Senast publicerat 03-11-2021 14:36

Regeringens proposition RP 237/2020 rd Regeringens proposition till riksdagen med förslag till lagar om ändring av lagen om stark autentisering och betrodda elektroniska tjänster och ikraftträdandebestämmelsen i en lag om ändring och temporär ändring av lagen om stark autentisering och betrodda elektroniska tjänster

PROPOSITIONENS HUVUDSAKLIGA INNEHÅLL

I denna proposition föreslås det att lagen om stark autentisering och betrodda elektroniska tjänster samt ikraftträdandebestämmelsen i en lag om ändring och temporär ändring av den lagen ändras. Genom förslaget förlängs regleringen i fråga om ett maximipris för så kallad sammankopplad inledande identifiering temporärt med två år. Dessutom föreslås för Transport- och kommunikationsverket en ny uppgift som gäller insamling av marknadsinformation och i lagens bestämmelser om behandling av personuppgifter i huvudsak lagtekniska ändringar för att uppdatera regleringen. 

Syftet med propositionen är att främja utvecklingen av marknaden för elektronisk identifiering. Genom propositionen genomförs målet ”Ett livskraftigt Finland” i regeringsprogrammet för statsminister Sanna Marins regering. 

De föreslagna lagarna avses träda i kraft senast den 1 april 2021. Regleringen av maximipriset för sammankopplad inledande identifiering avses gälla till och med den 31 mars 2023. 

MOTIVERING

Bakgrund och beredning

Bestämmelsen om ett maximipris för sammankopplad inledande identifiering har ursprungligen varit i kraft temporärt sedan våren 2018. Med inledande identifiering avses verifiering av identiteten hos den som ansöker om ett identifieringsverktyg för stark autentisering, när verifieringen sker i samband med att verktyget skaffas. Sammankopplad inledande identifiering innebär en situation där att man med hjälp av ett redan befintligt identifieringsverktyg för stark autentisering skapar ett nytt identifieringsverktyg för stark autentisering, t.ex. att ett nytt mobilcertifikat skapas på elektronisk väg med hjälp av bankkoder. Bestämmelserna om sammankopplad inledande identifiering utgör grunden för en fungerande marknad för elektronisk identifiering och därigenom också för en ökad användning av säkra e-tjänster. Den nuvarande regleringen av maximipriset har påskyndat marknadens utveckling, som dock fortfarande pågår. För att denna utveckling ska kunna tryggas har det framkommit ett behov av att förlänga giltighetstiden för bestämmelsen om ett maximipris.  

Syftet med propositionen är att främja utvecklingen av fungerande identifieringslösningar som möjliggör användningen av olika slags verktyg i enlighet med skrivningen i regeringsprogrammet för Sanna Marins regering. Främjandet av säkra e-tjänster är av central betydelse i och med att användningen av elektroniska tjänster ökar inom alla samhällssektorer. 

Propositionen har beretts vid kommunikationsministeriet, och Transport- och kommunikationsverket har hörts under beredningen. Utkastet till regeringsproposition var på remiss mellan den 30 september och den 30 oktober 2020. Yttranden har begärts av intressentgrupper i fråga om stark autentisering, i synnerhet leverantörer av identifieringstjänster, och myndigheter som övervakar regleringen. Sammanlagt 17 yttranden lämnades in, och det har gjorts ett sammandrag av dem. Beredningsunderlaget till propositionen finns på finska på adressen https://valtioneuvosto.fi/sv/projekt med identifieringskoden LVM051:00/2020

Nuläge och bedömning av nuläget

2.1  Allmänt om den nationella lagstiftningen om och marknaden för stark autentisering

Med stark autentisering avses elektronisk verifiering av identiteten. Lagen om stark autentisering och betrodda elektroniska tjänster (617/2009) innehåller bestämmelser om kraven på stark autentisering och om tillhandahållande av identifieringstjänster till tjänsteleverantörer, till allmänheten och till andra leverantörer av identifieringstjänster. Syftet med lagen är att genom reglering främja en marknadsbaserad utveckling av stark autentisering. Ett centralt mål är att främja säkerheten vid elektronisk kommunikation och användning av elektroniska tjänster genom att öka användningen av stark autentisering. 

Lagstiftningen om och tjänsterna för stark autentisering har i Finland utvecklats långsiktigt och på marknadens villkor. De leverantörer av tjänster för stark autentisering som uppfyller kraven i lagen om stark autentisering och betrodda elektroniska tjänster och som har gjort en anmälan enligt lagen till Transport- och kommunikationsverket om att verksamheten inleds bildar direkt med stöd av lagen ett förtroendenät för elektronisk identifiering. E-tjänsterna, såsom näthandeln och elektroniska tjänster inom den offentliga förvaltningen, skaffar stark autentisering för sina e-tjänster centraliserat via förtroendenätet. 

De identifieringsverktyg för stark autentisering som för närvarande används i Finland är bankkoder som bankerna tillhandahåller, teleföretagens mobilcertifikat, av Myndigheten för digitalisering och befolkningsdata beviljade medborgarcertifikat som finns på identitetskort som polisen beviljar och organisationscertifikat som finns på organisationskort som Myndigheten för digitalisering och befolkningsdata beviljar. För tillsynen när det gäller aktörerna inom och regleringen av stark autentisering svarar Transport- och kommunikationsverket.  

För närvarande sker merparten av de identifieringstransaktioner som baserar sig på stark autentisering inom de elektroniska tjänsterna inom finanssektorn och den offentliga förvaltningen. Där har volymen av identifieringstransaktionerna också ökat kontinuerligt. Identifieringstransaktionerna kan antas öka också när det gäller andra e-tjänster inom den privata sektorn. 

Inloggning till den offentliga förvaltningens tjänster görs via suomi.fi-tjänsten. I juni 2020 kunde man logga in till sammanlagt 897 e-tjänster via suomi.fi. Bankkoder är de klart mest använda identifieringsverktygen för stark autentisering. Vid identifiering via suomi.fi användes bankkoder som identifieringsverktyg i ca 89 procent av identifieringstransaktionerna under det senaste året. Mobilcertifikat användes i genomsnitt i ca 7 procent av identifieringstransaktionerna under det senaste året. Användningen av mobilcertifikat vid identifiering via suomi.fi ökade emellertid i januari–juni 2020 med 70 procent jämfört med motsvarande tid i fjol. 

Något heltäckande material om användningen av identifieringsverktyg inom privata e-tjänster finns inte att tillgå eftersom uppgifterna är spridda och av företagshemlig karaktär. Användningen av identifieringsverktyg vid identifiering för privata e-tjänster kan ändå bedömas följa samma fördelning som vid identifiering för offentliga e-tjänster. 

2.2  Sammankopplad inledande identifiering

Bestämmelser om identifiering av en fysisk person i samband med ansökan om ett identifieringsverktyg för stark autentisering, dvs. inledande identifiering, finns i 17 § i lagen om stark autentisering och betrodda elektroniska tjänster. Vid inledande identifiering ska identifieringen av en fysisk person göras personligen eller elektroniskt på ett sådant sätt att de krav uppfylls som gäller för tillitsnivån väsentlig eller hög enligt kommissionens genomförandeförordning (EU) 2015/1502 om fastställande av tekniska minimispecifikationer och förfaranden för tillitsnivåer för medel för elektronisk identifiering i enlighet med artikel 8.3 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden (förordningen om tillitsnivåer vid elektronisk identifiering). Kontrollen av en fysisk persons identitet kan grunda sig på en identitetshandling som utfärdats av en myndighet eller ett sådant identifieringsverktyg för stark autentisering som avses i lagen, s.k. sammankopplad inledande identifiering. Kontrollen av identiteten kan dessutom grunda sig på ett förfarande som en offentlig eller privat aktör tidigare och i annat syfte än för beviljande av ett identifieringsverktyg för stark autentisering har använt sig av och som Transport- och kommunikationsverket godkänner med stöd av det förfarande som avses i paragrafen eller utifrån en bekräftelse av ett organ för bedömning av överensstämmelse. 

Bestämmelser om sammankopplad inledande identifiering, dvs. skapande av ett nytt identifieringsverktyg för stark autentisering med ett redan befintligt identifieringsverktyg för stark autentisering, finns i 17 § 4 mom. Enligt momentet ska en leverantör av identifieringsverktyg göra det möjligt för en annan leverantör av identifieringsverktyg att använda ett identifieringsverktyg för stark autentisering som beviljats av den förstnämnda för inledande identifiering vid ansökan om ett identifieringsverktyg för stark autentisering på motsvarande eller lägre tillitsnivå. Sammankopplad inledande identifiering innebär således att uppgifter om inledande identifiering av en person förmedlas elektroniskt till en annan leverantör av identifieringsverktyg. Det är fråga om sammankopplad inledande identifiering t.ex. när det med hjälp av en befintlig bankkod på elektronisk väg skapas ett nytt mobilcertifikat. För närvarande använder sig i synnerhet teleoperatörerna av sammankopplad inledande identifiering när de beviljar nya mobilcertifikat. Varje leverantör av identifieringsverktyg ska göra det möjligt för andra verktygsleverantörer att koppla samman verktygen, men det är ändå frivilligt att använda sig av sammankoppling. 

I december 2017 fogades det för första gången till lagen om stark autentisering och betrodda elektroniska tjänster ett temporärt maximipris för sammankopplad inledande identifiering (RP 83/2017 rd). Det föreskrevs då att den temporära lagen gäller i fem år. Nivån på en rättvis och skälig ersättning för sammankopplad inledande identifiering skulle emellertid slås fast genom ett beslut av Kommunikationsverket. Maximipriset bestämdes således vid införandet inte på lagnivå, utan i ett beslut som Kommunikationsverket meddelade våren 2018. Efter det ändrades bestämmelsen om ett maximipris för sammankopplad inledande identifiering 2019 (RP 264/2018 rd). Då fogades den nuvarande bestämmelsen om ett maximipris temporärt till lagen för en tid av två år. 

För närvarande finns en bestämmelse om ett maximipris för sammankopplad inledande identifiering i 17 § 7 mom. i lagen om stark autentisering och betrodda elektroniska tjänster. Enligt det momentet tillämpas den i 12 c § angivna ersättningen för tillträdesrätt till identifieringstjänsten också på sammankopplad inledande identifiering. Maximipriset för förmedling av uppgifter om inledande identifiering är tre cent. Bestämmelsen om maximipriset gäller för närvarande endast temporärt till och med den 31 mars 2021. Efter det slopas prisregleringen i fråga om sammankopplad inledande identifiering helt och hållet och priset bestäms på marknadens villkor, om inte bestämmelsens giltighetstid förlängs. 

Möjligheten att koppla samman uppgifter om inledande identifiering främjar och underlättar tillhandahållandet av nya identifieringsverktyg som konkurrerar med de identifieringsverktyg som konsumenterna redan har. Dessutom blir det lättare för helt nya leverantörer av identifieringsverktyg att komma in på marknaden. Sammankopplade uppgifter om inledande identifiering gör det möjligt för leverantören av ett nytt identifieringsverktyg att använda redan existerande uppgifter om inledande identifiering av en person som ansöker om ett identifieringsverktyg. En person kan t.ex. elektroniskt beviljas ett mobilcertifikat med hjälp av de bankkoder som personen redan har, utan att den inledande fysiska identifiering som gjordes i samband med att bankkoderna beviljades behöver göras på nytt. Sammankopplad inledande identifiering gör det lättare att skaffa nya identifieringsverktyg också ur konsumentens synvinkel, när det går att skaffa sig ett nytt identifieringsverktyg helt på elektronisk väg utan att fysiskt besöka leverantören av identifieringsverktyget på verksamhetsstället. 

Enligt responsen från intressentgrupperna i samband med de tidigare lagstiftningsändringar som gäller prisregleringen har det höga pris som tagits ut för förmedling av uppgifter om inledande identifiering fördröjt tillhandahållandet av nya elektroniska identifieringsverktyg. Detta har märkts särskilt i fråga om de leverantörer som vill använda sig av sammankopplad inledande identifiering vid beviljandet av nya identifieringsverktyg. Sammankopplad inledande identifiering har tidigare använts närmast av teleoperatörer när de beviljat mobilcertifikat. Även bankerna använder sig emellertid av sammankoppling i allt högre utsträckning. Enligt de principer för identifiering som leverantörerna av identifieringstjänster offentliggjort är elektronisk inledande identifiering numera möjlig hos sju banker. Flera banker har redan börjat eller ska börja bevilja bankkoder med hjälp av sammankopplad inledande identifiering.  

I fråga om volymen av sammankopplad inledande identifiering saknas det uppgifter som täcker hela marknaden för stark autentisering. Transport- och kommunikationsverket begärde sommaren 2020 uppgifter av leverantörerna av identifieringstjänster för en bedömning enligt 12 c § i lagen om stark autentisering och betrodda elektroniska tjänster. I samband med det lämnade en del av de som svarande också frivilligt uppgifter om volymerna av och priserna på sammankopplade inledande identifieringstransaktioner. Även om svaren inte är representativa för alla leverantörer av identifieringsverktyg kan man med stöd av dem dra vissa slutsatser om marknadssituationen. Enligt svaren har volymen av sammankopplad inledande identifiering under giltighetstiden för den nuvarande bestämmelsen om ett maximipris ökat med i genomsnitt 45 procent jämfört med tiden för den förra prisregleringen hösten 2018. Det bör beaktas att den allmänna digitala utvecklingen kan bidra till en ökad volym av sammankopplad inledande identifiering. Volymökningen är emellertid så tydlig att regleringens inverkan mycket sannolikt har varit betydande. När det gäller prisnivån ser priset för förmedling av elektroniska uppgifter om inledande identifiering ut att ligga på tre cent per transaktion. Utifrån de uppgifter som finns att tillgå verkar det maximipris som lagen tillåter således ha blivit den rådande prisnivån på marknaden.  

Genom regleringen av maximipriset för förmedling av uppgifter om inledande identifiering har man förbättrat möjligheterna att koppla samman identifieringsverktyg och på så sätt skapa nya identifieringsverktyg för stark autentisering. Regleringen av maximipriset har bidragit till en positiv utveckling på marknaden, och enligt respons från intressentgrupperna har konkurrensen blivit effektivare. Dessutom har regleringen möjliggjort betydande investeringar. Under de senaste åren har Transport- och kommunikationsverket flera gånger kontaktats i anslutning till ett intresse för att komma in på marknaden för stark autentisering som ny leverantör av identifieringsverktyg eller av tjänster för identifieringsförmedling. De senaste kontakterna har skett under den gällande regleringen av maximipriset. Både aktörer som håller på att utveckla ett identifieringsverktyg eller en förmedlingstjänst och leverantörer som redan tillhandahåller identifieringstjänster i någon annan stat har visat intresse för att komma in på marknaden. De har ofta redan färdiga identifierings- eller förmedlingssystem och därmed faktiska förutsättningar att komma in på marknaden för stark autentisering i Finland. 

Bestämmelsen om ett maximipris för sammankopplad inledande identifiering har, vid sidan av andra lagstiftningsändringar som gjorts under de senaste åren, underlättat verksamheten för de nuvarande leverantörerna av identifieringsverktyg och gjort det lättare för eventuella nya identifieringsverktyg att komma in på marknaden. Konkurrensläget på marknaden bedöms ändå fortfarande vara inne i en känslig fas med tanke på dess utveckling. Eftersom den nuvarande marknadsregleringen, inklusive prisregleringen, har bidragit till en positiv utveckling kan ändringar i regleringen ha en negativ inverkan på utvecklingen. Bestämmelsen om ett maximipris för sammankopplad inledande identifiering gäller emellertid bara till och med den 31 mars 2021. Efter det bestäms priset på marknadens villkor. Om regleringen av maximipriset slopas kan de priser som tas ut för sammankopplad inledande identifiering högst sannolikt stiga eftersom det före prisregleringen togs ut mycket höga priser för detta. I så fall fördröjs verksamheten på marknaden och beviljandet av nya identifieringsverktyg samt tillträdet till marknaden för nya leverantörer av identifieringsverktyg. 

2.3  Transport- och kommunikationsverkets uppgifter

Enligt 42 § 1 mom. i lagen om stark autentisering och betrodda elektroniska tjänster svarar kommunikationsministeriet för den allmänna styrningen och utvecklingen av stark autentisering och betrodda tjänster. Detta innebär närmast beredning av lagstiftningsprojekt som hänför sig till elektronisk identifiering och betrodda tjänster samt deltagande i EU-organs verksamhet i anslutning till dessa projekt.  

Bestämmelser om Transport- och kommunikationsverkets uppgifter finns i 42 a § i lagen om stark autentisering och betrodda elektroniska tjänster. Verket ska utöva tillsyn över efterlevnaden av den lagen. I paragrafen föreskrivs det dessutom om verkets uppgifter i anslutning till Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG (EU:s förordning om elektronisk identifiering eller eIDAS-förordningen). Transport- och kommunikationsverkets beslutanderätt omfattar ändå inte frågor om avtalsförhållanden mellan parter eller om ersättningsansvar. Verket har enligt 43 § 1 mom. när det fullgör sina uppgifter enligt den lagen trots sekretessbestämmelserna rätt att få den information som behövs för skötseln av uppgifterna av dem vars rättigheter och skyldigheter denna lag gäller och av dem som handlar för dessas räkning.  

Kommunikationsministeriet har i anslutning till den allmänna styrning och utveckling som avses i lagen om stark autentisering och betrodda elektroniska tjänster ingen rätt till information om marknaden för stark autentisering eller om tillhandahållandet av, tillgången till eller priserna på identifieringstjänster. Transport- och kommunikationsverket har inte heller rätt att samla eller få sådan information eftersom styrningen och utvecklingen av lagstiftningen inte hör till dess lagstadgade uppgifter. I praktiken är det enda sättet att få den information som behövs för att bedöma hur lagstiftningen fungerar och vad den har för konsekvenser att genomföra olika frivilliga enkätundersökningar bland aktörerna på marknaden för stark autentisering. Denna information omfattar emellertid ofta företagshemligheter, och alla marknadsaktörer har inte varit villiga att lämna information. Att informationen är bristfällig försvårar uppföljningen av hur ändringar i lagstiftningen fungerar och vilka konsekvenser de har. 

Målsättning

Syftet med propositionen är att i enlighet med skrivningen i regeringsprogrammet för Sanna Marins regering främja utvecklingen av fungerande identifieringslösningar som möjliggör användningen av olika slags verktyg. Främjandet av säkra e-tjänster är av central betydelse i och med att användningen av elektroniska tjänster ökar inom alla samhällssektorer. 

Förslaget främjar användningen av stark autentisering och utvecklingen av identifieringslösningar genom att det skapas förutsättningar för konkurrens på marknaden för elektronisk identifiering. Genom att främja konkurrensen strävar man efter att stödja verksamhetsförutsättningarna för de nuvarande leverantörerna av identifieringsverktyg och förbättra möjligheterna för eventuella nya leverantörer av identifieringsverktyg att komma in på marknaden. På så sätt strävar man också efter att förbättra tillgången till identifieringstjänster för olika e-tjänster och för konsumenterna. Strävan är samtidigt att främja möjligheterna att utveckla och använda nya typer av elektroniska tjänster. Ett viktigt mål är också att främja konsumenternas möjligheter att på ett säkert och tillförlitligt sätt identifiera sig i e-tjänster med identifieringsverktyg som de själva har valt. Genom möjligheten att använda flera identifieringsverktyg parallellt främjas målet att ha en säker elektronisk kommunikation också i störnings- och undantagssituationer. 

Ett syfte med propositionen är att sammankopplad inledande identifiering fortfarande ska vara möjlig till ett skäligt pris, så att prissättningen inte utgör ett hinder för beviljande av nya identifieringsverktyg. 

Ett annat syfte är att förbättra möjligheterna att bedöma konsekvenserna av och utveckla lagstiftningen. Genom att ge Transport- och kommunikationsverket en ny uppgift, dvs. att samla information och sammanställa den till statistisk information, strävar man efter att förbättra möjligheterna att följa upp regleringens konsekvenser. Bestämmelserna har ändrats flera gånger under de senaste åren, och därför är det viktigt att följa upp effekterna av dem för att utveckla lagstiftningen. 

Ett syfte är dessutom att bestämmelserna i lagen om stark autentisering och betrodda elektroniska tjänster ska motsvara bestämmelserna i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (nedan den allmänna dataskyddsförordningen) och i kompletterande nationell lagstiftning. 

Förslagen och deras konsekvenser

4.1  De viktigaste förslagen

I propositionen föreslås det att bestämmelsen om ett maximipris för s.k. sammankopplad inledande identifiering förlängs temporärt med två år. Maximipriset för sammankopplad inledande identifiering ska också i fortsättningen vara tre cent per transaktion.  

I propositionen föreslås det också att Transport- och kommunikationsverket får en ny uppgift, att samla och sammanställa statistisk information om marknaden för stark autentisering och om tillhandahållande av identifieringstjänster. Syftet med den statistiska informationen är att göra det möjligt att följa upp regleringens konsekvenser och producera information för kommunikationsministeriets allmänna styrning av den elektroniska identifieringen och utveckling av lagstiftningen. Dessutom ska verket kunna producera information för publicering i större utsträckning om utvecklingen på marknaden för identifieringstjänster. 

Genom propositionen är det dessutom meningen att bestämmelsen om grunderna för behandling av personuppgifter i lagen om stark autentisering och betrodda elektroniska tjänster ska fås att motsvara bestämmelserna i den allmänna dataskyddsförordningen och att lagens föråldrade hänvisningar till personuppgiftslagen (523/1999) ska upphävas. 

4.2  De huvudsakliga konsekvenserna

4.2.1  Ekonomiska konsekvenser

I det register över leverantörer av identifieringstjänster som förs av Transport- och kommunikationsverket finns för närvarande 16 tjänsteleverantörer. Utöver Myndigheten för digitalisering och befolkningsdata finns det i registret 15 privata företag. Av dem är tio banker eller sammanslutningar av banker, tre teleoperatörer och två andra företag. Två tjänsteleverantörer tillhandahåller inte alls något eget verktyg för elektronisk identifiering, utan de är endast förmedlare av identifieringstjänster. Propositionen har ekonomiska konsekvenser för leverantörer av identifieringsverktyg som är verksamma på marknaden. 

De faktorer som inverkar på hur maximipriset för sammankopplad inledande identifiering bestäms har inte förändrats nämnvärt sedan regleringen av maximipriset senast ändrades 2019. Sammankopplingen av inledande identifiering sker med hjälp av ett befintligt identifieringsverktyg för stark autentisering, och den tekniska process som hänför sig till detta har inte förändrats. Förmedling av uppgifter om inledande identifiering är fortfarande tekniskt sett samma åtgärd som förmedling av identifieringsuppgifter inom nätverket av leverantörer av identifieringstjänster. Likaså är det fortfarande motiverat att bedöma priset för sammankopplad inledande identifiering separat från de kostnader som leverantören av ett identifieringsverktyg själv orsakas på grund av den egentliga inledande identifieringen av en person eller på grund av annan lagstiftning. Även riksdagens kommunikationsutskott konstaterade i sitt betänkande om den gällande bestämmelsen om ett maximipris att utskottet instämmer med ekonomiutskottet i att det inte kan anses befogat att sådana här fasta och andra kostnader som hör ihop med att bedriva verksamhet och som delvis följer av lagstadgade skyldigheter för finanssektorn skulle täckas i sin helhet med priset på inledande identifiering (KoUB 44/2018 rd, s. 3).  

Reglering av maximipriset är däremot fortfarande en rätt kraftig åtgärd som begränsar möjligheten för leverantörer av identifieringsverktyg att besluta om priserna på sina tjänster. De klart vanligaste identifieringsverktyg för stark autentisering som finns på marknaden är bankkoder, så en förlängning av giltighetstiden för bestämmelsen om ett maximipris för sammankopplad inledande identifiering inverkar i praktiken mest på bankernas möjligheter att besluta om de priser som de tar ut av andra leverantörer av identifieringsverktyg. Strävan är att säkerställa att konsekvenserna av lagstiftningen är proportionerliga och förutsägbara genom att maximipriset för sammankopplad inledande identifiering hålls på nuvarande nivå. Således föreslås maximipriset även i fortsättningen vara tre cent. Eftersom den nuvarande prisnivån också verkar ha blivit densamma som den högsta nivå som lagen möjliggör, dvs. tre cent, innebär en förlängning av regleringen i praktiken att den nuvarande situationen fortgår. Dessutom är konsekvenserna av prisregleringen tidsbegränsade eftersom bestämmelsen är temporär. Det är alltså meningen att tidsmässigt begränsa konsekvenserna av det sänkta maximipriset endast till den fas där det fortfarande bedöms vara nödvändigt för att effektivisera marknadsutvecklingen. 

I fråga om konsekvenserna för de nuvarande leverantörerna av identifieringsverktyg ska det beaktas att sammankopplad inledande identifiering innebär att det skapas ett nytt identifieringsverktyg som är parallellt med ett befintligt identifieringsverktyg. Kundrelationen hos den instrumentleverantör som gjorde den ursprungliga inledande identifieringen fortlöper således som tidigare. Därför bedöms konsekvenserna av en förlängning av giltighetstiden för maximipriset för sammankopplad inledande identifiering som helhet inte vara betydande för de nuvarande leverantörernas, dvs. i praktiken bankernas och teleoperatörernas, affärsverksamhet. 

Regleringen av maximipriset inverkar dessutom på marknadstillträdet för nya potentiella leverantörer av identifieringsverktyg och också på nuvarande leverantörers möjligheter att tillhandahålla användarna nya verktyg. Genom förslaget sänks den ekonomiska tröskeln för leverantörer av identifieringsverktyg att komma in på marknaden och tillhandahålla nya verktyg, eftersom en leverantör till ett skäligt pris kan utnyttja möjligheten till sammankopplad inledande identifiering när den beviljar nya identifieringsverktyg. 

4.2.2  Konsekvenser för myndigheternas verksamhet

De föreslagna ändringarna påverkar Transport- och kommunikationsverkets uppgifter. Transport- och kommunikationsverket får en ny uppgift, att samla och sammanställa statistisk information om marknaden för stark autentisering och om tillhandahållande av identifieringstjänster. Ändringen bedöms inte i någon betydande grad öka Transport- och kommunikationsverkets arbetsbörda. Den föreslagna uppgiften kan skötas inom ramen för Transport- och kommunikationsverkets nuvarande personalresurser och genom att uppgiften anpassas till verkets nuvarande arbetssätt. Den nya uppgiften stöder också uppföljningen och utvecklingen av de tillsyns- och styrningsåtgärder som hänför sig till verkets verkställighet av lagstiftningen. 

Propositionen bedöms inte öka arbetsbördan för andra myndigheter med anknytning till lagstiftningen om stark autentisering eller till tillsynen över aktörer inom branschen. Sådana myndigheter är t.ex. Finansinspektionen, Konkurrens- och konsumentverket och Dataombudsmannen. Propositionen har heller inga konsekvenser för behörighetsfördelningen mellan myndigheterna. 

4.2.3  Samhälleliga konsekvenser

Ett viktigt syfte med propositionen är att främja konkurrensen på marknaden för elektronisk identifiering och att främja säkra och tillförlitliga e-tjänster av olika slag. De ändringar som föreslås i propositionen gör det möjligt att koppla samman uppgifter om inledande identifiering till ett skäligt pris, vilket främjar och underlättar såväl nuvarande som eventuella nya tjänsteleverantörers tillhandahållande av nya identifieringsverktyg på marknaden. Förslaget främjar således konkurrensen, utvecklingen och tillväxten på marknaden. 

Om utbudet av identifieringsverktyg ökar på marknaden, blir tillgången till identifieringstjänster mångsidigare för e-tjänsterna och medborgarna. Ökad konkurrens på marknaden skapar möjligheter för konsumenterna att välja vilket verktyg för elektronisk identifiering de vill använda. En medborgare kan använda sig av flera olika identifieringsverktyg, vilket i störningssituationer eller andra exceptionella situationer behövs för att säkerställa en säker elektronisk kommunikation. Stark autentisering är ett verktyg för att verifiera identiteten inom e-tjänster och för att hantera den elektroniska identiteten. Tillgången till elektronisk identifiering ska i första hand också ses som en konsumenträttighet och inte enbart som en fråga för tjänsteleverantörerna. Den elektroniska identifieringen ska vara enkel och säker för användaren och tillgänglig i så många e-tjänster som möjligt för att användaren ska ha faktiska möjligheter att hantera sin elektroniska identitet. Att använda stark autentisering är också ett sätt att förebygga identitetsstölder. 

Alternativa handlingsvägar

5.1  Handlingsalternativen och deras konsekvenser

Sammankopplad inledande identifiering

Vid beredningen av propositionen har man övervägt olika lagstiftningsalternativ för att främja de mål som satts för projektet. Som ett alternativ till att förlänga giltighetstiden för prisregleringen för sammankopplad inledande identifiering har man först bedömt alternativet att inte förlänga bestämmelsens giltighetstid. Det innebär att regleringen av maximipriset är i kraft till och med den 31 mars 2021. Efter det bestäms priset på marknadens villkor, dvs. leverantören av ett identifieringsverktyg får ta ut det pris den vill för förmedling av uppgifter om inledande identifiering. De höga priser som tidigare har tagits ut för sammankopplad inledande identifiering och det nuvarande maximipriset som i praktiken har blivit ett minimipris tyder på att prisnivån i det fallet återgår till den tidigare höga nivån eller åtminstone kan stiga betydligt jämfört med nuläget. Syftet med regleringen av maximipriset är emellertid att säkerställa att sammankopplad inledande identifiering är möjlig till ett skäligt pris, vilket undanröjer hinder för nya identifieringsverktyg att komma ut på marknaden och främjar konsumenternas möjligheter att välja identifieringsverktyg efter behov. Om priserna återgår till den tidigare höga nivån kan det omintetgöra effekterna av den positiva utvecklingen på marknaden och göra det svårare för nya identifieringsverktyg och leverantörerna av dem att komma in på marknaden. 

Det andra alternativ som övervägdes vid beredningen var att ändra bestämmelsen om ett maximipris för sammankopplad inledande identifiering så att den gäller tills vidare. Denna modell innebär att det nuvarande maximipriset enligt den temporära bestämmelsen blir ett permanent maximipris. Modellen innebär emellertid en mer långtgående inskränkning i näringsfriheten och egendomsskyddet än den valda modellen, eftersom prisregleringen permanent skulle begränsa friheten för leverantörer av identifieringsverktyg för stark autentisering att prissätta förmedlingen av uppgifter om inledande identifiering till andra leverantörer av identifieringsverktyg.  

Utifrån de omständigheter som det redogörs för ovan stannade man vid beredningen för en modell där giltighetstiden för bestämmelsen om ett maximipris för sammankopplad inledande identifiering temporärt förlängs med två år. Detta alternativ innebär inte ett lika betydande ingrepp i näringsfriheten eller egendomsskyddet för leverantörer av identifieringsverktyg eftersom det är fråga om att förlänga den nuvarande regleringen med en temporär bestämmelse. Med den valda lagstiftningsmodellen kan man ändå fortsättningsvis främja den positiva utvecklingen när det gäller konkurrensläget på marknaden och se till att de redan uppnådda fördelarna inte äventyras. Det är fortfarande motiverat att hålla maximipriset på samma nivå som priset på förmedling av identifieringsuppgifter i förtroendenätet eftersom åtgärderna tekniskt sett motsvarar varandra. Det är motiverat att hålla maximipriset på samma nivå också av den anledningen att den positiva utvecklingen på marknaden började med det nuvarande maximipriset på tre cent. 

Transport- och kommunikationsverkets uppgifter

Vid beredningen av propositionen bedömdes ett alternativ där Transport- och kommunikationsverket trots sekretessbestämmelserna och andra begränsningar som gäller utlämnande av uppgifter har rätt att till kommunikationsministeriet lämna ut sådan information om marknaden för, tillhandahållandet av, tillgången till och priserna på stark autentisering som verket fått med stöd av den nya uppgiften att samla information. Den information som Transport- och kommunikationsverket får med stöd av den nya uppgiften kan innehålla företagshemligheter som gäller tjänsteleverantörer verksamma på marknaden.  

Den nämnda modellen skulle ha inneburit ett mer omfattande ingrepp än den valda modellen i den skyddade ställning som företagshemligheter har i lagstiftningen. Det är klart att kommunikationsministeriet enligt den modellen ska behandla sekretessbelagd information som det får av Transport- och kommunikationsverket i enlighet med sekretessbestämmelserna i lagen om offentlighet i myndigheternas verksamhet (621/1999, den s.k. offentlighetslagen) och att informationen inte ska kunna användas som sådan t.ex. vid lagberedning. Vid beredningen av propositionen gjordes bedömningen att det inte är nödvändigt för kommunikationsministeriet att få information som omfattas av affärshemligheten eftersom den i praktiken inte kan användas vid den allmänna styrningen och utvecklingen av stark autentisering och betrodda tjänster. Av dessa orsaker gick man vid beredningen in för en modell där Transport- och kommunikationsverket, som är tillsynsmyndighet, ska samla och sammanställa statistisk information men inte har rätt att till kommunikationsministeriet lämna ut företagshemligheter som ingår i den information som verket samlat. 

5.2  Lagstiftning och andra handlingsmodeller i utlandet

Finlands nationella bestämmelser om förtroendenätet för leverantörer av identifieringstjänster och om sammankopplad inledande identifiering grundar sig inte på EU:s regelverk. I unionens övriga medlemsstater finns veterligen inte heller ett system som helt och hållet motsvarar det finländska. Elektronisk inledande identifiering används knappast alls i de övriga medlemsstaterna, utan i regel krävs det fysisk identifiering innan ett identifieringsverktyg som kan sökas elektroniskt kan tas i bruk. Därför har det inte varit möjligt att göra en internationell jämförelse eller en jämförelse med lagstiftningen i andra EU-medlemsstater när det gäller regleringen av maximipriset för förmedling av uppgifter om inledande identifiering. 

Remissvar

En större del av remissinstanserna stödde målen och förslagen i utkastet till proposition. Propositionen stöddes särskilt av de myndigheter som utövar tillsyn över identifierings- och konkurrensbestämmelserna (Transport- och kommunikationsverket och Konkurrens- och konsumentverket) och av företrädare för teleoperatörerna (Ficom ry, DNA Abp, Elisa Abp, Telia Finland Abp). I deras remissvar konstaterades det att utvecklingen på marknaden för elektronisk identifiering har varit positiv under de senaste åren. Det ansågs att en förlängning med två år av bestämmelsen om ett maximipris för sammankopplad inledande identifiering behövs för att trygga den positiva utveckling som redan skett. Enligt yttrandena är syftena med propositionsutkastet samhälleligt motiverade. 

De remissinstanser som företräder finanssektorn ställde sig negativa till en fortsatt reglering av maximipriset. Enligt remissvaren från Finanssiala ry, OP Gruppen, Sparbanksförbundet och Nordea bör man avstå från lagstiftningsinitiativet till denna del. Också Danske Bank ställer sig mycket kritisk till en fortsatt reglering av maximipriset. Enligt dessa yttranden är maximipriset inte kostnadsbaserat och inte tillräckligt högt. Dessutom anses regleringen av maximipriset gynna vissa aktörer.  

De övriga remissinstanserna ställde sig i regel positiva till propositionsutkastet. I flera yttranden ansågs syftena med propositionsutkastet vara samhälleligt motiverade och tillgången till elektronisk identifiering av väsentlig betydelse med tanke på basservicen i samhället och servicens säkerhet. 

Hur remissvaren har beaktats

Remissvaren leder inte till ett förslag om att avstå från den fortsatta regleringen av maximipriset, utan det föreslås att regleringen fortsätter. En större del av remissinstanserna är för en fortsatt reglering. Enligt deras yttranden är syftena med propositionen samhälleligt motiverade och tillgången till elektronisk identifiering av väsentlig betydelse med tanke på basservicen i samhället och servicens säkerhet. I remissvaren stöder man dessutom propositionens motivering enligt vilken bestämmelsen om ett maximipris för sammankopplad inledande identifiering har lett till en positiv utveckling och bidragit till investeringar.  

Utifrån remissvaren föreslås det inte heller någon ändring av den nuvarande nivån på maximipriset. De omständigheter som lyfts fram i fråga om prisnivån bedömdes redan i förarbetena till den gällande prisregleringen (RP 264/2018 rd, s. 13–14). Den gällande bestämmelsen om ett maximipris för sammankopplad inledande identifiering har utfärdats med grundlagsutskottets medverkan (GrUU 74/2018 rd). Det är inte motiverat att i denna proposition bedöma frågan på ett annat sätt än tidigare eftersom de omständigheter som är viktiga med tanke på bedömningen av prisnivån är oförändrade. I kommunikationsutskottets betänkande som ledde till bestämmelsen om ett maximipris (KoUB 44/2018 rd, s. 3) sägs det dessutom att det inte kan anses befogat att sådana här fasta och andra kostnader som hör ihop med att bedriva verksamhet och som delvis följer av lagstadgade skyldigheter för finanssektorn skulle täckas i sin helhet med priset på inledande identifiering. Till detta yttrande av utskottet hänvisas det närmare i samband med bedömningen av den nu aktuella propositionens ekonomiska konsekvenser.  

Till följd av justitieministeriets remissvar har motiveringen till propositionen kompletterats när det gäller förslagen om behandling av personuppgifter och 6 §, som gäller behandling av personbeteckningar, har preciserats. Dessutom har till följd av justitieministeriets remissvar 42 a §, som gäller den nya uppgift att samla information som föreslås för Transport- och kommunikationsverket, preciserats i fråga om den information som en privat aktör på marknaden ska vara skyldig att lämna ut till verket. I paragrafen har det också skrivits in exakt hur regelbundet information ska samlas. Justitieministeriets remissvar har lett till att motiveringen till propositionen har kompletterats också till andra delar. 

Vid den fortsatta beredningen har motiveringen till propositionen dessutom kompletterats till följd av kommentarer om detaljer från flera remissinstanser. 

Specialmotivering

7.1  Lagen om stark autentisering och betrodda elektroniska tjänster

6 §.Behandling av personbeteckningar. Det föreslås att paragrafen och rubriken för den ändras. De gällande 1–3 mom. innehåller särskilda bestämmelser om behandling av personuppgifter i förhållande till personuppgiftslagen. Bestämmelserna är föråldrade och behandlingsgrunderna överlappar bestämmelserna i den allmänna dataskyddsförordningen. Den allmänna dataskyddsförordningen är en direkt tillämplig EU-förordning som ger den nationella lagstiftaren endast ett begränsat handlingsutrymme. Bestämmelser om laglig behandling av personuppgifter finns i artikel 6 i förordningen. Enligt artikel 6.1 b är behandling av personuppgifter laglig om den är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås. Den allmänna dataskyddsförordningen medger inget nationellt handlingsutrymme till denna del, och den möjliggör således inte särskilda nationella bestämmelser av det slag som de som finns i 1–3 mom. i den gällande lagen. 

Identifieringstjänstens kärnuppgift är att verifiera uppgifter som identifierar en person vid e-tjänster, och syftet med certifikat för elektronisk underskrift är att identifiera undertecknaren. Båda ska på ett tillförlitligt sätt koppla identifieringsuppgifterna till den tekniska identifieringsmetod eller det certifikat för underskrifter som användaren fått tillgång till, så att man vid e-tjänster kan lita på verifieringen av personens uppgifter. Användaren av ett identifieringsverktyg har ett avtal med leverantören av sitt identifieringsverktyg, och en e-tjänst som förlitar sig på identifiering har ett avtal med en tjänst för identifieringsförmedling. Mellan leverantörer av identifieringsverktyg och tjänster för identifieringsförmedling finns det avtal enligt lagens 12 a och 12 b §. När användaren bland de identifieringsverktyg som finns inom en e-tjänst väljer det verktyg som han eller hon vill använda, sker identifieringstransaktionerna vid användning av bankkoder och mobilcertifikat via parterna i denna avtalskedja. Vid användning av medborgarcertifikat kan e-tjänsten själv verifiera identifieringen med hjälp av Myndigheten för digitalisering och befolkningsdatas certifikattjänster. Eftersom tjänsten baserar sig på avtal och användarinitiering är det motiverat att i första hand bedöma grunden för behandling av personuppgifter med tanke på en avtalsenlig behandlingsgrund enligt den allmänna dataskyddsförordningen. En behandlingsgrund som hänför sig till en lagstadgad uppgift kan också vara möjlig eftersom lagen om stark autentisering och betrodda elektroniska tjänster innehåller bestämmelser om tvingande krav på stark autentisering. 

Enligt grundlagsutskottet bör skyddet för personuppgifter härefter i första hand tillgodoses med stöd av den allmänna dataskyddsförordningen och dataskyddslagen (1050/2018), som kompletterar och preciserar den (GrUU 14/2018 rd). Den allmänna dataskyddsförordningen kan också nu anses utgöra en tillräcklig rättslig behandlingsgrund med avseende på skyddet för privatlivet och personuppgifter enligt 10 § i grundlagen. Bestämmelserna om behandling av personuppgifter i gällande 6 § 1–3 mom. föreslås bli upphävda och ska inte längre ingå i den ändrade 6 §, utan behandlingen bedöms numera med stöd av den allmänna dataskyddsförordningen. 

Således upphävs paragrafen som obehövlig till den del den innehåller bestämmelser om olika faser av behandling av personuppgifter inom identifierings- eller certifikattjänster (gällande 1 mom.). Grunden för behandling och kravet på ändamålsbegränsning i den allmänna dataskyddsförordningen gäller all behandling, dvs. utgivning av identifieringsverktyg, upprätthållande av tjänster och genomförande av identifieringstransaktioner. Paragrafen föreslås också bli upphävd till den del den innehåller en bestämmelse om överlåtelse av personuppgifter (gällande 2 mom.), vilket är en form av behandling av personuppgifter. En leverantör av identifieringstjänster ska sörja för överlåtelsens lagenlighet liksom även för den övriga behandlingen. Även grunden för de e-tjänster som använder identifieringstjänster att allmänt behandla personuppgifter bedöms i enlighet med den allmänna dataskyddsförordningen. Dessutom föreslås paragrafen bli upphävd till den del den innehåller en bestämmelse om grunden för behandling av personuppgifter i andra syften än egentlig identifiering eller verifiering av underskrifter (gällande 3 mom.). Ändamålsbegränsning enligt den allmänna dataskyddsförordningen för egentliga identifieringstjänster och certifikattjänster hindrar att de personuppgifter som behövs för identifiering eller verifiering används i andra syften. Om det är fråga om tillagda personuppgifter som behandlats i samband med identifiering eller verifiering, ska grunden för behandlingen av dem bedömas separat i enlighet med den allmänna dataskyddsförordningen. 

Den föreslagna paragrafen ska i fortsättningen enbart innehålla bestämmelser om de skyldigheter som leverantörer av identifieringstjänster och certifikatutfärdare som tillhandahåller betrodda tjänster har när det gäller behandling av personbeteckningar. De föreslagna bestämmelserna motsvarar i sak den första meningen i 4 mom. i den gällande paragrafen. Artikel 87 i den allmänna dataskyddsförordningen ger medlemsstaterna möjlighet att närmare bestämma om ett nationellt identifikationsnummer eller något annat vedertaget sätt för identifiering. Sådana preciserande bestämmelser finns i 29 § i dataskyddslagen. Enligt den paragrafen får en personbeteckning behandlas, om det är viktigt att entydigt identifiera den registrerade för att tillgodose den registrerades eller den personuppgiftsansvariges rättigheter och uppfylla den registrerades eller den personuppgiftsansvariges skyldigheter, eller om det föreskrivs om behandlingen i lag. Det är nödvändigt att behandla personbeteckningar i samband med identifieringstjänster och i samband med certifikattjänster för identifiering eller för elektroniska underskrifter eftersom det för att tjänsterna ska kunna tillhandahållas på ett tillförlitligt sätt krävs att man på ett säkert sätt kan skilja mellan olika personer. Som det konstateras ovan är identifieringstjänstens kärnuppgift att verifiera uppgifter som identifierar en person vid e-tjänster, och syftet med certifikat för elektronisk underskrift är att identifiera undertecknaren. Behandlingen av personbeteckningar är således en viktig del av den uppgift som identifieringstjänster och certifikattjänster har enligt lagen om stark autentisering och betrodda elektroniska tjänster och eIDAS-förordningen. Behandlingen av en personbeteckning för att utreda en sökandes identitet ska fortfarande omfattas av bestämmelser som är förpliktande för tjänsteleverantörerna, till skillnad från den bestämmelse i 29 § i dataskyddslagen som möjliggör behandling av en personbeteckning. Leverantören av ett identifieringsverktyg ansvarar för att personbeteckningen kontrolleras, men tjänsten för identifieringsförmedling ska också behandla personbeteckningen för att kunna förmedla identifieringstransaktioner. 

Till övriga delar upphävs den särskilda bestämmelse om behandling av personbeteckningar som ingår i det gällande 4 mom. som obehövlig, eftersom det är meningen att den allmänna dataskyddsförordningen och dataskyddslagen ska ha samma verkan. Den bestämmelse som gäller användning av personbeteckning i själva identifieringsverktyget eller certifikatet och som föreslås bli upphävd hänger samman med hur personbeteckningen ska skyddas så att den inte röjs för någon annan än de parter som har samband med ändamålet för användningen av beteckningen. I de tidigare förarbetena till lagen (RP 36/2009 rd, s. 49) sägs det bl.a. att om tjänsten är sådan att den inte kan tillhandahållas utan en offentlig katalog, måste tjänsteleverantören använda någon annan identifierande kod. Då kan t.ex. en elektronisk kommunikationskod i fortsättningen tas in i certifikatet. Exempelvis de krav på ändamålsbegränsning och på konfidentialitet och säkerhet i samband med behandlingen av uppgifter som ingår i den allmänna dataskyddsförordningen påverkar också behandlingen av personbeteckningar. Enligt artikel 87 i den allmänna dataskyddsförordningen ska ett identifikationsnummer eller ett annat sätt för identifiering endast användas med iakttagande av lämpliga skyddsåtgärder för de registrerades rättigheter och friheter enligt den förordningen. I 29 § 4 mom. i dataskyddslagen föreskrivs det om anteckning av en personbeteckning i handlingar som skrivs ut eller upprättas på basis av ett personregister. Dessutom innehåller 43 § i lagen om befolkningsdatasystemet och de certifikattjänster som tillhandahålls av Myndigheten för digitalisering och befolkningsdata (661/2009) bestämmelser om behandling av personbeteckningar. 

Det gällande 5 mom. innehåller enbart informativa hänvisningar, som inte längre behöver ingå i den ändrade paragrafen. 

Rubriken för paragrafen föreslås bli ändrad för att bättre motsvara paragrafens ändrade innehåll. 

13 §.Allmänna skyldigheter för leverantörer av identifieringstjänster. Paragrafens 3 mom. föreslås bli upphävt som obehövligt. Momentet innehåller en informativ hänvisning till den upphävda personuppgiftslagen och till den säkerhet i samband med behandlingen av personuppgifter som avses i den lagen. Motsvarande bestämmelser finns numera i artikel 32 i den allmänna dataskyddsförordningen. Artikeln är direkt tillämplig på all behandling av personuppgifter som omfattas av förordningen. Paragrafens övriga moment ändras inte. 

15 §.Skyldighet för leverantörer av identifieringsverktyg att lämna uppgifter innan avtal ingås. Paragrafens 3 mom. föreslås bli upphävt som obehövligt. Momentet innehåller en informativ hänvisning till den upphävda personuppgiftslagen i fråga om skyldigheten att lämna uppgifter vid behandlingen av personuppgifter. Bestämmelser om de personuppgiftsansvarigas skyldighet att tillhandahålla information finns i artiklarna 12–14 i den allmänna dataskyddsförordningen. Artiklarna är direkt tillämpliga på all behandling av personuppgifter som omfattas av förordningen. Paragrafens övriga moment ändras inte. 

42 §. Allmän styrning samt Transport- och kommunikationsverkets föreskrifter. I 2 mom. 3 punkten föreslås det en lagstiftningsteknisk korrigering. Den gällande hänvisningen till egenskaperna enligt 12 a § hos förtroendenätets gränssnitt föreslås bli korrigerad eftersom bestämmelsen om detta numera finns i 12 a § 3 mom. och inte i paragrafens 2 mom. I övrigt ändras paragrafen inte. 

42 a §.Transport- och kommunikationsverkets uppgifter. Det föreslås att ett nytt 2 mom. fogas till paragrafen, varvid de nuvarande 2 och 3 mom. blir nya 3 och 4 mom. Transport- och kommunikationsverket får enligt det föreslagna 2 mom. en ny uppgift, att samla och sammanställa statistisk information om marknaden för stark autentisering och om tillhandahållande av identifieringstjänster. Syftet med den statistiska informationen är dels att göra det möjligt att följa upp regleringens konsekvenser, dels att producera information för kommunikationsministeriets allmänna styrning av den elektroniska identifieringen och utveckling av lagstiftningen. 

Den nya uppgiften är till sin karaktär en myndighetsuppgift som hänför sig till informationsproduktion. Den stöder också verkets allmänna uppgift enligt 1 mom., att utöva tillsyn över efterlevnaden av lagen. I 12 a–12 c och 17 § i lagen om stark autentisering och betrodda elektroniska tjänster finns det bestämmelser om avtalsskyldigheter mellan leverantörer av tjänster för stark autentisering. Syftet med dessa skyldigheter är att främja tillhandahållandet av och tillgången till stark autentisering samt skäliga priser för de e-tjänster och användare av identifieringsverktyg som behöver identifieringstjänster. Den föreslagna uppgiften stöder tillsynen över avtalsskyldigheterna enligt lagen och gör det möjligt att samla information om utvecklingen av marknaden för, tillhandahållandet av, tillgången till och priserna på identifieringstjänster. Informationen behövs för att ministeriet ska kunna följa upp lagstiftningens konsekvenser för utbudet av och efterfrågan på identifieringstjänster på marknaden. Informationen stöder också Transport- och kommunikationsverkets uppföljning och utveckling av de tillsyns- och styrningsåtgärder som hänför sig till verkställigheten av lagstiftningen.  

Information om marknaden för stark autentisering och om tillhandahållandet av, tillgången till och priserna på identifieringstjänster ska hänföra sig till information mellan leverantörer av identifieringstjänster eller till tillhandahållandet av identifieringstjänster för parter som förlitar sig på elektronisk identifiering, dvs. e-tjänster, och för användare. Uppgifter ska gälla i lagen reglerade priser och oreglerade detaljpriser för förtroendenätet, inkomster från identifieringsverksamheten och omsättningen samt volymen av identifieringstransaktionerna och antalet kundavtal. Det ska också kunna handla om andra liknande uppgifter som de som anges ovan, förutsatt att informationen behövs för att statistikföringen ska vara tillförlitlig. Med information som behövs för att statistiken ska vara tillförlitlig avses att man begär sådan information med vars hjälp man kan försäkra sig om att den information eller de siffror som fås av olika aktörer kan jämföras med varandra. Den föreslagna skyldigheten att lämna information har således, på det sätt som grundlagsutskottet förutsatt i sin utlåtandepraxis, bundits till kravet på behövlighet och innehållet i den information som ska lämnas har preciserats i paragrafen (t.ex. GrUU 21/2020 rd). Det är emellertid ingen uttömmande förteckning av den anledningen att det inom uppgiften att samla information ska vara möjligt att beakta utvecklingen på marknaden. Den begärda informationen ska ändå alltid uppfylla det krav på behövlighet som anges i paragrafen. Utifrån denna information ska Transport- och kommunikationsverket kunna göra bedömningar av marknadens storlek, marknadsandelarna, prisnivån och dessa faktorers utveckling under den gällande regleringen. 

Transport- och kommunikationsverket ska ordna insamlingen av information så att den är förutsägbar för leverantörerna av identifieringstjänster, baserar sig på information som leverantörerna i regel redan har i sin affärsverksamhet och inte medför någon onödig administrativ börda. För att effekterna ska kunna följas behöver insamlingen av information ändå ske regelbundet och varje år, och förändringarna på marknaden behöver beaktas i tillräcklig utsträckning. Det är inte meningen att insamlingen av information ska överlappa den årliga bedömningen enligt 12 c § 1 mom. av nivån på prisregleringen för förtroendenätet. Båda uppgifterna ska utföras på det sätt som Transport- och kommunikationsverket anser vara ändamålsenligt och vid behov genom att uppgifterna att samla information kombineras så att verket eller leverantörerna av identifieringstjänster inte orsakas någon extra administrativ börda. 

Transport- och kommunikationsverket har enligt 43 § när det fullgör sina uppgifter enligt lagen rätt att trots sekretessbestämmelserna få den information som behövs för skötseln av uppgifterna. För leverantörer av identifieringstjänster innebär den nya uppgift som nu föreslås att de på begäran ska samla och lämna ut information till Transport- och kommunikationsverket trots sekretessbestämmelserna och andra begränsningar som gäller utlämnande av uppgifter. Bestämmelser om verkets rätt att lämna ut sekretessbelagd information till andra myndigheter finns i 44 §. Propositionen innehåller inget förslag om en utvidgning av rätten att lämna ut sekretessbelagd information till att gälla kommunikationsministeriet, utan Transport- och kommunikationsverket ska analysera den information som det samlat och sammanställa statistisk information, såsom ekonomiska nyckeltal som gäller omsättning, volymer och marknadsandelar och som beskriver marknaden och dess utveckling. Verket ska också kunna producera information för publicering i större utsträckning om utvecklingen på marknaden för identifieringstjänster. När information lämnas ut eller publiceras ska Transport- och kommunikationsverket bedöma informationens offentlighet och sekretess enligt lagen om offentlighet i myndigheternas verksamhet (621/1999). Den lagen innehåller bl.a. bestämmelser om sekretess för företagshemligheter. 

43 §.Rätt till information. Paragrafens 2 mom. föreslås bli upphävt som obehövligt. Det är fråga om en informativ hänvisning till den allmänna dataskyddsförordningen, som dataombudsmannens rätt att få information bestäms enligt. 

48 §.Straffbestämmelser. Paragrafen föreslås bli upphävd som obehövlig. Den gällande paragrafen innehåller föråldrade hänvisningar till personregisterbrott och personregisterförseelse och till den upphävda personuppgiftslagen. Det är fråga om en informativ hänvisning som inte längre behöver ingå i lagen. Bestämmelser om behandling av personuppgifter finns numera i den direkt tillämpliga allmänna dataskyddsförordningen och i dataskyddslagen, som kompletterar den. Dessa ska beaktas också när personuppgifter behandlas i verksamhet som avses i lagen om stark autentisering och betrodda elektroniska tjänster. I 26 § i dataskyddslagen finns hänvisningar till bestämmelser i strafflagen som kan komma i fråga som straffrättsliga påföljder för brott mot lagen. Exempelvis finns bestämmelser om straff för dataskyddsbrott för närvarande i 38 kap. 9 § i strafflagen och bestämmelser om straff för dataintrång och grovt dataintrång i 38 kap. 8 och 8 a § i den lagen. 

7.2  Lagen om ändring och temporär ändring av lagen om stark autentisering och betrodda elektroniska tjänster

Ikraftträdandebestämmelse. I propositionen föreslås det att ikraftträdandebestämmelsen i lagen om ändring och temporär ändring av lagen om stark autentisering och betrodda elektroniska tjänster (412/2019), som trädde i kraft den 1 april 2019, ändras så att giltighetstiden för det temporära 17 § 7 mom. förlängs till och med den 31 mars 2023. Genom ändringen av ikraftträdandebestämmelsen förlängs giltighetstiden för bestämmelsen om ett maximipris för sammankopplad inledande identifiering temporärt med två år. Till övriga delar förblir bestämmelsen oförändrad och i den form som avsågs i förarbetena till bestämmelsen (RP 264/2018 rd, s. 30–31). Maximipriset föreslås således fortfarande vara tre cent och detsamma som priset för förmedling inom förtroendenätet av identifieringstransaktioner till tjänster för identifieringsförmedling. Det är meningen att maximipriset ska vara i kraft i två år, varefter priset ska bestämmas på marknadens villkor. 

Bestämmelser på lägre nivå än lag

I lagen föreslås inga nya bemyndiganden att utfärda förordning eller meddela föreskrifter. 

Ikraftträdande

Det temporära 17 § 7 mom. som ingår i lagen om stark autentisering och betrodda elektroniska tjänster, och som gäller ett maximipris för förmedling av uppgifter om inledande identifiering, gäller till och med den 31 mars 2021. För att bestämmelsen om maximipriset ska fortsätta att gälla utan avbrott föreslås lagarna träda i kraft senast den 1 april 2021. 

10  Verkställighet och uppföljning

I propositionen föreslås det att Transport- och kommunikationsverket får en ny uppgift, att samla och sammanställa statistisk information om marknaden för stark autentisering och om tillhandahållande av identifieringstjänster. Ett syfte med uppgiften att samla information är i synnerhet att möjliggöra uppföljning av regleringens konsekvenser. Ett annat syfte är att stödja verkets uppgifter i anslutning till verkställigheten av och tillsynen över lagstiftningen. Med stöd av den insamlade informationen har kommunikationsministeriet bättre förutsättningar att följa hur marknaden för elektronisk identifiering fungerar och att utveckla lagstiftningen. 

11  Förhållande till grundlagen samt lagstiftningsordning

Den gällande lagen om stark autentisering och betrodda elektroniska tjänster har stiftats med grundlagsutskottets medverkan (GrUU 16/2009 rd, RP 36/2009 rd). Genom förslaget skapades då för första gången med hjälp av lagstiftningen ramar för tillhandahållandet av och marknaden för tjänster för elektronisk identifiering. Grundlagsutskottet ansåg i sitt utlåtande bl.a. att det inte är nödvändigt att pröva lagförslaget i skenet av grundlagens 124 § eftersom verksamheten inte längre kan betraktas som en offentlig förvaltningsuppgift. För tydlighetens skull konstateras det att det i propositionen inte föreslås någon ändring av denna utgångspunkt. 

Det aktuella förslaget innehåller bestämmelser som är av betydelse med tanke på grundlagen till den del det föreslås att den temporära regleringen av maximipriset för sammankopplad inledande identifiering ska förlängas med två år. Grundlagsutskottet har behandlat regleringen av maximipriset för sammankopplad inledande identifiering i sitt utlåtande GrUU 74/2018 rd (RP 264/2018 rd), då det maximipris infördes för vilket det nu föreslås en fortsättning.  

En temporär förlängning av regleringen av maximipriset för sammankopplad inledande identifiering med två år är av betydelse med tanke på egendomsskyddet, som tryggas i 15 § 1 mom. i grundlagen. Utifrån denna generalklausul som gäller egendomsskyddet bedöms olika begränsningar i ägarens nyttjanderätter och bestämmanderätt. Den grundläggande rätten till egendomsskydd innebär ett skydd för rättigheter och intressen med ett förmögenhetsvärde. Utgångspunkten är att äganderätten omfattar alla de rättigheter som ingen annan än ägaren har. Förslaget att förlänga regleringen av maximipriset för sammankopplad inledande identifiering innebär en begränsning av rätten för leverantörer av identifieringsverktyg för stark autentisering att bestämma om ersättning som tas ut för användning av deras egendom.  

Den bestämmelse som gäller ett maximipris för sammankopplad inledande identifiering finns i 17 § 7 mom. i lagen om stark autentisering och betrodda elektroniska tjänster och gäller för närvarande till och med den 31 mars 2021. I propositionen föreslås det att giltighetstiden för bestämmelsen i fråga temporärt förlängs med två år. En bestämmelse om ett maximipris utfärdades första gången den 15 december 2017, eftersom de höga priser som tagits ut för uppgifter om inledande identifiering och det stora prisintervallet fördröjde tillhandahållandet av nya elektroniska identifieringsverktyg och samtidigt också slutanvändarnas möjligheter att skaffa nya identifieringsverktyg. I praktiken trädde bestämmelsen om ett maximipris emellertid i kraft första gången den 23 april 2018, när det dåvarande Kommunikationsverket meddelade det beslut om ersättningens maximinivå som lagen krävde. Då var det meningen att regleringen skulle gälla i fem år. Bestämmelsen om ett maximipris ändrades emellertid genom en lag som trädde i kraft den 1 april 2019, eftersom det fortfarande togs ut för höga priser för förmedling av uppgifter om inledande identifiering och marknaden för identifieringstjänster inte hade utvecklats i enlighet med lagstiftningens syften. Då sänktes nivån på maximipriset och bestämmelsens giltighetstid förkortades till två år. Således ska regleringen av maximipriset enligt den gällande lagen vara i kraft till och med den 31 mars 2021. 

Grundlagsutskottet ansåg i sitt utlåtande GrUU 74/2018 rd inte att det finns något konstitutionellt hinder för bestämmelsen om maximipris med tanke på dess proportionalitet. Det var fråga om en särskild form av egendom som framför allt gällde en persons rätt att hantera sin elektroniska identitet. I grundlagsutskottets utlåtande betonades konsumentskyddsaspekterna. Dessutom konstaterade grundlagsutskottet att regleringen numera framför allt berör företag i finans- och telebranschen, alltså juridiska personer med stor förmögenhetsmassa. Enligt grundlagsutskottets bedömning var det också relevant att lagen föreskrev om en skyldighet för Transport- och kommunikationsverket att årligen utvärdera nivån på prisregleringen i förtroendenätet. Utskottet ansåg att bestämmelserna inte är problematiska i konstitutionellt hänseende. 

Det föreslås att bestämmelsen om ett maximipris för sammankopplad inledande identifiering fortsätter att gälla i två år till, och med oförändrat innehåll. Den föreslagna regleringen innebär således ingen ny begränsning av den äganderätt som skyddas genom 15 § 1 mom. i grundlagen, utan man håller kvar en begränsning som gäller sedan tidigare. Denna tolkning har också bekräftats i grundlagsutskottets praxis (GrUU 45/2005 rd). När det gäller de allmänna förutsättningarna för begränsningar av de grundläggande fri- och rättigheterna ska det i samband med denna proposition närmast bedömas om en förlängning av en begränsning är proportionerlig och nödvändig och om begränsningarna är godtagbara i förhållande till syftena med dem. 

Under beredningen av propositionen har det inte upptäckts några betydande förändringar i sådana omständigheter som skulle inverka på tillgodoseendet av de grundläggande fri- och rättigheterna eller ge skäl att bedöma den föreslagna bestämmelsens förhållande till grundlagen på ett sätt som avviker från den tidigare bedömningen. Den fortsatta reglering som nu föreslås är av betydelse med tanke på verksamhetsförutsättningarna både för de aktörer som för närvarande tillhandahåller identifieringstjänster och för eventuella nya tjänsteleverantörer som kommer in på marknaden. När det gäller att bedöma begränsningarna av de grundläggande fri- och rättigheterna är det av särskild betydelse att man genom fortsatt reglering strävar efter att främja tillgången till stark autentisering för både konsumenter och e-tjänster samt att främja utvecklingen av identifieringslösningar genom att skapa förutsättningar för konkurrens på marknaden för elektronisk identifiering. Ett viktigt mål är också att främja konsumenternas möjligheter att på ett säkert och tillförlitligt sätt identifiera sig i e-tjänster med identifieringsverktyg som de själva har valt. Som det konstateras tidigare i denna proposition har regleringen av maximipriset redan haft en positiv inverkan på marknadens utveckling, som dock fortfarande pågår. Grundlagsutskottet har t.ex. när det gäller snabblån sett det som en godtagbar grund att tidigare ändringar i lagstiftningen åtminstone inte varit tillräckliga för att nå det godtagbara målet (GrUU 28/2012 rd). 

Grundlagsutskottet har i sin utlåtandepraxis lyft fram att förlängningen av giltighetstiden för lagar som ursprungligen var avsedda som temporära lagar inte är helt oproblematisk. Utskottet har t.ex. ansett att en giltighetstid på 10 år är en ganska lång tid som endast med möda har kunnat anses vara temporär i ordets egentliga bemärkelse, men har ändå ansett att förlängningarna kan anses vara godtagbara (GrUU 5/2019 rd). Bestämmelsen om ett maximipris för sammankopplad inledande identifiering var ursprungligen tänkt att gälla i fem år. I praktiken var det maximipris som föreskrevs första gången i kraft cirka ett år, varefter nivån på maximipriset 2019 sänktes och giltighetstiden bestämdes till två år i stället för fem. Den nu föreslagna förlängningen av regleringen är i vilket fall som helst sammantaget endast ungefär hälften så lång som den tid som grundlagsutskottet i sin utlåtandepraxis har ansett vara godtagbar. 

För en temporär förlängning av den nuvarande regleringen av maximipriset för sammankopplad inledande identifiering talar det faktum att den målsatta effektiviseringen av marknaden och ökade konkurrensen med tiden gör prisregleringen obehövlig. En kortare giltighetstid än den föreslagna giltighetstiden på två år ger inte tillräckligt med tid för marknadens utveckling, med tanke på den tid som krävs för produktutveckling, innovationer och investeringar och med tanke på hur effekterna av dem syns på marknaden. 

På de grunder som anges ovan kan lagförslagen behandlas i vanlig lagstiftningsordning. 

Kläm 

Kläm 

Med stöd av vad som anförts ovan föreläggs riksdagen följande lagförslag: 

Lagförslag

1. Lag om ändring av lagen om stark autentisering och betrodda elektroniska tjänster 

I enlighet med riksdagens beslut 
upphävs i lagen om stark autentisering och betrodda elektroniska tjänster (617/2009) 13 § 3 mom., 15 § 3 mom., 43 § 2 mom. och 48 §, av dem 43 § 2 mom. sådant det lyder i lag 1009/2018, samt 
ändras 6 §, 42 § 2 mom. 3 punkten och 42 a §, sådana de lyder, 6 § i lag 533/2016 samt 42 § 2 mom. 3 punkten och 42 a § i lag 1009/2018, som följer: 
6 § Behandling av personbeteckningar 
När leverantörer av identifieringstjänster och certifikatutfärdare som tillhandahåller betrodda tjänster kontrollerar sökandens identitet ska de kräva att sökanden uppger sin personbeteckning. 
42 § Allmän styrning samt Transport- och kommunikationsverkets föreskrifter 
Kläm 
Transport- och kommunikationsverket får meddela närmare föreskrifter om 
 En icke ändrad del av lagtexten har utelämnats 
3) egenskaperna enligt 12 a § 3 mom. hos förtroendenätets gränssnitt, 
 En icke ändrad del av lagtexten har utelämnats 
 
42 a § Transport- och kommunikationsverkets uppgifter 
Transport- och kommunikationsverket ska utöva tillsyn över efterlevnaden av denna lag, om inte något annat föreskrivs i denna lag. 
Transport- och kommunikationsverket ska årligen samla och föra statistik över information om marknaden för stark autentisering och om tillhandahållandet av, tillgången till och priserna på identifieringstjänster. Den information som verket samlar hos leverantörer av identifieringstjänster ska vara behövlig för uppföljningen av regleringens konsekvenser eller för skötseln av den styrnings- och utvecklingsuppgift som avses i 42 § 1 mom. Informationen ska omfatta uppgifter om volymen av identifieringstransaktionerna, priserna mellan identifieringstjänsterna, detaljpriser på eller kundmängder inom identifieringstjänsterna, inkomster från identifieringstjänster eller andra motsvarande uppgifter som behövs för att statistikföringen ska vara tillförlitlig. 
Transport- och kommunikationsverket ska i enlighet med EU:s förordning om elektronisk identifiering 
1) delta i samarbetet mellan Europeiska unionens medlemsstater i det interoperabilitetsramverk för elektronisk identifiering som avses i artikel 12 i förordningen och i det samarbetsnätverk som upprättats för detta ändamål, 
2) anmäla system för elektronisk identifiering till Europeiska kommissionen i enlighet med artiklarna 7–10 i förordningen, 
3) vara tillsynsorgan enligt artikel 17 i förordningen och sköta tillsynsorganets uppgifter enligt förordningen, 
4) i enlighet med artikel 22 i förordningen föra och publicera förteckningar över kvalificerade tillhandahållare av betrodda tjänster i Finland och över de kvalificerade betrodda tjänster som dessa tillhandahåller. 
Transport- och kommunikationsverkets beslutanderätt omfattar inte avtalsförhållanden mellan parter eller frågor om ersättningsskyldighet. 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

2. Lag om ändring av ikraftträdandebestämmelsen i en lag om ändring och temporär ändring av lagen om stark autentisering och betrodda elektroniska tjänster 

I enlighet med riksdagens beslut 
ändras i lagen om ändring och temporär ändring av lagen om stark autentisering och betrodda elektroniska tjänster (412/2019) 1 mom. i ikraftträdandebestämmelsen som följer: 
Denna lag träder i kraft den 1 april 2019. Lagens 17 § 7 mom. gäller till och med den 31 mars 2023. 
Kläm 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 
Helsingfors den 26 november 2020 
Statsminister Sanna Marin 
Kommunikationsminister Timo Harakka