PERUSTUSLAKIVALIOKUNNAN LAUSUNTO 16/2009 vp

PeVL 16/2009 vp - HE 36/2009 vp

Tarkistettu versio 2.0

Hallituksen esitys laiksi vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista sekä eräiksi siihen liittyviksi laeiksi

Liikenne- ja viestintävaliokunnalle

JOHDANTO

Vireilletulo

Eduskunta on 1 päivänä huhtikuuta 2009 lähettäessään hallituksen esityksen laiksi vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista sekä eräiksi siihen liittyviksi laeiksi (HE 36/2009 vp) valmistelevasti käsiteltäväksi liikenne- ja viestintävaliokuntaan samalla määrännyt, että perustuslakivaliokunnan on annettava asiasta lausunto liikenne- ja viestintävaliokunnalle.

Asiantuntijat

Valiokunnassa ovat olleet kuultavina

neuvotteleva virkamies Kirsi Miettinen, liikenne- ja viestintäministeriö

tietosuojavaltuutettu Reijo Aarnio

assistentti Juha Lavapuro

professori Olli Mäenpää

HALLITUKSEN ESITYS

Esityksessä ehdotetaan säädettäväksi laki vahvasta sähköisestä tunnistamisesta ja sähköisestä allekirjoituksesta. Samalla sähköisistä allekirjoituksista annettu laki ehdotetaan kumottavaksi. Eräisiin muihin lakeihin ehdotetaan lisäksi tehtäväksi teknisiä muutoksia.

Esityksen tavoitteena on luoda perustason sääntely niin sanotun vahvan sähköisen tunnistamisen palveluiden tarjonnalle Suomessa samoin kuin puitteet toimiville vahvan sähköisen tunnistamisen palveluiden markkinoille. Lakiehdotus sisältää säännöksiä muun muassa vahvan sähköisen tunnistamisen edellytyksistä, palvelun tarjoajaan ja sen tarjoamaan palveluun sekä tunnistusvälineen haltijaan kohdistuvista vaatimuksista ja velvollisuuksista, tunnistusvälineen käytöstä oikeustoimissa, henkilötietojen käsittelystä sekä viranomaisvalvonnasta.

Ehdotetut lait ovat tarkoitetut tulemaan voimaan 1 päivänä syyskuuta 2009.

Esityksen säätämisjärjestysperusteluissa sähköisen tunnistamisen ja sähköisen allekirjoittamisen palvelujen katsotaan olevan perustuslain 124 §:n soveltamisalan ulkopuolella. Henkilötietojen suojaa on perusteluissa arvioitu perustuslain 10 §:n kannalta. Lisäksi sääntelyä on tarkasteltu perustuslain 18 §:n 1 momentin elinkeinovapauden, perustuslain 81 §:n valtion veroja ja maksuja koskevan säännöksen samoin kuin perustuslain 80 §:n kannalta. Lakiehdotukset voidaan perustelujen mukaan käsitellä tavallisen lain säätämisjärjestyksessä, mutta hallitus on kuitenkin pitänyt suotavana hankkia asiasta perustuslakivaliokunnan lausunto.

VALIOKUNNAN KANNANOTOT

Perustelut

Perustuslain 124 §

Vahvaa sähköistä tunnistamista ja sähköistä allekirjoitusta koskevan lakiehdotuksen (1. lakiehdotus) tarkoituksena on luoda perustason sääntely vahvan sähköisen tunnistamisen palveluiden tarjonnalle ja markkinoille Suomessa. Vahvalla sähköisellä tunnistamisella lakiehdotuksessa tarkoitetaan henkilön yksilöimistä ja tunnisteen aitouden ja oikeellisuuden todentamista lain 2 §:n 1 kohdassa määriteltyä sähköistä menetelmää käyttämällä. Vahvan sähköisen tunnistamisen palveluita tarjotaan yleisölle ja tunnistuspalveluita käyttäville palveluntarjoajille. Toiminnalle tunnusomaista on, että tunnistuspalvelun tarjoajalla ja tunnistamista käyttävällä palveluntarjoajalla sekä tunnistusvälineen haltijalla on keskinäinen sopimussuhde. Tunnistuspalvelun tarjoajat rekisteröidään ilmoitusten perusteella Viestintäviraston ylläpitämään julkiseen rekisteriin. Ilmoitusvelvollisuuden ja rekisteröinnin tarkoituksena on helpottaa tiedonsaantia siitä, mitä palveluntarjoajia voidaan lähtökohtaisesti pitää luotettavina. Palveluntarjoaja voi tarjota samanlaista palvelua myös tekemättä ilmoitusta, mutta tällöin se ei saa tarjota palveluaan vahvana sähköisenä tunnistuspalveluna.

Lakiehdotus sisältää myös säännöksiä sähköisestä allekirjoittamisesta, josta nykyisin on säädetty sähköisistä allekirjoituksista annetussa laissa. Sähköisessä allekirjoittamisessa lähtökohtana on, että allekirjoituspalveluita tarjoavan varmentajan ja allekirjoitukseen luottavan välillä ei ole sopimussuhdetta. Näiden palvelujen osalta sääntelykohteena on lähinnä laatuvarmenteiden tarjoaminen. Toimintaan liittyy vastaavankaltainen ilmoitusmenettely kuin tunnistuspalveluihin.

Perustuslakivaliokunta on arvioinut sähköisistä allekirjoituksista annetun lain tarkoittamaa laatuvarmenteiden tarjoamista perustuslain 124 §:n kannalta lausunnossaan PeVL 2/2002 vp. Tuolloin valiokunta katsoi laatuvarmenteen rinnastuvan viranomaisen myöntämään henkilötodistukseen, koska oikeustoimen edellytykseksi laissa säädetty allekirjoitus voidaan tehdä laatuvarmenteeseen perustuvaa sähköistä allekirjoitusta käyttämällä. Lisäksi valiokunta kiinnitti huomiota siihen, että varmennetoiminnalla on merkitystä sähköisen liiketoiminnan ja muun asioinnin osapuolten oikeusaseman kannalta. Laatuvarmenteiden tarjoamista oli siten valiokunnan mielestä varmenteen oikeusvaikutusten vuoksi pidettävä perustuslain 124 §:ssä tarkoitettuna julkisena hallintotehtävänä.

Sähköisestä allekirjoittamisesta annetussa laissa tarkoitettujen sähköisen allekirjoittamisen palveluiden ja laatuvarmenteiden levinneisyys ja käyttö on ollut Suomessa sittemmin hyvin vähäistä. Sähköisten allekirjoitusten asemesta tunnistamisen välineinä ovat käyttöön vakiintuneet pankkitunnukset, joita hallituksen arvion mukaan käytetään nykyisin noin 99 prosentissa tunnistustapahtumista. Nykyistä lakia sähköisistä allekirjoituksista ei sovelleta näihin tunnistuspalveluihin. Ehdotetussa laissa on sen sijaan tarkoitus luoda puitteet tämänkaltaiselle yksityiselle palveluntarjonnalle. Lakiehdotuksessa tarkoitettujen liiketaloudellisten palvelujen luonne on valiokunnan mielestä siinä määrin etääntynyt julkiseen hallintotehtävään liitettävistä ominaispiirteistä, että toimintaa ei enää nykyisin ole pidettävä julkisena hallintotehtävänä, vaikka vahvan sähköisen tunnistamisen välineillä ja varmennetoiminnalla sinänsä onkin merkitystä erilaisissa oikeustoimissa osapuolten aseman kannalta. Näin ollen lakiehdotusta vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista ei ole tarpeen arvioida perustuslain 124 §:n kannalta.

Palvelujen tarjoamisen sääntely

Lakiehdotuksessa säänneltyjä sähköisen tunnistamisen palveluita voidaan nykyään pitää eräänlaisina tietoyhteiskunnan peruspalveluina. Niiden tarjoamiseen liittyy useita tietoyhteiskunnan perusoikeuksien — etenkin perustuslain 10 §:n 1 momentissa turvatun yksityiselämän ja henkilötietojen suojan — kannalta merkittäviä piirteitä. Tämän luonteisen elinkeinotoiminnan sääntelyssä onkin otettava varsinaisen henkilötietojen käsittelyn asianmukaisuuden ohella huomioon vaatimukset palvelujen laadusta, luotettavuudesta, toimivuudesta ja saatavuudesta. Näitä vaatimuksia toteuttava sääntely ei ole ongelmallista perustuslain 18 §:n 1 momentissa turvatun elinkeinovapauden kannalta. Elinkeinovapauden kannalta ongelmallista ei tämänkaltaisen sääntelyn yhteydessä ole myöskään se, että sekä tunnistuspalvelun tarjoajaan että laatuvarmenteita tarjoavaan varmentajaan kohdistuu toiminnan aloittamiseen liittyvä ilmoitusvelvollisuus etenkin, kun ilmoituksen tekemättä jättäminen ei sinänsä merkitse kieltoa tarjota tunnistamispalveluja.

Ehdotettu sääntely on edellä mainittujen palvelujen laatuvaatimusten kannalta pääosiltaan asianmukaista ja riittävää. Lakiehdotus sisältää vahvan sähköisen tunnistamisen osalta säännökset muun muassa tunnistusmenetelmälle (8 §) ja tunnistuspalvelun tarjoajan toimintakelpoisuudelle ja luotettavuudelle asetettavista vaatimuksista (9 §), palveluntarjoajan yleisistä asiantuntemukseen ja tietoturvaan sekä tuotteiden luotettavuuteen ja toimivuuteen liittyvistä velvollisuuksista (13 §), tunnistusperiaatteista ja niiden saatavilla pitämisestä (14 §), palveluntarjoajan tiedonantovelvoitteesta ennen sopimuksen tekemistä (15 §), tietoturvaan kohdistuvien uhkien ilmoittamisvelvollisuudesta (16 §), tunnistusvälineen liikkeelle laskemisesta (20 §), luovuttamisesta hakijalle (21 §) ja uusimisesta (22 §), sekä tunnistustapahtumaa ja tunnistusvälinettä koskevien tietojen tallentamisesta ja käytöstä (24 §). Sähköisen allekirjoituksen osalta lakiehdotus sisältää säännökset muun muassa laatuvarmenteita tarjoavan varmentajan yleisistä velvollisuuksista (33 §), laitteiden ja ohjelmistojen luotettavuudesta (34 §), laatuvarmenteen liikkeelle laskemisesta (35 §) ja peruuttamisesta (36 §), varmentajan ylläpitämistä rekistereistä (37 §), tietojen säilyttämisestä (38 §) ja varmentajan vahingonkorvausvastuusta (41 §). Toiminnan yleisen luotettavuuden kannalta olennaista on, että toimintaan kohdistuu lakiehdotuksen 12 ja 32 §:n sekä 5 luvun mukainen viranomaisvalvonta.

Jonkinlaisena puutteena voidaan pitää sitä, että kohdistuessaan ensisijaisesti palvelun tarjoajiin sääntely ei juurikaan sisällä tietoyhteiskunnan perusoikeuksien toteutumiseen kytkeytyviä tunnistusvälineen hakijan tai haltijan kannalta olennaisia oikeuksia. Tällaisiksi voidaan tosin osaltaan nähdä eräät palvelun tarjoajien velvollisuuksia koskevat samoin kuin esimerkiksi haltijan vastuuta tunnistusvälineen (27 §) ja allekirjoituksen luomistietojen (40 §) oikeudettomasta käytöstä rajoittavat säännökset. Valiokunnan mielestä palvelujen saatavuuden kannalta keskeistä on kuitenkin lisäksi säätää hakijan oikeudesta saada tunniste tai varmenne siinä tapauksessa, että tämä täyttää niiden saamisen edellytykset. Valiokunta kiinnittää huomiota myös siihen, että tunnistuspalvelun tarjoajan vastuusta tunnistusvälineeseen luottaneelle aiheutuneesta vahingosta on säännelty varsin ylimalkaisesti. Sääntelyä on näiltä osin vielä syytä pyrkiä täydentämään.

Henkilötietojen käsittely

Perussäännökset henkilötietojen käsittelystä sisältyvät lakiehdotuksen 6 §:ään. Säännöksen lähtökohtana on, että tunnistuspalvelun tarjoaja ja sähköisiä allekirjoituksia tarjoava varmentaja saa käsitellä tunnistusvälineen liikkeelle laskemisessa, palvelun ylläpidossa sekä tunnistustapahtuman toteuttamisessa tarvittavia henkilötietoja vain palvelun käyttäjän suostumuksella, toimeksiannosta tai sellaisen sopimuksen täytäntöönpanemiseksi, jossa käyttäjä on osallisena, taikka sopimusta edeltävien toimenpiteiden toteuttamiseksi käyttäjän pyynnöstä. Tietoja voidaan käsitellä muussa kuin edellä mainitussa tarkoituksessa vain käyttäjän suostumuksella. Henkilötietojen käsittelystä on 6 §:n lisäksi säännöksiä muun muassa lakiehdotuksen 7, 13, 19, 24, 30, 37 ja 38 §:ssä. Toimintaan sovelletaan myös henkilötietolakia.

Edellä mainittu sääntelykokonaisuus täyttää henkilötietojen käsittelylle perustuslakivaliokunnan käytännössä asetetut vaatimukset sääntelykohteista, rajoitusedellytysten huomioon ottamisesta sekä sääntelyn kattavuudesta ja yksityiskohtaisuudesta (ks. esim. PeVL 3/2009 vp, s. 2—3 ja PeVL 19/2008 vp, s. 2—3).

Muita seikkoja
Viestintäviraston määräystenantovalta.

Viestintäviraston määräystenantovaltuuksia on arvioitava perustuslain 80 §:n 2 momentin kannalta. Sen mukaan muu kuin pykälän 1 momentissa mainittu viranomainen voidaan lailla valtuuttaa antamaan oikeussääntöjä määrätyistä asioista, jos siihen on sääntelyn kohteeseen liittyviä erityisiä syitä eikä sääntelyn asiallinen merkitys edellytä, että asiasta säädetään lailla tai asetuksella. Tällaisen valtuutuksen tulee lisäksi olla soveltamisalaltaan täsmällisesti rajattu.

Viestintävirasto voi antaa tarkempia määräyksiä lain 8 §:n 3 momentin, 10 §:n 4 momentin, 32 §:n 1 momentin ja 42 §:n 2 momentin nojalla. Kaikissa näissä on kysymys lähinnä teknisluonteisista määräyksistä, joiden antaminen on perusteltua sääntelyn kohteen luonteen, teknisen kehityksen nopeuden ja sääntelyn edellyttämän erityisasiantuntemuksen vuoksi. Jossain määrin avoimeksi jää kuitenkin lakiehdotuksen 42 §:n valtuutus antaa teknisiä määräyksiä palveluntarjoajien toiminnan luotettavuus- ja tietoturvallisuusvaatimuksista. Perustuslakivaliokunta muistuttaa tässä yhteydessä siitä, että perustuslain 80 §:n 1 ja 2 momentin säännökset rajoittavat suoraan valtuussäännösten tulkintaa samoin kuin valtuuden nojalla annettavien säännösten sisältöä. Viraston määräyksellä ei siten voida antaa yleisiä oikeussääntöjä esimerkiksi sellaisista seikoista, joista on niiden asiallisen merkityksen vuoksi säädettävä lailla tai asetuksella (vrt. PeVL 9/2004 vp, s. 8/I). Tämän vuoksi onkin selvää, että kysymykseen voivat tulla ainoastaan teknisluonteiset määräykset, joilla tarkennetaan palveluntarjoajien toimintaan ehdotetuissa 3 ja 4 luvussa kohdistettujen ja yksittäisissä säännöksissä määriteltyjen vaatimusten sisältöä.

Viestintävirastolle maksettavat maksut.

Lakiehdotuksen 47 § sisältää säännökset ilmoituksen tehneiden palveluntarjoajien velvollisuudesta suorittaa Viestintävirastolle rekisteröimismaksu ja vuotuinen valvontamaksu. Perittävät maksut vastaavat Viestintävirastolle säädettävien tehtävien hoitamisesta aiheutuvia kokonaiskustannuksia. Maksun suuruus määräytyy 47 §:n 1 ja 2 momentin perusteella.

Rekisteröitymismaksu ja valvontamaksu ovat valtiosääntöoikeudellisessa mielessä veroja (PeVL 9/2004 vp, s. 7—8, PeVL 3/2003 vp, s. 2—3). Verosta on perustuslain 81 §:n 1 momentin mukaan säädettävä lailla, joka sisältää säännökset verovelvollisuuden ja veron suuruuden perusteista sekä verovelvollisen oikeusturvasta. Ehdotus täyttää verolaille perustuslaista johtuvat vaatimukset.

Lausunto

Lausuntonaan perustuslakivaliokunta esittää,

että lakiehdotukset voidaan käsitellä tavallisen lain säätämisjärjestyksessä.

Helsingissä 29 päivänä toukokuuta 2009

Asian ratkaisevaan käsittelyyn valiokunnassa ovat ottaneet osaa

  • pj. Kimmo Sasi /kok
  • jäs. Tuomo Hänninen /kesk
  • Heli Järvinen /vihr
  • Ulla Karvo /kok
  • Elsi Katainen /kesk
  • Kari Kärkkäinen /kd
  • Elisabeth Nauclér /r
  • Mikaela Nylander /r
  • Tuula Peltonen /sd
  • Veijo Puhjo /vas
  • Tapani Tölli /kesk
  • Tuulikki Ukkola /kok
  • Antti Vuolanne /sd

Valiokunnan sihteerinä on toiminut

valiokuntaneuvos Petri Helander