KOMMUNIKATIONSUTSKOTTETS BETÄNKANDE 33/2014 rd

KoUB 33/2014 rd - RP 272/2014 rd

Granskad version 2.0

Regeringens proposition till riksdagen med förslag till lag om ändring av lagen om stark autentisering och elektroniska signaturer

INLEDNING

Remiss

Riksdagen remitterade den 2 december 2014 regeringens proposition med förslag till lag om ändring av lagen om stark autentisering och elektroniska signaturer (RP 272/2014 rd) till kommunikationsutskottet för beredning.

Sakkunniga

Utskottet har hört

konsultativ tjänsteman Tomi Lindholm, kommunikationsministeriet

specialsakkunnig Olli-Pekka Rissanen, finansministeriet

chef Jarkko Saarimäki, Kommunikationsverket

jurist Riikka Rosendahl, Konkurrens- och konsumentverket

dataombudsman Reijo Aarnio, Dataombudsmannens byrå, JM

överinspektör Taito von Konow, Skatteförvaltningen

utvecklingschef Joonas Kankaanrinne, Befolkningsregistercentralen

JL, direktör Jyri Terämaa, Nordea Bank Finland Abp

ledande expert Pekka Laaksonen, Finansbranschens Centralförbund

verkställande direktör Reijo Svento, FiCom ry

Dessutom har skriftliga yttranden lämnats av

  • utrikesministeriet
  • justitieministeriet
  • Folkpensionsanstalten
  • DNA Welho Ab
  • Elisa Abp
  • Fujitsu Finland Ab
  • TeliaSonera Abp
  • Finnet-liitto rf
  • Electronic Frontier Finland rf EFFI.

PROPOSITIONEN

Regeringen föreslår att lagen om stark autentisering och elektroniska signaturer ändras.

Enligt propositionen ska leverantörer av identifieringstjänster och aktörer som tillhandahåller elektroniska signaturer i fortsättningen kräva personbeteckning vid identifieringen av en person.

Leverantörer av identifieringstjänster och certifikatutfärdare som tillhandahåller elektroniska signaturer ska inhämta uppgifterna de behöver för tillhandahållandet av identifieringstjänster ur befolkningsdatasystemet. Leverantörer av identifieringstjänster ska dessutom säkerställa att personuppgifterna som behövs för tillhandahållandet av identifieringstjänster är uppdaterade.

Bestämmelsen om inledande identifiering av den som ansöker om ett identifieringsverktyg ska ändras så att en identitet som har verifierats elektroniskt alltid ska basera sig på en fysisk inledande identifiering som gjorts med hjälp av en identitetshandling som en myndighet har beviljat eller på en elektronisk identifiering av sökanden som har gjorts med hjälp av en befintlig identitet som verifierats elektroniskt.

Det föreslås dessutom att det till lagen fogas en bestämmelse om nätverket för leverantörer av identifieringstjänster som utgör ett öppet i lag fastställt förtroendenät mellan identifieringstjänsterna.

De föreslagna bestämmelserna gäller endast verksamhet som bedrivs av de leverantörer av tjänster för stark autentisering som har gjort en anmälan till Kommunikationsverket.

Lagen avses träda i kraft den 1 maj 2015.

UTSKOTTETS ÖVERVÄGANDEN

Allmän motivering

Elektronisk autentisering beräknas öka i betydelse betydligt i framtiden i takt med utvecklingen mot fler e-tjänster. Användningen av e-tjänster kan inbegripa väsentliga ekonomiska intressen, och i användningen av många tjänster har aspekter som gäller integritetsskydd och skydd för personuppgifter en central betydelse. Därför spelar det en central roll för främjandet av e-tjänster att elektronisk autentisering är tillgänglig och tillräckligt tillförlitlig.

Marknaden för elektronisk autentisering har utvecklats tämligen långsamt i Finland, med undantag för banksektorn. Tjänster för stark elektronisk auktorisering erbjuds för närvarande i Finland främst av banker, Befolkningsregistercentralen och teleföretagen. Inom banksektorn är elektronisk autentisering med hjälp av bankkoder redan vardag för medborgarna, men användningen av stark autentisering har inte spritt sig som önskat. Enligt utredning till utskottet finns det just nu 5,5 miljoner webbankskoder och med dem gjordes ca 47,1 miljoner autentiseringar i andra tjänster utöver bankernas egna 2013. I bankernas egna tjänster beräknas antalet autentiseringar vara ca 400—500 miljoner per år. I offentliga elektroniska tjänster uppgick antalet autentiseringar med olika metoder till ca 20,7 miljoner 2013. Utskottet ser mycket positivt på att propositionen strävar efter att eliminera de nuvarande hindren för utvecklingen, främja marknadstillträdet och bl.a. göra det lättare att utnyttja olika autentiseringstjänster i samband med e-tjänster.

I propositionen föreslås ändring av lagen om stark autentisering och elektroniska signaturer (). Den föreslagna regleringen ska vara frivillig för leverantörerna av elektroniska identifieringstjänster på så sätt att den endast ska gälla de leverantörer av tjänster för stark autentisering som har lämnat en anmälan till Kommunikationsverket. Det ska i det här skedet endast gälla elektronisk autentisering av privatpersoner. Stark autentisering för företag eller autentisering t.ex. i anslutning till att företräda privatpersoner ska enligt utredning till utskottet bedömas i ett separat projekt.

Enligt utredning till utskottet beaktas i propositionen Europaparlamentets och rådets förordning 910/2014 om elektronisk identifiering, som ska tillämpas från början av juli 2016, så att propositionen inte står i strid med förordningen. Men förordningen kommer ändå att kräva eventuellt rätt snara ändringar i lagen. Utskottet anser det vara viktigt att den föreslagna regleringens konsekvenser och ändringsbehov följs och granskas ingående.

Inledande identifiering och bestyrkande av uppgifternas riktighet

Med inledande identifiering avses att verifiera en persons identitet när personen för första gången ansöker om ett elektroniskt identifieringsverktyg. En säker inledande identifiering är av grundläggande betydelse för hela identifieringstjänstens tillförlitlighet eftersom senare användning av identifieringsverktyget baserar sig på att man litar på den inledande identifieringens riktighet.

Aktörer som tillhandahåller identifieringstjänster och elektroniska signaturer ska enligt propositionen kräva personbeteckning vid identifieringen av en person. I praktiken innebär detta samtidigt att anslutning till systemet i detta skede är möjligt för finska medborgare och för utlänningar som vistas i Finland och har finsk personbeteckning. Enligt utredning till utskottet kommer möjligheterna för personer som inte har finsk personbeteckning att använda systemet att utredas inom den närmaste framtiden i ett separat projekt. Enligt propositionen ska verifiering av identiteten principiellt fortfarande vara baserad på ett myndighetsdokument som visar identiteten och som granskas i personens närvaro. Men om identiteten redan har verifierats tidigare i samband med ansökan om ett identifieringsverktyg, kunde den inledande identifieringen sammankopplas så att identifieringen vid ansökan om ett identifieringsverktyg av en annan leverantör av identifieringstjänster i fortsättningen också kunde basera sig på ett identifieringsverktyg på motsvarande säkerhetsnivå.

Enligt propositionen ska leverantörerna av identifieringstjänster inhämta de uppgifter de behöver för tillhandahållandet av tjänsterna ur befolkningsdatasystemet och säkerställa i befolkningsdatasystemet att dess personuppgifter är aktuella. Utskottet konstaterar att skyldigheten att säkerställa att uppgifterna är aktuella inte innebär en skyldighet att kontrollera uppgifterna i samband med varje identifiering. Syftet med förslagen om att inhämta och kontrollera uppgifterna är att stärka identifieringstjänsternas tillförlitlighet. Enligt utredning till utskottet ska de uppgifter om innehavare av ett identifieringsverktyg som leverantörer av identifieringstjänster i det föreslagna förtroendenätet förfogar över i stor utsträckning vara baserade på uppgifter i befolkningsdatasystemet. Enligt utredning till utskottet ska anmälan om dödsfall göras i befolkningsdatasystemet med användande av social- och hälsovårdsministeriets blanketter för dödsattest och begravningstillstånd genast när tillstånd för begravning har fåtts och anmälan kan inte heller göras innan begravningstillståndet fås. Utskottet konstaterar att om meddelandet om dödsfallet fördröjs kan förfarandet medföra risk för att en död persons identitet blir missbrukad. Utskottet anser att bestämmelserna och förfarandena i fråga om att anmäla om dödfall bör bedömas och vid behov ändras innan förtroendenätet tas i bruk så att de uppgifter i befolkningsdatasystemet som förtroendenätet förfogar över i fortsättningen är så aktuella som möjligt.

Förtroendenätet

Ett centralt förslag i propositionen är att skapa ett elektriskt förtroendenät mellan leverantörerna av identifieringstjänster. En leverantör av identifieringstjänster som anmäler sig som leverantör av en stark elektronisk identifieringstjänst ansluts till förtroendenätet. Att anslutas till nätet blir således obligatoriskt för dem som gjort anmälan vilket till vissa delar har kritiserats vid hörandet av sakkunniga.

I förtroendenätet litar alla leverantörerna av identifieringstjänster på de andra leverantörernas identifieringsverktyg och är skyldiga att förmedla identifieringar beviljade också av andra som hör till förtroendenätet vidare till andra leverantörer av elektroniska tjänster. Enligt utredning till utskottet ska en e-tjänstleverantör behöva ingå avtal endast med en leverantör av en identifieringstjänst som hör till förtroendenätet, och i och med det ska det i denna leverantörs tjänst gå att använda alla de identifieringsverktyg som tillhandahålls av leverantörer av identifieringstjänster i förtroendenätet, och på motsvarande sätt ska kunderna till alla identifieringstjänster som ingår i nätet kunna använda e-tjänsten i fråga. Men en leverantör av en e-tjänst kan också i sin egen e-tjänst avgränsa användningen av identifieringstjänster till endast vissa identifieringstjänster, dvs. tjänsteleverantören kan fritt bestämma vilket identifieringsverktyg som används i tjänsten. Utskottet anser att en minskning av antalet avtal genom propositionen som ovan beskrivits väsentligen kan underlätta starten för elektronisk identifiering i e-tjänster och utvidga användningsmöjligheterna för ett visst identifieringsverktyg i olika e-tjänster. Utskottet menar att förtroendenätet också minskar möjligheten att marknaden för elektronisk identifiering koncentreras till endast en leverantör.

Enligt 12 a § 3 mom. i propositionen får ersättningen som tas ut för en förmedlad identifieringsuppgift mellan leverantörer av identifieringstjänster uppgå till högst 10 cent och nivån på ersättningen ska bedömas årligen. Vid utfrågningen av sakkunniga har behovet av en reglering av pristaket delvis ifrågasatts och dessutom har den föreslagna prisnivån beroende på aktör ansetts vara antingen relativt hög eller alltför låg. Enligt utredning till utskottet är nivån på det föreslagna maximipriset en kompromiss som i detta skede bedöms ge möjligheter till lönsam affärsverksamhet för alla aktörer på marknaden. Utskottet vill inskärpa att i samband med en årlig översyn av nivån på pristaket bör också behovet av en reglering av pristaket regelbundet bedömas om verksamheten på marknaden kommer i gång på allvar. Bedömningen av ersättningsbeloppet bör baseras på bl.a. en bedömning av kostnaderna per identifiering och det sammanlagda antalet identifieringar och i princip bör överföringspriset basera sig på produktionskostnaderna. Utskottet konstaterar att i den föreslagna regleringen handlar det om ett maximipris och det är önskvärt att priset blir lägre på marknaden än pristaket. Vid utfrågningen av sakkunniga uttrycktes också oro över att prissättningen på överföring kan övergå direkt till konsumentpriserna. Det är angeläget, anser utskottet, att de avgifter som tas ut hos kunderna hålls på en skälig nivå för att främja användningen av tjänsterna.

Utskottet noterar Kommunikationsverkets centrala roll i fråga om att ta förtroendenätet i bruk, övervaka att regleringen iakttas och att förtroendet inom nätet består. Kommunikationsverket är i statsbudgeten ett nettobudgeterat verk som täcker huvuddelen av sina omkostnader med avgifter för viss verksamhet. Verket kan endast i mycket begränsad utsträckning använda resurser förvärvade med hjälp av avgifter för ett visst syfte till annan verksamhet. Utskottet anser det vara ytterst viktigt för att syftena med propositionen ska kunna säkerställas att Kommunikationsverket tilldelas tillräckliga resurser då dess uppgifter ökar till följd av att lagen verkställs. Otillräckliga resurser hos verket får inte äventyra att propositionens mål blir uppfyllda.

Identitetsstölder

När vardagliga funktioner i tilltagande utsträckning försiggår i kommunikationsnät och e-tjänster ökar risken för missbruk av elektroniska identiteter. Riksdagen behandlar för närvarande en proposition som gäller genomförande av Europaparlamentets och rådets direktiv om angrepp mot informationssystem (RP 232/2014 rd). I samband med den ska identitetsstöld bli straffbart som självständigt brott. I den finska lagstiftningen finns det redan vissa straffbestämmelser för missbruk av elektronisk identitet bl.a. i fråga om ärekränkning, spridande av information som kränker privatlivet, bedrägeri, förfalskning, lämnande av oriktiga personuppgifter och registeranteckningsbrott. Enligt den nya propositionen ska den som i syfte att vilseleda en tredje part obehörigen använder någon annans personuppgifter eller identifieringsuppgifter eller andra motsvarande uppgifter som identifierar personen dömas för identitetsstöld. Gärningen ska dessutom ha orsakat ekonomisk skada eller mer än ringa olägenhet för den som informationen gäller. Enligt propositionen ska identitetsstöld vara ett målsägandebrott, dvs. åklagaren får väcka åtal för identitetsstöld endast om målsäganden anmäler brottet till åtal. Maximistraffet för identitetsstöld ska vara böter.

Utskottet vill understryka att utöver eventuella straff är det med avseende på den aktuella propositionen väsentligt för förebyggande av identitetsstölder att försäkra sig om förtroendenätets datasäkerhet både i tekniskt hänseende och i övrigt och att det går ut information till medborgarna om risker och om säkra handlingssätt. Utskottet framhåller också att i synnerhet med tanke på förtroendenätets funktion är det väsentligt att se till också förfaranden för att återhämta sig efter eventuella problem såsom täckningen i fråga om t.ex. spärrlistor och även anvisningar för medborgarna. När problem uppstår bör det finnas klara och detaljerade handlingsmodeller genom vilka förtroendet i nätet kan återställas efter de eventuella problemen.

Avslutningsvis

Utskottet anser att propositionen är väl underbyggd och värd att backa upp som ett steg mot att främja elektronisk identifiering i Finland. Propositionen löser inte alla problem på vägen mot utveckling, och det finns behov för fortsatta insatser. Regleringen av elektronisk identifiering bör möjliggöra utveckling av nya tjänster, främja möjligheterna till affärsverksamhet och användning av tjänster samt garantera rimliga möjligheter att nå ut på marknaden.

Utskottet ser det som mycket viktigt att aktörerna i branschen reserveras tillräckligt med tid t.ex. för att bereda sig för att ta i bruk förtroendenätet. För att fungera väl kräver förtroendenätet bl.a. teknisk kompatibilitet och överenskommelser om gemensamma handlingssätt. Därför anser utskottet att den föreslagna övergångstiden fram till den 1 maj 2017 för att ta förtroendenätet i bruk är behövlig. Men utöver det föreslår utskottet att regleringen också i övrigt ska träda i kraft först den 1 januari 2016 för att det ska bli tillräckligt med tid för att verkställa den förtroendebaserade regleringen, träffa avtal och inleda verksamheten.

Utskottet ser det som viktigt att finna fungerande lösningar snarast möjligt under övergångstiden för förtroendenätet i fråga om bl.a. de olika rollerna som har berörts och frågor om företrädande samt bl.a. ställningen för de personer som inte har finsk personbeteckning. Utskottet efterlyser också vid genomförandet av EU-förordningen om elektronisk identifiering en tolkning som beaktar nationella särdrag och behov så att framför allt den inhemska marknaden för elektronisk identifiering kan fås att fungera så väl som möjligt.

Utskottet ser gärna att de identifieringstjänster som används är tillräckligt säkra med avseende på enskilda tjänster och användningssituationer. Utskottet konstaterar att den säkerhetsnivå som behövs beror på tjänstens karaktär och att alla tjänster inte nödvändigtvis kräver identifieringsmetoder med den allra starkaste säkerhetsnivån. Utskottet vill inskärpa att utöver identifieringens tillförlitlighet är det ytterst angeläget med tanke på en utbredd användning av elektroniska identifieringstjänster att också fästa uppmärksamhet vid att tjänster och metoder ska vara lätta att använda.

Utskottet fäster också principiellt vikt vid den utgångspunkt i propositionen enligt vilken leverantörer av e-tjänster åtminstone när det gäller tjänster inom den privata sektorn själva ska få välja hur stark autentisering och vilka identifieringsverktyg de vill använda i sina tjänster. Det är sannolikt, menar utskottet, att i avvikelse från den offentliga sektorn kommer kunderna inom den privata sektorns tjänster och inom e-handeln också i fortsättningen i många fall att identifieras genom de lösningar med användarnamn och lösenord som är vanligast i dag. Utskottet lägger också stor vikt vid att de identifieringsverktyg som används i dag ska kunna användas också när lagen har trätt i kraft fullt ut.

Vissa sakkunnigyttranden tog upp behovet av att utfärda bestämmelser om konsumentens rätt att få ett identifieringsverktyg. För närvarande är det så att bankkoder, som är det vanligaste verktyget för stark autentisering också inom den offentliga förvaltningen, inte har varit tillgängliga för alla medborgare, t.ex. på grund av betalningsanmärkningar. I samband med behandlingen av ärendet har också invandrarnas ställning observerats liksom det att möjligheten att använda elektronisk identifiering och e-tjänster kan vara en delfaktor som främjar deras integration i det finländska samhället. Utskottet konstaterar att saken behöver utredas. Som utskottet ser på saken är det sannolikt att ökad användning av olika identifieringsverktyg minskar ojämlikheten mellan medborgarna i fråga om möjligheterna att använda elektronisk identifiering. Men utskottet anser ändå att de tjänster för elektronisk identifiering som avses i propositionen i dag redan kan anses vara ett slags bastjänster i informationssamhället. Utskottet konstaterar att särskilt när de offentliga tjänsterna elektrifieras och utbudet på fysiska tjänster sannolikt minskar bör behovet av rätt till denna typ av identifieringsverktyg i fortsättningen bedömas bl.a. för att säkerställa tillgången på tjänsterna oavsett medborgarnas hemort. Utskottet noterar behovet av att i fortsättningen bedöma ställningen för finländare bosatta i utlandet och deras möjligheter att använda identifieringstjänsterna i förtroendenätet.

Utskottet ser det som viktigt att stödja utvecklingen mot informationssamhället och skapa förutsättningar för utvecklingen av e-tjänster. Lagstiftningen om stark autentisering kan bidra till att gynna uppkomsten av nya typer av tjänster som är av betydelse för medborgarna och skapar nya möjligheter för företagen. Utskottet hoppas på att förtroendenätet ska främja utvecklingen av marknaden för elektronisk identifiering och uppmanar också alla aktörer i branschen till aktivt och fördomsfritt samarbete för att säkerställa att förtroendenätet fungerar i praktiken.

Sammantaget anser utskottet propositionen vara behövlig och angelägen. Utskottet tillstyrker lagförslaget, men med ändringar.

Detaljmotivering

12 a §. Nätverk för leverantörer av identifieringstjänster.

Utifrån en utredning föreslår utskottet att ordet administrativt ska fogas till paragrafens 5 mom. för att bestämmelsens syfte ska framgå tydligare och med större precision.

17 §. Identifiering av den som ansöker om ett identifieringsverktyg.

Med hjälp av ett befintligt verktyg för stark autentisering får det enligt propositionen ansökas om ett motsvarande elektroniskt identifieringsverktyg. För att främja elektronisk identifiering anser utskottet det motiverat att föreslå att bestämmelsens formulering ska vara klart förpliktande: med hjälp av ett befintligt verktyg för stark autentisering ska det kunna ansökas om ett motsvarande elektroniskt identifieringsverktyg. Enligt uppgifter motsvarar det här också propositionens syfte.

Utskottet anser det också vara mycket angeläget och skäligt att leverantören av identifieringstjänsten bör avtala med den som gör en inledande identifiering om ersättning för att ett verktyg för stark autentisering på motsvarande nivå ska kunna ansökas också med hjälp av de elektroniska identifieringsverktyg som nu är i bruk.

Ikraftträdande.

Utskottet konstaterar att innan regleringen träder i kraft och i synnerhet innan förtroendenätet tas i bruk bör leverantörerna av identifieringstjänsterna sinsemellan komma överens om många frågor såsom ansvarsfördelningen och de tekniska gränssnitten mellan tjänsteleverantörerna. Dessutom klarnar vissa av de krav som beror på EU-förordningen om elektronisk identifiering först 2015. Därför föreslår utskottet att lagens ikraftträdande skjuts upp till början av 2016. Tillämpningen av 12 a § om förtroendenätet ska dock i enlighet med propositionen tillämpas först från den 1 maj 2017.

Utskottets förslag till beslut

Riksdagen

godkänner lagförslaget enligt propositionen men 12 a §, 17 § och ikraftträdandebestämmelsen med följande ändringar:

12 a §

Nätverk för leverantörer av identifieringstjänster

(1—4 mom. som i RP)

Närmare bestämmelser om förtroendenätets administrativa praxis, tekniska gränssnitt och administrativa ansvar utfärdas genom förordning av statsrådet.

17 §

Identifiering av den som ansöker om ett identifieringsverktyg

(1—3 mom. som i RP)

Med hjälp av ett befintligt verktyg för stark autentisering ska det kunna ansökas om ett motsvarande elektroniskt identifieringsverktyg. Den leverantör av tjänster för stark autentisering som litar på en tidigare identifiering bär ansvaret i förhållande till den skadelidande om identifieringen är felaktig.

_______________

Denna lag träder i kraft den 1 januari 2016. Lagens 12 a § tillämpas dock först från den 1 maj 2017.

_______________

Helsingfors den 12 december 2014

I den avgörande behandlingen deltog

  • ordf. Kalle Jokinen /saml
  • vordf. Osmo Kokko /saf
  • medl. Mikko Alatalo /cent
  • Thomas Blomqvist /sv
  • Markku Eestilä /saml
  • Ari Jalonen /saf
  • Jukka Kopra /saml
  • Merja Kuusisto /sd
  • Raimo Piirainen /sd
  • Janne Sankelo /saml
  • Hanna Tainio /sd
  • Eila Tiainen /vänst
  • Ari Torniainen /cent
  • Reijo Tossavainen /saf
  • Mirja Vehkaperä /cent

Sekreterare var

utskottsråd Juha Perttula