Senast publicerat 08-05-2021 12:35

Betänkande KoUB 44/2018 rd RP 264/2018 rd Kommunikationsutskottet Regeringens proposition till riksdagen med förslag till lag om ändring och temporär ändring av lagen om stark autentisering och betrodda elektroniska tjänster

INLEDNING

Remiss

Regeringens proposition till riksdagen med förslag till lag om ändring och temporär ändring av lagen om stark autentisering och betrodda elektroniska tjänster (RP 264/2018 rd): Ärendet har remitterats till kommunikationsutskottet för betänkande och till grundlagsutskottet och ekonomiutskottet för utlåtande. 

Utlåtanden

Utlåtande har lämnats av 

  • ekonomiutskottet 
    EkUU 63/2018 rd
  • grundlagsutskottet 
    GrUU 74/2018 rd

Sakkunniga

Utskottet har hört 

  • regeringsråd Jenni Rantio 
    kommunikationsministeriet
  • specialsakkunnig Kimmo Mäkinen 
    finansministeriet
  • jurist Marko Priiki 
    Transport- och kommunikationsverket
  • generaldirektör Kirsi Leivo 
    Konkurrens- och konsumentverket
  • direktör Timo Salovaara 
    Befolkningsregistercentralen
  • direktör, betaltjänster Raine Westerholm 
    Posti Ab
  • ledande digitaliseringsexpert Hanna Heiskanen 
    Finansinspektionen
  • direktör Arto Mattila 
    Danske Bank A/S, Finland filial
  • jurist Timo Airisto 
    DNA Ab
  • Business Manager Perttu Hörkkö 
    Elisa Abp
  • direktör, elektronisk identifiering Matti Villikka 
    Nets Denmark A/S, Filial i Finland
  • Head of Digital Business Joonatan Henriksson 
    Nixu Oyj
  • vice verkställande direktör Petri Nikkilä 
    Nordea Bank Abp
  • intressechef Satu Wennberg 
    OP Gruppen
  • Sales Executive Paavo Toivanen 
    Signicat Suomi
  • Senior Manager Ari Hakala 
    Telia Finland Oyj
  • expert Peter Jansson 
    Finanssiala ry
  • jurist Timo Niemi 
    Kuluttajaliitto - Konsumentförbundet ry
  • verkställande direktör Elina Ussa 
    Tietoliikenteen ja tietotekniikan keskusliitto, FiCom ry.

Skriftligt yttrande har lämnats av 

  • Nordea
  • OP Gruppen
  • Signicat Suomi
  • Finanssiala ry.

Inget yttrande av 

  • Jämställdhetsombudsmannens byrå.

PROPOSITIONEN

I propositionen föreslås det att lagen om stark autentisering och betrodda elektroniska tjänster ändras. Propositionen syftar till att förtydliga funktionen hos förtroendenätet för leverantörer av identifieringstjänster med stark autentisering. Det föreslås att avtalsskyldigheten för de tjänsteleverantörer som hör till förtroendenätet ska förtydligas. Dessutom föreslås ett lägre maximipris än för närvarande för förmedling av identifieringstransaktioner. Bestämmelserna om maximipriset för så kallad sammankopplad inledande identifiering ändras för en tid på två år för att motsvara prissättningen av identifieringstransaktioner i förtroendenätet. De tillhörande bestämmelserna om ansvar förtydligas. 

Förtroendenätets funktion grundar sig på ömsesidiga avtal mellan tjänsteleverantörer. Lagstiftningen om förtroendenätet har varit i kraft sedan maj 2017, men det har gått långsamt att få igång nätets verksamhet och avtalsförhandlingarna. Syftet med propositionen är att bidra till att skapa en tillväxtmiljö för digital affärsverksamhet i enlighet med spetsprojektet i statsminister Juha Sipiläs regering och att bidra till att marknaden för elektronisk identifiering utvecklas. Främjandet av säkra e-tjänster är av central betydelse i och med att användningen av elektroniska tjänster ökar inom alla samhällssektorer. 

Lagen avses träda i kraft så snart som möjligt. 

UTSKOTTETS ÖVERVÄGANDEN

Allmänt

Kommunikationsutskottet anser att stark autentisering är en av de viktigaste förutsättningarna för att det digitala samhället och de digitala tjänsterna ska utvecklas. Fungerande och säkra elektroniska identifieringsverktyg med tillhörande tjänster behövs också för att det ska uppstå en miljö där den digitala affärsverksamheten kan växa fram, de offentliga förvaltningstjänsterna utvecklas och för att medborgarna ska få möjligheter till delaktighet. 

Utskottet anser att det är ytterst viktigt att förtroendenätet för elektronisk identifiering fungerar och att det är mycket beklagligt att nätet inte har börjat fungera enligt den gällande lagstiftningen och syftena med denna. 

I sitt utlåtande (GrUU 74/2018 rd) anser grundlagsutskottet att de föreslagna bestämmelserna inte är problematiska i konstitutionellt hänseende. 

Prisregleringen och skyldigheten att ingå avtal

I propositionen föreslår regeringen mycket kraftfulla åtgärder för att främja konkurrensen och marknadens funktion, få igång förtroendenätet och se till att syftena med lagen fylls. 

En del sakkunniga har ställt sig bakom propositionen medan andra framför allt har motsatt sig maximiprissättningen av så kallad inledande identifiering. Å andra sidan uppges det i en utredning att det nuvarande priset på kedjor av inledande identifiering har setts som ett betydande hinder för leverantörer av identifieringsverktyg att få tillträde till marknaden. Kommunikationsutskottet instämmer med ekonomiutskottet (EkUU 63/2018 rd) i att det inte kan anses befogat att sådana här fasta och andra kostnader som hör ihop med att bedriva verksamhet och som delvis följer av lagstadgade skyldigheter för finanssektorn skulle täckas i sin helhet med priset på inledande identifiering. Enligt uppgift är en kedja av inledande identifiering tekniskt sett en likadan transaktion som vid förmedling av en identifieringstransaktion. Således kan det maximipris på inledande identifiering som föreslås i propositionen enligt utredning anses vara lämpligt. Det är i varje fall en bra lösning att bestämmelserna om maximipris på inledande identifiering bara ska gälla en viss tid, det vill säga två år, för att marknaden ska öppnas i det här skedet. Det är också viktigt att Transport- och kommunikationsverket ska bedöma nivån på prisregleringen varje år. 

Avtalsförhandlingarna om förtroendenätet har enligt uppgift till viss del visat sig vara svåra. Därför är det särskilt viktigt att skyldigheten att ingå avtal nu ändrats till exempel på så sätt att en tidsfrist uttryckligen föreskrivs samtidigt som det krävs att avtalsvillkoren ska vara skäliga och icke-diskriminerande. 

Utskottet anser att förslagen i propositionen är motiverade i nuläget, där man genom olika förhandlingar och tidigare lagändringar utan resultat har försökt uppnå ett slutresultat som är förenligt med lagens syfte. 

Tillgång till identifieringsverktyg

Utskottet har redan tidigare (KoUB 33/2014 rdRP 272/2014 rd, KoUB 18/2016 rdRP 74/2016 rd) ansett att tjänster för elekronisk identifiering är ett slags bastjänster i informationssamhället och uttryckt sin oro över den ojämlika tillgången till elektroniska identifieringsverktyg. Utskottet anser att frågan fortfarande är aktuell och att svar på den måste sökas omgående för att medborgarna ska likabehandlas och risken för utslagning från samhället ska minska. 

Medborgarna och företagen bör på lika villkor få tillgång till tillförlitliga elektroniska identifieringsverktyg, antingen på marknadsmässiga villkor eller, om det inte kan genomföras på marknadsmässiga villkor, genom att den offentliga förvaltningen intar en starkare roll. 

Utskottet pekar dessutom på behovet att utreda möjligheterna att utveckla interoperabiliteten i fråga om elektronisk identifiering i de nordiska länderna. 

Fortsatta åtgärder

Utskottet framhåller att vi nu bör få fart på utvecklingen av marknaden för elektronisk identifiering. Genom samarbete mellan branschen och de ansvariga ministerierna behöver det ses till att förtroendenätet kan fungera effektivt också rent konkret. Utskottet lyfter också fram den roll som spelas av den myndighet som har tillsyn över att lagen följs, för att lagstiftningen och dess syften ska fullföljas. När det gäller den aktuella frågan är det viktigt att Transport- och kommunikationsverket får tillräckliga resurser för att det ska garanteras att lagen efterlevs. 

Sammantaget anser utskottet att propositionen behövs och fyller sitt syfte. Utskottet tillstyrker propositionen med vissa mindre lagtekniska korrigeringar. 

DETALJMOTIVERING

Ingressen.

Utskottet korrigerar ingressen lagtekniskt på så sätt att den väger in de lagändringar som gjorts till följd av reformen av trafik- och transportmyndigheterna (RP 61/2018 rdRP 104/2018 rdKoUB 21/2018 rd). 

FÖRSLAG TILL BESLUT

Kommunikationsutskottets förslag till beslut:

Riksdagen godkänner lagförslaget i proposition RP 264/2018 rd med ändringar. (Utskottets ändringsförslag) 

Utskottets ändringsförslag

Lag om ändring och temporär ändring av lagen om stark autentisering och betrodda elektroniska tjänster 

I enlighet med riksdagens beslut 
upphävs i lagen om stark autentisering och betrodda elektroniska tjänster (617/2009) 17 § 5–7 mom., sådana de lyder i lag Utskottet föreslår en ändring 1009/2018 Slut på ändringsförslaget
ändras 12 a och 16 §, 17 § 4 mom. och 18 §, av dem 12 a Utskottet föreslår en ändring , 16 § och 17 § 4 mom. sådana de lyder i lag 1009/2018 Slut på ändringsförslaget, samt 
fogas till 3 § ett nytt 2 mom., till lagen nya 12 b–12 d § och till 17 §, sådan den lyder i Utskottet föreslår en ändring lag 1009/2018 Slut på ändringsförslaget, i stället för de 5–7 mom. som upphävts genom denna lag, nya 5 och 6 mom. och temporärt ett nytt 7 mom. som följer: 
3 § 
Bestämmelsernas tvingande natur 
 En icke ändrad del av lagtexten har utelämnats 
Avtalsvillkor mellan leverantörer av identifieringstjänster som avviker från bestämmelserna i denna lag är ogiltiga. 
12 a § 
Förtroendenätet för leverantörer av identifieringstjänster 
En leverantör av identifieringstjänster ansluter sig till förtroendenätet när leverantören gör en anmälan enligt 10 § till Transport- och kommunikationsverket. 
En leverantör av identifieringsverktyg ska erbjuda leverantörer av tjänster för identifieringsförmedling tillträdesrätt till sina identifieringstjänster så att leverantörerna kan förmedla identifieringstransaktioner till en part som förlitar sig på en elektronisk identifiering. En leverantör av identifieringsverktyg ska upprätta leveransvillkor för tillträdesrätt till sin identifieringstjänst och tillämpa dem vid ingående av avtal med leverantörer av tjänster för identifieringsförmedling. Villkoren för tillträdesrätten ska vara förenliga med denna lag samt vara rimliga och icke-diskriminerande. Leverantören av identifieringsverktyg ska godkänna begäran av leverantören av tjänster för identifieringsförmedling om att ingå ett avtal enligt leveransvillkoren samt bevilja tillträdesrätt till identifieringstjänsten utan dröjsmål och senast inom en månad efter att begäran har gjorts. Leverantören av identifieringsverktyg kan vägra ingå avtal endast om leverantören av tjänster för identifieringsförmedling handlar i strid med denna lag eller de bestämmelser eller föreskrifter som utfärdats med stöd av den eller om det finns andra vägande skäl för vägran. 
Leverantörer av identifieringstjänster ska samarbeta för att säkerställa att de tekniska gränssnitten mellan medlemmarna i förtroendenätet är kompatibla och att de gör det möjligt att tillhandahålla gränssnitt som följer allmänt kända standarder för de förlitande parterna. 
Leverantörer av identifieringstjänster ska genomföra underhålls-, ändrings- och informationssäkerhetsåtgärder på ett sådant sätt att åtgärderna innebär minsta möjliga olägenhet för identifieringstjänsternas övriga leverantörer, användare och förlitande parter. Utöver det som föreskrivs i 25 och 26 § får en leverantör av identifieringstjänster tillfälligt utan en annan leverantörs samtycke avbryta tillhandahållandet av en identifieringstjänst eller begränsa dess användning, om det är nödvändigt för att de åtgärder som avses ovan ska kunna genomföras framgångsrikt. Övriga leverantörer av identifieringstjänster vilkas tjänster kan påverkas av avbrott och ändringar ska effektivt informeras om dessa. 
En leverantör av identifieringstjänster får använda sådan information om en annan leverantör av identifieringstjänster som den erhållit i samband med överlåtelse av tillträdesrätt eller med stöd av 16 § endast för det ändamål för vilket informationen har lämnats till leverantören av identifieringstjänster. Uppgifterna får behandlas endast av den som arbetar hos eller för en leverantör av identifieringstjänster och som nödvändigt behöver uppgifterna i sitt arbete. Uppgifterna ska också annars behandlas så att affärshemligheter som tillhör en annan leverantör av identifieringstjänster inte röjs. En leverantör av identifieringstjänster som genom att handla i strid med detta moment vållar en annan leverantör av identifieringstjänster skada är skyldig att ersätta skadan. 
Närmare bestämmelser om förtroendenätets administrativa praxis, tekniska gränssnitt och administrativa ansvar utfärdas genom förordning av statsrådet. 
12 b § 
Leveransvillkor för tillträdesrätt till identifieringstjänsten och skyldighet för leverantörer av identifieringsverktyg att lämna uppgifter 
En leverantör av identifieringsverkstyg ska offentliggöra leveransvillkoren för tillträdesrätt till sin identifieringstjänst samt annan information som är relevant för överlåtelse av tillträdesrätt och identifieringstjänsternas kompatibilitet på sin webbplats. Leverantören av identifieringsverktyg ska offentliggöra åtminstone följande information: 
1) en beskrivning av identifieringsverktyget, inklusive information om tillgängliga personidentifieringsuppgifter enligt bilagan till kommissionens genomförandeförordning (EU) 2015/1501 om interoperabilitetsramverket enligt artikel 12.8 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden, 
2) eventuella hinder och begränsningar enligt 18 § för användning av identifieringsverktyget samt information om hur de förlitande parterna har fått eller kan få kännedom om hindren och begränsningarna, eller information om det tekniska genomförandet av begränsningen, 
3) en beskrivning av de tekniska gränssnitten för förmedling av identifieringstransaktioner och metoderna för testning av dem till den del de inte innehåller affärshemligheter eller uppgifter som äventyrar informationssäkerheten, 
4) priset på en identifieringstransaktion, 
5) vilken servicenivå som erbjuds, 
6) hur leverantören informerar om underhålls- och ändringsarbeten, 
7) en beskrivning av faktureringsförfarandet, 
8) villkor som gäller skadeståndsansvar, 
9) villkor för användning av varumärken och andra immateriella rättigheter, 
10) principer för behandling av personuppgifter som personuppgiftsansvarig i enlighet med Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), 
11) eventuella grunder för att ensidigt ändra leveransvillkoren, 
12) hur tvister ska lösas, 
13) eventuella andra villkor som är nödvändiga för förtroendenätets funktion. 
12 c § 
Ersättning för tillträdesrätt till identifieringstjänsten 
Leverantörer av tjänster för identifieringsförmedling ska betala en ersättning på högst 3 cent per förmedlad identifieringstransaktion för tillträdesrätt till identifieringstjänsten. Ersättningen omfattar alla personidentifieringsuppgifter som gäller det elektroniska identifieringsverktyget. Transport- och kommunikationsverket ska bedöma nivån på ersättningen årligen. 
Ingen annan ersättning får tas ut för tillträdesrätt till identifieringstjänsten. Den ersättning som anges i 1 mom. ska omfatta fakturering och tillträdesrätter till alla sådana gränssnitt, funktioner, tjänster, programvaror och informationssystem som förvaltas av leverantören av identifieringsverktyget och som behövs för förmedling av identifiering till en förlitande part. 
12 d § 
Skadeståndsskyldighet mellan medlemmar i förtroendenätet 
En leverantör av identifieringstjänster som uppsåtligen eller av oaktsamhet handlar i strid med de skyldigheter som anges i 12 a § 2–3 mom. eller i bestämmelser som utfärdats med stöd av 6 mom. eller de skyldigheter som anges i 12 b §, 12 c § eller 17 § 4 mom. är skyldig att ersätta en annan leverantör av identifieringstjänster för skada som har tillfogats denna. 
Skadeståndet omfattar ersättning för kostnader, prisskillnad samt annan direkt ekonomisk skada som orsakats av leverantörens i 1 mom. avsedda verksamhet. 
Skadeståndet kan jämkas, om fullt skadeståndsansvar bedöms som oskäligt tungt med tanke på förseelsens art, skadans omfattning, parternas situation och andra omständigheter. 
Rätten till skadestånd preskriberas, om skadeståndstalan inte har väckts inom tre år från det att leverantören av identifieringstjänster fick eller borde ha fått kännedom om uppkomsten av skadan. 
Vid prövning av en skadeståndstalan som avses i 1 mom. kan domstolen begära yttrande av Transport- och kommunikationsverket. 
16 § 
Anmälningar av leverantörer av identifieringstjänster om hot och störningar som riktas mot verksamheten eller skyddet av uppgifter 
En leverantör av identifieringstjänster ska trots sekretessbestämmelserna utan ogrundat dröjsmål anmäla betydande hot och störningar som riktas mot tjänsternas funktion, informationssäkerheten eller användningen av en elektronisk identitet till de tjänsternas förlitande parter, till innehavarna av identifieringsverktyg, till övriga avtalsparter i förtroendenätet och till Transport- och kommunikationsverket. I anmälan ska det redogöras för de åtgärder som olika aktörer har tillgång till för att avvärja hot eller störningar samt de beräknade kostnaderna för åtgärderna. 
Leverantören av identifieringstjänster får trots sekretessbestämmelserna underrätta alla medlemmar i förtroendenätet om hot och störningar som avses i 1 mom. samt om tjänsteleverantörer som skäligen kan misstänkas för att eftersträva orättmätig ekonomisk vinning, lämna betydelsefull osann eller vilseledande information eller behandla personuppgifter på ett olagligt sätt. 
Transport- och kommunikationsverket får för anmälarens räkning på teknisk väg förmedla uppgifterna mellan parterna i förtroendenätet trots vad som föreskrivs i lagen om offentlighet i myndigheternas verksamhet (621/1999). 
17 § 
Identifiering av en fysisk person som ansöker om ett identifieringsverktyg 
 En icke ändrad del av lagtexten har utelämnats 
En leverantör av identifieringsverktyg ska göra det möjligt för en annan leverantör av identifieringsverktyg att använda ett identifieringsverktyg för stark autentisering som beviljats av den förstnämnda för inledande identifiering vid ansökan om ett identifieringsverktyg för stark autentisering på motsvarande eller lägre tillitsnivå. Vad som föreskrivs i 12 a och 12 b § om överlåtelse av tillträdesrätt till identifieringstjänsten och publicering av leveransvillkoren tillämpas också på i detta moment avsedd användning av identifieringsverktyg vid inledande identifiering. 
Den leverantör av identifieringsverktyg som litar på en tidigare inledande identifiering bär ansvaret i förhållande till den skadelidande om den inledande identifieringen är felaktig. 
Om en leverantör av identifieringsverktyg som litar på en tidigare inledande identifiering hålls ansvarig för en skada med stöd av 5 mom. har leverantören rätt att få ersättning för sin skada av den leverantör av identifieringsverktyg som begått felet vid den inledande identifieringen, om inte den sistnämnda leverantören visar att skadan inte har berott på uppsåt eller grov oaktsamhet. 
Vad som föreskrivs i 12 c § om ersättning för förmedling av identifieringstransaktioner tillämpas också på i 4 mom. avsedd användning av identifieringsverktyg vid inledande identifiering. 
18 § 
Hinder och begränsningar när det gäller att utföra rättshandlingar 
Användningen av identifieringsverktyg för att utföra rättshandlingar får förhindras genom avtal mellan leverantörer av identifieringstjänster, tjänsteleverantörer som använder tjänsterna och innehavare av identifieringsverktyg. Dessutom får utförandet av rättshandlingar begränsas både när det gäller användningsändamål och transaktionernas värde i pengar. Hinder och begränsningar får inte gälla enskilda tjänsteleverantörer och de får inte vara beroende av vilken leverantör av tjänster för identifieringsförmedling som förmedlar identifieringstransaktionen. 
Leverantören av identifieringstjänster ska se till att alla parter känner till hindren eller begränsningarna eller att de är lätta att upptäcka och meddelas på ett klart och lättbegripligt sätt. Leverantören av identifieringsverktyg får även införa hinder eller begränsningar med tekniska medel. Leverantören svarar inte för de åtgärder som har vidtagits i strid med hindren eller begränsningarna trots att leverantören har handlat på ett omsorgsfullt sätt. 
Leverantören av identifieringsverktyg ska se till att en tjänsteleverantör som använder identifieringstjänsterna har möjlighet att dygnet runt kontrollera de hinder och begränsningar som gäller identifieringsverktyget. Denna skyldighet föreligger dock inte om användning av identifieringsverktyget i strid med hindren och begränsningarna har förhindrats med hjälp av tekniska medel. 
En tjänsteleverantör som använder identifieringstjänster ska i samband med användningen av ett identifieringsverktyg kontrollera eventuella hinder eller begränsningar i de system och register som leverantören av identifieringstjänsterna har. Detta behöver dock inte göras om användning av identifieringsverktyget i strid med hindren och begränsningarna har förhindrats med hjälp av tekniska medel. 
 Paragraf eller bestämmelse om ikraftträdande börjar 
Denna lag träder i kraft den 20 . Lagens 17 § 7 mom. gäller i två år från ikraftträdandet av lagen. 
En leverantör av identifieringsverktyg ska upprätta och offentliggöra leveransvillkoren för tillträdesrätt till sin identifieringstjänst inom två månader från ikraftträdandet av denna lag. 
Avtal mellan leverantörer av identifieringstjänster som gäller när denna lag träder i kraft ska uppdateras i överensstämmelse med denna lag inom tre månader från lagens ikraftträdande. 
Den förordning av statsrådet som utfärdats med stöd av det 12 a § 5 mom. som gällde vid denna lags ikraftträdande förblir i kraft. 
 Slut på lagförslaget 
Helsingfors 28.2.2019 

I den avgörande behandlingen deltog

ordförande 
Ari Jalonen blå 
 vice ordförande 
Markku Pakkanen cent 
 medlem 
Mikko Alatalo cent 
 medlem 
Jyrki Kasvi gröna 
 medlem 
Jukka Kopra saml 
 medlem 
Suna Kymäläinen sd 
 medlem 
Mia Laiho saml 
 medlem 
Mats Löfström sv 
 medlem 
Jari Myllykoski vänst 
 medlem 
Jani Mäkelä saf 
 medlem 
Jari Ronkainen saf 
 medlem 
Satu Taavitsainen sd 
 medlem 
Katja Taimela sd 
 medlem 
Ari Torniainen cent 
 medlem 
Sofia Vikman saml. 
 

Sekreterare var

utskottsråd 
Juha Perttula.