Statusnotat om en fælles ramme for elektroniske signaturer
Modtaget via elektronisk post. Der tages forbehold for evt. fejl
Europaudvalget (2. samling)
(Alm. del - bilag 637)
forskningsministerråd
(Offentligt)
_____________________________________________
FKU, Alm. del - bilag 166
Medlemmerne af Folketingets Europaudvalg og deres stedfortrædere Bilag Journalnummer Kontor
1 400.C.2-0 N.1
10. september 1998
Til underretning for Folketingets Europaudvalg fremsendes vedlagt Forskningsministeriets statusnotat vedrørende Kommissionens forslag til Europa-Parlamentets og Rådets direktiv om en fælles ramme for elektroniske signaturer. (KOM (98) 297).
Statusnotat til Folketingets Europaudvalg om Forskningsministerie Kommissionens forslag til Europa-Parlamentets og t Rådets direktiv om en fælles ramme for elektroniske signaturer (Kom(98)297) 9. september 1998
Kontoret for IT og
Teleregulering
FSKT0041
J.nr. TPK3161-9701484
1. Baggrund
Baggrunden for direktivforslaget er, at Kommissionen er af den opfattelse, at det er en forudsætning for en acceleration af elektronisk handel, at der etableres betryggende rammer for, at man kan foretage juridisk bindende dispositioner viå åbne net, som for eksempel Internet, uden først at skulle aftale med modtageren, hvordan man gør. Brug af elektronisk kommunikation til bindende juridiske dispositioner forudsætter, at der kan kommunikeres med sikkerhed for såvel afsenders som modtagers identitet og for, at indholdet ikke er blevet ændret.
Kommissionen søger med direktivforslaget at skabe sådanne betryggende rammer inden for EU ved at fastsætte rammerne for anvendelse af elektroniske signaturer i medlemsstaterne. Elektronisk kommunikation i lukkede systemer er ikke omfattet af harmoniseringen.
2. Indhold
Forslaget er baseret på Traktatens artikel 57, artikel 66 og artikel 100 A. Forslaget er fremsat i henhold til fremgangsmåden i Traktatens artikel 189 B.
Ifølge forslaget er direktivets anvendelsesområde elektroniske signaturer. Kommissionen lægger således vægt på, at direktivet ikke alene skal omfatte digital signaturer, men også skal omfatte fremtidige teknikker, der opfylder samme formål som public key-krypteringsteknikken, hvorved også andre former for digital identifikation kan rummes af forslaget. Begreberne "elektronisk signatur", "digital signatur", og "public key-kryptering" er forklaret i fodnoterne 1-3.
Direktivforslaget fastlægger fælles krav for certificeringstjenesteudbydere og autoriserede certifikater.
Certificeringstjenesteudbydere er ifølge forslaget en person eller et organ, der udsteder certifikater eller leverer andre tjenesteydelser i forbindelse med elektronisk signatur til offentligheden.
Forslaget angiver en række grundlæggende krav til sådanne udbydere, herunder at de skal udvise den fornødne pålidelighed samt have tilstrækkelige økonomiske ressourcer til at udbyde certificeringstjenester, og at de skal besidde den nødvendige ekspertise og erfaring.
Herudover skal udbyderne benytte pålideligt programmel og udstyr, sikre logning af relevant materiale, samt sikre forbrugerne information vedrørende vilkår for anvendelsen af certifikatet, eventuelle begrænsninger i hæftelse, procedurer etc.
Et autoriseret certifikat er ifølge forslaget en digital attestering, som knytter et signaturkontrolsystem til en person, bekræfter denne persons identitet og opfylder kravene til autoriserede certifikater i bilag I.
Forslaget fastlægger, hvilke oplysninger der skal fremgå af certifikatet, herunder identifikation af nøgleindehaver, den offentlige nøgle, start- og udløbsdato for certifikatet, anvendelses- og beløbsmæssige begrænsninger m.v.
Kommissionen kan efter at have konsulteret en rådgivende komité nedsat i henhold til direktivet fastlægge generelle standarder for det udstyr til elektronisk signatur, der anvendes af certificeringstjenesteudbydere. Medlemsstaterne skal acceptere systemer, der opfylder disse standarder, som sikre. Der sker ingen harmonisering af brugerudstyr.
Forslaget indeholder to "ligestillingsprincipper" for elektroniske signaturer, der overholder minimumskravene som anført ovenfor:
For det første indeholder forslaget et forbud mod på nogle angivne områder at diskriminere dokumenter, der er underskrevet med elektronisk signatur.
For det andet foreskriver forslaget, at elektroniske signaturer skal kunne bruges som bevismateriale i retssager på samme måde som håndskrevne signaturer.
Det er ikke ganske klart, hvordan disse ligestillingsprincipper skal forstås. Kommissionen har tilkendegivet, at det ikke er hensigten med principperne at skabe problemer for medlemslandenes retssystemer, herunder ved at gribe ind i de nationale domstoles kompetence.
Direktivforslaget fastlægger endvidere regler for certificeringstjenesteudbyderens ansvar over for dem, der med rimelighed sætter deres lid til en elektronisk signatur. Udbyderen skal være ansvarlig for indholdet af certifikatet samt for at have overholdt direktivets minimumskrav med hensyn til udstedelsen af certifikatet, med mindre udbyderen kan godtgøre, at udbyderen har taget alle rimelige forholdsregler for at undgå fejlen.
Forslaget giver udbyderen mulighed for i det enkelte certifikat at fastsætte anvendelses- og beløbsmæssige begrænsninger. Samtidig bestemmes det, at udbyderen ikke skal være ansvarlig for tab, der overstiger de i certifikatet anførte beløbsmæssige begrænsninger.
3. Høring
Forslaget har været sendt i bred høring.
Der er modtaget høringssvar fra Dansk Dataforening, Det Danske Handelskammer, Dansk EDI-Råd, Forbrugerrådet, CSC Scandinavia, Amtsrådsforeningen, Den Danske Dommerforening, Præsidenterne for Østre Landsret, Vestre Landsret, Københavns Byret, og Retterne i Roskilde, Ålborg, Århus og Odense, DR, Realkreditrådet, DSB, Tele2 A/S, Dansk Handel & Service, KODA, Danske Elværkers Forening, Danske Dagblades Forening, Foreningen af Registrerede Revisorer, Foreningen af Interne Revisorer, Tele Danmark A/S, Rådet for Dansk Forsikring og Pension, Finansrådet, Rigsrevisionen, Danmarks Rederiforening, Det Centrale Handicapråd, Telekommunikationsindustrien i Danmark, Københavns Kommune og Frederiksberg Kommune.
Københavns Kommune, Frederiksberg Kommune, Telekommunikationsindustrien i Danmark, Danske Elværkers Forening, KODA, DSB, Realkreditrådet, DR, Præsidenterne for Østre Landsret, Vestre Landsret, Københavns Byret, og Retterne i Roskilde, Ålborg, Århus og Odense, og Den Danske Dommerforening har ingen bemærkninger.
Generelle bemærkninger
Danske Dagblades Forening og Foreningen af Interne Revisorer har ikke andre bemærkninger end, at de er tilhængere af en fælles europæisk ramme for digital signatur, mens Amtsrådsforeningen er enig i behovet for at skabe gensidig anerkendelse af elektroniske signaturer i EU.
Finansrådet, Danske Dagblades Forening, Det Danske Handelskammer og Foreningen af Interne Revisorer er tilhængere af, at der internationalt opstilles harmoniserede retlige rammer, således at det i videst muligt omfang undgås, at der opstår forskellige reguleringer af elektronisk signatur i de enkelte lande.
Rådet for Dansk Forsikring og Pension kan tilslutte sig princippet om, at der på EU-niveau fastsættes rammeregler for elektroniske signaturer, men sådan at der også på nationalt niveau er et vist råderum for regulering.
Foreningen af Registrerede Revisorer og Tele2 A/S kan generelt tilslutte sig indholdet af forslaget.
Det Danske Handelskammer, Dansk Handel & Service, og CSC Scandinavia støtter indholdet af forslaget og ønsker, at der etableres samarbejdsordninger med 3.lande, således at principperne også finder anvendelse uden for EU.
Dansk EDI-Råd finder generelt, at vedtagelse af forslaget vil være en betydelig landvinding for den elektroniske kommunikation, men foreslår dog, at forslagets bestemmelser om retlig anerkendelse af certifikater fra tredjelande udgår, alternativt suppleres med regler om erstatningsansvar for certificeringstjenesteudbydere i tredjelande.
Tele Danmark A/S finder, at forslaget udgør et godt, dækkende og operativt grundlag for en EU-harmonisering på området for elektronisk signatur.
Rigsrevisionen finder, at direktivforslaget vil kræve ændringer i Forskningsministeriets lovudkast fra februar 1998.
Dansk Dataforening finder, at der med Kommissionens udspil er lagt op til ganske komplicerede forhandlinger. Da et dansk lovforslag om regulering af nøglecentre til digital signatur afventer en fornøden, foreløbig afklaring af indholdet i det endelige EU-direktiv, beklager Dansk Dataforening, at der endnu engang er udsigt til, at dansk lovregulering på området for digital signatur forsinkes.
Direktivets anvendelsesområde
Rådet for Dansk Forsikring og Pension udtrykker tilfredshed med, at der ikke sker regulering af elektroniske signaturer, der udelukkende anvendes inden for lukkede systemer, mens Finansrådet er enig i, at princippet om aftalefrihed har forrang.
Dansk EDI-Råd, Finansrådet, og Rådet for Dansk Forsikring og Pension foreslår, at det tydeliggøres , at direktivet ikke kun finder anvendelse på kontrakter, og at direktivet finder anvendelse på både fysiske og juridiske personer.
Teknologineutralitet
Finansrådet, Rådet for Dansk Forsikring og Pension og Foreningen af Registrerede Revisorer tilslutter sig princippet om teknologineutralitet, og er således tilhængere af en regulering af elektroniske signaturer fremfor digitale signaturer.
Dansk Dataforening vender sig imod forslagets regulering af elektroniske signaturer i stedet for digitale signaturer.
Retsvirkninger
Forbrugerrådet finder ikke, at direktivforslaget i tilstrækkeligt omfang beskytter forbrugerne mod misbrug af deres digitale signatur, idet rådet henviser til, at der med den nuværende teknologi er en risiko for, at digitale signaturer kan misbruges. Forbrugerrådet anfører, at dette er et væsentligt problem, fordi en falsk digital signatur ikke kan skelnes fra en ægte signatur ved kriminaltekniske metoder, således som det er tilfældet for håndskrevne signaturer. På denne baggrund finder Forbrugerrådet, at forslaget er for vidtgående med hensyn til at ligestille digitale signaturer med håndskrevne signaturer.
Amtsrådsforeningen anfører, at spørgsmålet om retsvirkningerne af en elektronisk signatur bør afgøres af domstolene.
Finansrådet anfører, at direktivet næppe er til hinder for, at medlemsstaterne i særlige tilfælde kan opretholde et krav om underskrift. Finansrådet anfører endvidere, at det er uklart, hvad der menes med, at elektroniske signaturer "anerkendes som opfyldende de retlige krav", ligesom det i forhold til dansk retspleje ikke giver mening at fastlægge, at en elektronisk signatur skal anerkendes "på samme måde".
Dansk Dataforening beklager, at Kommissionen ikke med forslaget har afklaret, om de krav om skriftlighed, der stilles i talrige EU-retsakter, kan opfyldes med digital teknologi.
Danmarks Rederiforening anfører, at man ved udarbejdelsen af direktivet skal være opmærksom på, at der inden for søtransportområdet gælder en række betydelige internationale konventioner, der indeholder krav om skriftlighed og underskrift, og at man derfor må overveje, hvorledes disse konventionsmæssige blokeringer for digital signatur overvindes.
Certificeringstjenesteudbyderens ansvar
Dansk Dataforening og Tele Danmark A/S finder erstatningsreglerne langt mere afbalancerede end de regler, der er indeholdt i Forskningsministeriets lovudkast af februar 1998.
Dansk Dataforening ønsker i øvrigt en regulering af spørgsmålet om, hvornår indehaveren af en privat krypteringsnøgle hæfter for den signatur, der afgives på retsstridig vis af en person, der har fået signaturnøglen i sin besiddelse.
Dansk EDI-Råd foreslår, at der indføres en fælles regel, der giver mulighed for, at certificeringstjenesteudbyderens ansvar maksimalt kan være et givet beløb.
Rådet for Dansk Forsikring og Pension anfører, at der er behov for en række yderligere begrænsninger i ansvaret for at certificeringstjenesteudbydere skal kunne forsikringsafdække erstatningsansvaret. I samme forbindelse ønsker Rådet en uddybning af sammenhængen med direktivet om urimelige kontraktsvilkår, som direktivforslaget henviser til.
Finansrådet efterlyser en ansvarsfordeling mellem indehaveren af certifikatet og den, som støtter ret på certifikatet. Finansrådet finder i øvrigt bestemmelserne om erstatningsansvar uklare, herunder for så vidt angår spørgsmålet, om ansvaret er et objektivt ansvar eller et uagtsomhedsansvar. Finansrådet anfører, at et for vidtgående ansvar vil indebære risiko for, at ingen vil udbyde certificeringstjenester. Finansrådet er tilhænger af muligheden for at anføre begrænsninger i et certifikats anvendelsesområde.
Tele2 A/S anfører, at ansvarsbetingelserne for certificeringstjenesteudbydere bør være sådan indrettet, at de giver private virksomheder, der ser et forretningsområde i dette, rimelige betingelser.
Persondatabeskyttelse
Dansk Dataforening og Tele Danmark A/S er generelt tilhængere af direktivforslagets bestemmelser om persondatabeskyttelse, herunder reglen om underskriverens krav på at anvende pseudonym.
Finansrådet finder, at særreglerne om persondatabeskyttelse er overflødige, når der allerede i direktivet er henvist til direktivet om beskyttelse af persondata.
Dansk EDI-Råd, Rådet for Dansk Forsikring og Pension, og Rigsrevisionen er modstandere af reglen om, at underskriveren skal kunne anvende pseudonym i stedet for sit eget navn.
Amtsrådsforeningen anfører, at direktivforslagets regler om persondatabeskyttelse bør ændres, således at der efter samtykke fra den registrerede kan indhentes data fra tredjepart.
Øvrige bemærkninger
Finansrådet er tilfreds med, at der ikke stilles krav om forudgående autorisation af certificeringstjenesteudbydere. Finansrådet anfører i øvrigt, at der kan være behov for at fastlægge et sluttidspunkt for certifikatets løbetid i relation til verifikation af en signatur, idet certifikatet i en periode efter udløb vil kunne anvendes til at verificere en signatur. Endelig anfører Finansrådet, at det ikke virker logisk, at et certifikat skal indeholde alle de personlige og økonomiske oplysninger, der kræves i henhold til bilag I.
Dansk Dataforening beklager, at der ikke opereres med en pligt til løbende at konsultere branchebruger- og forbrugerinteresser
Tele Danmark A/S finder, at forslaget savner en mere præcis bestemmelse om lukning af certifikater.
Det Centrale Handicapråd foreslår, at det i direktivet fastslås, at der kan stilles krav til den universelle anvendelighed af de tekniske systemer til afgivelse af digital signatur.
Amtsrådsforeningen efterlyser en tilstrækkelig grad af standardisering af, hvad en elektronisk signatur er, og hvordan den afgives. Efter Amtsrådsforeningens opfattelse sætter forslaget begrænsninger i , hvilke modeller for ligestilling af digitale signaturer og traditionelle underskrifter en dansk lovgivning kan omfatte, idet eventuelle krav om traditionel underskrift ved kommunikation med det offentlige kun vil kunne opretholdes efter en konkret vurdering. Amtsrådsforeningen anfører som følge heraf, at det skal være en forudsætning for offentlige myndigheders tvungne modtagelse af elektroniske signaturer, at disse opfylder et vist standardiseringsminimum.
Rigsrevisionen anfører, at forslaget ikke indeholder bestemmelser om signaturernes validitet på lidt længere sigt, fx frem til revisionstidspunktet, hvis dette ligger efter udløbsdatoen på signaturen. Rigsrevisionen finder en række af de i bilag I foreslåede oplysninger af økonomisk og personlig karakter unødvendige for at kunne verificere en nøgleindehavers identitet. Rigsrevisionen finder, at forslagets bestemmelser om beløbsmæssige begrænsninger i certifikatet og muligheden for at forlange supplerende oplysninger, såfremt elektroniske signaturer skal anvendes indenfor den offentlige sektor, vil kræve merarbejde i form af kontrol, hvorfor brugen af elektroniske signaturer vil kunne blive begrænset. Rigsrevisionen efterlyser endelig bestemmelser om, hvad der skal ske med et nøglecenters data ved ophør.
Dansk EDI-Råd, Finansrådet, og Rådet for Dansk Forsikring og Pension foreslår en række præciseringer og ændringer i forslagets definitioner.
4. Høring af Europa-Parlamentet
Europa-Parlamentet har endnu ikke taget stilling til direktivforslaget, hvilket forventes at ske i november/december 1998.
5. Lovgivningsmæssige og statsfinansielle konsekvenser
Gennemførelsen af direktivforslaget kræver etablering af et helt nyt lovgrundlag om elektroniske signaturer.
De statsfinansielle konsekvenser er endnu uafklarede.
6. Tidligere forelæggelse
Folketingets Europaudvalg er tidligere orienteret om direktivforslaget ved faktuelt notat forud for Rådsmødet (telekommunikation) den 19. maj 1998 og ved referat af samme møde fremsendt til Folketingets Europaudvalg den 28. maj 1998.
(Løbenr. 11375)