E-signaturloven § 22 - forholdet til generell erstatningsrett

Saksnr. 200508628 EP ATO/IKR
Dato: 10.03.2006

 

Tolkning av e-signaturloven § 22 – forholdet til generell erstatningsrett

1. Vi viser til Nærings- og handelsdepartementets brev 5. desember 2005 vedrørende tolkningen av lov 15. juni 2001 nr. 81 om elektronisk signatur (e-signaturloven) § 22. Det vises også til telefonsamtale 7. desember 2005 mellom Espen Børset, Nærings- og handelsdepartementet, og Atle Torvund, Justisdepartementet. Vi beklager at det har tatt lang tid å besvare henvendelsen.

E-signaturloven § 22 lyder:

Ӥ 22. Erstatning
       En sertifikatutsteder som utsteder sertifikater som utgis for å være kvalifiserte, eller som garanterer for slike sertifikater utgitt av en annen, er erstatningsansvarlig for tap hos en fysisk eller juridisk person som følge av at denne hadde hatt rimelig grunn til å ha tillit til at:
a) informasjonen angitt i sertifikatet var korrekt på utstedelsestidspunktet,
b) sertifikatet inneholder alle opplysninger som kreves i henhold til § 4,
c) signaturfremstillingsdata og signaturverifikasjonsdata hører sammen på en unik måte dersom sertifikatutstederen fremstiller begge,
d) undertegner disponerte korrekt signaturfremstillingsdata på tidspunktet da sertifikatet ble utstedt, eller
e) sertifikatet blir registrert i tilbaketrekkingslisten, jf. § 12.
       Sertifikatutsteder er ansvarlig etter første ledd medmindre han godtgjør at han, eller den han garanterer for, ikke handlet uaktsomt.
       Sertifikatutsteder er ikke erstatningsansvarlig for skade som skyldes at sertifikatet har blitt brukt i strid med tydelige begrensninger i sertifikatets anvendelsesområde eller utover beløpsmessige begrensninger.”

Det er reist to hovedspørsmål:
· om en eventuell ansvarsbegrensning kan komme til uttrykk andre steder enn i sertifikatet,
· om det er adgang til å begrense sertifikatutstederens totale erstatningsansvar, for eksempel til et årlig beløp.

2. E-signaturloven bygger på og gjennomfører Europaparlaments- og rådsdirektiv 1999/93/EF on a Community framework for electronic signatures, og lovteksten er i hovedtrekk basert på direktivets ordlyd.

Direktivets artikkel 6 omhandler erstatningsansvar, og lyder:

”Liability
1. As a minimum, Member States shall ensure that by issuing a certificate as a qualified certificate to the public or by guaranteeing such a certificate to the public a certification-service-provider is liable for damage caused to any entity or legal or natural person who reasonably relies on that certificate:
a. as regards the accuracy at the time of issuance of all information contained in the qualified certificate and as regards the fact that the certificate contains all the details prescribed for a qualified certificate;
b. for assurance that at the time of the issuance of the certificate, the signatory identified in the qualified certificate held the signature-creation data corresponding to the signature-verification data given or identified in the certificate;
c. for assurance that the signature-creation data and the signature-verification data can be used in a complementary manner in cases where the certification-service-provider generates them both;
unless the certification-service-provider proves that he has not acted negligently.

2. As a minimum Member States shall ensure that a certification-service-provider who has issued a certificate as a qualified certificate to the public is liable for damage caused to any entity or legal or natural person who reasonably relies on the certificate for failure to register revocation of the certificate unless the certification-service-provider proves that he has not acted negligently.

3. Member States shall ensure that a certification-service-provider may indicate in a qualified certificate limitations on the use of that certificate, provided that the limitations are recognisable to third parties. The certification-service-provider shall not be liable for damage arising from use of a qualified certificate which exceeds the limitations placed on it.

4. Member States shall ensure that a certification-service-provider may indicate in the qualified certificate a limit on the value of transactions for which the certificate can be used, provided that the limit is recognisable to third parties.

The certification-service-provider shall not be liable for damage resulting from this maximum limit being exceeded.

5. The provisions of paragraphs 1 to 4 shall be without prejudice to Council Directive 93/13/EEC of 5 April 1993 on unfair terms in consumer contracts.”

Selv om loven bygger på direktivet, følger det av lovens forarbeider at loven og direktivet ikke har fullt ut sammenfallende virkeområder. Lovens regler om kvalifiserte sertifikater gjelder både når sertifikater utstedes til allmennheten og når slike sertifikater utstedes innen lukkede systemer, jf. Ot.prp. nr. 82 (1999-2000) side 21-22. Proposisjonen legger til grunn at direktivet ikke gjelder når en sertifikatutsteder utsteder kvalifiserte sertifikater innenfor systemer som er basert på frivillige avtaler mellom et begrenset antall deltakere, såkalte lukkede systemer.

Denne vurderingen antar vi ligger bak en avvikende utforming av erstatningsbestemmelsene i henholdsvis lovens § 22 og direktivets artikkel 6. Lovens ordlyd omfatter erstatningsansvar i forbindelse med enhver utstedelse av eller garantistillelse for sertifikater, mens direktivets artikkel 6 bare gjelder når slik utstedelse eller garantistillelse skjer ”to the public”, det vil si i åpne systemer.

3. E-signaturloven § 22 gjelder erstatningsansvar knyttet til ”sertifikater som utgis for å være kvalifiserte”. Hva et kvalifisert sertifikat er, fremgår av lovens § 4. Det fremgår av § 22 første ledd bokstav b at det kvalifiserer for erstatningsansvar for utsteder eller garantist om sertifikatet ikke inneholder alle opplysninger som kreves etter § 4. Spørsmålet om en ansvarsbegrensning kan uttrykkes andre steder enn i sertifikatet selv, må løses ut fra ordlyden i § 22 tredje ledd, sammenholdt med første ledd bokstav b og § 4. § 22 tredje ledd sier at det ikke gjelder et erstatningsansvar for skade som følger av at sertifikatet er benyttet i strid med ”tydelige begrensninger i sertifikatets anvendelsesområde eller utover beløpsmessige begrensninger”. De relevante delene av § 4 andre ledd lyder slik:

”Et kvalifisert sertifikat skal inneholde følgende informasjon:
…
i) eventuelle begrensninger i sertifikatets anvendelsesområde, og
j) eventuelle beløpsmessige begrensninger i sertifikatet med hensyn til hvilke transaksjoner sertifikatet kan brukes til. ”

I merknadene til § 4 i Ot.prp. nr. 82 (1999-2000) side 50 er det uttalt:

”Annet ledd bokstav i) og j) gir sertifikatutsteder mulighet til å fastsette anvendelses- og beløpsmessige begrensninger for bruken av sertifikatet. Når en sertifikatutsteder fastsetter slike begrensninger for bruken av sertifikatet skal dette fremgå av sertifikatet. Eventuelle begrensninger i sertifikatets bruksområde må umiddelbart fremstå for en tredjemann dersom denne skal kunne ha tillit til den elektroniske signaturen. Det kreves derfor at slike begrensninger fremgår direkte av sertifikatet. Her må man imidlertid være klar over at hvordan programvaren er installert kan ha betydning for hvordan informasjonen fremgår, selv om informasjonen finnes i sertifikatet.

Bestemmelsen må ses i sammenheng med bestemmelsen om erstatningsansvar, hvor det fremgår at sertifikatutsteder ikke er ansvarlig for tap som oppstår som følge av anvendelse utenfor de fastsatte begrensningene, jf. § 22.”

I merknadene til § 22 på side 56 fremgår dette:

”Det følger av tredje ledd at sertifikatutstederen skal kunne begrense erstatningsansvaret ved at det i sertifikatet angis begrensninger i sertifikatets anvendelsesområde eller transaksjonsbeløp. Disse begrensingene må være tydelige for tredjemann. Dette innebærer at de må fremgå tydelig av sertifikatet, både for den sertifikatet er utferdiget til og, ikke minst, for den mottaker som skal stole på sertifikatet. Det bemerkes at programvaren må være korrekt installert og programvaren må kunne håndtere slik fremvisning, slik at all informasjon i sertifikatet fremgår for mottaker. Det er viktig at brukeren velger en programvare hun har tillit til at fungerer som forutsatt. Sertifikatutsteder er ikke erstatningsansvarlig for skade som skyldes at sertifikatet anvendes utover begrenset anvendelsesområde. Dessuten, dersom sertifikatet brukes utover angitt transaksjonsbeløp, er ikke sertifikatutsteder ansvarlig for beløp som overstiger begrensingen.”

Av direktivets artikkel 6 nr. 3 og 4 følger det at en begrensning må uttrykkes ”in a [the] qualified certificate … provided that the limitations are/limit is recognisable to third parties”. Det kan være noe uklart hva som ligger i det siste, men vi finner ikke at dette kan ha avgjørende betydning for det aktuelle spørsmålet om hva lovens § 22 tredje ledd, jf. første ledd bokstav b, jf. § 4, krever. I Ot.prp. nr 82 (1999-2000) side 28 uttaler departementet dette:

”Ifølge kravene i direktivet må eventuelle begrensninger fremgå direkte av sertifikatet. Det er således ikke mulig, eller tilstrekkelig …, å i sertifikatet vise til et annet dokument der disse begrensningene kan leses.”

Ordlyden i § 4, jf. særlig ”skal”, sett i sammenheng med § 22 første ledd bokstav b og tredje ledd, tilsier etter vår vurdering at en ansvarsbegrensning må fremgå av sertifikatet selv for at det skal oppfylle kravet til å være et kvalifisert sertifikat, og at oppfyllelsen av dette kravet er et vilkår for at ansvarsbegrensningen i § 22 tredje ledd skal kunne påberopes. Dette støttes av forarbeidene.

4. Nærings- og handelsdepartementet har i sin foreløpige vurdering trukket et skille mellom bruk av sertifikatet i åpent og lukket system. Vi kan ikke se et rettskildemessig grunnlag for å trekke et avgjørende skille mellom sertifikater som er til bruk i åpne system og sertifikater som bare skal benyttes i lukkede system.

Dersom det etter den norske loven skulle gjelde andre rettslige løsninger for lukkede systemer enn for de åpne, ville det være naturlig at dette fremgikk uttrykkelig av loven, særlig fordi problemstillinger knyttet til sondringen mellom åpne og lukkede systemer er drøftet i forarbeidene.

Vi vil til dette likevel tilføye at etter ordlyden i lovens § 22 første ledd inntrer erstatningsansvaret overfor en person som lider tap "som følge av at denne hadde hatt rimelig grunn til å ha tillit til" bestemte nærmere angitte forhold. Vi vil ikke utelukke at for eksempel deltakere i lukkede systemer, særlig i lys av inngåtte avtaler der de selv er part, konkret vurdert ikke finner å ha hatt "rimelig grunn til å ha tillit" som nevnt i enkelte relasjoner. Dette kan da få betydning ved selve ansvarsvurderingen etter § 22 første ledd. Hvis den skadelidte i slike tilfeller konkret vurdert ikke kunne ha "rimelig grunn til ha tillit til at" ansvarsbegrensningene fremgikk av sertifikatet under forhold der skadelidte var kjent med begrensningene, kan det ikke ses bort fra at begrensningene får virkning.

5. Når det gjelder spørsmålet om det er adgang til å begrense sertifikatutstederens totale erstatningsansvar utover det som fremgår i § 4 andre ledd bokstav j, for eksempel til et årlig beløp, synes Nærings- og handelsdepartementets utgangspunkt å være at det ikke vil være adgang til å begrense det totale erstatningsansvaret, men at det samtidig ikke kan utelukkes at en slik begrensning vil stå seg for sertifikater som benyttes i lukkede systemer.

Vi viser her til de vurderingene som er gjort over, og finner det vanskelig å oppstille et rettslig skille som dette mellom åpne og lukkede systemer.

6. Nærings- og handelsdepartementet har bedt om en særlig vurdering av forholdet til alminnelige erstatningsregler. Bruk av kvalifiserte sertifikater involverer flere parter: utsteder og/eller garantistiller, undertegner og mottaker. Erstatningskrav kan oppstå mellom ulike parter. Vi begrenser oss her til å se på krav mot sertifikatutsteder/garantistiller.

E-signaturloven § 22 regulerer sertifikatutstederens erstatningsansvar knyttet til utstedelse av eller garanti for sertifikater som fremstår som kvalifiserte. Bestemmelsen suppleres av alminnelige erstatningsregler, og dette er også forutsatt i lovens forarbeider, jf. Ot.prp. nr. 82 (1999-2000) punkt 8.9.3 side 35. Det innebærer blant annet at de alminnelige kravene om at det må være lidt et økonomisk tap, og at det må være årsakssammenheng mellom tapet og den feilen som er begått, må være oppfylt. Også alminnelige regler om nedsettelse av erstatningen ved skadelidtes medvirkning ved egen skyld må antas å gjelde. Videre må det antas at prinsipper om skadelidtes tapsbegrensningsplikt gjelder, slik at det bare er tap skadelidte ikke med rimelighet kunne forhindret eller begrenset som kan kreves dekket.

Når det gjelder sertifikatutstederens adgang til å påberope seg begrensninger i ansvaret, vil det som utgangspunkt måtte vurderes etter § 22. Dette gjelder både overfor krav fra mottakeren og undertegneren.

Hvis sertifikatutstederen har påført noen et tap ved et grovt uaktsomt eller forsettlig forhold, kan det rent rettslig sett trolig ikke utelukkes at dette i seg selv kan utgjøre et selvstendig ansvarsgrunnlag, og at begrensningen inntatt i et kvalifisert sertifikat etter lovens § 4 andre ledd bokstav i og j ikke uten videre blir avgjørende.
 
Utenfor virkeområdet for § 22, for eksempel et krav om erstatning knyttet til sertifikater som ikke utgis for å være kvalifiserte, vil alminnelige erstatningsregler og -prinsipper gjelde. En gyldig ansvarsbegrensning må i så fall være vedtatt av skadelidte. Slike ansvarsbegrensningsklausuler må være i samsvar med avtalerettslige regler, for eksempel avtaleloven §§ 33 og 36. Man kan ikke legge til grunn at ansvarsbegrensningen nødvendigvis står seg hvis sertifikatutstederen har påført andre tap med forsett eller grovt uaktsomt.