Ot.prp. nr. 82 (1999-2000)

Om lov om elektronisk signatur

Til innholdsfortegnelse

7 Reglenes virkeområde

7.1 Geografisk virkeområde

I høringsnotatet foreslås det at loven skal gjelde for sertifikatutstedere som er etablert i Norge. Utenfor reguleringen faller i utgangspunktet utstedere som ikke er etablert i Norge, selv om sertifikatene utstedes for bruk i Norge. Det vil si at reglene om tilsyn og erstatningsreglene i dette lovforslaget gjelder sertifikatutstedere etablert i Norge. Lovforslaget bygger på at kvalifiserte sertifikater fra utstedere etablert innen EØS-området gis rettslig anerkjennelse på lik linje med tilsvarende sertifikater fra utstedere etablert i Norge. Videre har forslaget regler om rettslig anerkjennelse av kvalifiserte sertifikater fra utstedere etablert utenfor EØS-området, se kapittel 10.

Med «etablert» menes at det faktisk utøves aktiviteter innenfor en forholdsvis fast struktur. Strukturens rettslige status, f.eks. hvilken sammenslutningsform som er nyttet, er ikke avgjørende. Avgjørende er om sertifikatutstederen har tilstrekkelig tilknytning til Norge til å anses som etablert her. Dersom et utenlandsk selskap har et datterselskap i Norge som utsteder sertifikater her, er tilknytningskravet åpenbart oppfylt. Det samme gjelder utenlandske selskapers filialer i Norge. Den nærmere grensedragningen må finne sted i praksis.

7.2 Saklig virkeområde

7.2.1 Høringsnotatet

Høringsnotatet oppstilte et forslag om at loven kun skal regulere dem som utsteder sertifikater til allmennheten. Forslaget ville således ikke få direkte anvendelse på elektronisk signatur som bare brukes innenfor systemer som er basert på frivillige avtaler mellom et begrenset antall deltagere, omtalt som «lukkede nett». 1 Grensene for hva som skal regnes for lukkede nett er ikke helt klar. Eksempler kan være signaturer som brukes mellom ansatte innen en bedrift eller som brukes innen en begrenset medlemsmasse. Den nærmere grensedragningen vedrørende lukkede systemer ville måtte finne sted i praksis. Avgjørende for vurderingen ville altså være at signaturen kun skulle brukes mellom et begrenset antall deltakere hvor deltakelsen bygget på en frivillig privatrettslig avtale.

Direktivet legger ikke hindringer for at alle eller deler av bestemmelsene også kan gjelde for lukkede nett. Det følger av direktivets fortale at elektroniske signaturer som brukes innen lukkede nett ikke bør nektes rettslig gyldighet. Det er ikke behov for å regulere at elektroniske signaturer - i åpne eller lukkede nett - ikke skal fratas rettsvirkning eller gyldighet som bevis bare på grunnlag av at signaturen er i elektronisk form. Dette er allerede i samsvar med gjeldende rett (jf. kapittel 8.10.2).

Høringsnotatet hadde som utgangspunkt at det for dagens marked ikke er behov for å regulere bruken av elektronisk signatur i lukkede nett. Partene innen lukkede nett skal fritt kunne avtale på hvilke betingelser de vil akseptere elektroniske signaturer. Dette betyr bl.a. at bestemmelsene om erstatning og rettsvirkning i loven ikke vil få direkte anvendelse på elektroniske signaturer brukt innenfor et lukket nett. På den annen side må partene fritt kunne avtale at lovens regler skal kunne komme til anvendelse.

Direktivet får ikke innvirkning på nasjonal retts bestemmelser om formkrav, for eksempel krav til håndskreven underskrift, krav til bestemte dokumenttyper, krav til at avtaler skal inngås skriftlig mv. I fortalen til direktivet står bl.a. at direktivet ikke søker å harmonisere nasjonale regler vedrørende kontraktsrett, herunder særlig opprettelse og gjennomføring av avtaler. Videre står det at bestemmelsene i direktivet om rettsvirkninger ved bruk av elektronisk signatur ikke skal påvirke nasjonalt formkrav for at en avtale skal være inngått. Dette betyr at hver stat har mulighet til å hindre bruk av elektronisk signatur innenfor de områder den ikke finner slik bruk hensiktsmessig. Imidlertid, dersom nasjonalt regelverk åpner for elektronisk kommunikasjon, vil bestemmelsene i direktivet gjelde fullt ut. Dette prinsippet er blitt overført til lovforslaget, jf. lovforslag § 6. Samtidig skal det nevnes at det pågår et prosjekt i Norge der man ønsker å fjerne unødige hindringer for elektronisk kommunikasjon, jf. kapittel 4.3.

Selv om forslaget i høringsnotatet i utgangspunktet omfattet alle som utsteder sertifikater til allmennheten, ville de aller fleste bestemmelsene i lovutkastet kun omfatte utstedere av kvalifiserte sertifikater. Loven ville da i realiteten regulere utstedere av kvalifiserte sertifikater med to unntak: bestemmelsen i § 6 første ledd siste punktum om rettsvirkning og bestemmelsen i § 7 om innsamling og bruk av personopplysninger som gjelder allesertifikatutstedere. Disse to bestemmelsene gjelder alle typer av sertifikater og alle sertifikatutstedere.

7.2.2 Høringsinstansenes syn

Telenor uttaler at de ideelt sett skulle ønske et klarere definert saklig virkeområde for loven, men at de har forståelse for at grensedragningen er vanskelig og derfor er enige i at den bør skje gjennom praktisering av regelverket.

NHO støtter forslaget i høringsnotatet om at loven kun skal gjelde for elektroniske signaturer som benyttes i åpne systemer. De påpeker at bruk av elektronisk signatur i lukkede systemer bør «system-eierne» selv ha adgang til å regulere gjennom eget avtaleverk.

Andre høringsinstanser er mer skeptisk til skillet mellom åpne og lukkede nett. Næringslivets Sikkerhetsorganisasjon (NSO) er i tvil om loven bør skille mellom lukkede/åpne nett da brukere erfaringsmessig har vanskelig for å skille disse, og fordi det vil eksistere glidende overganger.

Arbeids- og administrasjonsdepartementet mener at skillet er noe underlig, og at kvalifiserte sertifikater som sådanne bør kunne utstedes også til andre enn publikum. Videre forslår de at det innføres en klar virkeparagraf i loven slik at det tydelig fremgår at kun §§ 6 og 7 gjelder utstedere av andre sertifikater enn de kvalifiserte.

Også Norsk EDIPRO påpeker at det lett kan oppstå tolkningstvil i forhold til hva det ligger i å utstede sertifikater til allmennheten i motsetning til å tilby sertifikater til en definert gruppe.

Norsk EDIPRO er av den oppfatning at loven i utgangspunktet burde få generell anvendelse, men at man burde gi anledning til å fravike loven ved avtale dersom sertifikatene kun skal tilbys til en klart definert brukergruppe.

FNHog Sparebankforeningen påpeker at hvis f.eks. en bank tilbyr sertifikater til alle sine kunder for bruk til autentisering mellom kunde og bank, taler hensynet til kundene for å la sertifikatutstedelsen omfattes av loven og at lukkede systemer og begrepet «allmenheten» i lovutkastet bør tolkes i forhold til dette.

Statskonsult savner at det sies noe om hva loven ikke regulerer i lovens bestemmelse om virkeområde.

Justisdepartementet foreslår et tillegg i lovteksten slik at lovens virkeområde også omfatter brukere av sertifikattjenester.

7.2.3 Departementets vurdering

Departementet har, på bakgrunn av høringsuttalelsene, nærmere vurdert behovet for å utvide lovens virkeområde til også å gjelde innenfor systemer som er basert på frivillige avtaler mellom et begrenset antall deltagere, såkalte lukkede systemer.

Lovens formål er å legge til rette for en sikker bruk av elektronisk signatur og bør således i størst mulig utstrekning legge til rette for at kvalifiserte elektroniske signaturer blir tatt i bruk. For å sikre forutberegnelighet ved bruk av elektroniske signaturer er det ønskelig at flest mulig signaturer oppfyller kravene til kvalifiserte signaturer og dermed omfattes av denne lovreguleringen. Videre vil det sikre bruken av signaturer at de omfattes av det tilsynsregimet som loven oppstiller. Grensegangen mellom lukkede og åpne nett synes dessuten å være noe uklar, og det vil ta tid før den nærmere grensegangen er avklart gjennom praksis. På denne bakgrunn har departementet kommet til at loven bør åpne opp for at alle sertifikatutstedere som ønsker å falle inn under denne lovreguleringen omfattes.

Lovforslaget åpner etter dette for at sertifikatutstedere som utsteder kvalifiserte sertifikater innen lukkede systemer skal omfattes av loven. Lovens virkeområde blir dermed alle utstedere av kvalifiserte sertifikater etablert i Norge.

For å falle inn under loven må sertifikatutsteder kalle sertifikatene for kvalifiserte og registrere seg hos tilsynet etter lovforslaget § 18. Sertifikatene som utstedes må oppfylle alle krav loven oppstiller til kvalifiserte sertifikater. Alle bestemmelsene i loven vil altså komme til anvendelse etter at sertifikatutsteder har registrert seg hos tilsynet.

Det vil altså være opp til den enkelte sertifikatutsteder hvorvidt han/hun vil utstede kvalifiserte sertifikater og dermed falle inn under denne lovreguleringen og det tilsynsregimet loven oppstiller, uavhengig av om sertifikatutstederen opererer innen åpne eller lukkede systemer. Enhver tilbyder av kvalifiserte sertifikater må registrere seg hos tilsynet for å kunne utstede kvalifiserte sertifikater.

Departementet går videre inn for at bestemmelsen om lovens virkeområde endres slik at det tydelig fremgår at § 6 annet punktum og § 7 gjelder alle signaturer med tilhørende sertifikater, og ikke bare de kvalifiserte.

Fotnoter

1.

I punkt nr. 16 i direktivets fortale står følgende: «... a regulatory framework is not needed for electronic signatures exclusively used within systems, which are based on voluntary agreements under private law between a specified number of participants...»

Til forsiden