Presidenten: Etter ønske fra næringskomiteen vil presidenten foreslå at debatten blir begrenset til 45 minutter, og at taletiden blir fordelt slik på gruppene:
Arbeiderpartiet 10 minutter, de øvrige gruppene 5 minutter hver.
Videre vil presidenten foreslå at det ikke blir gitt anledning til replikker etter de enkelte innlegg, og at de som måtte tegne seg på talerlisten utover den fordelte taletid, får en taletid på inntil 3 minutter.
– Det anses vedtatt.
Erling Brandsnes (A) (ordfører for saken): To saker på dagsordenen i dag behandler spørsmålet om elektronisk signatur. Den første gjelder samtykke til EØS-komiteens avgjørelse om innlemmelse av en fellesskapsramme for elektroniske signaturer i vedlegg XI til EØS-avtalen. Dette er behandlet i Stortinget. Den andre er den vi nå har til behandling i Odelstinget, og som følger opp direktivet med en norsk lov om elektronisk signatur.
Deler av direktivet er allerede regulert i norsk rett, men departementet har valgt å foreslå å implementere direktivet i en egen ny lov med tilhørende forskrifter.
Bruken av Internett har økt svært raskt i Norge. Dette gjelder f.eks. banktjenester, det å levere selvangivelse og kommunikasjon via den raske og verdensomspennende e-posten. Handel over nettet blir også mer og mer vanlig. Denne utviklingen har utløst behov for å ha systemer og kontrollrutiner, slik at en kan være sikker på at avsenderen er den han eller hun utgir seg for. Målet er derfor at en elektronisk underskrift eller signatur skal bli like akseptert og bindende som en håndskreven underskrift ved papirbasert kommunikasjon. Et harmonisert regelverk for elektroniske signaturer i Europa vil være med på å hindre barrierer for handel og gjøre bruk av nettet sikkert både for enkeltpersoner og bedrifter.
De andre nordiske land har arbeidet og arbeider også for å få lover som regulerer bruken av elektroniske signaturer. I Danmark har loven trådt i kraft fra 1. oktober i år.
Etter mitt syn er den foreslåtte lovteksten svært åpen, i den forstand at lovteksten ikke legger snevre rammer som kan sette grenser for en utvikling av ulike systemer for elektroniske signaturer. Etter hvert som elektronisk signatur blir akseptert og kommer i bruk, vil en få erfaringer som i neste omgang kan vise om det er behov for å stramme inn lovens bestemmelser.
Fordi dette er en ny lov og en ny måte å sikre avtaleinngåelse mellom to parter på, er det i lovteksten en rekke definisjoner. Dette gjør selvsagt at lovforslaget på et vis kan virke teoretisk og vanskelig tilgjengelig, og slik sett kan det være problematisk å fatte rekkevidden av lovens bestemmelser i dag. På samme måte kan det være vanskelig å forestille seg hvordan bruken av elektronisk signatur vil skje i praksis. Når systemene kommer på plass, vil det sannsynligvis ikke bli mer mystisk enn å bruke internettbank i dag.
For å sikre tilliten mellom avsender og mottaker skal det utstedes signaturer sammen med et sertifikat av en tredjepart, i loven kalt sertifikatutsteder. Loven legger opp til at signaturene og sertifikatene på det norske marked skal oppnå et visst sikkerhetsnivå. Når dette er til stede, kalles disse produktene for kvalifiserte. En slik kvalifisert signatur skal gis samme rettsvirkning som en håndskreven signatur. Det kan også bli brukt andre elektroniske signaturer som ikke oppfyller kravene til å få betegnelsen kvalifisert. Det er likevel grunn til å anta at brukerne vil foretrekke det høyeste sikre nivå, og at kvalifiserte signaturer dermed blir ledende innen elektronisk handel og kommunikasjon hvor en ønsker å forvisse seg om at den en kommuniserer med, virkelig er rett person.
Det er også viktig at framstillingen av signaturer blir gjort så sikker som mulig, og at det blir en god beskyttelse mot forfalskninger.
Lovforslaget har også tatt høyde for at det ikke skal bli mer administrasjon enn høyst nødvendig ved innføring av loven, men at den likevel er tilstrekkelig. Tilsynsordningen for utstedere av kvalifiserte sertifikater er i utgangspunktet tenkt lagt til Post- og teletilsynet. Komiteen er enig i at dette synes naturlig i startfasen av bruken av elektronisk signatur.
Med vedtaket av loven om elektronisk signatur er det lagt til rette for videreutvikling av bruken av Internett. Hvilken betydning dette vil ha for handel og avtaleinngåelse over nettet, er usikkert. Men det er grunn til å regne med at dette kan bli av meget stor viktighet i de kommende år.
Statsråd Grete Knudsen: Jeg vil først berømme saksordfører Brandsnes for å gå inn i en veldig tung materie. Det er likevel et område som flere og flere kommer til å benytte seg av i tiden fremover.
Det lovforslaget vi behandler nå, er en del av Regjeringens arbeid på IKT-området, som også er presentert i Regjeringens handlingsplan eNorge. Vi vet at markedet for elektroniske signaturer er i rivende utvikling, og derfor er det viktig, som også saksordføreren påpekte, at det lovforslaget som nå er utarbeidet, ikke er begrensende, men gir den videre retningen, innenfor en høy grad av sikkerhet. Det er viktig at reguleringen sikrer at utsteder av elektroniske signaturer bruker gode rutiner, slik at vi kan ha tillit til signaturene.
Et viktig formål med dette lovforslaget er å sikre at parter som er ukjente for hverandre, vet hvem de kommuniserer med over nettet, og dermed legge til rette for den elektroniske handel.
Utarbeidelsen av dette lovforslaget har også skjedd i nært samarbeid med de øvrige nordiske land. Vi har gjennom dette kunnet sikre oss en felles nordisk forståelse av det EU-direktivet som vi nå tilpasser oss til, og har fått til en tilnærmet identisk implementering av direktivet på nordisk plan.
Presidenten: Flere har ikke bedt om ordet til sak nr. 4.
(Votering, se side 248)
Votering i sak nr. 4
Komiteen hadde innstillet til Odelstinget å gjøre
slikt vedtak til
lov
om elektronisk signatur
Kapittel I Alminnelige regler
§ 1 Lovens
formål
Formålet med denne loven er å legge
til rette for en sikker og effektiv bruk av elektronisk signatur
ved å fastsette krav til kvalifiserte sertifikater, til
utstederne av disse sertifikatene og til sikre signaturfremstillingssystemer.
§ 2 Lovens
virkeområde
Loven gjelder for sertifikatutstedere som er
etablert i Norge. Loven regulerer rammebetingelsene for bruk av kvalifiserte
elektroniske signaturer, med unntak av § 6 annet punktum
og § 7 som gjelder alle elektroniske signaturer.
Kongen kan i forskrift bestemme at loven skal
gjelde for Svalbard og Jan Mayen.
§ 3 Definisjoner
I denne loven menes med:
1. elektronisk
signatur: data i elektronisk form som er knyttet til andre
elektroniske data og som brukes til å kontrollere at disse
stammer fra den som fremstår som undertegner,
2. avansert elektronisk signatur:
en elektronisk signatur som
a) er entydig knyttet til undertegneren,
b) kan identifisere undertegneren,
c) er laget ved hjelp av midler som bare undertegneren har
kontroll over, og
d) er knyttet til andre elektroniske data på en
slik måte at det kan oppdages om disse har blitt endret
etter signering,
3. kvalifisert elektronisk signatur:
en avansert elektronisk signatur som er basert på et kvalifisert
sertifikat og fremstilt av et godkjent sikkert signaturfremstillingssystem,
4. undertegner: den som disponerer
et signaturfremstillingssystem og som handler på vegne
av seg selv eller på vegne av en annen fysisk eller juridisk
person,
5. signaturfremstillingssdata:
unike data, som for eksempel koder eller private nøkler,
som undertegneren benytter for å fremstille en elektronisk
signatur,
6. signaturfremstillingssystem:
programvare eller maskinvare som benyttes til å fremstille
elektronisk signatur ved hjelp av signaturfremstillingsdata,
7. signaturverifikasjonsdata:
unike data, som for eksempel koder eller offentlige nøkler,
som benyttes til å verifisere en elektronisk signatur,
8. signaturverifikasjonssystem:
programvare eller maskinvare som benyttes for å verifisere
elektronisk signatur ved hjelp av signaturverifikasjonsdata,
9. sertifikat: en kopling mellom
signaturverifikasjonsdata og undertegner som bekrefter undertegners
identitet og er signert av sertifikatutsteder,
10. sertifikatutsteder: en fysisk
eller juridisk person som utsteder sertifikater eller tilbyr andre
tjenester relatert til elektronisk signatur.
§ 4 Kvalifisert
sertifikat
Betegnelsen kvalifisert sertifikat skal kun
brukes om sertifikater som oppfyller kravene i denne paragrafen
og utstedes for en begrenset periode av en sertifikatutsteder som
oppfyller kravene i §§ 10 – 15.
Et kvalifisert sertifikat skal inneholde følgende
informasjon:
a) en angivelse av at sertifikatet
er utstedt som et kvalifisert sertifikat,
b) sertifikatutstederens identitet og den stat den er etablert
i,
c) undertegnerens navn eller pseudonym med opplysning om
at det er et pseudonym,
d) eventuelt ytterligere opplysninger om undertegneren, dersom
de er relevante for bruken av sertifikatet,
e) de signaturverifikasjonsdata, som svarer til de signaturfremstillingsdata
som er under undertegnerens kontroll,
f) sertifikatets ikrafttredelses- og utløpsdato,
g) sertifikatets identifikasjonskode,
h) sertifikatutstederens avanserte elektroniske signatur,
i) eventuelle begrensninger i sertifikatets anvendelsesområde,
og
j) eventuelle beløpsmessige begrensninger i sertifikatet med
hensyn til hvilke transaksjoner sertifikatet kan brukes til.
Kongen kan i forskrift regulere hva det kvalifiserte sertifikatet
nærmere skal inneholde.
§ 5 Krav
til kvalifiserte elektroniske signaturer brukt i kommunikasjon med
og i offentlig sektor
Kongen kan fastsette nærmere regler
om hvilke krav som skal stilles til kvalifiserte elektroniske signaturer som
skal brukes ved kommunikasjon med og i offentlig sektor.
§ 6 Rettsvirkninger
av elektronisk signatur
Dersom det i lov, forskrift eller på annen
måte er oppstilt krav om underskrift for å få en
bestemt rettsvirkning og disposisjonen kan gjennomføres
elektronisk, oppfyller en kvalifisert elektronisk signatur alltid
et slikt krav. En elektronisk signatur som ikke er kvalifisert,
kan oppfylle et slikt krav.
§ 7 Innsamling
og bruk av personopplysninger
En sertifikatutsteder får kun innhente
personopplysninger direkte fra den opplysningene gjelder, eller
med dennes uttrykkelige samtykke og bare i den utstrekning som er
nødvendig for å utstede eller opprettholde et
sertifikat. Opplysningene må ikke samles inn eller behandles for
andre formål, så fremt ikke den opplysningene
gjelder har gitt sitt uttrykkelige samtykke til det.
Datatilsynet skal føre tilsyn med
at denne bestemmelsen overholdes.
Kapittel II Sikre signaturfremstillingssystemer
§ 8 Krav
til sikre signaturfremstillingssystemer
Et sikkert signaturfremstillingssystem skal
sikre at signaturen er tilfredsstillende beskyttet mot forfalskning. Videre
skal et sikkert signaturfremstillingssystem sikre at signaturfremstillingsdata:
a) i praksis kun kan fremtre én
gang og med rimelig grad av sikkerhet forblir hemmeligholdt,
b) i rimelig utstrekning ikke kan utledes, og
c) på pålitelig vis kan beskyttes av
rette undertegner mot andres bruk.
Et sikkert signaturfremstillingssystem må ikke
forandre data i elektronisk form som skal signeres, eller hindre at
dataene vises for undertegner før det signeres.
§ 9 Godkjennelse
av sikre signaturfremstillingssystem
Godkjennelse som et sikkert signaturfremstillingssystem,
jf. § 8, gis av det organ som Kongen utpeker. Kongen
kan i forskrift gi nærmere bestemmelser om organet
og om krav til sikre signaturfremstillingssystem.
Likestilt med godkjennelse etter første
ledd er godkjennelse fra et tilsvarende organ i en annen stat som
er part i EØS-avtalen.
Kravene i § 8 skal anses oppfylt når
den maskin- eller programvaren som benyttes, er i samsvar med de
standarder for elektroniske signaturprodukter som Europakommisjonen
fastsetter og som offentliggjøres i De Europeiske
Fellesskaps Tidende.
Kapittel III Krav til utstedere av kvalifiserte sertifikater
§ 10 Krav
til virksomheten
Utstedere av kvalifiserte sertifikater skal
utøve og administrere virksomheten på en forsvarlig
måte slik at den kan tilby sikre, pålitelige og
velfungerende sertifikattjenester.
Sertifikatutstederen skal til enhver tid ha
tilstrekkelige økonomiske ressurser til å kunne
drive virksomheten i henhold til kravene som er stilt i eller i
medhold av denne lov.
§ 11 Krav
til produkter og systemer
Utstedere av kvalifiserte sertifikater skal
bruke pålitelige produkter og systemer som er beskyttet
mot endringer, og som gir teknisk og kryptografisk sikkerhet i understøttende
prosesser.
Kravene i første ledd skal anses oppfylte
dersom sertifikatutsteder benytter seg av produkter og systemer
som er godkjent av et organ i henhold til § 9 første
og annet ledd, eller er i samsvar med standarder fastsatt av Europakommisjonen
etter § 9 tredje ledd.
Sertifikatutsteder skal iverksette tiltak mot
forfalskning av sertifikatene. Dersom sertifikatutsteder fremstiller
signaturfremstillingsdata, skal utstederen garantere fortroligheten
av disse dataene under fremstillingsprosessen.
§ 12 Krav
om katalog- og tilbaketrekkingstjeneste
Utstedere av kvalifiserte sertifikater skal
sørge for en hurtig og sikker katalog- og tilbaketrekkingstjeneste
og skal sikre at det er mulig å fastslå dato og
tidspunkt for ikrafttredelse eller tilbaketrekking av et sertifikat.
§ 13 Krav
om kontroll av undertegners identitet
Utstedere av kvalifiserte sertifikater er ansvarlige
for at identiteten til undertegner og ytterligere relevante opplysninger
om vedkommende blir kontrollert gjennom sikre rutiner.
Opplysninger om rutinene som nevnt i første
ledd skal være offentlig tilgjengelige.
§ 14 Krav
til lagring av opplysninger
Utstedere av kvalifiserte sertifikater skal
lagre alle relevante opplysninger om kvalifiserte sertifikater i
en rimelig periode, dog minst 10 år etter at sertifikatet
er registrert i tilbaketrekkingslisten.
Sertifikatutsteder skal benytte pålitelige
systemer til oppbevaring av sertifikater i verifiserbar form, slik
at
a) opplysningens ekthet kan kontrolleres,
b) sertifikatene kun er offentlig tilgjengelige i de tilfellene
der innehaveren har gitt sitt samtykke, og
c) eventuelle tekniske endringer, som bringer disse sikkerhetskravene
i fare, er synlige for operatøren.
Utstedere av kvalifiserte sertifikater må ikke
oppbevare eller kopiere undertegners signaturfremstillingsdata.
§ 15 Krav
om informasjon om vilkår, begrensninger og lignende
Før en sertifikatutsteder inngår
avtale om å utstede et kvalifisert sertifikat skal utstederen
skriftlig informere motparten om
a) vilkårene og begrensningene
for bruken av sertifikatet,
b) opplysninger om eventuelle frivillige akkrediterings- eller
sertifiseringsordninger, og
c) prosedyrer for klage og avgjørelse av tvister.
Opplysninger i henhold til første
ledd kan sendes elektronisk, dersom det skjer i en for motparten
umiddelbart lesbar form. Disse opplysningene skal også kunne kontrolleres
av signaturmottakeren.
§ 16 Utfyllende
krav
Kongen kan i forskrift fastsette nærmere
regler om hvilke krav som kan stilles til utstedere av kvalifiserte sertifikater
for å oppfylle bestemmelsene i §§ 10-15.
Kapittel IV Tilsyn og sanksjoner
§ 17 Tilsyn
med utstedere av kvalifiserte sertifikater
Kongen kan utpeke et organ som skal føre
tilsyn med at denne lov med forskrifter etterleves.
Tilsynet kan kreve de opplysninger og dokumenter som
er nødvendige for å utføre sine oppgaver,
og fastsette en tidsfrist for å sende dem inn.
Tilsynet kan gi påbud om at forhold
som er i strid med bestemmelser som er gitt i eller i medhold av
denne loven, skal opphøre og stille vilkår som
må oppfylles for at virksomheten skal være i samsvar
med loven.
Tilsynet kan kreve at det gjennomføres
IT-revisjon hos utstedere av kvalifiserte sertifikater og utpeke
en revisor til å utføre IT-revisjonen. Sertifikatutsteder
kan pålegges å betale for revisjonen.
Tilsynet kan frata en sertifikatutsteder retten
til å anvende betegnelsen kvalifisert sertifikat, dersom
sertifikatutstederen grovt eller gjentatte ganger ikke overholder lovens
regler.
Kongen kan gi nærmere forskrifter
om tilsynets virksomhet.
§ 18 Registrering
av utstedere av kvalifiserte sertifikater
En sertifikatutsteder kan ikke utstede kvalifiserte
sertifikater før registreringsmelding er sendt til tilsynet. Endringer
i allerede registrerte opplysninger og nye opplysninger som skal
registeres, skal meldes til tilsynet uten ugrunnet opphold.
§ 19 Adgang
til lokaler m.v.
Tilsynet kan som ledd i sin kontroll, kreve
adgang til steder der det drives virksomhet som står under
tilsyn.
Tilsynet kan gjennomføre de kontroller
det finner nødvendig, og kreve bistand fra personalet på stedet
i den grad dette må til for å få utført
kontrollen.
Lov av 10. februar 1967 om behandlingsmåten
i forvaltningssaker § 15 om fremgangsmåten ved
granskning, kommer til anvendelse.
§ 20 Tvangsmulkt
For å sikre at bestemmelser som er
gitt i eller i medhold av denne lov overholdes, kan tilsynet bestemme
at sertifikatutsteder skal betale en daglig løpende mulkt
til staten inntil lovstridig virksomhet er opphørt eller
pålegg og vilkår gitt med hjemmel i denne lov
er etterkommet.
Mulkten løper ikke før klagefristen
er ute. Påklages vedtaket om tvangsmulkt, løper
ingen tvangsmulkt før klagesaken er avgjort med mindre
klageorganet bestemmer annerledes.
Tilsynet kan frafalle påløpt
tvangsmulkt.
§ 21 Straff
Med bøter straffes den som forsettlig
eller grovt uaktsomt
a) unnlater å registrere/sende
melding etter § 18,
b) unnlater å gi opplysninger etter § 17,
c) behandler personopplysninger i strid med §§ 7
og 14, eller
d) gir uriktige eller villedende opplysninger til tilsynet.
Medvirkning straffes på samme måte.
§ 22 Erstatning
En sertifikatutsteder som utsteder sertifikater
som utgis for å være kvalifiserte, eller som garanterer
for slike sertifikater utgitt av en annen, er erstatningsansvarlig
for tap hos en fysisk eller juridisk person som følge av
at denne hadde hatt rimelig grunn til å ha tillit til at:
a) informasjonen angitt i sertifikatet
var korrekt på utstedelsestidspunktet,
b) sertifikatet inneholder alle opplysninger som kreves
i henhold til § 4,
c) signaturfremstillingsdata og signaturverifikasjonsdata hører
sammen på en unik måte dersom sertifikatutstederen
fremstiller begge,
d) undertegner disponerte korrekt signaturfremstillingsdata
på tidspunktet da sertifikatet ble utstedt, eller
e) sertifikatet blir registrert i tilbaketrekkingslisten,
jf. § 12.
Sertifikatutsteder er ansvarlig etter første
ledd medmindre han godtgjør at han, eller den han garanterer
for, ikke handlet uaktsomt.
Sertifikatutsteder er ikke erstatningsansvarlig
for skade som skyldes at sertifikatet har blitt brukt i strid med tydelige
begrensninger i sertifikatets anvendelsesområde eller utover
beløpsmessige begrensninger.
§ 23 Klageadgang
Tilsynets avgjørelser etter bestemmelser
som er gitt i eller i medhold av denne loven, kan påklages
til det organ Kongen utpeker.
§ 24 Gebyr
Kongen kan i forskrift bestemme at sertifikatutstedere som
er registreringspliktige etter § 18, skal betale gebyr. Gebyrene
må ikke overstige kostnadene ved tilsynets virksomhet.
Kapittel V Internasjonale forhold
§ 25 Rettslig
anerkjennelse av kvalifiserte sertifikater fra utstedere etablert
utenfor Norge
Sertifikater fra sertifikatutstedere som er
etablert innen EØS-området, anses som kvalifiserte sertifikater
i henhold til denne lov dersom de oppfyller kravene til et kvalifisert
sertifikat i det landet der utstederen er etablert.
Kvalifiserte sertifikater fra sertifikatutstedere
som er etablert i land utenfor EØS-området, skal gis rettslig
anerkjennelse på lik linje med kvalifiserte sertifikater
fra sertifikatutstedere innen EØS-området dersom:
a) utstederen oppfyller kravene i
denne lov og har blitt godkjent iht. en frivillig godkjenningsordning
i et medlemsland,
b) en sertifikatutsteder som er etablert innen EØS- området,
og som oppfyller kravene i denne loven, garanterer for utstederen,
eller
c) sertifikatet eller utstederen er anerkjent i henhold
til multilaterale eller bilaterale avtaler med Norge, EU, tredjeland
eller internasjonale organisasjoner.
Kapittel VI Ikrafttredelse og overgangsregler
§ 26 Ikrafttredelse
Loven trer i kraft fra den tid Kongen bestemmer.
§ 27 Overgangsregler
Utstedere av kvalifiserte sertifikater skal
innen 6 måneder etter at loven har trådt i kraft
registrere seg i henhold til § 18 eller innenfor samme
frist opphøre med å kalle sertifikatene for kvalifiserte
eller bruke betegnelse som gir inntrykk av at de er kvalifiserte.
Votering:
Komiteens innstilling bifaltes enstemmig.Presidenten: Det voteres over lovens overskrift
og loven i sin helhet.
Votering:
Lovens overskrift og loven i sin helhet bifaltes enstemmig.Presidenten: Lovvedtaket vil bli sendt
Lagtinget.