Kryptopolitikk Retningslinjer og problemstillinger

Norsk oversettelse av OECDs retningslinjer

Kryptopolitikk
Retningslinjer og problemstillinger

Trykte eksemplarer av de oversatte retningslinjene kan bestilles fra Statens Trykksakekspedisjon enten elektronisk eller per telefaks.
E-postadresse: ste-bestilling@ft.dep.telemax.no
Telefaks: 22 24 27 86

Trykte eksemplarer av den engelske versjonen kan bestilles hos NIC INFO A/S, Østensjøveien 18, Postboks 6512 Etterstad, 0606 Oslo
Telefon: 22 97 45 00
Telefaks: 22 97 45 45
Den engelske versjonen er on-line tilgjengelig på
http://www.oecd.org//dsti/sti/it/secur/prod/GD97-204.htm

Spørsmål kan rettes til Nærings- og handelsdepartementet, telefon 22 24 03 01 eller 22 24 03 03

INNHOLD

FORORD TIL DEN NORSKE OVERSETTELSEN

OECD (Organisation for Economic Co-operation and Development) vedtok 27 mars 1997 retningslinjer for kryptopolitikk. I disse retningslinjene er bruk av krypto knyttet til spørsmål om tillit til krypto, brukernes valg av kryptometoder, markedsdrevet utvikling, standarder, personvern, rettshjemlet adgang til kryptert materiale, ansvar og internasjonalt samarbeid. Gjennom retningslinjene har de 29 medlemslandene i OECD understreket betydningen av at man på global basis har felles normer for bruk av krypto. Målet er at retningslinjene skal få en normativ rolle og samtidig fungere som god veiledning, og gi grunnlag for tiltak i de enkelte land og over landegrensene. Målgruppen er primært offentlige myndigheter, men med en forventning om at retningslinjene vil bli bredt lest og fulgt i både privat og offentlig sektor.

Retningslinjene fra OECD utgjør ikke bindende rettsregler; de har en veiledende status.

Nærings- og handelsdepartementet anser retningslinjene som viktige, og anbefaler at de blir lest og tatt i aktiv bruk. En forutsetning for å kunne følge retningslinjene er at de er alminnelig kjent og så lett tilgjengelig som mulig. Derfor er retningslinjene oversatt til norsk. Andre medlemsland gjør tilsvarende.

Dokumentet presenterer overordnede retningslinjer og prinsipper. Retningslinjene tar utgangspunkt i at krypto kan være et effektivt hjelpemiddel for sikker bruk av informasjonsteknologi ved å sikre datas konfidensialitet, integritet og tilgjengelighet og ved å sørge for mekanismer for autentisering og ikke-fornekting; at krypto kan brukes i mange ulike anvendelser; og at bruk av krypto til integritets-, autentiserings- og ikke-fornektingsformål er forskjellig fra bruk av krypto for konfidensialitetsformål og at disse to bruksmåter representerer ulike typer problemstillinger.

Retningslinjenes målsetting er å fremme bruk av krypto, men uten å hindre den offentlig orden, rettshåndhevelse og rikets sikkerhet; fremme oppmerksomhet om behovet for forenlig kryptopolitikk, lover, systemer og metoder i ulike land; bistå beslutningstakere i offentlig og privat sektor med å utvikle og gjennomføre politikk; og fremme samarbeid mellom offentlig og privat sektor og mellom ulike lands myndigheter.

Retningslinjene legger til grunn at landenes nasjonale myndigheter har særskilt ansvar for å beskytte informasjon ut fra hensynet til rikets sikkerhet. Retningslinjene er ikke ment å gjelde for slike forhold.

I Norge finnes det regelverk om krypto på noen avgrensede områder, i hovedsak for å sikre hensynet til rikets sikkerhet og personvernet. Rådgivnings- og tilsynsmyndigheter for disse regelverkene er Forsvarets overkommando, Utenriksdepartementet (vedr eksportkontroll) og Datatilsynet. Krypto vil være et viktig hjelpemiddel i elektronisk handel og kan også være tjenlig for å etterleve lovbestemt taushetsplikt.

Retningslinjene og fagområdet som de bygger på anvender en rekke komplekse begreper. For å forbedre lesbarheten er det i den norske oversettelsen gjort noen forenklinger, blant annet brukes ordet "krypto" konsekvent som betegnelse på fagområdet i stedet for "kryptografi". "Kryptering" og "dekryptering" viser til selve prosessene ved bruk av krypto. Det vises ellers til definisjonene i retningslinjene.

Nærings- og handelsdepartementet,
november 1998.

FORORD

Krypto er et fagområde som omfatter prinsipper, midler og metoder for omforming av data i den hensikt å skjule informasjonsinnholdet, fastslå autentisitet, forhindre ikke-påvist modifikasjon, forhindre fornekting og/eller forhindre uautorisert bruk. Krypto er et av flere teknologiske midler til å oppnå sikkerhet for data i informasjons- og kommunikasjonssystemer og kan brukes til å sikre datas konfidensialitet, for eksempel økonomiske data eller persondata, enten dataene er lagret eller er under overføring. Krypto kan også brukes til å verifisere datas integritet ved å avdekke om de er blitt endret, og ved å identifisere personen eller utstyrsenheten som har sendt dem. Disse teknikkene er av avgjørende betydning for utviklingen og anvendelsen av informasjons- og kommunikasjonsnettverk og -teknologi av nasjonal og global art så vel som for utviklingen av elektronisk handel.

I de senere årene har medlemslandene i OECD gjort det til en oppgave å utvikle og iverksette politikk og lover som angår krypto. I mange land er disse fortsatt på utviklingsstadiet. Ulikheter i politikk kan skape hindringer for framveksten av nasjonale og globale informasjons- og kommunikasjonsnettverk og hemme utviklingen av internasjonal handel. Medlemsregjeringene har erkjent behovet for en internasjonalt samordnet måte å gripe denne saken an på, slik at utviklingen av en effektiv og sikker informasjonsinfrastruktur skal kunne forløpe uten problemer. OECD spiller en rolle i denne sammenheng ved å utvikle samstemmighet om konkrete politikk- og regulerings-spørsmål som angår informasjons- og kommunikasjonsnettverk og -teknologi, herunder kryptospørsmål.

OECD har en tid vært aktiv på områdene personvern, datasikring og informasjonssystemers sikkerhet. I begynnelsen av 1996 satte OECD i gang et prosjekt for kryptopolitikk ved å nedsette en ad hoc-gruppe av eksperter på retningslinjer for kryptopolitikk (“ad hoc-gruppen”) i regi av Committee for Information, Computer and Communications Policy (“ICCP-komiteen”). Ad hoc-gruppen under ledelse av Norman Reaburn fra det australske regjeringsadvokatembetet ble gitt i oppgave å lage utkast til Retningslinjer for kryptopolitikk (“Retningslinjene”) for å kartlegge problemstillinger som burde tas i betraktning ved utforming av kryptopolitikk på nasjonalt og internasjonalt plan. Gruppen fikk et mandat av ett års varighet for å gjennomføre oppdraget, og den fullførte sitt arbeid i desember 1996. Deretter ble Retningslinjene vedtatt i form av en anbefaling fra OECDs råd og gitt anvendelse fra 27. mars 1997.

Retningslinjene favner vidt og gjenspeiler mangfoldet i medlemslandenes synspunkter. Sekretariatet har utarbeidet en rapport om bakgrunnen for kryptopolitikk og om problemstillinger i tilknytning til en slik politikk for å klarlegge sammenhengen mellom Retningslinjene og de grunnleggende problemstillingene som tas opp i debatten om kryptopolitikk. Rapporten redegjør for behovet for internasjonal handling og oppsummerer beslektet arbeid som så langt er utført av OECD og visse andre organisasjoner. Rapporten er et informasjonsdokument og er tenkt som et bidrag i den offentlige debatten om Retningslinjene, ikke som et innlegg for å påvirke fortolkningen av Retningslinjene. Selv om den gir nærmere enkeltheter om omfanget av problemstillingene som behandles i Retningslinjene, endrer den ikke hensikten med Retningslinjene og må ikke brukes som en fortolkende veiledning. Rapporten er utarbeidet av sekretariatet, som har hatt nyttige drøftinger med en rekke nasjonale eksperter. Rapporten er imidlertid bare i all korthet behandlet i ekspertenes plenumsmøter.

RÅDETS ANBEFALINGER VEDRØRENDE RETNINGSLINJER FOR KRYPTOPOLITIKK

RÅDET, SOM VISER TIL:

  • Konvensjonen av 14 desember 1960 om Organisasjonen for økonomisk samarbeid og utvikling (OECD), særlig artikkel 1 b), 1c), 3a) og 5 b),
  • Rådets anbefaling av 23 september 1980 vedrørende retningslinjer for beskyttelse av personlig integritet og flyt av persondata over landegrensene (Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data [C(80)58/FINAL]),
  • Erklæringen vedrørende dataflyt over landegrensene, vedtatt av regjeringene i OECDs medlemsland 11 april 1985 [Vedlegg til C(85)139],
  • Rådets anbefaling av 26 -27 november 1992 vedrørende retningslinjer for informasjonssystemers sikkerhet [C(92)188/FINAL],
  • Europaparlaments- og Rådsdirektiv 95/46/EF av 24 oktober 1995 om personvern i forbindelse med behandling av personopplysninger og om fri bevegelighet for slike opplysninger,
  • Wassenaar-samarbeidet om kontroll medeksport av konvensjonelle våpen og flerbruksvarer og teknologi (“dual-use”)opprettet 13 juli 1996,
  • Rådsbeslutning 94/942/FUSP av 19 desember 1994 og rådsforordning (EF) nr. 3381/94 av 19 desember 1994 om eksport av varer til bruk både i sivil og militær sektor (“dual-use”),
  • Europarådets rekommandasjon [R(95)13] av 11 september 1995 om problemer straffeprosesslovgivningen viser i tilknytning til informasjonsteknologi,

SOM TAR I BETRAKTNING:

  • at nasjonal og global informasjonsinfrastruktur utvikler seg raskt for å framskaffe et sammenhengende nettverk for verdensomspennende kommunikasjon og adgang til data,
  • at informasjons- og kommunikasjonsnettverket som er i ferd med å vokse fram, trolig vil ha avgjørende innvirkning på den økonomiske utviklingen og verdenshandelen,
  • at brukerne av informasjonsteknologi må ha tillit til sikkerheten ved infrastrukturer, nettverk og systemer for informasjon og kommunikasjon, til konfidensialiteten, integriteten og tilgjengeligheten til data i dem og til evnen til å bevise datas opprinnelse og at data er mottatt,
  • at data i økende grad er sårbare for avanserte trusler mot deres sikkerhet, og at det å sørge for datasikkerhet ved hjelp av midler som lov- og regelverk, prosedyrer og teknikker er av grunnleggende betydning for at nasjonal og internasjonal informasjonsinfrastruktur skal kunne utnyttes fullt ut,

SOM ERKJENNER:

  • at krypto er en viktig del av sikre informasjons-og kommunikasjonsnettverk og systemer ettersom den kan være et effektivt redskap for sikker bruk av informasjonsteknologi ved å sørge for datas konfidensialitet, integritet og tilgjengelighet og ved å tilveiebringe autentiserings- og ikke-fornektings-mekanismer for data,
  • at krypto har en rekke anvendelser knyttet til personvern, til immaterialrettslig vern, til vern av forretnings- og økonomiinformasjon, offentlig sikkerhet og rikets sikkerhet og til gjennomføring av elektronisk handel,herunder sikring av anonyme betalinger og transaksjoner,
  • at manglende bruk av kryptometoder kan ha ugunstig virkning for personvernet, for immaterialrettslig vern, for vern av forretnings- og økonomisk informasjon, offentlig sikkerhet og rikets sikkerhet og for gjennomføring av elektronisk handel, fordi data og kommunikasjon kan være utilstrekkelig sikret mot uautorisert adgang, endring og urettmessig bruk, og brukerne vil derfor kanskje ikke stole på systemer, nettverk og infrastruktur for informasjons- og kommunikasjonssystemer,
  • at bruk av krypto for å sørge for datas integritet, herunder autentiserings- og ikkefornektingsmekanismer, må holdes atskilt fra bruk av krypto for å sørge for datas konfidensialitet, og at hvert av disse bruksområdene stiller forskjellige krav,
  • at kvaliteten ved den informasjonssikring som krypto gir, avhenger ikke bare av valget av tekniske midler, men også av gode styrings-, organiserings- og driftsrutiner,

OG SOM VIDERE ERKJENNER:

  • at offentlige myndigheter har vidtgående, ansvarsfulle oppgaver, hvorav mange særlig innebærer bruk av krypto, herunder tiltak for å hindre inngrep i personvernet, for å gjøre det enklere å sikre informasjons- og kommunikasjonssystemer, for å bidra til økonomisk velstand, til dels ved å fremme handel, og for å opprettholde offentlig sikkerhet og muliggjøre rettshåndheving og vern av rikets sikkerhet,
  • at selv om det hos offentlige myndigheter, i næringslivet og blant enkeltpersoner finnes et legitimt behov for og gjøres legitim bruk av krypto, kan krypto også utnyttes av personer eller virksomheter i ulovlig øyemed, noe som kan påvirke offentlig sikkerhet, rikets sikkerhet, rettshåndheving, forretningsinteresser, forbrukerinteresser eller personvernet; det er derfor en utfordring for myndighetene sammen med næringslivet og allmennheten for øvrig å utvikle politikk som er balansert,
  • at siden det ligger i sakens natur at informasjons- og kommunikasjonsnettverk er globale, vil en iverksetting av uforenlige nasjonale politikker ikke dekke enkelt-personers, næringslivets og offentlige myndigheters behov og vil kunne skape hindringer for økonomisk samarbeid og utvikling; nasjonale politikker kan av den grunn kreve internasjonal samordning,
  • at denne anbefaling fra Rådet ikke berører de nasjonale regjeringers suverene rettigheter, og at Retningslinjene i vedlegget til denne anbefaling til enhver tid er underlagt kravene i nasjonal lovgivning,

ANBEFALER:

etter forslag fra Committee for Information,Computer and Communications Policy (ICCP-komiteen)

AT MEDLEMSLANDENE:

  1. etablerer ny eller endrer gjeldende politikk, metoder, tiltak, rutiner og prosedyrer for å avspeile og ta hensyn til prinsippene for kryptopolitikk framlagt i Retningslinjene i vedlegget til denne anbefaling (heretter kalt “Retningslinjene”), som er en vesentlig bestanddel av anbefalingen, og at de samtidig også tar hensyn til Rådets anbefaling av 23 september 1980 vedrørende retningslinjer for beskyttelse av personlig integritet og internasjonal trafikk av persondata over landegrensene [C(80)58/FINAL] og Rådets anbefaling av 26 -27 november 1992 vedrørende retningslinjer for informasjonssystemers sikkerhet [C(92)188/FINAL],
  2. samrår, samordner og samarbeider på nasjonalt og internasjonalt plan om iverksettingen av Retningslinjene,
  3. handler i samsvar med behovet for praktiske og operative løsninger på området internasjonal kryptopolitikk ved å legge Retningslinjene til grunn for avtaler om konkrete spørsmål knyttet til internasjonal kryptopolitikk,
  4. gjør Retningslinjene kjent for alle deler av offentlig og privat sektor for å fremme bevisstgjøring om spørsmål og politikk knyttet til krypto,
  5. fjerner utilbørlige hindringer for internasjonal handel og utviklingen av informasjons- og kommunikasjonsnettverk eller unngår at kryptopolitikk i seg selv skaper slike hindringer,
  6. angir nasjonale kontrolltiltak pålagt av offentlige myndigheter i tilknytning til bruk av krypto på en klar måte og gjør dem offentlig tilgjengelige,
  7. gjennomgår Retningslinjene minst hvert femte år med sikte på å forbedre det internasjonale samarbeidet om saker som angår kryptopolitikk.

VEDLEGG

RETNINGSLINJER FOR KRYPTOPOLITIKK

I. FORMÅL

Formålet med Retningslinjene er:

  • å fremme bruk av krypto:
  • å skape tillit til infrastrukturer, nettverk og systemer for informasjon og kommunikasjon og til måten de benyttes på,
  • · å være med på å sørge for datasikkerhet og ivaretakelse av personvernet i infrastrukturer, nettverk og systemer for informasjon og kommunikasjon av nasjonal og global art,
  • - å fremme slik bruk av krypto uten at det i urimelig grad oppstår fare for offentlig sikkerhet, rettshåndheving og rikets sikkerhet,
  • å øke bevisstheten om behovet for forenlig kryptopolitikk og -lover og for behovet for interoperable, flyttbare og mobile kryptometoder i nasjonale og globale informasjons- og kommunikasjonsnettverk,
  • å hjelpe beslutningstakere i offentlig og privat sektor med å utvikle og iverksette konsekvent nasjonal og internasjonal politikk, metoder, tiltak, rutiner og prosedyrer for effektiv bruk av krypto,
  • å fremme samarbeid mellom offentlig og privat sektor om utvikling og iverksetting av nasjonal og internasjonal politikk, metoder, tiltak, rutiner og prosedyrer,
  • å lette internasjonal handel ved å fremme kostnadseffektive, interoperable, flyttbare og mobile kryptosystemer,
  • å fremme internasjonalt samarbeid mellom offentlige myndigheter, næringsliv, forskningsmiljøer og standardiseringsorganer for å oppnå samordnet bruk av kryptometoder.

II. VIRKEFELT

Retningslinjene henvender seg først og fremst til offentlige myndigheter med hensyn til politikkanbefalingene, men med en forventning om at de i utstrakt grad vil bli lest og fulgt av både privat og offentlig sektor.

Det erkjennes at offentlige myndigheter har et eget og særlig ansvar for å beskytte informasjon som krever sikkerhet utfra nasjonale interesser. Retningslinjene er ikke ment å skulle anvendes i slike saker.

III. DEFINISJONER

For disse Retningslinjers formål menes med:

“Autentisering”, en funksjon for å fastslå gyldigheten av en påstått identitet for en bruker, utstyrsenhet eller annen enhet i et informasjons- eller kommunikasjonssystem.

“Tilgjengelighet”, den egenskap at data, informasjon og informasjons- og kommunikasjonssystemer er tilgjengelige og kan benyttes når det passer og på den nødvendige måte.

“Konfidensialitet”, den egenskap at data eller informasjon ikke gjøres tilgjengelig eller kjent for uautoriserte personer, virksomheter eller prosesser.

“Krypto”, (kryptografi) fagområdet som omfatter prinsipper, midler og metoder for omdanning av data i den hensikt å skjule informasjonsinnholdet, fastslå autentisitet, forhindre ikke-påvist modifikasjon, forhindre fornekting og/eller forhindre uautorisert bruk.

“Kryptonøkkel”, en parameter som benyttes sammen med en kryptoalgoritme for å omdanne, validere, autentisere, kryptere og dekryptere data.

“Kryptometoder”, kryptoteknikker, -tjenester, -systemer, -produkter og nøkkelhåndteringssystemer.

“Data”, en representasjon av informasjon i en form som egner seg for kommunikasjon, tolkning, lagring eller behandling.

“Dekryptering”, den motsatte prosess av kryptering.

“Kryptering”, omdanning av data ved bruk av krypto for å frambringe uforståelige data (krypterte data) i den hensikt å sikre dataenes konfidensialitet.

“Integritet”, den egenskap at data eller informasjon ikke er blitt modifisert eller endret på en uautorisert måte.

“Interoperabilitet” mellom kryptometoder, den egenskap at flere kryptometoder har teknisk evne til å virke sammen.

“Nøkkelhåndteringssystem”, et system for generering, lagring, distribusjon, revokering, sletting, arkivering, sertifisering eller anvendelse av kryptonøkler.

“Nøkkelholder”, en person eller virksomhet som er i besittelse av eller har kontroll med kryptonøkler. En nøkkelholder er ikke nødvendigvis en bruker av nøkkelen.

“Rettshåndheving”, en referanse til håndhevingen av alle lover uten hensyn til hva de omhandler.

“Rettshjemlet adgang”, adgang for tredjepart -- person eller virksomhet, herunder offentlig myndighet -- til klartekst eller kryptonøkler for krypterte data i henhold til gjeldende rett.

“Mobilitet” ved kryptometoder, betyr bare teknisk evne til å fungere i flere land eller i flere enn en informasjons- og kommunikasjonsinfrastruktur.

“Ikke-fornekting”, en egenskap oppnådd gjennom kryptometoder og som hindrer en person eller virksomhet i å nekte for å ha utført en bestemt handling knyttet til data (for eksempel mekanismer for ikke-avvisning av autoritet (opprinnelse), bevis på forpliktelse, hensikt eller tilsagn eller bevis på eierforhold).

“Personopplysninger”, informasjon knyttet til en identifisert eller identifiserbar person.

“Klartekst”, lesbare data.

“Flyttbarhet” ved kryptometoder, teknisk evne til å bli tilpasset og fungere i flere systemer.

IV. INTEGRASJON

Prinsippene i avsnitt V i dette vedlegg, som hver for seg trekker fram et viktig politikkforhold, er innbyrdes avhengige av hverandre og bør iverksettes som en helhet, slik at det kan tas tilbørlig hensyn til de ulike interessene som er involvert. Ingen av prinsippene bør iverksettes isolert fra de øvrige

V. PRINSIPPER

1. TILLIT TIL KRYPTOMETODER

Kryptometoder bør være pålitelige for å skape tillit til bruk av informasjons- og kommunikasjonssystemer.

Markedskreftene bør være til hjelp for å bygge opp tillit til pålitelige systemer, og myndighetsregulering, lisensiering og bruk av kryptometoder kan også fremme brukertillit. Likeledes kan evaluering av kryptometoder, særlig etter kriterier som er akseptert av markedet, skape brukertillit.

Av hensyn til brukertilliten bør en kontrakt som omhandler bruk av et nøkkelhåndteringssystem, angi hvilken jurisdiksjons lovgivning som får anvendelse på et slikt system.

2. VALG AV KRYPTOMETODER

Brukerne bør ha rett til å kunne velge hvilken som helst kryptometode, innen rammen av gjeldende rett.

Brukerne bør ha adgang til krypto som dekker deres behov, slik at de kan stole på informasjons- og kommunikasjonssystemers sikkerhet og på konfidensialiteten og integriteten til data i disse systemene. Personer eller virksomheter som eier, kontrollerer, har adgang til, bruker eller lagrer data, kan være tillagt ansvaret for å sikre slike datas konfidensialitet og integritet, og det kan derfor være deres ansvar at det anvendes egnede kryptometoder. Det forventes at det kan bli behov for en rekke kryptometoder for å oppfylle ulike krav til datasikkerhet. Innen rammen av gjeldende rett bør brukere av krypto ha frihet til å bestemme hvilken type og hvilket nivå de har behov for med hensyn til datasikkerhet og til å velge og iverksette egnede kryptometoder, herunder et nøkkelhåndteringssystem som passer for deres behov.

For å ivareta en bestemt offentlig interesse, for eksempel sikring av persondata eller elektronisk handel, kan offentlige myndigheter iverksette politikk som krever kryptometoder for å oppnå et tilstrekkelig sikringsnivå.

Offentlig kontroll med kryptometoder bør ikke være mer omfattende enn det som er nødvendig for å oppfylle myndighetenes ansvar, og bør i størst mulig grad respektere brukernes valg. Dette prinsippet bør ikke fortolkes som om det skulle innebære at offentlige myndigheter bør iverksette en lovgivning som begrenser brukernes valg.

3. MARKEDSDREVET UTVIKLING AV KRYPTOMETODER

Kryptometoder bør utvikles for å dekke personers, næringslivets og offentlige

myndigheters behov, etterspørsel og ansvar.

Utviklingen og tilveiebringelsen av kryptometoder bør bestemmes av markedet i et åpent og konkurrerende miljø. En slik framgangsmåte er best egnet til å sikre at løsningene holder tritt med skiftende teknologi, brukernes etterspørsel og trusler rettet mot informasjons- og kommunikasjonssystemers sikkerhet. Utviklingen av internasjonale tekniske standarder, kriterier og protokoller knyttet til kryptometoder bør også drives fram av markedet. Offentlige myndigheter bør oppmuntre og samarbeide med næringsliv og forskningsmiljøer om utviklingen av kryptometoder.

4. STANDARDER FOR KRYPTOMETODER

Tekniske standarder, kriterier og protokoller for kryptometoder bør utvikles og gjøres kjent på nasjonalt og internasjonalt plan.

Som svar på markedets behov bør internasjonalt anerkjente standardiseringsorganer, offentlige myndigheter, næringsliv og andre relevante eksperter utveksle informasjon og samarbeide om å utvikle og gjøre kjent interoperable tekniske standarder, kriterier og protokoller for kryptometoder. Eventuelle nasjonale standarder for kryptometoder bør være i samsvar med internasjonale standarder for å lette global interoperabilitet, flyttbarhet og mobilitet. Det bør utvikles mekanismer for å vurdere samsvar med slike tekniske standarder, kriterier og protokoller for kryptometoders interoperabilitet, flyttbarhet og mobilitet. I den grad det foretas prøving av samsvar med standarder eller evaluering av standarder, bør det oppmuntres til bred aksept av resultatene.

5. SIKRING AV PERSONVERN OG PERSONDATA

Enkeltpersoners grunnleggende rett til beskyttelse mot inngrep i personvernet, herunder hemmeligholdelse av kommunikasjonsinnhold og sikring av persondata, bør respekteres i nasjonal kryptopolitikk og ved iverksetting og bruk av kryptometoder.

Kryptometoder kan være et verdifullt verktøy for beskyttelse av personvernet, herunder både data- og kommunikasjonskonfidensialitet og beskyttelse av enkeltpersoners identitet. Kryptometoder byr også på nye muligheter til å redusere innsamlingen av persondata til et minimum ved å legge til rette for sikre, men anonyme betalinger, transaksjoner og samhandlinger. Samtidig har kryptometoder for å sikre integriteten til data i elektroniske transaksjoner konsekvenser for personvernet. Disse konsekvensene, som omfatter innsamling av persondata og etablering av systemer for personidentifisering, bør vurderes og klarlegges, og der det er formålstjenlig, bør det iverksettes sikringstiltak for å ivareta hensynet til personvernet.

OECDs retningslinjer for beskyttelse av personlig integritet og internasjonal trafikk av persondata (OECD Guidelines for the Protection of Privacy and Transborder Data Flows of Personal Data) gir en generell rettledning med hensyn til innsamling og håndtering av personopplysninger og bør anvendes sammen med relevante nasjonale lovbestemmelser når kryptometoder tas i bruk.

6. RETTSHJEMLET ADGANG

Nasjonal kryptopolitikk kan tillate rettshjemlet adgang til klartekst eller kryptonøkler for krypterte data. Slik politikk må i størst mulig grad respektere de øvrige prinsippene som inngår i Retningslinjene.

Dersom offentlige myndigheter vurderer politikk for kryptometoder som sørger for rettshjemlet adgang, bør de nøye veie fordelene, herunder fordelene for offentlig sikkerhet, rettshåndheving og rikets sikkerhet, så vel som risikoen for misbruk, tilleggskostnader for eventuell underliggende infrastruktur, muligheter for tekniske uhell og andre kostnader. Dette prinsippet bør ikke fortolkes som om det skulle innebære at offentlige myndigheter bør iverksette en lovgivning som ville tillate rettshjemlet adgang.

Når det anmodes om adgang til klartekst eller kryptonøkler for krypterte data etter en lovlig prosess, må personen eller virksomheten som anmoder om adgang, ha rettshjemmel til å besitte klarteksten, og når dataene er framskaffet, må de brukes bare i lovlig øyemed. Prosessen som fører til at rettshjemlet adgang oppnås, bør registreres slik at avdekkingen av kryptonøkler eller data kan revideres eller gjennomgås i samsvar med nasjonal lovgivning. Når det anmodes om rettshjemlet adgang og anmodningen tas til følge, bør adgang innvilges innenfor angitte tidsrammer som er tilpasset omstendighetene. Vilkårene for rettshjemlet adgang bør være klart angitt og offentliggjort på en slik måte at de er lett tilgjengelig for brukere, nøkkelholdere og leverandører av kryptometoder.

Nøkkelforvaltningssystemer kan danne grunnlag for en mulig løsning som tar tilbørlig hensyn til både brukeres og lovhåndhevende myndigheters interesser. Disse teknikkene kan også brukes til å gjenopprette data når nøkler er gått tapt. Prosesser for rettshjemlet adgang til kryptonøkler må anerkjenne skillet mellom nøkler som brukes til å sikre konfidensialitet, og nøkler som bare brukes til andre formål. En kryptonøkkel som bare sørger for identitet eller integritet (til forskjell fra en kryptonøkkel som bare verifiserer identitet eller integritet), bør ikke gjøres tilgjengelig uten samtykke fra den personen eller virksomheten som er i lovlig besittelse av nøkkelen.

7. ANSVAR

Uansett om det er fastslått ved avtale eller lovgivning, bør ansvaret som påhviler personer og virksomheter som tilbyr kryptotjenester eller innehar eller har adgang til kryptonøkler, være angitt på en klar måte.

Ansvaret som påhviler en person eller virksomhet, herunder en offentlig virksomhet, som tilbyr kryptotjenester eller innehar eller har adgang til kryptonøkler, bør klarlegges ved avtale eller, dersom det er formålstjenlig, gjennom nasjonal lovgivning eller internasjonal overenskomst. Brukeres ansvar for misbruk av deres egne nøkler bør også klarlegges. En nøkkelholder bør ikke holdes ansvarlig for å ha framskaffet kryptonøkler eller klartekst for krypterte data innen rammen av rettshjemlet adgang. En part som oppnår rettshjemlet adgang, bør være ansvarlig for misbruk av kryptonøkler eller klartekst han har oppnådd adgang til.

8. INTERNASJONALT SAMARBEID

Regjeringene bør samarbeide for å samordne kryptopolitikker. Som et ledd i slike bestrebelser bør regjeringer fjerne utilbørlige handelshindringer eller unngå at kryptopolitikk i seg selv skaper slike hindringer.

For å fremme bred internasjonal aksept for krypto og muliggjøre utnyttelse av nasjonale og globale informasjons- og kommunikasjonsnettverks fulle potensial, bør kryptopolitikk som vedtas av et land, i størst mulig grad samordnes med tilsvarende politikk i andre land. For dette formålet bør Retningslinjene anvendes ved utforming av nasjonal politikk.

Dersom det er utviklet nasjonale nøkkelforvaltningssystemer, må disse, dersom det er formålstjenlig, muliggjøre internasjonal bruk av krypto.

Rettshjemlet adgang på tvers av landegrensene kan oppnås gjennom samarbeid og overenskomster på bilateral og multilateral basis.

Ingen regjering bør hindre den frie flyten av krypterte data som strømmer gjennom dens jurisdiksjon utelukkende med begrunnelse i kryptopolitikk.

For å fremme internasjonal handel bør regjeringene unngå å utvikle kryptopolitikk og -rutiner som skaper utilbørlige hindringer for global elektronisk handel. Regjeringene bør unngå å skape utilbørlige hindringer for kryptometoders internasjonale tilgjengelighet.

RAPPORT OM BAKGRUNNEN FOR KRYPTOPOLITIKK OG OM PROBLEMSTILLINGER I TILKNYTNING TIL EN SLIK POLITIKK

Sekretariatet i OECD har utarbeidet denne rapporten om bakgrunnen for kryptopolitikk og om problemstillinger i tilknytning til en slik politikk for å klarlegge sammenhengen mellom Retningslinjene og de grunnleggende problemstillingene som tas opp i debatten om kryptopolitikk. Rapporten redegjør for behovet for internasjonal handling og oppsummerer beslektet arbeid som så langt er utført av OECD og visse andre organisasjoner. Rapporten er et informasjonsdokument og er tenkt som et bidrag i den offentlige debatten om Retningslinjene, ikke som et innlegg for å påvirke fortolkningen av Retningslinjene. Selv om den gir nærmere enkeltheter om omfanget av problemstillingene som behandles i Retningslinjene, endrer rapporten ikke hensikten med Retningslinjene og må ikke anvendes som en fortolkende veiledning. Rapporten er utarbeidet av sekretariatet, som har hatt nyttige diskusjoner med en rekke nasjonale eksperter. Rapporten er imidlertid bare i all korthet i ekspertenes plenumsmøter.

I. GENERELL BAKGRUNN

Overgang til elektroniske transaksjoner

Informasjon er i ferd med å få større verdi, og produksjon, distribusjon og bruk av informasjon er en stadig viktigere økonomisk virksomhet. Informasjon leveres ofte som en vare og kan ha et immaterialrettslig vern. Informasjonsprodusenter søker adgang til distribusjonskanaler, mens forbrukere etterspør adgang til et bredt spekter av informasjonskilder. Dessuten er fri flyt av informasjon en vesentlig forutsetning for demokrati.

Tradisjonelle telefon-, kringkastings-, kabel-TV- og radiosystemer har for lengst tatt i bruk elektronisk utstyr for å formidle informasjon i analog form. Overgangen til digital teknologi revolusjonerer imidlertid den måten informasjon skapes og håndteres på. Digital databehandling og nettverksteknologi erstatter tradisjonelle metoder for produksjon, lagring, overføring og spredning av informasjon. Med digital teknologi er det enkelt å kombinere ulike måter å presentere informasjon på - for eksempel tekst, lyd, bilder og video - og skillet mellom ulike former for informasjonsproduksjon og distribusjon er i ferd med å viskes ut. Dessuten vil framvoksende informasjons- og kommunikasjonsnettverk med tilhørende teknologi endre måten mennesker kommuniserer og gjør forretninger på, og de har en dyptgripende virkning i offentlig og privat sektor ved å nødvendiggjøre en rekke forandringer i blant annet grunnleggende kommersielle, rettslige og andre strukturer.

Sammensmeltingen av tidligere atskilte informasjons- og kommunikasjonssystemer til et globalt nettverk sammensatt av mange nettverk skaper mekanismer for nye måter å utføre transaksjoner på og vil snart muliggjøre en så å si ubegrenset adgang til informasjons-, utdannings- og underholdningskilder. I kjølvannet av denne adgangen følger nye immaterialrettslige spørsmål som er helt spesielle for det framvoksende mediet. Selv om åpne informasjons- og kommunikasjonsnettverk gjør elektronisk overføring av alle slags digitaliserte data hurtig, rimelig og enkel, stiller evnen til å lage og distribuere fullkomne kopier av alle slags data oss overfor en rekke utfordringer med hensyn til immaterialrettslig vern. Handel med kreativt innhold kan virke som en økonomisk spore til å drive fram utviklingen av informasjons- og kommunikasjonsteknologi, og immaterialrettslig vern er av avgjørende betydning for å stimulere produksjon av innhold av høy kvalitet og handel med dette.

Elektronisk handel byr på store muligheter for næringslivet og forbrukerne, men medfører også en betydelig risiko. Den eksplosive veksten av åpne nettverk verden over har gitt opphav til berettiget bekymring: Er det iverksatt tilstrekkelige tiltak for å ivareta sikkerhet og personvern for informasjons- og kommunikasjonssystemer og data som overføres og lagres i slike systemer? Informasjonsinfrastrukturen som er under utvikling, er et yndet miljø for all slags datakriminalitet, herunder svindel og inngrep i personvernet, og elektronisk forretningsvirksomhet vil ikke vokse videre før det er iverksatt effektive tiltak for datasikkerhet og tiltakene har vunnet tillit hos brukere og forbrukere. Det kreves både tekniske og juridiske løsninger før den elektroniske verden kan erstatte den fysiske sikkerheten som har preget den papirbaserte verden. Det er viktig at løsningene er pålitelige, og at forbrukerne har tillit til dem.

II. INFORMASJONSSYSTEMERS SIKKERHET OG KRYPTO

Betydningen av informasjons- og kommunikasjonssystemer for samfunnet og global økonomi forsterkes gjennom den økende verdien av data og mengden av data som overføres og lagres i slike systemer. Samtidig blir systemer og data også stadig mer sårbare for en rekke trusler, for eksempel uautorisert adgang og bruk, utroskap, endring og ødeleggelse. Rask utbredelse av datamaskiner, kraftigere maskiner, sammenkoplingsmulighet, desentralisering, vekst i antallet nett og brukere og sammensmelting av informasjons- og kommunikasjonsteknologi forsterker selvsagt systemenes nytte, men øker også deres sårbarhet.

Informasjons- og kommunikasjonssystemers sikkerhet omfatter sikring av tilgjengelighet, konfidensialitet og integritet både for systemer og for data som overføres og lagres i systemene. Tilgjengelighet er den egenskap at data, informasjon og informasjons- og kommunikasjonssystemer er tilgjengelige og kan benyttes når det passer og på den nødvendige måten. Konfidensialitet er den egenskap at data eller informasjon ikke gjøres tilgjengelig eller kjent for uautoriserte personer, virksomheter eller prosesser. Integritet er den egenskap at data eller informasjon ikke er blitt modifisert eller endret på en uautorisert måte. Tilgjengelighetens, konfidensialitetens og integritetens relative prioritet og betydning varierer avhengig av informasjons- og kommunikasjonssystem og måten det blir brukt på. Med hensyn til sikkerhet for informasjons- og kommunikasjonssystemer og data som lagres og overføres i dem, avhenger kvaliteten ikke bare av tekniske tiltak, herunder bruk av både maskinvare- og programvareverktøy, men også av gode styrings-, organiserings- og driftsrutiner.

Krypto er en viktig del av sikre informasjons- og kommunikasjonssystemer, og det er blitt utviklet en rekke applikasjoner som tar i bruk kryptometoder for å oppnå datasikkerhet. Krypto er et effektivt verktøy for å sørge for datas konfidensialitet og integritet, og hver av de nevnte applikasjonene byr på visse fordeler. Den utstrakte anvendelsen av krypto reiser imidlertid en rekke viktige spørsmål. Offentlige myndigheter har vidtgående, ansvarsfulle oppgaver, hvorav mange særlig angår bruk av krypto, herunder tiltak for å beskytte borgerne mot inngrep i personvernet, for å gjøre det enklere å sikre informasjons- og kommunikasjonssystemer, for å bidra til økonomisk velstand, til dels ved å fremme elektronisk handel, for å opprettholde offentlig sikkerhet, for å skaffe inntekter for å finansiere offentlig virksomhet, og for å muliggjøre rettshåndheving og vern av rikets sikkerhet. Selv om det hos offentlige myndigheter, i næringslivet og blant enkeltpersoner finnes et legitimt behov for og gjøres legitim bruk av krypto, kan krypto også utnyttes av personer eller virksomheter i ulovlig øyemed, noe som kan påvirke offentlig sikkerhet, rikets sikkerhet, rettshåndheving, forretningsinteresser, forbrukerinteresser eller personvernet. Det er derfor en utfordring for myndighetene sammen med næringslivet og allmennheten for øvrig å utvikle balansert politikk for å løse disse problemene.

De ulike interessene som kan bli påvirket ved bruk av eller mangel på bruk av krypto, gjør utviklingen av balansert kryptopolitikk til en kompleks og viktig sak. Tradisjonelt ble krypto som oftest brukt bare av offentlige myndigheter. Men i de senere årene -- etter hvert som krypto er blitt lettere tilgjengelig og mulig å ha råd til, og etter hvert som brukerne har fått større innsikt i fordelene ved å anvende den og risikoen ved å la være -- er krypto også blitt en selvsagt ting for enkeltpersoner og næringsliv i en rekke sammenhenger. Det faktum at krypto er blitt stadig mer tilgjengelig for allmennheten, har vært en drivkraft i den løpende debatten om disse problemstillingene.

Hemmelig-nøkkel-krypto

Historisk sett har krypto vært brukt til koding av informasjon for å holde hemmelige meldinger skjult for uautoriserte parter og er i denne egenskap viktig for forsvaret og av hensyn til rikets sikkerhet. Krypto benytter en algoritme for å omdanne data slik at de blir uforståelige for alle som ikke er i besittelse av bestemte, hemmelige informasjoner (“kryptonøkler”). Uten dem kan dataene ikke dekrypteres. Takket være den økte regnekapasiteten som utviklingen av digitale maskiner har tilført oss, kan vi i våre dager anvende komplekse matematiske algoritmer ved kryptering av data.

Utviklingen av informasjons- og kommunikasjonsteknologi som gjør det mulig å overføre, kopiere og lagre enorme datamengder raskt og enkelt, er årsak til en voksende interesse for sikring av personvernet og konfidensialitet med hensyn til data, herunder persondata, offentlige myndigheters dataregistre samt forretnings- og økonomisk informasjon. Effektiv krypto er et viktig redskap i et nettverksmiljø for å ivareta disse interessene og brukes også for å beskytte gradert offentlig informasjon.

Offentlig-nøkkel-krypto

Midt på 1970-tallet førte ny utvikling innen krypto til innføring av begrepet “offentlig nøkkel”, som tillater partnere å utveksle krypterte data uten å meddele hverandre en felles hemmelig nøkkel på forhånd. I stedet for å dele en hemmelig nøkkel anvender hver kommunikasjonspart etter det nye opplegget to nøkler som er matematisk knyttet til hverandre, nemlig en “offentlig nøkkel” som hvem som helst kan få tak i, og en tilhørende “privat nøkkel”, som holdes hemmelig. En melding som er kryptert ved bruk av en offentlig nøkkel, kan dekrypteres bare ved hjelp av den tilhørende private nøkkelen. På denne måten kan en fortrolig melding som krypteres med mottakerens offentlige nøkkel og dekrypteres med mottakerens private nøkkel, bare forstås av mottakeren av meldingen(1).

Et viktig anvendelsesområde for offentlig-nøkkel-krypto er “digital signatur”, som kan brukes til verifisering av datas integritet eller av autentisiteten til dataenes avsender. I dette tilfellet brukes den private nøkkelen til “signering” av en melding, mens den tilhørende offentlige nøkkelen brukes til verifisering av en “signert” melding. Fordelen ved offentlig-nøkkel-krypto er muligheten for fortrolige overføringer og digital signatur i et åpent nettverksmiljø, der partnerne ikke kjenner hverandre på forhånd. Denne utviklingen baner vei for bredere anvendelse av kryptometoder og har -- sammen med kraftigere maskiner og fallende maskinpriser -- ført krypto inn på den private sektors domene.

Offentlig-nøkkel-krypto spiller en viktig rolle i utviklingen av informasjonsinfrastruktur. Mye av interessen for informasjons- og kommunikasjonsnettverk og -teknologi knytter seg til deres mulighet til å gi plass til elektronisk handel. Åpne nettverk, som for eksempel Internett, byr imidlertid på betydelige utfordringer med hensyn til etablering av bindende elektroniske kontrakter og gjennomføring av sikre betalinger. I forbindelse med sertifisering av datas integritet har offentlig-nøkkel-krypto teknologiske løsninger for begge disse problemene ved å sørge for mekanismer som beviser at en bruker, utstyrsenhet eller annen virksomhet i et informasjonssystem er den de utgir seg for (“autentisering”), og som begrenser en persons eller virksomhets mulighet til effektivt å nekte for å ha utført en bestemt datarelatert handling (“ikke-fornekting”).

1. For en mer detaljert beskrivelse av virkemåten når krypto er basert på bruk av offentlig nøkkel, vises til: ”Cryptography’s role in Securing the Information Society”, Computer Science and Telecommunications Board, United States National Research Council, National Academy Press, Washington DC, 1996. ”Cryptography FAQ: Public Key Cryptography”, Oxford University Libraries Automation Service, World Wide Web Server, http://www.lib.ox.av.uk/internet/news/faq/archive/cryptography-faq.part06.html ”PUBLIC-KEY CRYPTOGRAPHY”, United States National Institute of Standards and Technology’s Computer Security Resource Clearinghouse, NIST Special Publication 800-2, http://csrc.ncsl.nist.gov/nistpubs/800-2.txt

Digital signatur

Det er enorme muligheter for svindel i den elektroniske verden. Transaksjoner foretas over store avstander uten at fordelen ved fysiske spor som muliggjør identifisering, er til stede, og det er derfor enkelt å utgi seg for å være en annen enn den man er. Muligheten for å lage fullkomne kopier og foreta ikke-påvisbare endringer av digitaliserte data kompliserer saken. Tradisjonelle, håndskrevne signaturer tjener til å fastslå et originaldokuments autentisitet. I den elektroniske verden er “originaldokument” et problematisk begrep, men en digital signatur kan verifisere datas integritet og sørge for autentiserings- og ikke-fornektingsfunksjoner for å sertifisere en avsender av data. Dersom selve dokumentet på noen måte er blitt endret etter at det er “signert”, vil den digitale signaturen påvise det. På samme måte gjelder at straks et dokument er signert ved bruk av en kryptonøkkel, vil den digitale signaturen være et bevis for at dokumentet ble “signert” av den påståtte opphavsmannen, og det vil ikke være lett for avsenderen å nekte for å ha sendt dokumentet eller å hevde at informasjonen er blitt endret under overføringen.

Krypto kan også framskaffe tekniske løsninger for immaterialrettslig vern i digital form. En digital signatur sammen med et verifiserbart tidsstempel kan for eksempel gi skribenter en viss kontroll over det egne arbeidet ved å knytte et elektronisk dokument til utstederen og sikre at dokumentet ikke endres uten at det lar seg påvise. Samme teknologi kan anvendes for å sikre autentisitet og integritet for dokumenter som er elektronisk arkivert.

Elektroniske betalinger

Sikre betalingssystemer er en nødvendighet for at elektronisk handel i åpne nettverk skal kunne blomstre. En måte å foreta elektroniske betalinger på, er å anvende en modifisert versjon av det eksisterende kredittkortsystemet. Krypto kan benyttes for å beskytte konfidensialiteten ved en melding som inneholder et

kredittkortnummer, og for å bekrefte at meldingen virkelig er sendt av kortholderen. Selv om denne metoden for tiden er i bruk, gjør den kredittkortnummeret sårbart for uberettiget bruk etter at meldingen som inneholder nummeret, er blitt dekryptert. En annen løsning innebærer verifiserbare sikkerhetsmekanismer for at transaksjonen skal kunne skje ad elektronisk vei som ikke bare er basert på utveksling av et kredittkortnummer - slik som uavhengig bekreftelse ved digital signatur - samt en autorisasjonsprosess som ikke er knyttet til et proprietært nett, slik at handelen kan skje i åpne nettverk.

Flere opplegg for andre typer elektroniske betalingssystemer befinner seg på utviklingsstadiet og er mer eller mindre langt kommet, herunder en rekke forskjellige systemer for “digitale penger”. Systemer for digitale penger benytter krypto for å skape en entydig elektronisk representasjon som kan løses inn som betaling, eller som kan utgjøre et lovlig betalingsmiddel som kan lagres, overføres og er umulig å forfalske. De fleste av disse systemene virker omtrent på samme måte som kredittkort, debetkort eller sjekker og tilbyr sporbarhet og anonymitet i varierende grad. Andre fungerer mer eller mindre som “digitale kontanter” og gir rom for fullstendig anonyme transaksjoner i likhet med mynt. Selv om deres evne til å utføre ikke-sporbare og anonyme elektroniske transaksjoner byr på særlige fordeler for personvernet i det elektroniske miljøet, stiller den også en rekke problemer for offentlige myndigheter -- særlig skattemyndighetene -- i forbindelse med skatteinnkreving og hvitvasking av penger.

Sertifisering av tilhørighet til offentlig nøkkel

Bekreftelse av forbindelsen mellom en person eller virksomhet og en offentlig nøkkel tilknyttet dem er viktig for å sikre seg mot at noen i et elektronisk miljø utgir seg for å være en annen enn den han er. For at offentlige nøkkelsystemer skal fungere i det offentlige domenet, må ikke bare den offentlige nøkkelen være fritt tilgjengelig, men sendere og mottakere må også kunne avgjøre på en pålitelig måte om offentlige nøkler virkelig er nøklene til partnere de ønsker å være i interaksjon med. Dette kan gjennomføres direkte dersom partnerne kjenner hverandre på forhånd, eller det kan etableres en formell mekanisme for “sertifisering” av nøkler. Med dette i tankene har det dukket opp to løsninger: en ordning med et uformelt “tillitsbasert nett” som bygger på allerede eksisterende forbindelser mellom partnerne, og en mer formalisert metode basert på “sertifiseringsmyndigheter”. Slike metoder for sertifisering av tilhørighet til offentlig nøkkel fungerer langt på vei på samme måte som eksisterende metoder for kartlegging av partnere for sosial og kommersiell samhandling.

Det uformelle tillitbaserte nettet fungerer når nøkler valideres fra person til person eller fra organisasjon til organisasjon innen rammen av etablerte forbindelser. På denne måten vil tilliten til forbindelsen mellom en person eller virksomhet og en offentlig nøkkel tilknyttet dem, etter hvert som akkreditiver etableres gjennom mange individuelle tillitsnivåer, utvides fra partnere som har en direkte forbindelse, til å omfatte partnere som ikke har det. Denne metoden for sertifisering av offentlige nøkler brukes for tiden hovedsakelig ved utveksling av krypterte data mellom personlig bekjente, men etter hvert som den elektroniske handelen brer om seg, kan metoden kanskje utvikle seg til å bli et viktig element i forretningsforhold også.

Den andre grunnleggende måten å takle problemet på er en offentlig nøkkelinfrastruktur der sertifiseringsmyndigheter autentiserer offentlige nøkler. En sertifiseringsmyndighet er en “tiltrodd” virksomhet som skaffer informasjon om en nøkkelholders identitet i form av et autentisert “nøkkelsertifikat”. Sertifikatet brukes til verifisering av identiteten til partnere som utveksler kryptert informasjon gjennom et nett. Sertifiseringsmyndigheter kan også utføre andre funksjoner, for eksempel notarius publicus- og tidsstempeltjenester. Sertifiseringsmyndigheter kan opprettes av enten offentlig eller privat sektor, og de kan fungere enten internt for en enkelt organisasjon eller for det store og brede publikum.

Videre må sertifiseringsmyndigheten selv være pålitelig, slik at sertifikatutstederen kan ha behov for å være sertifisert. Dette problemet kunne løses ved både et hierarki av sertifiseringsmyndigheter og et system av kryssertifiserte sertifiseringsmyndigheter. På internasjonalt plan kan det være nyttig med uavhengige internasjonale administrative rammer for sertifisering av offentlige nøkler. Skillet mellom metodene tillitsbasert nett og sertifiseringsmyndigheter viskes ut når organisasjoner som sørger for sertifikatfunksjoner, kryssertifiserer hverandre. Mange undersøkelser har vist at potensialet som ligger i elektronisk handel, ikke vil kunne utnyttes fullt ut før det vokser fram en offentlig nøkkelinfrastruktur som vekker så stor tillit at næringsliv og enkeltpersoner overlater informasjon og transaksjoner til de framvoksende offentlige nettene. Hittil er det få jurisdiksjoner som har vedtatt en særlig lovgivning for sertifikatinfrastruktur. En rekke medlemsland ser imidlertid på saken og vurderer myndighetsregulering og lisensieringsprosedyrer for sertifiseringsmyndigheter.

III. SÆRLIGE PROBLEMSTILLINGER SOM MÅ VURDERES I FORBINDELSE MED KRYPTOPOLITIKK

Brukertillit

Enkeltpersoner, foretak og offentlige myndigheter blir i stadig sterkere grad berørt av elektroniske informasjons- og kommunikasjonssystemer og blir stadig mer avhengige av at systemene fungerer som de skal, uten avbrudd. Samtidig er det et voksende behov for tillit til at disse systemene fortsetter å være pålitelige og sikre, særlig etter hvert som systemer for elektronisk handel og elektronisk betaling brer om seg. Mangel på sikkerhet eller mangel på tillit til systemenes sikkerhet kan hindre både utvikling og bruk av ny informasjons- og kommunikasjonsteknologi.

Akkurat som i virkelighetens verden -- der kredittkort ettergjøres og penger stjeles -- vil den “virtuelle verden” aldri være absolutt sikker. Selv om sikkerhetsmetoder og -tjenester bør være pålitelige slik at brukerne av informasjons- og kommunikasjonssystemer kan ha tillit til dem, vil elektroniske transaksjoner i siste instans innebære en kalkulert risiko. Forbrukerne vil velge elektronisk handel når fordelene ved den er større enn det de oppfatter som risiko. Spørsmålet som da melder seg, er ikke om transaksjonene er 100 % sikre, men om de er sikre nok for forbrukertransaksjoner. Det er behov for å bygge opp forbrukernes tillit til mekanismer som sørger for datasikkerhet, for eksempel krypto, slik at disse mekanismene i stor grad vil bli anvendt til elektronisk handel.

Ved å bygge opp alminnelig enighet om bruk av informasjons- og kommunikasjonssystemer kan tvil ryddes av veien og tillit styrkes. Samfunnet står overfor tre utfordringer: utvikling og implementering av teknologi, planlegging for å unngå og å avhjelpe teknologisk svikt og publikums støtte til og oppslutning om bruk av teknologi. Tiltak for å gi publikum en innføring i problemstillinger og teknologi, herunder en grundig redegjørelse om krypto i forbindelse med elektronisk handel, kan bidra til å øke forbrukernes tillit. I denne forbindelse er det også viktig at brukerne har innsikt i den rettslige rammen som regulerer deres bruk av krypto, særlig i lys av informasjons- og kommunikasjonsnettverks “grenseløse” beskaffenhet.

Brukervalg

Løsninger som beskytter mot ulike trusler mot informasjons- og kommunikasjonssystemer og data som lagres og overføres i dem, kan anta en rekke forskjellige former. Det finnes et betydelig utvalg av kryptometoder som oppfyller et bredt spekter av brukerkrav til systemer og datasikkerhet, både maskinvare- og programvareløsninger, som kan fungere alene eller integreres i beslektede produkter, og som holder et visst nivå med hensyn til styrke og kompleksitet, avhengig av algoritme og produkt. Kryptometoder kan utformes for en hvilken som helst kombinasjon av mekanismer for å oppnå konfidensialitet, autentisering eller ikke-fornekting og sikre datas integritet. Brukere vil velge ulike typer kryptometoder for ulike formål og for å oppfylle ulike krav til data- og systemsikkerhet. Er det i tillegg utviklet nøkkelhåndteringssystemer, vil det også med disse følge en rekke funksjoner som brukerne kan velge fra.

Noen regjeringer har innført et regelverk -- og andre vil kanskje gjøre det i nær framtid -- for bruk av krypto, herunder eksportkontroll, regler for nøkkelhåndteringssystemer eller krav om minimumsnivåer for sikring av visse typer data. Slik regulering kan få følger for utvalget av kryptometoder brukerne kan velge fra. Det er imidlertid bred enighet om at det innenfor disse begrensningene er viktig å holde et bredt spekter av kryptometoder tilgjengelig for å oppfylle ulike behov for data- og systemsikkerhet. Mange muligheter ved valg av kryptometoder vil fremme utvikling av et bredt produktspekter.

Markedsdrevet utvikling

Siden privat sektor spiller en avgjørende rolle i utviklingen av informasjonsinfrastruktur -- og i hovedsak er ansvarlig for oppbyggingen av den -- er de fleste eksperter enige om at industrien bør utvikle produkter og fastsette standarder basert på markedets behov. Selv om det erkjennes at offentlige myndigheter kan påvirke produktutviklingen ved å gi uttrykk for behov for en bestemt produkttype på lik linje med andre brukere, mener enkelte at offentlige myndigheter bør være forsiktige for ikke å lede markedet i en bestemt retning. Andre anser at offentlige myndigheter bør opptre som veiviser for markedet for å ivareta sine oppgaver i forbindelse med offentlig sikkerhet og personvern. Ikke desto mindre innser offentlige myndigheter også at dersom kravene de stiller til bruk av krypto blir til for stort besvær, vil brukerne av informasjons- og kommunikasjonssystemer unnlate å anvende krypto, og industrien vil ikke utvikle produkter som innebærer bruk av kryptometoder.

Standardisering

Standardisering er en viktig del av sikkerhetsmekanismer. Informasjonsinfrastruktur utvikles i et svært høyt tempo, og det dukker raskt opp standarder for sikkerhetsmekanismer, herunder kryptometoder, enten de facto gjennom markedsdominans eller gjennom nasjonale eller internasjonale standardiseringsorganer. Det er viktig at offentlige myndigheter og industrien samarbeider om å utvikle arkitektur og standarder etter behov slik at informasjons- og kommunikasjonssystemer kan utnytte sitt fulle potensial. En vanlig karakteristikk av en effektiv, standardsettende prosess er at den ledes av industrien, er frivillig, er basert på enighet og er internasjonal.

For at krypto skal fungere effektivt som sikkerhetstiltak for systemer, nettverk og infrastrukturer for informasjon og kommunikasjonsystemer er det viktig at kryptometoder er interoperable, mobile og flyttbare på globalt plan. Med interoperabilitet menes den egenskap at flere kryptometoder har teknisk evne til å virke sammen. Med mobilitet menes kryptometoders tekniske evne til å fungere i flere enn én informasjons- og kommunikasjonsinfrastruktur. Med flyttbarhet menes kryptometoders tekniske evne til å tilpasse seg og fungere i flere systemer. Nasjonale og internasjonale standarder for kryptometoder kan bidra til å gjøre utviklingen av disse tekniske egenskapene enklere.

Personvern

Respekt for personvernet og personopplysningers konfidensialitet er viktige verdier i et demokratisk samfunn. Personvernet utsettes imidlertid for større risiko nå enn før fordi verken åpne nett eller mange typer private nett i den framvoksende informasjons- og kommunikasjonsinfrastrukturen er blitt utformet med konfidensialitet for kommunikasjon og datalagre for øyet. Krypto ligger imidlertid til grunn for en ny teknologigenerasjon som legger større vekt på personvern. Bruk av effektiv krypto i et nettmiljø kan bidra til å beskytte mot misbruk av personopplysninger og sikre hemmeligholdelse av fortrolig informasjon. Å unnlate å bruke krypto i et miljø der datasikkerheten ikke er total, kan sette en rekke interesser i fare, herunder offentlig sikkerhet og rikets sikkerhet. I enkelte tilfeller, for eksempel dersom nasjonal lovgivning krever at datas konfidensialitet opprettholdes eller at viktig infrastruktur beskyttes, vil offentlige myndigheter kunne forlange at det anvendes krypto med en viss minimumsstyrke.

Samtidig kan bruk av krypto for å sørge for datas integritet i elektroniske transaksjoner også ha konsekvenser for personvernet. Bruk av nettverk til alle typer transaksjoner vil i stigende grad generere enorme datamengder som kan lagres, analyseres og gjenbrukes på en enkel og billig måte. Når disse operasjonene krever identitetsbevis, vil transaksjonsdataene etterlate seg detaljerte og kanskje ugjendrivelige spor av en enkeltpersons kommersielle virksomhet, samtidig som de også vil tegne et bilde av privat, ikke-kommersiell virksomhet, for eksempel politisk tilknytning, deltakelse i direktekoplede diskusjoner og adgang til bestemte typer informasjon i direktekoplede biblioteker eller andre databaser. Nøkkelsertifiseringsprosessen har også virkning for personvernet, for data kan samles inn når en sertifiseringsmyndighet knytter en person til et nøkkelpar.

Rettshjemlet adgang

En viktig side ved krypto er den merkbare konflikten mellom konfidensialitetshensynet og hensynet til offentlig sikkerhet. Dette er kanskje det bredest debatterte aspektet ved krypto, og det som mest sannsynlig vil være årsak til at det oppstår uensartede nasjonale politikker. Selv om bruk av krypto er viktig av hensyn til personvernet, kan det være behov for å vurdere egnede mekanismer for rettshjemlet adgang til kryptert informasjon. I mange land kan for eksempel rettshåndheving sikre rettshjemlet adgang til lagrede data eller til å fange opp kommunikasjon (eller begge deler) på visse vilkår. Begge disse metodene, som er viktige i rettshåndhevingen, vil kunne innskrenkes ved bruk av krypto, som kan forhindre rettshjemlet adgang til klartekst eller til kryptonøkler for krypterte data. I noen tilfeller kan kryptering av lagrede data umuliggjøre rettshjemlet adgang, mens data i andre tilfeller kan være gjenstand for rettshjemlet adgang et annet sted (for eksempel kan økonomiske opplysninger skaffes fra en bank i stedet for fra en persons hjemme-PC), eller nøkkelen kan skaffes for å dekryptere dataene. For land som tillater bruk av begge de nevnte metodene, er balansegangen mellom hensynet til personvernet og til forretningsinformasjons konfidensialitet og behovet til myndigheter tillagt ansvaret for rettshåndheving og rikets sikkerhet, vanskelig av politiske grunner.

Dessuten er behovet for tredjepartstilgang ikke begrenset til offentlige myndigheter. Også enkeltpersoner og næringsliv kan ha behov for adgang til kryptert informasjon, for eksempel hvis en nøkkelholder dør og etterlater seg kryptert informasjon, men ingen nøkkel til å dekryptere den, eller hvis en ansatt som har et kryptert arkiv, slutter uten å etterlate seg informasjon om kryptonøkkelen. Enkeltpersoner og næringsliv som krypterer data, kan ønske å lagre en kopi av kryptonøkler i et deponi som ville tillate rettshjemlet adgang i slike tilfeller.

Det er viktig å merke seg forskjellen mellom kryptonøkler som anvendes for å ivareta konfidensialitet, og nøkler som anvendes bare til formål som autentisering, dataintegritet og ikke-fornekting. Problemet forbundet med rettshjemlet adgang er mest relevant når krypto brukes til å bevare datas konfidensialitet i tilfelle opplysninger holdes skjult. Krypto som brukes bare til autentisering av data eller for å sørge for dataintegritet, holder ikke nødvendigvis opplysninger skjult, men verifiserer bare dataene. I dette tilfellet kan opplysningene være tilgjengelige, eller dataene vil kunne framskaffes på lovlig vis på annen måte, slik at det vil være unødvendig å skaffe seg adgang til den private nøkkelen. Dersom private nøkler brukes bare til autentisering av data eller for å sørge for dataintegritet, vil en viktig implikasjon være at når en slik nøkkel kompromitteres, vil “elektronisk ettergjøring” være mulig. Siden offentlige nøkler er utformet med sikte på plassering i det offentlige domenet, berører disse problemstillingene vanligvis ikke adgangen til offentlige nøkler.

Dersom muligheten for rettshjemlet adgang skal bevares, er det uklart hvordan dette egentlig bør gjøres. Offentlige myndigheter benytter ulike framgangsmåter og søker innovative løsninger hos industrien. En framgangsmåte som kunne danne grunnlag for en mulig løsning, en løsning som ivaretar hensynet til både brukerinteresser og til offentlige myndigheters rettshåndheving, kunne gå ut på å anvende et nøkkelhåndteringssystem, der en kopi av den private kryptonøkkelen brukt til konfidensialitetsformål kunne “lagres” hos en “tiltrodd tredjepart” (TTP)(2). Andre framgangsmåter kunne gi en tredjepart rettshjemlet adgang til krypterte data i klartekst. I den lange rekken av framgangsmåter finnes det også noen som vil kunne brukes til gjenoppretting av data når nøkler er gått tapt. Også i denne sammenhengen er det viktig å være klar over skillet mellom nøkler som anvendes til sikring av konfidensialitet, og nøkler som bare anvendes til andre formål. Nøkler som anvendes til formål som autentisering, verifisering av datas integritet og ikke-fornekting, vil ikke være gjenstand for de samme typer rettshjemlet tredjepartsadgang.

I denne forbindelse kan det være behov for å ta opp andre spørsmål, blant annet hvor nøkler skal lagres, hvem som skal ha lov til å oppbevare nøkler, og hva som skal være nøkkelholdernes ansvar og forpliktelser. Nøkkellagringssystemer må holdes atskilt fra offentlig-nøkkel-infrastruktur for sertifisering av offentlige nøkler -- en annen type tiltrodd tjeneste som en TTP kunne yte -- selv om de to tjenestene kan kombineres.

2. En TTP er en uavhengig part og kan være en virksomhet i offentlig eller privat sektor som yter tiltrodde tjenester for informasjons- eller kommunikasjonsnettverk. I dette tilfellet vil de tiltrodde tjenestene som ytes av TTP, være å oppbevare nøkkelen av sikkerhetsgrunner il henhold til bestemte vilkår og betingelser og etter avtale med de berørte parter. I et slikt system kunne det gis adgang til nøkkelen eller, dersom det passer best, til krypterte data i klartekst dersom det foreligger rettshjemmel, f eks rettslig ordre eller kjennelse utstedt av vedkommende myndighet.

Ansvar

I likhet med mange andre ting i livet fungerer heller ikke informasjons- og kommunikasjonsteknologi alltid like prikkfritt. Brannmurer kan svikte og slippe inntrengere inn, nettverk kan bryte sammen, og ruting kan sende data til galt bestemmelsessted. Dessuten kan også menneskelig svikt spille en rolle, for eksempel når data slettes av vanvare eller passord ikke holdes hemmelige. I kryptosammenheng kan systemfeil eller menneskelig svikt som medfører at kryptonøkler kompromitteres, få betydelige eller vidtrekkende konsekvenser, for selv den sterkeste krypto blir ineffektiv hvis nøklene er kompromittert. Dersom kryptonøkler kompromitteres, må brukerne anta at deres krypterte data ikke lenger er sikre, og at det er risiko for at dokumentene eller transaksjonene deres kan ettergjøres i deres navn. Dersom en sertifiseringsmyndighet kompromitteres, vil konsekvensene kunne bli katastrofale. I tillegg kan revokering av nøkler eller nøkkelsertifikater være en komplisert prosess.

Sikker håndtering av nøkler er svært viktig både for personlige brukere og for organisasjoner. Nøkkelhåndteringssystemer benytter vanligvis strenge prosedyrer for sikring og overvåking av bruk av nøkler for å forhindre at nøklene kompromitteres. Skulle rutinene likevel slå feil og nøkler bli kompromittert, er det viktig å vite hvilke parter som må ta ansvar, og i hvilken grad de kan bli holdt ansvarlige for følgene. Dette spørsmålet er av særlig betydning for nøkkelhåndteringstjenester eller tiltrodde tredjeparter, som innehar eller har adgang til kryptonøkler på vegne av andre, med tanke på de betydelige følgene av ansvarsmessig art som vil oppstå dersom deres systemer skulle bli kompromittert. Ansvar kan fastsettes enten ved avtale eller lovgivning, på individuelt plan eller av offentlige myndigheter. Videre kan det være viktig å vurdere ansvarsforhold både på nasjonalt og internasjonalt plan.

Internasjonalt samarbeid

Den økende strømmen av data i informasjons- og kommunikasjonsnettverk retter søkelyset mot behovet for en internasjonal metode basert på samarbeid for å finne svar på alle spørsmålene som melder seg. Håndheving av eksisterende lovverk bygger på geografisk definerte grenser, men i det framvoksende nettmiljøet kan informasjon og kommersielle transaksjoner bevege seg fritt over nasjonale og jurisdiksjonære grenser. Ved utformingen av nasjonale strategier og regelverk for informasjonsinfrastruktur, herunder strategier og regelverk forbundet med krypto, er alle lands myndigheter klar over at slik virksomhet i mange tilfeller vil ha følger langt utover deres egne grenser.

Uensartet politikk i ulike land kan svekke utviklingen av globale nettverk og global teknologi, noe som kan tvinge frem bruk av utallige, muligens uforenlige produkter for å kommunisere og foreta forretningstransaksjoner selv om ett produkt kunne ha vært tilstrekkelig. Et slikt miljø kan også skape hindringer for internasjonal handel. Ettersom informasjons- og kommunikasjonsnettverk under utvikling har en iboende global karakter og det er vanskelig å definere og håndheve jurisdiksjonære grenser i et slikt miljø, vil internasjonalt samråd og samarbeid være den mest effektive måten å løse disse spørsmålene på. Det gjelder særlig krypto.

V. OFFENTLIGE TILTAK FORBUNDET MED KRYPTOPOLITIKK

Tiltak på nasjonalt plan

Mange av OECDs medlemsland utarbeidet politikk og lover for krypto på midten av 1990-tallet. Nasjonale politikker ble i begynnelsen utarbeidet uavhengig av hverandre, men man innså på et tidlig tidspunkt at ulikheter i lov- og regelverk kunne skape hindringer for utviklingen av nasjonale og globale informasjons- og kommunikasjonsnettverk. Da OECD i 1995 ble anmodet om å ta kryptopolitikk opp til behandling, hadde allerede mange av OECDs medlemsland lover som omhandlet flere forhold ved kryptopolitikk (særlig digital signatur og eksportbestemmelser). I mange andre land forelå det lovgivningsinitiativ eller problemene var under utredning med sikte på forberedelse av en lov. De nasjonale initiativene og en diskusjon om nasjonale erfaringer ble bragt inn i OECDs organer for å bidra til å klarlegge problemer og virkninger forbundet med krypto, og denne prosessen la et solid grunnlag for internasjonalt samarbeid på området.

Kryptopolitikk i OECD

OECD er et egnet forum for gjennomgang av saker av felles interesse i tilknytning til kryptopolitikk, for organisasjonen har kontinuerlig erfaring både i behandling av politikkspørsmål som trekker inn økonomiske, teknologiske og juridiske forhold, og i bevisstgjøring om spørsmål knyttet til informasjonssystemers sikkerhet, sikring av persondata og personvern og informasjons-, datamaskin- og kommunikasjonsteknologi samt i oppbygging av internasjonal enighet om slike spørsmål. OECD har allerede tidligere fungert som forum for drøfting av kryptoteknologi og politikkspørsmål av økonomisk og samfunnsmessig art knyttet til bruk av krypto.

Både OECDs retningslinjer fra 1980 vedrørende beskyttelse av personlig integritet og flyt av persondata over landegrensene (OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data) og OECDs retningslinjer fra 1992 om informasjonssystemers sikkerhet (OECD Guidelines for the Security of Information Systems) kartla behovet for teknologiske midler til sikring av persondata og personvern og ivaretakelse av informasjonssystemers sikkerhet. Siden 1989 har OECDs ICCP-komité inkludert kryptoteknologi og -politikker i sitt arbeid med sikkerhet og persondata. Rapporten om sikkerhet i informasjonsnettverk som OECDs sekretariat utga i 1989 (Information Network Security) inneholdt en gjennomgang av problemstillinger knyttet til kryptoteknologi og -politikk. Problemstillingene ble drøftet på OECDs møte om informasjonssikkerhet i mars 1990. Ekspertmøtet om nyere utvikling innen sikring av persondata og personvern, som fant sted 10.-12. desember 1992, var det første møtet i regi av OECD der det ble foretatt en dyptgripende gjennomgang av kryptoteknologi og -politikk. Talere fra privat sektor og forskningsmiljøer ga en innføring i krypto, beskrev kryptoteknologi av ulik art og drøftet relevante politikkvurderinger. Ekspertmøtet om informasjonsinfrastruktur, som ble holdt i OECD 30. november-2. desember 1994, omfattet en samling med kryptopolitikk som tema. Møtets deltakere understreket sammenhengen mellom kryptopolitikk, sikring av persondata og personvern, informasjonssystemers sikkerhet og immaterialrettslig vern og framhevet at målene for sikkerhet, sikring av personvern og immaterialrettslig vern må nås på en balansert måte, og at løsninger for et av målene ikke må ødelegge for de øvrige eller skape urettmessige handelshindringer.

OECDs ad hoc-møte for eksperter på kryptopolitikk, som ble holdt 18.-19. desember 1995, rettet oppmerksomheten mot problemstillingene og ga medlemslandene anledning til å drøfte og sammenligne nasjonale standpunkter med hensyn til kryptopolitikk. På møtet deltok en sammensatt gruppe av representanter fra offentlig sektor -- herunder handels-, industri- og telekommunikasjonsdepartementer, datasikringsmyndigheter og myndigheter tillagt ansvaret for rettshåndheving og rikets sikkerhet -- og privat sektor, hvorav mange teknologieksperter. Under drøftingene ble det lagt vekt på behovet for internasjonalt harmoniserte og forenlige nasjonale løsninger som skaper riktig balanse mellom datasikring og rettshåndheving.

Privat sektor spilte en viktig rolle i utviklingen av retningslinjer for kryptopolitikk i OECD. I samsvar med mandatet som ministrene ga OECD i 1995, og som gikk ut på at også ikke-statlige partnere kunne delta i virksomhet knyttet til global informasjonsinfrastruktur, ble det første næringslivs- og regjeringsforumet for global kryptopolitikk arrangert av Det internasjonale handelskammer (ICC), næringslivets og industriens rådgivende komité for OECD (BIAC) og OECD 19.-20. desember 1995 i forbindelse med ad hoc møtet. På forumet presenterte privat sektor sine synspunkter og skisserte en rekke næringslivsinitiativ med hensyn til en global kryptopolitikk.

OECDs gruppe av eksperter på sikkerhet, personvern og immaterialrettslig vern i global informasjonsinfrastruktur, som kom sammen for første gang 9. februar 1996 i Canberra i Australia, bifalt USAs forslag om at OECD skulle lage utkast til retningslinjer for kryptopolitikk. Under ICCP-komiteens 29. sesjon 27.-29. mars 1996 ble ad hoc-gruppen av eksperter på retningslinjer for kryptopolitikk nedsatt.

Kommunikeet som ble sendt ut etter at OECDs råd hadde holdt møte på ministerplan 21.-22. mai 1996, nevnte særlig kryptopolitikk i sine retningslinjer for organisasjonens arbeid: 15. For å lette gjennomføringen av sine forpliktelser og med tanke på kravet om å innpasse nytt arbeid i et stramt budsjett ved å konsentrere seg om kjerneoppgavene, anmoder ministrene OECD om å:
iv) -- utdype arbeidet med en omfattende politikkramme for å forenkle den videre utviklingen av global informasjonsinfrastruktur og tilhørende produkterog tjenester, herunder utarbeidelse av retningslinjer for kryptopolitikk som vil forbedre sikkerhet og immaterialrettslig vern på dette området, og analysere økonomiske og samfunnsmessige ringvirkninger.

Samtidig som problemstillingene etter hvert fikk stor offentlig oppmerksomhet, begynte prosessen med å lage utkast til retningslinjer offisielt med det første møtet i ad hoc-gruppen av eksperter som fant sted i Washington DC i USA 8. mai 1996. ICC/BIAC/OECD holdt sitt annet næringslivs-regjeringsforum for global kryptopolitikk 7. mai 1996, og medlemmene av ad hoc-gruppen fikk der nok en mulighet til å drøfte problemstillingene med representanter for næringslivet. Arbeidet fortsatte utover året med ytterligere tre møter i ad hoc-gruppen i juni, september og desember 1996. Forut for septembermøtet deltok medlemmer av ad hoc-gruppen i et offentlig symposium, arrangert av Electronic Privacy Information Center (EPIC), som ga mulighet til å høre ledende kryptospesialisters, tekniske eksperters og menneskerettsforkjemperes synspunkter på utviklingen innen kryptopolitikk. Over 100 delegater fra offentlige myndigheter, industri og menneskerettsgrupperinger deltok på hvert møte i ad hoc-gruppen.

På sitt annet møte 27.-28. januar 1997 gjennomgikk og godkjente gruppen av eksperter på sikkerhet, personvern og immaterialrettslig vern i global informasjonsinfrastruktur utkastet til retningslinjer. ICCP-komiteen godkjente utkastet til retningslinjer på sitt møte 27.-28. februar 1997 og oversendte dokumentet til rådet. Rådet vedtok 27. mars 1997 Retningslinjene i form av en anbefaling fra rådet om retningslinjer for kryptopolitikk.

Relevante nasjonale og internasjonale tiltak forbundet med kryptopolitikk

Lover om datasikring og personvern er i de senere årene blitt innført i en rekke land og i Den europeiske union. Europaparlaments- og rådsdirektiv 95/46/EF av 24. oktober 1995 om personvern i forbindelse med behandling av personopplysninger og om fri bevegelighet for slike opplysninger krever for eksempel innføring av egnede tekniske og organisatoriske tiltak for å sikre persondata mot upåregnelig tap, endring eller uautorisert offentlighet eller adgang, særlig når data overføres over nett. Direktivet reiser spørsmål med relevanse for kryptodebatten, for krypto er et viktig middel til å sikre datas konfidensialitet.

Kryptoprodukter og kryptoteknologi har historisk sett vært underlagt eksportkontroll. Det nåværende grunnlaget for eksportkontroll er Wassenaar-samarbeidet om kontroll med eksport av konvensjonelle våpen og flerbruksvarer og -teknologi (vedtatt 13. juli 1996), som inkluderer kryptoprodukter på sine eksportkontrollister. Bestemmelsene om denne ordningen er innarbeidet i nasjonale regelverk. Rådsbeslutning 94/942/FUSP og rådsforordning (EF) nr. 3381/94 av juli 1995 om eksport av varer til bruk både i sivil og militær sektor (flerbruksvarer- og teknologi - “dual-use”) får anvendelse også på eksport av kryptoprodukter. Enkelte stater har underkastet slik eksport annen særskilt kontroll, noe som er gjenstand for en vedvarende debatt.

Europarådet har brukt betydelige ressurser på å undersøke datakriminalitet og framla Europarådets rekommandasjon [R(95)11] av 11. september 1995 om problemer straffeprosesslovgivningen stiller i tilknytning til informasjonsteknologi, og det vurderer å foreslå en internasjonal konvensjon som omhandler dette spørsmålet. En slik konvensjon kunne behandle spørsmål som for eksempel utveksling av informasjon mellom offentlige myndigheter i tilfeller som medfører bruk av krypto.

På G7-toppmøtet om tiltak mot terrorisme i juli 1996 kunngjorde G7-regjeringene at det skulle holdes hyppigere samråd “i egnede bilaterale og multilaterale fora om bruk av kryptering som ved behov gir offentlige myndigheter rettshjemlet adgang til data og kommunikasjon for blant annet å forebygge eller etterforske terrorisme, samtidig som legitim kommunikasjon sikres fortrolighet”.

I mai 1996 utga US National Research Council's Computer Science and Telecommunications Board rapporten “Cryptography's Role in Securing the Information Society”. Denne tverrfaglige studien vurderer virkningen av kryptoteknologi i USA for rikets sikkerhet, rettshåndheving, kommersielle interesser og personvern og ser på betydningen av kontroll med eksport av kryptoteknologi. Det er en autoritativ rapport som gir en omfattende oversikt over spørsmål i tilknytning til kryptopolitikk som USAs regjering står overfor.

Ikke i forbindelse med noen av de nevnte tiltakene er det imidlertid gjort forsøk på å gi internasjonal kryptopolitikk en omfattende behandling eller å kartlegge de ulike interessene det må tas hensyn til i forbindelse med internasjonal kryptopolitikk. På dette området er OECDs Retningslinjer for kryptopolitikk ment å være til hjelp for medlemslandene ved å legge fram de nevnte problemstillingene til deres vurdering.

VI. ANDRE SPØRSMÅL

Ikke-medlemsland

Anbefalingen er rettet til medlemslandene. Det er imidlertid ønskelig at retningslinjene blir gjenstand for bred godkjenning, og ikke-medlemsstater bør oppfordres til å slutte seg til anbefalingen. I lys av utviklingen av globale informasjons- og kommunikasjonsnettverk og behovet for å sørge for samordnede løsninger vil det bli truffet tiltak for å gjøre retningslinjene kjent for ikke-medlemsstater og for berørte internasjonale organisasjoner.

Et bredt politikkperspektiv

På grunn av den rolle som krypto har i informasjons- og kommunikasjonsinfrastruktur og i utviklingen av elektronisk handel griper kryptopolitikk inn i økonomiske, juridiske og politiske forhold på en rekke tilknyttede områder, herunder informasjonssystemers sikkerhet, personvern, sikring av persondata og immaterialrettslig vern. For at informasjons- og kommunikasjonsnettverks og informasjons- og kommunikasjonsteknologis potensiale skal kunne utnyttes fullt ut, bør nasjonale myndigheter ta opp disse problemstillingene i tilknytning til krypto som hemmer sikker elektronisk handel, herunder manglende standarder og sertifiseringsmyndighetenes rolle.

Ad hoc-gruppens mandat påla gruppen å utarbeide retningslinjer for grunnleggende problemstillinger det må tas hensyn til ved utviklingen av kryptopolitikk. Retningslinjene er et nytt dokument som utfyller eksisterende internasjonale dokumenter som styrer spørsmål som menneskeretter, internasjonal handel, opphavsrett, telekommunikasjon og forskjellige informasjonstjenester. Hvis behovet oppstår, vil prinsippene som er nedfelt i retningslinjene, kunne utvikles videre innen rammen av virksomhet igangsatt av OECD på området informasjons-, data- og kommunikasjonspolitikk.

Lagt inn 10. februar av Statens forvaltningstjeneste, ODIN-redaksjonen