þskj. 820 # frumskjal viðskrh., 126. lþ. 524. mál: #A rafrænar undirskriftir # frv. 28/2001

Aðrar útgáfur af skjalinu: PDF - Word Perfect

126. löggjafarþing 2000–2001.
Þskj. 820  —  524. mál.

Frumvarp til laga

um rafrænar undirskriftir.

(Lagt fyrir Alþingi á 126. löggjafarþingi 2000–2001.)

I. KAFLI
Markmið og gildissvið.
1. gr.
Markmið.
    Markmið laga þessara er að kveða á um réttaráhrif rafrænna undirskrifta og stuðla að öruggri og árangursríkri notkun þeirra með því að mæla fyrir um kröfur til fullgildra raf rænna undirskrifta, fullgildra vottorða og starfsemi vottunaraðila sem gefa út slík vottorð.

2. gr.
Gildissvið.
    Lög þessi gilda um rafrænar undirskriftir og starfsemi vottunaraðila með staðfestu á Ís landi.
    Viðskiptaráðherra fer með yfirstjórn mála samkvæmt lögum þessum.

II. KAFLI
Skilgreiningar, réttaráhrif og vernd persónuupplýsinga.
3. gr.
Orðskýringar.
    Í lögum þessum merkir:
    1.      Rafræn undirskrift: Gögn í rafrænu formi sem fylgja eða tengjast rökrænt öðrum raf rænum gögnum og eru notuð til að sannprófa frá hverjum hin síðarnefndu gögn stafa.
    2.      Útfærð rafræn undirskrift: Rafræn undirskrift sem:
                a.      tengist undirritanda einum,
                b.      er til þess fallin að bera kennsl á undirritanda,
                c.      er gerð með aðferð sem er eingöngu á forræði undirritanda og
                d.      er tengd gögnum á þann hátt að hvers konar breyting á þeim eftir undirritun er greini leg.
    3.      Fullgild rafræn undirskrift: Útfærð rafræn undirskrift sem er studd fullgildu vottorði og gerð með öruggum undirskriftarbúnaði.
    4.      Undirritandi: Sá sem hefur forræði yfir undirskriftarbúnaði og kemur fram fyrir eigin hönd eða fyrir hönd annars einstaklings eða lögpersónu.
    5.      Undirskriftargögn: Einstök gögn, svo sem kótar eða einkalykill dulritunar, sem undir ritandi notar til að mynda rafræna undirskrift.
    6.      Undirskriftarbúnaður: Hugbúnaður eða vélbúnaður sem notaður er til að mynda rafræna undirskrift með hjálp undirskriftargagna.
    7.      Öruggur undirskriftarbúnaður: Undirskriftarbúnaður sem fullnægir skilyrðum sem kveðið er á um í 8. og 9. gr. laga þessara.
    8.      Sannprófunargögn: Gögn, svo sem kótar eða dreifilykill dulritunar, sem notuð eru til að sannreyna rafræna undirskrift.
    9.      Sannprófunarbúnaður: Hugbúnaður eða vélbúnaður sem notaður er til að sannreyna rafræna undirskrift með hjálp sannprófunargagna.
    10.      Vottorð: Vottorð á rafrænu formi sem tengir sannprófunargögn við undirritanda og staðfestir hver hann er.
    11.      Fullgilt vottorð: Vottorð sem hefur að geyma upplýsingar sem kveðið er á um í 7. gr. og er gefið út af vottunaraðila sem fullnægir skilyrðum V. kafla laga þessara.
    12.      Vottunaraðili: Aðili sem gefur út vottorð eða veitir aðra þjónustu í tengslum við raf rænar undirskriftir.

4. gr.
Réttaráhrif rafrænna undirskrifta.
    Ef undirskrift er skilyrði réttaráhrifa samkvæmt lögum, stjórnvaldsfyrirmælum eða af öðrum orsökum fullnægir fullgild rafræn undirskrift ætíð slíku skilyrði.
    Ákvæði 1. mgr. er því ekki til fyrirstöðu að aðrar rafrænar undirskriftir en þar greinir hafi gildi við sönnun um stofnun og efni samnings eða önnur atriði sem tengjast samningsgerð.

5. gr.
Vernd persónuupplýsinga.
    Vottunaraðila sem gefur út vottorð til almennings er eingöngu heimilt að safna persónu upplýsingum beint frá þeim sem upplýsingarnar varða eða með ótvíræðu samþykki hans. Aðeins má safna upplýsingunum eða nota þær í þeim mæli sem nauðsynlegt er til útgáfu eða viðhalds á vottorði nema til komi ótvírætt samþykki þess sem upplýsingarnar varða.
    Um meðferð vottunaraðila á persónuupplýsingum og eftirlit með henni fer samkvæmt lögum um persónuvernd og meðferð persónuupplýsinga. Vottunaraðilar eru tilkynningar skyldir samkvæmt þeim lögum.

III. KAFLI
Fullgild vottorð.
6. gr.
Fullgilt vottorð.
    Ekki má nota heitið „fullgilt vottorð“ eða önnur heiti sem gefa til kynna að um fullgilt vottorð sé að ræða nema vottorð uppfylli ákvæði 7. gr. og sé gefið út af vottunaraðila sem uppfyllir ákvæði V. kafla laga þessara.

7. gr.
Innihald fullgilds vottorðs.
    Fullgilt vottorð skal hafa að geyma eftirfarandi upplýsingar og gögn:
    1.      Vísbendingu um að vottorðið sé gefið út sem fullgilt vottorð.
    2.      Upplýsingar um deili á vottunaraðila og hvar hann hefur staðfestu.
    3.      Nafn undirritanda eða dulnefni. Noti undirritandi dulnefni skal koma skýrt fram að um dulnefni sé að ræða.
    4.      Frekari upplýsingar um undirritanda ef þær eru nauðsynlegar vegna tilgangs vottorðsins.
    5.      Sannprófunargögn sem svara til þeirra undirskriftargagna sem undirritandi hefur forræði yfir.
    6.      Upphaf og lok gildistíma vottorðsins.
    7.      Auðkenniskóta vottorðsins.
    8.      Útfærða rafræna undirskrift vottunaraðilans sem gefur vottorðið út.
    9.      Upplýsingar um takmarkanir á gildissviði og á fjárhæð viðskipta sem unnt er að nota vottorðið til, séu slíkar takmarkanir fyrir hendi.
    Ráðherra getur sett nánari fyrirmæli um þær upplýsingar sem fullgild vottorð skulu hafa að geyma í reglugerð.

IV. KAFLI
Öruggur undirskriftarbúnaður.
8. gr.
Kröfur.
    Öruggur undirskriftarbúnaður skal tryggja að undirskriftargögnin:
    a.      geti eingöngu komið einu sinni fram,
    b.      verði með hliðsjón af eðlilegum öryggiskröfum ekki brotin upp og
    c.      séu varin með fullnægjandi hætti gegn notkun annarra en undirritanda.
    Öruggur undirskriftarbúnaður skal einnig tryggja leynd undirskriftargagnanna með full nægjandi hætti og að rafræn undirskrift sé varin gegn fölsun.
    Ekki skal vera unnt að nota öruggan undirskriftarbúnað til að breyta þeim gögnum sem undirrita á eða hindra að undirritandi geti séð gögnin fyrir undirritun.

9. gr.
Viðurkenning.
    Kröfum til undirskriftarbúnaðar skv. 8. gr. skal teljast fullnægt þegar:
    a.      þar til bær aðili hefur staðfest að hann uppfylli kröfur 8. gr. Viðskiptaráðherra getur í reglugerð kveðið á um þá aðila sem veitt geta slíka staðfestingu, eða
    b.      þar til bær aðili á Evrópska efnahagssvæðinu hefur viðurkennt hann.
    Líta skal svo á að undirskriftarbúnaður teljist öruggur skv. 8. gr. ef hann er í samræmi við staðla sem framkvæmdastjórn Evrópusambandsins hefur sett um slíkan búnað og birtir hafa verið í Stjórnartíðindum Evrópubandalagsins.

V. KAFLI
Kröfur til vottunaraðila sem gefa út fullgild vottorð.
10. gr.
Kröfur til starfseminnar.
    Vottunaraðili sem gefur út fullgild vottorð skal í starfsemi sinni fullnægja þeim kröfum sem nauðsynlegar eru til að tryggja örugga og áreiðanlega útgáfu vottorða.
    Vottunaraðili skal í þessu skyni:
    a.      viðhafa vandaðar stjórnunar- og starfsaðferðir,
    b.      hafa starfsfólk sem býr yfir þeirri sérfræðiþekkingu, reynslu og hæfni sem nauðsynleg er fyrir starfsemina og
    c.      hafa nægjanlegt fjármagn til að stunda starfsemina með hliðsjón af þeim kröfum sem gerðar eru í lögum þessum.

11. gr.
Kerfi og búnaður.
    Vottunaraðili skal í starfsemi sinni nota áreiðanleg kerfi og búnað sem eru varin gegn breytingum og tryggja öryggi dulritunar og tæknilegt öryggi.
    Ákvæðum 1. mgr. telst fullnægt ef vottunaraðilinn notar kerfi og búnað sem viðurkennd eru skv. 9. gr.
    Vottunaraðilinn skal grípa til aðgerða til að hindra möguleika á fölsun vottorða. Í þeim tilvikum sem vottunaraðilinn býr til undirskriftargögn skal hann tryggja leynd við framleiðsl una.

12. gr.
Skráningar- og afturköllunarþjónusta.
    Vottunaraðili sem gefur út fullgild vottorð skal koma á fót og starfrækja hraðvirkt og ör uggt kerfi fyrir skráningu og afturköllun á vottorðum. Þá skal hann tryggja að unnt sé að sjá nákvæmlega hvenær vottorð tók gildi og hvenær það var afturkallað. Upplýsingar um tak markanir á gildi vottorða skulu einnig liggja fyrir, sbr. 9. tölul. 1. mgr. 7. gr.

13. gr.
Kennsl borin á undirritanda.
    Vottunaraðili sem gefur út fullgild vottorð skal sannreyna með viðeigandi hætti deili á undirritanda og aðrar frekari upplýsingar um hann.
    Upplýsingar um aðferðir þær sem notaðar eru skv. 1. mgr. skulu aðgengilegar almenningi.

14. gr.
Geymsla upplýsinga.
    Vottunaraðili sem gefur út fullgild vottorð skal geyma allar viðeigandi upplýsingar um vottorðið í hæfilega langan tíma.
    Vottunaraðilinn skal nota áreiðanleg kerfi við geymslu á vottorðum, þannig að:
    a.      enginn geti gert breytingar eða viðbætur á vottorðum, nema þeir sem til þess hafa sér staka heimild,
    b.      unnt sé að athuga hvort upplýsingar eru réttar,
    c.      vottorð sé eingöngu aðgengilegt almenningi ef undirritandi hefur samþykkt það sérstak lega og
    d.      hugsanlegar tæknilegar breytingar, sem geta stefnt öryggiskröfum í hættu, séu sýnilegar þeim sem starfrækja kerfið.
    Vottorðin skulu geymd þannig að unnt sé að sannprófa þau.
    Vottunaraðilanum er ekki heimilt að geyma eða afrita undirskriftargögn undirritanda.

15. gr.
Upplýsingar um skilmála, takmarkanir o.fl.
    Áður en vottunaraðili gerir samning um útgáfu fullgilds vottorðs skal hann upplýsa undirritanda skriflega og með varanlegum hætti um:
    a.      skilmála og takmarkanir á notkun vottorðsins,
    b.      valfrjáls faggildingarkerfi sem starfrækt eru og
    c.      meðferð kvartana og úrlausn deilumála.
    Upplýsingar skv. 1. mgr. má senda rafrænt, enda séu þær á læsilegu formi og á auðskiljan legu máli. Þessar upplýsingar skulu, eftir því sem við á, vera aðgengilegar þriðja aðila sem treystir á vottorð og óskar eftir þeim.

16. gr.
Nánari reglur.
    Viðskiptaráðherra er heimilt að setja nánari fyrirmæli í reglugerð um kröfur til vottunar aðila sem gefa út fullgild vottorð skv. V. kafla laga þessara.

VI. KAFLI
Skaðabótaábyrgð.
17. gr.
    Vottunaraðili sem gefur út fullgilt vottorð til almennings eða ábyrgist gagnvart almenningi slíkt vottorð útgefið af öðrum er bótaskyldur vegna tjóns þess sem treystir á vottorð með eðlilegum hætti, að því er varðar:
    a.      að upplýsingar í vottorði hafi verið réttar þegar það var gefið út,
    b.      að vottorð hafi að geyma allar þær upplýsingar sem kveðið er á um í 7. gr.,
    c.      að undirritandi hafi við útgáfu vottorðs haft undir höndum undirskriftargögn sem svara til þeirra sannprófunargagna sem koma fram í vottorði,
    d.      að tiltekin undirskriftargögn svari eingöngu til tiltekinna sannprófunargagna og að til tekin sannprófunargögn svari eingöngu til tiltekinna undirskriftargagna þegar vottunar aðili býr bæði gögnin til eða
    e.      að vottorð sé réttilega skráð í afturköllunarlista skv. 12. gr.
    Vottunaraðili er ekki skaðabótaskyldur skv. 1. mgr. ef hann sannar að tjón verði ekki rakið til sakar hans.
    Ef notkun vottorðs er andstæð takmörkunum á gildissviði þess eða á fjárhæð viðskipta og mögulegt er að kynna sér slíkar takmarkanir er vottunaraðili ekki skaðabótaskyldur vegna þess tjóns sem stafar af slíkri notkun.

VII. KAFLI
Eftirlit með vottunaraðilum sem gefa út fullgild vottorð.
18. gr.
Skráning og eftirlitsgjald.
    Vottunaraðili sem hyggst gefa út fullgild vottorð skal senda tilkynningu um starfsemi sína til Löggildingarstofu. Eftir að slík tilkynning hefur verið send getur vottunaraðili gefið út fullgild vottorð. Í tilkynningunni skulu koma fram þær upplýsingar sem nauðsynlegar eru til að sýna fram á að vottunaraðili fullnægi skilyrðum laga þessara í starfsemi sinni, m.a. upp lýsingar um starfsemi, skipulag, kerfi og búnað. Breytingar og nýjar upplýsingar skulu sendar án tafar til eftirlitsaðila.
    Vottunaraðilar sem gefa út fullgild vottorð skulu greiða gjald til að standa straum af kostnaði eftirlits samkvæmt lögum þessum. Eftirlitsgjaldið skal renna beint til Löggildingar stofu og vera innheimt af henni. Aðför má gera til fullnustu kröfum um eftirlitsgjald án undangengins dóms, úrskurðar eða sáttar. Greiða skal 200 kr. fyrir hvert fullgilt vottorð sem gefið er út. Þó skal vottunaraðili aldrei greiða lægra eftirlitsgjald en 1.000.000 kr. á ári. Ef vottunaraðili byrjar eða hættir starfsemi á gjaldárinu skal lágmarksárgjaldið ákvarðað í réttu hlutfalli við þann tíma sem starfrækslan varði á árinu.
    Gjalddagi eftirlitsgjalds er 1. febrúar ár hvert vegna síðasta almanaksárs.
    Ráðherra getur sett nánari fyrirmæli um tilhögun skráningar, tilkynningar og upplýsinga gjöf í reglugerð.

19. gr.
Eftirlit.
    Löggildingarstofa skal hafa eftirlit með því að starfsemi vottunaraðila sem gefa út fullgild vottorð sé í samræmi við ákvæði laga þessara og reglna settra á grundvelli þeirra, sbr. þó 2. mgr. 5. gr.
    Löggildingarstofa getur bannað starfsemi og aðstæður sem stríða gegn ákvæðum laga þessara og reglna settra á grundvelli þeirra. Þá er heimilt að setja skilyrði fyrir áframhaldandi starfsemi og veita fresti til að fullnægja slíkum skilyrðum.
    Löggildingarstofa getur krafist þess að fram fari endurskoðun á kerfi, búnaði og starfs skipulagi vottunaraðila sem gefa út fullgild vottorð (endurskoðun upplýsingatækni). Lög gildingarstofa getur tilnefnt þá aðila sem hafa heimild til að annast slíka endurskoðun. Vott unaraðili skal bera kostnað af slíkri endurskoðun.
    Löggildingarstofa getur svipt vottunaraðila heimild til að kalla vottorð sem hann gefur út „fullgild vottorð“ ef hann hefur gróflega eða ítrekað brotið gegn ákvæðum laga þessara eða reglum settum á grundvelli þeirra.
    Ráðherra getur sett nánari fyrirmæli um tilhögun eftirlits í reglugerð.

20. gr.
Athugun, aðgangur og þagnarskylda.
    Afhenda skal Löggildingarstofu allar þær upplýsingar og skýringar sem henni eru nauð synlegar vegna eftirlitsins. Er Löggildingarstofu heimilt að setja fresti til afhendingar upp lýsinga eða skýringa. Einnig getur Löggildingarstofa kvatt vottunaraðila og þá sem starfa á þeirra vegum á sinn fund til að veita upplýsingar og skýringar varðandi útgáfu á vottorðum eða aðra þjónustu í tengslum við rafrænar undirskriftir.
    Löggildingarstofu er án dómsúrskurðar heimill aðgangur í eftirlitsstörfum sínum að starfsstöð vottunaraðila eða öðrum þeim stöðum þar sem starfsemi sem fellur undir eftirlit laga þessara fer fram. Hún getur þar framkvæmt þær eftirlitsaðgerðir sem hún telur nauðsyn legar og krafist þess að starfsmenn á þeim stöðum veiti nauðsynlega aðstoð. Löggildingar stofa getur óskað liðveislu lögreglu ef tilraun er gerð til að hindra hana í eftirlitsstörfum sínum.
    Réttur Löggildingarstofu til þess að krefjast upplýsinga eða aðgangs að starfsstöðinni og tækjabúnaði verður ekki takmarkaður með vísan til reglna um þagnarskyldu.
    Starfsmenn Löggildingarstofu eru bundnir þagnarskyldu. Þeir mega ekki að viðlagðri ábyrgð skýra óviðkomandi frá því er þeir komast að í starfi sínu og leynt á að fara um við skipti og rekstur vottunaraðila, tengdra aðila eða annarra. Sama gildir um sérfræðinga sem starfa fyrir Löggildingarstofu að eftirlitsstarfi samkvæmt lögum þessum. Þagnarskyldan helst þótt látið sé af starfi.

21. gr.
Dagsektir.
    Löggildingarstofa getur lagt dagsektir á vottunaraðila að liðnum tilteknum fresti, veiti hann ekki umbeðnar upplýsingar, fari ekki eftir kröfum hennar um úrbætur eða sinni ekki kröfum eftirlitsins að öðru leyti.
    Fjárhæð dagsekta skal ákvörðuð með hliðsjón af umfangi rekstrar vottunaraðila og eðli brotsins. Dagsektir geta numið frá 10.000 kr. til 1 millj. kr. á dag. Þær greiðast þar til farið hefur verið eftir kröfum Löggildingarstofu. Óinnheimtar dagsektir falla ekki niður þrátt fyrir að orðið sé við kröfum Löggildingarstofu, nema Löggildingarstofa ákveði það sérstaklega.
    Dagsektir eru aðfararhæfar og renna í ríkissjóð að frádregnum kostnaði við innheimtuna. Ákvörðun Löggildingarstofu um dagsektir verða ekki kærðar til ráðherra.

VIII. KAFLI
Ýmis ákvæði.
22. gr.
Vottunaraðilar sem hafa staðfestu utan Íslands.
    Vottorð, gefin út af vottunaraðilum sem hafa staðfestu utan Íslands, skulu teljast fullgild vottorð í skilningi laga þessara ef:
    a.      vottunaraðilinn fullnægir ákvæðum laga þessara og hefur verið viðurkenndur af val frjálsu faggildingarkerfi á Evrópska efnahagssvæðinu,
    b.      vottunaraðili sem hefur staðfestu á Evrópska efnahagssvæðinu og uppfyllir ákvæði laga þessara ábyrgist vottorðið,
    c.      vottorðið stafar frá vottunaraðila sem hefur staðfestu í landi á Evrópska efnahagssvæð inu og uppfyllir kröfur þess lands til fullgildra vottorða eða
    d.      vottorðið eða vottunaraðilinn er viðurkenndur í tvíhliða eða marghliða samningum milli Íslands, Evrópubandalagsins, ríkja utan Evrópubandalagsins eða alþjóðlegra stofnana.

23. gr.
Viðurlög.
    Fyrir brot gegn lögum þessum skal refsað með sektum nema þyngri refsing liggi við samkvæmt öðrum lögum.
    Dæma má lögaðila jafnt sem einstaklinga til greiðslu sekta vegna brota á lögum þessum. Um refsiábyrgð lögaðila fer samkvæmt II. kafla A almennra hegningarlaga.

24. gr.
Gildistaka.
    Lög þessi öðlast þegar gildi. Þau eru sett með hliðsjón af ákvörðun sameiginlegu EES- nefndarinnar nr. 66/2000, um breytingu á XI. viðauka (Fjarskiptaþjónusta) við EES-samn inginn frá 2. maí 1992, og til þess að taka upp í innlendan rétt ákvæði tilskipunar Evrópu þingsins og ráðsins 1999/93/EB frá 13. desember 1999, um ramma bandalagsins varðandi rafrænar undirskriftir.

Athugasemdir við lagafrumvarp þetta.
1. Almennt.
    Með frumvarpi þessu er stefnt að því að setja í lög reglur um réttaráhrif rafrænna undir skrifta, vottunaraðila sem gefa út fullgild vottorð, eftirlit með þeim vottunaraðilum og bóta ábyrgð þeirra. Þá er í frumvarpinu gerð tillaga um að innleiða í íslensk lög tilskipun Evrópu þingsins og ráðsins 1999/93/EB frá 13. desember 1999, um ramma bandalagsins varðandi rafrænar undirskriftir (hér eftir nefnd tilskipunin).
    Frumvarpi þessu er m.a. ætlað að stuðla að öryggi í viðskiptum og öðrum samskiptum í opnum kerfum, t.d. internetinu. Kannanir hafa sýnt að menn telja að öryggi skorti í rafrænum samskiptum og stundi þau því í minna mæli en ella. Áhyggjurnar stafa af því að í opnu kerfi eins og netinu standa menn ekki augliti til auglitis. Sú staðreynd ásamt öðrum einkennum netsins geta m.a. leitt til eftirfarandi:
    *      að sendandi hafi möguleika á að neita því að hafa sent upplýsingar,
    *      að unnt sé að breyta upplýsingum eftir móttöku þeirra,
    *      óvissu um að gagnaðilinn sé raunverulega sá sem hann segist vera,
    *      óvissu um að upplýsingum hafi ekki verið breytt við sendingu á milli aðila.
    Erfitt getur verið að koma í veg fyrir öll þau vandamál sem skapast við samskipti í opnu kerfi. Þó er stöðugt verið að þróa aðferðir til þess að gera rafræn viðskipti öruggari. Rafrænar undirskriftir og dulritun eru þær aðferðir sem mest er horft til nú. Talið er að vel heppnuð framkvæmd við útfærslu á rafrænum undirskriftum sé grundvallaratriði til að byggja upp traust í rafrænum samskiptum og geti þannig orðið til þess að samskiptin nái þeirri útbreiðslu sem vonir standa til. Í því sambandi er ekki nauðsynlegt að komið verði upp einu undir skriftarkerfi, heldur að kerfin geti virkað saman. Fyrirsjáanlegt er að rafrænar undirskriftir verði notaðar í viðskiptum, í samskiptum á milli borgara og stjórnsýslu og stjórnvalda inn byrðis, t. d. á sviði opinberra útboða, skattamála, félagslegrar aðstoðar, heilbrigðismála og réttarfars.
    Þar sem rafrænar undirskriftir eru taldar forsenda þess að hægt sé að skapa nauðsynlegt öryggi í rafrænum viðskiptum er mikilvægt að lagagrundvöllur þeirra sé fullnægjandi. Að sama skapi er mikilvægt að ekki sé vafi á að heimilt sé að nota rafrænar undirskriftir þegar undirskrift er nauðsynleg samkvæmt lögum, stjórnvaldsfyrirmælum eða af öðrum orsökum. Sú staðreynd að frumvarp þetta kveður á um öryggiskröfur í tengslum við fullgildar rafrænar undirskriftir mun stuðla að því að skapa nauðsynlegt öryggi í rafrænum viðskiptum hér á landi. Þá stuðla ákvæði frumvarpsins einnig að fyrirsjáanleika í slíkum viðskiptum, en sam kvæmt þeim verður unnt að treysta því að fullgild rafræn undirskrift hafi að jafnaði sömu réttaráhrif og handrituð.

Hvað er rafræn undirskrift?
    Eins og hugtakið rafræn undirskrift er notað í frumvarpi þessu er átt við þau gögn sem verða til þegar tiltekinn búnaður eða aðferð er notuð til þess að brengla efni sendingar með ákveðnum hætti. Í brenglunarferlinu er fyrst notuð svokölluð tæting (e. hash function) og síðar dulritun (e. encryption). Hin rafrænu gögn sem koma út úr því ferli teljast hin rafræn undirskrift.

Hvernig fer dulritun fram?
    Sendandi notar sérstakan dulritunarlykil til að dulrita tiltekin gögn. Þegar móttakandi hefur tekið við gögnum notar hann sérstakan dulritunarlykil sinn til að koma því yfir á læsi legt form, þ.e. dulráða það. Ef sami lykill er notaður bæði við dulritun og dulráðningu telst dulritunin samhverf. Ef sinn hvor lykillinn er notaður telst dulritunin ósamhverf. Sú tækni sem mest er notuð nú um stundir í tengslum við rafrænar undirskriftir og dulritun er svokallað dreifilyklakerfi (e. PKI: Public Key Infrastructure). Það er ósamhverft dulritunar kerfi. Í því er öðrum lyklinum alltaf haldið leyndum og nefnist hann einkalykill (e. private key). Ef eigandi einkalykilsins vill opna fyrir dulrituð samskipti við marga aðila gerir hann hinn lykil sinn opinberan með einhverjum hætti. Sá lykill er nefndur dreifilykill (e. public key). Þannig getur hann dulritað sendingar með einkalykli sínum, sem móttakendur geta dulráðið með dreifilyklinum. Þá geta þeir sem senda upphaflega sendandanum gögn dulritað þau með dreifilykli hans, sem hann síðar dulræður með einkalykli sínum. Þannig er tryggt að einungis réttur móttakandi geti lesið gögnin.

Hvernig stuðla rafrænar undirskriftir og dulritun að öryggi í rafrænum samskiptum?
Skýringarmynd:

Figure
Graphic file . with height 569 p and width 414 p Left aligned

    1.      Sendandi skrifar texta.
    2.      Sendandi tætir textann, þannig að út kemur tætigildi.
    3.      Sendandi dulritar textann með einkalykli sínum. Dulritaða tætigildið er því hin eiginlega rafræna undirskrift.
    4.      Sendandi skeytir textanum saman við rafrænu undirskriftina.
    5.      Sendandi gæti sent skeytið án þess að dulrita það frekar. Hins vegar gætu þá allir þeir sem hefðu aðgang að dreifilykli sendanda dulráðið skeytið. Sendandi dulritar því send inguna í heild með dreifilykli móttakanda. Það tryggir að eingöngu móttakandi getur dulráðið sendinguna. Þannig tryggir þessi aðgerð að sendingin er trúnaðarsending (e. confidential).
    6.      Sendingin er send um internetið.
    7.      Við móttöku notar móttakandi einkalykil sinn til að dulráða sendinguna.
    8.      Móttakandi tekur rafrænu undirskriftina og dulræður hana með dreifilykli sendanda. Þá fær hann út textann og tætigildið. Ef dulráðningin gengur veit hann að eingöngu send andi hefur getað sent textann, þar sem hann er sá eini sem hefur viðkomandi einkalykil. Sendandi getur því ekki neitað að hafa sent sendinguna. Þannig tryggir þessi aðgerð að kröfum um að unnt sé að sýna fram á frá hverjum upplýsingarnar eru er fullnægt (e. authentication). Einnig tryggir hún að sendandi gagnanna geti ekki neitað að hafa sent þau (e. non repudiation). Móttakandi veit hins vegar ekki enn hvort textanum hefur verið breytt á leiðinni um netið.
    9.      Móttakandi tætir textann með sama hætti og sendandi gerði og fær út tætigildi.
    10.      Að lokum ber móttakandi tætigildi sitt saman við það sem sendandi sendi. Ef þau eru hin sömu getur hann verið viss um að textanum hafi ekki verið breytt, þ.e.a.s. heilleiki gagnanna er tryggður (e. integrity).
            Rafræn undirskrift getur því verið notuð til að:
                a.      sýna fram á frá hverjum upplýsingar eru, þ.e. votta uppruna þeirra (e. authentica tion),
                b.      tryggja að sendandi gagnanna geti ekki neitað að hafa sent þau (e. non repudiation),
                c.      sannprófa heilleika gagnanna, þ.e. að þeim hafi ekki verið breytt (e. integrity).
    Dulritun getur aftur á móti hjálpað til við að halda upplýsingum og samskiptum á trún aðarstigi (e. confidential). Þar sem rafræn undirskrift og dulritun geta m.a. verið notuð til að gera samninga á netinu, tryggja heilleika gagna eða tryggja öryggi greiðslna stuðla þau að öryggi í rafrænum samskiptum.

Hvað gera vottunaraðilar?
    Það ferli sem lýst er hér að framan með skýringarmynd hefur einn galla. Móttakandi hefur enga tryggingu fyrir því að sendandi eigi raunverulega dreifilykilinn sem hann notar til að dulráða sendinguna (sjá lið átta við skýringarmynd). Ef sendandi og móttakandi gætu hist og skipst á dreifilyklum og þannig gengið úr skugga um eignarhald á viðkomandi lyklum væri vandamálið úr sögunni. Það er hins vegar ekki alltaf mögulegt þegar menn eiga sam skipti á netinu. Því hafa vottunaraðilar hlutverki að gegna við notkun rafrænna undirskrifta. Vottunaraðilar eru þeir aðilar sem segja fyrir um hverjir nota tiltekna lykla, með því að gefa út sérstök vottorð þar að lútandi. Vottorð inniheldur tiltekinn dreifilykil og staðfestingu á hver sé réttur notandi hans.

Meginefni frumvarpsins.
    Frumvarp þetta fjallar að meginstefnu til aðeins um svokallaðar fullgildar rafrænar undir skriftir, þ.e. undirskriftir sem fullnægja tilteknum ströngum öryggiskröfum og þjónustu þeim tengdum.
    Frumvarpið kveður á um þá meginreglu að fullgild rafræn undirskrift skuli ætíð vera jafngild handritaðri, þegar lög, stjórnsýslufyrirmæli eða annað mælir fyrir um að handrituð undirskrift sé nauðsynleg. Meginreglan takmarkast þó af því að lög leggi ekki sérstakar hindranir gegn rafrænum samskiptum. Þá mælir frumvarpið fyrir um þær ströngu kröfur sem slíkar fullgildar rafrænar undirskriftir skulu fullnægja. Einnig segir það til um þær kröfur sem gerðar eru til vottunaraðila sem gefa út vottorð sem styðja slíkar undirskriftir. Loks kveður það á um það eftirlit sem hið opinbera (Löggildingarstofa) mun hafa með slíkum vottunaraðilum og bótaábyrgð þeirra.
    Þar sem um er að ræða svið í mikilli og hraðri þróun er mikilvægt að lagasetningu sé hagað þannig að hún verði hvorki úrelt innan skamms tíma né hamli gegn tæknilegri þróun. Reynt hefur verið að koma í veg fyrir það með því að hafa ákvæði frumvarpsins eins tækni lega hlutlaus og mögulegt er.

2. Bakgrunnur frumvarpsins.
2.1. Innleiðing tilskipunar EB um rafrænar undirskriftir í íslenskan rétt.
    Tillaga að tilskipun um rafrænar undirskriftir var lögð fram af framkvæmdastjórn Evrópu sambandsins hinn 13. maí 1998, með vísan til 2. mgr. 57. gr., 66. gr. og 100. gr. A Rómar sáttmálans og formlegrar meðferðar skv. 189. gr. B. Tillagan var gerð í framhaldi af beiðni ráðsins frá 1. desember 1997. Tilskipunin var samþykkt 13. desember 1999 og birt í Stjórnar tíðindum EB 19. janúar 2000. Skulu aðildarríkin innleiða hana í rétt sinn innan 18 mánaða frá þeim tíma.
    Þróun rafrænna viðskipta í heiminum um opið kerfi kallar á notkun rafrænna undirskrifta með tilheyrandi vottun þeirra. Þar sem aðildarríki Evrópusambandsins höfðu ólíkar reglur um lagalega viðurkenningu á rafrænum undirskriftum og ólíkar öryggiskröfur til vottunar aðila gat það skapað hindrun fyrir rafræn viðskipti í Evrópusambandinu og staðið í vegi fyrir þróun hins innri markaðar. Því var talið nauðsynlegt að setja samræmdar reglur um notkun rafrænna undirskrifta.
    Í tilskipuninni eru settar lágmarksreglur um öryggi og ábyrgð við útgáfu fullgildra raf rænna undirskrifta. Þá er tryggt að rafrænar undirskriftir njóti viðurkenningar að lögum í löndum sambandsins á grundvelli reglunnar um eftirlit heimaríkis.

2.2. Sérstök lög um rafrænar undirskriftir.
    Ljóst er að stór hluti tilskipunarinnar um rafrænar undirskriftir gerir þá kröfu til aðildar ríkjanna að þau innleiði annaðhvort með löggjöf eða stjórnvaldsfyrirmælum þær reglur sem þar koma fram. Um tvo möguleika er að ræða við innleiðingu tilskipunarinnar: að setja ákvæði í þá löggjöf sem fyrir hendi er eða setja ný lög.
    Hluti tilskipunarinnar varðar atriði sem þegar er fjallað um í íslenskri löggjöf, t.d. ákvæði um skaðabótaábyrgð, vernd persónuupplýsinga og sönnunarreglur. Stærsti hluti ákvæða til skipunarinnar fjallar hins vegar um atriði sem ekki er hægt að finna stað í gildandi löggjöf. Þar fyrir utan eru mörg ákvæði tilskipunarinnar mjög tæknileg og svo tengd að ekki er fýsi legt að dreifa þeim í mörg lög. Einnig er það hagkvæmast fyrir vottunaraðila að hafa reglur er fjalla um starfsemi þeirra í einum lögum. Þar sem um er að ræða reglusetningu á nýju sviði er lítil hætta á því að settar séu reglur sem stangast á við gildandi löggjöf. Því hefur verið komist að þeirri niðurstöðu að rétt sé að setja sérstaka löggjöf um rafrænar undirskriftir.

2.3. Vinna í tengslum við rafrænar undirskriftir og frumvarpið.
    Í stefnumörkun iðnaðar- og viðskiptaráðuneytisins um rafræn viðskipti frá því í mars 1999 kom m.a. fram að nauðsynlegt væri að setja reglur í íslenskan rétt um rafrænar undirskriftir. Í framhaldi af því skipaði iðnaðar- og viðskiptaráðherra sérstaka nefnd um rafrænar undir skriftir sem skyldi vinna að mótun lagaramma um rafrænar undirskriftir, m.a. með hliðsjón af tillögum EB. Í nefndina voru skipaðir Gunnar Jónsson hrl., Birgir Már Ragnarsson, þá deildarsérfræðingur í iðnaðar- og viðskiptaráðuneytinu, Jakob Falur Garðarsson, þá fram kvæmdastjóri ICEPRO, og Jónas Þór Guðmundsson, þá deildarsérfræðingur í dómsmálaráðu neytinu. Nefndin fól Birgi Má Ragnarssyni að semja frumvarp um rafrænar undirskriftir. Nefndin skilaði tillögu sinni til iðnaðar- og viðskiptaráðherra hinn 5. september 2000, en lokahönd hefur verið lögð á verkið af hálfu ráðuneytisins.
    Sóttir voru fundir og ráðstefnur á alþjóðlegum vettvangi til að tryggja að íslensk löggjöf yrði sem best úr garði gerð. Fyrst og fremst var um að ræða vinnu innan Norðurlandanna og Evrópusambandsins í tengslum við tilskipun um rafrænar undirskriftir. Þá var fylgst náið með þróun og vinnu hjá alþjóðlegum stofnunum og samtökum. Má þar helst nefna vinnu innan OECD og Sameinuðu þjóðanna (UNCITRAL) en þar hefur farið fram mikil vinna til stuðla að samræmingu og gagnkvæmri viðurkenningu á alþjóðavettvangi. Einnig var fylgst með þróun innan einstakra landa.

2.4. Norræn samvinna.
    Löng hefð er fyrir norrænni samvinnu á sviði lagasetningar. Markmið tilskipunarinnar er að skapa sameiginlegan ramma um rafrænar undirskriftir sem fjarlægi hindranir sem standa í vegi fyrir rafrænum viðskiptum milli landa. Með hliðsjón af þessu markmiði og vegna fyrri samvinnu Norðurlandanna var ákveðið að hefja norræna samvinnu um rafrænar undirskriftir til að ná sem mestri samræmingu í viðkomandi reglusetningu. Sérfræðingar Norðurlandanna á þessu sviði hafa haldið reglulega fundi til að tryggja samræminguna og miðla af þekkingu og reynslu hvers lands.
    Strax á árinu 1998 sömdu Danir frumvarp til laga um rafrænar undirskriftir. Í frumvarpinu var m.a. kveðið á um að allar gerðir rafrænna undirskrifta skyldu njóta viðurkenningar að lögum. Ein afleiðing þessa hefði orðið sú að stjórnvöld hefðu orðið að fjárfesta í nýjum og dýrum kerfum til að geta móttekið og fylgst með öllum gerðum rafrænna undirskrifta. Af þeim sökum og einnig vegna þess að á vettvangi Evrópusambandsins hófst vinna við til skipun um rafrænar undirskriftir var frumvarpið dregið til baka. Nú hafa Danir samþykkt ný lög um rafrænar undirskriftir og tóku þau gildi 1. október 2000.
    Í Noregi hefur frumvarp um rafrænar undirskriftir verið samþykkt af þinginu en það bíður nú staðfestingar konungs.
    Svíar hafa lokið við vinnu við frumvarp sitt um rafrænar undirskriftir. Þinglegri meðferð frumvarpsins er einnig lokið og tóku hin samþykktu lög gildi 1. janúar síðastliðinn.
    Í desember 1999 settu Finnar lög um rafræn samskipti í stjórnsýslunni og lög um svo kölluð borgarakort. Finnar eru að semja frumvarp um rafrænar undirskriftir og stefna að því að leggja það fram á árinu 2001.

3. Nokkur meginhugtök og grundvallaratriði.

3.1. Hvað er rafræn undirskrift?
3.1.1.    Rafræn undirskrift í víðri merkingu.
    Rafræn undirskrift (e. electronic signature) er almennt og tæknilega hlutlaust hugtak sem vísar til samansafns allra hugsanlegra aðferða sem hægt er að nota til að undirrita rafrænar upplýsingar. Þessar aðferðir geta t.d. verið undirritun í tölvupósti, skönnuð eiginhandarundir ritun, vefsíðufang, líffræðileg kennimerki eins og skönnun á fingri eða auga og stafrænar undirskriftir byggðar á rafrænum lyklum og vottorðum.

3.1.2.    Rafræn undirskrift í þrengri merkingu.
    Nú er almennt ekki talað um rafrænar undirskriftir í svo víðtækum skilningi sem hér að ofan. Yfirleitt er átt við undirskrift í rafrænu formi sem er hluti af eða skýrt tengd rafrænum gögnum sem notuð er til að sannprófa uppruna gagnanna. Í eiginlegum skilningi er rafræn undirskrift í því fólgin að tiltekinn búnaður eða aðferð eru notuð til þess að dulrita efni sendingar, í heild eða að hluta, og dulráðning sendingarinnar sannprófar rétt efni sendingar, uppruna hennar og sendanda.
    Frá tæknilegu sjónarhorni er rafræn undirskrift hins vegar tilteknar rafrænar upplýsingar. Þessar upplýsingar eru eins og aðrar rafrænar upplýsingar táknaðar með rafhleðslum og eyð um í minni tölvu sem eftir atvikum er hægt að flytja til annarrar tölvu með sendingu rafboða og gera þannig aðgengilegar öðrum.
    Langflestar þeirra aðferða sem notaðar eru til að mynda undirskriftir núna eru stafrænar. Stafræn undirskrift (e. digital signature) er hugtak sem er notað um tiltekna tækni til að búa til rafrænar undirskriftir. Þá eru notuð svokölluð dreifilyklakerfi (e. Public Key Infrastruc ture) til að undirrita upplýsingar. Þessi aðferð er sú algengasta og hefur bæði ýtt undir tæknilega þróun, og víðtæk viðbrögð í lagasetningu. Í eiginlegri merkingu er stafræn undir skrift dulritun stafrænna upplýsinga með einkalykli (e. private key). Þá er unnt að staðfesta hver eigandi einkalykilsins sé og heilleika skilaboðanna með notkun á samsvarandi dreifi lykli (e. public key) og vottorði vottunaraðila á dreifilyklinum. Stafræn undirskrift er hins vegar frá tæknilegu sjónarhorni samsafn af ritstafatáknum (e. alphanumeric) sem gert er með algóritma við dulritun.
    Hugtakið rafræn undirskrift er víðtækara en stafræn undirskrift þar sem hið fyrrnefnda vísar ekki til ákveðinnar tækni við undirskrift, eins og hið síðarnefnda gerir. Í löggjöf eru núna hugtökin stafræn undirskrift og rafræn undirskrift notuð jöfnum höndum. Þó hefur þró unin verið sú undanfarið að almennt er notað hugtakið rafræn undirskrift, enda samrýmist það betur þeirri stefnu við lagasetningu að hafa tæknilegt hlutleysi að leiðarljósi til að hamla ekki gegn þróun. Í ákvæðum frumvarps þessa verður hugtakið rafræn undirskrift notuð og er þá vísað til hugtaksins í þrengri merkingu.

3.2. Dulritun og stafrænar undirskriftir.
    Í öllum nútímaaðferðum er notast við dulritun til að búa til og sannreyna rafrænar undir skriftir. Með hvers konar dulritun er upplýsingum komið þannig fyrir að þær eru eingöngu skiljanlegar þeim sem hefur undir höndum viðeigandi dulmálslykil. Stafrænar undirskriftir grundvallast í stuttu máli á þeirri hugmynd að persónuleg staðfesting sé send með þeim hætti að viðtakandi geti sannreynt að hún stafi frá tilteknum aðila en jafnframt þannig að viðtakanda sé ekki unnt að senda gögn áfram og gefa til kynna að hann sé hinn upprunalegi sendandi.
    Ein algengasta aðferðin við að búa til rafrænar undirskriftir er með svokölluðu dreifi lyklakerfi. Þá er notuð tiltekinn algóritmi (e. algorithm) sem býr til mismunandi en skylda lykla, sem kallaðir eru dreifilykill og einkalykill, með því að margfalda tvær stórar og mis munandi prímtölur. Annar lykillinn er notaður til að umrita undirskriftina í dulmál, þ.e. dul rita (e. encipher), en hinn er notaður til að lesa úr dulmálinu þ.e. dulráða (e. decipher) og sannprófa undirskriftina.
    Notendur slíkra undirskrifta fá útgefna til sín ofangreinda tvo lykla, þ.e. einkalykil og dreifilykil. Gert er ráð fyrir að dreifilyklinum sé dreift með því að senda hann með þeim gögnum sem undirrituð eru hverju sinni eða láta hann í vörslur þriðja aðila sem síðan veitir aðgang að honum, t.d. á netinu. Einkalyklinum verður eigandinn að halda leyndum. Einka lykillinn getur verið geymdur á margan hátt, t.d. á snjallkorti, símakorti eða í minni tölvu.
    Þegar sendandi undirritar gögn eða einhvers konar upplýsingar afmarkar hann fyrst það efni sem hann ætlar að staðfesta með undirskriftinni. Að því loknu skipar hann tölvunni að tæta upplýsingarnar sem skapar tiltekið tætigildi. Tölvan dulkóðar síðan tætigildið með einkalykli sendanda, þannig að út komi hin rafræna undirskrift. Það tryggir að móttakandi sé viss um að sendandi hafi sent skeytið, þar sem eingöngu er unnt að dulráða sendinguna með dreifilykli sendanda.
    Við tætingu er notaður algóritmi, sem virkar eingöngu í aðra áttina, þ.e. ekki er unnt að afbrengla tætigildið til þess að sjá upplýsingarnar sem hafa verið tættar. Því eru læsileg gögn (ódulrituð og ekki tætt) send með rafrænu undirskriftinni.
    Ef sendandinn ákveður að dulrita gögnin með dreifilykli móttakanda er aðeins hægt að dulráða gögnin með einkalykli móttakandans. Innihaldið er því dulritað á þann hátt að enginn annar en móttakandinn sem hefur einkalykilinn getur lesið þau.
    Tölva móttakandans tekur við skeytinu og notar dreifilykil sendandans til að leysa úr dul ritun undirskriftarinnar með því að finna tætigildi hennar. Því næst eru gögnin tætt með sama algóritmanum og sendandi notaði við tætinguna. Loks ber móttakandi tætigildin saman. Ef gögnunum hefur verið breytt í sendingunni eru tætigildin ekki hin sömu.

3.3. Vottun á rafrænum undirskriftum – vottunaraðilar.
    Vottunaraðili er sérstakur þriðji aðili í samskiptum milli undirritanda og móttakanda sem báðir treysta. Hann vottar að dreifilykillinn stafi í raun frá undirritanda og móttakandi geti þannig treyst rafrænu undirskriftinni. Þetta ferli gerir það að verkum að aðili getur verið viss um að sendandi sé sá sem hann segist vera.
    Í frumvarpi þessu eru settar reglur um tiltölulega nýja gerð af þjónustu, þ.e. starfsemi vottunaraðila. Til að tryggja eftirfylgni við reglur frumvarpsins er sett á fót sérstakt eftirlit sem Löggildingarstofa mun rækja. Þá mun Persónuvernd hafa eftirlit með því að vottunar aðilar hagi meðferð persónuupplýsinga í samræmi við 5. gr. frumvarpsins og laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga.

3.4. Vottorð.
    Þegar undirritandi sendir undirrituð gögn getur hann sent vottorð með sem hefur að geyma dreifilykilinn hans og upplýsingar um undirritanda. Þannig er hægt að tengja tiltekna persónu við dreifilykilinn.
    Almennt eru í vottorði upplýsingar um það hver undirritandi er og gildistíma undirskriftar. Auk þess er mögulegt að nota vottorð við mismunandi viðskipti og vista þar viðeigandi upp lýsingar, t.d. um virðisaukaskattsnúmer, umboð undirritanda, sérstök leyfi og takmarkanir gildissviðs vottorðsins.
    Til eru margir staðlar um það hvaða upplýsingar má eða hægt er að gefa í vottorði og hvernig þær skuli settar fram, t.d. alþjóðlegi staðallinn X.509. Í frumvarpinu eru settar reglur um það hvað skuli koma fram í svokölluðu fullgildu vottorði, en þær eiga sér ekki hliðstæðu í gildandi staðli.
    Eins og fram hefur komið er hægt að dreifa vottorði með ýmsu móti, t.d. með því að birta það í þar til gerðum rafrænum skrám sem eru gerðar opinberar. Yfirleitt sendir sá sem undir ritar rafræn gögn vottorðið með opinbera lyklinum með gögnunum sem hann undirritar.
    Undirritandi getur gefið mismunandi upplýsingar um sig. Hann getur t.d. komið fram í eigin nafni, undir dulnefni eða sem fyrirsvarsmaður einhvers annars, t.d. fyrirtækis. Vottorð sem gefið er út til undirritanda vegna umboðs hans eða stöðu nefnast „stöðuvottorð“. Í slíku vottorði þarf ekki að koma fram nafn undirritanda heldur staða hans, t.d. að hann sé framkvæmdastjóri tiltekins fyrirtækis. Vottorð geta einnig verið gefin út til einstaklinga á grundvelli starfsheitis þeirra, t.d. lækna eða endurskoðenda. Slík vottorð kallast „starfsheitis vottorð“. Í sumum tilvikum er ekki nauðsynlegt að vita nákvæmlega hver undirritandi er, en mikilvægt að fá upplýsingar um starfsheiti hans eða stöðu. Í þeim tilvikum geta stöðu- eða starfsheitisvottorð verið fullnægjandi.
    Í vottorðinu ábyrgist vottunaraðilinn að það sé tiltekin persóna sem hafi forræði yfir viðkomandi einkalykli. Vottunaraðilinn undirritar þau vottorð sem hann gefur út með einka lykli sínum. Með þessu er tryggt að ekki sé unnt að breyta upplýsingum í vottorði. Þurfi að breyta slíkum upplýsingum þarf að afturkalla vottorðið og gefa út nýtt. Að sama skapi getur móttakandi treyst því að vottunaraðilinn sé raunverulega sá sem hann segist vera, ef unnt er að nota dreifilykil vottunaraðila til að dulráða vottorð sem hann hefur undirritað með einka lykli sínum. Dreifilykill þessi getur síðan verið vottaður af öðrum vottunaraðila. Þetta er grundvallaratriði í dreifilyklakerfi, þ.e. byggð er upp keðja af vottorðum sem endar í svo kallaðri rót. Með þessu er reynt að tryggja að í keðjunni sé alltaf aðili sem sá sem reiðir sig á vottorð telur sig geta treyst.
    Til eru margar tegundir vottorða sem endurspegla mismunandi öryggisstig. Þannig getur vottunaraðili gefið út vottorð með lágu öryggisstigi, þar sem einungis er krafist að undir ritandi láti í té gilt tölvupóstfang. Hins vegar getur verið krafist persónulegrar nærveru undirritanda og viðurkenndra persónuskilríkja áður en vottorð er gefið út sem telst uppfylla strangar öryggiskröfur. Eins og áður er getið er í frumvarpi þessu að meginstefnu til fjallað um fullgild vottorð sem uppfylla tilteknar strangar öryggiskröfur.

3.5. Vottunarstefna og vottunarframkvæmd.
    Í vottunarstefnu (e. Certification Policy) kemur fram hvernig stefnt er að því að standa að útgáfu og meðferð stafrænna vottorða. Í vottunarstefnu eru líka settar reglur um þær kröfur sem gerðar eru í þjónustunni til öryggis og eftirlits.
    Vottunarframkvæmd segir fyrir um hvernig vottunaraðili framkvæmir útgáfu vottorða. Vottunaraðili gefur gjarnan út skriflegar upplýsingar um þessa framkvæmd (e. Certification Practice Statement) þar sem fram koma upplýsingar um hvernig vottunaraðilinn framkvæmir vottunarstefnu sína.

3.6. Vandamál við notkun rafrænna undirskrifta.
    Hafa verður í huga að tæknileg þróun á sviði rafrænna undirskrifta er mjög hröð og að rafræn undirskrift sem telst örugg núna verður kannski ekki örugg gegn fölsun síðar. Því getur reynst erfitt að sanna að undirskrift, byggð á vottorði sem fallið er úr gildi, stafi frá undirritanda. Þetta getur haft áhrif á sönnunarmat rafrænna undirskrifta vegna samninga sem hafa langan gildistíma. Í slíkum tilvikum er nauðsynlegt að skrá í upphafi með hvaða hætti kennsl voru borin á undirritanda þegar samningurinn var gerður. Þá verður kerfi og búnaður aðila á þessu sviði að vera í stöðugri endurskoðun.

4. Tilskipun um rafrænar undirskriftir.
    Tilskipun EB um rafrænar undirskriftir á að vera tæknilega hlutlaus en fjallar í raun í öll um grundvallaratriðum um stafrænar undirskriftir og notkun á dreifilyklakerfi. Ekki er fyrirsjáanlegt að þetta valdi vandræðum því lausnir byggðar á notkun stafrænna undirskrifta og dreifilyklakerfi eru efstar á baugi nú. Þó er mögulegt að aðrar lausnir, eins og líffræðileg kennimerki, verði notuð í tengslum við stafrænar undirskriftir.
    Tilskipunin fjallar einnig um:
    Markaðsaðgang: Aðildarríkin mega ekki gera kröfur um að vottunaraðilar þurfi að fá leyfi fyrir fram til að stunda starfsemi sína. Þetta gildir einnig um aðrar ráðstafanir sem hafa sömu áhrif. Það er hins vegar ekkert sem kemur í veg fyrir að unnt sé að krefja vottunaraðila um að skrá sig áður en hann hefur starfsemi, svo lengi sem ekki er gerð krafa um annað en hann sendi inn upplýsingar til skráningar. Sú leið er farin í frumvarpi þessu.
    Einnig er heimilt að kveða á um valfrjáls faggildingarkerfi til að koma á vottunarkerfi með enn meiri öryggiskröfum en kveðið er á um í tilskipuninni. Ekki hefur verið talin þörf á að setja slíkt kerfi upp á Norðurlöndunum. Þá skulu ríkin tryggja að starfrækt sé kerfi til að hafa eftirlit með vottunaraðilum sem gefa út fullgild vottorð. Loks er heimilt að setja nánari reglur um notkun rafrænna undirskrifta hjá stjórnvöldum.
    Innri markaðinn: Vottunaraðilar, sem hafa staðfestu innan Evrópska efnahagssvæðisins, geta boðið þjónustu sína í öllum aðildarríkjunum. Ríkin skulu einnig tryggja að öruggur undirskriftarbúnaður sem uppfyllir ákvæði tilskipunarinnar, fái að flæða með frjálsum hætti innan svæðisins.
    Réttaráhrif: Tryggt skal að útfærð rafræn undirskrift, sem studd er fullgildu vottorði og gerð með öruggum undirskriftarbúnaði (fullgild rafræn undirskrift), njóti sömu stöðu að lögum og handskrifaðar undirskriftir og unnt sé að leggja þær fram sem sönnunargögn í dómi eins og gildir um handritaðar undirskriftir.
    Einnig skal tryggt að rafrænum undirskriftum sem ekki fullnægja skilyrðum laganna verði ekki neitað um réttaráhrif eingöngu á þeim grundvelli að þær séu rafrænar eða að þær fullnægi ekki skilyrðum laganna.
    Ábyrgð: Til að skapa traust hjá þeim sem reiða sig á vottorð eru í tilskipuninni reglur um skaðabótaábyrgð vottunaraðila sem gefa út fullgild vottorð til almennings. Ríkin skulu tryggja að slíkir vottunaraðilar séu ábyrgir fyrir því að upplýsingar sem fram koma í vottorði séu réttar, í samræmi við kröfur tilskipunarinnar og að persónan sem borin er kennsl á í vott orði sé undirritandi. Hins vegar verður vottunaraðilinn ekki bótaskyldur ef tjón verður ekki rakið til sakar hans. Vottunaraðilinn er heldur ekki bótaskyldur sé undirskrift notuð þannig að ekki samræmist takmörkunum þeim sem fram koma í vottorði.
    Alþjóðleg sjónarmið: Samkvæmt tilskipuninni skal útfærð rafræn undirskrift, sem studd er fullgildu vottorði og gerð er með öruggum undirskriftarbúnaði, fullnægi formskilyrðum laga um undirskrift í þeim tilvikum sem hægt er að framkvæma gerninginn rafrænt. Sú regla gildir án tillits til þess hvort undirskriftin er studd vottorði sem gefið er út í öðru ríki á Evrópska efnahagssvæðinu en Íslandi. Dómstólar skulu því líta eins á slíkar undirskriftir án tillits til þess hvar þær eru gefnar út innan Evrópska efnahagssvæðisins. Sú staða að einhver ríki geri strangari kröfur til vottunaraðila sem þar eru staðfastir hefur ekki áhrif.
    Samkvæmt 7. gr. tilskipunarinnar skal undir vissum kringumstæðum veita vottorðum sem gefin eru út utan Evrópska efnahagssvæðisins sömu réttarstöðu og fullgildum vott orðum sem gefin eru út af vottunaraðilum innan Evrópska efnahagssvæðisins. Sú regla gildir þegar vottunaraðilinn uppfyllir ákvæði laganna og hefur verið viðurkenndur af valfrjálsu faggildingarkerfi í aðildarríki EES-samningsins, vottunaraðili sem hefur stað festu á Evrópska efnahagssvæðinu og uppfyllir ákvæði laganna ábyrgist vottorðið og þegar vottorðið eða vottunaraðilinn er viðurkenndur í tvíhliða eða marghliða samningum milli Evrópusambandsins og landa utan sambandsins eða alþjóðlegra stofnana.
    Persónuvernd: Ríkin skulu tryggja að starfsemi vottunaraðila sé í samræmi við tilskipun 95/46/EB um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga. Vottunaraðila er eingöngu heimilt að safna þeim persónuupplýs ingum sem nauðsynlegar eru til útgáfu og viðhalds vottorðsins. Ekki er heimilt að nota slíkar upplýsingar til annars nema með beinu samþykki þess sem gögnin varða. Skal þeirra og aflað beint frá þeim sem upplýsingarnar varða.
    Ef undirritandi óskar skal í vottorði koma fram dulnefni í stað nafns undirritanda. Í slíkum tilvikum getur verið nauðsynlegt að stjórnvöld hafi aðgang að því hver dulnefnið ber. Séu slíkar upplýsingar veittar er rétt að veita undirritanda upplýsingar um það.
    Sérstaka nefnd: Samkvæmt 9. og 10. gr. tilskipunarinnar skal sett á fót nefnd til að aðstoða framkvæmdastjórn Evrópusambandsins við að framkvæma tilskipunina. Nefndin skal m.a. vinna að og skýra kröfur sem fram koma í viðaukum tilskipunarinnar og varðandi öruggan undirskriftarbúnað. EFTA-ríkin hafa rétt til setu í nefndinni án atkvæðisréttar.
    Mat á tilskipuninni: Gert er ráð fyrir að fylgst verði með tilskipuninni og framkvæmd hennar, m.a. til að meta hvort endurskoða þurfi hana í ljósi þróunar. Framkvæmdastjórnin skal leggja fyrir ráðið og þingið skýrslu um framkvæmdina í síðasta lagi þann 19. júlí 2003.
    Innleiðingu tilskipunarinnar: Aðildarríkin skulu innleiða tilskipunina innan 18 mánaða frá því að hún var birt í Stjórnartíðindum EB.

5. Meginefni frumvarpsins.
5.1. Landfræðilegt gildissvið.
    Ákvæði frumvarpsins gilda um vottunaraðila sem hafa staðfestu á Íslandi. Fyrir utan ákvæði frumvarpsins fellur því starfsemi vottunaraðila sem hafa staðfestu utan Íslands, þótt vottorðin séu gefin út til notkunar hér á landi. Það þýðir að reglur um eftirlit og skaðabóta ábyrgð í frumvarpinu gilda eingöngu um vottunaraðila sem hafa staðfestu á Íslandi.
    Byggt er á því í frumvarpinu að vottorð gefin út af vottunaraðilum sem hafa staðfestu utan Íslands en innan Evrópska efnahagssvæðisins hafi sömu réttaráhrif og fullgild vottorð sem gefin eru út af aðilum með staðfestu hér á landi, svo lengi sem þau fullnægi sambærilegum skilyrðum í heimalandi sínu og kveðið er á um í tengslum við fullgild vottorð í frumvarpi þessu. Einnig eru í frumvarpinu ákvæði um viðurkenningu á vottorðum frá vottunaraðilum sem hafa staðfestu utan Evrópska efnahagssvæðisins.
    Með „staðfestu“ er átt við þann stað þar sem raunveruleg starfsemi tiltekins félags fer fram. Félagaformið sem slíkt hefur ekki úrslitaáhrif. Hafa skal í huga í þessu sambandi að þótt félag t.d. skrái netþjón í öðru landi en raunveruleg starfsemi er hér á landi mundi það teljast hafa staðfestu hér á landi. Þessi nálgun er í samræmi við þá stefnu sem hefur verið tekin hvað varðar skilgreiningu á staðfestu innan Evrópusambandsins og á alþjóðlegum vettvangi.

5.2. Efnislegt gildissvið.
    Í 2. gr. frumvarpsins kemur fram að það gildi um alla vottunaraðila með staðfestu á Íslandi. Hins vegar eiga flest ákvæði frumvarpsins við um vottunaraðila með staðfestu hér á landi sem gefa út fullgild vottorð. Ákvæði 2. málsl. 1. mgr. 4. gr. um réttaráhrif og ákvæði 5. gr. um vernd persónuupplýsinga gilda þó um aðra vottunaraðila.
    Gengið er út frá því í tilskipuninni og frumvarpinu að gildissviðið takmarkist að megin stefnu til við starfsemi vottunaraðila sem gefa út fullgild vottorð til almennings. Rafrænar undirskriftir eru gjarnan notaðar í lokuðu umhverfi, svo sem innra neti fyrirtækja og í bankakerfinu. Þá eru vottorð og rafrænar undirskriftir einnig notuð til að framfylgja aðgangs takmörkunum, t.d. í heimabönkum. Meginreglan um samningsfrelsi gerir það að verkum að menn geta samið sín á milli um þá skilmála sem gilda í viðskiptum þeirra, þar á meðal um gildi rafrænna undirskrifta. Þannig geta þeir byggt upp nauðsynlegt traust sín í milli. Því hefur verið litið svo á að ekki sé þörf á sérstakri reglusetningu um vottorð sem gefin eru út til afmarkaðs hóps manna.
    Ef hins vegar vottunaraðilar sem gefa út vottorð til lokaðs hóps vilja eiga þess kost að kalla vottorð sín fullgild með þeim réttaráhrifum sem því fylgja, verða þeir að fullnægja ákvæðum frumvarpsins um slík vottorð. Slíkt getur verið nauðsynlegt fyrir aðila sem hyggj ast eingöngu gefa út vottorð til afmarkaðs hóps manna en hafa hug á að rafrænar undirskriftir sem styðjast við vottorð þeirra séu jafngildar handrituðum. Af þeim sökum er gert ráð fyrir því í gildissviði laganna að þau gildi einnig um þá aðila sem gefa út fullgild vottorð, sem þó er ekki dreift til almennings.
    Samkvæmt tilskipuninni er óheimilt að neita rafrænum undirskriftum sem ekki teljast fullgildar um gildi að lögum eða hindra að þær komist að sem sönnunargögn fyrir dómi. Ekki er nauðsynlegt að setja í lög ákvæði er kveður á um slíkt enda felst það nú þegar í megin reglum íslenskrar löggjafar um að samningar séu ekki formbundnir og um frjálsa sönnunar færslu fyrir dómstólum. Hins vegar er hnykkt á reglu þessari í 2. mgr. 4. gr. frumvarpsins til þess að stuðla að þekkingu manna á þessu sviði.
    Tilskipunin hefur ekki áhrif á ákvæði landsréttar um formskilyrði, t.d. kröfur um notkun tiltekinna skjala eða að samninga skuli gera skriflega. Í inngangsorðum tilskipunarinnar kem ur m.a. fram að henni sé ekki ætlað að samræma reglur landsréttar um samninga. Þá kemur einnig fram að ákvæði tilskipunarinnar um réttaráhrif rafrænna undirskrifta hafi ekki áhrif á formskilyrði við samningsgerð í landsrétti.

5.3. Skilgreiningar.
    Skilgreiningar þær sem notaðar eru í frumvarpinu eru byggðar á þeim skilgreiningum sem eru í tilskipuninni og eru nýjar í íslenskri löggjöf. Markmiðið er að nota skilgreiningar sem lýsa tilteknum atriðum í tengslum við tæknilega hlutlausar rafrænar undirskriftir. Auðveldara hefði verið að skilja frumvarpið ef notuð hefðu verið hugtök eins og „einkalykill“ í staðinn fyrir undirskriftargögn, „opinber lykill“ í stað sannprófunargagna og „stafræn undirskrift“ í stað útfærðrar rafrænnar undirskriftar. Vandamálið er hins vegar það að ofangreind hugtök eru ekki tæknilega hlutlaus, heldur varða notkun stafrænna undirskrifta. Með því að nota tæknilega hlutlausar skilgreiningar eins langt og mögulegt er, er reynt að stuðla að því að löggjöfin hamli ekki gegn þróun og ekki þurfi að breyta henni í kjölfar nýrrar tækni.

5.4. Vottunaraðilar.
    Frumvarpið hefur að geyma ákvæði um lögaðila sem gefa út vottorð eða stunda aðra starf semi í tengslum við rafrænar undirskriftir. Í tilskipuninni eru þessir aðilar nefndir „Certi fication Service Providers“ (CSP). Í frumvarpinu eru slíkir aðilar kallaðir vottunaraðilar.
    Kjarninn í starfsemi vottunaraðila felst í gerð og útgáfu vottorða fyrir rafrænar undir skriftir. Vottunaraðili getur einnig sjálfur eða í samvinnu við aðra stundað víðtækari þjónustu eins og að bera kennsl á fólk sem er að afla sér vottorðs, halda skrár yfir vottorð, gera dul ritunarlykla og stimpla með tíma. Tímastimplun felur í sér staðfestingu á sendingar- og mót tökutíma þeirra gagna sem send eru með hinni rafrænu undirskrift. Hafa ber í huga að hug takið vottunaraðili tekur til allra þátta vottunarþjónustu en ekki eingöngu þess þáttar að gefa út vottorð.

5.5. Fullgild vottorð.
    Ekki er til samræmdur staðall fyrir rafræn vottorð. Vottorð geta haft að geyma mjög mismunandi upplýsingar og verið byggð á ólíkum öryggiskröfum. Því kveður frumvarpið á um tilteknar lágmarkskröfur um öryggi og útgáfu á tiltekinni gerð af vottorðum. Þessi vottorð kallast fullgild vottorð. Samkvæmt tilskipuninni gilda um þessi vottorð tilteknar reglur um réttaráhrif auk þess sem þeir vottunaraðilar sem gefa þau út eru undir eftirliti og bera sérstaka skaðabótaábyrgð en aðrir ekki.
    Ekki er heimilt að nota orðin fullgild vottorð eða önnur orð sem gefa til kynna að um full gild vottorð sé að ræða, nema um vottorð sem fullnægja ákvæðum frumvarpsins. Frumvarpið setur ekki nákvæmar reglur um fullgild vottorð, en nánari reglur þar að lútandi er hægt að setja í reglugerð.
    Það hefur grundvallarþýðingu að móttakandi geti treyst að undirritandi sé sá sem hann segist vera. Frumvarpið gerir ráð fyrir að hægt sé að nota vottorð með dulnefnum. Í slíkum tilvikum verður hins vegar að koma fram í vottorði að um dulnefni sé að ræða, sbr. 7. gr. frumvarpsins. Hægt er að hugsa sér tilvik þar sem hagkvæmt er að nota vottorð með dulnefn um, t.d. þegar notuð eru starfsheitis- eða stöðuvottorð. Hér má einnig nefna þau tilvik þegar menn eru þekktir undir öðrum nöfnum en þeir heita raunverulega eins og alþekkt er t.d. í kvikmynda- eða tónlistariðnaðinum. Hvað notkun slíkra vottorða felur í sér og hvert lagalegt gildi þeirra er til þess að skuldbinda aðila að lögum er hins vegar umdeilanlegt.
    Eins og fram kemur í aðfaraorðum tilskipunarinnar skal notkun dulnefna ekki standa í vegi fyrir því að ríki geti krafist raunverulegs nafns undirritanda í samræmi við landslög eða löggjöf Evrópusambandsins.

5.6. Skráning vottunaraðila.
    Samkvæmt frumvarpinu skal vottunaraðili senda tilkynningu um starfsemi sína til eftirlitsins í síðasta lagi á sama tíma og hann byrjar að gefa út fullgild vottorð, sbr. 18. gr. Þar sem unnt er að krefja vottunaraðila um að senda tilkynningu áður en hann byrjar að gefa út fullgild vottorð er eðlilegt að slík tilkynning berist í síðasta lagi á sama tíma og hann gefur út sitt fyrsta vottorð. Í framkvæmd mun slík tilkynning hins vegar líklega send mun fyrr. Vottunaraðili mun væntanlega ekki vilja lenda í þeirri stöðu að vottorð sem hann gefur út verði ekki viðurkennd af eftirlitsaðilanum sem fullgild vottorð, þannig að hann verði að afturkalla vottorðin og gefa út ný. Til að koma í veg fyrir slíkt mun vottunaraðili senda inn tilkynningu á fyrri stigum þannig að eftirlitsaðilinn geti komið á framfæri athugasemdum sínum og vottunaraðilinn framkvæmt þær breytingar sem nauðsynlegar eru áður en hann gef ur vottorðin út.

5.7. Eftirlit.
5.7.1. Krafa um eftirlit.
    Í tilskipuninni er gerð krafa um að haft sé eftirlit með þeim vottunaraðilum sem gefa út fullgild vottorð. Til þess að fullnægja kröfunni um eftirlit er nauðsynlegt að krefjast þess að þeir vottunaraðilar sem eiga að vera undir eftirliti séu skráðir í opinbera skrá.

5.7.2. Fyrirkomulag eftirlits.
    Hægt er að haga fyrirkomulagi eftirlits með vottunaraðilum á ýmsan hátt. Það kerfi sem hér er valið byggist á því að vottunaraðili lýsi því sjálfur yfir hvernig hann hyggst haga starfsemi sinni. Eftirlitið meti það hvort sú yfirlýsing samrýmist kröfum frumvarpsins og hvort henni sé fylgt. Kerfi þetta byggist á þeirri forsendu að starfsgrundvöllur vottunaraðila sé háður því að markaðurinn treysti vottorðunum og hann muni þannig að mestu leyti setja sér eigin reglur. Með hliðsjón af trausti á kerfinu í heild er þó mikilvægt að tiltekið eftirlit geti gripið inn í. Til þess að geta sinnt skyldum sínum þarf eftirlitið að hafa aðgang að upp lýsingum frá vottunaraðilanum og heimildir til að bregðast við þegar starfsemin er ekki í samræmi við lög.
    Eftirlitið skal byggt upp þannig að það sé í sem mestum tengslum við markaðinn. Þá er mikilvægt að eftirlitskerfið sé ekki þungt í vöfum eða dýrt í rekstri þannig að hin nýja starf semi nái að þróast og beri ekki mikinn kostnað vegna eftirlitsins. Nauðsynlegt er að sam keppnisstaða íslenskra vottunaraðila sé tryggð og starfsumhverfi þeirra hér á landi sé sem allra best. Eins og fram hefur komið er alger forsenda fyrir rekstri vottunaraðila að starfsemi þeirra og kerfi séu traust. Af þeim sökum er ekki ástæða til að vera með mjög viðamikið og þungt eftirlit. Það kerfi sem hér er valið er til þess fallið að hagsmunir vottunaraðila og al mennings séu tryggðir.

5.7.3. Eftirlitsaðilinn.
    Í tilskipuninni er gert ráð fyrir að eftirlitsaðilinn geti verið opinber eða einkaaðili. Hér var talið rétt að hann væri opinber aðili og varð Löggildingarstofa fyrir valinu. Þó er gert ráð fyrir að Persónuvernd sjái um eftirlit með að meðferð persónuupplýsinga sé í samræmi við ákvæði 5. gr. frumvarpsins og laga nr. 77/2000, um persónuvernd og meðferð persónuupp lýsinga.
    Löggildingarstofa hefur eftirlit á mjög víðtæku sviði og hefur mikið svigrúm í starfsemi sinni. Löggildingarstofa annast eftirfarandi málaflokka:
    1.      rafmagnsöryggismál,
    2.      lögmælifræði, hagnýta mælifræði og faggildingu,
    3.      öryggi vöru og opinbera markaðsgæslu,
    4.      önnur verkefni sem stofnuninni eru falin.
    Á Löggildingarstofu er fyrir hendi sérfræðiþekking á mörgum sviðum, þar á meðal lögfræðilegum og tæknilegum. Eftirlit með starfsemi vottunaraðila þykir því falla vel að starfsemi hennar.

5.7.4. Hlutverk eftirlits.
    Meginverkefni eftirlitsins verður í fyrstu að hrinda í framkvæmd þeim kröfum sem frum varpið gerir til vottunaraðila sem gefa út fullgild vottorð. Eftirlitið verður að taka afstöðu til þess hvaða vottunarstefna og framkvæmd fullnægja ákvæðum laganna og að hvaða marki endurskoðun upplýsingatækni getur haft áhrif á vinnu eftirlitsins. Þá þarf eftirlitið að meta vottunarstefnu vottunaraðilans og hvort framkvæmdin sé í samræmi við stefnuna.
    Eftirlitsaðilinn getur gefið út þau viðmið sem hann telur að vottunaraðilar sem gefa út fullgild vottorð þurfi að hafa til hliðsjónar í vottunarstefnu sinni og framkvæmd. Eftirlitið skal einnig gefa út lista yfir alla skráða vottunaraðila, t.d. á heimasíðu þess. Þar væri einnig hægt að birta vottunarstefnu þessara aðila o.fl.

5.8. Öruggur undirskriftarbúnaður.
    Undirskriftarbúnaður telst eingöngu öruggur ef hann hefur verið viðurkenndur af tilnefnd um aðilum innan aðildarríkjanna. Líta skal svo á að undirskriftarbúnaður sé öruggur ef hann er í samræmi við staðla sem framkvæmdastjórn Evrópusambandsins hefur sett og birtir hafa verið í Stjórnartíðindum EB. Verulegu máli skiptir að búnaður teljist öruggur þar sem ein ungis undirskrift gerð með slíkum búnaði telst fullgild.
    Ekki er nauðsynlegt samkvæmt tilskipuninni að aðildarríkin tilnefni einhvern aðila sem getur kveðið á um hvort undirskriftarbúnaður sé öruggur. Ekki er líklegt að í nánustu framtíð verði til sá aðili hér á landi sem hefur þekkingu eða búnað til að framkvæma slíkt mat. Að sama skapi er ekki líklegt að útnefndir verði margir slíkir aðilar innan Evrópusambandsins, en einhverjir þó. Sérstök ráðgjafanefnd skv. 9. gr. tilskipunarinnar er að störfum við að skil greina þær kröfur sem aðildarríkin skulu gera við útnefningu á þessum aðilum. Helst er það herinn í einstökum aðildarríkjum sem býr yfir þekkingu og búnaði á þessu sviði. Íslenskir vottunaraðilar verða því væntanlega að nota búnað sem hefur fengið viðurkenningu hjá aðila tilnefndum í öðru ríki eða nota búnað sem framkvæmdastjórnin hefur viðurkennt.

5.9. Skaðabótareglur.
5.9.1. Almennt um skaðabótareglur laganna.
    Í 17. gr. frumvarpsins er fjallað um skaðabótaábyrgð vottunaraðila sem gefa út fullgild vottorð til almennings eða ábyrgjast slík vottorð gagnvart almenningi. Reglur þessar eru byggðar á tilskipuninni og eru lágmarksreglur. Með hliðsjón af þeirri stefnu að ekki skuli setja reglur á sviði rafrænna viðskipta umfram það sem er nauðsynlegt eru lágmarksreglurnar látnar nægja. Almennar skaðabótareglur eru taldar fullnægjandi í tengslum við útgáfu ann arra vottorða en fullgildra vottorða sem gefin eru út til almennings.
    Ábyrgðarreglur þessar eru til þess fallnar að ýta undir traust almennings á fullgildum vottorðum og stuðla að uppbyggingu trausts undirskriftarkerfis.

5.9.2. Umfang ábyrgðarinnar.
    Vottunaraðilar eru skaðabótaskyldir gagnvart hverjum þeim sem treystir á vottorðið með eðlilegum hætti. Þessir aðilar geta hvort heldur verið einstaklingar eða lögaðilar. Þeir geta verið sendandi undirritunarinnar, móttakandi eða þriðji aðili sem treysti á vottorðið. Þriðji aðili getur t.d. treyst á vottorð í þeim tilvikum þegar móttakandi sendir áfram undirrituð gögn til þriðja aðila með upphaflegri undirskrift.
    Vandamál geta skapast í tengslum við ábyrgð undirritandans vegna óréttmætrar notkunar þriðja aðila á undirskriftinni, t.d. þegar undirritandi týnir snjallkortinu sem geymir einkalyk ilinn eða vottunaraðilinn afhendir röngum aðila snjallkort. Frumvarpið tekur ekki á tilvikum sem þessum og því gilda almennar skaðabótareglur og/eða ákvæði samnings milli aðila um þau.
    Vottunaraðili verður bótaskyldur skv. 17. gr. ef hann getur ekki sannað að tjón verði ekki rakið til sakar hans. Hér er því um að ræða sakarábyrgð með öfugri sönnunarbyrði. Reglan felur í sér undantekningu frá almennum reglum skaðabótaréttar. Ástæðan fyrir henni felst m.a. í því að frumvarpið fjallar um mjög sérhæft, tæknilegt og flókið efni. Fyrir hinn almenna notanda rafrænna undirskrifta, sem hefur enga þekkingu á hinum tæknilega þætti, væri mjög erfitt að sanna að vottunaraðili hafi sýnt af sér gáleysi í starfsemi sinni. Einnig skerpir krafan um öfuga sönnunarbyrði á nauðsynlegu innra eftirliti vottunaraðilans.
    Í frumvarpinu er gert ráð fyrir að takmarka megi gildissvið vottorðs. Þessar takmarkanir gilda einnig í tengslum við skaðabótareglurnar þannig að bótaábyrgð vottunaraðilans minnk ar að sama skapi, svo lengi sem unnt er að kynna sér takmarkanirnar.

5.9.3. Tengsl við almennar skaðabótareglur.
    Skaðabótareglurnar í 17. gr. frumvarpsins gilda eingöngu um tiltekna þætti hugsanlegrar bótaábyrgðar vottunaraðila sem gefa út fullgild vottorð. Að öðru leyti gilda almennar bóta reglur um starfsemi vottunaraðila sem gefa út fullgild vottorð. Um bótaábyrgð annarra vottunaraðila en þeirra sem gefa út fullgild vottorð til almennings fer eftir almennum reglum skaðabótaréttar.

5.10. Réttaráhrif við notkun rafrænna undirskrifta.
5.10.1. Gildandi réttur.
    Mikið hefur verið rætt um hvaða réttaráhrif rafrænar undirskriftir hafi og hvort hægt sé að veita rafrænni undirskrift sem uppfyllir tilteknar lágmarksöryggiskröfur sömu réttaráhrif og handritaðri undirskrift.
    Þegar íslenskur réttur er skoðaður vaknar sú spurning hver lagaleg staða rafrænna undir skrifta sé. Með því er átt við hvort dómstólar muni taka slíka undirskrift sem skuldbindandi viljayfirlýsingu manns og hvort dómstólar telji að lagaskilyrðum um skriflega undirskrift sé fullnægt með rafrænni undirskrift.
    Með hliðsjón af frjálsu sönnunarmati dómara er líklega ekkert því til fyrirstöðu að dómari taki rafræna undirskrift gilda sem sönnunargagn við mat á því hvort yfirlýsing undirritanda sé skuldbindandi.
    Hvað varðar formskilyrði í lögum er gera skriflega undirritun að skilyrði er staðan óljós ari. Sett lög áskilja í ýmsum tilvikum undirskrift samningsaðila. Ólík réttaráhrif geta verið bundin undirskrift. Þannig getur skjal t.d. skort víxilgildi ef undirskrift útgefanda vantar, sbr. 1. gr. víxillaga, nr. 93/1933. Þá verður skjali ekki þinglýst nema það sé undirritað, sbr. 2. mgr. 6. gr. þinglýsingalaga, nr. 39/1978. Þýðingarmestu réttaráhrif undirskriftar hljóta þó að teljast sú sönnun sem almennt er viðurkennt að undirskrift veiti um tengsl aðila við tiltekinn samning.
    Undirskriftir gegna einnig öðrum mikilvægum hlutverkum. Þannig getur undirskrift þjón að þeim tilgangi að votta ýmis atriði, t.d. að aðili hafi ritað nafn sitt, hæfi hans til þess að gera það og dagsetningu. Þá getur lagaáskilnaður um undirskrift verið reistur á þeim rökum að viðsemjandi geri sér ljóst að hann sé að takast á hendur ákveðnar samningsskuldbinding ar.
    Álitamál um undirskriftir að íslenskum rétti hafa yfirleitt staðið um mat á því hvort undirskrift stafi frá þeim aðila sem hún bar með sér að stafa frá. Einnig hafa undirskriftir komið til athugunar við mat á gildi og efni samnings að öðru leyti, svo sem í tengslum við löggerningshæfi. Hins vegar hefur það þótt liggja nokkuð skýrt fyrir hvað væri undirskrift og hefur þá verið við það miðað að viðkomandi aðili ritaði nafn sitt eigin hendi.

5.10.2. Innleiðing ákvæða tilskipunarinnar um réttaráhrif rafrænna undirskrifta.
    Ákvæði 5. gr. og 7. mgr. 3. gr. tilskipunarinnar um réttaráhrif rafrænna undirskrifta eru innleidd með 4. gr. laganna.
    Ákvæði 5. gr. felur í sér að kröfu um undirskrift sé alltaf fullnægt með fullgildri rafrænni undirskrift í þeim tilvikum sem löggjöf takmarkar ekki möguleika á að gera löggerninginn með rafrænum hætti. Með því að gefa fullgildri undirskrift sambærilega stöðu að lögum og handritaðri skapast sameiginlegur staðall fyrir rafrænar undirskriftir á Evrópska efnahags svæðinu.
    Í b-lið 1. mgr. 5. gr. tilskipunarinnar er þess krafist að leggja megi fram fullgilda rafræna undirskrift sem sönnunargagn í dómi. Í 2. mgr. 5. gr. tilskipunarinnar er einnig gerð sú krafa að öðrum gerðum rafrænna undirskrifta sé ekki neitað um lagalegt gildi eða sönnunargildi fyrir dómstólum á grundvelli tiltekinna ástæðna sem tengjast þeirri staðreynd að um rafræna undirskrift sé að ræða. Ekki er nauðsynlegt að taka þessi ákvæði inn í frumvarpið þar sem þau eru í samræmi við gildandi rétt hér á landi. Reglurnar um frjálsa sönnunarfærslu og frjálst sönnunarmat fela í sér að hægt er að leggja fram rafrænar undirskriftir sem sönnunar gögn fyrir dómi, hvort sem þær eru fullgildar eða ekki. Sú staðreynd að undirskriftin er ekki fullgild mun líklega hafa áhrif á hversu sterkt sönnunargildi undirskriftin hefur. Hins vegar er ekki fjallað um hversu sterka sönnunarstöðu rafrænar undirskriftir skulu hafa.
    Þrátt fyrir ofangreint er í 2. mgr. 4. gr. frumvarpsins ákvæði sem ætlað er að taka af allan vafa um hugsanlegt gildi rafrænna undirskrifta og leggja áherslu á að dómstólar kunni að telja að aðrar gerðir af rafrænum undirskriftum njóti sömu réttarstöðu og hinar fullgildu.

5.11. Persónuvernd.
    Tilskipun Evrópuþingsins og ráðsins nr. 95/46/EB frá 24. október 1995, um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upp lýsinga, er leidd í íslenskan rétt með lögum um persónuvernd og meðferð persónuupplýsinga, nr. 77/2000. Markmið laganna er að stuðla að því að með persónuupplýsingar sé farið í sam ræmi við grundvallarsjónarmið og reglur um persónuvernd og friðhelgi einkalífs og tryggja áreiðanleika og gæði slíkra upplýsinga. Sérstök stofnun, Persónuvernd, annast eftirlit með framkvæmd laganna.
    Samkvæmt lögunum um persónuvernd og meðferð persónuupplýsinga er vinnsla persónu upplýsinga því aðeins heimil að hinn skráði hafi gefið ótvírætt samþykki sitt eða vinnslan sé nauðsynleg vegna tiltekinna atriða sem þar eru upp talin. Persónuupplýsingar má aðeins nota í þeim tilgangi sem þær voru fengnar til og ekki nota í öðrum tilgangi án ótvíræðs samþykkis.
    Í 5. gr. frumvarps þessa er fjallað um vernd persónuupplýsinga. Þar er sú regla sett að vottunaraðila sé eingöngu heimilt að afla sér persónuupplýsinga beint frá þeim aðila sem upplýsingarnar varða eða með ótvíræðu samþykki hans og eingöngu í þeim mæli sem nauð synlegt er til útgáfu eða viðhalds á vottorði. Ákvæðið er bein innleiðing á 2. mgr. 8. gr. til skipunarinnar. Með samþykki er átt við sérstaka yfirlýsingu sem einstaklingur gefur af fúsum og frjálsum vilja um að hann sé samþykkur vinnslu tiltekinna upplýsinga um sig og að hon um sé kunnugt um tilgang hennar, hvernig hún fari fram, hvernig persónuvernd verði tryggð, honum sé heimilt að afturkalla samþykki sitt o.s.frv., sbr. 7. tölul. 2. gr. laga um persónu vernd og meðferð persónuupplýsinga.
    Það skal sérstaklega tekið fram að ákvæði 5. gr. tekur til allra vottunaraðila sem gefa út vottorð til almennings, ekki einvörðungu þeirra sem gefa út fullgild vottorð.

6. Þörf á endurskoðun.
    Með frumvarpinu eru gerðar tillögur að reglum um nýtt tæknilegt svið þar sem þróun er hröð. Viðbúið er að nýjar gerðir af þjónustu komi fram sem byggðar eru á nýjum tæknilegum lausnum. Því er nauðsynlegt að löggjafinn verði á varðbergi og að lögin verði endurskoðuð með hliðsjón af þeirri tækniþróun sem á sér stað á þessu sviði, reynslu af lögunum og framkvæmd við útgáfu fullgildra vottorða. Þörfinni fyrir endurskoðun er lýst í tilskipuninni. Í 12. gr. tilskipunarinnar segir að framkvæmdastjórnin skuli meta hvort þörf sé á að breyta tilskipuninni. Slíkt mat skal byggt á tæknilegri þróun, breytingum á markaði og lagalegri þróun.

Athugasemdir við einstakar greinar frumvarpsins.
Um 1. gr.
    Ákvæði þetta lýsir markmiði laganna og byggist á markmiði tilskipunarinnar. Markmiðið er að kveða á um réttaráhrif rafrænna undirskrifta og stuðla að öruggri og árangursríkri notkun þeirra. Frumvarpið inniheldur lágmarkskröfur sem gerðar eru til fullgildra rafrænna undirskrifta, fullgildra vottorða og starfsemi vottunaraðila sem gefa út slík vottorð.

Um 2. gr.
    Í greininni er landfræðilegu og efnislegu gildissviði ákvæða frumvarpsins lýst og byggist hún á 1. mgr. 4. gr. tilskipunarinnar. Frumvarpinu er ætlað að gilda um rafrænar undirskriftir og starfsemi vottunaraðila sem hafa staðfestu á Íslandi. Þó ber þess að geta að frumvarpið setur að meginstefnu til eingöngu reglur um svokallaðar fullgildar undirskriftir. Þó mun 2. mgr. 4. gr. frumvarpsins gilda um allar rafrænar undirskriftir. Að sama skapi munu ákvæði frumvarpsins gilda að meginstefnu um vottunaraðila sem gefa út fullgild vottorð. Hins vegar mun ákvæði 5. gr. frumvarpsins gilda um alla vottunaraðila. Um nánari umfjöllun er vísað til kafla 5.1 og 5.2 í almennum athugasemdum með lagafrumvarpi þessu.
    Í 2. mgr. er kveðið á um að viðskiptaráðherra fari með yfirstjórn þeirra mála sem ákvæði frumvarpsins ná til. Þar af leiðandi er með ráðherra í frumvarpi þessu átt við viðskiptaráð herra, nema annað sé sérstaklega tilgreint. Hann hefur þar með heimild til að setja nánari ákvæði um framkvæmd ákvæða frumvarps þessa í reglugerð.

Um 3. gr.
    Í þessari grein eru ýmis hugtök skilgreind. Ákvæðin byggjast á 2. gr. tilskipunarinnar. Í greininni eru tvær skilgreiningar sem fram koma í tilskipuninni ekki teknar upp. Það eru skilgreiningar á rafrænni undirskriftarvöru og valfrjálsu faggildingarkerfi. Um hvorugt er fjallað með beinum hætti í frumvarpinu þannig að ekki þótti nauðsynlegt að taka viðkomandi skilgreiningar upp.
    Í 1. tölul. er hugtakið rafræn undirskrift skilgreint. Tæknilegt hlutleysi er grundvallaratriði í frumvarpinu. Hugtakið rafræn undirskrift á að vera til þess fallið að ná yfir allar rafrænar aðferðir sem notaðar eru til að sannprófa uppruna upplýsinga. Sú aðferð við notkun rafrænna undirskrifta sem er útbreiddust núna eru stafrænar undirskriftir, byggðar á dreifilyklakerfi. Hvað varðar nánari umfjöllun um rafrænar undirskriftir skal vísað til 1. og 3. kafla almennra athugasemda með lagafrumvarpi þessu.
    Í 2. tölul. er útfærð rafræn undirskrift skilgreind. Skilgreiningin tekur til þess sem núna er kallað stafræn undirskrift, en getur einnig náð yfir fleiri aðferðir sem kunna að þróast í framtíðinni. Útfærða undirskriftin skal skv. a- og b-lið tryggja að unnt sé að bera kennsl á undirritanda og að undirskriftin tengist honum einum. Með því er hægt að segja fyrir um hver sendandi er og hann getur ekki neitað að hafa sent upplýsingarnar. Enn fremur skal undir ritandi skv. c-lið einn hafa forræði yfir aðferðinni sem undirskriftin er búin til með. Það tryggir að þriðji maður getur ekki komist yfir undirskriftina og misnotað hana. Krafan í d-lið á að tryggja áreiðanleika upplýsinganna sem sendar eru, þ.e. að hægt sé að treysta því að innihaldi gagna, sem hafa verið undirrituð, hafi ekki verið breytt.
    Í 3. tölul. er hugtakið fullgild undirskrift skilgreind. Þessi skilgreining er ekki fyrir hendi í tilskipuninni en er talin til hægðarauka við skilning á ákvæði 4. gr. frumvarpsins um réttar áhrif.
    Í 4. tölul. er hugtakið undirritandi skilgreint, þ.e. sá sem undirritar gögn rafrænt. Nauð synlegur undirskriftarbúnaður og gögn geta verið í eigu einhvers annars en eiginlegs undir ritanda, t.d. vinnuveitanda. Því er undirritandi ekki endilega sá sem raunverulega á búnaðinn, heldur sá sem hefur forræði yfir honum og kemur fram í vottorði sem undirritandi.
    Í 5. tölul. er skilgreining á undirskriftargögnum, sem eru þau gögn sem notuð eru til að mynda rafræna undirskrift. Í dreifilyklakerfi nefnast þessi gögn einkalykill.
    Í 6. tölul. er hugtakið undirskriftarbúnaður skýrt. Það er búnaður sem er notaður við gerð rafrænu undirskriftarinnar. Búnaðurinn notar undirskriftargögnin til að búa til undirskriftina. Búnaðurinn getur bæði verið vélbúnaður og hugbúnaður. Sem dæmi um vélbúnað má t.d. nefna snjallkort og sem dæmi um hugbúnað má nefna hluta tölvupóstforrits.
    Í 7. tölul. er öruggur undirskriftarbúnaður skilgreindur. Skilgreiningin hefur áhrif til skýringar á skilgreiningu á fullgildri rafrænni undirskrift.
    Í 8. tölul. er skilgreining á sannprófunargögnum. Það eru gögn sem notuð eru til að sann prófa uppruna upplýsinganna, þ.e. opinberi lykillinn í dreifilyklakerfi.
    Í 9. tölul. er sannprófunarbúnaður skilgreindur. Það er hugbúnaður eða vélbúnaður sem er notaður til að sannprófa rafræna undirskrift með því að nota sannprófunargögnin, t.d. hluti tölvupóstforrits.
    Í 10. tölul. er skilgreint hvað vottorð sé. Vottorðið tengir sannprófunargögnin við tiltekið nafn eða stöðu- eða starfsheiti, þ.e. veitir upplýsingar um það hver undirritandi sé. Undirrit andi er sá sem ræður yfir undirskriftarbúnaði og er oftast sá sem gert hefur samning við vott unaraðila um útgáfu vottorðs til sín. Nánar er fjallað um vottorð í almennum athugasemdum með lagafrumvarpi þessu, sbr. kafla 3.4.
    Í 11. tölul. er skilgreint hvað fullgilt vottorð sé. Skilgreiningin styðst við ákvæði til skipunarinnar um sama efni.
    Í 12. tölul. er hugtakið vottunaraðili skilgreint. Hugtakið er notað yfir þá sem veita alla þá þjónustu sem tengist rafrænum undirskriftum. Vottunaraðilinn getur séð um að veita alla þessa þjónustu sjálfur eða falið öðrum það að hluta til. Grundvallaratriði í þjónustu vottunar aðila er að ábyrgjast tengslin milli undirritanda og upplýsinga í vottorði, halda skrá og veita afturköllunarþjónustu. Þar fyrir utan getur vottunaraðili boðið upp á alls konar aukaþjónustu, eins og tímastimplun (þ.e. staðfestingu á sendingar- og móttökutíma þeirra gagna sem send eru með rafrænu undirskriftinni), geymslu á upplýsingum og ráðgjöf vegna rafrænna undir skrifta. Tilvísun til annarrar þjónustu í tengslum við rafrænar undirskriftir er breytileg og skal túlkuð í samræmi við þróun í þessum efnum.

Um 4. gr.
    Í greininni er fjallað um réttaráhrif rafrænna undirskrifta. Ákvæðið er byggt á ákvæðum 5. gr. tilskipunarinnar.
    Ef gerð er krafa um undirskrift í lögum, stjórnvaldsfyrirmælum eða með öðrum hætti og af túlkun réttarheimilda og samninga má ráða að unnt sé að gera gerninginn með rafrænum hætti, skal fullgild rafræn undirskrift ætíð uppfylla kröfu um undirskrift. Með öðrum orðum er krafa um undirskrift alltaf uppfyllt með fullgildri rafrænni undirskrift, svo lengi sem löggjöfin hindrar ekki að gerningurinn sé gerður með rafrænum hætti. Ekki er kveðið sér staklega á um það í ákvæðinu að forsenda fyrir beitingu þess sé að réttarheimildir standi ekki í vegi fyrir rafrænum samskiptum, þar sem það leiðir af eðli máls.
    Í 2. mgr. 5. gr. tilskipunarinnar er kveðið á um að ekki megi takmarka gildi rafrænna undirskrifta eða heimild til framlagningar þeirra sem sönnunargagns eingöngu á þeim grund velli að um rafrænar undirskriftir sé að ræða. Telja verður að íslenskur réttur sé að megin stefnu til í samræmi við ákvæði þetta, þar sem sú meginregla gildir að samningar séu ekki formbundnir og dómstólar hafi frjálst sönnunarmat. Hins vegar er til áréttingar mælt fyrir um gildi annarra rafrænna undirskrifta en fullgildra í 2. mgr. þessarar greinar.
    Um nánari umfjöllun um réttaráhrif rafrænna undirskrifta er vísað til kafla 5.10 í almenn um athugasemdum við lagafrumvarp þetta.

Um 5. gr.
    Í greininni eru reglur um vernd persónuupplýsinga. Ákvæðið byggist á 2. mgr. 8. gr. til skipunarinnar og kveður á um með hvaða hætti vottunaraðilar mega afla persónuupplýsinga. Ákvæðið gildir um alla vottunaraðila, þ.e. ekki eingöngu þá sem gefa út fullgild vottorð. Um nánari umfjöllun er vísað til almennra athugasemda, sbr. kafla 5.11.
    Í 2. mgr. er kveðið á um að Persónuvernd muni hafa eftirlit með meðferð vottunaraðila á persónuupplýsingum. Sérstaklega er kveðið á um að vottunaraðilar séu tilkynningarskyldir, sbr. 31. gr. laga um persónuvernd og meðferð persónuupplýsinga, nr. 77/2000. Annars væri mögulegt að rökstyðja að þeir væru undanþegnir tilkynningarskyldu þar sem vinnslan væri þáttur í eðlilegri starfsemi þeirra, sbr. 1. tölul. 1. mgr. 5. gr. reglna Persónuverndar um til kynningarskylda og leyfisskylda vinnslu persónuupplýsinga frá 15. janúar 2001.

Um 6. gr.
    Hér er kveðið á um að heitið fullgilt vottorð eða önnur heiti sem gefa til kynna að um slíkt vottorð sé að ræða megi aðeins nota um vottorð sem uppfylla ákvæði laganna. Hér er átt við kröfur í III. kafla frumvarpsins til vottorðanna sjálfra og í V. kafla frumvarpsins til vottunar aðila sem gefa slík vottorð út. Tekið er sérstaklega fram að ekki megi nota önnur heiti sem gefa til kynna að um fullgild vottorð sé að ræða. Þetta er gert til að vernda hinn almenna notanda og koma í veg fyrir ruglingshættu.

Um 7. gr.
    Í greininni er fjallað um þær kröfur sem vottorð verður að fullnægja til að geta talist full gilt vottorð. Ákvæðin byggjast á kröfum tilskipunarinnar um vottorð á tilteknu öryggisstigi, sem fram koma í skilgreiningu 11. tölul. 3. gr. frumvarps þessa og 10. tölul. 2. gr. tilskipun arinnar á fullgildu vottorði (e. qualified certificate) og þeirra krafna sem gerðar eru til slíkra vottorða í I. viðauka tilskipunarinnar. Í frumvarpinu felst að ákvæði um bótaábyrgð og skil yrðislaus réttaráhrif taki til þeirra vottorða sem eru fullgild vottorð. Kröfurnar til fullgildra vottorða eru lágmarkskröfur og verða að vera uppfylltar til að meginefni laganna eigi við um þau.
    Í 1. tölul. er kveðið á um að fram skuli koma í vottorðinu að það sé fullgilt vottorð. Ekki er talið nægilegt að vísa t.d. til vottunarstefnu um þetta.
    Í 2. tölul. kemur fram sú krafa að í vottorði komi fram hver vottunaraðilinn sé og hvar hann hafi staðfestu. Hér er átt við þann vottunaraðila sem ber ábyrgð á útgáfu vottorðsins.
    Í 3. tölul. er gerð krafa um að nafn eða dulnefni undirritandans komi fram í vottorði. Ef um dulnefni er að ræða skal það alltaf koma fram í vottorðinu. Um notkun á dulnefnum er vísað til umfjöllunar í almennum athugasemdum, kafla 5.5.
    Í 4. tölul. er þess krafist að vottorðið innihaldi frekari upplýsingar um undirritanda, ef þær eru nauðsynlegar vegna tilgangs vottorðsins. Það fer eftir gerð og tilgangi vottorðsins hvaða nánari upplýsingar það eru sem teljast nauðsynlegar.
    Í 5. tölul. er þess krafist að í vottorði séu sannprófunargögn þau sem svara til undir skriftargagnanna sem undirritandi ræður yfir. Með því að gera slíka kröfur verður mögulegt fyrir móttakanda að sannreyna uppruna upplýsinganna hafi hann nauðsynlegan tæknibúnað til þess. Móttakandinn sleppur við að leita til vottunaraðilans eða einhvers annars til að nálg ast sannprófunargögnin.
    Í 6. tölul. er þess krafist að í vottorði komi fram upplýsingar um upphaf og lok gildistíma vottorðsins. Útgefendur vottorða munu ákveða hversu langan gildistíma vottorðin hafa. Við mat á því verður m.a. að líta til tæknilegrar þróunar, kostnaðar og áhættu.
    Í 7. tölul. er þess krafist að vottorð hafi einstakt númer, svokallaðan auðkenniskóta (e. identity code). Með hjálp hans er ætíð hægt að bera kennsl á vottorðið.
    Í 8. tölul. er kveðið á um að vottorð skuli vera undirritað með útfærðri undirskrift vottunaraðilans. Þetta er gert í því skyni að unnt sé að sannreyna að vottorðið stafi í raun frá vottunaraðilanum.
    Í 9. tölul. er þess krafist að í vottorði komi fram upplýsingar um takmarkanir á gildissviði og fjárhæð viðskipta sem unnt er að nota vottorðið til, séu slíkar takmarkanir fyrir hendi. Nauðsynlegt er fyrir þriðja aðila að vita um hugsanlegar takmarkanir á vottorðinu svo hann geti treyst undirskriftinni. Ákvæðið ber að skoða með hliðsjón af reglum frumvarpsins um skaðabótaábyrgð, en vottunaraðili er ekki bótaskyldur fyrir tjóni sem verður vegna notkunar á vottorði sem er í andstöðu við takmarkanir á því, að því tilskildu að þriðja aðila séu ljósar takmarkanirnar.

Um 8. gr.
    Hér er fjallað um þær kröfur sem gerðar eru til svokallaðs öruggs undirskriftarbúnaðar. Ákvæðið byggist á III. viðauka tilskipunarinnar sem gerir tilteknar kröfur til undirskriftar búnaðar til að tryggja ákveðið öryggisstig. Búnaður sem uppfyllir þessar kröfur getur verið notaður til að mynda fullgildar rafrænar undirskriftir.
    Í ákvæðinu er gerð sú krafa að búnaðurinn breyti ekki þeim gögnum sem undirrituð eru og undirritandi geti séð gögnin fyrir undirritun. Mikilvægt er að tryggt sé að gögnin séu áreiðanleg og verði ekki breytt. Þá er einnig mikilvægt að undirritandi geti séð gögnin áður en hann undirritar þau þannig að hann geti verið viss um að hann sé að undirrita rétt gögn.
    Vert er að hafa í huga að þær kröfur sem gerðar eru samkvæmt grein þessari, sem og öðr um greinum frumvarpsins, takmarkast af þeirri tækni og aðferðum sem þekktar eru hverju sinni.

Um 9. gr.
    Í greininni er gerð grein fyrir því hvernig undirskriftarbúnaður fær viðurkenningu sem öruggur, þ.e. að hann uppfylli ákvæði 8. gr. frumvarpsins. Ákvæðið byggist á 4. mgr. 3. gr. tilskipunarinnar og er vísað um nánari umfjöllun til almennra athugasemda, sbr. kafla 5.8.

Um V. kafla.
    Kröfur til vottunaraðila sem gefa út fullgild vottorð. Ákvæði þessa kafla byggjast á þeim kröfum sem gerðar eru til vottunaraðila sem gefa út fullgild vottorð í II. viðauka tilskip unarinnar. Nánari umfjöllun er að finna í almennum athugasemdum.

Um 10. gr.
    Í greininni er að finna þær kröfur sem gerðar eru til starfsemi vottunaraðila sem gefa út fullgild vottorð. Greinin byggist á ákvæðum a-, e- og h-liðar II. viðauka tilskipunarinnar.
    Í greininni er fyrst orðuð almenn regla um að vottunaraðili skuli í starfsemi sinni uppfylla þær kröfur sem nauðsynlegar eru til að tryggja örugga og áreiðanlega útgáfu vottorða. Í þess ari kröfu felst að starfsemi vottunaraðila skuli rekin þannig að hún teljist örugg, m.a. með tilliti til lagalegra, tæknilegra og skipulagslegra þátta. Hvað telst nauðsynlegt fer eftir eðli og umfangi starfseminnar og notendahópi í hverju tilviki. Vottunaraðili verður þannig að endurskoða slíka þætti ef hann breytir starfsemi sinni, t.d. bætir við þjónustu.
    Í þremur stafliðum eru sérstaklega taldir upp nokkrir þættir sem falla innan fyrrgreindra krafna. Í a-lið er vísað til stjórnunar- og starfsaðferða. Í b-lið er gerð krafa um að starfsfólk sé hæft til að tryggja örugga starfsemi vottunaraðilans. Í c-lið er gerð krafa um að vottunar aðili hafi ætíð nægjanlegt fjármagn til að stunda starfsemina og standa undir skuldbindingum sínum. Í þessu sambandi skiptir máli hvernig starfsemi vottunaraðilinn stundar raunverulega og hver viðskiptamannahópurinn er. Fjárhagsstaða vottunaraðila verður að taka mið af hags munum þeim sem í húfi eru og þeim takmörkunum sem hann hefur á vottorðum sínum. Hið síðarnefnda ber einkum að skoða með hliðsjón af bótaskyldu vottunaraðilans. Tryggingar munu og augljóslega hafa veruleg áhrif á mat á hvort fjárhagsstaða vottunaraðila sé viðun andi.

Um 11. gr.
    Hér koma fram þær kröfur sem gerðar eru til kerfis og búnaðar vottunaraðila sem gefur út fullgild vottorð. Ákvæðið byggist á ákvæðum f- og g-liðar II. viðauka tilskipunarinnar.
    Í 1. mgr. er kveðið á um að vottunaraðili skuli í starfsemi sinni nota áreiðanlegt kerfi og búnað. Það er nauðsynlegt fyrir öryggið í því kerfi sem er byggt upp í kringum rafrænar undirskriftir að vottunaraðilar, sem koma fram sem áreiðanlegur þriðji aðili, noti öruggt kerfi og búnað í starfsemi sinni.
    Í 2. mgr. felst að noti vottunaraðili kerfi og búnað sem viðurkenndur hefur verið af fram kvæmdastjórn Evrópusambandsins eða aðila sem tilnefndur hefur verið skv. b- og c-lið 9. gr. teljast ákvæði 1. mgr. uppfyllt.
    Í 3. mgr. er lögð sú krafa á vottunaraðila að þeir grípi til aðgerða gegn fölsun vottorða. Vottunaraðili skal í starfsemi sinni ganga úr skugga um að kerfi hans sé þannig úr garði gert að ekki sé hægt að falsa vottorðin eftir útgáfu þeirra. Áreiðanleiki vottorðs er m.a. tryggður með því að vottunaraðili undirriti það með útfærðri rafrænni undirskrift sinni. Með því er hægt að sjá breytingar sem gerðar hafa verið á vottorðinu og tryggja að vottorðið stafi frá vottunaraðilanum.

Um 12. gr.
    Í greininni er fjallað um svokallaða skráningar- og afturköllunarþjónustu. Greinin byggist á ákvæðum b- og c-liðar II. viðauka tilskipunarinnar og leggur þá skyldu á vottunaraðila að þeir komi á fót og starfræki fljótvirkt og öruggt kerfi fyrir skráningu og afturköllun á vottorðum og tryggi að unnt sé að segja nákvæmlega fyrir um hvenær vottorð tók gildi og hvenær það var afturkallað. Þetta er mjög mikilvægt vegna spurninga sem geta komið upp á síðari stigum, t.d. við sönnun á hvenær vottorð hefur haft gildi.
    Í tilskipuninni er talað um það tímamark sem vottorð er gefið út. Í frumvarpinu er hins vegar talað um það tímamark sem vottorðið tekur gildi, sbr. og 6. tölul. 1. mgr. 7. gr. frum varpsins. Telja verður réttara í þessu samhengi að tala um þann tíma sem vottorð tekur gildi. Í þessu sambandi ber að hafa í huga að vottorð getur verið gefið út en ekki tekið gildi fyrr en nokkru seinna. Útgáfutími er þegar undirritandi fær vottorðið afhent en gildistími er þegar hann getur farið að nota vottorðið. Í framkvæmd mun þetta oftast vera þannig að vottorðið tekur gildi strax við afhendingu. Í sumum tilvikum getur það hins vegar verið síðar, t.d. þegar um er að ræða vottorð vegna tiltekins starfs sem undirritandi hefur ekki enn tekið við.
    Í 2. málsl. er þess krafist að í skrá komi fram upplýsingar um takmarkanir á gildi vottorða, ef einhverjar eru.

Um 13. gr.
    Greinin byggist á d-lið II. viðauka tilskipunarinnar og leggur þá ábyrgð á vottunaraðila að hann viðhafi viðeigandi aðferðir við staðfestingu þess hver undirritandi sé og að aðrar frekari upplýsingar um hann séu réttar, sbr. 3. tölul. og 4. tölul. 1. mgr. 7. gr. frumvarpsins. Þessi atriði munu að jafnaði koma fram í vottunarstefnu vottunaraðila. Ekki er kveðið sér staklega á um hvað teljist viðeigandi aðferðir í þessu sambandi. Með hliðsjón af mögulegri skaðabótaábyrgð vottunaraðila vegna þessa er grundvöllur rekstrar hans á því byggður að þessi þáttur sé framkvæmdur af mikilli nákvæmni og öryggi, sbr. a-lið 1. mgr. 17. gr. frum varpsins.

Um 14. gr.
    Ákvæði 1. mgr. byggist á i-lið II. viðauka tilskipunarinnar og leggur þá skyldu á vottunar aðila sem gefur út fullgild vottorð að skrá allar viðeigandi upplýsingar um vottorðin og geyma þær á öruggan hátt.
    Hvað telst eðlilegur tími í 1. mgr. fer eftir því hvers konar vottorð er um að ræða hverju sinni, þ.e. til hvaða notkunar það nær og hvaða upplýsingar það hefur að geyma. Hér ber einnig að hafa í huga 5. tölul. 7. gr. og 26. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, þar sem fram kemur að ekki skuli varðveita persónuupplýsingar lengur en nauðsynlegt er vegna upphaflegs tilgangs vörslunnar. Ástæðan fyrir kröfunni um skrán ingu og geymslu er grundvölluð á því að nauðsynlegt getur orðið að leggja upplýsingarnar fram sem sönnunargögn í dómsmálum.
    Í 2. mgr. er þess krafist að vottunaraðili noti áreiðanlegt kerfi til geymslu á vottorðum. Ákvæði 2. mgr. byggjast á l-lið II. viðauka tilskipunarinnar. Í a-lið er gerð sú krafa að einungis einstaklingar með sérstaka heimild geti gert breytingar á vottorðunum. Ákvæði b- liðar setur skilyrði um að unnt verði að athuga réttmæti upplýsinganna og tengist þannig 3. mgr. greinarinnar. Samkvæmt c-lið skulu vottorðin eingöngu vera aðgengileg almenningi í þeim tilvikum þegar sá sem vottorðið er gefið út til hefur veitt samþykki sitt. Reglan er byggð á sjónarmiðum um persónuvernd. Hins vegar er lítils virði að nota rafrænar undir skriftir ef móttakandinn hefur ekki aðgang að vottorði sendanda. Í d-lið er gerð sú krafa að tæknilegar breytingar, sem stefnt geta öryggiskröfum í hættu, séu sýnilegar þeim sem starf rækja kerfið. Í þessu felst sú krafa að vottunaraðili noti sem öruggastan búnað og starfsfólk geti greint breytingar í kerfinu.
    Ákvæði 3. mgr. byggist á l-lið II. viðauka tilskipunarinnar.
    Samkvæmt 4. mgr. er vottunaraðila ekki heimilt að geyma eða afrita undirskriftargögn undirritanda. Ákvæði 4. mgr. byggist á j-lið II. viðauka tilskipunarinnar. Geymsla og afritun á slíkum gögnum fer í bága við lagalega skilgreiningu á rafrænni undirskrift. Tryggt verður að vera að eingöngu eigandi undirskriftarinnar hafi aðgang að undirskriftargögnunum þannig að hann einn ráði yfir undirskriftinni. Þetta er ófrávíkjanlegt bann. Ef undirskriftargögnin eyðileggjast eða týnast er því ekki unnt að undirrita skjöl með sömu gögnum.

Um 15. gr.
    Ákvæði 15. gr. byggjast á k-lið II. viðauka tilskipunarinnar. Ákvæðin leggja skyldu á vottunaraðila áður en hann gerir samning um útgáfu á fullgildu vottorði að upplýsa gagn aðilann skriflega og með varanlegum hætti um þau atriði sem nauðsynleg eru fyrir hann til að leggja mat á þjónustuna. Hægt er að veita upplýsingarnar með rafrænum hætti, enda séu þær í þannig formi að gagnaðilinn geti lesið þær. Ekki er nægilegt að vísa til heimasíðu vott unaraðilans um upplýsingarnar. Slíkar upplýsingar skulu, eftir því sem við á, vera aðgengi legar þeim aðila sem treystir á vottorðið og óskar eftir þeim. Þannig er þriðja aðila veittur aðgangur að tilteknum hluta samnings vottunaraðila við undirritanda.

Um 16. gr.
    Í greininni er ráðherra veitt heimild til að setja nánari reglur um kröfur til vottunaraðila í reglugerð. Þróun starfseminnar mun leiða í ljós hvort setja þurfi nánari reglur.

Um 17. gr.
    Í greininni, sem byggð er á 6. gr. tilskipunarinnar, er fjallað um skaðabótaábyrgð vottun araðila. Um atriði sem ekki er fjallað um í greininni fer að almennum reglum skaðabótaréttar. Almennar skaðabótareglur eru einnig ákvæðum greinarinnar til skýringar og fyllingar.
    Ákvæði 17. gr. fela í sér lágmarksreglur um skaðabótaábyrgð vottunaraðila sem gefa út fullgild vottorð til almennings eða ábyrgjast gagnvart almenningi slík vottorð sem útgefin eru af öðrum. Þannig geta vottunaraðilar, sem hafa staðfestu hér á landi, ábyrgst að vottorð sem aðrir vottunaraðilar gefa út uppfylli reglur um fullgild vottorð. Í slíkum tilvikum er talað um krossvottun.
    Vottunaraðili er ekki bótaskyldur ef hann getur sannað að tjón verði ekki rakið til sakar hans. Hér er því um að ræða sakarábyrgð með öfugri sönnunarbyrði. Hún felur í sér strangari bótaskyldu fyrir vottunaraðila en mundi leiða af almennum reglum. Slík ráðstöfun helgast af neytendavernd. Sjá nánar um skaðabótaábyrgð í almennum athugasemdum með frumvarpi þessu, kafla 5.9.
    Vottunaraðilinn er bótaskyldur fyrir tjóni sem verður hjá þeim aðila sem treystir á vott orðið með eðlilegum hætti. Í þessu felst m.a. að það er ekki eingöngu móttakandi skilaboð anna sem er verndaður af reglunum. Sá sem vottorðið var gefið út til getur einnig orðið fyrir tjóni vegna mistaka í vottorði. Þá getur þriðji aðili orðið fyrir tjóni vegna þess að hann treysti á vottorð.
    Í a-lið felst að vottunaraðili getur verið ábyrgur fyrir því að upplýsingar í vottorði hafi verið réttar þegar vottorðið var gefið út. Þá skal vottorðið skv. b-lið innihalda allar þær upp lýsingar sem kveðið er á um í 7. gr., þ.e. þær upplýsingar sem verða að vera í vottorði svo það geti talist fullgilt. Ef einhverjar þessara upplýsinga vantar getur það leitt til bótaskyldu. Í c-lið segir að vottunaraðili sé ábyrgur fyrir því að undirritandi hafi haft rétt undirskriftar gögn undir höndum þegar vottorðið var gefið út. Þau skuli svara til sannprófunargagnanna í vottorðinu. Ef undirskriftargögn undirritanda svara ekki til sannprófunargagna í vottorði getur það leitt til bótaskyldu vottunaraðila. Ákvæði d-liðar gildir þegar vottunaraðili hefur búið gögnin til. Samkvæmt e-lið er vottunaraðili bótaskyldur ef vottorð er ekki réttilega skráð í afturköllunarlista.
    Í 3. mgr. er kveðið á um að vottunaraðilar geti takmarkað bótaskyldu sína með því að takmarka gildissvið vottorðsins, enda fari þær takmarkanir ekki í bága við 36. gr. laga nr. 7/1936, um samningsgerð, umboð og ógilda löggerninga. Vottunaraðili er ekki bótaskyldur vegna tjóns sem verður vegna notkunar á vottorði sem er í andstöðu við takmarkanir á gildis sviði þess eða fjárhæð viðskipta að því tilskildu að unnt sé að kynna sér slíkar takmarkanir.

Um 18. gr.
    Í greininni er fjallað um skráningu vottunaraðila og eftirlitsgjald. Samkvæmt 1. mgr. 3. gr. tilskipunarinnar er ekki heimilt að gera fyrirframleyfi að skilyrði fyrir starfsemi vottunar aðila. Frumvarpið felur því eingöngu í sér skyldu vottunaraðila til þess að senda inn til kynningu um skráningu áður en þeir hefja starfsemi. Þannig fær eftirlitsaðilinn upplýsingar um þá aðila sem hann hefur eftirlit með. Í tilkynningunni skulu koma fram þær upplýsingar sem nauðsynlegar eru til að sýna fram á að vottunaraðili uppfylli skilyrði laganna í starfsemi sinni, m.a. upplýsingar um starfsemi, kerfi, búnað og starfsskipulag vottunaraðila. Þá er gerð sú krafa að verði einhverjar breytingar hjá vottunaraðila sem leiða til þess að þær upplýsingar sem sendar hafa verið eftirlitinu séu ekki lengur réttar skuli vottunaraðili senda nýjar án tafar til eftirlitsins.
    Í 2. og 3. mgr. er kveðið á um það eftirlitsgjald sem vottunaraðilum sem gefa út fullgild vottorð ber að greiða. Gert er ráð fyrir að lágmarksárgjald verði 1.000.000 kr. eða 200 kr. fyrir hvert fullgilt vottorð sem gefið er út, sé síðarnefnda upphæðin hærri. Sömu leið er fyrir hugað að fara í Svíþjóð. Á fyrsta og síðasta starfsári vottunaraðila er gert ráð fyrir að lág marksárgjaldið verði ákvarðað í réttu hlutfalli við þann tíma sem starfrækslan varir á við komandi ári.
    Í 4. mgr. er heimild til handa ráðherra að setja í reglugerð nánari reglur um tilhögun skrán ingar, tilkynningar og upplýsingagjöf.

Um 19. gr.
    Ákvæðin um eftirlit byggjast á 3. mgr. 3. gr. tilskipunarinnar, þar sem gerð er krafa um að aðildarríkin komi á fót eftirliti með aðilum sem gefa út fullgild vottorð, sem hér verður á hendi Löggildingarstofu. Í 1. mgr. er kveðið á um að meginverkefni eftirlitsins sé að fylgjast með að starfsemi vottunaraðila sem gefa út fullgild vottorð sé í samræmi við ákvæði frumvarpsins og reglna sem settar verða á grundvelli þeirra. Athuga ber að eftirlitið nær til þeirra vottunaraðila sem kalla vottorð sín fullgild, þótt síðar komi í ljós að þau uppfylli ekki skilyrði frumvarpsins um fullgild vottorð. Þó felst í ákvæðinu að Löggildingarstofu er ekki ætlað að hafa eftirlit með meðferð vottunaraðila á persónuupplýsingum þar sem það er í höndum Persónuverndar, sbr. 2. mgr. 5. gr. frumvarpsins.
    Í 2. mgr. er eftirlitinu veitt heimild til að banna starfsemi og aðstæður sem eru í andstöðu við ákvæði laganna og reglna settra á grundvelli þeirra. Þá er eftirlitinu einnig veitt heimild til að setja skilyrði fyrir áframhaldandi starfsemi. Eftirlitið getur þannig t.d. gripið inn í hjá vottunaraðilum sem gefa út fullgild vottorð og uppfylla ekki skilyrði laganna.
    Samkvæmt 3. mgr. getur eftirlitið farið fram á að vottunaraðili láti fara fram svokallaða UT-endurskoðun, þ.e. endurskoðun upplýsingatækni. Þetta getur m.a. verið nauðsynlegt í þeim tilvikum sem eftirlitið telur veittar upplýsingar ekki fullnægjandi grundvöll til mats á því hvort vottunaraðili uppfylli skilyrði laganna eða í þeim tilvikum þegar grunur leikur á að starfsemin sé ekki í samræmi við skilyrði laganna.
    Samkvæmt 4. mgr. getur eftirlitið svipt vottunaraðila heimild til að kalla þau vottorð sem hann gefur út „fullgild“ vottorð ef hann hefur gróflega eða ítrekað brotið af sér. Þessi aðgerð er verulega íþyngjandi þannig að ekki skal grípa til hennar nema önnur úrræði séu ekki tæk.
    Í 5. mgr. er heimild til handa ráðherra að setja nánari reglur um starfsemi eftirlitsins í reglugerð.

Um 20. gr.
    Í 1. mgr. er eftirlitinu veitt heimild til að fá afhentar hverjar þær upplýsingar og skriflegar skýringar sem það telur nauðsynlegar vegna eftirlitsins og setja fresti til afhendingar á þeim. Þessi réttur gildir ekki eingöngu um þá vottunaraðila sem sent hafa inn tilkynningu um skráningu skv. 18. gr. heldur einnig um þá aðila sem telja sig gefa út fullgild vottorð og hafa ekki skráð sig. Frestur til að veita upplýsingar verður að taka mið af því annars vegar að vott unaraðili geti veitt upplýsingarnar innan frestsins og hins vegar að mikilvægt er að tryggja að vottunarstarfsemi sem ekki er í samræmi við ákvæði laganna sé ekki stunduð.
    Samkvæmt 2. mgr. getur eftirlitið krafist þess án dómsúrskurðar að fá aðgang að starfs stöð vottunaraðila eða öðrum þeim stöðum þar sem starfsemi sem fellur undir eftirlit laganna fer fram.
    Í 3. mgr. er kveðið á um að réttur Löggildingarstofu til þess að krefjast upplýsinga eða aðgangs að starfsstöð og tækjabúnaði verði ekki takmarkaður með vísan til reglna um þagnarskyldu. Ákvæði þetta er sett til þess að styrkja stoðir heimilda Löggildingarstofu og koma í veg fyrir að vottunaraðilar geti skýlt sér á bak við þagnarskyldu við veitingu upp lýsinga.
    Í 4. mgr. er kveðið á um þagnarskyldu starfsmanna Löggildingarstofu og annarra sem starfa á hennar vegum. Ákvæðið er hliðstætt öðrum þagnarskylduákvæðum í lögum sem gilda um eftirlitsaðila.

Um 21. gr.
    Í greininni er eftirlitinu veitt heimild til að leggja dagsektir á vottunaraðila í tilteknum til vikum. Kveðið er á um að óinnheimtar dagsektir falli ekki niður, þrátt fyrir að farið verði að kröfum Löggildingarstofu, nema Löggildingarstofa ákveði það sérstaklega. Er slík leið valin til þess að dagsektir hafi raunverulega áhrif og geri það að verkum að vottunaraðilar fullnægi kröfum Löggildingarstofu hið fyrsta. Fyrirmynd að ákvæði þessu er m.a. að finna í lögum um eftirlit með fjármálastarfsemi, nr. 87/1998.

Um 22. gr.
    Í greininni er fjallað um vottunaraðila sem hafa staðfestu utan Íslands. Með henni eru 1. mgr. 4. gr. og 1. mgr. 7. gr. tilskipunarinnar innleiddar í íslenskan rétt. Um nánari skýringar á greininni er vísað til almennra athugasemda, kafla 4.

Um 23. gr.
    Samkvæmt ákvæðinu skal refsað fyrir brot gegn lögunum með sektum liggi ekki þyngri refsing við brotinu samkvæmt öðrum lögum. Einnig er kveðið á um að refsa megi lögaðilum vegna brota á lögum þessum.

Um 24. gr.
    Lagt er til að lögin taki gildi þegar við birtingu.

Fylgiskjal I.

TILSKIPUN EVRÓPUÞINGSINS OG RÁÐSINS 1999/93/EB
frá 13. desember 1999
um ramma bandalagsins varðandi rafrænar undirskriftir

EVRÓPUÞINGIÐ OG RÁÐ EVRÓPUSAMBANDSINS HAFA,

með hliðsjón af stofnsáttmála Evrópubandalagsins, einkum 2. mgr. 47. gr., 55 og 95. gr.,

með hliðsjón af tillögu framkvæmdastjórnarinnar (See footnote 1 ¹ ),

með hliðsjón af áliti efnahags- og félagsmálanefnd arinnar (See footnote 2 ² ),

með hliðsjón af áliti svæðanefndarinnar (See footnote 3 ³ ),

í samræmi við málsmeðferðina sem mælt er fyrir um í 251. gr. sáttmálans (See footnote 4 ⁴ ),

og að teknu tilliti til eftirfarandi:

1)     Hinn 16. apríl 1997 lagði framkvæmdastjórnin fyrir Evrópuþingið, ráðið, efnahags- og félags málanefndina og svæðanefndina orðsendingu um evrópskt framtaksverkefni á sviði rafrænnar verslunar.

2)     Hinn 8. október 1997 lagði framkvæmdastjórn in fyrir Evrópuþingið, ráðið, efnahags- og fé lagsmálanefndina og svæðanefndina orðsend ingu um að tryggja öryggi og tiltrú í rafrænum samskiptum — í þágu Evrópuramma fyrir staf rænar undirskriftir og dulkóðun.
3)     Hinn 1. desember 1997 fór ráðið þess á leit við framkvæmdastjórnina að hún legði eins fljótt og unnt er fram tillögu að tilskipun Evrópuþingsins og ráðsins um rafrænar undirskriftir.

4)     Rafræn samskipti og verslun útheimta rafrænar undirskriftir og tengda þjónustu sem gerir kleift að sanna uppruna upplýsinga. Mismunandi reglur í aðildarríkjunum um lagalega viðurkenn ingu rafrænna undirskrifta og faggildingu vott unaraðila kunna að torvelda notkun rafrænna samskipta og verslunar verulega. Á hinn bóginn mun skýr bandalagsrammi um þau skilyrði sem gilda um rafrænar undirskriftir auka tiltrú á þessari nýju tækni og stuðla að almennri viður kenningu hennar. Löggjöf aðildarríkjanna ætti ekki að hindra frjálsa vöruflutninga og frjálsa þjónustustarfsemi á hinum innri markaði.

5)     Stuðla ber að rekstarsamhæfi vara til rafrænna undirskrifta. Í samræmi við 14. gr. sáttmálans myndar innri markaðurinn svæði án innri landa mæra þar sem frjálsir vöruflutningar eru tryggð ir. Uppfylla ber grunnkröfur sem gilda sérstak lega um vörur til rafrænna undirskrifta til þess að tryggja frjálsa flutninga innan innri markað arins og skapa traust á rafrænum undirskriftum, með fyrirvara um reglugerð ráðsins (EB) nr. 3381/94 frá 19. desember 1994 um að koma á bandalagsskipan um eftirlit með útflutningi vara sem þjóna tvenns konar tilgangi (See footnote 5 ⁵ ) og ákvörðun ráðsins 94/942/CFSP frá 19. desember 1994 um sameiginlegar aðgerðir sem ráðið hefur sam þykkt um eftirlit með útflutningi vara sem þjóna tvenns konar tilgangi ( ^{See footnote 6
6} ).

6)     Þessi tilskipun fjallar ekki um samhæfingu þjónustuveitingar með tilliti til upplýsinga leyndar ef innlend ákvæði, sem fjalla um alls herjarreglu eða almannaöryggi, gilda um slíka þjónustuveitingu.

7)     Innri markaðurinn tryggir frjálsa fólksflutninga sem hefur í för með sér að borgarar í Evrópu sambandinu og þeir sem eru búsettir þar þurfa í auknum mæli að eiga samskipti við yfirvöld í öðrum aðildarríkjum en því þar sem þeir hafa fasta búsetu. Framboð á rafrænum samskiptum gæti gert mikið gagn í þessu tilliti.

8)     Hröð tækniþróun og hnattrænir eiginleikar Netsins útheimta nálgun sem býður heim marg víslegri tækni og þjónustu sem gerir kleift að sanna uppruna upplýsinga með rafrænum hætti.

9)     Rafrænar undirskriftir verða notaðar við marg háttaðar aðstæður og aðgerðir sem leiðir af sér margvíslega nýja þjónustu og vörur sem til raf rænna undirskrifta eða krefjast notkunar þeirra. Skilgreiningu slíkra vara og þjónustu ber ekki að einskorða við útgáfu skilríkja og umsýslu vegna þeirra, heldur ætti slík skilgreining einnig að ná til hvers kyns annarrar þjónustu og allra vara þar sem rafrænar undirskriftir eru notaðar eða sem eru þeim til eflingar, eins og skráningarþjónustu, tímastimplunar, upplýs ingaþjónustu, þjónustu á sviði gagnameðferðar eða ráðgjafarþjónustu sem tengist rafrænum undirskriftum.

10)     Innri markaðurinn gerir vottunaraðilum kleift að þróa starfsemi sína yfir landamæri í því skyni að auka samkeppnishæfni sína og að bjóða neytendum og fyrirtækjum þannig ný tækifæri til rafrænna upplýsingaskipta og við skipta með öruggum hætti án tillits til landa mæra. Í því augnamiði að efla vottunarþjónustu á opnum netum vítt og breitt í bandalaginu ætti vottunaraðilum að vera frjálst að bjóða fram þjónustu sína án heimildar sem er veitt fyrir fram. Með heimild, sem er veitt fyrirfram, er ekki aðeins átt við leyfi þar sem viðkomandi vottunaraðili skal útvega sér ákvörðun inn lendra yfirvalda áður en honum er heimilt að veita vottunarþjónustu, heldur og allar aðrar ráðstafanir sem hafa sömu áhrif.

11)     Skipulag valfrjálsrar faggildingar, sem miðar að bættri þjónustuveitingu, gæti verið réttur grundvöllur fyrir vottunaraðila til þess að þróa enn frekar þjónustustarfsemi sína í því skyni að skapa það traust, öryggi og gæði sem hinn vax andi markaður krefst. Fyrrnefnt skipulag ætti að stuðla að þróun ákjósanlegustu starfshátta vott unaraðila. Vottunaraðilum ætti að vera frjálst að vera þátttakendur í slíku faggildingarskipulagi og njóta góðs af því.

12)     Opinberir aðilar, lögpersónur eða einstaklingar, sem eru viðurkenndir í samræmi við innlend lög, geta boðið fram vottunarþjónustu. Aðildarríkin ættu ekki að banna vottunaraðilum að starfa utan skipulags valfrjálsrar faggildingar. Tryggja ber að slíkt faggildingarskipulag dragi ekki úr sam keppni á vottunarþjónustu.

13)     Aðildarríkjunum er heimilt að ákveða með hvaða hætti þau tryggja eftirlit með því að farið sé að ákvæðunum sem mælt er fyrir um í þessari tilskipun. Tilskipun þessi útilokar ekki að komið verði á fót einkareknum eftirlitskerfum. Vottun araðilum er ekki skylt, samkvæmt þessari til skipun, að sækja um að hlíta eftirliti samkvæmt faggildingarskipulagi.

14)     Mikilvægt er að jafnvægi ríki milli þarfa neyt enda og fyrirtækja.

15)     Í III. viðauka er fjallað um kröfur sem eru gerðar til öruggs undirskriftarbúnaðar í því skyni að tryggja virkni þróaðra, rafrænna undirskrifta. Í fyrrnefndum viðauka er ekki fjallað um gervallt umhverfi þess kerfis sem slíkur búnaður vinnur í. Nauðsynlegt er, vegna starfsemi innri markað arins, að framkvæmdastjórnin og aðildarríkin bregðist skjótt við til þess að unnt sé að tilnefna þá aðila sem er ætlað að meta hvort öruggur undirskriftarbúnaður sé í samræmi við III. við auka. Samræmismat skal fara fram tímanlega og með skilvirkum hætti í því skyni að mæta þörf um markaðarins.

16)     Tilskipun þessi stuðlar að notkun og lagalegri viðurkenningu rafrænna undirskrifta í bandalag inu. Rammaákvæða er ekki þörf vegna rafrænna undirskrifta sem eru einvörðungu notaðar innan kerfa sem eru grundvölluð á frjálsum samning um, samkvæmt einkamálarétti, milli tilgreinds fjölda þátttakenda. Virða ber frelsi aðila til að semja sín á milli um skilmála og skilyrði sem gildi um gögn, undirrituð með rafrænum hætti, sem þeir samþykkja, að því marki sem landslög leyfa. Viðurkenna ber lagalegt gildi rafrænna undirskrifta sem eru notaðar í slíkum kerfum og lögmæti þeirra við málarekstur.

17)     Með þessari tilskipun er ekki stefnt að því að samræma innlendar reglur á sviði samninga laga, einkum um gerð og efndir samninga, eða önnur formsatriði sem lúta ekki að samningum og varða undirskriftir. Af þessum ástæðum skulu ákvæði um réttaráhrif rafrænna undir skrifta vera með fyrirvara um formkröfur, sem mælt er fyrir um í landslögum, með tilliti til samningagerðar eða reglna um það hvar samn ingsgerð fari fram.

18)     Geymsla og afritun undirskriftargagna gæti teflt lögmæti rafrænna undirskrifta í hættu.

19)     Rafrænar undirskriftir verða notaðar í opinbera geiranum í innlendri stjórnsýslu og stjórnsýslu bandalagsins og í samskiptum milli þeirra og við borgara og aðila í atvinnurekstri, til dæmis á vettvangi opinberra innkaupa, skattakerfisins, almannatrygginga og heilbrigðis- og réttarkerf isins.

20)     Samræming viðmiðana, sem gilda um réttar áhrif rafrænna undirskrifta, mun gera kleift að viðhalda heildstæðum lagaramma hvarvetna innan bandalagsins. Landslög mæla fyrir um ólíkar kröfur um lögmæti eiginhandarundir skrifta. Unnt er að nota skilríki til þess að bera kennsl á einstakling sem undirritar með rafræn um hætti. Með þróuðum rafrænum undirskrift um, sem eru grundvallaðar á viðurkenndum skilríkjum, er stefnt að hærra öryggisstigi. Því aðeins er unnt að líta á þróaðar rafrænar undir skriftir, sem eru grundvallaðar á viðurkenndum skilríkjum og gerðar með öruggum undir skriftarbúnaði, sem jafngildar eiginhandar undirskriftum í lagalegu tilliti ef kröfum um eiginhandarundirskriftir er fullnægt.

21)     Tryggja ber, í því skyni að stuðla að því að raf ræn sönnun á uppruna hljóti almenna viður kenningu, að unnt sé að nota rafrænar undir skriftir sem sönnunargögn í málarekstri í öllum aðildarríkjunum. Grundvalla ber viðurkenningu rafrænna undirskrifta í lagalegu tilliti á hlut lægum viðmiðunum, óháð leyfisveitingu til handa viðkomandi vottunaraðila. Landslög skera úr um það á hvaða lagasviðum er heimilt að nota rafræn skjöl og rafrænar undirskriftir. Tilskipun þessi er með fyrirvara um vald inn lendra dómstóla til þess að fella úrskurð um hvort kröfum þessarar tilskipunar sé fullnægt og hefur ekki áhrif á innlend ákvæði um óháða um fjöllun dómstóla um sönnunargögn.

22)     Innlend ákvæði um ábyrgð gilda um vottunar aðila sem veita almenningi þjónustu sína.

23)     Þróun rafrænnar verslunar milli landa krefst ráð stafana sem ná yfir landamæri og til þriðju landa. Í því skyni að tryggja hnattrænt rekstrar samhæfi gæti reynst hagkvæmt að gera samn inga við þriðju lönd um marghliða reglur sem fjalla um gagnkvæma viðurkenningu vottunar þjónustu.

24)     Til þess að auka tiltrú notenda á rafrænum sam skiptum og rafrænni verslun verða vottunaraðil ar að virða löggjöf um upplýsingavernd og frið helgi einkalífsins.

25)     Ákvæði um notkun dulnefna í skilríkjum ættu ekki að hindra aðildarríkin í því að krefjast þess að unnt sé að bera kennsl á einstaklinga sam kvæmt bandalagslögum eða landslögum.

26)     Samþykkja ber nauðsynlegar ráðstafanir til framkvæmdar þessari tilskipun í samræmi við ákvörðun ráðsins 1999/468/EB frá 28. júní 1999 um verklagsreglur um meðferð framkvæmda valds sem framkvæmdastjórninni er falið (See footnote 7 ¹ ).

27)     Tveimur árum eftir að þessi tilskipun kemur til framkvæmda ber framkvæmdastjórninni að endurskoða hana, meðal annars í því skyni að tryggja að hvorki tækniframfarir né breytingar á lagaumhverfi komi í veg fyrir að markmiðum tilskipunarinnar verði náð. Henni ber að kanna áhrif tengdra tæknisviða og senda Evrópuþing inu og ráðinu skýrslu þar að lútandi.

28)     Samkvæmt dreifræðisreglunni og meðalhófs reglunni, eins og kemur fram í 5. gr. sáttmálans, eru aðildarríkin ekki nógu vel í stakk búin til þess að ná því takmarki að skapa samræmdan lagaramma um framboð rafrænna undirskrifta og tengdrar þjónustu og því er bandalagið betur til þess fallið að ná því takmarki. Með tilskipun þessari er ekki gengið lengra en nauðsynlegt er til þess að ná fyrrnefndu takmarki.

SAMÞYKKT TILSKIPUN ÞESSA:

1. gr.

Gildissvið

Tilgangurinn með þessari tilskipun er að greiða fyrir notkun rafrænna undirskrifta og stuðla að lagalegri viðurkenningu þeirra. Með tilskipuninni er settur lagarammi um rafrænar undirskriftir og tiltekna vott unarþjónustu í því skyni að tryggja eðlilega starfsemi innri markaðarins.

Tilskipunin fjallar hvorki um þætti sem varða gerð og gildi samninga eða aðrar lagaskyldur, þar sem fram koma kröfur með tilliti til forms sem mælt er fyrir um í landslögum eða lögum bandalagsins, né heldur hefur hún áhrif á reglur og skorður sem eru settar í landslögum eða lögum bandalagsins og stýra notkun skjala.

2. gr.

Skilgreiningar

Í tilskipun þessari er skilgreining eftirfarandi hug taka sem hér segir:

1.     „rafræn undirskrift“: gögn í rafrænu formi sem fylgja eða tengjast öðrum rafrænum gögnum með rökrænum hætti og þjóna þeim tilgangi að staðfesta uppruna;

2.     „þróuð rafræn undirskrift“: rafræn undirskrift sem uppfyllir eftirtaldar kröfur:

    a)    hún tengist undirritanda einum með ótvíræð um hætti;

    b)    hún segir deili á undirritanda;

    c)    hún er gerð með þeim hætti sem undirritand inn getur einn haft stjórn á; og

    d)    hún tengist þeim gögnum sem hún vísar til með þeim hætti að unnt er að greina síðari breytingar á þeim;

3.     „undirritandi“: einstaklingur sem ræður yfir undirskriftarbúnaði og kemur fram fyrir eigin hönd eða fyrir hönd annars einstaklings eða lög persónu eða aðila sem hann er fulltrúi fyrir;

4.     „undirskriftargögn“: sérstök gögn, t.d. kóðar eða einkadulkóðunarlyklar, sem undirritandi notar til rafrænnar undirskriftar;

5.     „undirskriftarbúnaður“: samskipaður hugbúnað ur eða vélbúnaður til þess að gera undirskriftar gögnin nothæf;

6.     „öruggur undirskriftarbúnaður“: undirskriftar búnaður sem fullnægir kröfunum sem mælt er fyrir um í III. viðauka;

7.     „staðfestingargögn“: gögn, t.d. kóðar eða opin berir dulkóðunarlyklar, sem eru notuð til þess að staðfesta rafræna undirskrift;

8.     „staðfestingarbúnaður“: samskipaður hugbúnað ur eða vélbúnaður til þess að gera staðfestingar gögnin nothæf;

9.     „skilríki“: rafræn vottun sem tengir staðfesting argögn einstaklingi og staðfestir hver hann er;

10.     „viðurkennd skilríki“: skilríki sem fullnægja kröfunum sem mælt er fyrir um í I. viðauka og látin eru í té af vottunaraðila sem fullnægir kröf unum sem mælt er fyrir um í II. viðauka;

11.     „vottunaraðili“: aðili eða lögpersóna eða ein staklingur sem gefur út skilríki eða veitir aðra þjónustu sem tengist rafrænum undirskriftum;

12.     „vara til rafrænna undirskrifta“: vél- eða hug búnaður eða viðeigandi íhlutir hans sem vott unaraðila er ætlað að nota í því skyni að veita þjónustu á sviði rafrænna undirskrifta eða eru ætluð til þess að staðfesta rafrænar undirskriftir;

13.     „valfrjáls faggilding“: leyfi sem mælir fyrir um réttindi og skyldur sem varða sérstaklega veit ingu vottunarþjónustu og er veitt samkvæmt beiðni viðkomandi vottunaraðila af opinberri stofnun eða einkaaðila, sem er falið að sjá um útfærslu á slíkum réttindum og að slíkar skyldur séu uppfylltar, þegar vottunaraðili hefur ekki heimild til þess að njóta þeirra réttinda sem leið ir af leyfinu fyrr en hann hefur móttekið ákvörð un viðkomandi aðila.

3. gr.

Markaðsaðgangur

1.     Aðildarríkin skulu ekki gera það að skilyrði að veiting vottunarþjónustu sé háð fyrirframgefnu leyfi.

2.     Aðildarríkjunum er heimilt, með fyrirvara um ákvæði 1. mgr., að samþykkja eða viðhalda skipulagi valfrjálsrar faggildingar sem miðar að bættri vott unarþjónustu. Öll skilyrði í tengslum við slíkar áætl anir skulu vera hlutlæg, gagnsæ, í réttu hlutfalli við tilefnið og án mismununar. Aðildarríkjunum er óheimilt að takmarka fjölda faggiltra vottunaraðila af ástæðum sem falla undir gildissvið þessarar tilskip unar.

3.     Hvert og eitt aðildarríki skal ábyrgjast að komið sé á fót viðeigandi kerfi til að unnt sé að hafa eftirlit með vottunaraðilum sem hafa staðfestu á landsvæði þess og gefa út viðurkennd skilríki handa almenn ingi.

4.     Til þess bærar opinberar stofnanir eða einkaaðil ar, sem aðildarríkin tilnefna, skulu skera úr um það hvort öruggur undirskriftarbúnaður sé í samræmi við kröfurnar sem mælt er fyrir um í III. viðauka. Fram kvæmdastjórninni ber, samkvæmt málsmeðferðinni sem mælt er fyrir um í 9. gr., að samþykkja viðmið anir sem aðildarríkin fari eftir þegar ákveða skal hvort tilnefna beri tiltekinn aðila.

Öll aðildarríkin skulu viðurkenna ákvarðanir sem stofnanir eða einkaaðilar, sem um getur í fyrstu und irgrein, taka um hvort kröfunum, sem mælt er fyrir um í III. viðauka, sé talið fullnægt.

5.     Framkvæmdastjórninni er heimilt, í samræmi við málsmeðferðina sem mælt er fyrir um í 9. gr., að ákveða og birta í Stjórnartíðindum Evrópubandalag anna tilvísunarnúmer staðla sem eru almennt viður kenndir fyrir vörur til rafrænna undirskrifta. Aðildar ríkin skulu ganga út frá því að vörur til rafrænna undirskrifta uppfylli kröfurnar, sem mælt er fyrir um í f-lið II. viðauka og III. viðauka, ef þær eru í sam ræmi við fyrrnefnda staðla.
6.     Aðildarríkin og framkvæmdastjórnin skulu í sameiningu stuðla að þróun og notkun staðfestingar búnaðar með hliðsjón af tilmælum um örugga stað festingu undirskrifta, sem mælt er fyrir um í IV. við auka, og með tilliti til hagsmuna neytenda.

7.     Aðildarríkin geta gert notkun rafrænna undir skrifta í opinbera geiranum háða hugsanlegum við bótarkröfum. Slíkar kröfur skulu vera hlutlægar, gagnsæjar, í réttu hlutfalli við tilefnið og án mismun unar og eiga eingöngu við um séreiginleika þeirrar notkunar sem um ræðir. Kröfurnar skulu ekki hindra þjónustustarfsemi yfir landamæri í þágu borgaranna.

4. gr.

Meginreglur um innri markaðinn

1.     Hvert og eitt aðildarríki skal beita innlendum ákvæðum, sem það samþykkir samkvæmt þessari til skipun, gagnvart vottunaraðilum sem hafa staðfestu á landsvæði þess og þeirri þjónustu sem þeir láta í té. Aðildarríkjunum er óheimilt, á þeim sviðum sem þessi tilskipun fjallar um, að takmarka vottunarþjón ustu sem á rætur að rekja til annars aðildarríkis.

2.     Aðildarríkin skulu tryggja frjálsa dreifingu á innri markaðinum á vörum til rafrænna undirskrifta sem eru í samræmi við þessa tilskipun.

5. gr.

Réttaráhrif rafrænna undirskrifta

1.     Aðildarríkin skulu tryggja að þróaðar, rafrænar undirskriftir, sem eru byggðar á viðurkenndum skil ríkjum og til verða með öruggum undirskriftarbún aði:

a)    uppfylli lagakröfur um undirskrift í tengslum við rafræn gögn á sama hátt og eiginhandarundir skrift uppfyllir lagakröfur í tengslum við papp írsgögn; og

b)    séu viðurkenndar sem sönnunargögn í mála rekstri.

2.     Aðildarríkin skulu tryggja að því sé ekki hafnað að rafræn undirskrift fái réttaráhrif og sé viðurkennd sem sönnunargagn í málarekstri einungis af þeirri ástæðu að hún er:

—    á rafrænu formi, eða

—    ekki byggð á viðurkenndum skilríkjum, eða

—    ekki byggð á viðurkenndum skilríkjum sem fag giltur vottunaraðili gefur út, eða

—    ekki gerð með öruggum undirskriftarbúnaði

6. gr.

Skaðabótaábyrgð

1.     Aðildarríkin skulu að minnsta kosti tryggja að samfara því að vottunaraðili gefur út skilríki sem eru ígildi viðurkenndra skilríkja handa almenningi eða ábyrgist slík skilríki gagnvart almenningi sé hann ábyrgur fyrir tjóni aðila, lögpersónu eða einstaklings sem reiðir sig á slík skilríki með eðlilegum hætti að því er varðar:

a)    nákvæma meðferð við útgáfu á öllum upplýsing um sem viðurkenndu skilríkin innihalda og að því er varðar að skilríkin innihaldi allar þær upp lýsingar sem mælt er fyrir um að viðurkennd skilríki skuli gera;

b)    tryggingu fyrir því að við útgáfu skilríkjanna hafi undirritandinn, sem er auðkenndur í viður kenndu skilríkjunum, haft undir höndum undir skriftargögnin sem svara til staðfestingargagn anna sem koma fram eða eru auðkennd í skilríkj unum;

c)    tryggingu fyrir því að unnt sé að nota undir skriftargögnin og staðfestingargögnin til gagn kvæmrar uppfyllingar þegar vottunaraðili annast gerð beggja;

nema vottunaraðili færi sönnur á að hann hafi ekki gert sig sekan um vanrækslu.

2.     Aðildarríkin skulu að minnsta kosti tryggja að vottunaraðili, sem hefur gefið út skilríki sem eru ígildi viðurkenndra skilríkja handa almenningi, sé ábyrgur fyrir tjóni aðila, lögpersónu eða einstaklings, sem reiðir sig á skilríkin með eðlilegum hætti, sem rekja má til þess að skráningu á afturköllun skilríkj anna hefur ekki verið sinnt, nema vottunaraðilinn færi sönnur á að hann hafi ekki gert sig sekan um vanrækslu.

3.     Aðildarríkin skulu tryggja að vottunaraðila sé heimilt að gefa til kynna í viðurkenndum skilríkjum takmarkanir á notkun þeirra, að því tilskildu að þriðju aðilum séu slíkar takmarkanir ljósar. Vottun araðili er ekki ábyrgur fyrir tjóni sem leiðir af notkun viðurkenndra skilríkja sem nær út fyrir þær takmark anir sem hún miðast við.

4.     Aðildarríkin skulu tryggja að vottunaraðila sé heimilt að gefa til kynna í viðurkenndum skilríkjum við hvaða mörk viðskiptafjárhæðar notkun skilríkj anna miðast, að því tilskildu að þriðju aðilum séu mörkin ljós.

Vottunaraðili er ekki ábyrgur fyrir tjóni sem leiðir af því að farið sé yfir fyrrnefnt hámark.

5.     Ákvæði 1. til 4. mgr. eru með fyrirvara um til skipun ráðsins 93/13/EBE frá 5. apríl 1993 um órétt mæta skilmála í neytendasamningum (See footnote 8 ¹ ).

7. gr.

Alþjóðleg sjónarmið

1.     Aðildarríkin skulu tryggja að viðurkennt sé að skilríki, sem vottunaraðili, sem hefur staðfestu í þriðja landi, gefur út sem viðurkennd skilríki handa almenningi, jafngildi skilríkjum sem vottunaraðili, sem hefur staðfestu í bandalaginu, gefur út, ef:

a)    viðkomandi vottunaraðili uppfyllir skilyrðin sem mælt er fyrir um í þessari tilskipun og hefur hlotið faggildingu samkvæmt skipulagi val frjálsrar faggildingar sem hefur verið komið á í aðildarríki; eða

b)    vottunaraðili, sem hefur staðfestu í bandalaginu og uppfyllir skilyrðin sem mælt er fyrir um í þessari tilskipun, ábyrgist skilríkin; eða

c)    skilríkin eða viðkomandi vottunaraðili er viður kenndur samkvæmt tvíhliða eða marghliða samningi milli bandalagsins og þriðju landa eða alþjóðastofnana.

2.     Framkvæmdastjórnin skal, í því skyni að auð velda vottunarþjónustu yfir landamæri við þriðju lönd og lagalega viðurkenningu þróaðra, rafrænna undirskrifta sem eru upprunnar í þriðju löndum, leggja fram tillögur, þar sem það á við, til þess að unnt sé að framkvæma á skilvirkan hátt staðla og milliríkjasamninga sem gilda um vottunarþjónustu. Hún skal, einkum og sér í lagi og ef nauðsyn krefur, senda ráðinu tillögur um viðeigandi umboð til við ræðna um tvíhliða og marghliða samninga við þriðju lönd og alþjóðastofnanir. Ráðið tekur ákvörðun með auknum meirihluta.

3.     Í hvert sinn sem framkvæmdastjórninni er til kynnt um vanda bandalagsfyrirtækja í tengslum við markaðsaðgang í þriðju löndum getur hún, ef nauð syn krefur, sent ráðinu tillögur um viðeigandi umboð til viðræðna um sambærileg réttindi til handa banda lagsfyrirtækjum í viðkomandi þriðju löndum. Ráðið tekur ákvörðun með auknum meirihluta.

Ráðstafanir, sem eru gerðar samkvæmt þessari máls grein, eru með fyrirvara um skuldbindingar banda lagsins og aðildarríkjanna samkvæmt viðeigandi milliríkjasamningum.

8. gr.

Gagnavernd

1.     Aðildarríkin skulu tryggja að vottunaraðilar og innlendir aðilar sem annast faggildingu eða eftirlit uppfylli kröfurnar sem mælt er fyrir um í tilskipun Evrópuþingsins og ráðsins 95/46/EB frá 24. október 1995 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upp lýsinga (See footnote 9 ¹ ).

2.     Aðildarríkin skulu tryggja að vottunaraðilar, sem gefa út skilríki handa almenningi, hafi einungis heimild til að verða sér úti um persónuleg gögn beint frá þeim sem gögnin varða eða að fengnu fullu sam þykki hans og aðeins að svo miklu leyti sem nauð synlegt er í því skyni að gefa út skilríkin og viðhalda þeim. Óheimilt er að safna gögnunum eða með höndla þau í öðrum tilgangi án fulls samþykkis þess sem gögnin varða.

3.     Aðildarríkin skulu ekki, með fyrirvara um réttar áhrif sem dulnefnum eru eignuð samkvæmt lands lögum, hindra vottunaraðila í að gefa til kynna í skil ríkjunum dulnefni í stað nafns undirritanda.

9. gr.

Nefnd

1.     Framkvæmdastjórnin skal njóta aðstoðar nefndar um rafrænar undirskriftir, hér á eftir kölluð „nefnd in“.

2.     Þegar fjallað er um þessa málsgrein gilda ákvæði 4. og 7. gr. ákvörðunar 1999/468/EB með hliðsjón af ákvæðum 8. gr. sömu ákvörðunar.

Fresturinn, sem mælt er fyrir um í 3. mgr. 4. gr. ákvörðunar 1999/468/EB, skal vera þrír mánuðir.

3.     Nefndin setur sér starfsreglur.

10. gr.

Verkefni nefndarinnar

Nefndin skal, í samræmi við málsmeðferðina sem mælt er fyrir um í 2. mgr. 9. gr., skýra kröfurnar sem mælt er fyrir um í viðaukunum við þessa tilskipun, viðmiðanirnar sem um getur í 4. mgr. 3. gr. og al mennt viðurkennda staðla fyrir vörur til rafrænna undirskrifta sem eru samþykktir og gefnir út sam kvæmt 5. mgr. 3. gr.

11. gr.

Tilkynning

1.     Aðildarríkin skulu tilkynna framkvæmdastjórn inni og hinum aðildarríkjunum um eftirfarandi:

a)    upplýsingar um innlent skipulag valfrjálsrar fag gildingar, þar með taldar viðbótarkröfur sam kvæmt 7. mgr. 3. gr.;

b)    nöfn og heimilisföng innlendra aðila sem annast faggildingu og umsjón og einnig þeirra aðila sem um getur í 4. mgr. 3. gr.;

c)    nöfn og heimilisföng allra innlendra vottunar aðila sem hafa öðlast faggildingu.

2.     Aðildarríkin skulu, eins fljótt og auðið er, til kynna um allar upplýsingar sem látnar eru í té sam kvæmt 1. mgr. og um breytingar á þeim.

12. gr.

Endurskoðun

1.     Framkvæmdastjórnin skal leggja mat á fram kvæmd þessarar tilskipunar og gefa Evrópuþinginu og ráðinu skýrslu um það eigi síðar en 19. júlí 2003.

2.     Í matinu skal meðal annars fjallað um það hvort breyta beri gildissviði þessarar tilskipunar, að teknu tilliti til þróunar á sviði tæknimála, markaðsmála og réttarfars. Í skýrslunni skal sérstaklega koma fram mat á ýmsum hliðum samræmingar er byggist á fenginni reynslu. Skýrslunni skulu fylgja tillögur að fyrirmælum laga, ef við á.
13. gr.

Framkvæmd

1.     Aðildarríkin skulu samþykkja nauðsynleg lög og stjórnsýslufyrirmæli til að fara að tilskipun þessari fyrir 19. júlí 2001. Þau skulu tilkynna það fram kvæmdastjórninni þegar í stað.

Þegar aðildarríkin samþykkja þessar ráðstafanir skal vera í þeim tilvísun í þessa tilskipun eða þeim fylgja slík tilvísun þegar þær eru birtar opinberlega. Að ildarríkin skulu setja nánari reglur um slíka tilvísun.

2.     Aðildarríkin skulu senda framkvæmdastjórninni helstu ákvæði úr landslögum sem þau samþykkja um málefni sem tilskipun þessi nær til.

14. gr.

Gildistaka

Tilskipun þessi öðlast gildi á þeim degi sem hún birt ist í Stjórnartíðindum Evrópubandalaganna.

15. gr.

Viðtakendur

Tilskipun þessari er beint til aðildarríkjanna.

Gjört í Brussel 13. desember 1999.

    Fyrir hönd Evrópuþingsins,     Fyrir hönd ráðsins,

    N. FONTAINE     S. HASSI

    forseti.     forseti.

I. VIÐAUKI

Kröfur viðvíkjandi viðurkenndum skilríkjum

Viðurkennd skilríki skulu innihalda:
    a)      ábendingu þess efnis að skilríkin séu útgefin sem viðurkennd skilríki;
    b)      deili á vottunaraðila og ríkinu þar sem hann hefur staðfestu;
    c)      nafn undirritanda eða dulnefni sem skal vera auðkennt sem slíkt;
    d)      sérstakar upplýsingar um undirritandann sem komi fram ef við á, eftir því í hvaða tilgangi nota á skilríkin;
    e)      þau staðfestingargögn sem svara til þeirra undirskriftargagna sem undirritandinn ræður yfir;
    f)      upplýsingar um upphaf og lok gildistíma skilríkjanna;
    g)      kennikóða skilríkjanna;
    h)      þróaða, rafræna undirskrift vottunaraðilans sem gefur þau út;
    i)      takmarkanir á notkunarsviði skilríkjanna, ef við á; og
    j)      mörk þeirrar viðskiptafjárhæðar sem notkun skilríkjanna miðast við, ef við á.

II. VIÐAUKI

Kröfur viðvíkjandi vottunaraðilum sem gefa út viðurkennd skilríki

Vottunaraðilar skulu:
    a)      sýna fram á nauðsynlegan trúverðugleika til þess að láta í té vottunarþjónustu;
    b)      sjá til þess að veitt sé hraðvirk og örugg skráar- og afturköllunarþjónusta;
    c)      tryggja að unnt sé að sjá nákvæmlega hvaða dag og hvenær dags skilríki eru gefin út eða afturkölluð;
    d)      staðfesta, með viðeigandi hætti og í samræmi við landslög, deili á og sérstök einkenni, ef við á, þess einstaklings sem viðurkenndu skilríkin eru gefin út fyrir;
    e)      ráða starfsmenn með sérþekkingu, reynslu og menntun og hæfi sem eru nauðsynleg vegna þeirrar þjónustu sem er veitt, einkum stjórnunarhæfni, sérþekkingu í tækni á sviði rafrænna undirskrifta og þekkingu á viðeigandi starfsháttum á sviði öryggismála; þeir skulu einnig viðhafa rétt stjórnsýslu- og stjórnunarvinnubrögð sem eru í samræmi við viðurkennda staðla;
    f)      nota örugg kerfi og vörur sem ekki er unnt að breyta og tryggja tæknilegt öryggi og öryggi dulkóðunar að því er varðar það ferli sem er byggt á þeim;
    g)      gera ráðstafanir til að koma í veg fyrir fölsun skilríkja og þegar vottunaraðilinn er höfundur undir skriftargagna, ábyrgjast að trúnaður sé virtur meðan slík gögn eru í vinnslu;
    h)      ráða að staðaldri yfir nægilegu fjármagni til þess að geta haldið starfseminni gangandi í samræmi við kröfurnar sem mælt er fyrir um í þessari tilskipun, einkum að geta risið undir áhættu samfara skaða bótaábyrgð, til dæmis með því að útvega sér viðeigandi tryggingu;
    i)      skrá allar upplýsingar, sem skipta máli um viðurkennd skilríki, í hæfilega langan tíma, einkum til þess að vera fær um að leggja fram sönnunargögn um vottun í málarekstri. Heimilt er að slík skráning fari fram með rafrænum hætti;
    j)      ekki geyma eða afrita undirskriftargögn þess einstaklings sem vottunaraðilinn veitti lykilþjónustu á sviði umsýslu;
    k)      áður en þeir gera samning við einstakling, sem sækist eftir að fá skilríki til að renna stoðum undir rafræna undirskrift sína, upplýsa viðkomandi einstakling, gegnum haldgóðan samskiptamiðil, um nákvæma skilmála og skilyrði sem gilda um notkun skilríkjanna, meðal annars um notkunartakmark anir þeirra, tilvist skipulags valfrjálsrar faggildingar og um meðferð kærumála og lausn deilumála. Þessar upplýsingar, sem heimilt er að senda með rafrænum hætti, skulu vera skriflegar og á auðskiljan legu máli. Viðeigandi hlutar þessara upplýsinga skulu einnig, samkvæmt beiðni, vera aðgengilegir þriðju aðilum sem reiða sig á skilríkin;
    l)      nota örugg kerfi til þess að geyma skilríki í staðfestanlegu formi til þess að: —    aðeins einstaklingar, sem til þess hafa heimild, geti framkvæmt færslur og gert breytingar, —    unnt sé að ganga úr skugga um uppruna upplýsinga, —    skilríki séu aðeins aðgengileg almenningi að fengnu samþykki handhafa skilríkja, og —    sérhver tæknibreyting, sem er ógnar þessum öryggiskröfum, sé rekstraraðilanum augljós.

III. VIÐAUKI

Kröfur viðvíkjandi öruggum undirskriftarbúnaði

1.     Öruggur undirskriftarbúnaður skal, með viðeigandi tæknilegum aðferðum og verklagsreglum, tryggja, að minnsta kosti:

    a)    að undirskriftargögnin, sem eru notuð við gerð undirskriftar, geti í raun aðeins komið fram einu sinni og að leynd þeirra sé tryggð á eðlilegan hátt;

    b)    að öruggt sé, eins og eðlilegt má teljast, að ekki sé hægt að rekja undirskriftargögnin sem eru notuð við gerð undirskriftar og að nýjasta tækni komi í veg fyrir að unnt sé að falsa undirskriftina;

    c)    að réttur undirritandi geti tryggilega verndað undirskriftargögnin, sem eru notuð við undirskrift, þannig að aðrir geti ekki notað þau.

2.     Undirskriftargögnin mega ekki breyta gögnunum sem undirrita á eða hindra að slík gögn séu kynnt undir ritandanum áður en til undirskriftar kemur.

IV. VIÐAUKI

Tillögur um örugga staðfestingu undirskrifta

Um leið og staðfesting undirskrifta fer fram skal tryggja með eins miklu öryggi og frekast má:

    a)      að gögnin, sem eru notuð til að staðfesta undirskriftina, svari til gagnanna sem þeim sem annast stað festinguna eru sýnd;
    b)      að undirskriftin sé tryggilega staðfest og niðurstöður þeirrar staðfestingar séu sýndar með réttum hætti;
    c)      að sá sem annast staðfestinguna geti, eftir því sem nauðsyn krefur, staðfest með öruggum hætti innihald gagnanna sem hafa verið undirrituð;
    d)      að áreiðanleiki og lögmæti skilríkjanna, sem eru nauðsynleg þegar staðfesting undirskriftar fer fram, séu staðfest með öruggum hætti;
    e)      að niðurstöður staðfestingar og deili á undirritandanum séu sýnd með réttum hætti;
    f)      að notkun dulnefnis komi skýrt fram; og
    g)      að unnt sé að koma auga á allar breytingar sem varða öryggi.

Fylgiskjal II.

Fjármálaráðuneyti,
fjárlagaskrifstofa:

Umsögn um frumvarp til laga um rafrænar undirskriftir.
    Með frumvarpinu er lagður grunnur að réttarumhverfi, öryggi og eftirliti með rafrænum undirskriftum.
    Verði frumvarpið óbreytt að lögum er gert ráð fyrir að árlegur kostnaður við eftirlitsstarf Löggildingarstofu verði um 8 m.kr. Stofnunin innheimtir gjald af vottunaraðilum fyrir hvert fullgilt vottorð sem gefið er út. Þó skal vottunaraðili aldrei greiða lægra eftirlitsgjald en 1.000.000,- á ári. Ganga þessar tekjur á móti kostnaði og er gert ráð fyrir að tekjur standi alfarið undir útgjöldum eftir nokkur ár. Ljóst er að kaupa verður sértækan hug- og vélbúnað til að sinna eftirlitsstarfseminni. Einnig fellur nokkur kostnaður til vegna erlendra samskipta þar sem rafrænar undirskriftir munu öðlast alþjóðlega viðurkenningu. Loks er ljóst að slíkt eftirlitsstarf er tæknilega mjög flókið og krefst mikillar þjálfunar og þekkingar eftirlitsaðila.