Vedlegg: Brev fra Nærings- og handelsdepartementetv/statsråd Grete Knudsen til Arbeiderpartietsstortingsgruppe v/Erling Brandsnes, datert 6. desember 2000
Vi viser til Deres to brev av 27. november 2000. I brevet fremlegges synspunkter fra NHO og eforum om endringer av lovteksten i forslaget til lov om elektronisk signatur. Nærings- og handelsdepartementet bes om å kommentere disse forslagene.
Det foreslås at denne bestemmelsen blir tillagt en forskriftshjemmel som åpner for at man kan spesifisere reguleringen vedrørende pseudonymsertifikater.
Lovforslagets § 4 er tatt direkte ut fra direktivet. I vedlegg I (c) i direktivet står at et kvalifisert sertifikat skal inneholde «…the name of the signatory or a pseudonym, which shall be identified as such.» Således stiller direktivet krav om at man åpner for pseudonymsertifikater. Det skal også bemerkes at både den danske loven som allerede har trådt i kraft og det svenske lovforslaget som skal tre i kraft 1. januar 2001, åpner for pseudonymsertifikater.
Det kan virke motstridende å benytte psedonymsertifikat når man ønsker å verifisere identiteten til en person, men disse sertifikater vil også kunne brukes ved disposisjoner der mottaker er uinteressert å vite hvem han kommuniserer med, men bare ønsker å sikre at han mottar den ytelsen som undertegner har lovet. For eksempel vil dette være relevant ved kjøp over Internett. En selger er normalt mer interessert i å sikre at han får betalt enn å vite med hvem han selger til. Til kjøpers sertifikat kan det tenkes være koblet en garanti fra en bank om at beløpet vil bli betalt. Selger vil da være sikret betaling, selv om kjøpers identitet forblir ukjent for ham.
Departementet mener at vi må implementere direktivets bestemmelser om pseudonymsertifikat for å oppfylle våre internasjonale forpliktelser. Vi mener derfor at bestemmelsen ikke skal endres.
I lovforslaget § 6 står følgende;
hvis det stilles krav om underskrift og disposisjonen kan gjøres elektronisk vil en kvalifisert elektronisk signatur oppfylle slikt krav, og
at signaturer som ikke er kvalifiserte også kan oppfylle slikt krav.
eforum ønsker at man fjerner kravet om at «disposisjonen skal kunne gjennomføres elektronisk».
NHO og eforum ønsker videre at det skal settes inn en forskriftshjemmel som redegjør for i hvilke tilfeller «ikke-kvalifiserte» elektroniske sertifikater kan oppfylle kravet om underskrift. eforum har følgende forslag til annet ledd: «Kongen kan ved forskrift bestemme unntak fra denne regelen der særlige hensyn tilsier dette.»
Det finnes typer av disposisjoner som man ikke ønsker skal kunne gjennomføres elektronisk. For eksempel ønsker man ikke i dag å åpne for elektroniske testamenter. På bakgrunn av dette vil det ikke være mulig å fjerne kravet om at bestemmelsen må åpne for elektronisk kommunikasjon, for at den aktuelle rettsvirkningen skal kunne tre inn. Hvis man ikke har denne begrensningen vil § 6 gå lengre enn hva som er ønskelig. Hovedregelen vil da være at elektronisk kommunikasjon alltid er en mulig kommunikasjonsform, så fremt det ikke står at disposisjonen ikke kan gjennomføres elektronisk. Denne typen generell regulering for å åpne for elektronisk kommunikasjon er blitt drøftet og avvist i e-regelprosjektet (tidligere «Kartleggingsprosjektet»), jf. kapittel 4.3 i Ot.prp-en til lovforslaget.
Utgangspunktet i bestemmelsen er at en kvalifisert elektronisk signatur skal likestilles med en håndskreven underskrift, og at det ikke er mulig å stille høyere krav. Det finnes imidlertid et unntak fra dette. I lovutkastet § 5 kan det fastsettes andre krav til kvalifiserte sertifikater som skal brukes ved kommunikasjon i og med offentlig forvaltning.
Slik paragrafens første ledd er utformet åpner den allerede for at en elektronisk signatur - på et «lavere nivå» enn en kvalifisert - kan gis samme rettsvirkning som en kvalifisert elektronisk signatur. Hovedregelen er at man ikke kan kreve mer enn en kvalifisert elektronisk signatur, men at det er mulig å benytte seg av andre signaturer for å få samme rettsvirkning. Bestemmelsen har et «tak» men ikke et «gulv». Det vil derfor ikke være riktig å i annet ledd innføre en bestemmelse om «unntak» fra første ledd. Alt under «taket» er allerede tillatt.
Hvis man ønsker å gi «ikke-kvalifiserte» signaturer rettsvirkning, må det normalt reguleres i den aktuelle bestemmelsen som kan være i en lov, forskrift eller instruks. Denne reguleringen vil ikke være hjemlet i lov om elektronisk signatur. Det vil derfor være uriktig å i annet ledd ha en forskriftshjemmel for «unntak».
Avslutningsvis ser vi heller ikke noen grunn for at man skal akseptere ikke-kvalifiserte signaturer kun «der særlige hensyn taler for det». Utgangspunktet her må være at man ikke krever mer kompliserte og dyrere tekniske løsninger enn hva som er nødvendig. Hvilke løsninger som skal aksepteres må skje ved en helhetsvurdering av den aktuelle bestemmelsen. At man velger et annet nivå enn kvalifiserte elektroniske signaturer må kunne skje selv om ikke «særlige hensyn taler for det».
Departementet mener at bestemmelsen ikke bør endres.
I lovforslaget § 11 første ledd står: «Utsteder av kvalifiserte sertifikater skal bruke pålitelige produkter …».
eforum ønsker at en i denne bestemmelsen skal tilføre «til en hver tid» foran «bruke».
Lovens krav om at produktet er pålitelig gjelder hele tiden det er i bruk. eforums tillegg medfører ikke noen realitetsendring. Departementet er derfor av den oppfatning at ovennevnte tillegg er overflødig, og at bestemmelsen ikke behøver endres.
Paragrafens første ledd lyder:
«Utstedere av kvalifiserte sertifikater er ansvarlige for at identiteten til undertegner og ytterligere relevante opplysinger om vedkommende blir kontrollert gjennom sikre rutiner.»
NHO mener det er behov for å fastsette krav om hvilke opplysninger som minimum skal kontrolleres, for eksempel undertegners identitet med personnummer mv.
Bestemmelsen er utformet i tråd med direktivets tekst. Det pågår et arbeid i en nordisk arbeidsgruppe som ser på hvordan forskriftene til respektive nasjonale lover skal utformes. I forbindelse med dette arbeidet vil man bl.a. drøfte spørsmålet om kontroll av identitet. Det er bl.a. blitt diskutert om man skal kreve personlig fremmøte eller ikke. Man må imidlertid være forsiktig med ev. tilleggskrav, slik at man ikke stiller krav som direktivet ikke åpner for.
Departementet vil ta dette innspillet med seg i den videre behandlingen av forskrifter knyttet til loven.
NHO foreslår at det presiseres hvem som skal utføre tilsynet, på hvilken måte og i hvilke situasjoner.
I tråd med normal lovteknikk står i lovteksten «tilsynet» og ikke Post- og teletilsynet, som i lovutkastet er anbefalt som tilsynsmyndighet. Begrunnelsen for dette er bl.a. at man ikke må endre loven dersom man ønsker å utpeke et annet tilsyn eller om tilsynet endrer navn. Kongen vil ifølge lovforslaget utpeke tilsynsorgan.
Ifølge lovforslaget § 17 fjerde ledd kan tilsynet kreve at utstedere gjennomfører en «IT-revisjon». NHO ønsker at begrepet «IT-revisjon» defineres. eforum foreslår at en skal tilføre følgende som et siste punktum i tredje ledd: «…IT-revisjonen skal gjennomføres basert på sertifikatutstederens selvdeklarasjon».
Behovet for IT-revisjon er særlig stort der nettopp selvdeklarasjonen ikke er fullstendig eller på annen måte ikke god nok. Skulle tilsynet i disse situasjonene likevel være forpliktet til å basere seg på selvdeklarasjonen, vil IT-revisjonen miste mye av sin funksjon.
Begrepet «IT-revisjon» er et dynamisk begrep og vil bl.a. påvirkes av hvilken teknisk løsning som velges. I merknaden til bestemmelsen nevnes at «den vanligste formen for IT-revisjon er at et revisjonsbyrå gjennomgår sertifikatutsteders praksis for å se om praksis er i samsvar med beskrevet sertifikatutstedelsespraksis». Det er vanskelig å i lovteksten nærmere presisere hva som menes med IT-revisjon.
Departementet mener at paragrafen ikke bør endres.