Innstilling fra næringskomiteen om lov om elektronisk signatur
Dette dokument
- Innst. O. nr. 41 (2000-2001)
- Kildedok: Ot.prp. nr. 82 (1999-2000)
- Dato: 12.12.2000
- Utgiver: Næringskomiteen
- Sidetall: 9
Tilhører sak
Alt om
Innhold
- 1. Proposisjonens hovedinnhold
- 2. Bakgrunnen for lovforslaget
- 3. Nærmere om Lovforslaget
- 4. Økonomiske og administrative konsekvenser
- 5. Komiteens merknader
- 6. Komiteens tilråding
- Vedlegg: Brev fra Nærings- og handelsdepartementetv/statsråd Grete Knudsen til Arbeiderpartietsstortingsgruppe v/Erling Brandsnes, datert 6. desember 2000
Lovforslaget i proposisjonen regulerer de rettslige rammebetingelsene for bruk av elektronisk signatur og tilknyttede tjenester. Et viktig formål er å sikre kommunikasjon mellom to parter som ikke kjenner hverandre, og slik legge til rette for elektronisk handel.
For å sikre tillit mellom avsender og mottaker utstedes signaturen sammen med et tilhørende elektronisk sertifikat av en tredje part, i loven omtalt som sertifikatutsteder. Sertifikatutstederen skal bl.a. kontrollere identiteten til den som signerer. Loven skal legge til rette for at signaturene og tilhørende sertifikater som tilbys på det norske markedet, oppfyller et bestemt sikkerhetsnivå. Disse produktene omtales som kvalifiserte eller sikre. De nærmere tekniske kravene vil bli regulert i forskrifter til loven. Loven åpner for at det kan stilles tilleggskrav ved kommunikasjon med og i forvaltningen.
Loven gir ingen generell rett til å kommunisere elektronisk, men gjelder der lovgivningen for øvrig åpner for elektronisk kommunikasjon. Når det stilles krav om underskrift, vil bruk av kvalifisert elektronisk signatur alltid oppfylle et slikt krav, så fremt disposisjonen kan skje elektronisk. Dette betyr at en kvalifisert elektronisk signatur gis samme rettsvirkning som en håndskreven signatur. En har valgt å være så nøytral som mulig i forhold til valg av tekniske løsninger.
Loven er en gjennomføring av EU-direktivet om en fellesskapsramme for elektroniske signaturer.
Bakgrunnen for EU-direktivet er at utviklingen av elektronisk handel over åpne globale nett nødvendiggjør elektroniske signaturer med tilhørende tjenester som sørger for autentisering. Ulike regelverk hva angår rettslig anerkjennelse av elektroniske signaturer og akkreditering av sertifikatutstedere, kan skape barrierer for elektronisk handel og hindre utviklingen av det indre marked. Det er derfor behov for et harmonisert rammeverk for bruk av elektronisk signatur.
Deler av EU-direktivet gjelder områder som allerede er regulert i norsk rett, f.eks. bestemmelser om erstatning og bevisregler. Hoveddelen av bestemmelsene gjelder likevel forhold som ikke uten problemer kan legges til allerede eksisterende lover eller forskrifter. Departementet mener derfor at EU-direktivet bør implementeres i en ny lov med tilhørende forskrifter. Implementeringen i Norge skjer da på en tilnærmet identisk måte som i de øvrige nordiske land.
Høringsinstansene stiller seg positive til at det nå gis en lovregulering av elektronisk signatur og tilhørende sertifikattjenester. Flere høringsinstanser uttaler at lovforslaget legger til rette for anvendelse av elektroniske signaturer i større skala ved å etablere rettsstillingen for signaturene og gjennom den tillitskapende effekt reguleringen av sertifikattjenestene gir. Høringsinstansene er videre generelt positive til at det legges opp til en minimumsregulering og en enkel modell for tilsyn.
Departementet er av den oppfatning at det i forhold til dagens marked er for tidlig å ta initiativ til etablering av en akkreditert sertifiseringsordning fra myndighetenes side. På den annen side anbefales bruk av de ordninger for sertifisering av IT-sikkerhet som allerede er etablert eller under etablering. På det nåværende tidspunkt vil det derfor være opp til markedet hvorvidt de vil opprette frivillige sertifiserings-/akkrediteringsordninger.
Definisjonene som brukes i loven er i hovedsak en oversettelse og bearbeidelse av definisjonene i direktivet. Målet er å bruke definisjoner som beskriver et produkt, en virksomhet m.v. i forhold til en teknologinøytral elektronisk signatur. Departementet ønsker videre å beholde definisjonene nærmest mulig opp til de tilsvarende nordiske definisjonene.
Lovforslaget åpner for at også sertifikatutstedere som utsteder kvalifiserte sertifikater innen lukkede systemer skal omfattes av loven. Lovens virkeområde blir dermed alle utstedere av kvalifiserte sertifikater etablert i Norge. For å falle inn under loven må sertifikatutsteder kalle sertifikatene for kvalifiserte og registrere seg hos tilsynet. Sertifikatene som utstedes må oppfylle alle krav loven oppstiller til kvalifiserte sertifikater. Alle bestemmelsene i loven vil altså komme til anvendelse etter at sertifikatutsteder har registrert seg hos tilsynet.
Lovforslaget regulerer virksomheten til fysiske eller juridiske personer som utsteder kvalifiserte sertifikater eller tilbyr andre tjenester relatert til elektronisk signatur. Til en viss grad regulerer lovforslaget også tilbydere som går god for kvalifiserte sertifikater tilbudt av en annen. I lovforslaget anvendes begrepet sertifikatutsteder om tilbyder av sertifikattjenester. Vi får med dette en tilnærmet felles nordisk definisjon på det som kan kalles direktivets kjernebegrep.
Loven stiller krav til sertifikatutstedere som utsteder kvalifiserte sertifikater og til tjenestene de tilbyr. Det stilles krav til både den som utsteder det kvalifiserte sertifikatet og til de som eventuelt oppfyller andre oppgaver i forbindelse med håndteringen av de kvalifiserte sertifikatene på vegne av utsteder. Utstedere av andre sertifikater enn kvalifiserte reguleres ikke. Departementet mener at det ikke er aktuelt å stille krav om interoperabilitet, men er positive til at utstederne selv inngår slike avtaler.
Direktivet har visse minimumskrav til hva en bestemt type sertifikater med et høyt sikkerhetsnivå skal inneholde og krav til utstedere av slike sertifikater. Disse sertifikatene kalles «kvalifiserte sertifikater». Kravene til kvalifiserte sertifikater er implementert i lovforslaget, men vil også utdypes nærmere i forskrift. Til sertifikatene er det knyttet bestemmelser om tilsyn, erstatning og rettsvirkninger. De rettslige rammene for kvalifiserte sertifikater skal gi tillit til kvalifiserte elektroniske signaturer og dermed også legge til rette for bruken av dem.
Direktivet legger opp til at det skal kunne brukes sertifikater med pseudonymer. Det må imidlertid fremgå av sertifikatet at et pseudonym er benyttet. Dette er innarbeidet i lovforslaget. En avansert elektronisk signatur stiller krav om at den er entydig knyttet til undertegneren. Dersom man ønsker at en annen skal bruke det aktuelle pseudonymet, må sertifikatet trekkes tilbake og et nytt utstedes.
I henhold til direktivet kan landene ikke stille krav om forhåndsgodkjennelse av sertifikatutstedere. Det er imidlertid ikke noe til hinder for å kreve at sertifikatutstedere skal registrere seg før de begynner virksomheten, så fremt det ikke stilles andre krav enn at meldingen sendes inn. I proposisjonen foreslås at sertifikatutsteder skal sende inn registreringsmelding til tilsynsmyndigheten senest samtidig med at utstederen begynner å utstede kvalifiserte sertifikater. Sertifikatutstederen er deretter pålagt å sende inn melding om alle eventuelle endringer av registrerte opplysninger.
Direktivet stiller krav om at det skal føres tilsyn med utstedere av kvalifiserte sertifikater som tilbyr slike og tilhørende tjenester til allmennheten. For å oppfylle kravet om tilsyn kreves at de sertifikatutstederne det skal føres tilsyn med, registreres i et offentlig register.
Selvdeklarasjonsmodellen er foreslått som tilsynsmodell. Modellen oppfyller de krav om tilsyn som stilles i direktivet, og vil gi et reelt og funksjonelt tilsyn som vil gi den nødvendige tillit i markedet. Det kan ikke utelukkes at modellen vil måtte justeres og kompletteres når markedet er mer modent. Utviklingen i markedet må derfor følges nøye fremover. Samtidig er det en modell som i liten grad detaljregulerer markedet.
Direktivet legger opp til at tilsynet kan være et offentlig eller privat organ. Departementet har kommet til at det bør velges et offentlig tilsynsorgan. bl.a. ut fra antagelsen om at et offentlig tilsynsorgan har størst tillit i markedet. På bakgrunn av Post- og teletilsynets erfaring med liknende oppgaver foreslås det at tilsynsoppgavene legges til Post- og teletilsynet. Departementet mener videre at det bør følge av loven at Kongen utpeker tilsynet og at dette ikke gjøres direkte i lovteksten.
Kravene loven stiller til utstedere av kvalifiserte sertifikater vil bli nærmere presisert i forskrifter. En av tilsynets hovedoppgaver vil være å utdype disse kravene ved å ta stilling til hvilken policy og praksis som oppfyller lovens krav. Tilsynet må kommunisere disse til sertifikatutstedere som ønsker å tilby kvalifiserte sertifikater, og se til at sertifikatutstedernes virksomhet er i overensstemmelse med de presiserte krav.
Lovforslaget utpeker ikke klageorgan for Post- og teletilsynets avgjørelser, men gir Kongen hjemmel til å utpeke et slikt organ. Det legges ikke opp til at klageadgangen skal være videre enn hva som følger av forvaltningslovens regler.
Sikre signaturfremstillingssystem kan godkjennes på to måter. De skal være i samsvar med standarder fastsatt av EU-kommisjonen eller godkjent av et oppnevnt nasjonalt organ. Når et signaturfremstillingssystem er godkjent av et annet nasjonalt organ innenfor EØS-området, må denne godkjennelsen aksepteres av det norske tilsynet. En sertifikatutsteder som omfattes av det norske tilsynet kan altså bruke dette systemet uten å måtte innhente en ny godkjennelse i Norge.
Departementet har kommet til at Norge bør gjennomføre en minimumsregulering av sertifikatutsteders erstatningsansvar i samsvar med direktivet. Sertifikatutsteder er erstatningsansvarlig i henhold til lovforslagets § 22 så sant utstederen ikke kan bevise at han/hun ikke handlet uaktsomt. Slik omvendt bevisbyrde innebærer en tyngre bevisbyrde for utsteder og er det eneste unntaket fra den alminnelige erstatningsrett. Et skjerpet krav om bevisbyrde skal være med på å sikre den nødvendige tillit og dermed øket anvendelse av kvalifiserte sertifikater. Erstatningsansvar for en utsteder som ikke utsteder kvalifiserte sertifikater reguleres i henhold til den alminnelige erstatningsretten. Forslaget åpner for at sertifikatutsteder og undertegner kan avtale begrensninger i sertifikatets anvendelsesområde og begrensninger for hvor store beløp som skal kunne overføres med signaturen. Slike begrensninger vil tilsvarende begrense sertifikatutsteders erstatningsansvar.
Direktivets bestemmelse innebærer at et krav om signatur alltid vil være oppfylt av en kvalifisert elektronisk signatur, på samme måte som en håndskreven signatur, såfremt lovgivningen åpner for at disposisjonen kan gjennomføres elektronisk. Ved å likestille kvalifisert elektronisk signatur med håndskreven underskrift skapes en felles standard for elektronisk signatur innenfor hele EØS-området.
Videre krever direktivet at det må sikres at kvalifiserte elektroniske signaturer kan legges frem som bevis ved domstolene og at elektronisk signatur, på annet nivå enn kvalifisert, ikke skal fratas rettsvirkning eller gyldighet som bevis bare på grunnlag av at signaturen er i elektronisk form, ikke er basert på et kvalifisert sertifikat, ikke er basert på et kvalifisert sertifikat utstedt av en akkreditert tilbyder eller ikke er fremstilt av et sikkert signaturfremstillingsystem. Disse bestemmelsene behøver ikke tas inn i loven da de allerede er i samsvar med gjeldende rett. Ettersom bestemmelsen om rettsvirkninger er en sentral del av direktivet som implementeres ved denne lov, bør imidlertid også dette reguleres i loven.
Kongen gis i forslaget hjemmel til å regulere bruk av elektroniske signaturer ved kommunikasjon med og i offentlig sektor. Regjeringen har oppnevnt et utvalg som skal utrede forslag til policy for bruk av digital signatur med tilhørende infrastruktur i offentlig sektor. Utvalgets forslag skal danne grunnlag for slik fremtidig regulering.
I henhold til lovforslaget skal det etableres en obligatorisk tilsynsordning for utstedere av kvalifiserte sertifikater. Post- og teletilsynet utpekes som tilsynsorgan. Regjeringen foreslår at det bevilges et tilskudd til Post- og teletilsynet til dekning av kostnader forbundet med opprettelsen av tilsynet. Dette tilskuddet kan dekkes innenfor gjeldende budsjettrammer.
Datatilsynet vil ifølge forslaget håndheve lovens bestemmelse om personvern. Dette er i prinsippet ingen utvidelse av de arbeidsoppgaver Datatilsynet allerede har.
Komiteen, medlemmene fra Arbeiderpartiet, Erling Brandsnes, Gunnar Breimo, Mimmi Bæivi, Karin Kjølmoen, Kjell Opseth og Rita Tveiten, fra Fremskrittspartiet, Øystein Hedstrøm og Terje Knudsen, fra Kristelig Folkeparti, Randi Karlstrøm og Jon Lilletun, fra Høyre, Ansgar Gabrielsen og Ivar Kristiansen, fra Senterpartiet, lederen Morten Lund, og fra Venstre, Leif Helge Kongshaug, mener det er viktig at elektronisk kommunikasjon og bruk av nett for samhandling skal bli like akseptert, tillitvekkende og ha samme juridiske holdbarhet som tradisjonell skriftlig kommunikasjon og dokumentasjon.
Komiteen har merket seg at EØS-komiteen den 31. juli 2000 vedtok å innlemme europaparlaments- og rådsdirektiv 1999/93/EF av 13. desember 1999, om en fellesskapsramme for elektroniske signaturer i vedlegg XI til EØS-avtalen. Direktivet stiller i noen deler absolutte krav overfor statene, mens andre bestemmelser står statene fritt å implementere.
Komiteen merker seg at loven skal gjelde for sertifikatutstedere som er etablert i Norge. For å falle inn under loven må sertifikatutsteder kalle sertifikatene for kvalifiserte og registrere seg hos tilsynet, slik det er foreslått i § 18. Komiteen legger merke til at det er sertifikatutstederen som må avgjøre om han/hun vil utstede kvalifiserte sertifikater eller ikke. Utsteder av ikke-kvalifiserte signaturer faller inn under lovens §§ 6 og 7, der § 7 omhandler innsamling av personopplysninger. Ettersom det er knyttet særlige bestemmelser om tilsyn, erstatning og rettsvirkninger til kvalifiserte elektroniske signaturer, mener komiteen at det vil gi høy tillit til kvalifiserte signaturer og at det dermed er lagt til rette for bruk av slike signaturer. Komiteen har også merket seg at ikke kvalifiserte signaturer også kan gis rettsvirkning.
Komiteen merker seg at loven åpner for bruk av pseudonym i et kvalifisert sertifikat og at det i høringen er kommet fram betenkeligheter mot bruk av pseudonymer. Komiteen viser til brev fra Nærings- og handelsdepartementet av 6. desember 2000 (vedlagt), der det pekes på at bruk av pseudonym er tatt direkte ut fra direktivet, og at dette må tas med i loven for å oppfylle våre internasjonale forpliktelser.
Komiteen viser til at lovforslaget har bestemte krav til systemer for signaturframstilling og til utstedere av kvalifiserte sertifikater. Komiteen mener det er viktig at en elektronisk signatur er tilfredsstillende beskyttet mot forfalskning og at et sikkert signaturframstillingssystem skal godkjennes av et organ Kongen har utpekt.
Komiteen er enig i at det må stilles strenge krav til utstedere av kvalifiserte sertifikater, slik at virksomheten kan tilby sikre, pålitelige og velfungerende sertifikattjenester.
Komiteen er enig i at det skal føres tilsyn med de som utsteder kvalifiserte sertifikater og som tilbyr sertifikatene og tilhørende tjenester til allmennheten. Komiteen er enig i at det kan være naturlig at Post- og teletilsynet får dette tilsynsansvaret idet Post- og teletilsynet allerede i dag har god og bred kompetanse innenfor beslektede områder.
Komiteen har for øvrig ingen merknader, viser til proposisjonen og rår Odelstinget til å gjøre slikt
vedtak til lov
om elektronisk signatur
Kapittel I Alminnelige regler
§ 1 Lovens formål
Formålet med denne loven er å legge til rette for en sikker og effektiv bruk av elektronisk signatur ved å fastsette krav til kvalifiserte sertifikater, til utstederne av disse sertifikatene og til sikre signaturfremstillingssystemer.
§ 2 Lovens virkeområde
Loven gjelder for sertifikatutstedere som er etablert i Norge. Loven regulerer rammebetingelsene for bruk av kvalifiserte elektroniske signaturer, med unntak av § 6 annet punktum og § 7 som gjelder alle elektroniske signaturer.
Kongen kan i forskrift bestemme at loven skal gjelde for Svalbard og Jan Mayen.
§ 3 Definisjoner
I denne loven menes med:
1. elektronisk signatur: data i elektronisk form som er knyttet til andre elektroniske data og som brukes til å kontrollere at disse stammer fra den som fremstår som undertegner,
2. avansert elektronisk signatur: en elektronisk signatur som
-
a) er entydig knyttet til undertegneren,
-
b) kan identifisere undertegneren,
-
c) er laget ved hjelp av midler som bare undertegneren har kontroll over, og
-
d) er knyttet til andre elektroniske data på en slik måte at det kan oppdages om disse har blitt endret etter signering,
3. kvalifisert elektronisk signatur: en avansert elektronisk signatur som er basert på et kvalifisert sertifikat og fremstilt av et godkjent sikkert signaturfremstillingssystem,
4. undertegner: den som disponerer et signaturfremstillingssystem og som handler på vegne av seg selv eller på vegne av en annen fysisk eller juridisk person,
5. signaturfremstillingssdata: unike data, som for eksempel koder eller private nøkler, som undertegneren benytter for å fremstille en elektronisk signatur,
6. signaturfremstillingssystem: programvare eller maskinvare som benyttes til å fremstille elektronisk signatur ved hjelp av signaturfremstillingsdata,
7. signaturverifikasjonsdata: unike data, som for eksempel koder eller offentlige nøkler, som benyttes til å verifisere en elektronisk signatur,
8. signaturverifikasjonssystem: programvare eller maskinvare som benyttes for å verifisere elektronisk signatur ved hjelp av signaturverifikasjonsdata,
9. sertifikat: en kopling mellom signaturverifikasjonsdata og undertegner som bekrefter undertegners identitet og er signert av sertifikatutsteder,
10. sertifikatutsteder: en fysisk eller juridisk person som utsteder sertifikater eller tilbyr andre tjenester relatert til elektronisk signatur.
§ 4 Kvalifisert sertifikat
Betegnelsen kvalifisert sertifikat skal kun brukes om sertifikater som oppfyller kravene i denne paragrafen og utstedes for en begrenset periode av en sertifikatutsteder som oppfyller kravene i §§ 10 - 15.
Et kvalifisert sertifikat skal inneholde følgende informasjon:
a) en angivelse av at sertifikatet er utstedt som et kvalifisert sertifikat,
b) sertifikatutstederens identitet og den stat den er etablert i,
c) undertegnerens navn eller pseudonym med opplysning om at det er et pseudonym,
d) eventuelt ytterligere opplysninger om undertegneren, dersom de er relevante for bruken av sertifikatet,
e) de signaturverifikasjonsdata, som svarer til de signaturfremstillingsdata som er under undertegnerens kontroll,
f) sertifikatets ikrafttredelses- og utløpsdato,
g) sertifikatets identifikasjonskode,
h) sertifikatutstederens avanserte elektroniske signatur,
i) eventuelle begrensninger i sertifikatets anvendelsesområde, og
j) eventuelle beløpsmessige begrensninger i sertifikatet med hensyn til hvilke transaksjoner sertifikatet kan brukes til.
Kongen kan i forskrift regulere hva det kvalifiserte sertifikatet nærmere skal inneholde.
§ 5 Krav til kvalifiserte elektroniske signaturer brukt i kommunikasjon med og i offentlig sektor
Kongen kan fastsette nærmere regler om hvilke krav som skal stilles til kvalifiserte elektroniske signaturer som skal brukes ved kommunikasjon med og i offentlig sektor.
§ 6 Rettsvirkninger av elektronisk signatur
Dersom det i lov, forskrift eller på annen måte er oppstilt krav om underskrift for å få en bestemt rettsvirkning og disposisjonen kan gjennomføres elektronisk, oppfyller en kvalifisert elektronisk signatur alltid et slikt krav. En elektronisk signatur som ikke er kvalifisert, kan oppfylle et slikt krav.
§ 7 Innsamling og bruk av personopplysninger
En sertifikatutsteder får kun innhente personopplysninger direkte fra den opplysningene gjelder, eller med dennes uttrykkelige samtykke og bare i den utstrekning som er nødvendig for å utstede eller opprettholde et sertifikat. Opplysningene må ikke samles inn eller behandles for andre formål, så fremt ikke den opplysningene gjelder har gitt sitt uttrykkelige samtykke til det.
Datatilsynet skal føre tilsyn med at denne bestemmelsen overholdes.
Kapittel II Sikre signaturfremstillingssystemer
§ 8 Krav til sikre signaturfremstillingssystemer
Et sikkert signaturfremstillingssystem skal sikre at signaturen er tilfredsstillende beskyttet mot forfalskning. Videre skal et sikkert signaturfremstillingssystem sikre at signaturfremstillingsdata:
a) i praksis kun kan fremtre én gang og med rimelig grad av sikkerhet forblir hemmeligholdt,
b) i rimelig utstrekning ikke kan utledes, og
c) på pålitelig vis kan beskyttes av rette undertegner mot andres bruk.
Et sikkert signaturfremstillingssystem må ikke forandre data i elektronisk form som skal signeres, eller hindre at dataene vises for undertegner før det signeres.
§ 9 Godkjennelse av sikre signaturfremstillingssystem
Godkjennelse som et sikkert signaturfremstillingssystem, jf. § 8, gis av det organ som Kongen utpeker. Kongen kan i forskrift gi nærmere bestemmelser om organet og om krav til sikre signaturfremstillingssystem.
Likestilt med godkjennelse etter første ledd er godkjennelse fra et tilsvarende organ i en annen stat som er part i EØS-avtalen.
Kravene i § 8 skal anses oppfylt når den maskin- eller programvaren som benyttes, er i samsvar med de standarder for elektroniske signaturprodukter som Europakommisjonen fastsetter og som offentliggjøres i De Europeiske Fellesskaps Tidende.
Kapittel III Krav til utstedere av kvalifiserte sertifikater
§ 10 Krav til virksomheten
Utstedere av kvalifiserte sertifikater skal utøve og administrere virksomheten på en forsvarlig måte slik at den kan tilby sikre, pålitelige og velfungerende sertifikattjenester.
Sertifikatutstederen skal til enhver tid ha tilstrekkelige økonomiske ressurser til å kunne drive virksomheten i henhold til kravene som er stilt i eller i medhold av denne lov.
§ 11 Krav til produkter og systemer
Utstedere av kvalifiserte sertifikater skal bruke pålitelige produkter og systemer som er beskyttet mot endringer, og som gir teknisk og kryptografisk sikkerhet i understøttende prosesser.
Kravene i første ledd skal anses oppfylte dersom sertifikatutsteder benytter seg av produkter og systemer som er godkjent av et organ i henhold til § 9 første og annet ledd, eller er i samsvar med standarder fastsatt av Europakommisjonen etter § 9 tredje ledd.
Sertifikatutsteder skal iverksette tiltak mot forfalskning av sertifikatene. Dersom sertifikatutsteder fremstiller signaturfremstillingsdata, skal utstederen garantere fortroligheten av disse dataene under fremstillingsprosessen.
§ 12 Krav om katalog- og tilbaketrekkingstjeneste
Utstedere av kvalifiserte sertifikater skal sørge for en hurtig og sikker katalog- og tilbaketrekkingstjeneste og skal sikre at det er mulig å fastslå dato og tidspunkt for ikrafttredelse eller tilbaketrekking av et sertifikat.
§ 13 Krav om kontroll av undertegners identitet
Utstedere av kvalifiserte sertifikater er ansvarlige for at identiteten til undertegner og ytterligere relevante opplysninger om vedkommende blir kontrollert gjennom sikre rutiner.
Opplysninger om rutinene som nevnt i første ledd skal være offentlig tilgjengelige.
§ 14 Krav til lagring av opplysninger
Utstedere av kvalifiserte sertifikater skal lagre alle relevante opplysninger om kvalifiserte sertifikater i en rimelig periode, dog minst 10 år etter at sertifikatet er registrert i tilbaketrekkingslisten.
Sertifikatutsteder skal benytte pålitelige systemer til oppbevaring av sertifikater i verifiserbar form, slik at
a) opplysningens ekthet kan kontrolleres,
b) sertifikatene kun er offentlig tilgjengelige i de tilfellene der innehaveren har gitt sitt samtykke, og
c) eventuelle tekniske endringer, som bringer disse sikkerhetskravene i fare, er synlige for operatøren.
Utstedere av kvalifiserte sertifikater må ikke oppbevare eller kopiere undertegners signaturfremstillingsdata.
§ 15 Krav om informasjon om vilkår, begrensninger og lignende
Før en sertifikatutsteder inngår avtale om å utstede et kvalifisert sertifikat skal utstederen skriftlig informere motparten om
a) vilkårene og begrensningene for bruken av sertifikatet,
b) opplysninger om eventuelle frivillige akkrediterings- eller sertifiseringsordninger, og
c) prosedyrer for klage og avgjørelse av tvister.
Opplysninger i henhold til første ledd kan sendes elektronisk, dersom det skjer i en for motparten umiddelbart lesbar form. Disse opplysningene skal også kunne kontrolleres av signaturmottakeren.
§ 16 Utfyllende krav
Kongen kan i forskrift fastsette nærmere regler om hvilke krav som kan stilles til utstedere av kvalifiserte sertifikater for å oppfylle bestemmelsene i §§ 10-15.
Kapittel IV Tilsyn og sanksjoner
§ 17 Tilsyn med utstedere av kvalifiserte sertifikater
Kongen kan utpeke et organ som skal føre tilsyn med at denne lov med forskrifter etterleves.
Tilsynet kan kreve de opplysninger og dokumenter som er nødvendige for å utføre sine oppgaver, og fastsette en tidsfrist for å sende dem inn.
Tilsynet kan gi påbud om at forhold som er i strid med bestemmelser som er gitt i eller i medhold av denne loven, skal opphøre og stille vilkår som må oppfylles for at virksomheten skal være i samsvar med loven.
Tilsynet kan kreve at det gjennomføres IT-revisjon hos utstedere av kvalifiserte sertifikater og utpeke en revisor til å utføre IT-revisjonen. Sertifikatutsteder kan pålegges å betale for revisjonen.
Tilsynet kan frata en sertifikatutsteder retten til å anvende betegnelsen kvalifisert sertifikat, dersom sertifikatutstederen grovt eller gjentatte ganger ikke overholder lovens regler.
Kongen kan gi nærmere forskrifter om tilsynets virksomhet.
§ 18 Registrering av utstedere av kvalifiserte sertifikater
En sertifikatutsteder kan ikke utstede kvalifiserte sertifikater før registreringsmelding er sendt til tilsynet. Endringer i allerede registrerte opplysninger og nye opplysninger som skal registeres, skal meldes til tilsynet uten ugrunnet opphold.
§ 19 Adgang til lokaler m.v.
Tilsynet kan som ledd i sin kontroll, kreve adgang til steder der det drives virksomhet som står under tilsyn.
Tilsynet kan gjennomføre de kontroller det finner nødvendig, og kreve bistand fra personalet på stedet i den grad dette må til for å få utført kontrollen.
Lov av 10. februar 1967 om behandlingsmåten i forvaltningssaker § 15 om fremgangsmåten ved granskning, kommer til anvendelse.
§ 20 Tvangsmulkt
For å sikre at bestemmelser som er gitt i eller i medhold av denne lov overholdes, kan tilsynet bestemme at sertifikatutsteder skal betale en daglig løpende mulkt til staten inntil lovstridig virksomhet er opphørt eller pålegg og vilkår gitt med hjemmel i denne lov er etterkommet.
Mulkten løper ikke før klagefristen er ute. Påklages vedtaket om tvangsmulkt, løper ingen tvangsmulkt før klagesaken er avgjort med mindre klageorganet bestemmer annerledes.
Tilsynet kan frafalle påløpt tvangsmulkt.
§ 21 Straff
Med bøter straffes den som forsettlig eller grovt uaktsomt
a) unnlater å registrere/sende melding etter § 18,
b) unnlater å gi opplysninger etter § 17,
c) behandler personopplysninger i strid med §§ 7 og 14, eller
d) gir uriktige eller villedende opplysninger til tilsynet.
Medvirkning straffes på samme måte.
§ 22 Erstatning
En sertifikatutsteder som utsteder sertifikater som utgis for å være kvalifiserte, eller som garanterer for slike sertifikater utgitt av en annen, er erstatningsansvarlig for tap hos en fysisk eller juridisk person som følge av at denne hadde hatt rimelig grunn til å ha tillit til at:
a) informasjonen angitt i sertifikatet var korrekt på utstedelsestidspunktet,
b) sertifikatet inneholder alle opplysninger som kreves i henhold til § 4,
c) signaturfremstillingsdata og signaturverifikasjonsdata hører sammen på en unik måte dersom sertifikatutstederen fremstiller begge,
d) undertegner disponerte korrekt signaturfremstillingsdata på tidspunktet da sertifikatet ble utstedt, eller
e) sertifikatet blir registrert i tilbaketrekkingslisten, jf. § 12.
Sertifikatutsteder er ansvarlig etter første ledd medmindre han godtgjør at han, eller den han garanterer for, ikke handlet uaktsomt.
Sertifikatutsteder er ikke erstatningsansvarlig for skade som skyldes at sertifikatet har blitt brukt i strid med tydelige begrensninger i sertifikatets anvendelsesområde eller utover beløpsmessige begrensninger.
§ 23 Klageadgang
Tilsynets avgjørelser etter bestemmelser som er gitt i eller i medhold av denne loven, kan påklages til det organ Kongen utpeker.
§ 24 Gebyr
Kongen kan i forskrift bestemme at sertifikatutstedere som er registreringspliktige etter § 18, skal betale gebyr. Gebyrene må ikke overstige kostnadene ved tilsynets virksomhet.
Kapittel V Internasjonale forhold
§ 25 Rettslig anerkjennelse av kvalifiserte sertifikater fra utstedere etablert utenfor Norge
Sertifikater fra sertifikatutstedere som er etablert innen EØS-området, anses som kvalifiserte sertifikater i henhold til denne lov dersom de oppfyller kravene til et kvalifisert sertifikat i det landet der utstederen er etablert.
Kvalifiserte sertifikater fra sertifikatutstedere som er etablert i land utenfor EØS-området, skal gis rettslig anerkjennelse på lik linje med kvalifiserte sertifikater fra sertifikatutstedere innen EØS-området dersom:
a) utstederen oppfyller kravene i denne lov og har blitt godkjent iht. en frivillig godkjenningsordning i et medlemsland,
b) en sertifikatutsteder som er etablert innen EØS-området, og som oppfyller kravene i denne loven, garanterer for utstederen, eller
c) sertifikatet eller utstederen er anerkjent i henhold til multilaterale eller bilaterale avtaler med Norge, EU, tredjeland eller internasjonale organisasjoner.
Kapittel VI Ikrafttredelse og overgangsregler
§ 26 Ikrafttredelse
Loven trer i kraft fra den tid Kongen bestemmer.
§ 27 Overgangsregler
Utstedere av kvalifiserte sertifikater skal innen 6 måneder etter at loven har trådt i kraft registrere seg i henhold til § 18 eller innenfor samme frist opphøre med å kalle sertifikatene for kvalifiserte eller bruke betegnelse som gir inntrykk av at de er kvalifiserte.
Vi viser til Deres to brev av 27. november 2000. I brevet fremlegges synspunkter fra NHO og eforum om endringer av lovteksten i forslaget til lov om elektronisk signatur. Nærings- og handelsdepartementet bes om å kommentere disse forslagene.
Det foreslås at denne bestemmelsen blir tillagt en forskriftshjemmel som åpner for at man kan spesifisere reguleringen vedrørende pseudonymsertifikater.
Lovforslagets § 4 er tatt direkte ut fra direktivet. I vedlegg I (c) i direktivet står at et kvalifisert sertifikat skal inneholde «…the name of the signatory or a pseudonym, which shall be identified as such.» Således stiller direktivet krav om at man åpner for pseudonymsertifikater. Det skal også bemerkes at både den danske loven som allerede har trådt i kraft og det svenske lovforslaget som skal tre i kraft 1. januar 2001, åpner for pseudonymsertifikater.
Det kan virke motstridende å benytte psedonymsertifikat når man ønsker å verifisere identiteten til en person, men disse sertifikater vil også kunne brukes ved disposisjoner der mottaker er uinteressert å vite hvem han kommuniserer med, men bare ønsker å sikre at han mottar den ytelsen som undertegner har lovet. For eksempel vil dette være relevant ved kjøp over Internett. En selger er normalt mer interessert i å sikre at han får betalt enn å vite med hvem han selger til. Til kjøpers sertifikat kan det tenkes være koblet en garanti fra en bank om at beløpet vil bli betalt. Selger vil da være sikret betaling, selv om kjøpers identitet forblir ukjent for ham.
Departementet mener at vi må implementere direktivets bestemmelser om pseudonymsertifikat for å oppfylle våre internasjonale forpliktelser. Vi mener derfor at bestemmelsen ikke skal endres.
I lovforslaget § 6 står følgende;
hvis det stilles krav om underskrift og disposisjonen kan gjøres elektronisk vil en kvalifisert elektronisk signatur oppfylle slikt krav, og
at signaturer som ikke er kvalifiserte også kan oppfylle slikt krav.
eforum ønsker at man fjerner kravet om at «disposisjonen skal kunne gjennomføres elektronisk».
NHO og eforum ønsker videre at det skal settes inn en forskriftshjemmel som redegjør for i hvilke tilfeller «ikke-kvalifiserte» elektroniske sertifikater kan oppfylle kravet om underskrift. eforum har følgende forslag til annet ledd: «Kongen kan ved forskrift bestemme unntak fra denne regelen der særlige hensyn tilsier dette.»
Det finnes typer av disposisjoner som man ikke ønsker skal kunne gjennomføres elektronisk. For eksempel ønsker man ikke i dag å åpne for elektroniske testamenter. På bakgrunn av dette vil det ikke være mulig å fjerne kravet om at bestemmelsen må åpne for elektronisk kommunikasjon, for at den aktuelle rettsvirkningen skal kunne tre inn. Hvis man ikke har denne begrensningen vil § 6 gå lengre enn hva som er ønskelig. Hovedregelen vil da være at elektronisk kommunikasjon alltid er en mulig kommunikasjonsform, så fremt det ikke står at disposisjonen ikke kan gjennomføres elektronisk. Denne typen generell regulering for å åpne for elektronisk kommunikasjon er blitt drøftet og avvist i e-regelprosjektet (tidligere «Kartleggingsprosjektet»), jf. kapittel 4.3 i Ot.prp-en til lovforslaget.
Utgangspunktet i bestemmelsen er at en kvalifisert elektronisk signatur skal likestilles med en håndskreven underskrift, og at det ikke er mulig å stille høyere krav. Det finnes imidlertid et unntak fra dette. I lovutkastet § 5 kan det fastsettes andre krav til kvalifiserte sertifikater som skal brukes ved kommunikasjon i og med offentlig forvaltning.
Slik paragrafens første ledd er utformet åpner den allerede for at en elektronisk signatur - på et «lavere nivå» enn en kvalifisert - kan gis samme rettsvirkning som en kvalifisert elektronisk signatur. Hovedregelen er at man ikke kan kreve mer enn en kvalifisert elektronisk signatur, men at det er mulig å benytte seg av andre signaturer for å få samme rettsvirkning. Bestemmelsen har et «tak» men ikke et «gulv». Det vil derfor ikke være riktig å i annet ledd innføre en bestemmelse om «unntak» fra første ledd. Alt under «taket» er allerede tillatt.
Hvis man ønsker å gi «ikke-kvalifiserte» signaturer rettsvirkning, må det normalt reguleres i den aktuelle bestemmelsen som kan være i en lov, forskrift eller instruks. Denne reguleringen vil ikke være hjemlet i lov om elektronisk signatur. Det vil derfor være uriktig å i annet ledd ha en forskriftshjemmel for «unntak».
Avslutningsvis ser vi heller ikke noen grunn for at man skal akseptere ikke-kvalifiserte signaturer kun «der særlige hensyn taler for det». Utgangspunktet her må være at man ikke krever mer kompliserte og dyrere tekniske løsninger enn hva som er nødvendig. Hvilke løsninger som skal aksepteres må skje ved en helhetsvurdering av den aktuelle bestemmelsen. At man velger et annet nivå enn kvalifiserte elektroniske signaturer må kunne skje selv om ikke «særlige hensyn taler for det».
Departementet mener at bestemmelsen ikke bør endres.
I lovforslaget § 11 første ledd står: «Utsteder av kvalifiserte sertifikater skal bruke pålitelige produkter …».
eforum ønsker at en i denne bestemmelsen skal tilføre «til en hver tid» foran «bruke».
Lovens krav om at produktet er pålitelig gjelder hele tiden det er i bruk. eforums tillegg medfører ikke noen realitetsendring. Departementet er derfor av den oppfatning at ovennevnte tillegg er overflødig, og at bestemmelsen ikke behøver endres.
Paragrafens første ledd lyder:
«Utstedere av kvalifiserte sertifikater er ansvarlige for at identiteten til undertegner og ytterligere relevante opplysinger om vedkommende blir kontrollert gjennom sikre rutiner.»
NHO mener det er behov for å fastsette krav om hvilke opplysninger som minimum skal kontrolleres, for eksempel undertegners identitet med personnummer mv.
Bestemmelsen er utformet i tråd med direktivets tekst. Det pågår et arbeid i en nordisk arbeidsgruppe som ser på hvordan forskriftene til respektive nasjonale lover skal utformes. I forbindelse med dette arbeidet vil man bl.a. drøfte spørsmålet om kontroll av identitet. Det er bl.a. blitt diskutert om man skal kreve personlig fremmøte eller ikke. Man må imidlertid være forsiktig med ev. tilleggskrav, slik at man ikke stiller krav som direktivet ikke åpner for.
Departementet vil ta dette innspillet med seg i den videre behandlingen av forskrifter knyttet til loven.
NHO foreslår at det presiseres hvem som skal utføre tilsynet, på hvilken måte og i hvilke situasjoner.
I tråd med normal lovteknikk står i lovteksten «tilsynet» og ikke Post- og teletilsynet, som i lovutkastet er anbefalt som tilsynsmyndighet. Begrunnelsen for dette er bl.a. at man ikke må endre loven dersom man ønsker å utpeke et annet tilsyn eller om tilsynet endrer navn. Kongen vil ifølge lovforslaget utpeke tilsynsorgan.
Ifølge lovforslaget § 17 fjerde ledd kan tilsynet kreve at utstedere gjennomfører en «IT-revisjon». NHO ønsker at begrepet «IT-revisjon» defineres. eforum foreslår at en skal tilføre følgende som et siste punktum i tredje ledd: «…IT-revisjonen skal gjennomføres basert på sertifikatutstederens selvdeklarasjon».
Behovet for IT-revisjon er særlig stort der nettopp selvdeklarasjonen ikke er fullstendig eller på annen måte ikke god nok. Skulle tilsynet i disse situasjonene likevel være forpliktet til å basere seg på selvdeklarasjonen, vil IT-revisjonen miste mye av sin funksjon.
Begrepet «IT-revisjon» er et dynamisk begrep og vil bl.a. påvirkes av hvilken teknisk løsning som velges. I merknaden til bestemmelsen nevnes at «den vanligste formen for IT-revisjon er at et revisjonsbyrå gjennomgår sertifikatutsteders praksis for å se om praksis er i samsvar med beskrevet sertifikatutstedelsespraksis». Det er vanskelig å i lovteksten nærmere presisere hva som menes med IT-revisjon.
Departementet mener at paragrafen ikke bør endres.
Oslo, i næringskomiteen, den 12. desember 2000
Morten Lund | Erling Brandsnes | Kjell Opseth |
leder | ordfører | sekretær |