Elektronisk signatur

Elektronisk signatur er et begrep som blant annet er definert i esignaturloven [1] § 3 nr. 1. Loven forvaltes av Nærings- og fiskeridepartementet og er en gjennomføring av direktiv om elektroniske signaturer. Direktivet avløses fra 1. juli 2016 av en EU-forordning om e-ID og tillitstjenester (910/2014/EU).^[1] Forordningen introduserer en ny type elektroniske signaturer, «elektroniske segl», som særlig er tenkt brukt for virksomheter.^[2]

Definisjon[rediger | rediger kilde]

Elektronisk signatur er i esignaturloven definert på følgende måte: «data i elektronisk form som er knyttet til andre elektroniske data og som brukes som autentiseringsmetode». I merknadene til forarbeidene [2] til loven står blant annet følgende: "Lovforslaget er basert på prinsippet om teknologinøytralitet. Elektronisk signatur skal omfatte alle former for elektroniske autentiseringsmetoder og er således et svært vidt begrep. Definisjonen stiller krav om at signaturen skal kunne bekrefte hvem som er undertegner. Denne funksjonen omtales som autentisering.

Den mest utbredte elektroniske signaturteknologien i dag er den såkalte digitale signaturen som er basert på et krypteringssystem med et nøkkelpar med en privat- og en offentlig signaturnøkkel, i direktivet benevnt som henholdsvis signaturfremstillingsdata og signaturverifikasjonsdata. En signatur som lar seg lese med den åpne, offentlige nøkkelen må, og kan bare, være kodet eller signert med den hemmelige, private nøkkele. Videre omfatter lovforslaget andre elektroniske systemer som er beregnet til identifikasjon av brukeren som for eksempel koder og biometriske verdier.

Fra forarbeidene til loven[rediger | rediger kilde]

I forarbeidene står også følgende:

Elektronisk signatur er den brede og generelle betegnelsen på teknikker som kan benyttes til å «signere» digital informasjon på samme måte som en håndskreven signatur benyttes til å undertegne et papirdokument. Disse teknikkene kan for eksempel være basert på biometriske kjennetegn som avlesning av iris-øye eller fingeravtrykk. Andre mulige teknikker kan være avlesning av en elektronisk penn eller digitale signaturer basert på elektroniske nøkler og sertifikater.

Den tekniske realiseringen av elektroniske signaturer som kalles digital signatur er for tiden mest utbredt. Ved utforming av digitale signaturer bruker man kryptering som bygger på avanserte matematiske funksjoner. Den som vil bruke en slik signatur får tildelt et elektronisk nøkkelpar, en offentlig og en privat nøkkel, og et sertifikat hvor undertegners identitet blir knyttet til den offentlige nøkkelen. Den offentlige nøkkelen kan fritt distribueres; typisk gjennom offentlig tilgjengelige kataloger (derav «Public»). Mottakerne av de signerte meldingene kan da laste ned nøkkelen og bruke den til å verifisere signatur. Den private er strengt personlig, akkurat som koden til bankkortet. Det er altså kun én person som kan signere meldingen ved hjelp av den hemmelige private nøkkelen, mens det er mange som kan verifisere denne signaturen ved hjelp av den offentlige nøkkelen. Dette systemet krever at det etableres en infrastruktur for distribuering av de offentlige nøklene. Denne infrastrukturen omtales gjerne som Public Key Infrastructure (PKI).

Elektronisk nøkkelpar[rediger | rediger kilde]

Når innehaveren av nøkkelparet koder en melding med sin private nøkkel, vil meldingen bare kunne dekodes ved hjelp av hans offentlige nøkkel. Meldingen blir kodet slik at innholdet sikres mot forandring underveis. Den offentlige nøkkelen kan sendes mottaker sammen med den signerte meldingen. Mottaker bruker den offentlige nøkkelen til å stadfeste, eller verifisere, at det er innehaveren av den private nøkkelen som har sendt meldingen. Det vil også fremgå for mottaker dersom det er gjort den minste endring i meldingen etter signering. Signaturen er på denne måten knyttet til hele den signerte meldingen, og meldingen knyttes entydig til innehaveren av den private nøkkelen. Selve teksten i meldingen er ikke forvrengt (kryptert) og kan leses også av andre enn rette mottaker.

Offentlig nøkkel[rediger | rediger kilde]

Den offentlige nøkkelen kan ikke brukes til digital signering. Men i prinsippet er det mulig å kryptere selve teksten i meldingen ved å bruke den offentlige nøkkelen. Da kodes meldingen ved at avsender benytter seg av mottakers offentlige nøkkel. Mottaker vil imidlertid ikke med sikkerhet kunne stadfeste hvem meldingen er sendt fra. Dersom man skal oppnå dette er det mulig for avsender å også benytte seg av sin private nøkkel når han sender den krypterte meldingen. Mottakeren må da benytte sin private nøkkel for å dekryptere selve innholdet i meldingen, og han må også benytte avsenders offentlige nøkkel for å autentisere avsender.

Privat nøkkel[rediger | rediger kilde]

Den private nøkkelen kan lagres på for eksempel et plastkort med en datachip (smartkort). Den vanlige tekniske løsningen for bruk av smartkort er at man, for å få tilgang til den private nøkkelen, må sette kortet inn i en kortleser og taste inn en personlig kode (på samme måte som ved bruk av bankkort i minibank). I stedet for kode kan man muligens i fremtiden benytte seg av fingeravtrykk eller andre biometriske kjennetegn.

Elektroniske signaturers rettsvirkning[rediger | rediger kilde]

Esignaturloven

Mange stiller seg spørsmålet om hvorvidt det er mulig å for eksempel inngå avtaler elektronisk, og dersom det er mulig, hvilke elektroniske signaturer man må benytte seg av for å være sikker at disposisjonen er gyldig. Lov om elektronisk signatur § 6 omhandler elektroniske signaturers rettsvirkning. Denne bestemmelsen har vært mye diskutert og det har vært usikkerhet om hva bestemmelsen egentlig sier.

Lov om elektronisk signatur § 6 lyder slik: «Dersom det i lov, forskrift eller på annen måte er oppstilt krav om underskrift for å få en bestemt rettsvirkning og disposisjonen kan gjennomføres elektronisk, oppfyller en kvalifisert elektronisk signatur alltid et slikt krav. En elektronisk signatur som ikke er kvalifisert, kan oppfylle et slikt krav.»

Det er mange som har tolket denne bestemmelsen slik at da den trådte i kraft ble det mulig å inngå avtale elektronisk. Dette er ikke riktig. Lov om elektronisk signatur tar ikke stilling til om det er mulig eller ikke å inngå avtaler, eller foreta andre rettslige disposisjoner, elektronisk. Det som knesettes i lov om elektronisk signatur § 6 er at dersom det i et regelverk stilles krav om underskrift for en bestemt rettsvirkning og den aktuelle disposisjonen kan gjennomføres elektronisk, vil alltid en kvalifisert elektronisk signatur oppfylle et slikt krav. Det skal imidlertid bemerkes at det ikke eksisterer mange steder i norsk lov der det stilles krav om underskrift. Bestemmelsen stiller ikke krav om at det skal være mulig å for eksempel inngå avtale elektronisk. En slik endring må skje det enkelte regelverket som stiller krav om underskrift.

Rettsvirkningen av en elektronisk signatur etter § 6 skal være den samme som en håndskreven underskrift, verken mer eller mindre. Det betyr at det fortsatt vil være mulig å nekte en elektronisk signatur rettsvirkning på grunn av for eksempel tvang eller svik. Dessuten vil det være mulig å stille andre formkrav enn krav om underskrift og som også må ivaretas for at disposisjonen skal være gyldig, for eksempel krav om vitner.

Sannsynligvis vil det ikke være mulig å avvise et dokument /avtale kun på den grunnen at man ikke har brukt en kvalifisert elektronisk signatur. Men at en slik signatur ikke er blitt tatt i bruk vil kunne påvirke signaturens bevisverdi, jf. Justisdepartementets uttalelse nedenfor.

Ved at direktivet om elektronisk signatur [3] likestiller kvalifisert elektronisk signatur med håndskreven underskrift skapes en felles nivå for elektronisk signatur innenfor hele EØS-området. Dette forhold vil sannsynligvis ha størst betydning ved grensekryssende handel innenfor EØS. Videre krever direktivet at det må sikres at kvalifiserte elektroniske signaturer kan legges frem som bevis ved domstolene og at elektronisk signatur, på annet nivå enn kvalifisert, ikke skal fratas rettsvirkning eller gyldighet som bevis. Dette følger allerede av gjeldende bevisvurderingsregler, men er for ordens skyld tatt inn i lovens § 6 annet punktum.

eRegelprosjektet (VideRe-prosjektet)

Som allerede nevnt stiller ikke direktivet om elektroniske signaturer krav om at det skal være mulig å kommunisere elektronisk, herunder inngå avtale elektronisk. Derimot stilles det slike krav i direktivet om elektronisk handel [4]. Ifølge direktivet om elektronisk handel skal medlemsstatene påse at deres rettsorden gjør det mulig å inngå kontrakter elektronisk og at de lovfestede krav som gjelder for inngåelse av kontrakter, ikke fører til at slike kontrakter mister sin rettsvirkning og gyldighet fordi de er inngått elektronisk. Men disse kravene går mye kortere enn hva som allerede er blitt gjennomført ved eRegelprosjektet [5].

Som en del av arbeidet i eRegelprosjektet så man nærmere på adgangen til å treffe avtale elektronisk og på spørsmålet om hvorvidt det er noen forskjell i beviskraft mellom et elektronisk dokument og et papirdokument.

I en uttalelse fra Justisdepartementet [6] vedrørende dette understreket departementet at avtalefriheten er et sentralt prinsipp i norsk rett og at det normalt ikke gjelder formkrav for å inngå avtaler. Partene kan selv velge i hvilken form de ønsker å inngå en bindende avtale, for eksempel muntlig, skriftlig eller elektronisk. Hvilken form partene velger, har i seg selv ikke betydning i forhold til om avtalen er bindende. Det som særpreger en rettslig bindende avtale er at den kan gjennomføres ved domstolenes hjelp. Dette avhenger av at part kan bevise at gyldig avtale er inngått. For å sikre bevis velger mange å inngå avtaler på papir med underskrift fra begge parter. Et sentralt spørsmål i forhold til elektroniske avtaler er hvordan partene skal ivareta bevishensynet for disse avtalene. Med å kreve en underskrift (på papir eller elektronisk) ønsker man normalt å kunne gi svar på følgende tre spørsmål: (i) kan signaturen kobles til undertegneren, (ii) var det undertegneren som signerte og (iii) ønsket undertegner å innestå for dokumentets innhold?

Her aktualiseres sivilprosessens prinsipper om fri bevisføring og fri bevisvurdering. Dette innebærer at partene i utgangspunktet kan føre ethvert bevis de finner hensiktsmessig, og at dommeren avgjør etter en samvittighetsfull prøvelse av hele saken hvilket faktum som ut fra en sannsynlighetsvurdering skal legges til grunn for pådømmelsen. Det er således ikke noe rettslig i veien for at elektroniske dokumenter legges frem som bevis for en norsk domstol. Spørsmålet er hvilken vekt domstolen vil tillegge slike dokumenter i sin bevisvurdering. Spørsmålet om beviskraft er ikke mulig å besvare generelt ettersom den avhenger av den konkrete bevissituasjonen i den enkelte sak. Denne usikkerheten er imidlertid ikke særegen for elektroniske avtaler, men gjør seg også gjeldende i forhold til avtaler inngått i andre former. Beviskraften av et skriftlig dokument vil avhenge av mange forskjellige forhold, som for eksempel om det fremstår som ekte, og om det er sammenfallende eller motstridende med andre dokumenter eller bevis som finnes i saken. Det er ikke mulig å gi en uttømmende oppregning av de faktorer som spiller inn ved vurderingen av troverdigheten av et bevis. Poenget er at domstolene i en sivil sak som hovedregel skal legge til grunn det faktum som fremstår som mest sannsynlig. [7]Justisdepartementets lovavdeling har antatt at «utskrifter av elektroniske dokumenter i kombinasjon med sakkyndige erklæringer om at det er anvendt tekniske metoder med høy bevisverdi, vil ha stor overbevisningskraft.»^[3]

I forhold til avtaleloven uttalte Justisdepartementet blant annet følgende i eRegelprosjektets fellesproposisjon:

«Avtaleloven er det grunnleggende regelsettet for inngåelse av avtaler mv. Loven er fra 1918 og er ikke tilpasset elektronisk kommunikasjon. Loven gir opphav til flere vanskelige tolkningsspørsmål med hensyn til den nærmere avtalerettslige forståelsen av den elektroniske avtalemekanismen, elektronisk fullmaktsfremleggelse mv… Forholdet til avtaleloven er også behandlet av professor Erik Røsæg i artikkelen IT: Avtaleslutning og behovet for lovreform, Festskrift til Gunnar Karnell, Stockholm 1999, side 657 flg. Røsæg konkluderer med at det ikke er behov for endringer av avtaleloven. Justisdepartementet slutter seg til dette. Vi kan ikke se at avtaleloven oppstiller rettslige hindringer for elektronisk avtaleinngåelse eller annen elektronisk kommunikasjon på avtalerettens område. … Departementet vil likevel følge utviklingen nøye, og løpende vurdere behovet for endringer av avtaleloven.» [8]

Referanser[rediger | rediger kilde]

^ EUROPA-PARLAMENTETS OG RÅDETS FORORDNING (EU) Nr. 910/2014 af 23. juli 2014 om elektronisk identifikation og tillidstjenester til brug for elektroniske transaktioner på det indre marked og om ophævelse af direktiv 1999/93/EF. Artikkel 52 regulerer ikrafttredelse.
^ fortalen avsnitt 59
^ Tolkingsuttalelse 5.5.1999 Adgangen til å treffe avtaler elektronisk og beviskraften av elektroniske dokumenter

[1] EUROPA-PARLAMENTETS OG RÅDETS FORORDNING (EU) Nr. 910/2014 af 23. juli 2014 om elektronisk identifikation og tillidstjenester til brug for elektroniske transaktioner på det indre marked og om ophævelse af direktiv 1999/93/EF. Artikkel 52 regulerer ikrafttredelse.

[2] rtalen avsnitt 59

[3] Tolkingsuttalelse 5.5.1999 Adgangen til å treffe avtaler elektronisk og beviskraften av elektroniske dokumenter

[1]

[2]

[3]