1. Sammendrag
- 1.1 Proposisjonens hovedinnhold
- 1.2 Bakgrunn for lovforslaget
- 1.3 Høringer og lovforslagets hovedinnhold
- 1.4 Økonomiske og administrative konsekvenser
Elektronisk signatur er den generelle betegnelsen på teknikker som kan benyttes til å "signere" digital informasjon, og kan bl.a. benyttes til å koble innholdet til en person/avsender. Denne proposisjonen inneholder et forslag om å ta inn en forskriftshjemmel i lov 15. juni 2001 nr. 81 om elektronisk signatur slik at det vil være mulig å etablere frivillige sertifiserings-, godkjennings- eller selvdeklarasjonsordninger for tilbydere av elektroniske signaturer. Slike tilbydere kalles i lov om elektronisk signatur for sertifikatutstedere.
Det er relativt komplisert for brukere å avgjøre hvorvidt en elektronisk signatur og dens tilbyder oppfyller relevante krav i regelverket for de ulike bruksområder. Departementet ønsker å gjøre dette enklere ved å åpne for at det i forskrift skal kunne etableres frivillige sertifiserings-, godkjennings- eller selvdeklarasjonsordninger. Ved å forholde seg til at sertifikatutstederen for eksempel er sertifisert, vil en mottaker kunne være sikker på at avsenderens elektroniske signatur er til å stole på. Frivillige sertifiserings-, godkjennings- og selvdeklarasjonsordninger vil på denne måten kunne bidra til å øke tilliten til og derved øke bruken av elektroniske signaturer. Samtidig vil slike ordninger kunne koordinere krav til elektronisk signatur.
Nærings- og handelsdepartementet tar sikte på at det ved sertifiserings-, godkjennings- eller selvdeklarasjonsordningene skal kunne stilles tilleggskrav til de krav som allerede gjelder for kvalifiserte sertifikater etter lov om elektronisk signatur, samt utstedere av slike. Ordningene vil også kunne stille krav til sertifikater og sertifikatutstedere på andre sikkerhetsnivåer. I proposisjonen pkt. 3.3.3 blir det redegjort nærmere for de forskjellige ordningene. Begrepene er også definert i forslag til § 3 ny nr. 11 til nr. 13.
Omfanget og den nærmere utformingen av de forskjellige sertifiseringsordningene mv. reguleres i forskrift og vil avhenge av hvilket nivå av sikkerhet som er ønskelig for det enkelte området. I første omgang tar departementet sikte på at forskriftshjemmelen kan benyttes til å etablere en ordning for sertifisering av sertifikatutsteder i henhold til enkelte av kravene i "Kravspesifikasjon for PKI i offentlig sektor", som nylig er publisert av Moderniseringsdepartementet. Videre vil ordningen benyttes til sertifisering av løsninger som skal benyttes som gyldig legitimasjon etter hvitvaskingsregelverket. Sistnevnte vil legge til rette for en sidestilling av fysisk (dvs. tradisjonell) og elektronisk legitimasjon.
Departementet ønsker også å utforme forskriftshjemmelen slik at den gir hjemmel til å etablere frivillige sertifiseringsordninger mv. for e-signaturløsninger innenfor andre regelområder og med andre formål.
Nærmere bestemmelser om bl.a. utpeking av sertifiseringsorgan, klageadgang og gebyr reguleres i forskrift.
Det foreslås også mindre endringer i hvitvaskingsloven. Hvitvaskingsloven bruker begrepet "skriftlig legitimasjon" om det man oppfatter som tradisjonelle legitimasjonsdokumenter, jf. § 5 første ledd tredje punktum. I denne proposisjonen foreslås det at begrepet "skriftlig legitimasjon" endres til "fysisk legitimasjon". Sistnevnte blir også brukt i det følgende.
Videre foreslås det en mindre justering i ehandelsloven.
Våren 2003 vedtok Stortinget ny lov av 20. juni 2003 nr. 41 om tiltak mot hvitvasking av utbytte fra straffbare handlinger mv. (hvitvaskingsloven). Ifølge hvitvaskingsforskriften er gyldig legitimasjon en "skriftlig" (fysisk) legitimasjon utstedt av offentlig myndighet eller annet organ som har betryggende kontrollrutiner. Hvitvaskingsloven inneholder imidlertid en forskriftshjemmel som åpner for bruk av elektroniske signaturer som gyldig legitimasjon, noe som vil muliggjøre at slike tjenester i sin helhet kan utføres elektronisk. Denne hjemmelen er ikke tatt i bruk.
Ved behandlingen av hvitvaskingsloven vedtok Stortinget i juni 2003 at Regjeringen på egnet måte skulle fremme nødvendige forslag for å sidestille "skriftlig" (fysisk) og elektronisk legitimasjon. Oppgaven med å gjennomføre sidestillingen ble lagt til Nærings- og handelsdepartementet.
Den 9. mars 2004 sendte Nærings- og handelsdepartementet ut et høringsforslag om endringer i lov om elektronisk signatur. Forslaget besto i å ta inn en forskriftshjemmel i loven for å kunne etablere frivillige sertifiserings- og godkjenningsordninger.
Departementet ønsket høringsinstansenes synspunkter på forslaget om å ta inn en forskriftshjemmel i lov om elektronisk signatur som gir adgang til å etablere frivillige sertifiserings- og godkjenningsordninger innenfor andre områder enn hva som er nødvendig for å følge opp Stortingets anmodningsvedtak. Departementet ønsket videre høringsinstansenes synspunkter på hvorvidt det er hensiktsmessig å ha en slik forskriftshjemmel i et sektornøytralt regelverk som lov om elektronisk signatur.
Det store flertallet av høringsinstansene er positive til etablering av en frivillig sertifiserings- eller godkjenningsordning. Det er også bred enighet blant høringsinstansene om at det er fornuftig at hjemmelen for slike ordninger legges i sektornøytralt regelverk, dvs. i lov om elektronisk signatur.
Finansnæringens Hovedorganisasjon og Sparebankforeningen har motforestillinger til at det etableres en slik forskriftshjemmel i lov om elektronisk signatur. Begrunnelsen for dette er bl.a. at det etter deres mening vil innebære et fordyrende, begrensende og byråkratisk element i utviklingen av næringsinitierte løsninger for elektroniske signaturer. Statskonsult er av den oppfatning at forslaget burde begrenses til kun å ivareta behovet for å oppnå sidestilling mellom fysisk og elektronisk legitimasjon etter hvitvaskingsregelverket. Norsk Akkreditering anbefaler at sertifiseringsordningen baseres på en akkreditert ordning, da det vil fremme en internasjonal harmonisering ved at internasjonale standarder kan anvendes.
Departementet mener at det vil være viktig for tilliten til og utbredelsen av elektroniske signaturer at slike ordninger kommer på plass. Ordningene vil videre kunne brukes til å koordinere kravene i forhold til elektronisk kommunikasjon. På denne måten vil ordningene kunne virke positivt på utbredelsen av elektroniske signaturer, ikke begrensende. Hvordan ordningene skal tilrettelegges må vurderes konkret ved utformingen av forskriftene.
For å oppfylle våre internasjonale forpliktelser etter direktiv om elektroniske signaturer (1999/93/EF) vil det være viktig at kravene til de frivillige sertifiseringsordningene mv. er klare, proporsjonale, transparente og ikke-diskriminerende. Som et generelt krav stilles at det ikke skal være noen begrensninger i antall sertifiserte tjenestetilbydere. Det er videre ikke ønskelig å begrense den foreslåtte forskriftshjemmelen til kun å omfatte akkreditert sertifisering.
Med den foreslåtte forskriftshjemmelen vil departementet også følge opp arbeidet i VideRe-prosjektet (tidligere eRegelprosjektet). Prosjektets formål er å fjerne unødige rettslige hindringer for elektronisk kommunikasjon og at elektronisk kommunikasjon skal bli like akseptert, tillitsvekkende og ha samme juridiske holdbarhet som tradisjonell skriftlig kommunikasjon.
Etter departementets vurdering er det hensiktsmessig å åpne for å kunne kreve gebyr for sertifiseringsordninger mv. Det foreslås derfor at departementet i forskrift kan bestemme at det skal betales gebyr til organet som utpekes som ansvarlig for ordningene. Gebyret må imidlertid ikke overstige kostnadene ved organets virksomhet knyttet til den aktuelle ordningen.
Departementet foreslo i høringsnotatet å åpne for å straffesanksjonere overtredelser av krav i forskrift hjemlet i ny § 16 a foretatt av sertifikatutsteder.
Høringsnotatet pekte også på behovet for å etablere ordninger for tilbakekalling av sertifiseringer eller godkjenninger, samt mulighet for bruk av tvangsmulkt. Det ble påpekt at slike bestemmelser må tilpasses de ulike sertifiserings- eller godkjenningsordningene, og derfor burde reguleres nærmere i forskrift til § 16 a. Departementet foreslo at det i lov om elektronisk signatur § 21 første ledd bokstav e skulle tas inn en bestemmelse om at forsettlig eller grov uaktsom overtredelse av bestemmelser i forskrift hjemlet i § 16 a kan straffes med bøter.
Det er først og fremst i forhold til forslaget om straffebestemmelser i høringsnotatet at høringsinstansene har merknader.
Etter en nærmere vurdering har departementet valgt ikke å foreslå straffesanksjoner for overtredelser av krav i forskrift hjemlet i ny § 16 a, slik det ble foreslått i høringsnotatet. Departementet har vurdert alvorlighetsgraden i mulige overtredelser av den kommende forskriftsreguleringen og antar at det vil være tilstrekkelig med tilbakekall og eventuelt tvangsmulkt som reaksjoner ved brudd på forskriften. Ulovlig bruk av en elektronisk signatur, f.eks. utstedelse av og bruk av "falsk" signatur eller ulovlig bruk av annens elektroniske signatur, vil kunne straffes i henhold til bl.a. straffelovens bestemmelser om dokumentfalsk og bedrageri. Departementet ser derfor ikke behov for ytterligere straffehjemler. Departementet opprettholder forslaget om mulighet til å etablere ordninger hvor det ansvarlige organ kan tilbakekalle sertifiseringer/godkjenninger, og finner det naturlig at nærmere regler om dette gis i forskrift.
Etter at direktivet om elektronisk signatur ble vedtatt og Ot.prp. nr. 82 (1999-2000) om lov om elektronisk signatur ble fremmet for Stortinget, har det på europeisk nivå pågått standardiseringsarbeid for å følge opp viktige rettslige krav i direktivet. Ifølge standarden TS 101 862, utarbeidet av ETSI (European Telecommunications Standards Institute), finnes det to muligheter for å angi at sertifikatet er utstedt som et kvalifisert sertifikat. Den ene muligheten er å ha en peker i sertifikatet til en sertifikatpolicy, den andre måten er at det i selve sertifikatet klart fremgår at de samme kravene er oppfylt. Blant annet på denne bakgrunn anbefalte departementet i høringsnotatet at kravet i lov om elektronisk signatur også skulle kunne oppfylles ved å ha en peker fra det kvalifiserte sertifikatet til en angitt sertifikatpolicy.
Etter at høringsnotatet ble sendt på alminnelig høring har ETSIs standarddokument "Qualified Certificate Profile" TS 101 862 blitt justert, slik at det stilles krav om at kvalifiserte sertifikater skal innholde opplysninger om at de er utstedt som kvalifiserte. Departementet har imidlertid valgt å opprettholde det opprinnelige forslaget. Det vil ikke være hensiktsmessig å stille krav som unødig begrenser antallet sertifikattilbydere som kan tilby kvalifiserte sertifikater eller som vil gjøre bruken av slike dyrere, uten at det samtidig fører til bedre eller sikrere produkter og tjenester.
Videre er det allerede etablert en praksis for å godkjenne sertifikater med slike pekere som kvalifiserte sertifikater. Det ville være forbundet med store kostnader for aktørene i markedet om man skulle reversere denne praksisen, og departementet har heller ikke kunnet registrere noen svikt i sikkerheten eller mindre tillit pga. praksisen.
Direkte økonomiske eller administrative konsekvenser vil oppstå først når den nå foreslåtte forskriftshjemmelen blir tatt i bruk og det etableres sertifiseringsordninger mv. i tråd med den. Selv om konsekvensene vil avhenge av innholdet i de forskrifter som opprettes etter denne hjemmel, ser departementet for seg at lovforslaget med kommende forskrifter vil kunne få en samordnende funksjon i forhold til de krav som skal stilles for sertifikattjenester, f.eks. elektronisk signatur. Dette vil kunne føre med seg økonomiske og administrative fordeler både for offentlig og privat sektor. Bruk av sertifiseringsordninger mv. kan begrense antallet forskjellige løsninger for bruk av f.eks. elektronisk signatur. Videre er det en fordel for brukerne av elektronisk kommunikasjon at flere brukersteder støtter samme typer av løsninger slik at f.eks. samme elektroniske melding kan brukes i kontakt med ulike brukersteder i offentlig forvaltning og eventuelt også med private aktører.