1.1
1.1 Laki vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista
Terminologiasta. Alan sanastoissa käytetään yleisesti sanoja tunnistaminen ja tunnistus rinnakkaisina termeinä, eikä niiden välille ole tehty todellisia merkityseroja. Voimassa olevassa tunnistuslaissa on käytetty sanaa tunnistaminen silloin, kun se esiintyy yksinään tai yhdyssanan jälkimmäisenä osana. Yhdyssanan ensimmäisenä osana käytetään sanaa tunnistus, jolloin syntyvät yhdyssanat kuten tunnistusväline, tunnistuspalvelu ja tunnistustapahtuma eivätkä ne tiettävästi aiheuta vaaraa sekaannukseen muilla aloilla käytetyn terminologian kanssa.
1 §. Soveltamisala. Ehdotuksessa muutettaisiin lain soveltamisalaa koskeva pykälä. Pykälässä säädettäisiin soveltamisalasta ja sen rajoituksista ottaen huomioon sähköisestä tunnistamisesta ja luottamuspalveluista annettu EU:n asetus eli eIDAS-asetus. Pykälän 1 ja 2 momenteissa määritellään soveltamisala ja 3-4 momenteissa tarkennukset ja poikkeukset 1 ja 2 momenttien soveltamisalaan.
Pykälän 1 momentin mukaan laissa säädettäisiin vahvasta sähköisestä tunnistamisesta sekä tunnistuspalveluiden tarjoamisesta niihin luottaville palveluntarjoajille ja yleisölle. Ehdotetun lakimuutoksen jälkeen suurin osa lain säännöksistä koskee vahvaa sähköistä tunnistamista ja kohdistuu nimenomaan tunnistuspalveluiden tarjoamiseen. Sähköistä allekirjoitusta ja muita luottamuspalveluja sääntelee jatkossa eIDAS-asetus. Laki ei koske niin sanottua heikkoa tunnistamista, joka tyypillisesti perustuu henkilön itse määrittelemiin käyttäjätunnukseen ja salasanaan.
Vahvan sähköisen tunnistamisen palveluita tarjottaisiin yleisölle kuten voimassa olevankin 1 §:n mukaan. Yleisöllä tarkoitetaan ennalta rajoittamatonta joukkoa luonnollisia tai oikeushenkilöitä. Esimerkiksi työ- tai virkasuhteen perusteella rajatussa joukossa ei ole kysymys yleisöstä.
Tunnistuspalveluita tarjotaan tunnistuspalveluihin luottaville palveluntarjoajille. Tunnistuspalvelun tarjonnan tyyppitapauksena voidaan pitää sellaista palvelua, jossa vahvaa sähköistä tunnistamista muun oman palvelunsa tarjoamiseksi käyttävä palveluntarjoaja siirtää tunnistettavan tunnistautumaan oman palvelunsa ulkopuolelle. Tällaiselle järjestelylle on tunnusomaista se, että vahvan sähköisen tunnistuspalvelun tarjoajilla, vahvaa sähköistä tunnistamista käyttävillä palveluntarjoajilla ja tunnistusvälineen haltijoilla on olemassa keskinäinen sopimussuhtein säännelty oikeustila. Tunnistusvälityspalvelun tarjoaja välittää asiointipalveluille tunnistustapahtumia tunnistamisen välineen tarjoajilta tarjoajalle lain 12 a §:ssä säädetyssä luottamusverkostossa.
Ehdotetun 2 momentin mukaan laissa säädetään eIDAS-asetuksen valvonnasta täydentäen mainittua asetusta. eIDAS-asetuksessa säädetään luottamuspalveluille asetetuista vaatimuksista ja niiden tarjonnasta. Luottamuspalveluilla tarkoitetaan eIDAS-asetuksen ja ehdotetun 2 §:n määritelmän mukaan sähköistä palvelua, jota yleensä tarjotaan vastiketta vastaan ja joka koostuu sähköisten allekirjoitusten, sähköisten leimojen tai sähköisten aikaleimojen, sähköisten rekisteröityjen jakelupalvelujen ja kyseisiin palveluihin liittyvien varmenteiden luomisesta, tarkastamisesta ja validoinnista. Luottamuspalveluita ovat myös verkkosivustojen todentamiseen liittyvien varmenteiden luominen, tarkastaminen ja validointi sekä sähköisten allekirjoitusten, leimojen tai kyseisiin palveluihin liittyvien varmenteiden säilyttäminen.
Sähköisen allekirjoittamisen palveluita ja muita edellä mainittuja luottamuspalveluja säännellään jatkossa EU:n suoraan sovellettavalla lainsäädännöllä, joten voimassa olevasta laista tulee kumota suurin osa sähköisiä allekirjoituksia ja allekirjoitusvarmenteita koskevista säännöksistä. Lakiin ehdotetaan kuitenkin jätettäväksi säännökset hyväksyn allekirjoitusvarmenteen peruuttamisesta (voimassa olevan lain 36 §) ja säännökset allekirjoituksen luomistietojen oikeudettomasta käytöstä (voimassa olevan lain 40 §). Lakiin ehdotetaan otettavaksi eräitä voimassa olevan lain luottamuspalvelun tarjoajan vastuuta rajoittavia säännöksiä (ehdotettu 41 §).
Jäsenvaltioiden on lisäksi nimettävä kansallinen valvontaelin eli viranomainen valvomaan eIDAS-asetuksen noudattamista. Ehdotetun 42 a §:n nojalla Suomessa Viestintävirasto valvoisi eIDAS-asetuksen noudattamista. Tässä esityksessä ehdotetaan myös täydennettävän eIDAS- asetusta, esimerkiksi luottamuspalveluiden vaatimustenmukaisuuden arviointilaitosten ja muiden riippumattomien arviointielinten pätevyysvaatimusten osalta sekä säädettäisiin Viestintäviraston ja Väestörekisterikeskuksen tehtävistä liittyen eIDAS-asetukseen.
Ehdotetun 3 momentin mukaan EU:lle ilmoitettuun tunnistusvälineeseen ja rajat ylittävään sähköisen tunnistamisen välitykseen sovelletaan tätä lakia vain, jollei eIDAS-asetukseta muuta johdu. Asetuksessa säädetään kolmesta sähköisen tunnistamisen varmuustasosta (matala, korotettu ja korkea) ja EU:n täytäntöönpanosäädöksessä on yksilöity vaatimukset tunnistamisjärjestelmille eri varmuustasoilla. Tunnistamisjärjestelmien on täytettävä niiden varmuustasoa koskevat vaatimukset, jotta kyseiset tunnistamisjärjestelmät voidaan ilmoittaa Euroopan komissiolle rajat ylittäviksi tunnistamisjärjestelmiksi. EU:n jäsenvaltioiden on tietyin edellytyksin hyväksyttävä julkisissa palveluissaan myös muiden EU-valtioiden ilmoittamat sähköisen tunnistamisen välineet.
eIDAS-asetuksessa säädetään sähköisten tunnistamisjärjestelmien ilmoitusmenettelystä komissiolle (7-10 artiklat) ja jäsenvaltioiden ylläpitämästä yhteentoimivuusjärjestelmästä (12 artikla), jossa jäsenvaltioiden ilmoittamat tunnistamisjärjestelmät toimivat yhteentoimivasti sekä jäsenvaltioiden asiaan liittyvästä hallinnollisesta yhteistyöverkostosta.
Ehdotetussa 4 momentissa soveltamisalaa täsmennetään sulkemalla lain soveltamislasta pois joitakin tilanteita. Sähköisen tunnistamisen osalta soveltamisalan rajoitukset vastaavat voimassa olevaa lakia. Sähköisen allekirjoituksen kuten muidenkin luottamuspalveluiden sääntelyn soveltamisala määritellään eIDAS-asetuksessa.
Ehdotetun 4 momentin mukaan lakia ei sovelleta jonkun yhteisön sisäiseen tunnistamiseen käytettävien palveluiden tarjontaan. Sama tunnistuspalvelun tarjoaja voi tarjota samaa palvelua sekä yleisesti luottamusverkostossa tunnistuspalvelua käyttävälle palveluntarjoajalle käytettäväksi ennalta määräämättömän joukon tunnistamiseen että jollekin yhteisölle käytettäväksi yhteisön sisäisiin tarpeisiin. Edellinen tilanne kuuluu lain soveltamisalaan, kun taas jälkimmäinen ei kuulu.
Ehdotetun 4 momentin jälkimmäisen lauseen mukaan lain soveltamisalaan eivät kuulu myöskään sellaiset tilanteet, joissa yhteisö käyttää omaa tunnistusmenetelmäänsä omien asiakkaidensa tunnistamiseksi omissa palveluissaan. Tällaisessa toiminnassa ei ole varsinaisesti lainkaan kysymys vahvan sähköisen tunnistuspalvelun tarjoamisesta, vaan palveluntarjoajan tavoitteena on muun oman palvelunsa tarjoaminen, ja tunnistaminen liittyy siihen ainoastaan sivutuotteena.
Voimassa olevan lain soveltamisala ja siihen tehdyt rajaukset ovat suoraa seurausta siitä, että lailla on pyritty antamaan perussäännöt toimiville yleiskäyttöisten vahvan sähköisen tunnistamisen välineiden markkinoille. Jos välineen käyttäjäpiiri on ennalta rajattu, ei se voi kilpailla avoimilla, yleiskäyttöisiin menetelmiin ja välineisiin tähtäävillä markkinoilla. Yritysten ja organisaatioiden sisäisten järjestelmien käyttäjät eivät myöskään tarvitse samalla tavalla suojaa kuin itse markkinoilta välineensä hankkivat, usein kuluttajan ominaisuudessa toimivat henkilöt. Suojan tarve on pienempi myös tiettyyn suljettuun tarkoitetukseen käytettävien tunnistusvälineiden osalta, sillä niiden käyttöön mahdollisesti liittyvät riskit ovat pienemmät.
Lisäksi on otettava huomioon, että sähköisen tunnistamisen palveluiden tarjonta on edelleen kehitysvaiheessa, ja tulevina vuosina on mahdollista, että myös uusia tunnistamismenetelmiä syntyy teknisen kehityksen myötä. Tämän johdosta on erittäin tärkeää, että lainsäädäntö antaa toimintamahdollisuudet uusille kehittyville järjestelyille. Uusia menetelmiä voidaan esimerkiksi testata suljetuissa ympäristöissä ennen kuin niitä tarjotaan yleiskäyttöisinä välineinä avoimilla markkinoilla. Sääntelyn piiriin palvelut tulevat vasta, kun niitä aletaan tarjota ennalta rajaamattomalle käyttäjäpiirille vahvana tunnistamisena.
2 §. Määritelmät. Verrattuna voimassa olevaan lakiin suuri osa pykälän määritelmistä ehdotetaan muutettavaksi tai kumottavaksi päällekkäisinä johtuen eIDAS-asetuksesta. Myös vuonna 2015 lakiin lisätty 12 a § tunnistamispalvelun tarjoajien luottamusverkostosta edellyttää muutoksia lain määritelmiin. Selvyyden vuoksi 2 § ehdotetaan muutettavaksi kokonaan.
Pykälän 1 momentin 1 kohdassa määriteltäisiin vahva sähköinen tunnistaminen. Sillä tarkoitettaisiin henkilön, oikeushenkilön tai oikeushenkilöä edustavan luonnollisen henkilön yksilöimistä ja tunnisteen aitouden ja oikeellisuuden todentamista sähköistä menetelmää käyttäen perustuen eIDAS-asetuksen 8 artiklassa määriteltyihin korotettuun tai korkeaan varmuustasoon. Määritelmä olisi sama kuin asetuksessa muutoin, kuin että vahvan sähköisen tunnistamisen määritelmään kuuluisivat vain asetuksessa määritellyt turvatasot korotettu ja korkea. eIDAS-asetuksessa ja sen nojalla annetuissa komission täytäntöönpanosäädöksissä säädetään myös turvatasosta matala, mutta tämä turvataso ei sisältyisi vahvan sähköisen tunnistamisen määritelmään Suomessa.
Pykälän 1 momentin 2 kohdassa määritellään tunnistusväline. eIDAS-asetuksessa käytetään samassa merkityksessä termiä sähköisen tunnistamisen menetelmä, joka on siksi otettu tunnistusvälineen määritelmään mukaan. Laissa säilytetään tunnistusmenetelmän rinnalla termi tunnistusväline, joka on usein kielellisesti ymmärrettävämpi. Määritelmä on sisällöltään sama kuin voimassa olevassa laissa. Määritelmä on teknologianeutraali ja kuvaa mitä tahansa joko fyysisessä, sähköisessä tai tiedollisessa muodossa olevia asioita, jotka yhdessä muodostavat tunnistusvälineen. Väline voi siis tarkoittaa esimerkiksi SIM-kortille tai muulle kortille sijoitettua varmennetta ja sen käyttämiseen tarvittavaa PIN-koodia, käyttäjätunnusta ja siihen yhdistettyä vaihtuvaa salasanaa, tai sormenjälkeä ja siihen yhdistettävää PIN-koodia. Väline muodostaa yhden kokonaisuuden.
Pykälän 1 momentin 3 kohdassa määritellään tunnistuspalvelun tarjoaja. Määritelmä pysyy asiallisesti ennallaan, mutta luottamusverkostoa koskevan 12 a §:n säätämisen jälkeen on tullut tarve käyttää tunnistuspalvelun tarjoajaa yläkäsitteenä pykälän 4 kohdassa määriteltävälle tunnistusvälineen tarjoajalle ja 5 kohdassa määriteltävälle tunnistusvälityspalvelun tarjoajalle. Puhtaan välityspalvelun tarjoajan velvoitteita selkeytetään laissa suhteessa tunnistusvälineen tarjoajan velvoitteisiin. Esityksen 9 §:ssä on asetettu yleisiä vaatimuksia tunnistuspalvelun tarjoajan luotettavuudelle. Vahvan sähköisen tunnistuspalvelun tarjoajan tulee olla 9 §:n nojalla aina oikeushenkilö.
Tunnistusvälineen tarjoajalla tarkoitettaisiin 1 momentin 4 kohdan mukaisesti palveluntarjoajaa, joka tarjoaa tai laskee liikkeelle vahvan sähköisen tunnistamisen tunnistusvälineitä yleisölle. Tunnistusvälineen tarjoaja tekisi 10 §:ssä tarkoitetun ilmoituksen Viestintävirastoon, minkä jälkeen se merkitään 12 §:n mukaiseen rekisteriin ja kuuluu 12 a §:ssä säädettyyn luottamusverkostoon. Luottamusverkostossa tunnistusvälineen tarjoajan tulee tarjota tunnistusvälinettään välityspalvelun tarjoajille mutta tunnistusvälineen tarjoaja voi tämän lisäksi tarjota omaa tunnistusvälinettään myös oman tunnistamisen välityspalvelun kautta luottaville osapuolille, jolloin se siis toimisi myös tunnistusvälityspalvelun tarjoajan roolissa.
Yleisöllä tarkoitetaan ennalta rajaamatonta käyttäjäjoukkoa kuten 1 §:n 1 momentissakin. Palveluntarjoaja voi käyttää vahvan sähköisen tunnistamisen menetelmää omien asiakkaittensa tunnistamiseen ja tarjota samaa menetelmää toiselle vahvaan sähköiseen tunnistamiseen luottavalle osapuolelle tai jäljempänä 6 kohdassa määriteltävälletunnistusvälityspalvelun tarjoajalle. Edellinen tilanne, jossa palveluntarjoaja käyttää vahvan sähköisen tunnistamisen menetelmää omien asiakkaittensa tunnistamiseen, ei kuulu tunnistuslain soveltamisalaan. Sen sijaan jälkimmäinen tilanne kuuluu lain soveltamisalaan. Kuvaus liittyy esimerkiksi pankkeihin, jotka käyttävät pankkitunnisteita omien asiakkaittensa pankkiasiointiin ja tarjoavat samoja tunnisteita käytettäviksi muissa sähköistä tunnistamista hyödyntävissä palveluissa.
Tunnistusvälityspalvelun tarjoajalla tarkoitettaisiin 1 momentin 5 kohdan mukaan palveluntarjoajaa, joka tarjoaa vahvan sähköisen tunnistamisen välityspalvelua sähköiseen tunnistukseen luottavalle osapuolelle. Määritelmä on uusi ja johtuu 12 a §:ssä säädetystä luottamusverkostosta. Tunnistusvälityspalvelun tarjoaja tekisi 10 §:ssä tarkoitetun ilmoituksen Viestintävirastoon, minkä jälkeen se merkitään 12 §:n mukaiseen rekisteriin ja kuuluu 12 a §:ssä säädettyyn luottamusverkostoon.
Tunnistusvälityspalvelun tarjoaja solmisi sopimuksia 4 kohdassa tarkoitettujen tunnistamisvälineiden tarjoajien kanssa 12 a §:ssä tarkoitettujen tunnistetietojen (tunnistustapahtumien) välittämisestä edelleen tunnistukseen luottaville osapuolille eli esimerkiksi vahvaa sähköistä tunnistamista omissa palveluissaan hyödyntäville palveluntarjoajille. Esimerkki tällaisesta luottavasta osapuolesta on verkkokauppa tai muu organisaatio, joka hankkii tunnistuspalvelun sähköiseen asiointipalveluunsa tai kansallisen palveluväylän yhteydessä toteutettava kansalaisen tunnistuspalvelu, joka ei välitä tunnistustapahtumia valtionhallinnon ja julkista tehtävää hoitavien organisaatioiden ulkopuolelle.
Tunnistusvälineen haltijalla tarkoitetaan tässä laissa luonnollista henkilöä tai oikeushenkilöä, jolla on vahvan sähköisen tunnistusväline hallussaan laillisen oikeuden nojalla. Jos väline joutuu pois oikeutetulta haltijalta, ei esimerkiksi löytäjästä voi tulla määritelmässä tarkoitettua välineen haltijaa. Määritelmä muuttuisi siitä, mikä se voimassa olevassa laissa, siten että tunnistamisväline voitaisiin myöntää ja luovuttaa myös oikeushenkilölle. Näin määritelmä olisi yhteneväinen sähköisestä tunnistamisesta ja luottamuspalveluista annetun EU:n asetuksen määritelmän kanssa. Lain 23 §:n 2 momentissa todetaan selkeästi, että vahvan tunnistusvälineen haltija ei saa luovuttaa välinettä toisen käyttöön.
Pykälän 7 kohdassa määritellyllä ensitunnistamisella tarkoitetaan tunnistusvälineen hakijana olevan luonnollisen henkilön henkilöllisyyden todentamista tai oikeushenkilön oikeushenkilöllisyyden todentamista ennen välineen myöntämistä. Ensitunnistaminen on vahvan sähköisen tunnistamisen luotettavuuden keskeinen peruspilari. Siitä säädetään voimassa olevan lain 17 §:ssä. Ensitunnistaminen on tunnistamislain myötä vakiintunut termi. Sen avulla on haluttu erottaa selkeästi tietty tapahtuma myöhemmistä, useita kertoja toistuvista tunnistustapahtumista.
Voimassa olevan lain 17 §:n mukaan ensitunnistaminen voidaan tehdä kahdella tavalla (HE 272/2014 ). Ensiksikin, jos hakijalla ei ole aikaisempaa tämän lain mukaista vahvaa sähköistä tunnistusvälinettä, tulee tunnistaminen tehdä henkilökohtaisesti. Toiseksi, jos hakijalla on jo käytössään vahva sähköinen tunnistusväline, voidaan tässä laissa tarkoitettua tunnistusvälinettä hakea sähköisesti. Tässä esityksessä ehdotetaan muutettavaksi ensitunnistamista koskevia säännöksiä siten, että Suomessakin olisi mahdollista tunnistaa luonnollinen henkilö siten kuin EU:n varmuustasoasetuksen liitteen kohdassa 2.1.2 säädetään.
Varmenteen ja varmentajan määritelmät vastaisivat voimassa olevan lain määritelmiä (HE 36/2009).
Luottamusverkostolla tarkoitettaisiin Viestintävirastoon ilmoituksen tehneiden tunnistuspalvelun tarjoajien verkostoa. Määritelmä vastaa voimassa olevan lain määritelmää (HE 272/2014).
Ehdotetun 11 kohdan mukaan vaatimustenmukaisuuden arviointilaitoksella tarkoitettaisiin asetuksen (EY) 765/2008 (ns. NLF-asetus) 2 artiklan 13 kohdassa määriteltyä elintä, joka on akkreditoitu NLF-asetuksen mukaisesti. Vaatimustenmukaisuuden arviointilaitoksen tekemistä arvioinneista on säännöksiä eIDAS-asetuksessa.
Pykälän 2 momentissa lueteltaisiin ne määritelmät, joilla olisi sama merkitys kuin sähköisestä tunnistamisesta ja luottamuspalveluista annetussa EU:n asetuksessa. Sähköisellä allekirjoituksella tarkoitetaan EU:n asetuksessa sähköisessä muodossa olevaa tietoa, joka on liitetty tai joka loogisesti liittyy muuhun sähköisessä muodossa olevaan tietoon ja jota allekirjoittaja käyttää allekirjoittamiseen. Sähköinen allekirjoitus perustuu siihen, että sähköiset tiedot liitetään toisiinsa tavalla, jossa niistä muodostuu ainutkertainen yhdistelmä, joka mahdollistaa allekirjoittajan todentamisen. Yksinkertainen sähköinen allekirjoitus on laaja käsite. Sen tarkoituksena on tunnistaa allekirjoittaja ja todentaa tiedot. Kyseessä voi yksinkertaisimmillaan olla sähköpostin allekirjoittaminen henkilön nimellä, mutta varsinaisia vaatimuksia liittyy kehittyneeseen tai hyväksyttyyn varmenteeseen perustuvaan hyväksytyllä allekirjoitusvälineellä tehtävään sähköiseen allekirjoitukseen.
Luottamuspalvelulla tarkoitetaan EU:n asetuksessa sähköistä palvelua, jota yleensä tarjotaan vastiketta vastaan ja joka koostuu seuraavista: 1) sähköisten allekirjoitusten, sähköisten leimojen tai sähköisten aikaleimojen, sähköisten rekisteröityjen jakelupalvelujen ja kyseisiin palveluihin liittyvien varmenteiden luomisesta, tarkastamisesta ja validoinnista; tai 2) verkkosivustojen todentamisen varmenteiden luomisesta, tarkastamisesta ja validoinnista; tai 3) sähköisten allekirjoitusten, leimojen tai kyseisiin palveluihin liittyvien varmenteiden säilyttämisestä.
Kehittyneellä sähköisellä allekirjoituksella tarkoitetaan sähköistä allekirjoitusta, joka täyttää eIDAS-asetuksen 26 artiklassa säädetyt vaatimukset. Sähköisen allekirjoituksen tulee liittyä yksilöivästi allekirjoittajaansa ja sillä tulee voida yksilöidä allekirjoittaja. Kehittynyt sähköinen allekirjoitus on luotu käyttäen sähköisen allekirjoituksen luontitietoja, joita allekirjoittaja voi korkealla varmuustasolla käyttää yksinomaisessa valvonnassaan. Edelleen kehittyneen sähköisen allekirjoituksen tulee olla liitetty sillä allekirjoitettuun tietoon siten, että tiedon mahdollinen myöhempi muuttaminen voidaan havaita.
Sähköisen tunnistamisen järjestelmällä tarkoitetaan eIDAS-asetuksessa sähköiseen tunnistamiseen liittyvää järjestelmää, jonka puitteissa sähköisen tunnistamisen menetelmiä myönnetään luonnolliselle henkilölle, oikeushenkilölle tai oikeushenkilöä edustaville luonnollisille henkilöille. Käsitettä käytetään esimerkiksi 8 §:ssä.
Luottavalla osapuolella luonnollista henkilöä tai oikeushenkilöä, joka luottaa sähköiseen tunnistamiseen tai luottamuspalveluun.
6 §. Henkilötietojen käsittely. Pykälään ehdotetaan lisättäväksi uusi 2 momentti, voimassa olevia 1 ja 3 momentteja ehdotetaan muutettavaksi niin, että niissä viitattaisiin luottamuspalveluja tarjoavaan varmentajaan sekä 4 momentin lakiviittauksia tarkistettaisiin.
On arvioitu, että tunnistuslain 12 a §:ssa tarkoitetussa luottamusverkostossa tunnistuksenvälityspalvelu toimii itsenäisenä rekisterinpitäjänä, jolloin se vastaa henkilötietojen käsittelystä ja muun muassa siitä, että se luovuttaa tietoja vain sellaiselle toimijalle, jolla on lakiin tai sopimukseen perustuva oikeus käsitellä tietoa. Ehdotetun uuden 2 momentin mukaan tunnistusvälityspalvelun tarjoajalla on oikeus tunnistuksen välityspalvelua tarjotessaan luovuttaa henkilötietoja sähköiseen tunnistukseen luottavalle osapuolelle, mikäli luottavalla osapuolella on lain perusteella oikeus käsitellä henkilötietoja.
Jos Tunnistuksenvälityspalvelu käsittelee ja välittää muitakin kuin tunnistamisen kannalta välttämättömiä henkilötietoja (nk. henkilötietojen rikastaminen), arvio vastuullisesta rekisterinpitäjästä voi erota tunnistamisen kannalta välttämättömien henkilötietojen ja muiden välitettävien henkilötietojen kohdalla.
7 §.Väestötietojärjestelmän tietojen käyttäminen. Pykälän 1 momenttia ehdotetaan täsmennettäväksi niin, että velvollisuus hankkia ja päivittää tunnistuspalvelun tarjoamiseksi tarvittavat tiedot väestötietojärjestelmästä koskee tunnistusvälineen tarjoajaa eikä tunnistusvälityspalvelun tarjoajaa. Tiedot tulisi päivittää niin usein, että voidaan riittävällä tavalla varmistua siitä, etteivät tiedot ole vanhentuneita. Viestintävirasto valvoo säännöksen noudattamista.
7 a §.Yritys- ja yhteisörekisterien tietojen käyttäminen. Lakiin ehdotetaan uuttaa säännöstä, jonka mukaan tunnistusvälineen tarjoajan ja luottamuspalvelua tarjoavan varmentajan on hankittava ja päivitettävä oikeushenkilöä koskevan tunnistuspalvelun tarjoamiseksi tarvitsemansa tiedot yritys- ja yhteisörekistereistä. Patentti- ja rekisterihallituksen ylläpitämistä rekistereistä säädetään kaupparekisterilaissa (129/1979), säätiölaissa (487/2015) sekä yhdistyslaissa (503/1989) ja yhdistysrekisteriasetuksessa (506/1989). Patentti- ja rekisterihallituksen kauppa- säätiö- ja yrityskiinnitysrekisterien hinnat perustuvat lakiin patentti- ja rekisterihallituksen suoritteista perittävistä maksuista (1032/1992).
8 §. Sähköisen tunnistamisen järjestelmälle asetettavat vaatimukset. Pykälää ehdotetaan muutettavaksi. Sen 1 momentissa luetellaan neljä tekijää, jotka ovat edellytyksenä sille, että tunnistuspalvelua tarjoavaa tunnistusjärjestelmää voidaan pitää vahvana. Koska vahvalta sähköiseltä tunnistamiselta vaadittaisiin järjestelmien turvallisuuden osalta samoja edellytyksiä kuin EU:ssa vaaditaan, pykälä sisältäisi viittauksia eIDAS-asetuksen nojalla annettuun komission täytäntöönpanoasetukseen. Teknisten vähimmäiseritelmien ja –menettelyjen vahvistamisesta sähköisen tunnistamisen menetelmien varmuustasoja varten sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/2014 8 artiklan 3 kohdan mukaisesti annettu komission täytäntöönpanoasetus (EU) 2015/1502 (jäljempänä sähköisen tunnistamisen varmuustasoasetus) sisältää tunnistamisjärjestelmien eri varmuustasoille asetetut vaatimukset.
Ehdotetun 1 kohdan mukaan tunnistusmenetelmän perustana on oltava huolellinen ensitunnistaminen, jota koskevat tiedot ovat jälkikäteen tarkastettavissa. Ensitunnistaminen on määritelty 2 §:n 1 momentin 8 kohdassa ja siitä säädetään 17 ja 17 a §:ssä. Lain 24 §:n mukaan tunnistusvälineen tarjoajan on tallennettava tarvittavat tiedot ensitunnistamisesta sekä siinä käytetystä asiakirjasta.
Ehdotetun 2 kohdan mukaan tunnistusmenetelmällä on voitava yksiselitteisesti tunnistaa tunnistusvälineen haltija, niin kuin sähköisen tunnistamisen varmuustasoasetuksen liitteen kohdissa 2.1.2, 2.1.3 ja 2.1.4 edellytetään vähintään korotetulta varmuustasolla.
Ehdotetun 3 kohdan mukaan tunnistusmenetelmällä on voitava sähköisen tunnistamisen varmuustasoasetuksen liitteen kohdassa 2.3 vähintään korotetulla varmuustasolla edellytetyllä luotettavuudella varmistua, että ainoastaan tunnistusvälineen haltija voi käyttää välinettä.
Ehdotetun 4 kohdan mukaan tunnistusjärjestelmä tulee olla sähköisen tunnistamisen varmuustasoasetuksen liitteessä kohdassa 2.2.1, 2.3.1 ja 2.4.6 määritellyllä tavalla turvallinen ja luotettava ottaen huomioon kulloinkin käytettävissä olevaan tekniikkaan liittyvät tietoturvallisuusuhat ja palvelun tarjoamiseen käytettävien tilojen tulee turvallisia sähköisen tunnistamisen varmuustasoasetuksen liitteessä kohdassa 2.4.5 määritellyllä tavalla.
Ehdotetun 5 kohdan mukaan tietoturvallisuuden hallinnasta tulee olla huolehdittu sähköisen tunnistamisen varmuustasoasetuksen liitteen kohdan 2.4 johdantokappaleen ja kohdassa 2.4.3 ja 2.4.7 vähintään korotetulla varmuustasolla määritellyllä tavalla. Kohdassa 2.4.3 säädetään, että tietoturvallisuuden hallintajärjestelmässä noudatetaan vakiintuneita standardeja tietoturvaan liittyvien riskien hallintaa ja valvontaa varten. Kohdassa 2.4.7 korotetulla varmuustasolla edellytetään määräajoin tehtäviä riippumattomia sisäisiä tai ulkoisia tarkastuksia kattaen kaikki merkitykselliset toimintalohkot. Näistä tarkastuksista säädetään ehdotetussa 29 §:ssä.
Tietoturvallisuuden hallinnasta säädetään sähköisen tunnistamisen varmuustasoasetuksen liitteen kohdassa 2.4.3. korotetulla varmuustasolla edellytetään, että tunnistamispalvelun tarjoajalla on käytössään tehokas tietoturvallisuuden hallintajärjestelmä tietoturvaan liittyviä riskien hallintaa ja valvontaa varten. Lisäksi tietoturvallisuuden hallintajärjestelmässä tulee noudattaa vakiintuneita standardeja tietoturvaan liittyviä riskien hallintaa ja valvontaa varten.
Ehdotettu 2 momentti olisi saman sisältöinen kuin voimassa olevassa laissa. Voimassa olevan 8 §:n 3 momentissa oleva Viestintäviraston valtuus antaa tarkempia teknisiä määräyksiä siirrettäisiin ehdotettuun 42 §:ään. Viestintäviraston valtuus antaa teknisiä määräyksiä olisi nykyistä tarkemmin määritelty niin, että se kohdistuisi enää 1 momentin 4 ja 5 kohdassa mainittuihin asioihin.
8 a §. Tunnistusmenetelmässä käytettävät todentamistekijät. Ehdotetun 1 momentin mukaan tunnistusmenetelmässä olisi käytettävä vähintään kahta luetelluista todentamistekijöistä. Ehdotettua säännöstä vastaava säännös sisältyy voimassa olevan lain 2 §:n määritelmään vahvasta sähköisestä tunnistamisesta. Ehdotettu 1 momentin säännös sisältyy myös sähköisen tunnistamisen varmuustasoasetukseen. Ehdotettu säännös on kirjoitettu teknologianeutraalisti. Tiedossa oloon perustuvalla todentamistekijällä tarkoitetaan jotain, jonka henkilön on osoitettava olevan tiedossaan, esimerkiksi salasana. Hallussapitoon perustuvalla todentamistekijällä tarkoitetaan jotain, joka henkilöllä on oltava hallussaan, esimerkiksi avainlukulista, sirukortti tai mobiilivarmenne. Luontainen todentamistekijä perustuu johonkin luonnollisen henkilön fyysiseen ominaisuuteen, esimerkiksi sormenjälkeen.
Ehdotetun 2 momentin mukaan jokaisessa tunnistusmenetelmässä on käytettävä sähköisen tunnistamisen varmuustasoasetuksessa kohdassa 2.3.1 tarkoitettua sellaista dynaamista todentamista, joka voidaan muuttaa jokaisessa uudessa henkilön ja hänen henkilöllisyytensä varmentavan järjestelmän välillä tapahtuvassa todentamistapahtumassa. On arvioitu, että nykyiset vahvat sähköiset tunnistusvälineet täyttävät tämän vaatimuksen.
9 §. Tunnistuspalvelun tarjoajalle asetettavat vaatimukset. Pykälän 1 momenttia ehdotetaan muutettavaksi siten, että tunnistuspalvelun tarjoajana ei voisi olla enää luonnollinen henkilö, vaan vain oikeushenkilö. Näin sääntely olisi yhdenmukainen sähköisen tunnistamisen varmuustasoasetuksen liitteen kohdan 2.4.1 ensimmäisen alakohdan kanssa. Käytännössä jo nyt tunnistamislain 13 §:n edellyttämä riittävien taloudellisten voimavarojen vaatimus on johtanut siihen, että luonnolliset henkilöt eivät ole toimineet tunnistuspalvelun tarjoajina. Ehdotetun 1 momentin mukaan tunnistuspalvelun tarjoajana oleva oikeushenkilö tai sen lukuun toimiva luonnollinen henkilö, palveluntarjoajana oleva yhteisö tai säätiön hallituksen tai hallintoneuvoston jäsen ja varajäsen, toimitusjohtaja, vastuunalainen yhtiömies sekä muussa näihin rinnastettavassa asemassa olevan on oltava täysi-ikäisiä, he eivät saa olla konkurssissa ja heidän toimintakelpoisuutensa ei saa olla rajoitettu. Käytännössä toimintakelpoisuuden rajoitukset voivat olla seurausta esimerkiksi vajaavaltaisuudesta.
Sähköisen tunnistamisen varmuustasoasetuksen liitteen 2.4.1 kohta edellyttää, että tunnistamispalvelun tarjoajat ovat oikeushenkilöitä. Muutoin 1 momentti vastaa asiallisesti voimassa olevaa 1 momenttia (HE 36/2009 vp).
10 §.Tunnistuspalvelun tarjoajan velvollisuus ilmoittaa toiminnan aloittamisesta. Ehdotuksen mukaan pykälän 2 momenttiin lisättäisiin uusi 5 kohta sekä 4 momenttiin sisältyvä Viestintäviraston valtuutus antaa määräyksiä siirrettäisiin lain 42 §:ään, minne koottaisiin Viestintäviraston valtuudet antaa määräyksiä. Selvyyden vuoksi koko pykälä ehdotetaan muutettavaksi.
Pykälän 1 momentin mukaan Suomeen sijoittautuneen tunnistuspalvelun tarjoajan on ennen toiminnan aloittamista tehtävä kirjallinen ilmoitus Viestintävirastolle. Ilmoituksen voi tehdä myös sellainen tunnistusvälineen tarjoajien yhteenliittymä, jonka hallinnoimaa palvelua on pidettävä yhtenä tunnistuspalveluna. Ehdotuksen mukaan pykälän 2 momenttiin lisättäisiin uusi 5 kohta, jonka mukaan tunnistuspalvelun tarjoajan ilmoituksessa tulisi olla myös tiedot sovelletusta arviointimenettelystä ja arvioinnin tulokset. Ehdotetussa lain 4 luvussa säädetään tunnistamispalvelun tarjoajien arviointielimien pätevyydestä sekä minkä tyyppistä arviointielintä eri palveluissa on käytettävä. Niistä vaatimuksista, joita vasten lain mukainen arviointielin arvioi tunnistuspalvelun, säädetään laissa ja tarvittaessa vaatimuksia tarkennetaan Viestintäviraston määräyksellä.
Voimassa olevan lain 10 §:n 4 momenttiin sisältyy valtuus Viestintävirastolle antaa määräyksiä 10 §:ssä tarkoitettujen ilmoitettavien tietojen tarkemmasta sisällöstä. Tämä valtuutus ehdotetaan siirrettäväksi 42 §:ään. Viestintävirasto voisi määräyksessään ottaa huomioon sen, että 12 a §:stä johtuen markkinoille on tulossa uusia tunnistusvälityspalvelun tarjoajia ja olisi valvontatoiminnan kannalta tarkoituksenmukaista edellyttää, että tunnistuspalvelun tarjoaja ilmoittaa erilaisia yleisiä tietoja tarjoamistaan palveluista. Viestintävirasto voisi määräyksessään edellyttää tarpeellisia tietoja tarjottavista palveluista, esimerkiksi toimiiko palveluntarjoaja tunnistusvälineiden tarjoajana tai/ja tunnistamisen välityspalvelun tarjoajana. Lisäksi valvontatoiminnan kannalta olisi tarpeellista, että palveluntarjoaja ilmoittaisi millä sähköisen tunnistamisen varmuustasoasetuksessa määritellyillä varmuustasoilla (matala, korotettu, korkea) palveluntarjoaja tarjoaa tunnistuspalveluja.
Ehdotetun lakimuutoksen voimaan tuloa koskevan säännöksen mukaan Viestintäviraston voimassa olevan lain nojalla antamat määräykset ovat voimassa siihen saakka, kunnes uudet määräykset muutetun 42 §:n nojalla on annettu.
13 §.Tunnistuspalveluntarjoajan yleiset velvollisuudet. Pykälän 1 momenttia ehdotetaan muutettavaksi siten, että tunnistuspalvelun tarjoajan, tietojen säilyttämistä, henkilökuntaa ja alihankintana käyttämiä palveluja koskevat vaatimukset vastaavat EU:n sähköisen tunnistamisen varmuustasoasetuksessa säädettyjä vähintään korotetulle varmuustasolle asetettuja vaatimuksia. Ehdotetut velvoitteet koskevat niin tunnistusvälineiden tarjoajia kuin tunnistusvälityspalvelun tarjoajia.
Tietojen säilyttämisen osalta tulee noudattaa sähköisen tunnistamisen varmuustasoasetuksen liitteen kohdan 2.4.4 vaatimuksia. Tunnistamiseen liittyvät tiedot tulee kirjata ja säilyttää käyttämällä tehokasta tiedonhallintajärjestelmää. Tiedot säilytetään ja suojataan siihen asti, kun tiedot hävitetään turvallisesti.
Tunnistamispalvelun tarjoajan tilojen ja henkilökunnan sekä mahdollisten alihankkijoiden tulee täyttää sähköisen tunnistamisen varmuustasoasetuksen liitteen kohdan 2.4.5 vaatimukset. Tunnistuspalvelun tarjoajan on huolehdittava siitä, että sen palveluksessa olevalla henkilöstöllä ja alihankkijoilla on harjoitetun toiminnan laajuuteen nähden riittävä asiantuntemus, kokemus ja pätevyys. Käytössä on oltava riittävästi henkilöstöä ja alihankkijoita, jotta palvelua voidaan toteuttaa asianmukaisesti. Palveluun käytettävien tilojen on oltava jatkuvasti valvottuja ja suojattuja tekijöiltä, jotka voivat vaikuttaa palvelun turvallisuuteen. Palvelun tarjoamiseen käytetyissä tiloissa varmistetaan, että pääsy alueille, joilla säilytetään tai käsitellään henkilötieoja tai salattuja tietoja, rajoitetaan kulku valtuutetulle henkilöstölle tai alihankkijoille.
14 §.Tunnistusperiaatteet. Pykälän 1 ja 2 momenttia ehdotetaan muutettavan. 3 momentin ruotsinkielistä kieliasua tarkastetaan. 4 momenttia ei muutettaisi. 1 momenttia ehdotetaan täsmennettävän niin, että erityisesti tunnistusvälineen tarjoajan on määriteltävä tunnistusperiaatteissa tarkemmin, kuinka se toteuttaa 17 ja 17 a §:ssä tarkoitetun tunnistamisen tunnistusvälinettä myönnettäessä.
Voimassa olevan lain 2 momentissa luetellaan ne keskeiset tiedot, jotka tunnistusperiaatteissa on annettava. Muutetussa 2 momentissa uusia kohtia ovat 3, 4 ja 6 kohdat ja muut kohdat vastaavat voimassa olevaa lakia (HE 36/2009). Selvyyden vuoksi koko 2 momenttia ehdotetaan muutettavaksi.
Ehdotetun 3 kohdan mukaan tunnistusperiaatteissa tulee antaa kaikki tiedot sovellettavista ehdoista ja 4 kohdan mukaan palveluun liittyvistä tietosuojaperiaatteista. Vaatimuksen perustuvat sähköisen tunnistamisen varmuustasoasetuksen liitteen kohtaan 2.4.2.
Uutena vaatimuksena tunnistusperiaatteissa annettavina keskeisinä tietoina olisivat 6 kohdan mukaan tiedot 4 luvun mukaisesta riippumattoman arviointilaitoksen tai muun arviointielimen tekemästä arvioinnista. Ehdotetun siirtymäsäännöksen mukaan tunnistuspalvelun tarjoajan tulee toimittaa arviointikertomus suoritetusta riippumattomasta tunnistuspalvelun arvioinnista ja tiedot muuttuneista 14 §:ssä tarkoitetuista tunnistusperiaatteista Viestintävirastolle 31 päivään tammikuuta 2017 mennessä. Tunnistusperiaatteet muuttuvat, kun tunnistuspalvelun tarjoaja aloittaa toimintansa luottamusverkostossa.
15 §.Tunnistusvälineen tarjoajan tiedonantovelvollisuus ennen sopimuksen tekemistä. Pykälän otsikko ja 1 momentin johdantokappale ehdotetaan muutettavaksi selvyyden vuoksi niin, että pykälässä säädetyt velvollisuudet koskevat vain tunnistusvälineen tarjoajaa.
16 §.Tunnistuspalvelun tarjoajan velvollisuus ilmoittaa toimintaan ja tietojen suojaamiseen kohdistuvista uhkista tai häiriöistä. Pykälän otsikkoa sekä 1 momenttia ehdotetaan muutettavaksi. Pykälään ehdotetaan lisättäväksi 4 ja 5 momentti. Voimassa olevat 2 ja 3 momentti säilyisivät ennallaan. Selvyyden vuoksi koko pykälä ehdotetaan muutettavaksi. Voimassa olevan lain 16 §:ssä säädetty ilmoitusvelvollisuus koskee tietoturvaan ja tietojen suojaamiseen kohdistuvia uhkia tai häiriöitä. Pykälää ehdotetaan muutettavan siten, että ilmoitusvelvollisuus koskee tunnistuspalvelun toimivuuteen, tietoturvaan tai sähköisen identiteetin käyttöön kohdistuvia merkittäviä uhkia tai häiriöitä.
Ehdotettu pykälä laajentaisi tunnistuspalveluntarjoajan ilmoitusvelvollisuuden myös muille luottamusverkostossa toimiville sopimuspuolille. Jatkossa Viestintävirasto voisi teknisesti välittää tässä pykälässä tarkoitettuja toimijoiden välisiä ilmoituksia luottamusverkostossa toimiville tunnistuspalveluiden tarjoajille. Koska tietoihin sisältyy salassa pidettäviä tietoja, jotka Viestintäviraston tulisi arvioida ja käsitellä viranomaisten toiminnan julkisuudesta annetun lain (621/1999), jäljempänä julkisuuslain salassapitosäännösten mukaan, lakiin on lisätty myös säännös, jonka mukaan Viestintävirasto voi luovuttaa tiedot luottamusverkostossa ilmoittajan lukuun sen estämättä, mitä julkisuuslaissa säädetään. Viestintävirasto tarjoaisi siis ainoastaan teknisen alustan luottamusverkoston tiedonvaihdolle, mutta ei tarkistaisi tai arvioisi tiedon luovutuksen perusteita, vaan se olisi luovuttajan vastuulla. Luovuttajan vastuulla olisi myös teknisessä välitysjärjestelmässä yksilöidä ne luottamusverkoston jäsenet, joille tiedot sen sopimuspuolina tai muutoin välitetään. Häiriöilmoitukset, jotka toimijat tekevät valvovalle viranomaiselle Viestintävirasto käsittelisi julkisuuslain mukaisesti saamansa häiriöilmoitukset, muodostaisi niiden perusteella tilannekuvaa palveluiden yleisestä tilanteesta sekä arvioisi, onko toiminta täyttänyt säädetyt vaatimukset.
Ehdotetun 4 momentin mukaan tunnistuspalvelun tarjoaja saisi käyttää tämän pykälän nojalla saatuja toista tunnistuspalvelun tarjoajaa koskevia tietoja vain tässä pykälässä tarkoitettuihin uhkiin tai häiriöihin varautumiseen. Tietoja saisivat luottamuspalvelun tarjoajan palveluksessa käsitellä ainoastaan ne, jotka tarvitsevat tietoja välttämättä työssään. Tietoja olisi muutoinkin käsiteltävä siten, ettei toisen tunnistuspalvelun tarjoajan liikesalaisuuksia ja toiminnan tietoturvallisuutta vaaranneta.
Ehdotetun 5 momentin mukaan tunnistuspalvelun tarjoaja, joka aiheuttaa 4 momentin vastaisella menettelyllä vahinkoa toiselle tunnistuspalvelun tarjoajalle, olisi velvollinen korvaamaan menettelystään aiheutuvan vahingon.
17 §.Tunnistusvälineen hakijana olevan luonnollisen henkilön tunnistaminen. Pykälän otsikkoa ehdotetaan muutettavaksi siksi, että se koskisi jatkossa vain luonnollisen henkilön tunnistamista.
Voimassa olevan 1 momentin mukaan ensitunnistaminen on tehtävä henkilökohtaisesti, jos tunnistusvälineen hakijalla ei ole aikaisempaa vahvaa sähköistä tunnistusvälinettä. Jos hakijalla on jo käytössään vahva sähköinen tunnistusväline, uutta vahvaa sähköistä tunnistamisvälinettä on voinut hakea jo olemassa olevalla vastaavan tasoisella tunnistusvälineellä.
Ehdotetun 17 §:n 1 momentissa säädettäisiin henkilön ensitunnistamisessa ennen vahvan sähköisen tunnistusvälineen myöntämistä. Ehdotetussa 1 momentissa viitattaisiin EU:n sähköisen tunnistamisen varmuustasoasetuksen liitteen kohtaan 2.1.2, jossa säädetään luonnollisen henkilön henkilöllisyyden todistamisesta ja varmentamisesta silloin kun henkilö hakee korotetun tai korkean varmuustason sähköistä tunnistusvälinettä. Ehdotetun 1 momentin mukaan säännöksiä sovellettaisiin myös Suomessa tarjottaviin vahvoihin sähköisiin tunnistusvälineisiin, vaikka niitä ei ilmoitettaisikaan EU:lle niin sanotuiksi rajat ylittäviksi tunnistusvälineiksi.
Korotetulla varmuustasolla sähköisen tunnistamisen varmuustasoasetuksessa säädetään neljästä tunnistusvälineen tarjoajalle vaihtoehtoisesta tavasta tehdä henkilön ensitunnistaminen. Ehdotetun 1 momentin mukaan kaikkia näitä neljää tapaa voisi käyttää myös Suomessa tarjottavien tunnistusvälineiden ensitunnistamisessa. Liitteen kohdan 2.1.2 kahdessa ensimmäisessä vaihtoehtoisessa tavassa henkilö tunnistetaan henkilöllisyystodistuksen perusteella joko henkilökohtaisesti tai sähköisesti. Sähköisesti henkilö voidaan tunnistaa henkilöllisyystodistuksen perusteella etänä tai koneellisesti. Henkilöllisyyden varmentamisessa hyväksyttävistä asiakirjoista säädettäisiin pykälän 2 momentissa.
Sähköisen tunnistamisen varmuustasoasetuksen liitteen kohdan 2.1.2. kolmannessa vaihtoehdossa henkilön tunnistaminen perustuu henkilöllisyyden varmentamiseen vastaavalla varmuudella niin sanotun aikaisemman asiakkuuden tai aikaisemman tuntemisen perusteella. Tällöin luonnollisen henkilön henkilöllisyyden varmentaminen voi perustua julkisen tai yksityisen tunnistusvälineen tarjoajan aiemmin muuhun tarkoitukseen kuin vahvan sähköisen tunnistusvälineen myöntämiseen käyttämään menettelyyn, jonka Viestintävirasto hyväksyy sitä koskevien säännösten ja viranomaisvalvonnan perusteella tai tämän lain 28 §:n 1 momentin 1 kohdassa tarkoitetun vaatimustenmukaisuuden arviointilaitoksen vahvistuksen perusteella. Menettely, jossa henkilön tunnistamisen perustuisi ns. aikaisempaan asiakkuuteen, edellyttäisi Viestintäviraston hyväksyntää. Menettely voisi soveltua esimerkiksi pankkeihin, joille rahanpesulaissa 503/2008 on säädetty velvollisuus varmentaa asiakkaan henkilöllisyys luotettavasta ja riippumattomasta lähteestä peräisin olevien asiakirjojen tai tietojen perusteella. Pankkien toimintaa niitä koskevan rahanpesulainsäädännön perusteella valvoo Finanssivalvonta. Aikaisempaan tuntemiseen perustuva menettely voisi soveltua myös poliisin myöntämällä henkilökortilla olevan Väestörekisterikeskuksen sähköisen tunnistamisvarmenteen myöntämiseen, joka ehdotetaan henkilökorttia koskevan tekeillä olevan lainmuutoksen mukaan myönnettäväksi tietyillä edellytyksillä samalla tavalla kuin itse henkilökortti ilman henkilökohtaista henkilöllisyystodistuksen esittämistä.
Sähköisen tunnistamisen varmuustasoasetuksen liitteen kohdan 2.1.2. neljännessä vaihtoehdossa henkilö tunnistetaan henkilöllä jo aikaisemmin olevan vastaavan varmuustason sähköisellä tunnistusvälineellä.
Pykälän 2 momenttia muutettaisiin siten, että silloin kun henkilön ensitunnistamisessa henkilön tunnistaminen perustuu yksinomaan viranomaisen myöntämään henkilöllisyyttä osoittavaan asiakirjaan, tarjoaja ei voisi enää varmentaa henkilön henkilöllisyyttä pelkästään Suomen tai muun Euroopan talousalueen jäsenvaltion viranomaisen myöntämästä ajokortista.. Säännökseen liittyisi siirtymäaika vuoden 2018 loppuun. Vuodesta 2019 alkaen tunnistamisvälinettä ei voisi enää myöntää siten, että henkilön henkilöllisyyden varmentamisessa käytetään pelkästään ajokorttia. Käytännön muutos on tarpeellinen sen vuoksi, ettei ajokorttia enää voida pitää todistuksena henkilöllisyydestä, vaan todistuksena ajo-oikeudesta.
Voimassa olevan 17 §:n 3 momentin mukaan tapauksissa, joissa tunnistusvälineen hakijan henkilöllisyyttä ei voida luotettavasti todentaa, hakemukseen liittyvän ensitunnistamisen tekee poliisi. Tätä 3 momentin säännöstä ei muutettaisi.
17 a §Tunnistusvälineen hakijana olevan oikeushenkilön tunnistaminen Oikeushenkilön ilmoitettu henkilöllisyys varmennettaisiin Patentti- ja rekisterihallituksen ylläpitämästä kauppa-, yhdistys- tai säätiörekisteristä. Lisäksi on noudatettava EU:n varmuustasoasetuksen liitteen kohdassa 2.1.3 vähintään korotetulle varmuustasolle asetettuja vaatimuksia.
20 §.Tunnistusvälineen myöntäminen. Pykälän 3 momenttia ehdotetaan muutettavan johtuen EU:n sähköisen tunnistamisen varmuustasoasetuksesta. Myös pykälän otsikkoa ehdotetaan muutettavaksi selkeyden vuoksi. Lain tarkoittaman tunnistusvälineen on voinut tähän asti myöntää vain luonnolliselle henkilölle, mutta eIDAS-asetuksessa mahdollistetaan tunnistusvälineen myöntäminen oikeushenkilölle ja se ehdotetaan säädettäväksi nyt mahdolliseksi myös kansallisesti. Luonnollisen henkilön ja oikeushenkilön tunnistusvälineiden kytkös on toteutettava EU:n sähköisen tunnistamisen varmuusasetuksen liitteen kohdan 2.1.4 mukaisesti. Varmuustasoasetuksen mukaan varmistetaan, että oikeushenkilön puolesta toimivan luonnollisen henkilön henkilöllisyys on todistettu korotetulla tai korkealla varmuustasolla siten, kuin varmuustasoasetuksessa säädetään. Toisin sanoen oikeushenkilön tunnisteeseen kytketyn luonnollisen henkilön sähköisen tunnisteen täytyy täyttää varmuustasoasetuksen vaatimukset. Oikeushenkilön ja luonnollisen henkilön kytköksen täytyy olla kirjattu ja varmennettu jossain kansallisesti tunnustetussa luotettavassa lähteessä. Tällaisena luotettavana lähteenä voidaan Suomessa nähdä ainakin patentti- ja rekisterihallituksen ylläpitämät yritys- ja yhteisörekisterit siltä osin, kun niihin merkitään luonnollisten henkilöiden oikeuksia edustaa yritystä tai yhteisöä. Varmuustasoasetuksessa edellytetään lisäksi, että kytköksen voimassaolo on voitava keskeyttää tai peruuttaa ja että luonnollinen henkilö voi siirtää kytköksen toteuttamisen toiselle henkilölle kansallisesti hyväksyttyjen menettelyjen mukaisesti. Oikeushenkilön sähköisiin tunnistusvälineisiin liittyviä menettelytarpeita on toistaiseksi vaikea ennakoida, joten lakiin ei ehdoteta tässä vaiheessa tarkempia menettelysäännöksiä. Tarvittaessa toiminnassa voidaan tukeutua oikeushenkilön ja luonnollisen henkilön suhdetta koskevaan muuhun sääntelyyn.
Tunnistusväline myönnetään aina luonnolliselle henkilölle tai oikeushenkilölle. Tunnistusvälineen on oltava henkilökohtainen, millä tarkoitetaan tässä siis myös oikeushenkilöä. Luonnollisen henkilön tunnistusvälineeseen voidaan edelleen tarvittaessa liittää tieto siitä, että henkilö voi tapauskohtaisesti myös edustaa toista luonnollista henkilöä tai oikeushenkilöä. Tämä soveltuisi siis jollain tapaa erikseen määriteltyihin tapauksiin, mutta edellä kuvattu oikeushenkilön tunnistusväline ja luonnollisen henkilön tunnistusvälineen kytkös siihen olisi pysyväisluonteinen ja lähtökohtaisesti asioinnin kannalta sisällöltään rajoittamaton ratkaisu.
21 §.Tunnistusvälineen luovuttaminen hakijalle. Esityksessä ehdotetaan muutettavan 21 §:ää siten, että tunnistusvälineen tarjoajan on EU:n sähköisen tunnistamisen varmuustasoasetuksen liitteen kohdan 2.2.2 mukaisesti riittävällä tavalla varmistettava, ettei tunnistusväline joudu oikeudettomasti toisen haltuun välinettä luovutettaessa. EU:n sähköisen tunnistamisen varmuustasoasetuksessa esimerkiksi varmuustasolla korotettu edellytetään, että tunnistusväline toimitetaan käyttäen mekanismia, jonka kautta se voidaan olettaa toimitettavan vain sen henkilön haltuun, jolle se kuuluu. .
22 §.Tunnistusvälineen uusiminen. Esityksessä ehdotetaan muutettavan 22 §:ää siten, että pykälä tarkennetaan koskemaan tunnistusvälineen tarjoajaa, joka uusii asiakkaalleen antaman tunnistusvälineen. Pykälään ehdotetaan otettavaksi viittaus EU:n sähköisen tunnistamisen varmuustasoasetuksen liitteen kohtaan 2.2.4 vähintään korotetulle varmuustasolle asetettuihin vaatimuksiin. Liitteen kohdassa 2.2.4 on erilaiset vaatimukset koskien varmuustasoja korotettu ja korkea, joita varmuustasoja ehdotetun lain mukaan on noudatettava vahvassa sähköisessä tunnistamisessa Suomessa.
24 §. Tunnistustapahtumaa ja tunnistusvälinettä koskevien tietojen tallentaminen ja käyttö. Pykälässä säädetään tiedoista, jotka ovat tarpeen esimerkiksi, jos joudutaan jälkikäteen selvittämään tunnistamistapahtumaan tai tunnistuspalvelua käyttävän palveluntarjoajan ja tunnistusvälineen haltijan välillä tehtyyn oikeustoimeen liittyviä seikkoja. Verrattuna voimassa olevaan 24 §:ään pykälää muutetaan niin, että 1 momentissa tietojen tallentamisvelvoitteet määritellään tunnistamispalvelun tarjoajalle eli velvoitteet koskevat niin tunnistusvälineiden tarjoajia kuin tunnistusvälityspalvelun tarjoajia. Ehdotetun 2 momentin velvoitteet koskevat vain tunnistusvälineen tarjoajia.
Pykälän 1 momentin mukaan tunnistuspalvelun tarjoajan on tallennettava yksittäisen tunnistustapahtuman todentamiseksi tarvittavat tiedot. Ehdotetussa 1 kohdassa tarkoitetuilla tunnistamistapahtumaan liittyvillä tiedoilla tarkoitetaan sitä, mitä tunnistuspalveluntarjoaja ilmoittaa tunnistuksen yhteydessä tunnistuspalvelua käyttävälle palveluntarjoajalle eli tunnistukseen luottavalle osapuolelle, ja mihin seikkoihin tämä ilmoitus perustui. Lisäksi näihin tietoihin sisältyvät muun muassa kellonaika ja päivämäärä.
Edelleen 2 kohdan mukaan tunnistamisvälineen tarjoajan on tallennettava tiedot 18 §:ssä tarkoitetuista tunnistusvälineen käyttöön mahdollisesti liittyvistä estoista ja käyttörajoituksista. Ehdotettu säännös takaa sen, että mahdolliset 18 §:ssä tarkoitetut käyttörajoitukset ovat selvitettävissä vielä jälkikäteenkin. Myös niiden osalta kyse lienee useimmiten vastuusuhteiden selvittämisestä.
Ehdotetun 1 momentin 3 kohdan mukaan tunnistuspalvelun tarjoajan on tallennettava varmenteen osalta 19 §:ssä tarkoitettu varmenteen tietosisältö. Säännös vastaa voimassa olevaa säännöstä.
Pykälän 2 momentin mukaan tunnistamisvälineen tarjoajan on tallennettava tarvittavat tiedot 17 tai 17 a §:ssä tarkoitetusta hakijan ensitunnistamisesta sekä ensitunnistamisessa käytetystä asiakirjasta tai sähköisestä ensitunnistamisesta. Tarvittavat tiedot voivat olla esimerkiksi passin tai henkilökortin numero. Joissakin tilanteissa voi olla tarpeen säilyttää valokopio käytetystä asiakirjasta. Asian todentaminen jälkikäteen saattaa olla tarpeen, jos tunnistusväline on annettu väärälle henkilölle. Ehdotetussa 17 §:ssä tarkoitetun prosessin selvittäminen saattaa olla tarpeen muun muassa sen selvittämiseksi, mikä taho vastaa mahdollisesti aiheutuneista vahingoista, jos osoittautuu, että tunnistusväline on annettu väärälle henkilölle. Valtionhallinnossa on vireillä hanke, jonka tarkoitus on mahdollistaa se, että tunnistusvälineen tarjoaja voisi tarkistaa, onko sille esitetty henkilöasiakirja ilmoitettu varastetuksi tai kadonneeksi.
Ehdotettu 3 momentti sisältää säännökset tallentamisajasta. Sen mukaan 1 momentin 1 kohdassa tarkoitetut tiedot on tallennettava 5 vuoden ajan tunnistustapahtumasta. Muut 1 ja 2 momentin nojalla tallennettavat tiedot on puolestaan tallennettava viiden vuoden ajan vakituisen asiakassuhteen päättymisestä. Ehdotetut tallentamisajat vastaavat voimassa olevan lain säännöksiä ja kuluttajan suojaksi annetun säännöstön ja rahapesusäännösten vaatimuksia. Samalla se merkitsee sitä, että tunnistuspalvelun tarjoajan on säilytettävä varsin suuri määrä tietoa. Joissakin tapauksissa tietojen säilyttäminen on luonnollisesti myös palveluntarjoajan omien etujen mukaista.
Pykälän 4 momentin mukaan tunnistustapahtuman yhteydessä syntyneet henkilötiedot on hävitettävä tunnistustapahtuman jälkeen, ellei tallentaminen ole välttämätöntä 1 momentin 1 kohdan mukaisesti yksittäisen tunnistustapahtuman todentamiseksi. Säännöksen avulla pyritään vähentämään palveluntarjoajan järjestelmiin tallentuvan henkilötiedon määrää.
Pykälän 5 momentti sisältää tietojen käsittelyn tarkoitusta koskevan rajoituksen. Tunnistuspalvelun tarjoaja saa käsitellä tietoja omien tarpeidensa johdosta ainoastaan palvelun toteuttamiseksi ja ylläpitämiseksi, laskutusta varten sekä omien oikeuksiensa turvaamiseksi. Jälkimmäisessä tilanteessa on kyse riitatilanteesta. Tämän lisäksi tunnistuspalveluntarjoaja saa käsitellä tietoja väärinkäytöstilanteissa ja silloin, jos se saa käsittelyä koskevan pyynnön joko tunnistuspalvelua käyttävältä palveluntarjoajalta tai tunnistusvälineen haltijalta tai molemmilta. Tällöin kysymys lienee siitä, että näiden kahden välillä on epäselvyyttä jostakin tunnistamistapahtumasta ja siihen mahdollisesti liittyvästä oikeustoimesta.
Ehdotetun säännöksen mukaan tunnistuspalvelun tarjoajan on tallennettava tieto tunnistustapahtuman käsittelyn ajankohdasta, syystä ja käsittelijästä. Esimerkiksi tietoyhteiskuntakaaren (917/2014) 145 § sisältää vastaavan säännöksen tunnistamistietojen käsittelyä koskevien tietojen tallentamisesta.
Pykälän 6 momentti koskee sellaista palveluntarjoajaa, joka ainoastaan laskee liikkeelle tunnistusvälineitä. Ehdotetun 1 momentin 1 kohdan mukainen tallennusvelvoite ei luonnollisestikaan koske tällaista palveluntarjoajaa, koska sillä ei ole kyseistä tietoa hallussaan. Pykälän 3 momentissa tarkoitettu viiden vuoden tallennusaika lasketaan tällöin välineen voimassaolon päättymisestä.
25 §Tunnistusvälineen peruuttamista tai käytön estämistä koskeva ilmoitus. Ehdotetuissa 1-3 momenttien säännöksiä on täsmennetty niin, että 1 momentissa tarkoitettu ilmoitus on tehtävä tunnistusvälineen tarjoajalle sekä että 2 ja 3 momenteissa säädetyt velvollisuudet koskevat tunnistusvälineen tarjoajaa eikä tunnistusvälityspalvelun tarjoajaa.
26 §Tunnistusvälineen tarjoajan oikeus peruuttaa tai estää tunnistusvälineenkäyttö. Voimassa olevan pykälän säännöksiä ehdotetaan täsmennettäväksi niin, että säännökset koskevat tunnistusvälineen tarjoajaa eikä tunnistusvälityspalvelun tarjoajaa.
IV luku Vaatimustenmukaisuuden arviointi
Lakiin ehdotetaan lukua, jossa säänneltäisiin sähköisten tunnistuspalveluiden, eIDAS-asetuksessa säänneltyjen luottamuspalvelujen tai niihin liittyvien välineiden tai tietojärjestelmien vaatimustenmukaisuuden arviointia sekä sertifiointia.
Luottamuspalveluiden vaatimustenmukaisuuden arviointia tekisivät Viestintäviraston hyväksymät vaatimustenmukaisuuden arviointilaitokset, joiden pätevyys on todettu arviointipalvelujen pätevyyden toteamisesta annetussa laissa (920/2005) säädetyllä menettelyllä eli akkreditoinnilla.
Vaatimustenmukaisuuden arviointia tekisivät myös tunnistuspalvelun tarjoajien teettämät riippumattomat ulkoiset ja sisäiset arviointilaitokset. Näitä laitoksia Viestintävirasto ei hyväksyisi etukäteen, mutta näidenkin arviointilaitosten tulee täyttää niille asetetut pätevyysvaatimukset.
28 §Vaatimustenmukaisuuden arviointielimet. Ehdotetun pykälän mukaan tämän lain mukaisen palvelun vaatimustenmukaisuuden voi arvioida Viestintäviraston hyväksymä vaatimustenmukaisuuden arviointilaitos, muun yleisesti käytetyn menetelmän (käytännössä standardin) mukaisesti toimiva ulkoinen arviointielin (muu ulkoinen arviointilaitos) tai palveluntarjoajan sisäinen yleisesti käytetyn standardin mukainen riippumaton arvioija (sisäinen tarkastuslaitos). Jälkimmäisin arviointielin kuuluisi siis samaan organisaatioon kuin arvioinnin kohde ja suorittaisi organisaation sisäistä, mutta riippumatonta arviointia.
Pykälän 1 kohdassa tarkoitetun vaatimustenmukaisuuden arviointilaitosten tehtävänä on arvioida sähköisestä tunnistamisesta ja luottamuspalveluista annetun EU:n asetuksen 20 ja 21 artiklan mukaisesti, täyttääkö arvioitava luottamuspalvelu edellä mainitussa asetuksessa ja sen nojalla annetuissa komission täytäntöönpanopäätöksissä hyväksytylle luottamuspalvelulle asetetut vaatimukset. Vaatimustenmukaisuuden arviointilaitos voi myös arvioida, täyttääkö tunnistuspalvelun tarjoajan palvelu sille säädetyt vaatimukset.
Pykälän 2 kohdassa tarkoitetun muun ulkoisen arviointilaitoksen ja 3 kohdassa tarkoitetun sisäisen tarkastuslaitoksen tehtävänä on arvioida tunnistuspalvelun vaatimustenmukaisuutta, josta säädetään 29 §:ssä.
29 §Sähköisen tunnistuspalvelun vaatimustenmukaisuuden arviointi. Ehdotetun 1 momentin mukaan tunnistuspalvelun tarjoajan tunnistusjärjestelmän vaatimustenmukaisuus on osoitettava 28 §:n 1, 2 tai 3 kohdassa mainitun arviointielimen tekemällä arvioinnilla. Käytännössä siis tässä laissa tarkoitettu tunnistuspalvelun tarjoajan tunnistuspalvelu tulisi olla vähintään palveluntarjoajan sisäisen tarkastuslaitoksen arvioima. Korkealla varmuustasolla edellytetään 8 §:n 1momentin 5 kohdan ja varmuustasoasetuksen liitteen kohdan2.4.7 mukaisesti ulkoisen arviointielimen tekemää arviointia.
Tässä esityksessä tarkoitus on, että Suomessa toimivalle vahvan sähköisen tunnistamisen tunnistusjärjestelmille asetetaan vähintään samat vaatimukset kuin EU-lainsäädäntö vaatii korotetun varmuustason tunnistusjärjestelmiltä.
Ehdotettu 1 momentin velvollisuus osoittaa tunnistusjärjestelmän vaatimustenmukaisuus koskee myös sähköisen tunnistamisen luottamusverkostossa toimivia tunnistusvälityspalvelun tarjoajia.
Ehdotetussa 1 momentissa säädettäisiin yleisellä tasolla vaatimustenmukaisuuden arvioinnissa käytettävistä kriteereistä. Vahvan sähköisen tunnistuspalvelun tulee täyttää tässä laissa säädetyt yhteentoimivuutta, tietoturvaa, tietosuojaa ja muuta luotettavuutta koskevat vaatimukset.
Ehdotetun 2 momentin mukaan EU:lle ilmoitettavan sähköisen tunnistamisen järjestelmän vaatimustenmukaisuuden arvioinnista säädetään eIDAS-asetuksessa ja sen nojalla annetussa EU:n sähköisen tunnistamisen varmuustasoasetuksessa. Jos tunnistuspalvelun tarjoaja haluaa tunnistusjärjestelmänsä ilmoitettavaksi EU:n komissiolle, sen on noudatettava kaikilta osin eIDAS-asetuksen ja sen nojalla annettujen täytäntöönpanosäädöksiä tunnistamisjärjestelmän vaatimustenmukaisuuden arvioinnista.
Ehdotetun 3 momentin mukaan Viestintävirasto määräisi vaatimustenmukaisuuden arvioinnissa käytettävistä arviointiperusteista 42 §:n nojalla. Viestintävirasto voisi määrätä arviointiperusteiksi edellä 1 ja 2 momenteissa tarkoitettujen säädösten lisäksi EU:n tai muun kansainvälisen toimielimen antamia säännöksiä ja ohjeita, julkaistuja ja yleisesti tai alueellisesti sovellettuja tietoturvallisuutta koskevia ohjeita ja yleisesti käytettyjä tietoturvallisuusstandardeja tai menettelyjä. Ehdotettu 3 momentin säännös rajoittaisi Viestintäviraston määräyksenantovaltuutta.
30 §.Sähköisentunnistamisen kansallisen solmupisteen vaatimustenmukaisuuden arviointi. Ehdotetun 1 momentin mukaan EU:n sähköisen tunnistamisen yhteentoimivuusjärjestelmään liittyvän kansallisen rajapinnan eli niin sanotun kansallisen solmupisteen vaatimustenmukaisuus on osoitettava 28 §:n 1 kohdassa tarkoitetun arviointilaitoksen tai 2 kohdassa tarkoitetun muun ulkoisen arviointielimen tekemällä arvioinnilla. Kansallista solmupistettä Suomessa ylläpitäisi Väestörekisterikeskus ehdotetun 42 c §:n nojalla. Kansallisen solmupiste välittää eIDAS-asetuksessa säädettyjä EU:n rajat ylittäviä tunnistamistapahtumia. Kansallinen solmupiste välittää vain tunnistamistapahtumia. Se ei liity sähköisten allekirjoitusten välitykseen tai muihin eIDAS-asetuksessa säädettyihin luottamuspalveluihin.
Viestintävirasto määräisi vaatimustenmukaisuuden arvioinnissa käytettävistä arviointiperusteista 42 §:n nojalla. Viestintäviraston antamien määräysten edellytykset olisivat samat kuin 29 §:ssä. Kansallisen solmupisteen vaatimuksista säädetään EU:n sähköisen tunnistamisen yhteentoimivuusasetuksessa (EU) 2015/1501. Kyseisen asetuksen 10 artiklan mukaan kansallisen solmupisteen on täytettävä ISO/IEC 27001 -standardien vaatimukset sertifioinnin tai vastaavien arviointimenetelmien perusteella tai noudattamalla kansallista lainsäädäntöä. Lisäksi asetuksen 5-9 artikloissa on säädetty vaatimuksia muun muassa tietosuojalle, yhteentoimivuudelle ja tietoturvallisuudelle.
31 §.Tarkastuskertomus. Ehdotetun pykälän mukaan tunnistuspalvelun tarjoajan on hankittava tunnistuspalvelun 29 §:n mukaisesta vaatimustenmukaisuuden arvioinnista tarkastuskertomus arvioinnin tehneeltä arviointielimeltä. Myös Väestörekisterikeskuksen on hankittava sähköisen tunnistamisen kansallisen solmupisteen vaatimustenmukaisuuden arvioinnista tarkastuskertomus. Tarkastuskertomukset on toimitettava Viestintävirastolle. Tarkastuskertomus on voimassa arvioinnissa käytetyn standardin määrittelemän ajan, kuitenkin enintään 2 vuotta.
32 § Luottamuspalvelun vaatimustenmukaisuuden vahvistaminen. Pykälässä säädettäisiin eIDAS-asetuksessa määriteltyjen hyväksyttyjen luottamuspalveluiden tarjoajien sekä niiden tarjoamien palveluiden arvioinnista. Edellä 28 §:n 1 momentissa tarkoitettu vaatimustenmukaisuuden arviointilaitos arvioisi hyväksytyn luottamuspalvelun vaatimustenmukaisuuden siten kuin sähköisestä tunnistamisesta ja luottamuspalveluista annetun EU:n asetuksen 20 artiklassa säädetään.
Ehdotetussa 2 momentissa säädettäisiin arvioinnissa käytettävistä arviointiperusteista. Luottamuspalveluiden vaatimuksista säädetään eIDAS-asetuksessa. Sen lisäksi Viestintävirasto voisi 42 §:n nojalla määrätä, että arviointiperusteina voidaan käyttää EU:n tai muun kansainvälisen toimielimen antamia säännöksiä ja ohjeita, julkaistuja ja yleisesti tai alueellisesti sovellettuja tietoturvallisuutta koskevia ohjeita ja yleisesti käytettyjä tietoturvastandardeja tai menettelyjä. Viestintäviraston määräys voi olla tarpeellinen selkeyttämään arviointikriteerejä, jos esimerkiksi EU:n komissio ei anna asiaa koskevia täytäntöönpanosäädöksiä, joihin sillä on eIDAS-asetuksen 20 artiklassa valtuutus. Lähtökohtaisesti arviointikriteereihin liittyviä standardeja valmistellaan tai osoitetaan muutoin EU:n tukemassa luottamuspalvelujen standardointityössä. Ehdotetun 42 §:n mukaan Viestintävirasto voisi antaa tarkempia määräyksiä 2 momentissa tarkoitetuista arviointiperusteista. Viestintäviraston määräyksenantovaltuutta rajaa 2 momentin kuvaus mahdollisista arviointiperusteiden lähteistä.
33 §.Arviointielintä koskevat yleiset vaatimukset. Arviointielimenpätevyysvaatimuksista säädettäisiin pykälän 1 momentissa. Ehdotetun 1 kohdan mukaan 28 §:ssä säädetyn arviointielimen tulee olla toiminnallisesti ja taloudellisesti riippumaton arvioinnin kohteista. Mikäli arviointielin on osa organisaatiota, jonka vaatimustenmukaisuutta se arvioi eli se toimii 28 §:n 3 kohdassa tarkoitettuna sisäisenä tarkastuslaitoksena, sen tulee olla tunnistettavissa kyseisen organisaation erillisenä yksikkönä ja sen ja toiminnot on voitava selkeästi erottaa muusta organisaatiosta. Lisäksi arviointielimen henkilökunnalla tulee olla hyvä tekninen ja ammatillinen koulutus sekä riittävän laaja-alainen kokemus arviointitoimintaan kuuluvissa tehtävissä. Arviointielimellä tulee olla arviointitoiminnan edellyttämät laitteet, tilat, välineet ja järjestelmät ja sillä tulee olla asianmukaiset ohjeet toimintaansa ja sen seurantaa varten. Viestintävirasto voisi 42 §:n 2 momentin 6 kohdan mukaan antaa tarvittaessa tarkempia määräyksiä 1 momentissa säädetystä arviointielimen pätevyydestä.
Ehdotetun 2 momentin mukaan 28 §:n 1 kohdassa tarkoitetun vaatimustenmukaisuuden arviointilaitoksen on osoitettava 1 momentin 1-3 kohdassa säädettyjen vaatimusten täyttäminen kansallisen akkreditointiyksikön akkreditoinnilla siten kuin asetuksessa (EY) 765/2008 ja vaatimustenmukaisuuden arviointipalvelujen pätevyyden toteamisesta annetussa laissa (920/2005) säädetään. Suomessa kansallisena akkreditointiyksikkönä toimii FINAS. FINAS siis akkreditoisi vaatimustenmukaisuuden arviointilaitoksen 1 momentin 1-3 kohtien mukaisesti. FINAS suorittaa määriteltyjen kriteerien mukaisen arvioinnin ja antaa pätevyydestä lausunnon, jota viranomainen käyttää hyväkseen päätöksenteossa hyväksyntää antaessaan.
Ehdotetun 3 momentin mukaan 28 §:n 2 ja 3 kohdissa tarkoitetun arviointielimen (eli muun arviointielimen tai sisäisen tarkastuslaitoksen) pätevyys on osoitettava Viestintävirastolle lain 10 §:ssä säädetyssä ilmoituksessa. Edellä 1 momentin 1-3 kohdassa säädettyjen vaatimusten täyttyminen voidaan osoittaa edellä 2 momentissa tarkoitetulla akkreditoinnillataimuulla yleisesti käytettyyn standardiin perustuvalla riippumattomalla menettelyllä. Vaatimustenmukaisuuden arviointipalveluiden pätevyyden toteamisesta annetussa laissa (6 §:n 3 mom.) säädetään akkreditointiin rinnastettavasta pätevyyden arvioinnista. Edellä kuvatun akkreditointiin rinnastettavan pätevyyden arvioinnin lisäksi kysymykseen voi tulla myös jokin yleisesti käytetty ja tunnustettu muu riippumaton menettely.
Ulkomaisen akkreditointiyksikön antama akkreditointi vastaisi 3 ja 4 momentissa tarkoitettua akkreditointipäätöstä.
34 §.Vaatimustenmukaisuuden arviointilaitoksen hyväksyminen. Ehdotetun 1 momentin mukaan Viestintävirasto hyväksyy 28 §:n 1 momentissa tarkoitetut vaatimustenmukaisuudenarviointilaitokset akkreditoinnin jälkeen. Hyväksymisen edellytyksistä säädettäisiin 33 §:ssä. Ehdotetun 2 momentin mukaan arviointilaitos voidaan hyväksyä määräajaksi, jos siihen on erityinen syy. Hyväksymistä koskevaan päätökseen Viestintävirasto voi sisällyttää arviointielimen pätevyysaluetta ja valvontaa sekä toimintaa koskevia tarpeellisia rajoituksia ja ehtoja.
Muita 28 §:ssä tarkoitetuilta arviointielimiltä ei edellytettäisi Viestintäviraston hyväksyntää taikka akkreditointia samalla tavalla kuin 28 §:n 1 momentissa tarkoitetulta vaatimustenmukaisuuden arviointilaitokselta. Niiden riippumattomuus ja pätevyys on kuitenkin selvitettävä. Tunnistuspalveluntarjoajan tai vaatimustenmukaisuuden arviointielimen on esitettävä 10 §:ssä säädetyssä ilmoituksessa Viestintävirastolle selvitys siitä, että 28 §:n 2 tai 3 kohdassa tarkoitettu muu arviointielin tai sisäinen tarkastuslaitos täyttää 33 §:ssä säädetyt vaatimukset.
Arviointielin voi halutessaan hakea akkreditointia Turvallisuus- ja kemikaaliviraston akkreditointiyksiköltä eli FINAS:ilta. Laissa ei kuitenkaan ehdoteta säänneltäväksi sitä menettelyä, jolla tunnistuspalvelun arviointielimen pätevyys ja riippumattomuus todetaan. Tunnistuspalvelun tarjoajalle on tärkeää voida varmistua jo ennen lain 10 §:n mukaisen aloitus- tai muutosilmoituksen tekemistä, täyttääkö sen käyttämä arviointielin ehdotetun 33 §:n vaatimukset.
Arviointielimen pätevyyden arviointi voi tapahtua jo arviointielimen omasta aloitteesta tai tunnistuspalvelun tarjoajan aloitteesta. On perusteltua, että laissa ei edellytetä arviontielimeltä hakemusta, koska tämä mahdollistaa myös sellaisten kansainvälisten arviointielinten käytön, joilla ei ole riittävää kaupallista intressiä hakea erityistä hyväksyntää Suomessa. Koska menettelystä ei ehdoteta säädettävän, arviointielimen pätevyyden arviointi jää Viestintäviraston tekemän lain valvonnan ja yleisen hallintomenettelyn mukaan todettavaksi. Arviointielin tai tunnistuspalvelun tarjoaja voivat pyytää asiassa Viestintävirastolta neuvontaa, mutta asia ratkaistaan lähtökohtaisesti vasta, kun arviointielimen pätevyydestä toimitetaan viranomaiselle selvitys tunnistuspalvelun tarjoajan aloitus- tai muutosilmoituksen yhteydessä.
Ennakoitavuutta tunnistuspalvelun tarjoajan kannalta lisää kuitenkin se, että Viestintävirastolle ehdotetaan 42 §:ssä annettavaksi valtuutus tarkentaa määräyksellä arviointielimen pätevyysvaatimuksia. Viestintävirasto valmistelee määräykset pääsääntöisesti työryhmissä yhdessä toimialan kanssa, jolloin toimijoiden näkemykset otetaan huomioon määräysvalmistelun yhteydessä ja toimijat saavat tietoa vaatimuksista.
35 §.Hakemus vaatimustenmukaisuuden arviointilaitokseksi. Viestintävirasto hyväksyy vaatimustenmukaisuuden arviointilaitoksen hakemuksen perusteella. Hakemukseen on liitettävä Turvallisuus- ja kemikaaliviraston akkreditointiyksikön (FINAS-akkreditointipalvelu) akkreditointipäätös tai sen puuttuessa FINAS-akkreditointipalvelun antama muu vastaava selvitys 33 §:n 1 momentin 1-3 kohdissa säädettyjen hyväksymisen edellytysten täyttymisestä sekä muut sen toimintaa koskevat tiedot, joiden perusteella voidaan arvioida 33 §:ssä tarkoitettujen edellytysten täyttyminen.
Viestintävirasto hyväksyy saamiensa selvitysten ja akkreditointiyksikön antaman päätöksen sekä tarvittaessa tekemänsä tarkastusten perusteella vaatimustenmukaisuuden arviointilaitoksen, jos se täyttää 33 §:n edellytykset. Viestintävirasto voi hakemusta käsiteltäessä hankkia lausuntoja sekä antaa hakemuksen ja siinä esitettyjen tietojen arvioimiseksi toimeksiannostaan suoritettavia tehtäviä ulkopuolisille asiantuntijoille.
Viestintävirasto voi 42 §:n nojalla antaa tarvittaessa määräyksiä hakemukseen sisällytettävistä tiedoista ja niiden toimittamisesta Viestintävirastolle.
36 §.Hyväksytyn sähköisen allekirjoituksen ja hyväksytyn sähköisen leiman luontivälineen sertifiointi. Ehdotetun 1 momentin mukaan Viestintävirasto päättää niistä eIDAS-asetuksen 30 ja 39 artiklassa tarkoitetuista yksityisistä tai julkisista sertifiointilaitoksista, jotka voivat sertifioida hyväksytyn sähköisen allekirjoituksen tai hyväksytyn sähköisen leiman luontivälineitä. Sertifiointi on vaatimustenmukaisuuden osoittamista todistuksella (sertifikaatilla) tai merkillä.
eIDAS-asetuksen 30 artiklassa ja 39 artiklassa säädetään hyväksytyn allekirjoituksen ja hyväksytyn sähköisen leiman luontivälineen sertifiointi pakolliseksi. Jäsenvaltion on nimettävä ja ilmoitettava komissiolle ne tahot, jotka voivat sertifioida näitä välineitä. Voimassa olevan tunnistuslain 29 §:ssä säädetään vastaavasta Viestintäviraston nimeämästä tarkastuslaitoksesta, jonka tehtävänä on arvioida, täyttääkö allekirjoituksen luomisväline laissa säädetyt vaatimukset. Tällaisia tarkastuslaitoksia ei ole kuitenkaan Suomessa nimetty.
Luontivälineet voivat olla fyysisiä välineitä kuten siruja tai sovellus- ja palvelinpohjaisia kokonaisuuksia. Varsinaisten välineiden sertifioinnissa tyypillinen tilanne on oletettavasti sama kuin nykytilanteessa, jossa siruja valmistetaan Suomen ulkopuolella ja valmistaja hankkii niille sertifioinnin sijaintimaassaan. Sertifiointeja on yleisesti hankittu nykyäänkin, vaikka säädäntö ei ole edellyttänyt sitä.
Ehdotetun 42 §:n mukaan Viestintävirasto voi antaa tarvittaessa tarkentavia määräyksiä sertifiointilaitosta koskevista vaatimuksista, sertifioinnissa noudatettavasta menettelystä ja luontivälinettä koskevista vaatimuksista ottaen huomioon, mitä eIDAS-asetuksessa ja sen täytäntöönpanosta annetuissa komission täytäntöönpanopäätöksissä säädetään.
Sekä luontivälinettä että sertifiointia koskevat vaatimukset säädetään lähtökohtaisesti eIDAS-asetuksessa, jolloin kansallisia vaatimuksia ei tarvitse eikä voi säätää. Komissio voi vahvistaa eIDAS-asetuksen 30 artiklan nojalla 2 kohdan nojalla tietoteknisten tuotteiden tietoturva-arviointia koskevia standardeja sekä asettaa artiklan 3 kohdan nojalla sertifiointitahoille erityisiä vaatimuksia.
Komissio valmistelee täytäntöönpanosäädöstä edellä kuvatuista standardeista, mutta sertifiointiorganisaation vaatimuksista täydentävää sääntelyä ei toistaiseksi ole valmisteilla. Myöskään vahvistettavat tietoturvastandardit eivät toistaiseksi kata uudentyyppisiä palveluja. Näiltä osin voi siten olla välttämätöntä täydentää asetusta kansallisella sääntelyllä. Tarkennustarpeet voivat koskea arvioinnissa noudatettavaa menettelyä, luontivälineiden turvallisuusominaisuuksia (nk. suojaprofiileja) tai muita vastaavia seikkoja.
Ehdotetun 2 momentin mukaan sertifiointilaitoksen tulee olla toiminnallisesti ja taloudellisesti riippumaton niistä, joita se sertifioi. Sillä tulee olla toiminnan laajuuden kannalta riittävä vastuuvakuutus tai muu vastaava järjestely ja käytössään riittävästi ammattitaitoista henkilöstöä sekä toiminnan edellyttävät järjestelmät, laitteet ja välineet. Viestintävirasto valvoisi sertifiointilaitoksen toimintaa.
37 §.Vaatimustenmukaisuuden arviointilaitoksen ja sertifiointilaitoksen toiminta.Ehdotetun 1 momentin mukaan vaatimustenmukaisuuden arviointilaitos ja sertifiointilaitos voivat arviointitehtävässään käyttää apunaan laitoksen ulkopuolisia henkilöitä. Ne vastaavat kuitenkin apunaan käyttämiensä henkilöiden työstä.
Ehdotetun 2 momentin mukaan vaatimustenmukaisuuden arviointilaitoksen ja sertifiointilaitoksen on tässä laissa tarkoitettuja julkisia hallintotehtäviä hoitaessaan noudatettava pykälässä lueteltuja yleisiä hallintolakeja. Arviointilaitoksen ja sertifiointilaitoksen henkilöstöön sovelletaan rikosoikeudellista virkavastuuta koskevia säännöksiä. Vahingonkorvausvastuusta säädetään vahingonkorvauslaissa (412/1974).
38 §. Vaatimustenmukaisuuden arviointilaitoksen hyväksymisen tai sertifiointilaitoksen nimeämisen peruuttaminen. Pykälässä ehdotetaan säädettäväksi tilanteista, joissa vaatimustenmukaisuuden arviointilaitos tai sertifiointilaitos ei täyttäisi enää siltä vaadittuja vaatimuksia. Jos laitos ei enää täyttäisi erikseen säädettyjä edellytyksiä tai ei noudattaisi hyväksymistä tai nimeämistä koskevassa päätöksessä asetettuja ehtoja taikka toimisi muuten olennaisesti säännösten vastaisesti, Viestintäviraston olisi asetettava laitokselle riittävä määräaika asian korjaamiseksi. Viestintäviraston olisi peruutettava antamansa hyväksyminen, jos laitos ei korjaisi epäkohtaa annetussa määräajassa.
IV a luku Luottamuspalveluja koskevia säännöksiä
Lakiin ehdotetaan lisättäväksi uusi 4 a luku, joka sisältäisi voimassa olevaa lakia vastaavia säännöksiä sähköisestä allekirjoituksesta, joita vastaavia säännöksiä ei ole eIDAS-asetuksessa.
39 §. Varmenteen peruuttaminen. Ehdotettu pykälä vastaisi asiallisesti voimassa olevan lain 36 §:n 1 ja 2 momenttia, mutta säännöstä sovellettaisiin myös sähköisen leiman haltijaan. Säännös koskisi eIDAS-asetuksessa määriteltyä sähköisen allekirjoituksen ja leiman hyväksytyn varmenteen haltijan velvollisuutta pyytää varmenteensa peruuttamista, jos hänellä on perusteltu syy epäillä, että allekirjoituksen tai leiman luomistieoja voidaan käyttää oikeudettomasti. Varmentajan on 2 momentin mukaan viipymättä peruutettava hyväksytty varmenne, jos allekirjoittaja tai leiman haltija pyytää sitä. Peruuttamispyynnön saapumisajankohtana on pidettävä hetkeä, jolloin pyyntö on ollut varmentajan käytettävissä siten, että sitä voidaan käsitellä. Sähköisessä muodossa lähetetyn viestin osalta tämä tarkoittaa ajankohtaa jolloin pyyntö on varmentajan käytettävissä vastaanottolaitteessa tai tietojärjestelmässä.
40 § Vastuu sähköisen allekirjoituksen tai leiman luomistietojen oikeudettomasta käytöstä. Pykälää ehdotetaan muutettavaksi eIDAS-asetuksessa käytetyn terminologian vuoksi sekä lakiviittauksen muuttumisen vuoksi. Pykälän 1 momentissa puhuttaisiin sähköisen allekirjoituksen hyväksytystä varmenteesta (eIDAS-asetuksen 28 artikla) ja sähköisen leiman hyväksytystä varmenteesta (eIDAS-asetuksen 38 artikla) sekä viitattaisiin ehdotetun 39 §:n 2 momenttiin. Edelleen 2 momentin 3 kohdassa viitattaisiin 39 §:n 1 momentin peruuttamisilmoitukseen.
41 §.Luottamuspalvelun tarjoajan vastuu. Pykälää ehdotetaan muutettavaksi johtuen eIDAS-asetuksen 13 artiklasta, joka sisältää säännöksiä luottamuspalvelun tarjoajien vahingonkorvausvastuusta. 13 artiklan 3 kohdan mukaan asetuksessa säädettyä vahingonkorvausvastuuta sovelletaan kansallisten vahingonkorvausvastuusäännösten mukaisesti. Asetuksen 37 johdantolauseen mukaan tarkoittaa tämä esimerkiksi vahinkojen, tahallisuuden ja tuottamuksellisuuden määrittelyä tai asiaan liittyvien sovellettavien menettelysäännösten määräytymistä kansallisen oikeuden mukaisesti.
Siltä osin kuin luottamuspalvelun tarjoajan vastuu perustuu eIDAS-asetuksen 13 artiklan säännöksiin, kansallisesta oikeudesta tulevat sovellettavaksi muun muassa vahingonkorvauksen kohtuullistamista, vahinkoa kärsineen myötävaikutusta, useiden vahingosta vastuussa olevien yhteisvastuuta sekä korvausvaatimuksen vanhentumista koskevat säännökset.
Voimassa oleva 41 § soveltui vain laatuvarmenteisiin eli EU-lainsäädännössä tarkoitettuihin hyväksyttyihin varmenteisiin. eIDAS-asetuksen 13 artikla on soveltamisalaltaan laajempi kattaen kaikki eIDAS-asetuksessa tarkoitetut luottamuspalvelut.
Ehdotettu 2 momentin säännös vastaa voimassa olevan 41 §:n 1 momentin 5 kohdan ja 2 momentin säännöksiä ja koskee tilannetta, että varmentaja tai sen apunaan käyttämä henkilö ei ole peruuttanut hyväksyttyä varmennetta ehdotetussa 39 §:ssä säädetyllä tavalla.
42 §. Yleinen ohjaus ja Viestintäviraston määräykset. Esityksessä ehdotetaan muutettavan 42 §:n otsikkoa kattamaan sähköisen tunnistamisen yleinen ohjaus sekä toiminnan yksityiskohtaisempi ohjaus Viestintäviraston määräyksillä. Ehdotetun 1 momentin mukaan vahvan sähköisen tunnistamisen sekä sähköisten luottamuspalvelujen yleinen ohjaus ja kehittäminen kuuluisivat liikenne- ja viestintäministeriölle.
Ehdotetussa 2 momentissa lueteltaisiin ne asiat, joista Viestintävirasto voisi antaa tarkempia määräyksiä. Verrattuna voimassa olevaan lakiin määräyksenantovaltuudet on nyt koottu yhteen pykälään ja ne on tarkemmin rajattu. Viestintävirastolla ei olisi enää sellaista yleisempää määräyksenantovaltaa kuin voimassa olevan 42 §:n 2 momentissa. Ehdotetun 1 kohdan mukaan virasto voisi antaa määräyksiä 8 §:n 1 momentin 4 ja 5 kohdassa tarkoitetuista tunnistamisjärjestelmän turvallisuudesta ja luotettavuudesta. Ehdotettu valtuutus vastaa voimassa olevan 42 §:n 2 momentin valtuutusta, mutta täsmällisemmin määriteltynä niin, että se koskee vain ehdotetun 1 momentin 4 ja 5 kohtaa. Kyseessä olisivat valvontatoiminnan kannalta tarpeelliset määräykset.
Ehdotetun 2 kohdan mukaan virasto voisi antaa valvontatoiminnan kannalta tarpeellisia määräyksiä 10 §:ssä tarkoitettujen ilmoitettavien tietojen tarkemmasta sisällöstä ja niiden toimittamisesta Viestintävirastolle. Valtuutus vastaa voimassa olevan lain 10 §:n 3 momenttia.
Ehdotetun 3 kohdan mukaan virasto voisi antaa 12 a §:n 2 momentissa tarkoitetuista luottamusverkoston rajapinnoista tarkempia määräyksiä. Viestintävirasto voisi laatia esimerkiksi teknisellä määräyksellä tarkoituksenmukaisella tarkkuustasolla OpenId Connect- ja SAML-standardeista kansalliset profiilit yhteistyössä toimialan kanssa. Kansallisesti määriteltyjä rajapintoja tulisi olemaan tämän hetkisen tiedon mukaan enintään kolme.
Ehdotetun 4 kohdan mukaan Viestintävirasto voisi antaa tarvittaessa tarkempia määräyksiä 16 §:n 1 momentissa tarkoitetun ilmoituksen sisällöstä, muodosta ja toimittamisesta sekä siitä, milloin 16 §:ssä tarkoitettu häiriö on merkittävä. Kyseessä on tunnistuspalveluntarjoajan velvollisuus ilmoittaa toimintaan ja tietojen suojaamiseen kohdistuvista uhkista tai häiriöistä. Viestintävirasto selvittää teknisiä mahdollisuuksia käytäntöön, jossa Viestintävirasto välittäisi tunnistuspalvelun tarjoajien ilmoituksia sähköisien tunnistamisen luottamusverkostossa.
Ehdotetun 5 kohdan mukaan virasto voisi antaa määräyksiä 29, 30 ja 32 §:ssä tarkoitetuista arvioitavan tunnistus- tai luottamuspalvelun sekä kansallisen solmupisteen vaatimustenmukaisuuden arviointiperusteista. Määräysten sisältöä ja niiden rajoituksia on käsitelty kyseisten pykälien perusteluissa.
Ehdotetun 6 kohdan mukaan Viestintävirasto voisi antaa tarkempia määräyksiä 33 §:ssä säädetyistä vaatimustenmukaisuuden arviointielimien pätevyysvaatimuksista ottaen huomioon, mitä eIDAS-asetuksessa ja sen täytäntöönpanosta annetuissa komission täytäntöönpanosäännöksissä säädetään. Komissio voi esimerkiksi täytäntöönpanosäännöksin vahvistaa noudatettavaksi tiettyjä standardeja vaatimustenmukaisuuden arviointilaitosten akkreditoinnissa. On kuitenkin vielä epäselvää, antaako komissio esimerkiksi tällaisia täytäntöönpanosääntöjä. Jos näin ei tule tapahtumaan, asiasta on annettava kansallisia määräyksiä.
Ehdotetun 7 kohdan mukaan Viestintävirasto voisi antaa tarvittaessa määräyksiä niistä tiedoista, joita on sisällytettävä 35 §:ssä tarkoitettuun hakemukseen vaatimustenmukaisuuden arviointilaitokseksi.
Ehdotetun 8 kohdan mukaan virasto voisi antaa tarvittaessa tarkentavia määräyksiä 36 §:ssä tarkoitetusta sertifiointilaitosta koskevista vaatimuksista, sertifioinnissa noudatettavasta menettelystä ja luontivälinettä koskevista vaatimuksista ottaen huomioon, mitä eIDAS-asetuksessa ja sen täytäntöönpanosta annetuissa komission täytäntöönpanopäätöksissä säädetään.
42 a §. Viestintäviraston tehtävät. Ehdotuksen mukaan säädettäisiin uusi 42 a §. Ehdotetun pykälän 1 momentti käsittäisi Viestintäviraston nykyisen valvontatehtävän valvoa tunnistuslain sekä sen nojalla annettujen säännösten noudattamista
Lain 2 momentissa Viestintävirastolle säädettäisiin uusia, sähköisestä tunnistamisesta ja luottamuspalveluista annetusta EU:n asetuksesta johtuvia tehtäviä. Ehdotetun 1 kohdan mukaan Viestintäviraston tehtävänä olisi osallistua EU:n jäsenvaltioiden väliseen yhteistyöhön asetuksen 12 artiklassa tarkoitetussa sähköisen tunnistamisen yhteentoimivuusjärjestelmässä ja komission täytäntöönpanopäätöksessä 2015/296 perustetussa yhteistyöverkostossa keskitettynä pisteenä. Viestintävirasto osallistuisi yhteistyöverkostossa komissiolle ilmoitettujen tunnistusjärjestelmien vertaisarviointiin muiden jäsenvaltioiden vastaavien viranomaisten kanssa.
Ehdotetun 2 kohdan mukaisesti Viestintävirasto ilmoittaisi Euroopan komissiolle suomalaisia sähköisen tunnistamisen järjestelmiä asetuksen 7-10 artiklan mukaisesti.
Ehdotetun 3 kohdan mukaisesti Viestintäviraston tehtävänä olisi toimia asetuksen 17 artiklassa tarkoitettuna luottamuspalveluiden valvontaelimenä eli valvontaviranomaisena, joka hoitaa valvontaviranomaiselle kyseisessä asetuksessa määrättyjä tehtäviä. Asetuksen 17 artiklan mukaan Viestintäviraston tulisi valvoa etukäteen ja jälkikäteen toteutettavin valvontatoimin hyväksyttyjä luottamuspalvelun tarjoajia sekä jälkikäteen toteutettavin valvontatoimin ei-hyväksyttyjä luottamuspalvelun tarjoajia niin, että toimijat täyttävät asetuksessa säädetyt vaatimukset.
Ehdotetun 4 kohdan mukaisesti Viestintäviraston tulisi ylläpitää ja julkaista luetteloita Suomessa hyväksytyistä luottamuspalveluiden tarjoajista ja niiden tarjoamista hyväksytyistä asetuksen 22 artiklan mukaisesti.
Pykälän 2 momenttiin ehdotetaan selkeyttävää säännöstä siitä, että Viestintäviraston toimivaltaan eivät kuulu osapuolten välistä sopimussuhdetta tai korvausvastuuta koskevat asiat.
42 b §.Tietosuojavaltuutetun tehtävät. Ehdotettu säännös vastaisi voimassa olevan tunnistuslain 42 §:n 3 momenttia.
42 c §. Väestörekisterikeskuksen tehtävät. Väestörekisterikeskuksen tehtävänä olisi ylläpitää sähköisestä tunnistamisesta ja luottamuspalveluista annetun EU:n asetuksen 12 artiklan 8 kohdan nojalla määriteltyä kansallista solmupistettä. Tämä solmupiste muodostaa rajapinnan suomalaisten ja muiden EU:n jäsenvaltioiden tunnistamisjärjestelmien kanssa sekä mahdollistaa rajat ylittävän sähköisen asioinnin.
Solmupiste osallistuu henkilöiden todentamiseen rajojen yli ja pystyy tunnistamaan sekä käsittelemään tai siirtämään tietoja muihin solmupisteisiin tarjoamalla yhden jäsenvaltion kansalliselle sähköisen tunnistamisen infrastruktuurille rajapinnan muiden jäsenvaltioiden sähköisen tunnistamisen infrastruktuureihin. Solmupiste toteutetaan jäsenvaltiokohtaisilla PEPS (Pan-European Proxy Server) ratkaisulla.
43 §. Tiedonsaantioikeus. Pykälän 1 momentti ehdotetaan muutettavaksi, koska voimassa olevassa 1 momentissa viitataan tässä esityksessä kumottaviksi ehdotettuihin pykäliin. Ehdotetun 1 momentin säännös Viestintäviraston tiedonsaantioikeudesta olisi sanamuodoltaan yleisempi ja vastaa tietoyhteiskuntakaaren 315 §:ä.
44 §. Viranomaisten välinen yhteistyö ja oikeus luovuttaa tietoja. Pykälän1momenttia ehdotetaan muutettavaksi siten, että Viestintävirastolla ja tietosuojavaltuutetulla olisi oikeus luovuttaa Finanssivalvonnan ohella myös Kilpailu- ja kuluttajavirastolle tietoja, jotka ovat tarpeen niiden tehtävien suorittamiseksi. Salassapitosäännösten tai muiden tietojen luovuttamista koskevien rajoitusten alaiset tiedot voivat olla tarpeen Kilpailu- ja kuluttajaviraston valvontatehtävissä. Momentin tarkoituksena on vähentää viranomaisten ja valvonnan kohteiden tarpeetonta työtä mahdollistamalla viranomaisten välinen tiedonvaihto myös salassa pidettävistä tiedoista.
45 §.Hallintopakkokeinot. Pykälän 1 momenttia ehdotetaan muutettavaksi niin, että Viestintävirasto voisi käyttää pykälässä lueteltuja pakkokeinoja myös sähköisestä tunnistamisesta ja luottamuspalveluista annetun EU:n asetuksen valvonnassa sekä sen nojalla annettujen täytäntöönpanosäännösten valvonnassa. Lisäksi momenttiin on lisätty Viestintävirastolle oikeus antaa huomautus sille, joka rikkoo tunnistuslakia tai asiasta annettua EU-lainsäädäntöä. Näin Viestintävirasto voi tuoda säännösten noudattamatta jättämisen nopeammin toimijoiden tietoon erityisesti lyhytkestoisissa säännösten vastaisessa toiminnassa. Ehdotettu sanamuoto vastaa tietoyhteiskuntakaaren 330 §:ää.
45 a §.Väliaikainen päätös. Lakiin ehdotetaan otettavaksi samantyyppinen Viestintävirastonväliaikaista päätöstä koskeva säännös kuin tietoyhteiskuntakaaren 331 §:ssä. Tunnistus- ja luottamuspalveluiden tarjontaan saattaa liittyä rikkomuksia tai häiriötilanteita, jotka ovat vaikutuksiltaan sellaisia, että viranomaisella voi olla tarve päättää väliaikaisista toimista. Tällaisia voivat olla esimerkiksi eIDAS-asetuksen 10 artiklan mukainen tilanne, jossa 9 artiklan 1 kohdan mukaisesti ilmoitettuun sähköisen tunnistamisen järjestelmään tai eIDAS-asetuksen 7 artiklan f alakohdassa tarkoitettuun todentamiseen liittyy loukkaus tai niiden jonkin osan turvallisuus on vaarantunut tavalla, joka vaikuttaa kyseisen järjestelmän rajat ylittävän todentamisen luotettavuuteen. Tällöin tunnistusvälineen ilmoittaneen jäsenvaltion on eIDAS-asetuksen 10 artiklan mukaan viipymättä keskeytettävä tai peruutettava kyseinen rajat ylittävä todentaminen tai ne osat, joiden turvallisuus on vaarantunut.
Vakavat juurivarmenteeseen kohdistuvat tietomurrot, joissa varmentajan yksityiset allekirjoitusavaimet päätyvät vääriin käsiin sekä muut edellä mainittuja vastaavat vakavat tunnistus- tai luottamuspalveluihin liittyvät tapahtumat voivat myös vaatia Viestintävirastolta nopeita päätöksiä.
46 §.Tarkastusoikeus. Viestintäviraston tarkastusoikeuksia koskevaa pykälää ehdotetaan muutettavaksi niin, että tarkastusoikeus koskisi myös sähköistä tunnistamista ja luottamuspalveluja koskevassa EU-asetuksessa määriteltyjä toimijoita. Voimassa olevan lain 46 §:ssä Viestintäviraston tarkastuksen edellytyksenä on, että toimija on olennaisesti rikkonut tätä lakia tai sen nojalla annettuja säännöksiä tai määräyksiä. Tätä tarkastuksen edellytystä ehdotetaan myös muutettavan. Voimassa olevan pykälän 2 momentissa olevasta säännöksestä luovuttaisiin, koska vaatimuksenmukaisuuden arviointilaitos arvioisi toimijoita säännöllisesti.
Ehdotetuissa 2-3 momenteissa ehdotetaan laatuvarmenteita tarjoava tarjoaja muutettavaksi sähköistä tunnistamista ja luottamuspalveluja koskevassa EU-asetuksessa tarkoitetuksi hyväksyttyjen varmenteiden tarjoajaksi, muutoin ne vastaavat asiallisesti voimassa olevia säännöksiä.
Ehdotetut 4 ja 5 momentit vastaavat voimassa olevia 5 ja 6 momentteja.
47 §.Viestintävirastolle maksettavat maksut. Suurin osa voimassa olevan pykälän momenteista muuttuisi, joten koko pykälää ehdotetaan muutettavan. Ehdotetussa 1 momentissa tunnistuspalvelun tarjoajien Viestintävirastolle maksamia valvontamaksuja nostettaisiin 2000 eurolla. Näin Viestintäviraston tunnistuspalvelujen ja 2 momentissa ehdotetut eIDAS-asetuksen mukaisten hyväksyttyjen luottamuspalvelujen valvonnasta perityt vuosittaiset valvontamaksut olisivat samalla tasolla eli 14 000 euroa. Näillä maksujen tasoilla myös Viestintäviraston maksukertymä pysyisi samalla tasolla. Viestintävirasto perisi maksuja vain hyväksyttyjen luottamuspalvelujen tarjoajilta.
Ehdotetun 2 momentin mukaan luottamuspalvelun tarjoajan ja hyväksyttyjä luottamuspalveluja tarjoavan varmentajan olisi siis suoritettava Viestintävirastolle kustakin Viestintäviraston hyväksymästä luottamuspalvelusta 5000 euron rekisteröimismaksu ja vuosittain 14 000 euron valvontamaksu ensimmäisestä tarjoamastaan hyväksytystä luottamuspalvelusta ja sitä seuraavista tarjoamistaan hyväksytyistä luottamuspalveluista vuosittain 9 000 euroa. Viestintäviraston vuosittain tekemä luottamuspalvelun valvonta koostuu yhtäältä palveluntarjoajan ja toisaalta tarjotun hyväksytyn luottamuspalvelun valvonnasta. Koska samaa palveluntarjoajaa valvotaan usean eri hyväksytyn palvelun osalta, on perusteltua periä pienempi vuosittainen valvontamaksu silloin, kun palveluntarjoaja tarjoaa useampaa hyväksyttyä luottamuspalvelua.
Ehdotettujen 3 ja 4 momenttien mukaan hyväksytyn vaatimustenmukaisuuden arviointilaitoksen sekä sertifiointilaitoksen on suoritettava Viestintävirastolle 10 000 euron nimeämismaksu sekä vuosittain 15 000 euron valvontamaksu. Maksut vastaavat niitä maksuja, joita voimassa olevan 29 §:n mukaan peritään Viestintäviraston nimeämältä tarkastuslaitokselta, joka arvioi sitä, täyttääkö allekirjoituksen luomisväline lain vaatimukset. Tällaista tarkastuslaitosta ei ole nimetty nykyisin, mutta se vastaa nyt 36 §:ssä säädettäväksi ehdotettua sertifiointilaitosta.
Ehdotetussa 5 momentissa todettaisiin, että maksujen keräämisellä rahoitetaan Viestintäviraston valvontatoimintaa. Maksut eivät kuitenkaan riitä kattamaan Viestintäviraston valvontatoiminnasta aiheutuvia kustannuksia lisääntyneen työmäärän vuoksi, joten Viestintävirasto joutuu suuntaamaan resurssejaan muista toiminnoista. Kuten voimassa olevassakin laissa, valvontamaksu olisi suoritettava täysimääräisesti myös toiminnan ensimmäisenä vuotena, vaikka toiminta aloitettaisiin kesken kalenterivuotta. Valvontamaksua ei palautettaisi vaikka palveluntarjoaja lopettaisi toimintansa kesken vuotta.
Ehdotettu 6 momentti vastaisi voimassa olevaa 5 momenttia muutoin, mutta kun säännöksessä muutoksenhaun osalta viitataan 49 §:n 1 momenttiin, tätä muutettaisiin niin. Ehdotetun 49 §:n 1 momentin nojalla Viestintäviraston päätökseen, joka koskee 47 §:ssä tarkoitettua maksua, ensimmäiseksi haettaisiin oikaisua Viestintävirastolta.
Ehdotettu 7 momentti vastaisi voimassa olevaa 6 momenttia. Ehdotetussa 8 momentissa, joka koskee toimijoilta perittäviä Viestintäviraston tarkastuksesta aiheutuneita kustannuksia, lisättäisiin uusina toimijoina myös luottamuspalvelun tarjoajat.
49 §. Muutoksenhaku viranomaisen päätökseen. Lain 49 §:ää ehdotetaan muutettavaksi ja päivitettäväksi siten, että muutoksenhakua koskevia säännöksiä muutettaisiin nykytilasta siten, että valituslupajärjestelmä otettaisiin muutoksenhaussa laajemmin käyttöön. Ehdotetussa 1 momentissa otettaisiin käyttöön oikaisuvaatimus Viestintäviraston päätöksissä, jotka koskevat Viestintävirastolle maksettavaa maksua.
Ehdotetun 2 momentin mukaan Oikaisuvaatimuksesta annettuun Viestintäviraston päätökseen sekä Viestintäviraston muuhun päätökseen saisi hakea muutosta valittamalla hallinto-oikeuteen siten kuin hallintolainkäyttölaissa säädetään.
Ehdotetussa 3 momentissa säädettäisiin, että hallinto-oikeuden päätökseen vaatimustenmukaisuuden arviointilaitoksen hyväksymisen ja sertifiointilaitoksen nimeämisen peruuttamista koskevassa asiassa saa hakea muutosta valittamalla siten kuin hallintolainkäyttölaissa säädetään. Tämä merkitsisi sitä, että tällaisissa pakkokeino- ja sanktioluonteisissa asioissa ei edellytettäisi valituslupaa korkeimpaan hallinto-oikeuteen. Muutoin hallinto-oikeuden päätökseen saisi hakea muutosta valittamalla vain, jos korkein hallinto-oikeus myöntää valitusluvan.
Ehdotetut 4 ja 5 momentti vastaavat voimassa olevan 49 §:n 2 ja 3 momenttia.
49 a §. Muutoksenhaku vaatimustenmukaisuuden arviointilaitoksen ja sertifiointilaitoksen päätökseen. Pykälässä säädettäisiin muutoksenhausta vaatimustenmukaisuuden arviointilaitoksen vaatimustenmukaisuuden arviointikertomusta koskevaan päätökseen sekä sertifiointilaitoksen sähköisen allekirjoituksen tai leiman luontivälineiden sertifiointia koskevaan päätökseen. Niiltä osin kuin vaatimustenmukaisuuden arviointilaitos ja sertifiointilaitos suorittavat lakiin perustuvaa vaatimustenmukaisuuden arviointia tai sertifiointia, kyse on perustuslain 124 §:n mukaan julkisesta hallintotehtävästä. Edelleen perustuslain 124 §:n mukaan, milloin yksityisoikeudellinen oikeussubjekti hoitaa julkista hallintotehtävää, on vaatimukset oikeusturvan takaamisesta pystyttävä turvaamaan. Siten edellä mainittujen tahojen tekemiin päätöksiin tulisi voida hakea muutosta niiltä osin kuin on kyse hallintopäätöksestä.
Ehdotuksen mukaan 1 momentin oikaisuvaatimussäännöksessä viitattaisiin hallintolakiin. Yleiset säännökset oikaisuvaatimusmenettelystä ovat hallintolain 7 a luvussa. Momentissa ehdotetaan säädettäväksi, että vaatimustenmukaisuuden arviointilaitoksen ja sertifiointilaitoksen tunnistuslain tekemään päätökseen saisi vaatia oikaisua siten kuin hallintolaissa säädetään.
Pykälän 2 momentin mukaan oikaisuvaatimukseen annettuun päätökseen saisi hakea muutosta valittamalla hallinto-oikeuteen siten kuin hallintolainkäyttölaissa säädetään. Hallinto-oikeuden päätökseen saa hakea muutosta valittamalla vain, jos korkein hallinto-oikeus myöntää valistusluvan.
Siirtymäsäännökset
Ehdotetussa 1 momentissa olisi voimaantulosäännös.
Ehdotetun 2 momentin mukaan tunnistusvälineen tarjoaja saa käyttää tämän lain 17 §:n 2 momentissa tarkoitettua hyväksyttävänä asiakirjana myös Euroopan talousalueen jäsenvaltion viranomaisen 1 päivän lokakuuta 1990 jälkeen myöntämää voimassa olevaa ajokorttia 31 päivään joulukuuta 2018 asti. Henkilön ensitunnistaminen, joka on tehty ajokortin perusteella 31 päivään joulukuuta 2018 mennessä, täyttäisi tämän lain vaatimukset eikä ensitunnistamista tarvitsisi enää varmentaa muilla tavoilla.
Ehdotetun 3 momentin mukaan tämän lain voimaan tullessa voimassaolevat Viestintäviraston määräykset jäävät voimaan. Tämän lain voimaan tultua Viestintävirasto antaa uudet määräykset tämän lain 42 §:n nojalla.
Ehdotetuissa 4-8 momenteissa säädettäisiin siirtymäajan säännöksistä liittyen siihen, että tässä laissa vahvan sähköisen tunnistuspalvelun järjestelmiltä vaadittaisiin samat luotettavuutta ja tietoturvaa koskevat vaatimukset kuin EU-lainsäädäntö vaatii EU:n rajat ylittäviltä sähköisen tunnistamisen järjestelmiltä vähintään korotetulla varmuustasolla. Tämän vuoksi toimijoiden tulisi voida päättää, haluavatko ne jatkaa vahvan sähköisen tunnistuspalvelun tarjoamista lainmuutosten tultua voimaan.
Ehdotetun 4 momentin mukaan tunnistuslain 12 §:ssä säädettyyn rekisteriin merkityn tunnistuspalveluntarjoajan on tehtävä viimeistään kahden kuukauden kuluessa tämän lain voimaantulosta Viestintävirastolle 10 §:n 3 momentissa tarkoitettu muutosilmoitus, jos se haluaa jatkaa vahvan sähköisen tunnistuspalvelun tarjoajana. Lain 4 luvussa tarkoitettu tarkastuskertomus, tiedot tunnistuspalvelunpalveluntarjoajan käyttämästä arviointielimestä sekä muut tämän lain 10 §:ssä edellytetyt tiedot tulee toimittaa Viestintävirastolle 31 päivään tammikuuta 2017 mennessä. Tunnistuspalvelun tarjoajan tulee ilmoittaa tiedot tarjottavista palveluista muun muassa sen, millä eIDAS-asetuksen varmuustasolla tunnistuspalvelua tarjotaan.
Ehdotetun 5 momentin mukaan Viestintäviraston tulee käsitellä tunnistuspalveluntarjoajan 3 momentissa tarkoitettu tunnistuspalvelun muutosilmoitus ja tehdä ilmoituksesta johtuvat merkinnät tunnistuslain 12 §:ssä säädettyyn rekisteriin viimeistään kolmen kuukauden kuluessa siitä, kun se on saanut muutosilmoituksen ja muut tunnistuslain 10 §:ssä säädetyt tiedot.
Ehdotetun 6 momentin ensimmäinen säännös koskisi tunnistusvälineitä, jotka on myönnetty ennen tämän lain voimaantuloa. Momentissa olisi yleinen säännös siitä, että tämän lain voimaantullessa voimassa olleiden säännösten nojalla myönnetty vahva sähköinen tunnistusväline katsotaan edelleen vahvaksi sähköiseksi tunnistusvälineeksi vähintään eIDAS-asetuksessa määritellyllä korotetulla varmuustasolla kahden kuukauden ajan tämän lain voimaantulosta. Jatko riippuisi siitä, tekeekö välineen myöntänyt tunnistuspalvelun tarjoaja Viestintävirastolle ilmoituksen aikomuksestaan jatkaa vahvan sähköisen tunnistuspalvelun tarjoajana.
Edelleen ehdotetun 6 momentin mukaan, jos tunnistuspalveluntarjoaja tekee muutosilmoituksen aikomuksestaan jatkaa vahvan sähköisen tunnistuspalvelun tarjoajana kahden kuukauden kuluessa tämän lain voimaan tulosta, tunnistuspalvelun tarjoajan aikaisemman lain mukaan myöntämä ja tämän lain voimaantulon jälkeen myöntämä tunnistusväline katsotaan vahvaksi sähköiseksi tunnistusvälineeksi vähintään korotetulla varmuustasolla, kunnes Viestintävirasto on merkinnyt tunnistuspalvelun tarjoajan tunnistuslain 12 §:ssä tarkoitettuun rekisteriin ja ellei 7 momentista muuta johdu. Ehdotetussa 7 momentissa säädettäisiin tilanteista, jolloin tunnistusväline myönnetään toisen vahvan sähköisen tunnistusvälineen perusteella eli ensitunnistamisessa käytetään jo olemassa olevaa vahvaa sähköistä tunnistusvälinettä. Viestintävirasto merkitsee edellä 3 momentin mukaisen muutosilmoituksen perusteella 12 §:ssä tarkoitettuun rekisteriin, tarjoaako tunnistuspalvelun tarjoaja palvelua eIDAS-asetuksessa määritellyllä korotetulla vai korkealla tasolla. Viestintävirasto voi merkitä rekisteriin tunnistuspalvelun tarjoajan tunnistusjärjestelmän korkean varmuustason tunnistusjärjestelmäksi, jos se täyttää EU-lainsäädännössä korkean varmuustason tunnistusjärjestelmälle asetetut vaatimukset. Ehdotetun 6 momentin tarkoitus on, että vanhat vahvat sähköiset tunnistusvälineet voivat säilyttää asemansa ja tunnistusvälineiden myöntäminen voi jatkua ilman katkosta edellyttäen, että tunnistusvälineen tarjoaja ilmoittaa 3 momentin mukaisesti aikeestaan jatkaa vahvan sähköisten tunnistusvälineiden tarjoajana.
Ehdotetussa 7 momentissa säädettäisiin tilanteista, joissa tämän lain voimaan tultua tunnistusväline myönnetään toisen vahvan sähköisen tunnistusvälineen perusteella eli ensitunnistamisessa käytetään jo olemassa olevaa vahvaa sähköistä tunnistusvälinettä. Siirtymäaikana tulee varmistaa, ettei vahvan sähköisen tunnistusvälineen ensitunnistamisessa käytetä sähköistä tunnistusvälinettä, joka ei ole enää vahva sähköinen tunnistusväline sen takia, ettei sitä tarjoava tunnistusvälineen tarjoaja tee ilmoitusta aikeestaan jatkaa vahvan sähköisen tunnistuspalvelun tarjoajana.
Säännöksen mukaan sähköinen tunnistusväline katsotaan vahvaksi sähköiseksi tunnistusvälineeksi vähintään korotetulla varmuustasolla ensinnäkin silloin, kun tunnistusväline on myönnetty viimeistään kahden kuukauden kuluessa tämän lain voimaan tulosta tämän lain 17 §:ssä tarkoitetun sähköiseen tunnistusvälineeseen perustuvan ensitunnistamisen perusteella. Säännöksessä lähdetään siitä, että lain voimaan tullessa tunnistuspalvelun tarjoajat voivat jatkaa uusien tunnistusvälineiden myöntämistä sähköisesti siten kuin lain voimaan tullessa oli säädetty. Kun kaksi kuukautta on kulunut lain voimaantulosta, uusia tunnistusvälineitä voitaisiin myöntää sähköisesti vain sellaisten tunnistusvälineiden perusteella, jonka myöntänyt tunnistusvälineen tarjoaja on tehnyt 3 momentissa tarkoitetun muutosilmoituksen aikeesta jatkaa vahvan sähköisen tunnistuspalvelun tarjoajana.
Ehdotetun 8 momentin mukaan sähköisen tunnistamisen välinettä ei pidetä enää vahvan sähköisen tunnistamisen välineenä, jos tunnistuspalveluntarjoaja ei tee edellä 3 momentissa tarkoitettua muutosilmoitusta viimeistään kahden kuukauden kuluessa tämän lain voimaan tulosta. Viestintäviraston on tällöin poistettava tunnistuspalveluntarjoaja tunnistuslain 12 §:ssä tarkoitetusta rekisteristä ja ilmoitettava rekisteristä poistamisesta tunnistuspalvelun tarjoajalle.