Ferill 524. máls. Aðrar útgáfur af skjalinu: PDF - Word Perfect.
126. löggjafarþing 2000–2001.
Þskj. 820 — 524. mál.
Frumvarp til laga
um rafrænar undirskriftir.
(Lagt fyrir Alþingi á 126. löggjafarþingi 2000–2001.)
I. KAFLI
Markmið og gildissvið.
1. gr.
Markmið.
2. gr.
Gildissvið.
Viðskiptaráðherra fer með yfirstjórn mála samkvæmt lögum þessum.
II. KAFLI
Skilgreiningar, réttaráhrif og vernd persónuupplýsinga.
3. gr.
Orðskýringar.
1. Rafræn undirskrift: Gögn í rafrænu formi sem fylgja eða tengjast rökrænt öðrum rafrænum gögnum og eru notuð til að sannprófa frá hverjum hin síðarnefndu gögn stafa.
2. Útfærð rafræn undirskrift: Rafræn undirskrift sem:
a. tengist undirritanda einum,
b. er til þess fallin að bera kennsl á undirritanda,
c. er gerð með aðferð sem er eingöngu á forræði undirritanda og
d. er tengd gögnum á þann hátt að hvers konar breyting á þeim eftir undirritun er greinileg.
3. Fullgild rafræn undirskrift: Útfærð rafræn undirskrift sem er studd fullgildu vottorði og gerð með öruggum undirskriftarbúnaði.
4. Undirritandi: Sá sem hefur forræði yfir undirskriftarbúnaði og kemur fram fyrir eigin hönd eða fyrir hönd annars einstaklings eða lögpersónu.
5. Undirskriftargögn: Einstök gögn, svo sem kótar eða einkalykill dulritunar, sem undirritandi notar til að mynda rafræna undirskrift.
6. Undirskriftarbúnaður: Hugbúnaður eða vélbúnaður sem notaður er til að mynda rafræna undirskrift með hjálp undirskriftargagna.
7. Öruggur undirskriftarbúnaður: Undirskriftarbúnaður sem fullnægir skilyrðum sem kveðið er á um í 8. og 9. gr. laga þessara.
8. Sannprófunargögn: Gögn, svo sem kótar eða dreifilykill dulritunar, sem notuð eru til að sannreyna rafræna undirskrift.
9. Sannprófunarbúnaður: Hugbúnaður eða vélbúnaður sem notaður er til að sannreyna rafræna undirskrift með hjálp sannprófunargagna.
10. Vottorð: Vottorð á rafrænu formi sem tengir sannprófunargögn við undirritanda og staðfestir hver hann er.
11. Fullgilt vottorð: Vottorð sem hefur að geyma upplýsingar sem kveðið er á um í 7. gr. og er gefið út af vottunaraðila sem fullnægir skilyrðum V. kafla laga þessara.
12. Vottunaraðili: Aðili sem gefur út vottorð eða veitir aðra þjónustu í tengslum við rafrænar undirskriftir.
4. gr.
Réttaráhrif rafrænna undirskrifta.
Ákvæði 1. mgr. er því ekki til fyrirstöðu að aðrar rafrænar undirskriftir en þar greinir hafi gildi við sönnun um stofnun og efni samnings eða önnur atriði sem tengjast samningsgerð.
5. gr.
Vernd persónuupplýsinga.
Um meðferð vottunaraðila á persónuupplýsingum og eftirlit með henni fer samkvæmt lögum um persónuvernd og meðferð persónuupplýsinga. Vottunaraðilar eru tilkynningarskyldir samkvæmt þeim lögum.
III. KAFLI
Fullgild vottorð.
6. gr.
Fullgilt vottorð.
7. gr.
Innihald fullgilds vottorðs.
1. Vísbendingu um að vottorðið sé gefið út sem fullgilt vottorð.
2. Upplýsingar um deili á vottunaraðila og hvar hann hefur staðfestu.
3. Nafn undirritanda eða dulnefni. Noti undirritandi dulnefni skal koma skýrt fram að um dulnefni sé að ræða.
4. Frekari upplýsingar um undirritanda ef þær eru nauðsynlegar vegna tilgangs vottorðsins.
5. Sannprófunargögn sem svara til þeirra undirskriftargagna sem undirritandi hefur forræði yfir.
6. Upphaf og lok gildistíma vottorðsins.
7. Auðkenniskóta vottorðsins.
8. Útfærða rafræna undirskrift vottunaraðilans sem gefur vottorðið út.
9. Upplýsingar um takmarkanir á gildissviði og á fjárhæð viðskipta sem unnt er að nota vottorðið til, séu slíkar takmarkanir fyrir hendi.
Ráðherra getur sett nánari fyrirmæli um þær upplýsingar sem fullgild vottorð skulu hafa að geyma í reglugerð.
IV. KAFLI
Öruggur undirskriftarbúnaður.
8. gr.
Kröfur.
a. geti eingöngu komið einu sinni fram,
b. verði með hliðsjón af eðlilegum öryggiskröfum ekki brotin upp og
c. séu varin með fullnægjandi hætti gegn notkun annarra en undirritanda.
Öruggur undirskriftarbúnaður skal einnig tryggja leynd undirskriftargagnanna með fullnægjandi hætti og að rafræn undirskrift sé varin gegn fölsun.
Ekki skal vera unnt að nota öruggan undirskriftarbúnað til að breyta þeim gögnum sem undirrita á eða hindra að undirritandi geti séð gögnin fyrir undirritun.
9. gr.
Viðurkenning.
a. þar til bær aðili hefur staðfest að hann uppfylli kröfur 8. gr. Viðskiptaráðherra getur í reglugerð kveðið á um þá aðila sem veitt geta slíka staðfestingu, eða
b. þar til bær aðili á Evrópska efnahagssvæðinu hefur viðurkennt hann.
Líta skal svo á að undirskriftarbúnaður teljist öruggur skv. 8. gr. ef hann er í samræmi við staðla sem framkvæmdastjórn Evrópusambandsins hefur sett um slíkan búnað og birtir hafa verið í Stjórnartíðindum Evrópubandalagsins.
V. KAFLI
Kröfur til vottunaraðila sem gefa út fullgild vottorð.
10. gr.
Kröfur til starfseminnar.
Vottunaraðili skal í þessu skyni:
a. viðhafa vandaðar stjórnunar- og starfsaðferðir,
b. hafa starfsfólk sem býr yfir þeirri sérfræðiþekkingu, reynslu og hæfni sem nauðsynleg er fyrir starfsemina og
c. hafa nægjanlegt fjármagn til að stunda starfsemina með hliðsjón af þeim kröfum sem gerðar eru í lögum þessum.
11. gr.
Kerfi og búnaður.
Ákvæðum 1. mgr. telst fullnægt ef vottunaraðilinn notar kerfi og búnað sem viðurkennd eru skv. 9. gr.
Vottunaraðilinn skal grípa til aðgerða til að hindra möguleika á fölsun vottorða. Í þeim tilvikum sem vottunaraðilinn býr til undirskriftargögn skal hann tryggja leynd við framleiðsluna.
12. gr.
Skráningar- og afturköllunarþjónusta.
13. gr.
Kennsl borin á undirritanda.
Upplýsingar um aðferðir þær sem notaðar eru skv. 1. mgr. skulu aðgengilegar almenningi.
14. gr.
Geymsla upplýsinga.
Vottunaraðilinn skal nota áreiðanleg kerfi við geymslu á vottorðum, þannig að:
a. enginn geti gert breytingar eða viðbætur á vottorðum, nema þeir sem til þess hafa sérstaka heimild,
b. unnt sé að athuga hvort upplýsingar eru réttar,
c. vottorð sé eingöngu aðgengilegt almenningi ef undirritandi hefur samþykkt það sérstaklega og
d. hugsanlegar tæknilegar breytingar, sem geta stefnt öryggiskröfum í hættu, séu sýnilegar þeim sem starfrækja kerfið.
Vottorðin skulu geymd þannig að unnt sé að sannprófa þau.
Vottunaraðilanum er ekki heimilt að geyma eða afrita undirskriftargögn undirritanda.
15. gr.
Upplýsingar um skilmála, takmarkanir o.fl.
a. skilmála og takmarkanir á notkun vottorðsins,
b. valfrjáls faggildingarkerfi sem starfrækt eru og
c. meðferð kvartana og úrlausn deilumála.
Upplýsingar skv. 1. mgr. má senda rafrænt, enda séu þær á læsilegu formi og á auðskiljanlegu máli. Þessar upplýsingar skulu, eftir því sem við á, vera aðgengilegar þriðja aðila sem treystir á vottorð og óskar eftir þeim.
16. gr.
Nánari reglur.
VI. KAFLI
Skaðabótaábyrgð.
17. gr.
a. að upplýsingar í vottorði hafi verið réttar þegar það var gefið út,
b. að vottorð hafi að geyma allar þær upplýsingar sem kveðið er á um í 7. gr.,
c. að undirritandi hafi við útgáfu vottorðs haft undir höndum undirskriftargögn sem svara til þeirra sannprófunargagna sem koma fram í vottorði,
d. að tiltekin undirskriftargögn svari eingöngu til tiltekinna sannprófunargagna og að tiltekin sannprófunargögn svari eingöngu til tiltekinna undirskriftargagna þegar vottunaraðili býr bæði gögnin til eða
e. að vottorð sé réttilega skráð í afturköllunarlista skv. 12. gr.
Vottunaraðili er ekki skaðabótaskyldur skv. 1. mgr. ef hann sannar að tjón verði ekki rakið til sakar hans.
Ef notkun vottorðs er andstæð takmörkunum á gildissviði þess eða á fjárhæð viðskipta og mögulegt er að kynna sér slíkar takmarkanir er vottunaraðili ekki skaðabótaskyldur vegna þess tjóns sem stafar af slíkri notkun.
VII. KAFLI
Eftirlit með vottunaraðilum sem gefa út fullgild vottorð.
18. gr.
Skráning og eftirlitsgjald.
Vottunaraðilar sem gefa út fullgild vottorð skulu greiða gjald til að standa straum af kostnaði eftirlits samkvæmt lögum þessum. Eftirlitsgjaldið skal renna beint til Löggildingarstofu og vera innheimt af henni. Aðför má gera til fullnustu kröfum um eftirlitsgjald án undangengins dóms, úrskurðar eða sáttar. Greiða skal 200 kr. fyrir hvert fullgilt vottorð sem gefið er út. Þó skal vottunaraðili aldrei greiða lægra eftirlitsgjald en 1.000.000 kr. á ári. Ef vottunaraðili byrjar eða hættir starfsemi á gjaldárinu skal lágmarksárgjaldið ákvarðað í réttu hlutfalli við þann tíma sem starfrækslan varði á árinu.
Gjalddagi eftirlitsgjalds er 1. febrúar ár hvert vegna síðasta almanaksárs.
Ráðherra getur sett nánari fyrirmæli um tilhögun skráningar, tilkynningar og upplýsingagjöf í reglugerð.
19. gr.
Eftirlit.
Löggildingarstofa getur bannað starfsemi og aðstæður sem stríða gegn ákvæðum laga þessara og reglna settra á grundvelli þeirra. Þá er heimilt að setja skilyrði fyrir áframhaldandi starfsemi og veita fresti til að fullnægja slíkum skilyrðum.
Löggildingarstofa getur krafist þess að fram fari endurskoðun á kerfi, búnaði og starfsskipulagi vottunaraðila sem gefa út fullgild vottorð (endurskoðun upplýsingatækni). Löggildingarstofa getur tilnefnt þá aðila sem hafa heimild til að annast slíka endurskoðun. Vottunaraðili skal bera kostnað af slíkri endurskoðun.
Löggildingarstofa getur svipt vottunaraðila heimild til að kalla vottorð sem hann gefur út „fullgild vottorð“ ef hann hefur gróflega eða ítrekað brotið gegn ákvæðum laga þessara eða reglum settum á grundvelli þeirra.
Ráðherra getur sett nánari fyrirmæli um tilhögun eftirlits í reglugerð.
20. gr.
Athugun, aðgangur og þagnarskylda.
Löggildingarstofu er án dómsúrskurðar heimill aðgangur í eftirlitsstörfum sínum að starfsstöð vottunaraðila eða öðrum þeim stöðum þar sem starfsemi sem fellur undir eftirlit laga þessara fer fram. Hún getur þar framkvæmt þær eftirlitsaðgerðir sem hún telur nauðsynlegar og krafist þess að starfsmenn á þeim stöðum veiti nauðsynlega aðstoð. Löggildingarstofa getur óskað liðveislu lögreglu ef tilraun er gerð til að hindra hana í eftirlitsstörfum sínum.
Réttur Löggildingarstofu til þess að krefjast upplýsinga eða aðgangs að starfsstöðinni og tækjabúnaði verður ekki takmarkaður með vísan til reglna um þagnarskyldu.
Starfsmenn Löggildingarstofu eru bundnir þagnarskyldu. Þeir mega ekki að viðlagðri ábyrgð skýra óviðkomandi frá því er þeir komast að í starfi sínu og leynt á að fara um viðskipti og rekstur vottunaraðila, tengdra aðila eða annarra. Sama gildir um sérfræðinga sem starfa fyrir Löggildingarstofu að eftirlitsstarfi samkvæmt lögum þessum. Þagnarskyldan helst þótt látið sé af starfi.
21. gr.
Dagsektir.
Fjárhæð dagsekta skal ákvörðuð með hliðsjón af umfangi rekstrar vottunaraðila og eðli brotsins. Dagsektir geta numið frá 10.000 kr. til 1 millj. kr. á dag. Þær greiðast þar til farið hefur verið eftir kröfum Löggildingarstofu. Óinnheimtar dagsektir falla ekki niður þrátt fyrir að orðið sé við kröfum Löggildingarstofu, nema Löggildingarstofa ákveði það sérstaklega.
Dagsektir eru aðfararhæfar og renna í ríkissjóð að frádregnum kostnaði við innheimtuna. Ákvörðun Löggildingarstofu um dagsektir verða ekki kærðar til ráðherra.
VIII. KAFLI
Ýmis ákvæði.
22. gr.
Vottunaraðilar sem hafa staðfestu utan Íslands.
a. vottunaraðilinn fullnægir ákvæðum laga þessara og hefur verið viðurkenndur af valfrjálsu faggildingarkerfi á Evrópska efnahagssvæðinu,
b. vottunaraðili sem hefur staðfestu á Evrópska efnahagssvæðinu og uppfyllir ákvæði laga þessara ábyrgist vottorðið,
c. vottorðið stafar frá vottunaraðila sem hefur staðfestu í landi á Evrópska efnahagssvæðinu og uppfyllir kröfur þess lands til fullgildra vottorða eða
d. vottorðið eða vottunaraðilinn er viðurkenndur í tvíhliða eða marghliða samningum milli Íslands, Evrópubandalagsins, ríkja utan Evrópubandalagsins eða alþjóðlegra stofnana.
23. gr.
Viðurlög.
Dæma má lögaðila jafnt sem einstaklinga til greiðslu sekta vegna brota á lögum þessum. Um refsiábyrgð lögaðila fer samkvæmt II. kafla A almennra hegningarlaga.
24. gr.
Gildistaka.
Athugasemdir við lagafrumvarp þetta.
1. Almennt.
Frumvarpi þessu er m.a. ætlað að stuðla að öryggi í viðskiptum og öðrum samskiptum í opnum kerfum, t.d. internetinu. Kannanir hafa sýnt að menn telja að öryggi skorti í rafrænum samskiptum og stundi þau því í minna mæli en ella. Áhyggjurnar stafa af því að í opnu kerfi eins og netinu standa menn ekki augliti til auglitis. Sú staðreynd ásamt öðrum einkennum netsins geta m.a. leitt til eftirfarandi:
* að sendandi hafi möguleika á að neita því að hafa sent upplýsingar,
* að unnt sé að breyta upplýsingum eftir móttöku þeirra,
* óvissu um að gagnaðilinn sé raunverulega sá sem hann segist vera,
* óvissu um að upplýsingum hafi ekki verið breytt við sendingu á milli aðila.
Erfitt getur verið að koma í veg fyrir öll þau vandamál sem skapast við samskipti í opnu kerfi. Þó er stöðugt verið að þróa aðferðir til þess að gera rafræn viðskipti öruggari. Rafrænar undirskriftir og dulritun eru þær aðferðir sem mest er horft til nú. Talið er að vel heppnuð framkvæmd við útfærslu á rafrænum undirskriftum sé grundvallaratriði til að byggja upp traust í rafrænum samskiptum og geti þannig orðið til þess að samskiptin nái þeirri útbreiðslu sem vonir standa til. Í því sambandi er ekki nauðsynlegt að komið verði upp einu undirskriftarkerfi, heldur að kerfin geti virkað saman. Fyrirsjáanlegt er að rafrænar undirskriftir verði notaðar í viðskiptum, í samskiptum á milli borgara og stjórnsýslu og stjórnvalda innbyrðis, t. d. á sviði opinberra útboða, skattamála, félagslegrar aðstoðar, heilbrigðismála og réttarfars.
Þar sem rafrænar undirskriftir eru taldar forsenda þess að hægt sé að skapa nauðsynlegt öryggi í rafrænum viðskiptum er mikilvægt að lagagrundvöllur þeirra sé fullnægjandi. Að sama skapi er mikilvægt að ekki sé vafi á að heimilt sé að nota rafrænar undirskriftir þegar undirskrift er nauðsynleg samkvæmt lögum, stjórnvaldsfyrirmælum eða af öðrum orsökum. Sú staðreynd að frumvarp þetta kveður á um öryggiskröfur í tengslum við fullgildar rafrænar undirskriftir mun stuðla að því að skapa nauðsynlegt öryggi í rafrænum viðskiptum hér á landi. Þá stuðla ákvæði frumvarpsins einnig að fyrirsjáanleika í slíkum viðskiptum, en samkvæmt þeim verður unnt að treysta því að fullgild rafræn undirskrift hafi að jafnaði sömu réttaráhrif og handrituð.
Hvað er rafræn undirskrift?
Eins og hugtakið rafræn undirskrift er notað í frumvarpi þessu er átt við þau gögn sem verða til þegar tiltekinn búnaður eða aðferð er notuð til þess að brengla efni sendingar með ákveðnum hætti. Í brenglunarferlinu er fyrst notuð svokölluð tæting (e. hash function) og síðar dulritun (e. encryption). Hin rafrænu gögn sem koma út úr því ferli teljast hin rafræn undirskrift.
Hvernig fer dulritun fram?
Sendandi notar sérstakan dulritunarlykil til að dulrita tiltekin gögn. Þegar móttakandi hefur tekið við gögnum notar hann sérstakan dulritunarlykil sinn til að koma því yfir á læsilegt form, þ.e. dulráða það. Ef sami lykill er notaður bæði við dulritun og dulráðningu telst dulritunin samhverf. Ef sinn hvor lykillinn er notaður telst dulritunin ósamhverf. Sú tækni sem mest er notuð nú um stundir í tengslum við rafrænar undirskriftir og dulritun er svokallað dreifilyklakerfi (e. PKI: Public Key Infrastructure). Það er ósamhverft dulritunarkerfi. Í því er öðrum lyklinum alltaf haldið leyndum og nefnist hann einkalykill (e. private key). Ef eigandi einkalykilsins vill opna fyrir dulrituð samskipti við marga aðila gerir hann hinn lykil sinn opinberan með einhverjum hætti. Sá lykill er nefndur dreifilykill (e. public key). Þannig getur hann dulritað sendingar með einkalykli sínum, sem móttakendur geta dulráðið með dreifilyklinum. Þá geta þeir sem senda upphaflega sendandanum gögn dulritað þau með dreifilykli hans, sem hann síðar dulræður með einkalykli sínum. Þannig er tryggt að einungis réttur móttakandi geti lesið gögnin. Hvernig stuðla rafrænar undirskriftir og dulritun að öryggi í rafrænum samskiptum?
Skýringarmynd:
Hér er efni sem sést aðeins í pdf-skjalinu.
1. Sendandi skrifar texta.
2. Sendandi tætir textann, þannig að út kemur tætigildi.
3. Sendandi dulritar textann með einkalykli sínum. Dulritaða tætigildið er því hin eiginlega rafræna undirskrift.
4. Sendandi skeytir textanum saman við rafrænu undirskriftina.
5. Sendandi gæti sent skeytið án þess að dulrita það frekar. Hins vegar gætu þá allir þeir sem hefðu aðgang að dreifilykli sendanda dulráðið skeytið. Sendandi dulritar því sendinguna í heild með dreifilykli móttakanda. Það tryggir að eingöngu móttakandi getur dulráðið sendinguna. Þannig tryggir þessi aðgerð að sendingin er trúnaðarsending (e. confidential).
6. Sendingin er send um internetið.
7. Við móttöku notar móttakandi einkalykil sinn til að dulráða sendinguna.
8. Móttakandi tekur rafrænu undirskriftina og dulræður hana með dreifilykli sendanda. Þá fær hann út textann og tætigildið. Ef dulráðningin gengur veit hann að eingöngu sendandi hefur getað sent textann, þar sem hann er sá eini sem hefur viðkomandi einkalykil. Sendandi getur því ekki neitað að hafa sent sendinguna. Þannig tryggir þessi aðgerð að kröfum um að unnt sé að sýna fram á frá hverjum upplýsingarnar eru er fullnægt (e. authentication). Einnig tryggir hún að sendandi gagnanna geti ekki neitað að hafa sent þau (e. non repudiation). Móttakandi veit hins vegar ekki enn hvort textanum hefur verið breytt á leiðinni um netið.
9. Móttakandi tætir textann með sama hætti og sendandi gerði og fær út tætigildi.
10. Að lokum ber móttakandi tætigildi sitt saman við það sem sendandi sendi. Ef þau eru hin sömu getur hann verið viss um að textanum hafi ekki verið breytt, þ.e.a.s. heilleiki gagnanna er tryggður (e. integrity).
Rafræn undirskrift getur því verið notuð til að:
a. sýna fram á frá hverjum upplýsingar eru, þ.e. votta uppruna þeirra (e. authentication),
b. tryggja að sendandi gagnanna geti ekki neitað að hafa sent þau (e. non repudiation),
c. sannprófa heilleika gagnanna, þ.e. að þeim hafi ekki verið breytt (e. integrity).
Dulritun getur aftur á móti hjálpað til við að halda upplýsingum og samskiptum á trúnaðarstigi (e. confidential). Þar sem rafræn undirskrift og dulritun geta m.a. verið notuð til að gera samninga á netinu, tryggja heilleika gagna eða tryggja öryggi greiðslna stuðla þau að öryggi í rafrænum samskiptum.
Hvað gera vottunaraðilar?
Það ferli sem lýst er hér að framan með skýringarmynd hefur einn galla. Móttakandi hefur enga tryggingu fyrir því að sendandi eigi raunverulega dreifilykilinn sem hann notar til að dulráða sendinguna (sjá lið átta við skýringarmynd). Ef sendandi og móttakandi gætu hist og skipst á dreifilyklum og þannig gengið úr skugga um eignarhald á viðkomandi lyklum væri vandamálið úr sögunni. Það er hins vegar ekki alltaf mögulegt þegar menn eiga samskipti á netinu. Því hafa vottunaraðilar hlutverki að gegna við notkun rafrænna undirskrifta. Vottunaraðilar eru þeir aðilar sem segja fyrir um hverjir nota tiltekna lykla, með því að gefa út sérstök vottorð þar að lútandi. Vottorð inniheldur tiltekinn dreifilykil og staðfestingu á hver sé réttur notandi hans.
Meginefni frumvarpsins.
Frumvarp þetta fjallar að meginstefnu til aðeins um svokallaðar fullgildar rafrænar undirskriftir, þ.e. undirskriftir sem fullnægja tilteknum ströngum öryggiskröfum og þjónustu þeim tengdum.
Frumvarpið kveður á um þá meginreglu að fullgild rafræn undirskrift skuli ætíð vera jafngild handritaðri, þegar lög, stjórnsýslufyrirmæli eða annað mælir fyrir um að handrituð undirskrift sé nauðsynleg. Meginreglan takmarkast þó af því að lög leggi ekki sérstakar hindranir gegn rafrænum samskiptum. Þá mælir frumvarpið fyrir um þær ströngu kröfur sem slíkar fullgildar rafrænar undirskriftir skulu fullnægja. Einnig segir það til um þær kröfur sem gerðar eru til vottunaraðila sem gefa út vottorð sem styðja slíkar undirskriftir. Loks kveður það á um það eftirlit sem hið opinbera (Löggildingarstofa) mun hafa með slíkum vottunaraðilum og bótaábyrgð þeirra.
Þar sem um er að ræða svið í mikilli og hraðri þróun er mikilvægt að lagasetningu sé hagað þannig að hún verði hvorki úrelt innan skamms tíma né hamli gegn tæknilegri þróun. Reynt hefur verið að koma í veg fyrir það með því að hafa ákvæði frumvarpsins eins tæknilega hlutlaus og mögulegt er.
2. Bakgrunnur frumvarpsins.
Tillaga að tilskipun um rafrænar undirskriftir var lögð fram af framkvæmdastjórn Evrópusambandsins hinn 13. maí 1998, með vísan til 2. mgr. 57. gr., 66. gr. og 100. gr. A Rómarsáttmálans og formlegrar meðferðar skv. 189. gr. B. Tillagan var gerð í framhaldi af beiðni ráðsins frá 1. desember 1997. Tilskipunin var samþykkt 13. desember 1999 og birt í Stjórnartíðindum EB 19. janúar 2000. Skulu aðildarríkin innleiða hana í rétt sinn innan 18 mánaða frá þeim tíma.
Þróun rafrænna viðskipta í heiminum um opið kerfi kallar á notkun rafrænna undirskrifta með tilheyrandi vottun þeirra. Þar sem aðildarríki Evrópusambandsins höfðu ólíkar reglur um lagalega viðurkenningu á rafrænum undirskriftum og ólíkar öryggiskröfur til vottunaraðila gat það skapað hindrun fyrir rafræn viðskipti í Evrópusambandinu og staðið í vegi fyrir þróun hins innri markaðar. Því var talið nauðsynlegt að setja samræmdar reglur um notkun rafrænna undirskrifta.
Í tilskipuninni eru settar lágmarksreglur um öryggi og ábyrgð við útgáfu fullgildra rafrænna undirskrifta. Þá er tryggt að rafrænar undirskriftir njóti viðurkenningar að lögum í löndum sambandsins á grundvelli reglunnar um eftirlit heimaríkis.
2.2. Sérstök lög um rafrænar undirskriftir.
Ljóst er að stór hluti tilskipunarinnar um rafrænar undirskriftir gerir þá kröfu til aðildarríkjanna að þau innleiði annaðhvort með löggjöf eða stjórnvaldsfyrirmælum þær reglur sem þar koma fram. Um tvo möguleika er að ræða við innleiðingu tilskipunarinnar: að setja ákvæði í þá löggjöf sem fyrir hendi er eða setja ný lög.
Hluti tilskipunarinnar varðar atriði sem þegar er fjallað um í íslenskri löggjöf, t.d. ákvæði um skaðabótaábyrgð, vernd persónuupplýsinga og sönnunarreglur. Stærsti hluti ákvæða tilskipunarinnar fjallar hins vegar um atriði sem ekki er hægt að finna stað í gildandi löggjöf. Þar fyrir utan eru mörg ákvæði tilskipunarinnar mjög tæknileg og svo tengd að ekki er fýsilegt að dreifa þeim í mörg lög. Einnig er það hagkvæmast fyrir vottunaraðila að hafa reglur er fjalla um starfsemi þeirra í einum lögum. Þar sem um er að ræða reglusetningu á nýju sviði er lítil hætta á því að settar séu reglur sem stangast á við gildandi löggjöf. Því hefur verið komist að þeirri niðurstöðu að rétt sé að setja sérstaka löggjöf um rafrænar undirskriftir.
2.3. Vinna í tengslum við rafrænar undirskriftir og frumvarpið.
Í stefnumörkun iðnaðar- og viðskiptaráðuneytisins um rafræn viðskipti frá því í mars 1999 kom m.a. fram að nauðsynlegt væri að setja reglur í íslenskan rétt um rafrænar undirskriftir. Í framhaldi af því skipaði iðnaðar- og viðskiptaráðherra sérstaka nefnd um rafrænar undirskriftir sem skyldi vinna að mótun lagaramma um rafrænar undirskriftir, m.a. með hliðsjón af tillögum EB. Í nefndina voru skipaðir Gunnar Jónsson hrl., Birgir Már Ragnarsson, þá deildarsérfræðingur í iðnaðar- og viðskiptaráðuneytinu, Jakob Falur Garðarsson, þá framkvæmdastjóri ICEPRO, og Jónas Þór Guðmundsson, þá deildarsérfræðingur í dómsmálaráðuneytinu. Nefndin fól Birgi Má Ragnarssyni að semja frumvarp um rafrænar undirskriftir. Nefndin skilaði tillögu sinni til iðnaðar- og viðskiptaráðherra hinn 5. september 2000, en lokahönd hefur verið lögð á verkið af hálfu ráðuneytisins.
Sóttir voru fundir og ráðstefnur á alþjóðlegum vettvangi til að tryggja að íslensk löggjöf yrði sem best úr garði gerð. Fyrst og fremst var um að ræða vinnu innan Norðurlandanna og Evrópusambandsins í tengslum við tilskipun um rafrænar undirskriftir. Þá var fylgst náið með þróun og vinnu hjá alþjóðlegum stofnunum og samtökum. Má þar helst nefna vinnu innan OECD og Sameinuðu þjóðanna (UNCITRAL) en þar hefur farið fram mikil vinna til stuðla að samræmingu og gagnkvæmri viðurkenningu á alþjóðavettvangi. Einnig var fylgst með þróun innan einstakra landa.
2.4. Norræn samvinna.
Löng hefð er fyrir norrænni samvinnu á sviði lagasetningar. Markmið tilskipunarinnar er að skapa sameiginlegan ramma um rafrænar undirskriftir sem fjarlægi hindranir sem standa í vegi fyrir rafrænum viðskiptum milli landa. Með hliðsjón af þessu markmiði og vegna fyrri samvinnu Norðurlandanna var ákveðið að hefja norræna samvinnu um rafrænar undirskriftir til að ná sem mestri samræmingu í viðkomandi reglusetningu. Sérfræðingar Norðurlandanna á þessu sviði hafa haldið reglulega fundi til að tryggja samræminguna og miðla af þekkingu og reynslu hvers lands.
Strax á árinu 1998 sömdu Danir frumvarp til laga um rafrænar undirskriftir. Í frumvarpinu var m.a. kveðið á um að allar gerðir rafrænna undirskrifta skyldu njóta viðurkenningar að lögum. Ein afleiðing þessa hefði orðið sú að stjórnvöld hefðu orðið að fjárfesta í nýjum og dýrum kerfum til að geta móttekið og fylgst með öllum gerðum rafrænna undirskrifta. Af þeim sökum og einnig vegna þess að á vettvangi Evrópusambandsins hófst vinna við tilskipun um rafrænar undirskriftir var frumvarpið dregið til baka. Nú hafa Danir samþykkt ný lög um rafrænar undirskriftir og tóku þau gildi 1. október 2000.
Í Noregi hefur frumvarp um rafrænar undirskriftir verið samþykkt af þinginu en það bíður nú staðfestingar konungs.
Svíar hafa lokið við vinnu við frumvarp sitt um rafrænar undirskriftir. Þinglegri meðferð frumvarpsins er einnig lokið og tóku hin samþykktu lög gildi 1. janúar síðastliðinn.
Í desember 1999 settu Finnar lög um rafræn samskipti í stjórnsýslunni og lög um svokölluð borgarakort. Finnar eru að semja frumvarp um rafrænar undirskriftir og stefna að því að leggja það fram á árinu 2001.
3. Nokkur meginhugtök og grundvallaratriði.
3.1.1. Rafræn undirskrift í víðri merkingu.
Rafræn undirskrift (e. electronic signature) er almennt og tæknilega hlutlaust hugtak sem vísar til samansafns allra hugsanlegra aðferða sem hægt er að nota til að undirrita rafrænar upplýsingar. Þessar aðferðir geta t.d. verið undirritun í tölvupósti, skönnuð eiginhandarundirritun, vefsíðufang, líffræðileg kennimerki eins og skönnun á fingri eða auga og stafrænar undirskriftir byggðar á rafrænum lyklum og vottorðum.
3.1.2. Rafræn undirskrift í þrengri merkingu.
Nú er almennt ekki talað um rafrænar undirskriftir í svo víðtækum skilningi sem hér að ofan. Yfirleitt er átt við undirskrift í rafrænu formi sem er hluti af eða skýrt tengd rafrænum gögnum sem notuð er til að sannprófa uppruna gagnanna. Í eiginlegum skilningi er rafræn undirskrift í því fólgin að tiltekinn búnaður eða aðferð eru notuð til þess að dulrita efni sendingar, í heild eða að hluta, og dulráðning sendingarinnar sannprófar rétt efni sendingar, uppruna hennar og sendanda.
Frá tæknilegu sjónarhorni er rafræn undirskrift hins vegar tilteknar rafrænar upplýsingar. Þessar upplýsingar eru eins og aðrar rafrænar upplýsingar táknaðar með rafhleðslum og eyðum í minni tölvu sem eftir atvikum er hægt að flytja til annarrar tölvu með sendingu rafboða og gera þannig aðgengilegar öðrum.
Langflestar þeirra aðferða sem notaðar eru til að mynda undirskriftir núna eru stafrænar. Stafræn undirskrift (e. digital signature) er hugtak sem er notað um tiltekna tækni til að búa til rafrænar undirskriftir. Þá eru notuð svokölluð dreifilyklakerfi (e. Public Key Infrastructure) til að undirrita upplýsingar. Þessi aðferð er sú algengasta og hefur bæði ýtt undir tæknilega þróun, og víðtæk viðbrögð í lagasetningu. Í eiginlegri merkingu er stafræn undirskrift dulritun stafrænna upplýsinga með einkalykli (e. private key). Þá er unnt að staðfesta hver eigandi einkalykilsins sé og heilleika skilaboðanna með notkun á samsvarandi dreifilykli (e. public key) og vottorði vottunaraðila á dreifilyklinum. Stafræn undirskrift er hins vegar frá tæknilegu sjónarhorni samsafn af ritstafatáknum (e. alphanumeric) sem gert er með algóritma við dulritun.
Hugtakið rafræn undirskrift er víðtækara en stafræn undirskrift þar sem hið fyrrnefnda vísar ekki til ákveðinnar tækni við undirskrift, eins og hið síðarnefnda gerir. Í löggjöf eru núna hugtökin stafræn undirskrift og rafræn undirskrift notuð jöfnum höndum. Þó hefur þróunin verið sú undanfarið að almennt er notað hugtakið rafræn undirskrift, enda samrýmist það betur þeirri stefnu við lagasetningu að hafa tæknilegt hlutleysi að leiðarljósi til að hamla ekki gegn þróun. Í ákvæðum frumvarps þessa verður hugtakið rafræn undirskrift notuð og er þá vísað til hugtaksins í þrengri merkingu.
3.2. Dulritun og stafrænar undirskriftir.
Í öllum nútímaaðferðum er notast við dulritun til að búa til og sannreyna rafrænar undirskriftir. Með hvers konar dulritun er upplýsingum komið þannig fyrir að þær eru eingöngu skiljanlegar þeim sem hefur undir höndum viðeigandi dulmálslykil. Stafrænar undirskriftir grundvallast í stuttu máli á þeirri hugmynd að persónuleg staðfesting sé send með þeim hætti að viðtakandi geti sannreynt að hún stafi frá tilteknum aðila en jafnframt þannig að viðtakanda sé ekki unnt að senda gögn áfram og gefa til kynna að hann sé hinn upprunalegi sendandi.
Ein algengasta aðferðin við að búa til rafrænar undirskriftir er með svokölluðu dreifilyklakerfi. Þá er notuð tiltekinn algóritmi (e. algorithm) sem býr til mismunandi en skylda lykla, sem kallaðir eru dreifilykill og einkalykill, með því að margfalda tvær stórar og mismunandi prímtölur. Annar lykillinn er notaður til að umrita undirskriftina í dulmál, þ.e. dulrita (e. encipher), en hinn er notaður til að lesa úr dulmálinu þ.e. dulráða (e. decipher) og sannprófa undirskriftina.
Notendur slíkra undirskrifta fá útgefna til sín ofangreinda tvo lykla, þ.e. einkalykil og dreifilykil. Gert er ráð fyrir að dreifilyklinum sé dreift með því að senda hann með þeim gögnum sem undirrituð eru hverju sinni eða láta hann í vörslur þriðja aðila sem síðan veitir aðgang að honum, t.d. á netinu. Einkalyklinum verður eigandinn að halda leyndum. Einkalykillinn getur verið geymdur á margan hátt, t.d. á snjallkorti, símakorti eða í minni tölvu.
Þegar sendandi undirritar gögn eða einhvers konar upplýsingar afmarkar hann fyrst það efni sem hann ætlar að staðfesta með undirskriftinni. Að því loknu skipar hann tölvunni að tæta upplýsingarnar sem skapar tiltekið tætigildi. Tölvan dulkóðar síðan tætigildið með einkalykli sendanda, þannig að út komi hin rafræna undirskrift. Það tryggir að móttakandi sé viss um að sendandi hafi sent skeytið, þar sem eingöngu er unnt að dulráða sendinguna með dreifilykli sendanda.
Við tætingu er notaður algóritmi, sem virkar eingöngu í aðra áttina, þ.e. ekki er unnt að afbrengla tætigildið til þess að sjá upplýsingarnar sem hafa verið tættar. Því eru læsileg gögn (ódulrituð og ekki tætt) send með rafrænu undirskriftinni.
Ef sendandinn ákveður að dulrita gögnin með dreifilykli móttakanda er aðeins hægt að dulráða gögnin með einkalykli móttakandans. Innihaldið er því dulritað á þann hátt að enginn annar en móttakandinn sem hefur einkalykilinn getur lesið þau.
Tölva móttakandans tekur við skeytinu og notar dreifilykil sendandans til að leysa úr dulritun undirskriftarinnar með því að finna tætigildi hennar. Því næst eru gögnin tætt með sama algóritmanum og sendandi notaði við tætinguna. Loks ber móttakandi tætigildin saman. Ef gögnunum hefur verið breytt í sendingunni eru tætigildin ekki hin sömu.
3.3. Vottun á rafrænum undirskriftum – vottunaraðilar.
Vottunaraðili er sérstakur þriðji aðili í samskiptum milli undirritanda og móttakanda sem báðir treysta. Hann vottar að dreifilykillinn stafi í raun frá undirritanda og móttakandi geti þannig treyst rafrænu undirskriftinni. Þetta ferli gerir það að verkum að aðili getur verið viss um að sendandi sé sá sem hann segist vera.
Í frumvarpi þessu eru settar reglur um tiltölulega nýja gerð af þjónustu, þ.e. starfsemi vottunaraðila. Til að tryggja eftirfylgni við reglur frumvarpsins er sett á fót sérstakt eftirlit sem Löggildingarstofa mun rækja. Þá mun Persónuvernd hafa eftirlit með því að vottunaraðilar hagi meðferð persónuupplýsinga í samræmi við 5. gr. frumvarpsins og laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga.
3.4. Vottorð.
Þegar undirritandi sendir undirrituð gögn getur hann sent vottorð með sem hefur að geyma dreifilykilinn hans og upplýsingar um undirritanda. Þannig er hægt að tengja tiltekna persónu við dreifilykilinn.
Almennt eru í vottorði upplýsingar um það hver undirritandi er og gildistíma undirskriftar. Auk þess er mögulegt að nota vottorð við mismunandi viðskipti og vista þar viðeigandi upplýsingar, t.d. um virðisaukaskattsnúmer, umboð undirritanda, sérstök leyfi og takmarkanir gildissviðs vottorðsins.
Til eru margir staðlar um það hvaða upplýsingar má eða hægt er að gefa í vottorði og hvernig þær skuli settar fram, t.d. alþjóðlegi staðallinn X.509. Í frumvarpinu eru settar reglur um það hvað skuli koma fram í svokölluðu fullgildu vottorði, en þær eiga sér ekki hliðstæðu í gildandi staðli.
Eins og fram hefur komið er hægt að dreifa vottorði með ýmsu móti, t.d. með því að birta það í þar til gerðum rafrænum skrám sem eru gerðar opinberar. Yfirleitt sendir sá sem undirritar rafræn gögn vottorðið með opinbera lyklinum með gögnunum sem hann undirritar.
Undirritandi getur gefið mismunandi upplýsingar um sig. Hann getur t.d. komið fram í eigin nafni, undir dulnefni eða sem fyrirsvarsmaður einhvers annars, t.d. fyrirtækis. Vottorð sem gefið er út til undirritanda vegna umboðs hans eða stöðu nefnast „stöðuvottorð“. Í slíku vottorði þarf ekki að koma fram nafn undirritanda heldur staða hans, t.d. að hann sé framkvæmdastjóri tiltekins fyrirtækis. Vottorð geta einnig verið gefin út til einstaklinga á grundvelli starfsheitis þeirra, t.d. lækna eða endurskoðenda. Slík vottorð kallast „starfsheitisvottorð“. Í sumum tilvikum er ekki nauðsynlegt að vita nákvæmlega hver undirritandi er, en mikilvægt að fá upplýsingar um starfsheiti hans eða stöðu. Í þeim tilvikum geta stöðu- eða starfsheitisvottorð verið fullnægjandi.
Í vottorðinu ábyrgist vottunaraðilinn að það sé tiltekin persóna sem hafi forræði yfir viðkomandi einkalykli. Vottunaraðilinn undirritar þau vottorð sem hann gefur út með einkalykli sínum. Með þessu er tryggt að ekki sé unnt að breyta upplýsingum í vottorði. Þurfi að breyta slíkum upplýsingum þarf að afturkalla vottorðið og gefa út nýtt. Að sama skapi getur móttakandi treyst því að vottunaraðilinn sé raunverulega sá sem hann segist vera, ef unnt er að nota dreifilykil vottunaraðila til að dulráða vottorð sem hann hefur undirritað með einkalykli sínum. Dreifilykill þessi getur síðan verið vottaður af öðrum vottunaraðila. Þetta er grundvallaratriði í dreifilyklakerfi, þ.e. byggð er upp keðja af vottorðum sem endar í svokallaðri rót. Með þessu er reynt að tryggja að í keðjunni sé alltaf aðili sem sá sem reiðir sig á vottorð telur sig geta treyst.
Til eru margar tegundir vottorða sem endurspegla mismunandi öryggisstig. Þannig getur vottunaraðili gefið út vottorð með lágu öryggisstigi, þar sem einungis er krafist að undirritandi láti í té gilt tölvupóstfang. Hins vegar getur verið krafist persónulegrar nærveru undirritanda og viðurkenndra persónuskilríkja áður en vottorð er gefið út sem telst uppfylla strangar öryggiskröfur. Eins og áður er getið er í frumvarpi þessu að meginstefnu til fjallað um fullgild vottorð sem uppfylla tilteknar strangar öryggiskröfur.
3.5. Vottunarstefna og vottunarframkvæmd.
Í vottunarstefnu (e. Certification Policy) kemur fram hvernig stefnt er að því að standa að útgáfu og meðferð stafrænna vottorða. Í vottunarstefnu eru líka settar reglur um þær kröfur sem gerðar eru í þjónustunni til öryggis og eftirlits.
Vottunarframkvæmd segir fyrir um hvernig vottunaraðili framkvæmir útgáfu vottorða. Vottunaraðili gefur gjarnan út skriflegar upplýsingar um þessa framkvæmd (e. Certification Practice Statement) þar sem fram koma upplýsingar um hvernig vottunaraðilinn framkvæmir vottunarstefnu sína.
3.6. Vandamál við notkun rafrænna undirskrifta.
Hafa verður í huga að tæknileg þróun á sviði rafrænna undirskrifta er mjög hröð og að rafræn undirskrift sem telst örugg núna verður kannski ekki örugg gegn fölsun síðar. Því getur reynst erfitt að sanna að undirskrift, byggð á vottorði sem fallið er úr gildi, stafi frá undirritanda. Þetta getur haft áhrif á sönnunarmat rafrænna undirskrifta vegna samninga sem hafa langan gildistíma. Í slíkum tilvikum er nauðsynlegt að skrá í upphafi með hvaða hætti kennsl voru borin á undirritanda þegar samningurinn var gerður. Þá verður kerfi og búnaður aðila á þessu sviði að vera í stöðugri endurskoðun.
4. Tilskipun um rafrænar undirskriftir.
Tilskipunin fjallar einnig um:
Markaðsaðgang: Aðildarríkin mega ekki gera kröfur um að vottunaraðilar þurfi að fá leyfi fyrir fram til að stunda starfsemi sína. Þetta gildir einnig um aðrar ráðstafanir sem hafa sömu áhrif. Það er hins vegar ekkert sem kemur í veg fyrir að unnt sé að krefja vottunaraðila um að skrá sig áður en hann hefur starfsemi, svo lengi sem ekki er gerð krafa um annað en hann sendi inn upplýsingar til skráningar. Sú leið er farin í frumvarpi þessu.
Einnig er heimilt að kveða á um valfrjáls faggildingarkerfi til að koma á vottunarkerfi með enn meiri öryggiskröfum en kveðið er á um í tilskipuninni. Ekki hefur verið talin þörf á að setja slíkt kerfi upp á Norðurlöndunum. Þá skulu ríkin tryggja að starfrækt sé kerfi til að hafa eftirlit með vottunaraðilum sem gefa út fullgild vottorð. Loks er heimilt að setja nánari reglur um notkun rafrænna undirskrifta hjá stjórnvöldum.
Innri markaðinn: Vottunaraðilar, sem hafa staðfestu innan Evrópska efnahagssvæðisins, geta boðið þjónustu sína í öllum aðildarríkjunum. Ríkin skulu einnig tryggja að öruggur undirskriftarbúnaður sem uppfyllir ákvæði tilskipunarinnar, fái að flæða með frjálsum hætti innan svæðisins.
Réttaráhrif: Tryggt skal að útfærð rafræn undirskrift, sem studd er fullgildu vottorði og gerð með öruggum undirskriftarbúnaði (fullgild rafræn undirskrift), njóti sömu stöðu að lögum og handskrifaðar undirskriftir og unnt sé að leggja þær fram sem sönnunargögn í dómi eins og gildir um handritaðar undirskriftir.
Einnig skal tryggt að rafrænum undirskriftum sem ekki fullnægja skilyrðum laganna verði ekki neitað um réttaráhrif eingöngu á þeim grundvelli að þær séu rafrænar eða að þær fullnægi ekki skilyrðum laganna.
Ábyrgð: Til að skapa traust hjá þeim sem reiða sig á vottorð eru í tilskipuninni reglur um skaðabótaábyrgð vottunaraðila sem gefa út fullgild vottorð til almennings. Ríkin skulu tryggja að slíkir vottunaraðilar séu ábyrgir fyrir því að upplýsingar sem fram koma í vottorði séu réttar, í samræmi við kröfur tilskipunarinnar og að persónan sem borin er kennsl á í vottorði sé undirritandi. Hins vegar verður vottunaraðilinn ekki bótaskyldur ef tjón verður ekki rakið til sakar hans. Vottunaraðilinn er heldur ekki bótaskyldur sé undirskrift notuð þannig að ekki samræmist takmörkunum þeim sem fram koma í vottorði.
Alþjóðleg sjónarmið: Samkvæmt tilskipuninni skal útfærð rafræn undirskrift, sem studd er fullgildu vottorði og gerð er með öruggum undirskriftarbúnaði, fullnægi formskilyrðum laga um undirskrift í þeim tilvikum sem hægt er að framkvæma gerninginn rafrænt. Sú regla gildir án tillits til þess hvort undirskriftin er studd vottorði sem gefið er út í öðru ríki á Evrópska efnahagssvæðinu en Íslandi. Dómstólar skulu því líta eins á slíkar undirskriftir án tillits til þess hvar þær eru gefnar út innan Evrópska efnahagssvæðisins. Sú staða að einhver ríki geri strangari kröfur til vottunaraðila sem þar eru staðfastir hefur ekki áhrif.
Samkvæmt 7. gr. tilskipunarinnar skal undir vissum kringumstæðum veita vottorðum sem gefin eru út utan Evrópska efnahagssvæðisins sömu réttarstöðu og fullgildum vottorðum sem gefin eru út af vottunaraðilum innan Evrópska efnahagssvæðisins. Sú regla gildir þegar vottunaraðilinn uppfyllir ákvæði laganna og hefur verið viðurkenndur af valfrjálsu faggildingarkerfi í aðildarríki EES-samningsins, vottunaraðili sem hefur staðfestu á Evrópska efnahagssvæðinu og uppfyllir ákvæði laganna ábyrgist vottorðið og þegar vottorðið eða vottunaraðilinn er viðurkenndur í tvíhliða eða marghliða samningum milli Evrópusambandsins og landa utan sambandsins eða alþjóðlegra stofnana.
Persónuvernd: Ríkin skulu tryggja að starfsemi vottunaraðila sé í samræmi við tilskipun 95/46/EB um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga. Vottunaraðila er eingöngu heimilt að safna þeim persónuupplýsingum sem nauðsynlegar eru til útgáfu og viðhalds vottorðsins. Ekki er heimilt að nota slíkar upplýsingar til annars nema með beinu samþykki þess sem gögnin varða. Skal þeirra og aflað beint frá þeim sem upplýsingarnar varða.
Ef undirritandi óskar skal í vottorði koma fram dulnefni í stað nafns undirritanda. Í slíkum tilvikum getur verið nauðsynlegt að stjórnvöld hafi aðgang að því hver dulnefnið ber. Séu slíkar upplýsingar veittar er rétt að veita undirritanda upplýsingar um það.
Sérstaka nefnd: Samkvæmt 9. og 10. gr. tilskipunarinnar skal sett á fót nefnd til að aðstoða framkvæmdastjórn Evrópusambandsins við að framkvæma tilskipunina. Nefndin skal m.a. vinna að og skýra kröfur sem fram koma í viðaukum tilskipunarinnar og varðandi öruggan undirskriftarbúnað. EFTA-ríkin hafa rétt til setu í nefndinni án atkvæðisréttar.
Mat á tilskipuninni: Gert er ráð fyrir að fylgst verði með tilskipuninni og framkvæmd hennar, m.a. til að meta hvort endurskoða þurfi hana í ljósi þróunar. Framkvæmdastjórnin skal leggja fyrir ráðið og þingið skýrslu um framkvæmdina í síðasta lagi þann 19. júlí 2003.
Innleiðingu tilskipunarinnar: Aðildarríkin skulu innleiða tilskipunina innan 18 mánaða frá því að hún var birt í Stjórnartíðindum EB.
5. Meginefni frumvarpsins.
Ákvæði frumvarpsins gilda um vottunaraðila sem hafa staðfestu á Íslandi. Fyrir utan ákvæði frumvarpsins fellur því starfsemi vottunaraðila sem hafa staðfestu utan Íslands, þótt vottorðin séu gefin út til notkunar hér á landi. Það þýðir að reglur um eftirlit og skaðabótaábyrgð í frumvarpinu gilda eingöngu um vottunaraðila sem hafa staðfestu á Íslandi.
Byggt er á því í frumvarpinu að vottorð gefin út af vottunaraðilum sem hafa staðfestu utan Íslands en innan Evrópska efnahagssvæðisins hafi sömu réttaráhrif og fullgild vottorð sem gefin eru út af aðilum með staðfestu hér á landi, svo lengi sem þau fullnægi sambærilegum skilyrðum í heimalandi sínu og kveðið er á um í tengslum við fullgild vottorð í frumvarpi þessu. Einnig eru í frumvarpinu ákvæði um viðurkenningu á vottorðum frá vottunaraðilum sem hafa staðfestu utan Evrópska efnahagssvæðisins.
Með „staðfestu“ er átt við þann stað þar sem raunveruleg starfsemi tiltekins félags fer fram. Félagaformið sem slíkt hefur ekki úrslitaáhrif. Hafa skal í huga í þessu sambandi að þótt félag t.d. skrái netþjón í öðru landi en raunveruleg starfsemi er hér á landi mundi það teljast hafa staðfestu hér á landi. Þessi nálgun er í samræmi við þá stefnu sem hefur verið tekin hvað varðar skilgreiningu á staðfestu innan Evrópusambandsins og á alþjóðlegum vettvangi.
5.2. Efnislegt gildissvið.
Í 2. gr. frumvarpsins kemur fram að það gildi um alla vottunaraðila með staðfestu á Íslandi. Hins vegar eiga flest ákvæði frumvarpsins við um vottunaraðila með staðfestu hér á landi sem gefa út fullgild vottorð. Ákvæði 2. málsl. 1. mgr. 4. gr. um réttaráhrif og ákvæði 5. gr. um vernd persónuupplýsinga gilda þó um aðra vottunaraðila.
Gengið er út frá því í tilskipuninni og frumvarpinu að gildissviðið takmarkist að meginstefnu til við starfsemi vottunaraðila sem gefa út fullgild vottorð til almennings. Rafrænar undirskriftir eru gjarnan notaðar í lokuðu umhverfi, svo sem innra neti fyrirtækja og í bankakerfinu. Þá eru vottorð og rafrænar undirskriftir einnig notuð til að framfylgja aðgangstakmörkunum, t.d. í heimabönkum. Meginreglan um samningsfrelsi gerir það að verkum að menn geta samið sín á milli um þá skilmála sem gilda í viðskiptum þeirra, þar á meðal um gildi rafrænna undirskrifta. Þannig geta þeir byggt upp nauðsynlegt traust sín í milli. Því hefur verið litið svo á að ekki sé þörf á sérstakri reglusetningu um vottorð sem gefin eru út til afmarkaðs hóps manna.
Ef hins vegar vottunaraðilar sem gefa út vottorð til lokaðs hóps vilja eiga þess kost að kalla vottorð sín fullgild með þeim réttaráhrifum sem því fylgja, verða þeir að fullnægja ákvæðum frumvarpsins um slík vottorð. Slíkt getur verið nauðsynlegt fyrir aðila sem hyggjast eingöngu gefa út vottorð til afmarkaðs hóps manna en hafa hug á að rafrænar undirskriftir sem styðjast við vottorð þeirra séu jafngildar handrituðum. Af þeim sökum er gert ráð fyrir því í gildissviði laganna að þau gildi einnig um þá aðila sem gefa út fullgild vottorð, sem þó er ekki dreift til almennings.
Samkvæmt tilskipuninni er óheimilt að neita rafrænum undirskriftum sem ekki teljast fullgildar um gildi að lögum eða hindra að þær komist að sem sönnunargögn fyrir dómi. Ekki er nauðsynlegt að setja í lög ákvæði er kveður á um slíkt enda felst það nú þegar í meginreglum íslenskrar löggjafar um að samningar séu ekki formbundnir og um frjálsa sönnunarfærslu fyrir dómstólum. Hins vegar er hnykkt á reglu þessari í 2. mgr. 4. gr. frumvarpsins til þess að stuðla að þekkingu manna á þessu sviði.
Tilskipunin hefur ekki áhrif á ákvæði landsréttar um formskilyrði, t.d. kröfur um notkun tiltekinna skjala eða að samninga skuli gera skriflega. Í inngangsorðum tilskipunarinnar kemur m.a. fram að henni sé ekki ætlað að samræma reglur landsréttar um samninga. Þá kemur einnig fram að ákvæði tilskipunarinnar um réttaráhrif rafrænna undirskrifta hafi ekki áhrif á formskilyrði við samningsgerð í landsrétti.
5.3. Skilgreiningar.
Skilgreiningar þær sem notaðar eru í frumvarpinu eru byggðar á þeim skilgreiningum sem eru í tilskipuninni og eru nýjar í íslenskri löggjöf. Markmiðið er að nota skilgreiningar sem lýsa tilteknum atriðum í tengslum við tæknilega hlutlausar rafrænar undirskriftir. Auðveldara hefði verið að skilja frumvarpið ef notuð hefðu verið hugtök eins og „einkalykill“ í staðinn fyrir undirskriftargögn, „opinber lykill“ í stað sannprófunargagna og „stafræn undirskrift“ í stað útfærðrar rafrænnar undirskriftar. Vandamálið er hins vegar það að ofangreind hugtök eru ekki tæknilega hlutlaus, heldur varða notkun stafrænna undirskrifta. Með því að nota tæknilega hlutlausar skilgreiningar eins langt og mögulegt er, er reynt að stuðla að því að löggjöfin hamli ekki gegn þróun og ekki þurfi að breyta henni í kjölfar nýrrar tækni.
5.4. Vottunaraðilar.
Frumvarpið hefur að geyma ákvæði um lögaðila sem gefa út vottorð eða stunda aðra starfsemi í tengslum við rafrænar undirskriftir. Í tilskipuninni eru þessir aðilar nefndir „Certification Service Providers“ (CSP). Í frumvarpinu eru slíkir aðilar kallaðir vottunaraðilar.
Kjarninn í starfsemi vottunaraðila felst í gerð og útgáfu vottorða fyrir rafrænar undirskriftir. Vottunaraðili getur einnig sjálfur eða í samvinnu við aðra stundað víðtækari þjónustu eins og að bera kennsl á fólk sem er að afla sér vottorðs, halda skrár yfir vottorð, gera dulritunarlykla og stimpla með tíma. Tímastimplun felur í sér staðfestingu á sendingar- og móttökutíma þeirra gagna sem send eru með hinni rafrænu undirskrift. Hafa ber í huga að hugtakið vottunaraðili tekur til allra þátta vottunarþjónustu en ekki eingöngu þess þáttar að gefa út vottorð.
5.5. Fullgild vottorð.
Ekki er til samræmdur staðall fyrir rafræn vottorð. Vottorð geta haft að geyma mjög mismunandi upplýsingar og verið byggð á ólíkum öryggiskröfum. Því kveður frumvarpið á um tilteknar lágmarkskröfur um öryggi og útgáfu á tiltekinni gerð af vottorðum. Þessi vottorð kallast fullgild vottorð. Samkvæmt tilskipuninni gilda um þessi vottorð tilteknar reglur um réttaráhrif auk þess sem þeir vottunaraðilar sem gefa þau út eru undir eftirliti og bera sérstaka skaðabótaábyrgð en aðrir ekki.
Ekki er heimilt að nota orðin fullgild vottorð eða önnur orð sem gefa til kynna að um fullgild vottorð sé að ræða, nema um vottorð sem fullnægja ákvæðum frumvarpsins. Frumvarpið setur ekki nákvæmar reglur um fullgild vottorð, en nánari reglur þar að lútandi er hægt að setja í reglugerð.
Það hefur grundvallarþýðingu að móttakandi geti treyst að undirritandi sé sá sem hann segist vera. Frumvarpið gerir ráð fyrir að hægt sé að nota vottorð með dulnefnum. Í slíkum tilvikum verður hins vegar að koma fram í vottorði að um dulnefni sé að ræða, sbr. 7. gr. frumvarpsins. Hægt er að hugsa sér tilvik þar sem hagkvæmt er að nota vottorð með dulnefnum, t.d. þegar notuð eru starfsheitis- eða stöðuvottorð. Hér má einnig nefna þau tilvik þegar menn eru þekktir undir öðrum nöfnum en þeir heita raunverulega eins og alþekkt er t.d. í kvikmynda- eða tónlistariðnaðinum. Hvað notkun slíkra vottorða felur í sér og hvert lagalegt gildi þeirra er til þess að skuldbinda aðila að lögum er hins vegar umdeilanlegt.
Eins og fram kemur í aðfaraorðum tilskipunarinnar skal notkun dulnefna ekki standa í vegi fyrir því að ríki geti krafist raunverulegs nafns undirritanda í samræmi við landslög eða löggjöf Evrópusambandsins.
5.6. Skráning vottunaraðila.
Samkvæmt frumvarpinu skal vottunaraðili senda tilkynningu um starfsemi sína til eftirlitsins í síðasta lagi á sama tíma og hann byrjar að gefa út fullgild vottorð, sbr. 18. gr. Þar sem unnt er að krefja vottunaraðila um að senda tilkynningu áður en hann byrjar að gefa út fullgild vottorð er eðlilegt að slík tilkynning berist í síðasta lagi á sama tíma og hann gefur út sitt fyrsta vottorð. Í framkvæmd mun slík tilkynning hins vegar líklega send mun fyrr. Vottunaraðili mun væntanlega ekki vilja lenda í þeirri stöðu að vottorð sem hann gefur út verði ekki viðurkennd af eftirlitsaðilanum sem fullgild vottorð, þannig að hann verði að afturkalla vottorðin og gefa út ný. Til að koma í veg fyrir slíkt mun vottunaraðili senda inn tilkynningu á fyrri stigum þannig að eftirlitsaðilinn geti komið á framfæri athugasemdum sínum og vottunaraðilinn framkvæmt þær breytingar sem nauðsynlegar eru áður en hann gefur vottorðin út.
5.7. Eftirlit.
5.7.1. Krafa um eftirlit.
Í tilskipuninni er gerð krafa um að haft sé eftirlit með þeim vottunaraðilum sem gefa út fullgild vottorð. Til þess að fullnægja kröfunni um eftirlit er nauðsynlegt að krefjast þess að þeir vottunaraðilar sem eiga að vera undir eftirliti séu skráðir í opinbera skrá.
5.7.2. Fyrirkomulag eftirlits.
Hægt er að haga fyrirkomulagi eftirlits með vottunaraðilum á ýmsan hátt. Það kerfi sem hér er valið byggist á því að vottunaraðili lýsi því sjálfur yfir hvernig hann hyggst haga starfsemi sinni. Eftirlitið meti það hvort sú yfirlýsing samrýmist kröfum frumvarpsins og hvort henni sé fylgt. Kerfi þetta byggist á þeirri forsendu að starfsgrundvöllur vottunaraðila sé háður því að markaðurinn treysti vottorðunum og hann muni þannig að mestu leyti setja sér eigin reglur. Með hliðsjón af trausti á kerfinu í heild er þó mikilvægt að tiltekið eftirlit geti gripið inn í. Til þess að geta sinnt skyldum sínum þarf eftirlitið að hafa aðgang að upplýsingum frá vottunaraðilanum og heimildir til að bregðast við þegar starfsemin er ekki í samræmi við lög.
Eftirlitið skal byggt upp þannig að það sé í sem mestum tengslum við markaðinn. Þá er mikilvægt að eftirlitskerfið sé ekki þungt í vöfum eða dýrt í rekstri þannig að hin nýja starfsemi nái að þróast og beri ekki mikinn kostnað vegna eftirlitsins. Nauðsynlegt er að samkeppnisstaða íslenskra vottunaraðila sé tryggð og starfsumhverfi þeirra hér á landi sé sem allra best. Eins og fram hefur komið er alger forsenda fyrir rekstri vottunaraðila að starfsemi þeirra og kerfi séu traust. Af þeim sökum er ekki ástæða til að vera með mjög viðamikið og þungt eftirlit. Það kerfi sem hér er valið er til þess fallið að hagsmunir vottunaraðila og almennings séu tryggðir.
5.7.3. Eftirlitsaðilinn.
Í tilskipuninni er gert ráð fyrir að eftirlitsaðilinn geti verið opinber eða einkaaðili. Hér var talið rétt að hann væri opinber aðili og varð Löggildingarstofa fyrir valinu. Þó er gert ráð fyrir að Persónuvernd sjái um eftirlit með að meðferð persónuupplýsinga sé í samræmi við ákvæði 5. gr. frumvarpsins og laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga.
Löggildingarstofa hefur eftirlit á mjög víðtæku sviði og hefur mikið svigrúm í starfsemi sinni. Löggildingarstofa annast eftirfarandi málaflokka:
1. rafmagnsöryggismál,
2. lögmælifræði, hagnýta mælifræði og faggildingu,
3. öryggi vöru og opinbera markaðsgæslu,
4. önnur verkefni sem stofnuninni eru falin.
Á Löggildingarstofu er fyrir hendi sérfræðiþekking á mörgum sviðum, þar á meðal lögfræðilegum og tæknilegum. Eftirlit með starfsemi vottunaraðila þykir því falla vel að starfsemi hennar.
5.7.4. Hlutverk eftirlits.
Meginverkefni eftirlitsins verður í fyrstu að hrinda í framkvæmd þeim kröfum sem frumvarpið gerir til vottunaraðila sem gefa út fullgild vottorð. Eftirlitið verður að taka afstöðu til þess hvaða vottunarstefna og framkvæmd fullnægja ákvæðum laganna og að hvaða marki endurskoðun upplýsingatækni getur haft áhrif á vinnu eftirlitsins. Þá þarf eftirlitið að meta vottunarstefnu vottunaraðilans og hvort framkvæmdin sé í samræmi við stefnuna.
Eftirlitsaðilinn getur gefið út þau viðmið sem hann telur að vottunaraðilar sem gefa út fullgild vottorð þurfi að hafa til hliðsjónar í vottunarstefnu sinni og framkvæmd. Eftirlitið skal einnig gefa út lista yfir alla skráða vottunaraðila, t.d. á heimasíðu þess. Þar væri einnig hægt að birta vottunarstefnu þessara aðila o.fl.
5.8. Öruggur undirskriftarbúnaður.
Undirskriftarbúnaður telst eingöngu öruggur ef hann hefur verið viðurkenndur af tilnefndum aðilum innan aðildarríkjanna. Líta skal svo á að undirskriftarbúnaður sé öruggur ef hann er í samræmi við staðla sem framkvæmdastjórn Evrópusambandsins hefur sett og birtir hafa verið í Stjórnartíðindum EB. Verulegu máli skiptir að búnaður teljist öruggur þar sem einungis undirskrift gerð með slíkum búnaði telst fullgild.
Ekki er nauðsynlegt samkvæmt tilskipuninni að aðildarríkin tilnefni einhvern aðila sem getur kveðið á um hvort undirskriftarbúnaður sé öruggur. Ekki er líklegt að í nánustu framtíð verði til sá aðili hér á landi sem hefur þekkingu eða búnað til að framkvæma slíkt mat. Að sama skapi er ekki líklegt að útnefndir verði margir slíkir aðilar innan Evrópusambandsins, en einhverjir þó. Sérstök ráðgjafanefnd skv. 9. gr. tilskipunarinnar er að störfum við að skilgreina þær kröfur sem aðildarríkin skulu gera við útnefningu á þessum aðilum. Helst er það herinn í einstökum aðildarríkjum sem býr yfir þekkingu og búnaði á þessu sviði. Íslenskir vottunaraðilar verða því væntanlega að nota búnað sem hefur fengið viðurkenningu hjá aðila tilnefndum í öðru ríki eða nota búnað sem framkvæmdastjórnin hefur viðurkennt.
5.9. Skaðabótareglur.
5.9.1. Almennt um skaðabótareglur laganna.
Í 17. gr. frumvarpsins er fjallað um skaðabótaábyrgð vottunaraðila sem gefa út fullgild vottorð til almennings eða ábyrgjast slík vottorð gagnvart almenningi. Reglur þessar eru byggðar á tilskipuninni og eru lágmarksreglur. Með hliðsjón af þeirri stefnu að ekki skuli setja reglur á sviði rafrænna viðskipta umfram það sem er nauðsynlegt eru lágmarksreglurnar látnar nægja. Almennar skaðabótareglur eru taldar fullnægjandi í tengslum við útgáfu annarra vottorða en fullgildra vottorða sem gefin eru út til almennings.
Ábyrgðarreglur þessar eru til þess fallnar að ýta undir traust almennings á fullgildum vottorðum og stuðla að uppbyggingu trausts undirskriftarkerfis.
5.9.2. Umfang ábyrgðarinnar.
Vottunaraðilar eru skaðabótaskyldir gagnvart hverjum þeim sem treystir á vottorðið með eðlilegum hætti. Þessir aðilar geta hvort heldur verið einstaklingar eða lögaðilar. Þeir geta verið sendandi undirritunarinnar, móttakandi eða þriðji aðili sem treysti á vottorðið. Þriðji aðili getur t.d. treyst á vottorð í þeim tilvikum þegar móttakandi sendir áfram undirrituð gögn til þriðja aðila með upphaflegri undirskrift.
Vandamál geta skapast í tengslum við ábyrgð undirritandans vegna óréttmætrar notkunar þriðja aðila á undirskriftinni, t.d. þegar undirritandi týnir snjallkortinu sem geymir einkalykilinn eða vottunaraðilinn afhendir röngum aðila snjallkort. Frumvarpið tekur ekki á tilvikum sem þessum og því gilda almennar skaðabótareglur og/eða ákvæði samnings milli aðila um þau.
Vottunaraðili verður bótaskyldur skv. 17. gr. ef hann getur ekki sannað að tjón verði ekki rakið til sakar hans. Hér er því um að ræða sakarábyrgð með öfugri sönnunarbyrði. Reglan felur í sér undantekningu frá almennum reglum skaðabótaréttar. Ástæðan fyrir henni felst m.a. í því að frumvarpið fjallar um mjög sérhæft, tæknilegt og flókið efni. Fyrir hinn almenna notanda rafrænna undirskrifta, sem hefur enga þekkingu á hinum tæknilega þætti, væri mjög erfitt að sanna að vottunaraðili hafi sýnt af sér gáleysi í starfsemi sinni. Einnig skerpir krafan um öfuga sönnunarbyrði á nauðsynlegu innra eftirliti vottunaraðilans.
Í frumvarpinu er gert ráð fyrir að takmarka megi gildissvið vottorðs. Þessar takmarkanir gilda einnig í tengslum við skaðabótareglurnar þannig að bótaábyrgð vottunaraðilans minnkar að sama skapi, svo lengi sem unnt er að kynna sér takmarkanirnar.
5.9.3. Tengsl við almennar skaðabótareglur.
Skaðabótareglurnar í 17. gr. frumvarpsins gilda eingöngu um tiltekna þætti hugsanlegrar bótaábyrgðar vottunaraðila sem gefa út fullgild vottorð. Að öðru leyti gilda almennar bótareglur um starfsemi vottunaraðila sem gefa út fullgild vottorð. Um bótaábyrgð annarra vottunaraðila en þeirra sem gefa út fullgild vottorð til almennings fer eftir almennum reglum skaðabótaréttar.
5.10. Réttaráhrif við notkun rafrænna undirskrifta.
5.10.1. Gildandi réttur.
Mikið hefur verið rætt um hvaða réttaráhrif rafrænar undirskriftir hafi og hvort hægt sé að veita rafrænni undirskrift sem uppfyllir tilteknar lágmarksöryggiskröfur sömu réttaráhrif og handritaðri undirskrift.
Þegar íslenskur réttur er skoðaður vaknar sú spurning hver lagaleg staða rafrænna undirskrifta sé. Með því er átt við hvort dómstólar muni taka slíka undirskrift sem skuldbindandi viljayfirlýsingu manns og hvort dómstólar telji að lagaskilyrðum um skriflega undirskrift sé fullnægt með rafrænni undirskrift.
Með hliðsjón af frjálsu sönnunarmati dómara er líklega ekkert því til fyrirstöðu að dómari taki rafræna undirskrift gilda sem sönnunargagn við mat á því hvort yfirlýsing undirritanda sé skuldbindandi.
Hvað varðar formskilyrði í lögum er gera skriflega undirritun að skilyrði er staðan óljósari. Sett lög áskilja í ýmsum tilvikum undirskrift samningsaðila. Ólík réttaráhrif geta verið bundin undirskrift. Þannig getur skjal t.d. skort víxilgildi ef undirskrift útgefanda vantar, sbr. 1. gr. víxillaga, nr. 93/1933. Þá verður skjali ekki þinglýst nema það sé undirritað, sbr. 2. mgr. 6. gr. þinglýsingalaga, nr. 39/1978. Þýðingarmestu réttaráhrif undirskriftar hljóta þó að teljast sú sönnun sem almennt er viðurkennt að undirskrift veiti um tengsl aðila við tiltekinn samning.
Undirskriftir gegna einnig öðrum mikilvægum hlutverkum. Þannig getur undirskrift þjónað þeim tilgangi að votta ýmis atriði, t.d. að aðili hafi ritað nafn sitt, hæfi hans til þess að gera það og dagsetningu. Þá getur lagaáskilnaður um undirskrift verið reistur á þeim rökum að viðsemjandi geri sér ljóst að hann sé að takast á hendur ákveðnar samningsskuldbindingar.
Álitamál um undirskriftir að íslenskum rétti hafa yfirleitt staðið um mat á því hvort undirskrift stafi frá þeim aðila sem hún bar með sér að stafa frá. Einnig hafa undirskriftir komið til athugunar við mat á gildi og efni samnings að öðru leyti, svo sem í tengslum við löggerningshæfi. Hins vegar hefur það þótt liggja nokkuð skýrt fyrir hvað væri undirskrift og hefur þá verið við það miðað að viðkomandi aðili ritaði nafn sitt eigin hendi.
5.10.2. Innleiðing ákvæða tilskipunarinnar um réttaráhrif rafrænna undirskrifta.
Ákvæði 5. gr. og 7. mgr. 3. gr. tilskipunarinnar um réttaráhrif rafrænna undirskrifta eru innleidd með 4. gr. laganna.
Ákvæði 5. gr. felur í sér að kröfu um undirskrift sé alltaf fullnægt með fullgildri rafrænni undirskrift í þeim tilvikum sem löggjöf takmarkar ekki möguleika á að gera löggerninginn með rafrænum hætti. Með því að gefa fullgildri undirskrift sambærilega stöðu að lögum og handritaðri skapast sameiginlegur staðall fyrir rafrænar undirskriftir á Evrópska efnahagssvæðinu.
Í b-lið 1. mgr. 5. gr. tilskipunarinnar er þess krafist að leggja megi fram fullgilda rafræna undirskrift sem sönnunargagn í dómi. Í 2. mgr. 5. gr. tilskipunarinnar er einnig gerð sú krafa að öðrum gerðum rafrænna undirskrifta sé ekki neitað um lagalegt gildi eða sönnunargildi fyrir dómstólum á grundvelli tiltekinna ástæðna sem tengjast þeirri staðreynd að um rafræna undirskrift sé að ræða. Ekki er nauðsynlegt að taka þessi ákvæði inn í frumvarpið þar sem þau eru í samræmi við gildandi rétt hér á landi. Reglurnar um frjálsa sönnunarfærslu og frjálst sönnunarmat fela í sér að hægt er að leggja fram rafrænar undirskriftir sem sönnunargögn fyrir dómi, hvort sem þær eru fullgildar eða ekki. Sú staðreynd að undirskriftin er ekki fullgild mun líklega hafa áhrif á hversu sterkt sönnunargildi undirskriftin hefur. Hins vegar er ekki fjallað um hversu sterka sönnunarstöðu rafrænar undirskriftir skulu hafa.
Þrátt fyrir ofangreint er í 2. mgr. 4. gr. frumvarpsins ákvæði sem ætlað er að taka af allan vafa um hugsanlegt gildi rafrænna undirskrifta og leggja áherslu á að dómstólar kunni að telja að aðrar gerðir af rafrænum undirskriftum njóti sömu réttarstöðu og hinar fullgildu.
5.11. Persónuvernd.
Tilskipun Evrópuþingsins og ráðsins nr. 95/46/EB frá 24. október 1995, um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga, er leidd í íslenskan rétt með lögum um persónuvernd og meðferð persónuupplýsinga, nr. 77/2000. Markmið laganna er að stuðla að því að með persónuupplýsingar sé farið í samræmi við grundvallarsjónarmið og reglur um persónuvernd og friðhelgi einkalífs og tryggja áreiðanleika og gæði slíkra upplýsinga. Sérstök stofnun, Persónuvernd, annast eftirlit með framkvæmd laganna.
Samkvæmt lögunum um persónuvernd og meðferð persónuupplýsinga er vinnsla persónuupplýsinga því aðeins heimil að hinn skráði hafi gefið ótvírætt samþykki sitt eða vinnslan sé nauðsynleg vegna tiltekinna atriða sem þar eru upp talin. Persónuupplýsingar má aðeins nota í þeim tilgangi sem þær voru fengnar til og ekki nota í öðrum tilgangi án ótvíræðs samþykkis.
Í 5. gr. frumvarps þessa er fjallað um vernd persónuupplýsinga. Þar er sú regla sett að vottunaraðila sé eingöngu heimilt að afla sér persónuupplýsinga beint frá þeim aðila sem upplýsingarnar varða eða með ótvíræðu samþykki hans og eingöngu í þeim mæli sem nauðsynlegt er til útgáfu eða viðhalds á vottorði. Ákvæðið er bein innleiðing á 2. mgr. 8. gr. tilskipunarinnar. Með samþykki er átt við sérstaka yfirlýsingu sem einstaklingur gefur af fúsum og frjálsum vilja um að hann sé samþykkur vinnslu tiltekinna upplýsinga um sig og að honum sé kunnugt um tilgang hennar, hvernig hún fari fram, hvernig persónuvernd verði tryggð, honum sé heimilt að afturkalla samþykki sitt o.s.frv., sbr. 7. tölul. 2. gr. laga um persónuvernd og meðferð persónuupplýsinga.
Það skal sérstaklega tekið fram að ákvæði 5. gr. tekur til allra vottunaraðila sem gefa út vottorð til almennings, ekki einvörðungu þeirra sem gefa út fullgild vottorð.
6. Þörf á endurskoðun.
Athugasemdir við einstakar greinar frumvarpsins.
Um 1. gr.
Um 2. gr.
Í 2. mgr. er kveðið á um að viðskiptaráðherra fari með yfirstjórn þeirra mála sem ákvæði frumvarpsins ná til. Þar af leiðandi er með ráðherra í frumvarpi þessu átt við viðskiptaráðherra, nema annað sé sérstaklega tilgreint. Hann hefur þar með heimild til að setja nánari ákvæði um framkvæmd ákvæða frumvarps þessa í reglugerð.
Um 3. gr.
Í 1. tölul. er hugtakið rafræn undirskrift skilgreint. Tæknilegt hlutleysi er grundvallaratriði í frumvarpinu. Hugtakið rafræn undirskrift á að vera til þess fallið að ná yfir allar rafrænar aðferðir sem notaðar eru til að sannprófa uppruna upplýsinga. Sú aðferð við notkun rafrænna undirskrifta sem er útbreiddust núna eru stafrænar undirskriftir, byggðar á dreifilyklakerfi. Hvað varðar nánari umfjöllun um rafrænar undirskriftir skal vísað til 1. og 3. kafla almennra athugasemda með lagafrumvarpi þessu.
Í 2. tölul. er útfærð rafræn undirskrift skilgreind. Skilgreiningin tekur til þess sem núna er kallað stafræn undirskrift, en getur einnig náð yfir fleiri aðferðir sem kunna að þróast í framtíðinni. Útfærða undirskriftin skal skv. a- og b-lið tryggja að unnt sé að bera kennsl á undirritanda og að undirskriftin tengist honum einum. Með því er hægt að segja fyrir um hver sendandi er og hann getur ekki neitað að hafa sent upplýsingarnar. Enn fremur skal undirritandi skv. c-lið einn hafa forræði yfir aðferðinni sem undirskriftin er búin til með. Það tryggir að þriðji maður getur ekki komist yfir undirskriftina og misnotað hana. Krafan í d-lið á að tryggja áreiðanleika upplýsinganna sem sendar eru, þ.e. að hægt sé að treysta því að innihaldi gagna, sem hafa verið undirrituð, hafi ekki verið breytt.
Í 3. tölul. er hugtakið fullgild undirskrift skilgreind. Þessi skilgreining er ekki fyrir hendi í tilskipuninni en er talin til hægðarauka við skilning á ákvæði 4. gr. frumvarpsins um réttaráhrif.
Í 4. tölul. er hugtakið undirritandi skilgreint, þ.e. sá sem undirritar gögn rafrænt. Nauðsynlegur undirskriftarbúnaður og gögn geta verið í eigu einhvers annars en eiginlegs undirritanda, t.d. vinnuveitanda. Því er undirritandi ekki endilega sá sem raunverulega á búnaðinn, heldur sá sem hefur forræði yfir honum og kemur fram í vottorði sem undirritandi.
Í 5. tölul. er skilgreining á undirskriftargögnum, sem eru þau gögn sem notuð eru til að mynda rafræna undirskrift. Í dreifilyklakerfi nefnast þessi gögn einkalykill.
Í 6. tölul. er hugtakið undirskriftarbúnaður skýrt. Það er búnaður sem er notaður við gerð rafrænu undirskriftarinnar. Búnaðurinn notar undirskriftargögnin til að búa til undirskriftina. Búnaðurinn getur bæði verið vélbúnaður og hugbúnaður. Sem dæmi um vélbúnað má t.d. nefna snjallkort og sem dæmi um hugbúnað má nefna hluta tölvupóstforrits.
Í 7. tölul. er öruggur undirskriftarbúnaður skilgreindur. Skilgreiningin hefur áhrif til skýringar á skilgreiningu á fullgildri rafrænni undirskrift.
Í 8. tölul. er skilgreining á sannprófunargögnum. Það eru gögn sem notuð eru til að sannprófa uppruna upplýsinganna, þ.e. opinberi lykillinn í dreifilyklakerfi.
Í 9. tölul. er sannprófunarbúnaður skilgreindur. Það er hugbúnaður eða vélbúnaður sem er notaður til að sannprófa rafræna undirskrift með því að nota sannprófunargögnin, t.d. hluti tölvupóstforrits.
Í 10. tölul. er skilgreint hvað vottorð sé. Vottorðið tengir sannprófunargögnin við tiltekið nafn eða stöðu- eða starfsheiti, þ.e. veitir upplýsingar um það hver undirritandi sé. Undirritandi er sá sem ræður yfir undirskriftarbúnaði og er oftast sá sem gert hefur samning við vottunaraðila um útgáfu vottorðs til sín. Nánar er fjallað um vottorð í almennum athugasemdum með lagafrumvarpi þessu, sbr. kafla 3.4.
Í 11. tölul. er skilgreint hvað fullgilt vottorð sé. Skilgreiningin styðst við ákvæði tilskipunarinnar um sama efni.
Í 12. tölul. er hugtakið vottunaraðili skilgreint. Hugtakið er notað yfir þá sem veita alla þá þjónustu sem tengist rafrænum undirskriftum. Vottunaraðilinn getur séð um að veita alla þessa þjónustu sjálfur eða falið öðrum það að hluta til. Grundvallaratriði í þjónustu vottunaraðila er að ábyrgjast tengslin milli undirritanda og upplýsinga í vottorði, halda skrá og veita afturköllunarþjónustu. Þar fyrir utan getur vottunaraðili boðið upp á alls konar aukaþjónustu, eins og tímastimplun (þ.e. staðfestingu á sendingar- og móttökutíma þeirra gagna sem send eru með rafrænu undirskriftinni), geymslu á upplýsingum og ráðgjöf vegna rafrænna undirskrifta. Tilvísun til annarrar þjónustu í tengslum við rafrænar undirskriftir er breytileg og skal túlkuð í samræmi við þróun í þessum efnum.
Um 4. gr.
Ef gerð er krafa um undirskrift í lögum, stjórnvaldsfyrirmælum eða með öðrum hætti og af túlkun réttarheimilda og samninga má ráða að unnt sé að gera gerninginn með rafrænum hætti, skal fullgild rafræn undirskrift ætíð uppfylla kröfu um undirskrift. Með öðrum orðum er krafa um undirskrift alltaf uppfyllt með fullgildri rafrænni undirskrift, svo lengi sem löggjöfin hindrar ekki að gerningurinn sé gerður með rafrænum hætti. Ekki er kveðið sérstaklega á um það í ákvæðinu að forsenda fyrir beitingu þess sé að réttarheimildir standi ekki í vegi fyrir rafrænum samskiptum, þar sem það leiðir af eðli máls.
Í 2. mgr. 5. gr. tilskipunarinnar er kveðið á um að ekki megi takmarka gildi rafrænna undirskrifta eða heimild til framlagningar þeirra sem sönnunargagns eingöngu á þeim grundvelli að um rafrænar undirskriftir sé að ræða. Telja verður að íslenskur réttur sé að meginstefnu til í samræmi við ákvæði þetta, þar sem sú meginregla gildir að samningar séu ekki formbundnir og dómstólar hafi frjálst sönnunarmat. Hins vegar er til áréttingar mælt fyrir um gildi annarra rafrænna undirskrifta en fullgildra í 2. mgr. þessarar greinar.
Um nánari umfjöllun um réttaráhrif rafrænna undirskrifta er vísað til kafla 5.10 í almennum athugasemdum við lagafrumvarp þetta.
Um 5. gr.
Í 2. mgr. er kveðið á um að Persónuvernd muni hafa eftirlit með meðferð vottunaraðila á persónuupplýsingum. Sérstaklega er kveðið á um að vottunaraðilar séu tilkynningarskyldir, sbr. 31. gr. laga um persónuvernd og meðferð persónuupplýsinga, nr. 77/2000. Annars væri mögulegt að rökstyðja að þeir væru undanþegnir tilkynningarskyldu þar sem vinnslan væri þáttur í eðlilegri starfsemi þeirra, sbr. 1. tölul. 1. mgr. 5. gr. reglna Persónuverndar um tilkynningarskylda og leyfisskylda vinnslu persónuupplýsinga frá 15. janúar 2001.
Um 6. gr.
Um 7. gr.
Í 1. tölul. er kveðið á um að fram skuli koma í vottorðinu að það sé fullgilt vottorð. Ekki er talið nægilegt að vísa t.d. til vottunarstefnu um þetta.
Í 2. tölul. kemur fram sú krafa að í vottorði komi fram hver vottunaraðilinn sé og hvar hann hafi staðfestu. Hér er átt við þann vottunaraðila sem ber ábyrgð á útgáfu vottorðsins.
Í 3. tölul. er gerð krafa um að nafn eða dulnefni undirritandans komi fram í vottorði. Ef um dulnefni er að ræða skal það alltaf koma fram í vottorðinu. Um notkun á dulnefnum er vísað til umfjöllunar í almennum athugasemdum, kafla 5.5.
Í 4. tölul. er þess krafist að vottorðið innihaldi frekari upplýsingar um undirritanda, ef þær eru nauðsynlegar vegna tilgangs vottorðsins. Það fer eftir gerð og tilgangi vottorðsins hvaða nánari upplýsingar það eru sem teljast nauðsynlegar.
Í 5. tölul. er þess krafist að í vottorði séu sannprófunargögn þau sem svara til undirskriftargagnanna sem undirritandi ræður yfir. Með því að gera slíka kröfur verður mögulegt fyrir móttakanda að sannreyna uppruna upplýsinganna hafi hann nauðsynlegan tæknibúnað til þess. Móttakandinn sleppur við að leita til vottunaraðilans eða einhvers annars til að nálgast sannprófunargögnin.
Í 6. tölul. er þess krafist að í vottorði komi fram upplýsingar um upphaf og lok gildistíma vottorðsins. Útgefendur vottorða munu ákveða hversu langan gildistíma vottorðin hafa. Við mat á því verður m.a. að líta til tæknilegrar þróunar, kostnaðar og áhættu.
Í 7. tölul. er þess krafist að vottorð hafi einstakt númer, svokallaðan auðkenniskóta (e. identity code). Með hjálp hans er ætíð hægt að bera kennsl á vottorðið.
Í 8. tölul. er kveðið á um að vottorð skuli vera undirritað með útfærðri undirskrift vottunaraðilans. Þetta er gert í því skyni að unnt sé að sannreyna að vottorðið stafi í raun frá vottunaraðilanum.
Í 9. tölul. er þess krafist að í vottorði komi fram upplýsingar um takmarkanir á gildissviði og fjárhæð viðskipta sem unnt er að nota vottorðið til, séu slíkar takmarkanir fyrir hendi. Nauðsynlegt er fyrir þriðja aðila að vita um hugsanlegar takmarkanir á vottorðinu svo hann geti treyst undirskriftinni. Ákvæðið ber að skoða með hliðsjón af reglum frumvarpsins um skaðabótaábyrgð, en vottunaraðili er ekki bótaskyldur fyrir tjóni sem verður vegna notkunar á vottorði sem er í andstöðu við takmarkanir á því, að því tilskildu að þriðja aðila séu ljósar takmarkanirnar.
Um 8. gr.
Í ákvæðinu er gerð sú krafa að búnaðurinn breyti ekki þeim gögnum sem undirrituð eru og undirritandi geti séð gögnin fyrir undirritun. Mikilvægt er að tryggt sé að gögnin séu áreiðanleg og verði ekki breytt. Þá er einnig mikilvægt að undirritandi geti séð gögnin áður en hann undirritar þau þannig að hann geti verið viss um að hann sé að undirrita rétt gögn.
Vert er að hafa í huga að þær kröfur sem gerðar eru samkvæmt grein þessari, sem og öðrum greinum frumvarpsins, takmarkast af þeirri tækni og aðferðum sem þekktar eru hverju sinni.
Um 9. gr.
Um V. kafla.
Um 10. gr.
Í greininni er fyrst orðuð almenn regla um að vottunaraðili skuli í starfsemi sinni uppfylla þær kröfur sem nauðsynlegar eru til að tryggja örugga og áreiðanlega útgáfu vottorða. Í þessari kröfu felst að starfsemi vottunaraðila skuli rekin þannig að hún teljist örugg, m.a. með tilliti til lagalegra, tæknilegra og skipulagslegra þátta. Hvað telst nauðsynlegt fer eftir eðli og umfangi starfseminnar og notendahópi í hverju tilviki. Vottunaraðili verður þannig að endurskoða slíka þætti ef hann breytir starfsemi sinni, t.d. bætir við þjónustu.
Í þremur stafliðum eru sérstaklega taldir upp nokkrir þættir sem falla innan fyrrgreindra krafna. Í a-lið er vísað til stjórnunar- og starfsaðferða. Í b-lið er gerð krafa um að starfsfólk sé hæft til að tryggja örugga starfsemi vottunaraðilans. Í c-lið er gerð krafa um að vottunaraðili hafi ætíð nægjanlegt fjármagn til að stunda starfsemina og standa undir skuldbindingum sínum. Í þessu sambandi skiptir máli hvernig starfsemi vottunaraðilinn stundar raunverulega og hver viðskiptamannahópurinn er. Fjárhagsstaða vottunaraðila verður að taka mið af hagsmunum þeim sem í húfi eru og þeim takmörkunum sem hann hefur á vottorðum sínum. Hið síðarnefnda ber einkum að skoða með hliðsjón af bótaskyldu vottunaraðilans. Tryggingar munu og augljóslega hafa veruleg áhrif á mat á hvort fjárhagsstaða vottunaraðila sé viðunandi.
Um 11. gr.
Í 1. mgr. er kveðið á um að vottunaraðili skuli í starfsemi sinni nota áreiðanlegt kerfi og búnað. Það er nauðsynlegt fyrir öryggið í því kerfi sem er byggt upp í kringum rafrænar undirskriftir að vottunaraðilar, sem koma fram sem áreiðanlegur þriðji aðili, noti öruggt kerfi og búnað í starfsemi sinni.
Í 2. mgr. felst að noti vottunaraðili kerfi og búnað sem viðurkenndur hefur verið af framkvæmdastjórn Evrópusambandsins eða aðila sem tilnefndur hefur verið skv. b- og c-lið 9. gr. teljast ákvæði 1. mgr. uppfyllt.
Í 3. mgr. er lögð sú krafa á vottunaraðila að þeir grípi til aðgerða gegn fölsun vottorða. Vottunaraðili skal í starfsemi sinni ganga úr skugga um að kerfi hans sé þannig úr garði gert að ekki sé hægt að falsa vottorðin eftir útgáfu þeirra. Áreiðanleiki vottorðs er m.a. tryggður með því að vottunaraðili undirriti það með útfærðri rafrænni undirskrift sinni. Með því er hægt að sjá breytingar sem gerðar hafa verið á vottorðinu og tryggja að vottorðið stafi frá vottunaraðilanum.
Um 12. gr.
Í tilskipuninni er talað um það tímamark sem vottorð er gefið út. Í frumvarpinu er hins vegar talað um það tímamark sem vottorðið tekur gildi, sbr. og 6. tölul. 1. mgr. 7. gr. frumvarpsins. Telja verður réttara í þessu samhengi að tala um þann tíma sem vottorð tekur gildi. Í þessu sambandi ber að hafa í huga að vottorð getur verið gefið út en ekki tekið gildi fyrr en nokkru seinna. Útgáfutími er þegar undirritandi fær vottorðið afhent en gildistími er þegar hann getur farið að nota vottorðið. Í framkvæmd mun þetta oftast vera þannig að vottorðið tekur gildi strax við afhendingu. Í sumum tilvikum getur það hins vegar verið síðar, t.d. þegar um er að ræða vottorð vegna tiltekins starfs sem undirritandi hefur ekki enn tekið við.
Í 2. málsl. er þess krafist að í skrá komi fram upplýsingar um takmarkanir á gildi vottorða, ef einhverjar eru.
Um 13. gr.
Um 14. gr.
Hvað telst eðlilegur tími í 1. mgr. fer eftir því hvers konar vottorð er um að ræða hverju sinni, þ.e. til hvaða notkunar það nær og hvaða upplýsingar það hefur að geyma. Hér ber einnig að hafa í huga 5. tölul. 7. gr. og 26. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, þar sem fram kemur að ekki skuli varðveita persónuupplýsingar lengur en nauðsynlegt er vegna upphaflegs tilgangs vörslunnar. Ástæðan fyrir kröfunni um skráningu og geymslu er grundvölluð á því að nauðsynlegt getur orðið að leggja upplýsingarnar fram sem sönnunargögn í dómsmálum.
Í 2. mgr. er þess krafist að vottunaraðili noti áreiðanlegt kerfi til geymslu á vottorðum. Ákvæði 2. mgr. byggjast á l-lið II. viðauka tilskipunarinnar. Í a-lið er gerð sú krafa að einungis einstaklingar með sérstaka heimild geti gert breytingar á vottorðunum. Ákvæði b- liðar setur skilyrði um að unnt verði að athuga réttmæti upplýsinganna og tengist þannig 3. mgr. greinarinnar. Samkvæmt c-lið skulu vottorðin eingöngu vera aðgengileg almenningi í þeim tilvikum þegar sá sem vottorðið er gefið út til hefur veitt samþykki sitt. Reglan er byggð á sjónarmiðum um persónuvernd. Hins vegar er lítils virði að nota rafrænar undirskriftir ef móttakandinn hefur ekki aðgang að vottorði sendanda. Í d-lið er gerð sú krafa að tæknilegar breytingar, sem stefnt geta öryggiskröfum í hættu, séu sýnilegar þeim sem starfrækja kerfið. Í þessu felst sú krafa að vottunaraðili noti sem öruggastan búnað og starfsfólk geti greint breytingar í kerfinu.
Ákvæði 3. mgr. byggist á l-lið II. viðauka tilskipunarinnar.
Samkvæmt 4. mgr. er vottunaraðila ekki heimilt að geyma eða afrita undirskriftargögn undirritanda. Ákvæði 4. mgr. byggist á j-lið II. viðauka tilskipunarinnar. Geymsla og afritun á slíkum gögnum fer í bága við lagalega skilgreiningu á rafrænni undirskrift. Tryggt verður að vera að eingöngu eigandi undirskriftarinnar hafi aðgang að undirskriftargögnunum þannig að hann einn ráði yfir undirskriftinni. Þetta er ófrávíkjanlegt bann. Ef undirskriftargögnin eyðileggjast eða týnast er því ekki unnt að undirrita skjöl með sömu gögnum.
Um 15. gr.
Um 16. gr.
Um 17. gr.
Ákvæði 17. gr. fela í sér lágmarksreglur um skaðabótaábyrgð vottunaraðila sem gefa út fullgild vottorð til almennings eða ábyrgjast gagnvart almenningi slík vottorð sem útgefin eru af öðrum. Þannig geta vottunaraðilar, sem hafa staðfestu hér á landi, ábyrgst að vottorð sem aðrir vottunaraðilar gefa út uppfylli reglur um fullgild vottorð. Í slíkum tilvikum er talað um krossvottun.
Vottunaraðili er ekki bótaskyldur ef hann getur sannað að tjón verði ekki rakið til sakar hans. Hér er því um að ræða sakarábyrgð með öfugri sönnunarbyrði. Hún felur í sér strangari bótaskyldu fyrir vottunaraðila en mundi leiða af almennum reglum. Slík ráðstöfun helgast af neytendavernd. Sjá nánar um skaðabótaábyrgð í almennum athugasemdum með frumvarpi þessu, kafla 5.9.
Vottunaraðilinn er bótaskyldur fyrir tjóni sem verður hjá þeim aðila sem treystir á vottorðið með eðlilegum hætti. Í þessu felst m.a. að það er ekki eingöngu móttakandi skilaboðanna sem er verndaður af reglunum. Sá sem vottorðið var gefið út til getur einnig orðið fyrir tjóni vegna mistaka í vottorði. Þá getur þriðji aðili orðið fyrir tjóni vegna þess að hann treysti á vottorð.
Í a-lið felst að vottunaraðili getur verið ábyrgur fyrir því að upplýsingar í vottorði hafi verið réttar þegar vottorðið var gefið út. Þá skal vottorðið skv. b-lið innihalda allar þær upplýsingar sem kveðið er á um í 7. gr., þ.e. þær upplýsingar sem verða að vera í vottorði svo það geti talist fullgilt. Ef einhverjar þessara upplýsinga vantar getur það leitt til bótaskyldu. Í c-lið segir að vottunaraðili sé ábyrgur fyrir því að undirritandi hafi haft rétt undirskriftargögn undir höndum þegar vottorðið var gefið út. Þau skuli svara til sannprófunargagnanna í vottorðinu. Ef undirskriftargögn undirritanda svara ekki til sannprófunargagna í vottorði getur það leitt til bótaskyldu vottunaraðila. Ákvæði d-liðar gildir þegar vottunaraðili hefur búið gögnin til. Samkvæmt e-lið er vottunaraðili bótaskyldur ef vottorð er ekki réttilega skráð í afturköllunarlista.
Í 3. mgr. er kveðið á um að vottunaraðilar geti takmarkað bótaskyldu sína með því að takmarka gildissvið vottorðsins, enda fari þær takmarkanir ekki í bága við 36. gr. laga nr. 7/1936, um samningsgerð, umboð og ógilda löggerninga. Vottunaraðili er ekki bótaskyldur vegna tjóns sem verður vegna notkunar á vottorði sem er í andstöðu við takmarkanir á gildissviði þess eða fjárhæð viðskipta að því tilskildu að unnt sé að kynna sér slíkar takmarkanir.
Um 18. gr.
Í 2. og 3. mgr. er kveðið á um það eftirlitsgjald sem vottunaraðilum sem gefa út fullgild vottorð ber að greiða. Gert er ráð fyrir að lágmarksárgjald verði 1.000.000 kr. eða 200 kr. fyrir hvert fullgilt vottorð sem gefið er út, sé síðarnefnda upphæðin hærri. Sömu leið er fyrirhugað að fara í Svíþjóð. Á fyrsta og síðasta starfsári vottunaraðila er gert ráð fyrir að lágmarksárgjaldið verði ákvarðað í réttu hlutfalli við þann tíma sem starfrækslan varir á viðkomandi ári.
Í 4. mgr. er heimild til handa ráðherra að setja í reglugerð nánari reglur um tilhögun skráningar, tilkynningar og upplýsingagjöf.
Um 19. gr.
Í 2. mgr. er eftirlitinu veitt heimild til að banna starfsemi og aðstæður sem eru í andstöðu við ákvæði laganna og reglna settra á grundvelli þeirra. Þá er eftirlitinu einnig veitt heimild til að setja skilyrði fyrir áframhaldandi starfsemi. Eftirlitið getur þannig t.d. gripið inn í hjá vottunaraðilum sem gefa út fullgild vottorð og uppfylla ekki skilyrði laganna.
Samkvæmt 3. mgr. getur eftirlitið farið fram á að vottunaraðili láti fara fram svokallaða UT-endurskoðun, þ.e. endurskoðun upplýsingatækni. Þetta getur m.a. verið nauðsynlegt í þeim tilvikum sem eftirlitið telur veittar upplýsingar ekki fullnægjandi grundvöll til mats á því hvort vottunaraðili uppfylli skilyrði laganna eða í þeim tilvikum þegar grunur leikur á að starfsemin sé ekki í samræmi við skilyrði laganna.
Samkvæmt 4. mgr. getur eftirlitið svipt vottunaraðila heimild til að kalla þau vottorð sem hann gefur út „fullgild“ vottorð ef hann hefur gróflega eða ítrekað brotið af sér. Þessi aðgerð er verulega íþyngjandi þannig að ekki skal grípa til hennar nema önnur úrræði séu ekki tæk.
Í 5. mgr. er heimild til handa ráðherra að setja nánari reglur um starfsemi eftirlitsins í reglugerð.
Um 20. gr.
Samkvæmt 2. mgr. getur eftirlitið krafist þess án dómsúrskurðar að fá aðgang að starfsstöð vottunaraðila eða öðrum þeim stöðum þar sem starfsemi sem fellur undir eftirlit laganna fer fram.
Í 3. mgr. er kveðið á um að réttur Löggildingarstofu til þess að krefjast upplýsinga eða aðgangs að starfsstöð og tækjabúnaði verði ekki takmarkaður með vísan til reglna um þagnarskyldu. Ákvæði þetta er sett til þess að styrkja stoðir heimilda Löggildingarstofu og koma í veg fyrir að vottunaraðilar geti skýlt sér á bak við þagnarskyldu við veitingu upplýsinga.
Í 4. mgr. er kveðið á um þagnarskyldu starfsmanna Löggildingarstofu og annarra sem starfa á hennar vegum. Ákvæðið er hliðstætt öðrum þagnarskylduákvæðum í lögum sem gilda um eftirlitsaðila.
Um 21. gr.
Um 22. gr.
Um 23. gr.
Um 24. gr.
Fylgiskjal I.
TILSKIPUN EVRÓPUÞINGSINS OG RÁÐSINS 1999/93/EB
frá 13. desember 1999
um ramma bandalagsins varðandi rafrænar undirskriftir
EVRÓPUÞINGIÐ OG RÁÐ EVRÓPUSAMBANDSINS HAFA,
með hliðsjón af stofnsáttmála Evrópubandalagsins, einkum 2. mgr. 47. gr., 55 og 95. gr.,
með hliðsjón af tillögu framkvæmdastjórnarinnar ( 1 ),
með hliðsjón af áliti efnahags- og félagsmálanefndarinnar ( 2 ),
með hliðsjón af áliti svæðanefndarinnar ( 3 ),
í samræmi við málsmeðferðina sem mælt er fyrir um í 251. gr. sáttmálans ( 4 ),
og að teknu tilliti til eftirfarandi:
1) Hinn 16. apríl 1997 lagði framkvæmdastjórnin fyrir Evrópuþingið, ráðið, efnahags- og félagsmálanefndina og svæðanefndina orðsendingu um evrópskt framtaksverkefni á sviði rafrænnar verslunar.
2) Hinn 8. október 1997 lagði framkvæmdastjórnin fyrir Evrópuþingið, ráðið, efnahags- og félagsmálanefndina og svæðanefndina orðsendingu um að tryggja öryggi og tiltrú í rafrænum samskiptum — í þágu Evrópuramma fyrir stafrænar undirskriftir og dulkóðun.
3) Hinn 1. desember 1997 fór ráðið þess á leit við framkvæmdastjórnina að hún legði eins fljótt og unnt er fram tillögu að tilskipun Evrópuþingsins og ráðsins um rafrænar undirskriftir.
4) Rafræn samskipti og verslun útheimta rafrænar undirskriftir og tengda þjónustu sem gerir kleift að sanna uppruna upplýsinga. Mismunandi reglur í aðildarríkjunum um lagalega viðurkenningu rafrænna undirskrifta og faggildingu vottunaraðila kunna að torvelda notkun rafrænna samskipta og verslunar verulega. Á hinn bóginn mun skýr bandalagsrammi um þau skilyrði sem gilda um rafrænar undirskriftir auka tiltrú á þessari nýju tækni og stuðla að almennri viðurkenningu hennar. Löggjöf aðildarríkjanna ætti ekki að hindra frjálsa vöruflutninga og frjálsa þjónustustarfsemi á hinum innri markaði.
5) Stuðla ber að rekstarsamhæfi vara til rafrænna undirskrifta. Í samræmi við 14. gr. sáttmálans myndar innri markaðurinn svæði án innri landamæra þar sem frjálsir vöruflutningar eru tryggðir. Uppfylla ber grunnkröfur sem gilda sérstaklega um vörur til rafrænna undirskrifta til þess að tryggja frjálsa flutninga innan innri markaðarins og skapa traust á rafrænum undirskriftum, með fyrirvara um reglugerð ráðsins (EB) nr. 3381/94 frá 19. desember 1994 um að koma á bandalagsskipan um eftirlit með útflutningi vara sem þjóna tvenns konar tilgangi ( 5 ) og ákvörðun ráðsins 94/942/CFSP frá 19. desember 1994 um sameiginlegar aðgerðir sem ráðið hefur samþykkt um eftirlit með útflutningi vara sem þjóna tvenns konar tilgangi ( 6 ).
6) Þessi tilskipun fjallar ekki um samhæfingu þjónustuveitingar með tilliti til upplýsingaleyndar ef innlend ákvæði, sem fjalla um allsherjarreglu eða almannaöryggi, gilda um slíka þjónustuveitingu.
7) Innri markaðurinn tryggir frjálsa fólksflutninga sem hefur í för með sér að borgarar í Evrópusambandinu og þeir sem eru búsettir þar þurfa í auknum mæli að eiga samskipti við yfirvöld í öðrum aðildarríkjum en því þar sem þeir hafa fasta búsetu. Framboð á rafrænum samskiptum gæti gert mikið gagn í þessu tilliti.
8) Hröð tækniþróun og hnattrænir eiginleikar Netsins útheimta nálgun sem býður heim margvíslegri tækni og þjónustu sem gerir kleift að sanna uppruna upplýsinga með rafrænum hætti.
9) Rafrænar undirskriftir verða notaðar við margháttaðar aðstæður og aðgerðir sem leiðir af sér margvíslega nýja þjónustu og vörur sem til rafrænna undirskrifta eða krefjast notkunar þeirra. Skilgreiningu slíkra vara og þjónustu ber ekki að einskorða við útgáfu skilríkja og umsýslu vegna þeirra, heldur ætti slík skilgreining einnig að ná til hvers kyns annarrar þjónustu og allra vara þar sem rafrænar undirskriftir eru notaðar eða sem eru þeim til eflingar, eins og skráningarþjónustu, tímastimplunar, upplýsingaþjónustu, þjónustu á sviði gagnameðferðar eða ráðgjafarþjónustu sem tengist rafrænum undirskriftum.
10) Innri markaðurinn gerir vottunaraðilum kleift að þróa starfsemi sína yfir landamæri í því skyni að auka samkeppnishæfni sína og að bjóða neytendum og fyrirtækjum þannig ný tækifæri til rafrænna upplýsingaskipta og viðskipta með öruggum hætti án tillits til landamæra. Í því augnamiði að efla vottunarþjónustu á opnum netum vítt og breitt í bandalaginu ætti vottunaraðilum að vera frjálst að bjóða fram þjónustu sína án heimildar sem er veitt fyrirfram. Með heimild, sem er veitt fyrirfram, er ekki aðeins átt við leyfi þar sem viðkomandi vottunaraðili skal útvega sér ákvörðun innlendra yfirvalda áður en honum er heimilt að veita vottunarþjónustu, heldur og allar aðrar ráðstafanir sem hafa sömu áhrif.
11) Skipulag valfrjálsrar faggildingar, sem miðar að bættri þjónustuveitingu, gæti verið réttur grundvöllur fyrir vottunaraðila til þess að þróa enn frekar þjónustustarfsemi sína í því skyni að skapa það traust, öryggi og gæði sem hinn vaxandi markaður krefst. Fyrrnefnt skipulag ætti að stuðla að þróun ákjósanlegustu starfshátta vottunaraðila. Vottunaraðilum ætti að vera frjálst að vera þátttakendur í slíku faggildingarskipulagi og njóta góðs af því.
12) Opinberir aðilar, lögpersónur eða einstaklingar, sem eru viðurkenndir í samræmi við innlend lög, geta boðið fram vottunarþjónustu. Aðildarríkin ættu ekki að banna vottunaraðilum að starfa utan skipulags valfrjálsrar faggildingar. Tryggja ber að slíkt faggildingarskipulag dragi ekki úr samkeppni á vottunarþjónustu.
13) Aðildarríkjunum er heimilt að ákveða með hvaða hætti þau tryggja eftirlit með því að farið sé að ákvæðunum sem mælt er fyrir um í þessari tilskipun. Tilskipun þessi útilokar ekki að komið verði á fót einkareknum eftirlitskerfum. Vottunaraðilum er ekki skylt, samkvæmt þessari tilskipun, að sækja um að hlíta eftirliti samkvæmt faggildingarskipulagi.
14) Mikilvægt er að jafnvægi ríki milli þarfa neytenda og fyrirtækja.
15) Í III. viðauka er fjallað um kröfur sem eru gerðar til öruggs undirskriftarbúnaðar í því skyni að tryggja virkni þróaðra, rafrænna undirskrifta. Í fyrrnefndum viðauka er ekki fjallað um gervallt umhverfi þess kerfis sem slíkur búnaður vinnur í. Nauðsynlegt er, vegna starfsemi innri markaðarins, að framkvæmdastjórnin og aðildarríkin bregðist skjótt við til þess að unnt sé að tilnefna þá aðila sem er ætlað að meta hvort öruggur undirskriftarbúnaður sé í samræmi við III. viðauka. Samræmismat skal fara fram tímanlega og með skilvirkum hætti í því skyni að mæta þörfum markaðarins.
16) Tilskipun þessi stuðlar að notkun og lagalegri viðurkenningu rafrænna undirskrifta í bandalaginu. Rammaákvæða er ekki þörf vegna rafrænna undirskrifta sem eru einvörðungu notaðar innan kerfa sem eru grundvölluð á frjálsum samningum, samkvæmt einkamálarétti, milli tilgreinds fjölda þátttakenda. Virða ber frelsi aðila til að semja sín á milli um skilmála og skilyrði sem gildi um gögn, undirrituð með rafrænum hætti, sem þeir samþykkja, að því marki sem landslög leyfa. Viðurkenna ber lagalegt gildi rafrænna undirskrifta sem eru notaðar í slíkum kerfum og lögmæti þeirra við málarekstur.
17) Með þessari tilskipun er ekki stefnt að því að samræma innlendar reglur á sviði samningalaga, einkum um gerð og efndir samninga, eða önnur formsatriði sem lúta ekki að samningum og varða undirskriftir. Af þessum ástæðum skulu ákvæði um réttaráhrif rafrænna undirskrifta vera með fyrirvara um formkröfur, sem mælt er fyrir um í landslögum, með tilliti til samningagerðar eða reglna um það hvar samningsgerð fari fram.
18) Geymsla og afritun undirskriftargagna gæti teflt lögmæti rafrænna undirskrifta í hættu.
19) Rafrænar undirskriftir verða notaðar í opinbera geiranum í innlendri stjórnsýslu og stjórnsýslu bandalagsins og í samskiptum milli þeirra og við borgara og aðila í atvinnurekstri, til dæmis á vettvangi opinberra innkaupa, skattakerfisins, almannatrygginga og heilbrigðis- og réttarkerfisins.
20) Samræming viðmiðana, sem gilda um réttaráhrif rafrænna undirskrifta, mun gera kleift að viðhalda heildstæðum lagaramma hvarvetna innan bandalagsins. Landslög mæla fyrir um ólíkar kröfur um lögmæti eiginhandarundirskrifta. Unnt er að nota skilríki til þess að bera kennsl á einstakling sem undirritar með rafrænum hætti. Með þróuðum rafrænum undirskriftum, sem eru grundvallaðar á viðurkenndum skilríkjum, er stefnt að hærra öryggisstigi. Því aðeins er unnt að líta á þróaðar rafrænar undirskriftir, sem eru grundvallaðar á viðurkenndum skilríkjum og gerðar með öruggum undirskriftarbúnaði, sem jafngildar eiginhandarundirskriftum í lagalegu tilliti ef kröfum um eiginhandarundirskriftir er fullnægt.
21) Tryggja ber, í því skyni að stuðla að því að rafræn sönnun á uppruna hljóti almenna viðurkenningu, að unnt sé að nota rafrænar undirskriftir sem sönnunargögn í málarekstri í öllum aðildarríkjunum. Grundvalla ber viðurkenningu rafrænna undirskrifta í lagalegu tilliti á hlutlægum viðmiðunum, óháð leyfisveitingu til handa viðkomandi vottunaraðila. Landslög skera úr um það á hvaða lagasviðum er heimilt að nota rafræn skjöl og rafrænar undirskriftir. Tilskipun þessi er með fyrirvara um vald innlendra dómstóla til þess að fella úrskurð um hvort kröfum þessarar tilskipunar sé fullnægt og hefur ekki áhrif á innlend ákvæði um óháða umfjöllun dómstóla um sönnunargögn.
22) Innlend ákvæði um ábyrgð gilda um vottunaraðila sem veita almenningi þjónustu sína.
23) Þróun rafrænnar verslunar milli landa krefst ráðstafana sem ná yfir landamæri og til þriðju landa. Í því skyni að tryggja hnattrænt rekstrarsamhæfi gæti reynst hagkvæmt að gera samninga við þriðju lönd um marghliða reglur sem fjalla um gagnkvæma viðurkenningu vottunarþjónustu.
24) Til þess að auka tiltrú notenda á rafrænum samskiptum og rafrænni verslun verða vottunaraðilar að virða löggjöf um upplýsingavernd og friðhelgi einkalífsins.
25) Ákvæði um notkun dulnefna í skilríkjum ættu ekki að hindra aðildarríkin í því að krefjast þess að unnt sé að bera kennsl á einstaklinga samkvæmt bandalagslögum eða landslögum.
26) Samþykkja ber nauðsynlegar ráðstafanir til framkvæmdar þessari tilskipun í samræmi við ákvörðun ráðsins 1999/468/EB frá 28. júní 1999 um verklagsreglur um meðferð framkvæmdavalds sem framkvæmdastjórninni er falið ( 1 ).
27) Tveimur árum eftir að þessi tilskipun kemur til framkvæmda ber framkvæmdastjórninni að endurskoða hana, meðal annars í því skyni að tryggja að hvorki tækniframfarir né breytingar á lagaumhverfi komi í veg fyrir að markmiðum tilskipunarinnar verði náð. Henni ber að kanna áhrif tengdra tæknisviða og senda Evrópuþinginu og ráðinu skýrslu þar að lútandi.
28) Samkvæmt dreifræðisreglunni og meðalhófsreglunni, eins og kemur fram í 5. gr. sáttmálans, eru aðildarríkin ekki nógu vel í stakk búin til þess að ná því takmarki að skapa samræmdan lagaramma um framboð rafrænna undirskrifta og tengdrar þjónustu og því er bandalagið betur til þess fallið að ná því takmarki. Með tilskipun þessari er ekki gengið lengra en nauðsynlegt er til þess að ná fyrrnefndu takmarki.
SAMÞYKKT TILSKIPUN ÞESSA:
1. gr.
Gildissvið
Tilgangurinn með þessari tilskipun er að greiða fyrir notkun rafrænna undirskrifta og stuðla að lagalegri viðurkenningu þeirra. Með tilskipuninni er settur lagarammi um rafrænar undirskriftir og tiltekna vottunarþjónustu í því skyni að tryggja eðlilega starfsemi innri markaðarins.
Tilskipunin fjallar hvorki um þætti sem varða gerð og gildi samninga eða aðrar lagaskyldur, þar sem fram koma kröfur með tilliti til forms sem mælt er fyrir um í landslögum eða lögum bandalagsins, né heldur hefur hún áhrif á reglur og skorður sem eru settar í landslögum eða lögum bandalagsins og stýra notkun skjala.
2. gr.
Skilgreiningar
Í tilskipun þessari er skilgreining eftirfarandi hugtaka sem hér segir:
1. „rafræn undirskrift“: gögn í rafrænu formi sem fylgja eða tengjast öðrum rafrænum gögnum með rökrænum hætti og þjóna þeim tilgangi að staðfesta uppruna;
2. „þróuð rafræn undirskrift“: rafræn undirskrift sem uppfyllir eftirtaldar kröfur:
a) hún tengist undirritanda einum með ótvíræðum hætti;
b) hún segir deili á undirritanda;
c) hún er gerð með þeim hætti sem undirritandinn getur einn haft stjórn á; og
d) hún tengist þeim gögnum sem hún vísar til með þeim hætti að unnt er að greina síðari breytingar á þeim;
3. „undirritandi“: einstaklingur sem ræður yfir undirskriftarbúnaði og kemur fram fyrir eigin hönd eða fyrir hönd annars einstaklings eða lögpersónu eða aðila sem hann er fulltrúi fyrir;
4. „undirskriftargögn“: sérstök gögn, t.d. kóðar eða einkadulkóðunarlyklar, sem undirritandi notar til rafrænnar undirskriftar;
5. „undirskriftarbúnaður“: samskipaður hugbúnaður eða vélbúnaður til þess að gera undirskriftargögnin nothæf;
6. „öruggur undirskriftarbúnaður“: undirskriftarbúnaður sem fullnægir kröfunum sem mælt er fyrir um í III. viðauka;
7. „staðfestingargögn“: gögn, t.d. kóðar eða opinberir dulkóðunarlyklar, sem eru notuð til þess að staðfesta rafræna undirskrift;
8. „staðfestingarbúnaður“: samskipaður hugbúnaður eða vélbúnaður til þess að gera staðfestingargögnin nothæf;
9. „skilríki“: rafræn vottun sem tengir staðfestingargögn einstaklingi og staðfestir hver hann er;
10. „viðurkennd skilríki“: skilríki sem fullnægja kröfunum sem mælt er fyrir um í I. viðauka og látin eru í té af vottunaraðila sem fullnægir kröfunum sem mælt er fyrir um í II. viðauka;
11. „vottunaraðili“: aðili eða lögpersóna eða einstaklingur sem gefur út skilríki eða veitir aðra þjónustu sem tengist rafrænum undirskriftum;
12. „vara til rafrænna undirskrifta“: vél- eða hugbúnaður eða viðeigandi íhlutir hans sem vottunaraðila er ætlað að nota í því skyni að veita þjónustu á sviði rafrænna undirskrifta eða eru ætluð til þess að staðfesta rafrænar undirskriftir;
13. „valfrjáls faggilding“: leyfi sem mælir fyrir um réttindi og skyldur sem varða sérstaklega veitingu vottunarþjónustu og er veitt samkvæmt beiðni viðkomandi vottunaraðila af opinberri stofnun eða einkaaðila, sem er falið að sjá um útfærslu á slíkum réttindum og að slíkar skyldur séu uppfylltar, þegar vottunaraðili hefur ekki heimild til þess að njóta þeirra réttinda sem leiðir af leyfinu fyrr en hann hefur móttekið ákvörðun viðkomandi aðila.
3. gr.
Markaðsaðgangur
1. Aðildarríkin skulu ekki gera það að skilyrði að veiting vottunarþjónustu sé háð fyrirframgefnu leyfi.
2. Aðildarríkjunum er heimilt, með fyrirvara um ákvæði 1. mgr., að samþykkja eða viðhalda skipulagi valfrjálsrar faggildingar sem miðar að bættri vottunarþjónustu. Öll skilyrði í tengslum við slíkar áætlanir skulu vera hlutlæg, gagnsæ, í réttu hlutfalli við tilefnið og án mismununar. Aðildarríkjunum er óheimilt að takmarka fjölda faggiltra vottunaraðila af ástæðum sem falla undir gildissvið þessarar tilskipunar.
3. Hvert og eitt aðildarríki skal ábyrgjast að komið sé á fót viðeigandi kerfi til að unnt sé að hafa eftirlit með vottunaraðilum sem hafa staðfestu á landsvæði þess og gefa út viðurkennd skilríki handa almenningi.
4. Til þess bærar opinberar stofnanir eða einkaaðilar, sem aðildarríkin tilnefna, skulu skera úr um það hvort öruggur undirskriftarbúnaður sé í samræmi við kröfurnar sem mælt er fyrir um í III. viðauka. Framkvæmdastjórninni ber, samkvæmt málsmeðferðinni sem mælt er fyrir um í 9. gr., að samþykkja viðmiðanir sem aðildarríkin fari eftir þegar ákveða skal hvort tilnefna beri tiltekinn aðila.
Öll aðildarríkin skulu viðurkenna ákvarðanir sem stofnanir eða einkaaðilar, sem um getur í fyrstu undirgrein, taka um hvort kröfunum, sem mælt er fyrir um í III. viðauka, sé talið fullnægt.
5. Framkvæmdastjórninni er heimilt, í samræmi við málsmeðferðina sem mælt er fyrir um í 9. gr., að ákveða og birta í Stjórnartíðindum Evrópubandalaganna tilvísunarnúmer staðla sem eru almennt viðurkenndir fyrir vörur til rafrænna undirskrifta. Aðildarríkin skulu ganga út frá því að vörur til rafrænna undirskrifta uppfylli kröfurnar, sem mælt er fyrir um í f-lið II. viðauka og III. viðauka, ef þær eru í samræmi við fyrrnefnda staðla.
6. Aðildarríkin og framkvæmdastjórnin skulu í sameiningu stuðla að þróun og notkun staðfestingarbúnaðar með hliðsjón af tilmælum um örugga staðfestingu undirskrifta, sem mælt er fyrir um í IV. viðauka, og með tilliti til hagsmuna neytenda.
7. Aðildarríkin geta gert notkun rafrænna undirskrifta í opinbera geiranum háða hugsanlegum viðbótarkröfum. Slíkar kröfur skulu vera hlutlægar, gagnsæjar, í réttu hlutfalli við tilefnið og án mismununar og eiga eingöngu við um séreiginleika þeirrar notkunar sem um ræðir. Kröfurnar skulu ekki hindra þjónustustarfsemi yfir landamæri í þágu borgaranna.
4. gr.
Meginreglur um innri markaðinn
1. Hvert og eitt aðildarríki skal beita innlendum ákvæðum, sem það samþykkir samkvæmt þessari tilskipun, gagnvart vottunaraðilum sem hafa staðfestu á landsvæði þess og þeirri þjónustu sem þeir láta í té. Aðildarríkjunum er óheimilt, á þeim sviðum sem þessi tilskipun fjallar um, að takmarka vottunarþjónustu sem á rætur að rekja til annars aðildarríkis.
2. Aðildarríkin skulu tryggja frjálsa dreifingu á innri markaðinum á vörum til rafrænna undirskrifta sem eru í samræmi við þessa tilskipun.
5. gr.
Réttaráhrif rafrænna undirskrifta
1. Aðildarríkin skulu tryggja að þróaðar, rafrænar undirskriftir, sem eru byggðar á viðurkenndum skilríkjum og til verða með öruggum undirskriftarbúnaði:
a) uppfylli lagakröfur um undirskrift í tengslum við rafræn gögn á sama hátt og eiginhandarundirskrift uppfyllir lagakröfur í tengslum við pappírsgögn; og
b) séu viðurkenndar sem sönnunargögn í málarekstri.
2. Aðildarríkin skulu tryggja að því sé ekki hafnað að rafræn undirskrift fái réttaráhrif og sé viðurkennd sem sönnunargagn í málarekstri einungis af þeirri ástæðu að hún er:
— á rafrænu formi, eða
— ekki byggð á viðurkenndum skilríkjum, eða
— ekki byggð á viðurkenndum skilríkjum sem faggiltur vottunaraðili gefur út, eða
— ekki gerð með öruggum undirskriftarbúnaði
6. gr.
Skaðabótaábyrgð
1. Aðildarríkin skulu að minnsta kosti tryggja að samfara því að vottunaraðili gefur út skilríki sem eru ígildi viðurkenndra skilríkja handa almenningi eða ábyrgist slík skilríki gagnvart almenningi sé hann ábyrgur fyrir tjóni aðila, lögpersónu eða einstaklings sem reiðir sig á slík skilríki með eðlilegum hætti að því er varðar:
a) nákvæma meðferð við útgáfu á öllum upplýsingum sem viðurkenndu skilríkin innihalda og að því er varðar að skilríkin innihaldi allar þær upplýsingar sem mælt er fyrir um að viðurkennd skilríki skuli gera;
b) tryggingu fyrir því að við útgáfu skilríkjanna hafi undirritandinn, sem er auðkenndur í viðurkenndu skilríkjunum, haft undir höndum undirskriftargögnin sem svara til staðfestingargagnanna sem koma fram eða eru auðkennd í skilríkjunum;
c) tryggingu fyrir því að unnt sé að nota undirskriftargögnin og staðfestingargögnin til gagnkvæmrar uppfyllingar þegar vottunaraðili annast gerð beggja;
nema vottunaraðili færi sönnur á að hann hafi ekki gert sig sekan um vanrækslu.
2. Aðildarríkin skulu að minnsta kosti tryggja að vottunaraðili, sem hefur gefið út skilríki sem eru ígildi viðurkenndra skilríkja handa almenningi, sé ábyrgur fyrir tjóni aðila, lögpersónu eða einstaklings, sem reiðir sig á skilríkin með eðlilegum hætti, sem rekja má til þess að skráningu á afturköllun skilríkjanna hefur ekki verið sinnt, nema vottunaraðilinn færi sönnur á að hann hafi ekki gert sig sekan um vanrækslu.
3. Aðildarríkin skulu tryggja að vottunaraðila sé heimilt að gefa til kynna í viðurkenndum skilríkjum takmarkanir á notkun þeirra, að því tilskildu að þriðju aðilum séu slíkar takmarkanir ljósar. Vottunaraðili er ekki ábyrgur fyrir tjóni sem leiðir af notkun viðurkenndra skilríkja sem nær út fyrir þær takmarkanir sem hún miðast við.
4. Aðildarríkin skulu tryggja að vottunaraðila sé heimilt að gefa til kynna í viðurkenndum skilríkjum við hvaða mörk viðskiptafjárhæðar notkun skilríkjanna miðast, að því tilskildu að þriðju aðilum séu mörkin ljós.
Vottunaraðili er ekki ábyrgur fyrir tjóni sem leiðir af því að farið sé yfir fyrrnefnt hámark.
5. Ákvæði 1. til 4. mgr. eru með fyrirvara um tilskipun ráðsins 93/13/EBE frá 5. apríl 1993 um óréttmæta skilmála í neytendasamningum ( 1 ).
7. gr.
Alþjóðleg sjónarmið
1. Aðildarríkin skulu tryggja að viðurkennt sé að skilríki, sem vottunaraðili, sem hefur staðfestu í þriðja landi, gefur út sem viðurkennd skilríki handa almenningi, jafngildi skilríkjum sem vottunaraðili, sem hefur staðfestu í bandalaginu, gefur út, ef:
a) viðkomandi vottunaraðili uppfyllir skilyrðin sem mælt er fyrir um í þessari tilskipun og hefur hlotið faggildingu samkvæmt skipulagi valfrjálsrar faggildingar sem hefur verið komið á í aðildarríki; eða
b) vottunaraðili, sem hefur staðfestu í bandalaginu og uppfyllir skilyrðin sem mælt er fyrir um í þessari tilskipun, ábyrgist skilríkin; eða
c) skilríkin eða viðkomandi vottunaraðili er viðurkenndur samkvæmt tvíhliða eða marghliða samningi milli bandalagsins og þriðju landa eða alþjóðastofnana.
2. Framkvæmdastjórnin skal, í því skyni að auðvelda vottunarþjónustu yfir landamæri við þriðju lönd og lagalega viðurkenningu þróaðra, rafrænna undirskrifta sem eru upprunnar í þriðju löndum, leggja fram tillögur, þar sem það á við, til þess að unnt sé að framkvæma á skilvirkan hátt staðla og milliríkjasamninga sem gilda um vottunarþjónustu. Hún skal, einkum og sér í lagi og ef nauðsyn krefur, senda ráðinu tillögur um viðeigandi umboð til viðræðna um tvíhliða og marghliða samninga við þriðju lönd og alþjóðastofnanir. Ráðið tekur ákvörðun með auknum meirihluta.
3. Í hvert sinn sem framkvæmdastjórninni er tilkynnt um vanda bandalagsfyrirtækja í tengslum við markaðsaðgang í þriðju löndum getur hún, ef nauðsyn krefur, sent ráðinu tillögur um viðeigandi umboð til viðræðna um sambærileg réttindi til handa bandalagsfyrirtækjum í viðkomandi þriðju löndum. Ráðið tekur ákvörðun með auknum meirihluta.
Ráðstafanir, sem eru gerðar samkvæmt þessari málsgrein, eru með fyrirvara um skuldbindingar bandalagsins og aðildarríkjanna samkvæmt viðeigandi milliríkjasamningum.
8. gr.
Gagnavernd
1. Aðildarríkin skulu tryggja að vottunaraðilar og innlendir aðilar sem annast faggildingu eða eftirlit uppfylli kröfurnar sem mælt er fyrir um í tilskipun Evrópuþingsins og ráðsins 95/46/EB frá 24. október 1995 um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga ( 1 ).
2. Aðildarríkin skulu tryggja að vottunaraðilar, sem gefa út skilríki handa almenningi, hafi einungis heimild til að verða sér úti um persónuleg gögn beint frá þeim sem gögnin varða eða að fengnu fullu samþykki hans og aðeins að svo miklu leyti sem nauðsynlegt er í því skyni að gefa út skilríkin og viðhalda þeim. Óheimilt er að safna gögnunum eða meðhöndla þau í öðrum tilgangi án fulls samþykkis þess sem gögnin varða.
3. Aðildarríkin skulu ekki, með fyrirvara um réttaráhrif sem dulnefnum eru eignuð samkvæmt landslögum, hindra vottunaraðila í að gefa til kynna í skilríkjunum dulnefni í stað nafns undirritanda.
9. gr.
Nefnd
1. Framkvæmdastjórnin skal njóta aðstoðar nefndar um rafrænar undirskriftir, hér á eftir kölluð „nefndin“.
2. Þegar fjallað er um þessa málsgrein gilda ákvæði 4. og 7. gr. ákvörðunar 1999/468/EB með hliðsjón af ákvæðum 8. gr. sömu ákvörðunar.
Fresturinn, sem mælt er fyrir um í 3. mgr. 4. gr. ákvörðunar 1999/468/EB, skal vera þrír mánuðir.
3. Nefndin setur sér starfsreglur.
10. gr.
Verkefni nefndarinnar
Nefndin skal, í samræmi við málsmeðferðina sem mælt er fyrir um í 2. mgr. 9. gr., skýra kröfurnar sem mælt er fyrir um í viðaukunum við þessa tilskipun, viðmiðanirnar sem um getur í 4. mgr. 3. gr. og almennt viðurkennda staðla fyrir vörur til rafrænna undirskrifta sem eru samþykktir og gefnir út samkvæmt 5. mgr. 3. gr.
11. gr.
Tilkynning
1. Aðildarríkin skulu tilkynna framkvæmdastjórninni og hinum aðildarríkjunum um eftirfarandi:
a) upplýsingar um innlent skipulag valfrjálsrar faggildingar, þar með taldar viðbótarkröfur samkvæmt 7. mgr. 3. gr.;
b) nöfn og heimilisföng innlendra aðila sem annast faggildingu og umsjón og einnig þeirra aðila sem um getur í 4. mgr. 3. gr.;
c) nöfn og heimilisföng allra innlendra vottunaraðila sem hafa öðlast faggildingu.
2. Aðildarríkin skulu, eins fljótt og auðið er, tilkynna um allar upplýsingar sem látnar eru í té samkvæmt 1. mgr. og um breytingar á þeim.
12. gr.
Endurskoðun
1. Framkvæmdastjórnin skal leggja mat á framkvæmd þessarar tilskipunar og gefa Evrópuþinginu og ráðinu skýrslu um það eigi síðar en 19. júlí 2003.
2. Í matinu skal meðal annars fjallað um það hvort breyta beri gildissviði þessarar tilskipunar, að teknu tilliti til þróunar á sviði tæknimála, markaðsmála og réttarfars. Í skýrslunni skal sérstaklega koma fram mat á ýmsum hliðum samræmingar er byggist á fenginni reynslu. Skýrslunni skulu fylgja tillögur að fyrirmælum laga, ef við á.
13. gr.
Framkvæmd
1. Aðildarríkin skulu samþykkja nauðsynleg lög og stjórnsýslufyrirmæli til að fara að tilskipun þessari fyrir 19. júlí 2001. Þau skulu tilkynna það framkvæmdastjórninni þegar í stað.
Þegar aðildarríkin samþykkja þessar ráðstafanir skal vera í þeim tilvísun í þessa tilskipun eða þeim fylgja slík tilvísun þegar þær eru birtar opinberlega. Aðildarríkin skulu setja nánari reglur um slíka tilvísun.
2. Aðildarríkin skulu senda framkvæmdastjórninni helstu ákvæði úr landslögum sem þau samþykkja um málefni sem tilskipun þessi nær til.
14. gr.
Gildistaka
Tilskipun þessi öðlast gildi á þeim degi sem hún birtist í Stjórnartíðindum Evrópubandalaganna.
15. gr.
Viðtakendur
Tilskipun þessari er beint til aðildarríkjanna.
Gjört í Brussel 13. desember 1999.
Fyrir hönd Evrópuþingsins, Fyrir hönd ráðsins,
N. FONTAINE S. HASSI
forseti. forseti.
I. VIÐAUKI
Kröfur viðvíkjandi viðurkenndum skilríkjum
Viðurkennd skilríki skulu innihalda:
a) ábendingu þess efnis að skilríkin séu útgefin sem viðurkennd skilríki;
b) deili á vottunaraðila og ríkinu þar sem hann hefur staðfestu;
c) nafn undirritanda eða dulnefni sem skal vera auðkennt sem slíkt;
d) sérstakar upplýsingar um undirritandann sem komi fram ef við á, eftir því í hvaða tilgangi nota á skilríkin;
e) þau staðfestingargögn sem svara til þeirra undirskriftargagna sem undirritandinn ræður yfir;
f) upplýsingar um upphaf og lok gildistíma skilríkjanna;
g) kennikóða skilríkjanna;
h) þróaða, rafræna undirskrift vottunaraðilans sem gefur þau út;
i) takmarkanir á notkunarsviði skilríkjanna, ef við á; og
j) mörk þeirrar viðskiptafjárhæðar sem notkun skilríkjanna miðast við, ef við á.
II. VIÐAUKI
Kröfur viðvíkjandi vottunaraðilum sem gefa út viðurkennd skilríki
Vottunaraðilar skulu:
a) sýna fram á nauðsynlegan trúverðugleika til þess að láta í té vottunarþjónustu;
b) sjá til þess að veitt sé hraðvirk og örugg skráar- og afturköllunarþjónusta;
c) tryggja að unnt sé að sjá nákvæmlega hvaða dag og hvenær dags skilríki eru gefin út eða afturkölluð;
d) staðfesta, með viðeigandi hætti og í samræmi við landslög, deili á og sérstök einkenni, ef við á, þess einstaklings sem viðurkenndu skilríkin eru gefin út fyrir;
e) ráða starfsmenn með sérþekkingu, reynslu og menntun og hæfi sem eru nauðsynleg vegna þeirrar þjónustu sem er veitt, einkum stjórnunarhæfni, sérþekkingu í tækni á sviði rafrænna undirskrifta og þekkingu á viðeigandi starfsháttum á sviði öryggismála; þeir skulu einnig viðhafa rétt stjórnsýslu- og stjórnunarvinnubrögð sem eru í samræmi við viðurkennda staðla;
f) nota örugg kerfi og vörur sem ekki er unnt að breyta og tryggja tæknilegt öryggi og öryggi dulkóðunar að því er varðar það ferli sem er byggt á þeim;
g) gera ráðstafanir til að koma í veg fyrir fölsun skilríkja og þegar vottunaraðilinn er höfundur undirskriftargagna, ábyrgjast að trúnaður sé virtur meðan slík gögn eru í vinnslu;
h) ráða að staðaldri yfir nægilegu fjármagni til þess að geta haldið starfseminni gangandi í samræmi við kröfurnar sem mælt er fyrir um í þessari tilskipun, einkum að geta risið undir áhættu samfara skaðabótaábyrgð, til dæmis með því að útvega sér viðeigandi tryggingu;
i) skrá allar upplýsingar, sem skipta máli um viðurkennd skilríki, í hæfilega langan tíma, einkum til þess að vera fær um að leggja fram sönnunargögn um vottun í málarekstri. Heimilt er að slík skráning fari fram með rafrænum hætti;
j) ekki geyma eða afrita undirskriftargögn þess einstaklings sem vottunaraðilinn veitti lykilþjónustu á sviði umsýslu;
k) áður en þeir gera samning við einstakling, sem sækist eftir að fá skilríki til að renna stoðum undir rafræna undirskrift sína, upplýsa viðkomandi einstakling, gegnum haldgóðan samskiptamiðil, um nákvæma skilmála og skilyrði sem gilda um notkun skilríkjanna, meðal annars um notkunartakmarkanir þeirra, tilvist skipulags valfrjálsrar faggildingar og um meðferð kærumála og lausn deilumála. Þessar upplýsingar, sem heimilt er að senda með rafrænum hætti, skulu vera skriflegar og á auðskiljanlegu máli. Viðeigandi hlutar þessara upplýsinga skulu einnig, samkvæmt beiðni, vera aðgengilegir þriðju aðilum sem reiða sig á skilríkin;
l) nota örugg kerfi til þess að geyma skilríki í staðfestanlegu formi til þess að: — aðeins einstaklingar, sem til þess hafa heimild, geti framkvæmt færslur og gert breytingar, — unnt sé að ganga úr skugga um uppruna upplýsinga, — skilríki séu aðeins aðgengileg almenningi að fengnu samþykki handhafa skilríkja, og — sérhver tæknibreyting, sem er ógnar þessum öryggiskröfum, sé rekstraraðilanum augljós.
III. VIÐAUKI
Kröfur viðvíkjandi öruggum undirskriftarbúnaði
1. Öruggur undirskriftarbúnaður skal, með viðeigandi tæknilegum aðferðum og verklagsreglum, tryggja, að minnsta kosti:
a) að undirskriftargögnin, sem eru notuð við gerð undirskriftar, geti í raun aðeins komið fram einu sinni og að leynd þeirra sé tryggð á eðlilegan hátt;
b) að öruggt sé, eins og eðlilegt má teljast, að ekki sé hægt að rekja undirskriftargögnin sem eru notuð við gerð undirskriftar og að nýjasta tækni komi í veg fyrir að unnt sé að falsa undirskriftina;
c) að réttur undirritandi geti tryggilega verndað undirskriftargögnin, sem eru notuð við undirskrift, þannig að aðrir geti ekki notað þau.
2. Undirskriftargögnin mega ekki breyta gögnunum sem undirrita á eða hindra að slík gögn séu kynnt undirritandanum áður en til undirskriftar kemur.
IV. VIÐAUKI
Tillögur um örugga staðfestingu undirskrifta
Um leið og staðfesting undirskrifta fer fram skal tryggja með eins miklu öryggi og frekast má:
a) að gögnin, sem eru notuð til að staðfesta undirskriftina, svari til gagnanna sem þeim sem annast staðfestinguna eru sýnd;
b) að undirskriftin sé tryggilega staðfest og niðurstöður þeirrar staðfestingar séu sýndar með réttum hætti;
c) að sá sem annast staðfestinguna geti, eftir því sem nauðsyn krefur, staðfest með öruggum hætti innihald gagnanna sem hafa verið undirrituð;
d) að áreiðanleiki og lögmæti skilríkjanna, sem eru nauðsynleg þegar staðfesting undirskriftar fer fram, séu staðfest með öruggum hætti;
e) að niðurstöður staðfestingar og deili á undirritandanum séu sýnd með réttum hætti;
f) að notkun dulnefnis komi skýrt fram; og
g) að unnt sé að koma auga á allar breytingar sem varða öryggi.
Fylgiskjal II.
Fjármálaráðuneyti,
fjárlagaskrifstofa:
Umsögn um frumvarp til laga um rafrænar undirskriftir.
Verði frumvarpið óbreytt að lögum er gert ráð fyrir að árlegur kostnaður við eftirlitsstarf Löggildingarstofu verði um 8 m.kr. Stofnunin innheimtir gjald af vottunaraðilum fyrir hvert fullgilt vottorð sem gefið er út. Þó skal vottunaraðili aldrei greiða lægra eftirlitsgjald en 1.000.000,- á ári. Ganga þessar tekjur á móti kostnaði og er gert ráð fyrir að tekjur standi alfarið undir útgjöldum eftir nokkur ár. Ljóst er að kaupa verður sértækan hug- og vélbúnað til að sinna eftirlitsstarfseminni. Einnig fellur nokkur kostnaður til vegna erlendra samskipta þar sem rafrænar undirskriftir munu öðlast alþjóðlega viðurkenningu. Loks er ljóst að slíkt eftirlitsstarf er tæknilega mjög flókið og krefst mikillar þjálfunar og þekkingar eftirlitsaðila.
- Neðanmálsgrein: 1
- (1) Stjtíð. EB C 325, 23.10.1998, bls. 5.
- Neðanmálsgrein: 2
- (2) Stjtíð. EB C 40, 15.2.1999, bls. 29.
- Neðanmálsgrein: 3
- (3) Stjtíð. EB C 93, 6.4.1999, bls. 33.
- Neðanmálsgrein: 4
- (4) Álit Evrópuþingsins frá 13. janúar 1999 (Stjtíð. EB C 104, 14.4.1999, bls. 49), sameiginleg afstaða ráðsins frá 28. júní 1999 (Stjtíð.EB C 243, 27.8.1999, bls. 33) og ákvörðun Evrópuþingsins frá 27. október 1999 (hefur enn ekki verið birt í Stjórnartíðindum EB). Ákvörðun ráðsins frá 30. nóvember 1999.
- Neðanmálsgrein: 5
- (5) Stjtíð. EB L 367, 31.12.1994, bls. 1. Reglugerðinni var breytt með reglugerð (EB) nr. 837/95 (Stjtíð. EB L 90, 21.4.1995, bls. 1).
- Neðanmálsgrein: 6
- (6) Stjtíð. EB L 367, 31.12.1994, bls. 8. Reglugerðinni var síðast breytt með ákvörðun 99/193/CFSP (Stjtíð. EB L 73, 19.3.1999, bls. 1).
- Neðanmálsgrein: 7
- (1) Stjtíð. EB L 184, 17.7.1999, bls. 23.
- Neðanmálsgrein: 8
- (1) Stjtíð. EB L 95, 21.4.1993, bls. 29.
- Neðanmálsgrein: 9
- (1) Stjtíð. EB L 281, 23.11.1995, bls. 31.
