Til Odelstinget
Elektronisk signatur er den generelle betegnelsen på teknikker
som kan benyttes til å "signere" digital informasjon, og
kan bl.a. benyttes til å koble innholdet til en person/avsender.
Denne proposisjonen inneholder et forslag om å ta inn en
forskriftshjemmel i lov 15. juni 2001 nr. 81 om
elektronisk signatur slik at det vil være mulig å etablere
frivillige sertifiserings-, godkjennings- eller selvdeklarasjonsordninger
for tilbydere av elektroniske signaturer. Slike tilbydere kalles
i lov om elektronisk signatur for sertifikatutstedere.
Det er relativt komplisert for brukere å avgjøre hvorvidt
en elektronisk signatur og dens tilbyder oppfyller relevante krav
i regelverket for de ulike bruksområder. Departementet ønsker å gjøre
dette enklere ved å åpne for at det i forskrift
skal kunne etableres frivillige sertifiserings-, godkjennings- eller selvdeklarasjonsordninger.
Ved å forholde seg til at sertifikatutstederen for eksempel
er sertifisert, vil en mottaker kunne være sikker på at
avsenderens elektroniske signatur er til å stole på.
Frivillige sertifiserings-, godkjennings- og selvdeklarasjonsordninger vil
på denne måten kunne bidra til å øke
tilliten til og derved øke bruken av elektroniske signaturer.
Samtidig vil slike ordninger kunne koordinere krav til elektronisk
signatur.
Nærings- og handelsdepartementet tar sikte på at det
ved sertifiserings-, godkjennings- eller selvdeklarasjonsordningene
skal kunne stilles tilleggskrav til de krav som allerede gjelder
for kvalifiserte sertifikater etter lov om elektronisk signatur,
samt utstedere av slike. Ordningene vil også kunne stille
krav til sertifikater og sertifikatutstedere på andre sikkerhetsnivåer.
I proposisjonen pkt. 3.3.3 blir det redegjort nærmere
for de forskjellige ordningene. Begrepene er også definert
i forslag til § 3 ny nr. 11 til nr. 13.
Omfanget og den nærmere utformingen av de forskjellige
sertifiseringsordningene mv. reguleres i forskrift og vil avhenge
av hvilket nivå av sikkerhet som er ønskelig for
det enkelte området. I første omgang tar departementet
sikte på at forskriftshjemmelen kan benyttes til å etablere
en ordning for sertifisering av sertifikatutsteder i henhold til
enkelte av kravene i "Kravspesifikasjon for PKI i offentlig sektor", som
nylig er publisert av Moderniseringsdepartementet. Videre vil ordningen
benyttes til sertifisering av løsninger som skal benyttes
som gyldig legitimasjon etter hvitvaskingsregelverket. Sistnevnte
vil legge til rette for en sidestilling av fysisk (dvs. tradisjonell)
og elektronisk legitimasjon.
Departementet ønsker også å utforme
forskriftshjemmelen slik at den gir hjemmel til å etablere
frivillige sertifiseringsordninger mv. for e-signaturløsninger
innenfor andre regelområder og med andre formål.
Nærmere bestemmelser om bl.a. utpeking av sertifiseringsorgan,
klageadgang og gebyr reguleres i forskrift.
Det foreslås også mindre endringer i hvitvaskingsloven.
Hvitvaskingsloven bruker begrepet "skriftlig legitimasjon" om det
man oppfatter som tradisjonelle legitimasjonsdokumenter, jf. § 5
første ledd tredje punktum. I denne proposisjonen foreslås det
at begrepet "skriftlig legitimasjon" endres til "fysisk legitimasjon".
Sistnevnte blir også brukt i det følgende.
Videre foreslås det en mindre justering i ehandelsloven.
Våren 2003 vedtok Stortinget ny lov av 20. juni 2003
nr. 41 om tiltak mot hvitvasking av utbytte fra straffbare
handlinger mv. (hvitvaskingsloven). Ifølge hvitvaskingsforskriften
er gyldig legitimasjon en "skriftlig" (fysisk) legitimasjon utstedt
av offentlig myndighet eller annet organ som har betryggende kontrollrutiner.
Hvitvaskingsloven inneholder imidlertid en forskriftshjemmel som åpner
for bruk av elektroniske signaturer som gyldig legitimasjon, noe som
vil muliggjøre at slike tjenester i sin helhet kan utføres
elektronisk. Denne hjemmelen er ikke tatt i bruk.
Ved behandlingen av hvitvaskingsloven vedtok Stortinget i juni
2003 at Regjeringen på egnet måte skulle fremme
nødvendige forslag for å sidestille "skriftlig"
(fysisk) og elektronisk legitimasjon. Oppgaven med å gjennomføre
sidestillingen ble lagt til Nærings- og handelsdepartementet.
Den 9. mars 2004 sendte Nærings- og handelsdepartementet
ut et høringsforslag om endringer i lov om elektronisk
signatur. Forslaget besto i å ta inn en forskriftshjemmel
i loven for å kunne etablere frivillige sertifiserings-
og godkjenningsordninger.
Departementet ønsket høringsinstansenes synspunkter
på forslaget om å ta inn en forskriftshjemmel i
lov om elektronisk signatur som gir adgang til å etablere
frivillige sertifiserings- og godkjenningsordninger innenfor andre
områder enn hva som er nødvendig for å følge
opp Stortingets anmodningsvedtak. Departementet ønsket
videre høringsinstansenes synspunkter på hvorvidt
det er hensiktsmessig å ha en slik forskriftshjemmel i
et sektornøytralt regelverk som lov om elektronisk signatur.
Det store flertallet av høringsinstansene er positive
til etablering av en frivillig sertifiserings- eller godkjenningsordning.
Det er også bred enighet blant høringsinstansene
om at det er fornuftig at hjemmelen for slike ordninger legges i
sektornøytralt regelverk, dvs. i lov om elektronisk signatur.
Finansnæringens Hovedorganisasjon og Sparebankforeningen
har motforestillinger til at det etableres en slik forskriftshjemmel
i lov om elektronisk signatur. Begrunnelsen for dette er bl.a. at
det etter deres mening vil innebære et fordyrende, begrensende
og byråkratisk element i utviklingen av næringsinitierte løsninger
for elektroniske signaturer. Statskonsult er av den oppfatning at
forslaget burde begrenses til kun å ivareta behovet for å oppnå sidestilling
mellom fysisk og elektronisk legitimasjon etter hvitvaskingsregelverket.
Norsk Akkreditering anbefaler at sertifiseringsordningen baseres
på en akkreditert ordning, da det vil fremme en internasjonal
harmonisering ved at internasjonale standarder kan anvendes.
Departementet mener at det vil være viktig for tilliten
til og utbredelsen av elektroniske signaturer at slike ordninger
kommer på plass. Ordningene vil videre kunne brukes til å koordinere
kravene i forhold til elektronisk kommunikasjon. På denne
måten vil ordningene kunne virke positivt på utbredelsen
av elektroniske signaturer, ikke begrensende. Hvordan ordningene
skal tilrettelegges må vurderes konkret ved utformingen
av forskriftene.
For å oppfylle våre internasjonale forpliktelser etter
direktiv om elektroniske signaturer (1999/93/EF)
vil det være viktig at kravene til de frivillige sertifiseringsordningene
mv. er klare, proporsjonale, transparente og ikke-diskriminerende.
Som et generelt krav stilles at det ikke skal være noen
begrensninger i antall sertifiserte tjenestetilbydere. Det er videre ikke ønskelig å begrense
den foreslåtte forskriftshjemmelen til kun å omfatte
akkreditert sertifisering.
Med den foreslåtte forskriftshjemmelen vil departementet
også følge opp arbeidet i VideRe-prosjektet (tidligere
eRegelprosjektet). Prosjektets formål er å fjerne
unødige rettslige hindringer for elektronisk kommunikasjon
og at elektronisk kommunikasjon skal bli like akseptert, tillitsvekkende
og ha samme juridiske holdbarhet som tradisjonell skriftlig kommunikasjon.
Etter departementets vurdering er det hensiktsmessig å åpne
for å kunne kreve gebyr for sertifiseringsordninger mv.
Det foreslås derfor at departementet i forskrift kan bestemme
at det skal betales gebyr til organet som utpekes som ansvarlig
for ordningene. Gebyret må imidlertid ikke overstige kostnadene
ved organets virksomhet knyttet til den aktuelle ordningen.
Departementet foreslo i høringsnotatet å åpne
for å straffesanksjonere overtredelser av krav i forskrift hjemlet
i ny § 16 a foretatt av sertifikatutsteder.
Høringsnotatet pekte også på behovet
for å etablere ordninger for tilbakekalling av sertifiseringer eller
godkjenninger, samt mulighet for bruk av tvangsmulkt. Det ble påpekt
at slike bestemmelser må tilpasses de ulike sertifiserings-
eller godkjenningsordningene, og derfor burde reguleres nærmere i
forskrift til § 16 a. Departementet foreslo
at det i lov om elektronisk signatur § 21 første
ledd bokstav e skulle tas inn en bestemmelse om at forsettlig eller grov
uaktsom overtredelse av bestemmelser i forskrift hjemlet i § 16
a kan straffes med bøter.
Det er først og fremst i forhold til forslaget om straffebestemmelser
i høringsnotatet at høringsinstansene har merknader.
Etter en nærmere vurdering har departementet valgt ikke å foreslå straffesanksjoner
for overtredelser av krav i forskrift hjemlet i ny § 16
a, slik det ble foreslått i høringsnotatet. Departementet
har vurdert alvorlighetsgraden i mulige overtredelser av den kommende
forskriftsreguleringen og antar at det vil være tilstrekkelig
med tilbakekall og eventuelt tvangsmulkt som reaksjoner ved brudd
på forskriften. Ulovlig bruk av en elektronisk signatur,
f.eks. utstedelse av og bruk av "falsk" signatur eller ulovlig bruk
av annens elektroniske signatur, vil kunne straffes i henhold til
bl.a. straffelovens bestemmelser om dokumentfalsk og bedrageri.
Departementet ser derfor ikke behov for ytterligere straffehjemler.
Departementet opprettholder forslaget om mulighet til å etablere
ordninger hvor det ansvarlige organ kan tilbakekalle sertifiseringer/godkjenninger,
og finner det naturlig at nærmere regler om dette gis i
forskrift.
Etter at direktivet om elektronisk signatur ble vedtatt og Ot.prp.
nr. 82 (1999-2000) om lov om elektronisk signatur ble fremmet
for Stortinget, har det på europeisk nivå pågått
standardiseringsarbeid for å følge opp viktige
rettslige krav i direktivet. Ifølge standarden TS 101 862,
utarbeidet av ETSI (European Telecommunications Standards Institute),
finnes det to muligheter for å angi at sertifikatet er
utstedt som et kvalifisert sertifikat. Den ene muligheten er å ha
en peker i sertifikatet til en sertifikatpolicy, den andre måten
er at det i selve sertifikatet klart fremgår at de samme
kravene er oppfylt. Blant annet på denne bakgrunn anbefalte
departementet i høringsnotatet at kravet i lov om elektronisk
signatur også skulle kunne oppfylles ved å ha
en peker fra det kvalifiserte sertifikatet til en angitt sertifikatpolicy.
Etter at høringsnotatet ble sendt på alminnelig høring
har ETSIs standarddokument "Qualified Certificate Profile" TS 101 862
blitt justert, slik at det stilles krav om at kvalifiserte sertifikater
skal innholde opplysninger om at de er utstedt som kvalifiserte. Departementet
har imidlertid valgt å opprettholde det opprinnelige forslaget.
Det vil ikke være hensiktsmessig å stille krav
som unødig begrenser antallet sertifikattilbydere som kan
tilby kvalifiserte sertifikater eller som vil gjøre bruken
av slike dyrere, uten at det samtidig fører til bedre eller
sikrere produkter og tjenester.
Videre er det allerede etablert en praksis for å godkjenne
sertifikater med slike pekere som kvalifiserte sertifikater. Det
ville være forbundet med store kostnader for aktørene
i markedet om man skulle reversere denne praksisen, og departementet
har heller ikke kunnet registrere noen svikt i sikkerheten eller mindre
tillit pga. praksisen.
Direkte økonomiske eller administrative konsekvenser
vil oppstå først når den nå foreslåtte
forskriftshjemmelen blir tatt i bruk og det etableres sertifiseringsordninger
mv. i tråd med den. Selv om konsekvensene vil avhenge av
innholdet i de forskrifter som opprettes etter denne hjemmel, ser
departementet for seg at lovforslaget med kommende forskrifter vil
kunne få en samordnende funksjon i forhold til de krav
som skal stilles for sertifikattjenester, f.eks. elektronisk signatur.
Dette vil kunne føre med seg økonomiske og administrative
fordeler både for offentlig og privat sektor. Bruk av sertifiseringsordninger
mv. kan begrense antallet forskjellige løsninger for bruk
av f.eks. elektronisk signatur. Videre er det en fordel for brukerne
av elektronisk kommunikasjon at flere brukersteder støtter
samme typer av løsninger slik at f.eks. samme elektroniske
melding kan brukes i kontakt med ulike brukersteder i offentlig
forvaltning og eventuelt også med private aktører.
Komiteen, medlemmene fra Arbeiderpartiet, lederen Olav Akselsen, Bendiks H. Arnesen, Grethe Fossli og Aud Gaundal, fra Høyre, Silja Ekeland Bjørkly, Ivar Kristiansen og Michael Momyr, fra Fremskrittspartiet, Øystein Hedstrøm og Lodve Solholm, fra Sosialistisk Venstreparti, Åsa Elvik og Inge Ryan, fra Kristelig Folkeparti, May-Helen Molvær Grimstad og Einar Steensnæs, og fra Senterpartiet, Odd Roger Enoksen, har merket seg at lovforslaget kommer på bakgrunn av Stortingets vedtak i forbindelse med behandlingen av hvitvaskingsloven i 2003, der man ba Regjeringen ved Nærings- og handelsdepartementet om å komme tilbake til Stortinget med nødvendige forslag for å sidestille "skriftlig" og elektronisk legitimasjon.
Videre registrerer komiteen at høringsinstansene er nesten utelukkende positive til at det med lovforslaget åpnes for å etablere frivillige sertifiserings- og godkjenningsordninger.
Komiteen har merket seg at formålet med forskriftshjemmelen er å høyne nivået på sertifikattjenester og dermed bidra til økt tillit til, og sidestilling av fysisk og elektronisk legitimasjon.
Komiteen er enig i at hjemmelen skal utformes slik at den gir adgang til å etablere frivillige sertifiserings- eller selvdeklarasjons- eller godkjenningsordninger innenfor andre områder og med andre formål enn bare å akseptere elektronisk identifisering etter hvitvaskingsregelverket.
Komiteens tilråding fremmes av en samlet komité.
Komiteen har for øvrig ingen merknader, viser til proposisjonen og rår Odelstinget til å gjøre følgende
vedtak til lov
om endringer i lov 15. juni 2001 nr. 81 om elektronisk signatur og andre lover
I
I lov 15. juni 2001 nr. 81 om elektronisk signatur gjøres følgende endringer:
Lovens tittel skal lyde:
Lov 15. juni 2001 nr. 81 om elektronisk signatur (esignaturloven)
§ 2 første ledd skal lyde:
Loven gjelder for sertifikatutstedere som er etablert i Norge. Loven regulerer rammebetingelsene for bruk av kvalifiserte elektroniske signaturer, med unntak av § 6 annet punktum, § 7 og § 16 a som gjelder alle elektroniske signaturer.
§ 3 nr. 10 og ny nr. 11 til 13 skal lyde:
10. sertifikatutsteder: en fysisk eller juridisk person som utsteder sertifikater eller tilbyr andre tjenester relatert til elektronisk signatur,
11. sertifiseringsordning: enhver ordning der en tredjepart skriftlig bekrefter at en sertifikatutsteders produkter, prosesser eller tjenester oppfyller spesifiserte krav, og der sertifikatutsteder ikke er berettiget til å utøve de rettighetene som sertifiseringen gir før vedkommende har mottatt tredjeparts bekreftelse,
12. godkjenningsordning: enhver ordning der en tredjepart gir tillatelse til at en sertifikatutsteders produkter, prosesser eller tjenester markedsføres eller brukes til nærmere angitte formål eller under angitte betingelser,
13. selvdeklarasjonsordning: enhver ordning der sertifikatutstedere sender inn en selvdeklarasjon til tredjepart med angivelse av at nærmere angitte krav er oppfylt.
§ 15 første ledd bokstav b skal lyde:
b) opplysninger om eventuelle frivillige sertifiserings-, godkjennings- eller selvdeklarasjonsordninger, og
Nytt kapittel III a skal lyde:
Kapittel III a Frivillige sertifiseringsordninger, godkjenningsordninger eller selvdeklarasjonsordninger
§ 16 a Etablering av frivillige sertifiseringsordninger, godkjenningsordninger eller selvdeklarasjonsordninger
Departementet kan ved forskrift innføre frivillige sertifiserings-, godkjennings- eller selvdeklarasjonsordninger med sikte på å høyne nivået for sertifikattjenester for å øke tilliten til og bruken av slike tjenester.
Departementet kan i forskriften bestemme hvilke krav som skal stilles for slike ordninger, utpeke ansvarlig organ og bestemme at det skal betales gebyr til organet. Gebyrene må ikke overstige kostnadene ved organets virksomhet.
For å bringe lovstridig virksomhet til opphør eller sikre at pålegg eller vilkår gitt i forskrift med hjemmel i denne bestemmelsen etterkommes, kan organet utpekt etter annet ledd ilegge løpende tvangsmulkt etter reglene i § 20.
§ 25 annet ledd bokstav a skal lyde:
a) utstederen oppfyller kravene i en EØS-stat og har blitt godkjent i henhold til en frivillig sertifiserings- eller godkjenningsordning i den staten,
II
I lov 23. mai 2003 nr. 35 om visse sider av elektronisk handel og andre informasjonssamfunnstjenester skal § 19 første ledd lyde:
Bestemmelsene i §§ 16 til 18 medfører ikke at tjenesteyteren har en generell plikt til å kontrollere eller overvåke den informasjonen som lagres eller overføres på oppfordring fra en tjenestemottaker, eller en generell plikt til å undersøke forhold som antyder ulovlig virksomhet.
III
I lov 20. juni 2003 nr. 41 om tiltak mot hvitvasking av utbytte fra straffbare handlinger mv. skal § 5 første ledd lyde:
Rapporteringspliktige skal ved etablering av kundeforhold kreve gyldig legitimasjon av kunden. Plikten gjelder også for den rapporteringspliktiges ansatte. Som gyldig legitimasjon regnes alltid fysisk legitimasjon.
IV
Loven gjelder fra den tid Kongen bestemmer.
Oslo, i næringskomiteen, den 12. mai 2005
Olav Akselsen |
Silja Ekeland Bjørkly |
leder |
ordfører |