HALLINTOVALIOKUNNAN LAUSUNTO 9/2009 vp

HaVL 9/2009 vp - HE 36/2009 vp

Tarkistettu versio 2.1

Hallituksen esitys laiksi vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista sekä eräiksi siihen liittyviksi laeiksi

Liikenne- ja viestintävaliokunnalle

JOHDANTO

Vireilletulo

Eduskunta on 1 päivänä huhtikuuta 2009 lähettäessään hallituksen esityksen laiksi vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista sekä eräiksi siihen liittyviksi laeiksi (HE 36/2009 vp) valmistelevasti käsiteltäväksi liikenne- ja viestintävaliokuntaan samalla määrännyt, että hallintovaliokunnan on annettava asiasta lausunto liikenne- ja viestintävaliokunnalle.

Asiantuntijat

Valiokunnassa ovat olleet kuultavina

neuvotteleva virkamies Kirsi Miettinen, liikenne- ja viestintäministeriö

lainsäädäntöneuvos Tuomo Antila ja erityisasiantuntija Leena Vettenranta, oikeusministeriö

ylitarkastaja Johanna Kari, sisäasiainministeriö

neuvotteleva virkamies Seppo Kurkinen, valtiovarainministeriö

tietosuojavaltuutettu Reijo Aarnio

lakimies Eeva Lantto, Viestintävirasto

varmennehallintopäällikkö Katja Häkkinen, Väestörekisterikeskus

toimitusjohtaja Reijo Svento, FiCom ry

lakimies Essi Ruokanen, Finanssialan Keskusliitto FK ry

professori Olli Mäenpää

professori Kaarlo Tuori

Lisäksi kirjallisen lausunnon on antanut

  • Valtiontalouden tarkastusvirasto.

HALLITUKSEN ESITYS

Esityksessä ehdotetaan säädettäväksi laki vahvasta sähköisestä tunnistamisesta ja sähköisestä allekirjoituksesta. Samalla sähköisistä allekirjoituksista annettu laki ehdotetaan kumottavaksi.

Suurin osa sähköisistä palveluista ei edellytä sähköistä tunnistamista tai sähköisiä allekirjoituksia. Osassa sähköisiä palveluita voidaan kuitenkin muun muassa tehdä erilaisia oikeustoimia. Tällaiset sähköiset palvelut edellyttävät osapuolten välisen luottamussuhteen olemassa oloa. Palvelun käyttäjän on voitava luottaa siihen, että palveluntarjoaja on palveluansa rakentaessaan ottanut huomioon tietoturvan ja yksityisyyden suojan vaatimukset. Palveluntarjoajan on puolestaan voitava luottaa siihen, että etäyhteyden päässä oleva palvelunkäyttäjä on se, joka väittää olevansa. Sähköisten palveluiden ja sähköisen asioinnin kehittyminen edellyttää siten hyvin toimivia sähköisen tunnistamisen palveluita.

Esityksen tavoitteena on luoda perustason sääntely niin sanotun vahvan sähköisen tunnistamisen palveluiden tarjonnalle Suomessa. Tavoitteena on samalla luoda puitteet toimiville vahvan sähköisen tunnistamisen palveluiden markkinoille.

Ehdotettu laki koskisi vain vahvaa sähköistä tunnistamista. Heikko sähköinen tunnistaminen jäisi siten sääntelyn ulkopuolelle. Vahva sähköinen tunnistaminen kohdistuisi luonnollisten henkilöiden tunnistamiseen. Sääntelyn ulkopuolelle jäisivät sellaiset vahvan tunnistamisen menetelmät, joita käytetään suljetuissa ympäristöissä, kuten esimerkiksi tietyn yrityksen omiin tunnistamistarpeisiin.

Ehdotettu laki sisältäisi säännökset siitä, mitä edellytyksiä tunnistusmenetelmän tulee täyttää ollakseen vahvaa. Lisäksi ehdotettu laki sisältäisi säännökset vahvan sähköisen tunnistuspalvelun tarjoajaan ja sen tarjoamaan palveluun kohdistuvista vaatimuksista. Vahvan sähköisen tunnistuspalvelun tarjoamista valvoisi Viestintävirasto.

Sähköistä allekirjoitusta koskevat säännökset vastaisivat voimassa olevaa lakia sähköisistä allekirjoituksista.

Muualla laissa olevat viittaukset sähköisistä allekirjoituksista annettuun lakiin muutettaisiin viittauksiksi lakiin vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista. Lait on tarkoitettu tulemaan voimaan 1 päivänä syyskuuta 2009.

VALIOKUNNAN KANNANOTOT

Perustelut

Yleistä

Hallituksen esityksessä ehdotetaan säädettäväksi kokonaan uusi laki vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista. Nykyinen laki sähköisistä allekirjoituksista ehdotetaan samalla kumottavaksi.

Lain tarkoituksena on edistää vahvan sähköisen tunnistamisen palveluiden tarjontaa ja luoda markkinoille perussäännökset palveluiden tarjontaan. Samalla pyritään varmistamaan, että palveluiden tarjonnassa otetaan huomioon tietoturvan ja tietosuojan vaatimukset. Lailla on tarkoitus luoda toimivat sähköisen tunnistamisen markkinat antamalla alan toimijoille tietyt perussäännöt. Näiden markkinoiden lähtökohtana on tunnistusvälineiden yleiskäyttöisyys ja vapaa kilpailu.

Lain tarkoituksena on myös mahdollistaa sähköisten allekirjoitusten käyttö ja niihin liittyvien tuotteiden ja palveluiden tarjonta. Lain sähköistä allekirjoittamista koskevan osuuden on tarkoitus panna edelleen täytäntöön EU:ssa voimassa oleva sähköisiä allekirjoituksia koskevista yhteisön puitteista annettu direktiivi.

Hallintovaliokunta puoltaa hallituksen esityksen hyväksymistä. On tarpeen luoda esityksessä ehdotetulla tavalla perustason säätely vahvan sähköisen tunnistamisen palveluiden tarjonnalle Suomessa. Tätä perussääntelyä voidaan hyödyntää, kun eri aloilla on tarpeen säännellä sitä, millä tavoin henkilö on tunnistettava esimerkiksi silloin, kun matkapuhelinta tai tietokoneyhteyttä käyttämällä tehdään merkittäviä oikeustoimia tai annetaan suostumus luottamuksellisten henkilötietojen käsittelyyn. Valiokunta pitää perusteltuna, että lain soveltamista ja toimivuutta seurataan, mukaan lukien sen seuranta, syntyvätkö lain tavoitteiden mukaiset toimivat markkinat. Samalla tulee kiinnittää erityistä huomiota julkisen sektorin palveluiden turvaamiseen.

Vahva sähköinen tunnistaminen

Lailla on tarkoitus säännellä vahvan sähköisen tunnistamisen palvelujen tarjoamista. Heikko tunnistaminen jää siten täysin sääntelyn ulkopuolelle. Heikon tunnistamisen menetelmät ovat nykyään yleisimmin käytettyjä tunnistamismenetelmiä. Käytännössä ne ovat käyttäjätunnusten ja salasanojen yhdistelmiä.

Yleisesti katsotaan, että vahva tunnistaminen koostuu kolmen eri vaatimuksen yhdistelmästä, joista vähintään kahden on toteuduttava samanaikaisesti, jotta tunnistustapahtuma täyttää vahvan sähköisen tunnistamisen määritelmän. Vahva sähköinen tunnistaminen edellyttää 1) jotain, mitä käyttäjä tietää, kuten esimerkiksi käyttäjätunnus, 2) jotain, mitä hän omistaa, kuten esimerkiksi salasanalista tai kertakäyttöisiä tunnuksia generoiva laite, varmenne tai muu väline tai 3) jotain, mitä hän on, kuten esimerkiksi hänen sormenjälkensä.

Varmenteiden tarjoamisen julkisoikeudellinen luonne

Hallituksen esityksessä lähdetään siitä, että laatuvarmenteiden myöntämistä ei enää pidetä perustuslain 124 §:n alaan kuuluvana julkisena hallintotehtävänä. Hallintovaliokunta on aikaisemmin (HaVM 10/1999 vp) päätynyt pitämään varmenteiden tarjoamista luonteeltaan julkisoikeudellisena toimena. Tällöin lähdettiin siitä ajatuksesta, että varmenteen saaminen on edellytys sille, että yksilö voi asioida sähköisesti hallintoasioissa viranomaisten kanssa. Varmenteen myöntämisen tai epäämisen katsottiin siten vaikuttavan yksilön prosessuaaliseen kelpoisuuteen hallintomenettelyssä.

Hallintovaliokunta katsoo, että vaikka tunniste- ja varmennepalvelujen tarjoamista onkin niiden liiketaloudellisen palvelun luonne huomioon ottaen perusteltua nykyään pitää elinkeinotoimintana, liittyy palveluihin edelleen samanlaisia laatuvaatimuksia kuin hallintotehtävän hoitamiseen. Nämä vaatimukset liittyvät etenkin palvelujen laatuun, luotettavuuteen, toimivuuteen ja saatavuuteen.

Henkilötietojen käsittely ja viranomaisvalvonta

Henkilötietojen käsittelyn osalta on tärkeinä sääntelykohteina pidetty vakiintuneesti perustuslakivaliokunnan ja hallintovaliokunnan kannanotoissa ainakin rekisteröinnin tavoitetta, rekisteröityjen henkilötietojen sisältöä, niiden sallittuja käyttötarkoituksia mukaan luettuna tietojen luovutettavuutta ja säilytysaikaa henkilörekisterissä sekä rekisteröidyn oikeusturvaa samoin kuin näiden seikkojen sääntelemisen kattavuutta ja yksityiskohtaisuutta lain tasolla.

Hallintovaliokunta toteaa, että 1. lakiehdotuksen 6 §:ään sisältyvät perussäännökset henkilötietojen käsittelystä. Lisäksi henkilötietojen käsittelystä on säännöksiä muun muassa lakiehdotuksen 7, 13, 19, 24, 30, 37 ja 38 §:ssä. Toimintaan sovelletaan myös henkilötietolakia (523/1999).

Lakiehdotus sisältää myös säännökset tunnistusmenetelmälle asetettavista vaatimuksista (8 §), tunnistuspalvelun tarjoajalle asetettavista vaatimuksista (9 §) sekä tunnistuspalvelun tarjoajan yleisistä velvollisuuksista (13 §). Edelleen säädetään tunnistusperiaatteista ja niiden saatavilla pitämisestä (14 §), palveluntarjoajan tiedonantovelvollisuudesta ennen sopimuksen tekoa (15 §) sekä tietoturvaan kohdistuvien uhkien ilmoittamisvelvollisuudesta (16 §). Myös tunnistusvälineen liikkeelle laskemisesta (20 §), luovuttamisesta hakijalle (21 §) ja uusimisesta (22 §) sekä tunnistustapahtumaa ja tunnistusvälinettä koskevien tietojen tallentamisesta ja käytöstä (24 §) säädetään.

Sähköisen allekirjoituksen osalta 1. lakiehdotus sisältää säännökset muun muassa laatuvarmenteita tarjoavan varmentajan yleisistä velvollisuuksista (33 §), laitteiden ja ohjelmistojen luotettavuudesta (34 §), laatuvarmenteen liikkeelle laskemisesta (35 §) ja sen peruuttamisesta (36 §) sekä varmentajan ylläpitämistä rekistereistä (37 §), tietojen säilyttämisestä (38 §) ja varmentajan vahingonkorvausvastuusta (41 §).

Asiantuntijakuulemisissa on kannettu huolta palveluiden käyttäjien oikeuksien ja aseman määrittelystä. On katsottu, että käyttäjän oikeusturvan tulisi olla vahvempi ja että hänellä pitäisi olla mahdollisuus tehdä palvelun tarjoajan toiminnasta esimerkiksi muistutus Viestintävirastolle, jonka päätöksestä tulisi edelleen voida valittaa.

Hallintovaliokunta katsoo, että palveluiden käyttäjällä on ilman nimenomaista lakiin kirjoitettua säännöstäkin mahdollisuus tehdä Viestintävirastolle muistutus palvelun tarjoajan toiminnasta. Viestintävirasto voi tällöin kohdistaa palvelun tarjoajaan niitä hallintopakkokeinoja, joista 45 §:ssä säädetään.

Asiantuntijakuulemisissa on myös esitetty, että Viestintävirastolle tulisi antaa laissa toimivalta kieltää tunnistuspalvelujen tarjoajaa jatkamasta toimintaansa, jos Viestintävirasto muutoin kuin ilmoituksen johdosta toteaa, että palveluntarjoaja ei täytä laissa asetettuja vaatimuksia. Vastaava tarve on nähty lakiehdotuksen 4 luvussa tarkoitettujen laatuvarmenteiden myöntämisen osalta.

Hallintovaliokunta katsoo, että vaikka 1. lakiehdotus ei annakaan Viestintävirastolle suoranaista toimivaltaa toiminnan jatkamisen kieltämiseen, sen 45 § sisältää kuitenkin säännökset hallintopakkokeinoista, joiden mukaan Viestintävirasto voi velvoittaa lain rikkojan korjaamaan virheensä tai laiminlyöntinsä. Päätöksen tehosteeksi voidaan asettaa muun muassa uhka, että toiminta keskeytetään osaksi tai myös kokonaan. Valiokunnan mielestä 1. lakiehdotuksen 45 §:n sisältämää toimivaltaa voidaan pitää riittävänä.

Lopuksi hallintovaliokunta toteaa, että 1. lakiehdotukseen sisältyviä säännöksiä tunnistuspalvelun tarjoajaan ja sen tarjoamaan palveluun kohdistuvista vaatimuksista ja velvoitteista on pidettävä riittävinä. Myös lakiehdotuksen säännökset viranomaisvalvonnasta täyttävät hyvän hallinnon periaatteet. Tunnistuspalvelun tarjoajaa ja laatuvarmenteiden tarjontaa valvoo Viestintävirasto. Henkilötietojen käsittelyä koskevia säännöksiä valvoo tietosuojavaltuutettu, ja lain soveltamisalan ulkopuolelle rajattua toimintaa, johon kuitenkin sovelletaan kuluttajansuojanäkökohdista lain joitakin säännöksiä, valvoo kuluttaja-asiamies.

Ajokortin käyttö ensitunnistamisessa

Ensimmäisen lakiehdotuksen 51 §:n 5 momentin mukaan tunnistuspalvelun tarjoaja ja laatuvarmenteita tarjoava varmentaja voivat 31 päivään joulukuuta 2012 asti käyttää ensitunnistamisessa Euroopan talousalueen jäsenvaltion viranomaisen 1 päivän lokakuuta 1990 jälkeen myöntämää voimassa olevaa ajokorttia. Valtioneuvosto on vuonna 2006 antanut asetuksen poliisin myöntämistä henkilöllisyyden osoittavista asiakirjoista. Sen perusteella ajokorttia ei ole pidettävä tällaisena asiakirjana. Hallituksen esityksen perustelujen mukaan ajokorttien suurimmat ongelmat liittyvät myöntöprosessin ja turvatekijöiden heikkouteen, minkä vuoksi säännösehdotuksessa mahdollistetaan ajokorttien käyttö ensitunnistamisessa ainoastaan vuonna 2012 päättyvän siirtymäajan kuluessa.

Valiokunta toteaa, että käytännön tilanne on tällä hetkellä se, että ajokortti kelpuutetaan Suomessa yleisesti henkilöllisyyden osoittamiseen ja että tätä oikeustilaa, johon kansalaiset ovat tottuneet, ei ole syytä muuttaa. Ehdotetun siirtymäsäännöksenkään mukaan palveluntarjoajalla ei ole velvollisuutta — vaan oikeus, niin halutessaan — hyväksyä ajokortti ensitunnistamisen välineeksi. Hallintovaliokunta katsoo, että 1. lakiehdotusta tulee muuttaa siten, että tunnistuspalvelun tarjoaja ja laatuvarmenteita tarjoava varmentaja voivat käyttää ensitunnistamisessa Euroopan talousalueen jäsenvaltion viranomaisen 1 päivänä lokakuuta 1990 jälkeen myöntämää voimassa olevaa ajokorttia vuoden 2012 jälkeenkin sen estämättä, mitä 17 §:n 1 momentissa ja 35 §:n 1 momentissa säädetään.

Muut lakiehdotukset

Hallituksen esitykseen liittyy kymmenen muuta lakia. Niitä joudutaan muuttamaan lähinnä sen johdosta, että esityksellä kumotaan aikaisempi laki sähköisistä allekirjoituksista.

Hallintovaliokunta toteaa, että hallituksen esityksen 3. lakiehdotus koskee väestötietolain 19 ja 20 §:n muuttamista. Väestötietolaki (507/1993) on siihen myöhemmin tehtyine muutoksineen kumottu lailla väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista (HE 89/2008 vp ja HaVM 4/2009 vp).

Lausunto

Lausuntonaan hallintovaliokunta esittää,

että liikenne- ja viestintävaliokunta ottaa edellä olevan huomioon.

Helsingissä 29 päivänä toukokuuta 2009

Asian ratkaisevaan käsittelyyn valiokunnassa ovat ottaneet osaa

  • pj. Tapani Tölli /kesk
  • jäs. Thomas Blomqvist /r
  • Maarit Feldt-Ranta /sd
  • Rakel Hiltunen /sd
  • Heli Järvinen /vihr
  • Anne Kalmari /kesk
  • Oiva Kaltiokumpu /kesk
  • Ilkka Kantola /sd
  • Timo V. Korhonen /kesk
  • Outi Mäkelä /kok
  • Petri Pihlajaniemi /kok
  • Pirkko Ruohonen-Lerner /ps
  • Unto Valpas /vas
  • vjäs. Johanna Ojala-Niemelä /sd
  • Veijo Puhjo /vas

Valiokunnan sihteerinä on toiminut

valiokuntaneuvos Tuula Sivonen