GRUNDLAGSUTSKOTTETS UTLÅTANDE 2/2002 rd

GrUU 2/2002 rd - RP 197/2001 rd

Granskad version 2.0

Regeringens proposition med förslag till lagar om elektroniska signaturer och om ändring av 2 § lagen om kommunikationsförvaltningen

Till trafikutskottet

INLEDNING

Remiss

Riksdagen remitterade den 6 november 2001 en proposition med förslag till lagar om elektroniska signaturer och om ändring av 2 § lagen om kommunikationsförvaltningen (RP 197/2001 rd) till trafikutskottet för beredning och bestämde samtidigt att grundlagsutskottet skall lämna utlåtande till trafikutskottet.

Tillfällig ordförande

Utskottet valde Esko Helle /vänst till tillfällig ordförande eftersom ordinarie ordförande och vice ordförande var förhindrade att delta i behandlingen.

Sakkunniga

Utskottet har hört

konsultative tjänstemannen Sami Paatero, kommunikationsministeriet

lagstiftningsråd Eija Siitari-Vanne, justitieministeriet

professor Mikael Hidén

professor Heikki Kulla

professor Kaarlo Tuori

PROPOSITIONEN

I propositionen föreslås en lag om elektroniska signaturer. Lagen avser att öka konsumenternas och andra användares förtroende för elektronisk handel och elektronisk kommunikation. Lagen har bestämmelser om tillhandahållande av kvalificerade certifikat, skyldigheter och ansvar för certifikatutfärdare och skydd för personuppgifter. Enligt lagförslaget är tillhandahållande av produkter och tjänster för elektroniska signaturer en fri näring. Den som tillhandahåller kvalificerade certifikat skall anmäla sin verksamhet till Kommunikationsverket, som övervakar tillhandahållandet av kvalificerade certifikat. I propositionen ingår också ett förslag till ändring av lagen om kommunikationsförvaltningen.

Genom de föreslagna lagarna genomförs Europaparlamentets och rådets direktiv om ett gemenskapsramverk för elektroniska signaturer.

De föreslagna lagarna är avsedda att träda i kraft så snart som möjligt efter det att de har antagits och blivit stadfästa.

I avsnittet om lagstiftningsordning behandlas regleringen av certifieringsverksamheten med utgångspunkt i 124 § grundlagen. Enligt propositionen uppfyller förslaget kraven i grundlagen. Lagförslaget kan därför behandlas i vanlig lagstiftningsordning. Men på grund av certifieringens karaktär, den enskildes rättsliga ställning och näringsfriheten anser regeringen det önskvärt att grundlagsutskottet lämnar utlåtande om propositionen.

UTSKOTTETS ÖVERVÄGANDEN

Motivering

124 § grundlagen
Tillhandahållande av kvalificerade certifikat.

Lagförslaget om elektroniska signaturer gäller först och främst tillhandahållande av certifikat som uppfyller höga krav på tillförlitlighet, kvalificerade certifikat. I lagförslaget avses med kvalificerat certifikat ett certifikat som uppfyller kraven i 7 § 2 mom. och som har utfärdats av en certifikatutfärdare som uppfyller kraven i 10—15 §. Tanken är att en elektronisk signatur som framställs med hjälp av kvalificerat certifikat och en anordning för säker signatur skall motsvara en traditionell egenhändig signatur. Lagen går inte in på tillhandahållande av någon annan typ av certifikat än kvalificerade certifikat. Parterna i elektronisk handel och annan elektronisk kommunikation kan således fortfarande fritt komma överens om att använda andra typer av elektroniska signaturer.

Certifikatutfärdaren spelar en viktig roll för de elektroniska signaturernas tillförlitlighet. Utfärdaren lämnar ett certifikat och intygar att den elektroniska signaturen tillhör en viss person. Med hjälp av certifikatet kan den som tar emot signaturen förvissa sig om undertecknarens identitet. Då en signatur är ett lagstadgat villkor för en rättshandling, kan den åtminstone göras med en elektronisk signatur med ett kvalificerat certifikat. Ett kvalificerat certifikat kan således jämställas med ett identitetsbevis utfärdat av en myndighet, till exempel med pass eller ID-kort. Certifikaten spelar en viktig roll för parterna i elektronisk handel och annan elektronisk kommunikation och deras rättsliga ställning.

På grund av sin rättsverkan måste tillhandahållande av kvalificerade certifikat betraktas som en offentlig förvaltningsuppgift i den mening som 124 § grundlagen avser. En offentlig förvaltningsuppgift kan anförtros andra än myndigheter bara genom lag eller med stöd av lag, om det behövs för en ändamålsenlig skötsel av uppgifterna och det inte äventyrar de grundläggande fri- och rättigheterna, rättssäkerheten eller andra krav på god förvaltning.

Enligt lagförslaget kan också andra än myndigheterna tillhandahålla kvalificerade certifikat för allmänheten. Men ett villkor är att certifikatutfärdaren innan verksamheten startar gör en skriftlig anmälan enligt 9 § till kommunikationsverket. Certifikaten är datatekniska produkter som standardiseras internationellt. Med hänsyn till ändamålsenlighetskravet i 124 § grundlagen måste tillhandahållande av certifikat betraktas som ett serviceuppdrag som lämpar sig också för andra än myndigheter. Vid sådana uppdrag handlar det inte primärt om att besluta om den enskildes intressen eller rättigheter.

När det gäller kvalificerade certifikat är det först och främst viktigt att den som tillhandahåller servicen är kvalificerad för arbetet och tillförlitlig och svarar för eventuella skador till följd av verksamheten. De grundläggande fri- och rättigheterna, rättssäkerheten och kravet på god förvaltning kan i sådana fall tillgodoses, om lagstiftningen om tillhandahållande av servicen är adekvat, personalen kvalificerad för sitt arbete och verksamheten i tillräckligt hög grad omfattas av offentlig övervakning (se också GrUU 24/2001 rd, s. 4, GrUU 28/2001 rd, s. 4—5).

Den föreslagna regleringen kan huvudsakligen godtas i avseende på 124 § grundlagen, anser utskottet. Lagförslaget har bestämmelser om allmänna skyldigheter för certifikatutfärdare som tillhandahåller kvalificerade certifikat för allmänheten (10 §), tillförlitliga maskinvaror och programvaror (11 §), utfärdande av kvalificerade certifikat (12 §), återkallande av kvalificerade certifikat (13 §), register som skall föras av certifikatutfärdare (14 §) och förvaring av uppgifterna i certifikatregistret (15 §). Dessutom ingår det bestämmelser om behandling av personuppgifter (19 §) och tystnadsplikt vid uppdrag som hänför sig till certifikat (25 §).

Certifikatutfärdarens skadeståndsansvar regleras utifrån villkoren för det avtalsrättsliga skadeståndsansvaret för certifikatutfärdaren och den som anhåller om certifikat. I relation till den som har litat på ett kvalificerat certifikat åläggs utfärdaren i 16 § ett strängare skadeståndsansvar än normalt vållandeansvar. Avtals- och skadeståndstvister behandlas i allmänna domstolar.

Kommunikationsverket övervakar att lagen följs (22 § 1 mom.). Däremot övervakar dataombudsmannen att bestämmelserna om personuppgifterna iakttas (22 § 3 mom.). Beslut av tillsynsmyndigheterna får överklagas enligt förvaltningsprocesslagen (28 §) och personuppgiftslagen (22 § 3 mom.). Certifikatutfärdaren kan följaktligen lagföras indirekt.

Bestämmelserna i 10 § 1 mom. föreskriver att certifikatutfärdare skall bedriva sin verksamhet på ett omsorgsfullt, tillförlitligt och ändamålsenligt sätt. Att verksamheten skall vara ändamålsenlig betyder visserligen att inga kunder får diskrimineras. Men det är enligt utskottet viktigt att kravet på icke-diskriminerande verksamhet skrivs in i bestämmelsen (jfr 6 § 2 mom. 2 punkten).

Enligt 12 § 2 mom. skall den som tillhandahåller kvalificerade certifikat informera sökanden om villkoren för användningen innan avtal ingås. I den sista meningen föreskrivs att informationen skall ges skriftligen i sådan form att sökanden kan förstå den utan svårigheter. Med avseende på 17 § 1 och 2 mom. grundlagen är bestämmelsen bristfällig. Lagförslaget måste kompletteras med att informationen alltid måste ges åtminstone på finska eller svenska. Annars kan lagförslaget inte behandlas i vanlig lagstiftningsordning.

Enligt 14 § 1 mom. 2 punkten skall det antecknas i certifikatregistret vilket förfarande för identifiering av sökanden som har tillämpats då det kvalificerade certifikatet utfärdades. I motiveringen anser regeringen att bestämmelsen tilllåter att uppgifter om dokumentet förs in i registret, till exempel passnummer. Med beaktande av skyddet för personuppgifter i 10 § 1 mom. grundlagen måste detta skrivas in i lagen för exakthetens skull.

Sammantaget räcker lagstiftningen om kvalificerade certifikat, på behörigt sätt kompletterade med utskottets anmärkningar ovan, till för att försäkra att det inte äventyrar de grundläggande fri- och rättigheterna, rättssäkerheten eller andra krav på god förvaltning om någon annan än en myndighet tillhandahåller kvalificerade certifikat.

Kontrollorgan.

Enligt 6 § 1 mom. kan Kommunikationsverket utse kontrollorgan med uppgift att bedöma om anordningar för signaturframställning uppfyller kraven i 5 § 1 mom. Däremot säger lagförslaget ingenting om behovet av kontrollorgan, deras ställning och uppgifter eller om hur man anhåller om en bedömning och bedömningarnas rättsliga karaktär. Detta beror delvis på att det utifrån bestämmelserna är svårt att bilda sig en uppfattning om hur bestämmelserna om säkra anordningar för signaturframställning förhåller sig till kraven på kvalificerade certifikat i 7 § 2 mom.

Av allt att döma hänger bestämmelserna i 5 § 1 mom. om säkra anordningar för signaturframställning samman med kravet i 7 § 2 mom. 7 punkten. Där krävs det att ett kvalificerat certifikat skall innehålla uppgifter om certifikatutfärdarens avancerade elektroniska signatur (se också 18 §). Med stöd av 9 § 2 mom. skall Kommunikationsverket förbjuda certifikatutfärdaren att tillhandahålla certifikat som anges vara kvalificerade, om certifikaten inte uppfyller kraven i 7 § 2 mom. Det är alltså Kommunikationsverket som bestämmer när ett certifikat är kvalificerat utan att vara skyldigt att inhämta en bedömning av ett kontrollorgan. Även om ett kontrollorgan ger en bedömning spelar den ingen roll för Kommunikationsverkets behörighet i denna fråga. En bedömning från ett kontrollorgan är ett oberoende yttrande om hur säker en anordning för signaturframställning är och den grundar sig på teknisk expertis. Mot denna bakgrund medför bestämmelserna i 6 § om kontrollorgan inga problem med avseende på 124 § grundlagen (jfr GrUU 26/2001 rd, s. 5).

Övrigt

I 24 § föreskrivs om rätt för en inspektör som Kommunikationsverket har förordnat att utföra inspektioner. Av 2 mom. framgår det indirekt att inspektionsrätten inte är tänkt att gälla lokaler som är hemfridsskyddade med stöd av 10 § 1 mom. grundlagen. Denna begränsning bör nämnas i 24 § 1 mom., anser utskottet.

Utlåtande

Grundlagsutskottet anför

att lagförslagen kan behandlas i vanlig lagstiftningsordning, men det första lagförslaget bara om utskottets konstitutionella anmärkning till 12 § 2 mom. beaktas på behörigt sätt.

Helsingfors den 21 februari 2002

I den avgörande behandlingen deltog

  • tf.ordf. Esko Helle /vänst
  • Klaus Hellberg /sd
  • Gunnar Jansson /sv
  • Saara Karhu /sd
  • Jouni Lehtimäki /saml
  • Johannes Leppänen /cent
  • Pekka Nousiainen /cent
  • Heli Paasio /sd
  • Osmo Puhakka /cent
  • Pekka Ravi /saml
  • Markku Rossi /cent
  • Petri Salo /saml
  • Ilkka Taipale /sd

Sekreterare var

utskottsrådet Sami Manninen