Lausunto hallituksen esityksestä tunnistus- ja luottamuspalvelulain muuttamiseksi

Eduskunnan liikenne- ja viestintävaliokunta on pyytänyt FiComilta lausuntoa hallituksen esityksestä laiksi vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetun lain muuttamisesta ja väliaikaisesta muuttamisesta.

FiComin keskeiset viestit

  • Esitys on hyvin laadittu, ja sillä selkeytetään luottamusjärjestelmän keskeisiä ongelmakohtia.
  • Luottamusverkoston toimintaa tulee kehittää siten, että se on kaikille osapuolille avoin ja helppokäyttöinen.
  • Sopimusehtojen ja hallinnointikäytäntöjen pitää olla läpinäkyviä.
  • Järjestelmän kilpailukyky varmistetaan muuttamalla hintasääntelyä siten, että ensitunnistamisen hinta lasketaan samalle tasolle kuin muidenkin tunnistustapahtumien, ja myös yksittäisen tunnistamistapahtuman hintaa lasketaan.

Yleiset huomiot

Sähköinen tunnistaminen on keskeinen osa digitalisoituvaa yhteiskuntaa. Se on avain, jolla lisääntyviä digitaalisia palveluja voidaan turvallisesti käyttää. Heikkojen tunnistautumisjärjestelmien (käyttäjätunnus + salasana) sijaan kansalaisten tietoturvaa lisäävät kehittyvät ja luotettavat vahvan sähköisen tunnistamisen palvelut. Yksityiset palveluntarjoajat käyttävät tällä hetkellä omia, käyttäjätunnukseen ja salasanaan perustuvia tunnistustapojaan, koska oman järjestelmän rakentaminen tulee usein huokeammaksi ja helpommaksi kuin vahvan sähköisen tunnisteen käyttäminen.

Valitettavasti tällä hetkellä sähköisen tunnistamisen markkina on juuttunut paikalleen. Merkittävää kehitystä ei ole viime vuosina tapahtunut, saati uusia toimijoita tullut kirittämään nykyisiä markkinatoimijoita: pankkien ylläpitämää TUPAS-tunnistetta ja teleyritysten Mobiilivarmennetta.

Sähköisen tunnistamisen markkinaan liittyvät ongelmat on tiedostettu viimeisen vuosikymmenen aikana. Useista toimijoiden keskinäisistä yrityksistä huolimatta markkinan ongelmat eivät ole ratkenneet. Asiaa on vatvottu tuloksetta vuosia, eikä ratkaisuja ole odotettavissa ilman yhteisiin pelisääntöihin velvoittamista. Hallituksen esitys on hyvin laadittu, ja siinä näkyy perehtyneisyys markkinan pysyviksi muodostuneisiin haasteisiin. Hallituksen esitys on erittäin tarpeellinen markkinan avaamiseksi.

Kaikkien lainsäädännöllisten ratkaisujen tulee tukea toimivan sähköisen tunnistamisen markkinan syntymistä. Luottamusverkoston toimintaa tulee kehittää siten, että se on kaikille osapuolille avoin ja helppokäyttöinen. Sopimusehtojen ja hallinnointikäytäntöjen pitää olla läpinäkyviä, eikä tunnistautumispalvelua pidä päästä tarjoamaan ilman vakioehtoihin perustuvaa sopimusta. Järjestelmän kilpailukyky varmistetaan muuttamalla hintasääntelyä siten, että ensitunnistamisen hinta lasketaan samalle tasolle kuin muidenkin tunnistamistapahtumien, ja myös yksittäisen tunnistamistapahtuman hintaa lasketaan.

Ehdotettu, keskeisen tärkeä lakimuutos, tulee saattaa voimaan mahdollisimman pian. Teleyrityksillä on tähän tekniset ja toiminnalliset valmiudet.

Tunnistuspalvelun tarjoajien luottamusverkosto

Tunnistusvälineen tarjoajalle asetetaan velvollisuus laatia tunnistuspalvelunsa käyttöoikeuden toimitusehdot, jotka muodostavat velvoittavan pohjan tunnistusvälityspalvelun kanssa tehtävälle sopimukselle. Samoja ehtoja pitää tarjota kaikille luottamusverkostossa oleville. Tunnistusvälityspalvelun tarjoajan pyyntö toimitusehtojen mukaisen sopimuksen tekemiseen on myös hyväksyttävä siten, että sopimus on tehtävä ja käyttöoikeus annettava viipymättä ja viimeistään kuukauden kuluessa pyynnöstä.

FiCom kannattaa ehdotettua sopimis- ja tarjontapakkoa.  Tunnistusvälineen tarjoajan velvollisuuksien laiminlyömisestä voi aiheutua ehdotetun 12 d §:n mukainen vahingonkorvausvelvollisuus. Luottamusverkoston toimivuuden varmistamiseksi sellaiselle tunnistusvälineen tarjoajalle, joka kieltäytyy ilman hyväksyttävää syytä tekemästä sopimusta tunnistusvälityspalvelun tarjoajan kanssa, tulisi kuitenkin harkita ankarampia seuraamuksia. Mikäli tunnistusvälineen tarjoaja ei hyväksy toimitusehtojensa mukaisia sopimuksia luottamusverkoston yhteisiä pelisääntöjä noudattavien jäsenten kanssa, tulee sen irtautua luottamusverkostosta. Kuten esityksessäkin on kirjattu, sopimuksesta kokonaan kieltäytymisen tulee olla viimesijainen keino.

Hallituksen esityksen mukaan tunnistuspalvelun tarjoajien välinen sopimisehto, joka poikkeaa lain säännöksistä, on mitätön. Lisäys parantaa luottamusverkoston toimintaa tukemalla tunnistusvälineeseen ja tunnistusvälityspalvelun tarjoajaan kohdistuvaa pakottava sääntelyä sekä lisää ennakoitavuutta. Ehdotettavassa uudessa 12 b §:ssä julkaistaviksi säädettyjen käyttöoikeuden toimitusehtojen tulee olla teknologianeutraaleja ja soveltua yleisiin sopimusperiaatteisiin sekä toiminnan markkinaehtoiseen luonteeseen. Lisäksi toimintasopimusten ehtojen kohtuullisuudesta tulee esityksen mukaisesti olla mahdollisuus pyytää tulkintoja Liikenne- ja viestintävirastolta siten, että kyseisellä viranomaisella olisi lakiin perustuva velvollisuus niitä antaa. Mahdollisista käyttörajoituksista tulee viestiä selkeästi tunnistusvälineen käyttäjälle, tunnistuspalvelun tarjoajille sekä tunnistuspalveluun luottaville asiointipalveluille.

Luottamusverkoston hintasääntely

Niin julkisen kuin yksityisen sektorin digitaalisten palvelujen kehittyminen edellyttää, että käyttäjien tunnistaminen on helppoa, luotettavaa ja kohtuuhintaista sekä sähköisten palvelujen tarjoajille että niiden käyttäjille.

Lainsäätäjän on perusteltua edistää markkinan toimintaa ehdotetulla hintasääntelyllä, koska markkinan liian hidas kehittyminen vaarantaa Suomen digitalisaatiokehityksen ja sähköisen asioinnin turvallisuuden. Kansalaisilla on eri palveluihin lukuisia erilaisia salasanoja, mikä on ongelma sekä tietoturvan että käytettävyyden kannalta. Jokaisella kansalaisella tulisi olla mahdollisuus käyttää haluamaansa, omaan käyttöönsä parhaiten soveltuvaa vahvaa tunnistautumistapaa, jolloin erilaisiin salasanoihin perustuvia järjestelmiä ei tarvitsisi enää luoda.

Vahvan tunnistuksen tulee olla kilpailukykyinen ratkaisu myös kertatunnistamisessa hyötypalveluihin, joten hinta voi muodostua ehdotettua kolmen sentin enimmäishintaa alemmaksikin. Esityksen enimmäishinta on kuitenkin ehdottomasti askel oikeaan suuntaan. Tunnistuspalvelujen hintaeroon ja saatavuuteen liittyvät ongelmat ovat pahoin kärjistyneitä verrokkimaiden vastaavien toimijoiden toimintamahdollisuuksiin sekä kustannuksiin verrattaessa. Esimerkiksi Virossa tunnistustapahtumien hinta on alimmillaan alle yhden sentin ja Ruotsissa noin 1,6 senttiä tunnistustapahtumaa kohden.

FiCom kannattaa ehdotettua menettelyä, jossa Liikenne- ja viestintävirasto arvioisi säädetyn korvauksen tason vuosittain. Hintaa arvioitaessa tulee kuitenkin ehdottomasti ottaa huomioon se, missä määrin toimijoille aiheutuvat kustannukset johtuvat muista kuin vahvaa sähköistä tunnistamista koskevista velvoitteista. Muusta kuin tunnistamisen sääntelystä aiheutuvia kustannuksia ei tule ottaa huomioon ensitunnistamisen hintaa määritettäessä. Ehdotettu sääntely, jossa selkeytetään sitä, ettei pakottavaa hintasääntelyä voi kiertää perimällä erillistä korvausta jostain tunnistuspalvelun käyttöoikeuden tarjoamiseen liittyvästä toiminnosta, tukee tätä lähtökohtaa.

Kilpailun ja palvelun saatavuuden lisäämistä on vakiintuneesti pidetty perustuslakivaliokunnassa hyväksyttävänä perusteena omaisuuden suojan rajoittamiselle. Esimerkiksi teleyrityksille asetettua verkkovierailuvelvoitetta ja korvauksen rajaamista tasapuoliseksi ja kohtuulliseksi aiheutuneisiin kustannuksiin nähden on perusteltu painavalla yhteiskunnallisella tarpeella. Kilpailun lisääntymisen arvioitiin alentavan hintoja ja parantavan palvelutasoa sekä lisäävän kyseessä olevien viestintämenetelmien saatavuutta (PeVL 34/2000 vp). Kilpailun lisääminen markkinoilla ja palvelujen saatavuuden edistäminen sekä käyttäjien aseman parantaminen on oikeuttanut sen, että viranomaiselle on säädetty mahdollisuus asettaa toimijoille noudatettavaksi enimmäishinta (PeVL 32/2004 vp).

Tunnistusvälineen hakijana olevan luonnollisen henkilön tunnistaminen

Keskeisin yksittäinen tekijä koko sähköisen tunnistamisen markkinan parantamisessa on toimiva sähköisen ensitunnistamisen markkina, eli käyttäjän mahdollisuus rekisteröidä itselleen jo olemassa olevalla tunnistusvälineellä uusi väline. Toimiva kilpailu edellyttää, että käyttäjä voi valita haluamansa tunnistusvälineen, mutta korkea ensitunnistamisen hinta on merkittävä markkinalle tulon este.

Tunnistetiedon välittäminen ensitunnistamisessa on teknisesti vastaava toimenpide kuin tunnistetiedon välittäminen tunnistuspalvelujen tarjoajien verkostossa. Ensitunnistamisen hinta tulee vastaavasti säädellä samalle tasolle kuin muidenkin tunnistustapahtumien, eikä siihen saa lisätä mitään muuta korvausta. Hinta voi olla ehdotettua kolmen sentin enimmäishintaa alempikin, mutta ehdotettu taso parantaa väliaikaisestikin voimassa olevana säännöksenä jo merkittävästi sähköisen ensitunnistamisen markkinan toimivuutta sekä helpottaa markkinoille tuloa.

Esityksen tavoitteissa on todettu, että esityksessä tehdään välttämättömiksi katsottavia muutoksia vastuukysymysten osalta, mutta samalla on myös katsottu tarkoituksenmukaiseksi, että kaikkia vastuukysymyksiä ja niiden vaikutuksia tarkasteltaisiin myöhemmin erillisessä hankkeessa. Kaikkien vastuukysymysten sekä niiden vaikutusten uudelleen tarkastelua ei voi pitää tarkoituksenmukaisena. Mikäli vastuukysymyksissä ilmenee vielä hallituksen esityksessä ehdotettujen lainsäädäntötoimien jälkeen ongelmia, tulee niihin tietenkin puuttua, mutta luottamusverkoston vastuukysymyksiä kokonaisuutena ei tule jatkuvasti muuttaa.

Tunnistuspalvelun tarjoajan ilmoitukset toimintaan ja tietojen suojaamiseen kohdistuvista uhkista tai häiriöistä

Uhkista ja häiriöistä tiedottaminen on luottamusverkoston toiminnan kannalta ensiarvoisen tärkeää. Häiriötilanteiden ennaltaehkäisemiseksi ja selvittämiseksi on lisäksi hyödyllistä jakaa tietoa palvelun tarjoajista, joiden on syytä epäillä tavoittelevan oikeudetonta taloudellista hyötyä, antavan merkityksellisiä, totuudenvastaisia tai harhaanjohtavia tietoja tai käsittelevän henkilötietoja lainvastaisesti, vaikkei toiminta välttämättä muodostaisi suoranaista uhkaa tunnistamisen tekniselle oikeellisuudelle, tietoturvalle tai henkilöllisyyden väärinkäytölle. Tältä osin tulee huomioida yrityksillä jo olevat käytännöt, jotta tunnistuspalveluiden uhka- ja häiriötietoihin liittyvä tiedottaminen voidaan hoitaa yrityksillä jo käytössä olevilla prosesseilla tai niitä tarkistamalla. Koko luottamusverkoston kattavaa tiedonvaihtoa voisi myös edistää vapaaehtoisten ilmoitusten kokoaminen jollekin viranomaistaholle, kuten Liikenne- ja viestintäviraston Kyberturvallisuuskeskukselle, jonka tehtävänä olisi välittää ilmoitukset eteenpäin kaikille luottamusverkoston jäsenille.

Elina Ussa on FiComin toimitusjohtaja.

Seuraa Elinaa Twitterissä: https://twitter.com/ElinaUssa