Aðrar útgáfur af skjalinu: PDF Word Perfect.

Þingskjal 1150, 126. löggjafarþing 524. mál: rafrænar undirskriftir.
Lög nr. 28 7. maí 2001.

Lög um rafrænar undirskriftir.


I. KAFLI
Markmið og gildissvið.

1. gr.

Markmið.
     Markmið laga þessara er að kveða á um réttaráhrif rafrænna undirskrifta og stuðla að öruggri og árangursríkri notkun þeirra með því að mæla fyrir um kröfur til fullgildra rafrænna undirskrifta, fullgildra vottorða og starfsemi vottunaraðila sem gefa út slík vottorð.

2. gr.

Gildissvið.
     Lög þessi gilda um rafrænar undirskriftir og starfsemi vottunaraðila með staðfestu á Íslandi.
     Viðskiptaráðherra fer með yfirstjórn mála samkvæmt lögum þessum.

II. KAFLI
Skilgreiningar, réttaráhrif og vernd persónuupplýsinga.

3. gr.

Orðskýringar.
     Í lögum þessum merkir:
  1. Rafræn undirskrift: Gögn í rafrænu formi sem fylgja eða tengjast rökrænt öðrum rafrænum gögnum og eru notuð til að sannprófa frá hverjum hin síðarnefndu gögn stafa.
  2. Útfærð rafræn undirskrift: Rafræn undirskrift sem:
    1. tengist undirritanda einum,
    2. er til þess fallin að bera kennsl á undirritanda,
    3. er gerð með aðferð sem er eingöngu á forræði undirritanda og
    4. er tengd gögnum á þann hátt að hvers konar breyting á þeim eftir undirritun er greinileg.
  3. Fullgild rafræn undirskrift: Útfærð rafræn undirskrift sem er studd fullgildu vottorði og gerð með öruggum undirskriftarbúnaði.
  4. Undirritandi: Sá sem hefur forræði yfir undirskriftarbúnaði og kemur fram fyrir eigin hönd eða fyrir hönd annars einstaklings eða lögpersónu.
  5. Undirskriftargögn: Einstök gögn, svo sem kótar eða einkalykill dulritunar, sem undirritandi notar til að mynda rafræna undirskrift.
  6. Undirskriftarbúnaður: Hugbúnaður eða vélbúnaður sem notaður er til að mynda rafræna undirskrift með hjálp undirskriftargagna.
  7. Öruggur undirskriftarbúnaður: Undirskriftarbúnaður sem fullnægir skilyrðum sem kveðið er á um í 8. og 9. gr. laga þessara.
  8. Sannprófunargögn: Gögn, svo sem kótar eða dreifilykill dulritunar, sem notuð eru til að sannreyna rafræna undirskrift.
  9. Sannprófunarbúnaður: Hugbúnaður eða vélbúnaður sem notaður er til að sannreyna rafræna undirskrift með hjálp sannprófunargagna.
  10. Vottorð: Vottorð á rafrænu formi sem tengir sannprófunargögn við undirritanda og staðfestir hver hann er.
  11. Fullgilt vottorð: Vottorð sem hefur að geyma upplýsingar sem kveðið er á um í 7. gr. og er gefið út af vottunaraðila sem fullnægir skilyrðum V. kafla laga þessara.
  12. Vottunaraðili: Aðili sem gefur út vottorð eða veitir aðra þjónustu í tengslum við rafrænar undirskriftir.


4. gr.

Réttaráhrif rafrænna undirskrifta.
     Ef undirskrift er skilyrði réttaráhrifa samkvæmt lögum, stjórnvaldsfyrirmælum eða af öðrum orsökum fullnægir fullgild rafræn undirskrift ætíð slíku skilyrði.
     Ákvæði 1. mgr. er því ekki til fyrirstöðu að aðrar rafrænar undirskriftir en þar greinir geti uppfyllt skilyrði um undirskrift samkvæmt lögum, stjórnvaldsfyrirmælum eða af öðrum orsökum.

5. gr.

Vernd persónuupplýsinga.
     Vottunaraðila sem gefur út vottorð til almennings er eingöngu heimilt að safna persónuupplýsingum beint frá þeim sem upplýsingarnar varða eða með ótvíræðu samþykki hans. Aðeins má safna upplýsingunum eða nota þær í þeim mæli sem nauðsynlegt er til útgáfu eða viðhalds á vottorði nema til komi ótvírætt samþykki þess sem upplýsingarnar varða.
     Um meðferð vottunaraðila á persónuupplýsingum og eftirlit með henni fer samkvæmt lögum um persónuvernd og meðferð persónuupplýsinga. Vottunaraðilar eru tilkynningarskyldir samkvæmt þeim lögum.

III. KAFLI
Fullgild vottorð.

6. gr.

Fullgilt vottorð.
     Ekki má nota heitið „fullgilt vottorð“ eða önnur heiti sem gefa til kynna að um fullgilt vottorð sé að ræða nema vottorð uppfylli ákvæði 7. gr. og sé gefið út af vottunaraðila sem uppfyllir ákvæði V. kafla laga þessara.

7. gr.

Innihald fullgilds vottorðs.
     Fullgilt vottorð skal hafa að geyma eftirfarandi upplýsingar og gögn:
  1. Vísbendingu um að vottorðið sé gefið út sem fullgilt vottorð.
  2. Upplýsingar um deili á vottunaraðila og hvar hann hefur staðfestu.
  3. Nafn undirritanda eða dulnefni. Noti undirritandi dulnefni skal koma skýrt fram að um dulnefni sé að ræða.
  4. Frekari upplýsingar um undirritanda ef þær eru nauðsynlegar vegna tilgangs vottorðsins.
  5. Sannprófunargögn sem svara til þeirra undirskriftargagna sem undirritandi hefur forræði yfir.
  6. Upphaf og lok gildistíma vottorðsins.
  7. Auðkenniskóta vottorðsins.
  8. Útfærða rafræna undirskrift vottunaraðilans sem gefur vottorðið út.
  9. Upplýsingar um takmarkanir á gildissviði og á fjárhæð viðskipta sem unnt er að nota vottorðið til, séu slíkar takmarkanir fyrir hendi.

     Ráðherra getur sett nánari fyrirmæli um þær upplýsingar sem fullgild vottorð skulu hafa að geyma í reglugerð.

IV. KAFLI
Öruggur undirskriftarbúnaður.

8. gr.

Kröfur.
     Öruggur undirskriftarbúnaður skal tryggja að undirskriftargögnin:
  1. geti eingöngu komið einu sinni fram,
  2. verði með hliðsjón af eðlilegum öryggiskröfum ekki brotin upp og
  3. séu varin með fullnægjandi hætti gegn notkun annarra en undirritanda.

     Öruggur undirskriftarbúnaður skal einnig tryggja leynd undirskriftargagnanna með fullnægjandi hætti og að rafræn undirskrift sé varin gegn fölsun.
     Ekki skal vera unnt að nota öruggan undirskriftarbúnað til að breyta þeim gögnum sem undirrita á eða hindra að undirritandi geti séð gögnin fyrir undirritun.

9. gr.

Viðurkenning.
     Kröfum til undirskriftarbúnaðar skv. 8. gr. skal teljast fullnægt þegar:
  1. þar til bær aðili hefur staðfest að hann uppfylli kröfur 8. gr.; viðskiptaráðherra getur í reglugerð kveðið á um þá aðila sem veitt geta slíka staðfestingu, eða
  2. þar til bær aðili á Evrópska efnahagssvæðinu hefur viðurkennt hann.

     Líta skal svo á að undirskriftarbúnaður teljist öruggur skv. 8. gr. ef hann er í samræmi við staðla sem framkvæmdastjórn Evrópusambandsins hefur sett um slíkan búnað og birtir hafa verið í Stjórnartíðindum Evrópubandalagsins.

V. KAFLI
Kröfur til vottunaraðila sem gefa út fullgild vottorð.

10. gr.

Kröfur til starfseminnar.
     Vottunaraðili sem gefur út fullgild vottorð skal í starfsemi sinni fullnægja þeim kröfum sem nauðsynlegar eru til að tryggja örugga og áreiðanlega útgáfu vottorða.
     Vottunaraðili skal í þessu skyni:
  1. viðhafa vandaðar stjórnunar- og starfsaðferðir,
  2. hafa starfsfólk sem býr yfir þeirri sérfræðiþekkingu, reynslu og hæfni sem nauðsynleg er fyrir starfsemina og
  3. hafa nægjanlegt fjármagn til að stunda starfsemina með hliðsjón af þeim kröfum sem gerðar eru í lögum þessum.


11. gr.

Kerfi og búnaður.
     Vottunaraðili skal í starfsemi sinni nota áreiðanleg kerfi og búnað sem eru varin gegn breytingum og tryggja öryggi dulritunar og tæknilegt öryggi.
     Ákvæðum 1. mgr. telst fullnægt ef vottunaraðilinn notar kerfi og búnað sem viðurkennd eru skv. 9. gr.
     Vottunaraðilinn skal grípa til aðgerða til að hindra möguleika á fölsun vottorða. Í þeim tilvikum sem vottunaraðilinn býr til undirskriftargögn skal hann tryggja leynd við framleiðsluna.

12. gr.

Skráningar- og afturköllunarþjónusta.
     Vottunaraðili sem gefur út fullgild vottorð skal koma á fót og starfrækja hraðvirkt og öruggt kerfi fyrir skráningu og afturköllun á vottorðum. Þá skal hann tryggja að unnt sé að sjá nákvæmlega hvenær vottorð tók gildi og hvenær það var afturkallað. Upplýsingar um takmarkanir á gildi vottorða skulu einnig liggja fyrir, sbr. 9. tölul. 1. mgr. 7. gr.

13. gr.

Kennsl borin á undirritanda.
     Vottunaraðili sem gefur út fullgild vottorð skal sannreyna með viðeigandi hætti deili á undirritanda og aðrar frekari upplýsingar um hann.
     Upplýsingar um aðferðir þær sem notaðar eru skv. 1. mgr. skulu aðgengilegar almenningi.

14. gr.

Geymsla upplýsinga.
     Vottunaraðili sem gefur út fullgild vottorð skal geyma allar viðeigandi upplýsingar um vottorðið í hæfilega langan tíma.
     Vottunaraðilinn skal nota áreiðanleg kerfi við geymslu á vottorðum þannig að:
  1. enginn geti gert breytingar eða viðbætur á vottorðum nema þeir sem til þess hafa sérstaka heimild,
  2. unnt sé að athuga hvort upplýsingar eru réttar,
  3. vottorð sé eingöngu aðgengilegt almenningi ef undirritandi hefur samþykkt það sérstaklega og
  4. hugsanlegar tæknilegar breytingar, sem geta stefnt öryggiskröfum í hættu, séu sýnilegar þeim sem starfrækja kerfið.

     Vottorðin skulu geymd þannig að unnt sé að sannprófa þau.
     Vottunaraðilanum er ekki heimilt að geyma eða afrita undirskriftargögn undirritanda.

15. gr.

Upplýsingar um skilmála, takmarkanir o.fl.
     Áður en vottunaraðili gerir samning um útgáfu fullgilds vottorðs skal hann upplýsa undirritanda skriflega og með varanlegum hætti um:
  1. skilmála og takmarkanir á notkun vottorðsins,
  2. valfrjáls faggildingarkerfi sem starfrækt eru og
  3. meðferð kvartana og úrlausn deilumála.

     Upplýsingar skv. 1. mgr. má senda rafrænt, enda séu þær á læsilegu formi og á auðskiljanlegu máli. Þessar upplýsingar skulu, eftir því sem við á, vera aðgengilegar þriðja aðila sem treystir á vottorð og óskar eftir þeim.

16. gr.

Nánari reglur.
     Viðskiptaráðherra er heimilt að setja nánari fyrirmæli í reglugerð um kröfur til vottunaraðila sem gefa út fullgild vottorð skv. V. kafla laga þessara.

VI. KAFLI
Skaðabótaábyrgð.

17. gr.

     Vottunaraðili sem gefur út fullgilt vottorð til almennings eða ábyrgist gagnvart almenningi slíkt vottorð útgefið af öðrum er bótaskyldur vegna tjóns þess sem treystir á vottorð með eðlilegum hætti, að því er varðar:
  1. að upplýsingar í vottorði hafi verið réttar þegar það var gefið út,
  2. að vottorð hafi að geyma allar þær upplýsingar sem kveðið er á um í 7. gr.,
  3. að undirritandi hafi við útgáfu vottorðs haft undir höndum undirskriftargögn sem svara til þeirra sannprófunargagna sem koma fram í vottorði,
  4. að tiltekin undirskriftargögn svari eingöngu til tiltekinna sannprófunargagna og að tiltekin sannprófunargögn svari eingöngu til tiltekinna undirskriftargagna þegar vottunaraðili býr bæði gögnin til eða
  5. að vottorð sé réttilega skráð í afturköllunarlista skv. 12. gr.

     Vottunaraðili er ekki skaðabótaskyldur skv. 1. mgr. ef hann sannar að tjón verði ekki rakið til sakar hans.
     Ef notkun vottorðs er andstæð takmörkunum á gildissviði þess eða á fjárhæð viðskipta og mögulegt er að kynna sér slíkar takmarkanir er vottunaraðili ekki skaðabótaskyldur vegna þess tjóns sem stafar af slíkri notkun.

VII. KAFLI
Eftirlit með vottunaraðilum sem gefa út fullgild vottorð.

18. gr.

Eftirlit.
     Löggildingarstofa skal hafa eftirlit með því að starfsemi vottunaraðila sem gefa út fullgild vottorð sé í samræmi við ákvæði laga þessara og reglna settra á grundvelli þeirra, sbr. þó 2. mgr. 5. gr.
     Löggildingarstofa getur bannað starfsemi og aðstæður sem stríða gegn ákvæðum laga þessara og reglna settra á grundvelli þeirra. Þá er heimilt að setja skilyrði fyrir áframhaldandi starfsemi og veita fresti til að fullnægja slíkum skilyrðum.
     Löggildingarstofa getur krafist þess að fram fari endurskoðun á kerfi, búnaði og starfsskipulagi vottunaraðila sem gefa út fullgild vottorð (endurskoðun upplýsingatækni). Löggildingarstofa getur tilnefnt þá aðila sem hafa heimild til að annast slíka endurskoðun. Vottunaraðili skal bera kostnað af slíkri endurskoðun.
     Löggildingarstofa getur svipt vottunaraðila heimild til að kalla vottorð sem hann gefur út „fullgild vottorð“ ef hann hefur gróflega eða ítrekað brotið gegn ákvæðum laga þessara eða reglum settum á grundvelli þeirra.
     Ráðherra getur sett nánari fyrirmæli um tilhögun eftirlits í reglugerð.

19. gr.

Skráning og eftirlitsgjald.
     Vottunaraðili sem hyggst gefa út fullgild vottorð skal senda tilkynningu um starfsemi sína til Löggildingarstofu. Eftir að slík tilkynning hefur verið send getur vottunaraðili gefið út fullgild vottorð. Í tilkynningunni skulu koma fram þær upplýsingar sem nauðsynlegar eru til að sýna fram á að vottunaraðili fullnægi skilyrðum laga þessara í starfsemi sinni, m.a. upplýsingar um starfsemi, skipulag, kerfi og búnað. Breytingar og nýjar upplýsingar skulu sendar án tafar til eftirlitsaðila.
     Vottunaraðili sem gefur út fullgild vottorð skal greiða gjald að fjárhæð 1.000.000 kr. á ári til að standa straum af kostnaði eftirlits samkvæmt lögum þessum. Ef vottunaraðili byrjar eða hættir starfsemi á gjaldárinu skal árgjaldið ákvarðað í réttu hlutfalli við þann tíma sem starfrækslan varaði á árinu. Eftirlitsgjaldið skal renna beint til Löggildingarstofu og vera innheimt af henni. Aðför má gera til fullnustu kröfum um eftirlitsgjald án undangengins dóms, úrskurðar eða sáttar.
     Gjalddagi eftirlitsgjalds er 1. febrúar ár hvert vegna síðasta almanaksárs.
     Ráðherra getur sett nánari fyrirmæli um tilhögun skráningar, tilkynningar og upplýsingagjöf í reglugerð.

20. gr.

Athugun, aðgangur og þagnarskylda.
     Afhenda skal Löggildingarstofu allar þær upplýsingar og skýringar sem henni eru nauðsynlegar vegna eftirlitsins. Er Löggildingarstofu heimilt að setja fresti til afhendingar upplýsinga eða skýringa. Einnig getur Löggildingarstofa kvatt vottunaraðila og þá sem starfa á þeirra vegum á sinn fund til að veita upplýsingar og skýringar varðandi útgáfu á vottorðum eða aðra þjónustu í tengslum við rafrænar undirskriftir.
     Löggildingarstofu er án dómsúrskurðar heimill aðgangur í eftirlitsstörfum sínum að starfsstöð vottunaraðila eða öðrum þeim stöðum þar sem starfsemi sem fellur undir eftirlit laga þessara fer fram. Hún getur þar framkvæmt þær eftirlitsaðgerðir sem hún telur nauðsynlegar og krafist þess að starfsmenn á þeim stöðum veiti nauðsynlega aðstoð. Löggildingarstofa getur óskað liðveislu lögreglu ef tilraun er gerð til að hindra hana í eftirlitsstörfum sínum.
     Réttur Löggildingarstofu til þess að krefjast upplýsinga eða aðgangs að starfsstöðinni og tækjabúnaði verður ekki takmarkaður með vísan til reglna um þagnarskyldu.
     Starfsmenn Löggildingarstofu eru bundnir þagnarskyldu. Þeir mega ekki að viðlagðri ábyrgð skýra óviðkomandi frá því er þeir komast að í starfi sínu og leynt á að fara um viðskipti og rekstur vottunaraðila, tengdra aðila eða annarra. Sama gildir um sérfræðinga sem starfa fyrir Löggildingarstofu að eftirlitsstarfi samkvæmt lögum þessum. Þagnarskyldan helst þótt látið sé af starfi.

21. gr.

Dagsektir.
     Löggildingarstofa getur lagt dagsektir á vottunaraðila að liðnum tilteknum fresti veiti hann ekki umbeðnar upplýsingar, fari ekki eftir kröfum hennar um úrbætur eða sinni ekki kröfum eftirlitsins að öðru leyti.
     Fjárhæð dagsekta skal ákvörðuð með hliðsjón af umfangi rekstrar vottunaraðila og eðli brotsins. Dagsektir geta numið frá 10.000 kr. til 1 millj. kr. á dag. Þær greiðast þar til farið hefur verið eftir kröfum Löggildingarstofu. Óinnheimtar dagsektir falla ekki niður þrátt fyrir að orðið sé við kröfum Löggildingarstofu nema Löggildingarstofa ákveði það sérstaklega.
     Dagsektir eru aðfararhæfar og renna í ríkissjóð að frádregnum kostnaði við innheimtuna. Ákvörðun Löggildingarstofu um dagsektir verður ekki kærð til ráðherra.

VIII. KAFLI
Ýmis ákvæði.

22. gr.

Vottunaraðilar sem hafa staðfestu utan Íslands.
     Vottorð, gefin út af vottunaraðilum sem hafa staðfestu utan Íslands, skulu teljast fullgild vottorð í skilningi laga þessara ef:
  1. vottunaraðilinn fullnægir ákvæðum laga þessara og hefur verið viðurkenndur af valfrjálsu faggildingarkerfi á Evrópska efnahagssvæðinu,
  2. vottunaraðili, sem hefur staðfestu á Evrópska efnahagssvæðinu og uppfyllir ákvæði laga þessara, ábyrgist vottorðið,
  3. vottorðið stafar frá vottunaraðila sem hefur staðfestu í landi á Evrópska efnahagssvæðinu og uppfyllir kröfur þess lands til fullgildra vottorða eða
  4. vottorðið eða vottunaraðilinn er viðurkenndur af Íslandi, Evrópubandalaginu, ríkjum utan Evrópubandalagsins eða alþjóðlegum stofnunum, í tvíhliða eða marghliða samningum.


23. gr.

Viðurlög.
     Fyrir brot gegn lögum þessum skal refsað með sektum nema þyngri refsing liggi við samkvæmt öðrum lögum.
     Dæma má lögaðila jafnt sem einstaklinga til greiðslu sekta vegna brota á lögum þessum. Um refsiábyrgð lögaðila fer skv. II. kafla A almennra hegningarlaga.

24. gr.

Gildistaka.
     Lög þessi öðlast þegar gildi. Þau eru sett með hliðsjón af ákvörðun sameiginlegu EES-nefndarinnar nr. 66/2000, um breytingu á XI. viðauka (Fjarskiptaþjónusta) við EES-samninginn frá 2. maí 1992, og til þess að taka upp í innlendan rétt ákvæði tilskipunar Evrópuþingsins og ráðsins 1999/93/EB frá 13. desember 1999, um ramma bandalagsins varðandi rafrænar undirskriftir.

Ákvæði til bráðabirgða.
     Endurskoða skal ákvæði VII. kafla laga þessara þegar tvö ár eru liðin frá gildistöku þeirra með hliðsjón af reynslu af eftirlitinu og umfangi þess. Sérstaklega skal þá skoðað hvort rök séu til að endurskoða ákvæði um eftirlitsgjald.

Samþykkt á Alþingi 27. apríl 2001.