Reynslan af tilskipun 1993/93/EB

Vorið 2006 voru liðin fimm ár frá því að lögin nr. 28/2001 um rafrænar undirskriftir voru sett. Með lögunum er tilskipun 1999/93/ESB um rafrænar undirskriftir innleidd á Íslandi. Eftirfarandi texti er að stórum hluta byggður á skýrslu útgefinni 15.03.2006 um reynsluna af tilskipuninni.

Reynslan af tilskipun 1999/93/EB 

Markmið tilskipunarinnar er að skapa ramma utan um notkun rafrænna undirskrifta, stuðla að frjálsu flæði yfir landamæri á vörum og þjónustu tengdri rafrænum undirskriftum og tryggja lagagrunn fyrir viðurkenningu rafrænna undirskrifta.

1.1.1. Markmið

Það ber að leggja áherslu á að tilskipuninni er ekki ætlað að leggja mat á og dæma um gildi samninga eða annarra lögbindinga sem lýst er í lögum. Tilskipunin hefur heldur ekki áhrif á takmörkun notkunar skjala eins og þau eru skilgreind í lögum. Jafnframt útilokar tilskipunin ekki þann möguleika að aðilar í lokuðu kerfi semji um sérstök skilyrði fyrir notkun rafrænna undirskrifta.


1.1.2. Mismunandi tegundir rafrænna undirskrifta í tilskipuninni

Í tilskipuninni eru taldar upp þrjár tegundir af rafrænum undirskriftum. Sú fyrsta er einfaldasta form af „rafrænni undirskrift“ og er gefið breitt gildissvið. Hún þjónar þeim tilgangi að auðkenna og staðfesta gögn. Hún getur verið jafneinföld og að skrifa undir tölvupóst með nafni eða nota PIN-kóða. Til að vera undirskrift verður vottunin að vera tengd við gögn og ekki vera notuð sem aðferð eða tækni heldur einungis fyrir staðfestingu uppruna.

Annað formið er skilgreint sem „þróuð rafræn undirskrift“ Þetta form af undirskrift verður að uppfylla þær kröfur sem skilgreindar eru í grein 2.2 í tilskipuninni. Tilskipunin er tæknilega hlutlaus en í raun höfðar þessi skilgreining til rafrænna undirskrifta sem byggðar eru á dreifilyklum PKI. Þessi tækni notar dulkóðun til að skrifa undir gögn og gerir kröfu um lyklapar; dreifi- og einkalykil.

 

Að lokum er þriðja formið sem getið er í grein 5.1 sem tilskipunin gefur ekki nafn en er kallað „fullgild rafræn undirskrift“. Hún samanstendur af þróaðri rafrænni undirskrift grundvallaðri á fullgildu vottorði og er búin til með öruggum undirskriftarbúnaði og þarf að fullnægja skilyrðum í viðauka I, II og III í tilskipuninni.

 

Undirritandi er skilgreindur í tilskipuninni sem „einstaklingur sem ræður yfir undirskriftarbúnaði og kemur fram fyrir eigin hönd eða fyrir hönd annars einstaklings eða lögpersónu eða aðila sem hann er fulltrúi fyrir“. Þótt það standi ekki í tilskipuninni að rafræn undirskrift verði að vísa til einstaklings (natural person) þá getur undirritari fullgildrar rafrænnar undirskriftar (grein 5.1) einungis verið einstaklingur þar sem þessi tegund af undirskrift er talin jafngild handskrifaðri undirskrift.


1.1.3. Innri markaðurinn

Til þess að stuðla að opnum markaði fyrir vottunarvörur og þjónustu og tryggja að vottunarstöðvar með aðsetur í einu landi geti veitt þjónustu í öðru landi, er tekið fram í 3. grein að aðgangur að markaði skuli ekki vera háð fyrirframgefnu leyfi. Til þess að vernda neytendur er gerð krafa um að setja upp viðeigandi kerfi til eftirlits með því að vottunaraðilar sem gefa út viðurkennd skilríki handa almenningi fullnægi kröfunum í viðaukanum.

Engar ófrávíkjanlegar kröfur eru gerðar til eftirlitskerfanna. Mismunandi módel hafa verið útfærð í löndunum en hingað til hefur starfsemi vottunarstöðva takmarkast við upprunalandið. Aukning í vottunarþjónustu yfir landamæri gæti hins vegar takmarkast vegna mismunandi eftirlitskerfa í löndunum.


1.1.4. Lagaleg viðurkenning

Grein 5.2 setur þá almennu reglu að því sé ekki hafnað að rafræn undirskrift öðlist réttaráhrif, einungis af þeirri ástæðu að hún er á rafrænu formi.

 Í grein 5.1 segir að fullgild rafræn undirskrift uppfylli lagakröfur um undirskrift í tengslum við rafræn gögn á sama hátt og eiginhandarundirskrift uppfyllir lagakröfur í tengslum við pappírsgögn.

 Enn er ekki hægt að vísa í neina fordæmisgefandi lagadóma þar sem fjallað hefur verið um réttaráhrif viðurkenningar rafrænna undirskrifta.

Áhrif tilskipunarinnar á innri markað

1.2. Almennt

Þegar tilskipunin var gefin út var þess vænst að hún mundi ýta undir notkun rafrænna undirskrifta. Henni var ekki ætlað að skapa eftirspurn eftir rafrænum undirskriftum heldur leggja grunn að öruggari lagalegum bakgrunn við notkun rafrænna undirskrifta. Notkun þróaðra eða fullgildra rafrænna undirskrifta hefur farið hægt í gang. Í stað þess hafa menn kosið að nota einfaldari gerðir af rafrænni undirskrift.

1.3. Markaður fyrir rafrænar undirskriftir

Mesta notkun rafrænna undirskrifta verður í rafrænni stjórnsýslu og í heimabönkum.

 

Mörg lönd hafa komið af stað eða eru með í burðarliðnum verkefni í rafrænni stjórnsýslu. Sum þessara verkefna byggjast á notkun rafrænna nafnskírteina. Slíkt skírteini er hægt að nota bæði sem auðkenni og til að fá aðgengi að þjónustu sem stjórnsýslan veitir borgurunum. Í flestum tilfellum munu þessi rafrænu nafnskírteini nýtast í þrennum tilgangi: staðfesting, skilríki og undirskrift.

 

Notkun rafrænna skilríkja í heimabönkum virðist vera að aukast víðast hvar. Flest auðkenningarkerfi í heimabönkum byggjast á einnota lausnarorðum og tákni, sem jafngildir einföldustu rafrænu undirskriftinni samkvæmt tilskipuninni. Margir heimabankar nota þessa tækni einungis til auðkenningar notenda en rafræn undirskrift við millifærslur fer vaxandi. Fyrir fyrirtækjabanka og færslur milli landa er algengara að nota snjallkort sem eru talin vera mun öruggari.

 

Á sama tíma eykst framboð á þjónustu sem krefst auðkenningar sem samsvarar einfaldasta formi rafrænnar undirskriftar.


1.4. Tækniþróun

1.4.1. Staðlar

Samkvæmt grein 3.5 í tilskipuninni er Framkvæmdastjórninni heimilt að gefa út tilvísunarnúmer staðla sem eru „almennt viðurkenndir“ fyrir vörur til rafrænna undirskrifta og uppfylla kröfurnar, sem mælt er fyrir um í f-lið II. viðauka og III. viðauka.

 

Í júlí 2003 gaf Framkvæmdastjórnin út ákvörðun (2003/511/EC) með tilvísun til CEN-staðla (CWA) vegna skilyrða tengdra undirskriftarbúnaði fyrir fullgildar rafrænar undirskriftir. CWA rennur úr gildi þremur árum eftir útgáfu, en CEN getur framlengt gildistímann um eitt tímabil ef þess er þörf.

 

Í samræmi við grein 3.5 er einnig hægt að þróa aðra staðla til að fullnægja skilyrðum tilskipunarinnar og svo lengi sem þeir geta talist „almennt viðurkenndir staðlar” eru líkur á því að Framkvæmdastjórnin viðurkenni þá. Almennt er hægt að fullnægja kröfunum í viðaukunum með öðrum stöðlum en þeim sem vísað er til í Stjórnartíðindum Evrópubandalaganna en ef aðildarlöndin nota mismunandi staðla þá mun það torvelda samstarf milli eftirlitsaðila landanna.


1.4.2. Tækniáskoranir

Engin einföld svör eru við því hvers vegna markaðurinn fyrir rafrænar undirskriftir hefur ekki þróast hraðar, en hann hefur þurft að sigrast á ýmsum tæknihindrunum. Eitt vandamál sem oft er bent á sem mögulega orsök er flókin tækni á bak við dreifilykla (PKI) tæknina. Það er oft undirstrikað að kosturinn við PKI-tækni sé notkun á „öruggum þriðja aðila“ sem gefur aðilum, sem aldrei hafa hist, möguleikann á að treysta hvor öðrum gegnum þann þriðja. Í mörgum af núverandi kerfum virðist vera lítill áhugi hjá vottunarstöðvunum, sérstaklega vegna skaðabótaábyrgðar, á því að leyfa viðskiptavinum sínum að nota auðkenningarkerfi frá öðrum þjónustuaðilum. Þetta er sennilega ástæðan fyrir því að auðkenni og  lausnarorð hafa enn yfirburðamarkaðsstöðu og fátt bendir til breytinga á því í nánustu framtíð. (15.03.2006)

Aðrir áhrifavaldar koma einnig til: skortur á skilyrðum í tilskipuninni á staðfestingarbúnaði fyrir rafrænar undirskriftir, sem vottunarstöðin þyrfti að útvega neytendum, og skortur á skilyrðum varðandi gagnkvæma viðurkenningu milli vottunarstöðva. Mismunandi er eftir löndum hvaða aðferðir eru notaðar til að meta rótarskilríki, traustkeðju og afturköllunarlista. Í tilraunaverkefnum hafa komið í ljós ekki aðeins tæknileg vandamál heldur einnig lagaleg og skipulagsleg.

Skortur á tæknisamþættingu hefur orsakað hindranir á viðurkenningu á rafrænum undirskriftum. Árangur hefur orðið „einangraðar“ eyjar af rafrænum undirskriftum þar sem einungis er hægt að nota skilríkin/vottorðin í afmörkuðum tilgangi.

Í PKI-umhverfinu í dag (2006) er snjallkortið mest notaði undirskriftarbúnaðurinn vegna þess að það getur geymt einkalykilinn örugglega. Þessi tækni krefst fjárfestingar í kortum og lesurum, en aðrir möguleikar einsog USB-lyklar geta einnig hýst dulmálslyklana á öruggan hátt.

Ein ástæða tregðu við að innleiða rafrænan undirskriftarbúnað er að vistun rafrænt undirritaðra gagna er talin of flókin og óörugg. Lagaleg skylda til að geyma skjöl í allt að 30 ár gerir kröfur um kostnaðarsama og óþjála tækni og ferla til að tryggja læsileika og staðfestingar í svo langan tíma.


Niðurstaða

1.5. Lagalegi þátturinn

Tilskipunin hefur skapað lagalegt öryggi með tilliti til almennrar viðurkenningar á rafrænum undirskriftum. Því er ekki talin nein augljós þörf fyrir að endurskoða tilskipunina að svo komnu máli.

 

Vegna vandamála er varða gagnkvæma viðurkenningu rafrænna undirskrifta og almennrar samvirkni mun Framkvæmdastjórnin boða til funda til að ræða um stuðningsaðgerðir vegna mismunar í túlkun á tilskipuninni, útskýringa á  einstökum greinum tilskipunarinnar, tæknilegra- og staðlasjónarmiða og samvirknivandamála. 

1.6. Áhrif á markaðinn

Notkun fullgildra rafrænna undirskrifta hefur verið miklu minni en vonast var eftir og markaðurinn hefur ekki þróast. Í dag hafa neytendur ekki eitt rafrænt vottorð/skilríki sem hægt er að nýta til að undirrita skjöl eða færslur í hinum rafræna heimi á sama hátt og á pappír. Því hefur markmiðinu um „frjálsa dreifingu á innri markaðinum á vörum til rafrænna undirskrifta” skiljanleg ekki verið náð.

 

Aðalástæðan fyrir seinagangi markaðarins er fjárhagslegs eðlis: lítil hvatning er fyrir þjónustuaðila að þróa fjölnota rafræna undirskrift og þeir kjósa að bjóða lausnir tengdar þeirra eigin þjónustu, til dæmis lausnir tengdar bankakerfinu. Þetta hægir á þróun samvirkandi lausna. Skortur á hugbúnaði sem náð hefur verulegri útbreiðslu og býður t.d. raunhæfar lausnir fyrir rafræna skjalvistun hefur tafið þróun fjölnota rafrænnar undirskriftar.

Notkun rafrænna undirskrifta í rafrænni stjórnsýslu hefur verið að aukast og mun sennilega þrýsta á áframhaldandi þróun. Þörfin fyrir að geta auðkennt sig rafrænt til að fá aðgang að rafrænni þjónustu ríkisins er nauðsynlegur fyrir borgara og viðskiptalíf og mun ýta undir notkun rafrænna undirskrifta.           

Staðfesting/vottun tímastimplun

 

Skjal

Vottunaraðili

Neytendavernd

Neytendastofa

Vottorð/skilríki

Þriðji aðili

Vottorðshafi

TIL BAKA