Senast publicerat 26-01-2022 10:33

Betänkande KoUB 6/2021 rd RP 237/2020 rd Kommunikationsutskottet Regeringens proposition till riksdagen med förslag till lagar om ändring av lagen om stark autentisering och betrodda elektroniska tjänster och ikraftträdandebestämmelsen i en lag om ändring och temporär ändring av lagen om stark autentisering och betrodda elektroniska tjänster

INLEDNING

Remiss

Regeringens proposition till riksdagen med förslag till lagar om ändring av lagen om stark autentisering och betrodda elektroniska tjänster och ikraftträdandebestämmelsen i en lag om ändring och temporär ändring av lagen om stark autentisering och betrodda elektroniska tjänster (RP 237/2020 rd): Ärendet har remitterats till kommunikationsutskottet för betänkande. 

Sakkunniga

Utskottet har hört 

  • lagstiftningsråd Anna-Stiina Tarkka 
    justitieministeriet
  • lagstiftningsråd Tiina Ferm 
    inrikesministeriet
  • specialsakkunnig Mikko Levämäki 
    inrikesministeriet
  • överinspektör Laura Kolinen 
    kommunikationsministeriet
  • regeringsråd Jenni Rantio 
    kommunikationsministeriet
  • ledande digitaliseringsexpert Hanna Heiskanen 
    Finansinspektionen
  • dataombudsman Anu Talus 
    Dataombudsmannens byrå
  • överinspektör Mika Hansson 
    Polisstyrelsen
  • direktör Jani Eloranta 
    Nordea Bank Abp
  • senior jurist Kati Piilo 
    OP Gruppen
  • Head of Digital Services, RPA and Lean Carl-Edvard Holmberg 
    S-Banken Ab
  • direktör, jurist Minna Backman 
    Garantistiftelsen sr
  • ledande expert Peter Jansson 
    Finanssiala ry
  • verkställande direktör Elina Ussa 
    Tietoliikenteen ja tietotekniikan keskusliitto, FiCom ry.

Skriftligt yttrande har lämnats av 

  • Dataombudsmannens byrå
  • Kuluttajaliitto - Konsumentförbundet ry.

Inget yttrande av 

  • finansministeriet.

PROPOSITIONEN

I propositionen föreslås det att lagen om stark autentisering och betrodda elektroniska tjänster samt ikraftträdandebestämmelsen i en lag om ändring och temporär ändring av den lagen ändras. Genom förslaget förlängs regleringen i fråga om ett maximipris för så kallad sammankopplad inledande identifiering temporärt med två år. Dessutom föreslås Transport- och kommunikationsverket få en ny uppgift, som gäller insamling av marknadsinformation, och i lagens bestämmelser om behandling av personuppgifter föreslås i huvudsak lagtekniska ändringar för att uppdatera regleringen. 

Syftet med propositionen är att främja utvecklingen av marknaden för elektronisk identifiering. Propositionen genomför målet ”Ett livskraftigt Finland” i regeringsprogrammet för statsminister Sanna Marins regering. 

De föreslagna lagarna avses träda i kraft senast den 1 april 2021. Regleringen av maximipriset för sammankopplad inledande identifiering avses gälla till och med den 31 mars 2023. 

UTSKOTTETS ÖVERVÄGANDEN

Maximipriset för sammankopplad inledande identifiering

Utskottet konstaterar att det enligt gällande lagstiftning är möjligt att identifiera den som ansöker om ett identifieringsverktyg för stark autentisering också elektroniskt, med hjälp av ett befintligt identifieringsverktyg för stark autentisering. Denna sammankopplade identifiering har i sig välkomnats varmt av de sakkunniga som utskottet hört. 

Ändringen av prisregleringen av sammankopplad inledande identifiering innebär att den nuvarande prisregleringen förlängs till och med den 31 mars 2023. Regeringen redogör ingående för behovet av fortsatt prisreglering. Det är särskilt viktigt att sträva efter att stark autentisering ska vara möjlig för alla som behöver den. Tillförlitlig identifiering är en grundläggande förutsättning som möjliggör digital utveckling samtidigt som samhället kan fungera mer effektivt och medborgarnas liv underlättas. Den ökande användningen av stark autentisering förebygger identitetsstölder och är en viktig del av den nationella identitetshanteringen i stort. Användningen av fler än ett verktyg för stark autentisering ökar funktionssäkerheten hos de elektroniska tjänsterna också i störningssituationer som gäller enskilda elektroniska identifieringsverktyg. 

Sakkunniga har också påpekat att prisregleringen påverkar balansen på marknaden, och det har ansetts att prisregleringen bör upphöra den 31 mars 2021. Men utskottet anser på grundval av en utredning att prisregleringen fortfarande behövs för att utveckla marknaden för identifieringsmetoder. Hur marknaden fungerar är dock ett orosmoment, så utskottet anser i detta sammanhang att det är bra att Transport- och kommunikationsverket får i uppgift att samla in marknadsinformation. 

Risker för missbruk

Sakkunniga har påpekat att ett identifieringsverktyg för stark autentisering kan förnyas på nätet oändligt många gånger via sammankoppling. Den här möjligheten är förenad med en risk för att en person som av någon anledning själv har fått falsk elektronisk identitet på detta sätt gång på gång kan förnya sitt identifieringsverktyg elektroniskt och fortsätta med falsk identitet. 

Risken för missbruk har ökat under årens lopp och ökar ytterligare. Detta beror i synnerhet på att den elektroniska kommunikationens betydelse har ökat och fortsätter att öka avsevärt. Det kan gå långa tider utan att man behöver göra personliga besök där man måste identifiera sig för att uträtta ärenden. Tyvärr är även kriminella intresserade av denna möjlighet. 

Det har påpekats för utskottet hur detta har beaktats i passlagen. I passlagen gjordes en ändring som möjliggör en helt elektronisk process för beviljande av pass. Personlig identifiering krävs dock, om det har gått mer än sex år sedan den föregående personliga identifieringen. Utskottet anser det därför vara ändamålsenligt att momentet om elektronisk identifiering i 17 § ses över också till denna del i framtiden. Det är viktigt att försöka förhindra missbruk med alla till buds stående medel. Utskottet betonar att förekomsten av missbruk och eventuella lagstiftningsbehov som dessa orsakar bör bevakas som ett led i uppföljningen av hur lagstiftningen fungerar och eventuella korrigerande åtgärder vidtas. 

Utvecklingen av identifieringsmarknaden

Syftet med den lagstiftning som nu ska antas är att bidra till att det inte finns några hinder för nya identifieringsformer. Ett viktigt mål är att skapa gynnsamma förhållanden för utvecklingen av identifieringsmetoder. 

Sakkunniga har lyft fram finansministeriets projekt för digital identitet. Avsikten är att inom ramen för projektet lansera en mobilapplikation. Användaren ska där identifieras med hjälp av ett identifieringsverktyg för stark autentisering som han eller hon redan har och som nyttjar sammankopplad inledande identifiering. Det föredragande ministeriet har konstaterat att målen för denna proposition och finansministeriets projekt inte står i konflikt med varandra, och den nu föreslagna regleringen försvårar inte granskningen av olika alternativ i samband med projektet. 

Enligt uppgift kräver behovet av att se till att tillgången till och utbudet på elektronisk identifiering utvecklas i rätt riktning dock åtgärder redan innan projektet enligt planerna ska vara slutfört 2023. Utskottet har dessutom uppmärksamgjorts på att det på EU-nivå först nu utvecklas en tolkning av krav på och säker kontroll av identifiering på distans. Läget är således gemensamt inom hela EU, och det är viktigt att utvecklingsarbetet fortsätter i samarbete mellan myndigheterna i alla medlemsstater eftersom lösningarna måste vara internationellt interoperabla. 

Uppföljning och rapportering

I propositionen föreslås det att Transport- och kommunikationsverket får en ny uppgift, att samla och sammanställa statistisk information om marknaden för stark autentisering och om tillhandahållande av identifieringstjänster. Syftet med den statistiska informationen är att göra det möjligt att följa regleringens konsekvenser och producera information för kommunikationsministeriets allmänna styrning av den elektroniska identifieringen och utveckling av lagstiftningen. Vid sakkunnigutfrågningen har det ansetts att den uppgift som nu föreslås stöder Transport- och kommunikationsverkets uppgift att årligen bedöma nivån på prisregleringen. Det har också påpekats att bankerna redan nu har administrativt mycket omfattande rapporteringsskyldigheter och att detta lätt kan medföra en ytterligare administrativ börda. Om den utökade insamlingen och analysen av information å andra sidan leder till bättre motiverade lagstiftningsförslag, kan det vara motiverat och nyttigt. 

Utskottet anser att det är ytterst viktigt att ge akt på utfallet av lagstiftningen och dess mål. Det är bra att Transport- och kommunikationsverket får en ny uppgift att samla information. Denna information bör analyseras och utnyttjas i vidareutvecklingen av identifieringsmetoderna. Utskottet anser det vara viktigt att det årligen får en utredning om den insamlade informationen med anknytande analys, särskilt när det gäller behovet av att fortsätta med prisregleringen. Utskottet föreslår därför att riksdagen godkänner ett uttalande enligt vilket 

riksdagen förutsätter att kommunikationsministeriet årligen lämnar kommunikationsutskottet en utredning om den information som samlats in om marknaden för och utbudet av stark autentisering och en bedömning av behovet av fortsatt prisreglering. (Utskottets förslag till uttalande) 

Dessutom påpekar utskottet att förekomsten av eventuella missbruk och eventuella resulterande lagstiftningsbehov bör bevakas som ett led i bedömningen av hur lagstiftningen fungerar. 

DETALJMOTIVERING

1. Lagen om ändring av lagen om stark autentisering och betrodda elektroniska tjänster

6 §. Behandling av personbeteckningar.

Vid sakkunnigutfrågningen föreslogs det att 6 § om behandling av personbeteckningar förtydligas. Utskottet anser att det blir tydligare om paragrafen föreskriver att personbeteckningen ska kontrolleras i situationer som avses i paragrafen. Utskottet preciserar formuleringen i paragrafen. 

43 §. Rätt till information.

I propositionen föreslås det att paragrafens 2 mom., som är informativt och därmed onödigt, stryks. I momentet finns en bestämmelse om dataombudsmannens rätt att få information. Momentet hänvisar till Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Utskottet konstaterar att bestämmelser om dataombudsmannens rätt att få information också finns i 18 § i dataskyddslagen (1050/2018). Den i dataskyddslagen föreskrivna rätten att få information är viktig i detta sammanhang. 

FÖRSLAG TILL BESLUT

Kommunikationsutskottets förslag till beslut:

Riksdagen godkänner lagförslag 2 i proposition RP 237/2020 rd utan ändringar. Riksdagen godkänner lagförslag 1 i proposition RP 237/2020 rd med ändringar. (Utskottets ändringsförslag) Riksdagen godkänner ett uttalande. (Utskottets förslag till uttalande) 

Utskottets ändringsförslag

1. Lag om ändring av lagen om stark autentisering och betrodda elektroniska tjänster 

I enlighet med riksdagens beslut 
upphävs i lagen om stark autentisering och betrodda elektroniska tjänster (617/2009) 13 § 3 mom., 15 § 3 mom., 43 § 2 mom. och 48 §, av dem 43 § 2 mom. sådant det lyder i lag 1009/2018, samt 
ändras 6 §, 42 § 2 mom. 3 punkten och 42 a §, sådana de lyder, 6 § i lag 533/2016 samt 42 § 2 mom. 3 punkten och 42 a § i lag 1009/2018, som följer: 
6 § 
Behandling av personbeteckningar 
När leverantörer av identifieringstjänster och certifikatutfärdare som tillhandahåller betrodda tjänster kontrollerar sökandens identitet ska de Utskottet föreslår en ändring kontrollera sökandens Slut på ändringsförslaget personbeteckning. 
42 § 
Allmän styrning samt Transport- och kommunikationsverkets föreskrifter 
 En icke ändrad del av lagtexten har utelämnats 
Transport- och kommunikationsverket får meddela närmare föreskrifter om 
 En icke ändrad del av lagtexten har utelämnats 
3) egenskaperna enligt 12 a § 3 mom. hos förtroendenätets gränssnitt, 
 En icke ändrad del av lagtexten har utelämnats 
 
42 a § 
Transport- och kommunikationsverkets uppgifter 
Transport- och kommunikationsverket ska utöva tillsyn över efterlevnaden av denna lag, om inte något annat föreskrivs i denna lag. 
Transport- och kommunikationsverket ska årligen samla och föra statistik över information om marknaden för stark autentisering och om tillhandahållandet av, tillgången till och priserna på identifieringstjänster. Den information som verket samlar hos leverantörer av identifieringstjänster ska vara behövlig för uppföljningen av regleringens konsekvenser eller för skötseln av den styrnings- och utvecklingsuppgift som avses i 42 § 1 mom. Informationen ska omfatta uppgifter om volymen av identifieringstransaktionerna, priserna mellan identifieringstjänsterna, detaljpriser på eller kundmängder inom identifieringstjänsterna, inkomster från identifieringstjänster eller andra motsvarande uppgifter som behövs för att statistikföringen ska vara tillförlitlig. 
Transport- och kommunikationsverket ska i enlighet med EU:s förordning om elektronisk identifiering 
1) delta i samarbetet mellan Europeiska unionens medlemsstater i det interoperabilitetsramverk för elektronisk identifiering som avses i artikel 12 i förordningen och i det samarbetsnätverk som upprättats för detta ändamål, 
2) anmäla system för elektronisk identifiering till Europeiska kommissionen i enlighet med artiklarna 7–10 i förordningen, 
3) vara tillsynsorgan enligt artikel 17 i förordningen och sköta tillsynsorganets uppgifter enligt förordningen, 
4) i enlighet med artikel 22 i förordningen föra och publicera förteckningar över kvalificerade tillhandahållare av betrodda tjänster i Finland och över de kvalificerade betrodda tjänster som dessa tillhandahåller. 
Transport- och kommunikationsverkets beslutanderätt omfattar inte avtalsförhållanden mellan parter eller frågor om ersättningsskyldighet. 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

2. Lag om ändring av ikraftträdandebestämmelsen i en lag om ändring och temporär ändring av lagen om stark autentisering och betrodda elektroniska tjänster 

I enlighet med riksdagens beslut 
ändras i lagen om ändring och temporär ändring av lagen om stark autentisering och betrodda elektroniska tjänster (412/2019) 1 mom. i ikraftträdandebestämmelsen som följer: 
Denna lag träder i kraft den 1 april 2019. Lagens 17 § 7 mom. gäller till och med den 31 mars 2023. 
 En icke ändrad del av lagtexten har utelämnats 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . 
 Slut på lagförslaget 

Utskottets förslag till uttalande

 

Riksdagen förutsätter att kommunikationsministeriet årligen lämnar kommunikationsutskottet en utredning om den information som samlats in om marknaden för och utbudet av stark autentisering och en bedömning av behovet av fortsatt prisreglering. 
Helsingfors 4.3.2021 

I den avgörande behandlingen deltog

ordförande 
Suna Kymäläinen sd 
 vice ordförande 
Ari Torniainen cent 
 medlem 
Pekka Aittakumpu cent 
 medlem 
Sandra Bergqvist sv 
 medlem 
Seppo Eskelinen sd 
 medlem 
Janne Heikkinen saml 
 medlem 
Juho Kautto vänst 
 medlem 
Jouni Kotiaho saf 
 medlem 
Johan Kvarnström sd 
 medlem 
Joonas Könttä cent 
 medlem 
Sheikki Laakso saf 
 medlem 
Jenni Pitko gröna 
 medlem 
Mirka Soinikoski gröna 
 medlem 
Kari Tolvanen saml 
 medlem 
Paula Werning sd. 
 

Sekreterare var

utskottsråd 
Mika Boedeker.