Vi viser til Deres to brev av 27. november 2000. I brevet fremlegges
synspunkter fra NHO og eforum om endringer av lovteksten i forslaget
til lov om elektronisk signatur. Nærings- og handelsdepartementet bes
om å kommentere disse forslagene.
Det foreslås at denne bestemmelsen blir tillagt en forskriftshjemmel
som åpner for at man kan spesifisere reguleringen vedrørende
pseudonymsertifikater.
Lovforslagets § 4 er tatt direkte ut fra direktivet.
I vedlegg I (c) i direktivet står at et kvalifisert sertifikat skal
inneholde «…the name of the signatory or a pseudonym,
which shall be identified as such.» Således stiller
direktivet krav om at man åpner for pseudonymsertifikater.
Det skal også bemerkes at både den danske loven
som allerede har trådt i kraft og det svenske lovforslaget
som skal tre i kraft 1. januar 2001, åpner for pseudonymsertifikater.
Det kan virke motstridende å benytte psedonymsertifikat
når man ønsker å verifisere identiteten
til en person, men disse sertifikater vil også kunne brukes ved
disposisjoner der mottaker er uinteressert å vite hvem
han kommuniserer med, men bare ønsker å sikre
at han mottar den ytelsen som undertegner har lovet. For eksempel
vil dette være relevant ved kjøp over Internett.
En selger er normalt mer interessert i å sikre at han får
betalt enn å vite med hvem han selger til. Til kjøpers
sertifikat kan det tenkes være koblet en garanti fra en
bank om at beløpet vil bli betalt. Selger vil da være
sikret betaling, selv om kjøpers identitet forblir ukjent
for ham.
Departementet mener at vi må implementere direktivets
bestemmelser om pseudonymsertifikat for å oppfylle våre
internasjonale forpliktelser. Vi mener derfor at bestemmelsen ikke
skal endres.
I lovforslaget § 6 står følgende;
hvis det stilles krav om underskrift
og disposisjonen kan gjøres elektronisk vil en kvalifisert
elektronisk signatur oppfylle slikt krav, og
at signaturer som ikke er kvalifiserte også kan oppfylle
slikt krav.
eforum ønsker at man fjerner kravet om at «disposisjonen
skal kunne gjennomføres elektronisk».
NHO og eforum ønsker videre at det skal settes inn en
forskriftshjemmel som redegjør for i hvilke tilfeller «ikke-kvalifiserte» elektroniske
sertifikater kan oppfylle kravet om underskrift. eforum har følgende forslag
til annet ledd: «Kongen kan ved forskrift bestemme unntak
fra denne regelen der særlige hensyn tilsier dette.»
Det finnes typer av disposisjoner som man ikke ønsker
skal kunne gjennomføres elektronisk. For eksempel ønsker
man ikke i dag å åpne for elektroniske testamenter.
På bakgrunn av dette vil det ikke være mulig å fjerne
kravet om at bestemmelsen må åpne for elektronisk
kommunikasjon, for at den aktuelle rettsvirkningen skal kunne tre
inn. Hvis man ikke har denne begrensningen vil § 6 gå lengre
enn hva som er ønskelig. Hovedregelen vil da være
at elektronisk kommunikasjon alltid er en mulig kommunikasjonsform, så fremt
det ikke står at disposisjonen ikke kan gjennomføres
elektronisk. Denne typen generell regulering for å åpne
for elektronisk kommunikasjon er blitt drøftet og avvist
i e-regelprosjektet (tidligere «Kartleggingsprosjektet»),
jf. kapittel 4.3 i Ot.prp-en til lovforslaget.
Utgangspunktet i bestemmelsen er at en kvalifisert elektronisk
signatur skal likestilles med en håndskreven underskrift,
og at det ikke er mulig å stille høyere krav.
Det finnes imidlertid et unntak fra dette. I lovutkastet § 5
kan det fastsettes andre krav til kvalifiserte sertifikater som
skal brukes ved kommunikasjon i og med offentlig forvaltning.
Slik paragrafens første ledd er utformet åpner
den allerede for at en elektronisk signatur - på et «lavere nivå» enn
en kvalifisert - kan gis samme rettsvirkning som en kvalifisert
elektronisk signatur. Hovedregelen er at man ikke kan kreve mer
enn en kvalifisert elektronisk signatur, men at det er mulig å benytte
seg av andre signaturer for å få samme rettsvirkning.
Bestemmelsen har et «tak» men ikke et «gulv».
Det vil derfor ikke være riktig å i annet ledd
innføre en bestemmelse om «unntak» fra
første ledd. Alt under «taket» er allerede
tillatt.
Hvis man ønsker å gi «ikke-kvalifiserte» signaturer
rettsvirkning, må det normalt reguleres i den aktuelle
bestemmelsen som kan være i en lov, forskrift eller instruks.
Denne reguleringen vil ikke være hjemlet i lov om elektronisk
signatur. Det vil derfor være uriktig å i annet
ledd ha en forskriftshjemmel for «unntak».
Avslutningsvis ser vi heller ikke noen grunn for at man skal
akseptere ikke-kvalifiserte signaturer kun «der særlige
hensyn taler for det». Utgangspunktet her må være
at man ikke krever mer kompliserte og dyrere tekniske løsninger
enn hva som er nødvendig. Hvilke løsninger som
skal aksepteres må skje ved en helhetsvurdering av den
aktuelle bestemmelsen. At man velger et annet nivå enn
kvalifiserte elektroniske signaturer må kunne skje selv
om ikke «særlige hensyn taler for det».
Departementet mener at bestemmelsen ikke bør endres.
I lovforslaget § 11 første ledd står: «Utsteder
av kvalifiserte sertifikater skal bruke pålitelige produkter …».
eforum ønsker at en i denne bestemmelsen skal tilføre «til
en hver tid» foran «bruke».
Lovens krav om at produktet er pålitelig gjelder hele
tiden det er i bruk. eforums tillegg medfører ikke noen
realitetsendring. Departementet er derfor av den oppfatning at ovennevnte
tillegg er overflødig, og at bestemmelsen ikke behøver
endres.
Paragrafens første ledd lyder:
«Utstedere av kvalifiserte sertifikater er ansvarlige
for at identiteten til undertegner og ytterligere relevante opplysinger
om vedkommende blir kontrollert gjennom sikre rutiner.»
NHO mener det er behov for å fastsette krav om hvilke
opplysninger som minimum skal kontrolleres, for eksempel undertegners
identitet med personnummer mv.
Bestemmelsen er utformet i tråd med direktivets tekst.
Det pågår et arbeid i en nordisk arbeidsgruppe som
ser på hvordan forskriftene til respektive nasjonale lover
skal utformes. I forbindelse med dette arbeidet vil man bl.a. drøfte
spørsmålet om kontroll av identitet. Det er bl.a.
blitt diskutert om man skal kreve personlig fremmøte eller
ikke. Man må imidlertid være forsiktig med ev.
tilleggskrav, slik at man ikke stiller krav som direktivet ikke åpner
for.
Departementet vil ta dette innspillet med seg i den videre behandlingen
av forskrifter knyttet til loven.
NHO foreslår at det presiseres hvem som skal utføre
tilsynet, på hvilken måte og i hvilke situasjoner.
I tråd med normal lovteknikk står i lovteksten «tilsynet» og
ikke Post- og teletilsynet, som i lovutkastet er anbefalt som tilsynsmyndighet.
Begrunnelsen for dette er bl.a. at man ikke må endre loven
dersom man ønsker å utpeke et annet tilsyn eller
om tilsynet endrer navn. Kongen vil ifølge lovforslaget
utpeke tilsynsorgan.
Ifølge lovforslaget § 17 fjerde ledd
kan tilsynet kreve at utstedere gjennomfører en «IT-revisjon». NHO ønsker
at begrepet «IT-revisjon» defineres. eforum foreslår
at en skal tilføre følgende som et siste punktum
i tredje ledd: «…IT-revisjonen skal gjennomføres
basert på sertifikatutstederens selvdeklarasjon».
Behovet for IT-revisjon er særlig stort der nettopp selvdeklarasjonen
ikke er fullstendig eller på annen måte ikke god
nok. Skulle tilsynet i disse situasjonene likevel være
forpliktet til å basere seg på selvdeklarasjonen,
vil IT-revisjonen miste mye av sin funksjon.
Begrepet «IT-revisjon» er et dynamisk begrep
og vil bl.a. påvirkes av hvilken teknisk løsning
som velges. I merknaden til bestemmelsen nevnes at «den vanligste
formen for IT-revisjon er at et revisjonsbyrå gjennomgår
sertifikatutsteders praksis for å se om praksis er i samsvar
med beskrevet sertifikatutstedelsespraksis». Det er vanskelig å i
lovteksten nærmere presisere hva som menes med IT-revisjon.
Departementet mener at paragrafen ikke bør endres.