Täysistunnon pöytäkirja 34/2009 vp

PTK 34/2009 vp

34. KESKIVIIKKONA 1. HUHTIKUUTA 2009 kello 15.06

Tarkistettu versio 2.0

11) Hallituksen esitys laiksi vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista sekä eräiksi siihen liittyviksi laeiksi

 

Viestintäministeri Suvi Lindén

Arvoisa puhemies! Sähköisten palveluiden ja sähköisen asioinnin palveluiden kehittyminen on ollut Suomessa ja muuallakin Euroopassa hitaampaa kuin vuosituhannen vaihteessa arvioitiin. Tilanteen muuttumista on ennustettu niin kauan, että syytä perusteltuunkin skeptisismiin saattaa löytyä. Väitän kuitenkin, että tällä hetkellä me olemme vedenjakajalla. Sähköisten palveluiden kysyntä tulee lisääntymään voimakkaasti aivan lähivuosina. Tähän on ainakin kaksi syytä.

Ensinnäkin, ihmisille alkaa vähitellen kertyä käyttökokemusta sähköisistä palveluista. Niiden kysynnän kasvu on seurausta niiden käyttäjilleen tarjoamista hyödyistä. On ylivertaisen mukavaa hoitaa asioitaan kotoa käsin ilman jonoja ja aukioloajoista piittaamatta. Toiseksi, ensimmäinen todellinen internet-sukupolvi alkaa olla täysi-ikäinen ja ryhtyy täysipainoisesti hoitamaan omia asioitaan. Tälle sukupolvelle on suuren hämmästyksen paikka se, että jotakin palvelua ei mahdollisesti edelleenkään ole saatavilla sähköisesti.

Sähköisten palveluiden kysynnän kasvua pyritään tukemaan voimakkaasti julkisen vallan toimenpitein. Hallitusohjelman mukaan "hallitus edistää kansalaisten ja yritysten luottamusta arjen tietoyhteiskunnan palveluihin", ja yhtenä keinona tämän luottamuksen edistämiseksi on se, että "helppokäyttöistä sähköistä tunnistamista koskevaa lainsäädäntöä uudistetaan".

Suurin osa sähköisistä palveluista ei edellytä sähköistä tunnistamista tai sähköistä allekirjoitusta. Osassa sähköisiä palveluja voidaan kuitenkin muun muassa tehdä erilaisia oikeustoimia. Tällaiset sähköiset palvelut edellyttävät osapuolten välisen luottamussuhteen olemassaoloa aivan toisella tapaa kuin perinteinen, fyysisessä kontaktissa tapahtuva asioiminen. Palvelun käyttäjän on voitava luottaa siihen, että palvelun tarjoaja on palvelunsa rakentaessaan ottanut huomioon tietoturvan ja yksityisyyden suojan vaatimukset. Palvelun tarjoajan on puolestaan voitava luottaa siihen, että etäyhteyden päässä oleva palvelun käyttäjä on se, joka hän väittää olevansa. Palvelujen määrän mutta erityisesti kirjon lisääminen edellyttää siten jatkossa yhä useammin luotettavaa sähköistä tunnistamista.

Olemassa ei ole yleistä sääntelyä, joka määrittelisi, milloin sähköisessä palvelussa on käytettävä vahvaa sähköistä tunnistamista. Tämä lakiehdotus ei myöskään sellaista sääntelyä sisällä, eikä se ylipäätään ole tarpeen. Sen sijaan olemassa on jo jonkin verran tapauskohtaista sääntelyä, jossa tällaisia tai tämäntapaisia edellytyksiä asetetaan. Lisäksi käynnissä on parhaillaan joitain lainsäädäntöhankkeita, kuten esimerkiksi kulutusluottoja koskevan lainsäädännön uudistaminen, joissa etäyhteyksillä tapahtuvan palvelutarjonnan edellytykseksi kaavaillaan vahvaa sähköistä tunnistamista. Tällaisen lainsäädännön määrä tullee lähivuosina kasvamaan, ja jotta järjestelmä voisi toimia, täytyy olla olemassa myös sellainen säännöstö, jossa määritellään luotettava eli vahva sähköinen tunnistaminen ja sitä koskevan palvelutarjonnan perusedellytykset.

Käsillä olevan ehdotuksen laiksi vahvasta sähköisestä tunnistamisesta ja sähköisestä allekirjoituksesta tavoitteena on luoda perussäännöstö niin sanotun vahvan sähköisen tunnistamisen palveluiden tarjonnalle Suomessa. Tämä sääntely muodostaa kehikon, jonka päälle voidaan rakentaa sähköisiä palveluita ja sähköistä asiointia koskevaa yksityiskohtaisempaa lainsäädäntöä ja sitä kautta rakentaa tietoyhteiskuntaamme.

Ehdotetun lain tavoitteena on lisäksi luoda puitteet toimiville vahvan sähköisen tunnistamisen palveluiden markkinoille. Tällä hetkellä markkinoilla on tarjolla pankkitunnuksia ja Väestörekisterikeskuksen kansalaisvarmenteita. Pankkitunnuksilla tehdään noin 99 prosenttia vahvan sähköisen tunnistamisen tapahtumista. Markkinat eivät siis suinkaan toimi optimaalisella tavalla. Tavoitteena on, että Suomessa olisi jatkossa muutama kappale ehdotetussa laissa tarkoitettuja tunnistuspalvelun tarjoajia, joiden tarjoamista tunnistusvälineistä jokainen meistä voisi valita sellaisen, joka tuntuu itsestä helppokäyttöiseltä ja mukavalta, ja sen saman tunnistusvälineen avulla voisi käyttää mahdollisimman monia sähköisiä palveluita. Toimivat markkinat pitäisivät muun muassa huolen riittävän edullisista tunnistustapahtumahinnoista.

Näitä mainittuja pankkitunnisteita ja kansalaisvarmenteita käytetään varmasti vielä pitkälle tulevaisuuteen. Kuitenkin jo nyt voidaan havaita, että niiden käyttäminen ei kenties sovellu parhaalla mahdollisella tavalla esimerkiksi ihmisten yhä liikkuvammiksi käyviin käyttötarpeisiin.

Ehdotetun lain, joka luo selkeät puitteet tunnistuspalvelun tarjoamiselle, odotetaan samalla rohkaisevan myös uusien innovaatioiden syntymiseen ja uusien palveluntarjoajien tulemiseen. Uusista palveluntarjoajista pisimmällä suunnitelmissaan ovat teleyritykset mobiilivarmenteineen. Parhaassa tapauksessa meidän on mahdollista hankkia kännyköihimme turvallisia mobiilivarmenteita vielä ennen vuodenvaihdetta, jolloin kaikenlainen sähköisten palveluiden käyttö irtoaa yhä enemmän aika- ja paikkasidonnaisuudesta.

Arvoisa puhemies! Ehdotetun lain keskeiset sisällölliset ehdotukset sisältyvät 3. ja 4. lukuun.

Vahvalla sähköisellä tunnistamisella tarkoitetaan henkilön sähköistä tunnistamista perustuen vähintään kahteen seuraavista kolmesta vaihtoehdosta: salasanaan tai johonkin muuhun sellaiseen, minkä tunnistusvälineen haltija tietää; sirukorttiin tai johonkin muuhun sellaiseen, mikä tunnistusvälineen haltijalla on hallussaan; tai sormenjälkeen tai johonkin muuhun tunnistusvälineen haltijan yksilöivään ominaisuuteen. Tämä laki kohdistuu luonnollisten henkilöiden tunnistamiseen. Luonnolliset henkilöt voivat edustaa toista luonnollista henkilöä tai oikeushenkilöä, mutta roolitiedon liittäminen tunnistamiseen ei kuulu ehdotetun lain soveltamisalaan. Nämä palvelut ovat toistaiseksi vielä kehitysvaiheessa.

Ehdotetun lain mukaan Suomeen sijoittautuneiden vahvan sähköisen tunnistuspalvelun tarjoajien on tehtävä Viestintävirastolle ilmoitus palvelun tarjonnasta. Viestintävirasto merkitsee ilmoitukset tehneet palveluntarjoajat internet-sivustoltaan löytyvään rekisteriin, ja tästä rekisteristä niin tunnistusvälineen hankkimista harkitseva kansalainen kuin tunnistuspalvelua käyttävä palveluntarjoajakin voi tarkistaa lähtökohtaisesti luotettavat palveluntarjoajat omakohtaisesti välineen tai palvelun hankkimista harkitessaan.

Laki sisältää myös säännökset yleisesti vahvan sähköisen tunnistamisen kulmakivenä pidetystä henkilön ensitunnistamisesta. Pääsääntönä on se, että vahvan sähköisen tunnistuspalvelun tarjoajan on tunnistettava tunnistusvälineen hakija toteamalla henkilöllisyys voimassa olevasta Euroopan talousalueen jäsenvaltion, Sveitsin tai San Marinon viranomaisen myöntämästä passista tai henkilökortista. Tämän ensitunnistamisen on tapahduttava henkilökohtaisesti, paitsi jos vahvan sähköisen tunnistuspalvelun tarjoajat ovat tehneet keskenään sopimuksen mahdollisuudesta luottaa toistensa tekemään tunnistukseen. Ensitunnistamisen varsinainen ketjuttaminen ei siten ole mahdollista, vaan alkuperäisen ensitunnistamisen tehneen palveluntarjoajan on aina oltava mukana sopimusjärjestelyissä.

Tunnistusvälineellä voidaan tehdä oikeustoimia osapuolten niin halutessa, ellei lainsäädännössä ole erityisiä muotovaatimuksia kyseisen oikeustoimen osalta. Suomessa tällaiset oikeustoimet ovat huomattavassa vähemmistössä. Oikeustoimien tekeminen voidaan kuitenkin kieltää osapuolten välisessä sopimuksessa, tai niille voidaan asettaa oikeustoimen laatua tai euromääriä koskevia rajoituksia.

Arvoisa puhemies! Sähköinen tunnistaminen ja sen kehittäminen ei ole itseisarvo, vaan sähköinen tunnistaminen on portti muihin sähköisiin palveluihin. Käsissämme on esitys, jolla on huomattava merkitys tietoyhteiskuntakehityksemme edistäjänä. Ehdotettu laki on ensimmäinen laatuaan Euroopassa ja tiettävästi myös muualla maailmassa. Tätä jos mitä voidaan pitää eturintamassa olemisena.

Jyrki Kasvi /vihr:

Arvoisa puhemies! Tämä laki on yksi tärkeimmistä, mitä hallitus tällä vaalikaudella eduskunnalle esittää. Tietoyhteiskunnan palveluiden kehittymiselle on ensiarvoisen tärkeää, että henkilö voi netissä tai muissa sähköisissä palveluissa tarvittaessa varmistaa olevansa juuri se, jona esiintyy. Sähköisen tunnistamisen ja allekirjoituksen lainsäädäntö on kuitenkin ollut hajanaista ja puutteellista, mikä on käytännössä jarruttanut palveluiden kehitystä vuosilla. Tähän yllättävän pitkään viipeeseenhän viestintäministeri Lindén kiinnitti puheenvuorossaan perustellusti huomiota. Pelisääntöjä odotellessa palveluita ei ole uskallettu ryhtyä kehittämään, koska ei ole oltu varmoja, joudutaanko ne suunnittelemaan uudestaan tulevaisuudessa.

Tämä hallituksen esitys onkin monilta osiltaan todellakin ensimmäinen laatuaan paitsi Suomessa, myös Euroopassa ja maailmassa, ja sitä tullaan todennäköisesti käyttämään mallina myös muiden maiden vastaavalle lainsäädännölle. Onkin sääli, että se on mahtunut illan esityslistalla vasta sijalle 11. Jos jokin hallituksen esitys vaatisi laajan ja monipuolisen lähetekeskustelun valiokuntakäsittelyn pohjaksi, niin tämä. Kyse ei ole sen vähemmästä kuin siitä, millä pelisäännöillä suomalaiset tulevaisuudessa käyvät kauppaa, käyttävät julkisia ja yksityisiä palveluita ja tekevät sopimuksia.

Laki sähköisestä tunnistamisesta ja sähköisestä allekirjoituksesta on todellakin välttämätön. Sähköisten palveluiden määrä ja kirjo laajenee jatkuvasti. Samalla on kuitenkin muistettava, että monissa palveluissa tunnistaminen ei ole lainkaan tarpeellista ja että turhat tunnistautumiset muodostavat tietoturvariskin. Niinpä tunnisteita vaativia palveluita tuleekin ylilyöntien välttämiseksi seurata tarkasti. Tässä esityksessä ollaankin antamassa Viestintävirastolle tärkeä rooli vahvan sähköisen tunnistuspalvelun tarjoamista valvovana viranomaisena. Toivonkin, että valiokunta kiinnittää huomiota Viestintäviraston voimavaroihin, joita valvonta ja tarkastukset vaativat. Tarkastuksia on pystyttävä tekemään osana viraston normaalia päivittäistä toimintaa eikä niistä saa muodostua syytä epäillä -kynnyksen takana olevaa erikoistoimintaa, johon sitten siirretään voimavaroja muusta päivittäistoiminnasta.

Arvoisa puhemies! Sähköinen tunnistaminen on keskeinen osa maailman nopeimmin kasvavaa rikollisuuden lajia eli identiteettivarkauksia. Tietoverkoissa meidän identiteettimme, meidän tosi nimemme, on meidän tärkein omaisuutemme ja suurin salaisuutemme. Eikä identiteettivarkaus sinänsä ole tietosuojavaltuutetun näkemyksen mukaan Suomessa edes rikos. Meidän identiteettimme on nykyisessä lainsäädännöllisessä tilanteessa luvallista riistaa, kunhan sitä ei käytä mihinkään. Valtioneuvoston tuore periaatepäätös sähköisestä tunnistamisesta kiinnittää onneksi huomiota myös identiteettirikollisuuteen, vaikka se ei tässä lakiesityksessä suoraan näykään. Hallituksen sähköisen turvallisuuden ohjelmassa ja identiteettiohjelmassa identiteettirikollisuutta tullaan käsittelemään, mutta asialla alkaa olla todella kiire. Odotan joka tapauksessa näiden ohjelmien pohjalta mahdollisesti säädettävää lainsäädäntöä mielenkiinnolla ja kiireellä.

Arvoisa puhemies! Nyt käsittelyssä oleva laki koskee ainoastaan vahvoja sähköisiä tunnistuspalveluita. Tunnistamiseen vahvoissa tunnistamispalveluissa mahdollisesti käytettäviä biometrisiä tunnisteita käytetään kuitenkin myös monissa yritysten sisäisissä tunnistusjärjestelmissä jo nyt. Esimerkiksi kuntosaleilla ja videovuokraamoissa on tällaisia laitteita. Vaikka tunnistustekniikka on sama, ne eivät lakiteknisesti kuitenkaan rinnastu vahvaan tunnistamiseen. Tästä syystä nämä tunnistusjärjestelmät onkin rajattu tämän esityksen ulkopuolelle ja niitä koskevat säännökset ollaan sijoittamassa hallituksen sähköistä tunnistamista koskevan periaatepäätöksen mukaisesti henkilötietolakiin.

Toivon hallituksen kiirehtivän henkilötietolain uudistamista, sillä biometristä tunnistamista koskevat pelisäännöt vaativat ehdottomasti selkeyttämistä. Riskinä nimittäin on, että pian joka kuntosalista ja dvd-vuokraamolta löytyy korvaamattoman arvokasta tietoa ihmisten biometrisistä tunnisteista. Paikkojen tietoturva voi olla retuperällä aina perinteisestä murtosuojauksesta alkaen. Näiden tietokantojen kautta rikolliset voivatkin periaatteessa hankkia tietoja, joiden avulla he pystyvät esiintymään toisena henkilönä myös virallisissa, vahvoissa tunnistamisjärjestelmissä. Biometriset tunnistetietonsa menettäneellä ei ole mahdollisuutta vaihtaa sormenjälkiään tai verkkokalvoaan, vaan se identiteetti on menetetty lopullisesti.

Timo Heinonen /kok:

Arvoisa puhemies! Ed. Kasvi nosti erittäin hyvin erään tärkeän huomion esille, biometriset tunnisteet näissä elokuvavuokraamoissa, joissa se kovaa vauhtia yleistyy, toisena kuntosalit, ja niissä ilmenevät ja piilevät vaaratekijät. On hyvä, että eduskunnasta löytyy ed. Kasvin tapaisia asiantuntijoita, jotka myös täällä sitten hyvää lainsäädäntöä vielä tarkastelevat ja myös nostavat esille niitä haasteita, joita internet-maailmassa, sähköisen viestinnän maailmassa, koko ajan uusia tulee.

Tietysti tämä on maailma, jossa paljon on asiantuntijoita, ja monta kertaa käy niin, että ne asiantuntijat ovat jopa meitä nuorimpiakin kansanedustajia paljon nuorempia, ja näin käy monessa kodissakin. Tässä ollaan myös hyvällä tavalla vastaamassa siihenkin haasteeseen, että perheissä voitaisiin tietää hyvin, miten kauppaa netissä käydään, kuka sitä kauppaa käy, ja toisaalta pystytään vastaamaan siihen, että lapset eivät tee esimerkiksi vanhempiensa nimissä taikka joillain tekaistuilla nimillä kauppaa sellaisissa paikoissa, joissa se tällä hetkellä on mahdollista.

Netin turvallisuus on hyvin olennainen kysymys. Palvelut siirtyvät koko ajan yhä enemmän nettiin sen takia, että lähipalvelut vähenevät, mutta myös sen takia, että me haluamme käyttää niitä palveluita kodin läheltä, painaa nappia ja tilata kenkiä, tilata dvd:itä, kaikkea muuta mahdollista. Ja on hyvä, että siihen nyt luodaan vahvan tunnistamisen keinot, jotka ovat sitten meidän kaikkien, itse kunkin, identiteettiä turvaamassa myös internetissä, jossa tällä hetkellä se on hyvin kyseenalaista.

Laissa yksityiskohdat on varsin hyvin läpikäyty, siitä kiitokset viestintäministeri Lindénille, ja uskon, että tästä tulee, niin kuin ed. Kasvi totesi, vahva malli, jolla Euroopassa tullaan etenemään. Mutta varma olen myös siitä, että tähänkin lakiin saamme palata ja joudumme palaamaan varmasti lähitulevaisuudessa, kun sähköinen maailma, internet-maailma, ottaa seuraavan ison askelen jälleen eteenpäin.

Outi Mäkelä /kok:

Arvoisa puhemies! Tämä on todellakin äärimmäisen tärkeä laki, ja sinänsä on ihan hyvä huomio ed. Kasvilta, että tänne olisi pitänyt saada ehkä enemmän väkeä keskustelemaan ja pohjustamaan tätä valiokuntakäsittelyä. Osaltani näen, että tähän sähköiseen asiointiin on ollut todella tarvetta jo pitkään, ja lakiesitys on sen puolesta erittäin tervetullut viimeistään tässä vaiheessa, kun palvelurakenteita ollaan julkisella sektorillakin rajusti uudistamassa ja tarve on kova. Turhanaikaisesta asiointipisteisiin jonottamisesta ja erilaisista paperikäytännöistä pitää päästä eroon.

Ja kuten ed. Heinonen toi esiin, on tarve myös julkisella sektorilla asiointiin ilman tiettyjä virastoaikoja ja joustavasti siellä, missä ihmiset ovat. Tämä laki tuo myös kaivattua turvaa ja myös kaivattuja rajoja sähköiseen asiointiin ja internet-maailmaan. On tärkeää, että voidaan asettaa rajoja ja oikeita ikärajoja, joilla voidaan valvoa ja turvata myös lastemme asiointia internet-maailmassa.

Anne-Mari Virolainen /kok:

Arvoisa puhemies! Julkisen sektorin tuottavuuden kasvua on mahdollista lisätä tietotekniikan paremmalla hyödyntämisellä. Luonnollisesti myös verkkopalveluiden ja sähköisten asioiden lisääntyminen lisää kuluttajien valinnanvapautta. Ed. Kasvi ja ministeri Lindén omassa avauspuheenvuorossaan kävivät hyvin seikkaperäisesti läpi tätä hallituksen esitystä, ja haluaisinkin korostaa, että verkon käyttäjien tietoturva, yksityisyydensuoja ja kuluttajansuoja ovat luonnollisesti keskeisiä asioita, joista on huolehdittava.

Tätä vahvistaa myös F-Securen teettämä vuotuinen verkkohyvinvointia koskeva kysely. Sen mukaan useimmat ihmiset suhtautuvat esimerkiksi edelleen epäluuloisesti luottokortin käyttöön internetissä. Yleisesti ottaen ihmiset kokevat, että pankkiasioiden hoitaminen verkossa on turvallisempaa kuin luottokortin käyttäminen verkko-ostosten maksamiseen.

Ministeri Lindén otti myös esiin tulevaisuudessa mobiilivarmenteen, joka voisi olla myös vahva sähköinen tunnistamiskeino. Siitä itse asiassa Kuopion yliopistossa väitteli kaksi viikkoa sitten Konstantin Hyppönen informaatioteknologian ja kauppatieteiden tiedekunnasta, ja hänen väitöksensä aihe on identiteetin hallinta ja mobiilimaksut matkaviestimillä. Tämän väitöstutkimuksen keskipisteenä on matkapuhelimen käyttö henkilöllisyystodistuksena ja maksutapahtuman mahdollistavana laitteena. Tutkijan kehittämät tekniset ratkaisut perustuvat sim-kortin hyödyntämiseen henkilö- ja maksutietojen tallennuspaikkana. Tutkimuksessa näytetään, että matkapuhelin voi monessa tapauksessa korvata tavalliset viralliset henkilöllisyystodistukset ja tarjota parempaa yksityisyydensuojaa ja turvallisuutta.

Vielä lopuksi: Ed. Kasvi otti aivan perustellusti esiin identiteettivarkaudet. Todellakin on näin, että henkilötietolain muutosta on syytä kiirehtiä, jotta emme joudu törmäämään näihin varkauksiin entistä useammin.

Keskustelu päättyi.