KOMMUNIKATIONSUTSKOTTETS BETÄNKANDE 12/2009 rd

KoUB 12/2009 rd - RP 36/2009 rd

Granskad version 2.0

Regeringens proposition med förslag till lag om stark autentisering och elektroniska signaturer samt till vissa lagar som har samband med den

INLEDNING

Remiss

Riksdagen remitterade den 1 april 2009 en proposition med förslag till lag om stark autentisering och elektroniska signaturer samt till vissa lagar som har samband med den (RP 36/2009 rd) till kommunikationsutskottet för beredning.

Utlåtanden

I enlighet med riksdagens beslut har grundlagsutskottet och förvaltningsutskottet lämnat utlåtande i ärendet. Utlåtandena (GrUU 16/2009 rd och FvUU 9/2009 rd) återges efter betänkandet.

Sakkunniga

Utskottet har hört

konsultativ tjänsteman Kirsi Miettinen, kommunikationsministeriet

lagstiftningsråd Tuomo Antila, justitieministeriet

överinspektör Johanna Kari, inrikesministeriet

specialmedarbetare Olli-Pekka Rissanen, finansministeriet

dataombudsman Reijo Aarnio, dataombudsmannens byrå

jurist Tuija Nevalainen, Finansinspektionen

dataadministrationschef Markku Kiiski, Folkpensionsanstalten

jurist Miina Ojajärvi, Konsumentverket

informationschef Olli Nylander, Valvira, Tillstånds- och tillsynsverket för social- och hälsovården

divisionschef Anna-Maija Karjalainen och dataadministrationsdirektör Lasse Skog, Statskontoret

ledande förvaltningsrevisor Tomi Voutilainen, Statens revisionsverk

överinspektör Helena Hynynen, Skattestyrelsen

jurist Eeva Lantto, Kommunikationsverket

chef för certifieringsförvaltningen Katja Häkkinen, befolkningsregistercentralen

specialmedarbetare Tommi Karttaavi, Finlands Kommunförbund

Business Manager Mika Vainio, Elisa Abp

Chief Research Officer Mikko H. Hyppönen, F-Secure Oyj

produktutvecklingschef Petri Heinälä, Fujitsu Services Oy

IT-arkitekt Ari Mikkola, Fujitsu Services Oy

datasäkerhetschef Antti Järvinen, Kesko Abp

Security specialist Matias Seppovaara, Nordea

enhetschef Kai Koskela, Andelsbankscentralen

jurist Krister Kaipio, TeliaSonera Abp

jurist Essi Ruokanen, Finansbranschens Centralförbund

verkställande direktör Reijo Svento, FiCom

datasäkerhetsexpert Antti Vähä-Sipilä

Dessutom har skriftligt utlåtande lämnats av

  • kommunikationsministeriet
  • Konkurrensverket
  • CSC — IT-centret för vetenskap Ab.

PROPOSITIONEN

I propositionen föreslås det att det stiftas en lag om stark autentisering och elektroniska signaturer. Samtidigt föreslås det att lagen om elektroniska signaturer (14/2003) upphävs.

I största delen av elektroniska tjänster behövs varken elektronisk identifiering eller elektroniska signaturer. I en del elektroniska tjänster kan man ändå bl.a. företa olika rättshandlingar. Sådana elektroniska tjänster förutsätter att parterna har förtroende för varandra. Den som använder tjänsterna ska kunna lita på att tjänsteleverantören har byggt upp sin service så att kraven på informationssäkerhet och integritetsskydd har beaktats. Tjänsteleverantören ska å sin sida bl.a. kunna lita på att den som använder tjänsterna via en fjärranslutning är den som han eller hon ger sig ut för att vara. För att de elektroniska tjänsterna och den elektroniska kommunikationen ska kunna utvecklas förutsätts att det framöver finns välfungerande tjänster för elektronisk identifiering.

Syftet med bestämmelserna är att ge grundläggande förutsättningar för att tillhandahålla tjänster för stark autentisering i Finland. Ett annat syfte är att skapa en ram för en fungerande marknad för stark autentisering.

Den föreslagna lagen gäller endast stark autentisering. Svag autentisering omfattas således inte av bestämmelserna. Stark autentisering tillämpas vid identifiering av fysiska personer. Utanför regleringen faller metoder för sådan stark autentisering som används i slutna miljöer, såsom metoder för ett företags egna behov av identifiering.

Den föreslagna lagen innehåller bestämmelser om de krav som en elektronisk identifiering ska uppfylla för att vara stark autentisering. I lagen föreslås också bestämmelser om de krav som gäller leverantörer av tjänster för stark autentisering och leverantörernas tjänster. Tillhandahållandet av tjänster för stark autentisering övervakas av Kommunikationsverket.

Den föreslagna lagens bestämmelser om elektroniska signaturer motsvarar den gällande lagen om elektroniska signaturer.

Genom de övriga lagar som ingår i propositionen ändras hänvisningarna till lagen om elektroniska signaturer till hänvisningar till lag om stark autentisering och elektroniska signaturer. De föreslagna lagarna avses träda i kraft den 1 september 2009.

UTSKOTTETS ÖVERVÄGANDEN

Allmän motivering

Med hänvisning till propositionen och utredning till utskottet finner utskottet propositionen behövlig och ändamålsenlig. Utskottet förordar lagförslaget men med följande anmärkningar och ändringsförslag.

Allmänt

Syftet med propositionen är att ge grundläggande förutsättningar och en allmän juridisk ram för tillhandahållande av tjänster för stark autentisering i Finland. Finland saknar i detta nu reglering av elektronisk identifiering och av tillhandahållande av tjänster i anslutning till elektronisk identifiering. Vissa lagar, såsom personuppgiftslagen (), innehåller föreskrifter som är tillämpliga på denna typ av verksamhet och tillhandahållande av tjänster. Det föreliggande lagförslaget innehåller bestämmelser bland annat om de krav som ställs på tjänster för stark autentisering och andra identifieringstjänster. Tanken bakom regleringen är att skapa tilltro till stark autentisering, se till att de som använder tjänsterna kan hävda sina rättigheter samt att främja marknaden för elektronisk identifiering och tjänster där man utnyttjar sådan identifiering.

Många elektroniska tjänster förutsätter en förtroendefull relation mellan den som tillhandahåller tjänsterna och dem som använder dem. Största delen av de elektroniska tjänsterna eller elektronisk kommunikation kräver emellertid inte elektronisk identifiering eller elektroniska signaturer. Vissa elektroniska tjänster är sådana att man kan företa olika typer av rättshandlingar eller så har de någon annan funktion som kräver identifikation av de som använder tjänsterna. För en del av tjänsterna kan en tillräckligt väl fungerande och stark autentisering vara ett villkor för att tjänsten ska kunna tillhandahållas. I sådana fall måste den som erbjuder tjänsterna kunna förlita sig på att den som använder tjänsterna via en fjärranslutning är den som han eller hon ger sig ut för att vara. Behovet av identifiering beror ändå helt och hållet på tjänstens natur.

För att de elektroniska tjänsterna ska kunna utvecklas och det ska bli möjligt att utnyttja elektroniska signaturer där det behövs är utskottet övertygat om behovet av basala bestämmelser som reglerar tillhandahållandet av tjänster för elektronisk identifiering. Såväl de som utvecklar tjänsterna som de som tillhandahåller tjänster behöver tillräckliga säkerheter beträffande rättsläget för att kunna investera i utvecklingsprojekt och för att genom regleringen kunna stärka det förtroende som identifieringstjänsterna bygger på.

Frågan om elektronisk identifiering berör också viktiga grundläggande rättigheter i informationssamhället, såsom integritetsskyddet och skyddet av personuppgifter. Den föreslagna regleringen gäller tjänster för elektronisk identifiering som kan erbjudas redan innan den föreslagna lagen träder i kraft. Eftersom det hittills inte har funnits någon lagstiftning som uttryckligen reglerar dessa tjänster och rättigheterna för dem som använder tjänsterna anser utskottet att det för att säkerställa medborgarnas och innehavarnas av identifieringsverktyg rättigheter innebär en klar förbättring med denna lagstiftning främst för att den ställer krav på tjänsterna och de som tillhandahåller tjänsterna.

Utskottet konstaterar att propositionen bitvis är beklagligt snårig och komplicerad. Dessutom innehåller den frågor som enligt utskottets uppfattning borde ha lösts genom förhandlingar mellan de viktigaste aktörerna redan innan propositionen lämnades. Propositionens komplicerade innehåll har också kommit till synes i sakkunnigutfrågningen, vilket i klartext inneburit att experternas åsikt har divergerat kraftigt. Enligt utskottets uppfattning beror detta dels på att objektet för lagstiftningen är exceptionellt tekniskt och komplicerat men också på att det i en teknisk miljö som utvecklas snabbt är helt nödvändigt att eftersträva en teknologineutral lagstiftning. Den självklara följden blir att strävan inte alltid är liktydigt med en exakt reglering och att kraven på exakt avgränsning icke alltid uppfylls. Med propositionen försöker man dessutom reglera ett område där man ännu inte kan gestalta alla detaljer i marknadsutvecklingen och den typ av tjänster som uppkommer inom de närmaste åren. Det att objektet för regleringen är av en så speciell natur gör det svårt att på förhand uppskatta verkningarna och därför är det delvis förståeligt att också experterna är av olika åsikt om saken.

Utskottet har den uppfattningen att särdragen i denna proposition gör det extra viktigt att i efterskott följa upp lagstiftningens effekter och bedöma behovet av ändringar. Utskottet understryker att om det exempelvis visar sig att den tekniska utvecklingen leder till att regleringen får oförutsägbara konsekvenser måste det finnas beredskap att med en snabb tidtabell få i gång en revidering av lagstiftningen. Utskottet understryker också att vid utvärderingen av lagens effekter måste man utnyttja och beakta inte bara tillhandahållarnas erfarenheter utan också de synpunkter som framförs av aktörer som representerar dem som använder identifieringstjänster. Utskottet förutsätter att kommunikationsministeriet före utgången av 2010 lämnar en utredning till kommunikationsutskottet om lagens funktionalitet och verkningar (Utskottets förslag till uttalande).

Enligt utskottet är det viktigt att stödja informationssamhällets utveckling och skapa förutsättningar för nya och bättre elektroniska tjänster. Lagstiftningen om stark elektronisk autentisering kan bidra till att vi får nya typer av tjänster som är viktiga för medborgarna.

Tillämpningsområde

Den föreslagna lagen gäller endast stark autentisering. Svag autentisering omfattas således inte av bestämmelserna. Med stark autentisering avses identifiering av en person utifrån minst två av följande tre alternativ: ett lösenord eller något annat som innehavaren av identifikationsverktyget vet, ett chipkort eller motsvarande som innehavaren av identifikationsverket har eller ett fingeravtryck eller något motsvarande som individualiserar innehavaren av identifikationsverktyget.

Regleringen gäller stark autentisering av fysiska personer och tjänster för stark autentisering. I förslaget ingår nästan inga bestämmelser om identifiering i arbetet eller i någon motsvarande roll. Enligt utskottet är det ändå viktigt att den föreslagna bestämmelsen inte blir något hinder för att utöka identifieringsverktygen med en rolluppgift. Vidare föreslås lagen endast gälla tjänster som tillhandahålls allmänheten. Det här innebär att sådana metoder för stark autentisering som används i en sluten miljö, såsom interna metoder för identifiering av egna datasystem eller en sammanslutnings egna kunder står utanför regleringen. Utskottet påpekar att man i framtiden borde utreda behovet av eventuell reglering av identifiering av utomstående och i slutna miljöer även om de i detta skede stannar utanför definitionen av stark autentisering.

Under expertutfrågningen fördes det fram önskemål på att utvidga propositionens tillämpningsområde bland annat till all form av elektronisk identifiering och även till sammanslutningsintern elektronisk identifiering. Men utskottet anser att det föreslagna tillämpningsområdet är rätt i det här skedet. På grundval av praktiska erfarenheter och konsekvensbedömningar av regleringen blir det möjligt att i framtiden överväga tillämpningsområdets omfattning och dess ändamålsenlighet utan att det finns någon risk för överreglering, som skulle kunna bromsa upp utvecklingen av nya tjänster och deras spridning. Utskottet anser det ändå viktigt också med tanke på lagens tillämpningsområde att det finns en fortlöpande uppföljning av lagens verkningar och marknadernas utveckling.

Utskottet föreslår vissa justeringar av tillämpningsområdet som innebär att det förtydligas och preciseras märkbart. Samtidigt blir det klarare vilka uppgifter de myndigheter har som ansvarar för tillsynen över lagen.

Rättigheter för innehavaren av ett identifieringsverktyg

Grundlagsutskottet säger i sitt utlåtande (GrUU 16/2009 rd) att de autentiseringstjänster som regleras i lagförslaget kan betraktas som basservice i informationssamhället. Tillhandahållandet av dem hänger ofta samman med informationssamhällets grundläggande fri- och rättigheter — i synnerhet det skydd för privatlivet och personuppgifter som garanteras i grundlagens 10 § 1 mom. Med tanke på de kvalitetskrav som gäller för tjänsterna är de föreslagna lagbestämmelserna i huvudsak korrekta och tillräckliga, anser grundlagsutskottet. Men grundlagsutskottet påpekar att det kan anses vara en brist i förslaget att det i första hand är inriktat på att reglera tjänsteleverantörernas verksamhet och därför inte innehåller några nämnvärda bestämmelser om väsentliga rättigheter för dem som ansöker om eller innehar ett identifieringsverktyg. Vissa av bestämmelserna, till exempel den om innehavarens ansvar för identifieringsverktyget (27 §) och bestämmelsen om ansvar för obehörig användning av signaturframställningsdata (40 §) kan enligt utskottet ändå i viss utsträckning betraktas som sådana bestämmelser. Enligt grundlagsutskottet är det med tanke på tjänsternas tillgänglighet relevant att föreskriva om sökandens rätt att få en identifikator eller ett certifikat om han eller hon uppfyller de krav som ställs. Utskottet uppmärksammar också att bestämmelserna om tjänsteleverantörens ansvar för skada som orsakats den som förlitat sig på ett identifieringsverktyg är ytterst allmänt hållna. Grundlagsutskottet anser att regleringen på denna punkt borde kompletteras.

Kommunikationsutskottet anser det vara av högsta prioritet att tillgodose de grundläggande fri- och rättigheterna i informationssamhället och säkerställa en jämlik behandling av medborgarna. Utskottet tror att det när informationssamhället utvecklas allt mer kan uppstå situationer där någon typ av tjänst som är viktig för medborgarna huvudsakligen levereras enbart elektroniskt, varvid det blir understruket viktigt att ha ett identifieringsverktyg till exempel för att kunna utnyttja offentlig service inom något förvaltningsområde. Utskottet påpekar att även om denna proposition handlar om allmänna bestämmelser som gäller alla leverantörer av identifieringstjänster och även om den närmaste framtiden inte nödvändigtvis gör att en sådan oro är direkt befogad, borde lagförslaget på det sätt som grundlagsutskottet föreslår i sitt utlåtande kompletteras med en bestämmelse om leverantörens skyldighet att bemöta sina kunder på ett icke-diskriminerande sätt och dem som ansöker om ett identifikationsverktyg jämlikt när man ingår avtal om att leverera ett identifikationsverktyg. Motsvarande bestämmelse borde även finnas om certifikatsutfärdare som tillhandahåller kvalificerade certifikat.

Utskottet understryker att propositionen innehåller detaljerade bestämmelser om skadeståndsansvar för certifikatutfärdare som tillhandahåller kvalificerade certifikat eftersom det inte alls finns något avtalsförhållande mellan certifikatutfärdaren och den part som förlitar sig på det kvalificerade certifikatet. I sådana situationer är det naturligt att det krävs bestämmelser om skadeståndsansvar för att möjliggöra ett system som långt bygger på förtroende och för att säkerställa den parts rättigheter som förlitar sig på ett certifikat. När det gäller de autentiseringstjänster som regleras i förslaget föreligger det däremot ett avtalsförhållande om användning av identifieringstjänster med leverantören av identifieringstjänster och innehavaren av ett identifieringsverktyg. När det gäller identifieringstjänster kan innehavaren av ett identifieringsverktyg enligt utskottets uppfattning snarast jämställas med innehavaren av ett kvalificerat certifikat, vars ansvar när det gäller obehörig användning av signaturframställningsdata regleras i 40 § i det första lagförslaget på ett sätt som fullt ut motsvarar ansvarsbegränsningarna för innehavare av identifieringsverktyg enligt 27 §. I förhållandet mellan certifikatutfärdaren och undertecknaren bestäms skadeståndsansvaret i första hand enligt de allmänna avtalsprinciper som gäller för ersättningsansvar. Utskottet anser att skadeståndsansvaret mellan leverantören av identifieringstjänster och innehavaren av ett identifieringsverktyg borde bestämmas på motsvarande sätt.

Ansvaret för innehavaren av ett identifieringsverktyg vid obehörig användning av verktyget har i förslaget till 27 § helt korrekt begränsats till vissa klara situationer som kan tillräknas innehavaren. I regel ansvarar innehavaren av ett elektroniskt identifieringsverktyg för obehörig användning endast om han eller hon har överlåtit identifieringsverktyget till någon annan, om verktyget har försvunnit, kommit i någon annans besittning obehörigt eller använts obehörigt på grund av innehavarens vårdslöshet eller om innehavaren har försummat att utan obefogat dröjsmål efter det att saken har upptäckts anmäla till leverantören av identifieringstjänster eller någon aktör som denna har angett att identifieringsverktyget har försvunnit, kommit i någon annans besittning obehörigt eller använts obehörigt. Kapitel 3 i det första lagförslaget om stark autentisering innehåller totalt 20 paragrafer. Av dessa uppställs i förslagen till 23 och 25 § krav också på innehavaren av ett identifieringsverktyg. Förslagets övriga 18 paragrafer har bestämmelser som gäller krav på och skyldigheter för leverantören av identifieringstjänster och de tillhandahållna tjänsterna samt om myndighetsövervakningen. Det centrala syftet med dessa bestämmelser är att säkerställa användarnas, dvs. verktygsinnehavarnas rättigheter. Bestämmelserna är tvingande i relation till konsumenten, vilket innebär att man inte kan göra avsteg från dem genom avtal till konsumentens nackdel. Enligt utskottet är det väsentligt att den föreslagna regleringen gäller tjänster för stark autentisering som kan tillhandahållas redan innan lagen träder i kraft. Eftersom det inte sedan tidigare har funnits någon uttrycklig lagstiftning som skyddar dessa tjänster och användarna av dem anser utskottet att med hänsyn till medborgarnas och verktygsinnehavarnas rättigheter innebär förslaget ett framsteg till följd av det krav som ställs på såväl tjänsterna som tjänsteleverantörerna. På grundval av utredning anser utskottet att förslaget, med beaktande av utskottets förslag till komplettering av ickediskriminerande och jämlikt bemötande, i övrigt i tillräcklig utsträckning beaktar verktygsinnehavarens rättigheter eftersom förslaget innehåller heltäckande bestämmelser om bland annat skyldigheterna för leverantörer av identifieringstjänster, de förfaringssätt som kan iakttas när tjänster levereras och om begränsningar av ansvaret för innehavare av identifieringsverksamhet.

Utskottet har också dryftat frågan om en teknisk och elektronisk verksamhetsmiljö som är svår att gestalta, nya typer av elektroniska tjänster och identifieringsmetoder som skapar en stark obestridlighetseffekt utöver de fördelar dessa erbjuder i framtiden också kan vara förenade med negativa konsekvenser exempelvis när det görs lätt för medborgarna att i fråga om svåröverskådliga typer av tjänster binda upp sig på ett sätt vars följder de inte helt har kunnat bedöma. Utskottet finner det viktigt att informationssamhällets konsekvenser följs upp och utvärderas för att bestämma om det i framtiden, antingen på bred bas eller inom någon särskild sektor av den offentliga förvaltningen, behövs en närmare reglering av elektroniska tjänster eller identifieringstjänster eller några andra åtgärder för att säkerställa medborgarnas rättigheter och tjänsternas tillgänglighet.

Inledande identifiering med hjälp av körkort

Enligt övergångsbestämmelsen i 51 § 5 mom. i det första lagförslaget kan leverantörer av identifieringstjänster och certifikatutfärdare som tillhandahåller kvalificerade certifikat till och med den 31 december 2012 vid den inledande identifieringen använda ett giltigt körkort som har utfärdats efter den 1 oktober 1990 av en myndighet i en medlemsstat inom Europeiska ekonomiska samarbetsområdet. Förvaltningsutskottet anser i sitt utlåtande (FvUU 9/2009 rd) att det första lagförslaget måste ändras så att leverantörer av identifieringstjänster och certifikatutfärdare vid inledande identifiering ska kunna använda giltiga körkort som har utfärdats efter den 1 oktober 1990 av en myndighet i en medlemsstat inom Europeiska ekonomiska samarbetet också efter 2012. Utskottet säger att läget för närvarande är det att körkort allmänt accepteras som identifikation i Finland och att det inte finns någon anledning att ändra ett rättsläge som medborgarna har vant sig vid.

Kommunikationsutskottet konstaterar att de sakkunniga vid utfrågningen förde fram mycket divergerande åsikter om olika slags körkort. Å ena sidan påtalade man vissa osäkerhetsfaktorer i samband med körkort och den inledande identifieringens betydelse för tilltron till identifieringstjänsterna över huvud taget. Å andra sidan sades det att körkort för närvarande är den mest allmänt förekommande och en mycket tillförlitlig identifieringshandling för närvarande och att ett förbud mot körkort som ett sätt att identifiera skulle vara en faktor som upplevs som brist på flexibilitet bland dem som ansöker om identifieringsverktyg och därmed hämmar utvecklingen av tjänster.

Enligt utskottet är det viktigt att förstå betydelsen av den inledande identifieringen för tilltro till identifieringstjänster över huvud taget men anser det även ändamålsenligt att körkortets ställning som allmän identifikationshandling beaktas i tillräcklig utsträckning. Kommunikationsutskottet anser att det bör vara möjligt att utan övergångstid godkänna ett sådant körkort som nämns i övergångsbestämmelsen som ett medel för leverantörerna av tjänster vid den inledande identifieringen. Den föreslagna ändringen gör det ändå möjligt för leverantören av identifieringstjänster att för sina egna tjänsters vidkommande överväga om den anser att ett körkort är tillräckligt tillförlitligt för en inledande identifiering. Utskottet understryker samtidigt att körkortets betydelse vid inledande identifiering under de närmaste åren bör utvärderas mot bakgrunden av de erfarenheter som de nya bestämmelserna ger.

Anonyma elektroniska tjänster och elektronisk kommunikation

Utskottet anser det viktigt att man beroende av tjänstens natur också möjliggör anonym användning av elektroniska tjänster och kommunikation. De förfaranden vid stark autentisering som regleras genom propositionen möjliggör också situationer där leverantören av identifikationstjänster till en tillhandahållare av tjänster som använder identifieringstjänster endast levererar vissa uppgifter som tjänsten kräver. I dessa situationer behöver tjänsteleverantören inte nödvändigtvis andra uppgifter om den som använder tjänsten än exempelvis uppgifter om tjänsteanvändaren är myndig. Utskottet anser det viktigt att det inte finns ogrundade hinder i lagstiftningen för att utveckla den typ av tjänster som avses här. Enligt utskottets uppfattning tillåter propositionen utveckling och tillhandahållande av så kallade anonyma identifieringstjänster.

Avgifter till Kommunikationsverket

En del av de sakkunniga utskottet har hört gav uttryck för sin oro över att de avgifter som föreslagits bli betalda till Kommunikationsverket för dess tillsynsuppgifter är alltför höga med hänsyn till att leverantörerna av identifieringstjänster inte är några stora företag och att även marknaderna är rätt små. Man befarar att avgifterna därför kan hämma utvecklingen av tjänsteutbudet. Å andra sidan påtalade experterna betydelsen av att tillsynsmyndigheten får tillräckliga resurser. Utifrån erhållen information anser utskottet det viktigt att effekterna av avgiftsnivåerna och avgifterna följs upp och utvärderas både med hänsyn till tjänsterna och marknaden och till de praktiska erfarenheterna av tillsynsverksamheten. I förekommande fall måste det finnas beredskap att med en snabb tidtabell igen ta upp frågan om avgifternas nivå och grunderna för hur de bestäms. För att uppnå det man eftersträvar med regleringen och för att säkerställa rättigheterna för de som innehar identifieringsverktyg är det enligt utskottets mening synnerligen viktigt att se till att det finns tillräckliga resurser och verksamhetsmöjligheter för den myndighetstillsyn som gäller identifieringstjänster som baserar sig på tilltro.

Det internationella perspektivet

De kommunikationsnät genom vilka elektroniska tjänster där man använder elektronisk identifiering erbjuds är till sin natur gränsöverskridande. Under expertutfrågningen framgick det att man oroar sig för att den föreslagna nationella regleringen i en internationell omvärld kan bli en begränsande faktor för de inhemska serviceutvecklarna och företagen. Men utskottet anser att den typ av reglering som föreslås i propositionen och som inte är alltför begränsande men som skapar en viss rättssäkerhet snarare är en fördel för de inhemska aktörerna som på detta sätt får spelregler för de tjänster de erbjuder samtidigt som man ser till användarnas behov och rättigheter. Utskottet understryker vikten av att följa lagens konsekvenser också i detta avseende och att aktivt delta i lagstiftnings- och motsvarande samarbete både på EU-nivå och i andra internationella sammanhang.

Elektroniska signaturer

När det gäller tillhandahållande av kvalificerade certifikat och elektroniska signaturer motsvarar bestämmelserna i 4 kap. nästan helt gällande lag. Utifrån utredning finner utskottet att förslaget är ändamålsenligt i detta avseende. I förslagets 4 § och 5 § 1 mom. finns bestämmelser bland annat om att identifieringsverktyg kan användas för att skapa elektroniska signaturer och för att företa rättshandlingar. Utifrån utredning anser utskottet det klart att precis samma tekniska medel kan användas både för identifiering och för att skapa elektroniska signaturer. Utskottet utgår också från att det som föreskrivs i 4 och 5 § inte bara begränsar sig till egentliga rättshandlingar utan också till underskrift av olika typer av handlingar, protokoll och motsvarande dokument.

Detaljmotivering

1. Lag om stark autentisering och elektroniska signaturer

1 § Tillämpningsområde.

  Förslaget till 1 § 2 mom. är tolkbart till den del det är fråga om man med formuleringen avser inte bara tillhandahållande av tjänster för autentisering inom en sammanslutning utan också tillhandahållande av tjänster för elektroniska signaturer. För klarhetens skull föreslår utskottet att 2 mom. omformuleras så att ordet "avsedda" infogas. Preciseringen ändrar inte förslagets rättsliga innebörd.

I förslaget till 1 § 3 mom. ingår en begränsning av tillämpningsområdet enligt vilken lagen inte tillämpas om en sammanslutning tillämpar en egen metod för stark autentisering uteslutande för att identifiera sina egna kunder. Vid dessa tjänster måste man ändå enligt paragrafen iaktta bestämmelserna i 3 §, 20 § 1 mom., 21—22 §, 23 § 1 mom., 25 § 1 mom. och 2 mom. samt 27 § 1 mom., 2 mom. 1 punkten och 3 mom. Enligt förslaget är det konsumentombudsmannen i konsumentförhållanden som övervakar att de nämnda bestämmelserna iakttas. I övrigt är det huvudsakligen Kommunikationsverket som ansvarar för tillsynen över lagen.

Vid expertutfrågningen framfördes det att bestämmelsen i 1 § 3 mom. om tillämpningsområdet i praktiken är omöjlig att övervaka. Utskottet föreslår därför att 1—8 punkten i 1 § 3 mom. stryks.

Formuleringen av 1 § 3 mom. är också i övrigt tolkbar eftersom det blir oklart vilka av de identifieringsmetoder bland de i bestämmelsen avsedda interna metoderna för identifiering av en sammanslutnings egna kunder som hänför till lagens tillämpningsområde. Syftet med förslaget är att exempelvis identifieringsmetoderna hänförs till lagens tillämpningsområde endast till den del en sammanslutning erbjuder identifieringsmetoden via en identifieringstjänst till andra tjänsteleverantörer för identifiering av dessa tjänsteleverantörers kunder. Utskottet föreslår att ordet "uteslutande" i 1 § 3 mom. stryks och att till momentet fogas orden "i samband med sina egna tjänster".

7 § Användning av uppgifter i befolkningsdatasystemet.

I förslaget till 7 § 1 mom. ingår en laghänvisning till 6 § 1 mom. Eftersom man i samma mening tidigare hänvisat till personuppgiftslagen blir det oklart vilkendera lagen hänvisningen avser. Utskottet föreslår att laghänvisningen preciseras så att den klart gäller det föreliggande lagförslaget. Ändringen är rent lagteknisk och påverkar inte förslagets rättsliga innehåll.

15 § Skyldighet för leverantörer av identifieringstjänster att lämna uppgifter innan avtal ingås.

Enligt 15 § 1 mom. 2 punkten ska leverantören av identifieringstjänster innan ett avtal ingås om identifieringstjänst lämna den andra avtalsparten uppgifter om de tjänster som tillhandahålls. Enligt motiveringen till förslaget ska uppgifter också lämnas om priser. Utskottet anser det nödvändigt att skyldigheten att informera om priser fogas till 15 § 1 mom. 2 punkten.

16 § Skyldighet för leverantörer av identifieringstjänster att anmäla hot och störningar som riktas mot informationssäkerheten eller skyddet av uppgifter.

Enligt 16 § 1 mom. ska leverantören av identifieringstjänster anmäla hot och störningar som riktas mot tjänsternas informationssäkerhet till de tjänsteleverantörer som använder tjänsterna, innehavarna av identifieringsverktyg och Kommunikationsverket. Utskottet konstaterar att det i samband med hot och störningar är mycket viktigt att man snabbt kan vidta behövliga avvärjnings- och korrigeringsåtgärder för att minimera de skador och olägenheter som problemen kan orsaka. Utskottet föreslår därför att 16 § 1 mom. kompletteras med en precisering enligt vilken leverantören av identifieringstjänster utan onödigt dröjsmål ska anmäla hot och störningar.

17 § Inledande identifiering av den som ansöker om ett identifieringsverktyg.

  Enligt föreslagna 17 § 1 mom. ska leverantören av identifieringstjänster noggrant identifiera den som ansöker om ett identifieringsverktyg genom att fastställa identiteten med hjälp av ett giltigt pass eller identitetskort som har utfärdats av en myndighet i en medlemsstat inom Europeiska ekonomiska samarbetsområdet, i Schweiz eller i San Marino. Vid den inledande identifieringen får leverantören av identifieringstjänster, om denne så önskar, även använda ett giltigt pass som har utfärdats av en myndighet i någon annan stat. Utskottet föreslår att den sista meningen i 17 § 1 mom. kompletteras med ett omnämnande om att leverantören av identifieringstjänster om han så önskar också kan göra den inledande identifieringen med hjälp av ett giltigt körkort som har utfärdats efter den 1 oktober 1990 av en myndighet i en medlemsstat inom Europeiska ekonomiska samarbetsområdet.

19 § Certifikatets innehåll.

Enligt 19 § 2 mom. i förslaget ska den som tillhandahåller certifikattjänster för sin del försäkra sig om att en tjänsteleverantör som använder ett certifikat för elektronisk identifiering har tillgång till certifikatets innehåll. I förslaget till 8 § 2 mom. föreslås att bestämmelserna i 8 § 1 mom. inte hindrar att specifika tjänster tillhandahålls så att leverantören av identifieringstjänster endast meddelar den tjänsteleverantör som använder en identifieringstjänst den pseudonym som innehavaren av identifieringsverktyget använder eller ett begränsat antal personuppgifter. Enligt utredning till utskottet möjliggör föreslagna 8 § 2 mom. användning av anonyma elektroniska tjänster på ovan beskrivet sätt. Föreslagna 19 § 2 mom. gäller för sin del vissa identifieringssituationer där den som förlitar sig på identifieringen i allmänhet ska få vetskap om innehållet i det certifikat som används för identifiering. Utskottet konstaterar emellertid att för att förtydliga 19 § 2 mom. bör momentet kompletteras med en precisering enligt vilken den som tillhandahåller certifikattjänster är skyldig att försäkra sig om att en tjänsteleverantör som använder ett certifikat för elektronisk identifiering har tillgång till certifikatets innehåll endast när detta är nödvändigt för identifieringen.

20 § Utgivning av identifieringsverktyg.

  Enligt grundlagsutskottet är det centralt med tanke på tjänsternas tillgänglighet att föreskriva om sökandens rätt att få en identifikator eller ett certifikat om han eller hon uppfyller de krav som ställs. Kommunikationsutskottet föreslår att man till 20 § 1 mom. fogar en bestämmelse om skyldighet för leverantören av identifieringstjänster att bemöta sina kunder på ett icke diskriminerande sätt och att bemöta de som ansöker om identifieringsverktyg jämlikt när avtalet ingås. Det handlar inte om något avtalstvång utan bland annat om att leverantören av identifieringstjänster på ett jämlikt sätt ska tillämpa de villkor leverantören har uppställt på alla sökande.

27 § Innehavarens ansvar för obehörig användning av ett identifieringsverktyg.

I 27 § 2 mom. 2 punkten hänvisas till bestämmelsen i 25 § 2 mom. om möjlighet att när som helst göra en anmälan för att återkalla ett identifieringsverktyg eller förhindra att det används. Eftersom formuleringarna i bestämmelserna avviker från varandra föreslår utskottet att ordet "alltid" i föreslagna 27 § 2 mom. 2 punkten byts ut mot orden "när som helst". Utskottet föreslår också att paragrafrubriken ändras så att den bättre motsvarar paragrafens innehåll.

35 § Utgivning av kvalificerade certifikat.

Med tanke på tjänsternas tillgänglighet är det enligt grundlagsutskottet viktigt att föreskriva om rätten att få en identifikator eller ett certifikat om sökanden uppfyller de villkor som ställs. Utskottet hänvisar till det som sades ovan i samband med 20 § och konstaterar att det i den gällande lagen finns en bestämning om icke-diskriminerande bemötande av kunderna när det gäller certifikatutförare som tillhandahåller kvalificerade certifikat. För den skull och med hänvisning till grundlagsutskottets utlåtande föreslår utskottet att 35 § 1 mom. kompletteras med en bestämmelse om utfärdares skyldighet att bemöta sina kunder på ett icke-diskriminerande sätt och de som ansöker om certifikat jämlikt när avtalet ingås.

42 § Allmän styrning och tillsyn.

Utskottet hänvisar till det som sades ovan i samband med 1 § 3 mom. och föreslår att omnämnandet av konsumentombudsmannens tillsynsbemyndigande i 42 § 4 mom. slopas såsom obehövligt till följd av att punkterna 1—8 strukits i 1 § 3 mom. Enligt utredning till utskottet kan konsumentombudsmannens tillsyn i konsumentrelationer basera sig på den allmänna konsumentskyddslagstiftningen och konsumentombudsmannens avgörandepraxis.

43 § Rätt till information.

I förslaget till 29 § föreskrivs om kontrollorgan med uppgift att bedöma om anordningar för signaturframställning uppfyller kraven i 28 § 1 mom. Kommunikationsverket utser kontrollorganen och övervakar deras verksamhet. Hittills har ännu inget kontrollorgan utsetts i Finland. Men enligt utskottet är det ändå lämpligt att man i förteckningen i 43 § även inkluderar kontrollorganen så att Kommunikationsverket ska ha rätt att få behövliga uppgifter även av kontrollorganen för att sköta de uppgifter som nämns i 42 §.

44 § Myndighetssamarbete och rätt att lämna information.

I förslaget till 44 § 1 mom. ingår bestämmelser om Kommunikationsverkets och dataombudsmannens rätt att trots sekretessbestämmelser till Finansinspektionen lämna den information som den behöver för att fullgöra sina uppgifter. I förslaget till 44 § 2 mom. föreslås dessutom bestämmelser om skyldighet för Kommunikationsverket och dataombudsmannen att vid behov samarbeta sinsemellan och dessutom med Finansinspektionen, Konkurrensverket och Konsumentverket. Enligt utredning till utskottet konstaterar det att det finns skäl för att även Finansinspektionen för att säkerställa den myndighets övervakning som eftersträvas i lagförslaget ska ha rätt att lämna uppgifter till Kommunikationsverket och dataombudsmannen. Utskottet föreslår därför att 44 § 1 mom. kompletteras med en bestämmelse om Finansinspektionens motsvarande rätt att trots sekretessbestämmelserna till Kommunikationsverket och dataombudsmannen lämna uppgifter som de behöver för att fullgöra sina uppgifter enligt denna lag.

46 § Inspektionsrätt.

Enligt 46 § 1 mom. har Kommunikationsverket rätt att utföra eller låta utföra inspektioner av leverantörer av identifieringstjänster och av leverantörernas tjänster, om det finns skäl att misstänka att tjänsteleverantören på ett väsentligt sätt har brutit mot denna lag eller mot föreskrifter som har utfärdats med stöd av den. Enligt förslaget till 2 mom. ska Kommunikationsverket årligen utföra eller låta utföra inspektioner av certifikatutfärdare som tillhandahåller kvalificerade certifikat och av deras tjänster. Enligt utskottet är den föreslagna inspektionsrätten viktig med hänsyn till den övervakning som eftersträvas genom propositionen. Enligt utskottet borde det även vara möjligt att utföra motsvarande inspektioner av kontrollorgan och certifikatutfärdare som utfärdar kvalificerade certifikat och som avses i 29 § om Kommunikationsverket har anledning att misstänka att de väsentligt har brutit mot denna lag eller mot föreskrifter som har utfärdats med stöd av den. När det gäller tillsynen över utfärdare av kvalificerade certifikat räcker det inte med årliga inspektioner för att se till att lagen följs. Utskottet föreslår därför att 46 § 1 mom. kompletteras med en passus om att Kommunikationsverket har rätt att utföra inspektioner av kontrollorgan som avses i 29 § och av deras verksamhet samt av certifikatutfärdare som tillhandahåller kvalificerade certifikat och av deras tjänster om det finns skäl att misstänka att de på ett väsentligt sätt har brutit mot denna lag eller mot föreskrifter som har utfärdats med stöd av den.

I förslaget till 46 § nämns också den möjligheten att Kommunikationsverket ska kunna låta utföra de inspektioner som avses i lagrummet. Grundlagsutskottet förutsatte i sitt utlåtande om regeringens proposition om befolkningsdatasystemet och Befolkningsregistercentralens certifikattjänster (GrUU 3/2009 rd) att om det anses nödvändigt med lagstiftning som tillåter att utomstående utför inspektioner måste lagförslaget kompletteras med bestämmelser om behörighetskrav eller kompetensvillkor för sådana inspektörer. Med hänsyn till kraven på rättssäkerhet och god förvaltning behövs detta. Dessutom bör man författningsvägen se till att samma bestämmelser tillämpas på utomstående inspektörer som på inspektörer med tjänsteansvar när de utför sina uppgifter, menar grundlagsutskottet. Grundlagsutskottets utlåtande gällde av Befolkningsregistercentralen förordnade inspektörer som enligt förslaget skulle ha rätt att utföra inspektioner för att övervaka användningen och skyddet av uppgifterna i befolkningsdatasystemet. I lagförslaget ingick det en motsvarande rätt att inspektera tillförlitligheten i förfarandet vid beviljande av certifikat. Enligt kommunikationsutskottet är det inte ändamålsenligt att i samband med denna proposition föreskriva om behörighetskrav eller kompetensvillkor för inspektörer. Utifrån utredning föreslår utskottet att bestämmelsen ändras så att i 46 § 1 och 2 mom. stryks omnämnandet om möjligheten att låta utföra inspektioner.

47 § Avgifter som ska betalas till Kommunikationsverket.

Med tanke på iakttagandet av lagen anser utskottet det synnerligen viktigt att tillsynsmyndigheten har tillräckliga resurser. Utskottet anser att eftersom Kommunikationsverket huvudsakligen ska finansiera sin verksamhet med avgifter bör det i lagförslaget finnas bestämmelser om avgifter för utnämning av och tillsyn över kontrollorgan samt för registrering av certifikatutfärdare som tillhandahåller kvalificerade certifikat. För tillfället ingår det bestämmelser om detta i kommunikationsministeriets förordning om vissa avgifter till Kommunikationsverket ().

Utifrån utredning föreslår utskottet att till lagförslaget fogas ett nytt 3 mom., varvid föreslagna 3—6 mom. blir 4—7 mom. Enligt det nya 3 mom. ska kontrollorgan betala en utnämningsavgift på 10 000 euro och därtill en årlig tillsynsavgift på 15 000 euro. I föreslagna 3—5 mom. föreslås ett tillägg om utnämningsavgiften. Av motsvarande skäl föreslås det att också 47 § 2 mom. kompletteras med en bestämmelse om att certifikatutfärdare som tillhandahåller kvalificerade certifikat och som gjort en anmälan enligt 32 § ska betala en registreringsavgift på 5 000 euro till Kommunikationsverket.

51 § Övergångsbestämmelse.

Utifrån utredning föreslår utskottet att 51 § 4 mom. för klarhetens skull kompletteras med en bestämmelse att trots att certifikatutfärdare som tillhandahåller kvalificerade certifikat efter att lagen har trätt i kraft gör en i paragrafen avsedd fritt formulerad skriftlig anmälan ännu under 2009 ska den fram till slutet av 2009 betala certifikatavgift enligt det gamla systemet.

Dessutom föreslår utskottet att övergångsbestämmelsen i 5 mom. om körkort stryks.

3. Lag om ändring av 19 och 20 § i befolkningsdatalagen

Av lagtekniska skäl föreslår utskottet att lagförslag 3 förkastas. De laghänvisningar som motsvarar förslaget måste i ett senare skede rättas till med en särskild proposition.

9. Lag om ändring av 165 § i mervärdesskattelagen

Av lagtekniska skäl föreslår utskottet att lagförslag 9 förkastas. De laghänvisningar som motsvarar förslaget måste i ett senare skede rättas till med en särskild proposition.

Förslag till beslut

Med stöd av det ovan anförda föreslår kommunikationsutskottet

att lagförslag 2, 4—8, 10 och 11 godkänns utan ändringar,

att lagförslag 1 godkänns med ändringar (Utskottets ändringsförslag),

att lagförslag 3 och 9 förkastas och

att ett uttalande godkänns (Utskottets förslag till uttalande).

Utskottets ändringsförslag

1.

Lag

om stark autentisering och elektroniska signaturer

1 kap.

Allmänna bestämmelser

1 §

Tillämpningsområde

(1 mom. som i RP)

Lagen tillämpas inte på tillhandahållande av tjänster avsedda för stark autentisering eller elektroniska signaturer (utesl.) internt inom en sammanslutning.

Lagen tillämpas inte heller om en sammanslutning tillämpar en egen metod för stark autentisering (utesl.) för att i samband med sina egna tjänster identifiera sina egna kunder.

(4 mom. som i RP)

2 §

(Som i RP)

2 kap.

Rättsverkningar och behandling av personuppgifter

3—6 §

(Som i RP)

7 §

Användning av uppgifter i befolkningsdatasystemet

Leverantörer av identifieringstjänster och certifikatutfärdare som tillhandahåller elektroniska signaturer får på de grunder som avses i 8 § 1 mom. 1 och 2 punkten i personuppgiftslagen och för de syften som nämns i 6 § 1 mom. i denna lag inhämta personuppgifter ur befolkningsdataregistret och i registret kontrollera de personuppgifter som en sökande eller innehavare har uppgett.

(2 mom. som i RP)

3 kap.

Stark autentisering

8—14 §

(Som i RP)

15 §

Skyldighet för leverantörer av identifieringstjänster att lämna uppgifter innan avtal ingås

Leverantören av identifieringstjänster ska innan ett avtal ingås om identifieringstjänst lämna den andra avtalsparten uppgifter om

(1 punkten som i RP)

2) de tjänster som tillhandahålls och priserna på dem,

(3—8 punkten som i RP)

(2 och 3 mom. som i RP)

16 §

Skyldighet för leverantörer av identifieringstjänster att anmäla hot och störningar som riktas mot informationssäkerheten eller skyddet av uppgifter

Leverantören av identifieringstjänster ska utan onödigt dröjsmål anmäla hot och störningar som riktas mot tjänsternas informationssäkerhet till de tjänsteleverantörer som använder tjänsterna, innehavarna av identifieringsverktyg och Kommunikationsverket.

(2 och 3 mom. som i RP)

17 §

Inledande identifiering av den som ansöker om ett identifieringsverktyg

Den inledande identifieringen ska göras personligen. Leverantören av identifieringstjänster ska noggrant identifiera den som ansöker om ett identifieringsverktyg genom att fastställa identiteten med hjälp av ett giltigt pass eller identitetskort som har utfärdats av en myndighet i en medlemsstat inom Europeiska ekonomiska samarbetsområdet, i Schweiz eller i San Marino. Vid den inledande identifieringen får leverantören av identifieringstjänster, om denne så önskar, även använda ett giltigt körkort som har utfärdats efter den 1 oktober 1990 av en myndighet i en medlemsstat inom Europeiska ekonomiska samarbetsområdet eller ett giltigt pass som har utfärdats av en myndighet i någon annan stat.

(2—4 mom. som i RP)

18 §

(Som i RP)

19 §

Certifikatets innehåll

(1 mom. som i RP)

Den som tillhandahåller certifikattjänster ska för sin del försäkra sig om att en tjänsteleverantör som använder ett certifikat för elektronisk identifiering har tillgång till certifikatets innehåll om det är nödvändigt för identifieringen.

20 §

Utgivning av identifieringsverktyg

Utgivningen av identifieringsverktyg grundar sig på ett avtal mellan den som ansöker om verktyget och leverantören av identifieringstjänster. Avtalet ska ingås skriftligen. Avtalet kan även ingås elektroniskt om dess innehåll inte kan ändras ensidigt och det hålls tillgängligt för parterna.Leverantören av identifieringstjänster ska bemöta sina kunder på ett icke-diskriminerande sätt och de som ansöker om identifieringsverktyg jämlikt när avtalet ingås.

(2 och 3 mom. som i RP)

21—26 §

(Som i RP)

27 §

Begränsningar av ansvaret för innehavaren vid obehörig användning av ett identifieringsverktyg

(1 mom. som i RP)

Innehavaren av ett identifieringsverktyg ansvarar för obehörig användning av identifieringsverktyget endast om:

(1 punkten som i RP)

2) om innehavaren av identifieringsverktyg inte utan obefogat dröjsmål efter det att saken har upptäckts har kunnat göra en anmälan om att identifieringsverktyget har försvunnit, kommit i någon annans besittning obehörigt eller använts obehörigt på grund av att leverantören av identifieringstjänster har åsidosatt skyldigheten enligt 25 § 2 mom. att se till att innehavaren av ett identifieringsverktyg (utesl.) har möjlighet att när som helst göra en sådan anmälan, eller

(3 punkten som i RP)

4 kap.

Elektroniska signaturer

28—34 §

(Som i RP)

35 §

Utgivning av kvalificerade certifikat

En certifikatutfärdare som tillhandahåller kvalificerade certifikat ska omsorgsfullt och på ett tillförlitligt sätt kontrollera identiteten hos den som ansöker om kvalificerat certifikat och andra uppgifter som gäller sökandens person och som är relevanta för utfärdandet och upprätthållandet av det kvalificerade certifikatet. Certifikatutfärdare som tillhandahåller kvalificerade certifikat ska identifiera sökanden personligen. Utfärdaren ska bemöta sin kunder på ett icke-diskriminerande sätt och de som ansöker om certifikat jämlikt när avtalet ingås.

(2 mom. som i RP)

36—41 §

(Som i RP)

5 kap.

Myndighetstillsyn

42 §

Allmän styrning och tillsyn

(1—3 mom. som i RP)

(4 mom. utesl.)

43 §

Rätt till information

Trots bestämmelserna om sekretess har Kommunikationsverket rätt att av leverantörer av identifieringstjänster, (utesl.) certifikatutfärdare som tillhandahåller kvalificerade certifikat och av kontrollorgan som avses i 29 § samt av personer som dessa anlitar få den information som behövs för att fullgöra de uppgifter som anges i 42 §.

(2 mom. som i RP)

44 §

Myndighetssamarbete och rätt att lämna information

Utöver vad som föreskrivs i lagen om offentlighet i myndigheternas verksamhet (621/1999) har Kommunikationsverket och dataombudsmannen trots sekretessbestämmelserna rätt att lämna till Finansinspektionen den information som den behöver för att fullgöra sina uppgifter. Finansinspektionen har motsvarande rätt att trots sekretessbestämmelserna till Kommunikationsverket och dataombudsmannen lämna uppgifter som de behöver för att fullgöra sina uppgifter enligt denna lag.

(2 mom. som i RP)

45 §

(Som i RP)

46 §

Inspektionsrätt

Kommunikationsverket har rätt att utföra (utesl.) inspektioner av leverantörer av identifieringstjänster och av leverantörernas tjänster, kontrollorgan som avses i 29 § och av deras verksamhet och certifikatutfärdare som tillhandahåller kvalificerade certifikat och av deras tjänster om det finns skäl att misstänka att de på ett väsentligt sätt har brutit mot denna lag eller mot föreskrifter som har utfärdats med stöd av den.

Kommunikationsverket ska årligen utföra (utesl.) inspektioner av certifikatutfärdare som tillhandahåller kvalificerade certifikat och av deras tjänster.

(3—6 mom. som i RP)

47 §

Avgifter som ska betalas till Kommunikationsverket

(1 mom. som i RP)

Certifikatutfärdare som tillhandahåller kvalificerade certifikat och som gjort en anmälan enligt 32 § ska betala en registreringsavgift på 5 000 euro till Kommunikationsverket. Dessutom ska certifikatutfärdare som tillhandahåller kvalificerade certifikat (utesl.) årligen betala en tillsynsavgift på 40 000 euro till Kommunikationsverket. Om en certifikatutfärdare som tillhandahåller kvalificerade certifikat även gör en anmälan enligt 10 §, ska certifikatutfärdaren betala den registreringsavgift som avses i 1 mom.

Kontrollorgan som har utsetts enligt 29 § ska betala en utnämningsavgift på 10 000 euro till Kommunikationsverket. Dessutom ska kontrollorganen årligen betala en tillsynsavgift på 15 000 euro till Kommunikationsverket. (Nytt)

Registreringsavgiften, utnämningsavgiften och tillsynsavgiften motsvarar Kommunikationsverkets kostnader för att utföra uppgifterna enligt denna lag, med undantag för de uppgifter som avses i 46 § 1 mom. Tillsynsavgiften ska betalas till fullt belopp också under det första verksamhetsåret, även om verksamheten inleds under året. Registreringsavgiften, utnämningsavgiften och tillsynsavgiften återbetalas inte även om tjänsteleverantören upphör med sin verksamhet under året.

Registreringsavgiften, utnämningsavgiften och tillsynsavgiften påförs av Kommunikationsverket. Kommunikationsverkets beslut om att påföra avgift får överklagas i enlighet med 49 § 1 mom. Närmare bestämmelser om verkställigheten av avgifterna kan utfärdas genom förordning av kommunikationsministeriet.

Registreringsavgiften, utnämningsavgiften och tillsynsavgiften får drivas in utan dom eller beslut på det sätt som föreskrivs i lagen om verkställighet av skatter och avgifter. Om avgifterna inte betalas senast på förfallodagen, tas en årlig dröjsmålsränta ut på det obetalda beloppet enligt den räntefot som avses i 4 § 1 mom. i räntelagen (633/1982). I stället för dröjsmålsränta kan myndigheten ta ut en dröjsmålsavgift på fem euro i sådana fall då dröjsmålsräntan understiger detta belopp.

(7 mom. som 6 mom. i RP)

6 kap.

Särskilda bestämmelser

48—49 §

(Som i RP)

7 kap.

Ikraftträdande

50 §

(Som i RP)

51 §

Övergångsbestämmelse

(1—3 mom. som i RP)

En sådan certifikatutfärdare som tillhandahåller kvalificerade certifikat och som har gjort en anmälan enligt 9 § 1 mom. i lagen om elektroniska signaturer och fortsatt verksamheten utan avbrott till ikraftträdandet av denna lag, behöver inte göra en ny anmälan enligt 32 § 1 mom. Certifikatutfärdaren kan då lämna en fritt formulerad skriftlig anmälan till Kommunikationsverket om att verksamheten fortsatt oförändrad. Certifikatutfärdare som när denna lag träder i kraft tillhandahåller kvalificerade certifikat ska, oberoende av när den ovan nämnda anmälan lämnas, fram till den 31 december 2009 betala en i 12 § i kommunikationsministeriets förordning om vissa av Kommunikationsverkets avgifter avsedda certifikatavgift.

(5 mom. utesl.)

_______________

Utskottets förslag till uttalande

Riksdagen förutsätter en omfattande uppföljning av lagens funktionalitet och verkningar som beaktar synpunkter och erfarenheter från alla aktörer med anknytning till tillhandahållande och användning av identifieringstjänster. Kommunikationsministeriet ska lämna en utredning om lagens funktionalitet och verkningar till kommunikationsutskottet före utgången av 2010.

Helsingfors den 5 juni 2009

I den avgörande behandlingen deltog

  • ordf. Martti Korhonen /vänst
  • vordf. Saara Karhu /sd
  • medl. Mikko Alatalo /cent
  • Marko Asell /sd
  • Leena Harkimo /saml
  • Jyrki Kasvi /gröna
  • Lauri Kähkönen /sd
  • Mats Nylund /sv
  • Pentti Oinonen /saf
  • Reijo Paajanen /saml
  • Markku Pakkanen /cent (delvis)
  • Lyly Rajala /saml
  • Tero Rönni /sd
  • Pertti Salovaara /cent
  • Janne Seurujärvi /cent
  • Ilkka Viljanen /saml (delvis)
  • Anne-Mari Virolainen /saml
  • ers. Sari Palm /kd

Sekreterare var

utskottsråd Juha Perttula