LIIKENNE- JA VIESTINTÄVALIOKUNNAN MIETINTÖ 12/2009 vp

LiVM 12/2009 vp - HE 36/2009 vp

Tarkistettu versio 2.1

Hallituksen esitys laiksi vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista sekä eräiksi siihen liittyviksi laeiksi

JOHDANTO

Vireilletulo

Eduskunta on 1 päivänä huhtikuuta 2009 lähettänyt liikenne- ja viestintävaliokuntaan valmistelevasti käsiteltäväksi hallituksen esityksen laiksi vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista sekä eräiksi siihen liittyviksi laeiksi (HE 36/2009 vp).

Lausunnot

Eduskunnan päätöksen mukaisesti perustuslakivaliokunta ja hallintovaliokunta ovat antaneet asiasta lausunnot (PeVL 16/2009 vp ja HaVL 9/2009 vp), jotka on otettu tämän mietinnön liitteiksi.

Asiantuntijat

Valiokunnassa ovat olleet kuultavina

neuvotteleva virkamies Kirsi Miettinen, liikenne- ja viestintäministeriö

lainsäädäntöneuvos Tuomo Antila, oikeusministeriö

ylitarkastaja Johanna Kari, sisäasiainministeriö

erityisasiantuntija Olli-Pekka Rissanen, valtiovarainministeriö

tietosuojavaltuutettu Reijo Aarnio, Tietosuojavaltuutetun toimisto, OM

lakimies Tuija Nevalainen, Finanssivalvonta

tietohallintopäällikkö Markku Kiiski, Kansaneläkelaitos

lakimies Miina Ojajärvi, Kuluttajavirasto

tietojohtaja Olli Nylander, Sosiaali- ja terveysalan lupa- ja valvontavirasto Valvira

toimialajohtaja Anna-Maija Karjalainen ja tietohallintojohtaja Lasse Skog, Valtiokonttori

johtava toiminnantarkastaja Tomi Voutilainen, Valtiontalouden tarkastusvirasto

ylitarkastaja Helena Hynynen, Verohallitus

lakimies Eeva Lantto, Viestintävirasto

rekisteröintipäällikkö Katja Häkkinen, Väestörekisterikeskus

erityisasiantuntija Tommi Karttaavi, Suomen Kuntaliitto

Business Manager Mika Vainio, Elisa Oyj

Chief Research Officer Mikko H. Hyppönen, F-Secure Oyj

tuotekehityspäällikkö Petri Heinälä, Fujitsu Services Oy

ratkaisuarkkitehti Ari Mikkola, Fujitsu Services Oy

tietoturvapäällikkö Antti Järvinen, Kesko Oyj

Security specialist Matias Seppovaara, Nordea

yksikön päällikkö Kai Koskela, Osuuspankkikeskus

lakimies Krister Kaipio, TeliaSonera Oyj

lakimies Essi Ruokanen, Finanssialan Keskusliitto

toimitusjohtaja Reijo Svento, FiCom

tietoturva-asiantuntija Antti Vähä-Sipilä

Lisäksi kirjallisen lausunnon ovat antaneet

  • liikenne- ja viestintäministeriö
  • Kilpailuvirasto
  • CSC — Tieteen tietotekniikan keskus Oy.

HALLITUKSEN ESITYS

Esityksessä ehdotetaan säädettäväksi laki vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista. Samalla voimassa oleva sähköisistä allekirjoituksista annettu laki (14/2003) ehdotetaan kumottavaksi.

Suurin osa sähköisistä palveluista ei edellytä sähköistä tunnistamista tai sähköisiä allekirjoituksia. Osassa sähköisiä palveluita voidaan kuitenkin muun muassa tehdä erilaisia oikeustoimia. Tällaiset sähköiset palvelut edellyttävät osapuolten välisen luottamussuhteen olemassaoloa. Palvelunkäyttäjän on voitava luottaa siihen, että palveluntarjoaja on palveluansa rakentaessaan ottanut huomioon tietoturvan ja yksityisyyden suojan vaatimukset. Palveluntarjoajan on puolestaan voitava luottaa siihen, että etäyhteyden päässä oleva palvelunkäyttäjä on se, joka väittää olevansa. Sähköisten palveluiden ja sähköisen asioinnin kehittyminen edellyttää siten hyvin toimivia sähköisen tunnistamisen palveluita.

Esityksen tavoitteena on luoda perustason sääntely niin sanotun vahvan sähköisen tunnistamisen palveluiden tarjonnalle Suomessa. Tavoitteena on samalla luoda puitteet toimiville vahvan sähköisen tunnistamisen palveluiden markkinoille.

Ehdotettu laki koskisi vain vahvaa sähköistä tunnistamista. Heikko sähköinen tunnistaminen jäisi siten sääntelyn ulkopuolelle. Vahva sähköinen tunnistaminen kohdistuisi luonnollisten henkilöiden tunnistamiseen. Sääntelyn ulkopuolelle jäisivät sellaiset vahvan tunnistamisen menetelmät, joita käytetään suljetuissa ympäristöissä, kuten esimerkiksi tietyn yrityksen omiin tunnistamistarpeisiin.

Ehdotettu laki sisältäisi säännökset siitä, mitä edellytyksiä tunnistusmenetelmän tulee täyttää ollakseen vahvaa. Lisäksi ehdotettu laki sisältäisi säännökset vahvan sähköisen tunnistuspalvelun tarjoajaan ja sen tarjoamaan palveluun kohdistuvista vaatimuksista. Vahvan sähköisen tunnistuspalvelun tarjoamista valvoisi Viestintävirasto.

Sähköistä allekirjoitusta koskevat säännökset vastaisivat voimassa olevaa lakia sähköisistä allekirjoituksista.

Muualla laissa olevat viittaukset sähköisistä allekirjoituksista annettuun lakiin muutettaisiin viittauksiksi lakiin vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista. Lait on tarkoitettu tulemaan voimaan 1 päivänä syyskuuta 2009.

VALIOKUNNAN KANNANOTOT

Yleisperustelut

Hallituksen esityksen perusteluista ilmenevistä syistä ja saamansa selvityksen perusteella valiokunta pitää esitystä tarpeellisena ja tarkoituksenmukaisena. Valiokunta puoltaa lakiehdotuksen hyväksymistä seuraavin huomautuksin ja muutosehdotuksin.

Yleistä

Esityksen tavoitteena on laatia perustason sääntely ja yleiset oikeudelliset puitteet vahvaa sähköistä tunnistamista koskevien palveluiden tarjonnalle Suomessa. Suomessa ei ole voimassa nimenomaisesti sähköistä tunnistamista tai sähköisen tunnistamisen palveluja koskevaa sääntelyä. Yleisesti tätä toimintaa ja palvelujen tarjontaa ohjaavat lähinnä eräät yleislait, kuten henkilötietolaki (523/1999). Esitys sisältää säännökset mm. vahvaan tunnistuspalveluun ja tunnistuspalvelun tarjoajaan kohdistuvista vaatimuksista. Sääntelyn avulla pyritään rakentamaan vahvaa sähköistä tunnistamista koskevaa luottamusta, turvaamaan palvelujen käyttäjien oikeuksien toteutuminen sekä edistämään sähköisen tunnistamisen markkinoiden ja sähköistä tunnistamista hyödyntävien palveluiden kehittymistä.

Monet sähköiset palvelut edellyttävät luottamusta palveluntarjoajan ja palvelunkäyttäjien välillä. Suurin osa sähköisistä palveluista tai sähköisestä asioinnista ei kuitenkaan edellytä sähköisen tunnistamisen tai sähköisten allekirjoitusten käyttöä. Osassa sähköisiä palveluita voidaan kuitenkin muun muassa tehdä erilaisia oikeustoimia tai niiden käyttöön liittyy jokin muu tarve tunnistaa palvelujen käyttäjät. Joidenkin palvelujen käytössä riittävän toimiva ja turvallinen vahvan sähköisen tunnistamisen palvelu voi olla palvelun tarjoamisen edellytys. Tällaisissa palveluissa palveluntarjoajan on voitava luottaa siihen, että etäyhteyden päässä oleva palvelunkäyttäjä on se, joka hän väittää olevansa. Tunnistamisen tarve riippuu kuitenkin täysin palvelun luonteesta.

Sähköisten palvelujen kehittämiseksi ja vahvan sähköisen tunnistamisen hyödyntämiseksi siellä missä sitä tarvitaan, on valiokunnan käsityksen mukaan tarpeellista laatia perustason säännökset vahvan sähköisen tunnistamisen palveluja varten. Palvelujen kehittäjät ja palveluntarjoajat tarvitsevat riittävän määrän oikeusvarmuutta voidakseen investoida palvelujen kehittämiseen, ja sääntelyn kautta voidaan pyrkiä myös vahvistamaan sitä luottamusta, jolle tunnistamista koskevat palvelut perustuvat.

Sähköisellä tunnistamisella on liityntöjä myös tietoyhteiskunnan keskeisiin perusoikeuksiin, kuten yksityiselämän suojaan ja henkilötietojen suojaan. Ehdotettu sääntely koskee vahvan sähköisen tunnistamisen palveluita, joita on mahdollista tarjota jo ennen ehdotetun lain voimaantuloa. Koska nimenomaista, näitä palveluita ja palveluiden käyttäjien oikeuksia suojaavaa lainsäädäntöä ei aiemmin ole Suomessa ollut, valiokunta katsoo, että kansalaisten ja tunnistamisvälineiden haltijoiden oikeuksien turvaamisen kannalta ehdotus merkitsee selvää parannusta ennen kaikkea palveluille ja palveluntarjoajille asetettavien vaatimusten johdosta.

Valiokunta pitää esitystä osin valitettavan vaikeaselkoisena ja monimutkaisena. Lisäksi esitykseen sisältyy kysymyksiä, jotka valiokunnan näkemyksen mukaan olisi ollut toivottavaa ratkaista keskeisten toimijoiden välisin neuvotteluin jo ennen esityksen antamista. Esityksen vaikeaselkoisuus on näkynyt myös asiantuntijakuulemisissa siten, että asiantuntijoiden näkemykset ovat osin eronneet toisistaan huomattavastikin. Valiokunnan käsityksen mukaan tämä johtuu toisaalta sääntelyn kohteen poikkeuksellisen teknisestä ja monimutkaisesta luonteesta, mutta myös siitä, että teknisessä ja nopeasti kehittyvässä toimintaympäristössä on välttämätöntä pyrkiä teknologianeutraaliin sääntelyyn. On selvää, että pyrkimys teknologianeutraaliuteen ei aina edistä sääntelyn täsmällisyyttä ja tarkkarajaisuutta koskevien vaatimusten toteutumista. Lisäksi ehdotuksessa pyritään sääntelemään elämänaluetta, jolla lähivuosina syntyvien palveluiden luonne ja markkinoiden kehitys ei ole kaikilta yksityiskohdiltaan vielä nähtävissä. Sääntelyn kohteen luonne vaikeuttaa etukäteistä vaikutusten arviointia ja tekee osittain ymmärrettäväksi sen, että asiasta on olemassa asiantuntijoidenkin keskuudessa erilaisia näkemyksiä.

Valiokunnan näkemyksen mukaan esityksen edellä mainitut piirteet lisäävät olennaisesti sääntelyn jälkikäteisen seurannan ja muutostarpeiden arvioinnin tarvetta. Valiokunta korostaa, että mikäli sääntelyssä ilmenee esimerkiksi teknisen kehityksen myötä ennalta-arvaamattomia vaikutuksia, tulee tarvittavien lainsäädännön muutosten valmisteluun olla olemassa valmiudet nopeallakin aikataululla. Valiokunta korostaa, että lain vaikutusten arvioinnissa tulee hyödyntää ja ottaa huomioon tunnistuspalvelun tarjoajien lisäksi myös tunnistuspalveluja käyttävien toimijoiden asiantuntemus ja näkemykset. Valiokunta edellyttää, että liikenne- ja viestintäministeriön on annettava liikenne- ja viestintävaliokunnalle selvitys lain toimivuudesta ja vaikutuksista viimeistään vuoden 2010 loppuun mennessä (Valiokunnan lausumaehdotus).

Valiokunta pitää tärkeänä tukea tietoyhteiskuntakehitystä ja luoda sähköisten palveluiden kehittymisen edellytyksiä. Vahvaa sähköistä tunnistamista koskeva lainsäädäntö voi omalta osaltaan olla edesauttamassa uudenlaisten ja kansalaisten kannalta tärkeiden palveluiden syntyä.

Soveltamisala

Ehdotettu laki koskee vain vahvaa sähköistä tunnistamista. Heikko sähköinen tunnistaminen jää siten kokonaan sääntelyn ulkopuolelle. Vahvalla sähköisellä tunnistamisella tarkoitetaan henkilön sähköistä tunnistamista, joka perustuu vähintään kahteen seuraavista kolmesta vaihtoehdosta: salasanaan tai johonkin muuhun sellaiseen, jonka tunnistusvälineen haltija tietää, sirukorttiin tai johonkin muuhun sellaiseen, joka tunnistusvälineen haltijalla on hallussaan, tai sormenjälkeen tai johonkin muuhun tunnistusvälineen haltijan yksilöivään ominaisuuteen.

Sääntely koskee luonnollisten henkilöiden vahvaa tunnistamista ja sitä koskevia palveluita, eli sääntely ei sisällä juurikaan säännöksiä työ- tai muussa vastaavassa roolissa tapahtuvasta tunnistamisesta. Valiokunta pitää tärkeänä, että ehdotettu sääntely ei kuitenkaan estä roolitiedon liittämistä tunnistusvälineeseen. Edelleen lakia sovellettaisiin ainoastaan palveluiden tarjoamiseen yleisölle. Sääntelyn ulkopuolelle jäisivät siten myös sellaiset vahvan tunnistamisen menetelmät, joita käytetään suljetuissa ympäristöissä, kuten esimerkiksi tietyn yrityksen omien tietojärjestelmien tunnistamistarpeisiin tai yhteisön omien asiakkaidensa tunnistamiseen sen omissa palveluissa. Valiokunta kiinnittää huomiota siihen, että jatkossa tulisi pyrkiä arvioimaan myös vahvan tunnistamisen määritelmän ulkopuolisen ja suljetuissa ympäristöissä käytettävän tunnistamisen mahdollinen sääntelyn tarve.

Asiantuntijakuulemisissa on tuotu esille toiveita laajentaa esityksen soveltamisalaa mm. kaikkeen sähköiseen tunnistamiseen pelkän vahvan tunnistamisen sijasta ja esimerkiksi yhteisöjen sisäiseen sähköiseen tunnistamiseen. Valiokunta pitää esitettyä soveltamisalaa tässä vaiheessa pääosin oikeaan osuneena. Sääntelystä saatavien käytännön kokemusten ja vaikutusarviointien myötä on mahdollista arvioida soveltamisalan laajuutta ja sen tarkoituksenmukaisuutta ilman palvelukehitystä ja menetelmien käytön yleistymistä rajoittavaa ylisääntelyn vaaraa. Valiokunta pitää kuitenkin tärkeänä, että lain vaikutuksia ja markkinoiden kehitystä seurataan jatkuvasti myös lain soveltamisalan kannalta.

Valiokunta ehdottaa esityksen soveltamisalaan eräitä muutoksia, joiden myötä lain soveltamisala selkeytyy ja tarkentuu valiokunnan käsityksen mukaan huomattavasti. Samalla ehdotuksilla selkeytetään lain valvonnasta vastaavien viranomaisten tehtäviä.

Tunnistusvälineen haltijan oikeudet

Perustuslakivaliokunnan lausunnon (PeVL 16/2009 vp) mukaan lakiehdotuksessa säänneltyjä sähköisen tunnistamisen palveluita voidaan nykyään pitää eräänlaisina tietoyhteiskunnan peruspalveluina. Niiden tarjoamiseen liittyy useita tietoyhteiskunnan perusoikeuksien — etenkin perustuslain 10 §:n 1 momentissa turvatun yksityiselämän ja henkilötietojen suojan —kannalta merkittäviä piirteitä. Perustuslakivaliokunnan mukaan ehdotettu sääntely on palvelujen laatuvaatimusten kannalta pääosiltaan asianmukaista ja riittävää. Jonkinlaisena puutteena perustuslakivaliokunnan mukaan voidaan pitää sitä, että kohdistuessaan ensisijaisesti palveluntarjoajiin sääntely ei juurikaan sisällä tietoyhteiskunnan perusoikeuksien toteutumiseen kytkeytyviä tunnistusvälineen hakijan tai haltijan kannalta olennaisia oikeuksia. Tällaisiksi voidaan tosin osaltaan nähdä eräät palveluntarjoajien velvollisuuksia koskevat samoin kuin esimerkiksi haltijan vastuuta tunnistusvälineen (27 §) ja allekirjoituksen luomistietojen (40 §) oikeudettoman käytön tilanteessa rajoittavat säännökset. Perustuslakivaliokunnan mielestä palvelujen saatavuuden kannalta keskeistä on kuitenkin lisäksi säätää hakijan oikeudesta saada tunniste tai varmenne siinä tapauksessa, että tämä täyttää niiden saamisen edellytykset. Lausunnossa kiinnitettiin huomiota myös siihen, että tunnistuspalvelun tarjoajan vastuusta tunnistusvälineeseen luottaneelle aiheutuneesta vahingosta on säännelty varsin ylimalkaisesti. Perustuslakivaliokunnan mukaan sääntelyä on näiltä osin vielä syytä pyrkiä täydentämään.

Liikenne- ja viestintävaliokunta pitää tietoyhteiskunnan perusoikeuksia ja kansalaisten tasapuolista kohtelua näiden toteutumisen turvaamiseksi ensiarvoisen tärkeänä. Liikenne- ja viestintävaliokunta katsoo, että tietoyhteiskuntakehityksen myötä saattaa tulevaisuudessa syntyä tilanteita, joissa jokin kansalaisten kannalta tärkeä palvelu on enää saatavilla vain rajoitetusti muutoin kuin sähköisesti, jolloin tunnistamisvälineen tarve esimerkiksi jonkin tietyn hallinnonalan julkisten palvelujen saatavuuden kannalta saattaa korostua nykyisestä. Valiokunta katsoo, että vaikka nyt käsittelyssä oleva esitys koskee kaikkia tunnistamispalvelujen tarjoajia koskevia yleisiä sääntöjä tilanteessa, joka ei vielä lähitulevaisuudessa anna vakavaa aihetta tämänkaltaiseen huoleen, ehdotukseen on myös perustuslakivaliokunnan lausunto huomioon ottaen syytä lisätä säännös tunnistuspalvelun tarjoajan velvollisuudesta kohdella asiakkaitaan syrjimättä ja kohdella tunnistamisvälineiden hakijoita tasapuolisesti tunnistusvälineen liikkeelle laskemista koskevan sopimuksen tekemisen yhteydessä. Vastaava säännös tulee lisätä myös laatuvarmenteita tarjoavan varmentajan velvoitteisiin.

Valiokunta korostaa, että esityksessä on säädetty laatuvarmenteiden tarjoamisen osalta vahingonkorvausvastuusta yksityiskohtaisesti, koska laatuvarmenteiden tarjoajan ja laatuvarmenteeseen luottavan osapuolen välillä ei ole lainkaan sopimussuhdetta. Tällaisessa tilanteessa on luonnollista, että suurelta osin luottamukseen perustuvan järjestelmän käytön mahdollistaminen ja luottavan osapuolen oikeuksien turvaaminen edellyttävät myös ehdotetunlaisesta vahingonkorvausvastuusta säätämistä. Ehdotuksessa säännellyissä tunnistuspalveluissa sen sijaan tunnistuspalvelun tarjoajan ja tunnistusvälineen haltijan välillä on sopimussuhde tunnistuspalvelun käyttämisestä. Tunnistuspalvelussa tunnistusvälineen haltija on valiokunnan käsityksen mukaan luottavan osapuolen sijasta rinnastettava laatuvarmenteen haltijaan, jonka vastuunrajoituksista allekirjoituksen luomistietojen oikeudettoman käytön osalta säädetään ensimmäisen lakiehdotuksen 40 §:ssä täysin tunnistusvälineen haltijan vastuunrajoituksista 27 §:ssä säädettyä vastaavalla tavalla. Varmentajan ja allekirjoittajan välisessä suhteessa vahingonkorvausvastuu määräytyy lähtökohtaisesti yleisten sopimusperusteista korvausvastuuta koskevien periaatteiden mukaisesti. Valiokunta katsoo, että myös tunnistuspalvelun tarjoajan ja tunnistusvälineen haltijan välisessä suhteessa vahingonkorvausvastuun tulee määräytyä vastaavalla tavalla.

Tunnistusvälineen haltijan vastuu tunnistusvälineen oikeudettomasta käytöstä on esityksen 27 §:ssä rajattu asianmukaisesti vain tiettyihin selkeästi tunnistusvälineen haltijan syyksi luettaviin tilanteisiin. Pääsäännön mukaan vahvan sähköisen tunnistusvälineen haltija vastaa välineen oikeudettomasta käytöstä vain, jos hän on luovuttanut välineen toiselle, jos välineen katoaminen, joutuminen oikeudettomasti toisen haltuun tai oikeudeton käyttö johtuu hänen huolimattomuudestaan tai jos hän on laiminlyönyt ilmoittaa palveluntarjoajalle tai sen ilmoittamalle muulle taholle välineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä ilman aiheetonta viivytystä sen havaittuaan. Ensimmäisen lakiehdotuksen vahvaa sähköistä tunnistamista koskeva 3 luku sisältää kokonaisuutena 20 pykälää. Näistä kahdessa eli ehdotetuissa 23 ja 25 §:ssä asetetaan velvoitteita myös tunnistusvälineen haltijalle. Muut esityksen 18 pykälää sisältävät säännöksiä tunnistuspalvelun tarjoajaan ja sen tarjoamaan palveluun kohdistuvista vaatimuksista ja velvollisuuksista sekä viranomaisvalvonnasta. Näiden säännösten yhtenä keskeisenä tarkoituksena on käyttäjien eli tunnistusvälineen haltijoiden oikeuksien turvaaminen. Säännökset ovat kuluttajan suhteen pakottavia, eli niistä ei voida sopimuksella poiketa kuluttajan vahingoksi. Valiokunnan mielestä on olennaista huomata, että ehdotettu sääntely koskee vahvan sähköisen tunnistamisen palveluita, joita on mahdollista tarjota jo ennen ehdotetun lain voimaantuloa. Koska nimenomaista, näitä palveluita ja niiden käyttäjien oikeuksia suojaavaa lainsäädäntöä ei aiemmin ole ollut, valiokunta katsoo, että kansalaisten ja tunnistamisvälineiden haltijoiden oikeuksien turvaamisen kannalta ehdotus merkitsee selvää parannusta palveluille ja palvelun tarjoajille asetettavien vaatimusten johdosta. Saamansa selvityksen perusteella valiokunta katsoo, että esityksessä on valiokunnan ehdottama syrjimätöntä ja tasapuolista kohtelua koskeva lisäys huomioon ottaen otettu muilta osin riittävällä tavalla huomioon tunnistusvälineen haltijan oikeudet säätämällä kattavasti mm. tunnistuspalvelun tarjoajan velvollisuuksista, palveluntarjonnassa noudatettavista menettelytavoista sekä tunnistusvälineen haltijan vastuuta koskevista rajoituksista.

Valiokunta on kuitenkin pohtinut myös kysymystä siitä, voiko teknisellä ja vaikeasti hahmotettavalla sähköisellä toimintaympäristöllä, uudenlaisilla sähköisillä palveluilla ja vahvan kiistämättömyysvaikutuksen luovilla tunnistamismenetelmillä olla tulevaisuudessa niiden tarjoamien etujen lisäksi myös negatiivisia yhteisvaikutuksia esimerkiksi silloin, jos kansalaisille tehdään hyvinkin helpoksi sitoutua vaikeasti hahmotettavissa olevissa palveluissa sellaisiin sitoumuksiin, joiden seuraamuksia he eivät ole kyenneet täysin arvioimaan. Valiokunnan mielestä on tärkeää, että tietoyhteiskuntakehityksen erilaisia vaikutuksia seurataan jatkossa ja arvioidaan, tarvitaanko tulevaisuudessa, joko yleisesti tai esimerkiksi jollakin tietyllä julkishallinnon sektorilla, sähköisiä palveluita tai tunnistamispalveluita koskevaa tarkempaa sääntelyä tai muita toimenpiteitä kansalaisten oikeuksien ja palvelujen saatavuuden varmistamiseksi.

Ajokortin käyttö ensitunnistamisessa

Ensimmäisen lakiehdotuksen 51 §:n 5 momentin siirtymäsäännöksen mukaan tunnistuspalvelun tarjoaja ja laatuvarmenteita tarjoava varmentaja voivat käyttää ensitunnistamisessa Euroopan talousalueen jäsenvaltion viranomaisen 1 päivänä lokakuuta 1990 jälkeen myöntämää voimassa olevaa ajokorttia 31 päivään joulukuuta 2012 asti. Hallintovaliokunta katsoi lausunnossaan (HaVL 9/2009 vp), että ensimmäistä lakiehdotusta tulee muuttaa siten, että tunnistuspalvelun tarjoaja ja laatuvarmenteita tarjoava varmentaja voivat käyttää ensitunnistamisessa Euroopan talousalueen jäsenvaltion viranomaisen 1 päivänä lokakuuta 1990 jälkeen myöntämää voimassa olevaa ajokorttia vuoden 2012 jälkeenkin. Hallintovaliokunta totesi, että käytännön tilanne on tällä hetkellä se, että ajokortti kelpuutetaan Suomessa yleisesti henkilöllisyyden osoittamiseen ja että tätä oikeustilaa, johon kansalaiset ovat tottuneet, ei ole syytä muuttaa.

Liikenne- ja viestintävaliokunta toteaa, että asiantuntijakuulemisessa on tuotu esille erilaisten ajokorttien käytöstä ensitunnistamisessa hyvin erilaisia näkemyksiä. Toisaalta on tuotu esille ajokortteihin liittyvien turvatekijöiden puutteita ja ensitunnistamisen merkitystä koko tunnistamispalvelun luotettavuuden kannalta. Toisaalta taas on tuotu esille, että ajokortti on tällä hetkellä yleisin ja varsin turvallinen henkilöllisyyden osoittamisen asiakirja, jonka käytön kieltäminen saattaisi olla tunnistusvälineiden hakijoiden kannalta joustamaton ja palvelukehitystä rajoittava tekijä.

Valiokunta korostaa ensitunnistamisen merkitystä tunnistamispalvelun luotettavuuden kannalta, mutta pitää tarkoituksenmukaisena, että ajokortin asema yleisenä tunnistamisasiakirjana otetaan riittävällä tavalla huomioon. Liikenne- ja viestintävaliokunta katsoo, että siirtymäsäännöksessä viitatun kaltaisen ajokortin hyväksymisen ensitunnistamisessa tulisi olla palveluntarjoajille mahdollista ilman siirtymäaikaa. Ehdotetulla muutoksella säilytettäisiin tunnistamispalvelun tarjoajilla myös valinnan mahdollisuus oman palvelunsa osalta siitä, pitääkö se ajokorttia palvelunsa kannalta riittävän turvallisena käytettäväksi ensitunnistamiseen. Valiokunta kuitenkin korostaa, että ajokortin asema ensitunnistamisessa tulee arvioida sääntelystä saatavien käytännön kokemusten myötä perusteellisesti lähivuosien aikana.

Anonyymit sähköiset palvelut ja sähköinen asiointi

Valiokunta pitää tärkeänä, että sähköisissä palveluissa ja asioinnissa mahdollistetaan palvelun tyypin niin mahdollistaessa myös anonyymi palvelujen käyttö ja asioiminen. Esityksellä säänneltävät vahvan sähköisen tunnistamisen menetelmät mahdollistavat myös käyttötilanteita, joissa tunnistuspalvelun tarjoaja toimittaa tunnistuspalvelua käyttävälle palveluntarjoajalle vain tietyt palvelunkäytössä tarvittavat tiedot. Tällaisissa tilanteissa palveluntarjoaja ei välttämättä tarvitse palvelunkäyttäjästä muuta tietoa kuin esimerkiksi tiedon siitä, onko palvelun käyttäjä täysi-ikäinen. Valiokunta pitää tärkeänä, että kuvatunlaisten palveluiden kehittämiselle ja yleistymiselle ei ole olemassa lainsäädännössä perusteettomia esteitä. Valiokunnan käsityksen mukaan esitys mahdollistaa niin sanottujen anonyymien tunnistuspalvelujen kehittämisen ja tarjoamisen.

Viestintäviraston maksut

Asiantuntijakuulemisessa on tuotu esille huoli siitä, että Viestintäviraston ehdotetun lain noudattamisen valvonnasta perimät maksut ovat liian korkeita tunnistuspalvelun tarjoajien ja markkinoiden koon näkökulmasta ja että maksuilla voi olla tästä syystä myös palvelujen tarjontaa ja kehittämistä rajoittavia vaikutuksia. Toisaalta taas asiantuntijakuulemisissa on tuotu esille valvovan viranomaisen resurssien turvaamisen tärkeys. Valiokunta pitää saamansa selvityksen perusteella tärkeänä, että maksujen tasoa ja maksuista aiheutuvia vaikutuksia seurataan jatkossa ja arvioidaan sekä palvelujen ja markkinoiden toiminnasta että viranomaisvalvonnan toiminnasta saatujen käytännön kokemusten pohjalta, tulisiko maksujen tasoa tai määräytymistä arvioida tarvittaessa pikaisellakin aikataululla uudelleen. Valiokunta korostaa, että luottamukseen perustuvia tunnistamispalveluita koskevan viranomaisvalvonnan toimintamahdollisuuksien ja riittävien resurssien varmistaminen on erittäin tärkeää sääntelyllä tavoiteltavien vaikutusten saavuttamiseksi ja tunnistusvälineen haltijoiden oikeuksien turvaamiseksi.

Kansainvälinen näkökulma

Viestintäverkot, joiden kautta sähköistä tunnistamista hyödyntäviä sähköisiä palveluja tarjotaan, ovat tyypillisesti luonteeltaan valtioiden rajat ylittäviä. Asiantuntijakuulemisessa on tuotu esille myös huolenaiheita siitä, että esitetty kansallinen sääntely kansainvälisessä toimintaympäristössä saattaa olla rajoittava tekijä kotimaisten palvelukehittäjien ja yritysten kannalta. Valiokunta näkee kuitenkin, että esityksen kaltainen, ei liian rajoittava, mutta oikeusvarmuutta luova perustason sääntely on ennemminkin etu kotimaisille toimijoille, joiden tarjoamille palveluille luodaan pelisäännöt huolehtien kuitenkin samalla riittävästi palveluiden käyttäjien tarpeista ja oikeuksista. Valiokunta pitää kuitenkin tärkeänä, että esityksen vaikutuksia seurataan tältäkin osin ja osallistutaan aktiivisesti sekä EU-tason että muun kansainvälisen tason mahdolliseen tulevaan aihetta koskevaan lainsäädäntö- ja muuhun vastaavaan yhteistyöhön.

Sähköiset allekirjoitukset

Laatuvarmenteiden tarjontaa ja sähköisiä allekirjoituksia koskevien ensimmäisen lakiehdotuksen 4 luvun säännösten osalta esitys vastaa lähes täysin voimassa olevaa lakia. Tältä osin valiokunta pitää ehdotusta saamansa selvityksen perusteella tarkoituksenmukaisena. Esityksen 4 §:ään ja 5 §:n 1 momenttiin sisältyvät säännökset mm. siitä, että tunnistusvälineitä voidaan käyttää myös sähköisten allekirjoitusten tai oikeustoimien tekemiseen. Valiokunta pitää saamansa selvityksen perusteella selvänä, että täsmälleen samanlaisia teknisiä välineitä voidaan käyttää sekä tunnistamiseen että sähköisten allekirjoitusten laatimiseen. Valiokunta pitää myös selvänä, että 4 ja 5 §:ssä säädetty koskee varsinaisten oikeustoimien lisäksi myös erilaisten asiakirjojen, pöytäkirjojen ja vastaavien dokumenttien allekirjoittamista.

Yksityiskohtaiset perustelut

1. Laki vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista

1 § Soveltamisala.

Lakiehdotuksen 1 §:n 2 momentin sanamuoto on tulkinnanvarainen siltä osin, koskeeko sanamuoto "yhteisön sisäinen" yhteisön sisäiseen tunnistamiseen käytettävien palveluiden tarjonnan lisäksi myös sähköiseen allekirjoittamiseen käytettävien palveluiden tarjontaa. Valiokunta ehdottaa selkeyden vuoksi, että 2 momenttiin lisätään sanat "käytettävien palveluiden" ja sanat "yhteisön sisäiseen". Tarkennuksella ei muuteta ehdotuksen oikeudellista sisältöä.

Esityksen 1 §:n 3 momenttiin sisältyy soveltamisalaa koskeva rajaus, jonka mukaan lakia ei sovelleta suljettuihin järjestelmiin, jossa yhteisö käyttää omaa vahvaa sähköistä tunnistamismenetelmäänsä yksinomaan omien asiakkaidensa tunnistamiseen omissa palveluissaan. Näissä palveluissa olisi kuitenkin noudatettava esityksen 3 §:n, 20 §:n 1 momentin, 21—22 §:n, 23 §:n 1 momentin, 25 §:n 1 momentin ja 2 momentin sekä 27 §:n 1 momentin, 2 momentin 1 kohdan ja 3 momentin säännöksiä. Kyseisten säännösten noudattamista valvoisi esityksen mukaan kuluttaja-asiamies kuluttajasuhteissa. Muutoin lain noudattamisen valvonta olisi pääosin Viestintäviraston tehtävä.

Asiantuntijalausunnoissa on tuotu esille, että 1 §:n 3 momentin soveltamisalaa koskevan säännöksen valvonta on käytännössä mahdotonta. Valiokunta ehdottaa, että 1 §:n 3 momentin 1—8 kohta poistetaan.

Lakiehdotuksen 1 §:n 3 momentin sanamuoto on tulkinnanvarainen myös siinä suhteessa, mitkä säännöksessä tarkoitetuista yhteisön omien asiakkaiden tunnistamiseen käytettävistä tunnistamismenetelmistä kuuluvat lain soveltamisalaan. Ehdotuksen tarkoituksena on, että esimerkiksi tunnistamismenetelmät kuuluvat lain soveltamisalaan vain siltä osin kuin yhteisö tarjoaa tunnistusmenetelmää tunnistuspalvelun kautta muille palveluntarjoajille käytettäväksi näiden muiden palveluntarjoajien asiakkaiden tunnistamiseen. Valiokunta ehdottaa, että 1 §:n 3 momentista poistetaan sana "yksinomaan" ja lisätään 3 momentin loppuun sanat "omissa palveluissaan".

7 § Väestötietojärjestelmään tallennettujen tietojen käyttäminen.

Esityksen 7 §:n 1 momenttiin sisältyy lakiviittaus esityksen 6 §:n 1 momenttiin. Koska samassa lauseessa on edellä viitattu henkilötietolakiin, on esityksen sanamuoto epäselvä siltä osin, kumpaan lakiin viittaus kohdistuu. Valiokunta ehdottaa kyseisen lakiviittauksen täsmentämistä siten, että viittaus kohdistuu selkeästi nyt käsiteltävänä olevaan esitykseen. Muutos on puhtaasti lakitekninen, eikä sillä muuteta ehdotuksen oikeudellista sisältöä.

15 § Tunnistuspalvelun tarjoajan tiedonantovelvollisuus ennen sopimuksen tekemistä.

Esityksen 15 §:n 1 momentin 2 kohdan mukaan tunnistuspalvelun tarjoajan on ennen tunnistusvälineen hakijan kanssa tehtävän sopimuksen tekemistä annettava hakijalle tiedot tarjottavista palveluista. Ehdotuksen perustelujen mukaan tiedot on annettava tarjottavista palveluista ja hinnoista. Valiokunta pitää tarpeellisena, että hintoja koskeva tiedonantovelvollisuus lisätään 15 §:n 1 momentin 2 kohtaan.

16 § Tunnistuspalvelun tarjoajan velvollisuus ilmoittaa tietoturvaan ja tietojen suojaamiseen kohdistuvista uhkista tai häiriöistä.

Esityksen 16 §:n 1 momentin mukaan tunnistuspalvelun tarjoajan on ilmoitettava tunnistuspalvelua käyttäville palveluntarjoajille, tunnistusvälineiden haltijoille sekä Viestintävirastolle palvelun tietoturvaan kohdistuvista merkittävistä uhkista tai häiriöistä. Valiokunta toteaa, että tietoturvaa koskevissa uhka- ja häiriötilanteissa on usein hyvin tärkeää, miten nopeasti pystytään ryhtymään tarvittaviin torjunta- ja korjaustoimenpiteisiin ongelmista aiheutuvien vahinkojen ja haittojen minimoimiseksi. Tästä syystä valiokunta ehdottaa, että 16 §:n 1 momenttiin lisättäisiin täsmennys, jonka mukaan tunnistuspalvelun tarjoajan tulee ilmoittaa uhkista ja häiriöistä ilman aiheetonta viivästystä.

17 § Tunnistusvälineen hakijan ensitunnistaminen.

Ehdotetun 17 §:n 1 momentin mukaan tunnistuspalvelun tarjoajan on tunnistettava tunnistusvälineen hakija huolellisesti toteamalla hänen henkilöllisyytensä voimassa olevasta Euroopan talousalueen jäsenvaltion, Sveitsin tai San Marinon viranomaisen myöntämästä passista tai henkilökortista. Halutessaan tunnistuspalvelun tarjoaja voi käyttää ensitunnistamisessa myös muun valtion viranomaisen myöntämää voimassa olevaa passia. Valiokunta ehdottaa, että 17 §:n 1 momentin viimeiseen lauseeseen lisättäisiin maininta siitä, että tunnistuspalvelun tarjoaja voi halutessaan käyttää ensitunnistamisessa myös Euroopan talousalueen jäsenvaltion viranomaisen 1 päivän lokakuuta 1990 jälkeen myöntämää voimassa olevaa ajokorttia.

19 § Varmenteen tietosisältö.

Esityksen 19 §:n 2 momentin mukaan varmennepalvelun tarjoajan tulee omalta osaltaan varmistaa, että tunnistuspalvelua käyttävällä palveluntarjoajalla on saatavillaan varmenteen tietosisältö. Ehdotuksen 8 §:n 2 momentissa taas säädetään, että 8 §:n 1 momentissa säädetyt tunnistusmenetelmää koskevat vaatimukset eivät estä palvelun tarjoamista palvelukohtaisesti siten, että tunnistuspalvelun tarjoaja ilmoittaa tunnistuspalvelua käyttävälle palveluntarjoajalle tunnistusvälineen haltijan salanimen tai ainoastaan rajoitetun määrän henkilötietoja. Valiokunnan saaman selvityksen mukaan ehdotettu 8 §:n 2 momentti mahdollistaa edellä kuvatun anonyymin sähköisten palvelujen käytön. Ehdotettu 19 §:n 2 momentti taas liittyy tietynlaiseen tunnistamistilanteeseen, jossa tunnistamiseen luottavan osapuolen tulee yleensä saada tietoonsa tunnistamiseen käytettävän varmenteen tietosisältö. Valiokunta kuitenkin toteaa, että edellä kuvatun sääntelyn selkeyttämiseksi 19 §:n 2 momentin loppuun tulee lisätä tarkennus siitä, että varmennepalvelun tarjoajan velvollisuus varmistaa, että tunnistuspalvelua käyttävällä palveluntarjoajalla on saatavillaan varmenteen tietosisältö, koskee vain tilanteita, joissa se on tarpeen tunnistamisen toteuttamiseksi.

20 § Tunnistusvälineen liikkeelle laskeminen.

Perustuslakivaliokunnan mielestä palvelujen saatavuuden kannalta keskeistä on säätää hakijan oikeudesta saada tunniste tai varmenne siinä tapauksessa, että tämä täyttää niiden saamisen edellytykset. Liikenne- ja viestintävaliokunta ehdottaa, että 20 §:n 1 momentin loppuun lisätään säännös tunnistamispalvelun tarjoajan velvollisuudesta kohdella asiakkaitaan syrjimättä ja velvollisuudesta kohdella tunnistamisvälineiden hakijoita tasapuolisesti sopimuksen tekemisen yhteydessä. Kysymys ei ole sopimuspakosta, vaan mm. siitä, että tunnistuspalvelun tarjoajan tulee soveltaa tasapuolisesti tunnistusvälineen hakijoihin niitä määrittelemiään ehtoja, joilla se sopimuksia säännönmukaisesti tekee.

27 § Tunnistusvälineen haltijan vastuu tunnistusvälineen oikeudettomasta käytöstä.

Ehdotetun 27 §:n 2 momentin 2 kohdassa on viitattu 25 §:n 2 momentissa säädettyyn milloin tahansa tehtävissä olevaan tunnistamisvälineen peruuttamista tai käytön estämistä koskevaan ilmoitukseen. Koska kyseisten säännösten sanamuodot eroavat toisistaan, valiokunta ehdottaa säännösten yhtenäistämiseksi, että ehdotetussa 27 §:n 2 momentin 2 kohdassa käytetty ilmaisu "jatkuvasti" muutetaan sanoiksi "milloin tahansa". Lisäksi valiokunta ehdottaa pykälän otsikkoa muutettavaksi vastaamaan paremmin pykälän sisältöä.

35 § Laatuvarmenteen liikkeelle laskeminen.

Perustuslakivaliokunnan mielestä palvelujen saatavuuden kannalta keskeistä on säätää hakijan oikeudesta saada tunniste tai varmenne siinä tapauksessa, että tämä täyttää niiden saamisen edellytykset. Valiokunta viittaa edellä 20 §:stä sanottuun ja toteaa, että laatuvarmenteita tarjoavan varmentajan osalta voimassa olevaan lakiin on sisältynyt asiakkaiden syrjimätöntä kohtelua koskeva vaatimus. Tästä syystä ja perustuslakivaliokunnan lausunnon johdosta valiokunta ehdottaa, että esityksen 35 §:n 1 momenttiin lisätään säännös varmentajan velvollisuudesta kohdella asiakkaitaan syrjimättä ja laatuvarmenteiden hakijoita tasapuolisesti sopimuksen tekemisen yhteydessä.

42 § Yleinen ohjaus ja valvonta.

Valiokunta viittaa edellä 1 §:n 3 momentin yhteydessä sanottuun ja ehdottaa, että 1 §:n 3 momentin 1—8 kohdan poistamisen takia myös kuluttaja-asiamiehen valvontavaltaa koskeva 42 §:n 4 momentti poistetaan tarpeettomana. Valiokunnan saaman selvityksen mukaan kuluttaja-asiamiehen valvonta voi kuluttajasuhteissa perustua yleiseen kuluttajansuojalainsäädäntöön ja kuluttaja-asiamiehen ratkaisukäytäntöön.

43 § Tiedonsaantioikeus.

Esityksen 29 §:ssä säädetään tarkastuslaitoksista, joiden tehtävänä on arvioida, täyttääkö allekirjoituksen luomisväline esityksen 28 §:n 1 momentissa säädetyt vaatimukset. Viestintävirasto nimeää tarkastuslaitokset ja valvoo niiden toimintaa. Suomessa ei ole toistaiseksi nimetty yhtään tarkastuslaitosta. Valiokunta pitää kuitenkin tarkoituksenmukaisena, että ehdotetun 43 §:n Viestintäviraston tiedonsaantioikeutta koskevaan säännökseen lisätään tarkastuslaitos, jotta Viestintävirastolla on tarvittaessa oikeus saada myös tarkastuslaitokselta 42 §:ssä säädettyjen tehtävien suorittamiseksi tarpeelliset tiedot.

44 § Viranomaisten välinen yhteistyö ja oikeus luovuttaa tietoja.

Ehdotetun 44 §:n 1 momentissa säädetään Viestintäviraston ja tietosuojavaltuutetun oikeudesta luovuttaa Finanssivalvonnalle salassapitosäännösten estämättä sellaisia tietoja, jotka ovat tarpeen sen tehtävien suorittamiseksi. Sen lisäksi ehdotetussa 44 §:n 2 momentissa säädetään Viestintäviraston ja tietosuojavaltuutetun velvollisuudesta toimia yhteistyössä sekä keskenään että Finanssivalvonnan, Kilpailuviraston ja Kuluttajaviraston kanssa. Saamansa selvityksen perusteella valiokunta toteaa, että myös Finanssivalvonnan on perusteltua voida lakiehdotuksen viranomaisvalvonnan toiminnan varmistamiseksi luovuttaa tietoja Viestintävirastolle ja tietosuojavaltuutetulle. Valiokunta ehdottaa, että 44 §:n 1 momentin loppuun lisätään säännös Finanssivalvonnan vastaavasta oikeudesta luovuttaa salassapitosäännösten estämättä Viestintävirastolle ja tietosuojavaltuutetulle tietoja, jotka ovat tarpeen niiden tässä laissa säädettyjen tehtävien suorittamiseksi.

46 § Tarkastusoikeus.

Ehdotetun 46 §:n 1 momentin mukaan Viestintävirastolla on oikeus tehdä tai teettää tunnistuspalvelun tarjoajaa ja sen tarjoamaa palvelua koskeva tarkastus, jos sillä on syytä epäillä, että palveluntarjoaja on olennaisesti rikkonut tätä lakia tai sen nojalla annettuja määräyksiä. Ehdotetun 2 momentin mukaan Viestintävirasto tekee tai teettää vuosittain laatuvarmenteita tarjoavan varmentajan ja sen tarjoamaa palvelua koskevan tarkastuksen. Valiokunta pitää ehdotettua tarkastusoikeutta tärkeänä esityksen noudattamisen valvonnan kannalta. Valiokunnan näkemyksen mukaan myös 29 §:ssä tarkoitetun tarkastuslaitoksen ja laatuvarmenteita tarjoavan varmentajan kohdalla pitäisi olla mahdollisuus suorittaa vastaava tarkastus, jos Viestintävirastolla on syytä epäillä, että ne ovat olennaisesti rikkoneet tätä lakia tai sen nojalla annettuja määräyksiä. Pelkkä vuosittaisen tarkastuksen mahdollisuus ei ole laatuvarmenteita tarjoavan varmentajan kohdalla riittävä lain noudattamisen valvonnan kannalta. Valiokunta ehdottaa, että 46 §:n 1 momenttiin lisätään Viestintävirastolle oikeus tehdä myös tarkastuslaitosta ja sen toimintaa sekä laatuvarmenteita tarjoavaa varmentajaa ja sen tarjoamaa palvelua koskeva tarkastus, jos sillä on syytä epäillä, että ne ovat olennaisesti rikkoneet tätä lakia tai sen nojalla annettuja määräyksiä.

Ehdotettuun 46 §:ään sisältyy myös ehdotus siitä, että Viestintävirasto voisi teettää säännöksessä tarkoitetut tarkastukset. Perustuslakivaliokunta on edellyttänyt lausunnossaan hallituksen esityksestä laiksi väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista (PeVL 3/2009 vp), että mikäli ulkopuolisen tarkastajan mahdollistavaa sääntelyä pidetään tarpeellisena, on lakiehdotukseen lisättävä säännökset tällaisen tarkastajan pätevyysvaatimuksista tai kelpoisuusehdoista oikeusturvan ja hyvän hallinnon vaatimusten turvaamiseksi. Lisäksi on huolehdittava siitä, että ulkopuoliseen tarkastajaan sovelletaan hänen suorittaessaan tehtäväänsä samoja säännöksiä kuin viranomaisvastuulla toimivaan tarkastajaan. Mainittu perustuslakivaliokunnan lausunto koski Väestörekisterikeskuksen määräämää tarkastajaa, jolla olisi ehdotuksen mukaan ollut oikeus tehdä tarkastus väestötietojärjestelmän tietojen käytön ja suojauksen valvomiseksi. Kyseiseen lakiehdotukseen sisältyi vastaava oikeus tarkastaa varmenteen myöntämistä koskevan menettelyn luotettavuus. Valiokunta ei pidä tarkoituksenmukaisena, että nyt käsiteltävänä olevassa ehdotuksessa tarkoitetun tarkastajan osalta säädettäisiin tarkastajan pätevyysvaatimuksista tai kelpoisuusehdoista. Saamansa selvityksen perusteella valiokunta ehdottaa säännöstä muutettavaksi siten, että 46 §:n 1 ja 2 momentista poistetaan maininta tarkastuksen teettämisestä.

47 § Viestintävirastolle maksettavat maksut.

Valiokunta pitää ehdotetun lain noudattamisen kannalta erittäin tärkeänä, että valvovan viranomaisen resurssien tarpeesta huolehditaan riittävällä tavalla. Valiokunta katsoo, että koska Viestintäviraston tulee rahoittaa toimintansa pääosin kerättävillä maksuilla, myös tarkastuslaitoksen nimeämisestä ja valvonnasta sekä laatuvarmenteita tarjoavan varmentajan rekisteröinnistä perittävästä maksusta tulisi säätää ehdotuksessa. Tällä hetkellä maksuista on säädetty liikenne- ja viestintäministeriön eräistä Viestintäviraston maksuista annetussa asetuksessa (1175/2005).

Valiokunta ehdottaa saamansa selvityksen perusteella, että lakiehdotukseen lisätään uusi 3 momentti, jolloin ehdotettu 3—6 momentti siirtyy 4—7 momentiksi. Lisättävän 3 momentin mukaan tarkastuslaitoksen on suoritettava Viestintävirastolle 10 000 euron nimeämismaksu ja lisäksi vuosittain 15 000 euron valvontamaksu. Lisäksi ehdotettuun 3—5 momenttiin ehdotetaan lisättäväksi asianmukainen maininta nimeämismaksusta. Vastaavista syistä ehdotetun 47 §:n 2 momenttiin ehdotetaan lisättäväksi säännös siitä, että 32 §:ssä tarkoitetun ilmoituksen tehneen laatuvarmenteita tarjoavan varmentajan on suoritettava Viestintävirastolle 5 000 euron rekisteröimismaksu.

51 § Siirtymäsäännös.

Valiokunta ehdottaa saamansa selvityksen perusteella 51 §:n 4 momenttiin lisättäväksi selvyyden vuoksi säännös siitä, että vaikka lain voimaan tullessa laatuvarmenteita tarjoava varmentaja tekisi kyseisessä momentissa tarkoitetun vapaamuotoisen ilmoituksen vielä vuoden 2009 puolella, tulee sen kuitenkin maksaa vuoden 2009 loppuun asti vanhan järjestelmän mukaista varmennemaksua.

Lisäksi valiokunta ehdottaa ajokortteja koskevan 5 momentin siirtymäsäännöksen poistamista.

3. Laki väestötietolain 19 ja 20 §:n muuttamisesta

Valiokunta ehdottaa lakiteknisistä syistä, että 3. lakiehdotus hylätään. Ehdotusta vastaavat lakiviittaukset tulee korjata myöhemmin asianmukaisesti erillisellä esityksellä.

9. Laki arvonlisäverolain 165 §:n muuttamisesta

Valiokunta ehdottaa lakiteknisistä syistä, että 9. lakiehdotus hylätään. Ehdotusta vastaavat lakiviittaukset tulee korjata myöhemmin asianmukaisesti erillisellä esityksellä.

Päätösehdotus

Edellä esitetyn perusteella liikenne- ja viestintävaliokunta ehdottaa,

että lakiehdotukset 2, 4—8, 10 ja 11 hyväksytään muuttamattomina,

että 1. lakiehdotus hyväksytään muutettuna (Valiokunnan muutosehdotukset) ja

että 3. ja 9. lakiehdotus hylätään,

että hyväksytään yksi lausuma (Valiokunnan lausumaehdotus).

Valiokunnan muutosehdotukset

1.

Laki

vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista

1 luku

Yleiset säännökset

1 §

Soveltamisala

(1 mom. kuten HE)

Lakia ei sovelleta yhteisön sisäiseen tunnistamiseen käytettävien palveluiden tai yhteisön sisäiseen sähköiseen allekirjoittamiseen käytettävien palveluiden tarjontaan.

Lakia ei sovelleta myöskään, jos yhteisö käyttää omaa tunnistusmenetelmäänsä (poist.) omien asiakkaidensa tunnistamiseen omissa palveluissaan. (Poist.)

(4 mom. kuten HE)

2 §

(Kuten HE)

2 luku

Oikeusvaikutukset ja henkilötietojen käsittely

3—6 §

(Kuten HE)

7 §

Väestötietojärjestelmään tallennettujen tietojen käyttäminen

Tunnistuspalvelun tarjoaja ja sähköisiä allekirjoituksia tarjoava varmentaja saavat henkilötietolain 8 §:n 1 momentin 1 ja 2 kohdassa tarkoitetuilla perusteilla ja tämän lain 6 §:n 1 momentissa mainitussa tarkoituksessa hankkia henkilötietoja ja tarkastaa hakijan tai haltijan ilmoittamat henkilötiedot väestötietojärjestelmästä.

(2 mom. kuten HE)

3 luku

Vahva sähköinen tunnistaminen

8—14 §

(Kuten HE)

15 §

Tunnistuspalvelun tarjoajan tiedonantovelvollisuus ennen sopimuksen tekemistä

Tunnistuspalvelun tarjoajan on ennen tunnistusvälineen hakijan kanssa tehtävän sopimuksen tekemistä annettava hakijalle tiedot:

(1 kohta kuten HE)

2) tarjottavista palveluista ja hinnoista;

(3—8 kohta kuten HE)

(2 ja 3 mom. kuten HE)

16 §

Tunnistuspalvelun tarjoajan velvollisuus ilmoittaa tietoturvaan ja tietojen suojaamiseen kohdistuvista uhkista tai häiriöistä

Tunnistuspalvelun tarjoajan on ilmoitettava ilman aiheetonta viivästystä tunnistuspalvelua käyttäville palveluntarjoajille, tunnistusvälineiden haltijoille sekä Viestintävirastolle palvelun tietoturvaan kohdistuvista merkittävistä uhkista tai häiriöistä.

(2 ja 3 mom. kuten HE)

17 §

Tunnistusvälineen hakijan ensitunnistaminen

Ensitunnistamisen on tapahduttava henkilökohtaisesti. Tunnistuspalvelun tarjoajan on tunnistettava tunnistusvälineen hakija huolellisesti toteamalla hänen henkilöllisyytensä voimassa olevasta Euroopan talousalueen jäsenvaltion, Sveitsin tai San Marinon viranomaisen myöntämästä passista tai henkilökortista. Halutessaan tunnistuspalvelun tarjoaja voi käyttää ensitunnistamisessa myös Euroopan talousalueen jäsenvaltion viranomaisen 1 päivän lokakuuta 1990 jälkeen myöntämää voimassa olevaa ajokorttia tai muun valtion viranomaisen myöntämää voimassa olevaa passia.

(2—4 mom. kuten HE)

18 §

(Kuten HE)

19 §

Varmenteen tietosisältö

(1 mom. kuten HE)

Varmennepalvelun tarjoajan tulee omalta osaltaan varmistaa, että tunnistuspalvelua käyttävällä palveluntarjoajalla on saatavillaan varmenteen tietosisältö, jos se on tarpeen tunnistamisen toteuttamiseksi.

20 §

Tunnistusvälineen liikkeelle laskeminen

Tunnistusvälineen liikkeelle laskeminen perustuu tunnistusvälineen hakijan ja tunnistuspalvelun tarjoajan väliseen sopimukseen. Sopimus on tehtävä kirjallisesti. Sopimus voidaan tehdä myös sähköisesti jos sen sisältöä ei voida yksipuolisesti muuttaa ja se säilyy osapuolten saatavilla. Tunnistuspalvelun tarjoajan tulee kohdella asiakkaitaan syrjimättä ja tunnistusvälineiden hakijoita tasapuolisesti sopimuksen tekemisen yhteydessä.

(2 ja 3 mom. kuten HE)

21—26 §

(Kuten HE)

27 §

Tunnistusvälineen haltijan tunnistusvälineen oikeudetonta käyttöä koskevat vastuunrajoitukset

(1 mom. kuten HE)

Tunnistusvälineen haltija ei kuitenkaan vastaa tunnistusvälineen oikeudettomasta käytöstä:

(1 kohta kuten HE)

2) jos tunnistusvälineen haltija ei ole voinut tehdä ilmoitusta välineen katoamisesta, joutumisesta oikeudettomasti toisen haltuun tai oikeudettomasta käytöstä ilman aiheetonta viivytystä sen havaittuaan sen johdosta, että tunnistuspalvelun tarjoaja on laiminlyönyt 25 §:n 2 momentissa tarkoitetun velvollisuutensa huolehtia siitä, että tunnistusvälineen haltijalla on milloin tahansa mahdollisuus tehdä kyseinen ilmoitus; tai

(3 kohta kuten HE)

4 luku

Sähköinen allekirjoitus

28—34 §

(Kuten HE)

35 §

Laatuvarmenteen liikkeelle laskeminen

Laatuvarmenteita tarjoavan varmentajan tulee huolellisesti ja luotettavalla tavalla tarkistaa laatuvarmenteen hakijan henkilöllisyys ja muut laatuvarmenteen liikkeelle laskemisessa ja ylläpidossa tarpeelliset hakijan henkilöön liittyvät tiedot. Laatuvarmenteita tarjoavan varmentajan on tunnistettava hakija henkilökohtaisesti. Varmentajan tulee kohdella asiakkaitaan syrjimättä ja laatuvarmenteiden hakijoita tasapuolisesti sopimuksen tekemisen yhteydessä.

(2 mom. kuten HE)

36—41 §

(Kuten HE)

5 luku

Viranomaisvalvonta

42 §

Yleinen ohjaus ja valvonta

(1—3 mom. kuten HE)

(4 mom. (poist.)

43 §

Tiedonsaantioikeus

Viestintävirastolla on oikeus salassapitosäännösten estämättä saada tunnistuspalvelun tarjoajilta ja laatuvarmenteita tarjoavilta varmentajilta, 29 §:ssä tarkoitetuilta tarkastuslaitoksilta sekä heidän apunaan toimivilta henkilöiltä 42 §:ssä säädettyjen tehtävien suorittamiseksi tarpeelliset tiedot.

(2 mom. kuten HE)

44 §

Viranomaisten välinen yhteistyö ja oikeus luovuttaa tietoja

Sen lisäksi, mitä viranomaisten toiminnan julkisuudesta annetussa laissa (621/1999) säädetään, Viestintävirastolla ja tietosuojavaltuutetulla on oikeus luovuttaa salassapitosäännösten estämättä Finanssivalvonnalle sellaisia tietoja, jotka ovat tarpeen sen tehtävien suorittamiseksi. Finanssivalvonnalla on vastaava oikeus luovuttaa salassapitosäännösten estämättä Viestintävirastolle ja tietosuojavaltuutetulle tietoja, jotka ovat tarpeen niiden tässä laissa säädettyjen tehtävien suorittamiseksi.

(2 mom. kuten HE)

45 §

(Kuten HE)

46 §

Tarkastusoikeus

Viestintävirastolla on oikeus tehdä (poist.) tunnistuspalvelun tarjoajaa ja sen tarjoamaa palvelua, 29 §:ssä tarkoitettua tarkastuslaitosta ja sen toimintaa taikka laatuvarmenteita tarjoavaa varmentajaa ja sen tarjoamaa palvelua koskeva tarkastus, jos sillä on syytä epäillä, että ne ovat olennaisesti rikkoneet tätä lakia tai sen nojalla annettuja määräyksiä.

Viestintävirasto tekee (poist.) vuosittain laatuvarmenteita tarjoavan varmentajan ja sen tarjoamaa palvelua koskevan tarkastuksen.

(3—6 mom. kuten HE)

47 §

Viestintävirastolle maksettavat maksut

(1 mom. kuten HE)

Edellä 32 §:ssä tarkoitetun ilmoituksen tehneen laatuvarmenteita tarjoavan varmentajan on suoritettava Viestintävirastolle 5 000 euron rekisteröimismaksu. Lisäksi laatuvarmenteita tarjoavan varmentajan on suoritettava Viestintävirastolle vuosittain 40 000 euron valvontamaksu. Jos laatuvarmenteita tarjoava varmentaja tekee myös 10 §:ssä tarkoitetun ilmoituksen, on sen maksettava 1 momentissa tarkoitettu rekisteröimismaksu.

Edellä 29 §:n mukaisesti nimetyn tarkastuslaitoksen on suoritettava Viestintävirastolle 10 000 euron nimeämismaksu. Lisäksi tarkastuslaitoksen on suoritettava Viestintävirastolle vuosittain 15 000 euron valvontamaksu (Uusi).

Rekisteröimismaksu, nimeämismaksu ja valvontamaksu vastaavat niitä kustannuksia, jotka aiheutuvat Viestintävirastolle tässä laissa säädettyjen tehtävien hoitamisesta 46 §:n 1 momentissa tarkoitettuja tehtäviä lukuun ottamatta. Valvontamaksu on suoritettava täysimääräisesti myös toiminnan ensimmäisenä vuotena, vaikka toiminta aloitettaisiin kesken vuotta. Valvontamaksua ei palauteta, vaikka palveluntarjoaja lopettaisi toimintansa kesken vuotta.

Rekisteröimismaksun, nimeämismaksun ja valvontamaksun määrää maksettavaksi Viestintävirasto. Viestintäviraston maksun määräämistä koskevaan päätökseen saa hakea muutosta siten kuin 49 §:n 1 momentissa säädetään. Tarkempia säännöksiä maksujen täytäntöönpanosta voidaan antaa liikenne- ja viestintäministeriön asetuksella.

Rekisteröimismaksu, nimeämismaksu ja valvontamaksu saadaan periä ilman tuomiota tai päätöstä siinä järjestyksessä kuin verojen ja maksujen täytäntöönpanosta annetussa laissa säädetään. Jollei maksuja suoriteta viimeistään eräpäivänä, maksamattomalle määrälle peritään vuotuista viivästyskorkoa korkolain (633/1982) 4 §:n 1 momentissa tarkoitetun korkokannan mukaan. Viivästyskoron sijasta viranomainen voi periä viiden euron suuruisen viivästysmaksun, jos viivästyskoron määrä jää tätä pienemmäksi.

(7 mom. kuten 6 mom. HE)

6 luku

Erinäiset säännökset

48—49 §

(Kuten HE)

7 luku

Voimaantulo

50 §

(Kuten HE)

51 §

Siirtymäsäännös

(1—3 mom. kuten HE)

Sellaisen laatuvarmenteita tarjoavan varmentajan, joka on tehnyt sähköisistä allekirjoituksista annetun lain 9 §:n 1 momentin mukaisen ilmoituksen ja jatkanut toimintaansa keskeytyksettä tämän lain voimaantuloon saakka, ei tarvitse tehdä uutta ilmoitusta 32 §:n 1 momentin mukaisesti. Laatuvarmenteita tarjoava varmentaja voi tällöin antaa Viestintävirastolle vapaamuotoisen kirjallisen ilmoituksen toimintansa jatkumisesta entisellään. Tämän lain voimaan tullessa laatuvarmenteita tarjoavan varmentajan on maksettava liikenne- ja viestintäministeriön Viestintäviraston eräistä maksuista annetun asetuksen (1175/2005) 12 §:ssä tarkoitettua varmennemaksua 31 päivään joulukuuta 2009 asti vapaamuotoisen kirjallisen ilmoituksen tekemisen ajankohdasta riippumatta.

(5 mom. (poist.)

_______________

Valiokunnan lausumaehdotus

Eduskunta edellyttää, että lain toimivuutta ja sen vaikutuksia seurataan laajasti ottaen huomioon kaikkien tunnistuspalvelujen tarjontaan ja käyttöön liittyvien toimijoiden näkemykset ja käytännön kokemukset. Liikenne- ja viestintäministeriön on annettava liikenne- ja viestintävaliokunnalle selvitys lain toimivuudesta ja vaikutuksista viimeistään vuoden 2010 loppuun mennessä.

Helsingissä 5 päivänä kesäkuuta 2009

Asian ratkaisevaan käsittelyyn valiokunnassa ovat ottaneet osaa

  • pj. Martti Korhonen /vas
  • vpj. Saara Karhu /sd
  • jäs. Mikko Alatalo /kesk
  • Marko Asell /sd
  • Leena Harkimo /kok
  • Jyrki Kasvi /vihr
  • Lauri Kähkönen /sd
  • Mats Nylund /r
  • Pentti Oinonen /ps
  • Reijo Paajanen /kok
  • Markku Pakkanen /kesk (osittain)
  • Lyly Rajala /kok
  • Tero Rönni /sd
  • Pertti Salovaara /kesk
  • Janne Seurujärvi /kesk
  • Ilkka Viljanen /kok (osittain)
  • Anne-Mari Virolainen /kok
  • vjäs. Sari Palm /kd

Valiokunnan sihteerinä on toiminut

valiokuntaneuvos Juha Perttula