Perustelut
Perustuslain 124 §
Vahvaa sähköistä tunnistamista ja
sähköistä allekirjoitusta koskevan
lakiehdotuksen (1. lakiehdotus) tarkoituksena on luoda
perustason sääntely vahvan sähköisen
tunnistamisen palveluiden tarjonnalle ja markkinoille Suomessa. Vahvalla
sähköisellä tunnistamisella lakiehdotuksessa
tarkoitetaan henkilön yksilöimistä ja tunnisteen
aitouden ja oikeellisuuden todentamista lain 2 §:n 1 kohdassa
määriteltyä sähköistä menetelmää käyttämällä.
Vahvan sähköisen tunnistamisen palveluita tarjotaan
yleisölle ja tunnistuspalveluita käyttäville
palveluntarjoajille. Toiminnalle tunnusomaista on, että tunnistuspalvelun
tarjoajalla ja tunnistamista käyttävällä palveluntarjoajalla
sekä tunnistusvälineen haltijalla on keskinäinen
sopimussuhde. Tunnistuspalvelun tarjoajat rekisteröidään
ilmoitusten perusteella Viestintäviraston ylläpitämään
julkiseen rekisteriin. Ilmoitusvelvollisuuden ja rekisteröinnin
tarkoituksena on helpottaa tiedonsaantia siitä, mitä palveluntarjoajia
voidaan lähtökohtaisesti pitää luotettavina.
Palveluntarjoaja voi tarjota samanlaista palvelua myös
tekemättä ilmoitusta, mutta tällöin
se ei saa tarjota palveluaan vahvana sähköisenä tunnistuspalveluna.
Lakiehdotus sisältää myös
säännöksiä sähköisestä allekirjoittamisesta,
josta nykyisin on säädetty sähköisistä allekirjoituksista
annetussa laissa. Sähköisessä allekirjoittamisessa
lähtökohtana on, että allekirjoituspalveluita
tarjoavan varmentajan ja allekirjoitukseen luottavan välillä ei
ole sopimussuhdetta. Näiden palvelujen osalta sääntelykohteena
on lähinnä laatuvarmenteiden tarjoaminen. Toimintaan
liittyy vastaavankaltainen ilmoitusmenettely kuin tunnistuspalveluihin.
Perustuslakivaliokunta on arvioinut sähköisistä allekirjoituksista
annetun lain tarkoittamaa laatuvarmenteiden tarjoamista perustuslain 124 §:n
kannalta lausunnossaan PeVL 2/2002 vp.
Tuolloin valiokunta katsoi laatuvarmenteen rinnastuvan viranomaisen
myöntämään henkilötodistukseen,
koska oikeustoimen edellytykseksi laissa säädetty
allekirjoitus voidaan tehdä laatuvarmenteeseen perustuvaa
sähköistä allekirjoitusta käyttämällä.
Lisäksi valiokunta kiinnitti huomiota siihen, että varmennetoiminnalla on
merkitystä sähköisen liiketoiminnan ja
muun asioinnin osapuolten oikeusaseman kannalta. Laatuvarmenteiden
tarjoamista oli siten valiokunnan mielestä varmenteen oikeusvaikutusten vuoksi
pidettävä perustuslain 124 §:ssä tarkoitettuna
julkisena hallintotehtävänä.
Sähköisestä allekirjoittamisesta
annetussa laissa tarkoitettujen sähköisen allekirjoittamisen
palveluiden ja laatuvarmenteiden levinneisyys ja käyttö on
ollut Suomessa sittemmin hyvin vähäistä.
Sähköisten allekirjoitusten asemesta tunnistamisen
välineinä ovat käyttöön
vakiintuneet pankkitunnukset, joita hallituksen arvion mukaan käytetään
nykyisin noin 99 prosentissa tunnistustapahtumista. Nykyistä lakia
sähköisistä allekirjoituksista ei sovelleta
näihin tunnistuspalveluihin. Ehdotetussa laissa on sen
sijaan tarkoitus luoda puitteet tämänkaltaiselle
yksityiselle palveluntarjonnalle. Lakiehdotuksessa tarkoitettujen
liiketaloudellisten palvelujen luonne on valiokunnan mielestä siinä määrin
etääntynyt julkiseen hallintotehtävään
liitettävistä ominaispiirteistä, että toimintaa
ei enää nykyisin ole pidettävä julkisena
hallintotehtävänä, vaikka vahvan sähköisen
tunnistamisen välineillä ja varmennetoiminnalla
sinänsä onkin merkitystä erilaisissa
oikeustoimissa osapuolten aseman kannalta. Näin ollen lakiehdotusta
vahvasta sähköisestä tunnistamisesta
ja sähköisistä allekirjoituksista ei
ole tarpeen arvioida perustuslain 124 §:n kannalta.
Palvelujen tarjoamisen sääntely
Lakiehdotuksessa säänneltyjä sähköisen
tunnistamisen palveluita voidaan nykyään pitää eräänlaisina
tietoyhteiskunnan peruspalveluina. Niiden tarjoamiseen liittyy useita
tietoyhteiskunnan perusoikeuksien — etenkin perustuslain 10 §:n
1 momentissa turvatun yksityiselämän ja henkilötietojen
suojan — kannalta merkittäviä piirteitä.
Tämän luonteisen elinkeinotoiminnan sääntelyssä onkin
otettava varsinaisen henkilötietojen käsittelyn
asianmukaisuuden ohella huomioon vaatimukset palvelujen laadusta,
luotettavuudesta, toimivuudesta ja saatavuudesta. Näitä vaatimuksia
toteuttava sääntely ei ole ongelmallista perustuslain
18 §:n 1 momentissa turvatun elinkeinovapauden
kannalta. Elinkeinovapauden kannalta ongelmallista ei tämänkaltaisen
sääntelyn yhteydessä ole myöskään
se, että sekä tunnistuspalvelun tarjoajaan että laatuvarmenteita
tarjoavaan varmentajaan kohdistuu toiminnan aloittamiseen liittyvä ilmoitusvelvollisuus
etenkin, kun ilmoituksen tekemättä jättäminen
ei sinänsä merkitse kieltoa tarjota tunnistamispalveluja.
Ehdotettu sääntely on edellä mainittujen
palvelujen laatuvaatimusten kannalta pääosiltaan asianmukaista
ja riittävää. Lakiehdotus sisältää vahvan
sähköisen tunnistamisen osalta säännökset
muun muassa tunnistusmenetelmälle (8 §) ja tunnistuspalvelun
tarjoajan toimintakelpoisuudelle ja luotettavuudelle asetettavista
vaatimuksista (9 §), palveluntarjoajan yleisistä asiantuntemukseen
ja tietoturvaan sekä tuotteiden luotettavuuteen ja toimivuuteen
liittyvistä velvollisuuksista (13 §), tunnistusperiaatteista
ja niiden saatavilla pitämisestä (14 §),
palveluntarjoajan tiedonantovelvoitteesta ennen sopimuksen tekemistä (15 §),
tietoturvaan kohdistuvien uhkien ilmoittamisvelvollisuudesta (16 §),
tunnistusvälineen liikkeelle laskemisesta (20 §),
luovuttamisesta hakijalle (21 §) ja uusimisesta (22 §), sekä tunnistustapahtumaa
ja tunnistusvälinettä koskevien tietojen tallentamisesta
ja käytöstä (24 §). Sähköisen
allekirjoituksen osalta lakiehdotus sisältää säännökset
muun muassa laatuvarmenteita tarjoavan varmentajan yleisistä velvollisuuksista
(33 §), laitteiden ja ohjelmistojen luotettavuudesta (34 §),
laatuvarmenteen liikkeelle laskemisesta (35 §) ja peruuttamisesta (36 §),
varmentajan ylläpitämistä rekistereistä (37 §),
tietojen säilyttämisestä (38 §)
ja varmentajan vahingonkorvausvastuusta (41 §). Toiminnan
yleisen luotettavuuden kannalta olennaista on, että toimintaan
kohdistuu lakiehdotuksen 12 ja 32 §:n sekä 5 luvun
mukainen viranomaisvalvonta.
Jonkinlaisena puutteena voidaan pitää sitä, että kohdistuessaan
ensisijaisesti palvelun tarjoajiin sääntely ei
juurikaan sisällä tietoyhteiskunnan perusoikeuksien
toteutumiseen kytkeytyviä tunnistusvälineen
hakijan tai haltijan kannalta olennaisia oikeuksia. Tällaisiksi
voidaan tosin osaltaan nähdä eräät
palvelun tarjoajien velvollisuuksia koskevat samoin kuin esimerkiksi
haltijan vastuuta tunnistusvälineen (27 §) ja
allekirjoituksen luomistietojen (40 §) oikeudettomasta
käytöstä rajoittavat säännökset.
Valiokunnan mielestä palvelujen saatavuuden kannalta keskeistä on
kuitenkin lisäksi säätää hakijan
oikeudesta saada tunniste tai varmenne siinä tapauksessa,
että tämä täyttää niiden
saamisen edellytykset. Valiokunta kiinnittää huomiota myös
siihen, että tunnistuspalvelun tarjoajan vastuusta tunnistusvälineeseen
luottaneelle aiheutuneesta vahingosta on säännelty
varsin ylimalkaisesti. Sääntelyä on näiltä osin
vielä syytä pyrkiä täydentämään.
Henkilötietojen käsittely
Perussäännökset henkilötietojen
käsittelystä sisältyvät lakiehdotuksen
6 §:ään. Säännöksen lähtökohtana
on, että tunnistuspalvelun tarjoaja ja sähköisiä allekirjoituksia
tarjoava varmentaja saa käsitellä tunnistusvälineen
liikkeelle laskemisessa, palvelun ylläpidossa sekä tunnistustapahtuman
toteuttamisessa tarvittavia henkilötietoja vain palvelun
käyttäjän suostumuksella, toimeksiannosta
tai sellaisen sopimuksen täytäntöönpanemiseksi,
jossa käyttäjä on osallisena, taikka
sopimusta edeltävien toimenpiteiden toteuttamiseksi käyttäjän
pyynnöstä. Tietoja voidaan käsitellä muussa
kuin edellä mainitussa tarkoituksessa vain käyttäjän
suostumuksella. Henkilötietojen käsittelystä on
6 §:n lisäksi säännöksiä muun
muassa lakiehdotuksen 7, 13, 19, 24, 30, 37 ja 38 §:ssä.
Toimintaan sovelletaan myös henkilötietolakia.
Edellä mainittu sääntelykokonaisuus
täyttää henkilötietojen käsittelylle
perustuslakivaliokunnan käytännössä asetetut
vaatimukset sääntelykohteista, rajoitusedellytysten
huomioon ottamisesta sekä sääntelyn kattavuudesta
ja yksityiskohtaisuudesta (ks. esim. PeVL 3/2009
vp, s. 2—3 ja PeVL 19/2008
vp, s. 2—3).
Muita seikkoja
Viestintäviraston määräystenantovalta.
Viestintäviraston määräystenantovaltuuksia
on arvioitava perustuslain 80 §:n 2 momentin
kannalta. Sen mukaan muu kuin pykälän 1 momentissa mainittu
viranomainen voidaan lailla valtuuttaa antamaan oikeussääntöjä määrätyistä asioista,
jos
siihen on sääntelyn kohteeseen liittyviä erityisiä syitä eikä sääntelyn
asiallinen merkitys edellytä, että asiasta säädetään
lailla tai asetuksella. Tällaisen valtuutuksen tulee lisäksi
olla soveltamisalaltaan täsmällisesti rajattu.
Viestintävirasto voi antaa tarkempia määräyksiä lain
8 §:n 3 momentin, 10 §:n 4 momentin, 32 §:n
1 momentin ja 42 §:n 2 momentin nojalla. Kaikissa näissä on
kysymys lähinnä teknisluonteisista määräyksistä,
joiden antaminen on perusteltua sääntelyn kohteen
luonteen, teknisen kehityksen nopeuden ja sääntelyn
edellyttämän erityisasiantuntemuksen vuoksi. Jossain määrin
avoimeksi jää kuitenkin lakiehdotuksen 42 §:n
valtuutus antaa teknisiä määräyksiä palveluntarjoajien
toiminnan luotettavuus- ja tietoturvallisuusvaatimuksista. Perustuslakivaliokunta
muistuttaa tässä yhteydessä siitä,
että perustuslain 80 §:n 1 ja 2 momentin säännökset
rajoittavat suoraan valtuussäännösten
tulkintaa samoin kuin valtuuden nojalla annettavien säännösten
sisältöä. Viraston määräyksellä ei
siten voida antaa yleisiä oikeussääntöjä esimerkiksi sellaisista
seikoista, joista on niiden asiallisen merkityksen vuoksi säädettävä lailla
tai asetuksella (vrt. PeVL 9/2004 vp,
s. 8/I). Tämän vuoksi onkin selvää,
että kysymykseen voivat tulla ainoastaan teknisluonteiset
määräykset, joilla tarkennetaan palveluntarjoajien
toimintaan ehdotetuissa 3 ja 4 luvussa kohdistettujen ja yksittäisissä säännöksissä
määriteltyjen
vaatimusten sisältöä.
Viestintävirastolle maksettavat maksut.
Lakiehdotuksen 47 § sisältää säännökset
ilmoituksen tehneiden palveluntarjoajien velvollisuudesta suorittaa
Viestintävirastolle rekisteröimismaksu ja vuotuinen
valvontamaksu. Perittävät maksut vastaavat Viestintävirastolle
säädettävien tehtävien
hoitamisesta aiheutuvia kokonaiskustannuksia.
Maksun suuruus määräytyy 47 §:n
1 ja 2 momentin perusteella.
Rekisteröitymismaksu ja valvontamaksu ovat valtiosääntöoikeudellisessa
mielessä veroja (PeVL 9/2004
vp, s. 7—8, PeVL 3/2003
vp, s. 2—3). Verosta on perustuslain
81 §:n 1 momentin mukaan säädettävä lailla,
joka sisältää säännökset
verovelvollisuuden ja veron suuruuden perusteista sekä verovelvollisen
oikeusturvasta. Ehdotus täyttää verolaille
perustuslaista johtuvat vaatimukset.