Lag om kvalificerade elektroniska signaturer, m.m.
Betänkande 2000/01:TU3
Trafikutskottets betänkande
2000/01:TU03
Lag om kvalificerade elektroniska signaturer, m.m.
Innehåll
2000/01
TU3
Sammanfattning
I betänkandet tillstyrks regeringens förslag till lag om kvalificerade elektroniska signaturer. Syftet med lagen, som baseras på EU-parlamentets och rådets direktiv om ett gemenskapsramverk för elektroniska signaturer, är att underlätta användningen av elektroniska signaturer. Som regeringen anför i propositionen kan elektronisk handel och annan kommunikation mellan enskilda, myndigheter och företag förväntas öka, förutsatt att det finns ett allmänt förtroende för att den elektroniskt överförda informationen är tillförlitlig. Lagen skall bidra till detta förtroende genom att främja användandet av elektroniska signaturer på sådan säkerhetsnivå att de får ett allmänt erkännande och därmed kan användas för säker kommunikation.
Samtidigt tillstyrker utskottet ett förslag om en mindre ändring i sekretesslagen (1980:100).
Till betänkandet har fogats två reservationer.
Propositionen
Regeringen (Näringsdepartementet) föreslår i proposition 1999/2000:117 att riksdagen antar regeringens förslag till
1. lag om kvalificerade elektroniska signaturer,
2. lag om ändring i sekretesslagen (1980:100). Lagförslagen är fogade som bilaga till betänkandet.
Propositionens huvudsakliga innehåll
För genomförande av ett EG-direktiv om ett gemenskapsramverk för elektroniska signaturer (1999/93/EG) föreslås i propositionen en ny lag om s.k. kvalificerade signaturer. Vidare föreslås en mindre ändring i sekretesslagen (1980:100) för att tillgodose behovet av sekretesskydd för koder o.d. som möjliggör säkerhetskontroll.
En elektronisk signatur kan användas för att säkerställa att elektroniskt överförd information inte har förändrats, att informationens avsändare är den som uppges samt att avsändaren inte senare förnekar att han eller hon sänt informationen.
För att kunna använda en elektronisk signatur i ett öppet system, dvs. ett system där parterna inte känner varandra i förväg, såsom Internet, behöver parterna kunna inhämta information om kopplingen mellan en elektronisk signatur och en bestämd person. Därför har utvecklats ett system för elektroniska signaturer vilket kan benämnas det öppna nyckelsystemet (Public Key Infrastructure, PKI). I detta system utfärdas ett elektroniskt intyg (certifikat) av en betrodd tredje part. Ett certifikat innehåller uppgifter om vem som är innehavare av en elektronisk signatur.
Direktivets reglering bygger på elektroniska signaturer enligt det öppna nyckelsystemet. Det innehåller främst näringsrättsliga regler om dem som utfärdar vissa certifikat, men även regler om skadeståndsansvar och om rättsverkan av elektroniska signaturer.
Den föreslagna lagen innehåller regler om krav på, tillsyn över och skadeståndsansvar för den som utfärdar certifikat för elektroniska signaturer till allmänheten, om certifikaten anges ha en viss säkerhetsnivå. Sådana certifikat kallas i lagen för kvalificerade certifikat. En särställning ges vidare åt elektroniska signaturer med en viss säkerhetsnivå, s.k. kvalificerade elektroniska signaturer. Lagens regler omfattar inte certifikat som utfärdas inom s.k. slutna system. Lagen reglerar inte heller frågor om ingående eller giltighet av avtal.
Enligt direktivet kan medlemsstaterna införa frivilliga ackrediteringssystem som syftar till att höja nivån på tillhandahållandet av certifikattjänster. Lagen (1992:1119) om teknisk kontroll ger möjlighet till frivillig ackreditering av certifieringsorgan med det syfte som anges i direktivet.
En tillsynsmyndighet förutses utöva tillsyn över efterlevnaden av bestämmelserna i lagen och föreskrifter som meddelas med stöd av lagen. Regeringen bemyndigas att införa ett avgiftssystem för att bekosta myndighetens verksamhet.
Den nya lagen föreslås träda i kraft den 1 januari 2001.
Motionerna
1999/2000:T30 av Per-Richard Molén m.fl. (m) vari yrkas
1. att riksdagen som sin mening ger regeringen till känna vad i motionen anförts om omförhandling av direktivet,
2. att riksdagen som sin mening ger regeringen till känna vad i motionen anförts om teknikoberoende till skillnad från teknikneutralitet i arbetssättet,
3. att riksdagen hos regeringen begär förslag till sådan ändring avseende digitala stämplar som i motionen anförts,
4. att riksdagen hos regeringen begär förslag till sådan ändring avseende juridiska personers möjlighet att använda sig av elektroniska signaturer som i motionen anförts,
5. att riksdagen i enlighet med vad i motionen anförts avslår lagförslagets 15 §,
6. att riksdagen hos regeringen begär förslag till sådan ändring i enlighet med vad i motionen anförts avseende val av tillsynsmyndighet,
7. att riksdagen som sin mening ger regeringen till känna vad i motionen anförts om behovs- och konsekvensanalys i tillsynsmyndighetsfrågan.
1999/2000:T31 av Eva Arvidsson (s) vari yrkas att riksdagen som sin mening ger regeringen till känna vad i motionen anförts om att huvudregeln skall vara att elektroniska tjänster får tillämpas i samtliga situationer om det inte speciellt reglerats att så inte får ske.
Utskottet
1 Lagförslagen
1.1 Lagstiftningens syfte
Regeringen lägger i den nu behandlade propositionen fram förslag till lag om kvalificerade elektroniska signaturer. Syftet med lagen är, som framgår av en inledande allmän bestämmelse i lagförslaget, att underlätta användningen av elektroniska signaturer, genom bestämmelser om säkra anordningar för signaturframställning, om kvalificerade certifikat för elektroniska signaturer och om utfärdande av sådana certifikat.
I propositionen (s. 35) anför regeringen att elektronisk handel och annan kommunikation mellan enskilda, myndigheter och företag kan förväntas öka, förutsatt att det finns ett allmänt förtroende för att den elektroniskt överförda informationen är tillförlitlig. Avsikten är att lagen skall bidra till detta förtroende genom att främja användandet av elektroniska signaturer på sådan säkerhetsnivå att de får ett allmänt erkännande och därmed kan användas för säker kommunikation.
Av propositionen framgår att EU den 30 november 1999 antog EU-parlamentets och rådets direktiv om ett gemenskapsramverk för elektroniska signaturer. Direktivet trädde i kraft den 19 januari 2000 och skall vara genomfört i medlemsstaterna senast den 19 juli 2001.
Under förhandlingarna om direktivet skedde samråd med en av Näringsdepartementet tillkallad referensgrupp bestående av företrädare för berörda myndigheter, vissa företag och organisationer. Vidare har ärendet vid fem tillfällen varit föremål för behandling i riksdagens EU-nämnd. Till grund för propositionen har bl.a. legat en departementspromemoria, Elektroniska signaturer (Ds 1999:73), som har utarbetats inom Näringsdepartementet i samarbete med Justitiedepartementet och som varit föremål för remissbehandling. Samråd har förekommit med övriga nordiska länder, såväl inför utarbetandet av departementspromemorian som senare.
1.2 Lagens tillämpningsområde
Syftet med EG-direktivet är att skapa ett rättsligt ramverk för elektroniska signaturer som används inom s.k. öppna system. I överensstämmelse härmed skall enligt vad regeringen uttalar den svenska lagen enbart avse certifikat som utfärdas "till allmänheten", däremot inte system som grundar sig på frivilliga civilrättsliga avtal mellan ett bestämt antal deltagare (slutna system). Emellertid är det, anför regeringen, inte alldeles lätt att avgöra vad som utgör öppna respektive slutna system. Vissa klara fall kan dock identifieras. Som exempel på ett slutet system nämns bankernas Internettjänster. Där föreligger ett på förhand träffat avtal mellan banken och kunden och det är endast banken som skall förlita sig på certifikatet. Vidare får ett certifikat som utfärdats endast för användning inom ett visst företag eller en viss organisation normalt anses ingå i ett slutet system. Däremot måste ett system få betraktas som öppet i de fall mottagare som skall förlita sig på certifikatet saknar varje form av avtal med undertecknaren eller certifikatutfärdaren. Så är t.ex. fallet med det finländska systemet med elektroniska ID-kort som utfärdats av Befolkningsregistercentralen och som skall kunna användas för många olika ändamål vilka inte är kända för vare sig utfärdaren eller kortinnehavaren vid utfärdandet. Mellan dessa klara fall kan det dock finnas många varianter där gränsdragningen är svår och måste överlämnas till rättstillämpningen.
Vidare krävs att certifikat för att falla under lagens tillämpning skall vara "kvalificerade". Härmed menas att de skall hålla en i lagen närmare angiven säkerhetsnivå.
1.3 Definitioner
I 2 § förslaget till lag om kvalificerade elektroniska signaturer definieras vissa i sammanhanget centrala begrepp. Av propositionen framgår att definitionerna i lagförslaget i allt väsentligt följer EG-direktivet.
Sålunda avses med elektronisk signatur data i elektronisk form vilka är fogade till eller logiskt knutna till andra elektroniska data och som används för att kontrollera att innehållet härrör från utställaren och inte har förvanskats.
En avancerad elektronisk signatur kännetecknas av att den är knuten uteslutande till en undertecknare som kan identifieras. Vidare har den åstadkommits med hjälpmedel som endast undertecknaren kontrollerar och som gör det möjligt att upptäcka förvanskningar av de data signaturen är fogad till.
En kvalificerad elektronisk signatur är en avancerad elektronisk signatur som baseras på ett kvalificerat certifikat och som är skapad av en säker anordning för signaturframställning (maskin- eller programvara).
Ett certifikat är ett intyg i elektronisk form som kopplar ihop signaturverifieringsdata med en undertecknare och bekräftar dennes identitet.
Ett kvalificerat certifikat är ett certifikat som dels innehåller vissa i lagen närmare angivna uppgifter, dels är utfärdat för viss tid av en certifikatutfärdare som uppfyller vissa i lagen eller med stöd av lagen uppställda krav.
1.4 Utskottets ställningstagande
Enligt utskottets uppfattning är det utomordentligt angeläget att de möjligheter till utveckling av elektronisk handel och annan kommunikation som informationsteknologin ger tas till vara. Som regeringen anför förutsätter emellertid en sådan utveckling att det finns ett allmänt förtroende för att den information som sänds via Internet och andra nät är tillförlitlig. Mot den bakgrunden välkomnar utskottet att regeringen nu föreslår lagstiftning i syfte att främja användandet av säkra elektroniska signaturer. Utskottet anser att riksdagen bör anta regeringens förslag till lag om kvalificerade elektroniska signaturer och lag om ändring i sekretesslagen (1980:100).
I det följande behandlar utskottet närmare de frågor som har aktualiserats i motionerna.
2 Omförhandling av EG-direktivet m.m.
2.1 Motionsförslag
I motion 1999/2000:T30 av Per-Richard Molén m.fl. (m) föreslås att Sverige skall ta initiativ till en omförhandling av direktivet (yrkande 1). Som skäl anförs bl.a. att EG-direktivet blandar ihop organisationsformer och elektroniska signaturers rättsliga innebörd. Direktivet borde enligt motionärerna ha begränsats till näringsrättsliga frågor medan frågor om elektroniska signaturers rättsliga verkan borde ha reglerats i annan ordning. I motionen uttalas vidare att regeringen utgår från att alla tekniska lösningar redan finns. Direktivet borde ha gjorts mer "teknikoberoende", anser motionärerna (yrkande 2).
2.2 Utskottets ställningstagande
2.2.1 Omförhandling av EG-direktivet
Liksom regeringen konstaterar utskottet för sin del att Europaparlamentets och rådets direktiv 1999/93/EG om ett gemenskapsramverk för elektroniska signaturer antogs den 13 december 1999 och trädde i kraft den 19 januari 2000. Det skall vara genomfört i medlemsstaterna senast den 19 juli 2001. Direktivet är bindande för medlemsstaterna med avseende på det resultat som skall uppnås.
Enligt utskottets mening är det positivt att EU:s medlemsstater har kunnat enas om en gemensamt ramregelverk för elektroniska signaturer. Därmed har gemenskapen kunnat förhindra uppkomsten av skilda juridiska och tekniska strategier, vilket skulle ha kunnat utgöra ett hinder för den elektroniska handelns utveckling. Att mot denna bakgrund begära en omförhandling av direktivet ser inte utskottet som en vare sig möjlig eller önskvärd åtgärd. Mot den bakgrunden avstyrks yrkande 1 i motion 1999/2000:T30 (m).
2.2.2 Direktivets förhållande till tekniken
Av ställningstagandet under avsnitt 3.2.1 följer att utskottet avstyrker förslaget i samma motion (yrkande 2) om en mer teknikoberoende utformning av direktivet. I propositionen redovisas att definitionerna i direktivet har utformats med sikte på att vara teknikneutrala, dock med den begränsning som följer av att man låtit det s.k. öppna nyckelsystemet ligga till grund för den valda strukturen. Systemet bygger på användningen av s.k. asymmetriska algoritmer, vilket innebär att två olika nycklar används, en privat nyckel som förvaras hemligt hos ägaren, och en publik (öppen) nyckel som är tillgänglig för envar. Tekniken har uppenbara fördelar jämfört med det s.k. ennyckelsystemet som utnyttjar s.k. symmetriska algoritmer och som innebär att avsändare och mottagare utnyttjar samma nyckel. Fördelarna ligger i en avsevärt säkrare och förenklad nyckeladministration, eftersom det endast är en nyckel som måste förvaras hemligt. Nackdelen med ennyckelsystemet är att algoritmerna blir mer komplicerade.
3 Elektronisk kommunikation mellan medborgare och myndigheter
3.1 Motionsförslag
I motion 1999/2000:T31 uttalar Eva Arvidsson (s) att syftet med direktivet och den svenska lagstiftningen - att skapa grundläggande förutsättningar och en infrastruktur för elektronisk kommunikation mellan parter som inte känner varandra - motverkas genom att propositionen endast innehåller ett elementärt regelverk av främst näringsrättslig art. Därmed räcker inte reglerna för kommunikation mellan medborgarna och myndigheter. Motionären befarar att denna brist leder till att regelmässig elektronisk kommunikation av sådant slag kommer att försenas. Regeringen synes ha en grundläggande uppfattning om att otidsenliga formkrav inte skall tillåtas hindra elektronisk kommunikation. Mot den bakgrunden bör, menar motionären, regeringen stipulera att elektroniska signaturer skall godtas i alla situationer utom dem som är uttryckligen undantagna.
3.2 Utskottets ställningstagande
För närvarande gäller att elektroniska signaturer normalt inte får användas om det i en författning ställs krav på att en handling skall vara försedd med underskrift. För att det skall vara tillåtet att använda elektronisk signatur gäller antingen att det i författningen uttryckligen anges att en signatur får eller t.o.m. måste användas, eller att ett krav på egenhändig underskrift eller något liknande uttryck i rättstillämpningen har tolkats så att kravet kan uppfyllas genom en elektronisk signatur.
Frågan, om det kan vara möjligt att med generella bestämmelser införa en ordning som innebär att kravet på underskrift, undertecknande eller liknande tillgodoses genom en elektronisk signatur, har diskuterats i de utredningar som föregått propositionen. Därvid har konstaterats att denna väg inte synes framkomlig. I stället torde det vara nödvändigt att successivt gå igenom berörda författningar för att i varje enskilt fall klarlägga behovet av en lagändring, bl.a. med beaktande av de syften som legat bakom formkravet. I propositionen ansluter sig regeringen till denna uppfattning.
Nästa fråga gäller vilken säkerhetsnivå en elektronisk signatur skall ha för att motsvara författningskrav på underskrift. Syftet med stadgandet i 17 § lagförslaget är att ange en övre säkerhetsgräns. Sålunda skall det enligt förslaget i denna del inte vara möjligt att i författningar ställa högre krav på den elektroniska signaturen än vad som ställs på en kvalificerad elektronisk signatur. Någon lägsta säkerhetsnivå specificeras inte. I specialmotiveringen till 17 § (s. 78) betonar regeringen att paragrafen inte utgör något hinder mot att elektroniska signaturer med lägre säkerhetsnivå än kvalificerade godtas.
Utskottet har ingen annan uppfattning än den regeringen redovisar i frågan. Samtidigt utgår utskottet från att genomgången av berörda författningar sker med skyndsamhet samt med utgångspunkt i dels att elektroniska signaturer så långt det av säkerhetsskäl är möjligt skall jämställas med krav på namnunderskrift eller motsvarande, dels att säkerhetskraven på elektroniska signaturer i sådana fall inte skall ställas så högt att de onödigtvis försvårar kommunikationen mellan medborgare och myndigheter. Med det anförda torde syftet med motion 1999/2000:T31 (s) bli tillgodosett utan något särskilt ställningstagande från riksdagens sida. Motionen avstyrks följaktligen.
4 Digitala stämplar för juridiska personer
4.1 Motionsförslag
Enligt vad som uttalas i motion 1999/2000:T30 (m) öppnar regeringen med sitt lagförslag möjligheten för juridiska personer att använda icke- kvalificerade elektroniska signaturer. Mot den bakgrunden ifrågasätter motionärerna om lagen uppfyller syftet med direktivet. Eftersom lagens bestämmelse om signaturers rättsverkan endast koncentreras på kvalificerade elektroniska signaturer finns en risk att andra typer av elektroniska signaturer kommer att behandlas med skepsis i domstolarna även om de tekniskt sett är lika bra eller bättre än de kvalificerade signaturerna. Propositionens uttalanden innebär nämligen att elektroniska signaturer kan användas av juridiska personer för att signera dokument. Detta bryter mot den etablerade ordningen att endast fysiska personer kan underteckna dokument. När nu regeringen suddar ut gränsen mellan fysisk och juridisk person finns, menar motionärerna, risk för att de elektroniska signaturerna inte betraktas som ersättare för den traditionella namnteckningen. Mot den bakgrunden bör lagen ändras så att elektroniska signaturer förbehålls fysiska personer och att s.k. digitala stämplar införs som begrepp för juridiska personer. Sådana stämplar bygger på samma tekniska process, men en skiljelinje skulle få stor betydelse för det allmänna medvetandet (yrkandena 3 och 4).
4.2 Utskottets ställningstagande
Frågan om införande av begreppet digital stämpel diskuteras i propositionen. Regeringen erinrar om att förslaget lanserades i betänkandet Elektronisk dokumenthantering (SOU 1996:40). Enligt utredningsförslaget skulle vissa grundläggande begrepp tas in i förvaltningslagen (1986:223), bl.a. digital signatur, om handlingen härrörde från en fysisk person, och digital stämpel, om handlingen var utställd av juridisk person eller myndighet. Som framgår av propositionen fick betänkandet ett blandat remissutfall och ledde inte till någon lagstiftning i den delen. Regeringen framhåller att Sverige visserligen inte är bundet av den terminologi och systematik som angivits i direktivet men att direktivets utformning ändå avsevärt begränsar utrymmet för avvikelser. Vidare anser regeringen att det saknas behov av att införa begreppet digital stämpel. Direktivet förutsätter att en fysisk person är knuten till signaturen. Detta utgör visserligen inget hinder för ett system med elektroniska stämplar för juridiska personer eller certifikat som anger att signaturen innehas av en identifierad person som är firmatecknare för en juridisk person. Men enligt regeringen finns inte något särskilt behov av att reglera detta. I stället kan redan nu gällande regler om rättshandlingsförmåga, fullmakt och behörighet att företräda juridiska personer tillämpas. Utskottet delar regeringens uppfattning och avstyrker följaktligen motion 1999/2000:T30 (m) yrkandena 3 och 4.
5 Skadeståndsfrågor
5.1 Motionsförslag
I lagförslaget finns två paragrafer som behandlar skadeståndsfrågor. I 14 § stadgas skyldighet för en certifikatutfärdare att under vissa förutsättningar ersätta den skada som drabbat den som förlitat sig på certifikatet. Enligt 15 § är avtalsvillkor som i jämförelse med 14 § är till nackdel för den som förlitar sig på certifikatet utan verkan mot denne. I motion 1999/2000:T30 (m) noteras att det enligt regeringen normalt inte finns något avtalsförhållande som reglerar certifikatet men att det kan förekomma avtal där certifikatet utgör ett moment. Motionärerna menar att detta synsätt strider mot den grundläggande förutsättningen för när ett certifikat skall anses utgivet till allmänheten och när lagen således skall vara tillämplig. Ett certifikat är utgivet när utfärdaren erbjuder det för användning vid kommunikation med andra än utfärdaren, alltså tredje part, och när det inte föreligger något kontraktsförhållande mellan utfärdaren och tredje parten. Därmed kan 15 § i lagförslaget utmönstras, hävdar motionärerna (yrkande 5).
5.2 Utskottets ställningstagande
Utskottet ansluter sig för sin del till regeringens uppfattning att det även i fråga om certifikat som utfärdas till allmänheten (s.k. öppna system) kan ha träffats avtalsvillkor mellan undertecknare och mottagare vilka i jämförelse med 14 § är till nackdel för den som förlitar sig på certifikatet. Yrkande 5 i motion 1999/2000:T30 (m) avstyrks följaktligen.
6 Val av tillsynsmyndighet
6.1 Regeringens förslag
Regeringen konstaterar att medlemsstaterna är skyldiga att införa ett system för övervakning av dem som utfärdar kvalificerade certifikat till allmänheten. I den svenska diskussionen har, redovisar regeringen, möjligheten att införa en s.k. toppnod förts fram. En toppnod är en certifikatutfärdare som utfärdar certifikat för andra certifikatutfärdare och signerar deras öppna nycklar. I ett sådant system skulle toppnoden kunna utöva en effektiv tillsyn över anslutna certifikatutfärdare. Men regeringen finner att en sådan ordning skulle komma i konflikt med direktivets förbud mot förhandstillstånd för att få verka som certifikatutfärdare. Vidare skulle systemet med toppnod tvinga certifikatutfärdare att anpassa sina tekniska lösningar till toppnoden, vilket skulle strida mot direktivets krav på konkurrensneutralitet.
För tilliten till systemet med elektroniska signaturer är det enligt regeringen värdefullt att det finns en instans som kan ingripa mot missförhållanden. Denna instans bör ha möjlighet till myndighetsutövning. Detta, tillsammans med berättigade krav på insyn, rättssäkerhet, möjligheter till överprövning m.m., talar för att tillsynen bör anförtros en statlig myndighet.
Regeringen anser att Post- och telestyrelsen bör utses till tillsynsmyndighet. Under remissbehandlingen av departementspromemorian Elektroniska signaturer (Ds 1999:73) hade dock några instanser förordat SWEDAC, Finansinspektionen eller Patent- och registreringsverket. Regeringen konstaterar att ingen av de nämnda myndigheterna i dag besitter den kompetens som krävs för att utföra tillsynsuppgifterna. Vad den förstnämnda myndigheten beträffar kan, anför regeringen, praktiska skäl tala för att SWEDAC, som ansvarig för tillsyn av de ackrediterade organen, också utövar tillsyn över certifikatutfärdarna. Men detta skulle innebära en olämplig dubbelroll för SWEDAC. Det skulle nämligen betyda att SWEDAC skulle utöva tillsyn över certifikatutfärdare som är bedömda av organ som SWEDAC självt ackrediterat. Beträffande Post- och telestyrelsen konstaterar regeringen att myndigheten redan i dag förfogar över såväl juridisk som teknisk kompetens på området för elektroniska signaturer. Styrelsen har också stor erfarenhet av standardiseringsarbete inom telesektorn och en god insyn i standardiseringsarbetet för elektroniska signaturer. Vid en samlad bedömning finner regeringen att Post- och telestyrelsen är mest lämpad för uppgiften att utöva tillsyn över certifikatutfärdare som utfärdar kvalificerade certifikat till allmänheten. Det är dock viktigt att styrelsen samråder och samarbetar med SWEDAC, Finansinspektionen och andra berörda myndigheter, framhåller regeringen.
6.2 Motionsförslag
Enligt vad som sägs i motion 1999/2000:T30 (m) kommer troligen organ som ackrediterats av SWEDAC att certifiera de utfärdare som vill visa att de uppfyller uppställda standarder. Den av SWEDAC uppbyggda kompetensen bör utnyttjas även för tillsyn. SWEDAC bör således utses till tillsynsmyndighet (yrkande 6). I motionen återges Industriförbundets farhågor för att en utfärdare kan tvingas till dubbla kontroller under två parallella kontrollsystem om Post- och telestyrelsen blir tillsynsmyndighet. Motionärerna föreslår att frågan om val av tillsynsmyndighet blir föremål för en behovs- och kostnadsanalys (yrkande 7).
6.3 Utskottets ställningstagande
Utskottet anser för sin del att regeringen gjort en korrekt bedömning vad gäller val av tillsynsmyndighet och avstyrker följaktligen motion 1999/2000: T30 (m) yrkandena 6 och 7. Beträffande de farhågor för dubbelkontroll av certifikatutfärdare som vill bli certifierade noterar utskottet att tillsynsmyndigheten enligt propositionen i allt väsentligt förutsätts kunna koncentrera sin tillsyn på de icke certifierade utfärdarna.
Hemställan
Utskottet hemställer
1. beträffande lagförslagen
att riksdagen
dels antar regeringens förslag till lag om kvalificerade elektroniska signaturer,
dels antar regeringens förslag till lag om ändring i sekretesslagen (1980:100),
2. beträffande omförhandling av EG- direktivet m.m. att riksdagen avslår motion 1999/2000:T30 yrkandena 1 och 2,
res. 1 (m) - delvis
3. beträffande elektronisk kommunikation mellan medborgare och myndigheter
att riksdagen avslår motion 1999/2000:T31,
4. beträffande digitala stämplar för juridiska personer
att riksdagen avslår motion 1999/2000:T30 yrkandena 3 och 4,
res. 1 (m) - delvis
5. beträffande skadeståndsfrågor
att riksdagen avslår motion 1999/2000:T30 yrkande 5,
res. 1 (m) - delvis
6. beträffande val av tillsynsmyndighet
att riksdagen avslår motion T30 yrkandena 6 och 7.
res. 2 (m, kd, fp)
Stockholm den 10 oktober 2000
På trafikutskottets vägnar
Monica Öhman
I beslutet har deltagit: Monica Öhman (s), Sven Bergström (c), Per-Richard Molén (m), Hans Stenberg (s), Karin Svensson Smith (v), Johnny Gylling (kd), Tom Heyman (m), Krister Örnfjäder (s), Monica Green (s), Inger Segelström (s), Stig Eriksson (v), Tuve Skånberg (kd), Birgitta Wistrand (m), Mikael Johansson (mp), Claes-Göran Brandin (s), Jan-Evert Rådhström (m) och Eva Flyborg (fp).
Reservationer
1. Omförhandling av EG-direktivet m.m., digitala stämplar för juridiska personer och skadeståndsfrågor (mom. 2, 4 och 5)
Per-Richard Molén (m), Tom Heyman (m), Birgitta Wistrand (m) och Jan-Evert Rådhström (m) anför:
Omförhandling av direktivet
Enligt vår uppfattning har EG-direktivet om ett gemenskapsramverk för elektroniska signaturer fått en i viktiga hänseenden olycklig utformning. En brist är att direktivet sammanblandar regler om organisationsform och elektroniska signaturers rättsliga innebörd. Lämpligare hade varit att låta direktivet endast reglera näringsrättsliga frågor medan frågor om signaturernas rättsliga verkan bäst hade reglerats i annan ordning. En annan svaghet är att direktivet - liksom den nu behandlade propositionen - tycks utgå från att alla tekniska lösningar redan finns. Med detta förhållningssätt finns risk för låsningar i den tekniska utvecklingen. Mot den bakgrunden bör, som föreslås i motion 1999/2000:T30 (m), regeringen arbeta för en omförhandling av direktivet.
Digitala stämplar för juridiska personer
Den föreslagna lagens bestämmelser om elektroniska signaturers rättsverkan tar endast sikte på kvalificerade signaturer. Därmed finns det enligt vår uppfattning risk för att andra typer av elektroniska signaturer kommer att betraktas med skepsis i domstolarna, även om de tekniskt sett är lika bra som eller bättre än de kvalificerade signaturerna. Propositionens uttalanden innebär nämligen att elektroniska signaturer kan användas av juridiska personer för att signera dokument. Detta bryter mot den etablerade ordningen att endast fysiska personer kan underteckna dokument. Med den föreslagna ordningen finns risk för att de elektroniska signaturerna inte betraktas som ersättare för den traditionella namnteckningen. Enligt vår mening, närmare redovisad i motion 1999/2000:T30 (m), bör lagen ändras så att elektroniska signaturer förbehålls fysiska personer och att s.k. digitala stämplar införs som begrepp för juridiska personer. Sådana stämplar bygger på samma tekniska process men en skiljelinje skulle få stor betydelse för det allmänna medvetandet. Regeringen bör utarbeta ett sådant förslag.
Skadeståndsfrågor
I 15 § förslaget till lag om kvalificerade elektroniska signaturer stadgas att sådana avtalsvillkor, som i jämförelse med skadeståndsbestämmelsen i 14 § är till nackdel för den som förlitar sig på ett certifikat, är utan verkan mot denne. Vi anser att 15 § strider mot ett av lagens tillämpningsrekvisit, nämligen när ett certifikat skall anses vara utgivet till allmänheten. Så är enligt propositionen (s. 36) fallet när de mottagare som skall förlita sig på certifikatet saknar varje form av avtal med undertecknaren eller certifikatutfärdaren. Därmed kan enligt vår uppfattning den situation som 15 § skall reglera inte uppkomma. Följaktligen bör 15 § utmönstras. Regeringen bör återkomma till riksdagen med ett sådant förslag.
Vi anser att utskottets hemställan under 2, 4 och 5 bort ha följande lydelse:
2. beträffande omförhandling av EG-direktivet m.m.
att riksdagen med bifall till motion 1999/2000:T30 yrkandena 1 och 2 som sin mening ger regeringen till känna vad ovan anförs,
4. beträffande digitala stämplar för juridiska personer
att riksdagen med bifall till motion 19999/2000:T30 yrkandena 3 och 4 som sin mening ger regeringen till känna vad ovan anförs,
5. beträffande skadeståndsfrågor
att riksdagen med bifall till motion 1999/2000:T30 yrkande 5 som sin mening ger regeringen till känna vad ovan anförs,
2. Val av tillsynsmyndighet (mom. 6)
Per-Richard Molén (m), Johnny Gylling (kd), Tom Heyman (m), Tuve Skånberg (kd), Birgitta Wistrand (m), Jan-Evert Rådhström (m) och Eva Flyborg (fp) anför:
I EG-direktivet förutsätts att kraven på system och produkter kommer att baseras på standarder utgivna av standardiseringsorganisationer. Dessa standarder kommer troligen att ligga till grund för de frivilliga certifieringssy- stemen under ackreditering som kan förväntas växa fram. I dessa fall kommer av SWEDAC ackrediterade certifieringsorgan att certifiera de utfärdare som vill visa att de uppfyller standarderna. Med hänsyn till att SWEDAC redan i dag arbetar med de standarder som kommer att användas vid certifiering är det naturligt att SWEDAC får i uppgift att utöva tillsyn över efterlevnaden av lagen och de föreskrifter som har meddelats med stöd av lagen. Regeringens förslag innebär att Post- och telestyrelsen parallellt med SWEDAC och certifieringsorganen kommer att bygga upp och upprätthålla kompetens. Denna lösning innebär vidare att en certifikatutfärdare som vill bli certifierad kan komma att tvingas genomgå dubbla kontroller under två parallella kontrollsystem. Systemet medför inte bara ökad byråkrati utan också ökade kostnader för certifikatutfärdarna. Ett beslut i tillsynsmyndighetsfrågan bör, som föreslås i motion 1999/2000:T30 (m), föregås av en behovs- och konsekvensanalys.
Vi anser att utskottets hemställan under 6 bort ha följande lydelse:
6. beträffande val av tillsynsmyndighet
att riksdagen med bifall till motion 1999/2000:T30 yrkandena 6 och 7 som sin mening ger regeringen till känna vad ovan anförs.
Propositionens lagförslag
1. Förslag till lag om kvalificerade elektroniska signaturer
2. Förslag till lag om ändring i sekretesslagen (1980:100)