Post 5711 av 7212 träffar
Propositionsnummer ·
1999/00:117 ·
Hämta Doc ·
Lag om kvalificerade elektroniska signaturer, m.m.
Ansvarig myndighet: Näringsdepartementet
Dokument: Prop. 117
Regeringens proposition
1999/2000:117
Lag om kvalificerade elektroniska signaturer, m.m.
Prop.
1999/2000:117
Regeringen överlämnar denna proposition till riksdagen.
Malmö den 18 maj 2000
Göran Persson
Mona Sahlin
(Näringsdepartementet)
Propositionens huvudsakliga innehåll
För genomförande av ett EG-direktiv om ett gemenskapsramverk för
elektroniska signaturer (1999/93/EG) föreslås i propositionen en ny lag
om s.k. kvalificerade elektroniska signaturer. Vidare föreslås en mindre
ändring i sekretesslagen (1980:100) för att tillgodose behovet av
sekretesskydd för koder o.d. som möjliggör säkerhetskontroll.
En elektronisk signatur kan användas för att säkerställa att elektroniskt
överförd information inte har förändrats, att informationens avsändare är
den som uppges samt att avsändaren inte senare förnekar att han eller hon
sänt informationen.
För att kunna använda en elektronisk signatur i ett öppet system där
parterna inte känner varandra i förväg, såsom Internet, behöver parterna
kunna inhämta information om kopplingen mellan en elektronisk signatur
och en bestämd person. Därför har det utvecklats ett system för elektro-
niska signaturer som kan benämnas det öppna nyckelsystemet (Public
Key Infrastructure, PKI). I detta system utfärdas ett elektroniskt intyg
(certifikat) av en betrodd tredje part. Ett certifikat innehåller uppgifter
om vem som är innehavare av en elektronisk signatur.
Direktivets reglering bygger på elektroniska signaturer enligt det
öppna nyckelsystemet. Det innehåller främst näringsrättsliga regler om
dem som utfärdar vissa certifikat, men även regler om skadeståndsansvar
och om rättsverkan av elektroniska signaturer.
Den föreslagna lagen innehåller regler om krav på, tillsyn över och
skadeståndsansvar för den som utfärdar certifikat för elektroniska signa-
turer till allmänheten, om certifikaten anges ha en viss säkerhetsnivå.
Sådana certifikat kallas i lagen för kvalificerade certifikat. En särställning
ges vidare åt elektroniska signaturer med en viss säkerhetsnivå, s.k.
kvalificerade elektroniska signaturer. Lagens regler omfattar inte
certifikat som utfärdas inom s.k. slutna system. Lagen reglerar inte heller
frågor om ingående eller giltighet av avtal.
Enligt direktivet kan medlemsstaterna införa frivilliga ackrediterings-
system som syftar till att höja nivån på tillhandahållandet av certifikat-
tjänster. Lagen (1992:1119) om teknisk kontroll ger möjlighet till
frivillig ackreditering av certifieringsorgan med det syfte som anges i
direktivet.
En tillsynsmyndighet förutses utöva tillsyn över efterlevnaden av
bestämmelserna i lagen och föreskrifter som meddelas med stöd av
lagen. Regeringen bemyndigas att införa ett avgiftssystem för att bekosta
myndighetens verksamhet.
Den nya lagen föreslås träda i kraft den 1 januari 2001.
Innehållsförteckning
1 Förslag till riksdagsbeslut 5
2 Lagtext 6
2.1 Förslag till lag om kvalificerade elektroniska signaturer 6
2.2 Förslag till lag om ändring i sekretesslagen (1980:100) 12
3 Ärendet och dess beredning 13
4 Bakgrund och utgångspunkter 14
4.1 Varför behövs elektroniska signaturer? 14
4.2 Rätts- och bevisverkan av signaturer 15
4.3 Tekniska grunder 18
4.3.1 Kryptografisk teknik med hemliga och
öppna nycklar 20
4.3.2 Utrustning för att signera elektroniskt 21
4.3.3 Certifikat 21
4.3.4 Infrastruktur för öppna nycklar 22
4.3.5 Vissa säkerhetsfrågor för system med
elektroniska signaturer 22
4.4 Standardisering, ackreditering, certifiering 24
5 Direktivet om ett gemenskapsramverk för elektroniska
signaturer 26
5.1 Allmänt 26
5.2 Tillämpningsområde 28
5.3 Definitioner 28
5.4 Marknadstillträde 29
5.5 Fri rörlighet 30
5.6 Rättslig verkan 30
5.7 Skadestånd 31
5.8 Internationella aspekter 31
5.9 Dataskydd 32
5.10 Kommitté 32
5.11 Anmälan, genomförande och översyn 32
6 Genomförande av direktivet 32
6.1 En ny lag 33
6.2 Lagens syfte och tillämpningsområde 34
6.3 Definitioner 37
6.4 Kvalificerade certifikat 41
6.5 Utfärdande av kvalificerade certifikat 42
6.6 Standardisering 43
6.7 Ackreditering och certifiering 44
6.8 Anordningar för signaturframställning 46
6.9 Skadestånd 48
6.9.1 Allmänt om skadestånd och användning av
elektroniska signaturer 48
6.9.2 Genomförandet av direktivets artikel om
skadestånd 50
6.10 Behandling av personuppgifter 54
6.11 Kvalificerade elektroniska signaturer 55
6.12 Tillsyn 60
7 Val av tillsynsmyndighet 64
8 Finansieringen av tillsynsmyndighetens verksamhet 66
9 Sekretessfrågor 67
10 Ikraftträdande 68
11 Kostnader 69
12 Författningskommentar 69
12.1 Förslaget till lag om kvalificerade elektroniska
signaturer 69
12.2 Förslaget till lag om ändring i sekretesslagen 81
Bilaga 1 Europaparlamentets och rådets direktiv 1999/93/EG av den
13 december 1999 om ett gemenskapsramverk för
elektroniska signaturer Fel! Bokmärket är inte definierat.
Bilaga 2 Promemorians lagförslag 91
Bilaga 3 Förteckning över remissinstanserna avseende Ds 1999:73 96
Bilaga 4 Förteckning över remissinstanserna avseende
SOU 1996:40 97
Bilaga 5 Lagrådsremissens lagförslag 98
Bilaga 6 Lagrådets yttrande 105
Utdrag ur protokoll vid regeringssammanträde den 18 maj 2000. 109
Rättsdatablad 110
1 Förslag till riksdagsbeslut
Regeringen föreslår att riksdagen antar regeringens förslag till
1. lag om kvalificerade elektroniska signaturer,
2. lag om ändring i sekretesslagen (1980:100).
2 Lagtext
Regeringen har följande förslag till lagtext.
2.1 Förslag till lag om kvalificerade elektroniska
signaturer
Härigenom föreskrivs följande.
Allmän bestämmelse
1 § Syftet med denna lag är att underlätta användningen av elektroniska
signaturer, genom bestämmelser om säkra anordningar för signatur-
framställning, om kvalificerade certifikat för elektroniska signaturer och
om utfärdande av sådana certifikat.
Lagen gäller sådana certifikatutfärdare som är etablerade i Sverige och
som utfärdar kvalificerade certifikat till allmänheten.
Definitioner
2 § I lagen avses med
elektronisk signatur: data i elektronisk form som är fogade till eller
logiskt knutna till andra elektroniska data och som används för att
kontrollera att innehållet härrör från den som framstår som utställare och
att det inte har förvanskats,
avancerad elektronisk signatur: elektronisk signatur som
a) är knuten uteslutande till en undertecknare,
b) gör det möjligt att identifiera undertecknaren,
c) är skapad med hjälpmedel som endast undertecknaren kontrollerar,
och
d) är knuten till andra elektroniska data på ett sådant sätt att förvansk-
ningar av dessa data kan upptäckas,
kvalificerad elektronisk signatur: avancerad elektronisk signatur som
är baserad på ett kvalificerat certifikat och som är skapad av en säker
anordning för signaturframställning,
undertecknare: fysisk person som behörigen innehar en anordning för
signaturframställning,
signaturframställningsdata: unika data, såsom koder eller hemliga
krypteringsnycklar, som används för att skapa en elektronisk signatur,
anordning för signaturframställning: maskin- eller programvara för
användning av signaturframställningsdata,
säker anordning för signaturframställning: anordning för signatur-
framställning som uppfyller kraven i 3 §,
signaturverifieringsdata: data, såsom koder eller öppna krypte-
ringsnycklar, som används för att verifiera en elektronisk signatur,
certifikat: intyg i elektronisk form som kopplar ihop signatur-
verifieringsdata med en undertecknare och bekräftar dennes identitet,
kvalificerat certifikat: certifikat som uppfyller kraven i 6 eller 7 §,
certifikatutfärdare: den som utfärdar certifikat eller som garanterar att
någon annans certifikat uppfyller vissa krav.
Säkra anordningar för signaturframställning
3 § En anordning för signaturframställning som anges vara säker skall
säkerställa att signaturen är tillfredsställande skyddad mot förfalskning.
Anordningen skall även säkerställa att signaturframställningsdata
1. i praktiken kan förekomma endast en gång,
2. med rimlig säkerhet inte kan härledas, och
3. på ett tillfredsställande sätt kan skyddas av den behörige under-
tecknaren, så att andra inte kan komma åt eller använda dem.
Anordningen får inte förändra de uppgifter som skall signeras
elektroniskt eller hindra att de presenteras för undertecknaren före den
elektroniska signeringen.
4 § Kraven i 3 § på en säker anordning för signaturframställning skall
anses uppfyllda för sådan maskin- eller programvara som överens-
stämmer med sådana standarder för produkter för elektroniska signaturer
som Europeiska gemenskapernas kommission fastställt och offentliggjort
referensnummer till i Europeiska gemenskapernas officiella tidning.
5 § En anordning som anges vara en säker anordning för signatur-
framställning får släppas ut på marknaden eller användas för att skapa en
kvalificerad elektronisk signatur endast om den uppfyller kraven i 3 §. En
prövning av om kraven är uppfyllda skall göras av ett organ som anmälts
för detta ändamål enligt lagen (1992:1119) om teknisk kontroll.
Med en prövning enligt första stycket likställs en prövning av ett organ
som anmälts för samma ändamål av en annan stat inom Europeiska
ekonomiska samarbetsområdet.
Kvalificerade certifikat
6 § För att ett certifikat skall få kallas kvalificerat skall det vara utfärdat
för viss tid av en certifikatutfärdare, som uppfyller kraven i 9–12 §§ och
föreskrifter meddelade med stöd av 13 §, samt innehålla
1. uppgift om att det utfärdats som ett kvalificerat certifikat,
2. certifikatutfärdarens namn och adress samt uppgift om etablerings-
land,
3. undertecknarens namn eller pseudonym med uppgift om att det är en
pseudonym,
4. särskilda uppgifter om undertecknaren, om de är relevanta för ända-
målet med certifikatet,
5. signaturverifieringsdata som motsvarar de signaturframställnings-
data som undertecknaren vid tidpunkten för utfärdandet har kontroll över,
6. uppgift om certifikatets giltighetstid,
7. certifikatets identifieringskod,
8. certifikatutfärdarens avancerade elektroniska signatur eller en elek-
tronisk signatur med motsvarande säkerhetsnivå, och
9. uppgift om eventuella begränsningar av certifikatets användnings-
område eller av värdet på de transaktioner för vilka certifikatet kan
användas (transaktionsbelopp).
Regeringen eller, efter regeringens bemyndigande,
tillsynsmyndigheten får meddela närmare föreskrifter om krav enligt
första stycket.
7 § Om ett certifikat som uppfyller kraven i 6 § första stycket 1–9
utfärdats av en certifikatutfärdare som inte är etablerad i Sverige skall
certifikatet anses kvalificerat om
1. certifikatutfärdaren är etablerad i en annan stat inom Europeiska
ekonomiska samarbetsområdet och där får utfärda kvalificerade
certifikat,
2. certifikatutfärdaren uppfyller krav som motsvarar dem som anges i
9–12 §§ och föreskrifter meddelade med stöd av 13 § och är ackrediterad
i en annan stat inom Europeiska ekonomiska samarbetsområdet, eller
3. certifikatet garanteras vara kvalificerat av en certifikatutfärdare som
avses i 1 eller i 6 § första stycket.
Utfärdande av kvalificerade certifikat
8 § En certifikatutfärdare som avser att utfärda kvalificerade certifikat
till allmänheten är skyldig att anmäla detta hos den myndighet som
regeringen bestämmer (tillsynsmyndigheten) innan verksamheten
påbörjas.
9 § En certifikatutfärdare som utfärdar kvalificerade certifikat till
allmänheten skall bedriva verksamheten tillförlitligt och
1. ha personal med tillräcklig kompetens och erfarenhet för verk-
samheten, särskilt vad avser ledning, teknik och säkerhetsrutiner,
2. använda sådana rutiner för administration och ledning som uppfyller
erkända standarder,
3. använda pålitliga system och produkter som är skyddade mot
ändringar och se till att teknisk och kryptografisk säkerhet upprätthålls,
4. förfoga över tillräckliga ekonomiska medel för att kunna bedriva
verksamheten enligt denna lag och bära risken för skadeståndsskyldighet,
5. ha säkra rutiner för identitetskontroll av de undertecknare som
kvalificerade certifikat utfärdas till,
6. förfoga över ett snabbt och säkert system för registrering och
omedelbar återkallelse av kvalificerade certifikat, och
7. vidta åtgärder mot förfalskning av kvalificerade certifikat och i före-
kommande fall se till att framställandet av signaturframställningsdata
sker konfidentiellt.
Kraven i första stycket 3 skall anses uppfyllda för sådan maskin- eller
programvara som överensstämmer med sådana standarder för produkter
för elektroniska signaturer som Europeiska gemenskapernas kommission
fastställt och offentliggjort referensnummer till i Europeiska gemen-
skapernas officiella tidning.
10 § En certifikatutfärdare som utfärdar kvalificerade certifikat till
allmänheten skall
1. omedelbart återkalla ett certifikat när undertecknaren begär det eller
när det annars finns anledning till det,
2. säkerställa att exakt tidpunkt kan anges för utfärdande och åter-
kallelse av certifikat, och
3. säkerställa att av utfärdaren framställda signaturframställningsdata
och signaturverifieringsdata kan användas som komplement till varandra.
11 § En certifikatutfärdare som utfärdar kvalificerade certifikat till
allmänheten skall bevara all relevant information om certifikaten under
den tid som är motiverad med hänsyn till typen av certifikat och övriga
omständigheter. Certifikatutfärdaren skall även använda tillförlitliga
system för lagring av kvalificerade certifikat i verifierbar form, så att
1. endast behöriga personer kan göra tillägg och ändringar,
2. uppgifternas äkthet kan kontrolleras,
3. certifikaten är offentligt tillgängliga endast när innehavarna av
certifikaten har lämnat sitt samtycke, och
4. tekniska förändringar som äventyrar säkerhetskraven framgår för
den som handhar systemet.
Certifikatutfärdaren får inte lagra eller kopiera signaturframställnings-
data.
12 § Innan en certifikatutfärdare ingår avtal om att utfärda ett kvali-
ficerat certifikat skall certifikatutfärdaren skriftligen och på ett lätt-
begripligt språk informera motparten om
1. begränsningar och andra villkor för användning av certifikatet,
2. frivillig ackreditering eller certifiering som avses i lagen
(1992:1119) om teknisk kontroll, och
3. förfaranden för klagomål och avgörande av tvister.
Informationen enligt första stycket får överföras elektroniskt.
Informationen skall göras tillgänglig också för annan som är beroende
av certifikatet och som begär att få den.
13 § Regeringen eller, efter regeringens bemyndigande, tillsynsmyndig-
heten får utfärda närmare bestämmelser om krav enligt 9–12 §§.
Skadestånd
14 § En certifikatutfärdare som till allmänheten utfärdar certifikat som
anges vara kvalificerade skall ersätta den skada som åsamkats den som
förlitat sig på certifikatet, om skadan uppkommit genom att
1. certifikatutfärdaren inte har uppfyllt kraven i 10 §,
2. certifikatet inte uppfyller kraven i 6 § första stycket, eller
3. certifikatet vid utfärdandet innehöll felaktiga uppgifter.
Certifikatutfärdaren är dock inte skyldig att betala ersättning om
utfärdaren kan visa att skadan inte har orsakats av vårdslöshet hos
utfärdaren själv. Certifikatutfärdaren är inte heller ersättningsskyldig för
en skada som härrör från att ett kvalificerat certifikat använts i strid med
begränsningar som gäller användningsområde eller transaktionsbelopp
och som tydligt angetts i certifikatet.
Vad som sägs i första stycket 2 och 3 samt i andra stycket gäller även
en certifikatutfärdare som garanterar att en annan certifikatutfärdares
certifikat är kvalificerade.
15 § Avtalsvillkor som i jämförelse med 14 § är till nackdel för den som
förlitar sig på certifikatet är utan verkan mot denne.
Behandling av personuppgifter
16 § En certifikatutfärdare som utfärdar certifikat till allmänheten får
inhämta personuppgifter endast direkt från den som uppgifterna avser
eller med dennes uttryckliga samtycke och endast i den utsträckning som
är nödvändig för att utfärda eller upprätthålla ett certifikat. Uppgifterna
får inte samlas in eller behandlas för andra ändamål utan uttryckligt
samtycke från den som uppgifterna avser.
Kvalificerade elektroniska signaturer
17 § Om det i lag eller annan författning ställs krav på egenhändig
underskrift eller motsvarande och om det är tillåtet att uppfylla kravet
med elektroniska medel, skall en kvalificerad elektronisk signatur anses
uppfylla kravet. Vid kommunikation med eller mellan myndigheter kan
dock användningen av elektroniska signaturer vara förenad med
ytterligare krav.
Tillsyn
18 § Tillsynsmyndigheten skall ha tillsyn över efterlevnaden av denna
lag och föreskrifter som har utfärdats med stöd av lagen.
Tillsynsmyndigheten skall föra och ge offentlighet åt en förteckning
över certifikatutfärdare som anmält sig enligt 8 § och som enligt denna
lag får utfärda kvalificerade certifikat.
19 § Tillsynsmyndigheten har rätt att på begäran få de upplysningar och
ta del av de handlingar som behövs för tillsynen.
Tillsynsmyndigheten har också rätt att få tillträde till områden, lokaler
och andra utrymmen, dock inte bostäder, där verksamhet som står under
tillsyn bedrivs.
Tillsynsmyndigheten har rätt att få biträde av kronofogdemyndigheten
för tillsyn enligt första och andra styckena.
20 § Tillsynsmyndigheten får meddela de förelägganden och förbud som
behövs för efterlevnaden av denna lag eller av föreskrifter som meddelats
med stöd av lagen.
Tillsynsmyndigheten får förelägga en certifikatutfärdare, som till
allmänheten utfärdar certifikat som anges vara kvalificerade, att helt eller
delvis upphöra med denna verksamhet, endast om mindre ingripande
åtgärder visat sig vara verkningslösa. Myndigheten får besluta hur
verksamheten skall avvecklas.
21 § Förelägganden och förbud enligt denna lag får förenas med vite.
Avgifter
22 § Regeringen eller, efter regeringens bemyndigande, tillsynsmyndig-
heten får meddela föreskrifter om skyldighet för certifikatutfärdare som
utfärdar kvalificerade certifikat till allmänheten att betala avgift för
tillsynsmyndighetens verksamhet enligt denna lag.
Överklagande
23 § Tillsynsmyndighetens beslut enligt denna lag eller enligt före-
skrifter som meddelats med stöd av lagen får överklagas hos allmän
förvaltningsdomstol.
Prövningstillstånd krävs vid överklagande till kammarrätten.
Tillsynsmyndigheten får bestämma att beslut enligt denna lag skall
gälla omedelbart.
____________
1. Denna lag träder i kraft den 1 januari 2001.
2. Certifikatutfärdare som redan före ikraftträdandet utfärdar sådana
certifikat som medför anmälningsplikt enligt 8 § behöver inte göra
anmälan före den 1 februari 2001.
3. 15 § tillämpas inte i fråga om avtal som träffats före ikraftträdandet.
2.2 Förslag till lag om ändring i sekretesslagen
(1980:100)
Härigenom föreskrivs att 5 kap. 3 § sekretesslagen (1980:100)1 skall ha
följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
5 kap.
3 §2
Sekretess gäller för uppgift som
lämnar eller kan bidra till upplys-
ning om chiffer, kod eller liknande
metod som har till syfte att under-
lätta befordran eller användning i
allmän verksamhet av uppgifter
utan att föreskriven sekretess
åsidosätts, om det kan antas att
syftet med metoden motverkas om
uppgiften röjs.
Sekretess gäller för uppgift som
lämnar eller kan bidra till upplys-
ning om chiffer, kod eller liknande
metod som har till syfte att
1. underlätta befordran eller
användning i allmän verksamhet
av uppgifter utan att föreskriven
sekretess åsidosätts, eller
2. göra det möjligt att kontroll-
era om data i elektronisk form har
förvanskats,
om det kan antas att syftet med
metoden motverkas om uppgiften
röjs.
Sekretess gäller i verksamhet som avser förande av eller uttag ur
körkortsregistret för uppgift om körkorts referensnummer, om det inte
står klart att uppgiften kan röjas utan fara för att kontrollen av körkorts
äkthet motverkas om uppgiften röjs.
___________
Denna lag träder i kraft den 1 januari 2001.
3 Ärendet och dess beredning
Den 30 november 1999 antogs Europaparlamentets och rådets direktiv
1999/93/EG av den 13 december 1999 om ett gemenskapsramverk för
elektroniska signaturer. Direktivet innehåller bestämmelser om elektro-
niska signaturers rättsliga verkan och en reglering av de organ som avser
att erbjuda elektroniska intyg om signaturers äkthet. Direktivet trädde i
kraft den 19 januari 2000 och skall vara genomfört i medlemsstaterna
senast den 19 juli 2001. Direktivet bifogas som bilaga 1.
Under förhandlingarna om direktivet skedde samråd med en av
Näringsdepartementet tillkallad referensgrupp bestående av företrädare
för Kommerskollegium, Statskontoret, Riksarkivet, SWEDAC, Post- och
telestyrelsen, Konsumentverket, Riksskatteverket, Göteborgs universitet,
IT-kommissionen, Svenska kommunförbundet, Stockholms Handels-
kammare, SEIS, Sveriges advokatsamfund, Svenska Bankföreningen,
Sveriges Industriförbund, Svenska IT-företagen, Advokatfirman Lagerlöf
& Leman, Telia Promotor AB, Tele2 AB, Posten AB, Ericsson AB, iD2
Technologies AB och IBM Svenska AB.
Inför antagandet av direktivet var detta föremål för behandling i riks-
dagens EU-nämnd inför teleråden den 1 december 1997, den 19 maj och
27 november 1998 samt den 22 april och 30 november 1999.
Under hösten 1999 utarbetades inom Näringsdepartementet, i nära
samarbete med Justitiedepartementet, departementspromemorian Elek-
troniska signaturer (Ds 1999:73). Promemorian föregicks av samråd med
berörda departement i övriga nordiska länder, då tolkningen och genom-
förandet av direktivet diskuterades. Promemorians lagförslag bifogas
som bilaga 2.
Promemorian har remissbehandlats. En förteckning över remissinstan-
serna finns i bilaga 3. Remissyttrandena och en sammanställning av
dessa finns tillgängliga i Näringsdepartementet (dnr
N1999/12677/ITFoU). Av sammanställningen framgår att flertalet
remissinstanser i huvudsak tillstyrker den i promemorian föreslagna
lagen.
De nordiska överläggningarna har fortsatt även efter remissbehand-
lingen.
Den s.k. IT-utredningen överlämnade i mars 1996 betänkandet
Elektronisk dokumenthantering (SOU 1996:40). Där föreslogs bl.a. en
ändring i sekretesslagen med anledning av användningen av elektroniska
signaturer (se avsnitt 9). Betänkandet har remissbehandlats. En förteck-
ning över remissinstanserna finns i bilaga 4. Remissyttrandena och en
sammanställning av dessa finns tillgängliga i Justitiedepartementet (dnr
Ju1996/1260/L6). Av sammanställningen framgår att remissinstanserna i
denna del tillstyrker förslaget eller i allt väsentligt lämnar det utan
erinran.
Lagrådet
Regeringen beslutade den 30 mars 2000 att inhämta Lagrådets yttrande
över de förslag som finns i bilaga 5.
Lagrådet har i huvudsak godtagit förslagen, men föreslagit vissa
justeringar. Regeringen har i allt väsentligt följt Lagrådets förslag, vilket
bl.a. har medfört en omnumrering av 3–20 §§. Dessutom har vissa
redaktionella ändringar gjorts i lagtexten. Lagrådets synpunkter
behandlas i avsnitt 6.1, 6.11–6.12, 9 och 10 samt i författnings-
kommentarerna under respektive lagrum. Lagrådets yttrande finns i
bilaga 6.
4 Bakgrund och utgångspunkter
4.1 Varför behövs elektroniska signaturer?
En elektronisk signatur kan användas för att säkerställa att elektroniskt
överförd information inte har förändrats, för att identifiera informatio-
nens avsändare och för att förhindra avsändaren att förneka att han eller
hon sänt informationen.
Långt innan informationstekniken (IT) började förändra vårt sätt att
hantera och kommunicera information har den personliga namnteck-
ningen varit en väsentlig del av den ekonomiska och juridiska verklig-
heten. Namnteckningar eller signaturer tillgodoser flera olika behov vid
skriftlig informationshantering.
En signatur kan ge uttryck för en vilja att handla på ett visst sätt. När-
mast avser undertecknaren att acceptera innehållet i den text som är
placerad före namnteckningen. Nära knuten till denna viljefunktion är
den varningsfunktion som är förbunden med namnteckningen. Ett krav
på underskrift klargör på ett tydligt sätt att en bindande förpliktelse kan
vara för handen.
Genom att skriva en namnteckning på en handling som innehåller en
text, knyts texten på visst sätt till namnteckningen och därmed till den
person som utpekas av namnteckningen. Namnteckningen kan sålunda
användas för att identifiera den person som skall knytas till texten. Det
faktum att både texten och namnteckningen fästs på papperet medför ett
visst skydd mot manipulation och talar för att handlingen är äkta.
Identifieringsfunktionen och äkthetsfunktionen kan användas i situa-
tioner där behov av bevisning uppkommer, t.ex. för att i efterhand styrka
rättshandlingar. Att förse en pappershandling med en namnteckning kan
sägas vara ett sätt att säkra eventuellt framtida behov av att kunna bevisa
såväl identiteten på som avsikten hos den som undertecknat en handling.
Uttryckt på ett annat sätt kan namnteckningen sägas ha en funktion som
hinder för undertecknaren att med framgång hävda att han eller hon inte
står bakom en handling (s.k. oavvislighet). Den omständigheten att en
person är ”närvarande” i ett IT-system innebär oftast bara att denne via
någon form av förbindelse är i direkt kontakt med det tekniska systemet.
Det finns därför ofta ett behov av att kunna verifiera användarens
identitet. Det behövs för att man skall kunna styra behörighet att ta del av
information som inte skall vara allmän. I vissa fall behövs det för att
styra någon mer materiell funktion, som t.ex. att få tillgång till sedlar i en
uttagsautomat. Identitetsverifieringen används också för att i efterhand
kunna spåra vad någon gjort i ett elektroniskt system. Den metod som
helt dominerat för att kontrollera identiteten av användare i datorsystem
är att använda ett lösenord, ibland reducerat till en fyrsiffrig
säkerhetskod. En elektronisk signatur kan utgöra en säkrare metod som
kan användas över Internet och andra osäkra förbindelser. Den mest
intressanta frågan är emellertid om elektroniska signaturer också kan ges
de funktioner vid elektronisk kommunikation som traditionella under-
skrifter har vid pappersbaserad kommunikation.
4.2 Rätts- och bevisverkan av signaturer
Allmänt
En nyckelfråga är om en elektronisk signatur kan ges samma rättsverkan
som en egenhändig namnunderskrift. Det är dock inte alltid klart vad som
avses med denna frågeställning. Frågan har vidare olika innebörd
beroende på vilken rättsordning man syftar på. Det finns rättsordningar
där den traditionella namnteckningen har en rättslig betydelse i större
utsträckning och på ett annat sätt än i svensk rätt. I Sverige finns det i
varje fall inom civilrätten förhållandevis få regler som innebär att
underskriften är en förutsättning för att vissa rättsverkningar skall
inträda. Däremot kan underskriften ofta ha betydelse som bevis för ett
visst påstått förhållande, dvs. bevisverkan.
Rättsverkan
När det gäller affärssituationer som avtal om köp av varor och tjänster
samt om hyra m.m. finns endast ett mycket begränsat antal situationer
där svensk lagstiftning kräver avtal i skriftlig form med underskrifter av
parterna. Som exempel kan nämnas fastighetsköp och krediter till
konsumenter. Ett avtal om köp av fast egendom skall enligt 4 kap. 1 §
jordabalken alltid upprättas skriftligen och undertecknas av köparen och
säljaren. Ett avtal som gäller kredit till konsument skall enligt 9 §
konsumentkreditlagen (1992:830) ingås skriftligen och undertecknas av
konsumenten. Frånvaron av underskrifter kan ha olika konsekvenser i
olika fall. I fallet med fastighetsförvärv är avtalet ogiltigt om underskrift
saknas. I fallet med konsumentkrediter är avtalet ändå giltigt, utom i
fråga om villkor som är till nackdel för konsumenten. På familjerättens
område finns det också ett antal situationer där det krävs underskrifter.
Det gäller exempelvis testamente och äktenskapsförord, som inte är
giltiga utan underskrifter. På förvaltningsrättens område finns det ett
tämligen stort antal regler om att ansökningar m.m. till myndigheter skall
göras skriftligen och undertecknas av exempelvis den sökande.
I det vardagliga privat- och affärslivet finns det dock väldigt få lag-
regler om att underskrifter måste användas. Användningen av
underskrifter eller namnteckningar har i stället under lång tid utvecklats
som ett slags vardagens praxis. Undertecknandet har blivit en etablerad
metod för bekräftelse, kontroll och bevisning kring våra göranden och
låtanden i allmänhet. Detta är alltså något som i princip utvecklats utan
lagstiftning. Av någon betydelse i sammanhanget kan kanske vara
existensen av brottet ”förnekande av underskrift”. Enligt 15 kap. 13 §
brottsbalken kan nämligen den som förnekar sin underskrift på en urkund
dömas till böter eller fängelse i högst sex månader, förutsatt att åtgärden
innebär fara i bevishänseende. Om brottet är grovt är straffet fängelse i
högst två år.
Oavsett hur de lagregler som finns rörande underskrifter skall
uppfattas i samband med elektronisk kommunikation, är det knappast
främst lagstiftning som står i vägen för att elektroniska signaturer skall få
samma betydelse som egenhändiga namnunderskrifter. Det viktigaste
torde i stället vara att det utvecklas säkra och lättanvända tekniska
lösningar för elektroniska signaturer så att människor känner tillit till
dem och tycker att de är praktiska att använda.
När det gäller de formkrav som ändå finns på underskrift i olika
författningar är den avgörande frågan om syftena bakom dessa krav lika
väl kan uppfyllas med elektroniska signaturer. I detta sammanhang kan
det vara intressant att erinra om det betraktelsesätt som kan uttolkas ur
UNCITRAL:s1 modellag om elektronisk handel2, kallat ”funktionell
ekvivalens”. Detta betraktelsesätt innebär att man, när man ställs inför
frågan om ett nytt kommunikationssätt bör omfattas av det gamla
regelverket, skall ta fasta på de bakomliggande syftena med regeln.
Sedan får man analysera om dessa syften kan tillgodoses också i den
elektroniska miljön. Det elektroniska kommunikationssättet skall inte
förnekas rättslig betydelse enbart på den grunden att det sker i
elektronisk form.
De formkrav på underskrifter som finns i svenska författningar kan ha
många syften. Ett syfte kan vara att säkra bevisning om att en åtgärd
vidtagits, om vem som vidtagit den och om dess innehåll. Därvid kan ett
viktigt syfte vara att det på ett smidigt sätt skall gå att arkivera och
bevara informationen under mycket lång tid. Ett annat syfte kan vara att
det för statsmakterna kan underlätta vissa förfaranden, exempelvis
beskattning. Ett betydelsefullt syfte är vidare ofta att formkrav kan ha en
varningsfunktion, dvs. mana till och ge tid för eftertanke innan man
vidtar en betydelsefull rättshandling eller annan åtgärd. Dessa formkrav
infördes innan det var aktuellt med elektroniska rutiner och signaturer
eller kan antas ha tillkommit utan att informationstekniken har beaktats.
Frågan är då hur krav på underskrift eller liknande uttrycksätt bör
förstås vid elektronisk hantering. Denna fråga har behandlats bl.a. i
betänkandet Elektronisk dokumenthantering (SOU 1996:40, s. 93 ff). I
betänkandet anförs att ordet ”skriftlig”, i anknytning till förfaranderegler,
huvudsakligen synes användas för att utesluta muntliga rutiner och
utesluter därmed inte användning av elektroniska rutiner. I betänkandet
konstateras emellertid att när det krävs att en handling skall vara
”undertecknad” innefattas inte elektroniska rutiner. Här hänvisar
utredaren bl.a. till att telefaxmeddelanden i praxis inte ansetts uppfylla
rättegångsbalkens krav på att handlingen skall vara egenhändigt
undertecknad genom att det i kravet på egenhändigt undertecknande
också har ansetts ligga ett krav på att det just är det undertecknade
exemplaret som skall ges in till domstolen.
Ett åtminstone delvis annorlunda synsätt förefaller finnas hos Christina
Hultmark (se exempelvis Elektronisk handel och avtal, 1998, s. 65 ff).
Med utgångspunkt från en analys av syftena bakom olika
formkravsregler menar hon att ett krav på underskrift i en författning i
allmänhet inte behöver betyda att det krävs en egenhändigt skriven
namnunderskrift, utan att det skulle gå lika bra med en elektronisk
signatur. Resonemanget bygger på principen om funktionell ekvivalens
som kan härledas från UNCITRAL:s modellag om elektronisk handel (se
ovan).
Även om man anlägger ett sådant betraktelsesätt som kan uttolkas ur
UNCITRAL:s modellag är det i dag inte realistiskt att tänka sig att
svenska domstolar och myndigheter skulle tolka alla formkrav på
underskrift eller liknande i författningar så att de även skulle kunna
uppfyllas genom elektroniska signaturer. I sammanhanget är det dock
intressant att påpeka att när det gäller formkrav som kräver skriftlighet
har myndigheter och domstolar på vissa områden godtagit att dessa krav
kan uppfyllas med elektroniska rutiner, exempelvis telefax.
Elektroniska signaturers likställighet med traditionella egenhändiga
namnunderskrifter är en komplicerad fråga. Det är viktigt att komma ihåg
att de är olika till sin natur och utförs på olika sätt. Den elektroniska sig-
naturen bygger ofta på ett komplicerat tekniskt krypteringsförfarande,
och en och samma signatur kan oftast användas av alla personer som har
tillgång till de nödvändiga koderna och signeringsutrustningen. Det är
alltså i och för sig möjligt för den som är innehavare av de nödvändiga
koderna eller nycklarna, att lämna dem till andra personer och låta dessa
göra signaturer med hjälp av nycklarna. Eftersom en elektronisk signatur
är resultatet av en beräkning som görs dels med stöd av de nödvändiga
nycklarna, dels med stöd av innehållet i den handling som skall signeras,
har dock en elektronisk signatur inget värde fristående från den handling
till vilken den är knuten. En elektronisk signatur är följaktligen direkt
kopplad till den informationsmängd som signerats och inte fristående på
samma sätt som en namnteckning. Vidare präglas tekniken med elektro-
niska signaturer av en hög grad av säkerhet. Förfalskningar avseende
härkomst och innehåll är betydligt svårare att åstadkomma än när det
gäller pappershandlingar med namnunderskrifter. En namnunderskrift är
visserligen knuten till en viss persons sätt att skriva och kan inte över-
lämnas till andra, men vissa personer kan vara mycket skickliga på att
efterbilda andras underskrifter. Elektroniska signaturer av tillräckligt hög
kvalitet torde därför ha en minst lika god säkerhet som traditionella
underskrifter.
Bevisverkan
Även i de fall en underskrift inte utgör ett formellt krav tillmäts den
ibland mycket stor betydelse i bevishänseende. En namnunderskrift på en
handling kan användas som bevis för att en viss person skrivit under den
och att denna person godtagit de villkor som står i exempelvis ett
skriftligt kontrakt.
Svensk rättsskipning bygger på principen om fri bevisprövning. Det
betyder egentligen två saker. Det ena är att det inte finns någon
begränsning när det gäller vilka kunskapskällor man får använda som
bevis i en rättegång. Principen innebär dessutom att när en domare skall
bedöma och värdera bevisningen är denne obunden av lagregler. Det
finns alltså ingen begränsning i svensk rätt om att åberopa eller beakta
elektroniska signaturer eller andra IT-tillämpningar som bevisning.
Vad som däremot ibland finns i både lagstiftning och praxis är
bevisbörderegler. I det här sammanhanget är det särskilt intressant att se
om det finns några bevisbörderegler när någon förnekar en
namnunderskrift och påstår att den är förfalskad. Det har inte ansetts
nödvändigt att lagstifta om detta, men det finns avgöranden där Högsta
domstolen har uttalat sig i frågan. Rättsfallet NJA 1976 s. 667 gällde ett
fall där en person förnekade att det var han som undertecknat en
skuldförbindelse. Högsta domstolen uttalade att om någon gör en sådan
invändning får den påstådde fordringsägaren visa att handlingen är äkta.
Om en gäldenär däremot gör gällande att handlingen visserligen är äkta
men att texten ändrats, s.k. innehållsförfalskning, anses dock allmänt att
gäldenären i princip har bevisbördan. Högsta domstolen har även prövat
frågan vad som skall gälla när det gäller påstådda förfalskningar av
inköpsnotor i samband med användande av kontokort (NJA 1992 s. 263).
I detta rättsfall ansåg Högsta domstolen det ligga på kontohavaren att
åtminstone göra antagligt att det förelåg en förfalskning. Om detta krav
uppfylls krävs enligt Högsta domstolen att kontokortsföretaget visar att
inköpsnotan är äkta.
Frågan om bevisverkan av elektroniska signaturer behandlades i
departementspromemorian Digitala signaturer – en teknisk och juridisk
översikt (Ds 1998:14). Där gjordes bedömningen att det aldrig kan
komma i fråga att rubba den fria bevisprövningen. Man ansåg vidare att
det inte heller skulle vara ändamålsenligt att uppställa vissa generella
bevisbörderegler för elektroniska signaturer. Så gott som samtliga
remissinstanser delade denna bedömning.
Det vore onekligen en farlig väg att ge generella bevisbörderegler när
det gäller elektroniska signaturer. Bevisbördan bör inte placeras
uteslutande med ledning av vilket medium som kommit till användning.
Det avgörande måste naturligtvis vara bl.a. vad det är för typ av uppgifter
som bekräftats genom den elektroniska signaturen, vad det rör för typ av
rättshandling och vad det är för förhållande som skall bevisas. Parternas
inbördes förhållande kan också ha betydelse.
4.3 Tekniska grunder
Tekniken kring elektronisk dokumenthantering och signering är relativt
ny och den juridiska diskussionen kring denna har därför inte pågått i
särskilt många år. Det är därför inte förvånande att terminologin
fortfarande utvecklas och kan framstå som något förvirrande. Det beror
också på att samma eller snarare liknande begrepp används på flera olika
sätt. Tekniker har ofta andra utgångspunkter än jurister. Marknadsförare
kan också ha ett annat språkbruk som kanske inte alltid är så lämpligt i
juridiska sammanhang. Till detta kommer att utvecklingen i hög grad är
internationell och det är svårt att hitta bra svenska termer på begrepp som
länge endast haft engelska namn och förkortningar.
Termen ”digital signatur” har bl.a. i EG-direktivet fått ge vika för
termen ”elektronisk signatur”. Vad gäller relevansen av ordet
”elektronisk” kan följande sägas. En signatur är som regel inte intressant
isolerad, utan bara när den används för att säkra andra uppgifter av något
slag. Det blir i hög grad karaktären av dessa som också avgör vilka egen-
skaper en signatur har. Idag lagras och behandlas uppgifter eller data i
hög grad i elektroniska system, varför sådana data ofta kallas för
”elektroniska data”. Motsvarigheten till den handskrivna underskriften
kan kallas en ”elektronisk signatur”, också för att markera att ett elektro-
niskt system har använts för att skapa en sådan signatur.
Det är dock viktigt att i ett rättsligt begreppssystem kunna skilja på
metoder som används i framställningen av uppgifter inklusive signaturer
och de uppgifter man faktiskt har att ta ställning till. Det faktum att en
elektronisk ordbehandling idag nästan alltid föregått framställningen av
en traditionell pappershandling saknar betydelse för bedömningen av
handlingen i fråga. Det kan däremot vara väsentligt att man måste
använda sig av ett tekniskt elektroniskt hjälpmedel för att uppfatta och
bedöma uppgifterna eller signaturerna.
De ”elektroniska” signaturer som finns i dag är uteslutande ”digitala”
signaturer. Dagens informationsteknik är inriktad på digital representa-
tion av information där det centrala skyddsobjektet är ett informations-
innehåll som representeras av ettor och nollor. Under hanteringens gång
och när information kommuniceras byter denna representation många
gånger fysisk form. Den digitala datamängden kan finnas som högst till-
fälliga elektriska strömmar, som mer permanenta magnetfält på en hård-
disk eller som små fördjupningar på en CD.
En väsentlig egenskap som skiljer den digitala handlingen från andra
data är att den är helt entydig med sin digitala informationsrepresenta-
tion. Endast vissa bestämda värden tillåts, som representeras av siffror,
eller i praktiken ettor och nollor. Det finns inga gråskalor. Det är denna
egenskap som gör att man i digitala system exakt kan kopiera en
datamängd så att kopian är identisk med ursprungsmängden. Analog
kopiering blir aldrig på samma sätt identisk. Det går inte att på traditio-
nellt sätt skilja ett originalexemplar från en kopia när data förs över från
en databärare till en annan eftersom informationen endast förekommer
som ett originalinnehåll. Denna egenskap gäller givetvis signaturer lika
väl som andra elektroniska data.
Vid den följande kortfattade genomgången av de tekniska grunderna
redogörs för signering av information i digital form. Genomgående
används emellertid termen ”elektronisk signatur”, som numera får anses
vara den vedertagna beteckningen. För en mer utförlig beskrivning hän-
visas till departementspromemorian Digitala signaturer – en teknisk och
juridisk översikt (Ds 1998:14).
4.3.1 Kryptografisk teknik med hemliga och öppna nycklar
Den teknik som idag allmänt används för att skapa elektroniska
signaturer utnyttjar kryptografiska principer för att med en matematisk
funktion generera en signatur från de data i digital form som ingår i den
elektroniska handling som skall signeras och någon form av unik nyckel
som hör ihop med den som signerar (undertecknaren).
Elektroniska signaturer säkerställer att förändring av ett meddelande
kan upptäckas och verifierar vem som signerat det. Kryptografiska meto-
der kan även användas för att dölja ett meddelandes
informationsinnehåll. Detta användningsområde behandlas emellertid
inte här.
Signering
Signering av datamängden, som kan representera text, bild, ljud eller
information i någon annan form, börjar med att datamängden
förbehandlas med en s.k. hashfunktion. Av datamängden skapas däri-
genom ett s.k. hashvärde som kan liknas vid ett kondensat eller
”fingeravtryck” av datamängden. Hashvärdet är unikt i den meningen att
sannolikheten för att två datamängder som inte är identiska skulle ge
identiska hashvärden i praktiken är försumbar. Hashvärdet är också icke
omvändbart, vilket betyder att datamängden inte kan beräknas utifrån
hashvärdet.
Nästa steg i signeringen sker genom kryptering. Kryptering innebär att
en datamängd omvandlas genom en bestämd metod, en algoritm. Vid
krypteringen används förutom datamängden vissa andra ingångsvärden
som fungerar som nycklar vid krypteringen.
Vid signering används i allmänhet s.k. asymmetrisk kryptering med
användande av ett nyckelpar. En nyckel är ett mycket stort tal, idag oftast
1 024 bitar motsvarande cirka 300 siffror. Den ena delen av nyckelparet
kallas ”hemlig nyckel” och används av undertecknaren för att skapa
signaturer. Den måste skyddas mot obehörig åtkomst, vilket diskuteras
närmare nedan (se avsnitt 4.3.5). Den andra delen av nyckelparet kallas
”öppen nyckel” och kan användas för att verifiera signaturer, men inte
för att skapa dem. Denna nyckel kan spridas öppet till alla som har
anledning att verifiera en persons elektroniska signatur, eftersom den inte
kan missbrukas för att skapa signaturen och därmed inte behöver
distribueras med sekretesskydd. Krypteringen sker genom att hashvärdet
(kondensatet av datamängden) bearbetas med hjälp av en algoritm som
tar den hemliga nyckeln som ett ingångsvärde. Resultatet av denna
beräkning är den elektroniska signaturen.
Signeringen avslutas med att signaturen, bestående av det krypterade
hashvärdet, tillförs den signerade handlingen. Handlingen med signatur
kan nu sändas öppet till mottagaren.
Viktiga funktioner hos asymmetrisk kryptering är dels att ett krypterat
meddelande inte kan dekrypteras med samma nyckel i nyckelparet, dels
att det trots kunskap om den ena nyckeln i nyckelparet är omöjligt att
beräkna den andra nyckeln. De två nycklarna är därmed beroende av
varandra och bildar ett unikt par. Den asymmetriska krypteringen binder
innehavaren av den hemliga nyckeln till hashvärdet och därmed till den
signerade handlingen.
Verifiering
En elektronisk signatur verifieras på följande sätt. Mottagaren separerar
meddelandet och den medföljande signaturen. Samma hashfunktion som
avsändaren använde vid sin signering används för att bearbeta det mot-
tagna meddelandet, varvid man får ett hashvärde. Signaturen, i form av
ett krypterat hashvärde, dekrypteras av mottagaren med upphovsmannens
öppna nyckel och ett okrypterat hashvärde erhålls. Mottagaren jämför
dessa två hashvärden. Om de är identiska vet mottagaren att meddelandet
inte är förändrat samt att det verkligen härrör från innehavaren av det
unika nyckelpar som innehåller den använda öppna nyckeln. Han kan
vara säker på detta eftersom det bara är avsändarens hemliga nyckel som
kan ha krypterat hashvärdet och det endast är ett identiskt meddelande
som kan skapa ett identiskt hashvärde.
En central fråga med dessa tekniker är hur den som skall verifiera en
signatur skall kunna vara säker på att en bestämd öppen nyckel verkligen
hör ihop med den person som framstår som utställare av en elektronisk
handling. Man kan tänka sig olika metoder för säker teknik och
administrativa funktioner, men de som helt kommit att dominera bygger
på en användning av s.k. certifikat (se vidare nedan under avsnitt 4.3.3).
4.3.2 Utrustning för att signera elektroniskt
När en elektronisk handling skall signeras behöver undertecknaren någon
form av elektronisk utrustning som kan
presentera den information som skall signeras på ett begripligt sätt så
att undertecknaren vet vad som signeras,
lagra och använda den hemliga signeringsnyckel som skall användas,
skapa en medveten beslutspunkt för undertecknaren att faktiskt
signera, och
utföra den beräkning som krävs av hashfunktionen på de digitala data
som skall signeras och den kryptoberäkning som behövs för att skapa
den elektroniska signaturen.
4.3.3 Certifikat
Ett certifikat för en öppen nyckel är i sig en elektroniskt signerad
handling där en betrodd part intygar att en viss öppen nyckel hör ihop
med en viss person. Mottagaren kan vända sig till den som utfärdat
certifikatet för att få veta vem som innehar den öppna nyckeln, om
certifikatet – och därmed signaturen – är giltigt, om giltighetstiden löpt ut
eller om certifikatet är spärrat. Mottagaren kan också få reda på om det
finns begränsningar för vad certifikatet kan användas till.
Certifikaten kan spridas på olika sätt, t.ex. genom elektroniska
katalogtjänster. Det är också vanligt att den som signerar en elektronisk
handling inkluderar ett certifikat med sin öppna nyckel, som skall kunna
kontrolleras av mottagaren. Sådana certifikat, eller nyckelcertifikat,
brukar följa en internationell standard kallad X.509, som anger vilka
uppgifter som måste eller kan förekomma och hur dessa skall vara
anordnade. Själva certifikatet är en signerad mängd data där den som
utfärdat certifikatet tar ansvar för innehållet.
4.3.4 Infrastruktur för öppna nycklar
För att man på ett säkert och ekonomiskt rimligt sätt skall kunna använda
elektroniska signaturer (och andra tjänster som utnyttjar öppna nycklar) i
samhället mellan större grupper, enskilda, företag och myndigheter
behövs det en infrastruktur som på engelska ofta kallas public key
infrastructure (PKI), men som på svenska kan benämnas ”det öppna
nyckelsystemet”. Det finns ingen klar definition av vad begreppet
omfattar, men följande kan nämnas.
Utfärdande av certifikat är centralt.
Distribution av certifikat kan i och för sig ske med hjälp av en öppen
katalogtjänst. Vid kryptering för konfidentialitet och för identifiering
av användare kan det ofta vara en nödvändig lösning, men för
elektroniska signaturtjänster behövs inte katalogen. I samband med
utfärdandet kan nämligen nyckelinnehavaren/undertecknaren få sitt
certifikat i någon form (t.ex. på ett elektroniskt ID-kort eller via
e-post) och den som signerar kan själv bifoga certifikatet till den
signerade handlingen.
Innehavaren av certifikatet och eventuellt andra parter skall kunna
begära hos den som utfärdat certifikatet att det skall spärras, t.ex.
beroende på att den hemliga nyckeln som motsvarar certifikatets
öppna nyckel befaras ha kommit på avvägar. Det kan t.ex. vara fråga
om ett borttappat eller stulet elektroniskt ID-kort.
Tillhandahållande av information om certifikatens aktuella status via
spärrlistor eller statuskontroll ”on-line” av certifikat är en nödvändig
funktion för att man skall kunna ha tilltro till en elektronisk signatur.
En definition av ett certifikatformat som kan förstås av de sam-
verkande parterna måste finnas. Detta kan synas trivialt men möjlig-
gör att man faktiskt kan kommunicera och t.ex. verifiera signaturer.
4.3.5 Vissa säkerhetsfrågor för system med elektroniska
signaturer
Förmedlingen av information från dataform till en för
avsändaren/mottagaren uppfattbar form
Det är viktigt att klargöra gränserna mellan de digitala data som finns i
ett elektroniskt informationssystem som t.ex. en vanlig persondator och
den information som en människa slutligen tolkar utifrån dessa data.
Vare sig dessa data skapar en text, en figur på en bildskärm, skrivs ut på
papper eller kommunicerar talat språk via en högtalare, så tolkas primära
data till en annan form, vilken mer eller mindre exakt uppfattas av
mottagaren. I allmänhet har man nöjt sig med att försöka skydda den
digitala handlingen med hjälp av signaturtekniker utan att ta hänsyn till
den process som så småningom skall göra dessa data begripliga för en
människa.
Denna skillnad gäller inte bara för den tänkte mottagaren av den
elektroniska handlingen utan kan även gälla för den som är upphovsman
till informationen. I de moderna informationssystemen är det oftast svårt
att vara helt övertygad om att den information som skrivs in och som kan
iakttas före elektronisk signering också är korrekt representerad av den
datamängd som blir signerad i en komplicerad matematisk process vars
närmare detaljer inte kan iakttas eller kontrolleras direkt.
Skyddet för den hemliga nyckeln
Den mest centrala frågan att ta ställning till när det gäller utrustning för
elektroniska signaturer, gäller skyddet av den hemliga nyckeln. Man
brukar här tala om ”hårda” respektive ”mjuka” lösningar. Med hårda
lösningar menar man då en speciell utrustning som tillverkats enligt
mycket strikta metoder och som innehåller ett skyddande fysiskt skal mot
olika former av attacker. Aktiva (”smarta”) kort är den mest använda
formen. För en närmare diskussion om fördelar med att använda aktiva
kort för elektroniska signaturer hänvisas till departementspromemorian
Digitala signaturer – en teknisk och juridisk översikt (Ds 1998:14),
kapitel 3 och 5 samt bilaga 2.
Lösningar där man i stället med vanlig datorutrustning och speciell
programvara försöker skydda en hemlig nyckel (med t.ex. kryptering)
kallas på motsvarande sätt mjuka och är ofta billigare och enklare att
införa, men säkerheten är mer svårbedömbar.
I många elektroniska signatursystem har man någon form av metod för
att försöka verifiera att den behöriga innehavaren av signeringsnyckeln
verkligen är närvarande. Den idag helt dominerande metoden är att ett
lösenord erfordras. Med aktiva kort, mobiltelefoner eller andra mindre,
handburna enheter har detta lösenord i allmänhet reducerats till ett antal
tecken (t.ex. fyra siffror).
Denna typ av verifiering, som inte ensam duger till att unikt identifiera
en person, kan dock i många fall tillsammans med övriga skyddsåtgärder
anses vara tillräcklig för detta syfte. Man bör betona att i system med
sådana handburna signeringsverktyg som aktiva kort, så är det det fysiska
innehavet som är den väsentligaste skyddsfaktorn. En annan metod för
att öka säkerheten som diskuterats en hel del som ersättning för en
säkerhetskod, men sällan prövats i samband med signeringssystem, är att
använda någon form av biometrisk mätutrustning. En sådan utrustning
kan t.ex. känna igen den behöriga innehavarens tumavtryck.
Den pragmatiska lösning som i allmänhet tillämpas är att använda
olika skyddsåtgärder, inte minst vanliga fysiska lås, som skall säkerställa
att den persondator och den programvara som används är rimligt säkra.
Det är också viktigt att uppmärksamma skyddet av övrig signerings-
utrustning. I begreppet utrustning måste man här inkludera all den pro-
gramvara som används för den aktuella tillämpningen.
4.4 Standardisering, ackreditering, certifiering
Standarder och standardiseringsarbete har ökat i betydelse för stora delar
av samhället. En stor mängd varor och tjänster är utformade enligt
internationell eller nationell standard. Tack vare olika standarder passar
t.ex. glödlampan i sockeln, filmen i kameran, skruven i muttern osv.
Ett system med i princip frivilliga överenskommelser mellan olika
intressenter om vilka standarder som skall tillämpas har vuxit fram.
Ursprungligen togs standarder fram av näringslivet, huvudsakligen för att
sänka tillverkningskostnaderna. Så småningom stod det dock klart att
standardisering och tillverkarens egenkontroll inte var tillräckligt för att
garantera säkerheten och den tekniska kvaliteten hos olika tillverkares
produkter. Därför skapades olika, frivilliga certifieringssystem. Med
certifiering (av överensstämmelse) menas en handling utförd av en tredje
part, som visar att tillräcklig tilltro uppnåtts om att en vederbörligen
identifierad produkt, process eller tjänst är i överensstämmelse med en
bestämd standard eller med ett annat regelgivande dokument.
Standarder utnyttjas för att harmonisera tekniska regler som har
betydelse för skydd av liv, hälsa och miljö och är således en
angelägenhet även för myndigheter och andra offentliga organ.
Standardisering har numera en mycket stor betydelse för den fria
rörligheten för varor och tjänster över nationella gränser.
Internationella standardiseringsorganisationen (ISO) är en världs-
omfattande sammanslutning av nationella standardiseringsorgan.
Tillsammans med International Electrotechnical Commission (IEC), som
täcker standardisering inom det elektrotekniska området, utgör ISO
världens största icke-statliga system för frivilligt industriellt och tekniskt
samarbete på internationell nivå. Resultatet av ISO:s arbete utgörs av
ISO-standarder eller riktlinjer. Internet Engineering Task Force (IETF) är
dock den internationella organisation som ligger bakom i stort sett alla
idag förekommande standarder som rör elektroniska signaturer.
Centralorgan för standardisering i Sverige är Standardiseringen i
Sverige (SIS), som har till uppgift bl.a. att främja och fastställa svensk
standard. SIS är en fristående ideell förening, vars stadgar är fastställda
av staten. All fastställd svensk standard har prefixet SS. Om det rör sig
om en svensk standard som överför global standard utan ändringar blir
prefixet t.ex. SS-ISO. Överförd europeisk standard betecknas SS-EN.
SIS och dess auktoriserade standardiseringsorgan inom olika
fackområden deltar aktivt i utarbetandet av internationella standarder,
dels inom ISO och IEC, dels i de europeiska standardiseringsorganen
Comité Européen de Normalisation (CEN), Comité Européen de
Normalisation Electrotechnique (CENELEC) och European Tele-
communications Standards Institute (ETSI).
Det bör dock poängteras att standarder inom IT-området, där
utvecklingen är mycket snabb, i praktiken oftare sätts av de dominerande
leverantörerna och av andra organisationer än av de ovan beskrivna
standardiseringsorganen.
EG-kommissionen presenterade 1985 en vitbok med ett program för
förverkligande av den inre marknaden, innefattande bl.a. fri rörlighet för
varor. Programmet resulterade senare i den reformering av Romfördraget
som skedde genom Europeiska enhetsakten. En ny metod för
harmonisering av medlemsstaternas lagstiftning om produkter (”the New
Approach”) anvisades. Enligt denna skall direktiven endast fastställa de
väsentliga säkerhetskrav som produkterna skall uppfylla med hänsyn till
skydd för liv, hälsa eller miljö m.m. Det överlåts sedan till de europeiska
standardiseringsorganen att utarbeta harmoniserade frivilliga standarder
med närmare tekniska specifikationer för produkten. En produkt som
tillverkas i enlighet med dessa standarder skall förutsättas uppfylla de
väsentliga kraven i direktivet. Tillverkarens egenkontroll i kombination
med en försäkran från tillverkaren om att tillämpliga standarder har följts
skall normalt vara en tillräcklig kontrollåtgärd.
Produkter som kan medföra stor risk för hälsa och säkerhet skall dock i
normalfallet kontrolleras av ett tredjepartsorgan. Detsamma gäller när en
tillverkare inte har tillämpat harmoniserade standarder eller då sådana
saknas. Det skall räcka med att en sådan kontroll sker i ett land för att få
tillträde till hela den inre marknaden.
Efter förslag i vitboken antog EG också en resolution om en helhetssyn
för provning och certifiering3. I denna anges riktlinjer för hur EG:s
system för bestyrkande av överensstämmelse skall utformas. Som ett
komplement till den nya metoden föreskrivs hur ömsesidiga erkännanden
av provningar och certifieringar mellan medlemsstaterna skall komma till
stånd samt gemensamma villkor och regler för laboratorier och för
certifierings- och kontrollorgan.
De tredjepartsorgan som får utföra en sådan bedömning som omtalats
ovan skall anmälas till Europeiska gemenskapernas kommission.
Organen kallas därför anmälda organ. Dessa kan vara både offentliga och
privaträttsliga organ som av medlemsstaten bedömts ha tillräcklig
kompetens för uppgiften. Det anmälda organet utför bedömningen på
uppdragsbasis och får normalt självt bestämma avgiften för detta.
För att skapa förtroende för provningar och bevis om
överensstämmelse, oavsett i vilket land de utförts, har de europeiska
standardiseringsorganen, på EG:s vägnar, utarbetat enhetliga standarder
för kompetensen hos provnings-, certifierings- och kontrollorgan. Dessa
återges i den europeiska standardserien EN 45 000.
Att kraven är uppfyllda kan visas genom s.k. ackreditering. Med
ackreditering menas ett formellt erkännande av att ett organ (t.ex. ett
laboratorium, ett certifieringsorgan eller ett besiktningsorgan) är
kompetent att utföra specificerade uppgifter, såsom provningar,
kalibreringar, mätningar eller certifieringar. I Sverige har Styrelsen för
teknisk kontroll (SWEDAC) i uppgift att svara för bedömning av
kompetensen hos laboratorier, certifieringsorgan och kontrollorgan.
Liksom SIS deltar i det internationella standardiseringsarbetet är
SWEDAC engagerat i uppbyggnaden av de europeiska systemen för
ömsesidigt godtagande av provning och kontroll samt i utformandet av
enhetliga regler för bedömning av kompetens hos de organ som utför
teknisk kontroll. Detta sker främst inom ramen för organisationen
European Accreditation (EA). Inom EA finns multilaterala avtal om
ömsesidigt erkännande av ackrediteringssystem och om erkännande av
kompetens och därigenom av certifikat och system.
I Sverige har det beskrivna öppna systemet med anmälda organ
genomförts genom lagen (1992:1119) och förordningen (1993:1065) om
teknisk kontroll. Enligt dessa får både offentliga och enskilda organ som
uppfyller kraven på kompetens utföra certifierings-, provnings- och
besiktningsuppgifter och konkurrera om uppdragen. SWEDAC har till
uppgift att i samråd med berörda sektorsmyndigheter bedöma om de
organ som önskar bli anmälda uppfyller kraven. Som huvudregel gäller
att organen skall kunna visa att de uppfyller kraven i EN 45 000-serien.
Enligt lagen och förordningen om teknisk kontroll gäller dessutom som
huvudprincip att kraven även för ackreditering av organ som utför annan
kontroll, besiktning och certifiering än de som föreskrivs i EG-direktiven
skall baseras på EN 45 000-serien.
Av särskilt intresse i detta sammanhang är den provning och
certifiering av produkter som sker frivilligt, utan att det krävs i EG-
direktiv eller i nationella föreskrifter – det s.k. frivilliga området. Detta är
vanligt och krav på produkter finns ofta formulerade i standarder mot
vilka frivillig certifiering kan ske. Det är viktigt att påpeka att certifiering
inte bara sker av produkter, utan också av t.ex. kvalitetssystem,
ledningssystem, personal, eller av verksamheten i allmänhet.
Det är utan tvivel en fördel om det även inom det frivilliga området
tillämpas likartade former för provning och certifiering. I EG:s system
för bedömning av överensstämmelse har man också tagit fasta på att
tekniken för att bedöma om en produkt överensstämmer med vissa
uppställda krav är densamma oavsett om bedömningen sker utifrån
tvingande regler eller frivilliga former. I sitt meddelande av den 24 juni
1989 ”En helhetssyn på certifiering och provning” markerade EG-
kommissionen att ömsesidiga erkännanden inte bara är av intresse för
den reglerade sektorn utan i lika hög grad har betydelse inom det
frivilliga området. Även frivillig provning och certifiering kan, om den
skiljer sig åt i olika länder, medföra betydande handelshinder. Problemen
med att skapa ömsesidiga godtaganden är desamma inom de reglerade
och de frivilliga områdena, nämligen att skapa förtroende för att de
berörda organen är kompetenta och oberoende.
5 Direktivet om ett gemenskapsramverk för
elektroniska signaturer
5.1 Allmänt
Anledningen till att kommissionen lade fram ett förslag till direktiv var
bl.a. att den befarade att skilda juridiska och tekniska strategier i
medlemsstaterna beträffande elektroniska signaturer skulle utgöra ett
allvarligt hinder för den inre marknaden och hindra utvecklingen av nya
ekonomiska verksamheter som är kopplade till elektronisk handel. Olika
bestämmelser i medlemsstaterna om rättsligt erkännande av elektroniska
signaturer och om auktorisering av dem som tillhandahåller certifikat för
elektroniska signaturer skulle skapa betydande sådana hinder.
Syftet med direktivet är att underlätta användningen av elektroniska
signaturer och bidra till deras rättsliga erkännande. Avsikten är att
fastställa ett rättsligt ramverk för elektroniska signaturer och vissa
certifikattjänster för att säkerställa en väl fungerande inre marknad.
Direktivet omfattar inte frågor om ingående eller giltighet av avtal om
formkrav föreskrivs och påverkar inte heller bestämmelser som reglerar
användningen av dokument (artikel 1). Regelverket för elektroniska
signaturer är avsett att stärka förtroendet för och ge ett allmänt
godtagande av den nya tekniken.
I direktivet definieras signaturer som uppfyller vissa specificerade krav
som ”avancerade elektroniska signaturer”. Ett intyg i elektronisk form
som kopplar ihop en person med uppgifter, såsom koder eller öppna
kryptografiska nycklar, som verifierar en signatur samt bekräftar
personens identitet kallas som redan nämnts ”certifikat” (se avsnitt
4.3.3). Den tredje part som utfärdar certifikatet och som således går i god
för att den uppgivne undertecknaren verkligen är den som påstås kallas
”tillhandahållare av certifikattjänster”. Ett certifikat som innehåller i en
bilaga uppräknade uppgifter och som utfärdats av en tillhandahållare av
certifikattjänster som uppfyller kraven i en annan bilaga benämns
”kvalificerat certifikat”. Dessa och flera andra definitioner ges i artikel 2.
Den metod som används i direktivet är att ge avancerade elektroniska
signaturer, som baseras på ett kvalificerat certifikat och som dessutom
skapas av en ”säker anordning för skapande av signaturer” (se nedan), en
viss rättsverkan. Dessa signaturer skall anses uppfylla kraven på en
signatur i förhållande till uppgifter i elektronisk form på samma sätt som
en handskriven signatur uppfyller samma krav i förhållande till uppgifter
på papper och skall godtas som bevis vid rättsliga förfaranden. Vidare
stadgas att andra elektroniska signaturer under vissa förutsättningar inte
får förvägras rättslig verkan eller giltighet som bevis vid rättsliga
förfaranden (artikel 5).
Villkoren för marknadstillträde för tillhandahållare av certifikattjänster
och den tillsyn som skall ske regleras i artikel 3. Fri rörlighet för
certifikattjänster behandlas i artikel 4 och skadestånd i artikel 6. I
artikel 7 regleras behandlingen av certifikat utfärdade i länder utanför
gemenskapen, medan artikel 8 behandlar frågor om dataskydd. I övrigt
ges regler om den kommitté för elektroniska signaturer som skall biträda
kommissionen (artikel 9 och 10), om uppgifter som skall anmälas till
kommissionen (artikel 11), om en översyn av direktivet tre och ett halvt
år efter dess ikraftträdande (artikel 12) samt om genomförande och
ikraftträdande (artikel 13–15 ).
Vid direktivets utformning var målsättningen att regleringen skulle
vara teknikneutral, att certifikattjänster skulle kunna tillhandahållas utan
krav på förhandstillstånd samt att elektroniska signaturer skulle få rättslig
verkan.
5.2 Tillämpningsområde
Av ingressen till direktivet (punkt 16) framgår att elektroniska signaturer
som används endast inom system som grundar sig på frivilliga
civilrättsliga avtal mellan ett bestämt antal deltagare (s.k. slutna system)
inte faller under direktivets tillämpningsområde. Direktivreglerna avser
därför bara tillhandahållare av certifikattjänster som riktar sig ”till
allmänheten”. Avtalsparters frihet att sinsemellan komma överens om i
vilken mån och på vilka villkor de godkänner elektroniskt signerade
uppgifter påverkas alltså inte av direktivet.
Av ingressen till direktivet (punkt 9) och av definitionen av
tillhandahållare av certifikattjänster framgår vidare att dessa tillhanda-
hållare inte bör vara begränsade till att endast utfärda och hantera
certifikat. Även andra tjänster som har anknytning till elektroniska
signaturer bör kunna erbjudas, såsom registrerings-, tidsstämplings-,
katalog-, databehandlings- och konsulttjänster. För tillhandahållare av
certifikattjänster och för produkter med anknytning till elektroniska
signaturer föreskriver direktivet en fri inre marknad, vilket gäller för alla
sorters elektroniska signaturer, certifikattjänster och ”signaturprodukter”.
Direktivet omfattar inte frågor som avser ingående eller giltighet av
avtal eller andra rättsliga förpliktelser om den nationella lagstiftningen
eller gemenskapslagstiftningen föreskriver vissa formkrav. Det påverkar
heller inte bestämmelser och begränsningar i nationell lagstiftning eller
gemenskapslagstiftning som reglerar användningen av dokument.
5.3 Definitioner
En elektronisk signatur definieras som uppgifter i elektronisk form som
är fogade till eller logiskt knutna till andra elektroniska uppgifter och
som används som metod för autenticering.
För att en signatur skall få kallas avancerad elektronisk signatur krävs
att den är knuten uteslutande till undertecknaren, vilken kan identifieras
genom signaturen, att den är skapad med medel som undertecknaren kan
behålla uteslutande under sin egen kontroll samt att den är kopplad till de
uppgifter den avser på ett sådant sätt att alla efterföljande ändringar av
uppgifterna kan upptäckas.
Genom direktivet införs vidare en rad tekniska termer såsom
”uppgifter för skapande av signaturer” och ”uppgifter för
signaturverifiering”, som avser unika uppgifter såsom koder eller
krypteringsnycklar som används för att skapa respektive verifiera en
elektronisk signatur. Program- eller hårdvara för att använda uppgifterna
för att skapa en signatur respektive uppgifterna för signaturverifiering
benämns ”anordning för skapande av signaturer” respektive ”anordning
för signaturverifiering”.
För att få kallas säker anordning för skapande av signaturer skall
anordningen uppfylla de krav som anges i bilaga III till direktivet.
Anordningarna skall enligt denna säkerställa att uppgifterna för att skapa
signaturen i praktiken enbart kan förekomma en gång och att sekretessen
för uppgifterna är säkerställd inom rimliga gränser. Vidare skall
uppgifterna för att skapa signaturen ”med rimlig garanti” inte kunna
härledas och signaturen vara skyddad mot förfalskning ”med den teknik
som för närvarande finns tillgänglig”. Ett ytterligare krav är att
uppgifterna för att skapa signaturen kan skyddas på ett tillförlitligt sätt,
så att andra inte kan komma åt dem. Slutligen stadgas att anordningen
inte får förändra de uppgifter som skall signeras eller hindra att dessa
uppgifter presenteras för undertecknaren före undertecknandet.
Beträffande signaturverifiering finns en bilaga IV till direktivet, som
innehåller rekommendationer för säker signaturverifiering.
Som ”tillhandahållare av certifikattjänster” definieras som nämnts inte
endast den som utfärdar certifikat, utan även den som tillhandahåller
andra tjänster som har anknytning till elektroniska signaturer.
Kvalificerade certifikat
Kvalificerade certifikat är sådana certifikat som uppfyller kraven i
direktivets bilaga I och som utfärdas av en tillhandahållare av
certifikattjänster som uppfyller kraven i direktivets bilaga II. Certifikatet
skall bl.a. innehålla uppgift om att det har utfärdats som ett kvalificerat
certifikat, uppgifterna för signaturverifiering som motsvarar de uppgifter
för skapande av signaturer som undertecknaren har kontroll över samt
uppgift om certifikatets giltighetstid (se vidare i bilaga I).
Bilaga II innehåller krav på pålitlighet, ett säkert och snabbt system för
omedelbart återkallande, identitetskontroll av den till vilken ett certifikat
utfärdas, kompetent personal, användandet av pålitliga system och
produkter som garanterar teknisk säkerhet, konfidentialitet beträffande
uppgifter för skapande av signaturer, m.m. (se vidare i bilaga II).
Certifikatutfärdaren skall dessutom förfoga över tillräckliga
ekonomiska medel för att bedriva verksamheten i enlighet med
direktivets krav, i synnerhet för att kunna uppfylla eventuell
skadeståndsskyldighet. De certifikatutfärdare som utfärdar kvalificerade
certifikat till allmänheten skall nämligen vara ansvariga för skada,
åtminstone i den utsträckning som anges i artikel 6.
Nämnas kan också att utfärdaren enligt bilaga II måste informera den
som ansöker om ett certifikat om villkoren, inklusive eventuella
begränsningar för certifikatet, förekomsten av ett frivilligt ackrediterings-
system samt förfarande för klagomål och avgörande av tvister. Vidare är
utfärdaren förbjuden att lagra eller kopiera uppgifter för skapande av
signaturer.
5.4 Marknadstillträde
Medlemsstaterna får inte göra tillhandahållandet av certifikattjänster
beroende av förhandstillstånd. Med förhandstillstånd menas enligt
ingressen till direktivet inte endast alla tillstånd som kräver ett beslut från
de nationella myndigheterna innan tillhandahållaren av certifikattjänster
får tillhandahålla dessa tjänster, utan också alla andra åtgärder med
samma verkan.
Det står dock medlemsstaterna fritt att införa eller behålla frivilliga
ackrediteringssystem som syftar till att höja nivån på tillhandahållandet
av certifikattjänster. ”Frivillig ackreditering” definieras i direktivet som
sådana tillstånd i vilka de rättigheter och skyldigheter fastställs som är
specifika för tillhandahållandet av certifikattjänster och som på begäran
av den berörda tillhandahållaren av certifikattjänster skall utfärdas av de
offentliga eller privata institutioner som ansvarar för utarbetandet och
övervakningen av dessa rättigheter och skyldigheter. Tillhandahållaren
av certifikattjänster får inte utöva rättigheterna enligt tillståndet förrän
denne har erhållit beslutet från institutionen.
Medlemsstaterna är skyldiga att införa ett system som gör det möjligt
att övervaka de tillhandahållare av certifikattjänster som är etablerade på
deras territorium och som utfärdar kvalificerade certifikat till allmän-
heten. I direktivet ges inga närmare regler för hur denna övervakning
skall vara organiserad eller hur sträng den skall vara. I ingressen påpekas
att övervakningssystem upprättade inom den privata sektorn inte utesluts.
Vad gäller säkra anordningar för skapande av signaturer föreskriver
direktivet att medlemsstaterna skall utse särskilda organ som skall avgöra
om anordningarna överensstämmer med bilaga III.
I direktivet ges en möjlighet för medlemsstaterna att förena
användningen av elektroniska signaturer inom den offentliga sektorn med
högre krav än vad som följer av direktivet.
5.5 Fri rörlighet
Medlemsstaterna får inte begränsa tillhandahållandet av certifikattjänster
med ursprung i andra medlemsstater. De skall också säkerställa att det
råder fri rörlighet på den inre marknaden för produkter för elektroniska
signaturer som överensstämmer med direktivet.
Ett beslut av ett organ i en medlemsstat att en anordning för skapande
av signaturer överensstämmer med kraven i bilaga III skall erkännas av
samtliga medlemsstater. Kommissionen får fastställa och offentliggöra
referensnummer till allmänt erkända standarder för produkter för
elektroniska signaturer. Medlemsstaterna skall då utgå från att dessa
produkter överensstämmer med kraven i direktivet.
5.6 Rättslig verkan
Det finns två nivåer av rättsligt erkännande av elektroniska signaturer
beroende på den tekniska säkerhet som signaturen anses ha. Den rättsliga
verkan för avancerade elektroniska signaturer som baseras på ett
kvalificerat certifikat och som skapas av en säker anordning för skapande
av signaturer har beskrivits i avsnitt 5.1.
För övriga elektroniska signaturer gäller att dessa inte får förvägras
rättslig verkan eller giltighet som bevis enbart på grund av att signaturen
är i elektronisk form, inte är baserad på ett kvalificerat certifikat eller ett
certifikat som utfärdats av en ackrediterad tillhandahållare av
certifikattjänster, eller inte är skapad av en säker anordning.
I ingressen anges att direktivet inte påverkar nationella domstolars
behörighet att fastslå om det föreligger överensstämmelse med kraven i
direktivet. Det anges även att direktivet inte inverkar på nationella
bestämmelser om fri bevisprövning. Frågan om vilken betydelse detta har
för tolkningen av direktivets bestämmelser om elektroniska signaturers
rättsliga verkan diskuteras vidare i avsnitt 6.11.
5.7 Skadestånd
Direktivet fastställer en undre gräns för skadeståndsskyldighet för
tillhandahållare av certifikattjänster som utfärdar kvalificerade certifikat
eller som garanterar att andras certifikat är kvalificerade. Medlems-
staterna skall se till att tillhandahållaren är ansvarig för skada som
orsakas den som har rimlig anledning att förlita sig på ett certifikat.
Tillhandahållaren skall ansvara för skada som uppkommit på grund av att
det förelegat felaktigheter eller brister i den information som lämnats i ett
kvalificerat certifikat, att den undertecknare som anges i certifikatet vid
utfärdandet inte var i besittning av de uppgifter för att skapa en signatur
som påstås, att uppgifter för signaturskapande respektive signatur-
verifiering inte stämmer överens samt att återkallandet av ett certifikat
inte registrerats. Tillhandahållaren kan dock undgå
skadeståndsskyldighet om han kan visa att han inte har handlat
försumligt.
Tillhandahållare av certifikattjänster skall kunna ange begränsningar i
ett certifikats tillämpningsområde eller för värdet av de transaktioner som
certifikatet får användas för. Tillhandahållaren är då inte ansvarig för
skador som härrör från att ett certifikat använts i strid med dessa
begränsningar, under förutsättning att begränsningarna varit identifier-
bara för tredje man.
5.8 Internationella aspekter
Kvalificerade certifikat som utfärdats av en tillhandahållare av
certifikattjänster som är etablerad i tredje land (utanför Europeiska
ekonomiska samarbetsområdet) skall enligt direktivet i tre situationer
betraktas som rättsligt likvärdiga med kvalificerade certifikat utfärdade
inom unionen, nämligen
- då tillhandahållaren i tredje land uppfyller kraven i direktivet och är
ackrediterad i en medlemsstat,
- då en tillhandahållare inom gemenskapen som utfärdar kvalificerade
certifikat och uppfyller kraven i direktivet garanterar certifikatet, eller
- då certifikatet eller tillhandahållaren är erkänd genom ett bilateralt eller
multilateralt avtal mellan gemenskapen och tredje land eller en
internationell organisation.
Direktivet föreskriver också som uppgift för kommissionen att lägga
förslag till standarder och internationella avtal som underlättar
gränsöverskridande certifikattjänster och rättsligt erkännande av
signaturer med ursprung i tredje land.
5.9 Dataskydd
Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober
1995 om skydd för enskilda personer med avseende på behandling av
personuppgifter och om det fria flödet av sådana uppgifter är tillämpligt
på tillhandahållare av certifikattjänster och på nationella organ med
ansvar för ackreditering och övervakning.
Tillhandahållare av certifikattjänster som utfärdar certifikat till
allmänheten får endast samla in uppgifter direkt från den berörda
personen eller med dennes uttryckliga medgivande och endast för att
utfärda och bibehålla certifikatet. Uppgifterna får inte samlas in eller
behandlas för andra ändamål utan ett uttryckligt medgivande från den
berörda personen. Vidare får medlemsstaterna inte hindra tillhandahållare
av certifikattjänster från att ange en pseudonym i stället för
undertecknarens namn i certifikatet. För kvalificerade certifikat ställs
dock krav på att det anges när det rör sig om en pseudonym.
5.10 Kommitté
En förvaltande kommitté, bestående av företrädare för medlemsstaterna
och under ordförandeskap av en representant för kommissionen, skall
konsulteras för att klargöra kraven i direktivets bilagor, kriterierna för
utseende av de organ som skall avgöra om säkra anordningar för
skapande av signaturer överensstämmer med kraven i bilaga III samt
innehållet i de allmänt erkända standarder för produkter för elektroniska
signaturer som kommissionen skall fastställa och offentliggöra.
Beslutsproceduren för förvaltande kommittéer framgår av artikel 4 i
rådets beslut 1999/468/EG av den 28 juni 1999 om de förfaranden som
skall tillämpas vid utövandet av kommissionens genomförande-
befogenheter.
5.11 Anmälan, genomförande och översyn
Medlemsstaterna skall informera varandra och kommissionen om dels de
ackrediteringssystem som tillämpas, dels namn på de organ som svarar
för ackreditering och övervakning och som avgör om anordningar för
signaturskapande överensstämmer med direktivets krav samt dels namn
på samtliga ackrediterade tillhandahållare av certifikattjänster.
De nationella bestämmelser som behövs för att genomföra direktivet
skall vara i kraft senast ett och ett halvt år efter det att direktivet trätt i
kraft, dvs. den 19 juli 2001. Kommissionen skall göra en översyn av
direktivet och överlämna en rapport om denna senast den 19 juli 2003.
6 Genomförande av direktivet
Den stora fördelen med direktivet är att det innebär en gemensam
reglering för medlemsstaterna i Europeiska unionen (EU) och övriga
länder inom Europeiska ekonomiska samarbetsområdet (EES). Den
utveckling med olikartad reglering av elektronisk kommunikation i varje
land som hade påbörjats, har därigenom avstyrts.
Den marknad som regleras i direktivet har ännu inte vuxit fram i
nämnvärd omfattning och det har ännu inte riktigt identifierats vilka
problem som kan kräva lagstiftning. Vid det svenska genomförandet av
direktivet finns det därför anledning att vara försiktig med att reglera ett
bredare område än vad direktivet kräver. Det skulle kunna anföras skäl
för att på vissa områden, t.ex. avseende skadestånd, även reglera sådant
som inte krävs enligt direktivet. Regeringen föreslår dock inte någon
sådan reglering, utan påpekar endast att utvecklingen kan göra det
nödvändigt att i framtiden komplettera lagstiftningen.
6.1 En ny lag
Regeringens förslag: EG-direktivet (1999/93/EG) skall genomföras
genom en särskild lag om kvalificerade elektroniska signaturer.
Promemorians förslag: Överensstämmer med regeringens förslag. I
promemorian föreslogs dock att lagen skulle benämnas lagen om vissa
elektroniska signaturer m.m.
Remissinstanserna: Flertalet remissinstanser är positiva till att
direktivet genomförs genom en ny lag. Några remissinstanser påpekar
dock att lagens egentliga innehåll inte överensstämmer med lagens namn.
GEA, Statskontoret, Kommerskollegium, IT-kommissionen, LO, Lagerlöf
& Leman, Posten och Telia förordar att de krav som anges i bilagorna till
direktivet i stället genomförs genom en förordning.
Skälen för regeringens förslag: Enligt artikel 249 i EG-fördraget är
ett direktiv bindande för medlemsstaterna vad avser det resultat som skall
uppnås. Det överlåts dock åt de nationella myndigheterna att bestämma
form och tillvägagångssätt för genomförandet.
Ett genomförande av direktivet innebär införande av ett tämligen stort
antal nya, främst näringsrättsliga, regler. Telelagen (1993:957) innehåller
visserligen närliggande regler om förmedling av telemeddelanden via
telenät. Elektroniska signaturer utgör dock en ny företeelse och berör en
helt ny marknad som inte rör televerksamhet i telelagens mening. På
samma sätt finns kopplingar till regleringen av den finansiella sektorn,
men direktivet rör ett mycket vidare område än den sektorn.
I andra sammanhang har det ansetts naturligt att föreslå ett införande i
förvaltningslagen (1986:323) av definitioner och allmänna regler för
elektroniska signaturer. Detta kan visserligen mycket väl vara lämpligt,
men förvaltningslagen är inte rätt plats för att införa det främst
näringsrättsliga regelverk det här är fråga om.
Det lämpligaste sättet att genomföra direktivets regler synes därför
vara genom en ny särskild lag. I promemorian föreslogs att lagen skulle
heta ”lag om vissa elektroniska signaturer m.m.”. Flera remissinstanser
påpekar att lagen kommer att handla mer om kvalificerade certifikat för
elektroniska signaturer och krav på dem som utfärdar sådana certifikat,
än om elektroniska signaturer i sig. Även Lagrådet har menat att ”lag om
kvalificerade certifikat för elektroniska signaturer” vore en mer adekvat
benämning. Lagens bestämmelser om certifikat, certifikatutfärdare och
anordningar för signaturframställning syftar dock sammantaget till att
skapa ett regelverk för kvalificerade elektroniska signaturer, för att skapa
förtroende för och därigenom underlätta användningen av elektroniska
signaturer. Lagens syfte anges, på förslag från Lagrådet, i den inledande
bestämmelsen (se kommentaren till 1 §). Regeringen föreslår därför att
lagen skall heta ”lag om kvalificerade elektroniska signaturer”.
Med hänsyn till direktivets karaktär blir det ofrånkomligt att delar av
direktivet mer eller mindre ordagrant måste tas in i lagen. Flera remiss-
instanser ifrågasätter om det inte vore lämpligare att bilagorna till
direktivet – som rör de krav som skall ställas på kvalificerade certifikat,
utfärdare av certifikattjänster och säkra anordningar för signaturfram-
ställning – i stället borde genomföras genom en förordning. Som skäl för
denna uppfattning anför de i huvudsak att lagen därmed skulle framstå
som mer teknikneutral och att kraven lättare skulle kunna anpassas efter
den tekniska utvecklingen. Regeringen har noga övervägt frågan, men
kommit fram till att argumenten för en sådan uppdelning inte väger
tyngre än argumenten emot. En hänvisning i lagen till en förordning där
kraven regleras skulle inte innebära att regleringen som helhet blev mer
teknikneutral. Det finns inte heller någon särskild procedur som gör det
lättare att ändra i direktivets bilagor än i själva direktivtexten. Den
kommitté som skall tillsättas (se avsnitt 5.10) skall inte föreslå ändringar
i bilagorna, utan endast klargöra innebörden av dem. Det finns därför
inga skäl att tro att de krav som ställs i bilagorna kommer att ändras
särskilt snabbt eller ofta. Till största delen är kraven också ganska
allmänt hållna, vilket innebär att den närmare innebörden av dem ändå
måste klargöras genom föreskrifter av regeringen eller tillsynsmyndig-
heten och genom rättstillämpningen. Vidare blir regleringen mer lättläst
om de krav som ställs finns samlade direkt i lagen. Även i övriga
nordiska länder föreslås att kraven skall anges i själva lagen, och det är
enligt regeringens mening en fördel om de nordiska lagarna blir så lika
varandra som möjligt.
6.2 Lagens syfte och tillämpningsområde
Regeringens förslag: Lagen skall innehålla regler om krav på, tillsyn
över och skadeståndsansvar för den som utfärdar certifikat för
elektroniska signaturer, om certifikaten anges ha en viss säkerhetsnivå
och om de utfärdas till allmänheten. Lagen skall vidare ge en
särställning åt elektroniska signaturer med en viss säkerhetsnivå (s.k.
kvalificerade elektroniska signaturer). Lagen skall inte reglera frågor
om ingående eller giltighet av avtal.
Promemorians förslag: Överensstämmer med regeringens förslag.
Remissinstanserna: Remissinstanserna tillstyrker i huvudsak prome-
morians förslag. Några är dock kritiska till den gränsdragning som gjorts
av begreppet ”till allmänheten”. Konsumentverket och IT-kommissionen
menar att lagen bör utvidgas till att avse alla som utfärdar någon form av
certifikat för elektroniska signaturer. Flertalet remissinstanser tillstyrker
dock promemorians förslag om vilka certifikatutfärdare som skall om-
fattas av lagen.
Skälen för regeringens förslag: Handel och annan kommunikation
mellan enskilda, myndigheter och företag kan förväntas ske elektroniskt i
ökad utsträckning, om det finns ett allmänt förtroende för att den
information som skickas via Internet och andra öppna nät är tillförlitlig.
Avsikten är att lagen skall bidra till detta genom att den främjar
användandet av elektroniska signaturer som har en sådan säkerhetsnivå
att de får ett allmänt erkännande och därmed kan användas för säker
kommunikation, även mellan parter som inte har ett tidigare avtal om hur
deras inbördes kommunikation skall gå till.
I direktivet läggs stor vikt vid resonemanget om elektroniska
signaturers rättsliga verkan. För Sveriges del, där principerna om den fria
bevisprövningen och den fria bevisvärderingen är etablerade sedan länge,
intar denna fråga inte en central roll vad gäller lagstiftningen. Vad som
kommer i fokus är i stället vilka regler som skall gälla för dem som vill
tillhandahålla certifikattjänster, såsom på vilka villkor deras verksamhet
får bedrivas, hur de ska övervakas, vilket ansvar de har etc.
Målsättningen bör vara att bygga upp ett system som inte i onödan
hämmar marknadens utveckling, t.ex. genom att låsa fast användning av
en viss teknik eller skapa etableringshinder. Samtidigt skall systemet
vara uppbyggt på ett sådant sätt att det långsiktigt skapas en tilltro till det
hos konsumenter, näringsidkare och andra användare. Därigenom
underlättas utvecklingen mot en allt större användning av elektroniska
signaturer, vilket sannolikt kommer att stimulera den elektroniska
handeln och medföra en rationalisering av förvaltningsväsendet baserad
på elektroniska rutiner.
Av ingressen till direktivet (punkt 16) framgår att syftet med direktivet
inte är att skapa något rättsligt ramverk för elektroniska signaturer som
endast används inom system som grundar sig på frivilliga civilrättsliga
avtal mellan ett bestämt antal deltagare (slutna system). Det anges vidare
att parternas frihet att sinsemellan komma överens om på vilka villkor de
godkänner elektroniskt signerade uppgifter bör respekteras, i den
utsträckning det är förenligt med den nationella lagstiftningen. Det skall
med andra ord stå var och en fritt att komma överens om vilken
säkerhetsnivå som accepteras inbördes för att sluta avtal etc. I
överensstämmelse med direktivets syfte skall lagen därför inte omfatta
andra certifikat än sådana som utfärdas inom öppna system, eller ”till
allmänheten”, vilket är det begrepp som används i direktivtexten och i
lagen. I förhållande till promemorians lagförslag har detta förtydligats
genom att tillämpningsområdet redan i inledningsbestämmelsen
avgränsas till certifikat som utfärdas till allmänheten.
Svårigheten ligger i att definiera vad som utgör slutna respektive
öppna system, för att kunna avgöra när ett certifikat skall anses utfärdat
”till allmänheten”. Vissa klara fall kan dock identifieras. När det är helt
klart att certifikatutfärdaren är den ende som skall förlita sig på
certifikatet och signaturen, är det utan tvekan frågan om ett slutet system.
Ett exempel på en sådan situation är bankernas Internettjänster, där det
föreligger ett på förhand träffat avtal mellan banken och kunden och
banken själv är den ende som skall förlita sig på certifikatet. Ett annat
exempel på ett system som normalt torde vara slutet är när ett certifikat
utfärdats för att enbart användas inom ett visst företag eller en viss
organisation. Ett system måste däremot anses vara öppet i de fall de
mottagare som skall förlita sig på certifikatet saknar varje form av avtal
med undertecknaren eller certifikatutfärdaren. Ett exempel på ett sådant
system är det finska initiativet med elektroniska ID-kort. På kortet finns
ett certifikat utfärdat av Befolkningsregistercentralen och tanken är att
kortet skall kunna användas för många olika ändamål, som vid
utfärdandet inte är kända för vare sig utfärdaren eller kortinnehavaren. I
ett sådant fall är det tydligt att certifikatet är utfärdat ”till allmänheten”.
Däremellan kan det dock finnas många olika varianter där avgränsningen
kan vara svår att göra.
Direktivet saknar närmare vägledning om hur begreppet ”till
allmänheten” skall tolkas. I promemorian angavs att storleken på den
grupp till vilken certifikatet erbjuds skulle ha betydelse för bedömningen.
Flera remissinstanser, bl.a. GEA och Posten, har dock riktat stark kritik
mot den inställningen. De har bl.a. anfört att syftet med att reglera
certifikat som utfärdas till allmänheten är att tillvarata tredje mans
skyddsintresse och att detta är lika stort oavsett om denne agerar ensam
eller tillhör en större grupp. Enligt dessa remissinstanser bör därför det
avgörande för bedömningen vara om certifikatet är avsett att användas
gentemot tredje man, med vilken utfärdaren inte har någon tidigare
relation. Regeringen delar remissinstansernas synpunkter att storleken på
den grupp till vilken ett certifikat erbjudits inte bör vara avgörande för
bedömningen av om det är utfärdat till allmänheten eller inte. I stället kan
det vara rimligt att som huvudregel utgå från att det rör sig om
utfärdande till allmänheten när en certifikatutfärdare erbjuder ett
certifikat som är avsett att användas vid kommunikation med andra än
certifikatutfärdaren, alltså en tredje part, och det inte föreligger något
kontraktsförhållande mellan utfärdaren och denne tredje part. När en
certifikatutfärdare anger att certifikaten är kvalificerade utan att i
certifikaten begränsa kretsen av möjliga mottagare på ett mer precist sätt,
kan det finnas anledning att anse att certifikatutfärdaren omfattas av
lagens tillämpningsområde. Den närmare tolkningen av begreppet ”till
allmänheten” får dock överlämnas till rättstillämpningen.
Det är viktigt att framhålla att det inte är alla certifikat utfärdade till
allmänheten som regleras, utan endast sådana som anges vara
”kvalificerade”. I lagen anges en säkerhetsnivå för sådana kvalificerade
certifikat för elektroniska signaturer. och ställs krav på dem som vill
utfärda sådana till allmänheten. De som utfärdar kvalificerade certifikat
till allmänheten ställs under viss tillsyn och deras skadeståndsansvar
fastställs. Reglerna gäller endast certifikatutfärdare som är etablerade i
Sverige. Se dock 3 § andra stycket och avsnitt 6.4.
Avsikten är inte att i lagen reglera alla tjänster rörande elektroniska
signaturer. Det kommer även efter lagens ikraftträdande att vara möjligt
att utfärda certifikat för elektroniska signaturer utan att underkasta sig
tillsyn eller vara tvungen att använda sig av viss bestämd teknik. Till
exempel regleras inte certifikat som avser juridiska personer eller andra
sammanslutningar. Sådana certifikat kan med fördel användas i många
situationer där det inte anses viktigt att få reda på exakt vilken person
som har vidtagit en viss åtgärd. De som utfärdar certifikat till
allmänheten och som väljer att beteckna certifikaten som kvalificerade
certifikat, väljer dock också att omfattas av den ordning som föreskrivs i
lagen. Lagen syftar till att möjliggöra att det på marknaden finns
produkter och tjänster som uppfyller vissa minimikrav, som är
gemensamma för länderna inom EES-området.
Vad gäller uppfyllandet av formkrav på egenhändig underskrift och
liknande ges i lagen en särställning åt elektroniska signaturer som har en
viss säkerhetsnivå (”kvalificerade elektroniska signaturer”).
Lagen reglerar inte frågor om ingående eller giltighet av avtal.
6.3 Definitioner
Regeringens förslag: EG-direktivets (1999/93/EG) definitioner skall
i allt väsentligt anges också i lagen.
Promemorians förslag: Överensstämmer med regeringens förslag. I
promemorian föreslogs dock en definition av begreppet ”elektronisk
handling”. Däremot föreslogs inga definitioner av begreppen
”kvalificerat certifikat” och ”säker anordning för signaturframställning”.
Remissinstanserna: Flertalet remissinstanser lämnar promemorians
förslag i huvudsak utan invändning, men har många synpunkter på den
närmare utformningen av definitionerna. Flera remissinstanser har bl.a.
haft invändningar mot införandet av begreppet ”elektronisk handling”.
Skälen för regeringens förslag: Den tekniska utvecklingen och
ersättandet av traditionella pappershandlingar med elektroniska data reser
en mängd frågor om, och i så fall på vilket sätt, denna företeelse kräver
en annan rättslig reglering än den existerande. Dessa frågor har
behandlats i flera utredningar och i vissa fall lett till lagstiftning.
Användningen av s.k. elektroniska dokument regleras i ett trettiotal
svenska författningar. Som exempel kan nämnas 12 § tullagen
(1994:1550), enligt vilken Tullverket kan ge tillstånd till att bl.a.
tulldeklarationer får lämnas genom ett elektroniskt dokument. Ett
elektroniskt dokument definieras där som en upptagning vars innehåll
och utställare kan verifieras genom ett visst tekniskt förfarande. Sådana
elektroniska dokument kan också, efter särskilt medgivande, i viss
omfattning användas inom skatteområdet och exekutionsväsendet samt
för vissa ansökningar gällande registrering av datapantbrev4.
Definitionerna i direktivet har som nämnts utformats i avsikt att vara
teknikneutrala. Den teknik som f.n. är förhärskande, där man använder
digitala signaturer med ett certifikat som intygar kopplingen mellan en
öppen nyckel och en bestämd person (det öppna nyckelsystemet), har
dock legat till grund för den struktur som valts i direktivet.
Till skillnad från direktivet används i den föreslagna lagtexten ordet
”data” i stället för ”uppgifter”, då det mindre är fråga om uppgifter i
betydelsen information som skall förstås av så många som möjligt, än om
konstellationer av ettor och nollor som ofta inte i sig ger ett mänskligt
öga särskilt mycket upplysning. Det är dessutom ofta önskvärt att
hemlighålla dessa data. Jfr Datastraffrättsutredningens definition av
”data” som en representation av fakta och av ”information” som
innebörden av data i SOU 1992:110.
I betänkandet Elektronisk dokumenthantering (SOU 1996:40)
föreslogs att det i förvaltningslagen (1986:223) skulle införas vissa
grundläggande begrepp. ”Elektronisk handling” föreslogs där definieras
som en bestämd mängd data som kan läsas, avlyssnas eller på annat sätt
uppfattas endast med tekniskt hjälpmedel. Vidare föreslogs att begreppet
”digitalt dokument” skulle införas (till skillnad från det i befintlig
lagstiftning använda begreppet ”elektroniskt dokument”) ”Digitalt
dokument” definierades i betänkandet som en elektronisk handling med
digital signatur eller digital stämpel. ”Digital signatur” definierades i sin
tur som resultatet av en omvandling av en elektronisk handling, som gör
det möjligt att kontrollera om innehållet härrör från den fysiska person
som framstår som utställare. ”Digital stämpel” skulle på samma sätt
härröra från en juridisk person eller myndighet. Remissutfallet var
blandat och betänkandet har inte lett till någon lagstiftning i denna del.
Sverige är visserligen inte bundet av den terminologi och systematik
som angivits i direktivet, om det avsedda resultatet kan uppnås med
annan terminologi och systematik. Direktivet är emellertid utformat så att
utrymmet att avvika från terminologin är mycket begränsat.
En strävan är givetvis att lagtexten skall vara så enkel och begriplig
som möjligt. Den tämligen komplicerade verklighet som direktivet
beskriver kräver dock en begreppsapparat som, för att kunna fungera,
inte kan förenklas alltför mycket.
En annan strävan är att i möjligaste mån anknyta till den
begreppsbildning som redan existerar i Sverige. En tredje är att
åtminstone de nordiska länderna skall få en så enhetlig reglering som
möjligt.
I promemorian föreslogs ett införande av begreppet ”elektronisk
handling”. Bland andra Kammarrätten i Stockholm, Länsrätten i Stock-
holms län och Tekniska nomenklaturcentralen menar att begreppet inte är
tillräckligt analyserat och att det inte tillför lagen något. Länsrätten
påpekar även att begreppet lätt kan leda till förvirring i förhållande till
närliggande begrepp som används i andra lagar. De remissinstanser som
är positiva till införandet, främst GEA och Försvarets forskningsanstalt,
pekar främst på att en definition av elektronisk handling kan vara av
värde i andra sammanhang.
Såsom anfördes i promemorian (s. 60) behövs inte begreppet
”elektronisk handling” för att förklara något i lagen. Begreppet
”elektronisk signatur” kan lika gärna definieras på samma sätt som i
direktivet. Vidare framgår av inledningen till 2 § att definitionerna bara
förklarar vad som avses med begreppen i just denna lag. En definition i
den här lagen har därför inte automatiskt någon betydelse i andra
sammanhang. Statskontoret menar av det skälet att definitionen passar
bättre i förvaltningslagen. Eftersom begreppet inte behövs för att förklara
något i den här lagen och eftersom det riskerar att skapa förvirring i
förhållande till närliggande begrepp som används i andra lagar, såsom
elektroniska dokument, avstår regeringen från att föreslå att begreppet
införs i lagen. Regeringen tar dock inte i detta läge ställning till om det
av någon anledning som saknar samband med genomförandet av
direktivet finns behov av en definition av elektronisk handling i
förvaltningslagen eller någon annanstans. Borttagandet av definitionen
medför följdändringar i definitionerna av elektronisk signatur och
avancerad elektronisk signatur.
Det saknas behov av att införa begreppet ”digital stämpel” eller
liknande, som diskuterats ovan. Direktivet förutsätter att en fysisk person
är knuten till signaturen. Det hindrar visserligen inte ett system med
elektroniska stämplar för juridiska personer eller certifikat som anger att
signaturen innehas av en identifierad person som är behörig firma-
tecknare för en juridisk person (s.k. rollcertifikat). Något särskilt behov
av att reglera detta synes emellertid inte finnas. I stället kan redan
gällande regler om rättshandlingsförmåga, fullmakt och behörighet att
företräda juridiska personer tillämpas.
En elektronisk signatur bör i lagen definieras på samma sätt som i
direktivet. Ett flertal remissinstanser menar att det bör förtydligas att en
elektronisk signatur, till skillnad från en avancerad eller kvalificerad
elektronisk signatur (se nedan) bara är en teknisk metod och inte behöver
vara knuten till en fysisk person. Regeringen delar den uppfattningen och
föreslår att ordet ”undertecknare”, som enligt definitionen är en fysisk
person, byts ut mot ”utställare”, som kan vara såväl en fysisk som en
juridisk person. Patent- och registreringsverket påpekar att förslagets
definition av elektronisk signatur avviker något från hur begreppet
definierats i direktivet. I direktivet anges att en elektronisk signatur
används som en metod för ”autentisering”. Med autentisering torde avses
inte bara identitetskontroll av undertecknaren, utan även kontroll av att
innehållet inte förvanskats. Regeringen föreslår därför ett tillägg i
definitionen i förhållande till promemorians förslag.
Definitionerna av ”avancerad elektronisk signatur”, och ”certifikat”
kan lämpligen hämtas direkt från direktivet. Såsom några remissinstanser
påpekar kan dock användningen av orden ”alla efterföljande ändringar” i
punkten d) misstolkas så att det skall kunna upptäckas vilka olika
ändringar som eventuellt har gjorts. Det som skall kunna upptäckas är
dock bara att en ändring av den elektroniska handlingen har gjorts. I
förhållande till promemorians förslag har därför orden ”alla efter-
följande” strukits. Genom kravet att en avancerad, och därmed också en
kvalificerad, signaturer skall vara knuten till en undertecknare och genom
definitionen av undertecknare framgår att en sådan signatur – till skillnad
från en ”enkel” elektronisk signatur – alltid måste vara knuten till en
fysisk person. Rent tekniskt är det dock, vilket IT-kommissionen påpekar,
inte signaturen i sig som är knuten till undertecknaren utan dennes
hemliga nycklar (signaturframställningsdata) i kombination med dennes
certifikat.
En ”undertecknare” är den fysiska person som innehar en anordning
för signaturframställning. I promemorian föreslogs att en undertecknare
skulle definieras som ”den som har kontroll över” en anordning för
signaturframställning. Många remissinstanser påpekar dock att det bör
förtydligas att undertecknaren måste vara en fysisk person. Några
remissinstanser menar även att definitionen kan tolkas så att det räcker
med att någon just för tillfället råkar ha kontroll över anordningen för att
denne skall anses som undertecknare. De menar därför att direktivets
definition – den som ”innehar” – är att föredra framför den som föreslogs
i promemorian. Regeringen delar uppfattningen att det bör förtydligas att
undertecknaren måste vara en fysisk person och att det är lämpligare att
använda ordet ”innehar” än ”har kontroll över”. Naturligtvis kan
undertecknaren med stöd av vanliga regler om rättshandlingsförmåga,
fullmakt och behörighet representera en annan fysisk eller juridisk
person. Det behöver därför inte, som i direktivet, anges särskilt.
”Uppgifter för skapande av signaturer” (”den hemliga nyckeln” i det
öppna nyckelsystemet) och ”uppgifter för signaturverifiering” (den
öppna nyckeln) föreslås ersättas med ”signaturframställningsdata”,
respektive ”signaturverifieringsdata”. Dessa begrepp är visserligen
varken korta eller särskilt lättbegripliga vid första anblicken. De är dock i
överensstämmelse med vad som föreslås i andra nordiska länder och ger
en god bild av vad som avses. Användandet av ordet ”data” i stället för
”uppgifter” torde, som tidigare nämnts, bidra till en bättre beskrivning av
företeelserna. I promemorian användes begreppet ”privata” krypterings-
nycklar. Tekniska nomenklaturcentralen förordar dock att begreppet
”hemliga” krypteringsnycklar i stället används, vilket regeringen finner
lämpligt.
Begreppen ”anordning för skapande av signaturer” och ”säker” sådan
anordning kan i princip definieras såsom det angetts i direktivet, med de
ändringar som följer av det föregående. Regeringen har dock, liksom i
promemorian, valt att använda begreppet ”anordning för signatur-
framställning”. Såsom Tekniska nomenklaturcentralen påpekar fyller
dock ordet ”konfigurerad” inte någon funktion. Det måste förutsättas att
all maskin- och programvara som är avsedd att användas för ett visst
ändamål också är konfigurerad för detta ändamål. ”Anordning för
signaturverifiering” kommer inte att regleras i lagen, varför det saknas
skäl att införa begreppet.
Direktivet använder sig av begreppet ”tillhandahållare av certifikat-
tjänster” och inbegriper där inte bara de som utfärdar certifikat utan
också de som tillhandahåller andra tjänster som har anknytning till
elektroniska signaturer. Det som regleras i direktivet är dock begränsat
till utfärdande av kvalificerade certifikat och i viss mån garanterande av
annans certifikat som kvalificerade. Exempelvis rör kraven i direktivets
bilaga II endast tillhandahållare av certifikattjänster vilka utfärdar
kvalificerade certifikat. Det finns därför inte behov av att i lagen skapa
en definition som omfattar mer än de som utfärdar certifikat eller
garanterar annans certifikat, lämpligast genom termen
”certifikatutfärdare”. I den mån man i annat sammanhang önskar reglera
även andra tjänster, såsom registrering av återkallande, tidsstämpling,
kryptering för konfidentialitet eller diverse konsulttjänster, låter sig detta
väl göras utan att här tynga lagtexten med en onödigt vid och diffus
definition. Detta kan kanske också bidra till att minska den redan
olyckliga förväxlingsrisken mellan de certifikat och den certifiering som
här avses och det styrkande av certifikatutfärdarens kompetens som i sin
tur kan ges av (eventuellt ackrediterade) certifieringsorgan.
I promemorian återfanns inte begreppen ”kvalificerat certifikat” och
”säker anordning för signaturframställning” bland definitionerna, vilket
ett flertal remissinstanser har kritiserat. Begreppen, vars innebörd
behandlas i avsnitt 6.4 och 6.8, har därför definierats med hänvisning till
de respektive bestämmelser där kraven anges.
Direktivet vill ge de elektroniska signaturer som inte bara är
avancerade utan också baserade på ett kvalificerat certifikat och skapade
av en säker anordning för signaturframställning en särskild ställning. Det
förefaller därför lämpligt att ge dessa signaturer en särskild benämning.
Här har valts ”kvalificerade elektroniska signaturer”.
Det saknas anledning att i svensk lag införa den definition av ”frivillig
ackreditering” som ges i direktivet. Dess innebörd är oklar och ett
införande skulle inte tjäna till annat än att tynga lagtexten och försvåra
förståelsen av densamma (se avsnitt 6.7). Inte heller begreppet ”produkt
för elektroniska signaturer” fyller någon funktion i den svenska
lagtexten.
6.4 Kvalificerade certifikat
Regeringens förslag: Det skall anges i lagen vad som krävs för att ett
certifikat skall anses ha en särskild säkerhetsnivå. Dessa certifikat
skall betecknas ”kvalificerade certifikat”.
Promemorians förslag: Överensstämmer med regeringens förslag. I
promemorian föreslogs dock inte någon bestämmelse avseende certifikat
utfärdade av en certifikatutfärdare etablerad utanför Sverige.
Remissinstanserna: Remissinstanserna tillstyrker förslaget eller
lämnar det utan erinran (se dock under avsnitt 6.1).
Skälen för regeringens förslag: I direktivet regleras en särskild, högre
nivå på certifikat som benämns ”kvalificerade certifikat”. De krav på vad
certifikatet måste innehålla som anges i bilaga I till direktivet bör också
anges i den svenska lagtexten. Likaså bör i enlighet med direktivet anges
att endast certifikat som utfärdats av en certifikatutfärdare som uppfyller
vissa i lagen angivna krav är kvalificerade certifikat.
I kravet på att kvalificerade certifikat måste ha visst innehåll ligger att
detta innehåll skall vara tillgängligt för den mottagare som förlitar sig på
certifikatet. När denne tar emot ett signerat meddelande måste han
således kunna tillgodogöra sig denna information, antingen genom att
han ser certifikatet, där all nödvändig information finns, eller genom att
informationen på annat sätt presenteras i samband med att han mottar en
elektronisk handling. Inte minst viktiga är uppgifter om begränsningar
för certifikatet vad gäller användningsområde eller värdet på de
transaktioner för vilka certifikatet kan användas.
I direktivet anges i artikel 4.1 att medlemsstaterna inte får begränsa
tillhandahållandet av certifikattjänster med ursprung i andra medlems-
stater. I artikel 7.1 anges även att medlemsstaterna skall säkerställa att
certifikat som utfärdas som kvalificerade certifikat till allmänheten av
certifikatutfärdare som är etablerade i ett tredje land, under vissa
förutsättningar, betraktas som rättsligt likvärdiga med certifikat som
utfärdats av certifikatutfärdare etablerade inom EES. De särskilda
förutsättningar som krävs för detta är att certifikatutfärdaren uppfyller
kraven i direktivet och har ackrediterats i en medlemsstat, att en
certifikatutfärdare som är etablerad inom EES garanterar certifikatet,
eller att certifikatet eller certifikatutfärdaren har erkänts genom ett
bilateralt eller multilateralt avtal (se avsnitt 5.5 och 5.8). Genom den
inledande bestämmelsen i 1 § har lagens tillämpningsområde begränsats
till sådana certifikatutfärdare som är etablerade i Sverige (se avsnitt 6.2).
För att inte lagen skall innebära begränsningar för certifikatutfärdare
etablerade i andra länder i strid med artikel 4.1 och 7.1 bör det införas en
bestämmelse som innebär att även certifikat utfärdade av sådana, under
vissa förutsättningar skall anses vara kvalificerade.
6.5 Utfärdande av kvalificerade certifikat
Regeringens förslag: Det skall anges i lagen vad som krävs av en
certifikatutfärdare för att denne skall få kalla sina certifikat
kvalificerade.
Promemorians förslag: Överensstämmer med regeringens förslag.
Remissinstanserna: Remissinstanserna tillstyrker förslaget eller
lämnar det utan erinran (se dock under avsnitt 6.1). Bland andra iD2
Technologies, GEA och Posten menar att det inte bör krävas att det i
certifikatet anges en elektronisk signatur som skapats av en fysisk
person.
Skälen för regeringens förslag: En certifikatutfärdares uppgift är att
som en betrodd part intyga att vissa signaturverifieringsdata hör till en
viss undertecknare. Nyckelordet i sammanhanget är ”betrodd”. För att
certifikatutfärdarna skall bli betrodda krävs att de bedriver verksamheten
med erforderlig garanti för pålitlighet.
Direktivet ställer krav endast på de certifikatutfärdare som utfärdar
kvalificerade certifikat. Det saknas anledning att i svensk lagstiftning
ställa krav på en vidare krets av certifikatutfärdare än dessa. (Vad gäller
skadeståndsskyldigheten kan det däremot finnas anledning att mer
ingående diskutera om en reglering bör träffa en vidare krets, se avsnitt
6.9.2.)
I bilaga I h) till direktivet anges att certifikatet måste innehålla
certifikatutfärdarens avancerade elektroniska signatur. Den definition av
avancerad elektronisk signatur som anges i lagen innebär att en sådan
måste vara kopplad till en fysisk person. Bland andra iD2 Technologies,
GEA och Posten påpekar dock att en certifikatutfärdare vanligtvis torde
vara en juridisk person och därför inte kan skapa en avancerad
elektronisk signatur. De menar att även om en fysisk person med stöd av
vanliga fullmaktsregler alltid kan signera å certifikatutfärdarens vägnar,
så skulle ett sådant krav innebära stora praktiska problem för
certifikatutfärdarna. Regeringen anser att syftet med direktivets krav på
denna punkt varit att den elektroniska signatur som certifikatutfärdaren
använder måste ha en tillräckligt hög säkerhetsnivå, men inte att den
nödvändigtvis måste vara knuten till en fysisk person. Regeringen
föreslår därför att det i certifikatet måste anges antingen en avancerad
elektronisk signatur (som är knuten till en fysisk person med behörighet
att företräda certifikatutfärdaren), eller en elektronisk signatur med
motsvarande säkerhetsnivå (som kan vara knuten till certifikatutfärdaren
själv). Med motsvarande säkerhetsnivå avses alltså att det måste vara
möjligt att identifiera vilken juridisk person som skapat signaturen
(utställaren), att signaturen är skapad med hjälpmedel som endast
utställaren kontrollerar och att signaturen är knuten till andra elektroniska
data på ett sådant sätt att ändringar av dessa data kan upptäckas.
De krav som direktivet ställer på certifikatutfärdare som utfärdar
kvalificerade certifikat (bilaga II), bör ställas också i den svenska lagen.
Detta innebär krav på bl.a. pålitlighet, system för säker och snabb
spärrning av certifikat, säker identitetskontroll av undertecknaren,
kompetent personal samt användande av pålitliga system och produkter
som garanterar teknisk säkerhet. Vad gäller kravet på användandet av
pålitliga system och produkter bör vidare anges att det skall anses
uppfyllt om de överensstämmer med standarder för produkter för
elektroniska signaturer som kommissionen offentliggjort referenser till
(artikel 3.5 i direktivet).
Certifikatutfärdaren åläggs bl.a. att bevara all relevant information om
certifikatet under en rimlig tid. Den information som skall bevaras
omfattar dock inte signaturframställningsdata. Eftersom det är väsentligt
för tilltron till elektroniska signaturer att det bara är undertecknaren som
har tillgång till signaturframställningsdata (hemliga nycklar o.d.)
förbjuds certifikatutfärdaren att bevara och lagra sådana data. För att
förtydliga detta har, på förslag från Kammarrätten i Stockholm, det andra
stycke i 8 § som föreslogs i promemorian i regeringens förslag flyttats till
10 §, som behandlar certifikatutfärdarens informationshantering.
Certifikatutfärdaren åläggs även att, innan denne ingår avtal om att
utfärda ett kvalificerat certifikat, skriftligen informera motparten om
vissa särskilt väsentliga uppgifter. Med uttrycket att informationen skall
lämnas skriftligen avses här att den inte får lämnas muntligen, men dock
elektroniskt. Innebörden av begreppet skriftligen diskuteras bl.a. i
betänkandet Elektronisk dokumenthantering, SOU 1996:40, avsnitt 5.3
och 5.4.
6.6 Standardisering
För att elektroniska signaturer ska få en bred användning är det väsentligt
att ha en gemensam syn på vilka tekniska krav som skall gälla i olika
avseenden och bygga upp system som kan samverka med varandra.
Tekniska standarder har här en viktig roll att fylla och kan underlätta för
användare av systemen och göra det möjligt att bedöma signaturernas
säkerhet.
Tekniska standarder kan ange precisa krav för produkter för elektro-
niska signaturer, såsom t.ex. anordningar för signaturframställning och
signeringsalgoritmer, och för certifikatutfärdande och andra certifikat-
tjänster. Standardisering underlättar också bedömningen av om ett speci-
fikt system eller en viss produkt uppfyller de krav som man vill ställa för
den aktuella tillämpningen.
Tekniska standarder möjliggör vidare interoperabilitet, dvs. att utrust-
ningen hos avsändare och mottagare av elektronisk kommunikation är
sådan att de faktiskt kan förstå varandras meddelanden. Det önskvärda är
att det utvecklas ett informationssamhälle där man helst globalt eller
åtminstone inom en definierad intressesfär kan utbyta och verifiera elek-
troniskt signerade handlingar. Myndigheternas elektroniska gränsyta mot
omvärlden skulle bli ohanterlig om antalet metoder som används för
elektroniska signaturer inte begränsas.
Kommissionen gav hösten 1998 i uppdrag åt de europeiska stan-
dardiseringsorganen och andra organisationer att analysera de framtida
behoven av standardisering enligt direktivet, med avseende på produkter
för elektroniska signaturer och tjänster som finns tillgängliga på markna-
den. Det ingick i uppdraget att föreslå en plan för att utveckla de stan-
darder som behövs. Detta resulterade i European Electronic Signature
Standardization Initiative (EESSI) som presenterat en rapport under
1999.
Analysen i rapporten visar att området är mycket komplext. Ett
hundratal existerande relevanta standarder identifierades. Trots detta var
slutsatsen att många viktiga specifikationer behöver utvecklas med hög
prioritet (se vidare under avsnitt 6.7).
Rapporten följdes under hösten 1999 av ett ”mandat” från kommissio-
nen till de europeiska standardiseringsorganen (CEN, CENELEC och
ETSI) att följa upp EESSI-rapporten, i syfte att förse marknaden med
standarder till stöd för genomförandet av direktivet. I mandatet ingår
också att bilda en särskild rådgivande grupp, kallad Electronic Signature
Standardization Industry Advisory Group, för att ge rekommendationer
till den rådgivande kommitté som skall inrättas enligt direktivet (se av-
snitt 5.10). Kommittén skall konsulteras av kommissionen när denna
skall klargöra kraven i direktivets bilagor och kriterierna för utseende av
de organ som skall avgöra om säkra anordningar för skapande av
signaturer överensstämmer med kraven i bilaga III. Kommittén skall
också konsulteras om de allmänt erkända standarder för produkter för
elektroniska signaturer som kommissionen skall fastställa och
offentliggöra referensnummer till.
6.7 Ackreditering och certifiering
Regeringens bedömning: Lagen (1992:1119) om teknisk kontroll ger
redan nu en möjlighet till frivillig ackreditering av certifieringsorgan
med det syfte som anges i direktivet.
Promemorians bedömning: Överensstämmer med regeringens be-
dömning.
Remissinstanserna: Remissinstanserna delar promemorians
bedömning eller lämnar den utan erinran.
Skälen för regeringens bedömning: Enligt direktivet kan medlems-
staterna införa frivilliga ackrediteringssystem som syftar till att höja
nivån på tillhandahållandet av certifikattjänster. Inom direktivets svår-
genomträngliga definition av ”frivillig ackreditering” torde rymmas det
system för ackreditering och, inte minst, certifiering under ackreditering,
som tillhandahålls genom lagen (1992:1119) om teknisk kontroll. Mot
bakgrund av att direktivet uttryckligen förbjuder varje form av för-
handstillstånd torde de ”rättigheter och skyldigheter” som nämns i
definitionen vara rättigheten att kalla sig ackrediterad/certifierad och
skyldigheten att leva upp till den nivå som krävs för ackredite-
ring/certifiering.
Syftet med ackreditering (jfr avsnitt 4.4) är att skapa tilltro till de
tjänster som de ackrediterade organen presterar. Härigenom skapas också
tilltro till provningsintyg, certifikat m.m., som bl.a. gör det möjligt att
godta sådan dokumentation från ett annat land utan förnyad kontroll.
Därmed har ackreditering fått en viktig roll för att främja fri rörlighet av
varor och tjänster på den inre marknaden. I detta arbete gäller som en
viktig princip att statliga förhandsgodkännanden skall undvikas. Det
hindrar inte att krav ställs på provning och kontroll. Bedömning av över-
ensstämmelse ses dock som en teknisk uppgift utanför den offentligrätts-
liga sfären.
En ackreditering är alltid frivillig. Aktörer på marknaden vill ofta ha
bevis på att varor och tjänster uppfyller ställda krav. Provning eller kon-
troll utförda av organ med särskild påvisad kompetens kan vara ett sätt
att åstadkomma detta. Att ackreditering i sig är frivillig hindrar inte att ett
ackrediteringssystem kan utnyttjas för att åstadkomma legalt tvingande
regler om provning och kontroll, vilket ibland har skett i Sverige.
Tvånget har då bestått i ett åliggande att anskaffa ett provningsintyg eller
certifikat från ett ackrediterat organ. Ett sådant intyg eller certifikat får
därmed rättsverkningar utan att förhållandet mellan utfärdaren och be-
ställaren får någon offentligrättslig prägel. Staten tar själv inget ansvar
för dokumentet på annat sätt än genom att ålägga beställaren att anskaffa
dokumentet från ett organ som uppfyller av staten uppställda kvalitets-
krav. I Sverige knyts dessa kvalitetskrav normalt till ett krav på ackredi-
tering.
Så behöver dock inte alltid vara fallet. Inom EU har man hittills und-
vikit att ställa formella krav på ackreditering och i stället formulerat
kvalitetskrav som ibland knyts till standarder. För certifieringsorgan kan
således krävas att organet skall uppfylla kraven i t.ex. standarden
EN 45 011. Detta behöver dock inte visas med ackreditering, även om
ackreditering är det normala sättet att styrka att kravet är uppfyllt. Inom
ramen för EG:s produktdirektiv skall medlemsländerna utse s.k. anmälda
organ för uppgifter som innefattar provning och certifiering. Inte heller
här uppställs krav på ackreditering, men det anges att ett organ som är
ackrediterat skall antas uppfylla kraven.
I Sverige finns det nationella ackrediteringssystemet reglerat i lagen
om teknisk kontroll. Där finns också regler om utseende av anmälda
organ enligt EG-regler. Grundläggande för både ackreditering och utse-
ende av anmälda organ är att systemen är öppna för alla organ som begär
det och kan visa sin kompetens enligt ställda krav. Anmälda organ skall
granskas av SWEDAC på samma sätt som vid ackreditering.
Som har framgått ovan har certifikaten en stor betydelse i den ordning
som regleras i direktivet. Tilltron till certifikaten får därmed central bety-
delse och medlemsländerna förutsätts på olika sätt främja kvaliteten på
erbjudna certifikat. I enlighet med vanliga EG-rättsliga principer förbjuds
krav på förhandstillstånd. Medlemsländerna får dock enligt en uttrycklig
bestämmelse utnyttja frivilliga ackrediteringssystem, som då skall vara
objektiva, öppna och icke-diskriminerande.
En ordning med ackreditering av organ för certifiering av certifikat-
utfärdare ligger helt inom ramen för SWEDAC:s verksamhet enligt lagen
om teknisk kontroll. Någon ordning för ackreditering av den här typen av
certifieringsorgan finns ännu inte helt färdig men kan relativt lätt inrättas.
Den befintliga standarden EN 45 012 kan med små justeringar användas
för ackreditering av certifieringsorgan för att certifiera
certifikatutfärdare. Dessutom är standarder för att ackreditera
certifieringsorgan för produktcertifiering under utarbetande.
Vidare finns det redan i viss mån standarder som kan användas vid
certifiering av certifikatutfärdare vad gäller lednings- och säkerhets-
system, såsom den brittiska BS 7799, del 1 (Code of practise for Infor-
mation Security management) och ISO TR 13335 (Guidelines for the
Management of Information Technology Security-GMITS). Numera
finns även en svensk standard, baserad på den brittiska SS 62 77 99. Det
finns även standarder som i princip kan användas för certifiering av
framställning av kvalificerade certifikat (t.ex. X.509).
Lagen om teknisk kontroll ger redan nu en möjlighet till frivillig
ackreditering av certifieringsorgan med det syfte som anges i direktivet.
Det finns därmed ingen anledning att i lagen om certifikat för elektro-
niska signaturer införa regler om ackreditering eller certifiering. Skyldig-
heten enligt direktivet att informera kommissionen och andra medlems-
stater om ackrediterade nationella tillhandahållare av certifikattjänster
följer av grunderna för förordningen (1994:2035) om vissa skyldigheter
för myndigheter vid ett medlemskap i Europeiska unionen.
Eftersom ackreditering är frivillig, finns det inte något hinder att utan
ackreditering bedriva certifiering av certifikatutfärdare.
6.8 Anordningar för signaturframställning
Regeringens förslag: Det skall anges i lagen vad som krävs för att en
anordning för signaturframställning skall vara säker. Det skall också
föreskrivas att en anordning som anges vara en säker anordning får
släppas ut på marknaden eller användas för att skapa en kvalificerad
signatur endast om ett för ändamålet anmält organ inom Europeiska
ekonomiska samarbetsområdet (EES) avgjort att anordningen upp-
fyller kraven. Vidare skall det anges att anordningar som överens-
stämmer med vissa standarder skall presumeras uppfylla kraven.
Promemorians förslag: Överensstämmer med regeringens förslag.
Remissinstanserna: Remissinstanserna tillstyrker förslaget eller
lämnar det utan erinran.
Skälen för regeringens förslag: På samma sätt som för de kvalifice-
rade certifikaten bör de krav som anges i direktivets bilaga III anges i den
svenska lagtexten beträffande de säkra anordningar för signaturframställ-
ning, som krävs för att skapa en kvalificerad signatur. I den svenska
versionen av direktivet sägs i 1.a i bilagan att signaturframställningsdata
”praktiskt taget” skall kunna förekomma bara en gång. Uttrycket tycks
dock grunda sig på en felöversättning av engelskans ”practically”.
Regeringen menar, liksom flera remissinstanser, att orden ”i praktiken”
bättre uttrycker vad som avses och föreslår att de orden används i
lagtexten i stället.
Artikel 3.4 i direktivet anger att vissa organ skall avgöra om säkra
anordningar överensstämmer med kraven i bilaga III. Det får förstås som
ett krav på att endast anordningar som av ett sådant organ bedömts över-
ensstämma med kraven får användas för att framställa kvalificerade
signaturer eller släppas ut på marknaden under beteckningen ”säkra
anordningar för signaturframställning”. Samtidigt anges i artikel 3.5 att
medlemsstaterna skall utgå från att produkter som uppfyller standarder
som kommissionen refererat till i Europeiska gemenskapernas officiella
tidning överensstämmer med kraven i bilaga III. Någon möjlighet att
tolka direktivet som att det kan räcka med en tillverkardeklaration om att
en produkt uppfyller de aktuella standarderna torde inte finnas. Den sist-
nämnda regeln måste anses vara riktad till de aktuella organen. Denna
bedömning görs också i de övriga nordiska länderna. En regel om obli-
gatorisk kontroll av anordningarna kompletterad med presumtionen för
produkter som uppfyller de nämnda standarderna bör alltså införas i den
svenska lagen.
Den möjligen kostsamma och tidskrävande obligatoriska certifiering
som det här är fråga om torde dock inte nödvändigtvis innebära alltför
negativa konsekvenser, då det ju räcker med att produkten godkänns i ett
av länderna inom EES. Tillverkaren eller marknadsföraren är dessutom
inte hänvisad till ett organ i hemlandet. Detta följer också av artikel 3.4 i
direktivet där det stadgas att ett beslut som fattats av ett organ i en med-
lemsstat skall erkännas av samtliga medlemsstater. Även detta bör anges
i lagtexten.
Enligt direktivet skall medlemsstaterna, i enlighet med kriterier som
kommissionen senare skall fastställa, utse sådana organ som skall avgöra
om säkra anordningar för signaturframställning överensstämmer med
kraven i direktivets bilaga III. Regeringen föreslår att det görs en hänvis-
ning till lagen om teknisk kontroll, där det i 3 § föreskrivs att regeringen
eller den myndighet som regeringen bestämmer utser de organ som skall
anmälas till EU för uppgifter i samband med bedömning av överens-
stämmelse enligt bestämmelser som gäller inom EES (se avsnitt 4.4).
Regeringen eller myndigheten (SWEDAC) har därvid att ta hänsyn till de
kriterier som kommissionen kommer att fastställa. Regeringen kan vid
behov utfärda närmare bestämmelser om detta enligt ett bemyndigande i
5 § lagen om teknisk kontroll.
6.9 Skadestånd
6.9.1 Allmänt om skadestånd och användning av elektroniska
signaturer
Det öppna nyckelsystemet
Direktivet bygger som nämnts på ett tekniskt och organisatoriskt system
för elektroniska signaturer som benämns det öppna nyckelsystemet (se
avsnitt 4.3.4). Systemet är för dagen det helt förhärskande för elektro-
niska signaturer. I framtiden kan dock något annat komma att gälla.
Det öppna nyckelsystemet bygger på medverkan av tre aktörer, näm-
ligen undertecknare, certifikatutfärdare och mottagare. Det kan dock
förekomma – och det är inte ovanligt – att en och samma person eller
företag är mer än en aktör i denna kedja. Det är t.ex. vanligt att en bank
är både certifikatutfärdare och mottagare. Så är fallet när en bank utfärdar
certifikat för att sedan förlita sig på elektroniska signaturer som används
av bankens kunder.
Undertecknaren kan också benämnas ”nyckelinnehavaren”, dvs. den
som innehar det unika nyckelpar som utgörs av en hemlig nyckel och en
öppen nyckel (se avsnitt 4.3.1). Nyckelinnehavaren/undertecknaren är
”den behörige”, som har kontroll över signaturframställningsdata och
anordningen för signaturframställning.
Det öppna nyckelsystemet reser i huvudsak tre olika särskilda skade-
ståndsrättsliga ansvarsförhållanden, nämligen
a. undertecknarens ansvar vid obehörig användning av den
elektroniska signaturen,
b. certifikatutfärdarens ansvar gentemot undertecknaren, och
c. certifikatutfärdarens ansvar gentemot mottagaren.
Undertecknarens ansvar vid obehörig användning
Det kan inträffa att någon annan än den egentlige undertecknaren obehö-
rigen använder den hemliga nyckeln och med hjälp av denna vidtar rätts-
handlingar i undertecknarens namn. Det betyder alltså att någon falskeli-
gen uppträder som undertecknare. Ett sådant missbruk kan t.ex. ha
möjliggjorts genom att undertecknaren handskats vårdslöst med sin
säkerhetskod eller sitt smarta kort. Det kan också vara så att den elektro-
niska signaturen missbrukas utan undertecknarens förskyllan, t.ex. av en
s.k. hacker eller av att certifikatutfärdaren lämnat ut den hemliga nyckeln
till fel person.
De ansvarsfrågor som aktualiseras här regleras över huvud taget inte i
direktivet. Det kan ändå finnas skäl att något behandla problemet.
Enligt svensk rätt torde som utgångspunkt gälla att undertecknaren inte
blir bunden av rättshandlingar som inte har företagits av honom eller
henne. I rättspraxis har man visserligen i vissa fall låtit den som åberopar
ogiltigheten bli skadeståndsskyldig om han eller hon genom vårdslöshet
möjliggjort förfalskningen (jfr t.ex. NJA 1935 s. 646). Huruvida en
undertecknare skulle kunna bli skadeståndsskyldig enligt dessa principer
om denne varit oaktsam och därigenom möjliggjort det obehöriga använ-
dandet måste dock betecknas som mycket osäkert.
Det är viktigt att komma ihåg att det alltid råder ett avtalsförhållande
mellan undertecknaren och certifikatutfärdaren. Undertecknaren måste ju
vända sig till certifikatutfärdaren för att få ett certifikat utfärdat. Det
finns således alltid möjligheter att reglera ansvarsfrågor i avtalet mellan
parterna.
De här aktuella problemen uppvisar vissa likheter med obehörig
användning av kontokort. För dessa fall finns en särskild reglering i 34 §
konsumentkreditlagen (1992:830). Bestämmelsen har införts för att
komma till rätta med stränga avtalsvillkor rörande konsumenternas betal-
ningsansvar vid obehöriga uttag med kontokort.
Det kan finnas skäl att överväga en särskild reglering på detta område i
svensk rätt. Det kan nämnas att i den modellag för elektroniska signaturer
som man för närvarande arbetar fram inom UNCITRAL (jfr modellagen
för elektronisk handel, avsnitt 4.2) diskuteras just principer för under-
tecknarens ansvar för obehörig användning. Frågan är dock komplicerad
och bör lämpligen övervägas i något annat sammanhang än vid genom-
förandet av direktivet.
Certifikatutfärdarens ansvar gentemot undertecknaren
Som ovan nämnts är förhållandet mellan certifikatutfärdaren och under-
tecknaren kontraktsrättsligt. Frågan om certifikatutfärdarens ansvar
gentemot undertecknaren kompliceras dock av att det kan vara svårt att
ange vad som är avtalets objekt och vilken typ av avtal det är frågan om.
Den hemliga nyckeln kan vara lagrad på ett smart kort, på en hårddisk, på
en diskett osv. och man kan tänka sig att certifikatutfärdaren genererar ett
nyckelpar till undertecknaren.
Certifikatutfärdaren och undertecknaren kan i dag efter gottfinnande
reglera relevanta frågor i avtalet såsom ansvarsgrunder, ansvarets omfatt-
ning och ansvarsbegränsningar. Avtalsfriheten begränsas ytterst av 36 §
lagen (1915:218) om avtal och andra rättshandlingar på förmögenhetens
område (avtalslagen). Om certifikatutfärdaren inte uppfyller sina för-
pliktelser enligt avtalet med undertecknaren kan ett avtalsbrott föreligga.
Förhållandet mellan certifikatutfärdaren och undertecknaren regleras i
viss mån genom artikel 6 i direktivet.
Certifikatutfärdarens ansvar gentemot mottagaren
Om uppgifterna i ett certifikat är felaktiga – t.ex. eftersom certifikat-
utfärdaren inte har kontrollerat identiteten hos undertecknaren på det sätt
som påstås i certifikatet – kan mottagaren lida en skada om denne vid en
ekonomisk transaktion förlitar sig på den elektroniska signaturen. Rela-
tionen mellan certifikatutfärdaren och mottagaren kan vara av olika slag.
De kan ha en kontraktsrättslig relation, men vanligen torde det inte finnas
något avtal mellan dem.
När det inte finns något avtal mellan certifikatutfärdaren och mottaga-
ren gäller utomkontraktuella regler. I utomkontraktuella förhållanden är
huvudregeln att skadeståndsskyldighet för ren förmögenhetsskada (dvs.
ekonomisk skada som uppkommit utan att någon lidit person- eller sak-
skada) föreligger endast om skadan orsakats genom brott. Det framgår av
2 kap. 4 § skadeståndslagen (1972:207). För att ren förmögenhetsskada
skall vara ersättningsgill i andra fall krävs i princip en specialbestäm-
melse i lag. Av förarbetena till 2 kap. 4 § skadeståndslagen framgår dock
att avsikten inte varit att lägga hinder i vägen för en rättsutveckling i
praxis i riktning mot ett vidgat ansvar för ren förmögenhetsskada (jfr
prop. 1972:5 s. 568). Sedan länge har också i rättspraxis skadestånds-
ansvar godtagits beträffande t.ex. felaktiga vederhäftighets- och vittnes-
intyg samt beträffande soliditetsupplysningar. Särskilt intressant i detta
sammanhang är rättsfallet NJA 1987 s. 692 där en värderingsman som av
oaktsamhet utfärdat ett oriktigt värderingsintyg ansågs skadestånds-
skyldig gentemot en långivare som förlitat sig på intyget.
Det kan diskuteras i vilken utsträckning en mottagare kan göra
gällande att en certifikatutfärdare är skadeståndsskyldig i enlighet med
principerna i 1987 års fall. När certifikatutfärdaren utfärdar ett certifikat
sker det normalt i syfte att tredje man skall kunna förlita sig på uppgift-
erna i certifikatet. Certifikatet riktar sig ju ofta just till tredje man. I så
måtto finns likheter med 1987 års fall. Av betydelse är dock att mål-
gruppen för certifikatet i regel kan vara obegränsad. Det är omöjligt för
en certifikatutfärdare att överblicka de transaktioner som signaturen
kommer att användas till och vem som kan förväntas förlita sig på certi-
fikatet. I normalfallet saknar certifikatutfärdaren vetskap om för vilka
ändamål signaturen kommer att användas. Så behöver dock inte vara
fallet om certifikatutfärdaren har begränsat t.ex. certifikatets använd-
ningsområde. Rättsläget måste hur som helst betecknas som osäkert.
I de fall det trots allt finns ett avtal mellan certifikatutfärdaren och
mottagaren är det i dag fritt för dem att sinsemellan reglera förutsättning-
arna för ansvar. Avtalsfriheten begränsas också här ytterst av 36 §
avtalslagen. Om certifikatutfärdaren inte uppfyller sina förpliktelser en-
ligt avtalet med mottagaren kan ett avtalsbrott föreligga.
Ansvarsförhållandet mellan certifikatutfärdaren och mottagaren regle-
ras i artikel 6 i direktivet.
6.9.2 Genomförandet av direktivets artikel om skadestånd
Regeringens förslag: I lagen skall det föreskrivas ett skadestånds-
rättsligt presumtionsansvar för den som utfärdar kvalificerade certi-
fikat till allmänheten gentemot den som förlitar sig på certifikatet. Det
skall även föreskrivas att bestämmelsen är tvingande till fördel för den
som förlitar sig på certifikatet.
Promemorians förslag: Överensstämmer i huvudsak med regeringens
förslag. I promemorian föreslogs dock ingen bestämmelse om att skade-
ståndsbestämmelsen skulle vara tvingande.
Remissinstanserna: Flertalet remissinstanser tillstyrker i huvudsak
förslaget eller lämnar det utan erinran. Konsumentverket anser dock att
det finns skäl att överväga ett strikt ansvar. Post- och telestyrelsen och
Juridiska fakultetsnämnden vid Uppsala universitet menar att det bör
klargöras om skadeståndsbestämmelsen är tvingande eller inte.
Skälen för regeringens förslag
Ansvarets omfattning
Artikel 6 i direktivet föreskriver som ett minimikrav att medlemsstaterna
skall säkerställa att de certifikatutfärdare som utfärdar certifikat som
uppges vara kvalificerade eller som garanterar att någon annans certifikat
är kvalificerade har ett s.k. presumtionsansvar. Det innebär att om den
som förlitar sig på certifikatet lider en skada till följd av t.ex. en felaktig-
het i certifikatet skall certifikatutfärdaren ersätta skadan såvida inte certi-
fikatutfärdaren kan visa att felaktigheten beror på något annat än att
denne varit vårdslös. Certifikatutfärdaren skall alltså antas – presumeras
– ha orsakat skadan genom vårdslöshet, men om utfärdaren lyckas bevisa
att skadan inte beror på vårdslöshet på dennes sida skall utfärdaren kunna
undgå skadeståndsansvar. Eftersom detta i direktivet formulerats som ett
minimikrav är det möjligt för medlemsstaterna att i stället föreskriva ett
strikt ansvar för certifikatutfärdaren, dvs. att denne skall vara skade-
ståndsskyldig oberoende av eget vållande.
Vid bestämmande av vilken omfattning certifikatutfärdarens ansvar
skall ha finns flera hänsyn att ta. Det är viktigt att betona att certifikatets
funktion är att skapa trygghet. Den som tar del av innehållet skall kunna
förlita sig på att det är riktigt. Ett viktigt syfte med regleringen måste
vidare vara att gynna förekomsten av elektroniska signaturer och certi-
fikattjänster. Regleringen får inte riskera att i onödan hämma framväxten
av certifikattjänster. Det är därvid väsentligt att komma ihåg att certifikat
är något som certifikatutfärdarna normalt tar betalt för. Det vore natur-
ligtvis olyckligt med en utveckling där certifikatutfärdarna tog så mycket
betalt för certifikaten att elektroniska signaturer endast skulle komma att
användas av företag och inte av privatpersoner.
En annan aspekt som inte är oväsentlig i sammanhanget är att man bör
försöka uppnå nordisk rättslikhet på området. I övriga nordiska länder
har man hittills planerat att genomföra direktivet så att
certifikatutfärdarna åläggs ett presumtionsansvar.
Vid ett presumtionsansvar måste certifikatutfärdaren, sedan t.ex. en
felaktighet i certifikatet och en därtill knuten skada för den som förlitar
sig på certifikatet har konstaterats, bevisa att skadan inte uppkommit på
grund av dennes vårdslöshet. Detta är rimligt eftersom certifikatutfärda-
ren torde ha lättast att föra fram bevisning i detta avseende. Om däremot
certifikatutfärdarna skulle sakna möjlighet att visa att man vidtagit alla
rimliga åtgärder för att förhindra en felaktighet skulle utvecklingen av
sådana tjänster hämmas på ett olyckligt sätt. Från angivna
utgångspunkter framstår enligt regeringens mening ett presumtionsansvar
som det lämpligaste alternativet. Ett strikt ansvar bör därför inte
föreskrivas.
Hovrätten över Skåne och Blekinge samt Juridiska fakultetsnämnden
vid Uppsala universitet ifrågasätter betydelsen av att den skadelidande
skall ha haft ”rimlig anledning” att förlita sig på certifikatet, såsom
angavs i promemorians lagförslag. Hovrätten menar att begränsningen
borde kunna hanteras inom adekvansbedömningen, inom läran om
skyddat intresse eller med hjälp av allmänna regler om jämkning vid
medvållande, med i huvudsak samma utfall som om begränsningen
uttryckligen anges i lagtexten. Hovrätten menar vidare att skyddet för
den skadelidande i vart fall inte lär hamna under den miniminivå som
direktivet kräver. Fakultetsnämnden anser att utgångspunkten vid
tolkningen av bestämmelsen rimligen måste vara att den som förlitar sig
på ett kvalificerat certifikat har alla skäl att göra det och att situationen
måste vara mycket speciell för att bedömningen skall bli annorlunda.
Regeringen delar remissinstansernas bedömning och föreslår därför inte
att någon sådan begränsning uttryckligen anges.
Certifikatutfärdare som skall omfattas av skadeståndsregeln
Det skadeståndsansvar som föreskrivs i direktivet omfattar endast de
certifikatutfärdare som antingen till allmänheten utfärdar certifikat som
uppges vara kvalificerade eller som garanterar att en annan certifikat-
utfärdares certifikat är kvalificerade. En certifikatutfärdare som inte utger
sig för att utfärda kvalificerade certifikat och som inte garanterar att
någon annans certifikat är kvalificerade träffas över huvud taget inte av
direktivets skadeståndsregler. Inte heller träffas sådana certifikatutfärdare
som inte utfärdar certifikat till allmänheten. Frågan är om vi i Sverige nu
bör införa en regel som går längre än direktivet och ålägga en skade-
ståndsskyldighet även för andra certifikatutfärdare. Direktivet torde inte
hindra en sådan nationell lagstiftning.
Det finns bärkraftiga argument både för att utöka den krets som skall
träffas av direktivets skadeståndsregler och för att inte göra det. Som
nämnts ovan är det tämligen oklart vad som i dag gäller om certifikat-
utfärdares ansvar gentemot mottagaren enligt allmänna skadeståndsrätts-
liga regler, i varje fall när de inte har något avtalsförhållande med var-
andra, vilket torde vara det vanliga. Denna osäkerhet talar för att kretsen
bör utökas i förhållande till direktivet. Det kan förutsättas att många av
de certifikat som finns och kommer att finnas på marknaden i framtiden
inte är kvalificerade i direktivets mening. Det kan i dessa fall finnas väl
så starka skäl att ha en specialreglering för certifikatutfärdarens ansvar.
Samtidigt finns det starka betänkligheter mot en utvidgad krets. Regle-
ringen tar såvitt avser förhållandet mellan certifikatutfärdaren och
mottagaren huvudsakligen sikte på skadeståndsansvar för ren förmögen-
hetsskada i utomobligatoriska förhållanden. På detta område präglas
svensk rätt av tämligen stor restriktivitet. Om kretsen skulle utvidgas är
det viktigt att den är tydligt identifierbar och definierad. Det skulle kunna
föra för långt om skadeståndsansvar för rena förmögenhetsskador i
utomkontraktuella förhållanden träffade alla certifikatutfärdare eller alla
som i en elektronisk miljö identifierar avsändare av elektroniska medde-
landen. Det är förenat med betydande svårigheter att finna tydliga av-
gränsningar på området. Vidare bygger direktivet till stor del på att det
skapas en slags standard för elektroniska signaturer i Europa och de som
baserar sig på kvalificerade certifikat ges en särställning i direktivet (jfr
avsnitt 6.11). Det kan därför ses som mest förenligt med tankarna bakom
direktivet att begränsa skadeståndsregleringen till de fall certifikat-
utfärdaren anger att han utfärdar kvalificerade certifikat eller som garan-
terar att någon annans certifikat är kvalificerade. De som förlitar sig på
certifikaten får därmed också en tydlig signal om de kvalificerade certifi-
katens särskilda kvalitéer. Samtidigt undviker man att förena certifikat
som avses att användas på ett sätt som inte kräver så hög säkerhet med
avskräckande höga kostnader.
Övervägande skäl talar därför för att inte utvidga den krets som träffas
av direktivets skadeståndsregler. I sammanhanget kan nämnas att man
hittills planerat att lösa frågan på samma sätt i övriga nordiska länder. En
jämförelse med övriga nordiska länder i detta avseende haltar dock efter-
som vi har delvis olika regler om ansvar för ren förmögenhetsskada
utanför kontraktsförhållanden.
Reglernas utformning
Artikel 6.1 i direktivet föreskriver att certifikatutfärdare som utfärdar
påstått kvalificerade certifikat till allmänheten eller som garanterar att
någon annans certifikat är kvalificerade har ett skadeståndsrättsligt
presumtionsansvar för att uppgifterna i ett certifikatet är korrekta och
fullständiga, att undertecknaren vid tidpunkten för utfärdandet var i
besittning av de signaturframställningsdata som motsvarar de signatur-
verifieringsdata som anges i certifikatet samt att signaturfram-
ställningsdata och signaturverifieringsdata kan användas som komple-
ment till varandra om certifikatutfärdaren framställer båda. Vidare har
certifikatutfärdare som utfärdar sådana certifikat enligt artikel 6.2 ett
presumtionsansvar för skada som genom underlåtenhet att registrera ett
återkallande av ett certifikat åsamkats den som förlitat sig på certifikatet.
De i lagen ställda kraven på kvalificerade certifikat och den som utfär-
dar sådana till allmänheten (se avsnitt 6.5) kan utformas bl.a. som hand-
lingsregler för certifikatutfärdaren, som motsvarar vad certifikat-
utfärdaren enligt direktivet skall ha ett skadeståndsrättsligt presumtions-
ansvar för. Skadeståndsreglerna i lagen kan då lämpligen utformas så att
certifikatutfärdaren bär det särskilda skadeståndsansvaret om uppgifterna
i ett certifikat som anges vara kvalificerat är felaktiga eller ofullständiga,
eller certifikatutfärdaren inte har uppfyllt vissa handlingsregler.
Artikel 6 stadgar också att medlemsstaterna skall föreskriva att en
certifikatutfärdare får ange begränsningar för områden eller transaktions-
belopp som certifikatet får användas för samt att certifikatutfärdaren inte
skall vara ansvarig för skador som härrör från ett överskridande av dessa
begränsningar. Även detta bör anges i lagtexten.
Några remissinstanser menar att promemorians lagförslag är otydligt i
fråga om vilka certifikatutfärdare som omfattas av skadeståndsbestäm-
melsen. Såsom framgått ovan omfattas bara sådana certifikatutfärdare
som utfärdar påstått kvalificerade certifikat till allmänheten. Certifikat-
utfärdare som garanterar att någon annans certifikat är kvalificerade om-
fattas av bestämmelsen i den mån certifikaten inte uppfyller kraven i 3 §
eller innehåller felaktiga uppgifter (första stycket 2 och 3). Dessa s.k.
certifikatgaranter åläggs dock inte något skadeståndsansvar för någon
annan certifikatutfärdares underlåtenhet att uppfylla kraven i 9 § (första
stycket 1). Detta har förtydligats i regeringens förslag, bl.a. genom att
sammanfoga 13 och 14 §§ och genom det tillagda andra stycket i 13 §.
Post- och telestyrelsen och Juridiska fakultetsnämnden vid Uppsala
universitet menar att det bör klargöras om rätten till skadestånd är tving-
ande eller om certifikatutfärdaren i avtal kan friskriva sig från ansvar i
förhållande till sådana personer som är kunder till certifikatutfärdaren.
De anför att om regeln är avsedd att vara tvingande, bör detta anges
uttryckligen i lagen. Fakultetsnämnden menar att en tvingande regel
torde stämma bäst överens med formuleringen av ingressen till artikel 6 i
direktivet och att det vore det lämpligaste alternativet. Regeringen delar
den uppfattningen och föreslår därför en särskild bestämmelse som klar-
gör detta. Bestämmelsen bör utformas i enlighet med motsvarande
bestämmelser i konsumentlagstiftningen.
6.10 Behandling av personuppgifter
Regeringens förslag: I lagen skall det anges begränsningar för hur
den som utfärdar certifikat till allmänheten får behandla person-
uppgifter.
Promemorians förslag: Överensstämmer med regeringens förslag.
Remissinstanserna: Remissinstanserna tillstyrker förslaget eller läm-
nar det utan erinran.
Skälen för regeringens förslag: Europaparlamentets och rådets direk-
tiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda med avse-
ende på behandling av personuppgifter och om det fria flödet av sådana
uppgifter har genomförts i svensk rätt genom personuppgiftslagen
(1998:204). Lagen innehåller bestämmelser om när behandling av per-
sonuppgifter är tillåten.
Enligt lagen gäller bl.a. följande. Personuppgifter får behandlas
(inkluderande insamlas) bara om den registrerade har lämnat sitt sam-
tycke till behandlingen, eller om behandlingen är nödvändig av vissa
närmare angivna skäl. Personuppgifter som samlats in för ett ändamål får
inte behandlas för något annat oförenligt ändamål. Fler personuppgifter
än som är nödvändiga med hänsyn till ändamålet får inte behandlas.
Personuppgiftslagen är tillämplig på certifikatutfärdare, SWEDAC och
tillsynsmyndigheten, utan att detta särskilt behöver anges. Artikel 8.2 i
direktivet innehåller dock regler som innebär strängare krav än de som
uppställs i personuppgiftslagen. Det skall därför i den föreslagna lagen
införas en regel om att certifikatutfärdare som utfärdar certifikat till
allmänheten endast under dessa strängare förutsättningar får behandla
personuppgifter. Regeln skall inte vara begränsad till dem som utfärdar
kvalificerade certifikat.
6.11 Kvalificerade elektroniska signaturer
Regeringens förslag: Lagen skall innehålla en regel som anger de
kvalificerade elektroniska signaturernas särställning. Regeln innebär
att om det i lag eller annan författning ställs krav på egenhändig
underskrift eller motsvarande och om det är tillåtet att uppfylla kravet
med elektroniska medel, skall en kvalificerad elektronisk signatur
alltid anses uppfylla kravet. Användningen av elektroniska signaturer
inom eller vid kommunikation med myndigheter skall dock kunna
vara förenad med ytterligare krav.
Promemorians förslag: Överensstämmer med regeringens förslag. I
promemorian föreslogs dock ingen särskild bestämmelse om använd-
ningen av elektroniska signaturer inom eller vid kommunikation med
myndigheter..
Remissinstanserna: Flertalet remissinstanser tillstyrker eller har ingen
invändning mot att bestämmelsen införs, men menar att formuleringen i
promemorians förslag är otydlig. Hovrätten över Skåne och Blekinge,
Statskontoret, Juridiska institutionen vid Göteborgs universitet, IT-kom-
missionen och Lagerlöf & Leman ifrågasätter dock om bestämmelsen
fyller någon praktisk funktion och om den inte borde utgå. Flera remiss-
instanser invänder att bestämmelsens rubrik kan leda till missförstånd om
vad bestämmelsen egentligen innebär. Riksarkivet, Patent- och registre-
ringsverket, Riksskatteverket, Statskontoret och Lagerlöf & Leman menar
att det, i vart fall tills vidare, måste finnas vissa möjligheter att ställa
ytterligare krav på användningen av elektroniska signaturer inom
offentlig sektor.
Skälen för regeringens förslag
Bakgrund
Som tidigare nämnts finns det en mängd författningar som ställer krav på
underskrift för att en rättshandling skall anses giltig eller en åtgärd anses
vidtagen etc. I svensk rätt finns dock inga regler som anger hur ett
författningsenligt krav på underskrift skall uppfyllas. Det sägs ingenstans
att underskriften skall vara läslig på det sättet att personens namn kan
utläsas av underskriften. Det sägs vidare inget om att personen skall
använda sitt fulla namn eller sina initialer eller enbart ett bomärke eller
kryss. Kravet på underskrift uttrycks också på olika sätt i skilda
författningar. Exempelvis krävs det i vissa författningar ”underskrift”
medan det i andra författningar krävs ”namnunderskrift”. Även om det
saknas regler om vad som krävs för att uppfylla ett formkrav på
underskrift måste det åtminstone i vissa situationer finnas en gräns för
vad som kan godtas när det ställs ett sådant krav. Någon form av
angivelse om vem som avses med underskriften torde krävas. Är det en
skrivkunnig person kan det möjligen krävas att det är ett allvarligt försök
att forma namnet i skrift. I vissa situationer torde därför inte vilket
avtryck som helst från exempelvis en penna anses konstituera en
underskrift eller namnunderskrift. Frågan har nog tämligen sällan ställts
på sin spets eller vållat några problem.
När det gäller elektroniska signaturer förhåller det sig något
annorlunda. Den som förlitar sig på en elektronisk signatur ser inte
tekniken i systemet och hur kontrollen går till. I princip får de mottagare
som förlitar sig på en elektronisk signatur endast ett meddelande på sin
dator om att identitet och innehåll stämmer eller inte stämmer. Som
tidigare nämnts bygger direktivet på elektroniska signaturer enligt det
s.k. öppna nyckelsystemet. Även om detta koncept har en viss given
struktur kan tekniken ha olika hög säkerhetsnivå.
I artikel 5.1 beskrivs en typ av elektroniska signaturer med särskilt hög
säkerhetsnivå, i den föreslagna lagen benämnda kvalificerade elektro-
niska signaturer.
Enligt artikel 5.1.a skall medlemsländerna säkerställa att dessa kvalifi-
cerade elektroniska signaturer ”uppfyller de rättsliga kraven på en signa-
tur i förhållande till uppgifter i elektronisk form, på samma sätt som en
handskriven signatur uppfyller samma krav i förhållande till uppgifter på
papper”. Medlemsstaterna är vidare enligt artikel 5.1.b skyldiga att se till
att kvalificerade signaturer godtas som bevis vid rättsliga förfaranden. I
artikel 5.2 sägs att medlemsstaterna skall se till att inga elektroniska sig-
naturer förvägras rättslig verkan eller giltighet som bevis vid rättsliga
förfaranden enbart på vissa särskilt angivna grunder. Frågan är vad
artikel 5 egentligen innebär och om det krävs några åtgärder för att
svensk rätt skall leva upp till direktivet i denna del.
Innebörden av artikel 5 i direktivet
Finansbolagens förening och Svenska Inkassoföreningen menar att inne-
börden av artikel 5 är att verkan av en elektronisk signatur måste jäm-
ställas med verkan av en egenhändig namnteckning. De menar därför att
direktivet på denna punkt är mer långtgående än promemorians förslag.
Enligt regeringens mening kan dock artikeln inte läsas och tolkas isolerat
från övriga artiklar i direktivet. Av särskild betydelse för hur artikel 5
skall uppfattas är artikel 1 i direktivet som reglerar direktivets tillämp-
ningsområde.
Av artikel 1 framgår att syftet med direktivet är att underlätta använd-
ningen av elektroniska signaturer och bidra till deras rättsliga erkän-
nande. Av artikeln framgår vidare att direktivet inte omfattar frågor som
avser ingående eller giltighet av avtal eller andra rättsliga förpliktelser,
om den nationella lagstiftningen eller gemenskapslagstiftningen föreskri-
ver vissa formkrav. Direktivet påverkar inte heller bestämmelser och
begränsningar i nationell lagstiftning eller gemenskapslagstiftning som
reglerar användningen av dokument.
Enligt regeringens uppfattning är det sålunda klart att direktivet inte
inom något rättsområde föreskriver att elektronisk kommunikation måste
accepteras. Vidare innebär artikel 1 enligt regeringens bedömning att
direktivet inte på något rättsområde förbjuder medlemsstaterna att ha
formkrav på egenhändiga namnunderskrifter som utesluter användning
av elektroniska signaturer. Flertalet remissinstanser synes dela den
bedömningen.
Innebörden av artikel 5.1.a kan därför inte vara att medlemsstaterna
måste godta kvalificerade elektroniska signaturer i alla de fall där det
finns ett krav på underskrift i nationell rätt eller gemenskapsrätt. Därför
måste artikel 5.1.a uppfattas så att om det enligt nationell rätt – antingen
på grund av lagstiftning eller andra föreskrifter eller på grund av tolkning
av formkravsregler – över huvud taget är tillåtet att uppfylla ett formkrav
på traditionell underskrift e.d. med elektroniska rutiner, måste de kvalifi-
cerade elektroniska signaturerna alltid godtas. På detta sätt skapas inom
hela gemenskapen en standard för elektroniska signaturer, vilket kan vara
gynnsamt för den inre marknaden. Därför bör det i den svenska lagen
införas en bestämmelse som klargör detta förhållande.
När det gäller artikel 5.1.b – dvs. att kvalificerade elektroniska signatu-
rer skall godtas som bevis vid rättsliga förfaranden – behövs knappast
några lagstiftningsåtgärder. Av principen om den fria bevisprövningen
som gäller i Sverige följer att det inte finns något hinder mot att använda
vissa kunskapskällor eller medier som bevisning. Något hinder mot att
använda elektroniska signaturer som bevis finns således inte.
I artikel 5.2 ges regler för alla slags elektroniska signaturer, dvs. inte
enbart de som är kvalificerade. Där sägs att medlemsstaterna skall se till
att en elektronisk signatur inte förvägras rättslig verkan eller giltighet
som bevis vid rättsliga förfaranden enbart på den grunden att signaturen
– är i elektronisk form,
– inte är baserad på ett kvalificerat certifikat,
– inte är baserad på ett kvalificerat certifikat utfärdat av en
ackrediterad tillhandahållare av certifikattjänster, eller
– inte är skapad av en säker anordning för skapande av signaturer.
När det gäller kravet att elektroniska signaturer inte får förvägras
giltighet som bevis vid rättsliga förfaranden på grund av skäl som anges i
artikel 5.2 innebär det med hänvisning till principen om den fria bevis-
prövningen inga problem för svensk del. Några lagstiftningsåtgärder
krävs inte för att genomföra direktivet i denna del. Frågan är dock vad
artikeln kan innebära för svensk del när det gäller kravet att en elektro-
nisk signatur inte får förvägras rättslig verkan.
Lika lite som artikel 5.1 kan denna bestämmelse anses innebära att
medlemsstaterna måste se till att en elektronisk signatur över huvud taget
skall kunna användas för att uppfylla formkrav som finns i nationell lag-
stiftning. Det följer som tidigare nämnts redan av artikel 1.
Till skillnad från artikel 5.1 har inte artikel 5.2 någon hänvisning till
”handskrivna signaturer på papper”. Det sägs bara att elektroniska sig-
naturer inte får förvägras rättslig verkan på grund av omständigheter som
där anges. I svensk rätt finns inte några regler som kan sägas förvägra
elektroniska signaturer rättslig verkan över huvud taget. Visserligen kan
det finnas formkrav för rättshandlingar som utesluter användning av
elektroniska signaturer, men detta är tillåtet enligt artikel 1. Vidare är det
enbart kvalificerade elektroniska signaturer som måste anses uppfylla
kraven på en handskriven underskrift när man i nationell rätt gör en
sådan jämställelse. Artikel 5.2 torde därför inte kräva några lagstiftnings-
åtgärder i Sverige. Regeringens slutsats är alltså att det endast är artikel
5.1.a som kräver någon lagstiftningsåtgärd i svensk rätt.
Genomförandet av artikel 5.1.a i svensk rätt
Som framgått finns det ett antal formkravsregler i svensk rätt som
innebär krav på underskrift, egenhändig namnunderskrift eller liknande.
Dessa regler finns främst inom förvaltningsrätten, men det finns också ett
begränsat antal sådana regler inom förmögenhets- och familjerätten.
Reglerna kan i flera fall antas utesluta elektroniska rutiner eller i vart fall
föranleda tveksamhet om sådana rutiner är tillåtna. Angående innebörden
av krav på ”skriftlighet”, se prop. 1999/2000:89, s. 91, avsnitt 5.3 och 5.4
i SOU 1996:40 samt lagkommentaren till 11 §.
I denna situation bör utgångspunkten vara att det inte bör finnas otids-
enliga formkrav som på ett onödigt sätt hindrar elektronisk kommunika-
tion. I det förslag till direktiv om elektronisk handel som kommissionen
lagt fram, och som rådet den 28 februari 2000 antog en gemensam stånd-
punkt om, krävs att medlemsstaterna ser till att de rättsliga krav som är
tillämpliga på avtalsprocessen inte skapar hinder för att träffa avtal i
elektronisk form (artikel 9). Om direktivet antas i den delen kommer det
att innebära att de krav på underskrift o.d. som finns på civilrättens
område måste ses över och att en del av dessa krav kan behöva avskaffas.
Någon generell regel i svensk lagstiftning som likställer vissa typer av
elektroniska signaturer med egenhändiga namnunderskrifter torde dock
inte vara möjlig (se avsnitt 9 i promemorian).
När artikel 5 genomförs i svensk rätt bör man därför inte generellt jäm-
ställa vissa elektroniska signaturer med egenhändiga namnunderskrifter i
de författningar där det finns formkrav som kräver underskrifter. I stället
bör det införas en regel som anger de kvalificerade elektroniska signatu-
rernas särställning, i de fall det i lag eller andra författningar finns form-
krav som får uppfyllas med hjälp av elektroniska signaturer. Det innebär
alltså att det fortfarande är tillåtet att ha kvar formkrav som förhindrar
användningen av elektroniska signaturer. I vissa fall kan dock tänkas att
det, uttryckligen eller p.g.a. praxis, är eller kan bli tillåtet att uppfylla
t.ex. krav på egenhändig namnunderskrift genom elektroniska rutiner. I
sådana fall måste alltid en kvalificerad elektronisk signatur accepteras.
Det kan också i vissa bestämmelser uttryckligen ställas krav på att en
elektronisk signatur skall användas. Även i de fallen måste en kvalifice-
rad elektronisk signatur godtas.
Den föreslagna bestämmelsen innebär alltså att det inte får ställas
högre krav på en elektronisk signatur än vad som ställs på en kvalificerad
elektronisk signatur. Såsom flera remissinstanser påpekar är det dock i
många situationer fullt tillräckligt med en elektronisk signatur med en
lägre säkerhetsnivå. Bestämmelsen hindrar inte på något sätt att även
sådana elektroniska signaturer kan godtas. Det är tvärtom naturligt att
olika slags elektroniska signaturer med olika säkerhetsnivå utvecklas och
accepteras beroende på i vilket syfte de används.
Flertalet remissinstanser menar att den åsyftade innebörden av be-
stämmelsen inte framgår av promemorians förslag. Regeringen föreslår
därför att bestämmelsen omformuleras i förhållande till promemorians
förslag.
Bestämmelsen utgör självfallet inget hinder mot att ifrågasätta signatu-
rens härkomst, dvs. om det är rätt person som ligger bakom signaturen.
Liksom vid användning av traditionella egenhändiga namnunderskrifter
kan alltid härkomsten ifrågasättas om det finns anledning till det.
Lagrådet har föreslagit att bestämmelsens rubrik bör lyda
”Användningen av elektroniska signaturer i vissa fall”. Med hänsyn till
att bestämmelsen dels endast avser kvalificerade elektroniska signaturer
och inte elektroniska signaturer i allmänhet, dels inte rör användningen
endast i vissa fall menar regeringen dock att en sådan rubrik skulle
riskera att bli missvisande. Regeringen har därför inte följt Lagrådets
förslag i denna del.
Användning av elektroniska signaturer vid kommunikation med myndigheter
I direktivets artikel 3.7 anges att medlemsstaterna får förena använd-
ningen av elektroniska signaturer i den offentliga sektorn med eventuella
ytterligare krav. Sådana krav skall vara objektiva, tydliga, proportionella
och icke-diskriminerande.
Inom den offentliga sektorn är det tänkbart att problem kan uppstå bl.a.
om en myndighet inte har utrustning som kan tyda ett elektroniskt med-
delande, om avsändaren eller innehållet efter en viss tid inte längre kan
verifieras, om meddelandena inte är tidsstämplade eller om de inte kan
arkiveras på det sätt som önskas.
Vissa typer av uppgifter, såsom tull- och inkomstdeklarationer, får i
dag lämnas elektroniskt, men endast efter särskilt medgivande av
respektive myndighet. Medgivandena kan då förenas med villkor om
bl.a. det tekniska förfarandet för uppgiftslämnandet. Bland andra
Riksarkivet, Riksskatteverket och Patent- och registreringsverket
uttrycker viss oro för att den föreslagna 16 § skall hindra dem från att
uppställa sådana villkor. De krav som ställs kan avse t.ex. tekniska
beskrivningar över filinnehåll, format och adressering. Syftet med sådana
krav kan vara att deklarationsuppgifter skall inges på ett enhetligt och
kontrollerat sätt och att den elektroniska kommunikationen inte skall
försvåra långtidslagring. Lagerlöf & Leman menar att bestämmelsen i 16
§ torde få den effekten att hårt särreglerade myndigheter, som t.ex. tullen
och skatteförvaltningen, skulle bli skyldiga att godta vilka kvalificerade
signaturer som helst, även om myndigheten saknar utrustning för att
hantera och lagra dem och även om de inte är kompatibla med
myndighetens informationssystem. Lagerlöf & Leman menar vidare att
detta riskerar att leda till att myndigheter ifrågasätter ett införande av IT,
i stället för att stödja en utveckling mot elektroniska signaturer.
I den mån de krav som ställs inte utgör högre krav på den elektroniska
signaturen än vad som krävs för att en signatur skall anses vara kvalifice-
rad, så hindrar bestämmelsen inte att sådana krav ställs. Frågan om ett
visst krav utgör ett krav på själva signaturen eller ett krav på något annat
är dock inte helt lätt att besvara. Det torde finnas situationer där det är
svårt att skilja mellan krav på själva signaturen och krav på den handling
eller de data som signeras. Det är i detta sammanhang viktigt att beakta
betydelsen av de tekniska formaten på dokument som signeras.
Regeringen gav den 23 juni 1999 i uppdrag åt Statskontoret att utreda
behoven av åtgärder för att tillgodose kraven på säker elektronisk över-
föring av dokument och meddelanden till, från och inom statsförvalt-
ningen. En delrapport lämnades till regeringen den 2 februari 2000
(Statskontoret 2000:7). Statskontoret skall i det fortsatta arbetet närmare
utreda frågor som rör bevarande av signerad information. Statskontoret
skall därför – i samverkan med Riksskatteverket, Riksförsäkringsverket,
Patent- och registreringsverket och Riksarkivet – närmare utreda detal-
jerna i de krav som bör ställas på en elektronisk signatur som kan accep-
teras i offentlig sektor. Arbetet skall redovisas för regeringen senast den
20 december 2000.
Med hänsyn till de möjliga problem som remissinstanserna pekar på
och till att det fortfarande är oklart i vilken mån det kan finnas behov av
att ställa ytterligare krav på elektroniska signaturer inom och vid
kommunikation med myndigheter, föreslår regeringen att användningen
av elektroniska signaturer skall kunna vara förenad med ytterligare krav.
Vid avgörandet av om det på ett visst område eller i vissa sammanhang
är nödvändigt att ställa högre krav bör utgångspunkten vara att
kvalificerade elektroniska signaturer i normalfallet skall vara tillräckligt
säkra för att kunna godtas. Endast om det kan pekas på särskilda problem
eller behov bör bedömningen bli en annan. Genom den föreslagna
bestämmelsen uppställs alltså en standard som innebär att kvalificerade
elektroniska signaturer alltid måste godtas, så länge det inte på ett visst
område uttryckligen ställs ytterligare krav på signaturen.
Enligt artikel 11.1.a i direktivet skall alla ytterligare krav som ställs
anmälas till kommissionen och till de övriga medlemsstaterna.
En mer ingående diskussion om arkivfrågor återfinns i betänkandet
Elektronisk dokumenthantering (SOU 1996:40, avsnitt 6.4) och i pro-
memorian Digitala signaturer (Ds 1998:14, avsnitt 7.1.5.2).
6.12 Tillsyn
Regeringens förslag: En tillsynsmyndighet skall utöva tillsyn över
efterlevnaden av denna lag och föreskrifter som har meddelats med
stöd av lagen.
Promemorians förslag: Överensstämmer i huvudsak med regeringens
förslag.
Remissinstanserna: Remissinstanserna tillstyrker förslaget eller läm-
nar det utan erinran.
Skälen för regeringens förslag
Direktivets förbud mot förhandstillstånd
Utgångspunkten i direktivet är att det inte får införas några krav på för-
handstillstånd för att få verka som certifikatutfärdare. Frivilliga ackredi-
teringssystem får däremot förekomma. Samtidigt är medlemsstaterna
skyldiga att införa ett system för övervakning av certifikatutfärdare.
Kravet på övervakning begränsas till de certifikatutfärdare som utfärdar
kvalificerade certifikat till allmänheten. Direktivet ger dock ingen möj-
lighet att begränsa övervakningen endast till dem som är ackrediterade
eller certifierade. Det är således inte möjligt att tillfredsställa kravet på
övervakning genom att nöja sig med den övervakning som utförs av
ackrediterings- och certifieringsorgan. Däremot kommer naturligtvis till-
synsuppgifterna att i hög grad underlättas om ett system med frivillig
ackreditering av aktörerna på marknaden får genomslag.
I den svenska diskussionen har ibland möjligheten och behovet av en
s.k. toppnod förts fram. En sådan utgörs, förenklat beskrivet, av en (ev.
statlig) certifikatutfärdare som utfärdar certifikat för andra certifikat-
utfärdare och signerar deras öppna nycklar. I ett sådant system skulle
toppnoden på ett effektivt sätt kunna utöva tillsyn över anslutna certifi-
katutfärdare.
Direktivets regel om förbud mot förhandstillstånd innebär dock att man
inte kan kräva att alla certifikatutfärdare som utfärdar kvalificerade certi-
fikat skall ansluta sig till en toppnod och få sina öppna nycklar signerade
av denne. Detta krav innebär ju att en certifikatutfärdare inte kan verka
på marknaden utan att ansluta sig till toppnoden, vilket är att jämställa
med ett krav på förhandstillstånd. Ett sådant krav innebär vidare att certi-
fikatutfärdaren måste anpassa sina tekniska lösningar till toppnoden för
att kunna verka i dess underliggande struktur. Detta strider mot direkti-
vets strävan mot teknikneutralitet, vilket innebär att direktivets krav skall
kunna uppfyllas på flera olika sätt med hjälp av olika typer av teknik.
Omfattningen av tillsynen
Anledning saknas att gå längre än direktivet och låta en tillsyn omfatta
även de certifikatutfärdare som inte utfärdar certifikat till allmänheten.
Ingenting hindrar emellertid att man i den svenska lagstiftningen före-
skriver att övervakningen inte skall begränsas till att gälla dem som ut-
färdar kvalificerade certifikat, utan omfatta alla som utfärdar certifikat till
allmänheten. Detta skulle dock kunna leda till att marknaden påverkas
negativt. Det ekonomiska värdet av elektroniska signaturer ligger inte
främst i utfärdande av certifikat, utan i en ökad säkerhet för underteckna-
ren och mottagaren av det signerade meddelandet (parterna). Det är där-
för viktigt att det finns en hög grad av valfrihet på marknaden så att par-
terna kan välja den form av certifikat som passar för olika typer av trans-
aktioner. En transaktion som rör högre värden och där man önskar hög
säkerhet kan motivera användandet av ett kvalificerat certifikat (eller ett
certifikat med ännu högre säkerhet), även om detta leder till en viss kost-
nad för parterna. För många fall kan emellertid förutses att signaturer
används på en marknad för masstransaktioner med lågt värde. Obligato-
riska krav och en obligatorisk tillsyn av alla certifikatutfärdare skulle
kunna innebära en alltför hög kostnad för certifikaten. Detta skulle i sin
tur leda till att parterna väljer andra, mindre säkra lösningar, eller avstår
från elektronisk kommunikation. Det finns därför inte anledning att gå
längre vad gäller tillsyn än vad direktivet kräver.
I promemorian föreslogs att det skulle anges att tillsynsmyndigheten
skall ha tillsyn över vissa certifikatutfärdare och anordningar för
signaturframställning. På inrådan från Lagrådet föreslår regeringen dock
att det i stället, som brukligt, anges att tillsynsmyndigheten skall ha
tillsyn över efterlevnaden av denna lag och föreskrifter som har utfärdats
med stöd av lagen.
Formen för tillsynen
För den som vill uppträda som certifikatutfärdare är det helt avgörande
att han bygger upp en tillit till sina certifikat. Utan det förtroendet finns
inget användningsområde för de elektroniska signaturer som är baserade
på hans certifikat. Detta talar för att marknaden i hög grad kommer att
reglera sig själv. Samtidigt kan det för tilliten till systemet i sin helhet
vara värdefullt med en instans som kan ingripa mot missförhållanden.
För att denna tillsyn skall ha något reellt innehåll bör instansen ha
möjlighet till myndighetsutövning. Detta, i kombination med berättigade
krav på insyn, rättssäkerhet, möjlighet till överprövning etc. talar för att
övervakningen bör anförtros en statlig myndighet, även om direktivet ger
en möjlighet till att låta övervakningen skötas av en privat institution.
Frågan om vilken myndighet som skall utses diskuteras i avsnitt 7.
Den tillsyn som utövas bör vara så marknadsorienterad som möjligt.
Med hänsyn till att verksamheten för en certifikatutfärdare är beroende
av att det finns ett förtroende för certifikaten, kan tillsynssystemet
utformas så att det inte lägger några onödiga administrativa bördor på
certifikatutfärdaren, utan inriktas på att vid klagomål kontrollera en
utfärdare närmare.
Regeringen har övervägt en mer ambitiös övervakningsmodell, som
bl.a. skulle innefatta ett krav på certifikatutfärdaren att till tillsyns-
myndigheten ge in ett ”certifikatsprogram”. Där skulle certifikatutfärda-
ren utförligt redogöra för hur han uppfyller kraven i lagstift-
ningen/direktivet. Detta program skulle ges in i samband med att verk-
samheten startade och därefter en gång per år. Detta system skulle
möjligen, beroende på hur hårt tillsynsmyndigheten kan ingripa vid ett
uteblivet program, kunna förenas med förbudet mot förhandstillstånd.
Mer tveksamt är det dock med den tungrodda och kostsamma apparat
detta skulle innebära, i viss mån för myndigheten men framförallt för
certifikatutfärdaren. Det skulle stå i kontrast till de mer marknads-
orienterade system som övervägs i andra länder.
Det får anses vara önskvärt att marknaden i så stor omfattning som
möjligt begagnar sig av de kvalificerade certifikat som direktivet etable-
rar. Ett gemensamt europeiskt och i bästa fall globalt användande av
dessa certifikat skulle leda till en allmän acceptans och förtroende för de
signaturer som baseras på sådana certifikat, vilket skulle vara till fördel
för elektronisk handel och andra användningsområden. För den certi-
fikatutfärdare som önskar undgå den tillsyn som direktivet och lagen
stipulerar kan det emellertid vara frestande att inte kalla sina certifikat för
kvalificerade, trots att de uppfyller kraven i lagen. Om certifikatutfärda-
ren kan bygga upp ett förtroende för sina certifikat i alla fall, finns
kanske inget behov av att kalla certifikaten kvalificerade. Stora
administrativa krav på den som utfärdar kvalificerade certifikat till
allmänheten skulle förstärka en sådan utveckling. Det skulle också kunna
förhindra framväxandet av öppna system.
Slutsatsen av detta resonemang är att det bör införas ett tillsynssystem
i statlig regi, men där tillsynen är marknadsorienterad och inte innebär en
tung administration för dem som uppträder på marknaden.
Tillsynsmyndighetens befogenheter m.m.
En grundläggande förutsättning för att kunna utöva tillsyn är att veta vem
som skall kontrolleras. Certifikatutfärdare som avser att utfärda kvalifice-
rade certifikat till allmänheten bör därför i samband med att de startar
verksamheten vara skyldiga att anmäla till tillsynsmyndigheten att så
sker. Detta står inte i strid med förbudet mot förhandstillstånd.
Med utgångspunkt från den kravkatalog som ställs upp i lagen för
certifikatutfärdare som utfärdar kvalificerade certifikat till allmänheten
blir myndighetens uppgift att ingripa mot dem som inte uppfyller kraven.
Myndigheten bör därvid ha befogenhet att kräva in de handlingar och
upplysningar som behövs för tillsynen. Om anmälningspliktig verksam-
het bedrivs utan att anmälan skett eller brister i verksamheten upptäcks
bör myndigheten kunna utfärda förelägganden om rättelser. Dessa före-
lägganden bör också kunna förenas med vite. Till slut bör tillsyns-
myndigheten, om inte föreläggande räcker, kunna förbjuda den som
begår upprepade eller allvarligare överträdelser att utfärda certifikat till
allmänheten som anges vara kvalificerade.
Myndighetens befogenheter får dock inte utövas på ett sådant sätt att
de i praktiken utgör ett hinder för att ta sig in på marknaden och därmed
liknar ett krav på förhandstillstånd. Ett gradvis upptrappat användande av
förelägganden, så småningom förenade med vite torde dock inte anses
utgöra sådana hinder. Vid någon tidpunkt måste det också anses rimligt
att tvinga en certifikatutfärdare att upphöra med sin verksamhet, om
denne t.ex. på ett flagrant sätt nonchalerar lagens krav eller efter upp-
repade förelägganden underlåter att följa dessa. Avgörande för om
åtgärderna kan anses vara förenliga med direktivets förbud mot hinder
som liknar krav på förhandstillstånd torde vara att det föreligger
proportionalitet mellan överträdelserna och åtgärderna.
Tillsyn – certifiering
Tillsynen kan i praktiken utformas som stickprovskontroller och under-
sökningar sedan någon anmält misstänkta felaktigheter hos en certifikat-
utfärdare. I den mån en certifikatutfärdare valt att certifiera sin organisa-
tion eller sina produkter mot en vedertagen standard kan myndigheten i
stor utsträckning nöja sig med den kontroll som certifieringen innebär. I
det praktiska tillsynsarbetet kan myndigheten också använda sig av
accepterade standarder för att jämföra om de tekniska lösningarna eller
organisationen uppfyller föreskrivna krav. Det är dock väsentligt att
myndigheten inte binder sig vid någon särskild teknik. Även system som
inte ansluter sig till någon standard kan mycket väl uppfylla de krav på
säkerhet m.m. som uppställs i lagstiftningen.
Marknadskontroll
Reglerna i lagen om att anordningar som anges vara säkra anordningar
för signaturframställning får släppas ut på marknaden eller användas
endast om vissa organ bedömt att de överensstämmer med lagens krav
(se avsnitt 6.8) innebär att tillsynsmyndigheten också har att utöva viss
marknadskontroll.
7 Val av tillsynsmyndighet
Regeringens bedömning: Post- och telestyrelsen bör utses till till-
synsmyndighet.
Promemorians bedömning: Överensstämmer med regeringens be-
dömning.
Remissinstanserna: Flertalet remissinstanser delar bedömningen att
Post- och telestyrelsen bör utses till tillsynsmyndighet. Industriförbundet,
Svensk Handel, Göteborgs universitet, Lagerlöf & Leman och IT-
företagen anser dock att Styrelsen för ackreditering och teknisk kontroll
(SWEDAC) eller Finansinspektionen vore lämpligare. IT-kommissionen
menar att Patent- och registreringsverket är mest lämpligt. Ingen
remissinstans har förordat att en ny myndighet skall inrättas. Post- och
telestyrelsen har ställt sig positiv till att utses till tillsynsmyndighet.
Varken SWEDAC, Finansinspektionen eller Patent- och registrerings-
verket har haft någon erinran mot detta.
Skälen för regeringens bedömning
Som framgår av avsnitt 6.12 föreslår regeringen att direktivets krav på ett
lämpligt system för övervakning av certifikatutfärdare skall genomföras
genom att en statlig myndighet ges i uppdrag att utöva tillsyn. Vilken
myndighet som skall utses till tillsynsmyndighet ankommer på
regeringen att bedöma. Regeringen finner det dock lämpligt att för
riksdagens information här avge sin syn på detta.
En möjlighet vore att inrätta en ny myndighet för den aktuella tillsyns-
uppgiften. Certifikatutfärdande för elektroniska signaturer är en ny verk-
samhet som för närvarande inte omfattas av den tillsyn som finns inom
förvaltningen. En sådan myndighet skulle även kunna ta hand om andra
uppgifter inom området för informationssäkerhet, som nu är spridda på
flera myndigheter. Mot detta talar att kompetens på området redan har
byggts upp inom dessa myndigheter. Det går vidare i dag inte att över-
blicka vilken omfattning tillsynsarbetet kommer att få. Det troliga är
dock att det kommer att innebära en tämligen begränsad uppgift, som inte
motiverar inrättandet av en ny myndighet. Ingen remissinstans har heller
förordat en sådan lösning. Det lämpliga är därför att lägga uppgiften på
en befintlig myndighet.
I promemorian föreslogs att Post- och telestyrelsen skulle utses till
tillsynsmyndighet. Flertalet remissinstanser delar den bedömningen.
Några förordar dock i stället att SWEDAC, Finansinspektionen eller
Patent- och registeringsverket utses.
Vid valet av myndighet bör bl.a. myndighetens vana vid hantering av
tillsynsärenden och dess IT-kompetens beaktas. Vidare krävs en analys
av myndighetens instruktion och karaktär. Se avsnitt 7 i promemorian där
olika myndigheters uppgifter och verksamhet beskrivs.
Val av myndighet
Tillsynsmyndigheten skall kontrollera att de certifikatutfärdare som ut-
färdar kvalificerade certifikat till allmänheten uppfyller lagens krav,
innebärande bl.a. att de bedriver verksamheten med den pålitlighet som
krävs och att de kvalificerade certifikaten innehåller de uppgifter som
stadgas i lagen. Myndigheten skall också ingripa mot den som betecknar
ett certifikat som utfärdas till allmänheten som kvalificerat, utan att de
förutsättningar som ges i lagen är uppfyllda samt utöva marknadskontroll
beträffande säkra anordningar för signaturframställning.
Ingen av de ovan nämnda myndigheterna besitter idag helt den kom-
petens som krävs för att utföra de aktuella tillsynsuppgifterna. En förut-
sättning är att kompetens tillförs verksamheten och att kunskap byggs
upp inom den myndighet som utses för ändamålet.
Patent- och registreringsverket är främst en registreringsmyndighet och
har idag inga sedvanliga tillsynsuppgifter. Att utöva tillsyn över certi-
fikatutfärdare ligger långt ifrån verkets nuvarande myndighetsuppgifter.
Finansinspektionen är en utpräglad tillstånds- och tillsynsmyndighet
som verkar på ett område som kännetecknas av en mycket hög IT-
användning. Tillsynen i fråga gäller dock verksamhet på ett vidare
område än enbart den finansiella sektorn.
SWEDAC:s huvuduppgift att ackreditera bl.a. certifieringsorgan inne-
bär kontroll och tillsyn av de ackrediterade organen. Såsom några remiss-
instanser anför kan praktiska skäl tala för att samma myndighet bör
ansvara för tillsyn både över certifieringsorganen och över certifikat-
utfärdarna, såväl certifierade som icke certifierade. Kontrollen kan i
praktiken komma att vila på internationella standarder som SWEDAC
kan vara väl förtrogen med. Såsom flera andra remissinstanser påpekar
skulle detta dock innebära en dubbelroll för SWEDAC, som enligt rege-
ringens mening vore olämplig. SWEDAC skulle utöva tillsyn över certi-
fikatutfärdare som är bedömda av organ som SWEDAC ackrediterat,
dvs. bedömt som kompetenta. En liknande dubbelroll skulle gälla
beträffande marknadskontrollen. Vidare skulle tillsynen inte bara avse de
som certifierats eller ackrediterats utan alla som utfärdar kvalificerade
certifikat till allmänheten. Det skulle därför framstå som onaturligt att
tilldela SWEDAC uppgiften att utöva tillsyn av systemet i sin helhet.
Post- och telestyrelsen har erfarenhet av tillsynsuppgifter och över-
vakar redan idag den tekniska infrastrukturen som bärare av tele- och
datakommunikation. Myndigheten har sedan en tid tillbaka byggt upp
såväl juridisk som teknisk kompetens på området för elektroniska signa-
turer. Vidare har Post- och telestyrelsen stor erfarenhet av standardi-
seringsarbete inom telesektorn och en god insyn i standardiseringsarbetet
för elektroniska signaturer. Tillsyn över certifikatutfärdare skulle bredda
Post- och telestyrelsens tillsynsuppgifter från att vara teknikinriktade till
att också täcka en funktion där det förmedlade innehållet står i fokus.
Industriförbundet har uttryckt oro för att certifikatutfärdare som utövar
tillsynspliktig verksamhet och som vill bli certifierad riskerar att få
genomgå dubbla kontroller under två parallella kontrollsystem. Till-
synsmyndighetens verksamhet torde dock i allt väsentligt kunna koncent-
reras på de icke certifierade certifikatutfärdarna. Ytterligare en omstän-
dighet som talar för att välja Post- och telestyrelsen som tillsynsmyndig-
het är att övriga nordiska länder har bestämt eller lutar åt att utse sina
motsvarigheter till tillsynsmyndigheter. Det skulle därför underlätta det
nordiska samarbetet på området att utse Post- och telestyrelsen.
En samlad bedömning leder enligt regeringens uppfattning till att Post-
och telestyrelsen är mest lämpad för uppgiften att bedriva tillsyn över
certifikatutfärdare som utfärdar kvalificerade certifikat till allmänheten.
Såsom ett flertal remissinstanser påpekar är det dock viktigt att Post- och
telestyrelsen samråder och samarbetar med SWEDAC, Finansinspektio-
nen och andra berörda myndigheter.
8 Finansieringen av tillsynsmyndighetens
verksamhet
Regeringens förslag: I lagen skall det införas en bestämmelse som
ger regeringen rätt att föreskriva om skyldighet för certifikatutfärdare
som utfärdar kvalificerade certifikat till allmänheten att betala en
avgift för tillsynsmyndighetens verksamhet enligt lagen.
Befogenheten skall kunna delegeras till myndigheten.
Promemorians förslag: Överensstämmer med regeringens förslag.
Remissinstanserna: Kommunförbundet anför att utvecklingen mot en
bred användning av kvalificerade certifikat riskerar att hämmas om kost-
naderna blir för höga. Post- och telestyrelsen menar att det möjligen är
bäst att inledningsvis avvakta med att införa avgifter till dess
verksamheten har nått en sådan omfattning att den själv kan bära
kostnaderna för detta.
Skälen för regeringens förslag: Det framstår som mest naturligt att
låta tillsynsverksamheten finansieras genom avgiftsuttag från dem som
berörs av verksamheten och för vilka den i vissa avseenden får anses vara
till nytta. Det bör därför i lagen öppnas en möjlighet för regeringen eller
efter regeringens bemyndigande tillsynsmyndigheten, att införa ett
avgiftssystem. Frågan om och i vilken omfattning det är lämpligt att ta ut
avgifter får sedan avgöras av regeringen.
9 Sekretessfrågor
Regeringens förslag: Ett tillägg skall göras till 5 kap. 3 § sekretess-
lagen för att tillgodose behovet av sekretesskydd för sådana koder o.d.
som möjliggör kontroll av om data i elektronisk form har förvanskats.
Promemorian: Frågan behandlades inte i promemorian. Regeringens
förslag grundar sig i stället på betänkandet Elektronisk dokument-
hantering SOU 1996:40 (se avsnitt 3).
Utredningens förslag: Överensstämmer i huvudsak med regeringens
förslag.
Remissinstanserna: Flertalet av de remissinstanser som yttrat sig över
promemorian lämnar frågan om behovet av sekretess utan kommentar.
Riksdagens ombudsmän (JO) kritiserar dock att promemorian saknar en
diskussion om behovet av sekretessbestämmelser hos tillsynsmyndig-
heten och menar att situationer skulle kunna uppkomma där sekretess-
bestämmelser behövs. Flertalet av de remissinstanser som yttrat sig över
betänkandet tillstyrker förslaget eller lämnar det utan erinran. Riksarkivet
menar dock att sekretessen borde vara tidsbegränsad.
Skälen för regeringens förslag: Användningen av elektroniska sig-
naturer på myndighetsområdet förutsätter att hemliga nycklar och
anknytande uppgifter för bl.a. elektronisk signering och autenticering kan
skyddas mot insyn. Behovet av sekretess kan finnas såväl hos till-
synsmyndigheten som hos en statlig certifikatutfärdare eller något annat
offentligt organ.
Enligt 5 kap. 2 § sekretesslagen gäller sekretess för uppgift om säker-
hetsåtgärd med avseende på bl.a. telekommunikation (punkt 3) och behö-
righet att få tillgång till upptagning för ADB eller annan handling
(punkt 4), om det kan antas att syftet med åtgärden motverkas om upp-
giften röjs. Enligt 3 § samma kapitel gäller sekretess också för uppgift
som lämnar eller kan bidra till upplysning om chiffer, kod eller liknande
metod som har till syfte att underlätta befordran eller användning i
allmän verksamhet av uppgifter utan att föreskriven sekretess åsidosätts,
om det kan antas att syftet med metoden motverkas om uppgiften röjs.
I den mån s.k. smarta kort eller liknande används så att signering och
liknande sker i kortet utan att nyckeln exponeras, torde nyckeln inte
anses vara förvarad hos myndigheten, eftersom den inte är tillgänglig för
myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar
för överföring i sådan form att den kan läsas, avslyssnas eller annars upp-
fattas (2 kap. 3 § TF).
När nyckeln är tillgänglig för överföring i uppfattbar form är den
visserligen en allmän handling, men den är sekretessbelagd om den
används på sätt som sägs i 5 kap. 3 § sekretesslagen. Används den för
informationssäkerhet vid telekommunikation i t.ex. ett allmänt datanät
eller i s.k. behörighetskontrollsystem kan i stället 5 kap. 2 § sekretess-
lagen tillämpas.
Beträffande säkerhetsåtgärder som är inriktade endast på att verifiera
om en handling härrör från angiven utställare – utan att samtidigt bereda
sekretesskydd, skydd för telekommunikation eller skydd för åtkomst till
ADB-upptagningar – torde det emellertid inte finnas någon tillämplig
bestämmelse om sekretess. Detsamma gäller om hemliga koder m.m.,
utan att en viss utställare pekas ut, används för att skydda vissa data-
mängder mot manipulation. Det är väsentligt för tilltron till elektroniska
signaturer att sådana uppgifter kan hållas hemliga. Regeringen menar
därför att det för sådana koder o.d. behövs ett skydd och föreslår ett
tillägg till 5 kap. 3 § sekretesslagen om sekretess för koder m.m. som har
till syfte att göra det möjligt att kontrollera om data i elektronisk form har
förvanskats. I betänkandet föreslogs att ordet ”uppgifter” skulle
användas. På inrådan från Lagrådet föreslår regeringen dock att det mer
adekvata begreppet ”data i elektronisk form” används. Det begreppet
används också i definitionen av elektronisk signatur (se avsnitt 6.3) Det
saknas skäl att tidsbegränsa sekretessen.
Av 16 kap. 1 § sekretesslagen framgår att den grundlagsskyddade
rätten att fritt meddela uppgifter och underrättelser för publicering
(meddelarfriheten) är begränsad när tystnadsplikten följer av bl.a. 5 kap.
3 § samma lag. Regeringen menar att meddelarfriheten bör begränsas
även för de uppgifter som nu är aktuella.
10 Ikraftträdande
Regeringens förslag: Lagen om kvalificerade elektroniska signaturer
skall träda i kraft den 1 januari 2001. Certifikatutfärdare som redan
före ikraftträdandet utfärdar sådana certifikat som medför
anmälningsplikt enligt 8 § skall dock inte behöva göra anmälan före
den 1 februari 2001. Vidare skall 15 § inte tillämpas i fråga om avtal
som träffats före ikraftträdandet.
Promemorians förslag: Överensstämmer i huvudsak med regeringens
förslag.
Remissinstanserna: iD2 Technologies anför att kvalificerade certifikat
inte kan finnas förrän lagen trätt i kraft och att punkt 2 i den föreslagna
övergångsbestämmelsen därför inte fyller någon funktion.
Skälen för regeringens förslag: Enligt artikel 13 i direktivet skall
medlemsstaterna sätta i kraft de bestämmelser i lagar och andra för-
fattningar som är nödvändiga för att följa direktivet senast ett och ett
halvt år efter det att direktivet har trätt i kraft. Enligt artikel 14 träder
direktivet i kraft samma dag som det offentliggörs i Europeiska gemen-
skapernas officiella tidning, vilket skedde den 19 januari 2000. Det skall
således vara genomfört i medlemsstaterna senast den 19 juli 2001. Den
svenska lagen bör emellertid kunna träda i kraft redan den 1 januari
2001.
I promemorian angavs att certifikatutfärdare som redan före ikraft-
trädandet utfärdar kvalificerade certifikat till allmänheten bör få rådrum
att uppfylla kravet att anmäla verksamheten till tillsynsmyndigheten och
att det därför borde anges att skyldigheten inträder först en månad efter
det att lagen trätt i kraft. Såsom iD2 Technologies anger i sitt remiss-
yttrande kan det dock inte utfärdas några kvalificerade certifikat innan
lagen trätt i kraft. Däremot kan det naturligtvis utfärdas certifikat som
uppfyller alla krav och som så fort lagen träder i kraft skulle få kallas för
kvalificerade. Sådana certifikat skulle utan en övergångsbestämmelse
behöva anmälas redan på nyårsdagen 2001. Regeringen föreslår därför att
för sådana certifikat som medför anmälningsskyldighet enligt lagen skall
anmälningsskyldigheten gälla först den 1 februari 2001.
Förslaget att 15 § – som innebär att skadeståndsbestämmelsen är
tvingande till förmån för den som förlitar sig på ett certifikat – inte skall
tillämpas på eventuella avtal som träffats före ikraftträdandet har
tillkommit på inrådan från Lagrådet. Med hänsyn till att det endast i
undantagsfall torde finnas ett sådant avtal i de öppna system som lagen
avser (se avsnitt 6.2 och 6.9.2), torde bestämmelsen dock inte få någon
större praktiskt betydelse.
11 Kostnader
Regeringens bedömning: De föreslagna ändringarna torde inte leda
till några ökade kostnader för det allmänna.
Promemorian: Frågan behandlades inte i promemorian.
Remissinstanserna: Domstolsverket efterlyser en analys av förslagets
betydelse för måltillströmningen i de allmänna förvaltningsdomstolarna.
Kammarrätten i Stockholm menar att en prövning av mål enligt lagen kan
komma att ta i anspråk ”icke helt obetydliga resurser” hos domstolen.
Skälen för regeringens bedömning: Domstolsprövning med
anledning av lagen förväntas bli ytterst begränsad och bedöms därför inte
påverka förvaltningsdomstolarnas resursbehov. Den verksamhet som
tillsynsmyndigheten skall bedriva enligt lagen kommer att finansieras
genom avgifter. Regeringen bedömer att förslaget inte heller på något
annat sätt kommer att leda till ökade kostnader för det allmänna.
12 Författningskommentar
12.1 Förslaget till lag om kvalificerade elektroniska
signaturer
Allmän bestämmelse
1 §
I paragrafen lämnas upplysning om lagens syfte, huvudsakliga innehåll
och tillämpningsområde. Angivandet av lagens syfte har tillkommit på
förslag från Lagrådet och bidrar till att förklara valet av lagens namn.
Lagen gäller sådana certifikatutfärdare som är etablerade i Sverige och
som utfärdar kvalificerade certifikat till allmänheten (se avsnitt 6.2). Inga
krav ställs alltså på certifikattjänster med ursprung i andra länder.
Därigenom genomförs delvis artikel 4 i direktivet, som bl.a. stadgar att
varje medlemsstat skall tillämpa de nationella bestämmelserna på
tillhandahållare av certifikattjänster som är etablerade på dess
territorium. Se även kommentaren till 7 §.
Definitioner
2 §
Paragrafen, som motsvaras av artikel 2 i direktivet, upptar definitioner av
vissa begrepp som återkommer i lagen och har kommenterats utförligt i
avsnitt 6.3.
Beträffande elektronisk signatur kan anmärkas att lagtexten, liksom
direktivet, inte begränsar sig till digitala data, vilket var fallet i kommis-
sionens ursprungliga förslag till direktiv. Den helt övervägande delen av
den praktiska tillämpningen av elektroniska signaturer kommer emeller-
tid under överskådlig tid att avse digitala data. Definitionen torde inne-
bära att alla elektroniska ”identifieringar” som är logiskt knutna till ett
elektroniskt meddelande omfattas, från biometriska identifieringsmetoder
till enkla engångskoder. Även elektronisk post omfattas av begreppet.
Med definitionen av undertecknare avses inte den som orättmätigt
kommit över en anordning för signaturframställning, utan den som
utpekas i certifikatet och som därmed rätteligen innehar anordningen.
Signaturframställningsdata är vad som i det öppna nyckelsystemet
benämns den hemliga nyckeln.
En anordning för signaturframställning är den utrustning som används
för att frambringa en elektronisk signatur. Anordningen använder signa-
turframställningsdata och kan i praktiken utgöras av t.ex. ett s.k. smart
kort där signaturframställningsdata finns lagrade. När en elektronisk sig-
natur skall framställas förs kortet in i en kortläsare som är kopplad till en
datamaskin och en särskild kod anges. På det sättet skapas viss garanti
för att den elektroniska signaturen inte kan användas utan att innehavaren
av kortet är närvarande.
Signaturverifieringsdata motsvaras i det öppna nyckelsystemet av den
öppna nyckeln.
För att kunna använda en elektronisk signatur i ett öppet system, såsom
Internet, där parterna inte känner varandra i förväg, finns det ett behov
för parterna att kunna inhämta information om varandras signaturverifie-
ringsdata (öppna nyckel). Ett certifikat innehåller uppgifter om vem som
är innehavare av en elektronisk signatur. Certifikatet är ett elektroniskt
intyg som anger sambandet mellan en undertecknares (nyckel-
innehavares) identitet och dennes signaturverifieringsdata (öppna
nyckel).
Säkra anordningar för signaturframställning
3–5 §§
3 § motsvarar artikel 2.6 samt bilaga III till direktivet. 4 § motsvarar
artikel 3.5 och 5 § motsvarar artikel 3.4 och delvis artikel 4.2. Genom
hänvisningen till bestämmelserna i lagen (1992:1119) om teknisk kon-
troll genomförs också artikel 11.1.b delvis. Med uttrycket ”i praktiken”
menas att risken för att de signaturframställningsdata som avses skulle
förekomma mer än en gång skall vara försvinnande liten.
Bestämmelserna har behandlats i avsnitt 6.8.
Kvalificerade certifikat
6 §
Genom första stycket genomförs artikel 2.10 samt bilaga I till direktivet.
Bestämmelsen behandlas i avsnitt 6.4.
Av första punkten följer att det måste framgå av själva certifikatet att
det är ett kvalificerat sådant. Det räcker alltså inte med att certifikat-
utfärdaren bara anger detta i sin marknadsföring eller på annat sätt.
I andra punkten i första stycket krävs det bl.a. att certifikatutfärdaren
anger i vilket land utfärdaren är etablerad. Etableringslandet har bety-
delse bl.a. för om certifikatutfärdaren omfattas av lagen. Dennes egna
angivande av etableringsland är ett led i bedömningen av vilka nationella
bestämmelser som är tillämpliga (jfr kommentaren till 1 §), vilket kan
vara en viktig upplysning för den som skall förlita sig på certifikatet.
I tredje punkten ges möjligheten att ange undertecknaren med en
pseudonym, om det framgår att det är fråga om en pseudonym. Värdet av
en sådan signatur kan emellertid antas vara begränsat. Det avgörande för
om en mottagare skall förlita sig på en signatur torde vara att det omedel-
bart framgår vem som innehar signaturen (jfr kommentaren till 17 §).
Enligt fjärde punkten krävs att om det finns särskilda uppgifter om
undertecknaren som är relevanta för ändamålet med certifikatet, så skall
dessa anges. Det kan t.ex. vara fråga om certifikat som skall användas för
kommunikation med vissa organisationer och det är väsentligt att ange
kundnummer, försäkringsnummer eller dylikt.
Kravet i femte punkten innebär att signaturverifieringsdata (den öppna
nyckeln i PKI-lösningar) måste finnas i certifikatet. Det är alltså inte
acceptabelt att den mottagare som skall förlita sig på certifikatet utöver
den information han eller hon kan hämta i detta måste vända sig särskilt
till certifikatutfärdaren eller någon annan för att få tillgång till signatur-
verifieringsdata.
I sjätte punkten stadgas att certifikatets giltighetstid måste anges. Av
paragrafens inledning framgår också att certifikaten alltid skall vara
utfärdade för en bestämd tid. Teknikutvecklingen på området kan för-
väntas vara fortsatt snabb och en elektronisk signatur som är säker i dag
kan mycket väl sakna samma skydd mot förfalskningar inom några år.
Det finns anledning att överväga om handlingar, där det finns behov av
att säkert identifiera undertecknaren även efter det att certifikatets giltig-
hetstid löpt ut, lämpar sig för att kommuniceras elektroniskt. Under alla
förhållanden bör man i sådana fall på annat sätt dokumentera att
identifiering skett (jfr avsnitt 6.11).
Kravet i åttonde punkten innebär att certifikatutfärdaren skall signera
certifikatet med sin avancerade elektroniska signatur eller motsvarande.
Därigenom kan den som förlitar sig på certifikatet identifiera certifikat-
utfärdaren och avslöja om det skett några förändringar i certifikatet sedan
certifikatutfärdaren signerat det.
Enligt andra stycket kan regeringen eller, efter regeringens
bemyndigande, tillsynsmyndigheten precisera kraven och ange hur de
skall uppfyllas.
Kraven i 6 § har nära samband med skadeståndsbestämmelserna, se
kommentaren till 14 §.
7 §
Genom bestämmelsen genomförs andra meningen i artikel 4.1 och artikel
7.1 i direktivet. Bestämmelsen innebär att även certifikat utfärdade av
någon etablerad i något annat EES-land (punkt 1) och – under vissa
förutsättningar – även i tredje land (punkterna 2 och 3), skall anses vara
kvalificerade om de uppfyller kraven i 6 § första stycket 1–9.
Utfärdande av kvalificerade certifikat
8 §
I paragrafen föreskrivs en skyldighet för den som vill utfärda kvalifice-
rade certifikat till allmänheten att anmäla detta hos den myndighet rege-
ringen bestämmer (tillsynsmyndigheten). Detta står inte i strid med
direktivets förbud mot förhandstillstånd för certifikatutfärdare. Det är
inte fråga om att certifikatutfärdaren skall godkännas eller ges något
tillstånd av tillsynsmyndigheten. Syftet är endast att tillsynsmyndigheten
skall kunna veta vilka certifikatutfärdare myndigheten skall ha tillsyn
över. Tillsynsmyndigheten ges endast förutsättningar att kontrollera
efterlevnaden av lagen. Om en certifikatutfärdare underlåter att anmäla
sin verksamhet och detta kommer till tillsynsmyndighetens kännedom
torde det sällan finnas anledning att i det läget förelägga utfärdaren att
anmäla verksamheten.
Frågan om vilka certifikatutfärdare som omfattas av anmälnings-
skyldigheten behandlas i avsnitt 6.5 och 6.12.
9 §
Genom paragrafen genomförs delvis artiklarna 2.10 och 3.5 samt punkt-
erna a, b, d, e, f, g, h och j i bilaga II till direktivet. Bestämmelsen, som
innehåller krav på en sådan certifikatutfärdare som utfärdar kvalificerade
certifikat, behandlas i avsnitt 6.5–6.7.
Första stycket innehåller en allmän regel om att certifikatutfärdarens
verksamhet måste bedrivas tillförlitligt. På förslag från Lagrådet används
begreppet ”tillförlitligt” i stället för ”med den pålitlighet som krävs” som
anges i punkt a i bilaga II till direktivet. Någon saklig skillnad avses dock
inte.
Kraven i första och andra punkterna första stycket motsvarar till-
sammans med det inledande allmänna kravet i paragrafen i praktiken de
krav som återfinns i befintliga standarder vad gäller ledning för informa-
tionssäkerhet (se avsnitt 6.7). På förslag från Lagrådet anges att
personalen inte bara skall ha tillräcklig kompetens utan även tillräcklig
erfarenhet. Därigenom följs direktivtexten i bilaga II punkt e på ett bättre
sätt.
Tredje punkten korresponderar med tredje stycket där det stadgas att
sådana produkter som uppfyller vissa standarder som Europeiska kom-
missionen senare skall referera till skall presumeras uppfylla kraven i
tredje punkten (jfr avsnitt 6.5) För att närmare följa direktivtexten i
bilaga II punkt f klargörs, på Lagrådets inrådan, att det är
certifikatutfärdaren som har ansvar för att teknisk och kryptografisk
säkerhet upprättshålls.
På vilket sätt certifikatutfärdaren skall uppfylla kravet i fjärde punkten
varierar givetvis med vilken typ av certifikat utfärdaren tillhandahåller.
Är det fråga om certifikat som kan komma att användas för transaktioner
som kan innebära stora ekonomiska konsekvenser för parterna måste den
ekonomiska beredskapen vara högre än om certifikaten endast kan
användas för smärre transaktioner. Kravet kan exempelvis, som också
anges i direktivet, uppfyllas genom att certifikatutfärdaren tecknar en
lämplig försäkring.
I femte punkten föreskrivs en skyldighet för certifikatutfärdaren att
säkert kontrollera identiteten hos den undertecknare till vilken ett kvalifi-
cerat certifikat utfärdas.
I sjätte punkten åläggs certifikatutfärdaren att ha ett snabbt och säkert
system för registrering och återkallelse av certifikat, jfr 10 §.
Kraven i sjunde punkten kan delvis uppfyllas genom att certifikat-
utfärdaren påför certifikatet sin egen avancerade elektroniska signatur
eller motsvarande (jfr 6 § 8). Andra ledet i punkten tar sikte på det fallet
att certifikatutfärdaren också framställer signaturframställningsdata (den
hemliga nyckeln). Genereringen av dessa data måste då ske på ett sådant
sätt att de inte röjs för obehöriga. På förslag från Lagrådet används ordet
framställandet i stället för tillhandahållandet som regeringen först
föreslog. Ordet framställandet torde stämma bättre överens med ordet
”genereringen” som används i direktivtexten.
Regeringen eller tillsynsmyndigheten kan enligt 13 § utfärda närmare
bestämmelser om kraven i paragrafen.
10 §
Genom paragrafen genomförs punkten c i bilaga II och delvis artikel
6.1 c och 6.2 i direktivet.
Av första punkten framgår att certifikatutfärdaren är skyldig att
omedelbart återkalla ett certifikat när undertecknaren begär det eller när
det annars finns anledning till det. En sådan anledning kan vara att det
står klart för certifikatutfärdaren att den hemliga nyckeln används av
någon annan än den rättmätige innehavaren. På Lagrådets inrådan
används ordet återkalla i stället för spärra som regeringen först föreslog.
Med ordbytet avses dock ingen saklig förändring. Återkallelsen kan vara
antingen temporär eller permanent.
Andra punkten innebär att det skall vara möjligt att slå fast när ett
certifikat är utfärdat eller återkallat. Detta kan vara av betydelse vid
eventuella tvister mellan undertecknaren och mottagaren.
Det typiska fall som kraven i tredje punkten tar sikte på är att certifi-
katutfärdaren framställer både signaturframställningsdata och signatur-
verifieringsdata, exempelvis genom att utställa ett s.k. smart kort där den
elektroniska signaturen finns. Det är då certifikatutfärdarens skyldighet
att försäkra sig om att endast sådana signaturframställningsdata och
signaturverifieringsdata framställs som kan användas som komplement
till varandra.
Kraven i 10 § har nära samband med skadeståndsbestämmelserna, se
kommentaren till 14 §.
Regeringen eller tillsynsmyndigheten kan enligt 13 § utfärda närmare
bestämmelser om kraven i paragrafen.
11 §
Genom paragrafen, som behandlar certifikatutfärdarens skyldighet att
registrera relevant information om ett kvalificerat certifikat samt använda
tillförlitliga system för lagring av certifikat, genomförs punkterna i, j och
l i bilaga II till direktivet.
Det inledande kravet på registrering av information syftar bl.a. till att
vid rättsliga förfaranden kunna lägga fram bevis om utfärdande av certi-
fikat. Registreringen får ske elektroniskt.
Det är önskvärt att parter som inte har något tidigare avtal om hur man
skall kommunicera kan kommunicera elektroniskt på ett säkert sätt. En
metod för att möjliggöra detta är att man kan hämta t.ex. en framtida
avtalspartners certifikat i en öppen databas. Direktivet föreskriver
emellertid att certifikatutfärdaren får göra certifikaten offentligt tillgäng-
liga för hämtning av uppgifter endast i de fall för vilka certifikatinneha-
varens uttryckliga samtycke har inhämtats (jfr 16 §).
Andra stycket tar sikte på det fallet att certifikatutfärdaren tillhanda-
håller signaturframställningsdata. Det är väsentligt för tilltron till elektro-
niska signaturer att det verkligen bara är undertecknaren som har tillgång
till signaturframställningsdata. Certifikatutfärdaren förbjuds därför att
bevara eller kopiera sådana data.
Regeringen eller tillsynsmyndigheten kan enligt 13 § utfärda närmare
bestämmelser om kraven i paragrafen.
12 §
Genom paragrafen genomförs punkten k) i bilaga II till direktivet.
Paragrafen ålägger certifikatutfärdare som utfärdar kvalificerade
certifikat att till den som certifikatet utfärdas till ge de upplysningar som
gör det möjligt för denne att värdera tjänsten. Upplysningarna skall
lämnas ”skriftligt”, dvs. i betydelsen ”inte muntligt” och med ett
språkbruk som är lättbegripligt. Inget hindrar att de lämnas elektroniskt.
Att hänvisa till en webbplats på Internet under certifikatutfärdarens
kontroll, där denne från tid till annan kan ändra i villkoren, är givetvis
inte tillräckligt.
Informationen skall också tillhandahållas andra som begär att få den,
t.ex. mottagaren av en signatur baserad på certifikatet.
På Lagrådets inrådan utformas bestämmelsen i närmare överens-
stämmelse med direktivtexten, jämfört med den utformning som
föreslogs i lagrådsremissen.
Regeringen eller tillsynsmyndigheten kan enligt 13 § utfärda närmare
bestämmelser om kraven i paragrafen.
13 §
Paragrafen ger regeringen eller, efter regeringens bemyndigande, till-
synsmyndigheten, möjlighet att närmare reglera kraven i 9–12 §§.
Skadestånd
Genom bestämmelsen i 14 § genomförs artikel 6 i direktivet. Genom
15 § klargörs att bestämmelsen är tvingande till förmån för den som
förlitar sig på certifikatet. Bestämmelserna behandlas i avsnitt 6.9.
Förhållanden som inte omfattas av det särskilda skadeståndsansvaret i
paragraferna får bedömas i enlighet med allmänna skadeståndsrättsliga
regler.
14 §
I paragrafen anges vilka certifikatutfärdare som omfattas av den särskilda
skadeståndsskyldighet som anges i direktivet, se närmare avsnitt 6.9.2.
Det bör betonas att även certifikat som inte uppfyller kraven på ett kvali-
ficerat certifikat – dvs. inte uppfyller kraven i 6 § – omfattas, om de utges
för att vara kvalificerade certifikat.
Även certifikatutfärdare som garanterar att någon annan certifikat-
utfärdares certifikat är kvalificerade omfattas, i de fall certifikatet inte
uppfyller kraven i 6 § eller vid utfärdandet innehåller felaktiga uppgifter.
Detta har samband med den särskilda möjlighet som beskrivs i artikel 7 i
direktivet, nämligen att en certifikatutfärdare inom Europeiska unionen
garanterar ett certifikat som utfärdats av en certifikatutfärdare som är
etablerad utanför unionen.
Den skada som kan bli aktuell att ersätta enligt 14 § torde vara ren för-
mögenhetsskada. Huvudregeln vad gäller utomkontraktuella förhållanden
enligt svensk skadeståndsrätt är enligt 2 kap. 4 § skadeståndslagen
(1972:207) att ren förmögenhetsskada endast ersätts om skadan vållats
genom brott. Enligt förarbetena till skadeståndslagen är dock inte avsik-
ten att denna bestämmelse skall utgöra hinder för en utveckling i praxis i
riktning mot ett vidgat ansvar för ren förmögenhetsskada. Som nämnts i
avsnitt 6.9.1 har skadeståndsansvar för vissa felaktiga intyg godtagits i
praxis sedan lång tid. De här aktuella skadeståndsreglerna är inte heller
avsedda att läsas motsatsvis på sådant sätt att skadeståndsskyldighet för
ren förmögenhetsskada enligt allmänna principer är utesluten utanför
deras tillämpningsområde, t.ex. när det är en certifikatutfärdare som
utfärdar ett certifikat som inte utges för att vara kvalificerat. Se vidare
avsnitt 6.9.2.
Artikel 6.1.a i direktivet stadgar att en tillhandahållare av certi-
fikattjänster som till allmänheten utfärdar certifikat som anges vara kva-
lificerade eller garanterar att någon annans certifikat är kvalificerade,
genom det särskilda skadeståndsansvaret svarar för att all information i
certifikatet är korrekt vid tidpunkten för utfärdandet och att certifikatet
innehåller alla de uppgifter som föreskrivs för ett kvalificerat certifikat. I
6 § första stycket föreskrivs vad ett kvalificerat certifikat skall innehålla.
Genom att det i denna paragrafs första stycke föreskrivs att
certifikatutfärdaren är skadeståndsskyldig om certifikatet innehåller
felaktiga uppgifter vid utfärdandet eller inte uppfyller kraven i 6 § första
stycket, täcks artikel 6.1.a i direktivet.
I artikel 6.1.b stadgas att certifikatutfärdaren svarar för att den under-
tecknare som anges i det kvalificerade certifikatet vid tidpunkten för
utfärdandet var i besittning av de signaturframställningsdata som motsva-
rar de signaturverifieringsdata som anges i certifikatet. Genom 6 § första
stycket 5 föreskrivs att det är certifikatutfärdarens skyldighet att se till att
certifikatet innehåller signaturverifieringsdata som motsvarar de signa-
turframställningsdata som undertecknaren vid tidpunkten för utfärdandet
har kontroll över. Om inte undertecknarens signaturframställningsdata
motsvarar de signaturverifieringsdata som anges i certifikatet, innehåller
certifikatet felaktiga uppgifter och certifikatutfärdaren är således skade-
ståndsskyldig för den skada detta kan orsaka.
I artikel 6.1.c stadgas att certifikatutfärdaren svarar för att signatur-
framställningsdata och signaturverifieringsdata kan användas som kom-
plement till varandra om certifikatutfärdaren framställer båda dessa.
Genom att det genom 10 § 3 fastställs att det är certifikatutfärdarens
skyldighet att, i förekommande fall, säkerställa att sådana
signaturframställningsdata och signaturverifieringsdata som utfärdaren
framställer kan användas som komplement till varandra, täcks även detta
fall av 14 §.
I artikel 6.2 stadgas att en certifikatutfärdare som utfärdar kvalificerade
certifikat till allmänheten också skall svara för skada som åsamkats
genom underlåtenhet att registrera återkallande av certifikatet. Om
certifikatutfärdaren inte iakttar sin skyldighet enligt 10 § 1 att omedelbart
återkalla ett certifikat, eller enligt 10 § 2 att säkerställa att exakt tidpunkt
för när så har skett kan anges, innebär det att certifikatutfärdaren kan
vara skadeståndsskyldig enligt 14 §.
Uttrycket ”den som förlitar sig på certifikatet” är inte begränsat till
mottagaren av en elektronisk signatur. Även undertecknaren, som ingått
avtal med certifikatutfärdaren att den sistnämnde skall möjliggöra för
undertecknaren att kunna identifiera sig vid elektronisk kommunikation,
kan lida skada på grund av t.ex. felaktigheter eller brister i ett certifikat.
Även detta regleras i viss mån genom paragrafen. Det är således inte
möjligt för certifikatutfärdaren att genom avtal med undertecknaren
begränsa sitt ansvar för att en hemlig och en öppen nyckel (ett nyckelpar)
som certifikatutfärdaren tillhandahållit verkligen fungerar, dvs. kan
användas som komplement till varandra.
Av första meningen i andra stycket framgår att certifikatutfärdaren kan
undgå skadeståndsansvar om utfärdaren kan visa att skadan inte beror på
vårdslöshet hos denne. Certifikatutfärdaren har således ett s.k. presum-
tionsansvar med möjlighet att exculpera sig. Enligt allmänna skade-
ståndsrättsliga principer är det dock alltid den skadelidande som i dessa
fall har att bevisa skadan och sambandet mellan skadan och exempelvis
felet i certifikatet, se avsnitt 6.9.
Enligt artikel 6.3 och 6.4 i direktivet skall medlemsstaterna säkerställa
att det i viss mån är möjligt för certifikatutfärdarna att genom att i certifi-
katet ange begränsningar för användningsområde eller
transaktionsbelopp begränsa sitt skadeståndsansvar. Begränsningarna
måste då vara tydliga för tredje man. Genom andra meningen i andra
stycket i paragrafen regleras denna möjlighet.
I 6 § 9 anges att eventuella begränsningar måste anges i certifikatet. I
förevarande paragraf anges att begränsningarna måste vara tydliga. Detta
innefattar att de måste vara tydliga för den som certifikatet utfärdas till
och, inte minst, för den mottagare som skall förlita sig på certifikatet.
Certifikatutfärdaren är inte skadeståndsskyldig för skada som härrör från
att certifikatet använts i strid med de begränsningar som på detta sätt
angivits för det.
Av tredje stycket framgår att även den som garanterar att någon annans
certifikat är kvalificerat omfattas av skadeståndsbestämmelsen med
möjlighet att exculpera sig. Av begränsningen till punkterna 2 och 3 i
första stycket följer dock att garanten inte kan göras skadeståndsskyldig
för att utfärdaren inte har uppfyllt sina skyldigheter enligt 10 §.
Se vidare avsnitt 6.9.2.
15 §
Normalt torde det inte finnas något avtalsförhållande mellan certifikat-
utfärdaren och den som förlitar sig på ett certifikat. I undantagsfall kan
det dock förekomma att parterna har ett avtal där certifikatet utgör ett
moment. Av bestämmelsen följer att certifikatutfärdaren i dessa fall inte
kan avtala bort någon del av sitt skadeståndsansvar. Naturligtvis är dock
parterna fria att träffa avtal om ett större ansvar för certifikatutfärdaren
om så önskas. Se avsnitt 6.9.2.
Behandling av personuppgifter
16 §
Genom paragrafen, som behandlas i avsnitt 6.10, genomförs artikel 8.2 i
direktivet.
Personuppgiftslagen (1998:204) är tillämplig på certifikatutfärdare. I
paragrafen anges i vilka avseenden begränsningarna för hur den som
utfärdar certifikat till allmänheten får behandla personuppgifter är
snävare än vad som stadgas i personuppgiftslagen. Bestämmelsen är inte
begränsad till att avse endast den som utfärdar kvalificerade certifikat.
Självfallet gäller bestämmelsen endast i den mån inte annat följer av
yttrandefrihetsgrundlagen eller tryckfrihetsförordningen.
Kvalificerade elektroniska signaturer
17 §
Första meningen i bestämmelsen behandlar den särställning som
kvalificerade elektroniska signaturer ges enligt artikel 5 i direktivet.
Frågan om i vilken mån artikel 5 i direktivet kräver lagstiftningsåtgärder
i Sverige behandlas i avsnitt 6.11.
Bestämmelsen innebär att kvalificerade elektroniska signaturer – dvs.
elektroniska signaturer som uppfyller en viss säkerhetsnivå – ges en viss
särställning i de fall krav på underskrift, egenhändigt undertecknande och
motsvarande får uppfyllas med elektroniska medel. I de fall det över
huvud taget är tillåtet att använda en elektronisk signatur så får det i
författningar inte ställas högre krav på den elektroniska signaturen i sig,
än vad som ställs på en kvalificerad elektronisk signatur.
Det kan vara tillåtet att använda en elektronisk signatur antingen
genom att det i en viss bestämmelse uttryckligen anges att en elektronisk
signatur får eller t.o.m. måste användas. Det kan också vara tillåtet att
använda en elektronisk signatur genom att ett krav på egenhändig
underskrift eller något liknande uttryck i rättstillämpningen har tolkats så
att kravet kan uppfyllas genom en elektronisk signatur. Med uttrycket
”krav på egenhändig underskrift eller motsvarande” avses alltså såväl
krav på underskrift, undertecknande och liknande uttryck, som krav på
elektronisk signatur.
Bestämmelsen påverkar alltså inte formkrav i lag eller annan
författning som utesluter användning av elektroniska medel. Om det i en
författning ställs krav på att en handling skall vara försedd med
underskrift torde det normalt innebära att elektroniska medel – och
därmed elektroniska signaturer – är uteslutna (jfr SOU 1996:40 s. 95).
Om det däremot av författningen, uttryckligen eller genom tolkning,
följer att kravet på underskrift kan uppfyllas med en elektronisk signatur
får 17 § sin betydelse. Paragrafen utgör vidare inget hinder mot att, när
elektroniska signaturer får användas, godta elektroniska signaturer med
lägre säkerhetsnivå än kvalificerade. Det får dock inte i författningar –
utom i de fall som avses i andra stycket – ställas högre krav på
elektroniska signaturer än vad som ställs på kvalificerade elektroniska
signaturer.
Enligt direktivet skall en pseudonym kunna anges i ett certifikat.
Denna möjlighet anges också i 6 §. Detta innebär givetvis inte att form-
krav på underskrift vid användningen av elektroniska medel kan upp-
fyllas genom att en pseudonym används, annat än om detta till äventyrs
godtas även i övrigt.
Andra meningen avser användningen av elektroniska signaturer vid
kommunikation med eller mellan myndigheter. På förslag från Lagrådet
används begreppet ”myndigheter” i stället för ”den offentliga sektorn”,
eftersom det sistnämnda begreppet är vagt och kan ge upphov till
tolkningssvårigheter. Begreppet myndighet har samma innebörd som i
regeringsformen, dvs. samtliga statliga och kommunala organ med
undantag av riksdagen och de kommunala beslutande församlingarna
(Holmberg m.fl, Grundlagarna, s. 55). Bestämmelsen, som grundar sig på
artikel 3.7 i direktivet, innebär att det vid sådan kommunikation får
ställas högre krav på elektroniska signaturer än vad som ställs på
kvalificerade elektroniska signaturer, dock endast i de fall det är
uttryckligen tillåtet. Bestämmelsen har behandlats i avsnitt 6.11.
Tillsyn
Genom tillsynsbestämmelserna genomförs direktivets artikel 3.3.
Bestämmelserna har behandlats utförligt i avsnitt 6.12.
18 §
Första stycket i bestämmelsen har på inrådan av Lagrådet fått en annan
utformning. Någon saklig förändring avses dock inte med detta.
Tillsynsmyndigheten har i uppgift att övervaka att de certifikatutfärdare
som utfärdar kvalificerade certifikat till allmänheten uppfyller lagens
krav, inbegripet att de kvalificerade certifikaten uppfyller kraven. Däri
ligger också att myndigheten skall kunna ingripa mot den som felaktigt
påstår att ett certifikat är kvalificerat. Myndigheten skall också utöva
marknadskontroll över anordningar som anges vara säkra anordningar för
signaturframställning, genom att övervaka att de uppfyller lagens krav
och är godkända av ett sådant organ som anges i 5 §.
Avsikten är att genom den statliga tillsynen bidra till att certifikat som
betecknas som kvalificerade får en sådan kvalitets- och säkerhetsnivå att
allmänheten, företagen och andra har förtroende för dem och för de
signaturer som baseras på dem.
Någon praktisk möjlighet för myndigheten att i detalj granska varje
certifikatufärdare och dennes certifikat torde inte finnas och är knappast
heller önskvärd. Myndigheten kommer däremot att kunna fungera som en
garant för att uppdagade missförhållanden åtgärdas.
Myndigheten kommer att kunna ta befintliga och kommande standar-
der till hjälp för att bedöma certifikatutfärdarnas verksamhet. Det skall
dock vara möjligt att klara lagens krav utan att använda sig av de stan-
darder som finns.
De certifikatutfärdare som väljer att certifiera sig och sina produkter
kommer genom certifieringsorganet att i många avseenden stå under till-
räcklig löpande kontroll, även om de givetvis också står under myndig-
hetens tillsyn. Tillsynsmyndigheten har också sanktionsmöjligheter som
inte står certifieringsorganen till buds.
Vidare finns möjlighet för myndigheten att anlita externa konsulter.
Det finns anledning att förutse förekomsten av organisationer som i och
för sig kommer att ha erforderlig kompetens att certifiera certifikat-
utfärdarna, men av olika skäl inte kommer att uppträda som certifierings-
organ, t.ex. revisionsbolag och datakonsultföretag. Denna kompetens bör
kunna utnyttjas.
I andra stycket åläggs tillsynsmyndigheten att föra och offentliggöra en
förteckning över anmälda certifikatutfärdare som får utfärda
kvalificerade certifikat. I denna förteckning torde myndigheten även
kunna ange vilka certifikatutfärdare som förelagts att upphöra med
verksamheten eller att kalla sina certifikat för kvalificerade. En sådan
förteckning skulle också kunna innehålla signaturverifieringsdata (den
öppna nyckeln) för certifikatutfärdarens avancerade elektroniska signatur
eller motsvarande, som skall finnas i de kvalificerade certifikaten (jfr
kommentaren till 6 §). För att inte riskera att sådana register kommer i
strid med personuppgiftslagen (1998:204) har tillsynsmyndigheten, på
Lagrådets inrådan, ålagts en skyldighet att föra och offentliggöra dessa
register (jfr PUL 10 § e). Vidare torde bestämmelsen, såsom Lagrådet
påpekar, även fylla funktionen att förstärka intresset hos dem som vill
utfärda kvalificerade certifikat att fullgöra sin anmälningsskyldighet
enligt 8 §.
19 §
I paragrafen ges myndigheten vissa befogenheter som är nödvändiga för
att en effektiv tillsyn skall kunna utövas. Det kan vara fråga om att
inhämta uppgifter som myndigheten anser att den behöver för att kunna
bedöma verksamheten. Initiativet kan vara myndighetens eget, men det
kan också ha sin grund i en anmälan till myndigheten.
Uppgifter torde i många fall kunna hämtas in formlöst vid kontakter
mellan myndigheten och aktörer på marknaden. Enligt 20 och 21 §§ finns
dock möjlighet för myndigheten att begära uppgifter efter föreläggande
som får förenas med vite. I sista hand kan myndigheten få verkställighet
hos kronofogdemyndigheten. Genom hänvisningen till utsökningsbalken
blir bl.a. dennas bestämmelser om tvång i 2 kap. 17 § tillämpliga.
20–21 §§
20 § första stycket anger tillsammans med 21 § vilka sanktioner som får
tillgripas av myndigheten. Den får själv bestämma när ett föreläggande
skall förenas med vite. Det normala torde vara att myndigheten
dessförinnan försökt få till stånd en frivillig rättelse.
Enligt 20 § andra stycket ges tillsynsmyndigheten möjlighet att
förelägga den som utfärdar certifikat till allmänheten och påstår att de är
kvalificerade certifikat, att upphöra med verksamheten. Möjligheten är
således inte begränsad till att avse endast dem som anmält sig enligt 8 §.
Ett sådant beslut kan givetvis i vissa fall få långtgående konsekvenser
och får därför meddelas endast sedan andra mindre ingripande åtgärder
visat sig verkningslösa. Detta är inte minst viktigt med hänsyn till att ett
alltför snabbt eller svagt motiverat ingripande skulle kunna strida mot
direktivets förbud mot krav på förhandstillstånd.
Tillsynsmyndigheten kan, och bör, därvid föreskriva hur verksamheten
skall avvecklas. Ett föreläggande skall givetvis inte avse mer än den del
av verksamheten som omfattas av tillsynen. Det väsentliga är att
certifikatutfärdaren inte utan att uppfylla lagens krav påstår att till all-
mänheten utfärdade certifikat är kvalificerade. Det är därför naturligt att
tillsynsmyndigheten koncentrerar sig på detta. Om certifikatutfärdaren
väljer att fortsätta att utfärda certifikat till allmänheten, men inte längre
påstår att de är kvalificerade, omfattas verksamheten inte av tillsyn enligt
denna lag.
I fråga om föreläggande och utdömande av vite är lagen (1985:206)
om viten tillämplig.
Avgifter
22 §
Paragrafen ger möjlighet för regeringen eller, efter regeringens bemyndi-
gande, tillsynsmyndigheten att införa ett avgiftssystem för bekostande av
tillsynsmyndighetens verksamhet, se avsnitt 8.
Överklagande
23 §
Paragrafen reglerar rätten att överklaga tillsynsmyndighetens beslut
enligt lagen och enligt föreskrifter som meddelats med stöd av lagen.
Myndighetens beslut får överklagas till allmän förvaltningsdomstol. Krav
på prövningstillstånd gäller vid överklagande till kammarrätten.
Övergångsbestämmelserna
Lagen föreslås träda i kraft den 1 januari 2001. För att certifikatutfärdare
som redan före ikraftträdandet utfärdar sådana certifikat som medför
anmälningsplikt enligt 8 § skall få en rimlig tid på sig att hinna anmäla
sin verksamhet till tillsynsmyndigheten stadgas i punkt 2 att de inte
behöver anmäla verksamheten före den 1 februari 2001. Tredje punkten,
som har tillkommit på Lagrådets inrådan, innebär att villkor i avtal som
har träffats före den 1 januari 2001 inte kan förklaras utan verkan med
stöd av 15 §.
12.2 Förslaget till lag om ändring i sekretesslagen
5 kap. 3 §
I en ny punkt föreskrivs om sekretess för uppgift som lämnar eller kan
bidra till upplysning om chiffer, kod eller liknande metod som har till
syfte att göra det möjligt att kontrollera om data i elektronisk form har
förvanskats. Härigenom sekretessbeläggs t.ex. hemliga nycklar som
används för att verifiera om en handling härrör från angiven
undertecknare eller för att skydda vissa datamängder mot manipulation.
Skälen för bestämmelsen redovisas i avsnitt 9.
På förslag från Lagrådet används begreppet ”data i elektronisk form” i
stället för ”uppgifter”, eftersom bestämmelsen inte avser alla typer av
uppgifter utan just elektroniska sådana, och för att detta begrepp
överensstämmer med det som används i bl.a. definitionen av elektronisk
signatur i 2 §.
Av 16 kap. 1 § sekretesslagen följer att meddelarfriheten är begränsad
när tystnadsplikt följer av 5 kap. 3 § sekretesslagen.
Sekretess för uppgifter om bl.a. enskilds affärs- och driftförhållanden
och vissa andra ekonomiska eller personliga förhållanden som tillsyns-
myndigheten får tillgång till kan föreskrivas med stöd av 8 kap. 6 §
sekretesslagen.
Promemorians lagförslag
Förslag till lag om vissa elektroniska signaturer m.m.
Inledande bestämmelse
1 § Denna lag innehåller bestämmelser om vissa elektroniska signaturer,
om certifikat för elektroniska signaturer och om certifikatutfärdare som
är etablerade i Sverige.
Definitioner
2 § I lagen avses med
elektronisk handling: en bestämd mängd data i digital form som kan
läsas, avlyssnas eller på annat sätt uppfattas med tekniskt hjälpmedel,
elektronisk signatur: data i elektronisk form som är fogade till eller
logiskt knutna till en elektronisk handling och som används för att kon-
trollera om innehållet härrör från den som framstår som undertecknare,
avancerad elektronisk signatur: en elektronisk signatur som
a) är knuten uteslutande till undertecknaren,
b) undertecknaren kan identifieras genom,
c) är skapad med medel som endast undertecknaren kontrollerar, och
d) är knuten till en elektronisk handling på ett sådant sätt att alla efter-
följande ändringar av den elektroniska handlingen kan upptäckas,
kvalificerad elektronisk signatur: en avancerad elektronisk signatur
som är baserad på ett kvalificerat certifikat och som är skapad av en
säker anordning för signaturframställning,
undertecknare: den som har kontroll över en anordning för signatur-
framställning,
signaturframställningsdata: unika data, såsom koder eller privata
krypteringsnycklar, som undertecknaren använder för att skapa en elek-
tronisk signatur,
anordning för signaturframställning: en konfigurerad maskin- eller
programvara för att använda signaturframställningsdata,
signaturverifieringsdata: data, såsom koder eller öppna krypte-
ringsnycklar, som används för att verifiera en elektronisk signatur,
certifikat: ett intyg i elektronisk form som kopplar ihop
signaturverifieringsdata med en undertecknare och bekräftar dennes
identitet,
certifikatutfärdare: den som utfärdar certifikat.
Kvalificerade certifikat
3 § Ett kvalificerat certifikat skall vara utfärdat för viss tid av en certifi-
katutfärdare som uppfyller kraven i 8–12 §§ och innehålla
1. uppgift om att det utfärdats som ett kvalificerat certifikat,
2. certifikatutfärdarens identitet och hemvist,
3. undertecknarens namn eller pseudonym med uppgift om att det är en
pseudonym,
4. särskilda uppgifter om undertecknaren, om de är relevanta för ända-
målet med certifikatet,
5. signaturverifieringsdata som motsvarar de signaturframställnings-
data som undertecknaren vid tidpunkten för utfärdandet har kontroll över,
6. start- och sluttidpunkt för certifikatets giltighet,
7. certifikatets identifieringskod,
8. certifikatutfärdarens avancerade elektroniska signatur, och
9. uppgift om eventuella begränsningar av certifikatets användnings-
område eller av värdet på de transaktioner för vilka certifikatet kan
användas (transaktionsbelopp).
Regeringen eller, efter regeringens bemyndigande, tillsynsmyndig-
heten, får meddela närmare föreskrifter om krav enligt första stycket.
Säkra anordningar för signaturframställning
4 § En säker anordning för signaturframställning skall säkerställa att
signaturen är tillfredsställande skyddad mot förfalskning samt att signa-
turframställningsdata
1. praktiskt taget kan förekomma endast en gång och att sekretessen
beträffande dessa data är tillfredsställande,
2. med rimlig säkerhet inte kan härledas, och
3. kan skyddas på ett tillfredsställande sätt av undertecknaren så att
obehöriga inte kan använda dem.
Anordningen får inte förändra den elektroniska handling som skall sig-
neras eller hindra att handlingen presenteras för undertecknaren före sig-
neringen.
5 § Kraven på en säker anordning för signaturframställning i 4 § skall
anses uppfyllda beträffande sådan maskin- eller programvara som över-
ensstämmer med standarder för produkter för elektroniska signaturer som
Europeiska gemenskapernas kommission fastställt och offentliggjort
referensnummer till i Europeiska gemenskapernas officiella tidning.
6 § En anordning som anges vara en säker anordning för signaturfram-
ställning får släppas ut på marknaden eller användas för att skapa en kva-
lificerad signatur endast om ett för ändamålet anmält organ avgjort att
anordningen uppfyller kraven i 4 §.
Organ som avses i första stycket utses enligt bestämmelserna i lagen
(1992:1119) om teknisk kontroll.
Med ett avgörande enligt första stycket likställs ett avgörande av ett
organ, som utsetts för detta ändamål i en annan stat inom Europeiska
ekonomiska samarbetsområdet.
Utfärdande av kvalificerade certifikat
7 § En certifikatutfärdare får utfärda kvalificerade certifikat till allmän-
heten först efter anmälan hos den myndighet som regeringen bestämmer
(tillsynsmyndigheten).
8 § En certifikatutfärdare som utfärdar kvalificerade certifikat skall
bedriva verksamheten med den pålitlighet som krävs för att utfärda certi-
fikat. Certifikatutfärdaren skall därvid
1. ha personal med erforderlig kompetens för de tjänster som erbjuds,
särskilt vad avser ledning, teknik och säkerhetsrutiner,
2. använda adekvata administrativa rutiner och ledningsrutiner som
uppfyller erkända standarder,
3. använda pålitliga system och produkter som är skyddade mot änd-
ringar och garanterar teknisk och kryptografisk säkerhet i de förfaranden
som stöds av dem,
4. förfoga över tillräckliga medel för att kunna bedriva verksamheten
enligt denna lag och bära risken för skadeståndsskyldighet,
5. genom säkra rutiner kontrollera identiteten hos den undertecknare
till vilken ett kvalificerat certifikat utfärdas,
6. förfoga över ett snabbt och säkert system för registrering och ome-
delbar spärrning av certifikat, och
7. vidta åtgärder mot förfalskning av certifikat och i förekommande
fall garantera att tillhandahållandet av signaturframställningsdata sker
konfidentiellt.
Certifikatutfärdaren får inte lagra eller kopiera signaturframställnings-
data.
Kraven i första stycket 3 skall anses uppfyllda beträffande sådan
maskin- eller programvara som överensstämmer med standarder för
produkter för elektroniska signaturer som Europeiska gemenskapernas
kommission fastställt och offentliggjort referensnummer till i Europeiska
gemenskapernas officiella tidning.
9 § En certifikatutfärdaren som utfärdar kvalificerade certifikat skall
1. omedelbart spärra ett certifikat när undertecknaren begär det eller
när det annars finns anledning till det
2. säkerställa att exakt tidpunkt kan anges för utfärdande och spärrning
av certifikat, och
3. i förekommande fall endast framställa signaturframställningsdata
och signaturverifieringsdata som kan användas som komplement till
varandra.
10 § En certifikatutfärdaren som utfärdar kvalificerade certifikat skall
registrera all relevant information om ett kvalificerat certifikat under
rimlig tid samt använda tillförlitliga system för lagring av kvalificerade
certifikat i verifierbar form så att
1. endast behöriga personer kan göra tillägg och ändringar,
2. uppgifternas äkthet kan kontrolleras,
3. ett certifikat är offentligt tillgängligt endast när innehavaren av
certifikatet har lämnat sitt samtycke, och
4. tekniska förändringar som äventyrar säkerhetskraven är uppenbara
för den som handhar systemet.
11 § Innan en certifikatutfärdare ingår avtal om att utfärda ett kvalifice-
rat certifikat skall certifikatutfärdaren skriftligen informera motparten om
1. villkoren och begränsningarna för användning av certifikatet,
2. förekomsten av ett frivilligt ackrediterings- eller certifieringssystem,
och
3. förfaranden för klagomål och avgörande av tvister.
Informationen enligt första stycket får överföras elektroniskt, om det
sker i en för motparten omedelbart läsbar form. Informationen skall på
begäran också göras tillgänglig för annan.
12 § Regeringen eller, efter regeringens bemyndigande, tillsynsmyndig-
heten får utfärda närmare bestämmelser om krav enligt 8–11 §§.
Skadestånd
13 § När en certifikatutfärdare till allmänheten utfärdar certifikat som
anges vara kvalificerade eller när en certifikatutfärdare till allmänheten
garanterar en annan certifikatufärdares certifikat som kvalificerade är
utfärdaren skadeståndsskyldig i enlighet med 14 §.
14 § Om en certifikatutfärdare inte har uppfyllt kraven i 9 § eller om ett
certifikat vid utfärdandet innehåller felaktiga uppgifter eller inte
uppfyller kraven i 3 § första stycket, skall certifikatutfärdaren ersätta den
skada som därigenom åsamkas den som har rimlig anledning att förlita
sig på certifikatet. Certifikatutfärdaren är dock inte skyldig att utge
ersättning om utfärdaren kan visa att skadan inte har orsakats av
vårdslöshet hos denne.
Trots vad som föreskrivs i första stycket är certifikatutfärdaren inte
ersättningsskyldig för skada som härrör från att ett certifikat använts i
strid med tydliga begränsningar avseende användningsområde eller trans-
aktionsbelopp som angetts i certifikatet.
Behandling av personuppgifter
15 § En certifikatutfärdare som utfärdar certifikat till allmänheten får
endast inhämta personuppgifter direkt från den som uppgifterna avser
eller med dennes uttryckliga samtycke och endast i den utsträckning som
är nödvändig för att utfärda eller upprätthålla ett certifikat. Uppgifterna
får inte samlas in eller behandlas för andra ändamål utan uttryckligt
samtycke från den som uppgifterna avser.
Rättslig verkan för elektroniska signaturer
16 § Om det av lag eller annan författning följer vissa formkrav för att
en rättshandling skall anses giltig eller en förpliktelse fullgjord och om
dessa krav kan uppfyllas genom elektronisk kommunikation med
användning av någon form av elektronisk signatur, skall en kvalificerad
elektronisk signatur godtas.
Tillsyn
17 § Tillsynsmyndigheten skall ha tillsyn över certifikatutfärdare som
till allmänheten utfärdar certifikat som anges vara kvalificerade och över
anordningar som anges vara säkra anordningar för signaturframställning.
18 § Tillsynsmyndigheten har rätt att på begäran få de upplysningar och
handlingar som behövs för tillsynen.
Tillsynsmyndigheten har också rätt att få tillträde till områden, lokaler
och andra utrymmen, dock inte bostäder, där verksamhet som står under
tillsyn bedrivs.
Tillsynsmyndigheten har rätt att få verkställighet hos kronofogdemyn-
digheten av de beslut som avser åtgärder för tillsynen enligt första och
andra styckena. Därvid gäller bestämmelserna om sådan verkställighet
som avses i 16 kap. 10 § utsökningsbalken.
19 § Tillsynsmyndigheten får meddela de förelägganden och förbud som
behövs för efterlevnaden av denna lag eller av föreskrifter som meddelats
med stöd av lagen.
20 § Tillsynsmyndigheten får förelägga certifikatutfärdare som till all-
mänheten utfärdar certifikat som anges vara kvalificerade att helt eller
delvis upphöra med verksamheten. Myndigheten får därvid besluta hur
verksamheten skall avvecklas.
21 § Förelägganden och förbud enligt denna lag får förenas med vite.
Avgifter
22 § Regeringen eller, om regeringen bestämmer det, tillsynsmyndig-
heten får föreskriva om skyldighet för certifikatutfärdare som utfärdar
kvalificerade certifikat till allmänheten att betala avgift för tillsynsmyn-
dighetens verksamhet enligt denna lag.
Överklagande
23 § Tillståndsmyndighetens beslut enligt denna lag eller enligt före-
skrifter som meddelats med stöd av lagen får överklagas hos allmän för-
valtningsdomstol.
Prövningstillstånd krävs vid överklagande till kammarrätten.
Tillståndsmyndigheten får bestämma att beslut enligt denna lag skall
gälla omedelbart.
____________
1. Denna lag träder i kraft den 1 januari 2001.
2. Beträffande certifikatutfärdare som redan före ikraftträdandet utfär-
dar kvalificerade certifikat till allmänheten skall föreskriften i 7 § om
anmälan tillämpas först den 1 februari 2001.
Förteckning över remissinstanserna avseende
Ds 1999:73
Följande remissinstanser har beretts tillfälle att avge synpunkter på
departementspromemorian Ds 1999:73 Elektroniska signaturer.
Riksdagens ombudsmän (JO), Hovrätten över Skåne och Blekinge,
Kammarrätten i Stockholm, Uppsala tingsrätt, Länsrätten i Stockholms
län, Justitiekanslern, Domstolsverket, Rikspolisstyrelsen, Data-
inspektionen, Statskontoret, Styrelsen för ackreditering och teknisk
kontroll (SWEDAC), Kommerskollegium, Försvarsmakten, Försvarets
Forskningsanstalt, Riksförsäkringsverket, Tullverket, Finans-
inspektionen, Riksskatteverket, Konsumentverket, Juridiska fakultets-
nämnden vid Uppsala universitet, Juridiska institutionen vid Handels-
högskolan vid Göteborgs universitet, Centrala Studiestödsnämnden,
Post- och telestyrelsen, Närings- och teknikutvecklingsverket, Patent-
och registreringsverket, Tekniska nomenklaturcentralen, SIS – Standardi-
seringen i Sverige, IT-kommissionen, Svenska Kommunförbundet,
Landstingsförbundet, Stockholms handelskammare, Industriförbundet,
Svensk Handel, Gemenskapen för elektroniska affärer (GEA), SEIS,
IT-företagen, Svenska Bankföreningen, Sveriges advokatsamfund,
Sveriges försäkringsförbund, Svenska Arbetsgivareföreningen, Sveriges
Akademikers Centralorganisation, Landsorganisationen, Posten AB,
Telia AB, Tele2 AB, Telefonaktiebolaget LM Ericsson, IBM Svenska
AB, Setec Card AB, iD2 Technologies AB, Network Information Center,
ISOC-SE, Network Associates AB, Wineasy AB, Nexus AB, Advokat-
firman Lagerlöf & Leman, Nordbanken AB, FöreningsSparbanken,
OM-gruppen AB, VPC AB och Bankgirot BGC AB.
Härutöver har synpunkter lämnats in av Finansbolagens förening,
Svenska Inkassoföreningen och Riksarkivet.
Förteckning över remissinstanserna avseende
SOU 1996:40
Följande remissinstanser har beretts tillfälle att avge synpunkter på
betänkandet SOU 1996:40 Elektronisk dokumenthantering.
Riksdagens ombudsmän (JO), Svea hovrätt, Malmö tingsrätt, Kammar-
rätten i Göteborg, Länssrätten i Stockholms län, Justitiekanslern,
Domstolsverket, Riksåklagaren, Rikspolisstyrelsen, Datainspektionen,
Kommerskollegium (endast avd. III), Riksförsäkringsverket, Spri,
Barnombudsmannen (endast avd. III), Post- och telestyrelsen, Vägverket
(endast avd. III), Kommunikationsforskningsberedningen, Statskontoret,
Generaltullstyrelsen, Statistiska centralbyrån, Finansinspektionen, Riks-
revisionsverket, Riksskatteverket, Statens löne- och pensionsverk, Skol-
verket (endast avd. III), Centrala studiestödsnämnden, Arbetsmarknads-
styrelsen, Ombudsmannen mot etnisk diskriminering (endast avd. III),
Riksarkivet, Närings- och teknikutvecklingsverket, Sprängämnesinspek-
tionen (endast avd. III), Patent- och registreringsverket, Konsument-
verket, Länsstyrelsen i Jämtlands län, Lantmäteriverket, Juridiska
fakultetsnämnden vid Uppsala universitet, Juridiska fakultetsnämnden
vid Stockholms universitet, Umeå universitet (endast avd. III), Svenska
kommunförbundet, Stockholms kommun, Linköpings kommun, Kalmar
kommun, Landstingsförbundet, Svenska kyrkans församlings- och
pastoratsförbund, Sveriges Advokatsamfund, Sveriges Köpmanna-
förbund, Industriförbundet, Tjänstemännens centralorganisation,
Centralorganisationen SACO/SR, Landsorganisationen i Sverige,
Svenska Arbetsgivareföreningen, Företagens Uppgiftslämnardelegation,
Föreningen Auktoriserade Revisiorer, Publicistklubben (endast avd. III),
Svenska Journalistförbundet (endast avd. III), Svenska Tidnings-
utgivareföreningen (endast avd. III), Allmänhetens pressombudsman
(endast avd. III), Svenska Bankföreningen, Föreningen Säkrad
Elektronisk Informationshantering i Samhället, Dataföreningen i Sverige,
Intresseföreningen TeleTrusT Sverige, Svenska IT-företagens
Organisation, Informationsproducentföreningen i Sverige, EDI i Sverige,
Posten AB, Telia AB, Näringslivets Telekommitté (endast avd. III),
Tele2 AB (endast avd. III), FC Sweden AB (endast avd. III), BAS
(endast avd. III), Agora Nätverket (endast avd. III), SAPnet (endast avd.
III), NUBBS (endast avd. III), BBS-Moderat (endast avd. III), Business
Software Alliance (endast avd. III), Swebizz, Jacob Palme, Svensk bygg-
tjänst, Arkivrådet, Swedman och Advokatfirman Delphi Lawyers.
Lagrådsremissens lagförslag
Lagtext
Regeringen har följande förslag till lagtext.
Förslag till lag om kvalificerade elektroniska signaturer
Härigenom föreskrivs följande1.
Allmän bestämmelse
1 § Denna lag innehåller bestämmelser om kvalificerade certifikat för
elektroniska signaturer, om anordningar för signaturframställning och om
certifikatutfärdare som är etablerade i Sverige och som utfärdar
kvalificerade certifikat till allmänheten.
Definitioner
2 § I lagen avses med
elektronisk signatur: data i elektronisk form som är fogade till eller
logiskt knutna till andra elektroniska data och som används för att
kontrollera att innehållet härrör från den som framstår som utställare och
att det inte har förvanskats,
avancerad elektronisk signatur: elektronisk signatur som är
a) knuten uteslutande till en undertecknare,
b) möjlig att identifiera undertecknaren genom,
c) skapad med hjälpmedel som endast undertecknaren kontrollerar, och
d) knuten till andra elektroniska data på ett sådant sätt att ändringar av
dessa data kan upptäckas,
kvalificerad elektronisk signatur: avancerad elektronisk signatur som
är baserad på ett kvalificerat certifikat och som är skapad av en säker
anordning för signaturframställning,
undertecknare: fysisk person som innehar en anordning för signatur-
framställning,
signaturframställningsdata: unika data, såsom koder eller hemliga
krypteringsnycklar, som används för att skapa en elektronisk signatur,
anordning för signaturframställning: maskin- eller programvara för
användning av signaturframställningsdata,
säker anordning för signaturframställning: anordning för signatur-
framställning som uppfyller kraven i 4 §,
signaturverifieringsdata: data, såsom koder eller öppna krypte-
ringsnycklar, som används för att verifiera en elektronisk signatur,
certifikat: intyg i elektronisk form som kopplar ihop signatur-
verifieringsdata med en undertecknare och bekräftar dennes identitet,
kvalificerat certifikat: certifikat som uppfyller kraven i 3 §,
certifikatutfärdare: den som utfärdar certifikat eller som garanterar att
någon annans certifikat uppfyller vissa krav.
Kvalificerade certifikat
3 § För att ett certifikat skall få kallas kvalificerat skall det vara utfärdat
för viss tid av en certifikatutfärdare som uppfyller kraven i 8–11 §§ och
föreskrifter meddelade med stöd av 12 § samt innehålla
1. uppgift om att det utfärdats som ett kvalificerat certifikat,
2. certifikatutfärdarens namn och adress samt uppgift om etablerings-
land,
3. undertecknarens namn eller pseudonym med uppgift om att det är en
pseudonym,
4. särskilda uppgifter om undertecknaren, om de är relevanta för ända-
målet med certifikatet,
5. signaturverifieringsdata som motsvarar de signaturframställnings-
data som undertecknaren vid tidpunkten för utfärdandet har kontroll över,
6. uppgift om certifikatets giltighetstid,
7. certifikatets identifieringskod,
8. certifikatutfärdarens avancerade elektroniska signatur eller en elek-
tronisk signatur med motsvarande säkerhetsnivå, och
9. uppgift om eventuella begränsningar av certifikatets användnings-
område eller av värdet på de transaktioner för vilka certifikatet kan
användas (transaktionsbelopp).
Om ett certifikat som uppfyller kraven i första stycket utfärdats av en
certifikatutfärdare som inte är etablerad i Sverige skall certifikatet anses
kvalificerat om
1. certifikatutfärdaren är etablerad inom Europeiska ekonomiska sam-
arbetsområdet,
2. certifikatutfärdaren uppfyller kraven i 7–11 §§ och föreskrifter
meddelade med stöd av 12 § och har ackrediterats inom Europeiska
ekonomiska samarbetsområdet, eller
3. certifikatet garanteras vara kvalificerat av en certifikatutfärdare som
uppfyller kraven i 7–11 §§ och föreskrifter meddelade med stöd av 12 §
och som är etablerad inom Europeiska ekonomiska samarbetsområdet.
Regeringen eller, efter regeringens bemyndigande,
tillsynsmyndigheten får meddela närmare föreskrifter om krav enligt
första stycket.
Säkra anordningar för signaturframställning
4 § En anordning för signaturframställning som anges vara säker skall
säkerställa att signaturen är tillfredsställande skyddad mot förfalskning.
Anordningen skall även säkerställa att signaturframställningsdata
1. i praktiken kan förekomma endast en gång,
2. med rimlig säkerhet inte kan härledas, och
3. på ett tillfredsställande sätt kan skyddas, så att obehöriga inte kan
komma åt eller använda dem.
Anordningen får inte förändra de uppgifter som skall signeras eller
hindra att de presenteras för undertecknaren före signeringen.
5 § Kraven på en säker anordning för signaturframställning i 4 § skall
anses uppfyllda för sådan maskin- eller programvara som överens-
stämmer med standarder för produkter för elektroniska signaturer som
Europeiska gemenskapernas kommission fastställt och offentliggjort
referensnummer till i Europeiska gemenskapernas officiella tidning.
6 § En anordning som anges vara en säker anordning för signatur-
framställning får släppas ut på marknaden eller användas för att skapa en
kvalificerad elektronisk signatur endast om ett för ändamålet anmält
organ bedömt att anordningen uppfyller kraven i 4 §.
Organ som avses i första stycket utses enligt bestämmelserna i lagen
(1992:1119) om teknisk kontroll.
Med ett avgörande enligt första stycket likställs ett avgörande av ett
organ som utsetts för detta ändamål i en annan stat inom Europeiska
ekonomiska samarbetsområdet.
Utfärdande av kvalificerade certifikat
7 § En certifikatutfärdare som avser att utfärda kvalificerade certifikat
till allmänheten är skyldig att anmäla detta hos den myndighet som
regeringen bestämmer (tillsynsmyndigheten) innan verksamheten på-
börjas.
8 § En certifikatutfärdare som utfärdar kvalificerade certifikat till
allmänheten skall bedriva verksamheten med den pålitlighet som krävs.
Detta innebär att certifikatutfärdaren skall
1. ha personal med tillräcklig kompetens för de tjänster som erbjuds,
särskilt vad avser ledning, teknik och säkerhetsrutiner,
2. använda sådana rutiner för administration och ledning som uppfyller
erkända standarder,
3. använda pålitliga system och produkter som är skyddade mot
ändringar och som garanterar teknisk och kryptografisk säkerhet,
4. förfoga över tillräckliga ekonomiska medel för att kunna bedriva
verksamheten enligt denna lag och bära risken för skadeståndsskyldighet,
5. ha säkra rutiner för identitetskontroll av de undertecknare som
kvalificerade certifikat utfärdas till,
6. förfoga över ett snabbt och säkert system för registrering och
omedelbar spärrning av kvalificerade certifikat, och
7. vidta åtgärder mot förfalskning av kvalificerade certifikat och i före-
kommande fall garantera att tillhandahållandet av signaturframställnings-
data sker konfidentiellt.
Kraven i första stycket 3 skall anses uppfyllda för sådan maskin- eller
programvara som överensstämmer med harmoniserade standarder för
produkter för elektroniska signaturer till vilka Europeiska gemen-
skapernas kommission fastställt och offentliggjort referensnummer i
Europeiska gemenskapernas officiella tidning.
9 § En certifikatutfärdare som utfärdar kvalificerade certifikat till
allmänheten skall
1. omedelbart spärra ett certifikat när undertecknaren begär det eller
när det annars finns anledning till det,
2. säkerställa att exakt tidpunkt kan anges för utfärdande och spärrning
av certifikat, och
3. endast framställa signaturframställningsdata och signaturverifie-
ringsdata som kan användas som komplement till varandra.
10 § En certifikatutfärdare som utfärdar kvalificerade certifikat till
allmänheten skall bevara all relevant information om certifikaten under
rimlig tid. Certifikatutfärdaren skall även använda tillförlitliga system för
lagring av kvalificerade certifikat i verifierbar form, så att
1. endast behöriga personer kan göra tillägg och ändringar,
2. uppgifternas äkthet kan kontrolleras,
3. certifikaten är offentligt tillgängliga endast när innehavarna av
certifikaten har lämnat sitt samtycke, och
4. tekniska förändringar som äventyrar säkerhetskraven är synbara för
den som handhar systemet.
Certifikatutfärdaren får inte lagra eller kopiera signaturframställnings-
data.
11 § Innan en certifikatutfärdare ingår avtal om att utfärda ett kvalifi-
cerat certifikat skall certifikatutfärdaren skriftligen informera motparten
om
1. villkoren och begränsningarna för användning av certifikatet,
2. förekomsten av frivilliga ackrediterings- eller certifieringssystem
enligt lagen (1992:1119) om teknisk kontroll, och
3. förfaranden för klagomål och avgörande av tvister.
Informationen enligt första stycket får överföras elektroniskt, om det
sker i en för motparten omedelbart läsbar form. Informationen skall på
begäran också göras tillgänglig för annan som är beroende av certifikatet.
12 § Regeringen eller, efter regeringens bemyndigande, tillsynsmyndig-
heten får utfärda närmare bestämmelser om krav enligt 8–11 §§.
Skadestånd
13 § En certifikatutfärdare som till allmänheten utfärdar certifikat som
anges vara kvalificerade skall ersätta den skada som åsamkats den som
förlitat sig på certifikatet, om skadan uppkommit genom att
1. certifikatutfärdaren inte har uppfyllt kraven i 9 §,
2. certifikatet inte uppfyller kraven i 3 § första stycket, eller
3. certifikatet vid utfärdandet innehöll felaktiga uppgifter.
Vad som sägs i första stycket 2 och 3 gäller även en certifikatutfärdare
som garanterar att en annan certifikatutfärdares certifikat är
kvalificerade.
Certifikatutfärdaren är dock inte skyldig att betala ersättning om
utfärdaren kan visa att skadan inte har orsakats av vårdslöshet hos
utfärdaren själv. Certifikatutfärdaren är inte heller ersättningsskyldig för
en skada som härrör från att ett kvalificerat certifikat använts i strid med
begränsningar som gäller användningsområde eller transaktionsbelopp
och som tydligt angetts i certifikatet.
14 § Avtalsvillkor som i jämförelse med 13 § är till nackdel för den som
förlitar sig på certifikatet är utan verkan mot denne.
Behandling av personuppgifter
15 § En certifikatutfärdare som utfärdar certifikat till allmänheten får
inhämta personuppgifter endast direkt från den som uppgifterna avser
eller med dennes uttryckliga samtycke och endast i den utsträckning som
är nödvändig för att utfärda eller upprätthålla ett certifikat. Uppgifterna
får inte samlas in eller behandlas för andra ändamål utan uttryckligt
samtycke från den som uppgifterna avser.
Kvalificerade elektroniska signaturer
16 § Om det i lag eller annan författning ställs krav på egenhändig
underskrift eller motsvarande och om det är tillåtet att uppfylla kravet
med elektroniska medel, skall en kvalificerad elektronisk signatur alltid
anses uppfylla kravet.
Användningen av elektroniska signaturer inom eller vid
kommunikation med den offentliga sektorn kan vara förenad med
ytterligare krav.
Tillsyn
17 § Tillsynsmyndigheten skall ha tillsyn över certifikatutfärdare som
till allmänheten utfärdar certifikat som anges vara kvalificerade och över
anordningar som anges vara säkra anordningar för signaturframställning.
18 § Tillsynsmyndigheten har rätt att på begäran få de upplysningar och
ta del av de handlingar som behövs för tillsynen.
Tillsynsmyndigheten har också rätt att få tillträde till områden, lokaler
och andra utrymmen, dock inte bostäder, där verksamhet som står under
tillsyn bedrivs.
Tillsynsmyndigheten har rätt att få verkställighet hos kronofogde-
myndigheten av de beslut som avser åtgärder för tillsynen enligt första
och andra styckena. För sådana beslut gäller bestämmelserna i
utsökningsbalken.
19 § Tillsynsmyndigheten får meddela de förelägganden och förbud som
behövs för efterlevnaden av denna lag eller av föreskrifter som meddelats
med stöd av lagen.
20 § Tillsynsmyndigheten får förelägga certifikatutfärdare som till
allmänheten utfärdar certifikat som anges vara kvalificerade att helt eller
delvis upphöra med denna verksamhet. Sådana beslut får dock fattas
endast om mindre ingripande åtgärder visat sig vara verkningslösa.
Myndigheten får besluta hur verksamheten skall avvecklas.
21 § Förelägganden och förbud enligt denna lag får förenas med vite.
Avgifter
22 § Regeringen eller, efter regeringens bemyndigande, tillsynsmyndig-
heten får föreskriva om skyldighet för certifikatutfärdare som utfärdar
kvalificerade certifikat till allmänheten att betala avgift för tillsyns-
myndighetens verksamhet enligt denna lag.
Överklagande
23 § Tillsynsmyndighetens beslut enligt denna lag eller enligt före-
skrifter som meddelats med stöd av lagen får överklagas hos allmän
förvaltningsdomstol.
Prövningstillstånd krävs vid överklagande till kammarrätten.
Tillsynsmyndigheten får bestämma att beslut enligt denna lag skall
gälla omedelbart.
____________
1. Denna lag träder i kraft den 1 januari 2001.
2. Bestämmelsen i 7 § skall inte börja tillämpas förrän den 1 februari
2001 i fråga om certifikatutfärdare som redan före ikraftträdandet
utfärdar sådana certifikat som medför anmälningsplikt.
Förslag till lag om ändring i sekretesslagen
(1980:100)
Härigenom föreskrivs att 5 kap. 3 § sekretesslagen (1980:100)1 skall ha
följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
5 kap.
3 §2
Sekretess gäller för uppgift som
lämnar eller kan bidra till upplys-
ning om chiffer, kod eller liknande
metod som har till syfte att under-
lätta befordran eller användning i
allmän verksamhet av uppgifter
utan att föreskriven sekretess
åsidosätts, om det kan antas att
syftet med metoden motverkas om
uppgiften röjs.
Sekretess gäller för uppgift som
lämnar eller kan bidra till upplys-
ning om chiffer, kod eller liknande
metod som har till syfte att
1. underlätta befordran eller
användning i allmän verksamhet
av uppgifter utan att föreskriven
sekretess åsidosätts, eller
2. göra det möjligt att kontroll-
era om uppgifter har förvanskats,
om det kan antas att syftet med
metoden motverkas om uppgiften
röjs.
Sekretess gäller i verksamhet som avser förande av eller uttag ur
körkortsregistret för uppgift om körkorts referensnummer, om det inte
står klart att uppgiften kan röjas utan fara för att kontrollen av körkorts
äkthet motverkas om uppgiften röjs.
___________
Denna lag träder i kraft den 1 januari 2001.
Lagrådets yttrande
Utdrag ur protokoll vid sammanträde 2000-04-11
Närvarande: f.d. justitierådet Lars Å. Beckman, regeringsrådet Susanne
Billum, justitierådet Göran Regner.
Enligt en lagrådsremiss den 30 mars 2000 (Näringsdepartementet) har
regeringen beslutat inhämta Lagrådets yttrande över förslag till
1. lag om kvalificerade elektroniska signaturer,
2. lag om ändring i sekretesslagen (1980:100).
Förslagen har inför Lagrådet föredragits av hovrättsassessorn
Lena Klintefall Råssjö.
Förslagen föranleder följande yttrande av Lagrådet:
Förslaget till lag om kvalificerade elektroniska signaturer
Enligt 1 § innehåller lagen bestämmelser om kvalificerade certifikat för
elektroniska signaturer, om anordningar för signaturframställning och om
certifikatutfärdare som är etablerade i Sverige och som utfärdar kvali-
ficerade certifikat för allmänheten. Det vore en mera adekvat benämning
på lagen om denna fick rubriken ”lag om kvalificerade certifikat för
elektroniska signaturer”, vilket är lagens huvudsakliga ämnesområde.
1 §
Den allmänna bestämmelsen i 1 § skall enligt författningskommentaren
ange lagens tillämpningsområde. Därvid åsyftas det sista ledet i bestäm-
melsen som avser certifikatutfärdare som är etablerade i Sverige och som
utfärdar kvalificerade certifikat. Tidigare led av bestämmelsen är närmast
att uppfatta som någon form av innehållsdeklaration, som dock inte är
fullständig. För att skilja de två olika delarna av paragrafen åt torde det
sista ledet böra bilda ett andra stycke i paragrafen med förslagsvis följan-
de lydelse: ”Lagen gäller sådana certifikatutfärdare som utfärdar
kvalificerade certifikat och som är etablerade i Sverige.” I så fall kan
första stycket ange att syftet med lagen är att underlätta användningen av
elektroniska signaturer genom bestämmelser om säkra anordningar för
signaturframställning, kvalificerade certifikat för sådana signaturer och
utfärdare av certifikat.
3 §
I paragrafen finns föreskrifter om vad ett kvalificerat certifikat skall in-
nehålla. I de följande 4–6 §§ har tagits in bestämmelser om säkra anord-
ningar för signaturframställning. Därefter har i 7–12 §§ förts in regler om
certifikatutfärdare. Enligt Lagrådets mening skulle förståelsen av be-
stämmelserna underlättas om de paragrafer som behandlar certifikat och
certifikatutfärdare fördes samman i ett avsnitt. Lagrådet föreslår därför
att 3 § flyttas ner efter 6 § i lagförslaget.
Första stycket i 3 § innehåller bestämmelserna om vad ett kvalificerat
certifikat skall innehålla. Andra stycket däremot reglerar när certifikat
utfärdade av någon som är etablerad i annat EES-land eller i tredje land
skall anses vara kvalificerade. Med hänsyn till att styckena reglerar helt
olika frågor bör andra stycket brytas ut till en särskild paragraf. Den nya
paragrafen bör efter en viss omredigering ges följande lydelse:
”Om ett certifikat som uppfyller kraven i (3 §) första stycket 1–9 ut-
färdats av en certifikatutfärdare som inte är etablerad i Sverige skall
certifikatet anses kvalificerat om
1. certifikatutfärdaren är etablerad i en annan stat inom Europeiska
ekonomiska samarbetsområdet och där får utfärda kvalificerade certi-
fikat,
2. certifikatutfärdaren uppfyller krav som motsvarar dem som anges i
(8–11 §§) och föreskrifter meddelade med stöd av (12 §), och är ackre-
diterad i en annan stat inom Europeiska ekonomiska samarbetsområdet,
eller
3. certifikatet garanteras vara kvalificerat av en certifikatutfärdare som
avses i 1 eller i (3 § första stycket).”
10 §
I paragrafen föreskrivs en skyldighet för certifikatutfärdare att bevara all
relevant information om certifikaten under ”rimlig tid”. Enligt författ-
ningskommentaren får vad som är rimlig tid avgöras med hänsyn till
vilken typ av certifikat som utfärdas och med beaktande av krav som kan
följa av t.ex. bokföringslagen. Lagrådet anser att lagtexten bör innehålla
någon mer ledning för tillämparen än enbart uttrycket rimlig tid. För-
slagsvis kan första meningen ges följande lydelse.
”En certifikatutfärdare som utfärdar kvalificerade certifikat till allmän-
heten skall bevara all relevant information om certifikaten under den tid
som är motiverad med hänsyn till typen av certifikat och övriga omstän-
digheter.”
11 §
Paragrafen innehåller bestämmelser om information som certifikat-
utfärdaren skall lämna. Genom paragrafen implementeras punkten k) i
bilaga II till direktivet. Lagtexten bör emellertid utformas i närmare
överensstämmelse med direktivtexten. Lagrådet förordar att paragrafen
ges följande lydelse:
”Innan en certifikatutfärdare ingår avtal om att utfärda ett kvalificerat
certifikat skall certifikatutfärdaren skriftligen och på ett lättbegripligt
språk informera motparten om
1. begränsningar och andra villkor för användning av certifikatet,
2. frivillig ackreditering eller certifiering som avses i lagen
(1992:1119) om teknisk kontroll, och
3. förfaranden för klagomål och avgörande av tvister.
Informationen enligt första stycket får överföras elektroniskt.
Informationen skall göras tillgänglig också för annan som är beroende
av certifikatet och som begär att få den.”
16 §
I andra stycket av den föreslagna paragrafen anges att användningen av
elektroniska signaturer inom eller vid kommunikation med den offentliga
sektorn kan vara förenad med ytterligare krav. Formuleringen ansluter till
uttryckssättet i det aktuella EG-direktivet. Uttrycket ”den offentliga sek-
torn” är dock vagt. Det synes t.ex. tveksamt om avsikten är att strängare
bestämmelser skall kunna uppställas för statliga eller kommunala bolag
med enbart affärsmässig eller förvaltande verksamhet. Enligt Lagrådets
mening bör övervägas att ge bestämmelsen en något snävare utformning
vilken tydligare anknyter till myndighetsfunktionen snarare än till ett
offentligt ägande. Detta synes bättre överensstämma med såväl direk-
tivets syfte som svensk lagstiftningstradition. Lagrådet föreslår att första
och andra styckena i paragrafen sammanförs, varefter bestämmelsen kan
formuleras enligt följande.
”Vid kommunikation med eller mellan myndigheter kan dock använd-
ningen av elektroniska signaturer vara förenad med ytterligare krav.”
Rubriken närmast före paragrafen bör samtidigt omformuleras så att
den bättre återspeglar innehållet i paragrafen. Lagrådet föreslår att
rubriken ges följande lydelse.
”Användning av elektroniska signaturer i vissa fall”
17 §
I paragrafen finns bestämmelser om tillsyn. Denna skall enligt förslaget
omfatta dels certifikatutfärdare som till allmänheten utfärdar certifikat
som anges vara kvalificerade, dels anordningar som anges vara säkra
anordningar för signaturframställning. Enligt Lagrådets mening bör und-
vikas att utforma bestämmelsen så att tillsynen tycks avse de tekniska
anordningarna som sådana. Svårigheten kan undvikas genom att tillsynen
anges avse efterlevnaden av lagen och med stöd därav utfärdade före-
skrifter.
I författningskommentaren till paragrafen anges vidare att tillsynsmyn-
digheten torde kunna offentliggöra en förteckning över anmälda certi-
fikatutfärdare och även ange vilka certifikatutfärdare som förelagts att
upphöra med verksamheten eller att kalla sina certifikat för kvalificerade.
Lagrådet vill med anledning härav framhålla att myndigheten självfallet
har rätt att föra de förteckningar som den behöver för sin verksamhet.
Sådana förteckningar torde i allmänhet bli att betrakta som allmänna
handlingar. Härmed är dock inte sagt att myndigheten på eget initiativ
kan offentligöra den ifrågavarande förteckningen (t.ex. på Internet), vari
kan finnas uppgifter som eventuellt omfattas av personuppgiftslagen. Om
avsikten är att förteckningen skall offentliggöras - vilket förefaller rimligt
med hänsyn till allmänhetens behov av att kunna kontrollera någon som
uppger sig utfärda kvalificerade certifikat - bör enligt Lagrådets mening
paragrafen kompletteras med en bestämmelse som klargör detta. En
sådan bestämmelse fyller även funktionen att förstärka intresset hos dem
som vill utfärda kvalificerade certifikat att fullgöra sin anmälningsskyl-
dighet enligt 7 §.
Lagrådet förordar med hänvisning till det anförda att paragrafen ges
följande lydelse.
”Tillsynsmyndigheten skall ha tillsyn över efterlevnaden av denna lag
och föreskrifter som utfärdats med stöd av lagen.
Tillsynsmyndigheten skall föra och ge offentlighet åt en förteckning
över certifikatutfärdare som anmält sig enligt 7 § och som enligt denna
lag får utfärda kvalificerade certifikat.”
18 §
I tredje stycket talas om verkställighet av beslut som avser åtgärder för
tillsyn enligt första och andra styckena i paragrafen. Det synes mindre
adekvat att använda detta uttryckssätt eftersom det inte är fråga om verk-
ställighet av några egentliga beslut utan om biträde att genomföra till-
synen. Enligt Lagrådets mening bör tredje stycket lyda: ”Tillsyns-
myndigheten har rätt att få biträde av kronofogdemyndigheten för tillsyn
enligt första och andra styckena.”
Övergångsbestämmelserna
Enligt 14 § är avtalsvillkor, som i jämförelse med 13 § är till nackdel för
den som förlitar sig på certifikatet, utan verkan mot denne.
Bestämmelsen bör inte vara tillämplig på avtal som ingåtts före
ikraftträdandet. Något annat torde inte heller ha avsetts i lagrådsremissen.
I övergångsbestämmelserna bör emellertid tas in en uttrycklig bestäm-
melse härom. Lagrådet föreslår att till övergångsbestämmelserna fogas
en punkt 3 av följande lydelse:
”3. 14 § tillämpas inte på avtal som ingåtts före ikraftträdandet.”
Förslaget till lag om ändring i sekretesslagen
Den nya punkten 2 i första stycket av 5 kap. 3 § gäller sekretessbelägg-
ning av uppgifter om metoder som har till syfte att göra det möjligt att
kontrollera om uppgifter har förvanskats. Ändringen är föranledd av be-
hovet att kunna skydda hemliga nycklar och anknytande uppgifter för
bl.a. elektronisk signering och autenticering mot insyn (se avsnitt 9). Den
avfattning som punkten har fått gäller dock uppgifter över huvud taget,
vilket kan föra för långt. Det bör därför övervägas om inte det i punkten
2 bör talas om ”data i elektronisk form” eller liknande (jfr 2 § i den nya
lagen) i stället för ”uppgifter”.
Lagrådet vill anmärka att behov av sekretess i tillsynsmyndighetens
verksamhet kan föreligga också beträffande annan information än sådan
som avses i punkten 2. I så fall kan sekretess föreskrivas genom ett till-
lägg till bilagan till sekretessförordningen (1980:657), jfr t.ex. punkt 109
i denna bilaga.
Näringsdepartementet
Utdrag ur protokoll vid regeringssammanträde den 18 maj 2000.
Närvarande: statsministern Persson, ordförande, och statsråden Hjelm-
Wallén, Thalén, Lindh, Sahlin, von Sydow, Pagrotsky, Östros, Messing,
Engqvist, Rosengren, Larsson, Lejon, Lövdén och Ringholm.
Föredragande: statsrådet Sahlin
Regeringen beslutar proposition 1999/2000:117 Lag om kvalificerade
elektroniska signaturer, m.m.
Rättsdatablad
Författningsrubrik
Bestämmelser som
inför, ändrar, upp-
häver eller upprepar
ett normgivnings-
bemyndigande
Celexnummer för
bakomliggande EG-
regler
Lag om kvalificerade
elektroniska signaturer
6, 13, 22 §§
399L0093
Jfr Europaparlamentets och rådets direktiv 1999/93/EG av den 13 december 1999 om ett
gemenskapsramverk för elektroniska signaturer (EGT L 13, 19.1.2000, s. 12, Celex
399L0093).
1 Lagen omtryckt 1992:1474.
2 Senaste lydelse 1994:595.
1 United Nations Commission on International Trade Law.
2 ”Model Law on Electronic Commerce”, antagen 1996.
3 Resolutionen den 21 december 1989 om en helhetssyn på bedömning av
överensstämmelse (EGT C 10, 16.1.1990, s. 1). Se även beslutet den 13 december 1990 om
moduler för olika stadier i förfaranden vid bedömning av överensstämmelse, avsedda att
användas i tekniska harmoniseringsdirektiv (EGT L 380, 31.12.1990, s. 13).
4 Se t.ex. 2 kap. 2 § lagen (1990:325) om självdeklaration och kontrolluppgifter, 2 a §
indrivningsförordningen (1993:1229) och 17 § lagen (1994:448) om pantbrevsregister.
1 Jfr Europaparlamentets och rådets direktiv 1999/93/EG av den 13 december 1999 om ett
gemenskapsramverk för elektroniska signaturer (EGT L 13, 19.1.2000, s. 12, Celex
399L0093).
1 Lagen omtryckt 1992:1474.
2 Senaste lydelse 1994:595.
Prop. 1999/2000:117
81
1
Prop. 1999/2000:
111
111
Prop. 1999/2000:117
Bilaga 1
82
111
111
111
111
111
111
111
Prop. 1999/2000:117
Bilaga 2
95
111
111
111
Prop. 1999/2000:117
Bilaga 3
96
111
111
111
Prop. 1999/2000:117
Bilaga 4
97
111
111
111
Prop. 1999/2000:117
Bilaga 5
104
111
111
111
Prop. 1999/2000:117
Bilaga 6
108
111
111
111
Prop. 1999/2000:117
109
111
111
111
110
111
111
111