51998AC0443

Det Økonomiske og Sociale Udvalgs udtalelse om »Meddelelse fra Kommissionen til Europa-Parlamentet, Rådet, Det Økonomiske og Sociale Udvalg og Regionsudvalget om sikkerhed og tillid i elektronisk kommunikation - Imod europæiske rammer for digitale signaturer og kryptering« (98/C 157/01)

Kommissionen for De Europæiske Fællesskaber besluttede den 10. oktober 1997 under henvisning til EF-traktatens artikel 198 at anmode om Det Økonomiske og Sociale Udvalgs udtalelse om det ovennævnte emne.

Det forberedende arbejde henvistes til ØSU's Sektion for Industri, Handel, Håndværk og Tjenesteydelser, som udpegede Umberto Burani til ordfører. Sektionen vedtog sin udtalelse den 4. marts 1998.

Det Økonomiske og sociale Udvalg vedtog på sin 353. plenarforsamling af 25. og 26. marts 1998, mødet den 25. marts 1998, med 101 stemmer for, 1 stemme imod og 1 stemme hverken for eller imod, følgende udtalelse.

1. Generelle bemærkninger

1.1. Kommissionen har med sin meddelelse gjort et vellykket forsøg på at indkredse problemfeltet omkring elektronisk kommunikation, et meget teknisk og specielt emne. Det er imidlertid nødvendigt, at brugerne, især de offentlige myndigheder og lovgiverne, forstår de tekniske aspekter.

1.2. Den elektroniske kommunikation via åbne net som Internet er ved at nå et omfang, som var utænkeligt for blot 10 år siden, og dens videreudvikling vil sandsynligvis være et grundlæggende kendetegn for samfundet ved dette årtusinds afslutning og ind i det næste. I den nærmeste fremtid må der forventes en kraftig vækst, men den praktiske anvendelse i forbindelse med forskellige aktiviteter, især elektronisk handel (), afhænger af, om det lykkes at rydde hindringerne for en harmonisk udvikling af den elektroniske kommunikation af vejen.

1.3. Kommissionen konstaterer, at hindringerne ligger i den usikkerhed, der uvægerligt følger med anvendelsen af åbne net: meddelelser kan opfanges og manipuleres, dokumenters gyldighed kan bestrides, personlige oplysninger kan indsamles ulovligt, og kommunikationen kan anvendes til ulovlige formål. Det er derfor nødvendigt at skabe en sikker infrastruktur, som gør det muligt at etablere et informationssamfund, der beskytter borgerne mod misbrug, og at udvikle elektronisk handel, der er mindst lige så sikker som den udveksling af papirdokumenter, der finder sted i dagens erhvervsliv.

1.4. Kommissionens meddelelse omhandler to grundlæggende, sikkerhedsskabende midler: digitale signaturer og kryptering. Det første er garant for kontrahentens identitet og meddelelsens oprindelse (autenticitet), det andet beskytter mod uvedkommende indblanding (integritet) og sikrer kommunikationens fortrolighed. Kommissionen ønsker i samarbejde med alle berørte parter at fastslå, hvordan situation ser ud i dag, og hvordan den kan forventes at udvikle sig. ØSU bifalder denne holdning og anmoder om at blive hørt i forbindelse med nye initiativer fra Kommissionens side.

1.5. Europa-Parlamentet og Ministerrådet har bedt Kommissionen om at træffe de fornødne forholdsregler til iværksættelse af foranstaltninger, der sikrer elektroniske dokumenters integritet og autenticitet. ØSU bemærker, at man ikke kan se bort fra andre initiativer, der er under udarbejdelse eller allerede er vedtaget i tredjelande og i internationale organisationer (OECD, UNCITRAL m.m.).

1.6. ØSU bemærker desuden, at reglerne på området bør styres af et klart helhedssyn: på den ene side må man udvise fleksibilitet for ikke at lægge hindringer i vejen for teknologiske fremskridt og applikationer, på den anden side må der ikke røres ved fundamentale principper i EU: forbrugerbeskyttelse, lige konkurrencevilkår, tjenesteydelsers frie bevægelighed, gensidig anerkendelse. Elektronisk kommunikation er en revolution med mindst lige så vidtrækkende følger som den industrielle revolution i forrige århundrede. Den juridiske og administrative ramme skal hente inspiration i nye begreber, der bygger på de fremskridt, der allerede er gjort, og på velbegrundede prognoser.

1.7. Den nuværende lovgivning, som har udviklet sig i 2000 år siden Romerretten, er baseret på dokumenter nedfældet på papir. De vil i nær fremtid - i hvilket omfang vides endnu ikke, men sikkert betydeligt - blive afløst af elektroniske »dokumenter«. Ændringen vil være radikal og kræve en anden fremgangsmåde, som foruden at tackle problemet med kontrakters gyldighed også opstiller regler for gyldigheden af elektronisk dokumentation i korrespondancen mellem privatpersoner og med offentlige myndigheder (skatter, socialsikring, registrering af dokumenter, retssager osv.).

1.8. I nogle lande har den offentlige forvaltning allerede indført elektronisk kommunikation i forbindelse med udveksling af informationer og dokumenter internt og i kontakten med borgerne. Når først der er skabt en sikker juridisk og administrativ ramme, bør man kunne anvende elektronisk kommunikation i forbindelse med dokumenter af juridisk og administrativ relevans. Det vil nok være en endnu større revolution end den, privatretten vil gennemgå.

1.9. Der er således behov for at opstille en ny juridisk og administrativ ramme, der er baseret på dokumentationens immaterialitet. Civilret og forvaltningsret er overvejende de enkelte medlemsstaternes kompetenceområde. Mange forskellige initiativer er blevet vedtaget eller er under forberedelse. Det kan efter en første summarisk analyse konstateres, at retningslinjerne og de valgte løsninger ofte divergerer væsentligt. ØSU henleder Kommissionens og medlemsstaternes opmærksomhed på, at det er absolut nødvendigt hurtigst muligt at harmonisere grundprincipperne på europæisk niveau. Kravene til det indre markeds funktionsdygtighed ville hurtigt blotlægge de alvorlige ulemper, som følger af medlemslandenes forskellige infrastruktur, hvad angår lovgivning og administrative bestemmelser. Det ville desuden være yderst vanskeligt at harmonisere området på et senere tidspunkt.

2. Indledning: behovet for sikker elektronisk kommunikation ()

2.1. ØSU har taget de tekniske aspekter af den elektroniske kommunikation, den digitale signatur og krypteringen til efterretning. Kommissionen komplimenteres for at have gjort et komplekst og fagspecifikt emne tilgængeligt for et publikum, der ikke nødvendigvis har videnskabelige forkundskaber. ØSU vil ikke komme nærmere ind på de tekniske aspekter, men nøjes med at kommentere de særlige operative og funktionelle træk, som kan føre til indgriben fra EU-institutionernes side i form af lovgivning eller administrative bestemmelser.

2.2. Det er ikke muligt at opnå absolut sikkerhed inden for elektronisk kommunikation, og ØSU påpeger, at den største fare på dette område er de forskellige former for bedrageri. Der er ingen tvivl om, at åbne net (som Internet) er sårbare i den henseende, i det mindste indtil der indføres effektive sikkerhedsforanstaltninger i stor målestok. Kommissionen minder i denne forbindelse om, at vigtige dokumenter udveksles på lukkede net, som kun brugere, der allerede kender hinanden og har tillid til hinanden, har adgang til.

2.3. De lukkede net, som er fuldt ud legale, har udviklet sig uafhængigt af de åbne net, og de har anvendt egne kommunikationssystemer eller Internettet. De er nok dyrere i brug, men den omstændighed, at de er relativt sikrere end de åbne net, er uden tvivl den afgørende begrundelse for at vælge dem. Deres udbredelse vil derfor afhænge af de åbne nets pålidelighed. Jo mere pålidelige de åbne net er, desto mindre er tilskyndelsen til at oprette nye lukkede net. Da der jo er aftalefrihed, mener ØSU ikke, der er behov for at opstille regler for denne sektor. Det er dog et problem, at der kan opstå tvivl om gyldigheden af beviset for transaktioner over for tredjemænd, hvis transaktionerne ikke er blevet identificeret og godkendt af en certificeringsmyndighed (jf. pkt. 5).

2.4. Meddelelsens hovedsigte er imidlertid ikke at behandle sikkerhedsspørgsmålet som sådant. Ambitionen er meget større, nemlig at:

- etablere en EU-ramme for digitale signaturer,

- sikre, at det indre marked for kryptografiske tjenester og produkter fungerer,

- løse de internationale problemer, der skyldes Internettets universale karakter,

- integrere kryptografien i de øvrige EU-politikker,

- give brugerne mulighed for at udnytte det potentiale, der ligger i informationssamfundet - det »globale« informationssamfund, som Kommissionen kalder det.

2.5. Denne handlingsramme kan ØSU tilslutte sig, men peger samtidig på et forhold, som kan forekomme indlysende, men som undertiden glemmes i arbejdets løb: Ethvert EU-initiativ skal tage hensyn til den elektroniske kommunikations globale karakter. Ønsket om at overgå andre kan forskubbe kriterierne på en uheldig måde. Kommissionen har tilsyneladende lagt sig dette på sinde. ØSU understreger på sin side, at EU bør stille sig i spidsen for nye initiativer, hvis og når det er muligt, og under hensyntagen til det, som andre gør og har gjort. Det nuværende eller planlagte internationale samarbejde () har givet gode resultater, men beslutningsprocessen er langsommelig. Det er imidlertid nødvendigt, at der hurtigst muligt vedtages en lovgivning på EU-plan. Den skal være så fleksibel, at den kan tilpasses det internationale samarbejdes krav.

3. Autentificering og integritet: digitale signaturer ()

3.1. Den digitale signatur garanterer, at en meddelelse kommer fra en identificeret og autoriseret person (autenticitet), og at dens indhold ikke i løbet af overførslen er blevet ændret af tredjemand eller ved et uheld (integritet) (). Den digitale signatur er baseret på et kryptografisk system med anvendelse af en offentlig nøgle (som kendes af alle brugerne af et bestemt system) og en privat nøgle (som kun kendes af afsenderen).

3.2. Den digitale signatur (eller andre alternative systemer, der er under udvikling) er en forudsætning for gyldigheden af kontrakter, der er indgået under anvendelse af systemer, der ikke bygger på udveksling af dokumenter på papir. Den er hovedhjørnestenen i en ny juridisk ramme for handler, der indgås ved hjælp af elektronisk kommunikation.

3.3. I lukkede systemer opstår der ikke problemer mht. gyldigheden af indgåede kontrakter, eftersom gensidig tillid - som er baseret på strenge adgangsbetingelser, klare sikkerhedskriterier samt aftalefrihed - er selve grundlaget for systemets tilblivelse. Blandt de forskellige fremgangsmåder, der er anvendt, skal især nævnes etableringen af SET-protokollen (Secure Electronic Transaction) () for elektronisk handel med finansielle tjenesteydelser. Den er via et digitalt certifikat tilgængelig for indehavere af betalingskort eller elektroniske betalingsmidler, købere af varer eller tjenesteydelser fra udbydere, der er tilsluttet systemet. Det skal tilføjes, at SET ret beset ikke kan defineres som et »lukket system«, men snarere må betragtes som et »åbent betalingssystem«.

3.4. Det er nødvendigt at sikre juridisk anerkendelse af gyldigheden af kontrakter, som er indgået på åbne net, både for de involverede parter og over for tredjemænd. Nogle medlemsstaters retssystemer anerkender allerede digitale signaturers gyldighed, men kun en overnational, harmoniseret lovgivning kan sikre udviklingen af elektronisk handel på verdensplan.

4. Fortrolig elektronisk kommunikation: kryptografi ()

4.1. Ud over sikkerhed for meddelelsens autenticitet og integritet (se punkt 1.4 og 3.1) er der ved elektronisk kommunikation ligesom ved skriftlig kommunikation brug for fortrolighed. Det er vigtigt, at dette krav er opfyldt i forbindelse med lukkede net, og det er vitalt i åbne net. Ved hjælp af kryptografi kan man sikre, at meddelelsen ikke forstås af andre end afsender og modtager.

4.2. Det kryptografiske system bygger på det princip, at kun afsenderen kan kryptere meddelelsen, og at den kun kan dekrypteres af modtageren. Der er mange »præfabrikerede« kryptografiske produkter i handelen - ifølge kommissionsdokumentet 1.400 versioner. Det er indlysende, at udveksling af krypterede og dechifrerbare meddelelser forudsætter, at afsender og modtager er i besiddelse af kompatibelt software.

4.3. Den hurtige tilvækst af nye krypteringsprogrammer gør det vanskeligt for de enkelte brugere at forvalte softwaren i deres kommunikation med mange forskellige parter. Desuden skaber kryptering i sig selv et yderst vanskeligt dilemma. For det første kræver beskyttelsen af privatlivets fred (og af ophavsretten og forretningshemmeligheden) samt beskyttelsen af erhvervslivet mod ulovlig indblanding at brugerne kan benytte sig af et krypteringssystem, der sikrer, at kommunikationen kan foregå med en høj grad af fortrolighed eller hemmeligholdelse. For det andet er det nødvendigt at beskytte samfundet mod ulovlig anvendelse af kryptering til spionage, terrorisme, kriminalitet eller andre ulovlige formål.

4.4. Derfor er det nødvendigt at regulere dette område ud fra fælles principper i alle medlemsstaterne, således at man - så vidt det er muligt - kan imødekomme krav, der tilsyneladende er uforenelige. ØSU understreger, at enhver borger burde have ret til at anvende krypteringssystemer, men erkender, at samfundets behov for at beskytte sig mod kriminelle eller ulovlige aktiviteter sætter en grænse for denne rettighed. Vanskeligheden består i at fastlægge denne grænse, som kan variere fra land til land, men også over tid afhængigt af den politiske og sociale situation i de forskellige lande. Det er indlysende, at problemet kun kan løses af de enkelte medlemsstater efter principperne om rimelighed og proportionalitet. Det næste problem, der skal løses, er fastlæggelsen af de tilfælde, hvor borgernes rettighed på dette område må vige, og af betingelserne for myndighedernes indgriben - altsammen på grundlag af en retssikkerhed, der giver borgerne garantier med hensyn til anvendelsen af de indhentede oplysninger.

5. Certificeringsmyndigheder (CM) og betroede tredjeparter (Trusted Third Parties - TTP) ()

5.1. Alle de her beskrevne problemer gør det nødvendigt med systemer, som kan sikre, at digitale signaturer og krypteringssystemerne er så pålidelige som muligt, forestå tildelingen af nøgler og deres certificering og sikre såvel meddelelsernes fortrolighed som beskyttelsen af samfundet mod kriminalitet.

5.2. På EU-plan har man endnu ikke fået skabt en juridisk ramme for anerkendelsen over for tredjepart af digitalt underskrevne (og eventuelt krypterede) dokumenter, der er overført via åbne net. Kommissionen foreslår, at der i hvert EU-land oprettes en eller flere juridisk anerkendte certificeringsmyndigheder (CM), der fungerer som »notar« for opbevaring af offentlige nøgler.

5.3. En juridisk anerkendt certificeringsmyndighed får dermed offentligretlige funktioner. Den hverken kan eller bør have andre funktioner eller levere de tjenester, som er typiske for betroede tredjeparter, der udelukkende leverer private tjenester. De to organer skal - også ifølge Kommissionen - holdes nøje adskilt. ØSU er enig heri, men det er endnu ikke afgjort, om certificeringsmyndighederne nødvendigvis skal være offentlige organer, eller om de kan være private organer med offentlig autorisation. Da hovedsagen er, at funktionen anerkendes og reguleres, mener ØSU, at denne beslutning kan overlades til de enkelte medlemsstater.

5.4. ØSU stiller spørgsmålstegn ved, om det altid er nødvendigt at oprette certificeringsmyndigheder eller at udstrække deres kompetenceområde til alle eksisterende systemer. I visse tilfælde (f.eks. for SET-protokollens vedkommende) er der flere hundrede tusinde brugere, og snart vil der være flere millioner. Så vil det blive meget kompliceret og dyrt at opbevare og forvalte de enkelte nøgler. Den enkleste og billigste løsning vil nok være at give betroede tredjeparter, som kan garantere for deres integritet og erfaring, juridisk anerkendelse som »privat« certificeringsmyndighed.

6. Afsluttende bemærkninger

6.1. Kommissionens program er ret omfattende, men veldisponeret, og ØSU er principielt enig. I stedet for at gentage fælles synspunkter fremsætter ØSU følgende bemærkninger, der kan bidrage til den igangværende debat.

6.2. Hvad angår interoperabilitet () opfordrer Kommissionen industrien og de internationale standardiseringsorganer til at udvikle tekniske og infrastrukturmæssige standarder for at garantere en sikker og pålidelig brug af nettene. Kommissionen overvejer, om der kan træffes foranstaltninger til støtte for den europæiske industris udviklingsarbejde på dette område. ØSU understreger, at fastlæggelsen af standarder påvirker EU's konkurrenceevne over for tredjelande, og foreslår, at Kommissionens indsats kædes sammen med de foranstaltninger, den selv har bebudet i meddelelsen om den europæiske informations- og kommunikationsteknologisektors konkurrenceevne ().

6.3. Det er ligeledes nødvendigt at udarbejde en strategi for at fremme anvendelsen af elektronisk kommunikation i SMV. Ud over de mange tiltag, som ØSU allerede har foreslået i sin udtalelse om elektronisk handel () vil det være nyttigt, at SMV får nøglefærdige løsninger som i forbindelse med TEDIS. Handelskamrene og andre brancheorganisationer kan bidrage afgørende til at introducere den ny teknologi i de enkelte erhvervssektorer. Samtidig skal opmærksomheden dog henledes på behovet for, at udbredelsen af elektronisk kommunikation ledsages af en oplysningsindsats over for SMV om risiciene og omkostningerne ved anvendelsen af den nye teknologi. Beslutningerne på dette område bør ligesom ved enhver anden innovation træffes på en ansvarlig måde og i fuld bevidsthed om de positive og negative elementer i de trufne valg.

6.4. Et aspekt, der naturligt indgår i denne problematik, men ikke behandles særskilt i meddelelsen, er beskyttelsen af forbrugerne og mere generelt af alle deltagerne i den elektroniske kommunikation. Det er et meget vigtigt og temmelig kompliceret spørgsmål set ud fra et folkeretligt synspunkt. Den relative sikkerhed, som digitale signaturer giver, vil fremme fjernsalgets udbredelse. Men mens de gældende EU-bestemmelser og andre nationale love på området kan anvendes uden fortolkningsproblemer på kontrakter mellem købere og sælgere fra samme land, kan der opstå tvivlsspørgsmål, når der er tale om kontrakter indgået mellem personer bosat i forskellige EU-lande, som ikke har samme beskyttelsesniveau. Situationen kompliceres endnu mere, når køber eller sælger er bosat i et tredjeland. ØSU mener, at regler om gyldigheden af elektronisk indgåede kontrakter bør være underlagt en juridisk rammelovgivning på EU-plan. ØSU anbefaler endvidere, at man ikke falder for fristelsen til at anvende retten uden for EU's område og således imødegår de mange forsøg fra tredjelandes side på ekstraterritorial anvendelse af nationale bestemmelser.

6.5. De store forskelle i forbrugerbeskyttelsesniveau på verdensplan (men også EU-landene imellem) kan ikke udlignes på kort sigt. Forbrugerne - og alle andre brugere - skal derfor informeres om, at EU's eller den enkelte medlemsstats beskyttelse ikke i alle tilfælde kan udstrækkes til kontrakter indgået med leverandører i tredjelande eller andre EU-lande. Samme overvejelser må gøre sig gældende for reglerne om ophavsret, borgerlige frihedsrettigheder, ytringsfrihed og sædelighed (pornografi osv.).

6.6. Afgiftsområdet, især moms, er et særligt vanskeligt problem. Principielt vil enhver regering vel kraftigt modsætte sig enhver aftale eller lov, som indebærer tab af skatteprovenu, og systemer, som gør det lettere at omgå afgiftsreglerne. ØSU rejser spørgsmålet, om den planlagte harmonisering i EU (), der sigter mod påligning af moms efter satsen i købers bopælsland, kan anvendes på elektronisk handel, især når tredjelande er involveret.

6.7. Med Internettet har problemet med svindel og bekæmpelse af organiseret kriminalitet fået en ny dimension. Straffelovene er på dette område meget forskellige eller ikke-eksisterende. EU bør ud over den allerede planlagte indsats () beslutsomt arbejde for harmonisering og internationalt samarbejde, som ikke begrænses til en snæver kreds af lande. Inden for EU bør der også ydes støtte til uddannelsesforanstaltninger i de organer, som har til opgave at bekæmpe kriminalitet, især Europol.

6.8. Hvis elektronisk kommunikation skal kunne erstatte skriftlig kommunikation, er der brug for en meget kompleks regulering og retlige rammer, der omfatter mange forskellige områder. Kommissionen har ud over et handlingsprogram skitseret en tidsramme for de foranstaltninger, der skal iværksættes. ØSU glæder sig over de positive intentioner, men stiller spørgsmålstegn ved, om alle tidsfrister - navnlig dem, der forudsætter indgåelse af internationale aftaler - kan overholdes.

6.9. Endelig må det som første skridt fastslås, hvor grænsen skal gå mellem EU's og medlemsstaternes indsats på lovgivningsområdet. Bortset fra de regler, der er nødvendige for at sikre kontrakters juridiske gyldighed og for at fjerne de nationale bestemmelser, der hindrer interoperabilitet, mener ØSU, at der bør gives et stort spillerum for selvregulering (adfærdskodekser). Det gælder især nye systemers kompatibilitet med de foregående, sikring af, at lukkede og åbne systemer følger de samme sikkerhedsregler og -standarder, lige vilkår for deltagere fra forskellige lande. De offentlige myndigheders indsats bør begrænses til kontrol af systemernes funktion og af deres overensstemmelse med det indre markeds generelle principper.

6.10. ØSU vil rent konkret foreslå følgende retningslinjer for Kommissionens fremtidige - og for nogles vedkommende presserende - initiativer:

- den definition af »signatur«, der i dag anvendes i love, forskrifter og procedurer, skal udvides, så den også kommer til at omfatte begrebet digital signatur;

- vedhæftelsen af en digital signatur skal ske på en automatisk, eksplicit og kontrollerbar måde, og underskriveren skal visuelt og operativt fuldt ud kunne kontrollere handlingen. Derfor er der brug for en klar og ensartet definition, som dog skal være så rummelig, at den også kan omfatte signaturer, der indlæses med fremtidig teknologi;

- inden for en overskuelig tid bør alle borgere have adgang til et redskab (hævekort, sygesikringsbevis osv.), som giver dem mulighed for at underskrive digitalt. Dette forudsætter en national personregistrering og en central databank;

- de offentlige myndigheder skal snarest muligt være i stand til at levere og modtage elektronisk dokumentation. Dokumentationen kan - i det mindste i starten - være tilgængelig via terminaler i offentlige institutioner;

- certificeringsmyndighederne skal gensidigt anerkendes på verdensplan;

- brevvekslingens fortrolighed er sikret i næsten alle industrialiserede landes forfatninger. Undtagelserne fra denne grundregel er fastsat i lovgivningen. Elektronisk kommunikation bør beskyttes på samme vis og efter samme kriterier.

Bruxelles, den 25. marts 1998.

Tom JENKINS

Formand for Det Økonomiske og Sociale Udvalg

() EFT C 19 af 21.1.1998, s. 72.

() Jf. Kommissionens meddelelse (KOM(97) 503 endelig udg.), kapitel I, s. 6-7.

() Jf. Kommissionens meddelelse, kapitel IV, pkt. 1.2 (iii), s. 24.

() Jf. Kommissionens meddelelse, kapitel II, s. 8-9.

() De tekniske aspekter, som er temmelig komplicerede, beskrives navnlig i meddelelsens bilag 1 og 2.

() SET omfatter meddelelsers integritet, autentificering af signaturer og kryptering af kommunikationen (jf. desuden udtalelsens pkt. 5.2).

() Jf. Kommissionens meddelelse, kapitel III, s. 16-17.

() Jf. Kommissionens meddelelse, kapitel II, 2, s. 8.

() Jf. Kommissionens meddelelse, kapitel IV, 3, s. 25-27.

() EFT C 73 af 9.3.1998, s. 1.

() EFT C 19 af 21.1.1998, s. 72.

() EFT C 296 af 29.9.1997.

() Jf. »Handlingsplan til bekæmpelse af organiseret kriminalitet«, som Rådet vedtog den 28. april 1997, EFT C 251 af 15.8.1997.