آیا تأکید بانک مرکزی بر ایجاد مرکز گواهی امضای الکترونیکی جداگانه قانونی است؟ / دو پادشاه در یک اقلیم

نویسنده: میثم سلیمانی در تاریخ 1 آبان سال 1400 ساعت 12:20 0

زمستان 1382 قانونی در مجلس ایران تحت عنوان قانون تجارت الکترونیکی به تصویب رسید؛ قانونی مترقی که می‌توانست با وجود همه مشکلات، چارچوبی را برای تجارت الکترونیکی ایران ترسیم کند. اکنون 18 سال از تصویب این قانون می‌گذرد و هنوز بخش‌هایی از آن به‌طور جدی دنبال نشده و مغفول مانده است. اگر به بندهای 31 و 32 این قانون نگاهی داشته باشیم، با موضوع گواهی الکترونیکی و امضای الکترونیکی مواجه می‌شویم. بر مبنای این بندها نیز یک آیین‌نامه اجرایی تنظیم ‌شده که در آن ‌یک مرکز گواهی الکترونیکی تحت عنوان مرکز ریشه کشور شناخته می‌شود. این مرکز ذیل شورایی فعالیت می‌کنند که نمایندگانی از وزارت صمت، بانک مرکزی، وزارت اطلاعات و دیگر ارگان‌های مهم حاکمیتی در آن حضور دارند. مسئولیت این مرکز بر عهده مرکز توسعه تجارت الکترونیکی قرار دارد. اما حالا زمزمه‌هایی در خصوص ایجاد مرکز ریشه‌ای مستقل توسط بانک مرکزی شنیده می‌شود. بانک مرکزی سال‌هاست تلاش می‌کند مرکز ریشه‌ای مجزا ایجاد کند تا امضای الکترونیکی بانکی در این چارچوب انجام شود. البته این آغاز اختلافی جدی میان بانک مرکزی و مرکز توسعه تجارت الکترونیکی است. در این میان برخی نگران ایجاد انحصاری هستند که در قالب امضای الکترونیکی بانکی شکل بگیرد و مرکز توسعه تجارت الکترونیکی بر این باور است که هیچ مرکز ریشه دیگری به‌جز مرکز ریشه کشور نباید شکل بگیرد.

آیا به مرکز ریشه جداگانه‌ای نیاز داریم؟

رضا باقری‌اصل، دبیر اجرایی شورای فناوری اطلاعات کشور در گفت‌وگویی که در بهمن‌ماه 1399 با راه پرداخت داشت، بیان کرد ایجاد یک مرکز ریشه توسط بانک مرکزی بر خلاف ماده ۳۲ قانون تجارت الکترونیکی است. از نظر او این چندگانگی ریشه‌ها می‌تواند هزینه مضاعفی را برای کشور ایجاد کند؛ زیرا بانک مرکزی خود عضوی از شورای مرکزی مرکز ریشه کشور است و عملاً نیازی به ایجاد یک مرکز ریشه جداگانه توسط بانک مرکزی وجود ندارد.

باقری‌اصل در این خصوص می‌گوید: «فرایندهای احراز هویت در سطوح و ریسک‌های مختلف برای خدمات متعدد، نیازمند سرویس‌های گواهی احراز هویت و حتی سرویس‌های گواهی امضای الکترونیکی هستند. این فرایندها با توجه به نوع سرویس یا طبقه‌بندی مالی آن تقسیم‌بندی می‌شوند. قانون تجارت الکترونیک، مرکز ریشه دولتی را ایجاد و آن را به آیین‌نامه اجرایی ماده ۳۲ منتقل کرد که در آن آیین‌نامه سازوکار مرکز ریشه تدوین شده است. در این آیین‌نامه یک مرکز قید شده بود که بانک مرکزی بر اساس آن مبادرت به تأسیس مرکز ریشه کرد، اما تا جایی که می‌دانم، عنوان ریشه برای مرکز در آیین‌نامه قید نشده بود.»

باقری‌اصل در توضیح مخالفت خود با ایجاد چند مرکز ریشه در کشور می‌گوید: «نکته اساسی این است که وقتی از سازوکارهای امضای الکترونیکی استفاده می‌کنیم،‌ متناسب با ریسکی که آن سرویس دارد، از نوعی گواهی‌های امضا استفاده می‌کنیم. بعضاً برای این کار، چند دستگاه یا چند کاربر یک برگه را که مانند قرارداد است، امضا می‌کنند. به‌طور مثال وقتی می‌خواهیم از سرویس مالی استفاده کنیم،‌ آن سرویس مالی هم نیازمند امضای مربوط به سرویس‌دهنده پولی و بانکی است و هم به ‌غیر از آن، شاید نیازمند تعامل مالی با سازمانی مانند ثبت‌ اسناد باشد. این چندگانگی ریشه‌ها می‌تواند هزینه مضاعفی را برای کشور ایجاد کند.»

او با بیان اینکه بانک مرکزی بر اساس این موضوع سازوکارهایی را در نظر گرفته،‌ می‌گوید:‌ «ما با مرکز توسعه تجارت الکترونیکی و شورای سیاست‌گذاری گواهی الکترونیکی ریشه، همکاری‌هایی را ایجاد کرده‌ایم. در این راستا سعی داریم سیاست‌های گواهی امضای الکترونیکی را به ‌گونه‌ای اصلاح کنیم که تا حد ممکن نیازهای بانک مرکزی را برای استقلال خودش به رسمیت بشناسیم. بدین ترتیب بانک مرکزی می‌تواند از همان سیاست‌های گواهی ریشه اصلی تبعیت کند تا نیازمند گرفتن چند گواهی امضا نباشیم.»

هیچ انحصاری نباید ذیل مرکز ریشه شکل بگیرد

واقعیت آن است که بسیاری بیش از آنکه نگران ایجاد مرکز ریشه جدید توسط بانک مرکزی باشند، بیشتر نگران انحصاری هستند که ممکن است ذیل مرکز ریشه بانک مرکزی شکل بگیرد. بحث امضای دیجیتالی، گواهی امضاهای متعدد و ارائه سرویس توسط پلتفرمی خاص، نگرانی‌هایی هستند که ایجاد مرکز ریشه جدید توسط بانک مرکزی به آنها دامن می‌زند. از همین رو علی رهبری، رئیس مرکز توسعه تجارت الکترونیکی در پاسخ به سؤال خبرنگار راه پرداخت در بهمن‌ماه 1399 در خصوص امکان انحصار توسط مرکز ریشه بانک مرکزی می‌گوید: «در موضوع امضای الکترونیکی، قانون تجارت الکترونیکی وجود دارد که در ماده ۳۲ مبحث گواهی‌کردن یا تصدیق الکترونیکی را مطرح می‌کند. ذیل این ماده آیین‌نامه‌ای وجود دارد که در آن شورای سیاست‌گذاری گواهی الکترونیکی کشور تعریف شده است. این روند ترکیبی از دستگاه‌های مختلف در دولت، قوه قضائیه و بخش خصوصی است. بانک مرکزی نیز عضو این شوراست. همچنین ذیل شورای سیاست‌گذاری یک مرکز ریشه ‌داریم که یگانه و یکتاست و ذیل این ریشه نیز تا این لحظه هفت مرکز گواهی الکترونیکی میانی وجود دارد.»

رهبری در بخش دیگری از سخنان خود تأکید می‌کند: «این بدنه یعنی شورای سیاست‌گذاری، مرکز ریشه و مراکز میانی، زیرساخت امضای الکترونیکی هستند که خدمات صدور گواهی را ارائه می‌دهند. این مراکز صرفاً گواهی امضای الکترونیکی را صادر می‌کنند، اما در بخش‌های مختلف کشور از این گواهی استفاده می‌کنند. به این حوزه، حوزه به‌کارگیری خدمات الکترونیکی می‌گویند. برای مثال در کسب‌وکار‌های مختلف بانکی، مالی، تجارتی و حمل‌ونقلی، حسابداری و حسابرسی از امضای الکترونیکی استفاده می‌شود.»

آیا مرکز ریشه بانک مرکزی قانونی است؟

اگر یک‌ بار دیگر به قانون مراجعه کنیم، درمی‌یابیم که طبق قانون، در کشور تنها یک مرکز ریشه وجود دارد و سایر مراکز گواهی امضا به‌عنوان مراکز میانی شناخته می‌شوند که بر مبنای مجوز از شورای سیاست‌گذاری گواهی الکترونیکی امکان فعالیت دارند. اما آنچه مشخص است بانک مرکزی با ایجاد سامانه «نماد» نه یک مرکز میانی، بلکه یک مرکز ریشه مستقل را ایجاد کرده است. این مرکز ریشه به شکل مستقل و فارغ از مرکز ریشه واحد کشور به‌دنبال ایجاد بانک اطلاعاتی و تشکیل هویت دیجیتالی برای مشتریان بانکی است. اطلاعاتی که بانک‌ها به‌راحتی در اختیاری هیچ نهادی قرار نمی‌دهند و حتی شاید حاضر نباشند این اطلاعات را به تنها مرکز ریشه کشور ارائه دهند تا از آن سرویس دریافت کنند. مجموعه این عوامل و کشمکش‌ها نیز از سال‌ها قبل وجود داشته و اجازه نداده فرایند ایجاد هویت دیجیتال و امضای دیجیتال به سرانجام مناسبی برسد. بانک مرکزی با همکاری شرکت ملی انفورماتیک از سال‌ها قبل به‌دنبال ایجاد دو سامانه نهاب و نماد بوده است. اگر سری به سایت شرکت خدمات انفورماتیک بزنیم، در اردیبهشت‌ماه 1389 پروژه نماد کلید خورده است؛ قراردادی که بنا بوده زيرساخت کليد عمومي و مرکز گواهي ديجيتال بانک مرکزي جمهوری اسلامی ایران را راه‌اندازی کند. در توضیحاتی که شرکت ملی انفورماتیک در سایت خود ارائه کرده، بنا بوده بین وزارت صمت و بانک مرکزی، هر کدام به لحاظ امنیتی بتوانند استانداردهای ایجاد مرکز ریشه را رعایت کنند، به مرکز اصلی گواهی امضای دیجیتالی دولت تبدیل شوند که در نهایت وزارت صمت در آن دوره موفق شده این مهم را کسب کند. اما به نظر می‌رسد در همان دوران بانک مرکزی به این تصمیم پایبند نبوده و از مراجع ذی‌صلاح دیگر ایجاد مرکز ریشه مستقل خود را دنبال کرده است.

شرکت ملی انفورماتیک در نوشتار خود مدعی است که در نهایت با توافقی که مشخص نیست توسط چه نهادی صورت می‌گیرد، اجازه ایجاد مرکز ریشه مستقل خود را پیدا می‌کند و همان زمان قرارداد ایجاد مرکز ریشه بانک مرکزی با شرکت ملی انفورماتیک منعقد می‌شود. اما هرچه قانون را زیرورو کنیم، به‌صورت شفاف و روشن در خصوص تشکیل مرکز ریشه مستقل بانک مرکزی نکته‌ای بیان ‌نشده است. البته قانون در این خصوص کاملاً شفاف و مشخص است؛ چراکه در جایی بیان ‌شده که بانک‌ها در ساختار مرکز ریشه کشور دیده نشده‌اند، در صورتی ‌که رئیس بانک مرکزی از جمله اعضای اصلی شورای سیاست‌گذاری گواهی امضای الکترونیکی کشور محسوب می‌شود. در این میان طبق قراردادی که شرکت ملی انفورماتیک در سال 1389 منعقد کرده، این پروژه باید در خردادماه سال 1390 به پایان می‌رسید. سؤال اصلی اینجاست که آیا نماد یا همان مرکز ریشه بانک مرکزی راه‌اندازی شده است؟ مجموع شواهد نشان می‌دهد که پس از سال‌‎ها نه‌تنها دعوا بر سر ایجاد مرکز ریشه بانک مرکزی فروکش نکرده، بلکه آماده‌سازی نماد بانک مرکزی در هاله‌ای از ابهام قرار دارد. از طرفی دیگر هیچ‌یک از مراجع دولتی و حتی قضایی نیز گواهی امضایی را که از سوی مرکز ریشه بانک مرکزی صادر می‌شود، نمی‌پذیرند. این اتفاق عملاً ماهیت وجودی مرکز ریشه مربوط به بانک مرکزی را زیر سؤال می‌برد. این در حالی است که طبق قانون، امضای دیجیتالی می‌تواند در هر جایی کافی باشد، اما به نظر می‌رسد با وجود اصرار بانک مرکزی به داشتن یک مرکز ریشه مستقل هنوز سایر نهادهای حاکمیتی آن را به رسمیت نشناخته‌اند.

انحصاری به نام هامون

طی سال‌های اخیر سرویس‌های متعدد امضای دیجیتالی ایجاد شده که مورد تأیید مرکز ریشه کشور و مرکز توسعه تجارت الکترونیکی قرار گرفته‌اند. از جمله این شرکت‌ها می‌توان به آدانیک، اعتماد هوشمند و گرایش تازه کیش اشاره کرد که هر کدام توانستند سرویس‌های قابل ‌قبول و با امنیت بالا را به کاربران خود ارائه دهند. این در حالی است که اگر دعوای بین مرکز توسعه تجارت الکترونیکی و بانک مرکزی بر سر مرکز ریشه را کنار بگذاریم، شاهد انحصار دیگری در بحث امضای الکترونیکی هستیم. بانک مرکزی عملاً اجازه استفاده سرویس‌های دیگر را در بحث امضای الکترونیکی نمی‌دهد؛ چراکه شرکت خدمات انفورماتیک محصولی را تحت عنوان هامون راه‌اندازی کرده که قصد دارد سرویس امضای الکترونیکی را منحصراً از طریق این پلتفرم به مشتریان بانکی ارائه دهد. بانک مرکزی با بخش‌نامه‌های خود به بانک‌ها تأکید کرده که برای گواهی امضای الکترونیکی قطعاً باید به نماد مراجعه کنند و امضای الکترونیکی نیز از طریق هامون ارائه شود؛ سرویسی که نمونه‌های مشابه متعددی از آن در حال فعالیت هستند، اما باز هم بانک‌ها در صف راه‌اندازی این سرویس توسط بانک مرکزی قرار دارند.

علی حاجی‌زاده مقدم، مدیرعامل و رئیس هیئت‌مدیره آدانیک بر این عقیده است که سرویس هامون به نحوی در حال ارائه است که آن را معادل نماد جا زده‌اند، در صورتی ‌که این‌گونه نیست. او در این خصوص می‌گوید: «بانک‌ها، سامانه هامون را که یک توکن خاص و محصول خدماتی است،‌ به‌اشتباه به ‌جای زیرساخت نماد که یک سامانه حاکمیتی و زیرساختی است، تصور کرده و به چشم یک الزام به آن نگاه می‌کنند. حتی اگر هدف بانک مرکزی ایجاد انحصار و الزام نباشد، در عمل توسط بانک‌ها این‌طور برداشت‌ شده است. بانک مرکزی باید شفاف‌سازی کند که بانک‌ها می‌توانند با ارائه‌دهندگان خود یا ارائه‌دهندگان دیگر در خصوص توکن همکاری کنند، یا خیر. از طرف دیگر زیرساخت نماد باید خدمات خود را به همه تولیدکنندگان توکن به‌طور یکسان و با شرایط برابر ارائه دهد. یعنی همان‌طور که هر مرکز میانی دیگری با ارائه‌دهندگان توکن‌های گوناگون قرارداد می‌بندد و آنها را به سرویس خود متصل می‌کند،‌ همین اتفاق باید در مورد نماد هم بیفتد. تا جایی که اطلاع دارم، صرفاً سیستم هامون به بانک‌ها ارائه شده و خبری از اتصال دیگر سرویس‌ها به نماد نیست.»

او با اشاره به اینکه امکان اتصال سایر سرویس‌ها به نماد وجود ندارد، می‌گوید: «به این دلیل که نماد فعلاً تنها به هامون سرویس‌دهی می‌کند و بعد از اینکه بانک مرکزی، بانک‌ها را ملزم به دریافت خدمات از نماد کرد، تنها گزینه‌ای که بانک‌ها برای اتصال به نماد از طریق گوشی موبایل در اختیار داشتند، هامون بود؛ بنابراین در حال حاضر این فضای رقابتی وجود ندارد. البته ارائه‌دهندگان دیگری نیز هستند که بعضاً توکن امضای موبایل به مشتریان بانکی ارائه می‌دهند. اکنون صدها هزار نفر از مصرف‌کنندگان بانکی، توکن امضای دیجیتالی دارند که تحت زیرساخت نماد نیست. زمانی که این توکن‌ها ارائه شدند، هنوز الزامی برای استفاده از توکن هامون در کار نبود، ولی همان ابزار و فناوری که در آن محیط با امضای زیرساخت ریشه کشور جواب داده، قاعدتاً فاصله‌ زیادی با اتصال به زیرساخت امضای دیجیتال بانکی یا همان «نماد» ندارد؛ چراکه همه اینها از استانداردهای یکسانی پشتیبانی می‌کنند.»

حاجی‌زاده مقدم همچنین در خصوص انحصار ایجادشده برای هامون توسط بانک مرکزی می‌گوید: «اگر بر اساس رفتاری که می‌بینم، قضاوت کنم،‌ در حال حاضر خواسته یا ناخواسته یک بازار انحصاری برای هامون شکل‌گرفته است. طبق صحبت دوستانه‌ای که با همکاران بخش خدمات هامون داشتم، مسئله اصلی مدت‌زمان ارائه این سرویس به بازار بوده است. دوستان نیز به لحاظ نظری قائل به این هستند که باید سرویس‌های نماد به‌طور مستقیم ارائه شود. حال نمی‌دانم که آیا فاصله فنی یا مشکل زیرساختی خاصی در این میان وجود داشته یا خیر. البته از آنجایی ‌که نماد یک پروژه زیرساختی و هامون یک پروژه خدماتی است، به نظر نمی‌آید که پای مشکلات فنی و زیرساختی در میان باشد؛ بنابراین باید بتوان همان سرویس‌ها را به سایر ارائه‌دهندگان راه‌حل (solution provider) که مشابه هامون هستند، ارائه داد. با وجود اینها، می‌توان گفت در مسابقه‌ای که تنها یک شرکت‌کننده دارد، طبیعتاً فقط یک برنده نیز وجود خواهد داشت؛ بنابراین اگر کسی بگوید که اجبار بانک‌ها در استفاده از سامانه هامون یک انحصار است، نمی‌توان بر او خرده گرفت.»

یک سرویس و یک پیغام

تمام چیزی که می‌توان از ایجاد مرکز ریشه بانک مرکزی برداشت کرد، تنها یک نکته است. کلیدواژه‌ای به نام انحصار؛ وقتی‌ از سرویسی صحبت می‌کنیم که می‌تواند از طریق یک مرکز ریشه به تمام شهروندان ارائه شود و همچنین هر کسی از هر پلتفرمی که بتواند از آن بهره‌برداری کند، پس دلیلی برای ایجاد یک مرکز و پلتفرمی خاص برای ارائه چنین سرویسی وجود ندارد. از طرفی اگر بانک مرکزی به مرکز توسعه تجارت جهت ارائه گواهی امضا اعتماد نداشته که مرکز ریشه و پلتفرم خود را راه‌اندازی کرده، پس چگونه مردم می‌توانند برای ارائه سرویسی به این مهمی به مراکز دولتی اطمینان کنند. وقتی‌ درون حاکمیت برای چنین موضوع حساسی اجماع وجود ندارد و جزیره‌ای عمل می‌شود، نتیجه و خروجی آن، چیزی جز تمامیت‌خواهی و انحصار نخواهد بود.