlüğe sokmuşlardır.90 UETA elektronik imzayı E-Sign Act’e göre farklı olarak“sözleşmeye veya diğer kayıtlara iliştirilen veya bunlarla mantıksal olarak bağlantılı olan ve şahıslarca kaydı imzalamak niyetiyle uygulanan veya kabul edilen elektronik bir ses, sembol veya süreç” şeklinde tanımlamıştır. Bu Kanun ile birlikte Birleşik Devletler’de elektronik ticaret ile ilgili olarak elektronik sözleşmelere ilişkin Yeknesak Bilgisayar Bilişim İşlemleri91 Kanunu ve Yeknesak Ticaret Kanunu92 bulunmaktadır. Yeknesak Ticaret Kanunu eyaletler arası ticari düzenlemeleri uyumlaştırmak üzere çıkarılmıştır. Ayrıca 1998’de çıkarılmış “Devlette Kırtasiyenin Azaltılması Hakkında Kanun (Government Paperwork Elimination Act)”93 ile elektronik devlet uygulamasının yaygınlaşmasını ve işlemlerin elektronik belge ve elektronik imzalarla gerçekleştirilmesi amaçlanmıştır. Bütün bu mevzuat birbiriyle uyum içindedir ve ortak olarak eyaletler arasında ve dış ticarette elektronik işlem hacminin artırılmasını sağlamak ve elektronik imza uygulamasının benimsenmesi amaçlarına yöneliktir.
B. Almanya
Almanya’da AB’nin Elektronik İmza Direktifi’nden önce 28 Temmuz 1997 tarihinde kabul edilen ve 1998 tarihinde yürürlüğe giren Alman Dijital İmza Kanunu, anılan Direktif’in kabülünden sonra değiştirilmiş ve 22 Mayıs 2001 tarihinde “Elektronik İmzanın Çerçeve Şartları ve Diğer Hükümlerinin Değiştirilmesi Hakkındaki Kanun” yürürlüğe girmiştir.94 Bu Kanuna göre elektronik imza Uncitral ve AB düzenlemelerine paralel şekilde “diğer elektronik verilere eklenebilen veya bu verilerle mantıksal olarak bağlantılı olan ve kullanıcıyı tanımaya yarayan elektronik formdaki veriler” olarak tanımlanmıştır. Kanun AB Elektronik İmza Direktifi sisteminin benimsediği “gelişmiş elektronik imza” kavramını tanımlamış ancak AB Direktifi’nin 5 inci maddesinde öngörülen “nitelikli bir sertifikaya dayanan ve güvenli imza yaratımına uygun araçlarla oluşturulan imza” kavramını “nitelikli elektronik imza (qualifizierte elektronische signatur)” olarak tanımlamıştır (m.2/f.3). Kanun AB Elektronik İmza Direktifi’ne uygun olarak sertifika hizmetlerinin yerine getirilmesi için faaliyette bulunan sertifika hizmet sağlayıcılarının izin almaksızın faaliyette bulunabileceklerini kabul etmiştir (m.4/f.1). Ancak sertifika hizmeti sunan bir kurumu işletmek isteyen herhangi bir kimse, bunu yetkili makamlara en geç işletmeye başlamasıyla birlikte bildirmek zorundadır (m. 4/f.3). Bir sertifika kurumu gerekli güvenilirlik kavramına da sahip olmalıdır. Gerekli güvenilirlik kavramı, sertifika hizmeti sunan kurum olarak, işletme ile ilgili olan yasal kurallara uygun hareket edileceğini garanti etmeyi kapsamaktadır (Kanun m. 4/f.2). Bir sertifika kurumu nitelikli elektronik imza veya diğer teknik güvenlik teçhizatları bakımından ürünlerini yetersiz durumda bulundurursa; bu halde nitelikli bir sertifikada ve nitelikli bir zaman kaşesinde yer alan bilgilere güvenmesi nedeniyle zarara uğrayan üçüncü kişilerin bu zararını tazmin etmek zorunda kalacaktır (m. 11/f.1). Ancak sertifika hizmeti sunan kurum kusurlu olmadığını ispat ederse tazmin yükümlülüğü oluşmayacaktır (m.11/f.2). Sertifika hizmeti sunan kuruluş, faaliyetlerini durduğu takdirde bunu gecikmeksizin yetkili makamlara bildirmekle yükümlüdür (m. 13). Kanunun 14 üncü maddesinde sertifika hizmet sağlayıcılarının elde etmiş oldukları kişisel verilerin korunması hususu, 15 inci maddesinde ise ihtiyari akreditasyon düzenlenmiştir. Kanunun 17 inci maddesi nitelikli elektronik imza ürünlerinin teknik güvenlik şartlarını düzenlemektedir.
Almanya AB Direktifine uygun olarak çıkardığı Elektronik İmza Kanunundan sonra 13 Temmuz 2001 tarihinde “Özel Hukukun Şekle İlişkin Hükümlerinin ve Diğer Hükümlerinin Modern Hukuki İşlemlere Uyarlanması Hakkında Kanun”u kabul ederek özel kanunlarında elektronik imzaya uyum sağlamaya çalışmıştır. Bu kanun ile Alman Medeni Kanunun Kanuni Şekle ilişkin &126 ıncı maddesine “Kanun aksini öngörmediği sürece, yazılı şekil elektronik şekil (elektronische form) ile ikame edilebilir” fıkrası eklenerek elektronik şekil de yazılı şekil olarak tanınmıştır. Kanun’da elektronik şeklin geçerli olmayacağı haller kefalet (&766BGB), borç vaadi (&780 BGB), borç ikrarı (&781 BGB), tüketici kredisi sözleşmesi ve kaydı hayat ile irat sözleşmesi (&761 BGB) olarak düzenlenmiştir.95
Alman Medeni Kanunu’na 126 ıncı maddeden sonra eklenen 126a maddesiyle “(1)Kanunen öngörülen yazılı şekle ilişkin gereklerin, elektronik şekil tarafından yerine getirilmesi için, beyan sahibinin elektronik metne adını eklemesi ve elektronik belgeyi Dijital İmza Kanununda öngörülen özellikleri taşıyan nitelikli elektronik imza ile imzalaması gerekir (2) Akdedilen bir sözleşmede tarafların aynı içeriğe sahip bir belgeyi, 1. fıkrada belirtilen şekilde elektronik olarak imzalamaları gereklidir” hükmü getirilmiştir. Görüldüğü gibi elektronik imzanın elle atılan imzanın hükümlerini doğurması için nitelikli elektronik imza olması şartı aranmıştır. Kanuna eklenen 126b maddesi ile de yeni bir şekil türü olarak ‘metin şekli (textform)’ kabul edilmiştir. Bu şekil türü imzanın aranmadığı durumlarda beyanın okunabilir yazı harfleri ile tespit edilmesi ve beyan sahibinin isminin bildirilmesi ile gerçekleşmiş olacaktır.96
Alman Medeni Kanunu’nun 127 inci maddesinde yapılan değişiklikle elektronik posta, telefaks, teleks gibi iletişim araçları vasıtasıyla yapılan iletim de –aksine bir düzenleme yoksa- yazılı şekil şartlarını karşılamaya yetecektir.
Kanun ile Alman Medeni Usul Kanunu (ZPO)’da da değişiklikler yapılmıştır. Bu değişikliklerle tarafların dilekçe ve beyanlarının, aynı şekilde üçüncü kişilerin beyanlarının elektronik şekilde hazırlanmış belge ile mahkemelere ibraz edilmesi geçerli olarak kabul edilmiştir (ZPO&130, 130a). Ayrıca Alman Usul Kanuna eklenen 292a maddesi ile “Elektronik şekilde hazırlanmış bir belgede yer alan ve Elektronik İmza Kanununa göre yapılacak bir kontrole göre mevcut olduğu anlaşılan, bir irade beyanının doğruluğu ancak, bu beyanın imza anahtarı sahibinin iradesine aykırı olarak yapıldığı vakıasının mümkün olduğu kadar ciddi bir şekilde gerçekleştiği ispat edilirse sarsılabilecektir” hükmü getirilmiştir. Bu hüküm ile elektronik işlemlere olan güveni ve yoğunluğu sağlamak için irade beyanının alıcısı lehine bir ispat kolaylığı öngörülmüştür. Beyanın alıcısı yani muhatabın ‘ilk görünüş ispatı prensipleri’ ne göre beyanın imza anahtarı sahibi tarafından yapıldığını ortaya koyması yeterli iken, aksinin yani beyanın imza anahtarı sahibi tarafından gerçekleştirilmediği iddiası ancak imza anahtarı sahibinin iradesine aykırı olarak yapıldığını ciddi şekilde sarsacak deliller getirilerek ispatlanabilecektir.97
4.2. TÜRKİYE’DE
4.2.1. Türk Elektronik İmza Kanunu ve Yönetmeliği
Son yıllarda elektronik ticaret ve elektronik iletişimde meydana gelen gelişmelerle paralel şekilde oluşan elektronik ortamda güvenlik ve gizliliğin sağlanması için başlatılan elektronik imza çalışmaları kapsamında Avrupa Konseyi tarafından 13 Aralık 1999 tarihinde kabul edilen ve 19 Temmuz 2000 tarihinde yürürlüğe giren Elektronik İmza Direktifi’nin ardından Avrupa Birliği’ne girmek için ‘aday ülke’ konumundaki ülkemizde de bir elektronik imza kanunu yapılması için çalışmalara başlanmıştır. Bilim ve Teknoloji Yüksek Kurulu’nun aldığı karar neticesinde Başbakanlık Dış Ticaret Müsteşarlığı koordinasyonunda Elektronik Ticaret Koordinasyon Kurulu oluşturulmuş ve çalışmalara başlamıştır. Kurul ilk toplantasını 16 Şubat 1998 tarihinde yapmış ve ardından 8 Mayıs 1998 tarihinde Elektronik Ticaret Koordinasyon Kurulu-ETTK Hukuk Çalışma Raporu’nu yayımlamıştır.98 Bu raporda ülkemizin elektronik ticaret ve elektronik imza alanındaki durumu mukayeseli olarak tespit edilmeye çalışılmıştır. Ardından ETTK “Elektronik Veri, Elektronik Sözleşme ve Elektronik İmza Kanunu Tasarısı Taslağı” adı altında bir taslak kanun hazırlamıştır.99 Daha sonra Adalet Bakanlığı tarafından da bir elektronik imza kanun taslağı hazırlanmıştır. Hazırlanan yasa taslağı TBMM tarafından 15.01.2004 tarihinde kabul edilmiş ve 5070 sayılı “Elektronik İmza Kanunu” mevzuatımıza dahil edilmiştir.100 Yasanın 25 inci maddesinde bulunan yürürlük maddesi ile Yasa, yayımı tarihinden itibaren altı ay sonra yürürlüğe girmiştir.101 Yasaya bakıldığından yasanın hazırlanmasında, 1999/93 sayılı ve 13 Aralık 1999 tarihli Avrupa Birliği Elektronik Ticaret Direktifi, Uncitral Model Elektronik İmza Kanunu ve 22.05.2001 tarihli Alman Elektronik İmza Kanunu hükümlerinden faydalanıldığı anlaşılmaktadır. Bu Kanunun kabulünden hemen sonra “Elektronik İmza Kanunun Uygulanmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik”102 yayımlanarak yürürlüğe girmiştir. 5070 sayılı Elektronik İmza Kanunun ilk maddesinde kanunun amacı belirlenmiştir. Buna göre kanunun amacı elektronik imzanın hukuki ve teknik yönleri ile kullanımına ilişkin esasları düzenlemektir. Kanunun ikinci maddesinde tanımlar yapılmıştır. Buna göre elektronik veri “elektronik, optik veya benzeri yollarla üretilen, taşınan veya saklanan kayıtlar olarak”; elektronik imza ise “bir elektronik veriye eklenen veya elektronik veriyle mantıksal bağlantısı bulunan ve kimlik doğrulama amacıyla kullanılan elektronik veriler” olarak tanımlanmıştır (5070 sayılı Kanun m.2). Kanun daha sonra AB Elektronik İmza Direktifi’nin ‘gelişmiş elektronik imza’, Uncitral Model Elektronik İmza Kanunu’nun ‘güvenilir elektronik imza’ kavramına benzer şekilde ‘güvenli elektronik imza’ kavramını benimsemiş ve 4 üncü madde de bu kavramı tanımlamıştır. Buna göre, güvenli elektronik imza;
a) Münhasıran imza sahibine bağlı olan,
b) Sadece imza sahibinin tasarrufunda bulunan güvenli elektronik imza oluşturma aracı ile oluşturulan,
c) Nitelikli elektronik sertifikaya dayanarak imza sahibinin kimliğinin tespitini sağlayan,
d) İmzalanmış elektronik veride sonradan herhangi bir değişiklik yapılıp yapılmadığının tespitini sağlayan,
elektronik imza olarak tanımlanmıştır. Elektronik imzanın, elle atılan imzanın hüküm ve sonuçlarını doğurabilmesi için ‘güvenli elektronik imza’ olması şarttır. Ancak Kanunların resmi şekle veya özel bir merasime tabi tuttuğu hukuki işlemler ile teminat sözleşmeleri güvenli elektronik imza ile gerçekleştirilemeyecektir (Kanun m. 5). Bu işlemlerin elle atılan imza ile gerçekleştirilmeleri gerekir. Kanunun burada AB Elektronik Ticaret Direktifi’nin 5 inci maddesinin ikinci paragrafına göre üye devletlerin elektronik imzanın hukuki etki doğurmasının ve yargı süreçlerinde kanıt olarak kullanılabilmesi imzanın belirli bir teknoloji kullanılarak gerçekleşmemesi durumunda dahi temin etmeleri gerektiğine ilişkin hükmü103 dikkate almadığı söylenebilir.
Elektronik imzanın güvenli elektronik imza olması için ‘güvenli elektronik imza oluşturma aracı’ ile oluşturulması gerekir. Güvenlik elektronik imza oluşturma araçları ise 6 ncı maddede sayılmıştır. Buna göre;
a) Ürettiği elektronik imza oluşturma verilerinin kendi aralarında bir eşi daha bulunmamasını,
b) Üzerinde kayıtlı olan elektronik imza oluşturma verilerinin araç dışına hiçbir biçimde çıkarılamaması ve gizliliğini,
c) Üzerinde kayıtlı olan elektronik imza* oluşturma verilerinin, üçüncü kişilerce elde edilememesi, kullanılamaması ve elektronik imzanın sahteciliğe karşı korunmasını,
d) İmzalanacak verinin imza sahibi dışında değiştirilememesi ve bu verinin imza sahibi tarafından imzanın oluşturulmasından önce görülebilmesini,
sağlayan imza oluşturma araçları ile güvenli elektronik imza oluşturulabilecektir. Kanunun 4 üncü maddesine göre güvenli elektronik imzanın nitelikli elektronik sertifikaya dayanması da şarttır. Kanunun ikinci maddesinde elektronik sertifika “imza sahibinin imza doğrulama verisini ve kimlik bilgilerini birbirine bağlayan elektronik kayıt” olarak tanımlanmıştır. Elektronik sertifika hizmet sağlayıcısı (ESHS) Kanunun 8 inci maddesine göre elektronik sertifika, zaman damgası ve elektronik imzalarla ilgili hizmetleri sağlayan kamu kurum ve kuruluşları ile gerçek veya özel hukuk tüzel kişilerdir.104 Elektronik sertifika hizmet sağlayıcısı, Kuruma yapacağı bildirimden iki ay* sonra faaliyete geçer.105 Nitelikli elektronik sertifikada bulunması gereken özellikler ise şunlardır:106
a) Sertifikanın "nitelikli elektronik sertifika" olduğuna dair bir ibare,
b) Sertifika hizmet sağlayıcısının kimlik bilgileri ve kurulduğu ülke adı,
c) İmza sahibinin teşhis edilebileceği kimlik bilgileri,
d) Elektronik imza oluşturma verisine karşılık gelen imza doğrulama verisi,
e) Sertifikanın geçerlilik süresinin başlangıç ve bitiş tarihleri,
f) Sertifikanın seri numarası,
g) Sertifika sahibi diğer bir kişi adına hareket ediyorsa bu yetkisine ilişkin bilgi,
h) Sertifika sahibi talep ederse meslekî veya diğer kişisel bilgiler,
ı) Varsa sertifikanın kullanım şartları ve kullanılacağı işlemlerdeki maddî sınırlamalara ilişkin bilgiler,
j) Sertifika hizmet sağlayıcısının sertifikada yer alan bilgileri doğrulayan güvenli elektronik imza (Kanun m. 9).
Nitelikli elektronik sertifika;
a) Nitelikli elektronik sertifika sahibinin talebi,
b) Sağladığı nitelikli elektronik sertifikaya ilişkin veri tabanında bulunan bilgilerin sahteliğinin veya yanlışlığının ortaya çıkması veya bilgilerin değişmesi,
c) Nitelikli elektronik sertifika sahibinin fiil ehliyetinin sınırlandığının, iflâsının veya gaipliğinin ya da ölümünün öğrenilmesi,
hallerinde ise elektronik sertifika hizmet sağlayıcısı tarafından iptal edilecektir. Elektronik sertifika hizmet sağlayıcısı geçmişe yönelik olarak nitelikli elektronik sertifika iptal edemeyecektir. Sertifika hizmet sağlayıcı nitelikli elektronik sertifikaların iptal edildiği zamanın tam olarak tespit edilmesine imkan veren ve üçüncü kişilerin hızlı ve güvenli bir biçimde ulaşabileceği bir kayıt oluşturacaktır (Kanun m. 11). Üçüncü kişiler, sertifikanın ‘nitelikli elektronik sertifika’ olup olmadığını, sertifikanın iptal ve geçerlilik durumunu ve sertifikanın kullanımına yönelik herhangi bir kısıtlama olup olmadığını kontrol etmekle yükümlü kılınmışlardır (Yönetmelik m.16).
Kanunun 10 uncu maddesinde elektronik sertifika hizmet sağlayıcısının yükümlülükleri, 12 inci maddesinde sertifika hizmet sağlayıcılarının kişisel verilerin korunması hususundaki yükümlülükleri, 13 üncü maddesinde ise sertifika hizmet sağlayıcılarının hukuki sorumlulukları düzenlenmiştir. Elektronik sertifika hizmet sağlayıcıları, Elektronik İmza Kanunu ve bu kanuna dayanılarak çıkarılan yönetmelik hükümlerinin ihlali suretiyle üçüncü kişilere zarar verirse bunu tazminle yükümlü kılınmıştır. Elektronik sertifika hizmet sağlayıcılarının elektronik sertifika sahibine karşı hukuki sorumlulukları genel hükümlere tabidir (Kanun m.13/I). Ayrıca sertifika hizmet sağlayıcısının sorumluluğu tespit edilirken ispat yükü ters çevrilmiş ve sertifika hizmet sağlayıcısının kusursuz olduğunu ispat etmedikçe sorumlu olacağı belirtilmiştir. Sertifika hizmet sağlayıcısının söz konusu yükümlülük ihlali istihdam ettiği kişilerin davranışlarından doğmuş ise bu halde sertifika hizmet sağlayıcısı Borçlar Kanunun 55 inci maddesine göre sorumlu olacaktır. Ancak bir farkla ki burada sertifika hizmet sağlayıcısının kurtuluş kanıtı getirme şansı olmayacaktır (Kanun m.13/III). Ayrıca nitelikli elektronik sertifika hizmet sağlayıcısının kullanım ve maddi kapsamına ilişkin sınırlamalar hariç olmak üzere, üçüncü kişilere ve nitelikli elektronik imza sahibine karşı sorumluluğunu ortadan kaldıran veya sınırlandıran her türlü şart geçersiz olacaktır (Kanun m.13/IV). Böylece elektronik sertifika hizmet sağlayıcıları Borçlar Kanunun 99 uncu maddesinde öngörülün sorumsuzluk kayıtları koyamayacaklar ve koydukları sorumsuzluk kayıtları ‘kullanım’ ve ‘maddi kapsama’ ilişkin olanlar haricinde geçersiz olacaktır. Elektronik sertifika hizmet sağlayıcıları yükümlülüklerini yerine getirmemesi sonucu doğan zararların karşılanması amacıyla sertifika malî sorumluluk sigortası yaptırmak zorundadırlar (Kanun m. 13/v).107 Bu yükümlülüğe uymayan sertifika hizmet sağlayıcılarına Telekomünikasyon Kurulu tarafından sekiz milyar idari para cezası verilecektir (Kanun m.18/d). Sertifika hizmet sağlayıcısının üç yıl içinde Kanunun 18 inci maddesinde öngörülen bir başka suç daha işlemesi durumunda idari para cezası iki kat olarak uygulanır, üçüncü kez işlemeleri halinde ise Telekomünikasyon Kurumu tarafından elektronik sertifika hizmet sağlayıcıları hakkında kapatma cezası verilir (Kanun m.19).108
Yabancı bir ülkede kurulu bir elektronik sertifika hizmet sağlayıcı tarafından verilen elektronik sertifikaların hukuki sonuçları milletlerarası anlaşmalarla belirlenecektir. Yabancı bir ülkede kurulu bir elektronik sertifika hizmet sağlayıcısı tarafından verilen elektronik sertifikaların, Türkiye'de kurulu bir elektronik sertifika hizmet sağlayıcısı tarafından kabul edilmesi durumunda,109 bu elektronik sertifikalar nitelikli elektronik sertifika sayılacaktır. Bu elektronik sertifikaların kullanılması sonucunda doğacak zararlardan, Türkiye'deki elektronik sertifika hizmet sağlayıcısı da sorumlu olacaktır (Kanun m. 14).
Zaman damgası ise Kanunun 2 inci maddesinde “bir elektronik verinin, üretildiği, değiştirildiği, gönderildiği, alındığı ve/veya kaydedildiği zamanın tespit edilmesi amacıyla, elektronik sertifika hizmet sağlayıcısı tarafından elektronik imzayla doğrulanan kayıt” olarak tanımlanmıştır. Elektronik imza ile imzalanan elektronik verinin bütünlüğü içinde ‘zaman damgası’ zorunlu şart olarak öngörülmemiş ancak Yönetmeliğin 31 inci maddesine göre elektronik sertifika hizmet sağlayıcılarının zaman damgası ve hizmetlerini sağlamakla yükümlü oldukları ve nitelikli elektronik sertifika sahibinin talebi üzerine bu hizmetin de sağlanması gerektiği düzenlenmiştir.
4.2.2. Türk Borçlar Kanunu ve Türk Ticaret Kanunu Bakımından Elektronik İmza
Anayasamızın 48 inci maddesi “Çalışma ve Sözleşme Hürriyeti” başlığı altında “Herkes dilediği alanda çalışma ve sözleşme hürriyetlerine sahiptir” demek suretiyle kişilerin çalışma ve sözleşme yapma hürriyetlerini teminat altına almıştır. Ayrıca Borçlar Kanunun 11 inci maddesi “Akdin sıhhati, kanunda sarahat olmadıkça hiçbir şekle tabi değildir” diyerek sözleşmelerin yapılmasında kural olarak şekil serbestisini benimsemiştir.110 Böylece sözleşme hukuku alanında kural olarak sözleşme özgürlüğü ve şekil serbestisi ilkesi benimsenmiştir. Bu nedenle tarafların elektronik iletişim araçlarını kullanarak kendi aralarında sözleşme yapmalarının önünde bir engel bulunmamaktadır. Ayrıca taraflar yapmış oldukları bu sözleşmeyi iradi şekil (BK. m.16) çerçevesinde belirli şekil şartlarına da bağlayabileceklerdir.111 Ancak 5070 sayılı Kanun kabul edilmeden önce problem teşkil eden nokta 11 inci maddede öngörülen “kanunda sarahat olmadıkça” ifadesi gereğince kanunların şekil şartını aradığı durumlarda bu şekil şartına uyulmasının gerekmesiydi. Ayrıca bu şekil şartı aksi belirtilmedikçe ‘geçerlilik şartı’ olacaktır. Bu durum BK. m. 11/II’de de açıkça belirtilmiş ve “Kanunun emrettiği şeklin derecei şumul ve tesisi hakkında başkaca bir hüküm tayin olunmamış ise akit bu şekle riayet olunmadıkça sahih olmaz” denilmiştir. BK 13 gereğince yazılı olması gereken akitlerin borç altına girenlerin imzalamaları şart koşulmuş ‘imza’ başlıklı 14 üncü madde de bu imzanın el yazısı ile olması gerektiği belirtilmişti. Bu nedenle Dünya’daki gelişmelere paralel şekilde artan elektronik işlemler kanunun şekil şartını aradığı durumlarda elektronik imza kullanılarak gerçekleştirilemiyordu. 5070 sayılı Elektronik İmza Kanununun beşinci maddesi ile “güvenli elektronik imza elle atılan imza ile aynı sonuçları doğurur” hükmünü getirmiş, Kanunun “çeşitli hükümler” başlığını taşıyan dördüncü kısmında da çeşitli kanunlarda yapılan değişikliklerle uyum sağlanmaya çalışılmıştır. 22 inci madde ile Borçlar Kanunun ‘imza’ başlığını taşıyan 14 üncü maddesinin birinci fıkrasına “güvenli elektronik imza elle atılan imza ile aynı ispat gücünü haizdir” hükmü eklenmiştir. Esasen Borçlar Kanunu sistemine eklenen bu hükmün “güvenli elektronik imza elle atılan imza ile aynı sonuçları doğurur” şeklinde olması daha doğru olurdu.112 Elektronik imzanın ispat yönü bir usul hukuku mevzusu olması nedeniyle usul kanununda yapılacak düzenlemelerle ispat konusu açıklığa kavuşturulabilirdi. Alman Medeni Kanununa elektronik imza ile ilgili eklenen hüküm de “Kanun aksini öngörmediği sürece, yazılı şekil elektronik şekil ile ikame edilebilir” (Alman BGB m. 126/III) ve “Kanunen öngörülen yazılı şekle ilişkin gereklerin, elektronik şekil tarafından yerine getirilebilmesi için, beyan sahibinin elektronik metne adını eklemesi ve elektronik belgeyi Elektronik İmza Kanununda öngörülen özellikleri taşıyan nitelikli bir elektronik imza ile imzalaması gerekir” şeklindedir. Ancak 5070 sayılı Kanunun 5 inci maddesi ile Borçlar Kanunun 14 üncü maddesine eklenen hüküm birlikte değerlendirildiğinde Türk Hukuk sistematiği içinde de artık elektronik yolla akdedilen ve ‘güvenli elektronik imza’ ile imza edilen elektronik sözleşmelerin ‘adi yazılı şekil’ şartlarını yerine getireceğini söyleyebiliriz.
Bu şekilde güvenli elektronik imza şu işlevlere haiz olacaktır113:
a. sonuçlandırma işlevi : Güvenli elektronik imzalar veya daha özelinde dijital imzalar metnin tümüne ilişkilendirilmiştir. Bu durum metnin tümünün önce hash değerinin oluşturulması ve ardından gizli anahtar ile imzalanması suretiyle gerçekleşir. Böylece metnin imza sahibi tarafından kendi iradesiyle imza edildiğini ifade eder.
b. kimlik tespit etme işlevi : İmzanın en belirgin işlevi imza sahibi ile imza arasında bir bağlantı kurmasıdır. Bu işlev dijital imzalarda da vardır. Ancak bu durum imzaya bakılarak değil, dijital imzanın sahibinin kim olduğunun sertifika hizmet sağlayıcılarının açıklamış olduğu açık listelerden sorulması suretiyle tespit edilir. Sertifika hizmet sağlayıcıları Elektronik İmza Kanununa göre de;
“- Nitelikli sertifika verdiği kişilerin kimliğini resmi belgelere göre güvenilir bir biçimde tespit etmek
- Sertifika sahibinin diğer bir kişi adına hareket edebilme yetkisi, mesleki veya diğer kişisel bilgilerin sertifikada bulunması durumunda, bu bilgileri de resmi belgelere dayandırarak güvenilir bir biçimde belirlemekle” (5070 sayılı Kanun m. 10) yükümlü tutulmuşlardır.
c. gerçeklik işlevi: Dijital imza sayesinde metin ile imza arasında sayısal-mantıki bir bağlantı kurulmakta ve bu sayede imzalanan metnin içeriğinin imzalayan tarafından oluşturulduğu veya kabul edildiği durumu açık olarak tespit edilmiş olacaktır.
d. uyarı işlevi: Atılan imzanın en önemli işlevi belki de uyarı işlevidir. İmza sayesinde beyanda bulunan kişi, imzaladığı beyan ile hukuken bağlandığını algılayacak ve acele hareket etmekten korunmuş olacaktır. Bu durum imzanın uyarı işlevi ile ilgilidir. Uyarı işlevi dijital imzalarda dijital imzanın bilgisayarda oluşturulması sırasında (chip kartın kullanımı, PIN114 girişinin yapılması gibi) gerçekleşecektir. Ayrıca gizli anahtar şifreleri sertifika hizmet sağlayıcılarının da elektronik imzanın hukuki ilişkilerde elle atılan imza gibi bağlayıcı olacağı uyarısını yapmaları gereklidir. Bu durum 5070 sayılı Kanunda da net olarak ifade edilmiştir. Buna göre sertifika hizmet sağlayıcıları;
“- Sertifikanın kullanımına ilişkin özelliklerin ve uyuşmazlıkların çözüm yolları ile ilgili şartların ve kanunlarda öngörülen sınırlamalar saklı kalmak üzere güvenli elektronik imzanın elle atılan imza ile eşdeğer olduğu hakkında sertifika talep eden kişiyi sertifikanın tesliminden önce yazılı olarak bilgilendirmekle
- Sertifikada bulunan imza doğrulama verisine karşılık gelen imza oluşturma verisini başkasına kullandırmaması konusunda, sertifika sahibini yazılı olarak uyarmak ve bilgilendirmekle,” (5070 sayılı Kanun m.10) yükümlü kılınmışlardır.
e. Devamlılık İşlevi: Yazılı şekil zorunluluğu, imzanın ve imzalanacak metnin sürekli bir kontrole elverişli olması hususunu da gerektirir. Elektronik ortamda imzalanan belgeler de bilgisayar hafızasına veya CD115 ve disket vasıtasıyla saklanabilir. Ayrıca yazıcı vasıtasıyla bastırılarak her zaman okunabilir ve kontrol edilebilir.
f. İspat İşlevi: El yazısı ile imzalanan metin bir uyuşmazlık durumunda yazılı şeklin varlığına ve taraflar arasında kurulan sözleşme ilişkisine kanıt sağlar. Elektronik imza kanunları gereğince geçerli olarak imza edilen belgeler de bu manada ispat şartını haiz olacaklardır.
Elektronik İmza Kanununda resmi şekle tabi sözleşmelerin de elektronik ortamda akdedilmesine ilişkin bir düzenleme bulunmamaktadır. Kanunun 5/II maddesine göre kanunların resmi şekle veya özel şekil koşullarına tabi tuttuğu hukuki işlemler ile teminat sözleşmeleri güvenli elektronik imza ile gerçekleştirilemeyecektir. Alman ve Birleşik Devletler Elektronik İmza Kanunlarında da bu yönde hükümler bulunmaktadır.
Üretim, değişim ve tüketimi yönelik ticari faaliyetleri düzenleyen hukuk dalı olan Ticaret Hukuku116 ve bu arada Ticaret Kanununda elektronik iletişim araçlarının gelişmesi ile ortaya çıkan yeni türdeki ticari ilişkilerle ilgili özel düzenlemeler yapması ve en azından tarafların yapacakları işlemlerin elektronik ortamda da yapılabileceğine ilişkin hükümler getirmesi kaçınılmazdır. 29.06.1956 tarih ve 6762 sayılı Türk Ticaret Kanununda117 elektronik imza ile ilgili bir hüküm yoktur. Ancak yakın bir zamanda TBMM’de kabul edilmesi beklenen Yeni Türk Ticaret Kanunu Tasarısı’nda konuya ilişkin özel düzenlemeler yapılmıştır.
Tasarının 1504 üncü maddesi ‘Güvenli Elektronik İmza’ başlığı ile;
“ (1) Poliçe, bono, çek makbuz senedi, varant ve kambiyo senetlerine benzeyen senetler güvenli elektronik imza ile düzenlenemez. Bu senetlere ilişkin arz, kabul, aval gibi senet üzerinde gerçekleştirilen işlemler güvenli elektronik imza ile yapılamaz.
(2) Konişmentonun, taşıma senedinin ve sigorta poliçesinin imzası elle, faksimile baskı, zımba, ıstampa, sembol şeklinde mekanik veya elektronik herhangi bir araç ile de atılabilir. Düzenlenledikleri ülke kanunlarının izin verdiği ölçüde bu senetlerde yer alacak kayıtlar el yazısı, telgraf, teleks, faks ve elektronik diğer araçlarla yazılabilir, oluşturulabilir, gönderilebilir.
(3) Güvenli elektronik imzanın yabancı ülkelerde yaygınlık kazanıp kullanıldığının Adalet Bakanlığı tarafından belirlenmesi halinde poliçe, bono, çek, makbuz senedi varant ve kambiyo senetlerine benzeyen diğer senetlere ilişkin yasak Adalet Bakanlığının önerisi üzerine Bakanlar Kurulunca kaldırılıp aynı bakanlığın önerisine göre bir tüzükle düzenlenebilir.”
şeklinde düzenlenmiştir. Böylece Ticaret Hukuku sistemi içinde en çok merak edilen husus olan kambiyo senetlerinin elektronik ortamda gerçekleştirilip gerçekleştirilemeyeceği konusunda bu şekilde bir tercihe gidilmiştir. Buna karşılık konişmento, taşıma senedi ve sigorta poliçesine atılacak imza “elektronik herhangi bir araç” ile atılabilecektir. Burada maddenin başlığı “güvenli elektronik imza” şeklinde olmasına rağmen “elektronik bir araç” tan bahsedilmesi bir belirsizlik oluşturabilir. Elektronik araçtan kasıt elektronik yolla atılabilen tüm imzalar olarak geniş şekilde yorumlanabileceği gibi sadece ‘güvenli elektronik imza’ şeklinde dar da yorumlanabilecektir. Kanun tasarısında konişmentoyu düzenleyen 1228 inci maddesinde de “elektronik diğer herhangi bir vasıta” dan bahsedilmiştir. Bu şekilde belirtilen özel durumlar dışında 5070 sayılı Elektronik İmza Kanununun 5 inci maddesi ile elektronik imzanın elle atılan imzanın hüküm ve sonuçlarını doğurması için ‘güvenli elektronik imza’ olmasını şart koşması karşısında geçerliliğin ‘güvenli elektronik imza’ ile sınırlandığını söyleyebiliriz.
Yeni Ticaret Kanunu Tasarısı’nın Genel Gerekçesi’nde “…internetin günlük hayata sıradışı bir hızla girip her alanda kullanılır hâle gelmesi hukuku da etkilemiştir. Sözleşmelerin kurulmalarından başlayarak, belgelerin elektronik ortamda oluşturulmasına ve saklanmasına başlanması; şeffaflığın bu yoldan en üst düzeyde sağlanabilmesi; şirketlerde organların toplantılarına ilişkin çağrılarının e-posta ile yapılması, toplantıya katılmanın, öneri sunmanın, oy kullanmanın aynı yolla gerçekleştirilmesi kanunkoyucuları kanunlarda değişiklik yapmaya yöneltmiştir. Almanya, Fransa ve İskandinav ülkeleri başta olmak üzere birçok ülke, 2000'den beri e-postayı, e-ticareti ve yönlendirilmiş e-mesajı (TK m. 1502) ticaretin bir parçası haline getirmişlerdir. Tasarı'nın bu gelişmeyi yansıtması gereklidir.” denilerek başka maddelerde de elektronik iletişimdeki gelişmeler dikkate alınarak düzenlemeler yapılmıştır. Tasarının 18 inci maddesiyle tacirler arasında diğer tarafı temerrüde düşürmeye, sözleşmeyi feshe veya sözleşmeden dönmeye ilişkin ihbar veya ihtarların noter aracılığıyla, taahhütlü mektup ve telgraf dışında güvenli elektronik imza ile de yapılabilmesi imkanı sağlanmıştır. Ayrıca denizde taşıma sözleşmesinde (navlun) fesih ihtarının faks mesajı, elektronik mektup veya benzeri teknik araçlarla yapılabileği belirtilmiştir (TK Tasarısı m. 1159).
4.2.3. Türk İspat Hukuku Bakımından Elektronik İmza
İspat tanık ve kanıt göstererek bir şeyin gerçek yönünü ortaya çıkarma işlemidir.118 Hukuki anlamda ispat ise dava konusu yapılan hakkın gerçekten var olup olmadığının anlaşılması için maddi hukukun o hakkın doğumunu veya sona ermesini kendisine bağladığı vakıaların doğru olup olmadığı hakkında mahkemeye kanaat verilmesi işlemidir.119 Kısaca ispat, bir vakıanın doğruluğu konusunda hakimi ikna etmeye yönelik bir faaliyettir. Tarafların bu faaliyet sırasında ileri sürdükleri isbat araçlarına ise delil adı verilir.
Türk Medeni Usul Hukukunda deliller ‘kesin deliller’ ve ‘takdiri deliller’ olmak üzere ikiye ayrılır. Hukuk Usulü Muhakemeleri Kanununda ikrar (HUMK m. 236), yemin (HUMK m. 377 vd.), senet (HUMK m. 286 vd.) ve kesin hüküm (HUMK m. 237) kesin deliller olarak; tanık (HUMK m. 363 vd.), bilirkişi (HUMK m. 275 vd.), keşif (HUMK m.363 vd.) ve özel hüküm sebepleri (HUMK m. 367) ise takdiri deliller olarak düzenlenmiştir. Hakim kesin deliller ile isbat edilen bir vakıayı doğru olarak kabul etmek zorundadır. Hakimin kesin delilleri takdir yetkisi yoktur. Buna karşılık takdiri deliller hakime ancak kanaat verir, hakim bunlarla bağlı değildir.
Hukuk usulündeki muhakeme sistemi ile ceza muhakemesi birbirinden temelde farklıdır. Elektronik verilerin ve kayıtların hiçbir sınırlama olmaksızın ceza muhakemesinde delil olarak gösterilmesi mümkündür. Ceza muhakemesi hukukunda ‘resen araştırma ilkesi’ geçerli olduğu için elektronik imzanın kabulünden önce de ceza muhakemesi alanında elektronik verilerden delil olarak faydalanılabilirdi. Elektronik verilerden ve elektronik imza ile imza edilmiş belgelerden hukuk usulünde de delil olarak yararlanılması mümkündür.120 Ancak HUMK’un 288 inci maddesine göre bir hakkın doğumu, düşürülmesi, devri, değiştirilmesi, yenilenmesi, ertelenmesi, ikrar ve itfası amacıyla yapılan hukuki işlemlerin, yapıldıkları zamanki miktar veya değeri kırk milyon lirayı121 geçen hukuki işlemlerin kanunda sayılan istisnalar saklı kalmak koşuluyla kesin delillerden biri ile ispatlanması zorunludur. Bu yüzden kanunda sayılan değeri aşan hukuki işlemlerin ispatında özel düzenlemeler yapılmaması halinde elektronik verilerin ve elektronik imzalı belgelerin delil olarak değerlendirilmesi mümkün değildir. Ayrıca HUMK’un 290 ıncı maddesine göre senede bağlı olan her çeşit iddiaya karşı defi olarak ileri sürülen senedin hüküm ve kuvvetini ortadan kaldıracak veya azaltacak nitelikte bulunan hukuki işlemler değerine bakılmaksızın tanıkla ispat olunamayacaktır. Bu kural hukuk muhakemesinde “senede karşı senetle ispat zorunluluğu” olarak bilinmektedir. Bu nedenle herhangi bir hukuki işlemde geçerli bir senede karşı ancak senetle ispat olacağı için elektronik imzalı belgeler de özel düzenleme olmaksızın delil olamayacaktır. HUMK’da özel düzenleme yapılmadan önce elektronik veriler ve elektronik imzalı belgeler ancak özel hüküm sebepleri (HUMK m. 367) olarak takdiri delil olabilecekler veya şartları var ise yazılı delil başlangıcı (HUMK m. 292) sayılabilecekti. Ayrıca HUMK 287 inci maddesine göre taraflar aralarında delil sözleşmesi yaparak elektronik verileri de delil olarak kabul edebilecekti.122 Ancak 5070 sayılı Kanun ile HUMK’da bir değişiklik yapılarak bu belirsizliklere son verilmiştir. 5070 sayılı Kanunun 23 üncü maddesi ile 1086 sayılı Hukuk Usulü Muhakemeleri Kanununa 295 inci maddesinden sonra gelmek üzere123 295/A maddesi eklenmiştir. Bu maddeye göre:
“Usulüne göre güvenli elektronik imza ile oluşturulan elektronik veriler senet hükmündedir. Bu veriler aksi ispat edilinceye kadar kesin delil sayılırlar.
Dava sırasında bir taraf kendisine karşı ileri sürülen ve güvenli elektronik imza ile oluşturulmuş veriyi inkâr ederse, bu Kanunun 308 inci maddesi kıyas yoluyla uygulanır.”
Bu şekilde ‘güvenli elektronik imza’ ile oluşturulan elektronik veriler HUMK sisteminde kesin delil olarak kabul edilmiştir. Böylece artık ‘güvenli elektronik imza’ ile oluşturulan elektronik veriler kesin delil olarak ileri sürülebilecek ve senede karşı da delil olarak sunulabilecektir. Karşı tarafın ‘güvenli elektronik imza’ ile oluşturulmuş veriyi inkar etmesi halinde veya sahteliğini öne sürmesi halinde ise HUMK 308 maddesi kıyas yoluyla uygulanacaktır. Buna göre hakim önce konu ile ilgili olarak tarafları dinleyecek, daha sonra tarafların isticvabına124 karar verecektir. Sonraki oturumda hazır bulunması gereken taraflardan biri bu oturuma gelmezse kendi iddiasını isbat edememiş kabul edilecektir. HUMK’a göre hakimin bu ana kadar bir kanaat edinememesi halinde tarafın istiktabına125 karar vereceği belirtilmiştir. İstiktab sahteliği sözkonusu olan imza sahibinin hakimin önünde yazı yazması ve çeşitli şekillerde imza atmasıdır. Hakim bu şekilde edilen belgeden kendisi bir sonuç çıkartmaya çalışacak eğer ilk bakışta bir sonuç çıkaramıyorsa bilirkişi incelemesi yaptıracaktır.126 Elektronik imzalı belgenin inkar edilmesi halinde hakim elektronik veri ‘güvenli elektronik imza’ ile imza edilmiş ise bunu kabul etmeyen taraftan iddiasını isbatlamasını isteyecektir. Örneğin karşı taraf kişinin bu veriyi imzamış olamayacağını çünkü kişinin gizli anahtarının kayıp olduğunu ispatlayarak iddiasını ispat edebilecektir. Hakimin konu ile ilgili teknik konularda uzman bir bilgisayarcı ile hukukçudan oluşan bir bilirkişi incelemesi yaptırması doğru olacaktır.
5070 sayılı Kanun ile Borçlar Kanunun 14 üncü maddesine eklenen “güvenli elektronik imza elle atılan imza ile aynı ispat gücünü haizdir” ifadesinden de güvenli elektronik imza ile oluşturulmuş elektronik verilerin HUMK anlamında kesin delil kapsamına girdiği söylenebilecektir.
V. SONUÇ
Türkiye’de Dünya’daki gelişmelere paralel şekilde kabul edilen ve AB Elektronik İmza Direktifi örnek alınarak hazırlanan 5070 sayılı Elektronik İmza Kanunu ve Yönetmeliği önemli yenilikler getirmektedir. Elektronik ticaretin geliştirilmesinde ve kamu hizmetlerinin elektronik ortamda görülmesi ve elektronik devlet uygulamalarının oluşması için vazgeçilmez bir aygıt niteliğindeki elektronik imzanın toplumun tüm kesimlerinde tanıtılması ve kullanılması tekniklerinin öğretilmesi büyük önem taşımaktadır. Bilhassa 5070 sayılı Kanun ile Borçlar Kanunu ve Hukuk Usulü Muhakemeleri Kanununda yapılan değişiklikler ile elle atılan imza ile aynı sonuçları doğuran ve aynı ispat kuvvetine sahip olan elektronik imzanın yaratacağı hukuksal sonuçların önemi iyi kavranmalıdır. Henüz alışkın olmadığımız bu yeni imza türü yakın bir gelecekte sertifika hizmet sağlayıcılarının da faaliyetleri ile önemli bir gündem teşkil edecektir. Bu yüzden konunun gerek teknik boyutunun gerekse yasal çerçevesinin bilinmesi önem arzetmektedir. Yaşanılan toplumsal değişimler geniş anlamda sanayi çağından bilgi çağına geçiş olarak tanımlansa da internet ile oluşan yeni dönemin daha önce benzeri görülmemiş yeni ilişki tipleri ortaya çıkardığı ve önemli toplumsal gelişmelere gebe olması dolayısıyla ‘bilişim çağı’ denilebilecek yeni bir dönemi başlattığı söylenebilecektir. Bu yüzden hukukun yaşanan teknolojik değişimlerin gerisinde kalmadan yasal çerçeveyi çizmesi önemli olduğu kadar yasaların ve gelişmelerin toplumun tüm kesimlerine anlatılması ve tatbikinin sağlanması da önemlidir. Yeni dönemde bireyler, kurumlar ve ülkeler olarak etkin rol almanın yolu da buradan geçmektedir. Elektronik imzalar, işlemlerin güvenlik ve güvenilirliğini sağlayarak elektronik ticaret ve elektronik devletin gelişiminde sıçrama yaptıracak bir dönüm noktası teşkil edecektir.
KAYNAKÇA...
* Acır, Birsen; Elektronik İmza ve Elektronik Kayıtların Medeni Usul Hukukunun İspat Kuralları Yönünden Değerlendirilmesi, SPK, Ankara 2000.
* Ahi, Gökhan; Hukuki Bakımdan Dijital İmza, http://www.hukukcu.com/bilimsel/kitaplar/sayisalimza.htm
* Bozkurt Veysel, Elektronik Ticaretin Ekonomik ve Sosyal Boyutu, Alfa Yayınları, İstanbul 2000.
* Dülger, Murat Volkan; Bilişim Suçları, Seçkin, Ankara 2004.
* Eren, Fikret; Borçlar Hukuku, İstanbul 1998.
* Falcıoğlu, Mete Özgür; Karşılaştırmalı Hukuk ve Türk Hukukunda Elektronik Satım Sözleşmesi ve Kuruluşu, Yetkin Yayınları, Ankara 2004.
* Güran, Sait; Akünal, Teoman; Bayraktar, Köksal ve Diğerleri; İnternet ve Hukuk, Superonline Workshop Metni, İstanbul 2000.
* İnal, Emrahan; E-Ticaret Hukukundaki Gelişmeler ve İnternette Sözleşmelerin Kurulması, Vedat Kitapçılık, İstanbul 2005.
* İnce, Murat, Elektronik Devlet, DPT Yayınları, Mayıs 2001.
* Kayıhan, Şaban; Yıldız Habib; Elektronik Ticaretin Hukuki ve Vergi Boyutu, Seçkin, Ankara 2004.
* Keser Berber, Leyla; İnternet Üzerinden Yapılan İşlemlerde Elektronik Para ve Dijital İmza, Yetkin Yayınları, Ankara 2002.
* Keser Berber, Leyla; Adli Bilişim (Computer Forensic), Yetkin Yayınları, Ankara 2004.
* Kuru, Baki; Arslan Ramazan; Yılmaz, Ejder; Medeni Usul Hukuku, Yetkin Yayınları, Ankara 1996.
* Şenocak, Zarife; Dijital İmza ve Dijital İmzanın Borçlar Kanunu Hükümleri Açısından Ele Alınması, AÜHF Dergisi, Cilt: 50, Sayı: 2, 2001.
* Tekinay, Akman, Burcuoğlu, Altop; Borçlar Hukuku Genel Hükümler, Filiz Kitabevi, İstanbul 1993.
* Türkoğlu Yusuf, Bilgi Çağında Elektronik Ticaretin Dış Ticarete Etkileri, İGEME, Ankara 2004.
* Ayrıca dipnotlarda gösterilen internet kaynakları ve mevzuattan faydalanılmıştır. Atıf yapılan internet kaynaklarına son erişim tarihi 11 Ekim 2005’dir.
* Cumhuriyet Savcısı. Makaleye atıf yapmak için: Tamer Soysal, Teknik ve Hukuki Açıdan Elektronik İmza, Legal Hukuk Dergisi, Mart 2006, Sayı: 39 (s. 697-733).
1 İnternetin tarihsel kökeni olan ARPANET ağının bilim çevrelerine tanıtılması 1972 Ekim ayında Birinci Uluslararası Bilgisayar İletişim Konferansında olmuştur. International Conference on Computer Communication, Washington, October 1972. Bkz. http://www.icccgovernors.org
2 Direktif için bkz. Directive 1999/93/EC of the European Parliament and of the Council of 13 December 1999 on a Community Framework for Electronic Signatures, http://europa.eu.int/eur-lex/pri/en/oj/dat/2000/l_013/l_01320000119en00120020.pdf Direktifin türkçe metni için bkz. Dış Ticaret Müsteşarlığı, Elektronik Ticaret Genel Koordinatörlüğü, http://www.e-ticaret.gov.tr/hukuk/ABdirekt_imza.htm
3 Kanun no: 5070 Kabul tarihi: 15.01.2004, Resmi Gazete, 23 Ocak 2004, 25355. Yürürlük tarihi: 23.07.2004. Kanun için bkz. http://www.tk.gov.tr/eimza/eimza_yasasi.htm
4 ABD Elektronik İmza Kanunu ‘elektronik’ kelimesini “teknoloji ile ilgili olarak elektriksel, sayısal, manyetik, telsiz, optik, elektromanyetik veya benzer kaabiliyetlere sahip olmak” olarak tanımlamıştır (Electronic Signatures in Global and National Commerce Act-ESIGNm. 106).
5 Teknoloji kelimesinin kökenleri için bkz. http://en.wiktionary.org/wiki/Talk:Technology
6 Electronic Numerical Integrator and Calculator-ENIAC, Elektronik Sayısal Doğrulayıcı ve Hesaplayıcı. ENIAC, 30 ton ağırlığında ve 9x15 metrelik bir odayı doldurmaktaydı. ENIAC, tümüyle elektronik olarak çalışan ilk bilgisayar kabul edilir. ENIAC için bkz. The Eniac Story, http://ftp.arl.mil/~mike/comphist/eniac-story.html
7 Transistör, TDK sözlüğünde Germanyum veya silisyum elementlerinin yarı iletkenlik özelliklerinden yararlanılarak imal edilen, elektronik tüplerin elektrik titreşimlerini genişletmekte kullanılan alet olarak tanımlanmıştır. Transistörler yarı iletken (semi-conductor) malzemeden yapılmış elektronik devre elemanıdır. Transistörler için bkz. http://www.silisyum.net/htm/transistorler/transistorler.htm
8 Electronik Data Interchange-IDC, Elektronik Veri Değişimi.
9 Elektronik iletişim ağları, açık veya kapalı ağlar olmak üzere iki gruba ayrılırlar. Kapalı ağlar dışarıdan katılımın söz konusu olmadığı veya ön izne tabi olduğu sınırları belli olan ağlardır. Kapalı ağlar kendi içinde intranet ve extranet olarak ikiye ayrılırlar. İntranet, bir kurum içerisinde kullanılan bilgisayarların bağlanması, Extranet ise birden fazla kurumun bilgisayarları arasında bağlantı kuran ağ olarak tanımlanmaktadır. Açık ağ kavramı ise, katılımın herhangi bir ön şart veya önceden belirlenmiş kurallara tabi olmadığı ağları ifade eder. En yaygın açık ağ internettir. Bkz. http://www.cs.itu.edu.tr/~orencik/e-TicaretGuvenligi.doc
10 Automated Teller Machines-ATM. Otomatik Para Makinesi.
11 Electronic Funds Transfer-EFT. Elektronik Fon Transferi. Türkiye’de EFT sistemi 01 Nisan 1992’den itibaren kullanılmaya başlanmıştır. Bkz. http://www.tcmb.gov.tr/yeni/osi/II1Tr.htm
12 Şaban Kayıhan, Habib Yıldız, Elektronik Ticaretin Hukuki ve Vergi Boyutu, Seçkin Yayınları, Ankara 2004, s.41.
13 Bkz. Dipnot. 1.
14 Electronic Commerce, e-commerce.
15 Kayıhan;Yıldız, s.39.
16 Yeni Ekonomiyi tanımlamakta ‘New Economics’ yerine ‘New Economy’ tabirinin tercih edilmesinin nedeni ekonominin temel yasalarının değişmemesi ancak yeni iş olanakları ile birlikte iş yapma usulleri ile işletme stratejilerinin değişmesidir.
17 Başlangıçta hızla kurulan ‘DotCom şirketleri’ reklamcılık faaliyetleri ile ayakta durmaya çalıştılar. Elektronik ticaret için gerekli olan ‘güven’ ve ‘yasal çerçeve’ henüz oluşmadığı için yeni iş olanaklarını değerlendiremediler. Bu yüzden 2000 yılında ‘DotCom şirketleri’ önemli bir ekonomik kriz yaşadı ve pek çok şirket kapandı. Ancak daha sonra yeni iş modelleri ile ‘Amazon.com’, ‘Google.com’, ‘eBay’ gibi önemli şirketler ortaya çıkmıştır. eBay şirketinin kısa sürede ulaştığı güç ve başarı hikayesi kitaplara da konu olmuştur. Bkz. Bunnell David; Luecke Richard; Ryan Chris, The eBay Phenomenon: Business Secrets Behind the World’s Hottest Internet Company, John Wiley&Sons, 2000. (Türkçe çeviri için bkz. Richard Luecke, David Bunnell; Ebay Fenomeni, Çevirmen: Arzu Zümrüt Cingöz, Ledo Yayınları, 2005.)
18 Devlet ile vatandaşlar arasındaki ilişki ise elektronik devlet olarak bir alt başlıkta incelenecektir.
19 The Worlds Leading Sector for Internet Trends&Statistics, “How many online”, http://www.nua.ie/surveys/how_many_online/world.html (Haziran 2005)
20 Population Explosion, http://www.clickz.com/stats/big_picture/geographics/article.php/151151 (Haziran 2005)
21 Veysel Bozkurt, Elektronik Ticaretin Ekonomik ve Sosyal Boyutu, Alfa Yayınları, İstanbul, 2000, s.66.
22 Ekonomist Dergisi, 24.07.2005, http://www.e-guven.com/basin_yansi2/20050724_ekonomist_62.jpg Türkiye’de Kasım 2005 itibariyle kamu kurumlarında 300, bireysel olarak da 1000 kullanıcı elektronik imzayı kullanmaktadır. 2006 yılında bu sayının 100 bini bulması beklenmektedir. Bkz. Hürriyet, 10 Soruda Elektronik İmza, 27 Kasım 2005.
23 İngilizce ‘chip’ türkçe ‘yonga’ karşılığı olan ‘çip’, silikon gibi bir yarı iletkenden üretilen milyonlarca devreden oluşan ünite, entegre devre; çipli kart ise kart içine gömülü bulunan elektronik mikroçip sayesinde ileri güvenlik sistemlerine sahip olan akıllı kartlar (smart cards) dır. Bkz. http://www.webopedia.com/TERM/C/chip.html ve http://smarttechs.net/SmartWeb/pages/tr/technologies/technologies_tr.asp
24 Sözlük anlamı ‘jeton, kart’ olan token, güvenlik sistemlerinde, kredi kartı büyüklüğünde olan kullanıcı kodunu sürekli değiştirerek gösteren özelleştirilmiş elektronik kimlik tespit araçlarıdır. Token vasıtasıyla güvenlik problemi olan sistemlerde kullanıcının şifresi sürekli yenilenerek sistemin güvenilirliği arttırılmaya çalışılır. Bkz.
http://www.webopedia.com/TERM/t/token.html
25 Elektronik Noterlik kavramı temel olarak iki farklı kavramı işaret etmek için kullanılmaktadır. Birincisi mevcut noterlerin işlevlerinin genişleyerek elektronik belge ve elektronik imzalı belgelerinde geçerlilik ve ispat şartlarını onaylayan merci durumuna gelmesi; ikincisi ise mevcut noterlik hizmeti veren kurumların dönüşerek elektronik yollarla belgelerin onaylanması hizmetini gören kurumların ortaya çıkması anlamındadır. Elektronik Noterlik için bkz. Orhan Turan, Elektronik Noterlik, http://www.adalet.org/bekran.php?idno=195&id=111
26 “Elektronik İmza Ekonomisi Geliyor”, http://www.e-imza.gen.tr/index.php?Page=Haberler&HaberNo=88
27 DTM E-İmza Uygulamaları, http://dir.dtm.gov.tr/basvuru/giris.jsp
28 “Elektronik İmza Ekonomisi Geliyor”, http://www.e-imza.gen.tr/index.php?Page=Haberler&HaberNo=88
29 Elektronik Devlet ile ilgili bkz. N.Murat İnce, Elektronik Devlet, Kamu Hizmetlerinin Sunulmasında Yeni İmkanlar, DPT Yayınları, Mayıs 2001.
30 http://www.infocid.pt
31 http://www.ecitizen.gov.sg
32 http://www.firstgov.gov
33 Bilim ve Teknoloji Yüksek Kurulu-BTYK 4 Ekim 1983 tarihinde 77 sayılı KHK ile kurulmuştur. Kurul’un Türk Bilim politikasının yürütülmesi, uzun vadeli bilim ve teknoloji hedeflerinde hükümete yardımcı olmak, hedeflerin saptanması, plan ve programların yapılması, kamu kuruluşlarının görevlendirilmesi, gerekli yasal mevzuatın hazırlanması gibi görevleri vardır. BTYK, 1997 Ağustos ayında bir dizi karar almıştır. Alınan 29 karar ile e-devlet çalışmaları başlatılmıştır. Ulusal Enformasyon Altyapısı Ana Planı-TUENA hazırlanması ile alt yapı çalışmaları başlatılmıştır. BTYK için bkz. vizyon2023.tubitak.gov.tr/organizasyon/btyk/
34 İçişleri Bakanlığı-MERNİS, Adalet Bakanlığı-UYAP, Maliye Bakanlığı-SAY2000i, Gümrük Bakanlığı-GİMOP, İçişleri Bakanlığı Emniyet Genel Müdürlüğü-POL-Net, Tapu Kadastro Genel Müdürlüğü-TAKBİS, Milli Eğitim Bakanlığı-MEB-Net adı altında e-devlet çalışmalarını sürdürmektedir. Türkiye’de ve Dünya’da e-devlet çalışmaları için bkz. Yusuf Türkoğlu, Bilgi Çağında Elektronik Ticaretin Dış Ticarete Etkileri, Başbakanlık Dış Ticaret Müsteşarlığı İhracatı Geliştirme Merkezi-İGEME, Uzmanlık Tezi, Ankara 2004. Ayrıca bkz. Ali Erdi, Savaş Durduran, Gülgün Özkan, Türkiye’de Coğrafi Bilgi Sistemi Çalışmalarında Kurumsal Politikalar ve Bir Öneri, Ekim 2004, Bilişim Günleri, http://cbs2004.fatih.edu.tr/download/file502.pdf
35 Tekinay, Akman, Burcuoğlu, Altop, Borçlar Hukuku, Filiz Kitabevi, İstanbul 1993, s.51.
36 Tekinay, s.82 ve 93.
37 Sait Güran, Teoman Akünal, Köksal Bayraktar ve Diğerleri; İnternet ve Hukuk, Superonline Workshop Metni, İstanbul 2000.
38 Birleşik Devletler’de elektronik ticaret ile ilgili olarak 1999’da kabul edilmiş “Uniform Electronic Transactions Act -Yeknesak İşlemler Kanunu” 7 inci maddesinde “electronic contracts’ tabirini kullanmış, yine 1999’da kabul edilen “Uniform Computer Information Transactions Act-Yeknesak Bilgisayar Bilişim İşlemleri Kanunu”nun 212-215 inci maddeleri ise “Electronic Contracts: Generally” başlığı ile düzenlenmiştir.
39 Elektronik sözleşme kavramı tüketici hukuku alanında tüketicileri korumak için öngörülmüş olan ‘mesafeli sözleşme (distance contracts)’ kavramı ile karıştırılmamalıdır. Mesafeli sözleşmeler tedarik edici (supplier) ile tüketici (consumer) hiç bir araya gelmeden, malı görme ve inceleme imkanı olmadan uzaktan iletişim araçları vasıtası ile akdetilen sözleşmelerdir. Mesafeli sözleşmelerin oluşabilmesi için elektronik iletişim vasıtalarının kullanılması gerekiyor ise de elektronik iletişim vasıtaları ile akdedilen tüm sözleşmeler ‘mesafeli sözleşme’ olmayacaktır. Mesafeli sözleşmenin oluşabilmesi için tedarik edici ile tüketicinin sözleşme kurulana kadar hiçbir aşamada bir araya gelmemesi zorunludur. Mesafeli sözleşmeler ile ilgili bkz. Emrehan İnal, E-Ticaret Hukukundaki Gelişmeler ve İnternette Sözleşmelerin Kurulması, Vedat Kitapçılık, İstanbul 2005, s.73-92 ve 165-191. Mesafeli sözleşmeler ile ilgili olarak Avrupa Parlamentosu 20 Mayıs 1997’de Mesafeli Sözleşmelerde Tüketicinin Korunması Hakkında Yönerge’yi kabul etmiş, Türk Hukukunda da 4077 sayılı Tüketicinin Korunması Hakkındaki Kanun’da 6 Mart 2003’de 4822 sayılı Kanunun 14 üncü maddesi ile eklenen 9/A maddesi ile mesafeli sözleşme kavramı kabul edilerek tüketicilerin bu alanda korunması sağlanmıştır. AB Yönergesi için bkz. “Directive 97/7/EC Of The European Parliament and of the Council of 20 May 1997 on the Protection of Consumers in Respect of Distance Contracts”, http://europa.eu.int/comm/consumers/policy/developments/dist_sell/dist01_en.pdf
40 Mete Özgür Falcıoğlu, Karşılaştırmalı Hukuk ve Türk Hukukunda Elektronik Satım Sözleşmesi ve Kuruluşu, Yetkin Yayınları, Ankara 2004, s.61.
41 Elektronik sözleşmeler şekil şartının aranmadığı durumlarda karşılıklı konuşma imkanı veren IRC, ICQ, video konferans gibi yollarla kurulabileceği gibi satıcının sunduğu şartları alıcının onayladığını belirten bir kutucuğun tıklanması ile de (click-wrap sözleşmeler) kurulabilecektir.
42 Tekinay, s.114.
43 İngilizce ‘digital’ kelimesinin Türkçe karşılığı olarak pek çok kaynakta ‘sayısal’ kelimesi kullanılmakta ve dijital imza ‘sayısal imza’ olarak da ifade edilmektedir.
44 Gökhan Ahi, Hukuki Bakımdan Dijital İmza, http://www.hukukcu.com/bilimsel/kitaplar/sayisalimza.htm
45 Biyometrik kelimesi ingilizce ‘biometric’ karşılığı kullanılmakta olup, kelime genel olarak “ölçülebilir biyolojik verilere ilişkin çalışmalar” için kullanılmakta ve bu bağlamda biyolojinin bir alt dalı iken bilgisayar ve güvenlik alanında biyometrik, kişinin fiziksel ve davranışsal özelliklerini tanıyarak kimlik saptamak üzere geliştirilmiş otomatik sistemler için kullanılan genel bir terimdir. Biyometrik tanımlama ölçütleri yüz, parmak izi, el geometrisi, retina, iris, el ve bilek damarı, ses gibi değişik şekillerde belirlenebilmektedir. Biometric kelimesi için bkz. http://www.webopedia.com/Computer_Science/Biometrics/ Biometrik alanındaki terimler ile ilgili bir sözlük için bkz. Biometric Dictionary, http://www.senseme.com/scripts/biometrics/biometricdictionary.htm
46 Kayıhan, Yıldız; s.124.
47 Leyla Keser Berber, İnternet Üzerinden Yapılan İşlemlerde Elektronik Para ve Dijital İmza, Yetkin Yayınları, Ankara 2002, s.137.
48 Birleşik Devletleri Savunma Bakanlığı tarafından hazırlanan Ekim 2003 tarihli Kritik Askeri Teknolojileri Listesi, Bilgi güvenliği teknolojisi Raporunda da kriptoloji ve kriptografik yöntemlerden ayrıntılı şekilde bahsedilmiştir. Rapor için bkz. www.dtic.mil/mctl/MCTL_Revised/Sec17MCTLrevPublic.pdf
49 Daha geniş bilgi için bkz. http://sertifika.bilten.tubitak.gov.tr/net//teknik/kriptografi.jsp
50 Steganografi ile yazılış bakımından benzeyen bir kavram da fransızca ‘stenographie’ kelimesinden dilimize geçen ‘Stenografi’ kelimesidir ki bu kelime ‘söylenen sözleri söylendiği kadar çabuk yazmaya elverişli, kısa ve yalın işaretlerden oluşan yazı yöntemi’ anlamına gelmektedir. Bkz. TDK, http://www.tdk.gov.tr/tdksozluk/
51 Kriptografide de mesajın varlığı bilinmeyebilir çünkü steganografi ile kriptografi çoğu zaman birlikte kullanılır.
52 Kriptografi kavramı ve tarihi gelişimi için bkz. Cryptography, http://www.cccure.org/Documents/Cryptography/cisspallinone.pdf
53 Erdal Çakmak, Bir Bilgi Saklama Sanatı Steganografi, http://www.netpano.com/newsdetail.asp?NewsID=206 (Haziran 2005)
54 Stenografi’nin teknik incelemesi için bkz. Zekeriya Erkin, Steganografi, http://www.cs.itu.edu.tr/~orencik/Steganografi.pdf (Haziran 2005)
55 Alan Turing için bkz. Matematikle Savaş Kazanan Adam, http://www.focusdergisi.com.tr/bilim_insanlari/1000_yilin_dahileri/00216/
56 http://sertifika.bilten.tubitak.gov.tr/net//teknik/kriptografi.jsp
57 Single key encryption
58 Public key encryption
59 Sertifika hizmet sağlayıcılarına ‘Trust Center, Certification Authorities)’Yani ‘Onay Makamı’ veya Sertifika Makamı da denilmektedir.
60 E-imza uygulama örneği için bkz. Telekomünikasyon Kurumu, http://www.tk.gov.tr/eimza/uygulamaornekleri.pdf
61 Leyla Keser Berber, İnternet Üzerinden Yapılan İşlemlerde Elektronik Para ve Dijital İmza, Yetkin Yayınları, Ankara 2002, s.149.
62 Levent Özbek, Kriptografiye Giriş, http://eros.science.ankara.edu.tr/~ozbek/kripto1.htm
63 Message Digest=MD=Mesaj Özeti. MD’nin daha önceki versiyonları MD2 ve MD4 şifreleri hackerlar tarafından kırıldığı için artık güvenli bir şifreleme yöntemi değildir. MD5 ise 128bit uzunluğunda bir değer içerdiği için her an kırılma riski olan bir yöntemdir.
64 RSA şifreleme sistemi hem şifreleme hem de dijital imza atma olanağı tanıyan açık anahtarlı bir kriptografik yapıdır. Sistemi 1977 yılında Ronald Rivest, Adi Shamir ve Leonard Adleman geliştirmiştir. Sistem adını geliştiricilerinin ilk harflerinden alır. Bkz. http://sertifika.bilten.tubitak.gov.tr/net//teknik/kriptografi.jsp
65 Digital Signature Algorithm-DSA. DSA, National Institute of Standarts and Technology-NIST tarafından sayısal imza standardı (Digital Signature Standard) olarak yayınlanmıştır. Türk Elektronik İmza Kanunun yürürlüğe girmesinden sonra elektronik imza sertifika hizmet sağlayıcılarının uyması gereken teknik standartları belirlemek için çıkarılan Tebliğ’de de elektronik imzanın oluşturma ve doğrulama verilerinin RSA ve DSA standarlarında oluşturulacağı ve 1024 bit olacağı belirtilmiştir (Tebliğ m.6). Tebliğ için bkz. http://www.tk.gov.tr/Duzenlemeler/Hukuki/tebligler/e-imza-teblig.pdf
66 En ünlü simetrik şifreleme yöntemleri ise DES-Data Encrytion Standart ve AES’tir. DES, Federal Information Standart-FIS’de anlatılmıştır.
67 32 bitlik bir anahtarın ‘4.294.967.296’ adımda çözülebileceği düşünülürse 1024 bitlik bir şifrelemenin güvenli olduğu düşünülebilir.
68 Dijital imza tekniği ve bir uygulama örneği için bkz. Zarife Şenocak, Dijital İmza ve Dijital İmzanın Borçlar Kanunu Hükümleri Açısından Ele Alınması, AÜHF Dergisi, Cilt: 50, Sayı: 2, 2001, s.97-135.
69 Şekil için bkz. http://sertifika.bilten.tubitak.gov.tr/net/teknik/ciftanahtar.jsp
70 Keser-Berber, s.138.
71 Sertifika hizmet sağlayıcılarına ‘Trust Center, Certification Authorities’ yani ‘Onay Makamı’ veya ‘Sertifika Makamı’da denilmektedir.
72 Sertifika Hizmet Sağlayıcısı, http://sertifika.bilten.tubitak.gov.tr/net//teknik/shs.jsp
73 http://www.tk.gov.tr/eimza/E-Imza_faydali_bilgiler.htm
74 Keser-Berber, s.155.
75 Sertifika Hizmet Sağlayıcısı, http://sertifika.bilten.tubitak.gov.tr/net//teknik/shs.jsp
76 United Nations Commission on International Trade Law-UNCITRAL
77 Kanun için bkz. Uncitral Model Law on Electronik Commerce with Guide to Enactment 1996, http://www.uncitral.org/english/texts/electcom/ml-ecomm.htm
78 Guide to Enacment of the UNCITRAL Model Law on Electronic Commerce, Introduction to the Model Law, Objectives, http://www.uncitral.org/english/texts/electcom/ml-ecomm.htm
79 Kanun için bkz. Uncitral Model Law on Electronic Signatures Guide to Enactment 2001, http://www.uncitral.org/english/texts/electcom/ml-elecsig-e.pdf
80 Bkz. http://www.uncitral.org/english/texts/electcom/ml-elecsig-e.pdf, m.2/a
81 Direktif için bkz. Directive 1999/93/EC of the European Parliament and of the Council of 13 December 1999 on a Community Framework for Electronic Signatures, http://europa.eu.int/eur-lex/pri/en/oj/dat/2000/l_013/l_01320000119en00120020.pdf Direktifin türkçe metni için bkz. Dış Ticaret Müsteşarlığı, Elektronik Ticaret Genel Koordinatörlüğü, http://www.e-ticaret.gov.tr/hukuk/ABdirekt_imza.htm
82 Direktifin 13 Aralık 1999’da kabulünden sonra ilk olarak Avusturya 1 Ocak 2000 tarihinde elektronik imza direktifine uygun bir Kanun çıkarmıştır. İsviçre 12 Nisan 2000’de, Fransa 14 Mart 2000’de, Belçika 14 Haziran 2001’de, Lüksemburg 14 Ağustos 2000’de, Slovenya 22 Ağustos 2000’de, Danimarka ve Çek Cumhuriyeti 1 Ekim 2000’de, Norveç Temmuz 2001’de, Romanya 18 Temmuz 2001’de elektronik imza kanunlarını çıkartmışlardır. İtalya (1997), Almanya (1998), İspanya (1999) ve Portekiz (1999) ise Direktif tarihinden önce çıkartmış oldukları elektronik imza düzenlemelerini Direktif sonrasında Direktif ile uyumlu hale getirmişlerdir. Bkz. İnci Demirel, Çeşitli Ülkelerde Uygulanan Elektronik Ticaret ve Elektronik İmza Yasaları Hakkında Not, 25.04.2002, http://www.tbd.org.tr/e_turkiye/uluslararasi_uygulamalar.htm Türkiye ise Elektronik İmza Kanunu’nu 15 Ocak 2004 tarihinde kabul etmiş ve 23 Temmuz 2004 tarihinde de yürürlüğe sokmuştur.
83 signature-verification data, imza doğrulama verisi, elektronik imzanın doğrulanması için kullanılan şifre veya açık anahtar gibi verilerdir (Direktif m. 2/7).
84 Direktif için bkz. Directive 2000/31/EC of the European Parliament and of the Council of 8 June 2000 on Certain Legal Aspects of Information Society Services, in Particular Electronic Commerce, in the Internal Market (Directive on Electronic Commerce), http://europa.eu.int/eur-lex/pri/en/oj/dat/2000/l_178/l_17820000717en00010016.pdf Direktifin türkçe metni için bkz. Dış Ticaret Müsteşarlığı, Elektronik Ticaret Genel Koordinatörlüğü, http://www.e-ticaret.gov.tr/hukuk/ABdirekt_tic.htm
85 Pub. L. No. 106-229, 114 Stat. 464 (2000) (codified at 15 U.S.C. § 7001 et seq.). Kanun metni için bkz. http://www.ffiec.gov/ffiecinfobase/resources/elect_bank/fdi-fil-72-2000_e_sign_glob_and_nat_comm_act.pdf Kanunun hazırlık aşaması ve süreç için bkz. http://www.ftc.gov/os/2001/06/esign7.htm#N_1_
Kanunun türkçe metni için bkz. http://eticaret.garanti.com.tr/icerik/goster.asp?c=4&t=a&i=291120011252381023201 084678
86 Kanunun belirli bir teknolojiyi benimsememesi ve tanımlamaması kimi yazarlarca özellikle ‘güvenlik ve bütünlük’ gibi fonksiyonları sağlamayacağı için eleştirilmiştir. Bkz. Jon Udell, Tangled in the Threads, Digital Signature Laws, UETA and now E-Sign, only lay the Foundation, http://207.22.26.166/bytecols/2000-12-20.html
87 National Conference of Commissioners on Uniform State Laws-NCCUSL. NCCUSL tarafından tavsiye edilen UETA, yeknesak bir Kanun olarak NCCUSL’nin 23-30 Temmuz 1999 tarihinde Denver-Colorado’da yaptığı yıllık toplantıda kabul edilmiştir.
88 Uniform Electronic Transactions Act-UETA, Kanun için bkz. http://www.law.upenn.edu/bll/ulc/fnact99/1990s/ueta99.htm
89 UETA, E-Sign Act’in tüketiciler lehine getirdiği düzenlemeleri içermemesi nedeniyle eleştirilmiştir. Bkz. Margot Saunders, Gail Hillebrand; E-Sign and UETA: What Should States Do Now?, http://www.consumerlaw.org/initiatives/e_commerce/content/esign_ueta.pdf Gail Hillebrand, Uniform Electronic Transactions Act: Consumer Nightmare or Opportunity, http://www.consumersunion.org/finance/899nclcwc.htm
90 Eyaletler bazında UETA’nın kabul edilme şekli ve zamanı ile ilgili bir tablo için bkz. http://www.bakernet.com/ecommerce/uetacomp.htm
91 Uniform Computer Information Transactions Act-UCITA, Kanun için bkz. http://www.law.upenn.edu/bll/ulc/ucita/ucitaFinal00.htm
92 Uniform Commercial Code-UCC, Kanun için bkz. http://www.law.cornell.edu/uniform/ucc.html
93 Government Paperwork Elimination Act, 1998, http://www.cio.noaa.gov/itmanagement/pea.pdf
94 Kanunun Türkçe metni için bkz. http://www.tk.gov.tr/eimza/doc/kanun/alman_imza_kanunu.doc
95 Şenocak, agm., s.114.
96 Keser-Berber, s.198.
97 Keser-Berber, s.205
98 Rapor için bkz. http://www.e-ticaret.gov.tr/raporlar/hukuk.htm
99 Gerek dili gerekse kanun yapma tekniği açısından değerlendirildiğinde ihtiyaçları karşılamaktan uzak olan taslak ve taslak maddelerinin eleştirisi için bkz. Keser-Berber, s.217-252.
100 Türk Sermaye Piyasası bakımından, elektronik iletişim araçlarının gelişmesi ve internetin oluşması ile birlikte Türk Sermaye piyasasının bu gelişmelere uyum sağlaması ve Dünya Sermaye piyasaları ile entegrasyonuna katkı sağlamak amacıyla 2499 sayılı Sermaye Piyasası Kanunu’nun 22 inci maddesine 15.12.1999 tarihinde 4487 sayılı Kanun ile yapılan değişiklik ile eklenen ve yeniden düzenlenen (d), (s) ve (u) bendleri ile bağımsız denetim, yatırım danışmanlığı, ihraç ve halka arz da dahil olmak üzere sermaye piyasası faaliyetlerinin elektronik ortamda yapılması ve elektronik imza kullanım esaslarının Sermaye Piyasası Kurulu tarafından düzenlenmesi ve denetlenmesi öngörülmüştür. Sermaye Piyasası Kanunu’nda yapılan bu değişiklik ile 5070 sayılı Elektronik İmza Kanunu kabul edilmeden çok önce Türk mevzuatına elektronik imza kavramı girmişti. Ancak bu tarihten sonra Sermaye Piyasası Kurulu tarafından bu yönde bir çalışma yapılmamıştır.
101 Kanun no: 5070 Kabul tarihi: 15.01.2004, Resmi Gazete, 23 Ocak 2004, 25355. Yürürlük tarihi: 23.07.2004. Kanun için bkz. http://www.tk.gov.tr/eimza/eimza_yasasi.htm
102 Elektronik İmza Kanunun Uygulanmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik, Resmi Gazete, 06 Ocak 2004, 25692. Yönetmelik için bkz. http://www.tk.gov.tr/Duzenlemeler/Hukuki/yonetmelikler/e-imza-yonetmelik.pdf
103 Bkz. Yukarıda AB Elektronik İmza Direktifi.
104 Türkiye’de 21.11.2005 tarihi itibariyle 3 adet Elektronik İmza Sertifika Hizmet Sağlayıcısı Telekomünikasyon Kurumu’ndan yetki alarak faaliyete başlamıştır. Bunlar 24.06.2005 tarihinde faaliyete başlayan Elektronik Bilgi Güvenliği A.Ş. (http://www.e-guven.com/), 30.06.2005 tarihinde faaliyete geçen TUBİTAK-UEKAE Kamu Sertifikasyon Merkezi (http://www.kamusm.gov.tr/) ve 16.07.2005 tarihinde faaliyete başlayan TürkTrust Bilgi, İletişim ve Bilişim Güvenliği Hizmetleri A.Ş. (http://www.turktrust.com.tr/) dir. TUBİTAK-UEKAE, Türkiye Bilimsel ve Teknolojik Araştırma Kurumu-TÜBİTAK (http://www.tubitak.gov.tr/) ile bünyesinde yer alan Ulusal Elektronik ve Kriptoloji Araştırma Enstitüsü-UEKAE (http://www.uekae.tubitak.gov.tr/) tarafından işletilen sertifika hizmet sağlayıcıdır. Bkz. Telekomünikasyon Kurumu, http://www.tk.gov.tr/eimza/eshs.htm Elektronik Bilgi Güvenliği A.Ş. Türkiye Bilişim Vakfı ve Türkiye İhracatçılar Birliği-TİM (http://www.tbv.org.tr/channels) tarafından; TürkTrust A.Ş. ise 1996 tarihinde kurulan Türk Silahlı Kuvvetleri Elele Vakfı (http://www.elele.org.tr/istirakleri.html#turktrust) tarafından işletilen sertifika hizmet sağlayıcı kurumlardır. Kamu kurumlarının elektronik imza sertifikalarının temini görevi ise 2004/21 sayılı Başbakanlık Genelgesi ile TÜBİTAK-UEKAE kurumuna verilmiştir. 2004/21 sayılı Başbakanlık Genelgesi için bkz. http://www.tk.gov.tr/eimza/genelge.pdf
105 Elektronik imza sertifika hizmet sağlayıcısı olmak için gerekli şartlar ve prosedür ise Elektronik İmza Kanununun Uygulanmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik’de düzenlenmiştir. Yönetmelik için bkz. Resmi Gazete, 06 Ocak 2004, 25692. Yönetmelik için bkz. http://www.tk.gov.tr/Duzenlemeler/Hukuki/yonetmelikler/e-imza-yonetmelik.pdf
106 Elektronik sertifika hizmet sağlayıcılarının uyması gereken teknik hususlar için ise Elektronik İmza Kanunun Uygulanmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik’in 34 üncü maddesine dayanarak bir Tebliğ çıkarılmıştır. Tebliğ için bkz. http://www.tk.gov.tr/Duzenlemeler/Hukuki/tebligler/e-imza-teblig.pdf
107 Elektronik sertifika hizmet sağlayıcılarının yaptırmak zorunda oldukları ‘mali sorumluluk sigortası’nın esas ve usullerini göstermek üzere bir yönetmelik oluşturmak üzere 21 Nisan 2004 tarihinde bir çalıştırma grubu oluşturulmuş, 4 Mayıs 2004’de ilk toplantı yapılmıştır. 21 Temmuz 2004 tarihinde konu ile ilgili Hazine Müsteşarlığı’nın görüşleri alınmış ve Sertifika Mali Sorumluluk Sigortası Yönetmeliği hazırlanarak 26 Ağustos 2004 tarihinde Resmi Gazete’de yayımlanmıştır. Yönetmelik için bkz. http://www.tk.gov.tr/eimza/SMSS.pdf Ayrıca “Zorunlu Sertifika Mali Sorumluluk Sigortası Genel Şartları” ve “Sertifika Mali Sorumluluk Sigortası Tarife ve Talimatı” ile ilgili Yönetmelikler de 27 Ocak 2005 tarihinde Resmi Gazetede yayımlanarak yürürlüğe girmiştir. Yönetmelikler için bkz. http://www.tk.gov.tr/eimza/genelsartlar.pdf ve http://www.tk.gov.tr/eimza/eimza_mevzuat.htm
108 5070 sayılı Kanunun 16 ıncı maddesinde elektronik imza oluşturma verilerinin izinsiz kullanımı, 17 inci maddesinde de elektronik sertifikalarda sahtekarlık suçu düzenlenmiştir. 5070 sayılı Elektronik İmza Kanunu’nda düzenlenen bilişim suçları için bkz. Murat Volkan Dülger, Bilişim Suçları, Seçkin, Ankara 2004, s.305-318.
109 Bu kabul gerçekleştirilirken yabancı elektronik sertifikanın Türk Elektronik İmza mevzuatına göre nitelikli elektronik sertifikanın teknik hususlarını karşılaması ve yabancı elektronik sertifika kurumunun kurulu bulunduğu ülkede yasal olarak faaliyet göstermesi aranacaktır. (Elektronik İmza Kanunun Uygulanmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik m.32)
110 Tekinay, s.99.
111 Nitekim 5070 sayılı Elektronik İmza Kanunu henüz kabul edilmeden önce bankaların öncülüğünde dijital imzanın kullanımını yaygınlaştırmak amacıyla iradi şekil şartı olarak dijital imza kullanılmaya başlamıştı.
112 Nitekim Adalet Bakanlığı tarafından hazırlanan ve yakın bir zamanda TBMM’ye sunulması beklenen Yeni Borçlar Kanunu Tasarısında 14 üncü madde de “Kanunda aksi öngörülmedikçe, imzalı bir mektup, asılları borç altına girenlerce imzalanmış telgraf, teyit edilmiş faks, teleks veya güvenli elektronik imzayla gönderilip saklanabilen metinler de yazılı şekil yerine geçer.” ve 15 inci maddede “İmzanın, borç altına girenin el yazısıyla atılması zorunludur. Güvenli elektronik imza da el yazısıyla atılmış imzanın bütün hukukî sonuçlarını doğurur.” şeklinde düzenlemeler yapılmıştır. Tasarı için bkz. http://www.kgm.adalet.gov.tr/borclarkanunu.htm
113 Şenocak, s.125-128., Keser-Berber, s.193-197.
114 Personal Identification Number-PIN: Kişisel Kimlik Numarası.
115 Compact Disc-CD. CD’lere kayıt edilen veriler, CD’lerin ömürleri ile sınırlıdır. CD’lerin üretiminde kullanılan malzeme, çevre sıcaklığı ve rutubete göre farklı dayanıklılık süreleri vardır. Kaplama yüzeyine bağlı olarak CD’ler 30-100 yıl arasında okunabilecektir. Bkz. Herkes için Bilgisayar Dergisi, Sayı:2005/6, s.32.
116 Arkan, s.1.
117 Türk Ticaret Kanunu, Kanun No: 6762 Kabul Tarihi: 29.06.1956, Resmi Gazete 09.07.1956, 9353.
118 TDK, http://www.tdk.gov.tr/tdksozluk/
119 Baki Kuru, Ramazan Arslan, Ejder Yılmaz, Medeni Usul Hukuku, Yetkin Yayınları, Ankara 1996, s.340.
120 Elektronik ortamda bulunan veriler ve bilişim araçlarının soruşturma ve kovuşturmada delil olarak kullanılması ile ilgili bkz. Leyla Keser Berber, Adli Bilişim (Computer Forensic), Yetkin Yayınları, Ankara 2004.
121 Bu parasal sınır 14.07.2004 tarihinde kabul edilen 5219 sayılı Çeşitli Kanunlarda Değişiklik Yapılmasına Dair Kanun’un 2/A maddesi ile 1086 sayılı Hukuk Usulü Muhakemeleri Kanununda yapılan değişiklik ile “Dört yüz milyon liraya” yükseltilmiştir. 5219 sayılı Kanun için bkz. http://www.tbmm.gov.tr/kanunlar/k5219.html
122 Keser-Berber, s.207-212. Ayrıca elektronik verilerin delil olması ile ilgili olarak bkz. Birsen Acır, Elektronik İmza ve Elektronik Kayıtların Medeni Usul Hukukunun İspat Kuralları Yönünden Değerlendirilmesi, SPK Yeterlilik Etüdü, Ankara 2000.
123 Eklenen madde, Hukuk Usulü Muhakemeleri Kanununda Dördüncü Kısmında “Senet” başlıklı ile 287 ile 336 maddeleri arasına eklenmiştir. 295 inci madde ise aksi ispat edilinceye kadar kesin delil sayılan halleri belirtmiştir.
124 İsticvap, bir tarafın kendi aleyhine olan belli vakıalar hakkında mahkeme tarafından sorguya çekilmesi (dinlenilmesi) anlamına gelen teknik bir terimdir. İsticvap taraflarca hazırlanma ilkesine tabi davalarda uygulanır. İsticvap sırasında tanıklar hazır bulunmaz. İsticvap sırasındaki ikrar hakimi bağlar. İsticvap için taraflar isticvap davetiyesi ile çağrılır. Davetiyede isticvabına karar verilen tarafın geçerli bir özürü olmaksızın gelmemesi halinde sorulan soruları ikrar etmiş sayılacağı bildirilir. Bkz. Kuru, s.336-339.
125 İstiktap, yazı yazdırma anlamındadır. Bkz. Ejder Yılmaz, Hukuk Sözlüğü, Yetkin Yayınları, 2004.
126 Kuru, s.359 vd.
Bu makaleden kısa alıntı yapmak için alıntı yapılan yazıya aşağıdaki ibare eklenmelidir :
"Teknik Ve Hukuki Açıdan Elektronik İmza" başlıklı makalenin tüm hakları yazarı Tamer Soysal'e aittir ve makale, yazarı tarafından Türk Hukuk Sitesi (http://www.turkhukuksitesi.com) kütüphanesinde yayınlanmıştır.
Bu ibare eklenmek şartıyla, makaleden Fikir ve Sanat Eserleri Kanununa uygun kısa alıntılar yapılabilir, ancak yazarının izni olmaksızın makalenin tamamı başka bir mecraya kopyalanamaz veya başka yerde yayınlanamaz.
Şu ana dek 10 okuyucu bu makaleyi değerlendirdi :
8 okuyucu (80%) makaleyi yararlı bulurken,
2 okuyucu (20%) yararlı bulmadı.
Okuyucu
6975
Bu Makaleyi Şu An Okuyanlar (1) :
* Son okunma 12 saat 46 dakika 17 saniye
önce.
* Ortalama Günde 1,39 okuyucu.
* Karakter Sayısı : 114567, Kelime Sayısı : 14131,
Boyut : 111,88 Kb.
*
1 kez yazdırıldı.
*
2 kez indirildi.
*
Henüz yazarla iletişime geçen okuyucu yok.
* Makale No : 1233
Teknik Ve Hukuki Açıdan Elektronik İmza
