Europaudvalget 1997-98 (2. samling)
EUU Alm.del Bilag 637
Offentligt
1464755_0001.png
Modtaget via elektronisk post. Der tages forbehold for evt. fejl
Europaudvalget (2. samling)
(Alm. del - bilag 637)
forskningsministerråd
(Offentligt)
_____________________________________________
FKU, Alm. del - bilag 166
Medlemmerne af Folketingets Europaudvalg og deres stedfortrædere Bilag Journalnummer Kontor
1
400.C.2-0 N.110. september
1998
Til underretning for Folketingets Europaudvalg fremsendes vedlagt Forskningsministeriets statusnotat vedrørende
Kommissionens forslag til Europa-Parlamentets og Rådets direktiv om en fælles ramme for elektroniske signaturer.
(KOM (98) 297).
Statusnotat til Folketingets Europaudvalg om
Forskningsministerie
Kommissionens forslag til Europa-Parlamentets og
t
Rådets direktiv om en fælles ramme for elektroniske signaturer (Kom(98)297)
9. september 1998
Kontoret for IT og
Teleregulering
FSKT0041
J.nr. TPK3161-9701484
1. Baggrund
Baggrunden for direktivforslaget er, at Kommissionen er af den opfattelse, at det er en forudsætning for en acceleration
af elektronisk handel, at der etableres betryggende rammer for, at man kan foretage juridisk bindende dispositioner viå
åbne net, som for eksempel Internet, uden først at skulle aftale med modtageren, hvordan man gør. Brug af elektronisk
kommunikation til bindende juridiske dispositioner forudsætter, at der kan kommunikeres med sikkerhed for såvel
afsenders som modtagers identitet og for, at indholdet ikke er blevet ændret.
Kommissionen søger med direktivforslaget at skabe sådanne betryggende rammer inden for EU ved at fastsætte
rammerne for anvendelse af elektroniske signaturer i medlemsstaterne. Elektronisk kommunikation i lukkede systemer er
ikke omfattet af harmoniseringen.
2. Indhold
Forslaget er baseret på Traktatens artikel 57, artikel 66 og artikel 100 A. Forslaget er fremsat i henhold til
fremgangsmåden i Traktatens artikel 189 B.
Ifølge forslaget er direktivets anvendelsesområde
elektroniske signaturer.
Kommissionen lægger således vægt på, at
direktivet ikke alene skal omfatte digital signaturer, men også skal omfatte fremtidige teknikker, der opfylder samme
formål som public key-krypteringsteknikken, hvorved også andre former for digital identifikation kan rummes af
forslaget. Begreberne "elektronisk signatur", "digital signatur", og "public key-kryptering" er forklaret i fodnoterne 1-3.
Direktivforslaget fastlægger fælles krav for
certificeringstjenesteudbydere
og
autoriserede certifikater.
Certificeringstjenesteudbydere
er ifølge forslaget en person eller et organ, der udsteder certifikater eller leverer andre
tjenesteydelser i forbindelse med elektronisk signatur til offentligheden.
Forslaget angiver en række grundlæggende krav til sådanne udbydere, herunder at de skal udvise den fornødne
pålidelighed samt have tilstrækkelige økonomiske ressourcer til at udbyde certificeringstjenester, og at de skal besidde
den nødvendige ekspertise og erfaring.
Herudover skal udbyderne benytte pålideligt programmel og udstyr, sikre logning af relevant materiale, samt sikre
forbrugerne information vedrørende vilkår for anvendelsen af certifikatet, eventuelle begrænsninger i hæftelse,
procedurer etc.
 PDF to HTML - Convert PDF files to HTML files
1464755_0002.png
Et
autoriseret certifikat
er ifølge forslaget en digital attestering, som knytter et signaturkontrolsystem til en person,
bekræfter denne persons identitet og opfylder kravene til autoriserede certifikater i bilag I.
Forslaget fastlægger, hvilke oplysninger der skal fremgå af certifikatet, herunder identifikation af nøgleindehaver, den
offentlige nøgle, start- og udløbsdato for certifikatet, anvendelses- og beløbsmæssige begrænsninger m.v.
Kommissionen kan efter at have konsulteret en rådgivende komité nedsat i henhold til direktivet fastlægge generelle
standarder for det udstyr til elektronisk signatur, der anvendes af certificeringstjenesteudbydere. Medlemsstaterne skal
acceptere systemer, der opfylder disse standarder, som sikre. Der sker ingen harmonisering af brugerudstyr.
Forslaget indeholder to "ligestillingsprincipper" for elektroniske signaturer, der overholder minimumskravene som
anført ovenfor:
For det første indeholder forslaget et forbud mod på nogle angivne områder at diskriminere dokumenter, der er
underskrevet med elektronisk signatur.
For det andet foreskriver forslaget, at elektroniske signaturer skal kunne bruges som bevismateriale i retssager på samme
måde som håndskrevne signaturer.
Det er ikke ganske klart, hvordan disse ligestillingsprincipper skal forstås. Kommissionen har tilkendegivet, at det ikke
er hensigten med principperne at skabe problemer for medlemslandenes retssystemer, herunder ved at gribe ind i de
nationale domstoles kompetence.
Direktivforslaget fastlægger endvidere regler for certificeringstjenesteudbyderens
ansvar
over for dem, der med
rimelighed sætter deres lid til en elektronisk signatur. Udbyderen skal være ansvarlig for indholdet af certifikatet samt
for at have overholdt direktivets minimumskrav med hensyn til udstedelsen af certifikatet, med mindre udbyderen kan
godtgøre, at udbyderen har taget alle rimelige forholdsregler for at undgå fejlen.
Forslaget giver udbyderen mulighed for i det enkelte certifikat at fastsætte anvendelses- og beløbsmæssige
begrænsninger. Samtidig bestemmes det, at udbyderen ikke skal være ansvarlig for tab, der overstiger de i certifikatet
anførte beløbsmæssige begrænsninger.
3. Høring
Forslaget har været sendt i bred høring.
Der er modtaget høringssvar fra Dansk Dataforening, Det Danske Handelskammer, Dansk EDI-Råd, Forbrugerrådet,
CSC Scandinavia, Amtsrådsforeningen, Den Danske Dommerforening, Præsidenterne for Østre Landsret, Vestre
Landsret, Københavns Byret, og Retterne i Roskilde, Ålborg, Århus og Odense, DR, Realkreditrådet, DSB, Tele2 A/S,
Dansk Handel & Service, KODA, Danske Elværkers Forening, Danske Dagblades Forening, Foreningen af Registrerede
Revisorer, Foreningen af Interne Revisorer, Tele Danmark A/S, Rådet for Dansk Forsikring og Pension, Finansrådet,
Rigsrevisionen, Danmarks Rederiforening, Det Centrale Handicapråd, Telekommunikationsindustrien i Danmark,
Københavns Kommune og Frederiksberg Kommune.
Københavns Kommune, Frederiksberg Kommune, Telekommunikationsindustrien i Danmark, Danske Elværkers
Forening, KODA, DSB, Realkreditrådet, DR, Præsidenterne for Østre Landsret, Vestre Landsret, Københavns Byret, og
Retterne i Roskilde, Ålborg, Århus og Odense, og Den Danske Dommerforening har ingen bemærkninger.
Generelle bemærkninger
Danske Dagblades Forening
og
Foreningen af Interne Revisorer
har ikke andre bemærkninger end, at de er tilhængere
af en fælles europæisk ramme for digital signatur, mens
Amtsrådsforeningen
er enig i behovet for at skabe gensidig
anerkendelse af elektroniske signaturer i EU.
Finansrådet, Danske Dagblades Forening, Det Danske Handelskammer
og
Foreningen af Interne Revisorer
er
tilhængere af, at der internationalt opstilles harmoniserede retlige rammer, således at det i videst muligt omfang undgås,
at der opstår forskellige reguleringer af elektronisk signatur i de enkelte lande.
Rådet for Dansk Forsikring og Pension
kan tilslutte sig princippet om, at der på EU-niveau fastsættes rammeregler for
elektroniske signaturer, men sådan at der også på nationalt niveau er et vist råderum for regulering.
Foreningen af Registrerede Revisorer
og
Tele2 A/S
kan generelt tilslutte sig indholdet af forslaget.
 PDF to HTML - Convert PDF files to HTML files
1464755_0003.png
Det Danske Handelskammer, Dansk Handel & Service,
og
CSC Scandinavia
støtter indholdet af forslaget og ønsker, at
der etableres samarbejdsordninger med 3.lande, således at principperne også finder anvendelse uden for EU.
Dansk EDI-Råd
finder generelt, at vedtagelse af forslaget vil være en betydelig landvinding for den elektroniske
kommunikation, men foreslår dog, at forslagets bestemmelser om retlig anerkendelse af certifikater fra tredjelande udgår,
alternativt suppleres med regler om erstatningsansvar for certificeringstjenesteudbydere i tredjelande.
Tele Danmark A/S
finder, at forslaget udgør et godt, dækkende og operativt grundlag for en EU-harmonisering på
området for elektronisk signatur.
Rigsrevisionen
finder, at direktivforslaget vil kræve ændringer i Forskningsministeriets lovudkast fra februar 1998.
Dansk Dataforening
finder, at der med Kommissionens udspil er lagt op til ganske komplicerede forhandlinger. Da et
dansk lovforslag om regulering af nøglecentre til digital signatur afventer en fornøden, foreløbig afklaring af indholdet i
det endelige EU-direktiv, beklager Dansk Dataforening, at der endnu engang er udsigt til, at dansk lovregulering på
området for digital signatur forsinkes.
Direktivets anvendelsesområde
Rådet for Dansk Forsikring og Pension
udtrykker tilfredshed med, at der ikke sker regulering af elektroniske signaturer,
der udelukkende anvendes inden for lukkede systemer, mens
Finansrådet
er enig i, at princippet om aftalefrihed har
forrang.
Dansk EDI-Råd, Finansrådet,
og
Rådet for Dansk Forsikring og Pension
foreslår, at det tydeliggøres , at direktivet ikke
kun finder anvendelse på kontrakter, og at direktivet finder anvendelse på både fysiske og juridiske personer.
Teknologineutralitet
Finansrådet, Rådet for Dansk Forsikring og Pension
og
Foreningen af Registrerede Revisorer
tilslutter sig princippet
om teknologineutralitet, og er således tilhængere af en regulering af elektroniske signaturer fremfor digitale signaturer.
Dansk Dataforening
vender sig imod forslagets regulering af elektroniske signaturer i stedet for digitale signaturer.
Retsvirkninger
Forbrugerrådet
finder ikke, at direktivforslaget i tilstrækkeligt omfang beskytter forbrugerne mod misbrug af deres
digitale signatur, idet rådet henviser til, at der med den nuværende teknologi er en risiko for, at digitale signaturer kan
misbruges. Forbrugerrådet anfører, at dette er et væsentligt problem, fordi en falsk digital signatur ikke kan skelnes fra
en ægte signatur ved kriminaltekniske metoder, således som det er tilfældet for håndskrevne signaturer. På denne
baggrund finder Forbrugerrådet, at forslaget er for vidtgående med hensyn til at ligestille digitale signaturer med
håndskrevne signaturer.
Amtsrådsforeningen
anfører, at spørgsmålet om retsvirkningerne af en elektronisk signatur bør afgøres af domstolene.
Finansrådet
anfører, at direktivet næppe er til hinder for, at medlemsstaterne i særlige tilfælde kan opretholde et krav om
underskrift. Finansrådet anfører endvidere, at det er uklart, hvad der menes med, at elektroniske signaturer "anerkendes
som opfyldende de retlige krav", ligesom det i forhold til dansk retspleje ikke giver mening at fastlægge, at en
elektronisk signatur skal anerkendes "på samme måde".
Dansk Dataforening
beklager, at Kommissionen ikke med forslaget har afklaret, om de krav om skriftlighed, der stilles i
talrige EU-retsakter, kan opfyldes med digital teknologi.
Danmarks Rederiforening
anfører, at man ved udarbejdelsen af direktivet skal være opmærksom på, at der inden for
søtransportområdet gælder en række betydelige internationale konventioner, der indeholder krav om skriftlighed og
underskrift, og at man derfor må overveje, hvorledes disse konventionsmæssige blokeringer for digital signatur
overvindes.
Certificeringstjenesteudbyderens ansvar
Dansk Dataforening
og
Tele Danmark A/S
finder erstatningsreglerne langt mere afbalancerede end de regler, der er
indeholdt i Forskningsministeriets lovudkast af februar 1998.
 PDF to HTML - Convert PDF files to HTML files
1464755_0004.png
Dansk Dataforening ønsker i øvrigt en regulering af spørgsmålet om, hvornår indehaveren af en privat krypteringsnøgle
hæfter for den signatur, der afgives på retsstridig vis af en person, der har fået signaturnøglen i sin besiddelse.
Dansk EDI-Råd
foreslår, at der indføres en fælles regel, der giver mulighed for, at certificeringstjenesteudbyderens
ansvar maksimalt kan være et givet beløb.
Rådet for Dansk Forsikring og Pension
anfører, at der er behov for en række yderligere begrænsninger i ansvaret for at
certificeringstjenesteudbydere skal kunne forsikringsafdække erstatningsansvaret. I samme forbindelse ønsker Rådet en
uddybning af sammenhængen med direktivet om urimelige kontraktsvilkår, som direktivforslaget henviser til.
Finansrådet
efterlyser en ansvarsfordeling mellem indehaveren af certifikatet og den, som støtter ret på certifikatet.
Finansrådet finder i øvrigt bestemmelserne om erstatningsansvar uklare, herunder for så vidt angår spørgsmålet, om
ansvaret er et objektivt ansvar eller et uagtsomhedsansvar. Finansrådet anfører, at et for vidtgående ansvar vil indebære
risiko for, at ingen vil udbyde certificeringstjenester. Finansrådet er tilhænger af muligheden for at anføre begrænsninger
i et certifikats anvendelsesområde.
Tele2 A/S
anfører, at ansvarsbetingelserne for certificeringstjenesteudbydere bør være sådan indrettet, at de giver private
virksomheder, der ser et forretningsområde i dette, rimelige betingelser.
Persondatabeskyttelse
Dansk Dataforening
og
Tele Danmark A/S
er generelt tilhængere af direktivforslagets bestemmelser om
persondatabeskyttelse, herunder reglen om underskriverens krav på at anvende pseudonym.
Finansrådet
finder, at særreglerne om persondatabeskyttelse er overflødige, når der allerede i direktivet er henvist til
direktivet om beskyttelse af persondata.
Dansk EDI-Råd, Rådet for Dansk Forsikring og Pension,
og
Rigsrevisionen
er modstandere af reglen om, at
underskriveren skal kunne anvende pseudonym i stedet for sit eget navn.
Amtsrådsforeningen
anfører, at direktivforslagets regler om persondatabeskyttelse bør ændres, således at der efter
samtykke fra den registrerede kan indhentes data fra tredjepart.
Øvrige bemærkninger
Finansrådet
er tilfreds med, at der ikke stilles krav om forudgående autorisation af certificeringstjenesteudbydere.
Finansrådet anfører i øvrigt, at der kan være behov for at fastlægge et sluttidspunkt for certifikatets løbetid i relation til
verifikation af en signatur, idet certifikatet i en periode efter udløb vil kunne anvendes til at verificere en signatur.
Endelig anfører Finansrådet, at det ikke virker logisk, at et certifikat skal indeholde alle de personlige og økonomiske
oplysninger, der kræves i henhold til bilag I.
Dansk Dataforening
beklager, at der ikke opereres med en pligt til løbende at konsultere branchebruger- og
forbrugerinteresser
Tele Danmark A/S
finder, at forslaget savner en mere præcis bestemmelse om lukning af certifikater.
Det Centrale Handicapråd
foreslår, at det i direktivet fastslås, at der kan stilles krav til den universelle anvendelighed af
de tekniske systemer til afgivelse af digital signatur.
Amtsrådsforeningen
efterlyser en tilstrækkelig grad af standardisering af, hvad en elektronisk signatur er, og hvordan den
afgives. Efter Amtsrådsforeningens opfattelse sætter forslaget begrænsninger i , hvilke modeller for ligestilling af
digitale signaturer og traditionelle underskrifter en dansk lovgivning kan omfatte, idet eventuelle krav om traditionel
underskrift ved kommunikation med det offentlige kun vil kunne opretholdes efter en konkret vurdering.
Amtsrådsforeningen anfører som følge heraf, at det skal være en forudsætning for offentlige myndigheders tvungne
modtagelse af elektroniske signaturer, at disse opfylder et vist standardiseringsminimum.
Rigsrevisionen
anfører, at forslaget ikke indeholder bestemmelser om signaturernes validitet på lidt længere sigt, fx frem
til revisionstidspunktet, hvis dette ligger efter udløbsdatoen på signaturen. Rigsrevisionen finder en række af de i bilag I
foreslåede oplysninger af økonomisk og personlig karakter unødvendige for at kunne verificere en nøgleindehavers
identitet. Rigsrevisionen finder, at forslagets bestemmelser om beløbsmæssige begrænsninger i certifikatet og
muligheden for at forlange supplerende oplysninger, såfremt elektroniske signaturer skal anvendes indenfor den
offentlige sektor, vil kræve merarbejde i form af kontrol, hvorfor brugen af elektroniske signaturer vil kunne blive
begrænset. Rigsrevisionen efterlyser endelig bestemmelser om, hvad der skal ske med et nøglecenters data ved ophør.
 PDF to HTML - Convert PDF files to HTML files
1464755_0005.png
Dansk EDI-Råd, Finansrådet,
og
Rådet for Dansk Forsikring og Pension
foreslår en række præciseringer og ændringer i
forslagets definitioner.
4. Høring af Europa-Parlamentet
Europa-Parlamentet har endnu ikke taget stilling til direktivforslaget, hvilket forventes at ske i november/december
1998.
5. Lovgivningsmæssige og statsfinansielle konsekvenser
Gennemførelsen af direktivforslaget kræver etablering af et helt nyt lovgrundlag om elektroniske signaturer.
De statsfinansielle konsekvenser er endnu uafklarede.
6. Tidligere forelæggelse
Folketingets Europaudvalg er tidligere orienteret om direktivforslaget ved faktuelt notat forud for Rådsmødet
(telekommunikation) den 19. maj 1998 og ved referat af samme møde fremsendt til Folketingets Europaudvalg den 28.
maj 1998.
(Løbenr. 11375)