Odelstinget - Møte torsdag den 14. desember 2000 kl. 18

Dato: 14.12.2000

Dokumenter: (Innst. O. nr. 41 (2000-2001), jf. Ot.prp. nr. 82 (1999-2000))

Sak nr. 4

Innstilling fra næringskomiteen om lov om elektronisk signatur

Talere

Votering i sak nr. 4

Presidenten: Etter ønske fra næringskomiteen vil presidenten foreslå at debatten blir begrenset til 45 minutter, og at taletiden blir fordelt slik på gruppene:

Arbeiderpartiet 10 minutter, de øvrige gruppene 5 minutter hver.

Videre vil presidenten foreslå at det ikke blir gitt anledning til replikker etter de enkelte innlegg, og at de som måtte tegne seg på talerlisten utover den fordelte taletid, får en taletid på inntil 3 minutter.

– Det anses vedtatt.

Erling Brandsnes (A) (ordfører for saken): To saker på dagsordenen i dag behandler spørsmålet om elektronisk signatur. Den første gjelder samtykke til EØS-komiteens avgjørelse om innlemmelse av en fellesskapsramme for elektroniske signaturer i vedlegg XI til EØS-avtalen. Dette er behandlet i Stortinget. Den andre er den vi nå har til behandling i Odelstinget, og som følger opp direktivet med en norsk lov om elektronisk signatur.

Deler av direktivet er allerede regulert i norsk rett, men departementet har valgt å foreslå å implementere direktivet i en egen ny lov med tilhørende forskrifter.

Bruken av Internett har økt svært raskt i Norge. Dette gjelder f.eks. banktjenester, det å levere selvangivelse og kommunikasjon via den raske og verdensomspennende e-posten. Handel over nettet blir også mer og mer vanlig. Denne utviklingen har utløst behov for å ha systemer og kontrollrutiner, slik at en kan være sikker på at avsenderen er den han eller hun utgir seg for. Målet er derfor at en elektronisk underskrift eller signatur skal bli like akseptert og bindende som en håndskreven underskrift ved papirbasert kommunikasjon. Et harmonisert regelverk for elektroniske signaturer i Europa vil være med på å hindre barrierer for handel og gjøre bruk av nettet sikkert både for enkeltpersoner og bedrifter.

De andre nordiske land har arbeidet og arbeider også for å få lover som regulerer bruken av elektroniske signaturer. I Danmark har loven trådt i kraft fra 1. oktober i år.

Etter mitt syn er den foreslåtte lovteksten svært åpen, i den forstand at lovteksten ikke legger snevre rammer som kan sette grenser for en utvikling av ulike systemer for elektroniske signaturer. Etter hvert som elektronisk signatur blir akseptert og kommer i bruk, vil en få erfaringer som i neste omgang kan vise om det er behov for å stramme inn lovens bestemmelser.

Fordi dette er en ny lov og en ny måte å sikre avtaleinngåelse mellom to parter på, er det i lovteksten en rekke definisjoner. Dette gjør selvsagt at lovforslaget på et vis kan virke teoretisk og vanskelig tilgjengelig, og slik sett kan det være problematisk å fatte rekkevidden av lovens bestemmelser i dag. På samme måte kan det være vanskelig å forestille seg hvordan bruken av elektronisk signatur vil skje i praksis. Når systemene kommer på plass, vil det sannsynligvis ikke bli mer mystisk enn å bruke internettbank i dag.

For å sikre tilliten mellom avsender og mottaker skal det utstedes signaturer sammen med et sertifikat av en tredjepart, i loven kalt sertifikatutsteder. Loven legger opp til at signaturene og sertifikatene på det norske marked skal oppnå et visst sikkerhetsnivå. Når dette er til stede, kalles disse produktene for kvalifiserte. En slik kvalifisert signatur skal gis samme rettsvirkning som en håndskreven signatur. Det kan også bli brukt andre elektroniske signaturer som ikke oppfyller kravene til å få betegnelsen kvalifisert. Det er likevel grunn til å anta at brukerne vil foretrekke det høyeste sikre nivå, og at kvalifiserte signaturer dermed blir ledende innen elektronisk handel og kommunikasjon hvor en ønsker å forvisse seg om at den en kommuniserer med, virkelig er rett person.

Det er også viktig at framstillingen av signaturer blir gjort så sikker som mulig, og at det blir en god beskyttelse mot forfalskninger.

Lovforslaget har også tatt høyde for at det ikke skal bli mer administrasjon enn høyst nødvendig ved innføring av loven, men at den likevel er tilstrekkelig. Tilsynsordningen for utstedere av kvalifiserte sertifikater er i utgangspunktet tenkt lagt til Post- og teletilsynet. Komiteen er enig i at dette synes naturlig i startfasen av bruken av elektronisk signatur.

Med vedtaket av loven om elektronisk signatur er det lagt til rette for videreutvikling av bruken av Internett. Hvilken betydning dette vil ha for handel og avtaleinngåelse over nettet, er usikkert. Men det er grunn til å regne med at dette kan bli av meget stor viktighet i de kommende år.

Statsråd Grete Knudsen: Jeg vil først berømme saksordfører Brandsnes for å gå inn i en veldig tung materie. Det er likevel et område som flere og flere kommer til å benytte seg av i tiden fremover.

Det lovforslaget vi behandler nå, er en del av Regjeringens arbeid på IKT-området, som også er presentert i Regjeringens handlingsplan eNorge. Vi vet at markedet for elektroniske signaturer er i rivende utvikling, og derfor er det viktig, som også saksordføreren påpekte, at det lovforslaget som nå er utarbeidet, ikke er begrensende, men gir den videre retningen, innenfor en høy grad av sikkerhet. Det er viktig at reguleringen sikrer at utsteder av elektroniske signaturer bruker gode rutiner, slik at vi kan ha tillit til signaturene.

Et viktig formål med dette lovforslaget er å sikre at parter som er ukjente for hverandre, vet hvem de kommuniserer med over nettet, og dermed legge til rette for den elektroniske handel.

Utarbeidelsen av dette lovforslaget har også skjedd i nært samarbeid med de øvrige nordiske land. Vi har gjennom dette kunnet sikre oss en felles nordisk forståelse av det EU-direktivet som vi nå tilpasser oss til, og har fått til en tilnærmet identisk implementering av direktivet på nordisk plan.

Presidenten: Flere har ikke bedt om ordet til sak nr. 4.

(Votering, se side 248)

Votering i sak nr. 4

Komiteen hadde innstillet til Odelstinget å gjøre slikt vedtak til

lov

om elektronisk signatur

Kapittel I Alminnelige regler

§ 1 Lovens formål

Formålet med denne loven er å legge til rette for en sikker og effektiv bruk av elektronisk signatur ved å fastsette krav til kvalifiserte sertifikater, til utstederne av disse sertifikatene og til sikre signaturfremstillingssystemer.

§ 2 Lovens virkeområde

Loven gjelder for sertifikatutstedere som er etablert i Norge. Loven regulerer rammebetingelsene for bruk av kvalifiserte elektroniske signaturer, med unntak av § 6 annet punktum og § 7 som gjelder alle elektroniske signaturer.

Kongen kan i forskrift bestemme at loven skal gjelde for Svalbard og Jan Mayen.

§ 3 Definisjoner

I denne loven menes med:

  • 1. elektronisk signatur: data i elektronisk form som er knyttet til andre elektroniske data og som brukes til å kontrollere at disse stammer fra den som fremstår som undertegner,

  • 2. avansert elektronisk signatur: en elektronisk signatur som

    • a) er entydig knyttet til undertegneren,

    • b) kan identifisere undertegneren,

    • c) er laget ved hjelp av midler som bare undertegneren har kontroll over, og

    • d) er knyttet til andre elektroniske data på en slik måte at det kan oppdages om disse har blitt endret etter signering,

  • 3. kvalifisert elektronisk signatur: en avansert elektronisk signatur som er basert på et kvalifisert sertifikat og fremstilt av et godkjent sikkert signaturfremstillingssystem,

  • 4. undertegner: den som disponerer et signaturfremstillingssystem og som handler på vegne av seg selv eller på vegne av en annen fysisk eller juridisk person,

  • 5. signaturfremstillingssdata: unike data, som for eksempel koder eller private nøkler, som undertegneren benytter for å fremstille en elektronisk signatur,

  • 6. signaturfremstillingssystem: programvare eller maskinvare som benyttes til å fremstille elektronisk signatur ved hjelp av signaturfremstillingsdata,

  • 7. signaturverifikasjonsdata: unike data, som for eksempel koder eller offentlige nøkler, som benyttes til å verifisere en elektronisk signatur,

  • 8. signaturverifikasjonssystem: programvare eller maskinvare som benyttes for å verifisere elektronisk signatur ved hjelp av signaturverifikasjonsdata,

  • 9. sertifikat: en kopling mellom signaturverifikasjonsdata og undertegner som bekrefter undertegners identitet og er signert av sertifikatutsteder,

  • 10. sertifikatutsteder: en fysisk eller juridisk person som utsteder sertifikater eller tilbyr andre tjenester relatert til elektronisk signatur.

§ 4 Kvalifisert sertifikat

Betegnelsen kvalifisert sertifikat skal kun brukes om sertifikater som oppfyller kravene i denne paragrafen og utstedes for en begrenset periode av en sertifikatutsteder som oppfyller kravene i §§ 10 – 15.

Et kvalifisert sertifikat skal inneholde følgende informasjon:

  • a) en angivelse av at sertifikatet er utstedt som et kvalifisert sertifikat,

  • b) sertifikatutstederens identitet og den stat den er etablert i,

  • c) undertegnerens navn eller pseudonym med opplysning om at det er et pseudonym,

  • d) eventuelt ytterligere opplysninger om undertegneren, dersom de er relevante for bruken av sertifikatet,

  • e) de signaturverifikasjonsdata, som svarer til de signaturfremstillingsdata som er under undertegnerens kontroll,

  • f) sertifikatets ikrafttredelses- og utløpsdato,

  • g) sertifikatets identifikasjonskode,

  • h) sertifikatutstederens avanserte elektroniske signatur,

  • i) eventuelle begrensninger i sertifikatets anvendelsesområde, og

  • j) eventuelle beløpsmessige begrensninger i sertifikatet med hensyn til hvilke transaksjoner sertifikatet kan brukes til.

Kongen kan i forskrift regulere hva det kvalifiserte sertifikatet nærmere skal inneholde.

§ 5 Krav til kvalifiserte elektroniske signaturer brukt i kommunikasjon med og i offentlig sektor

Kongen kan fastsette nærmere regler om hvilke krav som skal stilles til kvalifiserte elektroniske signaturer som skal brukes ved kommunikasjon med og i offentlig sektor.

§ 6 Rettsvirkninger av elektronisk signatur

Dersom det i lov, forskrift eller på annen måte er oppstilt krav om underskrift for å få en bestemt rettsvirkning og disposisjonen kan gjennomføres elektronisk, oppfyller en kvalifisert elektronisk signatur alltid et slikt krav. En elektronisk signatur som ikke er kvalifisert, kan oppfylle et slikt krav.

§ 7 Innsamling og bruk av personopplysninger

En sertifikatutsteder får kun innhente personopplysninger direkte fra den opplysningene gjelder, eller med dennes uttrykkelige samtykke og bare i den utstrekning som er nødvendig for å utstede eller opprettholde et sertifikat. Opplysningene må ikke samles inn eller behandles for andre formål, så fremt ikke den opplysningene gjelder har gitt sitt uttrykkelige samtykke til det.

Datatilsynet skal føre tilsyn med at denne bestemmelsen overholdes.

Kapittel II Sikre signaturfremstillingssystemer

§ 8 Krav til sikre signaturfremstillingssystemer

Et sikkert signaturfremstillingssystem skal sikre at signaturen er tilfredsstillende beskyttet mot forfalskning. Videre skal et sikkert signaturfremstillingssystem sikre at signaturfremstillingsdata:

  • a) i praksis kun kan fremtre én gang og med rimelig grad av sikkerhet forblir hemmeligholdt,

  • b) i rimelig utstrekning ikke kan utledes, og

  • c) på pålitelig vis kan beskyttes av rette undertegner mot andres bruk.

Et sikkert signaturfremstillingssystem må ikke forandre data i elektronisk form som skal signeres, eller hindre at dataene vises for undertegner før det signeres.

§ 9 Godkjennelse av sikre signaturfremstillingssystem

Godkjennelse som et sikkert signaturfremstillingssystem, jf. § 8, gis av det organ som Kongen utpeker. Kongen kan i forskrift gi nærmere bestemmelser om organet og om krav til sikre signaturfremstillingssystem.

Likestilt med godkjennelse etter første ledd er godkjennelse fra et tilsvarende organ i en annen stat som er part i EØS-avtalen.

Kravene i § 8 skal anses oppfylt når den maskin- eller programvaren som benyttes, er i samsvar med de standarder for elektroniske signaturprodukter som Europakommisjonen fastsetter og som offentliggjøres i De Europeiske Fellesskaps Tidende.

Kapittel III Krav til utstedere av kvalifiserte sertifikater

§ 10 Krav til virksomheten

Utstedere av kvalifiserte sertifikater skal utøve og administrere virksomheten på en forsvarlig måte slik at den kan tilby sikre, pålitelige og velfungerende sertifikattjenester.

Sertifikatutstederen skal til enhver tid ha tilstrekkelige økonomiske ressurser til å kunne drive virksomheten i henhold til kravene som er stilt i eller i medhold av denne lov.

§ 11 Krav til produkter og systemer

Utstedere av kvalifiserte sertifikater skal bruke pålitelige produkter og systemer som er beskyttet mot endringer, og som gir teknisk og kryptografisk sikkerhet i understøttende prosesser.

Kravene i første ledd skal anses oppfylte dersom sertifikatutsteder benytter seg av produkter og systemer som er godkjent av et organ i henhold til § 9 første og annet ledd, eller er i samsvar med standarder fastsatt av Europakommisjonen etter § 9 tredje ledd.

Sertifikatutsteder skal iverksette tiltak mot forfalskning av sertifikatene. Dersom sertifikatutsteder fremstiller signaturfremstillingsdata, skal utstederen garantere fortroligheten av disse dataene under fremstillingsprosessen.

§ 12 Krav om katalog- og tilbaketrekkingstjeneste

Utstedere av kvalifiserte sertifikater skal sørge for en hurtig og sikker katalog- og tilbaketrekkingstjeneste og skal sikre at det er mulig å fastslå dato og tidspunkt for ikrafttredelse eller tilbaketrekking av et sertifikat.

§ 13 Krav om kontroll av undertegners identitet

Utstedere av kvalifiserte sertifikater er ansvarlige for at identiteten til undertegner og ytterligere relevante opplysninger om vedkommende blir kontrollert gjennom sikre rutiner.

Opplysninger om rutinene som nevnt i første ledd skal være offentlig tilgjengelige.

§ 14 Krav til lagring av opplysninger

Utstedere av kvalifiserte sertifikater skal lagre alle relevante opplysninger om kvalifiserte sertifikater i en rimelig periode, dog minst 10 år etter at sertifikatet er registrert i tilbaketrekkingslisten.

Sertifikatutsteder skal benytte pålitelige systemer til oppbevaring av sertifikater i verifiserbar form, slik at

  • a) opplysningens ekthet kan kontrolleres,

  • b) sertifikatene kun er offentlig tilgjengelige i de tilfellene der innehaveren har gitt sitt samtykke, og

  • c) eventuelle tekniske endringer, som bringer disse sikkerhetskravene i fare, er synlige for operatøren.

Utstedere av kvalifiserte sertifikater må ikke oppbevare eller kopiere undertegners signaturfremstillingsdata.

§ 15 Krav om informasjon om vilkår, begrensninger og lignende

Før en sertifikatutsteder inngår avtale om å utstede et kvalifisert sertifikat skal utstederen skriftlig informere motparten om

  • a) vilkårene og begrensningene for bruken av sertifikatet,

  • b) opplysninger om eventuelle frivillige akkrediterings- eller sertifiseringsordninger, og

  • c) prosedyrer for klage og avgjørelse av tvister.

Opplysninger i henhold til første ledd kan sendes elektronisk, dersom det skjer i en for motparten umiddelbart lesbar form. Disse opplysningene skal også kunne kontrolleres av signaturmottakeren.

§ 16 Utfyllende krav

Kongen kan i forskrift fastsette nærmere regler om hvilke krav som kan stilles til utstedere av kvalifiserte sertifikater for å oppfylle bestemmelsene i §§ 10-15.

Kapittel IV Tilsyn og sanksjoner

§ 17 Tilsyn med utstedere av kvalifiserte sertifikater

Kongen kan utpeke et organ som skal føre tilsyn med at denne lov med forskrifter etterleves.

Tilsynet kan kreve de opplysninger og dokumenter som er nødvendige for å utføre sine oppgaver, og fastsette en tidsfrist for å sende dem inn.

Tilsynet kan gi påbud om at forhold som er i strid med bestemmelser som er gitt i eller i medhold av denne loven, skal opphøre og stille vilkår som må oppfylles for at virksomheten skal være i samsvar med loven.

Tilsynet kan kreve at det gjennomføres IT-revisjon hos utstedere av kvalifiserte sertifikater og utpeke en revisor til å utføre IT-revisjonen. Sertifikatutsteder kan pålegges å betale for revisjonen.

Tilsynet kan frata en sertifikatutsteder retten til å anvende betegnelsen kvalifisert sertifikat, dersom sertifikatutstederen grovt eller gjentatte ganger ikke overholder lovens regler.

Kongen kan gi nærmere forskrifter om tilsynets virksomhet.

§ 18 Registrering av utstedere av kvalifiserte sertifikater

En sertifikatutsteder kan ikke utstede kvalifiserte sertifikater før registreringsmelding er sendt til tilsynet. Endringer i allerede registrerte opplysninger og nye opplysninger som skal registeres, skal meldes til tilsynet uten ugrunnet opphold.

§ 19 Adgang til lokaler m.v.

Tilsynet kan som ledd i sin kontroll, kreve adgang til steder der det drives virksomhet som står under tilsyn.

Tilsynet kan gjennomføre de kontroller det finner nødvendig, og kreve bistand fra personalet på stedet i den grad dette må til for å få utført kontrollen.

Lov av 10. februar 1967 om behandlingsmåten i forvaltningssaker § 15 om fremgangsmåten ved granskning, kommer til anvendelse.

§ 20 Tvangsmulkt

For å sikre at bestemmelser som er gitt i eller i medhold av denne lov overholdes, kan tilsynet bestemme at sertifikatutsteder skal betale en daglig løpende mulkt til staten inntil lovstridig virksomhet er opphørt eller pålegg og vilkår gitt med hjemmel i denne lov er etterkommet.

Mulkten løper ikke før klagefristen er ute. Påklages vedtaket om tvangsmulkt, løper ingen tvangsmulkt før klagesaken er avgjort med mindre klageorganet bestemmer annerledes.

Tilsynet kan frafalle påløpt tvangsmulkt.

§ 21 Straff

Med bøter straffes den som forsettlig eller grovt uaktsomt

  • a) unnlater å registrere/sende melding etter § 18,

  • b) unnlater å gi opplysninger etter § 17,

  • c) behandler personopplysninger i strid med §§ 7 og 14, eller

  • d) gir uriktige eller villedende opplysninger til tilsynet.

Medvirkning straffes på samme måte.

§ 22 Erstatning

En sertifikatutsteder som utsteder sertifikater som utgis for å være kvalifiserte, eller som garanterer for slike sertifikater utgitt av en annen, er erstatningsansvarlig for tap hos en fysisk eller juridisk person som følge av at denne hadde hatt rimelig grunn til å ha tillit til at:

  • a) informasjonen angitt i sertifikatet var korrekt på utstedelsestidspunktet,

  • b) sertifikatet inneholder alle opplysninger som kreves i henhold til § 4,

  • c) signaturfremstillingsdata og signaturverifikasjonsdata hører sammen på en unik måte dersom sertifikatutstederen fremstiller begge,

  • d) undertegner disponerte korrekt signaturfremstillingsdata på tidspunktet da sertifikatet ble utstedt, eller

  • e) sertifikatet blir registrert i tilbaketrekkingslisten, jf. § 12.

Sertifikatutsteder er ansvarlig etter første ledd medmindre han godtgjør at han, eller den han garanterer for, ikke handlet uaktsomt.

Sertifikatutsteder er ikke erstatningsansvarlig for skade som skyldes at sertifikatet har blitt brukt i strid med tydelige begrensninger i sertifikatets anvendelsesområde eller utover beløpsmessige begrensninger.

§ 23 Klageadgang

Tilsynets avgjørelser etter bestemmelser som er gitt i eller i medhold av denne loven, kan påklages til det organ Kongen utpeker.

§ 24 Gebyr

Kongen kan i forskrift bestemme at sertifikatutstedere som er registreringspliktige etter § 18, skal betale gebyr. Gebyrene må ikke overstige kostnadene ved tilsynets virksomhet.

Kapittel V Internasjonale forhold

§ 25 Rettslig anerkjennelse av kvalifiserte sertifikater fra utstedere etablert utenfor Norge

Sertifikater fra sertifikatutstedere som er etablert innen EØS-området, anses som kvalifiserte sertifikater i henhold til denne lov dersom de oppfyller kravene til et kvalifisert sertifikat i det landet der utstederen er etablert.

Kvalifiserte sertifikater fra sertifikatutstedere som er etablert i land utenfor EØS-området, skal gis rettslig anerkjennelse på lik linje med kvalifiserte sertifikater fra sertifikatutstedere innen EØS-området dersom:

  • a) utstederen oppfyller kravene i denne lov og har blitt godkjent iht. en frivillig godkjenningsordning i et medlemsland,

  • b) en sertifikatutsteder som er etablert innen EØS- området, og som oppfyller kravene i denne loven, garanterer for utstederen, eller

  • c) sertifikatet eller utstederen er anerkjent i henhold til multilaterale eller bilaterale avtaler med Norge, EU, tredjeland eller internasjonale organisasjoner.

Kapittel VI Ikrafttredelse og overgangsregler

§ 26 Ikrafttredelse

Loven trer i kraft fra den tid Kongen bestemmer.

§ 27 Overgangsregler

Utstedere av kvalifiserte sertifikater skal innen 6 måneder etter at loven har trådt i kraft registrere seg i henhold til § 18 eller innenfor samme frist opphøre med å kalle sertifikatene for kvalifiserte eller bruke betegnelse som gir inntrykk av at de er kvalifiserte.

Votering:Komiteens innstilling bifaltes enstemmig.

Presidenten: Det voteres over lovens overskrift og loven i sin helhet.

Votering:Lovens overskrift og loven i sin helhet bifaltes enstemmig.

Presidenten: Lovvedtaket vil bli sendt Lagtinget.