Ávarp á ráðstefnu um upplýsingaöryggi og traust í rafrænum viðskiptum 14.03.2001 -

14/3/01

Valgerður Sverrisdóttir,
iðnaðar- og viðskiptaráðherra


Kynning á frumvarpi til laga um
rafrænar undirskriftir

Ráðstefna um upplýsingaöryggi og traust í
rafrænum viðskiptum
Auðkenni - VKS
14. mars 2001

Ráðstefnustjóri - ágætu ráðstefnugestir.
Ég vil byrja á því að þakka þetta tækifæri til að kynna frumvarp til laga um rafrænar undirskriftir. Einnig vil ég þakka það frumkvæði sem hér hefur verið sýnt með því að halda ráðstefnu um upplýsingaöryggi og traust í rafrænum viðskiptum.

Rafrænar undirskriftir eru taldar grundvöllur aukins trausts í rafrænum samskiptum og viðskiptum. Með notkun þeirra er unnt að tryggja að sending gagna um opin kerfi eins og internetið séu á trúnaðarstigi. Þá er unnt að sannprófa að upplýsingum hafi ekki verið breytt í sendingu um Netið og að upplýsingarnar stafi í raun frá tilteknum sendanda. Þannig eru rafrænar undirskriftir m. a. forsenda fyrir innleiðingu rafrænnar opinberrar stjórnsýslu, flutnings ákveðinna verkefna út á land og öruggri sendingu gagna á milli tölva í opnu kerfi.

Fyrsta umræða um frumvarp til laga um rafrænar undirskriftir fór fram á Alþingi í gær. Með frumvarpinu er stefnt að því að setja í lög reglur um réttaráhrif rafrænna undirskrifta, vottunaraðila sem gefa út fullgild vottorð, eftirlit með þeim vottunaraðilum og bótaábyrgð þeirra. Þá er í frumvarpinu gerð tillaga að innleiðingu í íslensk lög á tilskipun Evrópubandalagsins 1999/93 frá 13. desember 1999 um ramma bandalagsins varðandi rafrænar undirskriftir.
II.
(skýringar á hugtökum)

Þegar rætt er um frumvarpið er mikilvægt að gera sér grein fyrir hvað felist í hugtakinu rafræn undirskrift eins og það er notað í frumvarpinu. Í hugtakinu felst ekki skönnuð mynd af handritaðri undirskrift. Eins og hugtakið rafræn undirskrift er notað í frumvarpi þessu er átt við þau gögn sem verða til þegar tiltekinn búnaður eða aðferð er notuð til þess að brengla efni sendingar með ákveðnum hætti. Í brenglunarferlinu er fyrst notuð svokölluð tæting og síðar dulritun. Hin rafrænu gögn sem koma út úr því ferli teljast hin rafræna undirskrift.

Einnig er mikilvægt að gera sér grein fyrir hvað átt er við með vottunaraðilum. Eins og það hugtak er notað í frumvarpinu er átt við þá aðila sem gefa út vottorð sem segir til um hver undirritandi er.

III.
(forsaga frumvarps)

Í stefnumörkun iðnaðar- og viðskiptaráðuneytisins um rafræn viðskipti frá því í mars 1999 kom m.a. fram að nauðsynlegt væri að setja reglur í íslenskan rétt um rafrænar undirskriftir. Í framhaldi af því skipaði þáverandi iðnaðar- og viðskiptaráðherra sérstaka nefnd um rafrænar undirskriftir sem skyldi vinna að mótun lagaramma um rafrænar undirskriftir, m.a. með hliðsjón af tillögum EB. Á Norðurlöndum var ákveðið að hefja norræna samvinnu um rafrænar undirskriftir til að ná sem mestri samræmingu í reglusetningu á þessu sviði og til að norrænir sérfræðingar hefðu tækifæri til að miðla af þekkingu og reynslu hvers lands. Íslenska nefndin um rafrænar undirskriftir skilaði síðan drögum að frumvarpi síðastliðið haust, en lokahönd hefur verið lögð á verkið af hálfu viðskiptaráðuneytis.
IV.
(rök að baki frumvarpi)

Frumvarpi þessu er m.a. ætlað að stuðla að öryggi í viðskiptum og öðrum samskiptum í opnum kerfum, t. d. internetinu. Kannanir hafa sýnt að menn telja að öryggi skorti í rafrænum samskiptum og stundi þau því í minna mæli en ella. Áhyggjurnar spretta vegna þess að í opnu kerfi eins og Netinu standa menn ekki auglitis til auglitis. Sú staðreynd ásamt öðrum einkennum Netsins geta m.a. leitt til eftirfarandi:
· Í fyrsta lagi að sendandi hafi möguleika á að synja því að hafa sent upplýsingar.
· Í öðru lagi að unnt sé að breyta upplýsingum eftir móttöku þeirra.
· Loks getur risið óvissa um að gagnaðilinn sé raunverulega sá sem hann segist vera.

Erfitt getur verið að koma í veg fyrir öll þau vandamál sem skapast við samskipti í opnu kerfi. Þó er stöðugt verið að þróa aðferðir til þess að gera rafræn viðskipti öruggari. Rafrænar undirskriftir og dulritun eru þær aðferðir sem mest er horft til nú. Talið er að vel heppnuð framkvæmd við útfærslu á rafrænum undirskriftum sé grundvallaratriði til að byggja upp traust í rafrænum samskiptum og geti þannig orðið til þess að samskiptin nái þeirri útbreiðslu sem vonir standa til. Í því sambandi er ekki nauðsynlegt að komið verði upp einu undirskriftarkerfi, heldur að kerfin geti virkað saman. Fyrirsjáanlegt er að rafrænar undirskriftir verði notaðar í viðskiptum, í samskiptum á milli borgara og stjórnsýslu og stjórnvalda innbyrðis, t. d. á sviði opinberra útboða, skattamála, félagslegrar aðstoðar, heilbrigðismála og réttarfars.

Þar sem rafrænar undirskriftir eru taldar forsenda þess að hægt sé að skapa nauðsynlegt öryggi í rafrænum viðskiptum er mikilvægt að lagagrundvöllur þeirra sé fullnægjandi. Að sama skapi er mikilvægt að ekki sé vafi á að heimilt sé að nota rafrænar undirskriftir þegar formkröfur í lögum gera kröfu um undirskrift eða sambærilegar kröfur. Sú staðreynd að frumvarpið kveður á um öryggiskröfur í tengslum við fullgildar rafrænar undirskriftir mun stuðla að því að skapa nauðsynlegt öryggi í rafrænum viðskiptum hér á landi. Þá stuðlar frumvarpið einnig að fyrirsjáanleika í slíkum viðskiptum, þar sem unnt verður að treysta því að fullgild rafræn undirskrift hafi að jafnaði sömu réttaráhrif og handrituð.
V.
(efnisatriði frumvarps)

Frumvarpið fjallar að meginstefnu til aðeins um svokallaðar fullgildar rafrænar undirskriftir, þ. e. undirskriftir sem fullnægja tilteknum ströngum öryggiskröfum.

Í I. kafla frumvarpsins er fjallað um markmið og gildissvið. Þar kemur meðal annars fram að markmið frumvarpsins sé að stuðla að öruggri og árangursríkri notkun rafrænna undirskrifta. Í II. kafla frumvarpsins er að finna orðskýringar og ákvæði um réttaráhrif og vernd persónuupplýsinga. Þar kemur fram sú meginregla að fullgild rafræn undirskrift skuli ætíð vera jafngild handritaðri, þegar lög, stjórnsýslufyrirmæli eða annað mælir fyrir um að handrituð undirskrift sé nauðsynleg. Meginreglan takmarkast þó af því að lög leggi ekki sérstakar hindranir gegn rafrænum samskiptum. Í III. kafla frumvarpsins eru ákvæði um fullgild vottorð sem eru þau vottorð sem styðja fullgildar rafrænar undirskriftir. IV. kafli frumvarpsins mælir síðan fyrir um þau skilyrði sem öruggur undirskriftarbúnaður þarf að fullnægja. Undirskriftarbúnaður er sá búnaður sem notaður er til að mynda rafræna undirskrift. Í V. kafla frumvarpsins er mælt fyrir um þær kröfur sem gerðar eru til vottunaraðila sem gefa út fullgild vottorð. Þar kemur m. a. fram að slíkir vottunaraðilar skuli fullnægja þeim kröfum sem nauðsynlegar eru til að tryggja örugga og áreiðanlega útgáfu vottorða, nota áreiðanleg kerfi og búnað, sannreyna deili á undirritanda með viðeigandi hætti og geyma upplýsingar um vottorð í hæfilega langan tíma. Í VI. kafla frumvarpsins er sérákvæði um skaðabótaskyldu vottunaraðila sem gefa út fullgild vottorð til almennings. Þau mæla fyrir um að slíkir vottunaraðilar skuli bera skaðabótaábyrgð í tilteknum tilfellum, nema þeir sanni að tjón verði ekki rakið til sakar þeirra. Í öðrum tilfellum gilda almennar skaðabótareglur. VII. kafli frumvarpsins hefur síðan að geyma ákvæði um eftirlit með þeim vottunaraðilum sem gefa út fullgild vottorð. Gert er ráð fyrir því að Löggildingarstofa hafi með höndum það eftirlit. Loks eru í VII. kafla frumvarpsins ákvæði um landfræðilegt gildissvið, viðurlög og gildistöku.

Þar sem um er að ræða svið í mikilli og hraðri þróun er mikilvægt að lagasetningu sé hagað þannig að hún verði hvorki úrelt innan skamms tíma né hamli gegn tæknilegri þróun. Reynt hefur verið að koma í veg fyrir það með því að hafa ákvæði frumvarpsins eins tæknilega hlutlaus og mögulegt er.

Það er von mín að frumvarpið verði að lögum á yfirstandandi vorþingi. Einnig er það von mín og vissa að það megi auka traust í rafrænum samskiptum - samskiptum sem mynda einn af hornsteinum upplýsingasamfélagsins.
 

Valgerður Sverrisdóttir


Stoðval