Certifikatframställaren

Transkript

1 VT 2007 Institutionen för Handelsrätt Har 161Handelsrättslig specialkurs Handel och Marknad Certifikatframställaren inom ramen för informationssäkerhet Handledare: Peter Gerhard Författare: Lina Pettersson

2 Sammanfattning Allt eftersom kommunikations- och informationstekniken utvecklas, blir det vanligare att människor interagera med varandra på elektronisk väg. Information skickas och det har uppstått ett behov av att kunna säkra att den person som kommunikationen sker med också är den som han eller hon utger sig för att vara, att de uppgifter som skickats inte blivit förändrade på något sätt, samt att inga obehöriga tagit del utav den. De traditionella metoderna att säkerställa ett dokuments innehåll och avsändarens identitet, där underskriften haft en central betydelse, har kommit att appliceras på den moderna tekniken. Rättsliga aspekter har diskuterats och för att hålla takt med den snabba tekniska utvecklingen och för att överbrygga landsgränserna inom EU, har det uppstått regleringar på området i syfte att skapa en ökad säkerhet när det gäller elektroniska överförda dokument och de underskrifter som kan finnas på dessa. För att kunna skapa en säkerhet för den överförda informationen och en tillit för den som ska förlita sig på dokumentets innehåll, finns det i lag (2000:832) om kvalificerade elektroniska signaturer regleringar som avser åtagandet gällande en tredje man, en s.k. certifikatutfärdare. Denna ska utfärda s.k. kvalificerade certifikat och därigenom intyga en viss säkerhetsnivå, som den förlitande parten ska kunna känna tilltro till. Certifikatutfärdaren har därigenom fått en central roll inom ramen för informationssäkerhet och det finns därför ett intresse av att belysa dennes roll. Idag finns det ingen aktör som agera som kvalificerad certifikatutfärdare, varför det också är av intresse att belysa certifikatutfärdarens roll och hur marknaden ser ut idag. Nyckelord: Elektronisk signatur, certifiering, kommunikations teknik, informationsteknik,informationssäkerhet 2

3 Abstract According to the communication and the information technology it has become more common for people today to integrate in electronic ways. Information is sent and it has emerged a requirement in safety for which the person who the integration is made with is the person he or she personates. More over that the tasks that has been sent, not have been modified and that no unauthorized person takes part of the information. The traditional methods in securing the containment of the document and the identity of the consignor, where the signature has had a central significance concernment, has been applied on the modern technology. Jurisdictional aspects has been deliberated and in order to keep pace with the rapidly expanding technology progress and to over bridge the boundaries of the countries within the European Union, it has emerged regulations with intentions to conceive an increased security concerning electronic transmitted documents and the signatures to been found on them. In order to create in transmitting information and creating trust for the person who rely on the contents of the document, the law of (2000:832) of qualified electronic signatures states the regulations that intends commitments for the third party so called certified Authority. The certified Authority is meant to certificate so called qualified certifications and thereby attest a certain degree of security, which the trusted part should rely on. The certified Authority has thereby got a central role within the frame of security of information, and therefore is there an interest in describing the role of the certified Authority. Today there isn t any performer which acts as a certified Authority of qualified certifications, why it also is in interest to shed light on its role and how the market looks today. Keywords: Electronic signature, certification, communication technology, information technology, security of information

4 Förord I och med denna uppsats avslutar jag nu min filosofiemagister i handelsrätt vid Lunds universitet. Tiden har gått fort och det känns som om det var igår jag stod vid dörrarna till handelsrättsliga institutionen för att skriva in mig på min första juridikkurs, och nu sitter jag här framför datorn och skriver de sista raderna med bara några veckor kvar i denna underbara studentstad. När jag nu skriver mitt examensarbete som jag valt att göra inom IT-rättens område vill jag passa på att tacka min handledare Peter Gerhard som givit mig goda råd och vägledning under skrivandets gång och som också varit den som under IT-rätts lektionerna fått mig att fastna för ämnet. Sist men inte minst vill jag tacka min familj och mina vänner som gjort studieperioden i Lund till en tid jag sent kommer att glömma, och som jag kommer att se tillbaka på med glädje nu när det är dags att kasta sig ut i verklighetens allvar! Lina Pettersson

5 Förkortningar AvtL CA HD NJA IT PKI PTS UNICTRAL Avtalslagen Certifikating authority Högsta domstolen Nytt juridiskt arkiv Informationsteknik Public Key Infrastructure Post och Telestyrelsen United Nation Commission on International Trade Law 2

6 Innehållsförteckning Förord... 1 Förkortningar Inledning Syfte Avgränsning Metod Disposition Informationsteknik och juridik Bakgrund Signaturen i en juridisk miljö Signaturens funktion Signaturen i en elektronisk miljö Signaturens fördelar och nackdelar Lagstiftning Lagens tillkomst Lagens tillämplighet Begreppsgenomgång Certifikatframställaren Utfärdandet av det kvalificerade certifikatet Certifikatets innehåll När får kvalificerade elektroniska signaturer användas? CAs verksamhet CAs åtaganden Sanktioner Skadestånd Nyckelinnehavaren ansvar vid obehörig användning CA:s ansvar gentemot undertecknaren CA:s ansvar gentemot mottagaren Skadestånd enligt nationell och EG-rättsliga bestämmelser

7 4.2 Föreläggande och förbud förenat med vite Certifikatframställaren i dag Aktörerna på den svenska marknaden Intresseorganisationer Efterlevnad av direktivet Sammanfattning och diskussion Referenser Bilaga

8 1 Inledning 1.1 Syfte Redan långt innan kommunikationstekniken förändrade vårt sätt att kommunicera och hantera information har den personliga namnteckningen haft en central betydelse inom både juridiska och ekonomiska områden, och tillgodosett flera behov vid skriftlig informationshantering. En namnteckning knyter den person vars underskrift finns på ett dokument till dokumentets innehåll, och namnteckningen får en identifieringsroll. Samtidigt knyter namnteckningen den undertecknades viljeförklaring till dokumentet och underskriften får en funktion som generera en viss informationssäkerhet genom att den bland annat skyddar mot manipulation samt ger dokumentet ett äkthetsintyg. På senare tid har tekniken inom informations- och kommunikationsområdet utvecklats i snabb takt, vilket genererat i förändringar i vårt sätt att hantera och kommunicera information. Med hjälp av tekniska innovationer kan information både enklare och snabbare överföras mellan olika parter. När parter har kontakt med varandra via exempelvis Internet, där de inte alltid kan se eller höra varandra finns det ett behov av att kunna verifiera användarens identitet. Innehållet av den information som överförs kan vara av sådan karaktär att den inte är ämnad för allmänheten. Mottagaren kan behöva veta att den som avsänt det dokument som innehåller information, är behörig att avsända sådan information samt att texten inte blivit ändrad. Med anledning av teknikens framväxt och behovet av säkerställandet att elektronisk överförd information inte blivit förändrad samt av behovet att kunna identifiera avsändaren har lag (2000:832) om kvalificerade elektroniska signaturer tagits fram genom direktiv 1999/93/EG om ett gemenskapsramverk för elektroniska signaturer. Lagen ger regleringar i syfte att underlätta användningen av elektroniska signaturer, om kvalificerade certifikat och utfärdandet av sådana certifikat. Lagen gäller sådana certifikat som är etablerade i Sverige och de som utfärdar kvalificerade certifikat till allmänheten. Vid användandet av elektroniska signaturer utfärdas ett certifikat i syfte att skapa och upprätthålla informationssäkerhet och trygghet gentemot den part som ska förlitar sig på den elektroniska signaturen. De som utfärdar dessa certifikat kallas 5

9 för certifikatframställare, och deras funktion och åtaganden har fått en central roll i lag om kvalificerade elektroniska signaturer. Lagen har nu ett antal år på nacken, och det finns därför ett intresse av att undersöka hur certifikatframställarens roll ser ut på marknaden idag. Denna uppsats avser dels att belysa certifikatframställaren och dennes roll inom ramen för informationssäkerhet och hur dennes roll ser ut på marknaden idag, och dels i vilken utsträckning lagen om kvalificerade elektroniska signaturer reglerar de åtagande som certifikatframställaren har för informationssäkerheten. De frågor som jag avser att besvara är: Vilka åtaganden har certifikatframställaren har inom ramen för informationssäkerhet? Hur ser certifikatframställarens roll ut idag? 1.2 Avgränsning Förfarandet bakom kvalificerade elektroniska signaturer är av en tämligen teknisk karaktär. Denna uppsats avser att belysa området utifrån ett juridiskt perspektiv och därför kommer de tekniska elementen inte att gås igenom på ett ingående sätt, utan endast i den omfattning det är nödvändigt för förståelsen. För den läsare som inte är insatt i ämnet kommer det att ges en ingående förklaring till PKI- systemet i texten, trots att det kan anses vara tämligen tekniskt. Anledningen till att jag valt att göra så, är för att systemet är komplext och det kan vara svårt att förstå hur det fungerar om det endast ges en ytlig bild av det. Eftersom systemet nämns flera gånger i uppsatsen anser jag det vara befogat att ta med denna ingående men förhoppningsvis enkla bild av systemets funktion. Regelverket kring kvalificerade elektroniska signaturer behandlar inte frågor som rör ingående eller giltighet av avtal, dvs. hur elektroniska signaturer fungerar i dessa sammanhang. Jag kommer därför inte i denna uppsats att ta upp sådana delar. Eftersom lag om kvalificerade elektroniska signaturer bygger på användandet av signaturer i en elektronisk miljö, har jag valt att först beskriva signaturens funktion både ur ett traditionellt avtalsrättsligt perspektiv men också hur dennas funktion kan appliceras inom kommunikations- och informationstekniken. Signaturen har en rad olika rättsliga funktioner. Varje funktion kan beskrivas på ett djupgående sätt men eftersom denna uppsats inte fokusera på själva signaturens i sig utan snarare på certifikatframställaren, har jag valt att begränsa mig av genomgången av signaturen eftersom som en djupare genomgång skulle bli alltför omfattande och falla utanför uppsatsens syfte. 6

10 1.3 Metod Jag har använt mig av traditionell juridisk metod genom att ta del av förarbeten, doktrin, rättskällor av såväl nationell som EG- rättslig karaktär. På området finns det få rättfall som genererat i praxis, vilket bidragit till att jag inte kunnat ta del utav praxis i den omfattning jag önskat. Dock finns det ett par rättsfall som kan vara av betydelse gällande tolkningen av skadeståndsregleringen i lag om elektronisk kommunikation. Dessa rättsfall rör dock inte certifikatutfärdaren direkt utan skulle kunna användas vid en analog tillämpning av skadeståndstolkning. För att knyta an till verkligheten och för att kunna studera och analysera certifikatframställarens roll idag, samt för att kunna göra en analys av hur lagen uppfyller sitt syfte, har jag även valt att ta del utav rapporter från övervakningsorganet Post- och Telestyrelsen (PTS) samt andra intresseorganisationers allmänna information. Eftersom rapporten från PTS är från 2004 och det inte finns någon uppföljning på den rapporten har jag valt att per telefon kontakta PTS för att uppdatera den information som rapporten ger samt för att få en färsk bild av markanden idag. 1.4 Disposition Uppsatsen kommer att delas in i 6 olika kapitel där det första kapitlet är min inledning. I inledningen anges uppsatsen syfte, val av metod samt disposition av uppsatsen. Som nämns i inledningen är syftet med uppsatsen att belysa certifikatsframställarens roll inom ramen för informationssäkerhet. För att bilden av detta förhållande ska bli så tydligt som möjligt, anser jag att en tämligen omfattande bakgrund är befogad. Uppsatsens andra kapitel är därför indelat i 5 delar. För att läsaren ska få en djupare förståelse i ämnet inleds kapitel 2 informationsteknik och juridik med en bakgrund till ämnet och dess framväxt. Först kommer fokus att ligga på dokumentet vars sätt att andvändas har förändrats i samband med teknikens expansion och hur signaturen är kopplad till dokumentet, vilken är bakgrunden till att det finns ett behov av elektronisk signatur. För att förstår den problematik som finns kring den informationssäkerhet som omger syftet med lagstiftningen, kommer en kortare genomgång av signaturens betydelse i såväl traditionell avtalsrättslig miljö som ekonomisk. För att på ett så objektivt sätt som möjligt beskriva signaturens funktion sker det en beskrivning av både positiva och negativa sidor med en signaturs rättsliga funktion ur informationssäkerhetens synvinkel. Dessa aspekter sätts även in i 7

11 sammanhanget av elektroniska signaturer och hur dessa i vissa fall skapar en ökad säkerhet jämfört med en traditionell handskriven och vice versa. Därefter kommer det en genomgång av lagstiftningen i kapitel 3 löpande ske en komparativ genomgång av EG- rätt och den svenska nationella lagstiftningen. Det kommer alltså inte ske någon indelning där EG-rätt respektive nationell rätt behandlas var för sig. Eftersom EG- rätten och det direktiv (1999/93/EG) som främst avses, är ämnat att föras in i nationell lagstiftning. Att då göra en uppdelning av EG-rätt och svensk rätt skulle på flera områden innebära onödiga upprepningar. Att istället göra jämförelse för varje delområde som lagstiftningen behandlar och som faller inom denna uppsats syfte, underlättar för läsaren att se likheter och skillnader mellan direktivet och svensk lag för varje enskilt område. Med varje enskilt område eller delområde avses exempelvis, innebörd av certifikat, de krav som finns på certifikatframställaren och skadeståndsansvar. I kapitel 4 redogörs för de sanktioner som finns och som berör certifikatutfärdaren. För att exemplifiera olika situationer där skadeståndsanspråk kan uppstå ger inledningsvis tre beskrivningar på olika företeelser som kan inträffa. Därefter kommer de regleringar på området som lagen ger, vad det gäller såväl skadestånd som andra sanktioner. I femte kapitlet i uppsatsen redogörs för PTS rapport samt telefonkontakt med Post och Telestyrelsen gällande användningen av elektronisk identifiering och signaturer. Detta för att knyta an till verkligenheten och det förhållande som CA idag befinner sig i på marknaden. Sjätte och sista kapitlet är min diskussion och sammanfattning där jag knyter samman syfte och frågeställning med uppsatsens innehåll och mina egna reflektioner. Att jag valt att göra en diskussion och sammanfattning tillsammans beror på att jag anser det bli lättare att föra en diskussion om man också sammanför denna med uppsatsens upplägg och det som behandlats i de olika kapitlen. De olika diskussionsunderlagen blir lättare för läsaren att följa om de följer en kronologisk ordning. 8

12 2 Informationsteknik och juridik Informationsteknik och juridik är tätt sammanflätade med varandra och på många olika områden också beroende av varandra. Informationstekniken går framåt och juridiken måste hänga med i dess utveckling. Gamla och traditionella rättregler ska tolkas på nya tekniska innovationer. Att göra analys av hur dessa rättsregler kan appliceras på tekniken har blivit nödvändig. 2.1 Bakgrund Innan informationsteknikens framväxt nedtecknades data (Begreppet data är ett mönster som kan representera information 1. Data har till uppgift att förmedla information) framför allt på papper i olika dokument. Ordet dokument kommer från latinets documentum och betyder ett föremål som visar eller påvisar något. 2 I det vardagliga arbetet var det förr vanligt att data nedtecknats på papper varför ordet också kommit att förknippas med olika pappersdokument. I samband med användandet av pappersdokumentet har det också tillkommit härrörande begrepp och olika rättsliga åtgärder där själva pappersdokumentet varit en underliggande förutsättning. Exempel på sådana begrepp är urkund, handling, kopia och underskrift. Idag har informationstekniken kommit tämligen långt i sin utveckling men redan på ett tidigt stadium har informationstekniska innovationer gjort det nödvändigt att ta ställning till nya tolkningar av begreppet dokument och det traditionella nedtecknandet på papper har kommit att få konkurrens av nya former av teknisk registrering av olika data. År 1971 kom ett viktigt avgörande, som visar på att tekniken redan då började få betydelse gentemot traditionella dokument. Begreppet handling som anges i 2 kapitlet i tryckfrihetsförordningen skulle även omfatta magnetbandsregister till datorer. Detta avgörande kom för 36 år sedan och sen dess har utveckling gått fort framåt, vilket inneburit en mer komplicerad behandling och fler lagar som kommit att påverkas av nya definitioner och tolkningar av begrepp. På det juridiska området finns det ett behov av dokument med olika egenskaper. När allt nedtecknades på papper fanns det inte anledning att fundera över detta Seipel, Juridik och IT 2004 s. 26 9

13 men i takt med att informationstekniken expanderat har det blivit nödvändigt. Det har uppstått behov av att dokument måste preciseras och överföras till tekniska lösningar, vilket genererat i att den rättsliga regleringen av elektroniska dokument kommit att studeras i områden som exempelvis skadeståndsansvar, straffrättsliga ansvar, säkerhet, avtal och dispositiva regler etc. Det elektroniska dokumentet har alltså i många fall tagit över pappersdokumentet och förekommer således också i många olika sammanhang exempelvis när det gäller fakturor, avtalsförfaranden, betalningsöverföringar etc. På grund av att elektroniska dokument verkar inom flera olika områden, har det vuxit fram ett behov av olika sätt att se på det elektroniska dokumentet. Det behövs synsätt som är mer speciella för specifika områden och synsätt som är mer generella där det sistnämnda avser en precisering av olika rättsliga funktionskrav. Med detta menas att förfarandet och databäraren vid informationsbehandling måste uppfylla vissa krav. Går det att genomföra dessa funktionskrav på elektronisk väg dvs. utan pappersdokument ska inte juridiken ligga i vägen för ett sådant tillvägagångssätt. 3 Informationstekniken och även kommunikationstekniken har expanderat snabbt och fått en central och viktig roll i vårt samhälle idag inte minst globalt sett där tekniken bidrar till att överbrygga landsgränser. 4 IT-utvecklingen påverkar samhället på flera olika nivåer, och den komplexitet som IT-systemen bidrar till blir allt kraftfullare och genererar i mer komplicerade funktioner. I vissa fall har utvecklingen gått så långt att det inte är möjligt att ersätta IT- systemen med manuella rutiner. För exempelvis myndigheter och andra organisationer innebär det ett ökad beroende av sina IT-system för att kunna utföra det vardagliga arbetet. 5 Informationsflödet ökar men samtidigt uppstår det risker med att det går lättare att överföra information. Inom EU och på den inre markanden eftersträvas en fri rörlighet av bland annat personer. Den fria rörligheten innebär att medborgare och invånare inom EU kommer att komma i kontakt med myndigheter i andra länder än där de är bosatta. För att underlätta rörligheten spelar kommunikationen en central betydelse. I och med den tekniska utvecklingen och Internet är möjligheten att kunna utnyttja elektronisk kommunikation en stor tillgång. Att kommunicera genom så kallade öppna system som exempelvis Internet, skapar ökad anonymitet eftersom parterna ofta inte ser varandra och inte kan vara säkra på att motparten verkligen är den han eller hon utger sig för att vara. Den informationen som överförs kan vara av sådan karaktär att endast vissa personer är behöriga att ta del utav den, innehållet måste vara bestående dvs. det får inte vara förändrat samt att den person som avsänder meddelandet också är behörig att göra det. Internet och 3 Seipel, juridik och IT 2004 s.245ff 4 Prop. 1999/2000:117 s Rätten och säkerheten i IT- samhället, 2006 s.38 10

14 andra tekniska innovationer kräver därmed olika tjänster för att kunna verifiera uppgifter elektroniskt. Det har uppstått behov av att kunna säkerställa informationsflödet så att parterna kan känna sig trygga att använda sig utav tekniken. 6 För att skapa säkerhet har det alltså upprättas en rad olika rättsliga funktionskrav, vilket ovan också nämnts och som kan indelas i olika kategorier som: kommunikation, identifiering, bevisning, tidsbestämning, autentisering, avvislighet, ansvar, skydd, symbolfunktion och praktikabilitet. Dessa olika funktionskrav samarbetar med varandra men vissa av kraven förutsätter långt drivna standarder medan andra endast behöver tillfälliga och situationsanpassade lösningar för att kunna tillgodoses. 7 Nedan kommer vissa av dessa funktionskrav att beskrivas mer ingående. Det ska även tilläggas att begreppet informationssäkerhet kan beskrivas på ett flertal olika sätt, beroende på vilket ändamål som avses. I SIS:s rapport 8 delas informationssäkerheten upp i administrativ säkerhet och teknisk säkerhet där den tekniska säkerheten i sig delas upp i fysisk respektive IT-säkerhet. IT-säkerhet delas sedan in i datasäkerhet och kommunikationssäkerhet. Redan långt innan informationstekniken (IT) bidrog till att förändra vårt sätt att hantera och kommunicera information har namnteckningen spelat en central roll inom såväl de juridiska som ekonomiska områdena. Detta eftersom en namnteckning kan tillgodose flera olika behov vid skriftlig informationshantering. År 2001 den 1 januari trädde Lag (2000:832) om kvalificerade elektroniska signaturer ikraft som bygger på direktiv 1999/93/EG. 9 Lagen förutsätter att tekniska förfaranden finns, som gör det möjligt att på entydigt och säkert sätt koppla samman specifik informationsmaterial med en viss undertecknare. Dessutom föresätts det att ett system inrättas för att utfärdar intyg i elektronisk form. Med dessa intyg avses certifikat, som har i syfte att koppla samman undertecknaren med signaturen. 10 Elektroniska signaturer kan tillämpas på ett flertal sätt och i många olika situationer, vilket också kommer att generera till en mängd olika nya produkter och tjänster som på något sätt knyter an till elektroniska signaturer (mer om hur elektroniska signaturer används idag återfinns i kapitel 6). 6 Prop. 1999/2000:117 s Seipel, Juridik och IT 2004 s.245ff 8 SIS (Swedish Standards Institute) är ett centrum för arbetet med olika standarder i Sverige och samarbetspartners både i EU och globala nätverk. Runt om i världen pågår det ett intensivt arbete med att skapa standarder på många olika områden. Källa: Har en teknisk handbok 550: Terminilogi för informationssäkerhet (2003) 9 Prop. 1999/2000:117 s Seipel, Juridik och IT 2004 s. 245ff 11

15 2.2 Signaturen i en juridisk miljö Den nu gällande svenska avtalslagen är från 1915 och är en utav de äldsta i svensk lag. I och med den internationalisering som skett och som fortfarande sker samt utvecklingen av elektronisk kommunikation har den svenska avtalsrätten fått genomgå vissa förändringar. Internationaliseringen av avtalsrätten har genererat i att den traditionella svenska rätten influerats av internationellt handelsbruk och internationella principer. Eftersom avtalslagen är närmare hundra år gammal innehåller den inte specifika regleringar för de innovationer som tekniken medfört. Därför har den elektroniska kommunikationen bidragit till att gamla regler och bestämmelser måste betraktas med nya glasögon utifrån informationsteknikens infallsvinklar. Därmed måste de äldre regleringarnas ändamål ifrågasättas, för att man ska kunna se hur dessa skulle kunna användas på nya företeelser som kommunikations- och informationstekniken inneburit Signaturens funktion Signaturen har en central roll inom området för informationssäkerhet och kommer därför nedan att beskrivas utifrån en mer allmän definition. Detta eftersom det krävs en grundläggande förståelse utifrån traditionell lagstiftning, för att sedan kunna applicera detta på det tekniska området. Som ovan nämnts har den personliga namnteckningen spelat en väsentlig roll inom områdena för juridik och ekonomi. 12 Men det finns i svensk lag mycket få krav på underskrift för att ett avtal ska vara bindande och hur denna underskrift ska se ut. De krav på underskrift som finns kan hittas vid civilrättsliga transaktioner som exempelvis fastighetsköp Jordabalken 4:1 och i konsumentkreditlagen 9, för att nämna några. En signatur kan i stort sett se ut hur som helst, det kan vara en tydlig namnteckning eller kluddiga första bokstäver i för och efternamn, eller endast ett X. Det är upp till motparten att avgöra om han eller hon acceptera den signatur som ges, vilket grundar sig i bevisföringsproblematiken vid en eventuell tvist. 13 Det viktiga med signaturen är inte hur den ser ut utan avsikten bakom den. 14 Att använda sig av en signatur av något slag bidrar till en viss informationssäkerhet eftersom det generera en viss tillförsikt då den undertecknande parten får möjlighet att ta sig en ytterligare funderare på om han eller hon står för innehållet i dokumentet, som han eller hon genom signaturen 11 Hultmark, Elektronisk handel och avtalsrätt 1998 s.5 12 Prop. 1999/2000:117 s Ramberg, Avtalsrätten: En introduktion 2007 s Hultmark, Elektronisk handel och avtalsrätt 1998 s

16 15 förbinder sig till. Detta hör samman med signaturens funktion som viljeförklaring. Den svenska avtalsrätten bygger på den fundamentala tanken om att varje person har frihet och kompetens att uttrycka sin egen vilja och genom denna också binda sig till vissa åtaganden. För att den viljeförklaring som avses inom privaträtten ska uppkomma krävas det i normala fall en manifestation dvs. en viljeförklaring. Denna manifestation avser att visa på den förpliktande partens vilja och ska således också skapa en föreställning hos motparten, att den manifesterande parten avser att binda sig vid sin förpliktelse. Det handlar om att motparten ska känna tillit. 16 Genom att signera ett dokument, kan den undertecknande parten också visa en uttrycklig acceptans av dokumentets innehåll (viktigt att tillägga är att det är dokumentet i den form som var innan underskriften, som accepteras dvs. dokumentet ska vara oförändrat). Så kan fallet vara när det inte är den undertecknande själv som skrivit innehållet, och den undertecknande exempelvis genom sin signatur visa sin vilja att binda sig till dokumentets innehåll. På samma sätt innebär en signatur att parten innan han eller hon skriver på får möjlighet att fundera på bundenheten som en signatur kan innebära och på så sätt innebär signaturen också en varningsfunktion. 17 Namnteckningen har även en identifieringsfunktion eftersom den är knuten till den person som utpekas av namnteckningen. Genom identifieringsfunktionen uppstår en äkthetsfunktion som spelar en viktig roll ur bevissynpunkt, genom att namnteckningen bevisar identitet, och avsikt hos den undertecknande parten. 18 UNCITRAL:s modellag 19 för elektronisk handel belyser utöver ovannämnda funktioner även signaturens funktion som bekräftelse av upphovsman till innehållet i ett dokument samt en bekräftelse på att en person befunnit sig vid en viss plats vid en viss tidpunkt. 20 En ytterligare funktion som en signatur kan ha, är att stänga ett dokument. Detta hänger samman med viljeförklaringen, då den undertecknande parten endast givit vilja till det som dokumentet innehöll innan han eller hon skrev under. Efterkommande text, gäller alltså inte Ramberg Avtalsrätten: En introduktion 2007 s. 103f 16 Hultmark,Elektronisk handel och avtalsrätt 1998 s Prop. 1999/2000:117 s. 14f 18 Ibid. 19 UNCITRAL är en FN organisation för harmonisering av internationell handelsrätt och ska ta fram modellagar, lagstiftningsguider, etc. för medlemsländerna i FN. Källa: 20 UNCITRALs modellag 21 Hultmark, Elektronisk handel och avtalsrätt 1998 s

17 2.3 Signaturen i en elektronisk miljö I den svenska avtalslagen finns det ingen reglering som utesluter att lagen kan användas på elektroniska medier. I lagens första kapitel anges en modell på hur avtal kan ingås och 1 2 stycket AvtL anger att lagen endast är tillämplig så vitt inte annat följer av anbudet eller svaret eller av handelsbruk eller annan sedvänja. Det innebär alltså att lagen endast gäller i de fall inte annat avtalats. Att avtalslagen endast är en modell av hur ett avtal kan slutas innebär att det finns mer än ett sätt som ett sådant slutande kan ske. Avtalslagen är skriven med fokus på främst köp och försäljning som sker med hjälp av utväxling av telegram eller brev. Sådana utväxlingar ligger nära många av de transaktioner som sker genom elektronisk handel. Vid elektronisk handel är det vanligast med relativt distinkta meddelanden och som inte framförs med muntlig kommunikation. 22 När det gäller viljeförklaringen, som innebär att det föreligger en enighet mellan parterna om att något utgör en viljeförklaringsprincip, spelar det ingen roll vad detta något är. Det finns därmed inte heller något hinder mot att kommunikationstekniken kan ersätta det traditionella pappersmediet som en grund för avtalet. 23 En signatur är i sig självt, då den inte ses tillsammans med andra uppgifter ofta inte intressant, utan det är först när den används i syfte att säkra viss information av något slag som signaturen tillskrivs vissa egenskaper. Vilken egenskap signaturen har beror på den omgivande uppgiften. Eftersom det idag lagras och behandlas stora mängder uppgifter i elektroniska system kallas denna information för elektronisk data. Dessa data avser samma information som tidigare lagrats i vanliga pappersdokument. Motsvarigheten till traditionella signaturer dvs. den handskrivna blir då elektroniska signaturer, samtidigt som själva begreppet indikerar på att det använts ett elektronisk system för att skapa signaturen. Det är dock viktigt att inte blanda ihop innebörden av ett elektroniskt system som används för att framkalla en signatur med att det idag i de flesta fall används ett elektroniskt ordbehandlingsprogram för att skapa ett dokument. Det väsentliga ligger i att man vid en elektronisk signatur måste använda sig av tekniska elektroniska hjälpmedel för att kunna ta det av och bedöma de uppgifter som signaturen härrör till. 24 UNCITRAL:s modellag grundar sig på principen om s.k. funktionell ekvivalens, vilket innebär att när ett IT- system fyller samma funktion som ett pappersmedie, ska det ges samma rättsverkningar som om det varit fråga om ett skriftligt pappersdokument. En förutsättning är att de parter som kommunicera med varandra, båda har tillgång till sådan teknik som möjliggör försändelse och mottagelse av det elektroniska meddelandet samt möjlighet att kunna läsa 22 Ibid s Hultmark Elektronisk handel och avtalsrätt 1998 s Prop. 1999/2000:117 s

18 meddelandet. Det tekniska ska också vara implementerat på ett sådant sätt att kommunikationen rent praktiskt kan ske. 25 De rättsliga funktionskraven som ovan nämnts (se 2.2) rörande det elektroniska dokumentet kan delvis knytas samman med signaturens olika funktioner som här nämnts. För att kunna skapa säkerhet krävs det vissa förutsättningar. Genom att kunna fastställa att överförd information inte har förändrats uppstår det en bevisningsfunktion som också är nära knuten till den som kallas autenciering. Autenciering innebär att det ska gå att säkerställa att det meddelande som skickats också härrör från den som undertecknat sig som utställare, dvs. den signerade (Möjlighet till autenciering skapas genom det så kallade PKI- systemet (se 2.4)). Vidare hänger varningsfunktionen samman med kommunikationskravet, där det sistnämnda innebär att information som överförs ska kunna förmedlas så snabbt som olika rättsliga regleringar kräver det och till alla aktuella adressater. Så kan exempelvis vara fallet när kommunikationen avser värdepapper av olika slag. När information hanteras på digital väg skapas ofta bättre förutsättningar jämfört med traditionell hantering eftersom en digital hantering generera en mycket snabb kommunikation. Hantering som sker med hjälp av nya tekniska innovationer kräver, som ovan nämnts ofta att traditionella rättsliga lösningar inte kan användas utan nya lösningar krävs. Att varningsfunktionen står i samband med kommunikationen grundas på att det kan uppstå ett behov av att göra mottagaren uppmärksam på vissa åtgärder, som kan ha långtgående och eventuellt oväntade verkningar. 26 Varningsfunktionen skapar som ovan nämnts, en möjlighet för part att fundera en extra gång innan han eller hon binder sig. När en person är närvarande i ett IT-system, som exempelvis Internet, är denna person för det mesta i direkt kontakt med ett tekniskt system. För att kunna kontrollera och försäkra sig om att den personen som är närvarande också är den som är behörig att exempel ta del av den informationen som ges via IT-systemet, har det uppstått ett behov av att kunna identifiera användarens identitet. Samma behov uppkommer även då en person vill få ut pengar ur en uttagsautomat. Men identifieringsfunktionen fyller fler funktioner än att endast skapa en tillförsäkran om att rätt person har rätt till viss information eller att plocka ut pengar. Den kan även sägas fylla en viss funktion historisk sätt genom att den bidrar till att man kan spåra vad någon gjort i ett elektroniskt system. Det tämligen vanligaste sättet att identifiera en person som befinner sig i ett tekniskt system är genom olika koder, lösenord som hänförs till en specifik person. En elektronisk signatur kan likt en traditionell signatur identifiera informationens användare och för att kunna förhindra att avsändaren förnekar att avsändelse av information har skett (oavvislighet) Hultmark, Elektronisk handel och avtalsrätt 1998 s Seipel, Juridik och IT 2004 s. 248f 27 Prop. 1999/2000:117s

19 Att skapa ett skydd handlar om att frambringa ett förtroende för digitala handlingar. De som använder sig av sådana handlingar ska genom rättsregler kunna erhålla rättsligt skydd mot exempelvis förfalskningar, manipulation, och att obehöriga utnyttjar systemet. Det krävs alltså rättsregler som skapar skydd i digitala sammanhang som motsvarar de som gäller för pappersdokument och att elektroniska dokument på så sätt och på samma sätt erbjuder samma äkthets och skyddsfunktion som ett pappersdokument. 28 En central fråga som uppstått vid införandet av lag om elektronisk signatur är den rätts- och bevisverkan som en elektronisk signatur har. Det vill säga om en elektronisk signatur kan uppfylla samma rättsverkan som en egenhändig namnunderskrift. Som ovan nämnts finns det endast i ett fåtal fall rättsregler som signaturer och en rättshandlings ogiltighet för de fall en signatur inte finns. Trots att det inte i stor utsträckning i lag regleras om krav på signaturer har det inom privat och affärslivet uppstått en viss praxis på användandet av namnunderskrifter. Det har blivit en accepterad metod för att bekräfta, kontrollera och bevisa våra göranden i allmänhet. De få krav som ändå finns på signaturer, ska inte skapa några hinder för rätts och bevisverkan för elektroniska signaturer. Detta finns även uppsatt i UNCITALs modellag om elektronisk handel, där man för fram ett betraktelsesätt innebärande att då det skapas ett nytt kommunikationsmedel, och hur detta ska förhålla sig till traditionell lagstiftning, bör man ta fasta på de bakomliggande syftena med dessa och genom analys se hur dessa kan förhålla sig till den nya tekniken. Dock är det viktigt att det elektroniska kommunikationssättet inte ska förnekas rättslig betydelse enbart på den grund att det sker i elektronisk form Signaturens fördelar och nackdelar En signatur skapar som ovan nämnts en viss informationssäkerhet. Men trots att det finns en underskrift på ett dokument, innebär inte detta en helt säker lösning för att skapa informationssäkerhet. Endast för den sakens skull att en person skriver under ett dokument kan inte motparten vara helt säker på att underskriften härrör den föregivna personen om den undertecknade inte samtidigt identifiera sig. En namnteckning är relativt enkel att förfalska, framför allt då den inte sker i motpartens närvaro. En underskrift som sker på ett pappersdokument säkerställer inte att den text som dokumentet innehåller inte blivit förändrad efter det att underskriften skedde, 28 Seipel, Juridik och IT 2004 s Prop. 1999/ 2000:117 s.16 16

20 eftersom det är enkelt att ändra exempelvis datum, eller olika prisangivelse. 30 När det föreligger en tvekan om huruvida en viljeförklaring föreligger eller inte uppstår det ett rättsligt problem. Det är då viktigt att se vilken kommunikationsteknik som parterna använt sig utav. Ju tydligare viljeförklaringen är desto lägre blir kravet för att det ska vara bindande. Skulle en part ha givit sin viljeförklaring på ett sådant sätt som motparten inte är van vid, ska kraven bli högre. Om exempel viljeförklaringen ges i en elektronisk form och endast kan läsas av motpartens IT-system, får det läggas vikt vid det sätt systemet är implementerat och huruvida de råder harmoni mellan vilja uttryck och den tillit (se ovan 2.2) som motparten har, så att viljeförklaringen blir rättsligt bindande. 31 Jämfört med ett en traditionell signatur kan en elektronisk signatur föra med sig en rad fördelar. Som ovan nämnts är det inte hur själva signeringen ser ut som är det viktiga utan avsikten bakom den. En handskriven signatur är lätt att påföra det aktuella dokumentet och är relativt enkel att läsa. Men en elektronisk signatur utger än tämligen högre säkerhetsgrad när det gäller identifieringen än den traditionella signaturen. 32 För att skapa en elektronisk signatur idag, är det vanligaste sättet genom ett system som kallas för PKI- Public Key Infrastructure (på svenska kallat det öppna nyckelsystemet). Detta system bygger på att den part som ska signera ett dokument erhåller av en certifikatutfärdare (se nedan) två nycklar, en privat och en publik. Med den privata nyckeln signera den ena parten dokumentet, och signaturen kommer till med hjälp av innehållet i dokumentet, vilket skapar en säkerhet för oavvislighet (se 2.3). Genom att använda partens publika nyckel kan sedan motparten öppna dokumentet och verifiera att det är rätt man som signerat. 33 Den förlitande parten får oftast ett meddelande om att innehållet antingen är korrekt med det som avtalats eller om att det inte stämmer. PKI- systemets funktion kan vara tämligen svår att förstå därför kommer nedan tydligare förklaring på hur detta förfarande går till: Alice ska sända ett signerat meddelande till Bob. För att kunna göra detta måste Alice ha ett nyckelpar som består utav en hemlig och en öppen krypteringsnyckel. Nycklarna består utav stora antal tal. Den öppna nyckeln är tillgänglig för vem som helst, medan den hemliga endast är tillgänglig för Alice. Det går inte att med hjälp av den öppna nyckeln, baklänges räkna fram den hemliga nyckeln. Det meddelande som Alice skickar till Bob bearbetas först med ett särskilt komprimeringsprogram som ger resultatet i ett kontrolltotal, som är ett tal som är helt unikt för just det meddelandet. Denna kontrolltotal kan liknas vid ett fingeravtryck eftersom den är unik. Här kan vi kalla detta kontrolltotal för K1. Med hjälp av den hemliga nyckeln krypterar Alice K1 och får K2, som då är själva 30 Hultmark, Elektronisk handel och avtalsrätt 1998 s Ibid s Hultmark, Elektronisk handel och avtalsrätt 1998 s. 29f 33 Rapport från PTS s.11ff 17

21 signeringen. Meddelandet sänder hon tillsammans med K2 till Bob, som har tillgång till samma komprimeringsprogram som Alice. Med detta program bearbetas meddelandet och Bob får fram K1. Därefter använder han den öppna nyckeln för att dekryptera K2. Blir resultatet detsamma som K1 vet Bob att det är Alice sin innehar den hemliga nyckel, och att meddelandet inte förvanskats eller ändrats under överföringen. 34 Jämfört med en underteckning som sker på traditionellt vis dvs. på ett vanligt pappersdokument är en elektronisk signatur säkrare eftersom det vid traditionella signaturer inte är möjligt att göra samma identifikation som vid en elektronisk signatur. Det enda motpartens kan göra för att säkra att underteckningen härrör rätt person är genom en jämförelse av tidigare namnteckningar där identiteten kontrollerats i samband med undertecknandet, eller där en tredje part intygat signeringen. Det är viktigt att poängtera att trots att systemet för elektronisk signatur är tämligen säkert, ger det inte en exakt säkerhet eftersom en person som innehar ett sådant nyckelpar som ovan beskrivits kan vara en annan än den han eller hon utger sig för att vara. För att undvika detta kan man skapa en större grad av informationssäkerhet genom att anlita en tredje part, som säkra att nyckelinnehavaren verkligen är den han eller hon utger sig för att vara. Denna tredje part kallas för Certificating Authority (nedan kallat CA) och på svenska certifikatframställaren. Dennas betydelse är central i denna uppsats och kommer att gås igenom mer noggrant nedan. Dock ska det tilläggas att CA alltså avser den som utfärdar kvalificerade certifikat. 35 Lag om kvalificerade elektroniska signaturer har kommit till för att underlätta användningen av elektroniska signaturer och säkerställa att informationen som överförs inte har förändrats, att det är behörig avsändare samt att den avsändande parten inte ska kunna förneka att han eller hon avsänt informationen. 34 Seipel, Juridik och IT 2004 s. 251f 35 Hultmark, Elektronisk handel och avtalsrätt 1998 s.31 18

22 3 Lagstiftning Innan en ytterligare genomgång av lagtext sker ska det för tydlighetens skull klargöras att olika begrepp avser samma person. I denna uppsats avser mottagare och den förlitande parten samma person samt att innehavaren av certifikatet och undertecknaren är densamma. En enklare skiss tydliggör de olika förhållandena. Pilarna visar på de olika relationerna där undertecknaren ger information till certifikatframställaren för att få ett certifikat. Dessutom ska undertecknaren överföra information av ett visst slag till mottagaren, som ska förlita sig på denna information. På så sätt uppstår det en dubbelsidig relation mellan undertecknaren och mottagaren. Mottagaren har dessutom en relation till certifikatframställaren eftersom den sistnämnda har utfäst vissa garantier på att undertecknaren är den rätte. När det gäller skadeståndsskyldigheten kan relationerna ser lite annorlunda ut, se därför skissen i kapitel 4. Certifikatframställaren Undertecknaren/ nyckelinnehavaren 3.1 Lagens tillkomst Mottagare/ förlitande parten Lag (2000:832) om kvalificerade elektroniska signaturer kom till genom direktiv 1999/93/EG om ett gemenskapsramverk för elektroniska signaturer (fortsättningsvis endast kallat direktivet). Anledningen till att kommissionen kom med ett förslag till att skapa direktivet var att man befarade att de skilda tekniska och juridiska strategier som fanns mellan de olika EU- länderna gällande elektroniska signaturer skulle utgöra ett hinder för den fria rörligheten och utvecklingen av nya ekonomiska verksamheter som är kopplade till elektronisk handel. Handel och annan kommunikation mellan enskilda, myndigheter och företag kan förväntas ske elektroniskt och i en ökad utsträckning, om det finns ett allmänt förtroende för att den information som skickas över öppna nät är tillförlitlig. De hinder som ansågs föreligga för en ökad kommunikation var framförallt olika bestämmelse i medlemsstaterna om rättsligt erkännande av elektroniska signaturer och om auktorisering av dem som tillhandahåller certifikat (om certifikat se nedan) för elektroniska signaturer. Syftet med direktivet är därför att underlätta användningen av elektroniska signaturer och bidra till att det finns 19

23 ett gemensamt rättsligt erkännande av dem. 36 Samtidigt vill man skapa ett system som i sin uppbyggnad skapar en tilltro hos konsumenter, näringsidkare och andra som använder sig utav det. På så sätt ska utvecklingen underlättas och fler ska använda sig av elektroniska signaturer, och det i sin tur ska komma att bidra till en stimulans av den elektroniska handeln. 37 Direktivet avser att utgöra ett rättsligt ramverk för elektroniska signaturer och vissa certifikattjänster för att på så sätt kunna säkerställa en fungerade inre marknad inom EU. 38 Den 1 januari 2001 trädde den svenska lagen i kraft och som ovan nämnts (se 3.1) som ett krav från direktivet. För att kunna använda elektroniska signaturer i så kallade öppna system (som avser bland annat Internet) behövs det viss information som anger att den undertecknande parten är den som också den elektroniska signaturen är kopplad till. För att skapa en möjlighet att ta del av sådan information har det införts ett system kallat det öppna nyckelsystemet PKI. Detta system bygger på att en tredje part, en certifikatutfärdare intygar ett elektroniskt intyg som innehåller uppgifter om vem som är innehavaren av den elektroniska signaturen. De regleringar som återfinns i direktivet bygger just på detta system, och innefattar framförallt näringsrättsliga regleringar om dem som utfärdar certifikat Lagens tillämplighet Den svenska lagstiftningen innehåller likt direktivet också regler på krav om tillsyn, skadeståndsansvar för certifikatutfärdaren samt om sådana certifikat som anges har en viss säkerhets nivå. Lagen omfattar inte certifikat som utfärdas inom så kallade slutna system eller frågor som rör giltighet av avtal eller avtalets ingående. 39 Ett slutet system avser system som grundar sig på frivilliga rättsliga avtal mellan ett bestämt antal deltagare. Direktivet förordar att det inom ett slutet system ligger i den fria avtalsviljan (i svensk avtals rätt är regleringen dispositiv) att parterna sinsemellan beslutar underlagen för en acceptans av elektroniska signaturer i den utsträckning det är förenligt med nationell lag. Trots att en elektronisk signatur i vissa fall används inom ramen för ett slutet system ska den dock enligt direktivet inte vägras rättslig verkan eller giltighet som bevisföring i rättsliga sammanhang. 40 Att regleringar inte tillämpas inom att sluta system innebär alltså att lagen endast ska tillämpas på tillhandahållandet av certifikattjänster som riktas till allmänheten. Detta regleras i 1 i lagen om kvalificerade elektroniska signaturer och uppfyller därmed kravet som anges i punkt 16 i direktivet. 36 Prop. 1999/2000:117 s. 27f 37 Ibid s Ibid s. 27f 39 Ibid s. 1f 40 Direktiv 1999/9/EG Ingress 20

24 Vad som avses med ett slutet respektive ett öppet system står i regleringarna inte helt klart, utan det är en definitionsfråga. I vissa fall är det dock helt klart när ett system är slutet. Exempel på ett sådant fall är då certifikatutfärdaren är den enda som ska förlitar sig på certifikatet och signaturen. Så är ofta fallet för bankernas Internettjänst, där de enda parterna är bankens kund och banken själv och där det är banken som ska förlita sig på att signaturen härrör kunden. Ett ytterligare exempel är då certifikatet som utfärdats endast används inom en specifik organisation eller företag. Motsatsen till ett slutet system är ett öppet system och där det finns tre parter men där den förlitande parten inte har något avtal med vare sig den signerande parten eller certifikatframställaren. Ett exempel på ett sådant system är elektroniska ID-kort. 41 Vad som menas med begreppet till allmänheten och hur detta ska tolkas är inte klart definierat men det torde rimligen innebära att det rör sig om de fall då certifikatutfärdaren tillhandahåller ett certifikat som är ämnat att användas vid kommunikation med en tredje part, och det inte föreligger något kontraktsförhållande mellan certifikatutfärdaren och denna tredje part. På samma sätt torde ett kvalificerat certifikat också kunna vara utfärdat till allmänheten då certifikatutfärdaren inte begränsar möjliga mottagare. Även här faller alltså certifikatutfärdaren inom lagens tillämpningsområde Begreppsgenomgång Trots att denna uppsats är rent juridisk krävs det ändock en viss begreppsgenomgång som kan vara av teknisk karaktär, för förståelsen av lagtexten och de regleringar den anger ska bli så tydlig som möjligt. De begrepp som här kommer att gås igenom är endast de som är nödvändiga för förståelsen. För vidare begreppsgenomgång se bilaga där ett utdrag från lagstiftningens definitioner anges. I lagens 2 anges en rad definitioner. En elektronisk signatur är uppgifter i elektronisk form som är knutna till andra elektroniska uppgifter och som används som en metod med arbetet att verifiera användarens identitet samt att innehållet inte förvanskats. Lagen avser kvalificerade elektroniska signaturer men det talas också avancerade elektroniska signaturer. En signatur som uppfyller kraven i lagens mening ska vara knuten till endast en användare, och som gör det möjligt att identifiera denna 41 Prop. 1999/2000:117 s.35f 42 Ibid s.36 21