Elektroniske signaturer - regulering og rettsvirkning

Elektroniske signaturer vil bli stadig viktigere ved elektronisk handel og elektronisk innrapportering mv. Hva er egentlig elektroniske og digitale signaturer, hvordan reguleres de og kan vi bruke dem til å inngå avtale mv.? Dette er noen av spørsmålene artikkelen prøver å gi svar på. I slutten av artikkelen gis en kort presentasjon av enkelte arbeider som vil gi føringer på hvilke signaturer som vil bli brukt i fremtiden.

Seniorrådgiver

Thomas Myhr

Nærings- og handelsdepartementet

Elektronisk kommunikasjon, herunder bl.a. elektronisk handel og elektronisk innrapportering, har et betydelig potensial for effektivisering og verdiskaping. Tillit til elektronisk kommunikasjon vil imidlertid være en avgjørende suksessfaktor, både for utviklingen og utbredelsen. Det er derfor viktig at de som ønsker å åpne for elektronisk kommunikasjon ivaretar behovet for sikkerhet, for å beskytte sine disposisjoner og skape tillit. Dette sikkerhetsbehovet vil kunne ivaretas med elektroniske signaturer.# I regjeringens handlingsplan eNorge 2005 slås det bl.a. fast at innen utgangen av 2005 skal forholdene være lagt til rette for allmenn bruk av standardbaserte elektronisk signatur. Jf. www.enorge.org

Underskrift

Ved papirbasert kommunikasjon brukes i mange sammenhenger underskrift, selv om det ikke er et lovpålagt krav. Med å bruke en underskrift ønsker man normalt å ivareta følgende hensyn; avslutnings-, varslings- og bevishensyn. Men dersom partene ikke har truffet hverandre tidligere, er det vanskelig å kontrollere om underskriften er «ekte». For å fjerne usikkerheten om avsenders identitet bruker f.eks. selskap, myndigheter mv. trykt brevpapir og konvolutt, som angir representasjonsforholdet. Iblant stilles det krav om vitner, som bekrefter undertegners underskrift, for på den måten å øke tilliten til avsenders/motparts identitet.

Dersom man isteden bruker en elektronisk signatur, kan man oppnå en betydelig større sikkerhet om hvem man kommuniserer med. Her vil mottakeren kunne kontrollere avsenders identitet med en helt annen sikkerhet. Utstederen av signaturen har, gjennom klare prosedyrer, sikret undertegnerens identitet og går god for at den er riktig. Dessuten, dersom undertegneren mister sin signatur (f.eks. et kort med en datachip) eller har mistanke om at den er blitt kompromittert slik at noen annen bruker den, kan sertifikatet trekkes tilbake slik at mottakeren kan se at signaturen ikke lenger er gyldig.

Hva er en elektronisk og en digital signatur?

Elektronisk signatur er det brede og generelle fellesbegrepet som dekker flere metoder og teknikker for å knytte en person sammen med et dokument. Én mulig teknikk kan være å tegne navnetrekket sitt nederst på dokumentet ved hjelp av mus, spesialpenn eller liknende. Men slike signaturer kan lett klippes bort og erstattes med andres hvis man ikke bruker spesielle teknikker for å holde navn og dokument sammen. Det finnes (biometriske) teknikker der man kan vise at en visuell underskrift er knyttet til dokumentet, men det er få som er basert på åpne tilgjengelige standarder.

Den mest lovende, og stadig mer brukte løsningen for elektroniske signaturer i dag, er digitale signaturer med tilhørende infrastruktur, såkalt PKI (Public Key Infrastructure). Navnet på infrastrukturen henspiller på den teknologien som ligger til grunn, nemlig offentlig nøkkel-kryptografi. Denne teknologien gir muligheter for å

  • vite hvem avsenderen av en elektronisk meddelelse er (autentisering),

  • sikre meddelelsen slik at alle forsøk på endringer blir oppdaget (integritet),

  • forvrenge/kryptere innholdet slik at det blir uleselig for andre enn mottakeren (konfidensialitet) og

  • knytte innholdet til avsenderen slik at hun ikke kan nekte for å stå bak det (ikke-benekting).

Den som ønsker å ta i bruk en digital signatur, får tildelt et elektronisk nøkkelpar, en offentlig og en privat nøkkel, og et sertifikat hvor undertegners identitet blir knyttet til den offentlige nøkkelen. Den offentlige nøkkelen kan distribueres til mottakerne av de signerte meldingene omtrent som man gjør med telefonnumre. Den private er strengt personlig, akkurat som koden til bankkortet, og kan lagres på f.eks. et plastkort med en datachip (smartkort). Dette systemet krever at det etableres en infrastruktur for distribuering av de offentlige nøklene. Det er denne infrastrukturen som omtales som PKI. # Nærmere om elektroniske og digitale signaturer se NOU 2001:10 Uten penn og blekk.

En elektronisk signatur kan brukes til mye annet enn det som vi i dagligtale mener er en «signatur». Den kan brukes i en ikke rettslig kontekst, f.eks. ved autentisering som har som mål å identifisere en person eller verifisere datas ekthet. Resultatet av en autentiseringsprosess kan deretter ha en rettslig relevans. Som eksempel på bruk av en elektronisk signatur for autentisering, som ikke har direkte rettslig relevans, kan bl.a. nevnes bruk av såkalt SSL Protokoll/TLS protokoll som brukes til å autentisere en part i en direktekoblet (online) kommunikasjon, f.eks. internettbank. Autentiseringen skjer ved at en streng som inneholder ubegripelig tekst blir «signert». Mottakeren vil da være sikker på hvem han kommuniserer med.

Lov om elektronisk signatur

I lov 15. juni 2001 nr. 81 om elektronisk signatur reguleres de rettslige rammebetingelsene for bruk av elektronisk signatur og tilknyttede tjenester. Loven trådte i kraft 1. juli 2001.# Loven er en gjennomføring av EU-direktiv av 13. desember 1999 om en fellesskapsramme for elektroniske signaturer (1999/93/EF). Bakgrunnen for direktivet var et ønske om å etablere et harmonisert rammeverk for bruk av elektronisk signatur, og hindre at det ble skapt barrierer for elektronisk handel som kan hindre utviklingen av det indre marked.      Et viktig formål med loven er å sikre kommunikasjon mellom to parter som ikke kjenner hverandre, og slik legge til rette for elektronisk handel, forretningsdrift og forvaltning. Lovforslaget ble fremmet av Nærings- og handelsdepartementet i Ot.prp. nr. 82 (1999-2000) og ble justert ved en endringsproposisjon, Ot.prp. nr. 103 (2001-2002), som trådte i kraft 1. januar 2003.

Det er fastsatt en forskrift til loven, forskrift 15. juni 2001 nr. 611 om krav til utsteder av kvalifiserte sertifikater mv. Forskriften trådte i kraft samtidig med loven, 1. juli 2001.

Lovens hovedinnhold

Lov om elektronisk signatur regulerer i hovedsak utsteder av kvalifiserte sertifikater. I loven stilles det krav til slike utstederes virksomhet og det stilles krav til hvilke opplysninger som skal gå frem av et kvalifisert sertifikat. Det er også i loven etablert et tilsynsregime for utstedere av kvalifiserte sertifikater og erstatningsbestemmelser for slike sertifikatutstedere.

Før vi går inn i detaljene i loven, vil det være hensiktsmessig kort å nevne noen sentrale begreper som brukes i loven.

Lovens definisjoner

I loven defineres begrepet elektronisk signatur slik: «data i elektronisk form som er knyttet til andre elektroniske data og som brukes som autentiseringsmetode». Begrepet omfatter alle Typer av autentiseringsmetoder som kobler avsender av en elektronisk melding til selve meldingen. Begrepet er således nøytralt i forhold til hvem som blir autentisert, slik at det ikke kun omfatter personer, men også omfatter f.eks. servere som signerer meldinger automatisk på vegne av en virksomhet, uten at signaturen er knyttet til en person.

I loven brukes også begrepet undertegner. Med undertegner menes den som bruker den elektroniske signaturen, og som handler på vegne av seg selv eller på vegne av en annen fysisk eller juridisk person.

Et annet begrep i loven er avansert elektronisk signatur. Med en avansert elektronisk signatur menes: «en elektronisk signatur som

  • er entydig knyttet til undertegneren,

  • kan identifisere undertegneren,

  • er laget ved hjelp av midler som bare undertegneren har kontroll over, og

  • er knyttet til andre elektroniske data på en slik måte at det kan oppdages om disse har blitt endret etter signering.»

Slik denne bestemmelsen kan forstås i forhold til dagens teknologi, vil dette være en digital signatur (jf. avsnitt 2).

I loven defineres kvalifisert elektronisk signatur som « en avansert elektronisk signatur som er basert på et kvalifisert sertifikat og fremstilt av et godkjent sikkert signaturfremstillingssystem». Dette er en Type signatur som det har vært mye diskusjoner rundt, bl.a. i forhold til hvilke krav som egentlig knytter seg til denne signaturen og denne signaturens forhold til sidestillingen av underskrift (jf. avnitt 4).

Som siste begrep bør nevnes sertifikatutsteder, som kan være en fysisk eller juridisk person som utsteder sertifikater eller tilbyr andre tjenester relatert til elektronisk signatur.# Jf. Direktiv 1999/93/EF om elektroniske signaturer fortale punkt 9 - «Elektroniske signaturer vil få anvendelse i en rekke forskjellige situasjoner og på en rekke forskjellige bruksområder, noe som vil føre til et bredt spekter av nye tjenester og produkter i tilknytning til eller basert på bruk av elektroniske signaturer. Slike produkter og tjenester bør ikke være begrenset til utstedelse og forvaltning av sertifikater, men bør også omfatte enhver annen tjeneste og ethvert annet produkt som bruker eller støtter elektroniske signaturer, som registreringstjenester, tidsstempling, katalogtjenester, databehandlingstjenester eller rådgivningstjenester i forbindelse med elektroniske signaturer.» En sertifikatutsteder skal følge de lover og regler som gjelder i det land utstederen er etablert.

Lovens krav overfor utstedere av kvalifiserte sertifikater mv.

Som allerede er blitt nevnt stiller lov om elektronisk signatur strenge krav overfor utstedere av kvalifiserte sertifikater. Disse bestemmelsene finner man i hovedsak i §§ 10 til 15. Uten å gå i detalj vil jeg nevne noen bestemmelser.

  • Å utstede elektroniske signaturer, herunder kvalifiserte sertifikater, er både teknisk og administratorisk komplisert og dersom noe går galt, kan følgene være omfattende. På bakgrunn av dette stiller loven et generelt krav om at utstederen skal utøve og administrere sin virksomhet på en forsvarlig måte. Dette kravet forsterkes med krav om at sertifikatutstederen skal ha tilstrekkelige økonomiske ressurser for å kunne drive sin virksomhet. Med et krav om god økonomi ønsker lovgiver å sikre at utstederen har de ressurser som kreves for å drive en slik komplisert og dyr virksomhet, samt at utstederen kan betale ev. erstatning dersom noe går galt.

  • For å kunne stole på elektroniske signaturer må det være mulig å hindre at stjålne/kompromitterte signaturer blir brukt av ubehørige. På bakgrunn av dette stilles det krav om at utstedere av kvalifiserte sertifikater har en hurtig og sikker katalog- og tilbaketrekkingstjeneste, slik at det vil være mulig å trekke elektroniske signaturer tilbake og å kontrollere om den elektroniske signaturen fortsatt er gyldig eller ikke.

  • Et annet viktig krav for å ha tillit til kvalifiserte sertifikater er at det ikke er mulig å få utstedt et sertifikat i en annens navn. I lov om elektronisk signatur stilles det derfor krav om at utstederen er ansvarlig for at identiteten til undertegneren og ytterligere relevante opplysninger om vedkommende blir kontrollert gjennom sikre rutiner. I forskrift om krav til utsteder av kvalifiserte sertifikater mv. § 7 utdypes dette kravet slik at det stilles krav om personlig fremmøte ved utstedelse av kvalifiserte sertifikater, med mindre undertegneren allerede er identifisert ved personlig fremmøte gjennom eksisterende kundeforhold.

I forhold til innholdet i kvalifiserte sertifikater stiller lov om elektronisk signatur § 4 krav om at sertifikatet bl.a. skal innholde følgende informasjon:

  • At det dreier seg om et kvalifisert sertifikat. Det skal være mulig av sertifikatet å se om det er utstedt som et kvalifisert sertifikat. Begrunnelsen for dette er bl.a. at det er stilt høye krav til slike sertifikater og at det er etablert tilsyn og spesifiserte erstatningsbestemmelser for slike sertifikatutstedere. Dessuten er det slik at kvalifiserte sertifikater utstedt innenfor EØS, skal aksepteres som et kvalifisert sertifikat i alle EØS-stater. For å sikre denne frie flyten er det hensiktsmessig å «markere» sertifikatene som kvalifiserte.

  • Undertegnerens navn eller pseudonymer. Det normale vil sannsynligvis være at undertegnerens riktige navn står i sertifikatet. Det kan finnes situasjoner der det kan være ønskelig å kunne bruke f.eks. et artistnavn i sertifikatet. Dessuten kan det være slik at man utfra personvernhensyn ikke ønsker at navnet står i sertifikatet. For eksempel har ikke selger av DVD-filmer over Internett behov for å vite hvem kjøper er, såfremt det er mulig å koble opplysninger i kjøpers signatur til kjøpers bank som innestår for at selger vil få betalt. På den måten vil ikke selger vite hvem som har kjøpt den aktuelle DVD-filmen, og banken vil ikke vite hva som er blitt kjøpt. Eventuelle ytterligere opplysninger om undertegneren som er relevante for bruken av sertifikater. Hva som anses som relevante opplysninger avhenger av formålet med sertifikatet. Er det for eksempel tale om et sertifikat som kun skal brukes til kommunikasjon med et forsikringsselskap, kan det være hensiktsmessig å la sertifikatet innholde undertegnerens polisenummer.

  • Eventuelle begrensninger i sertifikatets anvendelsesområde eller beløpsmessige begrensninger. Det er således mulig å fastsette anvendelses- og beløpsmessige begrensninger for bruken av sertifikatet. Begrensningen skal fremgå direkte av sertifikatet. Jf. avsnitt 3.6 vedr. forholdet mellom begrensninger og erstatning.

Tilsyn av utstedere av kvalifiserte sertifikater

Det er etter loven blitt etablert et tilsynsregime som skal føre tilsyn med at kravene i loven med forskrift etterleves. Tilsynet er lagt til Post- og teletilsynet.# Jf. www.npt.no Ifølge loven må en utsteder av kvalifiserte sertifikater før han utsteder slike sertifikater sende en registreringsmelding til Post- og teletilsynet.#Per i dag er det kun ZebSign AS (eies av Telenor og Posten) som er registrert ved Post- og teletilsynet. Det er ikke noe krav om at meldingen er blitt godkjent før utstedelse av kvalifiserte sertifikater kan begynne. Tilsynet vil ta del av disse dokumentene og kan kreve ytterligere opplysninger eller dokumenter dersom det er nødvendig. Tilsynet kan også kreve at det foretas en såkalt IT-revisjon. Den vanligste formen for IT-revisjon er at et revisjonsbyrå gjennomgår sertifikatutstederens virksomhet.#Det er i loven ikke spesifisert hvem som kan gjennomføre slike IT-revisjoner. Jf. den danske loven om elektroniske signaturer (lov nr. 417 av 31. mai 2000) som stiller krav om årlig systemrevisjon, og der det er angitt at slike revisjoner skal gjennomføres av en ekstern statsautorisert revisor.

Dersom tilsynet finner at virksomheten ikke oppfyller lovens krav, kan tilsynet bestemme at sertifikatutsteder skal betale tvangsmulkt inntil den lovstridige virksomheten opphører. Tilsynet kan også stille krav om at en virksomhet som utsteder kvalifiserte sertifikater skal opphøre.

Erstatning

Loven innholder også en bestemmelse om ansvaret som utstedere av kvalifiserte sertifikater har. Denne bestemmelsen er et ytterligere ledd i å få etablert tillit til bruken av kvalifiserte sertifikater. Ifølge bestemmelsen er en utsteder av kvalifiserte sertifikater erstatningsansvarlig for tap hos en fysisk eller juridisk person som hadde hatt rimelig grunn til å ha tillit til bl.a. følgende:

  • At informasjonen angitt i sertifikatet var korrekt på utstedelsestidspunktet. Hva som skjer etter det tidspunktet, har utstederen normalt ikke noen kontroll over. Det er for eksempel ikke mulig for utstederen å hindre at undertegneren gir fra seg PIN-kode mv. slik at for eksempel hans hustru har tilgang til hans elektroniske signatur.

  • At sertifikatet innholder alle opplysninger som kreves etter lov. Dette blir særlig aktuelt dersom ev. anvendelses- og beløpsmessige begrensninger for bruken av sertifikatet ikke er angitt i sertifikatet.

  • At sertifikatet blir registrert i tilbaketrekkingslisten. Som nevnt er det viktig for tilliten at «ugyldige» sertifikater trekkes tilbake slik at de ikke kan brukes.

Erstatningsansvaret gjelder ikke bare overfor den som har mottatt en elektronisk signert melding, men også overfor tredjemann og undertegner selv. Rett til erstatning krever imidlertid at den som har lidt tap, hadde rimelig grunn til å ha tillit til det kvalifiserte sertifikatet.

Det er på det rene at utstedelse og bruk av kvalifiserte sertifikater er teknisk komplisert. Ifølge de alminnelige erstatningsrettslige prinsipper har skadelidende bevisbyrden for å påvise en sannsynlighetsovervekt for at skaden er voldt ved en uaktsom handling. For den alminnelige brukeren av elektroniske signaturer, uten særlig kjennskap til teknologien, vil det være vanskelig å påvise at sertifikatutstederen har begått feil eller forsømmelser som kan bedømmes som uaktsomme eller forsettlige. På bakgrunn av dette pålegger loven utstedere av kvalifiserte sertifikater et såkalt uaktsomhetsansvar med omvendt bevisbyrde. Dette betyr at sertifikatutstederen må vise at skaden ikke skyldes dennes uaktsomme handling. Dette ansvaret innebærer ikke noe strengere erstatningsansvar i forhold til de alminnelige erstatningsreglene, men en tyngre bevisbyrde for utsteder. I realiteten kan dette føre til et skjerpet ansvar for sertifikatutsteder.

Lov om elektronisk signatur åpner for at sertifikatutsteder og undertegner kan avtale begrensninger i sertifikatets anvendelsesområde og begrensninger for hvor store beløp som skal kunne overføres med signaturen. Slike begrensninger vil tilsvarende begrense sertifikatutsteders erstatningsansvar.

Det ovennevnte erstatningsansvaret omfatter utstedere av kvalifiserte sertifikater, men også de som utgir seg for å utstede slike sertifikater selv om de ikke oppfyller alle lovens krav på det punktet. Utsteder av andre sertifikater enn kvalifiserte reguleres i henhold til alminnelig erstatningsrett og/eller i avtale med undertegner og andre aktører.

Elektroniske signaturers rettsvirkning

Mange stiller seg spørsmålet om hvorvidt det er mulig å f.eks. inngå avtaler elektronisk, og dersom det er mulig, hvilke elektroniske signaturer man må benytte seg av for å være sikker at disposisjonen er gyldig.

Lov om elektronisk signatur § 6 omhandler elektroniske signaturers rettsvirkning. Denne bestemmelsen har vært mye diskutert og det har vært usikkerhet om hva bestemmelsen egentlig sier.

Lov om elektronisk signatur § 6 lyder slik:

«Dersom det i lov, forskrift eller på annen måte er oppstilt krav om underskrift for å få en bestemt rettsvirkning og disposisjonen kan gjennomføres elektronisk, oppfyller en kvalifisert elektronisk signatur alltid et slikt krav. En elektronisk signatur som ikke er kvalifisert, kan oppfylle et slikt krav.»

Det er mange som har tolket denne bestemmelsen slik at når den trådte i kraft ble det mulig å inngå avtale elektronisk. Dette er ikke riktig. Lov om elektronisk signatur tar ikke stilling til om det er mulig eller ikke å inngå avtaler, eller foreta andre rettslige disposisjoner, elektronisk.

Det som knesettes i lov om elektronisk signatur § 6 er at dersom det i et regelverk stilles krav om underskrift for en bestemt rettsvirkning og den aktuelle disposisjonen kan gjennomføres elektronisk, vil alltid en kvalifisert elektronisk signatur oppfylle et slikt krav. Det skal imidlertid bemerkes at det ikke eksisterer mange steder i norsk lov der det stilles krav om underskrift.# Krav om underskrift stilles bl.a. i forvaltningsloven § 32 bokstav b ved klage av enkeltvedtak. I bestemmelsen vises til forvaltningsloven § 15 a som åpner for elektronisk kommunikasjon. Jf. også forvaltningsloven § 2 bokstav g der begrepet skriftlig defineres slik at det også omfatter «elektronisk melding når informasjonen i denne er tilgjengelig også for ettertiden.» - I dom fra Regeringsrätten i Sverige har en klage der klager har brukt en kvalifisert elektronisk signatur blitt avvist på grunn av at det etter den svenske forvaltningsloven oppstilles krav om at klage skjer på papir med underskrift. Bestemmelsen stiller ikke krav om at det skal være mulig å f.eks. inngå avtale elektronisk. En slik endring må skje i det enkelte regelverket som stiller krav om underskrift.

Samme rettsvirkning

Rettsvirkningen av en elektronisk signatur etter § 6 skal være den samme som en håndskreven underskrift, verken mer eller mindre. Det betyr at det fortsatt vil være mulig å nekte en elektronisk signatur rettsvirkning på grunn av for eksempel tvang eller svik. Dessuten vil det være mulig å stille andre formkrav enn krav om underskrift og som også må ivaretas for at disposisjonen skal være gyldig, f.eks. krav om vitner.

Sannsynligvis vil det ikke være mulig å avvise et dokument /avtale kun på det grunnlag at man ikke har brukt en kvalifisert elektronisk signatur.# Jf. direktivet om elektronisk signatur artikkel 5 nr. 2 som stiller krav om at en elektronisk signatur ikke nektes rettslig gyldighet eller ikke godtas som bevis under rettergang utelukkende fordi den er (i) i elektronisk form, (ii) ikke er basert på et kvalifisert sertifikat, (iii) ikke er basert på et kvalifisert sertifikat utstedt av en akkreditert tilbyder av sertifikattjenester eller (iv) ikke er fremstilt av et sikkert signaturfremstillingssystem. Denne bestemmelsen dekkes av de norske prinsippene om fri bevisføring og fri bevisprøving, og det har derfor ikke vært anledning å gjennomføre denne bestemmelsen i lov om elektronisk signatur. Men at en slik signatur ikke er blitt tatt i bruk, vil kunne påvirke signaturens bevisverdi, jf. Justisdepartementets uttalelse nedenfor.

Ved at direktivet om elektronisk signatur likestiller kvalifisert elektronisk signatur med håndskreven underskrift, skapes et felles nivå for elektronisk signatur innenfor hele EØS-området. Dette forholdet vil sannsynligvis ha størst betydning ved grensekryssende handel innenfor EØS. Videre krever direktivet at det må sikres at kvalifiserte elektroniske signaturer kan legges frem som bevis ved domstolene, og at elektronisk signatur, på annet nivå enn kvalifisert, ikke skal fratas rettsvirkning eller gyldighet som bevis. Dette følger allerede av gjeldende bevisvurderingsregler, men er for ordens skyld tatt inn i lovens § 6 annet punktum.

Som allerede nevnt stiller ikke direktivet om elektronisk signatur krav om at det skal være mulig å kommunisere elektronisk, herunder inngå avtale elektronisk. Derimot stilles det slike krav i direktivet om elektronisk handel.# Europarlaments- og rådsdirektiv 2000/31/EF av 8. juni 2000 om visse rettslige aspekter ved informasjonssamfunnstjenester, særlig elektronisk handel, i det indre marked («direktiv om elektronisk handel). Dette direktivet er til dels blitt gjennomført ved lov 23. mai 2003 nr. 35 om lov om visse sider av elektronisk handel og andre informasjonssamfunnstjenester (ehandelsloven), Ot. prp. nr. 31 (2002-2003). Det er også fremmet en tilleggsproposisjon 3. oktober 2003, Ot. prp. nr. 4 (2003-2004), som gjennomfører øvrige deler av nevnte direktiv. Ifølge direktivet om elektronisk handel skal medlemsstatene påse at deres rettsorden gjør det mulig å inngå kontrakter elektronisk og at de lovfestede krav som gjelder for inngåelse av kontrakter, ikke fører til at slike kontrakter mister sin rettsvirkning og gyldighet fordi de er inngått elektronisk.# EUROPAPARLAMENTS- OG RÅDSDIREKTIV 2000/31/EF av 8. juni 2000 om visse rettslige aspekter ved informasjonssamfunnstjenester, særlig elektronisk handel, i det indre marked (« Direktivet om elektronisk handel ») artikkel 9 nr. 1, med mulige unntak i nr. 2. Men disse kravene går mye kortere enn hva som allerede er blitt gjennomført ved nevnte eRegelprosjektet (jf. fakta om eRegelprosjektet).

Som en del av arbeidet i eRegelprosjektet så man nærmere på adgangen til å treffe avtale elektronisk og på spørsmålet om hvorvidt det er noen forskjell i beviskraft mellom et elektronisk dokument og et papirdokument.

Formfrihet

I en uttalelse fra Justisdepartementet vedrørende dette knesatte man til å begynne med at avtalefriheten er et sentralt prinsipp i norsk rett, herunder formfrihet, hvilket betyr at det normalt ikke gjelder formkrav for å inngå avtaler. Partene kan selv velge i hvilken form de ønsker å inngå en bindende avtale, for eksempel muntlig, skriftlig eller elektronisk. Hvilken form partene velger, har i seg selv ikke betydning i forhold til om avtalen er bindende. Det som særpreger en rettslig bindende avtale er at den kan gjennomføres ved domstolenes hjelp. Dette avhenger av at en eller begge parter kan bevise at gyldig avtale er inngått. For å sikre bevis velger mange å inngå avtaler på papir med underskrift fra begge parter. Et sentralt spørsmål i forhold til elektroniske avtaler er hvordan partene skal ivareta bevishensynet for disse avtalene.

Ved å kreve en underskrift (på papir eller elektronisk) ønsker man normalt å kunne gi svar på følgende tre spørsmål: (i) kan signaturen kobles til undertegneren, (ii) var det undertegneren som signerte og (iii) ønsket undertegner å innestå for dokumentets innhold?

Fri bevisføring og fri bevisvurdering

Her aktualiseres sivilprosessens prinsipper om fri bevisføring og fri bevisvurdering. Dette innebærer at partene i utgangspunktet kan føre ethvert bevis de finner hensiktsmessig, og at dommeren avgjør etter en samvittighetsfull prøvelse av hele saken hvilket faktum som ut fra en sannsynlighetsvurdering skal legges til grunn for pådømmelsen. Det er således ikke noe rettslig i veien for at elektroniske dokumenter legges frem som bevis for en norsk domstol. Spørsmålet er hvilken vekt domstolen vil tillegge slike dokumenter i sin bevisvurdering. Spørsmålet om beviskraft er ikke mulig å besvare generelt ettersom den avhenger av den konkrete bevissituasjonen i den enkelte sak. Denne usikkerheten er imidlertid ikke særegen for elektroniske avtaler, men gjør seg også gjeldende i forhold til avtaler inngått i andre former. Beviskraften av et skriftlig dokument vil avhenge av mange forskjellige forhold, som for eksempel om det fremstår som ekte, og om det er sammenfallende eller motstridende med andre dokumenter eller bevis som finnes i saken. Det er ikke mulig å gi en uttømmende oppregning av de faktorer som spiller inn ved vurderingen av troverdigheten av et bevis. Poenget er at domstolene i en sivil sak som hovedregel skal legge til grunn det faktum som fremstår som mest sannsynlig.# Se nærmere vedr. dette i Justisdepartementets brev til eRegelprosjektet (Kartleggingsprosjektet) 5. mai 1999. http://odin.dep.no/nhd/norsk/publ/rapporter/024011-220007/index-ved004-b-n-a.html # En domstol i Hellas har f.eks. akseptert en e-post som en (elektronisk) signatur.

I forhold til avtaleloven uttalte Justisdepartementet bl.a. følgende i eRegelprosjektets fellesproposisjon:

«Avtaleloven er det grunnleggende regelsettet for inngåelse av avtaler mv. Loven er fra 1918 og er ikke tilpasset elektronisk kommunikasjon. Loven gir opphav til flere vanskelige tolkningsspørsmål med hensyn til den nærmere avtalerettslige forståelsen av den elektroniske avtalemekanismen, elektronisk fullmaktsfremleggelse mv! Forholdet til avtaleloven er også behandlet av professor Erik Røsæg i artikkelen IT: Avtaleslutning og behovet for lovreform, Festskrift til Gunnar Karnell, Stockholm 1999, side 657 flg. Røsæg konkluderer med at det ikke er behov for endringer av avtaleloven. Justisdepartementet slutter seg til dette. Vi kan ikke se at avtaleloven oppstiller rettslige hindringer for elektronisk avtaleinngåelse eller annen elektronisk kommunikasjon på avtalerettens område. ! Departementet vil likevel følge utviklingen nøye, og løpende vurdere behovet for endringer av avtaleloven# Ot.prp. nr. 108 (2000-2001) kapittel 3.7.1.

Hva skjer videre?

Etter gjennomføringen av eRegelprosjektet (nå VideReprosjektet) finnes det ikke mange hindringer for elektronisk kommunikasjon i dagens regelverk.# Det var noen områder som ble holdt utenfor eRegelprosjektet, bl.a. pga. at det allerede pågikk lovarbeid. Jf. f.eks. tvistemålsutvalget NOU 2001:32 som i sitt forslag stiller krav om at advokat må sende prosesskriv (som skal være signert) elektronisk til retten. Sammen med lov om elektronisk signatur kan resultatet fra eRegelprosjektet derfor ses som en «døråpner» i forhold til bruk av elektroniske signaturer.

Når dette er tatt i betraktning, blir neste trinn å finne ut hvilke krav som skal stilles til elektroniske signaturer mv. Det pågår for tiden flere arbeider hvor konklusjonen vil oppstille konkrete krav i forhold til dette, bl.a. i koordineringsorganet for PKI, ved arbeidet med å sidestille elektronisk og visuell legitimasjon og i PKI-forums samarbeidsorgan. Det kan også nevnes at det pågår mange prosjekt vedr. bruk av elektronisk signatur, jf. Arbeids- og administrasjonsdepartementets Strategirapport «Strategi for IKT i offentlig sektor», publisert 18. februar 2003.

I henhold til forskrift om elektronisk kommunikasjon med og i forvaltningen er det blitt opprettet et koordineringsorgan for PKI i offentlig sektor. Organet skal bidra til at målsettingen i eNorge 2005-planen oppnås, slik at forholdene skal være lagt til rette for allment bruk av standardbaserte elektroniske signaturer innen utgangen av 2005. Organet skal også sørge for at løsninger for PKI i offentlig sektor gjenbrukes der det er naturlig slik at brukerne får en mest mulig ensartet løsning å forholde seg til. Koordineringsorganet ledes av Arbeids- og administrasjonsdepartementet og har medlemmer fra bl.a. Finansdepartementet, Justisdepartementet og Nærings- og handelsdepartementet.

Koordineringsorganet har bl.a. følgende oppgaver:

  • Kategorisere IKT-løsninger i forvaltningen etter deres behov for sikkerhet/elektronisk signatur, og ut fra det fastslå noen felles sikkerhetsnivåer.

  • Gi anbefalinger om hvilke PKI-/sikkerhetsløsninger som bør brukes i offentlig sektor.

  • Vurdere bruk av felles kravspesifikasjoner, f.eks. i standardavtaler.

Forslag om sidestilling

I forbindelse med behandlingen av den nye hvitvaskingsloven, fremmet Stortinget et anmodningsvedtak med pålegg om at Regjeringen innen utgangen av 2003 skal fremme forslag til sidestilling av skriftlig (visuell) og elektronisk legitimasjon.# Jf. Ot.prp. nr. 72 (2002-2003) og Innst. O. nr. 100 (2002-2003). Med en slik sidestilling vil det således åpnes for muligheten ved en elektronisk legitimasjon å identifisere seg overfor banker, eiendomsmegler, advokater mv. uten personlig fremmøte. Et forslag til en slik sidestilling vil sannsynligvis sendes på høring i begynnelsen av 2004.

Samarbeid om infrastruktur

Under PKI-forums # Mer om PKI-forum se http://www.pki-forum.no/. regime skal flere leverandører av elektroniske signaturer samarbeide om en samfunnsinfrastruktur for elektroniske signaturer. Nærings- og handelsdepartementet og Arbeids- og administrasjonsdepartementet skal legge til rette for samarbeidet. Samarbeidsavtalen legger opp til at leverandører av elektroniske signaturer skal bli enige om hvordan en slik infrastruktur skal fungere.

Prosjektet startet høsten 2003 og skal frembringe noen felles standarder som leverandører av elektroniske signaturer kan legge til grunn for sine produkter og tjenester. Dette vil forenkle bruken for privatpersoner, bedrifter og det offentlige ved at den elektroniske legitimasjonen de får fra sin leverandør vil kunne brukes til mange tjenester på nett, også de som samarbeider med andre leverandører av e-signaturer enn den man selv har.

Fig 1. Fakta om eRegelprosjektet / VideReprosjektet

Regjeringen har hatt som mål at elektronisk kommunikasjon, så langt det er mulig, skal likestilles med papirbasert kommunikasjon. På denne bakgrunn ble det igangsatt et prosjekt i Nærings- og handelsdepartementet, sammen med Justisdepartementet og Arbeids- og administrasjonsdepartementet, som hadde som mål å fjerne unødvendige rettslige hindringer for elektronisk kommunikasjon.

Arbeidet begynte våren 1999 med en kartleggingsfase, der alle departementene, sammen med underliggende etater, gikk gjennom sitt regelverk for å finne hindringer for elektronisk kommunikasjon. Neste trinn i prosjektet var å foreslå endringer i lover og forskrifter som inneholdt rettslige hindringer for elektronisk kommunikasjon. Med utgangspunkt i resultatet fra kartleggingen gjennomgikk alle departementer sitt regelverk og kom med forslag til lovendringer for å fjerne hindringer for elektronisk kommunikasjon. Nærings- og handelsdepartementet hadde ansvaret for den fellesproposisjon som ble fremmet av alle departementer, jf. Ot.prp. nr. 108 (2000-2001) og Ot.prp. nr. 9 (2001-2002). I disse proposisjonene ble det foreslått endringer i 39 lover. Endringene trådte i kraft 1. januar 2002.

De konklusjoner som kan trekkes etter det omfattende arbeidet i eRegelprosjektet er bl.a. følgende: