Juridiske problemstillinger ved avskaffelsen av papirskjema

Transkript

1 Juridiske problemstillinger ved avskaffelsen av papirskjema Dette dokumentet beskriver de juridiske problemstillingene ved overgang til elektronisk avgitt egenerklæring, og avskaffelse av erklæring ved sletting av domener eller bytte av abonnent. Dokumentet står i sammenheng med (designdokumentet). Situasjonen per november 2011 Vi har i dag krav om håndskrevet signatur fra abonnenten, representert ved abonnentens juridiske kontaktperson, for tre typer operasjoner: ved førstegangs registrering av et domenenavn (egenerklæring) ved bytte av abonnent (erklæring om bytte av abonnent) ved sletting av domenenavnet (erklæring om sletting) Alle erklæringene er papirdokumenter som må fylles ut og signeres for hånd. Vi tillater at dokumentet sendes oss elektronisk i form av vedlegg til e-post eller faks.når det gjelder egenerklæringen, skal originalen fremdeles finnes på papir. Registrarene henter inn og kontrollerer alle de tre erklæringene, og er forpliktet gjennom registraravtalen til å arkivere egenerklæringen. Erklæring om sletting eller bytte av abonnent sendes videre til Norid. vi kontrollerer den manuelt før operasjonen gjennomføres. Erklæringer per faks arkiveres i tre år før de makuleres, erklæringer per e-post arkiveres i et eget e-postarkiv. Bruken av papir i disse prosessene er ressurskrevende for både Norid, registrarene og abonnentene. Ny løsning Når vi skal endre dagens prosesser, står avveiningen mellom hvordan vi skal skaffe tilstrekkelig bevis for at søker har fått nødvendig informasjon og gitt relevante samtykker, og ønsket om å ha en enklest mulig prosess for innhenting av disse. Ved vurderingen av ulike modeller, har vi tatt utgangspunkt i disse grunnleggende kravene: ansvarsfordelingen mellom Norid, registraren og søker/abonnent må være synlig og tydelig, og det må være dokumenterbart at alle parter har fått tilstrekkelig informasjon om sine rettigheter og plikter egenerklæringen må avgis i tråd med domeneforskriften, og må sikre tillatelse fra søker om at Norid kan publisere personopplysninger i whois iht. personvernlovgivningen 1

2 det må være tilstrekkelig juridisk etterprøvbart at erklæring er avgitt av den abonnenten det gjelder prosessene må være ressurs- og kostnadseffektive for registrarene og Norid opplegget må være enkelt og begripelig for søker/abonnent sikkerheten til abonnenten må ivaretas Etter å ha utredet forskjellige løsningsforslag og fått innspill fra registrarene, har vi konkludert som følger: egenerklæringen avgis ved at abonnenten blir vist vilkårene i erklæringen og skriver under på at han aksepterer disse ved å taste inn navnet sitt og organisasjonsnummer på abonnentorganisasjonen, eller personidentifikator (PID) for priv.no-domener erklæring om sletting eller bytte av abonnent avskaffes helt. På samme måte som for andre endringer med et domenenavn, skal registraren kun utføre disse på bestilling fra abonnenten 1. Autentisering av abonnenten Det er ikke nødvendig med papir for å inngå en avtale. Rent juridisk er en muntlig avtale like bindende som en skriftlig, men en skriftlig avtale er mye enklere å bevise i ettertid enn en muntlig. Dagens krav om signatur på et papir er ikke en garanti for at den som undertegner er den hun eller han gir seg ut for, eller har de nødvendige fullmaktene til å opptre på vegne av søkeren eller abonnenten. Ansvaret for å kontrollere at den personen som har kontaktet registraren representerer søkeren, og at vedkommende har de nødvendige fullmakter, er satt ut til registraren siden det er de som faktisk er i kontakt med abonnenten. Norid setter i dag ingen formkrav til hvordan denne kontrollen gjøres. Planlagt modell Den nye modellen forutsetter at autentisering av abonnenten fremdeles gjøres av registraren, både ved nyregistrering og ved senere sletting av domenet eller bytte av abonnent. Norid setter ingen formkrav til prosessen, slik at registraren fremdeles kan velge hvordan han vil legge opp sin rutine for autentisering. En signatur med en sikker elektronisk ID (BankID eller kvalifisert elektronisk sertifikat) vil for eksempel være tilstrekkelig dokumentasjon. Mindre sikre løsninger er også akseptable, så sant registraren kan fremlegge dokumentasjon på gode organisatoriske rutiner rundt identifisering av abonnentene. Selv om kontrollen skal skje på den måten registraren finner hensiktsmessig, og som gir en så sikker identifikasjon som normal aktsomhet tilsier ved inngåelse av avtaler, må registraren på forespørsel kunne dokumentere overfor Norid at slik identifikasjon er foretatt. 2

3 2. Egenerklæring Domeneforskriften pålegger Norid å kreve at den som søker om registrering av domenenavn avgir en erklæring som inneholder søkers bekreftelse på en rekke forhold. Forskriften setter ingen krav til hvordan denne erklæringen skal avgis, hvilket format den skal finnes i osv. Når forskriften presiserer enkelte forhold som søker skal gi samtykke til, er det ikke for å etablere et formkrav, men et krav om en utforming av materiell og rutiner slik at man har forsikret seg godt om at søker faktisk har fått med seg alt. Forskriften er dermed ikke et hinder for en løsning der egenerklæringen innhentes på annen måte enn ved hjelp av et papir. Det viktige er at det fremdeles sannsynliggjøres at søkeren har fått presentert betingelsene og at han har avgitt erklæringen, inkludert de samtykker som domeneforskriften og personopplysningsloven krever. Prinsipper for den planlagte løsningen Registraren er fortsatt ansvarlig for å autentisere abonnenten, og må kunne dokumentere at det er sannsynlig at den som har avgitt en elektronisk egenerklæring med en inntastet signatur, faktisk er den personen vedkommende sier han er, og at han representerer abonnenten. Det er fortsatt registraren som innhenter egenerklæringen fra abonnenten. Det skal gjøres gjennom å vise abonnenten egenerklæringsteksten slik Norid har definert den. Abonnenten skriver under på at han aksepterer Norids betingelser ved å taste inn navnet sitt, identifikator (organisasjonsnummer eller personidentifikator (PID)) og hvilke domenenavn erklæringen gjelder. Erklæringen skilles fra øvrige betingelser som registraren setter overfor kundene sine. Den kan innhentes gjennom egne systemer. Her kan registraren velge å bruke alt fra interaktive grensesnitt til papir. Hvis registraren ikke ønsker å lage egne systemer, kan han velge å henvise abonnenten til Norids basistjeneste for å lage en slik elektronisk erklæring. Erklæringen skal fremdeles tas med til registraren i forbindelse med registreringen. For å sikre at abonnenten forstår det han har undertegnet på, skal registraren sende en kopi av egenerklæringsteksten og de dataene han oppga ved signering til abonnenten. Kopien skal være i en form som abonnenten kan lese og lagre. Vi vurderer det slik at sjansen for at abonnenten forstår hva hun eller han har akseptert, øker hvis registraren sender en kopi av egenerklæringen til abonnenten. Dette tilfredsstiller også kravet i e- handelsloven om at søker skal få en arkiverbar kopi av bestillingen. Registraren skal periodevis sende inn en PDF som inneholder erklæringsteksten og tilleggsopplysningene fra abonnenten. Dette vil mest sannsynlig være en tekst med en underskrift tastet inn av abonnenten, men vil også kunne være et innskannet papir dersom registraren velger å bruke dette. I tillegg sender registraren inn tilleggsopplysningene i et nærmere definert tekstlig format. Oversendelse skjer etter en metode som Norid fastsetter. Registrarer som ikke sender inn erklæringer innen fristenfår en purring. Hvis dette ikke fører frem, sperres tilgangen til systemet på vanlig måte. 3

4 Når registraren har sendt inn egenerklæringen til Norid, kan de slette den hvis de ønsker det. De som har gamle papirerklæringer arkivert, må fremdeles lagre disse. Risikovurdering I dagens system med en håndskrevet signatur på et papirskjema, er det teoretisk mulig å bruke håndskriftanalyse for å sannsynliggjøre hvem som har skrevet under dokumentet. Ved overgang til click-wrap -avtaler vil dette sikkerhetsnettet forsvinne, og det vil bli vanskeligere å bevise at noen faktisk har akseptert de vilkårene som gjaldt da de registrerte domenet. Det er dermed naturlig å stille spørsmålet om hva som i så fall er det verst tenkelige utfallet. I de mer enn ti årene egenerklæringen har eksistert på papir, har det så vidt Norid er kjent med aldri vært en situasjon der det å analysere håndskriften har vært avgjørende. Hvis noen nekter for at de har akseptert reglene og/eller benekter at de har undertegnet på en egenerklæring, påpeker Norid at registrering av domenet har skjedd med den forutsetning at en gyldig egenerklæring fantes. Abonnenten må dermed undertegne og gi den nødvendige aksept for å unngå at domenet blir slettet(regelverket pkt 12.1.d). Tilsvarende er den signerte egenerklæringen også et bevis på at noen faktisk har bestilt et domene, dersom de i ettertid skulle ha glemt det. Kombinert med en registraravtale som krever at registraren skal hente inn egenerklæring før domenet registreres, samt et system for å håndheve dette overfor registrarene, har vi aldri opplevd at en abonnenthar hevdet at han har rett til å beholde domenet uten å akseptere tildelingsbetingelsene våre. Det tilsvarende vil gjelde i den nye modellen. Det kan være vanskeligere å bevise at noen faktisk har undertegnet, men vi kan vise til at vi a) har en modell som sannsynliggjør dette gjennom at registraren autentiserer abonnenten, og b) at det at abonnenten har fått til å ta i bruk en tjeneste uten å lese betingelsene ikke gir en fritak fra betingelsene, så lenge de har vært greit tilgjengelige. Dette er spesielt viktig med tanke på forankring av opplegget i forskrift og lov (domeneforskriften og e-handelsloven). 3. Sletting av domene og bytte av abonnent Dagens regler krever at registraren skal opptre på vegne av abonnenten, samt er pliktig til å autentisere abonnenten og sjekke at denne har de nødvendige fullmakter. Dette er tilstrekkelig til at Norid lar registrarer utføre endringer i en domeneregistrering uten ytterligere kontroll. Unntaket gjelder ved sletting av et domene eller bytte av abonnent, da disse prosessene er mer irreversible enn en vanlig endring. Her krever vi i dag papirerklæringer som bekreftelse på at abonnenten faktisk har bestilt disse operasjonene. Registrarene har gradvis fått større ansvar, og det å fjerne Norids tilleggskontroll av slike bestillinger er en naturlig utvidelse av tilliten til registraren. Prinsipper for den planlagte løsningen Registraren er fortsatt ansvarlig for å autentisere abonnenten, og må kunne dokumentere at det er sannsynlig at de har vært i kontakt med rette vedkommende. 4

5 Kun den som er registrar for et domene kan bestille sletting eller bytte abonnent på et domene. I tillegg tillater systemet at abonnenter som ønsker det kan låse domenet sitt til en bestemt registrar slik at det ikke kan flyttes til en ny registrar med mindre den nye registraren har et passord. Det betyr at abonnenter som ønsker ekstra sikring av domenet kan velge en registrar de stoler på og deretter låse domenet til vedkommende. Registraren har det hele og fulle ansvaret for å forsikre seg om at de opptrer på vegne av abonnenten i disse sakene. De må på forespørsel kunne dokumentere at abonnenten faktisk har bedt om endringen. Norid setter ingen formkrav, det er registrarens ansvar å velge en tilstrekkelig god løsning for dette. Sletting av domener og bytte av abonnent skjer automatisk i registreringssystemet, på linje med det som er tilfellet for andre endringer som abonnenten bestiller. Hvis en registrar sletter eller overfører et domene uten at det foreligger en bestilling fra abonnenten, vil det resultere i en anmerkning på linje med andre uautoriserte endringer. Domener som slettes, sperres automatisk for nyregistrering i 30 dager. Domenet er ikke knyttet til den gamle abonnenten, og tar dermed ikke opp plass på kvoten deres, men ved urettmessig sletting er det mulig å hente tilbake domenet i løpet av denne perioden. Urettmessige overføringer kan reverseres i tråd med punkt 12.3.b i regelverket. 5