Endringer i lov om elektronisk signatur
Reglement | Dato: 10.03.2004 | Nærings- og fiskeridepartementet
Opprinnelig utgitt av: Nærings- og handelsdepartementet
Endringer i lov om elektronisk signatur
Lovforslagets hovedinnhold
I forbindelse med behandlingen av den nye hvitvaskingsloven (Ot.prp. nr. 72 (2002-2003)), fremmet Stortinget et anmodningsvedtak om at Regjeringen innen utgangen av 2003 skulle fremme forslag for å sidestille skriftlig (visuell) og elektronisk legitimasjon.
Nærings- og handelsdepartementet har, sammen med Finansdepartementet, kommet frem til at en slik sidestilling bør skje i forskrift til lov om elektronisk signatur. Med dette høringsnotatet ønsker departementet å fremme forslag om bl.a. å tilføye en ny forskriftshjemmel i lov 15. juni 2001 nr. 81 om elektronisk signatur. Forskriftshjemmelen skal gi departementet adgang til å etablere frivillige sertifiserings- og godkjenningsordninger. Disse ordningene skal kunne brukes for å høyne nivået for de tjenester som tilbys av sertifikatutstedere, både i forhold til krav som stilles for kvalifiserte sertifikater etter lov om elektronisk signatur og krav som er på et lavere nivå enn kvalifiserte sertifikater. Det er med utgangspunkt i en slik sertifiseringsordning departementet vil legge til rette for at elektronisk legitimasjon skal kunne tas i bruk etter hvitvaskingsregelverket.
Den faktiske sidestillingen mellom papirbasert kommunikasjon og elektronisk kommunikasjon (herunder sidestilling mellom visuell og elektronisk legitimasjon) vil imidlertid skje i sektorspesifikt regelverk, f.eks. i hvitvaskingsregelverket, og ikke i lov om elektronisk signatur med forskrifter. Sidestillingen vil bli gjennomført ved at regelforvaltere oppstiller tekniske krav mv. som må oppfylles for at den elektroniske kommunikasjonen skal gis samme rettslige gyldighet som tradisjonell papirbasert kommunikasjon. Disse kravene kan nærmere defineres i en ny sertifiserings- eller godkjenningsordning, eller tilsvare etablerte krav i en allerede eksisterende ordning. Sertifikatutstedere og/eller produkter som oppfyller slike krav, og er blitt sertifisert/godkjent i henhold til dem, vil da kunne med rettslig virkning kunne brukes ved elektronisk kommunikasjon etter det aktuelle sektorregelverket.
Videre uttaler departementet seg om hvordan kravet i lov om elektronisk signatur § 4 annet ledd bokstav a, om at kvalifiserte sertifikater skal innhold angivelse av at de er utstedet som kvalifiserte sertifikater, skal forstås. Dette tillegg har ikke noen direkte relasjon til ovennevnte anmodningsvedtak.
Bakgrunn for lovforslaget mv.
Ved behandlingen av hvitvaskingsloven (Ot. prp. nr. 72 (2002-2003)) vedtok Stortinget 16. juni 2003 at Regjeringen innen utgangen av 2003 på egnet måte skulle fremme nødvendige forslag for å sidestille visuell og elektronisk legitimasjon, jf. Inst. O. nr. 100 (2002-2003).
Departementet ser det som hensiktmessig at den nå foreslåtte lovendringen ikke kun tar høyde for å oppnå sidestilling mellom visuell og elektronisk legitimasjon etter hvitvaskingsregelverket. Forskriftshjemmelen bør være utformet slik at den også gir departementet adgang til å etablere frivillige sertifiserings- eller godkjenningsordninger innenfor andre regelområder og med andre formål enn kun å akseptere elektronisk identifisering, jf. kapittel 4.2.
Oppgaven med å følge opp Stortingets anmodningsvedtak er lagt til Nærings- og handelsdepartementet, som er ansvarlig for regjeringens IT-politikk og for lov om elektronisk signatur. Lov og forskriftsarbeidet skjer i tett samarbeid med Finansdepartementet og Kredittilsynet.
Departementet tar sikte på å få gjennomført sidestillingen av visuell og elektronisk legitimasjon etter hvitvaskingsregelverket på følgende måte:
- Det tilføyes en forskriftshjemmel i lov om elektronisk signatur som åpner for at det kan etableres frivillige sertifiserings- og godkjenningsordninger.
- Med hjemmel i denne bestemmelsen vil departementet etablere en frivillig sertifiseringsordning, der utstedere av kvalifiserte sertifikater kan bli sertifisert i henhold til detaljerte tilleggskrav ved utstedelse av sine sertifikater. Disse kravene skal tilsvare de legitimasjonskrav som stilles i hvitvaskingsregelverket.
- Hvitvaskingsforskriften vil endres slik at ”sertifiserte kvalifiserte sertifikater” kan aksepteres som gyldig legitimasjon etter hvitvaskingsloven § 5.
I dette høringsnotatet foreslås endringer for å følge opp gjennomføringen av første strekpunkt ovenfor. Det kommende forskriftsarbeidet som er nevnt i de to andre strekpunktene er kort presentert i kapittel 4.6.
Lov om elektronisk signatur
Definisjoner og innhold
Lov om elektronisk signatur innholder flere definisjoner som er relevante i forhold til lovforslaget. For å få en bedre forståelse av forslaget vil noen av disse definisjonene kort omtales nedenfor.
I loven er elektronisk signatur definert som ”data i elektronisk form som er knyttet til andre elektroniske data og som brukes som autentiseringsmetode”. Dette begrep er teknologinøytralt og omfatter alle former for elektroniske autentiseringsmetoder, dvs. metoder som identifiserer avsenderen av en elektronisk melding.
Et annet sentralt begrep er kvalifisert sertifikat. Med sertifikat menes herved et elektronisk dokument, koblet til signaturverifikasjonsdata 1Signaturverifikasjonsdata er definert i lov om elektronisk signatur § 3 nr. 7 som ”unike data, som for eksempel koder eller offentlige nøkler, som benyttes til å verifisere en elektronisk signatur”. Innenfor PKI tilsvarer signaturverifikasjonsdata den offentlige nøkkelen, som brukes til å verifisere avsenders digitale signatur fremstilt med dennes private nøkkel. Mer informasjon om dette jf. NOU 2001:10 Uten penn og blekk., som bl.a. kan gi opplysninger om hvem som har signert den elektroniske meldingen og sertifikatets utløpsdato og bruksområde. Innholdet i et slikt sertifikat vil til dels samsvare med de opplysninger som i dag finnes i visuelle legitimasjoner. Det elektroniske sertifikatet utstedes av en sertifikatutsteder. For å benevne et sertifikat ”kvalifisert” må sertifikatet oppfylle kravene i lovens § 4 og utstedes for en begrenset periode av en sertifikatutsteder som oppfyller kravene i lovens §§ 10 til 15, se nedenfor. Dessuten må sertifikatutsteder ha sendt en melding til Post- og teletilsynet om at han utsteder kvalifiserte sertifikater, jf. lov om elektronisk signatur § 18.
Lov om elektronisk signatur er en gjennomføring av Europaparlaments- og rådsdirektiv 1999/93/EF av 13. desember 1999 om en fellesskapsramme for elektroniske signaturer (direktivet om elektroniske signaturer). I loven stilles det krav til utstedere av kvalifiserte sertifikater og deres virksomhet, herunder også innholdet i kvalifiserte sertifikater. Dessuten innholder loven bestemmelser om erstatning, personvern, elektroniske signaturers rettsvirkning mv.
I lov om elektronisk signatur, bl.a. §§ 10 til 15, stilles det nærmere krav til sertifikatutsteder som utsteder kvalifiserte sertifikater. Disse bestemmelsene stiller bl.a. krav om at en sertifikatutsteder skal:
- utøve og administrere virksomheten på en forsvarlig måte slik at den kan tilby sikre, pålitelige og velfungerende sertifikattjenester,
- bruke pålitelige produkter og systemer som er beskyttet mot endringer, og iverksette tiltak mot forfalskning,
- sikre at identiteten til undertegner blir kontrollert gjennom sikre rutiner,
- lagre alle relevante opplysninger i en rimelig periode, dog minst 10 år.
I lov om elektronisk signatur § 4 stilles krav om at et kvalifisert sertifikat bl.a. skal inneholde følgende informasjon:
- at sertifikatet er kvalifisert,
- undertegnerens navn (i forhold til elektroniske legitimasjon vil navnet på den legitimasjonen er utstedet til angis),
- sertifikatets ikrafttredelses- og utløpsdato,
- eventuelle begrensninger i sertifikatets anvendelsesområde.
Post- og teletilsynet fører tilsyn med utstedere av kvalifiserte sertifikater som er etablert i Norge. Tilsynet skal sikre at lovens krav etterleves. I en forskrift til loven (forskrift 15. juni 2001 nr. 611 om krav til utsteder av kvalifiserte sertifikater mv.) stilles bl.a. krav om hvilke dokumenter som skal vedlegges registreringsmeldingen.
Fri flyt av kvalifiserte sertifikater
I artikkel 7 i direktivet om elektroniske signaturer stilles det krav om at kvalifiserte sertifikater, utstedet av en sertifikatutsteder etablert innenfor EØS, skal godkjennes i alle EØS-stater. Dessuten skal sertifikater utgitt av sertifikatutstedere etablert utenfor EØS anerkjennes som kvalifiserte sertifikater dersom utstederen er godkjent etter en frivillig sertifiserings- eller godkjenningsordning innenfor EØS, er garantert av en utsteder av kvalifiserte sertifikater etablert innenfor EØS eller er anerkjent etter multilaterale eller bilaterale avtaler.
Artikkelen, som er gjennomført i lov om elektronisk signatur § 25, skal sikre retten til fri flyt av kvalifiserte sertifikater innenfor EØS.
Forslag til endringer i lov om elektronisk signatur og hvitvaskingsloven
Innledning
Ifølge Stortingets anmodningsvedtak skal det fremmes forslag om å sidestille visuell og elektronisk legitimasjon, hovedsaklig med sikte på reguleringen i hvitvaskingsregelverket. Departementet ser det imidlertid som hensiktsmessig at en lovendring åpner for muligheten til å legge til rette for en generell sidestilling mellom papirbasert kommunikasjon og elektronisk kommunikasjon.
Departementet foreslår en ny bestemmelse i lov om elektronisk signatur som gir hjemmel til å etablere frivillige sertifiserings- og godkjenningsordninger ved forskrift, jf. kapittel 4.2. Dette vil gjøre det nødvendig å definere begrepet ”frivillige sertifiserings- og godkjenningsordninger” i loven, jf. kapittel 4.4. I tillegg må straffebestemmelsen i lov om elektronisk signatur endres, jf. kapittel 4.5. Videre foreslås begrepet ”skriftlig legitimasjon” i hvitvaskingsloven erstattet med ”visuell legitimasjon”, jf. kapittel 4.6.
Nærmere om forskriftshjemmel for frivillige sertifiserings- og godkjenningsordninger
Formål
Forskriftshjemmelen skal brukes til å høyne nivået på sertifikattjenester og derved bidra til å øke tilliten til og bruken av elektroniske signaturer/elektroniske legitimasjoner, jf. forslag til ny § 16 a. Hjemmelen skal i første omgang brukes til å oppnå ønsket sidestilling mellom visuell og elektronisk legitimasjon etter hvitvaskingsregelverket, jf. kapittel 4.6.
Virkeområde
Departementet anbefaler at forskriftshjemmelen utformes slik at den gir adgang til å etablere frivillige sertifiserings- eller godkjenningsordninger innenfor andre regelområder og med andre formål enn bare å akseptere elektronisk identifisering. Derved vil man minimere risikoen for at man i løpet av kort tid vil være nødt til å justere forskriftshjemmelen dersom det inntrer et behov for å kunne etablere sertifiserings- eller godkjenningsordninger innenfor annet regelverk enn hvitvaskingsloven eller med et annet formål enn å sidestille elektroniske legitimasjoner med visuelle legitimasjoner.
Elektronisk kommunikasjon er i rask vekst. Det er en klar trend at ønsket om å kunne kommunisere elektronisk øker. Det pågår på mange områder arbeide med å legge til rette for elektronisk kommunikasjon, både sentralt i f.eks. AADs koordineringsorgan for bruk av PKI i offentlig sektor 2http://www.dep.no/aad/modernisering/tverrgaendeprosjekter/pkiorgan/index-b-n-a.html<o:p></o:p></span></p> <p class=MsoNormal><span style='font-size:12.0pt;mso-bidi-font-size:10.0pt; font-family:
Med den foreslåtte forskriftshjemmelen vil departementet også følge opp arbeidet i eRegelprosjektet (nå VideRe-prosjektet) 3Jf. www.nhd.no - velg deretter ”prosjekter” i listen til venstre.. Prosjektets formål var å fjerne unødige rettslige hindringer for elektronisk kommunikasjon, uten å nærmere angi hvilke krav som skal stilles på de tekniske løsningene for at elektronisk kommunikasjon skal aksepteres. Dessuten vil forskriftshjemmelen kunne benyttes i arbeidet med å oppnå Regjeringens mål om at elektroniske og tradisjonelle tjenester skal likestilles, og at regelverket ikke skal lage unødvendige hindringer for elektronisk kommunikasjon. 4Jf. eNorge 2005, www.enorge.org<o:p></o:p></span></p> <p class=MsoNormal><span style='font-size:12.0pt;mso-bidi-font-size:10.0pt; font-family:
Begrunnelsen for å legge forskriftshjemmelen i lov om elektronisk signatur er at loven er sektornøytral, i motsetning til f.eks. hvitvaskingsloven. På denne måten vil det være enklere og mer naturlig å ta i bruk forskriftshjemmelen ved regulering i annet regelverk som skal legge til rette for bruk av elektronisk identifikasjon eller elektronisk kommunikasjon. En annen fordel er at man da kan bygge videre på eksisterende regulering av elektroniske signaturer og således bidra til å forenkle arbeidet med å legge til rette for elektronisk kommunikasjon innenfor annet regelverk.
Ved utarbeidelsen av forskrifter etter den foreslåtte hjemmelen er det viktig at kravene i de frivillige sertifiserings- og godkjenningsordningene er klare, proporsjonale, transparente og ikke-diskriminerende. Direktivet om elektroniske signaturer stiller videre krav om at antallet sertifiserte eller godkjente sertifikatutstedere i utgangspunktet ikke må begrenses, jf. artikkel 3 nr. 2.
Departementet ønsker høringsinstansenes synspunkter på departementets forslag om å tilføye en forskriftshjemmel i lov om elektronisk signatur som gir adgang til å etablere frivillige sertifiserings- og godkjennelsesordninger innenfor andre områder enn hva som er nødvendig for å følge opp Stortingets anmodningsvedtak. Er det hensiktsmessig å ha en slik forskriftshjemmel i et sektornøytralt regelverk som lov om elektronisk signatur? Er det mulig allerede i dag å peke på områder der forskriftshjemmelen vil kunne påskynde og forenkle arbeidet med å rettslig og faktisk åpne for elektronisk kommunikasjon?
Sertifiserings- / godkjennelsesorganet
Hvem som skal utpekes som sertifiserings- eller godkjenningsorgan må vurderes i forbindelse med etableringen av nye ordninger med hjemmel i loven. Ved oppnevning av et sertifiserings- eller godkjenningsorgan må man bl.a. stille krav om at organet ikke deltar i virksomhet som kan komme i konflikt med sin evne til å gjennomføre en uavhengig vurdering og sin integritet i forhold til den oppgaven de skal utføre. Videre er det viktig at de som gjennomfører sertifiseringen/godkjenningen har tilfredsstillende kunnskap om kravene som stilles og tilstrekkelig erfaring til å kunne utføre slik oppgave.
Sertifiserings- eller godkjenningsorganet skal ha adgang til å kunne kreve gebyr av de som ønsker å bli sertifisert/godkjent. Gebyret må imidlertid ikke overstige kostnadene ved organets virksomhet.
Definisjon av frivillige sertifiserings- og godkjenningsordninger
Direktivet om elektronisk signatur
Direktivet om elektroniske signaturer gir adgang til å etablere såkalt ”frivillige akkrediteringsordninger”. Disse ordningene er definert på følgende måte i direktivet artikkel 2 nr. 13:
”…enhver tillatelse som fastsetter rettigheter og forpliktelser for yting av sertifikattjenester, som skal utstedes på anmodning fra den berørte tilbyder av sertifikattjenester av det offentlige eller private organ som er pålagt å utarbeide og føre tilsyn med overholdelsen av slike rettigheter og forpliktelser, og der tilbyderen av sertifikattjenester ikke er berettiget til å utøve de rettighetene som tillatelsen gir, før vedkommende har mottatt organets beslutning.”
” Akkreditering” er en offisiell godkjennings- og tilsynsordning for sertifiseringsorgan og enkelte andre typer virksomheter. Akkrediteringen betyr at sertifiseringsorganets virksomhet er vurdert og blir overvåket av et akkrediteringsorgan. Hensikten med akkreditering er å skape tillit til organisasjonen ved at den har fått dokumentert at den tilfredsstiller strenge krav beskrevet i internasjonale standarder. I Norge er Norsk Akkreditering det nasjonale akkrediteringsorgan. Når et sertifiseringsorgan er akkreditert betyr det at Norsk Akkreditering har vurdert sertifiseringsorganets kvalitetssystem og kompetanse og verifisert at det tilfredsstiller internasjonale krav til sertifiseringsorgan.
” Sertifisering” er en prosedyre der en tredjepart skriftlig bekrefter at et produkt, en prosess eller en tjeneste oppfyller spesifiserte krav. Sertifisering er en kommersiell aktivitet som i prinsippet hvem som helst kan utføre. Akkreditert sertifisering betyr at sertifiseringsorganet er akkreditert, akkrediteringsorganet i Norge er Norsk Akkreditering. Som eksempel på akkreditert sertifisering kan nevnes Det Norske Veritas sertifisering av selskaps styringssystem for informasjonssikkerhet i henhold til ISO/IEC 17799 og BS 7799.
” Godkjenning” er en tillatelse til at et produkt, en prosess eller en tjeneste markedsføres eller brukes til angitte formål eller under angitte betingelser.
Etter departementets forståelse av direktivets definisjon, og i forhold til hvordan definisjonene brukes i Norsk Standard NS-EN 45020 ”Standardisering og beslektede aktiviteter - Generelle termer” (som er identisk med internasjonal og europeisk standard) mener departementet at definisjonen i utgangspunktet dekker forskjellige typer av godkjennelsesordninger. Formålet med bestemmelsen, og EU Kommisjonens bruk av begrepet ”akkreditering”, tilsier imidlertid at definisjonen også skal dekke sertifiseringsordninger, uavhengig om de er utført av et akkreditert sertifiseringsorgan eller ikke.
På tidspunktet for gjennomføringen av direktivet om elektroniske signaturer var det ikke aktuelt å etablere frivillige sertifiserings- eller godkjenningsordninger. På bakgrunn av det ble ikke artikkel 3 nr. 2 i direktivet gjennomført i loven, jf. Ot. prp. nr. 82 (1999-2000) kapittel 9. Departementet uttalte imidlertid bl.a. at man ”vil følge utviklingen på markedet nøye i forhold til hvorvidt det vil bli aktuelt med et fremtidig initiativ til opprettelse av frivillige sertifiserings- eller godkjenningsordninger.”
Forslag til endringer i lov om elektronisk signatur
For å klargjøre hvilken type ordning som kan etableres med hjemmel i lov om elektronisk signatur foreslår departementet at begrepet frivillige sertifiserings- eller godkjenningsordninger defineres i loven. Definisjonen tar utgangspunkt i definisjonen av ”frivillige akkrediteringsordninger” i artikkel 2 nr. 13 i direktivet om elektroniske signaturer. Begrepet foreslås definert i lov om elektronisk signatur ny § 3 nr. 11, og skal omfatte både akkreditert og ikke akkreditert sertifisering og godkjenning.
Det foreslås at begrepet ”frivillig godkjenningsordning” i lov om elektronisk signatur § 25 annet ledd bokstav a endres til ”frivillig sertifiserings- eller godkjenningsordning”. Endringen er ikke ment å medføre materielle endringer.
I lov om elektronisk signatur § 15 første ledd bokstav b, står det at sertifikatutstedere ved avtaleinngåelse skal opplyse motpart om ”eventuelle frivillige akkrediterings- eller sertifiseringsordninger”. For å forhindre ev. usikkerhet om forholdet mellom akkreditering og sertifisering foreslår departementet at” akkrediterings- eller sertifiseringsordninger” erstattes med ”sertifiserings- eller godkjenningsordninger”. Endringen er ikke ment å medføre materielle endringer.
Straff
I tilknytning til tilretteleggelsen av elektronisk kommunikasjon i det enkelte sektorregelverk kan det være behov for å kunne straffesanksjonere misbruk mv. av elektronisk kommunikasjon på lik linje med papirbasert kommunikasjon.
Dette vil f.eks. være aktuelt ved tilretteleggelsen for å oppnå en sidestilling mellom visuell og elektronisk legitimasjon etter hvitvaskingsregelverket. Den som utsteder en slik elektronisk legitimasjon vil ikke nødvendigvis omfattes av hvitvaskingslovens regelverk, og herunder lovens straffesanksjoner. Det er avgjørende at utstederen av en elektronisk legitimasjon kan ilegges samme straffeansvar som de som utsteder gyldige visuelle legitimasjoner etter hvitvaskingsregelverket, for å på den måten unngå en skjevhet i regelverket som kan føre til en omgåelse av regelverket.
Det kan reises spørsmål ved om bestemmelser om straff ved brudd på krav i sertifiserings- eller godkjenningsordninger skal reguleres i forskrift til lov om elektronisk signatur eller i det regelverk som åpner for og gir den aktuelle signaturen rettsvirkning, for eksempel hvitvaskingsloven.
En godkjennelsesordning oppstiller ikke kun formelle krav, men angir også hva den aktuelle signaturen kan brukes til. Dersom forskrifthjemmelen brukes til å etablere en godkjennelsesordning kan det synes naturlig at forskriften innholder straffebestemmelser dersom kravene i forskriften ikke etterleves. På denne måten vil både rettsvirkninger av at kravene i forskriften etterleves og rettsvirkningene av at de ikke etterleves reguleres i forskriften.
I forhold til
sertifiseringsordninger er situasjonen noe annerledes. I slike
ordninger vil det kun oppstilles krav som sertifikatutstedere kan
sertifiseres etter. Sertifiseringsordningen vil ikke uttale seg om
bruksområdet. Det kan ved en umiddelbart vurdering virke som om
straffesanksjoner i slike situasjoner bør reguleres i det regelverk
som gir den elektroniske signaturen rettsvirkning, dvs ikke i
forskriften som regulerer selve sertifiseringsordningen.
Departementet ser imidlertid ulemper med en slik løsning. Dette vil
særlig bli aktuelt dersom samme sertifiseringskrav skal brukes
innenfor flere rettsområder. Man vil da måtte finne hjemmel til å
sanksjonere brudd på sertifiseringskravene i hvert enkelt tilfelle
og sannsynligvis foreta endring i lov. Dersom straff ved bruk av
f.eks. en elektronisk legitimasjon skal reguleres i forskjellige
regelverk og strafferammene er forskjellige i de ulike
regelverkene, vil det i sin ytterste konsekvens få til resultat at
den faktiske bruken av den elektroniske legitimasjonen vil påvirke
utsteders strafferettslige ansvar. Departementet mener at
utstederen har kvalitetsansvar i forhold til sitt produkt og
sine tjenester, uansett i hvilken sammenheng og etter hvilket
regelverk de blir tatt i bruk. På bakgrunn av dette ser
departementet det som hensiktsmessig at bestemmelser om straff tas
inn i forskrift til lov om elektronisk signatur. På den måten vil
man oppnå en mer oversiktlig regulering som gir bedre
forutsigbarhet for sertifikatutsteder. Videre vil det forenkle
arbeidet med å åpne for bruk av en allerede sertifisert eller
godkjent elektronisk signatur i annet regelverk.
I tillegg til bestemmelser om straff, vil det være behov for
å etablere ordninger om tilbakekallelse av
sertifiseringer/godkjenning med mulighet for bruk av tvangsmulkt
slik at sertifikatutsteder ikke lenger vil kunne tilby sine
produkter som sertifiserte/godkjente. Slike bestemmelser må
imidlertid tilpasses de ulike sertifiserings- og
godkjennelsesordningene, og skal derfor reguleres nærmere i
forskrift til lov om elektronisk signatur.
På bakgrunn av ovennevnte foreslår departementet at det i lov om elektronisk signatur § 21 første ledd bokstav e tilføyes en bestemmelse om at forsettlig eller grov uaktsom overtredelse av bestemmelser i forskrift hjemlet i § 16 a kan straffes med bøter. Dessuten tilføyes det et nytt tredje ledd, der det åpnes for adgang til å anvende fengsel ved særlig skjerpende omstendigheter ved overtredelse av slike bestemmelser. Dette tillegget er nødvendig for å oppnå samsvar mellom straffebestemmelsene i hvitvaskingsloven som åpner for fengsel ved ”skjerpende omstendigheter” (jf. § 16) og forskriften til lov om elektronisk signatur.
I hver enkelt forskrift hjemlet i § 16 a vil departementet nærmere spesifisere i forhold til hvilke bestemmelser overtredelse kan føre til bøter eller fengsel.
I tillegg kan det nevnes at ulovlig bruk av en elektronisk signatur, f.eks. utstedelse av og bruk av ”falsk” signatur eller ulovlig bruk av annens elektroniske signatur, vil kunne straffes i henhold til bl.a. straffelovens bestemmelser om dokumentfalsk og bedrageri.
Endringer i hvitvaskingsloven
I hvitvaskingsloven § 5 første ledd tredje punktum står at ”som gyldig legitimasjon regnes alltid skriftlig legitimasjon”. Departementet foreslår at begrepet skriftlig legitimasjon endres til ”visuell legitimasjon”.
Begrunnelsen for denne endringen er at begrepet "skriftlig legitimasjon" passer dårlig med konklusjonene i eRegelprosjektet om at krav om "skriftlig" kommunikasjon også omfatter elektronisk kommunikasjon. Denne avklaringen har blant annet kommet til uttrykk i forvaltningsloven § 2 første ledd bokstav g, der det eksplisitt uttales at en elektronisk melding også omfattes av begrepet ”skriftlig”. I inkassoloven §§ 9 og 10 står det "skriftlig på papir" for å gjøre det klart at kravet om skriftlighet her utelukker bruk av elektronisk kommunikasjon. Dessuten mener departementet at begrepet ”visuell legitimasjon” er et bedre og mer presist begrep enn skriftlig legitimasjon.
Regelverksarbeid for oppfølgning av Stortingets anmodningsvedtak
Den enkleste måten å oppnå sidestilling mellom visuell og elektronisk legitimasjon hadde vært å akseptere kvalifiserte sertifikater som gyldig legitimasjon. Dette har imidlertid vist seg å ikke være mulig, jf. hvitvaskingsloven § 5 og Finansdepartementets vurdering av denne saken i Ot.prp. nr. 72 (2002-2003) kapittel 7. Begrunnelsen for dette er bl.a. at det ikke foreligger samsvar mellom de to regelverkene i forhold til krav om hvordan en kunde skal legitimere seg for henholdsvis å få en visuell legitimasjon eller et kvalifisert sertifikat.
Etter hvitvaskingsforskriften § 4 stilles følgende krav:
”Skriftlig legitimasjon som nevnt i hvitvaskingsloven § 5 første ledd tredje punktum skal fremlegges i original eller bekreftet kopi. Legitimasjonsdokumenter skal for fysiske personer inneholde fullt navn, navnetrekk, fotografi og fødselsnummer (eventuelt D-nummer). Legitimasjonsdokumenter skal være utstedt av offentlig myndighet, eller av annet organ som har betryggende kontrollrutiner for dokumentutstedelse og det er allment akseptert at dokumentet for øvrig har et tilfredsstillende sikkerhetsnivå.”
Dette kan sammenlignes med kravene i § 7 i forskrift om krav til utsteder av kvalifiserte sertifikater mv.:
”Ved utstedelse av kvalifiserte sertifikater skal sertifikatutsteder sørge for tilstrekkelig identifisering av undertegneren. Slik identifisering skal skje ved personlig fremmøte hos sertifikatutsteder eller representant for denne, med mindre undertegner allerede er identifisert ved personlig fremmøte gjennom eksisterende kundeforhold.”
Det stilles således ikke noen eksplisitte krav i den sistnevnte forskriften om hvilke dokumenter som må presenteres for å sikre undertegners identitet. Begrunnelsen for dette er bl.a. at sertifikatutstederen kan bli erstatningsansvarlig dersom han utsteder et sertifikat med uriktig innhold. På denne måten har sertifikatutsteder en egeninteresse i å sikre at identifikasjons- og registreringsprosessen skjer på en riktig måte og at ”tilstrekkelig” dokumentasjon er lagt frem.
Legitimasjonskontroll er et av de viktigste lovtiltakene for å forhindre hvitvasking. Med en skjevhet mellom regelverkenes krav til legitimasjon vil en aksept av kvalifiserte sertifikater som ”gyldig legitimasjon” etter hvitvaskingsregelverket kunne føre til uønskede konsekvenser i form av omgåelse av hvitvaskingsregelverkets krav på dette området. På bakgrunn av dette er det nødvendig å oppstille tilleggskrav (dokumentasjonskrav mv.) i forhold til kvalifiserte sertifikater.
For å oppnå en fullverdig sidestilling foreslår departementet at det etableres en frivillig sertifiseringsordning for utstedere av kvalifiserte sertifikater, med hjemmel i lovforslaget § 16 a. Den frivillige sertifiseringsordningen vil bl.a. oppstille krav om utstedelse av sertifikater som tilsvarer kravene til gyldig legitimasjon som stilles i hvitvaskingsloven § 5 med forskrift. I tillegg vil Finansdepartementet foreta nødvendige endringer i hvitvaskingsregelverket slik at ”sertifiserte kvalifiserte sertifikater” etter den nye forskriften til lov om elektronisk signatur kan aksepteres som gyldig legitimasjon. I tråd med lovens krav og EØS-avtalens regulering om fri flyt at varer og tjenester vil ordningen være åpen for alle utstedere av kvalifiserte sertifikater etablerte innenfor EØS, og andre utstedere av kvalifiserte sertifikater som omfattes av lov om elektronisk signatur § 25 annet ledd.
Utenlandsk regulering og bruk av elektronisk legitimasjon
Så langt departementet er kjent med finnes det ikke noe land innenfor EØS som har etablert sidestilling mellom visuell og elektronisk legitimasjon innenfor hvitvaskingsområdet. Norge vil således med dette lovarbeidet være i forkant av den rettslige tilretteleggelsen for bruk av elektronisk legitimasjon innenfor dette området.
Det finnes noen land som utsteder såkalt elektroniske identitetskort (EID). Slike kort utstedes normalt av det offentlige og kan brukes som en generell elektronisk identitet i forhold til flere elektroniske tjenester.
I Finland utstedes et elektronisk identitetskort (FINEID) 5http://www.fineid.fi/. Disse kortene utstedes av Befolkningsregistersentralen, men det er politiet som tar imot søknader om og distribusjonen av kortene. Kortet kan brukes som et normalt ID-kort med fotografi, men kan også brukes for elektronisk identifisering av en person og som elektronisk signatur. Dessuten kan kortet brukes som offisielt reisedokument innenfor 15 land i Europa, et såkalt ”minipass”. FINEID er basert på et kvalifisert sertifikat etter den finske loven om elektronisk signatur. I mai 2003 var det utstedet ca. 16 000 kort. Disse kortene kan brukes ved ca. 50 brukersteder, f.eks. Arbeidsdepartementet, Ligningsetaten, OKO Bank og Tuusula kommune. Fra 1. juni 2004 kommer dette kortet også å være et ”social security card”.
Det er imidlertid mange land som har etablert frivillige sertifiserings- og godkjennelsesordninger i tråd med artikel 3 nr. 7 i direktivet om elektronisk signatur. Med unntak av Storbritannia og Nederland foretas slike sertifiseringer/godkjennelser av forvaltningsorganer. Normalt er disse organene også tilsynsmyndigheter med oppgave å føre tilsyn med utstedere av kvalifiserte sertifikater. De fleste av nevnte sertifiserings- og godkjennelsesordningene er etablert for å kompletterende kravene til kvalifiserte sertifikater. Kravene i noen av disse ordningene er basert på nasjonale behov og i noen ordninger har man tatt i bruk internasjonale standarder på området, f.eks. ISO 17799 og EN 45012.
Selv om sertifiserings- og godkjennelsesordninger er regulert i den svenske loven om elektronisk signatur finnes det i Sverige frivillige sertifiseringsordninger der sertifikatutsteder kan bli sertifisert i forhold til visse standarder. Slik sertifisering utføres av sertifiseringsorgan som er akkreditert av SWEDAC (Styrelsen för ackreditering og teknisk kontroll). På europeisk nivå kan nevnes at det eksisterer et samarbeid mellom sertifiserings- og godkjennelsesorgan i ViTAS.
Som et eksempel på en godkjennelsesordning som drives av aktørene på markedet kan her nevnes Storbritannias tScheme 6http://www.tscheme.org/, som er en godkjennings- og merkeordningen. Formålet med ordningen er å sikre at tjenester som tilbys av sertifikatutstedere er pålitelige og utføres på en profesjonell måte, for på den måte å unngå bedrageri og sikre individers personvern. Ordningen skal etablere en tillit til disse typer av tjenester og gi kundene en trygghet om at tjenestene er blitt nøye evaluert mot rigorøse krav stilt av frittstående eksperter samt at tjenestetilbyderen har akseptert å følge disse kravene og rette ev. feil i forhold til kravene. Godkjenning etter tShceme blir jevnlig revidert og kan bli trukket tilbake.
Krav om at kvalifiserte sertifikater innholder en angivelse om at sertifikatet er utstedt som kvalifisert
Departementet ønsker å foreta en justering i merknadene til lovens krav om at et kvalifisert sertifikat skal innholde ”en angivelse av at sertifikatet er utstedet som et kvalifisert sertifikat”, jf. § 4 annet ledd bokstav a. I merknadene til denne bestemmelsen har departementet angitt at det skal fremgå direkte av sertifikatet hvorvidt det er kvalifisert eller ikke. I merknadene står videre at ”det ikke er tilstrekkelig med en henvisning til et annet dokument, for eksempel en sertifikatpolicy, hvor dette fremgår”, jf. ot.prp. nr. 82 (1999-2000) om lov om elektronisk signatur.
Etter at direktivet om elektronisk signatur ble vedtatt og ovennevnte proposisjon om lov om elektronisk signatur ble fremmet for Stortinget, har det pågått standardiseringsarbeid i EESSI (European Electronic Signature Standardisation Initiative), med deltakelse av CEN (Europeiske Standardiseringsorganet) og ETSI (European Telecommunications Standards Institute). Ifølge mandatet fra EU Kommisjonen skal de vurdere behovet for ytterligere standardiseringsarbeid for å følge opp viktige rettslige krav i direktivet om elektroniske signaturer. 7http://www.ict.etsi.org/EESSI_introduction.htm#mandate I tilslutning til denne oppgaven har ETSI, med utgangspunkt i kravene i direktivet om elektroniske signaturer, utarbeidet en standard for kvalifiserte sertifikater, TS 101 862. 8ETSI TS 101 862 v. 1.2.1 (2001-06) Qualified certificate profile, kapittel 4.2. Ifølge dette dokumentet finnes det to muligheter til å angi at sertifikatet er utstedet som et kvalifisert sertifikat. Den ene muligheten er å i sertifikatet ha en peker til en sertifikatpolicy som klart uttaler at utsteder har utstedt sertifikatet som kvalifisert og at utsteder oppfyller kravene i vedlegg I og II i direktivet om elektroniske signaturer. 9Disse vedleggene er i hovedsak gjennomført i lov om elektronisk signatur §§ 4 samt §§ 11 til 15. I direktivet om elektroniske signaturer vedlegg I bokstav a står at ”kvalifiserte sertifikater skal innholde angivelse av at sertifikatet er utstedt som et kvalifisert sertifikat”. Den andre måten er å i selve sertifikatet innta en uttalelse med samme innhold som i sertifikatpolicyen ved bruk av pekere.
Departementet ser det som hensiktmessig at norsk lov ikke hindrer bruk av internasjonale åpne standarder innenfor dette området, så fremt det ikke foreligger reelle behov for det. I forhold til det aktuelle kravet er ikke noe som taler for at det foreligger et nasjonalt behov for å oppstille strengere krav enn de krav som stilles i ETSIs standard TS 101 862. På bakgrunn av dette anbefaler departementet at kravet i lov om elektronisk signatur § 4 annet ledd bokstav a også skal kunne oppfylles ved å ha en peker fra det kvalifiserte sertifikatet til en angitt sertifikatpolicy. Det må her klart går frem at sertifikatet er utstedt som et kvalifisert sertifikat etter direktivet om elektroniske signaturer, og kravene i vedlegg I og II i direktivet er oppfylte slik de er gjennomført i norsk rett.
Til orientering kan nevnes at den finske gjennomføringsloven av direktivet om elektroniske signaturer åpner for at kravet om angivelse av at sertifikatet er kvalifisert kan oppfylles ved en pekere til en sertifikatpolicy. Den danske loven derimot stiller krav om at angivelsen må stå direkte i selve sertifikatet. Den svenske loven om elektroniske signaturer stiller krav om at det fremgår av sertifikatet at det er kvalifisert. Med dette menes at det ikke er tilstrekkelig at det kun angis ved markedsføring eller lignende.
Økonomiske og administrative konsekvenser
Lovforslaget vil ikke få noen direkte administrative eller økonomiske konsekvenser. Forslaget innholder i realiteten ikke annet enn en ny forskriftshjemmel. Det er når denne forskriftshjemmelen tas i bruk slike konsekvenser oppstår. Selv om de administrative og økonomiske konsekvensene vil avhenge av innholdet i de forskrifter som opprettes etter denne hjemmelen er det imidlertid mulig å gi noen generelle kommentarer om hvilke konsekvenser departementet ser for seg at lovforslaget med kommende forskrifter vil kunne få.
Frivillige sertifiserings- eller godkjenningsordninger som etableres etter forskriftshjemmelen kan benyttes til å knesette nødvendige krav som andre regelforvaltere kan anvende i sitt arbeid med å åpne opp for elektronisk kommunikasjon. På den måten vil forskriftshjemmelen kunne få en samordnende og koordinerende funksjon i forhold til hvilke krav som stilles for elektroniske signaturer mv. Dette vil føre med seg store økonomiske og administrative fordeler både for offentlig og privat sektor. Det vil gi positive synergieffekter for brukerstedene, dvs. de som skal ta imot elektroniske meldinger. Dessuten er det en fordel for brukerne av elektronisk kommunikasjon at flere brukersteder støtter samme typer av løsninger, slik at f.eks. samme elektroniske signatur kan brukes i kontakt med ulike brukersteder innenfor offentlig sektor og med flere private aktører.
Det er viktig at eventuell forskriftsregulering med hjemmel i lov om elektronisk signatur § 16 a koordineres med andre arbeid innenfor dette området, bl.a. det arbeid som skjer i AADs koordineringsorgan for bruk av PKI i offentlig sektor og PKI-forums Samarbeidsprosjekt (SEID).
Lovendringsforslag
I
I lov 15. juni 2001 nr. 81 om elektronisk signatur mv.
Ny § 3 nr. 11 skal lyde:
frivillige sertifiserings- og godkjenningsordninger: enhver ordning der en tredje part
- skriftlig bekrefter at en sertifikatutsteders produkter, prosesser eller tjenester oppfyller spesifiserte krav, eller
- gir tillatelse til at en sertifikatutsteders produkter, prosesser eller tjenester markedsføres eller brukes til angitte formål eller under angitt betingelser.
Nytt kapittel III a
Ny § 16 a Frivillige sertifiserings- eller godkjenningsordninger skal lyde:
Departementet kan ved forskrift innføre frivillige sertifiserings- eller godkjenningsordninger. Departementet skal utpeke sertifiserings- eller godkjenningsorgan og kan etablere klageordninger.
Departementet kan i forskrift også fastsette gebyr. Gebyrene må ikke overstige kostnadene ved sertifiserings- eller godkjennelsesorganets virksomhet
For å sikre at bestemmelsene i forskriften blir gjennomført, kan sertifiserings- eller godkjenningsorgan etter første ledd fastsette løpende tvangsmulkt etter utløpet av den frist som er satt for oppfylling av pålegget, inntill pålegget er oppfylt. Organet kan frafalle påløpt tvangsmulkt.
§ 15 første ledd bokstav b skal lyde:
b) opplysninger om eventuelle frivillige sertifiserings- eller godkjenningsordninger, og
§ 21 skal lyde:
Med bøter straffes den som forsettlig eller grovt uaktsomt
- unnlater å registrere/sende melding etter § 18,
- unnlater å gi opplysninger etter § 17,
- behandler personopplysninger i strid med §§ 7 og 14,
- gir uriktige eller villedende opplysninger til tilsynet, eller
- overtrer krav i forskrift hjemlet i § 16 a.
Medvirkning straffes på samme måte.
Ved særlig skjerpende omstendigheter etter første ledd bokstav e kan fengsel inntil 1 år anvendes.
§ 25 annet ledd bokstav a skal lyde:
a) utstederen oppfyller kravene i en EØS-stat og har blitt godkjent i henhold til en frivillig sertifiserings- eller godkjenningsordning i den staten,
II
Lov 20. juni 2003 nr. 41 om tiltak mot hvitvasking av utbytte fra straffbare handlinger mv. (hvitvaskingsloven)
§ 5 første ledd første skal lyde:
Rapporteringspliktige skal ved etablering av kundeforhold kreve gyldig legitimasjon av kunden. Plikten gjelder også for den rapporteringspliktiges ansatte. Som gyldig legitimasjon regnes alltid visuell legitimasjon.
III
Ikrafttredelse
Loven trer i kraft fra den tid Kongen bestemmer.