HE 272/2014

Hallituksen esitys eduskunnalle laiksi vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetun lain muuttamisesta

ESITYKSEN PÄÄASIALLINEN SÄLTÖ

Esityksessä ehdotetaan muutettavaksi vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annettua lakia.

Esityksen mukaan tunnistuspalvelun tarjoajan ja sähköisiä allekirjoituksia tarjoavan toimijan tulisi jatkossa vaatia henkilötunnus henkilön tunnistamiseksi.

Tunnistuspalvelun tarjoajan ja sähköisiä allekirjoituksia tarjoavan varmentajan olisi hankittava tunnistuspalvelun tarjoamiseksi tarvitsemansa tiedot väestötietojärjestelmästä. Lisäksi tunnistuspalvelun tarjoajan tulisi varmistaa, että tunnistuspalvelun tarjoamiseksi tarvittavat henkilötiedot ovat ajan tasalla.

Tunnistusvälineen hakijan ensitunnistamista koskevaa säännöstä muutettaisiin siten, että sähköisesti todennettu henkilöllisyys pohjautuisi aina viranomaisen myöntämää henkilöllisyyttä osoittavaa asiakirjaa vasten tehtyyn fyysiseen ensitunnistamiseen tai olemassa olevan sähköisesti todennetun henkilöllisyyden avulla tehtyyn hakijan sähköiseen tunnistamiseen.

Lisäksi lakiin ehdotetaan lisättäväksi säännös tunnistuspalvelun tarjoajien verkostosta, joka muodostaa tunnistuspalveluiden välille laissa määritellyn avoimen luottamusverkoston.

Ehdotettu sääntely koskee vain Viestintävirastoon ilmoituksen tehneiden vahvan sähköisen tunnistuspalvelujen tarjoajien toimintaa.

Laki on tarkoitettu tulemaan voimaan 1 päivänä toukokuuta 2015.


ESITYKSEN PÄÄASIALLINEN SISÄLTÖ 1
SISÄLLYS 2
YLEISPERUSTELUT 3
1 JOHDANTO 3
2 NYKYTILA 3
2.1 Lainsäädäntö ja käytäntö 4
2.2 Kansainvälinen kehitys sekä ulkomaiden ja EU:n lainsäädäntö 5
2.3 Nykytilan arviointi 9
3 ESITYKSEN TAVOITTEET JA KESKEISET EHDOTUKSET 10
3.1 Tavoitteet 10
3.2 Toteuttamisvaihtoehdot 12
3.3 Keskeiset ehdotukset 13
4 ESITYKSEN VAIKUTUKSET 13
4.1 Johdanto 13
4.2 Taloudelliset vaikutukset 14
4.3 Vaikutukset viranomaisten toimintaan 15
4.4 Ympäristövaikutukset 16
4.5 Yhteiskunnalliset vaikutukset 16
5 ASIAN VALMISTELU 16
5.1 Valmisteluvaiheet ja -aineisto 16
5.2 Lausunnot ja niiden huomioon ottaminen 17
YKSITYISKOHTAISET PERUSTELUT 17
1 LAKIEHDOTUKSEN PERUSTELUT 17
2 VOIMAANTULO 21
3 SUHDE PERUSTUSLAKIIN JA SÄÄTÄMISJÄRJESTYS 22
3.1 Elinkeinonvapaus 22
3.2 Henkilötietojen käsittely 23
3.3 Säätämisjärjestyksen arviointi 24
LAKIEHDOTUS 25
Laki vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetun lain muuttamisesta 25
LIITE 27
RINNAKKAISTEKSTI 27
Laki vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetun lain muuttamisesta 27

YLEISPERUSTELUT

1 Johdanto

Palvelut ovat sähköistyneet voimakkaasti viime vuosina ja kehityksen ennustetaan jatkuvan. Sähköisten palveluiden merkityksen liiketaloudellinen ja kansalaisoikeudellinen lisääntyminen edellyttää entistä useammassa palvelussa käyttäjien vahvaa ja luotettavaa tunnistamista ja tuntemista.

Pääministeri Aleksander Stubbin hallituksen ohjelmassa yhtenä pääteemana on digitalisaation edistäminen. Sähköisiin palveluihin kohdistuu suuri toiminnan tehostamispotentiaali varsinkin suurivolyymisten asiointipalveluiden osalta niin julkisella kuin yksityisellä sektorilla. Julkisessa hallinnossa on käynnissä kansallisia sähköisen palvelutoiminnan kehittämishankkeita, joissa panostetaan voimakkaasti sähköisen palvelukanavan ensisijaisuuteen. Esimerkiksi KELA, Verohallinto sekä sosiaali- ja terveyssektori ovat voimakkaasti siirtäneet palveluitaan sähköisiksi.

Vahvan sähköisen tunnistamisen markkina on tällä hetkellä pääsääntöisesti pankkiasioinnissa ja verkkomaksamisessa. Muun kuin verkkopankkitoiminnassa tapahtuvan tunnistamisen määrän arvioidaan kasvavan lähivuosina noin 30 prosenttia vuodessa. Julkinen hallinto on yksi merkittävimpiä sektoreita, jossa sähköistä tunnistamista hyödynnetään.

Julkisen hallinnon palvelutuotannon osalta vahvan sähköisen tunnistamisen yleinen saatavuus, kustannustehokkuus ja laaja käyttömahdollisuus ovat avainasemassa. Julkisen hallinnon tuottamien asiointipalveluiden käytön pitää olla kansalaisille ylipäänsä mahdollista ja edullista. Perinteisessä asioinnissa kansalaisen itsensä kustannettavaksi ovat jääneet matka- tai postikulut. Sähköisessä asioinnissa kansalaisen maksettavaksi tulevat tunnistusvälineen hankinnasta ja käytöstä aiheutuvat kulut.

Tehostamispotentiaalia on myös nykyisissä sähköisen tunnistamisen järjestämiseen käytetyissä hallinnointiresursseissa. Nykyinen käytäntö edellyttää vahvaa sähköistä tunnistamista tarjoavilta julkisen hallinnon organisaatioilta sopimuksia kaikkien niiden vahvan sähköisen tunnistuspalvelun tarjoajien kanssa, joiden sähköisiä tunnistusvälineitä sähköisessä asiointipalvelussa on mahdollista käyttää.

2 Nykytila

Nykytilanteessa vahvoja sähköisiä tunnistusvälineitä hyödyntävien palveluiden markkinat ovat jakaantuneet pääasiassa kolmen palvelusektorin kesken: pankki- ja vakuutuspalvelut, julkisen hallinnon palvelut sekä muut yksityiset palvelut. Näistä volyymeiltaan merkittävimmät ovat pankki- ja vakuutussektorin sekä julkisen hallinnon tarjoamat sähköiset palvelut. Tulevaisuudessa on odotettavissa sähköisen tunnistamisen käytön lisääntyminen julkisessa hallinnossa ja verkkokaupankäynnissä.

Vahvoja sähköisiä tunnistuspalveluita tuottavat tällä hetkellä pankit, mobiilioperaattorit ja Väestörekisterikeskus. Vahvan sähköisen tunnistamisen toimijoiden toimintaa valvoo Viestintävirasto, joka myös vastaa vahvaa sähköistä tunnistamista tarjoavien toimijoiden rekisteröinnistä.

Pankkitunnisteilla on merkittävin markkinaosuus käyttäjä- ja tapahtumamäärissä. Mobiilioperaattoreiden tarjoama mobiilivarmenne ja Väestörekisterikeskuksen tarjoama henkilökorttiin liitetty kansalaisvarmenne eivät ole saavuttaneet sähköisen tunnistamisen markkinoilla merkittävää markkina-asemaa. Mobiilivarmenteella on mahdollista asioida suuressa osassa tarjolla olevissa sähköisissä palveluissa pankkipalveluita lukuun ottamatta.

Vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetun lain (617/2009) esitöissä korostui tarve sähköisen tunnistamisen markkinoiden avaamiselle. Lakia valmisteltaessa arvioitiin, että laissa säädetyt puitteet riittäisivät markkinoiden vahvistumiseen ja helpottaisivat uusien toimijoiden tuloa markkinoille. Näin ei kuitenkaan ole tapahtunut. Vahvaa sähköistä tunnistamista voitaisiin vielä laajemmin käyttää erilaisissa palveluissa sekä yksityisellä että julkisella sektorilla.

Valtiovarainministeriön johdolla toteutettavassa kansallisen palveluarkkitehtuurin ohjelmassa sekä sähköisen asioinnin ja demokratian edistämisohjelmassa (SADe) tuotetaan useita sähköisen asioinnin toteuttamisen palveluita ja palvelukokonaisuuksia eri hallinnonaloille. Käyttäjän vahva sähköinen tunnistaminen on keskeisessä asemassa molempien ohjelmien tavoitteiden täysimittaisessa saavuttamisessa.

Sosiaali- ja terveydenhuoltoon on tulossa lähivuosina runsaasti uusia sähköisiä asiointipalveluita, joissa tarvitaan vahvaa sähköistä tunnistamista. Sosiaali- ja terveyssektorilla käsitellään usein salassa pidettäväksi luokiteltavia henkilöiden terveyteen tai toimeentuloon liittyviä tietoja, mikä edellyttää käyttäjien ja tietoja käsittelevien henkilöiden vahvaa sähköistä tunnistamista. Tämä edellyttää eri toimijoilta yhteensopivaa mallia tunnistaa käyttäjä eri palveluissa.

Sähköistä tunnistamista hyödynnetään runsaasti sähköisessä asioinnissa kuten verkkokaupoissa, erilaisilla keskustelupalstoilla ja muissa sosiaalisen median palveluissa. Näissä käytetään yleisesti heikkoa sähköistä tunnistamista, jossa käyttäjän tunnistaminen perustuu esimerkiksi käyttäjätunnukseen ja salasanaan sekä käyttäjän itse antamiin henkilötietoihin.

Useimpiin julkisen sektorin tuottamiin sähköisiin asiointipalveluihin on mahdollista tunnistautua kaikilla Viestintävirastolle ilmoittautuneiden vahvan sähköisen tunnistuspalvelun tarjoajien tunnistusvälineillä. Osa julkisen hallinnon palveluista ei kuitenkaan hyväksy kaikkia tunnistusvälineitä esimerkiksi niiden käyttöön liittyvien kustannusten tai hankalien sopimusrakenteiden vuoksi.

Julkisella sektorilla on käytössä tällä hetkellä kaksi tunnistuksen ohjauspalvelua (Vetuma ja tunnistus.fi), jotka tarjoavat yhden teknisen rajapinnan kautta kaikki Viestintäviraston hyväksymät tunnistuspalveluiden tarjoajat julkisten palveluiden käytettäväksi. Osana kansallista palveluarkkitehtuuriohjelmaa valmistellaan vuoden 2015 aikana julkisen hallinnon yhteistä tunnistuksenohjauspalvelun toteutusta, mikä tulee siirtymäajan puitteissa korvaamaan tunnistus.fi palvelun (korvataan ensin) ja Vetuma palvelun (korvataan pidemmän siirtymäajan puitteissa). Tämä uusi tunnistuksen ohjauspalvelu tullaan liittämään vuosien 2015 - 2017 aikana kehitettävään kansalliseen rooli- ja valtuutuspalveluun.

Yllä mainituilla yhteisillä järjestelyillä julkinen hallinto on osaltaan helpottanut vahvan sähköisen tunnistamisen käyttöönottoa. Valtiovarainministeriössä on arvioitu, että valtionhallinnon ja tunnistuspalveluiden tarjoajien välisiä sopimuksia on tehty noin 1500, joista suurin osa eri pankkiryhmien kanssa. Pienille toimijoille koituu kohtuuttomia kustannuksia tällaisesta määrästä sopimuksia. Yksityiselle sektorille on kuitenkin syntynyt palveluita, jotka tarjoavat yhden sopimuksen ja teknisen rajapinnan kautta useita eri tunnistuspalveluita

2.1 Lainsäädäntö ja käytäntö

Arjen tietoyhteiskunnan neuvottelukunnan yhteydessä vuosina 2008-2009 tehtiin valtioneuvoston periaatepäätös ja kansalliset linjaukset sähköisestä tunnistamisesta. Nämä linjaukset ovat myös ehdotetun esityksen taustalla. Laki vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista tuli voimaan 1.9.2009. Laissa määritellään ne vaatimukset, joita yleisesti tarjottavalle vahvalle sähköiselle tunnistamiselle Suomessa asetetaan. Lain tarkoituksena on sääntelyn avulla pyrkiä helpottamaan sähköisen tunnistamisen markkinaehtoista kehittymistä ja takaamaan vapaan kilpailun pohjalta tapahtuva sähköisen tunnistamisen kustannustason aleneminen.

Väestörekisterikeskuksen tuottamia tunnistuspalveluita säädellään vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetun lain lisäksi laissa väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista (661/2009).

Yksityisten toimijoiden rooli virallisen sähköisen henkilöllisyyden myöntämisessä perustuu siihen, että tunnistamismarkkinoilla liiketaloudellisten palvelujen luonne on katsottu olevan (PeVL 16/2009) siinä määrin etääntynyt julkiseen hallintotehtävään liitettävistä ominaispiirteistä, että toimintaa ei ole pidettävä merkittävänä julkisena hallintotehtävänä, vaikka vahvan sähköisen tunnistamisen välineillä ja varmennetoiminnalla sinänsä onkin merkitystä erilaisissa oikeustoimissa.

Vahvan sähköisen tunnistamisen lainsäädäntövastuu jakaantuu liikenne- ja viestintäministeriön ja valtiovarainministeriön välille. Liikenne- ja viestintäministeriö vastaa sähköisen tunnistamisen yleisestä lainsäädännöstä ja valtiovarainministeriö Väestörekisterikeskusta koskevasta lainsäädännöstä sekä sähköisen tunnistamisen käytön ohjauksesta julkisessa hallinnossa. Vahvan tunnistamisen toimijoiden toimintaa valvoo Viestintävirasto, joka vastaa vahvaa sähköistä tunnistamista tarjoavien toimijoiden rekisteröinnistä.

Vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetun lain lisäksi myös muut lait vaikuttavat vahvaan sähköiseen tunnistamiseen ja sähköisiin allekirjoituksiin. Tällaisia lakeja ovat erityisesti laki sähköisestä asioinnista viranomaistoiminnassa (13/2003), väestötietojärjestelmää ja Väestörekisterikeskuksen tarjoamia varmennepalveluita koskeva lainsäädäntö (661/2009) sekä henkilötietolaki (523/1999).

Esitystä valmisteltaessa on otettu huomioon, että nykyisiä vahvan sähköisen tunnistuspalvelun tarjoajia velvoittavat lukuisat eri toimialojen säädökset. Esimerkiksi verkkopankkitunnusten myöntämisessä on huomioitava muun muassa luottolaitoslaki (121/2007), rahanpesulainsäädäntö ja perusmaksutilisääntely.

Esitystä valmisteltaessa on otettu huomioon myös Euroopan parlamentin ja neuvoston asetus sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla, mitä esitellään tarkemmin osiossa kansainvälinen kehitys. Asetuksessa viitataan sähköiselle tunnistamiselle asetettaviin turvatasoihin, joiden määrittely on parhaillaan komissiossa käynnissä. Ylin turvataso asetuksessa on korkea.

Kansallisesti korkeaan turvatasoon on tarkoituksenmukaista valmistella valmiudet ja siirtyä asteittain eri sektoreiden tarpeet huomioiden vuosien 2016-2018 välisenä aikana. Tämä edellyttää sekä mahdollisia lainsäädäntömuutoksia että käytäntöjen kehittämistä. Sähköisen tunnistamisen turvallisuutta ja tarvittavia turvatasoja tullaan tarkastelemaan vuosittain verraten niitä Euroopan parlamentin ja neuvoston asetuksessa säädettyyn turvatasoon korkea. Tavoitteena kansallisessa tunnistamisessa tulee aina olla riittävän turvalliset ratkaisut.

2.2 Kansainvälinen kehitys sekä ulkomaiden ja EU:n lainsäädäntö

Johdanto

Suomessa vahva sähköinen tunnistaminen tarkoittaa sellaisia tunnistuspalveluita, joista on säädetty Euroopan parlamentin ja neuvoston asetuksessa sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla ja direktiivin 1999/93/EY kumoamisesta (910/2014).

Euroopan parlamentin ja neuvoston asetusta sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla sovelletaan jäsenvaltioiden ilmoittamiin sähköisen tunnistamisen järjestelmiin ja unioniin sijoittuneisiin luottamuspalveluiden tarjoajiin. Luottamuspalveluilla tarkoitetaan asetuksessa esimerkiksi sähköisiä palveluita, jotka koostuvat sähköisistä allekirjoituksista tai sähköisistä leimoista. Asetusta sovelletaan jäsenmaiden rajat ylittävään ja vastavuoroiseen sähköiseen tunnistamiseen. Sitä ei sovelleta yksityisen sektorin tunnistamisratkaisuihin lukuun ottamatta sähköisen tunnistamisen menetelmille asetettavia turvatasoja.

Euroopan parlamentin ja neuvoston asetus sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla on välittömästi sovellettavaa oikeutta jäsenvaltioissa. Tämä tarkoittaa sitä, että jäsenvaltioiden hallintoviranomaiset ja tuomioistuimet ovat velvollisia soveltamaan asetusta suoraan ilman että kansallinen lainsäätäjä muuntaisi ne ensin kansalliseksi normistoksi. Asetus tuli voimaan 17.9.2014, mutta sitä sovelletaan vasta 1 päivästä heinäkuuta 2016 lukuun ottamatta lukuisia säännöksiä, joiden soveltamisesta on säädetty erinäisin siirtymäsäännöksin, kuten esimerkiksi turvatasojen määrittelystä. Komissio on aloittanut yksityiskohtaisempien täytäntöönpanoasetusten työstämisen ja työ jatkuu kesään 2015 asti. Tavoitteena on, että täytäntöönpanoasetukset olisivat voimassa syksyllä 2015. Valmistelutyön keskeneräisyydestä johtuen tähän hallituksen esitysluonnokseen ei voida tehdä asetuksen mukaisia muutoksia esimerkiksi tunnistuspalveluiden turvatasoihin tai määritelmiin. Asetuksen vaatimat muutokset kansalliseen lainsäädäntöön tullaan kartoittamaan ja toteuttamaan heinäkuun 1 päivään 2016 mennessä. Kokonaisuudessaan asetus tulee voimaan vuonna 2018.

Nyt esitettävät muutokset on valmisteltu siten, että ne eivät ole ristiriidassa asetuksen kanssa. Toimeenpanosäännökset eivät tule koskemaan tässä esityksessä säädettäväksi ehdotettavia osa-alueita. Tällä hallituksen esityksellä pyritään luomaan toimintaympäristö, jossa Suomen olisi helppo liittyä Euroopan laajuiseen luottamusverkostoon. Suomen liityntäpiste verkostoon tulee tämän hetkisten suunnitelmien mukaan olemaan valtion ylläpitämä liityntäpiste. Jäsenmaiden välisessä sähköisessä tunnistamisessa ei välitetä maksuja. Vähintään käynnistysvaiheessa nämä kustannukset tulevat todennäköisesti osaksi valtiohallinnon välityspalvelun kuluja. Tunnistustapahtumien määrän arvioidaan olevan aluksi pieni.

Seuraavassa osiossa tarkastellaan sähköistä tunnistamista viidessä Euroopan maassa. Tarkastelun kohteeksi on otettu pohjoismaista: Ruotsi, Norja ja Tanska. Lisäksi tarkastellaan Viron ja Hollannin sähköistä tunnistamista. Viro on valittu mukaan erityisesti siksi, että Virossa valtio on tehnyt viime vuosina merkittävää sähköisten palveluiden kehitystyötä. Lisäksi valtiovarainministeriön johdolla valmistellaan parhaillaan kansallista palveluväylää, joka pohjautuu Virossa käytössä olevaan palveluväyläratkaisuun. Hollanti puolestaan valittiin, jotta saatiin näkökulma naapurimaidemme ja Pohjoismaiden ulkopuolelta.

Eri maita käsittelevissä osioissa keskitytään tarkastelemaan sitä, minkälaisia ratkaisuja kohdemaissa esiintyy ensitunnistamisessa, kansallisen väestötietojärjestelmän käytössä ja mahdollisessa sähköisiä tunnistuspalveluita tarjoavien toimijoiden välisessä luottamusverkostossa.

Viro

Virossa jokaisella yli 15-vuotiaalla kansalaisella tulee olla henkilökortti, joka sisältää myös sähköisen tunnistamisen mahdollisuuden. Kortti on maksullinen ja sen myöntää kansalaisuus- ja maahanmuuttovirasto. Henkilökortin lisäksi voi hankkia erillisen vapaaehtoisen sähköisen tunnistekortin, jota voi käyttää ainoastaan sähköiseen tunnistamiseen. Tunnistekorttiin liitetyn varmenteen tuottaa kilpailutuksen perusteella valittu yksityinen yritys. Sähköisten palveluiden tarjoajat, jotka hyödyntävät varmennekorttia, maksavat varmenteen tuottavalle yritykselle varmenteen käytöstä.

Valtion sähköinen tunnistekortti on markkinoilla selkeästi käytetyin ratkaisu. Sähköinen tunnistaminen kansallisella tunnistekortilla edellyttää kortinlukijaa, joka löytyy suurimmalta osalta käyttäjistä myös kotoa. Tunnistekortin lisäksi markkinoilla on pankkitunnisteita sekä mobiilitunnisteita, jotka eivät kuitenkaan ole yhtä laajasti käytössä kuin tunnistekortti.

Virossa sisäasiainministeriö ylläpitää kansallista väestörekisteriä, johon kaikkien kansalaisten perustiedot on tallennettu. Kansalaisilla on mahdollisuus päivittää omia tietojaan sähköisesti rekisteriin. Väestötietojärjestelmän tiedot ovat ensisijaisesti tarkoitettu valtion toimijoiden käyttöön, mutta myös yksityisillä toimijoilla on lain puitteissa mahdollista pyytää henkilötietoja väestötietojärjestelmästä asianomaisen suostumuksella erillisen hakemuksen kautta.

Kansallinen sähköinen henkilökortti ja tunnistekortti toimivat laajasti eri yksityisen ja julkisen sektorin palveluissa. Yhteinen palveluväylä nimeltään X-Road yhdistää eri toimijat ja palvelut. Palveluväylän tarjoamiin palveluihin voi tunnistautua pankkitunnuksilla, jotka katsotaan yhtä vahvaksi tunnistamiseksi kuin sähköinen tunnistekortti.

Yli 300 verkkopalvelua käyttää varmennuspalvelua käyttäjien tunnistamiseen.

Ruotsi

Ruotsissa on tehty päätös, ettei valtio tarjoa sähköisen tunnistamisen palveluita lainkaan vaan tunnistamispalvelut toimivat vapailla markkinoilla. Mallissa sähköinen tunnistaminen ja palvelun tarjoaminen edellyttää laissa määriteltyjen ehtojen täyttymistä. Kaikki nykyiset tunnistamisratkaisut toimivat niin julkisen kuin yksityisen sektorin palveluissa. Kaikilla palveluntarjoajilla on kuitenkin oikeus valita, mitä tunnistamisratkaisuja ne haluavat palvelussaan käyttää.

Tällä hetkellä markkinoilla on kolme erilaista tunnistamispalvelua. Selkeästi suurin markkinaosuus on pankkitunnistamisella (BankID, 5 miljoonaa käyttäjää), joka on toteutettu yhteistyössä suurimpien pankkien välillä.

Ensitunnistaminen riippuu tunnistepalvelun tarjoajasta. BankID:n ja Nordean tunnusten osalta ensitunnistaminen tapahtuu pankin konttorissa asiakassuhteen perustamisen yhteydessä tai erikseen BankID-sopimusta allekirjoitettaessa. TeliaSonera mahdollistaa sopimuksen solmimisen internetissä, jolloin tunnistaminen tehdään toimitettujen henkilötietojen perusteella ja varsinaiset tunnistusvälineet toimitetaan väestötietojärjestelmässä olevaan osoitteeseen. Suurin osa sähköisistä tunnistusvälineistä edellyttää ruotsalaista henkilötunnusta.

Väestötietojen välittämistä ja hyödyntämistä säännellään Ruotsissa tiukasti. Lainsäädännön rikkomukset voivat johtaa ankariin sanktioihin. Väestötietojärjestelmästä voidaan noutaa tietoja henkilötunnukseen perustuen, jos hakijalla on siihen peruste. Pankit tarkastavat esimerkiksi tarvittaessa osoitetiedot kansallisesta järjestelmästä.

Ruotsissa ei ole Suomessa kaavailtua luottamusverkostoa vastaavaa kansallista keskitettyä ratkaisua. Markkinoilla on kuitenkin palveluntarjoaja, joka tarjoaa eri tunnisteiden reititystä palveluille. Esimerkiksi verkkokauppias saa kaikki markkinoilla olevat tunnistepalvelut sivuilleen yhdeltä reitityspalvelun tarjoajalta. Pankkitunnistamisen osalta suurin osa pankeista toimii yhden reitityspalvelun kautta (BankID), jolloin jokaisen pankin kanssa ei erikseen tarvitse tehdä sopimusta. Lisäksi tietyt toimialat (esimerkiksi koulut) ovat muodostaneet liittoumia, jotka ovat yhteistyössä toteuttaneet sisäänkirjautumisen, joka hyväksyy eri sähköiset tunnistamismenetelmät.

Tanska

Tanskassa sähköinen tunnistaminen on osa kansallista infrastruktuuria. Käytössä on yksi ratkaisu, jonka avulla käyttäjät voivat tunnistautua niin julkisiin kuin yksityisiinkin palveluihin. Ratkaisun omistaja on valtiovarainministeriö. Palvelun kehityksestä ja ylläpidosta vastaa yksityinen toimija (Nets), jonka valtiovarainministeriö on kilpailuttanut tehtävään. Yritys tarjoaa kehityspalvelun lisäksi maksuliikenneinfrastruktuuria. Käytännössä sähköisen tunnistamispalvelun käyttö edellyttää käyttäjätunnusta, salasanaa ja vaihtuvaa pin-koodia.

Suositeltu tapa hakea sähköistä tunnistusvälinettä on tehdä hakemus verkossa, jolloin tunnukset toimitetaan väestötietorekisterissä olevaan osoitteeseen. Ensitunnistamista tehdään myös pankeissa tai kunnallisissa palvelupisteissä. Sähköisten tunnusten saaminen edellyttää tanskalaista henkilötunnusta. Kasvotusten tehtävän ensitunnistamisen yhteydessä hakijan henkilöllisyys vahvistetaan passilla, ajokortilla tai muulla vastaavalla henkilöllisyystodistuksella.

Tanskassa väestötietojärjestelmässä olevien tietojen tarkastelua säätelee henkilötietolaki sekä sähköistä tunnistamista koskeva laki. Henkilötietolaki on varsin suurpiirteinen eikä sisällä tarkkoja määrittelyitä sille, kuka ja missä tarkoituksessa voi katsoa tai välittää henkilötietoja. Käytännössä julkisen sektorin toimijat pääsevät laajemmin henkilötietoihin käsiksi kuin yksityisen sektorin toimijat. Yksityisen sektorin toimija (esimerkiksi pankki) tarvitsee erillisen suostumuksen asianomaiselta henkilötietojen tarkastelua varten.

Käytössä on vain yksi julkisesti rahoitettu sähköinen tunnistamisratkaisu, jota myös pankit käyttävät. Liiketoiminnallisesta näkökulmasta sähköinen tunnistaminen on liiketoimintaa ainoastaan sitä kehittävälle ja tuottavalle yritykselle.

Norja

Norjassa sähköisiä tunnistamispalveluita tarjoavat valtio, pankit sekä kaksi yksityistä yritystä. Valtion tarjoamaa MinID-tunnistamista voi käyttää ainoastaan julkisen sektorin palveluissa. Sen sijaan pankkitunnuksilla ja muilla yksityisillä tunnistamispalveluilla voi tunnistautua sekä julkisiin että yksityisiin palveluihin. Sähköisen tunnistamisen ratkaisut ovat hyvin tunnettuja ja laajalti käytettyjä. Sähköistä tunnistamista hyödynnetään julkisten palveluiden kuten vero- ja eläkeasioiden hoitamiseen sähköisissä kanavissa. Yli kolme miljoonaa norjalaista käyttää sähköistä tunnistamista julkisissa palveluissa.

Sähköinen tunnistautuminen julkisiin palveluihin edellyttää ID-porten-nimisen sisäänkirjautumisratkaisun kanssa yhteensopivaa tunnistamispalvelua. ID-portenin kanssa yhteensopivia ratkaisuja ovat tällä hetkellä kaikki markkinoilla olevat tunnistamispalvelut. Tunnistepalvelumarkkinat ovat periaatteessa vapaat kilpailulle, mutta uudelta toimijalta edellytetään laissa määriteltyä kelpoisuutta sekä rekisteröitymistä. Lupia myöntää Norjan posti- ja viestintävirasto. Norjan posti- ja viestintävirasto vastaa siitä, että kaikki rekisteröidyt tunnistepalveluntuottajat täyttävät sähköisiä allekirjoituksia koskevan sääntelyn ja ylläpitää listaa toimijoista, joiden myöntämät tunnistusvälineet täyttävät laatuvaatimukset. Nykytilassa selkeästi käytetyimmät tunnistepalvelut ovat kansallinen MinID, joka toimii ainoastaan julkisissa palveluissa sekä pankkien tarjoama BankID, joka toimii yksityisissä sekä julkisissa palveluissa.

Kansallisen MinID-tunnisteen saaminen edellyttää norjalaista henkilötunnusta, matkapuhelinta tai sähköpostiosoitetta ja erillistä pin-koodia, joka tilataan julkisen hallinnon toimijalta omalla henkilöntunnuksella. Palvelu edellyttää vähintään 13 vuoden ikää. Yksityiset toimijat määrittelevät omat vaatimustasonsa koskien ensitunnistamista sähköisten tunnistusvälineiden saamiseksi.

Norjassa on käytössä kansallinen väestötietojärjestelmä, joka sisältää kansalaisten ajantasaiset perustiedot. Järjestelmän ylläpidosta vastaa verohallinto. Lähtökohtaisesti henkilötietoja ei voi tarkastella tai välittää ilman laillista perustetta.

Hollanti

Hollannissa on käytössä kaksi erillistä sähköisen tunnistamisen ratkaisua: toinen kansalaisille (DigiD) ja toinen yritysten käyttöön (eHerkenning/eRecognition). DigiD on julkisen sektorin järjestelmä. Yrityksille suunnattu järjestelmä on julkisen sektorin ja yritysten yhteistyön tulos. eRecognition perustuu sopimuksiin yritysten ja valtion välillä ja tavoitteena on luoda yhteinen tunnistamisjärjestelmä myös yritysten väliseen toimintaan. Valtio suorittaa järjestelmään valvontaa, jotta kaikki järjestelmälle asetetut vaatimukset täyttyvät.

Molemmat ratkaisut ovat julkisesti tuettuja ja ne voidaan nähdä osana kansallista infrastruktuuria. Kansalaisille suunnattu sähköisen tunnistamisen järjestelmä toimii ainoastaan julkisen sektorin palveluissa ja vakuutusyhtiöiden henkivakuutusta koskevissa palveluissa. Yrityksille suunnattu tunnistamispalvelu toimii julkisten palveluiden ohella myös yritysten välisessä asioinnissa.

Kansalaiset ovat ottaneet sähköisen tunnistamisen ratkaisun käyttöönsä laajamittaisesti. Lainsäädäntö mahdollistaa sähköisille tunnistamispalveluille vapaat markkinat, mutta tällä hetkellä toimijoita on vähän. Markkinoilla on joitakin mobiilitunnistamista tarjoavia yrityksiä, mutta käytännössä mobiilitunnistamista käytetään hyvin vähän ja harva palvelu tukee niitä. Mobiilitunnistamista ei voi tällä hetkellä käyttää julkisen sektorin palveluissa. Markkinoilla on myös pankkitunniste, mutta sitä voi hyödyntää ainoastaan pankkiasiointiin.

Kansalaisille suunnatun sähköisen tunnistusvälineen myöntää sisäasiainministeriö hakemusta vastaan. Hakemukset tehdään sähköisesti verkossa. Sähköisten tunnusten aktivointi edellyttää aktivointikoodia, joka toimitetaan hakijalle postilla kunnalliseen järjestelmään rekisteröityyn osoitteeseen. Tämän jälkeen hänen tulee kirjautua järjestelmään, aktivoida tunnus ja muuttaa haluamansa salasana. DigiD-tunnuksia voi hakea henkilö, joka on rekisteröity kunnalliseen rekisteriin ja saanut henkilönumeron.

Hollannissa ei ole yhtä kansallista väestötietojärjestelmää vaan tiedot on tallennettu kuntien tasolla omiin tietokantoihinsa. Nämä erilliset tietokannat ovat linkitetty toisiinsa keskitetyn organisaation kautta, mutta haasteena on, että tiedot eivät ole aina reaaliaikaisia.

Hollannissa ei ole käytössä luottamusverkostoa, johon kaikki tunnistepalvelut voisivat liittyä. Julkisen sektorin toimijoiden välisessä tietojen vaihdossa kansalaisten DigiD ratkaisu toimii hyvin, eikä merkittäviä puutteita ole havaittu. Pankit ovat kehittäneet keskinäiseen toimintaan oman iDeal nimisen ratkaisun, jota hyödynnetään sähköisessä maksamisessa.

Useat yksityiset toimijat ovat kiinnostuneita avoimesta yhteisestä tunnistamisratkaisusta, mutta tällä hetkellä jokaisella on oma ratkaisunsa, jotka koetaan ajoittain riittämättömiksi.

2.3 Nykytilan arviointi

Nykyisessä toimintaympäristössä uusien tunnistuspalvelun tarjoajien sekä uusien tunnistusratkaisujen tulo markkinoille on vaikeaa. Ehdotuksella pyritään tehostamaan markkinoiden toimintaa muun muassa luomalla edellytyksiä uusien ratkaisujen kehittämiselle ja käyttämiselle tunnistusväline- ja tunnistusratkaisumarkkinoilla. Samalla luotaisiin valinnanmahdollisuuksia myös käyttäjille.

Julkisen hallinnon sähköisissä palveluissa käytettyjen tunnistuspalveluiden ja niiden hyödyntämisen yhteenlaskettu kustannus on ollut viime vuosina tapahtumamääristä riippuen noin 4-6 miljoonaa euroa vuodessa. Julkisen hallinnon palveluihin tehtiin vuonna 2013 yhteensä noin 20,7 miljoonaa tunnistustapahtumaa. Määrän arvioidaan kasvavan seuraavien vuosien aikana noin 15-30 prosenttia.

Verkkopankkitunnuksia on noin 5,5 miljoonaa ja niillä tehtiin vuonna 2013 tunnistustapahtumia 47,1 miljoonaa. Mobiilivarmenteita on myönnetty kymmeniä tuhansia ja varmennetapahtumia on vuositasolla kymmeniä tai satoja tuhansia. Mobiilivarmenteiden avulla ei vielä ole saavutettu merkittäviä tuottoja. HST-kortteja ja niihin kytkettyjä voimassaolevia kansalaisvarmenteita on noin 450 000 kappaletta. Tällä hetkellä Väestörekisterikeskuksen varmennetapahtumia ei tilastoida varmennekohtaisesti.

Nykyiset verkkopankkitunnukset on tehty ensisijaisesti pankkien omien asiakkaiden tilinkäyttövälineiksi. Osittain tästä johtuen tunnistuspalveluita tarjoavat pankkitoimijat eivät hyväksy toisten tunnistuspalveluiden tarjoajien tunnistusvälineitä. Tästä on seurannut, että käyttäjä tarvitsee useita eri tunnistusvälineitä esimerkiksi ollessaan useamman kuin yhden pankin asiakas. Tämä on johtanut myös siihen, että sähköisten palveluiden tarjoajat joutuvat tekemään erillisiä sopimuksia kaikkien eri tunnistuspalveluiden tarjoajien kanssa mahdollistaakseen sähköisen asioinnin kaikkien tunnistuspalvelun tarjoajien asiakkaille.

Nykytilanteen selkeä ongelma on, että sähköisten palveluiden tarjoajat eivät voi tosiasiallisesta kilpailuttaa sähköisiä tunnistuspalveluja eivätkä siten voi aktiivisesti kontrolloida tunnistamispalveluiden hyödyntämisestä heille koituvia kustannuksia. Ehdotuksella pyritään luomaan edellytyksiä uusien tunnistusvälineiden markkinoille tulolle ja uudenlaisille tunnistamiseen liittyville liiketoimintamahdollisuuksille, mutta samalla takaamaan myös nykyisten tunnistusvälineiden käytön häiriötön jatkuminen. Ehdotuksella pyritään luomaan sähköisten palveluiden tarjoajille paremmat mahdollisuudet vaikuttaa ja hallita tunnistamisesta koituvia kustannuksia.

Teknologinen kehitys tunnistuspalvelumarkkinoilla on jäänyt jälkeen muusta teknologian kehityksestä. Kehittämällä ehdotuksen mukaisesti edellytyksiä uusille alalle tulijoille, pyritään luomaan edellytyksiä ja kannustimia kehittää tunnistamismarkkinoille uutta tekniikkaa ja uuden tyyppisiä palveluita sähköisen tunnistamisen toteuttamiseksi.

Väestörekisterikeskuksen roolina sähköisessä tunnistamisessa on väestötietojärjestelmän ylläpidon lisäksi tuottaa sähköisen asioinnin palveluita julkiselle ja yksityiselle sektorille. Väestötietojärjestelmään kirjataan perustiedot Suomen kansalaisista ja Suomessa vakinaisesti asuvista ulkomaalaisista.

Väestörekisterikeskuksen tuottamiin sähköisen asioinnin palveluihin kuuluvat esimerkiksi poliisin myöntämään henkilökorttiin liitettävä kansalaisvarmenne, terveydenhuollossa toimiville henkilöille tarjottavat varmennepalvelut sekä organisaatioille myönnettävät organisaatiovarmenteet. Väestörekisterikeskuksen tuottamien palveluiden hinnat määräytyvät valtion maksuperustelain (150/1992) ja sen perusteella annetun Väestörekisterikeskuksen asetuksen mukaisesti.

Väestörekisterikeskuksen rooli virallisen henkilötiedon sisältävän viranomaisrekisterin tuottajana ja tunnistuspalveluiden tarjoajana on osaltaan hidastanut tasapuolisten tunnistuspalveluiden markkinoiden syntymistä. Sähköisen tunnistamisen kansallisen kehittämisen jatkotyössä onkin syytä selvittää myös eri viranomaistoimijoiden roolit ja tehtävät.

Tällä hetkellä tunnistuspalveluiden tarjoajat varmistavat tunnistamansa henkilön identiteetin omasta asiakasrekisteristään. Tästä ei ole aiheutunut ongelmia, koska vallitseva tapa on ollut, että kyseiset tiedot pohjautuvat väestötietojärjestelmään, mistä ne on myös aika ajoin tarkistettu. Tämä toimintatapa ei ole perustunut vahvasta sähköisestä tunnistamisesta annettuun lainsäädäntöön. Tunnistuspalvelun tarjoajien toimintaa säännellään sähköisestä tunnistamisesta annetun lainsäädännön lisäksi myös muilla säädöksillä ja määräyksillä, kuten rahanpesulainsäädännöllä. Muu kuin sähköisestä tunnistamisesta annettu lainsäädäntö on ohjannut tunnistuspalveluiden tarjoajia käyttämään viranomaisten rekistereitä. On mahdollista, että markkinoille voi tulla uusia toimijoita, joita eivät ohjaa muut säädökset kuin sähköisestä tunnistamisesta annettu lainsäädäntö. Yhteiskunnan toimivuuden kannalta on tärkeää, että esimerkiksi henkilön identiteetin perustiedot perustuvat aina viranomaisen rekisteriin.

Nykytilanteessa sekä etenkin tulevaisuudessa on kiinnitettävä huomiota niiden teknisten laitteiden tietoturvaan, millä vahvaa sähköistä tunnistamista tehdään. Teknologian kehittyessä muun muassa identiteettivarkaudet voivat olla ongelma, jos vahva sähköinen tunnistus tehdään turvattomalla laitteella, josta esimerkiksi PIN-koodi olisi helppo anastaa. Laitteiden tietoturvaan kohdistuviin vaatimuksiin tulee kiinnittää huomiota valmisteltaessa Euroopan parlamentin ja neuvoston sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla antaman asetuksen toimeenpanoa sekä Euroopan pankkiviranomaisen antamia asetuksia tai määräyksiä. Suomessa vahvaan sähköiseen tunnistamiseen käytettävien laitteiden tulee vastata unionin tasolla asetettaviin vaatimuksiin ja olla riittävän turvallisia kuitenkin siten, ettei niiden käytettävyys käyttäjän tai palvelun tarjoajien näkökulmasta kärsi.

3 Esityksen tavoitteet ja keskeiset ehdotukset
3.1 Tavoitteet

Nykyisen lainsäädännön tavoitteena on mahdollistaa eri tunnistustoimijoiden yhteistyö, jolla varmistetaan markkinoiden kehittyminen. Nykyisen vahvan sähköisen tunnistamisen pohjautuessa pääosin tilinkäyttövälineiksi tarkoitettuihin verkkopankkitunnuksiin, ollaan käytännössä tilanteessa, jossa yleisölle tarjottava sähköinen tunnistuspalvelu on sidoksissa asiakkuuteen ja sitä tarjotaan jonkun muun palvelun oheispalveluna. Tätä ei voida pitää kilpailu- ja kuluttajanäkökulmasta tarkoituksenmukaisena. Osittain tästä syystä eri toimijat eivät ole pystyneet sopimaan keskenään laajamittaisesta sähköisten tunnistusvälineiden vastavuoroisesta hyväksymisestä, eikä tunnistuspalveluiden markkinaehtoista kehittymistä ole tapahtunut, vaikka nykyinen lainsäädäntö on tämän mahdollistanut. Tavoitteena on, että kansalaisen hallussa olevalla vahvalla sähköisellä tunnistusvälineellä voi asioida kaikissa sellaisissa yksityisen sektorin palveluissa, joissa käyttäjän vahva tunnistaminen on välttämätöntä sekä kaikissa julkisen sektorin tuottamissa palveluissa, joissa käyttäjän vahva sähköinen tunnistaminen on tarpeellista. Sähköisen palvelun tarjoaja voi kuitenkin päättää, mitkä tunnistusvälineet tai -menetelmät se hyväksyy.

Sähköisen tunnistamisen tarjoaminen edellyttää ilmoitusta toiminnan aloittamisesta Viestintävirastolle. Viestintävirastoon ilmoituksen tehneet ja toiminnalle asetetut kriteerit täyttävät tunnistuspalvelun tarjoajat muodostavat sähköisen tunnistamisen luottamusverkoston. Luottamusverkoston avulla luodaan edellytykset lisääntyvälle kilpailulle tunnistuspalveluiden markkinoilla ja siten esimerkiksi julkishallinnon tunnistuspalveluiden tarjonta ei monopolisoituisi yhdelle tunnistuspalveluiden tarjoajalle.

Luottamusverkostolla tarkoitetaan toimintamallia, jossa sekä sähköisen palvelun käyttäjällä että sähköisen palvelun tarjoajalla on tukenaan ”luotettu kolmas osapuoli” yhdistämässä palvelutilanteessa luotettavasti toisilleen tuntemattomat osapuolet (sähköisen palvelun käyttäjä ja sähköisen palvelun tarjoaja). Näin toisilleen tuntemattomien osapuolten välille muodostetaan välittäjien toimesta luottamus. Kun käyttäjäryhmiä ja palvelutarjoajaryhmiä kolmansine osapuolineen on useita, on kyseessä luottamusverkosto.

Luottamusverkostossa on tunnistettavissa kaksi erilaista tunnistuspalveluiden tarjoamisen roolia, jotka on määritelty sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetun lain 2 pykälän 1 momentin 4 kohdassa. Tunnistuspalvelun tarjoajalla voi olla rooli, jossa se laskee liikkeelle tunnistusvälineitä loppukäyttäjille tai jossa se edelleen välittää toisen tunnistuspalvelun tarjoajan tekemiä käyttäjien tunnistustapahtumia sähköisten palveluiden tarjoajille tai sillä voi olla molemmat roolit.

Sähköisissä palveluissa, joissa voidaan olettaa edellytettävän käyttäjän vahvaa sähköistä tunnistamista ja tuntemista, voi sähköisen palvelun tarjoaja päättää palveluun hyväksyttävät tunnistusvälineet. Tunnistuspalveluiden tarjoajan on tarjottava sähköisten palveluiden tarjoajille tekninen ja hallinnollinen mahdollisuus hyväksyä kaikki käytettävissä olevat tunnistuspalvelut.

Luottamusverkostossa tunnistuspalvelun tarjoaja ja tunnistuspalvelua hyödyntävä sähköisen palvelun tarjoaja vastaavat kumpikin tunnistustapahtumasta koituvista kuluista omalle tunnistuspalvelun tarjoajalleen. Tämä tarkoittaa, että tunnistuspalvelua hyödyntävä sähköisen palvelun tarjoaja suorittaa korvauksen käyttäjän tunnistusta pyytäessään vain sille tunnistuspalvelun tarjoajalle, jonka kanssa on tehnyt sopimuksen.

Luottamusverkostossa sopimusrajapintojen määrä vähenee etenkin valtionhallinnossa merkittävästi. Tunnistuspalveluiden tarjoajat sopivat siitä, että kukin luottaa toisen tunnistuspalvelua tarjoavan toimijan tunnistusvälineisiin. Tästä seuraa, että sähköisten palveluiden tarjoajalle riittää yksi sopimus valitsemansa tunnistuspalvelun tarjoajan kanssa, jonka jälkeen sähköisen palvelun tarjoaja voi saada kaikki luottamusverkostossa olevien tunnistuspalveluiden tarjoajien tunnistusvälineen omistavat käyttäjät potentiaaliseksi asiakkaakseen. Ehdotuksessa ei kuitenkaan ehdoteta säädettäväksi sähköisen palvelun tarjoajan pakosta hyväksyä eri tunnistuspalveluita, vaan sähköisen palvelun tarjoaja voi valita, mitkä tunnistuspalvelut se hyväksyy. Sähköisen tunnistamisen ja sähköisten palveluiden markkinaehtoinen kehittyminen edellyttää riittävän vapaata liiketoimintamallia, jossa eri sektoreilla toimivat yritykset voivat kehittää sähköisen tunnistamisen liiketoimintaansa tai sen mahdollistamia palveluita. Esityksessä kuvatuilla muutoksilla tavoitellaan sellaista toimintaympäristöä, joka luo edellytyksiä sille, että markkinoilla voidaan tarjota erilaisiin käyttötarkoituksiin soveltuvia sähköisiä tunnistuspalveluita.

Sähköiseen tunnistamiseen perustuvat palvelut ja niissä tehtävät taloudelliset tai oikeudelliset toimet poikkeavat merkittävästi toisistaan. Tämä edellyttää kaikilta sääntelyn piiriin kuuluvilta tunnistuspalveluiden tarjoajilta yhtenäistä luotettavuuden perustasoa, jota säännellään. Esityksessä ehdotettavat säädökset käsittelevät tunnistuspalveluiden tarjoajien välistä suhdetta. Palveluiden taloudellisten tai oikeudellisten vaikutusten eroavaisuuden vuoksi tunnistuspalveluiden tarjoajien ja tunnistuspalveluita hyödyntävien sähköisten palveluiden tarjoajien on voitava sopia keskinäisistä vastuunrajoituksista palvelusopimuskohtaisesti. Esityksessä ehdotetuissa muutoksissa ei otetakaan kantaa eri palvelutarjoajien väliseen vastuunjakoon, vaan tämän on katsottu kuuluvan yksityisoikeudellisen sopimisen piiriin.

Vahvaa sähköistä tunnistuspalvelua tarjoavat toimijat voivat jatkaa omien sähköisten tunnistusvälineidensä tarjoamista käyttäjille myös esitettävän lain voimaan tulon jälkeen, jos kyseiset sähköisten tunnistuspalveluiden tarjoajat ovat ilmoittautuneet Viestintävirastoon vahvan sähköisen tunnistuspalvelun tarjoajiksi. Kun Euroopan parlamentin ja neuvoston asetusta sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla aletaan soveltaa 1 päivästä heinäkuuta 2016, tullaan nykyisten tunnistusvälineiden turvatasoja tarkastelemaan asetuksessa säädettyjä vaatimuksia vasten. Nykyinen lainsäädäntö ja ehdotetut muutokset koskevat vain sellaista vahvaa sähköistä tunnistamista, jota tarjotaan yleisölle.

Esityksessä ehdotetaan, että sähköisesti todennettava henkilöllisyys pohjautuu aina viranomaisen myöntämää henkilöllisyyttä osoittavaa asiakirjaa vasten tehtyyn fyysiseen ensitunnistamiseen tai olemassa olevan sähköisesti todennetun henkilöllisyyden avulla tehtyyn ensitunnistamiseen. Sähköisesti todennettuun henkilöllisyyteen liittyvät tiedot varmistetaan aina ensitunnistamisen yhteydessä tai luotaessa uusi tunnistusväline jo olemassa olevalla tunnistusvälineellä Väestörekisterikeskuksen ylläpitämästä väestötietojärjestelmästä. Ehdotuksesta seuraisi se, että vahvan sähköisen tunnistusvälineen myöntöperusteena on väestötietojärjestelmästä löytyvä suomalainen henkilötunnus ja voimassa oleva Euroopan talousalueen jäsenvaltion, Sveitsin tai San Marinon viranomaisen myöntämä passi tai henkilökortti tai tunnistuspalvelun tarjoajan niin halutessa Euroopan talous-alueen jäsenvaltion viranomaisen 1 päivän lokakuuta 1990 jälkeen myöntämä voimassa oleva ajokortti tai muun valtion viranomaisen myöntämä voimassa oleva passia tai voimassa oleva vahvan sähköisen tunnistamisen väline.

Tunnistusvälinettä haettaessa tehdään käyttäjän henkilöllisyyden todentaminen, jonka perusteella hakijalle voidaan myöntää tunnistusväline, johon liitetään vähintään sellaiset henkilön yksilöivät tunnistetiedot, joilla käyttäjän henkilöllisyys voidaan sähköisesti todentaa. Tällainen tunnistusväline on voitava ketjuttaa uusien sähköisten tunnistusvälineiden luomiseksi.

Sähköisen tunnistusvälineen käytön osalta esityksessä ehdotetaan, että jokaisen tunnistuspalvelun tarjoajan on huolehdittava siitä, että sen sähköisessä tunnistamisen palveluissa käyttämät käyttäjän henkilötiedot ovat ajan tasalla Väestörekisterikeskuksen ylläpitämän väestötietojärjestelmän tietojen kanssa.

Esityksessä pyritään mahdollistamaan sähköisten palvelujen tarjonnan lisääntyminen esimerkiksi siten, että sähköistä tunnistuspalvelua tarjoavat toimijat voisivat halutessaan hyödyntää sähköistä tunnistamista myös fyysisissä asiakaspalvelutilanteissa.

Voimakkaasti markkinaehtoisten toimijoiden varaan rakentuvalla toiminnalla pyritään myös teknologianeutraaliin tunnistuspalveluiden kehittymiseen.

Euroopan parlamentin ja neuvoston asetus sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla tulee aiheuttamaan muutoksia kansalliseen lakiin vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista. Asetus on osittain päällekkäinen kansallisen lainsäädännön kanssa ja asetuksessa on myös kokonaan uusia osioita, jotka tulee toimeenpanna 1 päivänä heinäkuuta 2016 mennessä. Näitä muutoksia ei tehdä tässä esityksessä, sillä komission työ on täytäntöönpanosäännösten osalta kesken. Näin ollen vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetun lain muuttaminen on kaksiosainen prosessi, jonka ensimmäinen osa toteutetaan tällä esityksellä.

Esitystä on rajattu siten, että siinä käsitellään vain sellaisten yksityishenkilöiden sähköistä tunnistamista, joiden tiedot löytyvät väestötietojärjestelmästä. Yritystunnistuksen kehittämistä on tarkoitus valmistella myöhemmin erillisessä työryhmässä. Yritystunnistuksen kehittämisen lähtökohtana on, että se pohjautuu tässä esityksessä luotuihin tunnistusratkaisuihin. Yksityishenkilön puolesta asiointia sekä rooli- ja valtuutustietoja on tarkoitus valmistella erillisessä työssä samaan tapaan kuin yritystunnistusta. Kyseiset hankkeet tulevat perustumaan tässä esityksessä määriteltyihin ratkaisuihin ja sähköiseen tunnistusvälineeseen liitettävään valtuutukseen. Valtuutuksia voivat olla esimerkiksi holhous tai edunvalvonta.

3.2 Toteuttamisvaihtoehdot

Tässä esityksessä ehdotetaan säädettäväksi luottamusverkostoon perustuva vahvan sähköisen tunnistamisen malli. Luottamusverkoston toiminnasta, kuten hallinnollisista käytännöistä, teknisistä rajapinnoista sekä tunnistuspalveluiden tarjoajien välisistä vastuista esitetään säädettäväksi valtioneuvoston asetuksella.

Vahvaa sähköistä tunnistuspalvelua tarjoaviin toimijoihin kohdistuu runsaasti erilaista sääntelyä. Toimijoiden väliset sopimukset ja siten erilaiset yhteis- ja itsesääntelytoimet voisivat olla vaihtoehto luottamusverkostosta säädettävillä erillisille ohjeille. Vaikka ohjeet olisivatkin vain tietyn myöhemmin määritettävän toimijan ohjausta tai valtioneuvoston asetuksella annettavaa lainsäädäntöä, lisäisivät ne joka tapauksessa tunnistuspalvelua tarjoavien toimijoiden sääntelytaakkaa. Yhteis- ja itsesääntelytoimia voitaisiin tehdä määrä-ysten tai muiden ohjaus- tai valvontatoimien asemasta, jos yhteis- tai itsesääntelyllä on asian luonteen perusteella mahdollista turvata laissa säädettyjen vaatimusten toteutuminen kilpailua vaarantamatta ja avoimesti, tasa-puolisesti ja tehokkaasti palvelujen tarjoajien ja käyttäjien kannalta.

3.3 Keskeiset ehdotukset

Esityksessä ehdotetaan muutettavaksi lakia vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista siten, että lakiin lisätään luottamusverkoston määritelmä.

Esityksessä ehdotetaan muutettavaksi henkilötietojen käsittelyä siten, että tunnistuspalvelun tarjoajan ja sähköisiä allekirjoituksia tarjoavan toimijan tulee jatkossa vaatia henkilötunnus käyttäjän tunnistusvälineen hakuun liittyvän tunnistamisen yhteydessä.

Esityksessä ehdotetaan muutettavaksi väestötietojärjestelmään tallennettujen tietojen käyttämistä siten, että tunnistuspalvelun tarjoajan ja sähköisiä allekirjoituksia tarjoavan varmentajan on varmistettava, että sen tunnistuspalvelun tarjoamiseksi tarvitsemat tiedot ovat ajan tasalla suhteessa väestötietojärjestelmän tietoihin.

Esityksessä ehdotetaan muutettavaksi tunnistusvälineen hakijan ensitunnistamista koskevaa säädöstä siten, että sähköisesti todennettu henkilöllisyys pohjautuu aina viranomaisen myöntämää henkilöllisyyttä osoittavaa asiakirjaa vasten tehtyyn fyysiseen ensitunnistamiseen tai olemassa olevan sähköisesti todennetun henkilöllisyyden avulla tehtyyn sähköiseen tunnistamiseen.

Lisäksi lakiin ehdotetaan lisättäväksi säädös tunnistuspalvelun tarjoajien verkostosta, joka muodostaa tunnistuspalveluiden välille avoimen luottamusverkoston.

Ehdotettu sääntely koskee vain Viestintävirastoon ilmoituksen tehneiden vahvan sähköisen tunnistuspalvelujen tarjoajien toimintaa.

4 Esityksen vaikutukset
4.1 Johdanto

Esityksessä ehdotetaan säädettäväksi tunnistuspalvelun tarjoajien välisestä luottamusverkostosta. Verkostolla olisi erilaisia positiivisia vaikutuksia käyttäjiin, tunnistuspalvelun tarjoajiin, sähköisten palveluiden tarjoajiin ja muihin lisäpalveluiden tuottajiin. Luottamusverkoston myötä yksi vahvan sähköisen tunnistamisen väline tarjoaisi käyttäjälle pääsyn lukuisiin erilaisiin sähköisiin palveluihin. Käyttäjälle jäisi valinnanvapaus itselleen sopivimman tunnistusvälineen valintaan tai mahdollisesti useiden tunnistusvälineiden rinnakkaiseen käyttöön. Esityksellä pyritään sähköisestä tunnistamisesta koituvien kulujen alentamiseen kaikkien toimijoiden osalta, mutta koska tunnistuspalveluiden tarjonta on markkinaehtoista toimintaa, on mahdollista, että käyttäjien sähköisistä tunnistuspalveluista maksamat maksut saattavat nousta. Sähköisen palvelun tarjoajille luottamusverkosto tarjoaa asiakkaiksi käytännössä kaikki sähköisen tunnistusvälineen omistavat käyttäjät ilman eri tunnistuspalvelun tarjoajien kanssa tunnistamisesta aiheutuvia sopimuskustannuksia. Näin ollen luodaan edellytyksiä uusien vahvaan sähköiseen tunnistamiseen perustuvien sähköisten palveluiden kehittämiselle.

Tunnistusvälineen hakijan tunnistamiseen esitys vaikuttaisi siten, että vahvaa sähköistä tunnistusvälinettä on aiemmin täytynyt hakea henkilökohtaisesti. Esitettyjen muutosten seurauksena fyysistä ensitunnistamista ei tarvittaisi, jos käyttäjällä on jo vahva sähköinen tunnistusväline. Tällöin uutta tunnistusvälinettä voisi hakea myös sähköisesti. Ensitunnistukseen luottava tunnistuspalvelun tarjoaja saa käyttöönsä toisen tunnistuspalvelun tarjoajan tekemän ensitunnistuksen, mutta myös vastaa mahdollisesta tunnistamisen virheellisyydestä. Nykyisiä pankkitunnisteita voidaan jatkossa käyttää kuten tähänkin saakka, ottaen huomioon, että mahdollisia muutoksia edellyttävät Euroopan parlamentin ja neuvoston sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla annetun asetuksen säädökset tulevat täysmääräisenä voimaan 2018.

Esityksessä ehdotetaan, että tunnistusvälineeseen liitettävät tiedot tarkastetaan väestötietojärjestelmästä, mikä vahvistaa ensitunnistamisen luotettavuutta. Vaatimusta toteutettaessa tulee kuitenkin tällöin ottaa huomioon Väestörekisterikeskuksesta tarkistettavien tietojen käyttötarkoituksen rajaaminen vain ensitunnistamisen yhteyteen

4.2 Taloudelliset vaikutukset

Nykytilanteessa vahvaan sähköiseen tunnistamiseen liittyviä veloituksia käyttäjiltä on vuositasolla arviolta noin 88 miljoona euroa. Tämä on arvio kansallisesta vahvan sähköisen tunnistamisen yhteenlasketusta liikevaihdosta. Vahvan sähköisen tunnistamisen tuottamiseen liittyvät kustannukset muodostuvat ensitunnistamisesta, tunnistusvälineen jakelusta ja tunnistuspalvelun käytöstä ja ylläpidosta. Eri toimijoiden hyvin vaihtelevista toimintamalleista johtuen tunnistuspalveluiden tuottamiskustannukset vaihtelevat voimakkaasti. Lisäksi kustannuksia koituu sopimusten solmimisesta ja hallinnoinnista sekä tunnistuspalveluiden käyttöön liittyvistä tuki- ja selvityspalveluista.

Veloituksista valtaosa liittyy sähköisten tunnistusvälineiden käyttöön. Näistä suurimman erän muodostavat kuluttajilta perittävät kuukausimaksut verkkopankkitunnusten käytöstä, noin 72 miljoona euroa. Verkkopankkitunnusten käyttömaksu on yleisesti 0 – 2,5 euroa ja se on usein sisällytetty pankin tarjoamien muiden palveluiden yhteyteen. Mobiilioperaattorit eivät toistaiseksi peri käyttömaksuja, mutta mobiilioperaattoreiden hinnastoissa on esitetty noin 1 euron suuruisia kuukausimaksuja ja 7 sentin suuruisia tapahtumakohtaisia maksuja. Toiseksi suurimman erän veloituksista muodostavat sähköisten palvelujen tarjoajilta perittävät tapahtuma‐ ja kuukausikohtaiset maksut, yhteensä noin 16 miljoonaa euroa.

Eri toimijoiden hinnat vaihtelevat merkittävästi, mutta tunnistuspalvelujen tarjoajien kustannukset jakaantuvat tarvittavan tietoteknisen infrastruktuurin, hallinto- ja tukipalvelut sekä tunnistusvälineiden tuottamisen ja jakelun kustannuksiin. Eri toimijoiden pelkästään sähköistä tunnistamista varten tarvittavan tietoteknisen infrastruktuurin ylläpitämisen kustannukset on arvioitu noin 8 miljoonaan euron suuruisiksi. Hallinto- ja tukipalveluiden kustannuksiin voidaan katsoa kuuluvan esimerkiksi ensitunnistamiseen liittyviä kustannuksia ja sopimusten hallinnoinnista ja arkistoinnista koituvia kustannuksia. Tunnistuspalvelun tarjoajille syntyy kustannuksia tunnistusvälineen tuottamisesta ja jakelusta noin 6 miljoonaa euroa vuosittain. Tämä määrä muodostuu pääosin pankkien verkkopankkitunnusten postittamisesta asiakkaille.

Esityksessä ehdotettujen muutosten toteuttamisen jälkeen kustannuksia syntyisi edelleen uuden tunnistusvälineen luomisesta jo olemassa olevalla tunnistusvälineellä, tunnistusvälineen jakelusta ja tunnistusvälineen käytöstä sekä näiden tarjoamiseen liittyvän infrastruktuurin kustannuksista. Myös jatkossa suurin osa tuotoista tulisi tunnistusvälineen ja ‐palvelun käyttämisestä ja käyttäjät tulisivat edelleen maksamaan suurimman osan kustannuksista. Kokonaiskustannustaso tulisi esityksen johdosta alenemaan, mutta koska esityksessä ei pakoteta toimijoita tietynlaiseen toimintamalliin, on muutoksen suuntaa vaikea arvioida. Tästä syystä vaikutusarvion pohjaksi on laadittu kolme erilaista skenaariota: varovainen skenaario, voimakkaan muutoksen skenaario ja ei pankkien suljettuja tunnistuspalveluja -skenaario. Ei pankkien suljettuja tunnistuspalveluja -skenaariossa siirtyminen luottamusverkostoon tapahtuu niin pankkiasioinnin kuin muiden tunnistuspalvelun tarjoajien osalta nopeasti.

Varovaisimman arvion mukaan tapahtumakohtainen kustannus tulee laskemaan noin 20 prosenttia ja suurimman arvion mukaan tapahtumakohtainen kustannus tulee alenemaan vähintään 50 prosenttia nykytasosta.

Varovaisessa skenaariossa oletetaan, että pankkiasioinnin volyymit säilyvät nykytasolla, kun muissa skenaarioissa sen odotetaan kasvavan nykyvauhtia noin 5 prosenttia vuodessa. Muut tunnistustapahtumat kasvavat kaikissa skenaarioissa 20 prosentin vuosivauhdilla. Ei pankkien suljettuja tunnistuspalveluja ‐skenaariossa pankkitunnisteet poistuvat vähitellen käytöstä seuraavan 10 vuoden aikana, kun pankit siirtyvät käyttämään muita markkinoilla olevia tunnistuspalveluja.

Varovaisessa skenaariossa siirtyminen luottamusverkostoon tapahtuu pankkiasioinnin osalta hitaammin verrattuna muuhun sähköiseen tunnistamiseen. Markkinoille tulee myös uusia toimijoita, mutta ei pankkitunnistamiseen. Varovaisessa skenaariossa tunnistustapahtumien määrä kasvaa kokonaisuutena 30 prosenttia seuraavan 10 vuoden aikana. Lyhyellä tähtäimellä kokonaiskustannukset esitetystä mallista nousevat hieman johtuen päällekkäisistä tunnistusratkaisuista, mutta pitkällä tähtäimellä kokonaiskustannusten lasku on noin 20 prosenttia.

Voimakkaan muutoksen skenaariossa siirtyminen luottamusverkostoon tapahtuu pankkiasioinnin osalta edelleen hitaammin verrattuna muuhun sähköiseen tunnistamiseen. Markkinoille tulee myös uusia toimijoita, mutta ei pankkitunnistamiseen. Voimakkaan muutoksen skenaariossa tunnistustapahtumien määrä kaksinkertaistuu seuraavan 10 vuoden aikana johtuen pankkitunnistusten kasvusta. Tässä skenaariossa noin puolet suurista pankeista käyttää ja edelleen kehittää omia suljettuja tunnistuspalvelujaan vuonna 2018. Lyhyellä tähtäimellä esitetyn mallin kokonaiskustannukset laskevat noin 10 prosenttia ja pitkällä tähtäimellä kokonaiskustannusten lasku on noin 35 prosenttia.

Ei pankkien suljettuja tunnistuspalveluja ‐skenaariossa siirtyminen luottamusverkostoon tapahtuu pankkiasioinnin osalta nopeasti kuten myös muussa sähköisessä tunnistamisessa. Markkinoille tulee nopeammin uusia toimijoita, myös pankkitunnistamiseen. Tunnistustapahtumien määrä kaksinkertaistuu seuraavan 10 vuoden aikana johtuen pankkitunnistusten kasvusta. Tässä skenaariossa kaikki pankit siirtyvät asteittain käyttämään luottamusverkoston tunnistuspalveluja vuonna 2018. Tässä skenaariossa tunnistustapahtumien määrä kaksinkertaistuu seuraavan 10 vuoden aikana ja uudet tunnistuspalvelut saavat merkittävän aseman myös pankkiasioinnissa. Lyhyellä tähtäimellä esitetyn mallin kokonaiskustannukset laskevat noin 10 prosenttia ja pitkällä tähtäimellä kokonaiskustannusten lasku on noin 50 prosenttia.

4.3 Vaikutukset viranomaisten toimintaan

Esityksessä ehdotetut muutokset eivät vaikuttaisi viranomaisten keskinäisiin toimivaltasuhteisiin tai käyttäjien tai yritysten asemaan ja oikeuksiin, koska sähköisten tunnistuspalvelujen tarjoajien luottamusverkostoon liittyminen on vapaaehtoista.

Ehdotetut muutokset mahdollistaisivat myös julkiselle hallinnolle sähköisen tunnistuspalvelun kilpailuttamisen. Esitetyistä muutoksista arvioidaan seuraavan julkiselle hallinnolle tunnistuspalveluiden osalta kokonaiskustannusten alentuminen. Tämä johtaisi esimerkiksi tunnistuspalveluiden käyttömäärien kasvuun, kun uusien sähköisten palveluiden käyttöönotto yksittäisillä viranomaisilla helpottuu (ml. kunnat).

Esitetyillä muutoksilla olisi jonkin verran vaikutuksia Viestintävirastoon, jonka tehtävä

vahvan sähköisen tunnistamisen palveluiden valvojana laajenisi jälkikäteisvalvonnasta kohti luottamusverkostossa toimivien tunnistuspalvelun tarjoajien toiminnan jatkuvampaa valvontaa. Viestintäviraston valvontatehtäviä ja sen vaatimia resursseja tullaan arvioidaan tarkemmin Euroopan parlamentin ja neuvoston sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla säätämää asetusta koskevien toimeenpanosäännösten valmistelussa.

Esitetyllä muutoksella, tunnistuspalveluntarjoajien velvollisuuteen tarkastaa ja ylläpitää tunnistuspalveluiden ja -välineiden tarjoamiseksi tarvittavia henkilötietoja Väestörekisterikeskuksen ylläpitämästä väestötietojärjestelmästä, on jonkin verran vaikutuksia Väestörekisterikeskuksen maksullisten suoritteiden myyntiin ja Maistraattien väestökirjahallinnon kirjaamistapahtumamääriin, mutta vaikutusten arvioidaan olevan varsin vähäisiä.

Muutoksilla ei olisi suoria vaikutuksia muiden viranomaisten toimintaan eikä muutoksilla ole vaikutuksia valtion ja kuntien väliseen tehtävänjakoon.

4.4 Ympäristövaikutukset

Esityksen eräs tavoite on lisätä sähköisen asioinnin palveluita ja niiden hyödyntämistä. Tämä vaikuttaa välillisesti ihmisten viihtyvyyteen sekä asiointimatkojen vähentymiseen ja osaltaan mahdollistaa nykyisen yhdyskuntarakenteen säilyttämistä, erityisesti haja‐asuttujen alueiden palvelujen saatavuuden osalta. Kansalaisten henkilökohtaisista ensitunnistamisista voi siirtyä esityksen myötä jopa yli 50 prosenttia sähköisiksi, mikä osaltaan vähentäisi kansalaisten asiointimatkoja.

Ehdotetuilla muutoksilla ei ole muita merkittäviä ympäristövaikutuksia.

4.5 Yhteiskunnalliset vaikutukset

Esityksen mukainen luottamusverkostoon pohjautuva tunnistusmarkkina tukee yhteisten järjestelmien käyttöönottoa ja hallinnonaloista ja organisaatiorajoista riippumattomampia ja integroidumpia palvelukokonaisuuksia. Nämä puolestaan mahdollistavat sekä enemmän että parempia aika‐ ja paikkariippumattomia sähköisiä palveluja niin kansalaisille kuin yrityksille.

Esityksen eräänä tavoitteena on sähköisten palveluiden ja sähköisen asioinnin palveluiden tarjonnan ja käytön lisääntyminen. Esitetyillä muutoksilla siirtyminen sähköisiin palveluihin helpottuisi merkittävästi, sillä esimerkiksi sähköisten palveluiden tarjoajille (yritykset, kunnat, valtionhallinto, jne.) riittäisi sopimus yhden tunnistuspalvelun tarjoajan kanssa kaikkien potentiaalisten asiakkaiden saamiseksi.

Sähköinen tunnistaminen on keskeinen osa kansallista palveluarkkitehtuuria, jota ollaan hallituksen päätöksien mukaisesti rakentamassa valtiovarainministeriön toimesta. Helposti käyttöönotettava sähköinen tunnistaminen helpottaa uusien palveluiden luomista ja luo pohjaa laajemmin digitalisaatiolle. Esityksen mukaisia komponentteja ja palveluita tullaan rakentamaan osana palveluarkkitehtuuriohjelmaa.

Volyymeiltään nopeimmin kasvavia palveluja syntynee muun muassa sosiaali‐ ja terveydenhuollon hallinnon alalle.

5 Asian valmistelu
5.1 Valmisteluvaiheet ja -aineisto

Sähköisen tunnistamisen kansallisen mallin valmistelu aloitettiin vuoden 2011 lopussa SITRA:n toimesta. Ensimmäinen ehdotus pohjautui eri toimijoiden muodostaman osuuskunnan ympärille.

Valtiovarainministeriö ja liikenne- ja viestintäministeriö valmistelivat vuonna 2013 toimijoiden pyynnöstä ehdotuksen valtiovetoisesta mallista. Malli hylättiin kilpailullisista ja liiketaloudellisista syistä.

Valtiovarainministeriö asetti 16.5.2014 virkamiestyöryhmän valmistelemaan kansallisen mallin vahvaan sähköiseen tunnistamiseen. Tämän jälkeen kesällä 2014 pääministeri Stubbin hallitusohjelmaan kirjattiin, että toimiva kansallinen sähköinen tunnistamisratkaisu toteutetaan.

Virkamiestyöryhmän tehtävänä oli vastata kansallisen vahvan sähköisen tunnistamisen mallin valmistelusta. Työryhmän tukena toimi referenssiryhmä, jossa oli edustajia sähköisen tunnistamisen parissa työskentelevistä toimijoista, kuten pankeista, operaattoreista, ICT-yrityksistä ja virastoista. Referenssiryhmää tiedotettiin avoimesti valmistelun etenemisestä ja tämän lisäksi referenssiryhmää hyödynnettiin varsinaisessa säädösvalmistelussa.

Esitystä on valmisteltu liikenne- ja viestintäministeriössä yhteistyössä valtiovarainministeriön sekä sen asettaman sähköistä tunnistamista käsittelevän työryhmän kanssa. Esitystä valmisteltaessa on kuultu nykyisiä vahvan sähköisen tunnistamisen toimijoita ja heidän valvontaorganisaatioitaan mahdollisten päällekkäisyyksien ja tämän esityksen ja voimassa olevien säädösten ristiriitaisuuksien välttämiseksi. Esityksestä on pyydetty lausunnot valmistelutyötä seuranneelta referenssiryhmältä ja muilta tahoilta, jotka ovat olleet siitä halukkaita lausumaan.

Valmistelun aikana on järjestetty referenssiryhmän kuulemisia ja tämän lisäksi alan toimijoilta on pyydetty kirjallisesti lausuntoja säädöksien valmisteluvaiheessa.

5.2 Lausunnot ja niiden huomioon ottaminen

Liikenne- ja viestintäministeriö vastaanotti lausuntokierroksen aikana hallituksen esitysluonnoksesta sekä valtioneuvoston asetusluonnoksesta yhteensä 40 lausuntoa. Yksittäiset lausunnot löytyvät valtioneuvoston hankerekisteristä (HARE), asianumerolla LVM055:00/2014.

Lausunnot poikkesivat sisällöltään toisistaan merkittävästi, sillä osa lausunnonantajista pitää hanketta ja luottamusverkostoon perustuvaa mallia hyvin kannatettavina ja osa näki esitysluonnoksessa ja asetusluonnoksessa suuria ongelmia. Sähköisten palveluiden tarjoajien lausunnot olivat pääsääntöisesti esitykseen myönteisesti suhtautuvia. Myös nykyiset teleoperaattorit suhtautuivat esitykseen lähtökohtaisesti myönteisesti. Selkeimmin esitystä vastusti pankkisektori.

Lain vaikutusarviointeja on täydennetty niiltä osin, kuin ne katsottiin lausunnoissa puutteellisiksi.

Ensitunnistamisen ketjuttamisen vaatimusta ja etenkin sen hinnoittelua pidettiin ongelmallisena useissa lausunnoissa. Lausuntopalautteen perusteella ensitunnistamisen hinnoittelun kohtuullisuutta koskeva vaatimus poistettiin esityksestä.

Oikeusministeriö kiinnitti huomiota esityksen säätämisjärjestysperusteluihin sopimussuhteiden pysyvyyden osalta ja pyysi erittelemään tarkemmin, miten lakiehdotus puuttuu sopimussuhteiden pysyvyyteen. Pyynnön mukaisesti sopimussuhteiden pysyvyyttä arvioitiin ja päädyttiin poistamaan sopimussuhteiden pysyvyyttä käsittelevä osio säätämisjärjestysperusteluista, sillä esityksellä ei ole vaikutuksia nykyisten toimijoiden sopimussuhteiden pysyvyyteen.

Ulkomaalaisten vahvaan sähköiseen tunnistamiseen ja siihen, ketkä jäävät esityksessä esitetyn mallin ulkopuolelle huomioitiin useissa lausunnoissa. Oikeusministeriö pyysi myös säätämisjärjestysperusteluissa erittelemään erityisesti perustuslain 6 §:n yhdenvertaisuussäännöksen näkökulmasta henkilöpiiriä, joiden tietoja ei voitaisi tarkastaa väestötietojärjestelmästä. Lausuntojen perusteella esitetyn mallin ulkopuolelle jäävien käyttäjien ryhmää on tarkennettu ja sitä on arvioitu perustuslain 6 §:n mukaisesti.

Tunnistuspalvelun tarjoajien väliseen tunnistetiedosta maksettavaan korvaukseen otettiin kantaa useissa lausunnoissa. Lausuntojen perusteella korvausta käsittelevä säännös poistettiin valtioneuvoston asetusluonnoksesta ja se lisättiin esitettyyn uuteen luottamusverkosto säännökseen hallituksen esitysluonnokseen. Hintasääntelyllä pyritään ehkäisemään mahdollisia markkinahäiriöitä.

Esitystä on lisäksi tarkennettu oikeusministeriön pyynnön mukaisesti asetuksenantovaltuuksien osalta.

Valtioneuvoston asetusluonnoksesta vastaanotettu lausuntopalaute otetaan erikseen huomioon asetuksen jatkovalmistelussa.

YKSITYISKOHTAISET PERUSTELUT

1 Lakiehdotuksen perustelut

2§.Määritelmät. Esitykseen ehdotetaan lisättäväksi uusi luottamusverkostoa koskeva määritelmä. Esityksessä ehdotetaan lisäksi muutettavaksi määritelmien 12 ja 13 kohtaa, koska ehdotetun uuden 14 kohdan lisäyksen seurauksena määritelmien 12 ja 13 kohdan sidesanoja ja välimerkkejä tulisi muuttaa.

Määritelmien uuden 14 kohdan mukaan luottamusverkostolla tarkoitetaan Viestintävirastoon ilmoituksen tehneiden tunnistuspalveluiden tarjoajien verkostoa.

Luottamusverkostossa sähköisen tunnistuspalvelun tarjoajat muodostavat yhteentoimivan teknisen ja hallinnollisen verkoston. Tunnistuspalveluiden käyttäjät voivat hyödyntää verkostoa tekemällä sopimuksen yhden tai useamman tunnistuspalvelun tarjoajan kanssa ja hyödyntää saamaansa vahvaa sähköistä tunnistusvälinettä kaikissa niissä sähköisissä palveluissa, joissa tunnistusväline on hyväksytty. Sähköisen palvelun tarjoaja voi hyödyntää verkostoa tekemällä sopimuksen tunnistuspalvelun tarjoajan kanssa tunnistetietojen välittämisestä ja se voi hyödyntää kaikkia luottamusverkostoon kuuluvia tunnistuspalveluita ja luottamusverkostoon kuuluvien tunnistuspalvelun tarjoajien liikkeelle laskemia tunnistusvälineitä. Tunnistuspalvelun tarjoajien verkostosta ehdotetaan säädettäväksi tarkemmin ehdotuksessa esitetyllä 12 a §:llä.

6 §.Henkilötietojen käsittely Esityksessä ehdotetaan muutettavaksi 6 pykälän 3 momenttia siten, että tunnistuspalvelun tarjoajan ja sähköisiä allekirjoituksia tarjoavan varmentajan tulee tarkistaessaan hakijan henkilöllisyyden vaatia hakijaa ilmoittamaan henkilötunnuksensa. Nykyisen lain 3 momentin mukaan tunnistuspalvelun tarjoaja ja sähköisiä allekirjoituksia tarjoava varmentaja voi tarkistaessaan hakijan henkilöllisyyden vaatia hakijaa ilmoittamaan henkilötunnuksensa.

Ehdotettu muutos ei vaikuttaisi tunnistuspalvelun tarjoajien käytännön prosesseihin, sillä vakiintuneen tavan mukaan tunnistuspalvelun tarjoaja tarkistaessaan hakijan henkilöllisyyden pyytää hakijaa ilmoittamaan henkilötunnuksensa. Ehdotetulla muutoksella pyritään selkeyttämään voimassa olevaa käytäntöä käyttäjän henkilöllisyyttä tarkistettaessa.

7 §.Väestötietojärjestelmän tietojen käyttäminen. Esityksessä ehdotetaan muutettavaksi ehdotetun lain 7 pykälän otsikkoa siten, että se olisi väestötietojärjestelmän tietojen käyttäminen, koska se vastaisi paremmin sisältöä.

Ehdotetun momentin mukaan tunnistuspalvelun tarjoajan ja sähköisiä allekirjoituksia tarjoavan varmentajan on hankittava ja päivitettävä tunnistuspalvelun tarjoamiseksi tarvitsemansa tiedot väestötietojärjestelmästä. Tunnistuspalvelun tarjoajan tulee, lähettäessään tunnistusvälineeseen liittyvää tunnistetietoa toiselle tunnistuspalvelun tarjoajalle, välittää aina vähintään henkilön yksilöivä tieto. Henkilön yksilöivä tieto voi olla henkilötunnus tai muu sellainen tunnus, joka on yksilöity ja jonka perusteella henkilön henkilötunnus on mahdollista luotettavasti tarkastaa väestötietojärjestelmästä. Tämän lisäksi momentissa esitetään, että tunnistuspalvelun tarjoajan on varmistettava, että sen tunnistuspalvelun tarjoamiseksi tarvitsemat tiedot ovat ajan tasalla väestötietojärjestelmän tietojen kanssa.

Esityksessä ei rajoiteta, mitä tietoja loppukäyttäjän tunnistaneen tunnistuspalvelun tarjoajan tulee henkilön yksilöivän tunnistetiedon lisäksi välittää, sillä esityksessä halutaan luoda tunnistuspalvelun tarjoajille edellytyksiä erilaisten lisäpalveluiden kehittämiselle ja tarjoamiselle. Jos tunnistuspalvelun tarjoaja välittää henkilön yksilöivän tunnistetiedon lisäksi muuta henkilötietoa kuin vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetun lain 6 pykälässä säädettyjä tietoja, sovelletaan niihin tietoihin muuta henkilötietojen käsittelyä koskevaa lainsäädäntöä.

Esitetyllä muutoksella pyritään vakiinnuttamaan väestötietojärjestelmän asema ensisijaisena tietovarantona hankittaessa ja päivitettäessä tunnistuspalvelun tarjoamiseen tarkoitettuja tietoja.

Keskeisin syy tunnistusvälineen myöntöperusteiden sitomisesta henkilötietojen löytymiseen väestötietojärjestelmästä on varmistaa tunnistusvälineeseen liitettävä henkilön yksilöivä tieto. Tällaisena henkilön yksilöivänä tietona voidaan pitää väestötietojärjestelmään tallennettua henkilötunnusta tai sähköistä asiointitunnusta, jonka tietojen ylläpidosta vastaa viranomainen. Ehdotetulla muutoksella halutaan varmistaa, että henkilölle luovutettu tunnistusväline yhdistyy viranomaisrekisteristä löytyvään henkilön yksilöivään tietoon, tunnistuspalvelun tarjoajasta riippumatta, aina samalla tavalla.

Vahvan sähköisen tunnistusvälineen saamiseksi henkilön henkilötunnus on oltava tallennettuna väestötietojärjestelmään. Henkilöt, joiden tiedot ovat väestötietojärjestelmässä, voitaisiin tunnistaa tunnistuspalvelun tarjoajan toimesta. Väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista annetun lain 7 §:ssä säädetään väestötietojärjestelmään tallennettavista rekisteröinnin kohteista ja lain 9 §:ssä ulkomaan kansalaisen rekisteröinnin edellytyksistä.

Esitetystä muutoksesta seuraa, että osa sähköisiä tunnistuspalveluja käyttävistä henkilöistä jäisi esitetyn mallin mukaisen järjestelmän ulkopuolelle. Henkilöille, joiden tietoja ei voitaisi tarkastaa väestötietojärjestelmästä, tarjottaisiin sähköisen tunnistamisen palveluja nykyisten tunnistuspalveluiden tarjoajien toimesta siten kuin heille tälläkin hetkellä tarjotaan tunnistusvälinettä ja tunnistuspalveluja. Tällaisia tunnistusvälineitä ja tunnistuspalveluja käytetään tunnistusvälineen liikkeelle laskijan omiin palveluihin tai muihin palveluihin, joihin tunnistusväline on hyväksytty. Tällaisissa tapauksissa tunnistusvälinettä ei voida käyttää vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista säädettyyn tunnistusvälineen luomiseen jo olemassa olevalla tunnistusvälineellä. Sähköisen palvelun tarjoajan ja tunnistuspalvelun tarjoajan ehdotetaan yllä esitetyissä tapauksissa sopivan tunnistusvälineen hyväksymisestä ja siihen liittyvistä vastuukysymyksistä tapauskohtaisesti.

Henkilöitä, joiden tietoja ei voitaisi tarkastaa väestötietojärjestelmästä, arvioidaan olevan vähän. Aiemmin joitakin oleskeluluvan saaneita ulkomaalaisia ei voitu kirjata väestötietojärjestelmään, koska heillä ei ollut henkilöllisyyttä osoittavaa asiakirjaa. Väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista annetun lain 1 päivänä maaliskuuta 2014 voimaan tulleen muutoksen myötä rekisteröitävien henkilötietojen luotettavuus voidaan poikkeuksellisesti varmistaa myös muusta kuin alkuperäisestä virallisesta asiakirjasta. Ulkomaan kansalaiselle voidaan siis antaa henkilötunnus ja tallentaa henkilötiedot väestötietojärjestelmään, vaikka henkilöllä ei ole esittää passia tai muuta henkilöllisyyttä luotettavasti osoittavaa asiakirjaa.

12 a §.Tunnistuspalvelun tarjoajien verkosto Esitykseen ehdotetaan lisättäväksi uusi pykälä tunnistuspalvelun tarjoajien verkostosta.

Pykälän 1 momentissa ehdotetaan säädettäväksi luottamusverkostoon liittymisestä. Tunnistuspalvelun tarjoajan tehdessä vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetun lain 10 §:n mukaisen ilmoituksen Viestintävirastoon, liittyy tunnistuspalvelun tarjoaja osaksi luottamusverkostoa. Vahvan tunnistuspalvelun tarjoajan aseman saamiseksi tunnistuspalvelun tarjoajan tulee siis ilmoittautua Viestintävirastoon. Tunnistuspalvelua on mahdollista tarjota myös ilmoittautumatta Viestintävirastoon, mutta tällöin tunnistuspalvelun tarjoajalla ei ole vahvan sähköisen tunnistuspalvelun tarjoajan asemaa. Luottamusverkostossa toimivaa tunnistuspalvelun tarjoajaa velvoittavat ne säädökset, joista laissa vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista on säädetty, kuten tunnistuspalvelun tarjoajan yleiset velvollisuudet. Tavoitteena kansallisessa sähköisessä tunnistamisessa tulee aina olla riittävän turvalliset ratkaisut ottaen huomioon tunnistusmarkkinoiden teknologinen kehitys ja tietoturvavaatimukset. Tietoturvallisuusvaatimuksia tulee tarkastella Suomessa verraten kansallisia vaatimuksia EU:n muiden jäsenmaiden vaatimuksiin turvatasojen osalta.

Viestintävirasto valvoo vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetun lain 42 pykälän nojalla vahvan sähköisen tunnistuspalveluiden tarjoajia. Toimija, joka ei täytä tämän lain 9 pykälässä tunnistuspalvelun tarjoajalle asetettuja vaatimuksia ei myöskään voi kuulua luottamusverkostoon. Mahdollisia väärinkäytöksiä Viestintävirasto valvoo vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetun lain 45 §:n ja 12 §:n 2 momentin nojalla. Jos tunnistuspalvelun tarjoaja rikkoo tätä lakia tai sen määräyksiä, voi Viestintävirasto velvoittaa tämän tunnistuspalvelun tarjoajan korjaamaan virheensä tai laiminlyöntinsä. Päätöksen tehosteeksi voidaan asettaa uhkasakko tai uhka, että toiminta keskeytetään osaksi tai kokonaan taikka että tekemättä jätetty toimenpide teetetään asianomaisen kustannuksella.

Pykälän 2 momentissa ehdotetaan säädettäväksi niistä hallinnollisista käytännöistä, jotka mahdollistavat tunnistuspalveluita tarjoavien ja niitä hyödyntävien palveluntarjoajien tarjoamien palveluiden yhteentoimivuuden. Samassa momentissa ehdotetaan säädettäväksi luottamusverkoston edellyttämistä teknisistä rajapinnoista, jotka mahdollistavat tunnistuspalveluita tuottavien ja niitä hyödyntävien toimijoiden välisen teknisen yhteentoimivuuden.

Esityksellä ei pyritä luomaan uusia asiakkaille tarjottavia rajapintoja tai velvoittamaan uusien rajapintojen käyttöönottoa, vaan tarkoituksena olisi, että tunnistuspalveluiden tarjoajat toimisivat luottamusverkoston sisällä yhdellä rajapinnalla, jolloin sähköisten palveluiden tarjoajille ei koidu kustannuksia uusien rajapintojen kehityksestä tai niihin liittymisestä. Tunnistuspalvelun tarjoajat siis sopisivat käytettävästä rajapinnasta, jolloin viranomainen ei määrittele tiettyä rajapintaa tai sen kuvausta. Esityksessä ei oteta kantaa, minkälaisilla teknisillä rajapinnoilla tunnistuspalveluita tulee myydä sähköisten palveluiden tarjoajille, mutta kustannustehokasta olisi noudattaa rajapinnoissa yleisesti käytössä olevia standardeja.

Pykälän 3 momentissa ehdotetaan säädettäväksi sähköisen tunnistuspalvelun tarjoajien välisistä korvauksista silloin, kun tunnistetieto välitetään kahden eri tunnistuspalvelun tarjoajan välillä. Välitettävästä tunnistetiedosta, jonka tulee sisältää aina vähintään henkilön yksilöivä tieto, perittävä korvaus voi olla enintään 10 senttiä.

Korvaus tulee suorittaa lähettäjälle, koska korvauksen perimisen kieltäminen saattaisi luoda vahvan sähköisen tunnistamisen markkinoille vapaamatkustajaongelman. Kyseisessä markkinahäiriössä voisi syntyä tilanne, jossa vapaamatkustava luottamusverkoston jäsen voisi tarjota muiden luottamusverkostossa olevien tunnistuspalvelun tarjoajien kustantamat tunnistuspalvelut sähköisten palvelujen tarjoajien käyttöön joko hyvin halvalla tai ilmaiseksi, jolloin tunnistuspalvelun tarjoajien ansaintamahdollisuus saattaisi rajoittua vain käyttäjiltä kerättäviin maksuihin.

Tunnistuspalveluiden tarjoajat voivat keskinäisellä sopimuksella sopia myös alemmasta hinnasta tai hinnoittelusta, joka mahdollistaa tapahtumamääristä riippumattoman korvauksen. Keskimääräinen korvaus välitettävästä tunnistetiedosta ei saa kuitenkaan ylittää 10 sentin enimmäiskorvausta.

Jos tunnistuspalvelun tarjoaja toimii tunnistusvälineiden myöntäjänä sekä tunnistetietoja välittävänä toimijana, ei sisäistä korvausta välitettävistä tunnistetiedoista tarvitse suorittaa.

Korvauksen enimmäismäärän tasoa tullaan arvioimaan vuosittain ottaen huomioon erityisesti tunnistusmarkkinoilla tapahtuvat muutokset. Viestintävirasto tulee luottamusverkoston tunnistuspalvelun tarjoajia valvovana viranomaisena yhdessä toimivaltaisten viranomaisten ja luottamusverkoston jäsenten kanssa arvioimaan kerran vuodessa järjestettävässä tapaamisessa tunnistusmarkkinoilla tapahtuvia muutoksia erityisesti teknologian kehityksen ja turvallisuustasojen osalta.

Pykälän 4 momentissa ehdotetaan säädettäväksi tunnistuspalvelun tarjoajien velvoitteesta ja vastuusta toimia yhteistyössä siten, että tekniset rajapinnat ja hallinnolliset käytännöt toteutetaan yhteentoimivasti. Momentissa määrätään tunnistuspalveluiden tarjoajille yhteistyövelvoite, jonka tarkoituksena on, että edellä 1 momentissa säädetyt tekniset rajapinnat ja hallinnolliset käytännöt saadaan käyttöön tunnistuspalvelun tarjoajien välillä.

Pykälän 5 momentissa ehdotetaan säädettäväksi, että luottamusverkoston hallinnollisista käytännöistä, teknisistä rajapinnoista ja vastuista ehdotetaan säädettäväksi tarkemmin valtioneuvoston asetuksella.

17 §.Tunnistusvälineen hakijan tunnistaminen Esityksessä ehdotetaan muutettavaksi 17 pykälän otsikkoa siten, että se olisi tunnistusvälineen hakijan tunnistaminen, kun se ennen oli tunnistusvälineen hakijan ensitunnistaminen, koska se vastaisi paremmin sisältöä.

1 momentissa säädettäisiin kahdesta tavasta, jolla tunnistaminen voidaan tehdä. Ensiksikin, jos hakijalla ei ole aikaisempaa tämän lain mukaista vahvaa sähköistä tunnistusvälinettä, tulee tunnistaminen tehdä henkilökohtaisesti. Toiseksi, jos hakijalla on jo käytössään vahva sähköinen tunnistusväline, voidaan tässä laissa tarkoitettua tunnistusvälinettä hakea sähköisesti.

Pykälän 2 momentissa säädettäisiin siitä, kuinka edellä 1 momentissa tarkoitettu henkilökohtainen tunnistaminen tulee tehdä. Pykälä vastaa sisällöllisesti voimassa olevan 17 §:n 1 momenttia. Pykälän 2 momentin osalta on korostettava, että tunnistusväline voidaan myöntää myös muun maan kuin Suomen henkilöllisyyttä osoittavaa asiakirjaa vasten, jos henkilön tiedot löytyvät väestötietojärjestelmästä. Näin voidaan varmistua siitä, että viranomainen on tarkastanut henkilön henkilöllisyyden osoittavat asiakirjat ja henkilön tiedot ovat tallennettu väestötietojärjestelmään.

Pykälän 3 momentissa ehdotetaan säädettäväksi siitä poikkeuksesta, jos tunnistusvälineen hakijan henkilöllisyyttä ei voida luotettavasti todentaa. Momentti vastaa voimassaolevan lain 17 pykälän 4 momenttia.

Pykälän 4 momentissa ehdotetaan säädettäväksi tunnistusvälineen hakemisesta sähköisesti. Tunnistusvälinettä voi hakea sekä sähköisesti jo käytössä olevilla Viestintävirastoon ilmoittautuneiden tunnistuspalvelun tarjoajien tunnistusvälineillä että täysin uusilla Viestintävirastoon tulevaisuudessa ilmoittautuvien tunnistuspalveluiden tarjoajien tunnistusvälineillä. Käytännössä tämä tarkoittaa sitä, että tunnistusväline voidaan hakea olemassa olevan vahvan sähköisen tunnistusvälineen avulla ja luottamusverkostoon kuuluvien tunnistuspalvelun tarjoajien on mahdollistettava heidän liikkeelle laskemiensa tunnistusvälineiden käyttö luotaessa uusia tunnistusvälineitä jo olemassa olevilla tunnistusvälineillä. Olemassa olevalla tunnistusvälineellä on voitava hakea vastaavan tasoista tunnistusvälinettä.

Tässä laissa määritetty vahva sähköinen tunnistaminen tarkoittaa henkilön yksilöimistä ja tunnistusvälineen aitouden ja oikeellisuuden todentamista sähköistä menetelmää käyttämällä. Todentaminen perustuu vähintään kahteen seuraavista kolmesta vaihtoehdosta: a) salasanaan tai johonkin muuhun sellaiseen, mitä tunnistusvälineen haltija tietää; b) sirukorttiin tai johonkin muuhun sellaiseen, mitä tunnistusvälineen haltijalla on hallussaan; tai c) sormenjälkeen tai johonkin muuhun tunnistusvälineen käyttäjän yksilöivään ominaisuuteen. Heikko tunnistaminen on sellaista sähköistä tunnistamista, joka ei täytä edellä kuvattua määritelmää. Heikon tunnistamisen menetelmistä käytetyin on käyttäjätunnus-salasanapari. Heikkoa tunnistamista ei säännellä lailla.

Pykälän 4 momentissa ehdotetaan lisäksi säädettäväksi, että tunnistuspalvelun tarjoajan tunnistukseen luottava toimija on vastuussa mahdollisesta tunnistuksen virheellisyydestä. Vastuukysymyksiä tarkasteltaessa on otettava huomioon, että tunnistuspalvelun tarjoajan myöntäessä voimassa olevan lain 2 §:n 1 momentin 3 kohdassa säädetty tunnistusväline, on alkuperäinen ensitunnistus tehty tämän lain 17 pykälässä säädetyn mukaisesti.

Esitystä valmisteltaessa ensitunnistamisen hintaa tai hintaa sille, että jo olemassa olevalla tunnistusvälineellä luodaan uusi tunnistusväline, ei katsottu tarkoituksenmukaiseksi säännellä. Näin ollen edellä mainitut hinnat määräytyvät markkinaehtoisesti. Ensitunnistamisen hinnoittelun osalta tavoitteena olisi kuitenkin, että se olisi läpinäkyvää ja syrjimätöntä. Tunnistuspalvelun tarjoajat voivat keskenään sopia ensitunnistamisen yhteydessä suoritettavista mahdollisista korvauksista muiden yksityisoikeudellisten säännösten perusteella.

Esitys mahdollistaa sen, että tunnistuspalvelun tarjoajat voivat tarjota halutessaan sähköisen palvelun tarjoajille lisäpalveluja. Tunnistuspalvelun tarjoaja voi halutessaan tarjota esimerkiksi palvelua, joka mahdollistaa henkilön vahvan sähköisen tunnistuksen ketjutuksen seurannan. Tällöin lisäpalvelun hankkija voisi tarkastaa esimerkiksi tiedot siitä, mikä toimija on myöntänyt edellisen tunnistusvälineen, mutta esityksessä ei kuitenkaan edellytetä, että tunnistuspalvelun tarjoajien tulisi ylläpitää tällaista rekisteriä.

2 Voimaantulo

Laki ehdotetaan tulemaan voimaan 1 päivänä toukokuuta 2015. Sen 12 a §:ää sovellettaisiin kuitenkin vasta 1 päivästä toukokuuta 2017.

Lain voimaantulosta luottamusverkoston jäsenille esitetään kahden vuoden siirtymäaikaa luottamusverkoston teknisten ja hallinnollisten valmiuksien kehittämiselle. Kahden vuoden päästä lain voimaan tulosta teknisten ja hallinnollisten valmiuksien kehittämisen jälkeen luottamusverkoston toimijat voisivat ottaa kehittämiään järjestelmiä käyttöön ja tuolloin tulisi sovellettavaksi myös esitetty 12 a §.

3 Suhde perustuslakiin ja säätämisjärjestys
3.1 Elinkeinonvapaus

Perustuslain elinkeinonvapauden kannalta merkityksellisiä on ehdotuksen 12 a §:n säännökset, jotka koskevat tunnistuspalvelun tarjoajien verkostoa.

Perustuslain 18 §:n mukaan jokaisella on lain mukaan oikeus hankkia toimeentulonsa valitsemallaan työllä, ammatilla tai elinkeinolla. Perustuslakivaliokunta on käsitellyt ilmoitusvelvollisuutta ja elinkeinovapauden suhdetta esimerkiksi lausunnossa PeVL 54/2002 vp (verkkotunnuslaki).

Vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetun lain 10 §:n mukaan tunnistuspalvelun tarjoajalla on velvollisuus ilmoittaa toiminnan aloittamisesta kirjallisesti Viestintävirastolle. Tässä esityksessä ehdotetun 12 a §:n 1 momentin mukaan tunnistuspalvelun tarjoajan tehdessä vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetun lain 10 §:n mukaisen ilmoituksen Viestintävirastoon, liittyy tunnistuspalvelun tarjoaja osaksi luottamusverkostoa. Luottamusverkostoon liittyminen itsessään ei vaadi erillistä ilmoitusta Viestintävirastolle. Henkilön tunnistaminen perustuu vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetun lain 6 §:ssä säädettyihin asiakirjoihin

Tunnistuspalvelua on mahdollista tarjota myös ilmoittautumatta Viestintävirastoon, mutta tällöin tunnistuspalvelun tarjoajalla ei ole vahvan sähköisen tunnistuspalvelun tarjoajan asemaa tässä laissa tarkoitetussa merkityksessä. Vahvan tunnistuspalvelun aseman saaminen edellyttää ilmoittautumista Viestintävirastoon.

Perustuslakivaliokunta on todennut, että ilmoitusvelvollisuudesta säätäminen ei ole elinkeinovapauden kannalta ongelmallista etenkään, kun viranomaisen ei edellytetä tekevän ilmoituksen johdosta päätöstä. Viestintäviraston ei tarvitse tehdä päätöstä esityksessä ehdotettuun luottamusverkostoon liittymisestä. Lisäksi ehdotetun ilmoitusvelvollisuuden laiminlyöntiä ei ole sanktioitu.

Tunnistuspalveluiden tarjoajien tulee kohdella asiakkaitaan syrjimättömästi ja tasapuolisesti. Käytännössä tästä seuraa, että vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista säädetyssä laissa tarkoitettu tunnistuspalvelun tarjoaja voi kieltäytyä myöntämästä henkilölle sähköistä tunnistusvälinettä, vain jos henkilön tietoja ei löydy väestötietojärjestelmästä tai henkilöllä ei ole vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetun lain 17 §:ssä säädettyä viranomaisen myöntämää henkilöllisyyttä osoittavaa asiakirjaa tai jo olemassa olevaa tunnistusvälinettä, jolla henkilöllisyys voidaan todentaa. Tunnistuspalvelun tarjoaja voi tarjota sähköistä tunnistusvälinettä osana muuta palvelua, mutta näissäkin tapauksissa tunnistusväline tulee myöntää syrjimättömästi ja tasapuolisesti. Tunnistuspalvelun tarjoajalla on kuitenkin oikeus kieltäytyä tunnistusvälineen myöntämisestä myös muun velvoittavan lainsäädännön kuten, rahanpesulainsäädännön asiakkaan tuntemista ja tuntemista koskevien velvoitteiden, nojalla.

Henkilöille, joiden tietoja ei voitaisi tarkastaa väestötietojärjestelmästä, tarjottaisiin sähköisen tunnistamisen palveluja nykyisten tunnistuspalveluiden tarjoajien toimesta siten kuin heille tälläkin hetkellä tarjotaan sähköistä tunnistusvälinettä ja tunnistuspalveluja käytettäväksi tunnistusvälineen myöntäjän omiin palveluihin tai muihin palveluihin, joihin sähköinen tunnistusväline on hyväksytty. Tällaisissa tapauksissa sähköistä tunnistusvälinettä ei voida käyttää vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista säädettyyn vahvan tunnistusvälineen luomiseen olemassa olevalla vahvalla tunnistusvälineellä. Sähköisen palvelun tarjoajan ja tunnistuspalvelun tarjoajan ehdotetaan sopivan tunnistusvälineen hyväksymisestä ja siihen liittyvistä vastuukysymyksistä tapauskohtaisesti.

Henkilöitä, joiden tietoja ei voitaisi tarkastaa väestötietojärjestelmästä, ei arvioida olevan kovin paljon. Aiemmin joitakin oleskeluluvan saaneita ulkomaalaisia ei voitu kirjata väestötietojärjestelmään, koska heillä ei ollut henkilöllisyyttä osoittavaa asiakirjaa. Väestötietojärjestelmästä ja Väestörekisterikeskuksen varmennepalveluista annetun lain 1 päivänä maaliskuuta 2014 voimaan tulleen muutoksen myötä rekisteröitävien henkilötietojen luotettavuus voidaan poikkeuksellisesti varmistaa myös muusta kuin alkuperäisestä virallisesta asiakirjasta. Ulkomaan kansalaiselle voidaan siis antaa henkilötunnus ja tallentaa henkilötiedot väestötietojärjestelmään, vaikka henkilöllä ei ole esittää passia tai muuta henkilöllisyyttä luotettavasti osoittavaa asiakirjaa. Ulkomaalaisen rekisteröinti väestötietojärjestelmään helpottuu lisäksi 1 päivänä joulukuuta 2014 voimaan tulleen lainmuutoksen myötä. Jatkossa Maahanmuuttovirasto ja poliisi voivat tallettaa henkilön suppeat perustiedot väestötietojärjestelmään oleskeluluvan ja oleskelukortin myöntämisen sekä oleskeluoikeuden rekisteröimisen yhteydessä. Näin ollen Suomessa ei lähtökohtaisesti pitäisi olla oleskeluluvan, oleskelukortin tai rekisteröidyn oleskeluoikeuden nojalla oleskelevia ulkomaalaisia, joita ei löydy väestötietojärjestelmästä.

Kaikilla Suomessa oleskelevilla ulkomaalaisilla ei käytännössä olisi mahdollista saada esityksessä tarkoitettua tunnistusvälinettä huolimatta siitä, että heidät on rekisteröity väestötietojärjestelmään. Osalla ulkomaalaisista ei ole henkilöllisyyttä osoittavaa asiakirjaa, kuten passia tai henkilökorttia, jota tarvitaan vahvan sähköisen tunnistusvälineen saamiseksi. Ongelmaa pyritään ratkaisemaan parhaillaan sisäministeriön asettamassa henkilökorttilain muutostarpeita koskevassa esiselvityshankkeessa. Tavoitteena on, että oleskeluluvan saaneelle ulkomaalaiselle, joka on rekisteröity väestötietojärjestelmään, voitaisiin myöntää ulkomaalaisen henkilökortti, vaikka hänellä ei olisi luotettavaa henkilöllisyyttä osoittavaa asiakirjaa.

Perustuslain 6 §:n mukaan ketään ei saa ilman hyväksyttävää perustetta asettaa eri asemaan sukupuolen, iän, alkuperän, kielen, uskonnon, vakaumuksen, mielipiteen, terveydentilan, vammaisuuden tai muun henkilöön liittyvän syyn perusteella. Esityksessä pyritään ratkaisemaan suuren yleisön vahva sähköinen tunnistaminen sitomalla vahva sähköinen tunnistaminen väestötietojärjestelmään rekisteröityihin tietoihin. Tämän ei kuitenkaan yllä esitetyistä syystä nähdä asettavan mitään ihmisryhmää eriarvoiseen asemaan tunnistusvälineen hakuprosessissa.

3.2 Henkilötietojen käsittely

Perustuslain 10 §:n mukaan henkilötietojen suojasta säädetään tarkemmin lailla. Perusoikeusuudistusta koskevan hallituksen esityksen mukaan säännös viittaa tarpeeseen lainsäädännöllisesti turvata yksilön oikeusturva ja yksityisyyden suoja henkilötietojen käsittelyssä, rekisteröinnissä ja käyttämisessä (HE 309/1993 vp, s. 53). Säännöksen lakiviittaus henkilötietojen suojasta edellyttää perusoikeusuudistuksen tarkoituksen mukaisesti (PeVM 25/1994 vp, s. 6/I) lainsäätäjän säätävän tästä oikeudesta, mutta se jättää sääntelyn yksityiskohdat lainsäätäjän harkintaan.

Perustuslakivaliokunta on käsitellyt henkilötietojen suojaa muun muassa lausunnoissaan PeVL 47/1996 vp (telemarkkinalaki), PeVL 26/1998 vp (televiestinnän tietosuojalaki), PeVL 27/1998 vp ja PeVL 27a/1998 vp, (laki yksityisyyden suojasta työelämässä) sekä PeVL 25/1998 vp (henkilötietolaki).

Valiokunta on lausunnoissaan korostanut yleisesti lain yksityiskohtaisten säännösten täsmällisyyden tärkeyttä. Valiokunnan lausuntokäytännön mukaan myös kysymys henkilörekistereihin talletettujen tietojen säilytysajoista kuuluu kyseissä perustuslakikohdassa ilmaistun lailla säätämisen vaatimuksen piiriin. Tärkeitä sääntelykohteita ovat ainakin rekisteröinnin tavoite, rekisteröitävien henkilötietojen sisältö, niiden sallitut käyttötarkoitukset mukaan luettuna tietojen luovutettavuus ja tietojen säilytysaika henkilörekisterissä sekä rekisteröidyn oikeusturva samoin kuin näiden seikkojen sääntelemisen kattavuus ja yksityiskohtaisuus lain tasolla.

Tässä esityksessä ehdotetulla 6 §:n muutoksella pyritään selkeyttämään nykykäytäntöä siten, että tunnistuspalvelun tarjoajan ja sähköisiä allekirjoituksia tarjoavan varmentajan tulee tarkistaessaan hakijan henkilöllisyyttä vaatia hakijaa ilmoittamaan henkilötunnuksensa. Ehdotettu muutos tekisi säädöksen tulkinnan yksiselitteisemmäksi ja vastaa siten perustuslakivaliokunnan vaatimusta lain yksityiskohtaisten säännösten täsmällisyydestä.

Tässä esityksessä ehdotettu vaatimus siitä, että tunnistuspalvelun tarjoajan ja sähköisiä allekirjoituksia tarjoavan varmentajan on hankittava ja päivitettävä tunnistuspalvelun tarjoamiseksi tarvitsemansa tiedot väestötietojärjestelmästä lisää ja täsmentää osaltaan vahvaan sähköiseen tunnistamiseen liittyvän tiedon alkuperää ja käyttötarkoitusta.

3.3 Säätämisjärjestyksen arviointi

Edellä mainituilla perusteilla lakiehdotukset voidaan käsitellä tavallisessa lainsäätämisjärjestyksessä.

Edellä esitetyn perusteella annetaan eduskunnan hyväksyttäväksi seuraava lakiehdotus:

Lakiehdotus

Laki vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetun lain muuttamisesta

Eduskunnan päätöksen mukaisesti

muutetaan vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetun lain (617/2009) 2 §:n 12 ja 13 kohta, 6 §:n 3 momentti sekä 7 ja 17 § sekä

lisätään 2 §:n 1 momenttiin uusi 14 kohta ja lakiin uusi 12 a § seuraavasti:

2 §
Määritelmät

Tässä laissa tarkoitetaan:


12) allekirjoituksen luomisvälineellä ohjelmistoja ja laitteita, joilla yhdessä allekirjoituksen luomistietojen kanssa luodaan sähköinen allekirjoitus;

13) allekirjoituksen todentamistiedoilla sähköisen allekirjoituksen todentamisessa käytettävää tietokokonaisuutta, kuten koodeja ja julkisia avaimia;

14) luottamusverkostolla Viestintävirastoon ilmoituksen tehneiden tunnistuspalvelun tarjoajien verkostoa.

6 §
Henkilötietojen käsittely

Tunnistuspalvelun tarjoajan ja sähköisiä allekirjoituksia tarjoavan varmentajan tulee tarkistaessaan hakijan henkilöllisyyden vaatia hakijaa ilmoittamaan henkilötunnuksensa.

Tunnistuspalvelun tarjoaja ja sähköisiä allekirjoituksia tarjoava varmentaja saavat käsitellä henkilötunnusta rekistereissään 1 momentissa mainitussa tarkoituksessa. Henkilötunnuksen saa sisällyttää tunnistusvälineeseen tai varmenteeseen, jos välineen tai varmenteen tietosisältö on ainoastaan sellaisen tahon saatavilla, jolle se on välttämätöntä palvelun toteuttamiseksi. Henkilötunnus ei saa olla saatavissa julkisesta hakemistosta.


7 §
Väestötietojärjestelmän tietojen käyttäminen

Tunnistuspalvelun tarjoajan ja sähköisiä allekirjoituksia tarjoavan varmentajan on hankittava ja päivitettävä tunnistuspalvelun tarjoamiseksi tarvitsemansa tiedot väestötietojärjestelmästä. Tämän lisäksi tunnistuspalvelun tarjoajan on varmistettava, että sen tunnistuspalvelun tarjoamiseksi tarvitsemat tiedot ovat ajan tasalla väestötietojärjestelmän tietojen kanssa.

Väestötietojärjestelmästä luovutettava tieto on julkisoikeudellinen suorite. Suoritteen maksullisuudesta säädetään valtion maksuperustelaissa (150/1992).

12 a §
Tunnistuspalvelun tarjoajien verkosto

Tunnistuspalvelun tarjoajan tehdessä 10 §:n mukaisen ilmoituksen Viestintävirastoon, tunnistuspalvelun tarjoaja liittyy osaksi luottamusverkostoa.

Luottamusverkostoon kuuluvan tunnistuspalvelun tarjoajan on noudatettava sellaisia hallinnollisia käytäntöjä, jotka mahdollistavat tunnistuspalveluita tarjoavien ja niitä hyödyntävien sähköisten palveluntarjoajien tarjoamien palveluiden yhteentoimivuuden sekä tarjottava tekniset rajapinnat, jotka luovat edellytykset tunnistuspalveluita tarjoavien ja niitä hyödyntävien toimijoiden väliselle toiminnalle.

Sähköisen tunnistuspalvelun tarjoajan lähettäessä sähköiseen tunnistusvälineeseen liittyvää tietoa toiselle sähköisen tunnistuspalvelun tarjoajalle edelleen välitettäväksi, välitettävästä tunnistetiedosta tulee suorittaa lähettäjälle korvaus. Välitettävästä tunnistetiedosta perittävä korvaus voi olla enintään 10 senttiä. Korvauksen tasoa tullaan arvioimaan vuosittain.

Tunnistuspalvelun tarjoajat vastaavat yhteistyössä teknisten rajapintojen ja hallinnollisten käytäntöjen yhteentoimivuudesta.

Luottamusverkoston hallinnollisista käytännöistä, teknisistä rajapinnoista ja vastuista annetaan tarkempia säännöksiä valtioneuvoston asetuksella.

17 §
Tunnistusvälineen hakijan tunnistaminen

Jos hakijalla ei ole aikaisempaa tämän lain mukaista vahvaa sähköistä tunnistusvälinettä, ensitunnistaminen tulee tehdä henkilökohtaisesti. Jos hakijalla on jo käytössään vahva sähköinen tunnistusväline, tässä laissa tarkoitettua tunnistusvälinettä voidaan hakea sähköisesti.

Henkilökohtaista ensitunnistusta tehtäessä tunnistuspalvelun tarjoajan on tunnistettava tunnistusvälineen hakija huolellisesti todentamalla hänen henkilöllisyytensä voimassa olevasta Euroopan talousalueen jäsenvaltion, Sveitsin tai San Marinon viranomaisen myöntämästä passista tai henkilökortista. Halutessaan tunnistuspalvelun tarjoaja voi käyttää ensitunnistamisessa myös Euroopan talousalueen jäsenvaltion viranomaisen 1 päivän lokakuuta 1990 jälkeen myöntämää voimassa olevaa ajokorttia tai muun valtion viranomaisen myöntämää voimassa olevaa passia.

Jos tunnistusvälineen hakijan henkilöllisyyttä ei voida luotettavasti todentaa, hakemukseen liittyvän ensitunnistamisen tekee poliisi. Poliisin tekemästä ensitunnistamisesta tunnistusvälineen hakijalle aiheutuva kustannus on julkisoikeudellinen suorite. Suoritteen maksullisuudesta säädetään valtion maksuperustelaissa.

Olemassa olevan vahvan sähköisen tunnistusvälineen avulla saa hakea vastaavan tasoista sähköistä tunnistusvälinettä. Aiempaan tunnistukseen luottava vahvan sähköisen tunnistuspalvelun tarjoaja vastaa mahdollisesta tunnistuksen virheellisyydestä suhteessa vahingon kärsineeseen.

———

Tämä laki tulee voimaan päivänä kuuta 20 . Sen 12 a §:ää sovelletaan kuitenkin vasta 1 päivästä toukokuuta 2017.


Helsingissä 27 päivänä marraskuuta 2014

Pääministerin sijainen, valtiovarainministeri
ANTTI RINNE

Liikenne- ja kuntaministeri
Paula Risikko

Finlex ® on oikeusministeriön omistama oikeudellisen aineiston julkinen ja maksuton Internet-palvelu.
Finlexin sisällön tuottaa ja sitä ylläpitää Edita Publishing Oy. Oikeusministeriö tai Edita eivät vastaa tietokantojen sisällössä mahdollisesti esiintyvistä virheistä, niiden käytöstä käyttäjälle aiheutuvista välittömistä tai välillisistä vahingoista tai Internet-tietoverkossa esiintyvistä käyttökatkoista tai muista häiriöistä.