Viite: Liikenne- ja viestintäministeriön lausuntopyyntö , Dnro LVM 1609/30/2003

Transkriptio

1 LAUSUNTOKOOSTE Liikenne- ja viestintäministeriö Viestintämarkkinaosasto Juha Perttula Viite: Liikenne- ja viestintäministeriön lausuntopyyntö , Dnro LVM 1609/30/2003 Asia: Lausuntopyyntö sähköisen tunnistamisen ja teknisen valvonnan sääntelyn ja muiden toimenpiteiden tarpeesta Ajatus selvittää sähköisen tunnistamisen ja teknisen valvonnan menetelmiin liittyviä ilmiöitä herätettiin liikenne- ja viestintäministeriössä keväällä 2003 sähköisen viestinnän tietosuojalain valmistelutyön yhteydessä. Tietoyhteiskunnan kehityksen myötä oli nähtävissä ajankohtainen tarve rohkaista sähköisten tunnistusmenetelmien kehittymistä ja edistää niitä käyttävien palveluiden yleistymistä. Samalla tulisi kuitenkin huolehtia kansalaisten yksityisyyden suojan turvaamisesta. Alan toimijat ja sähköisen tunnistamisen menetelmien yleistyminen tarvitsevat selkeän ja myös oikeusvarmuuden osalta vakaan toimintaympäristön. Liikenne- ja viestintäministeriön viestintämarkkinaosaston verkkoliiketoimintayksikkö päätti lähteä selvittämään yleisesti sähköisen tunnistamisen ja teknisen valvonnan sääntelyn ja muiden toimenpiteiden tarvetta erityisesti yksityisyyden suojan näkökulmasta. Erityisenä mielenkiinnon kohteena oli biometrisiin tunnisteisiin eli henkilön fyysisiin ominaisuuksiin perustuva tunnistaminen. Jo taustaselvitystä käynnistäessä oli selvää, että selvityksessä mahdollisesti ehdotettavat toimenpiteet eivät tule kuulumaan kaikilta osin ensisijaisesti liikenne- ja viestintäministeriön toimialaan. Tästä riippumatta selvityksen tehtävänasettelu haluttiin kokonaiskuvan muodostamiseksi pitää varsin laajana. Tutkimuksessa selvitettiin erilaisten sähköisen tunnistamisen menetelmien ominaisuuksia, heikkouksia, vahvuuksia, sovelluskohteita ja tietoturvavaatimuksia sekä pyrittiin tältä pohjalta arvioimaan, edellyttävätkö nämä menetelmät erityisesti yksityisyyden suojan kannalta sääntelyä tai mahdollisia muita toimenpiteitä. Taustaselvityksen teki konsulttityönä liikenne- ja viestintäministeriön toimeksiannosta Valimo Wireless Oy. Liikenne- ja viestintäministeriössä selvityksestä vastasi neuvotteleva virkamies Juha Perttula. Lausuntoa pyydettiin 88:lta alan toimijalta. Vastauksia saatiin pyydetyssä aikataulussa 35 kappaletta. Saadut lausunnot on koottu oheiseen koosteeseen. Koosteeseen ei ole sisällytetty ilmoituksia siitä, että lausunnonantajalla ei ole lausuttavaa asiassa.

2 I JULKISYHTEISÖT 2 HELSINGIN KAUPPAKAMARI Liikenne- ja viestintäministeriön teettämä selvitys sähköisestä tunnistamisesta on yksityiskohtainen ja melko kattava. Erityisen hyvää siinä on se, että se antaa selkeitä toimenpide-ehdotuksia sekä sääntelyn että lisäselvitysten tekemisen tarpeesta. Kauppakamari kiinnittää huomiota muutamaan selvityksessä mainittuun asiaan. Keskeistä kauppakamarin mielestä on se, että biometrisiä tunnisteita koskeva lainsäädäntö olisi selkeää ja mahdollisimman yksiselitteistä. Kuten taustaselvityksessäkin tuodaan esiin, pelkkä henkilötietolain varaan jättäytyminen on riittämätöntä eikä annan riittävän selkeää ohjeistusta palveluntarjoajille ja käyttäjille. Biometriset tunnisteet vaatisivat erityisesti niitä varten tarkoitettuja säädöksiä joko henkilötietolain yhteyteen tai omaan lakiinsa. Erityisesti biometrisiä rekistereitä koskeva lainsäädäntö tulee olla yksiselitteistä ja ymmärrettävää. Sekä palveluntarjoajilla että käyttäjillä tulee olla selkeä ohjeistus siitä, millä edellytyksillä biometrisiä tunnisteita saa rekisteröidä, onko niistä tehtävä ilmoituksia viranomaisille sekä millainen tietoturvataso biometrisiin tunnisteisiin tulee liittää. Selvityksessä ehdotettu laatubiotunnisteen kehittäminen on kauppakamarin mielestä kannatettava ehdotus. Kauppakamari katsoo, että laatubiotunnisteen kehittäminen helpottaisi elinkeinonharjoittajien toimintaa, kun ne voisivat valintansa mukaan turvautua omassa biometrisessä tunnistamisessaan jo valmiisiin rekistereihin ilman tarvetta luoda tai ostaa omaa järjestelmää. Laatubiotunnisteen kehittäminen edistäisi myös alalla toimijoiden mahdollisuutta toimia lain edellyttämällä tavalla. Kauppakamari kannattaa selvityksessä ehdotettua vaihtoehtoista kantaa, jonka mukaan laatubiotunnisteella rekisteröidylle tulisi ilmoittaa tunnisteen käyttämisestä. Taustaselvitys käsittelee sähköisen tunnistamisen menetelmien heikkouksia ja vahvuuksia monipuolisesti. Käsittely keskittyy kuitenkin lähinnä ongelman alkupäähän eli tunnistustapoihin ja tunnistustapahtumaan jättäen sähköisen tunnistamisen loppupään, kuten mm. biometristen tunnisteiden pitkäaikaisarkistoinnin sekä tietojen muuttamis- ja hävittämistapojen sekä siihen mahdollisesti liittyvät ilmoitusmenettelyt viranomaisille vain maininnan varaan. Näiden asioiden tarkempi selvittäminen olisi tarpeen sekä elinkeinonharjoittajien että rekisteröityjen toimintavarmuuden kannalta. Helsingin kauppakamari katsoo, että jos ja kun biometriset tunnisteet yleistyvät ja niiden käyttö sallitaan, tietoturva- ja toimivuuskysymykset on erittäin tarkasti harkittava ja koko mekanismi mietittävä huolellisesti. HELSINGIN YLIOPISTO Liikenne- ja viestintäministeriö teetti konsulttiselvityksen yleisesti sähköisen tunnistamisen ja teknisen valvonnan sääntelyn ja muiden toimenpiteiden tarpeesta erityisesti yksityisyyden suojan näkökulmasta. Tutkimuksessa selvitettiin erilaisten sähköisen tunnistamisen menetelmien ominaisuuksia, heikkouksia, vahvuuksia, sovelluskohteita ja tietoturvavaatimuksia, sekä pyrittiin tältä pohjalta arvioimaan, edellyttävätkö nämä menetelmät erityisesti yksityisyyden suojan kannalta sääntelyä tai mahdollisia muita toimenpiteitä. Erityisenä mielenkiinnon kohteena selvityksessä oli biometrisiin tunnisteisiin, eli henkilön fyysisiin ominaisuuksiin perustuva, sähköinen tunnistaminen. Selvityksessä esitetään ehdotuksia niistä toimenpiteistä, joilla tutkimuksessa ilmenneet biometrisiin tunnisteisiin liittyvät uhkakuvat ja riskit voidaan pyrkiä minimoimaan, ja toisaalta hyödyntämään biometrisen tunnistamisen tarjoamat mahdollisuudet. Tietoyhteiskunnan jatkuvan kehityksen myötä on nähtävissä ajankohtainen tarve rohkaista sähköisten tunnistusmenetelmien kehittymistä ja edistää niitä käyttävien palvelujen yleistymistä. Sähköisten tunnistusmenetelmien avulla yksilön identiteetti voidaan todentaa teknisin menetelmin, mikä luo mahdollisuuksia uusien sähköisten palveluiden ja teknisen valvonnan kehittymiselle. Erityisesti uudet, lähinnä biometriset, tunnistusmenetelmät, jotka mahdollistavat yksilön automaattisen tunnistamisen siten, että tunnistettu ei välttämättä edes tiedä tulevansa tunnistetuksi, aiheuttavat riskin, joka liittyy yksilön oikeuteen pysyä anonyyminä. Tämä

3 voi saada aikaan epätietoisuutta ja heikentää kansalaisten luottamusta käytettäviä teknisiä menetelmiä kohtaan. Yhteiskunnassa on turvattava yksityisyyden suojaan liittyen yksilön henkilökohtaisten tietojen suoja ja näitä tietoja koskevan itsemääräämisoikeuden toteutuminen. Konsulttiselvityksen laajuus Lausunnolla olevassa selvityksessä on aihepiiri tuotu laajasti esille. Työryhmän laatima dokumentti Sähköisen tunnistamisen menetelmät ja niiden sääntelyn tarve kattaa hyvin erilaiset tunnistamisen menetelmät mukaan lukien uusimmat biometriset menetelmät. Kuitenkaan biometristen tunnistusmenetelmien osalta selvityksessä ei käy ilmi, mitkä menetelmät ovat nykypäivänä käytössä ja millaisia sovelluksia niistä on. Esimerkkinä vaikkapa sormenjäljen lukeva hiiri on saatavilla, kun taas kasvojen hahmontunnistamiseen perustuvia kameroita, jotka väkijoukosta poimivat ihmiset, jotka ovat etsintäkuulutettuja, voidaan tuskin lähivuosina odottaa. Yliopistolla on maailmanlaajuisesti kokeilussa ns. Shibboleth-tunnistusmenetelmä, jossa käyttäjä voidaan tunnistaa missä tahansa järjestelmään kuuluvassa korkeakoulussa, jos hänellä on käyttäjätunnus yhdessä järjestelmään kuuluvassa korkeakoulussa. Suomessa ja Sveitsissä ollaan jo melko pitkällä järjestelmän implementoinnissa. Kun yhä useammilla korkeakouluilla on kurssien verkkotarjontaa, Shibboleth-tunnistamismenetelmä voi olla tulevaisuudessa merkittävä korkeakouluissa käytettävä tunnistamismenetelmä. Sääntelyn tarve Liikenne- ja viestintäministeriö on pyytänyt näkemyksiä tai mahdollista lausuntoa sähköisen tunnistamisen ja teknisen valvonnan tai muiden toimenpiteiden tarpeesta. Useimpien toimenpiteiden toteutus vaatii lainsäädäntöön muutoksia ja lisäselvityksiä. Erityisesti henkilön sähköisen tunnistamisen ja teknisen valvonnan osalta tarvetta sääntelylle on olemassa. Eri tunnistusteknologiat ja menetelmät vaikuttavat sääntelytarpeeseen. Käyttäjätunnuksella ja salasanalla sekä vaihtuvilla salasanoilla ja varmenteilla tapahtuvat käyttäjän tunnistaminen on nykyisellään varsin toimivaa, eikä vaadi tällä hetkellä muutoksia tai lisäyksiä nykyiseen lainsäädäntöön. Sen sijaan uudet biometriset tunnistusmenetelmät asettavat vaatimuksia sääntelylle. Pääasiallisena syynä sääntelyn tarpeelle on biometristen ominaisuuksien pysyvyys, peruuttamattomuus ja yksilöivyys. Koska biometrinen ominaisuus on pysyvä osa henkilöä ja henkilö voidaan sen avulla yksilöidä ja tunnistaa, on erityisen tärkeää, että biometristen tietojen muodostamisesta, käsittelystä ja tallentamisesta on säädetty lainsäädännössä. Biometristen ominaisuuksien pysyvyyden lisäksi sääntelyn tarvetta korostaa joidenkin biometristen ominaisuuksien etäluettavuus, mikä mahdollistaa henkilön tunnistamisen ilman, että henkilö edes tietää tulevansa tunnistetuksi. Sääntelyn tarpeelle voidaan nähdä olevan kaksi pääasiallista syytä: - yksityiselämän suojan ja yksilön oikeuksien turvaaminen - kaupallisten palveluiden toimivuuden ja tasavertaisuuden turvaaminen Edellä mainittujen syiden lisäksi sääntelyä tarvitaan, jotta kansalaisten ja muiden yhteiskunnan toimijoiden luottamus uusiin tunnistusmenetelmiin ja niiden turvallisuuteen tulee taattua. Lainsäädännön muutoksissa tulee erityistä huomiota kiinnittää seuraaviin asioihin: - yhteisöille tulee säätää selkeät toimintavaltuudet - toimivaltuudet tulee säännellä aihepiiriin kuuluvien työtehtävien, työvälineiden ja niiden käytön ohjauksen, tarkastuksen ja valvonnan osalta 3

4 HUOLTOVARMUUSKESKUS 4 Tutkimuksessa on kattavasti kartoitettu sähköisten tunnistamismenetelmien periaatteita, teknisiä ominaisuuksia ja vähimmäisvaatimuksia mm. tietoturvallisuuden kannalta. Teknisten menetelmien arvioinnin ohella on lisäksi selvitetty niitä eri palvelu- ja sovellusalueita, joilla tunnistamisen merkitys tulee lähituleva isuudessa yleistymään. Tämän perusteella kuvataan niitä kriittisiä tilanteita, joissa yksityisyyden suoja saattaa vaarantua sekä arvioidaan minkälaista sääntelyä ja muita toimenpiteitä tarvitaan yksityisyyden suojan turvaamiseksi. Tutkimuksessa esitetään ehdotukset niistä toimenpiteistä, joilla esille nousseet riskit ja uhkakuvat voidaan minimoida ja toisaalta hyödyntämään biometriset tunnistamisen tarjoamat mahdollisuudet. Vaikka ehdotukset kaipaavatkin vielä syvällisempää selvitystä toteutusmahdollisuuksien ja niiden vaikuttavuuden osalta, ne ovat tärkeitä avauksia tietoyhteiskuntakehityksen synnyttämien teknisten haasteiden vuoksi. Niin kuin tutkimuksessa todetaan, on olemassa tarve edistää sähköistä tunnistusta käyttäviä palveluja kuitenkin samalla huolehtien luottamukseen, vakauteen ja oikeusturvaan perustuvasta toimintaympäristöstä. Tietoturvallisuuden merkitys tulee näissä olosuhteissa entisestään kasvamaan. Sille on määriteltävä vähimmäisvaatimukset, jotta oikeudettoman tunnistamisen riski säilyy mahdollisimman pienenä. Julkisen vallan roolina on luoda turvallisia ja toimivia edellytyksiä tietoyhteiskunnan kehittymiselle, ei niinkään pyrkiä aktiivisesti vaikuttamaan kehityksen suuntaan. Lisäksi sen on luonnollisesti muiden palveluntuottajien tavoin sovellettava uusinta teknologiaa omissa asiointipalveluissaan. Erityisen tärkeänä on nähtävä kehittymässä olevien tunnistusmenetelmien käyttö yhteiskunnan järjestyksen ja turvallisuuden valvonnassa. Tutkimuksessa esitetään joukko toimenpide-ehdotuksia, jotka ovat lähinnä muutoksia lainsäädäntöön tai niihin liittyviä lisäselvityksiä. Kaikkien toteuttamisen tarpeellisuutta ja tarkoituksenmukaisuutta on varmaankin vielä analysoitava. Joka tapauksessa tutkimus on erinomainen peruskartoitus ajankohtaiselta alueelta ja sellaisenaan se muodostaa hyvän perustan jatkotoimenpiteitä koskevalle päätöksenteolle. KANSANELÄKELAITOS Sähköinen tunnistaminen nopeasti, luotettavasti, turvallisesti, edullisesti, yksinkertaisin välinein jne. on välttämätön edellytys kansalaisen omiin tietoihin perustuvien sähköisten asiointipalvelujen kehittymiselle. Käytännössä luotettavan, virallisen tunnistusmenetelmän puuttuminen on ollut viime vuosina suurimpia esteitä viranomaisten sähköisten asiointipalvelujen kehittämisessä. Lausuntopyynnön liitteenä oleva taustamuistio käsittelee monipuolisesti jo käytössä olevia ja kehitteillä olevia henkilön sähköisen tunnistamisen menetelmiä ja niihin liittyviä prosesseja. Sellaisenaan muistio on arvokas tietolähde tunnistamiseen liittyvien peruskäsitteiden ja ongelmien ymmärtämiseksi. Erityisen arvokkaita on tulevaisuudessa ilmeisesti yleistyvää biometrista tunnistamistekniikkaa koskevat selvitykset. Kelan kannalta sähköinen tunnistaminen on verkkopalvelujen kehittämisen kannalta välttämätöntä, mutta siinä käytetty tekniikka on toissijaista. Kelan sähköisissä asiakaspalvelutila nteissa on lähes poikkeuksetta kysymys taustamuistion käsitteestä autentikointi ja aktiivinen tunnistaminen ts. kansalainen tunnistautumista vaativia sähköisiä palveluja hyödyntäessään käyttää jotakin itselleen parhaiten sopivaa, riittävän luotettavuustason omaavaa, yleisesti julkishallinnon käyttöön hyväksyttyä tunnistautumistapaa. Tällaisiahan ovat VM:n suositusten mukaan tällä hetkellä pankkien tunnustautumismenettelyt ja HST-kortti. Puhelinpa l- velua kehitettäessä tultaneen Kelassa myös harkitsemaan menettelyjä, jossa palvelun nopeuttamiseksi puhelinnumeron perusteella haettaisiin soittajan taustatiedot valmiiksi asiakaspalvelua hoitavan Kelan toimihenkilön työasemaan. Kelan kannalta tarve kehittää uusia biometrisiä tunnistamistapoja ei ole tärkeysjärjestyksessä kovinkaan korkealla. Mikäli tällaisia menetelmiä kehitetään ja niihin liittyviä säädöksiä luodaan, Kela tulee hyödyntämään biometriikkaa muiden vastaavanlaisten, julkishallinnon käyttöön hyväksyttyjen tunnistautumistapojen rinna l- la. Tämän hetken painopiste Kelassa on kuitenkin palvelujen sisällön kehittämisessä, johon nykyiset sähköisen tunnistamisen menetelmät luovat jo riittävät edellytykset.

5 Biometriseen tunnistukseen liittyvän erityisproblematiikan vuoksi taustamuistiossa ehdotettujen lisäselvitysten tekeminen on kuitenkin perusteltua ennen mittavamman sääntelyn toteuttamista. KESKUSRIKOSPOLIISI Keskusrikospoliisin näkemys on, että taustaselvitys on laadittu hyvin ja perusteellisesti ja se on hyvänä pohjana suunniteltaessa sääntelytoimenpiteitä. Lähtökohdiltaan selvitys on tehty ottaen huomioon niin kaupalliset tarpeet kuin viranomaistoiminnankin. Koska selvitys on vasta taustakartoitus ja vielä yleisellä tasolla, ei keskusrikospoliisilla ole selvityksen perusteella vielä mahdollisuuksia arvioida, miten mahdollinen tuleva sääntely vaikuttaa keskusrikospoliisin lailla säädettyjen tehtävien suorittamiseen. Mikäli asia etenee tulevaisuudessa yksityiskohtaisempaan valmisteluun, haluaa keskusrikospoliisi esittää tässä yhteydessä kantansa. 5 KULUTTAJAVIRASTO Järjestelmän ylläpitäjän vastuu / Tunnistustilanteen kiistämättömyys Tunnistamistilanteessa henkilön antamia tai hänestä luettuja tunnistetietoja ja ominaisuuksia verrataan aiemmin tietovarastoon tallennettuihin vertailutietoihin. Ongelmallisena selvityksessä nähdään tunnistustila n- teiden kiistämättömyys. Selvityksessä suositellaan, että teknologiaa ja toimintamalleja pyritään ohja amaan siihen suuntaan, ettei tunnistamistilanteissa syntyisi epävarmuutta. Viranomaisten tulisi selvityksen mukaan pyrkiä vaikuttamaan kehitykseen siten, että palveluntarjoajat huolehtisivat tunnistustilanteen kiistämättömyydestä riittävällä varmuudella. Vaikka viranomaisten tuleekin edesauttaa tätä kehitystä, on kuitenkin korostettava palvelun tarjoajan omaa vastuuta valitsemistaan toimintaratkaisuista. Järjestelmän ylläpitäjän on kannettava vastuunsa järjestelmän toimivuudesta ja käytettyjen teknisten ratkaisujen luotettavuudesta. Järjestelmä on rakennettava sellaiseksi, ettei tunnistamistilanteista synny epävarmuutta. Käyttäjän on voitava luottaa siihen, että hänen yksityisyyteensä liittyvät tiedot on suojattu riittävän tehokkaasti ja että vain hänellä on pääsy häntä koskevaan aineistoon. Kuten selvityksessäkin todetaan, kaikki pohjautuu rekisteröimisprosessin luotettavuuteen. Jos heti alkajaisiksi tunnistamistietojen rekisteröintiprosessissa tapahtuu virhe, kaikki prosessin jälkeiset tunnistustapahtumat antavat virheellisen tuloksen. Selvityksessä esitetyin tavoin kiistämättömyyden turvaaminen on erityisen tärkeää niissä palveluissa, joissa tunnistaminen aiheuttaa tietyn velvollisuuden muodostumisen. Tunnistetietojen keräämisestä on etua käyttäjälle, koska näin voidaan estää toisen henkilön esiintyminen sopijakumppanina hänen puolestaan. Asiointiosapuolten tulee siten olla varmoja toistensa henkilöllisyyksistä ja heillä tulee olla käytössään jokin hyväksyttävä ja luotettava menetelmä sopimuksen kiistämättömyyden turvaamiseksi. Sopimusosapuolten luotettava tunnistaminen on erityisen tärkeää tilanteissa, joissa osapuolten välillä ei ole henkilökohtaista kontaktia. Järjestelmän läpinäkyvyys / Käyttäjän tietoisuus tunnistustapahtumasta Selvityksessä suositellaan kehityksen ohjaamista siihen suuntaan, että sekä palveluntarjoajat että käyttäjät ymmärtävät tunnistamisen ja tapahtuman hyväksymisen olevan erillisiä ja toisistaan eroavia tapahtumia. Palvelun tarjoamisen ja sopimusten tekemisen lähtökohtana on aina oltava osapuolten ymmärrys. Siten on välttämätöntä, että yksilön antaman suostumuksen häntä koskevien tunnistetietojen keräämiseen ja käsittelyyn on oltava nimenomainen tietoinen tahdonilmaisu. On palvelun tarjoajan vastuulla huolehtia siitä, että käyttäjälle tarjotaan riittävästi selkeää informaatiota suostumuksen sisällöstä ja merkityksestä. Käyttäjän päätöksenteon pohjaksi on annettava kaikki tarpeellinen tieto.

6 Olennaista on siten järjestelmien läpinäkyvyys. Käyttäjille on kerrottava avoimesti, milloin ja miten tunnistamista tapahtuu, mitä tietoja käyttäjistä rekisteröidään, miten rekisteröinti tapahtuu, mihin rekisteröityjä tietoja käytetään, miten kauan tietoja säilytetään, luovutetaanko tietoja edelleen ja jos luovutetaan, kenelle. Selvityksessä todetaan, että järjestelmän tulee olla sellainen, että sekä palvelun käyttäjä että tarjoaja pystyvät luottamaan järjestelmään joko siten, että he itse ymmärtävät järjestelmän toiminnan tai luottavat ulkopuolisen tahon antamaan hyväksyntään. Vaikka järjestelmä perustuisikin luottamukselle ulkopuolisen tahon antamasta hyväksynnästä, on järjestelmän ylläpitäjän aina annettava kaikki tarpeellinen tieto käyttäjälle järje s- telmän toiminnasta sekä hänen oikeusasemaansa vaikuttavista seikoista. Selvityksessä erityisenä tarkastelun kohteena on biometrisiin eli henkilön fyysisiin ominaisuuksiin perustuva tunnistaminen. Esimerkkeinä selvityksessä mainitaan mm. kaupan tai ravintolan ylläpitäjän halu tunnistaa sisään tulevat henkilöt palvellakseen kanta-asiakkaitaan paremmin tai toisaalta kieltäytyäkseen palvelemasta ei-toivottuja asiakkaita. Palvelun tarjoajalla tulee tätä varten olla käytössään rekisteri henkilöistä ja he idän biometrisistä ominaisuuksistaan. Kuten selvityksessä todetaan, biometriset ominaisuudet ovat pysyviä, peruuttamattomia ja yksilöiviä. Lisäksi ne mahdollistavat henkilön tunnistamisen ilman, että henkilö edes tietää tulevansa tunnistetuksi. Koska biometristen tunnisteiden osalta kyseessä on siten voimakkaasti henkilön yksityisyyden suojan tasoon vaikuttava oikeustoimi, vaatimus käyttäjän tietoisuudesta korostuu siten entisestään. Näiden tunnisteiden rekisteröinnille on ehdottomasti saatava kuluttajan aktiivinen hyväksyntä. Henkilölle on selkeästi ja yksiselitteisesti selvitettävä, mitä biometristen tunnisteiden luovuttaminen tarkoittaa ja mitkä ovat sen seuraukset. Selvityksessä esitetyin tavoin passiivisen tunnistamisen osalta on tärkeää, että henkilö ymmärtää, milloin tunnistus tapahtuu tai milloin hän liikkuu sellaisella alueella, jossa suoritetaan automaattista passiivista tunnistamista. Selvityksessä todetaan, että tilanne voi muodostua ongelmalliseksi, jos palveluntarjoaja on aiemmin rekisteröinyt henkilön, mutta henkilöä ei ole asianmukaisesti poistettu rekisteristä esim. sopimussuhteen päätyttyä tai jos palveluntarjoaja hankkii tunnistamista varten rekisterin kolmannelta osapuole lta ilman rekisteröityjen henkilöiden suostumusta. Palveluntarjoajan vastuulla on kuitenkin toimia riittävän huolellisesti, jotta tälla isia tilanteita ei lainkaan pääse syntymään. Sääntelyn tarpeesta Uhkakuvina biometristen tunnisteiden osalta nähdään niiden joutuminen vilpillisen tahon käsiin sekä biometrisen ominaisuuden sähköisen tallenteen helppo ja nopea kopiointi ja levittäminen nykyisten tietojenkäsittelylaitteiden ja tietoverkkojen avulla. Tämän vuoksi on selvityksessä esitetyin tavoin erityisen tärkeää, että biometristen tietojen muodostamisesta, käsittelystä ja tallentamisesta on säädetty lain tasolla. Nykyisen lainsäädännön soveltuvuus myös biometristen tunnisteiden käyttöön on tuleva isuudessa arvioitava. Selvityksessä todetuin tavoin on välttämätöntä lainsäädännöllä varmistaa, että yksilöiden biometrisiä omina i- suuksia saa tallentaa ainoastaan henkilön suostumuksella. Selvityksessä on esitetty kaksi vaihtoehtoa talle n- nukselle. 1) Tallennettaessa vaaditaan käytettävän sellaista yhdensuuntaista menetelmää, että talle nteesta ei ole mahdollista saada selville yksilön alkuperäistä fyysistä ominaisuutta vai 2) Biometristen ominaisuuksien tallentaminen ja rekisteröinti sallitaan sellaisenaan rekisteröitävän henkilön suostumuksella Biometrisen ominaisuuden tallentamisen sääntely tulisi järjestää ensimmäisen vaihtoehdon mukaan siten, että tallentaminen on sallittua ainoastaan niin, että tallenteesta ei ole mahdollista saada selville alkuperäistä fyysistä ominaisuutta. Toista vaihtoehtoa, jossa biometrisen tiedon tallennus sellaisenaan sallittaisiin rekisteröitävän henkilön suostumuksella on siten pidettävä liian riskialttiina. Kuten selvityksessäkin todetaan, tällaisessa menettelyssä olisi riskinä väärinkäytökset ja ominaisuuksien joutuminen vilpillisen tahon haltuun esimerkiksi tietomurron yhteydessä. Selvityksessä esitetyin tavoin ei ole kohtuullista, että henkilö iden sormenjäljet, kasvojen piirteet, kävelytyyli tai muu vastaava henkilökohtainen ominaisuus on sellaisenaan tallennettuna eri järjestelmiin ja väärinkäytöstilanteessa mahdollisesti kopioitavissa ja levitettävissä hallitsemattomasti. 6

7 Kuten selvityksessäkin todetaan biometristen tunnisteiden tallentamisen salliminen sellaisenaan rekisteröitävän henkilön luvalla edellyttää yksilöltä laajaa ja yksityiskohtaista syy-seuraus suhteiden tiedostamista ja ymmärtämistä. Nyky-yhteiskunnassa erilaisten teknisiin ratkaisuihin liittyvät uhkat ja riskitekijät eivät kuitenkaan ole kaikkien kansalaisten ymmärrettävissä. Erityisessä riskiryhmässä ovat heikossa asemassa olevat kuluttajat kuten lapset ja vanhukset. Lisäksi uusia uhkia syntyy koko ajan lisää tekniikan kehittyessä. Vaihtoehdossa edellytykseksi asetettu seurausten huolellinen tutkiminen ja arviointi ei nykypäivän teknologisessa kehityksessä riitä turvaamaan henkilön yksityisyyden suojaa. Selvityksessä esitetään, että on erikseen arvioitava onko oikeudettoman tunnistamisen uhka niin suuri, että biometristä vertailutietoa sisältävän henkilörekisterin perustamista, ylläpitoa ja tietoturvaa tulisi säädellä erikseen. Riskien vähentämiskeinoiksi mainitaan mm. rekisterin tietoturvavaatimusten lisääminen, lisäehtojen asettaminen rekisterin ylläpidolle ja rekisterinpitäjän informointivelvollisuuden laajentaminen. Näiden lisävaatimusten todetaan kuitenkin hidastavan ja vaikeuttavan palveluiden kehittymistä. Yksityisyyden suoja on kuitenkin nähtävä tärkeämpänä arvona sääntelyn tarvetta pohdittaessa kuin sen tietoinen altistaminen riskeille palveluiden kehittymispyrkimyksen kustannuksella. Biometristen tunnistetietojen sääntelyn on oltava riittävän tiukkaa, jotta käyttäjien yksityisyyden suoja voidaan varmasti turvata. Toimivaltaisten viranomaisten on voitava hyvin valvoa biometristen tietojen rekistereitä, tietojen tallentamista ja käsittelyä. Kuten selvityksessäkin esitetään väärinkäytön toteuttaminen on pyrittävä muodostamaan myös teknisesti riittävän vaikeaksi. Käyttäjien halu anonyymiteettiin / Käyttäjien luottamuksen lisääminen Selvityksessä todetaan, että yleensä palveluntarjoajat ymmärtävät yksilöiden halun pysyä anonyyme inä ja pyrkivät välttämään turhaa palveluihin tapahtuvaa rekisteröintiä, koska tällainen rekisteröintivaatimus karkottaa osan käyttäjistä ja mahdollisista asiakkaista. Kuluttaja-asiamiehen havaintojen mukaan rekisteröinti on kuitenkin sangen yleistä monilla verkkosivuilla. Myös kuluttajat ovat yhteydenotoissaan kuluttaja -asiamiehelle tuoneet esille tyytymättömyytensä rekisteröinnin pakollisuuden erilaisissa verkkopalveluissa. Jopa lapsille tarkoitetuilla sivuilla pyritään keräämään lapsilta henkilötietoja. Kuluttaja -asiamiehen kantana kuitenkin on, ettei alaikäisiltä saa kysyä henkilötietoja ilman huoltajan suostumusta. Selvityksessä todetaan, että on teknisesti mahdollista luoda sähköinen käteinen, tai anonyymiteetin takaava kolmannen osapuolen varmentama maksumenetelmä, jota voitaisiin käyttää sähköistä sisältöä myytäessä. Esimerkkinä mainitaan musiikin lataamisen onnistuminen sähköisen käteismaksun suorittamisen jälkeen. Kuten selvityksessä todetaan, haasteeksi nousee kuitenkin järjestelmän luotettavuus. Verkkoyhteys voi esimerkiksi katketa maksun tapahtumisen jälkeen, ennen kuin ostettu sisältö on toimitettu ostajalle. Kuluttaja - asiamiehen vakiintunut kanta onkin, ettei ennakkomaksu saa olla ainoa maksuvaihtoehto ilman perusteltua syytä. Olennaista on edellä esitetyin tavoin käyttäjiltä saatu yksiselitteinen suostumus kaikelle tietojen keräämiselle ja käytölle. Vain tarpeellisia tietoja saa ylipäänsä kerätä. Tarpeettomien tietojen kysyminen voidaan tulkita kuluttajansuojalain nojalla kohtuuttomaksi sopimusehdoksi, jos tietojen anto ei perustu vapaaehtoisuuteen. Todellinen vapaaehtoisuus edellyttää puolestaan riittävää tietoa päätöksen mahdollisista seurauksista. Asian tärkeys korostuu, jos käyttäjäryhmä koostuu lapsista ja nuorista. Kuten edellä on todettu, tätä ryhmää ei saa kehottaa antamaan tietoja itsestään, perheestään tai muista henkilöistä. Heitä ei saa houkutella esim. erilaisten palkintojen taikka pelimahdollisuuksien avulla antamaan itsestään tarpeettomia tietoja. Lapsilta ja nuorilta ei myöskään saa vaatia tietoja ehtona jonkun palvelun käyttämiselle ja esimerkiksi osallistumiselle siellä järjestettäviin toimintoihin. Erilaiset tunnistamismenetelmät tarjoavat uusia mahdollisuuksia kuluttajille tarjottavien palveluiden muodostamiseen. Esimerkiksi erilaiset kanta-asiakasohjelmat ja muut vastaavat käyttäjien tunnistamista edellyttävät palvelut yleistyvät koko ajan. Tällaiset palvelut, jotka tyypillisesti myös heikentävät henkilöiden yks i- tyisyyden suojaa, muodostuvat helposti kuluttajille vaikeasti ymmärrettäviksi. Kuluttajille on annettava riittävästi tietoa päätöksenteon pohjaksi eikä tietoja ei saa piilottaa vaikeasti ymmärrettäviin sopimusehtokoko- 7

8 naisuuksiin. Palveluihin liittyminen sitoo kuluttajaa vain sikäli kuin hän on ymmärtänyt, mihin hän on suostunut ja mitkä ovat liittymisen seuraukset. Lopuksi Selvityksessä todetaan, että sähköisten tunnistusmenetelmien kehittymistä tulee rohkaista ja edistää niitä käyttävien palveluiden yleistymistä. Lisäksi kansalaisten ja muiden yhteiskunnan toimijoiden luottamus uusiin tunnistusmenetelmiin ja niiden turvallisuuteen tulee taata. Sääntelyn tarpeen todetaan olevan olemassa. Perusteiksi nimetään yksityiselämän suojan ja yksilön oikeuksien turvaaminen sekä kaupallisten palveluiden toimivuuden ja tasavertaisuuden turvaaminen. Henkilön yksityisyyttä ei voida kuitenkaan asettaa riskialttiiksi palveluiden kehittymispyrkimyksen kustannuksella. Kansalaisten luottamusta uusiin tunnistusmenetelmiin lisätään puolestaan edellä esitetyin tavoin järjestelmien läpinäkyvyydellä sekä palvelun tarjoajien vastuulla järjestelmistään. 8 MARKKINAOIKEUS Otsikossa mainitussa taustaselvityksessä tarkastellaan yleisesti erilaisia sähköisen tunnistamisen menetelmiä sekä sanotulta pohjalta sähköisen tunnistamisen ja teknisen valvonnan sääntelyn ja muiden toimenpiteiden tarvetta, erityisesti yksityisyyden suojan näkökulmasta. Markkinaoikeudella ei ole erityistä la usuttavaa siltä osin kuin taustaselvityksessä on käsitelty eri tunnistusmenetelmiä ja teknologioita sekä niiden mahdollisia sovellutuksia. Kuten jo taustaselv ityksen toimeksiannossa on todettu, erityistä huomiota uusien sähköisten tunnistusme netelmien yhteydessä on kiinnitettävä yksityisyyden suojan turvaamiseen. Yksityisyyden suojan edellyttämän sääntelyn yksityiskohtaisempi arviointi taustaselvityksessä erityisesti tarkasteltujen ns. biometristen tunnistusmenetelmien osalta ei tässä vaiheessa ole kuitenkaan vielä mahdollista, sillä taustaselvitys sisältää vasta yleisluontoisia ehdotuksia ja toimintamalleja, joita ei ole kaikilta osin vielä edes arvioitu. Tämän vuoksi markkinaoikeus ei katso tässä vaiheessa olevan aihetta lausua sen laajemmin taustaselvityksen johdosta. OULUN YLIOPISTO Pahoittelen sitä, että yhteydet tietoyhteiskunnassamme eivät vielä toimi niin kuin pitäisi. Kyseinen julkaisu vaatisi ehdottomasti laajempaa paneutumista kuin nyt on ollut mahdollista. Haluan lausua kiitokseni työryhmälle. Nyt tehty työ on arvokas pohja jatkettaessa taivalta turvallisempaan yhteiskuntaan. Julkaisu asettaa uusia haasteita niin tietotekniikan kuin lakitieteen asiantuntijoille ja se vaikuttaa myös poliittisten päättäjien työskentelyyn. Seuraava taso on liike-elämä ja kansalaiset. Oma näkökulmani on tietotekniikkaan painottunut, erityisesti tietoturvaan. Olen muun tutkimustyön yhteydessä tutkinut myös biometrisia menetelmiä. Tässä muutamia ajatuksiani evästykseksi ministeriön arvokkaan työn jatkamiseksi. 1. Tietotekniikka on varsin voimakkaassa muutostilanteessa ja siksi biometrisia menetelmiä tullaan tarvitsemaan yhä laajemmalla erilaisten tunnistus- ja varmennustehtävien yhteydessä. 2. Vaikka puhutaan biometrisista menetelmistä, usein tarkoitetaan pelkästään biostatistiikkaan liittyviä asioita. 3. Kun biometriikkaa käytetään, olisi käyttö saatava sidottua johonkin konkreettiseen tapahtumaan, kuten kulunhallintaan. Tämä siksi, että tietoturvan laaja luonne tekee kokonaisuuden monimutkaiseksi ja vaikeasti hallittavaksi.

9 4. Biometrisia menetelmiä ei ole syytä käyttää yksin, vaan jonkun perinteisen menetelmän rinnalla, kuten avaimen tai PIN -koodin. 9 Mainitsen vielä 2 seikkaa: 5. Biometrisen menetelmän soveltaminen käytäntöön on joissakin tapauksissa tuottanut yllätyksiä. Itse koetimme ratkaista kulunvalvontaongelmaa lisäämällä perinteiseen menetelmään biometrisen tunnistuksen. Käytännössa ongelma ei ratkennut, kunnes saimme vihjeen, että biometriseen menetelmään onkin liitettävä perinteinen tunnistus. Ratkaisu oli yllättävä ja myös yksinkertainen. Sitä tehostettiin eräällä varsin tavanomaisella pelotefunktiolla. (1995) 6. Biometristen menetelmien, julkaisussa esitettyjen ja muiden, vertailu rinnakkain ei ole mielekästä, koska eri menetelmiin liittyy eri kertaluokkatasoilla olevia "luotettavuuskysymyksiä". 7. Toiset menetelmät soveltuvat massakäyttöön (sormenjälki), toiset taas rajattuihin joukkoihin (silmän värikalvo / verkkokalvo esim lentokoneen miehistön tunnistuksessa). 8. Joihinkin biometrisiin menetelmiin liittyy ns. sosiaalisia rajoituksia (sormenjälki). 9. Biometristen menetelmien yhteydessä törmätään usein erilaisiin kalibrointikysymyksiin, joista osa on vaikeasti ratkaistavia. 10. PKI on erinomainen menetelmä toimittaessa rajallisella alueella, mutta useat toiminnot ovat globaaleja, jolloin on oltava varovainen myös PKI:n käytössä. 11. Tunnistamisen yhteydessä törmätään aina yksityisyyteen liittyviin kysymyksiin. Työryhmä haluaa vahvistaa ja pitää arvossa kansalaisten yksityisyyttä. Toisaalta ympärillämme menossa oleva taistelu kansainvälistä rikollisuutta vastaan asettaa uusia vaatimuksia myös kansalaisten yksityisyydelle. Olemmeko valmiita siirtämään yksityisyydestä käytävää keskustelua enemmän "läpinäkyvän" yksityisyyden puolelle? Kiitoksia vielä kerran työryhmälle hyvin tehdystä tärkeästä työstä! Samalla joudun toteamaan, että vaikka työ on valmis, niin se ei ole vielä loppu. Uusia haasteita on tällä alalla runsaasti näköpiirissä näkyvinä tai näkymättöminä. PUOLUSTUSMINISTERIÖ Selvityksessä on kattavasti käsitelty sähköistä tunnistamista ja esitetty asiat selkeästi. Puolustusministeriöllä ei ole muutosehdotuksia sen sisältöön. Puolustusministeriö yhtyy selvityksen yhteenvedossa esille tuotuihin kehittämisalueisiin. valtionhallinnossa tulisi päättää nopealla aikataululla, kenelle käsiteltävänä olevan asiakokonaisuuden koordinointi kuuluu. Asia olisi mahdollista liittää tietoyhteiskuntaohjelmaan kuuluvaan selvitystyöhön, joka käsittelee valtion tietohallinnon menettelytapojen kehittämistä ja kokonaiskoordinoinnin toteuttamismallia.

10 RAHOITUSTARKASTUS 10 Rahoitustarkastus pitää tärkeänä, että tietoyhteiskunnan sähköisiä palvelu ja kehitetään aktiivisesti. Näiden palvelujen leviämisen edellytyksenä on, että ne rakennetaan riittävän turvallisiksi ja helppokäyttöisiksi. Palvelujen turvallisuuden eräs tärkeä osa on palvelunkäyttäjän luotettava tunnistaminen. Samalla on kuitenkin turvattava palvelunkäyttäjän yksityisyyden suoja niin pitkälle kuin mahdollista. Liikenne- ja viestintäministeriön edellä mainitussa julkaisussa on esitetty, että käyttäjätunnuksella ja salasanalla sekä vaihtuvilla tunnussanoilla ja varmenteilla tapahtuva käyttäjän tunnistus on nykyisellään varsin toimivaa, eikä siten vaadi tällä hetkellä muutoksia tai lisäyksiä lainsäädäntöön. Rahoitustarkastus yhtyy sinänsä tähän näkemykseen. Rahoitustarkastus pitää kuitenkin tärkeänä, että laajaan käyttöön tarkoitetuilta sähköisiltä tunnistuspalveluilta (esimerkiksi TUPAS-palvelulta) edellytetään ajantasainen ja ympärivuorokautinen sulkulistapalvelu, jotta vääriin käsiin joutuneet sähköiset tunnisteet pystytään kuolettamaan välittömästi. Myös julkaisussa esitetyt arviot biometristen eli henkilön fyysisiin ominaisuuksiin perustuvien tunnisteiden käytön sääntelyn tarpeesta tuntuvat Rahoitustarkastuksen näkökulmasta oikeansuuntaisilta. Julkaisussa on annettu eräitä vaihtoehtoisia malleja tämän sääntelyn toteuttamiseksi. Jatkossa tulisi tarkasti analysoida näitä eri vaihtoehtoja ja arvioida niiden toteuttamisen mahdollisuutta. Lisäksi sääntelyä kehitettäessä tulisi ottaa huomioon biometrisista tunnisteista mahdollisesti kertynyt kansainvälinen kokemus. STAKES Sosiaali- ja terveydenhuollon näkökulma Sosiaali- ja terveydenhuollon asiakastiedot ovat arkaluontoisia, luottamuksellisia ja salassa pidettäviä. Niiden käyttöä säädellään sekä yleislaeilla että erityislainsäädännöllä. Keskeisiä säädöksiä ovat EU:n tietosuojadirektiivi (95/46/EY), henkilötietolaki (523/1999), laki potilaan asemasta ja oikeuksista (785/1992), laki sos i- aalihuollon asiakkaan asemasta ja oikeuksista (812/2000) ja STM:n asetus (99/2001) potilasasiakirjojen la a- timisesta sekä niiden ja muun hoitoon liittyvän materiaalin säilyttämisestä. Säädöksiin liittyen ja niiden rinnalla tulee kaikessa sosiaali- ja terveydenhuollon tietojen käsittelyssä ottaa huomioon, että tietojen käyttöön tulee olla hyväksyttävä syy hoitosuhde/asiakkuus on edellytys tietojen käytölle tiedon käytön tarve ja laajuus perustuu hoidosta tai palvelujen tarpeesta ilmeneviin seikkoihin vain hoitoon tai palveluun osallistuvilla on oikeus tietojen käyttöön ja että tiedot eivät saa joutua sivullisten käsiin asiakkaalla on oikeus tietyissä rajoissa kieltää tietojen luovutus toiselle toimintayksikölle tai viranomaiselle toimintayksikköjen väliseen tietojen luovuttamiseen tarvitaan joko asiakkaan informointiin perustuva suostumus tai luovutuksen tulee perustua nimenomaiseen lainsäädäntöön (esim. pakkotilaa koskevat määräykset). Terveydenhuollossa ollaan siirtymässä tietojärjestelmien alueelliseen verkottamiseen/alueellisiin tietojärje s- telmiin ja sähköiseen asiointiin. Alueellisessa toimintaympäristössä sosiaali- ja terveydenhuollon ammattila i- set voivat käyttää asiakkaan terveydenhuollon tietoja yli toimintayksikkörajojen. Kansainvälisissä tutkimuksissa on arvioitu, että jopa % lääkärinkäynneistä voidaan korvata sähköisillä palveluilla. Useissa Euroopan maissa on jo tarjolla verkkolääkäripalveluita, verkko-apteekkeja ja neuvontaa antavia call-centereitä. Sosiaali- ja terveydenhuollon sähköisessä asioinnissa osapuolten luotettava tunnistaminen ja todentaminen on ehdoton vaatimus silloin kuin käsitellään luottamuksellista ja salassa pidettävää tietoa (ellei kyseessä ole lainsäädännössä nimetty anonyymipalvelu). Henkilöiden lisäksi myös organisaatiot tulee voida tunnistaa. Sosiaali- ja terveydenhuollon näkökulmasta tunnistaminen on vain osa loogista tietojärjestelmää, jonka tulee kokonaisuutena toimia lainmukaisesti siten, etteivät asiakkaan tiedot joudu missään vaiheessa sivullisten käsiin. Sosiaali- ja terveydenhuollossa tunnistamiseen liittyvää erityislainsäädäntöä on ollut voimassa alkaen, jolloin astui voimaan laki sosiaali- ja terveydenhuollon saumattoman palveluketjun ja sosiaaliturvakortin kokeilusta (811/2000). Tammikuun 1 päivänä 2004 voimaan astuneessa lakimuutoksessa 1 (1225/2003) kokeilu laajennettiin koskemaan koko maata. Lain 12 :ssä säädetään, että sosiaali- ja terveydenhuollon varmennetussa sähköisessä asioinnissa asiakas voidaan todentaa henkilökorttilain (829/1999) mukaisessa 1 Muutoksella nimi muutettiin laiksi sosiaali- ja terveydenhuollon saumattoman palveluketjun kokeilusta

11 henkilökortissa olevalla varmenteella tai vastaavan tasoisella muulla varmenteella sosiaali- ja terveydenhuollon laillistettu ammattihenkilö voidaan ammattiaan harjoittaessaan todentaa riittävän tasoisella varmenteella myös sosiaali- ja terveydenhuollon organisaatio voidaan sähköisessä asioinnissa varmentaa. Edellä mainittu laki on voimassa 31. päivään joulukuuta 2005, jonka jälkeen annettavassa tunnistamiseen liittyvässä pysyvässä sääntelyssä voidaan ottaa huomioon kokeilussa saadut kokemukset. Sosiaali- ja terveydenhuollon lähtökohtana on käyttää yleistä hyväksi havaittua tunnistamisteknologiaa, kunhan se täyttää toimialan tietoturvapolitiikan vaatimukset. Terveydenhuollossa ollaan parhaillaan aloittamassa varmenteisiin perustuvien todentamisjärjestelmien käyttöönottoa eikä lähia ikoina ole näköpiirissä tarvetta biometristen tunnisteiden käyttöönotolle. Osana kansallista terveysprojektia ollaan parhaillaan laatimassa kansallista ohjetta terveydenhuollon ja sen organisaatioiden tietoturvapolitiikaksi. Tämä politiikka määrittelee eri palvelutilanteissa tarvittavan tunnistamisen ja todentamisen tason. Edelleen katsomme, että sosiaali- ja terveydenhuollon tietojärjestelmät tulisi sertifioida tietoturvan ja tietosuojan osalta (Sosiaali- ja terveydenhuollon tietoteknologian hyödyntäminen, OSA I Saumaton hoito- ja palveluketju, Asiakaskortti, Sosiaali- ja terveysministeriön, Työryhmämuistioita 1998:8). Kansalaisen näkökulma Biometriseen tunnistamiseen liittyvä keskeinen kysymys on, mitä ovat ne yhteiskunnalliset muutokset, jotka edellyttäisivät henkilön tunnistamista nimenomaan biometristen ominaisuuksien perusteella. Biometrisiä tunnisteita kuten esimerkiksi sormenjälkiä voidaan voimassa olevan lainsäädännön perusteella ottaa vain rikoksesta epäillyn tunnistamiseksi ja rikoksen selvittämiseksi tai muutoin painavista rikostutkinnallisista syistä (Pakkokeinolaki 450/1987, 6 luku, 4 ). Tunnisteiden säilyttämistä, käyttämistä, luovuttamista ja poistamista koskevat säädökset on tarkistettu äskettäin lailla henkilötietojen käsittelystä poliisitoimessa (761/2003). Sähköisen asioinnin ja palvelujen tarjonnan lisääminen vaikuttavat melko kevyiltä perusteluilta biometristen tunnisteiden rekisteröimiseen nykyinen toimintakulttuuri ja voimassa oleva lainsäädäntö huomioon ottaen. Biometristen tietojen tallentamista asiakasrekistereihin voidaan tarkastella Suomen perustuslain (731/1999) 7 :ssä turvatun koskemattomuuden loukkauksena, joka samalla hämärtäisi rikosoikeudellisten pakkokeinojen ja yhteiskunnan normaalitoimintojen rajaa. Ongelmallista on myös biometristen ominaisuuksien itsestään selvä rinnastaminen henkilötietolain määrittelemiin henkilötietoihin. Lain mukaan henkilötiedolla tarkoitetaan kaikenlaisia luonnollista henkilöä taikka hänen ominaisuuksiaan tai elinolosuhteitaan kuvaavia merkintöjä, jotka voidaan tunnistaa jne Voidaanko sormenjälkiä, kasvokuvaa tms. pitää merkintöinä henkilötietolain tarkoittamassa mielessä, on epäselvää. Henkilötietolaissa esitettyjen legaalimääritelmien laajentaminen tulkinnalla koskemaan alueita, joita ei lakia laadittaessa ole tarkoitettu, ei voida pitää perusteltuna. Ominaisuuksien rekisteröinnillä puututtaisiin myös perustuslain 6 :ssä turvattuun yksityiselämän suojaan, mikä samalla asettaisi muiden perusoikeuksien toteutumisen uhanalaiseksi. Uhka muodostuisi useista eri tekijöistä. Kun sähköisessä muodossa olevat tiedot mahdollistavat tietoje n siirron maasta toiseen ilman, että henkilö voi sitä estää tai edes tietää siirrosta, kysymykseksi nousevat ainakin: Miten turvataan yksityisyyden suoja siten, ettei suostumuksella saatuja tietoja siirretä esimerkiksi kansainvälisillä sopimuksilla tai pakotteilla toiseen maahan (vrt. USA:n lentomatkustajista edellyttämät tiedot) myöhemmin annettavan lainsäädännön perusteella oman maan sisällä muutoin luvattomasti maasta toiseen tai oman maan sisällä. Kun valtion turvaamiin perusoikeuksiin ovat perustuslaki-instituution alkuvaiheesta alkaen kuuluneet vapausoikeudet, missä määrin muutoksella horjutettaisiin valtion mahdollisuuksia suojella kansalaisiaan. Myös suostumus erityisesti biometristen ominaisuuksien tunnistamiseksi perustettavien rekisterien ede llytyksenä sisältää useita yksityisyyden suojan turvaamiseen liittyviä ongelmia. Sekä tietojärjestelmien monimutkaisuus että väestön ikään ja toimintakykyyn liittyvät tekijät asettavat suostumukseen perustuvan rekisteröinnin toteutumiselle vaikeasti ratkaistavissa olevia edellytyksiä. Kun lähtökohtana on tietoon perustuva 11

12 suostumus, on ilmeisen selvää, ettei tällaista suostumusta ole kaikilta henkilöiltä saatavissa. Toisaalta myös perusoikeutena turvattuun vapaaseen tahtoon kuuluu oikeus muuttaa mieltään ilman erityistä syytä tai perustelua. Vapaan tahdon toteuttaminen tilanteissa, jolloin henkilö on muuttanut mieltään biometristen tunnisteidensa tallentamisesta ja käytöstä, olisi omiaan johtamaan erittäin ongelmallisiin tilanteisiin. Myös alaikäisten ja vajaavaltaisten osalta suostumusta on pidettävä ongelmallisena sekä suhteessa heidän omaan tahdonmuodostukseensa että toisen henkilön oikeuteen suostumuksen antamiseen, jota ei sinänsä voida pitää perusteltuna. Rekisterien määrän jatkuva lisääntyminen uhkaa yksityisyyden suojaa myös yleisesti. Missä määrin henkilön itsemääräämisoikeus toteutuu silloin, kun kaikki arkielämään liittyvien palvelujen käyttö mahdollistaa henkilöä koskevien tietojen rekisteröinnin ja käytön hänen omasta tahdostaan riippumatta, vaikka rekisteröinti ja tietojen käyttö tapahtuisikin lain asettamissa rajoissa? Riippumatta siitä, perustuuko rekisteri lainsäädäntöön tai suostumukseen rekisteröidyillä yhä harvemmin on tos iasiallisia mahdollisuuksia tietoon siitä, missä häntä koskevia tietoja on, mihin niitä käytetään ja kenelle niitä voidaan luovuttaa tai luovutetaan. Sekä yleensä että erityisesti biometristen ominaisuuksien kyseessä olleessa tulisi teknisiä ratkaisuja kehitettäessä perusoikeuksien ja heikomman osapuolen suojan toteutuminen asettaa kaupallisten periaatteiden edelle. Muita näkemyksiä Liikenne- ja viestintäministeriön julkaisun 44/2003 (Sähköisen tunnistamisen menetelmät ja niiden säätelyn tarve) toimenpide-ehdotuksista Stakes katsoo, että seuraavat ehdotukset tulisi toteuttaa kiireellisesti Suositukset menettelytavoista tunnistustilanteen kiitämättömyyden turvaamiseksi (ehdotus 10) Säädökset joilla kielletään keskitetyt vertailurekisterit (ehdotus 8). Stakes pitää tärkeänä, että käytettävä tunnistamisteknologia on sopusoinnissa kyseisen palvelun edellyttämän tietoturvan ja yksityisyyden suojan vaatimusten kanssa ja että asiakkaan tunnistaminen tehdään vain silloin kun se on palvelun laadun takia välttämätön. Edelleen Stakes pitää tärkeänä, että kansalaisille luodaan riittävät mahdollisuudet anonyymien sähköisten palvelujen käyttöön eikä kansalaisia tarpeettomasti tunnisteta tai ja heidän asiointiaan rekisteröidä. Stakes korostaa sitä, että eri toimialojen sähköisille palveluille tulisi laatia tietoturvapolitiikka, jossa määritellään palveluun tarvittava tunnistamisen taso. Stakes katsoo, että sähköisten palvelujen tietojärjestelmät tulisi sertifioida tietoturvan ja tietosuojan suhteen. Tätä lausuntoa ei ole käsitelty Stakesin johtoryhmässä. 12 SUOJELUPOLIISI Liikenne- ja viestintäministeriön selvityksessä on pääpiirteissään kattavasti käsitelty erilaiset käytössä olevat sähköisen tunnistamisen menetelmät. Selvityksessä on myös ansiokkaasti kuvattu sähköisiin tunnistamismenetelmiin liittyvät tekniikat ja tietoturvariskit. Sähköinen tunnistaminen tulee olemaan tulevaisuuden valvontamenetelmien suuri edistysaskel. Viranomaisten tekniset valvontamahdollisuudet saavat täysin uuden ulottuvuuden, kun henkilön tunnistaminen voidaan suorittaa ja varmentaa tarkoilla uudenlaisilla menetelmillä. Erityisesti biometrinen identifiointi tulee suojelupoliisin näkemyksen mukaan olevan erityisen merkittävä lähit ulevaisuuden tunnistamismenetelmä. Esimerkiksi rajavalvonnassa biometrinen identifiointi on tehokas ja käyttökelpoinen valvontakeino eitoivottujen henkilöiden tunnistamiseksi ja maahanpääsyn estämiseksi. Rikosten torjunnassa ja tutkinnassa käyttömahdollisuudet ovat merkittävät. Käyttösovellusmahdollisuuksia löytyy runsaasti myös yksityiseltä sektorilta erilaisten henkilövarmenteiden muodossa, kuten pankkipalvelut, sähköiset verkkopalvelut ja niin edelleen. Riskit Sähköisen henkilötunnistamisen, erityisesti biometriatunnistamisen yhteydessä, saadaan selville paljon identiofioitavan yksilön henkilökohtaisiin, erityisesti fyysisiin ja geneettisiin omainaisuuksiin liittyvää tietoa.

13 Informaatio voi joissakin tapauksissa olla luonteeltaan jopa henkilötietolain mukaisesti arkaluonteiseksi luokiteltavaa tietoa. Tällaista tietoa on helppo käyttää väärin myös laittomiin tarkoituksiin. Mikäli rikollistai terroristijärjestöt pääsisivät käsiksi tällaisia tietoja sisältäviin rekistereihin, vahingot voisivat olla mittavat. Biometristen tunnisteiden väärentäminen laittomiin tarkoituksiiin ei myöskään ole poissuljettu mahdollisuus. Tämä asettaa erityisiä vaatimuksia tietopankkien tietoturvalle, tietojen tallettamiselle, käytölle ja luovuttamiselle. Jotta menetelmästä saataisiin riittävästi hyötyä, vertailuaineiston on oltava oikeaa, luotettavaa ja riittävän kattavaa. Näitä tavoitteita on puolestaan vaikea saavuttaa muussa, kuin viranomaiskäytössä. Yksityisessä käytössä on vaarana, että vertailuaineiston keräämiinen sekä tietojen käyttö ja luovutus muuttuvat "villiksi", mikäli tietojen hallinnointia, käyttöä ja luovuttamista ei tarkasti säännellä ja valvota viranomaisten toimesta. Sääntelyn tarve Henkilön yksilöivä biometrinen ominaisuus on henkilötietolain (523/99) 3 :n 1 momentin 1 kohdan muka i- nen henkilötieto ja tunnistamisessa tarvittava vertailurekisteri on saman pykälän 3 kohdan mukainen henkilörekisteri. Näin ollen voiteneen henkilötietolain säännöksiä soveltaa pääpiirteissään myös biometristen tunnisteiden käsittelyyn. Biometriset tunnisteet ovat perustavaa laatua olevia henkilön fyysisiin ja geneettisiin ominaisuuksiin perustuvia identifioivia tietoja, jotka ovat pääsääntöisesti pysyviä ja tulkittavissa joissakin tapauksissa jopa henkilötietolain mukaisiksi arkaluonteisiksi tiedoiksi. Näin ollen lainsäädännön uudelleen tarkastelu ja täydentäminen on tarpeen. Koska henkilötie tojen käsittelystä kuitenkin on jo säädetty useassa eri laissa kuten henkilötietolaissa, laissa yksityisyyden suojasta työelämässä (477/2001) sekä laissa henkilötietojen käsittelystä poliisitoiminnassa (761/2003), mitään uutta erityislakia tuskin tarvitaan. Mahdolliset tarkistukset ja muutokset voidaan tehdä jo olemassa oleviin lakeihin. Pääosin menetelmien tulisi perustua avoimuuteen. Biometristen tunnisteiden rekisteröimistä ja käyttöä yksityisellä sektorilla ei voitane eikä liene perusteltuakaan tulevaisuudessa kieltää. Sekä yksityis- että viranomaiskäytön edellytykset tulisi kuitenkin selkeästi säännellä, jotta käytön luotettavuus säily isi. Lainsäädännössä tulisi kiinnittää erityistä huomiota siihen, onko kysymys sähköisten tunnisteiden viranomaiskäytöstä vai yksityisen sektorin käytöstä. Tällöin esimerkiksi poliisin toimintaa varten tulee olla selkeät säännökset siitä, että esimerkiksi biometrisiä tunnisteita voidaan tietyin edellytyksin kerätä a) rikoksia ennalta estävää, poliisin preventiivistä työtä varten ja b) rikostutkintaa ja rikosten selvittämistä varten. On että selvää, että kansainvälisen järjestäytyneen rikollisuuden ja laittoman tiedustelutoiminnan torjumiseksi ja esimerkiksi terrorismin ennalta estämiseksi poliisi-, rajavalvonta- ja tulliviranomaisilla tulee olla riittävät ja tehokkaat toimintamahdollisuudet. Mikäli viranomaistoiminnan yhteydessä edellytettäisiin aina rekisteröidyn nimenomaista suostumusta biometristen tunnisteiden keräämiseen tai vertailuaineiston käyttöön, esimerkiksi jokaisen rikosepäilyn tai henkilön maahantulon yhteydessä, toiminta kaatuisi käytännön onge l- miin. Nykyinen henkilötietolain (523/99) 8 momentin 4 kohdan säännös rekisterinpitäjän oikeudesta kerätä tietoja lakisääteisen tehtävän hoitamiseksi, on tässä suhteessa riittävä. On lisäksi huomattava, että tällöin rekisterinpito, henkilötietojen käyttö ja toiminta muutoinkin tapahtuu virkavastuulla. Näin ollen selvityksessä suostumukseen perustuva järjestelmä ei ole käytännössä toimiva ja realistinen vaihtoehto ainakaan poliisitoiminnassa. On tärkeää, että poliisiviranomaisten kansainvälisen yhteistyön ja tietojen vaihdon edellytykset turvataan myös tällä sektorilla. Mikäli poliisitoiminnassa tulevaisuudessa siirrytään merkittävässä määrin käyttämään biometrisiä tunnisteita, tulee varmistaa, että niitä voidaan tehokkaasti hyödyntää myös muun muassa kan- 13

14 sainvälisen vakavan rikollisuuden ja terrorismin torjumiseksi sekä valtion turvallisuuden varmistamiseksi. Henkilötietojen käsittelystä poliisitoimessa annetun lain 6 luvun säännökset kansainväliseen poliisiyhteistyöhön liittyvästä henkilötietojen käsittelystä ovat suojelupoliisin näkemyksen mukaan riittävän kattavat myös tässä suhteessa. Sekä yksityisen että julkisen sektorin toimintaan liittyvänä kysymyksenä tulee pohdittavaksi, onko työnantajalla oikeus tallettaa työntekijöitä koskevia biometrisia tunnisteita ilman asianomaisen henkilön suostumusta esimerkiksi kulkulupajärjestelyjä varten. Tällainen toimintaa tullee tulevaisuudessa yleistymään. Työnantajan oikeus tietojen keräämiseen voisi eräissä tapauksissa olla perusteltu. Tietojen kerääminen, käyttö ja luovuttaminen tulisi tällöin kuitenkin rajata tarkasti käyttötarkoituksen ja tarpeellisuusvaatimuksen mukaisesti. Työnantajan velvollisuuksiin ja työntekijän oikeuksiin liittyviä kysymyksiä jouduttaneen miettimään työelämän tietosuojaa koskevaa lakia uudistettaessa. Yksityisellä sektorilla sähköiseen tunnistamiseen ja erityisesti biometristen tunnisteiden käytölle on perusteltua muutoinkin asettaa lainsäädännöllisesti tiukempia kriteerejä kuin viranomaispuolella. Muun kuin viranomaiskäytön tulisi perustua luvanvaraisuuteen, käytön tarkkarajaisuuteen sekä viranomaisvalvontaan. Menetelmiä on helppo käyttää väärin, joten erityisesti rekistereiden tietoturvaan, käyttöoikeuksiin ja tietojen luovuttamiseen on lainsäädännössä kiinnitettävä erityistä huomiota. Selvityksessä esitetyistä toimenpide-ehdotuksista hajautettu vertailurekisteri (toimenpide-ehdotus 8) sekä laatubiotunnisteen kehittäminen (toimenpide-ehdotus 11) vaikuttavat varteenotettavilta menetelmiltä lainsäädäntöä uudistettaessa. Sen sijaan selvityksessä kuvattu vaihtoehto 1, joka koskee biometrisen tiedon talle n- nuksen kieltämistä, ei liene realistinen. Lopuksi todettakoon, että menetelmien hyödyt ovat haittoja suuremmat ja niiden kehittämiseen tulisi varata riittävästi voimavaroja ja osaamista. Myös lainsäädännön uudelleentarkastelu tulisi käynnistää mahdollisimman pikaisesti. Sähköisen tunnistamisen teknisten menetelmien kehittyessä nopeasti, on tärkeää, että viranomaiset ovat riittävän varhaisessa vaiheessa edelläkävijöitä niin tekniikan hyödyntämisessä kuin lainsäädännön kehittämisessäkin. 14 TEKES Teknologian kehittämiskeskus katsoo, että Suomi voi olla edelläkävijä sähköisen tunnistamisen hyödyntämisessä. Kehittämiskeskuksen mielestä on tämän vuoksi toivottavaa, että tarvittavat lainsäädännölliset muutokset toteutetaan ripeästi. Kehittämiskeskus haluaa kuitenkin korostaa eettisten ja yksityisyyden suojaan liittyvien näkökohtien riittävää huomioon ottamista tunnistamisen tarvetta harkittaessa. Siksi tunnistamiselle olipa se perinteistä tai sähköistä tulisi kehittämiskeskuksen mielestä aina olla jokin erityinen, yleisesti hyväksyttävä peruste. Muutoin sähköisten palvelujen (esim. maksuttomat informaatiopalvelut) tulisi olla saatavilla ilman käyttäjän tunnistamista. Keskustelun pohjaksi liikenne- ja viestintäministeriön teettämän taustaselvityksen osalta kehittämiskeskus toteaa, että se vaikuttaa perusteelliselta, monipuoliselta ja selkeältä. Lopuksi kehittämiskeskus toteaa, että se voi kriteeriensä mukaisesti edistää hankkeissaan ja ohjelmissaan sähköisen tunnistamisen teknologioiden ja liiketoiminnan kehittämistä.

15 TEKNILLINEN KORKEAKOULU 15 Yleistä Asiakirja on kiitettävän selkeä lukea. Sen asiasisältö on hyvä ja laadukas, mutta painottuu kuitenkin paljolti biometriseen tunnistamiseen. On hyvä, että biometristä tunnistamista käsitellään, sillä se sisältää kaikista tunnistamismekanismeista toistaiseksi suurimmat uhat. Kuitenkin erityisesti varmenteiden ja toimikorttien käyttöön ja niihin sisältyviin ongelmiin olisi ollut syytä paneutua enemmän. Kyse kuitenkin on luotettavaksi todetusta teknologiasta, jonka pohjatekniikkaa on tutkittu ja kehitetty pitkään, eikä tämän teknologian yleistymistä haittaavien ongelmien poistamiseen ole suunnattu riittävästi julkisia voimavaroja. Tunnistusteknologioiden vertailu Tutkimustulosten yhteenvedossa on esitetty, ettei käyttäjätunnuksiin ja salasanoihin perustuva tunnistamis- ja todentamismenetelmä puutteellisen tietoturvansa johdosta sovellu yleiskäyttöiseksi menetelmäksi. Erilaisia keskitetyn tunnistamisen ja todentamisen malleja, joissa käyttäjä yhä todentaa itsensä salasanaa käyttäen, on kehitetty, ja näissä on huolehdittu siitä, että käyttäjällä voi olla palvelukohtaisesti eri oikeuksia ja rooleja. Erästä tällaista järjestelmää tutkitaan parhaillaan CSC Tieteellinen Laskenta Oy:n hallinnoimassa projektissa, jonka tarkoituksena on tukea opiskelijoiden vapaata liikkumista yliopistoissa. Salasanojen suurin uhka tietoturvallisuudelle liittyy siihen, että salasana voidaan kopioida. Tämä asiakirjassa on tuotu esille. Salasanojen määrän kasvaessa ja salasanojen vaikeutuessa käyttäjä yleensä kirjoittaa salasanan muistiin. Asiakirjan kanssa voi siis olla yhtä mieltä siitä, että arkaluontoisen tiedon käsittelyssä tarvittavaan käyttäjän todentamiseen salasanat ainoana todentamisen mekanismina soveltuvat huonosti. Toistaiseksi kuitenkin salasanat ovat ainoa toteutuksista todella riippumaton tunnistamismekanismi, minkä kanssa mikä tahansa usean käyttäjän sovellus toimii. Esitetyssä tunnistusteknologioiden vertailussa sormenjälkitunnistus on arvostettu käytettävyydeltään ja turvallisuudeltaan paremmaksi kuin varmennepohjaiset teknologiat. Vertailun perusteita olisi ollut asiakirjasta mielenkiintoista lukea, erityisesti, kun esimerkiksi sormenjälkitunnistamisen luotettavuus on useissa tutkimuksissa kyseenalaistettu. Sormenjälki saattaa kyllä yksilöidä henkilön luotettavasti, mutta se ei silti takaa varmennetta enempää, että sormenjäljen tunnistusmekanismille esittävä henkilö on sormenjäljen todellinen omistaja. Käytettävyydeltään sormenjälkitunnistus on varmasti esimerkiksi toimikortin avulla käytettävää varmenneteknologiaa parempi. Vertailussa mielenkiintoinen seikka on myös matkapuhelimessa sijaitsevan ja matkapuhelimen kautta käytettävän varmenneteknologian arvostaminen tavallisen toimikortin avulla toimivaa korkeammalle. Matkapuhelin on tavallisesti henkilökohtainen ja haltijallaan mukana, mutta sitä lainataan myös muiden käytettäväksi. Lisäksi matkapuhelimet nykyisin ovat kämmenmikroihin verrattavia tietokoneita, jotka pystyvät ajamaan ohjelmia. Tavallinen toimikortti todennäköisesti on haltijansa lompakossa, ja lompakko todennäköisesti koetaan paljon henkilökohtaisemmaksi esineeksi kuin matkapuhelin. Lisäksi tavallisen toimikortin käyttämiseen tarvittavia kortinlukulaitteita on saatavissa myös tekniikalla, joka pitää kortin käyttämiseen tarvittavan todentamistiedon kortinlukijan sisäisenä tietona. Vaikka on täysin mahdollista toteuttaa kortinlukija, joka kaikesta huolimatta varastoi eri kortteihin ja niiden sisältöön liittyvät tunnusluvut ja kortin käyttöoikeus voisi näin päätyä asiattomiin käsiin, ongelma on sama myös matkapuhelimissa. Ongelmaa voi pitää eräällä tavalla jopa suurempana, koska matkapuhelin on, käyttötarkoituksensa vuoksi, kytketty tiedonsiirtoverkkoon. Eräät biometriset tunnistamistavat sisältävät myös mahdollisuuden, jossa tunnistettavasta vuotaa tunnistajalle sellaista informaatiota, jota tunnistettava ei välttämättä haluaisi antaa. Eräs tunnettu esimerkki tästä on verkkokalvotunnistus, jonka avulla tunnistaja voi saada tunnistettavan terveydentilasta sellaista tietoa, joka ei hänelle kuuluisi. Passiivinen tunnistaminen Asiakirja käsittelee passiivista tunnistamista lähinnä biometrisen tunnistamisen ominaisuutena. Kuitenkin erilaisin langattomin tekniikoin kyetään passiiviseen tunnistamiseen samalla tavalla kuin esimerkiksi kameran avulla toteutetulla kasvonpiirteiden analysoinnilla. Tunnistusta tekevä lukee tunnistukseen käytettävää informaatiota, eikä tunnistettava välttämättä tiedä tätä. Biometrinen passiivinen tunnistaminen kykenee ai-

16 noana teknologiana tunnistamaan tekniikasta riippuen lähes kiistattomalla varmuudella henkilön, mutta esimerkiksi langattomasti käytettävän toimikortin tai kämmenmikron avulla voidaan kyetä tunnistamaan henkilö laitteeseen varastoitua informaatiota tutkimalla. Mainitun kaltaiset esineet ovat kuitenkin lähtökohtaisesti henkilökohtaisia. Passiivista tunnistamista voidaan siis tehdä muillakin kuin biometrisen tunnistamisen välineillä, mitä asiakirja ei huomioi. Ihmiset ovat tottuneet siihen, että he voivat kulkea vapaasti maan rajojen sisällä joutumatta tunnistettavaksi. Julkisten tilojen automaattinen valvonta tuottaisi todennäköisesti sellaisia tietovarastoja, joiden perusteella yksittäisten henkilöiden liikkumista pystyttäisiin tarkkailemaan ja analysoimaan yksinkertaisesti. Jos yksityisyydestään tarkat henkilöt ovat vaatineet rajoituksia esimerkiksi matkapuhelinten paikkatiedon tallentamisen rajoittamiselle ja pääkaupunkiseudun julkisen liikenteen matkakortin tarjoamasta mahdollisuudesta seurata yksittäisten henkilöiden liikkeitä on ollut huomattavan kielteisiä reaktioita, ei ole nähtävissä, että passiiv i- seen henkilön tunnistamiseen esimerkiksi julkisissa tiloissa, varsinkaan tästä ennalta varoittamatta, suhtauduttaisiin myönteisesti. Asiakirjassa esitetään, että passiivista tunnistamista käyttävien palvelujen kehittymistä tulisi pitää suotavana. Se ei kuitenkaan kerro varsinaisia perusteita sille, miksi tällaisia palveluja tarvittaisiin. Jotta tällainen suos i- tus voitaisiin esittää, tulisi passiivista tunnistamista käyttävien palvelujen hyötyjä ja erityisesti haittoja sekä ongelmia käsitellä huomattavasti laajemmin. Jotta kansalaisille ei muodostuisi pelkoa yhteiskunnan muuttumisesta George Orwellin kuvaamaksi valvontayhteiskunnaksi, minkä passiivinen biotunnisteisiin perustuva tunnistaminen voi täysin tehdä mahdolliseksi, on syytä tutkia tarkemmin, kuinka kattavasti tunnistamis- ja todentamistoimenpiteitä voidaan tehdä sellaisilla menetelmillä, jotka eivät sovellu passiiviseen tunnistamiseen, ja miettiä, kuinka tarpeellista passiivinen tunnistaminen todella on, ja kuka sitä todella tarvitsee. Biometrisen tunnistamisen ongelmat Suurin uhka biometrisen tunnistamisen käytössä liittyy yksityisyyden suojaan, mikä asiakirjassa on huomioitu. Asiakirja suosittelee laatubiotunnisteen, eli viranomaisen hallinnoiman biometristä tietoa sisältävän tietovaraston, msuunnittelemista ja toteuttamista. Tällainen tietovarasto, joka todennäköisesti tulisi sisältämään lähes kaikkien kansalaisten tunnistamistiedot, tulee kohtaamaan merkittävää vastarintaa yksityisyyden suojaa puolustavien henkilöiden ja yhteisöjen taholta. Vaikka laatubiotunniste olisi luonteeltaan vapaaehtoinen, siitä muodostuisi todennäköisesti ajan kuluessa rekisteri, jossa yksilön tietojen olisi pakko olla olemassa. Yhdysvaltojen viimeaikaisia toimia esimerkiksi passeihin liitettävistä biotunnisteista voi pitää tästä hyvänä esimerkkinä: pian kansalaisella ei voi olla passia, ellei hän ole luovuttanut viranomaiselle biometristä tunnistamistietoa. Biotunnisteiden tallentamista ja käyttöä voidaan ja sitä pitää säännellä. Keskitetyn tietovaraston, rekisterin, tietosisältö antaa kenelle tahansa tietoon käsiksi pääsevälle vallan seurata rekisteristä löytyviä yksilöitä, tallennetusta informaatiosta riippuen passiivisesti. Tämä tietovarasto muodostaisi erityisen kiinnostavan kohteen siihen kohdistuvalle tietomurrolle. Tietovaraston sisältö voidaan tietysti salata, mutta salaus ei kuitenkaan pysty tietovaraston luonteen takia takaamaan sen sisällön pysymistä salassa. Tärkeä tekijä on mahdollisuus käsitellä tietoa automaattisesti. Jotta salattua tietoa voidaan käsitellä automaattisesti, salaus on voitava purkaa. Jotta järjestelmä voi tämän tehdä, järjestelmällä tulee olla tieto siitä, miten salaus puretaan. Sellaisen järjestelmän toteuttaminen, jossa järjestelmä pystyy palvelemaan suurta massaa, tarkoittaa, että järjestelmä pystyy ilman manuaalisia toimenpiteitä purkamaan tietovarastossa käytettävää salausta. Tiiviste, hash, on syytä erottaa salauksesta. Tiiviste ei ole tiedon salaamista, vaan kyse on tiedon sormenjä l- jestä. Jos asiakirjassa biometrisen informaation varastoimisesta salattuna tarkoitetaan tiivisteitä, olisi syytä puhua tiivisteistä, ei salauksesta. Salauksesta voidaan aina johtaa lähdemateriaali. Tiivisteestä lähdemateria a- lia ei ole mahdollista johtaa, vaan esimerkiksi salasanojen murtaminen tiivisteen perusteella perustuu aina arvaamiseen. On silti harhaluulo, ettei tiivisteestä, oli sen lähdemateriaali biotunniste tai salasana, olisi hyötyä asiattomalle taholle. Salasanat pystytään lähes poikkeuksetta murtamaan hankitun tiivisteen perusteella, vaikka murtaminen perustuukin arvaamiseen. Jos keskitetty tietovarasto sisältäisikin ainoastaan henkilöihin sidottuja tiivisteitä, sormenjälkiä, heidän biometrisistä tunnistetiedoistaan, tietovarasto olisi edelleen väärän tahon haltuun joutuessaan katastrofi. Vaikka informaatiosta ei pystyttäisi johtamaan varsinaista tunnistamisessa käytettävää biometristä informaatiota, tietovaraston sisältö olisi kuitenkin esimerkiksi oikeudettoman passiivisen tunnistamisen kannalta erityisen mielenkiintoinen saalis. Hajautetusta tietovarastosta asiaton taho pystyisi todennäköisesti kokoamaan oman keskitetyn varastonsa. Jos hajautetussa tietovarastossa tai tunnis- 16

17 tamis- ja todentamistoimenpiteessä käytetään etälukutekniikkaa, luvattoman keskitetyn tietovaraston kokoaminen voi muuttua ennalta-arvaamattoman yksinkertaiseksi. Varmenteisiin perustuvan tunnistamisen onge lmat Kenties merkittävimmät ongelmat varmenteiden käyttämiseen tunnistamisessa ja erityisesti toimikorttien käytön yleistymiseen tunnistamisessa ovat ohjelmistoteknisiä. Sähköinen henkilökortti on ollut Suomessa olemassa jo vuosia, mutta sen käyttö on edelleen häviävän pientä. Palveluntarjoajat ovat olleet sitä mieltä, että sähköisiä henkilökortteja on käytössä niin vähän, ettei tätä mahdollisuutta palveluihin ole kannattavaa tuoda. Ohjelmistovalmistajat taas ovat olleet sitä mieltä, että toimikortteja käyttäviä palveluja on niin vähän, ettei kortin käyttämiseen tarvittavia ohjelmistoja ole kannattavaa tehdä. Lisäksi, koska ohjelmistovalmistajien intresseissä on tuottaa voittoa, niitä kiinnostavat ainoastaan sellaiset laitealustat, joille laadituilla sovelluksilla on iso markkinapotentiaali. Pelkkä Windows-järjestelmien tuki ei teknologian yleistymiselle riitä, mistä syystä toimikorttien käyttämiseen tarvittavan ohjelmiston kehittäminen olisi vaatinut julkista rahoitusta ja ohjelmistokehityksen liittämistä itse sähköisen henkilökortin suunnitteluprosessiin. Henkilövarmenteiden tuominen matkapuhelimiin ei ratkaise henkilön sähköisen tunnistamisen ongelmia. Se päin vastoin tuo niitä lisää. Vaikka käytön ja yleistymisen ongelmat voidaan mieltää pääosin ohjelmistoteknisiksi, ei yhtään tätä vähäisemmäksi jää erityisesti laatuvarmenteella tehdyn sähköisen allekirjoituksen ongelma. Laatuvarmenteella tehty sähköinen allekirjoitus on juridisesti sit ova. Vaikka itse allekirjoitus voidaan todeta kiistatta oikeaksi, itse allekirjoitustapahtuman ajankohdan osalta tällaista toteamusta ei teknisesti kyetä tekemään. Kyse on allekirjoitusprosessiin liittyvästä ongelmasta. Sähköiseen allekirjoitukseen ei liit y luotettavaksi todettua päivämäärää ja kellonaikaa, josta voitaisiin todeta ajankohta, jona allekirjoitus on tehty. Biometriikka ei poista tätä ongelmaa. Oikeusturvan takia sähköisen allekirjoituksen notariaattipalvelujen toteuttamista ja käyttämistä olisi syytä tutkia. 17 TIETOSUOJAVALTUUTETTU Liikenne- ja viestintäministeriö pyytää viitekirjeellään esittämään näkemyksiä sähköisen tunnistamisen ja teknisen valvonnan sääntelyn ja muiden toimenpiteiden tarpeesta. Taustaselvitykseksi ministeriö on toimittanut konsulttityönä tehdyn asiaa koskevan selvityksen. Esitän asiasta henkilötietojen käsittelyn näkökulmasta seuraavaa. Liitän myös oheen Euroopan Unionin tietosuojadirektiivin (95/46/EY) artiklassa 29 tarkoitetun tietosuojaryhmän hyväksymän biotunnisteita koskevan valmisteluasiakirjan 12168/02/FI/WP 80. I YLEISTÄ Sähköinen tunnistaminen liittyy henkilön tunnistamiseen ja todentamiseen. Kysymys on henkilötietojen käsittelystä, johon sovelletaan henkilötietolakia ko. laissa säädetyin poik keuksin. Sähköisten tunnistamismenetelmien valinnassa kysymyksessä olevalla käsittelyn tarkoituksella on olennainen merkitys. Käyttötarkoituksen perusteella arvioitavaksi tulevat erityisesti henkilötietolain tarpeellisuus- ja virheettömyysvaatimukset sekä suojaamiseen ja tietoturvallisuuteen ja rekisteröityjen informointiin ja oikeuksiin liittyvät kysymykset. Yksityisyyden suojan kannalta tunnistamiskeinon tai -välineen käytön merkitys on suunnitteluvaiheessa käytävä läpi kaikkien muidenkin käsittelyvaiheiden kannalta (mm. tietojen tallettaminen, käyttö ja luovuttaminen sekä säilyttäminen). Riittävän yksityiskohtaiset, eri tilanteissa sekä toiminnallisesti, teknisesti että lainsäädännön perusteella tehdyt ja testatut kuvaukset ja selvitykset ovatkin eräs perusedellytys esimerkiksi biometristen tunnisteiden käytön tarkoituksenmukaisuutta ja lainmukaisuutta arvioitaessa. Tällaisesta selvityksestä tulisi myös ilmetä, mitä etuja ja haittoja yksityisyyden kannalta sisältyy eriasteisiin tunnistamisiin. Biometristen tai muiden sähköisten tunnistamiskeinojen ja -välineiden käyttöä on arvioitava usein henkilötietolain mukaan silloinkin, kun tunniste talletetaan yksinomaan henkilön itsensä hallussa olevaan tallenteeseen (korttiin tms). Henkilötietolain säännöksiä tarkastellaan tarkemmin jäljempänä kohdassa III. II Konsulttiselvityksen arviointia /biometristen tunnisteiden käytöstä

18 18 Lausuntopyynnön yhteydessä toimitetussa konsulttiselvityksessä on kuvattu erilaisia tunnistusmenetelmiä ja tekniikoita varsin kattavasti. Myös tunnistamisen problematiikkaa tarkastellaan suhteellisen monipuolisesti. Eri tekniikoiden ja menetelmien vertailu luo perustaa käytännön valintatilanteille Tunnistamisen eri vahvuuksia tarkastellaan kuitenkin paljolti vain ulottuvuudella vahva tunnistus anonyymi asiointi tms. Valtaosa tunnistuksessa sijoittuu näiden ääripäiden välille. Yksityisyyden suojan kannalta on tärkeää arvioida ensimmäiseksi tunnistamisen tarve sekä se milloin vahvan tunnistamisen sijasta riittää muu tunnistaminen. Selvityksen tarkastelukohteena on lähinnä tietoturvallisuus ja tunnistuksen toiminnalliset ja tekniset omina i- suudet. Sähköisen tunnistamisen käytön tarkempi arviointi yksityisyyden suojan ja muiden yksityisyyden suojaa turvaavien perusoikeuksien näkökulmasta edellyttää kuitenkin myös konkreettisempaa eri käyttötarkoituksiin kohdistuvaa ja koko tietojen-käsittelyn elinkaaren kattavaa selvitystyötä, jossa laaditaan myös edellä kohdassa I mainittu kuvaus. Yksityisyyden suojan ja muun muassa henkilötietojen käsittelyyn liittyvien vastuiden kannalta on tärkeää myös arvioida ja analysoida, mitä erilaisia rooleja tunnistettavalla voisi olla esimerkiksi tunnistamisvälineen omistuksen tai käytön suhteen, ja millä tavoin tämä vaikuttaa esimerkiksi sääntelytarpeeseen. Selvityksessä tarkastellaan erityisesti biometrisiä tunnisteita sähköisen tunnistamisen välineinä. Samoin sääntelyn tarvetta tarkastellaan melko laajasti lähinnä biometristen tunnistuksen osalta. Biometristen tunnisteiden käytön edellytysten selvittäminen ja arviointi on käsitykseni tällä hetkellä erittäin tärkeää, mutta edellyttää myös muiden sähköisten tunnistamiskeinojen ja -välineiden samanaikaista vertailua. On siis tarpeen arvioida kaikenlaisten tunnistamiskeinoje n ja -välineiden osalta yksityisyyden suojaa kohdistuvat riskit ja sekä se, voitaisiinko tunnistaminen savuttaa vähemmän yksityisyyteen puuttuvalla tavalla (tarpeellisuusvaatimus, huolellisuus- ja suojaamisvelvoitteet, suhteellisuusperiaate). Biometristen tunnisteiden tosiasiallinen käyttö on edennyt ilmeisesti useissa maissa pidemmälle kuin Suomessa. Tähän lienee useita eri syitä, mutta johtunee osaltaan siitä, ettei kaikissa maissa ole käytössä henkilötunnuksen kaltaista yksilöintitunnusta. Biometristen tunnisteiden käytöstä ja käytön ominaisuuksista eri käyttötilanteissa tulee olla riittävän monipuolista ja kattavaa tietoja, jotta sen käytön edellytyksiä voidaan arvioida. Lausunto-pyynnön mukana oleva konsulttiselvitys luo hyvän pohjan jatkotyöskentelylle. Selvityksen sääntelyä koskevia toimenpide-ehdotuksia pidän monessa suhteessa oikeansuuntaisina, mutta sääntelyn tarvetta on tarpeen arvioida kokonaisvaltaisemmin henkilötietolain vaatimusten kannalta. Yksityisyyden suojan kannalta kiinnitän lisäksi huomiota selvityksen muutamaan yksityiskohtaan. Selvityksessä tarkastellaan nelikenttää; aktiivinen ja passiivinen tunnistus, autentikointi ja identifiointi. Yksityisyyden kannalta kiistattomasti paras yhdistelmä on aktiivinen tunnistus ja autentikointi, jolloin tunnistettava on tietoinen tunnistamisesta ja hänellä on mahdollisuus esittää kelpoisuutensa ja oikeutensa sekä säilyttää anonymiteettinsä. Tällaista yhdistelmää tulisi pitää tavoitteena. Vastaavasti passiivisen tunnistamisen ja identifioinnin yhdistelmään sisältyviä yksityisyyden riskejä tulisi selvästi tuoda esille (sivu 23). Raportissa tuodaan esille keskitettyjen biometristen tietovarastojen toiminnallisia ja teknisiä hyötyjä; samalla tulisi korostaa sellaisiin sisältyviä yksityisyyden suojan riskejä. Hajautetut tietovarastot tarjoavat tunnistettaville paremmat mahdollisuudet kontrolloida tunnistamistaan ja siihen liittyvien välineiden ja tietojen käyttöä. Yksityisyyden suojan kannalta biometrisiä tunnisteita tulisi tallettaa ensisijaisesti vain yksinomaan käyttäjän hallussa olevaan välineeseen. Selvityksen sivulla 48 tarkastellaan palvelu- ja sovellusesimerkkejä eri toimintojen osalta. Esimerkiksi verkkokaupassa ja joukkoliikenteessä ei ole tarvetta varsinaisesti tunnistaa käyttäjää, vain todentaa, että tämä on oikeutettu tekemään asioita. Tätä seikkaa ei juurikaan korosteta. Kappalesta 6 tulisi selkeämmin käydä ilmi, että yksityisyyden kannalta lähtökohtana on anonymiteetti, sitten eri asteiset pseudonymiteetit ja heikommat tunnistukset, vasta viime kädessä vahva tunnistus, mikäli se on tunnistamisen kaikkien osapuolten kannalta tarpeen. Lisäksi tulisi korostaa sitä, että ennen kaikkea tulisi todentaa käyttäjä eli varmistaa, että käyttäjä on oikeutettu tiettyihin asioihin ja toimii oikein, vasta sen jä l- keen tunnistaa, mikäli tämä on tarpeen.

19 19 Teknistä valvontaa ja tunnistusta käsittelevä osuus sivulla 49 on melko vähäinen. Tässä suhteessa kaivataan perusteellisempaa tarkastelua aiheista tunnistus-valvonta-yksityisyys, myös sääntelytarpeen ja muiden toimenpiteiden arvioimiseksi. III BIOMETRISTEN TUNNISTEIDEN KÄYTÖN EDELLYTYKSISTÄ VOIMASSA OLEVAN SÄÄN- TELYN KANNALTA Henkilötietojen keräämisestä ja muusta käsittelystä tulee perustuslain 10 :n mukaisesti säätää lailla. Sähköisten tunnisteiden ja biometristen tunnisteiden käyttöä ja käsittelyä suunniteltaessa, asiaa on arvioitava kaikkien henkilötietolain edellytysten kannalta. Käsittelyyn vaikuttavia säännöksiä voi sisältyä myös muuhun lainsäädäntöön (erityislait) Yleiset henkilötietojen käsittelyn edellytykset Lähtökohtana on, että henkilötietoja saa kerätä ja käsitellä vain henkilötietolaissa säädetyin edellytyksin. Henkilötietojen käsittely tulee etukäteen suunnitella Kerättävien ja käsiteltävien henkilötietojen käsittelyn tarkoitus tulee määritellä. Talletettuja tietoja saa käyttää vain määriteltyyn käsittelytarkoitukseen. Henkilötietojen käsittelyn tulee olla asianmukaista rekisterinpitäjän toiminnan kannalta. Henkilötietoja saa kerätä ja tallettaa sekä muutoin käsitellä, esimerkiksi luovuttaa, vain laissa säädetyillä edellytyksillä. Yleisimmät edellytykset henkilötietojen keräämiseen ja tallettamiseen ovat asianomaisen suostumus, asiallinen yhteys rekisterinpitäjän ja rekisteröidyn välillä, tai jos käsittely perustuu laissa säädettyyn tehtävään. Arkaluonteisia tietoja saa kerätä ja käsitellä vain laissa säädetyin edellytyksin Käsiteltävien tietojen tulee olla tarpeellisia ja virheettömiä määriteltyyn käyttötarkoitukseen nähden. Rekisterinpitäjän tulee käyttää luotettavia tietolähteitä. Henkilötietojen käsittelystä tulee informoida sekä muutoinkin varmistaa laissa säädettyjen rekisteröityjen oikeuksien toteutuminen. Rekisterinpitäjän tulee kaikissa käsittelyvaiheissa huolehtia henkilörekisterin ja henkilötietojen suojaamisesta sekä varmistaa tietojen laillinen käsittely. Rekisteröityjen yksityisyyttä ei saa perusteettomasti loukata tai vaarantaa. Suojaamis- ja huolellisuusvelvoitteeseen kuuluu myös tietoturvallisuudesta huolehtiminen. 1. Tarpeellisuus- ja virheettömyysvaatimus Henkilötietolain keskeinen periaate on henkilön oikeus tulla arvioiduksi oikeiden ja virheettömien tietojen perusteella. Sähköisten tunnistamismenetelmien, muun ohessa biometristen tunnisteiden käyttöä ja tarvetta on arvioitava erityisesti tästä vaatimuksesta käsin. Vain käsiteltävien henkilötietojen tarkoituksen (henkilörekisterin käyttötarkoitus) kannalta tarpeellisia henkilötietoja saa kerätä ja tallettaa. Sen vuoksi silloinkin, kun esimerkiksi biometristen tunnisteiden käyttö näyttäisi mahdolliselta ja tarpeelliselta, em. laissa säädetyt vaatimukset edellyttävät eri vaihtoehtojen selvittämistä, sekä vaihtoehtoihin liittyvien riskit ja vaikutusten arviointia kaikkien käsittelyvaiheiden kannalta. Biometristen tunnisteiden käyttö ei saa olla itsetarkoitus. Tarpeellisuusvaatimus ei täyty, jos käytettävissä on ko. käyttötarkoitukseen nähden muita riittäviä, tarkoituksenmukaisempia ja yksityisyyden paremmin turvaavia tunnistamisen menetelmiä tai välineitä. Virheettömyydenkin arvioinnissa eri tunnistamiskeinoihin liittyvillä suojaus- ja tietoturvallisuusominaisuuksilla on merkitystä. Kerättyjä ja talletettuja henkilötietoja ei saa käyttää määritellyn käsittelytarkoituksen vastaisesti. 2. Rekisterinpitäjän velvollisuus informoida henkilötietojen käsittelystä Henkilötietolainsäädännön keskeinen periaate on, että henkilön tulee tietää itseään koskevien tietojen käsittelystä, ja tietyin edellytyksin myös vaikuttaa tietojensa käsittelyyn. Jokaisella on oikeus saada tietää, mitä henkilörekistereitä ylläpidetään. Rekisteröidyllä on oikeus tietää häntä koskevien henkilötietojen käsittelystä.

20 Henkilötietolain 24 :n mukaan rekisteröidyllä on, ennen kun antaa henkilötietojaan rekisterinpitäjälle, tai rekisterinpitäjä ryhtyy keräämään muualta henkilötietoja, oikeus saada tietää henkilötietojensa käsittelystä; kuka tietoja kerää, mihin tarkoitukseen niitä kerätään ja säännönmukaisesti luovutetaan, sekä tiedot, jotka ovat tarpeen rekisteröityjen oikeuksien käyttämiseksi asianomaisessa henkilötietojen käsittelyssä, samoin kuin muut henkilön oikeuksien toteuttamisen kanna lta olennaiset tiedot. Rekisteröidyllä on myös lakiin perustuva oikeus tarkastaa itseään koskevat tiedot, sekä oikeus vaatia itseään koskevien virheellisten tietojen oikaisemista. Miten nämä oikeudet toteutetaan, tulee olla selvitettynä sähköisen tunnistamisen keinoja valittaessa. Yksityisyyden suojan kannalta ei ole hyväksyttävää, että tunnistamista voidaan tehdä/ tehdään ja henkilötietoja talle ttaa henkilön tietämättään. Sen vuoksi myös tällaisten tunnistamisvälineiden käyttöön tulee säätää edellytykset, jos niitä joissain tila nteissa olisi perustellusti on tarpeen käyttää. 3. Velvollisuus suojata henkilötiedot Sähköisen tunnistamisen välineellä on tietojen suojaamisen kannalta olennainen merkitys. Suojaamisesta tulee huolehtia kaikissa käsittelyvaiheissa; keräämisessä, tallettamisessa, käytössä, luovuttamisessa, säilyttämisessä ym. Henkilötietolain 32 : n mukaan rekisterinpitäjän on toteutettava tarpeelliset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi asiattomalta pääsyltä tietoihin tai vahingossa tai laittomasti tapahtuvalta tietojen hävittämiseltä, muuttamiselta, luovuttamiselta, siirtämiseltä taikka muulta laittomalta käsittelyltä. Toimenpiteiden toteuttamisessa on otettava huomioon käytettävissä olevat tekniset mahdollisuudet, toimenpiteiden aiheuttamat kustannukset, käsiteltävien tietojen laatu ja määrä ja sekä käsittelyn merkitys yks i- tyisyyden suojan kannalta. 4. Henkilötietojen luovuttaminen ja säilyttäminen Henkilötietoja saa luovuttaa vain laissa säädetyin edellytyksin. Henkilötietolaissa tai erityislaissa on luovuttamista koskevia säännöksiä, mutta olisi tarpeen arvioida, tarvitaanko eri tunnistamisen välineiden osalta yksityisyyden suojaamiseksi erityisiä säännöksiä. Käytännön tilanteet eri välineiden osalta on tarpeen käydä suunnitteluvaiheessa läpi. On varmistettava, että em. säännökset vaatimukset tulevat huomioiduksi. Henkilötietoja saa henkilötietolain mukaan säilyttää vain määritellyn käyttötarkoituksen edellyttämän ajan, jonka jälkeen ne tulee hävittää, ellei tietojen säilyttämisestä ole muuta muussa laissa säädetty IV SÄÄNTELYTARPEIDEN ARVIOINTIA EUROOPAN UNIONIN TIETOSUOJADIREKTIIVIN JA PERUSTUSLAIN KANNALTA Perustuslain mukaan oikeus yksityisyyteen on perusoikeus. Henkilötietietojen suojasta säädetään tarkemmin lailla. Arvioitaessa sähköisen tunnistamisen sääntelyn tarvetta tärkeä sääntelyn perusta on myös Euroopan Unionin tietosuojadirektiivi. Biometrisia tunnisteita voidaan pitää em. tietosuojadirektiivin 8 artiklan kohdassa 7 tarkoitettuna yleisenä tunnisteena, jonka käytöstä tulee säätää lailla, koska muuten ko. tunnisteiden käyttö voi johtaa samoihin ongelmiin kuin henkilötunnuksen käyttö. Biometristen tunnisteiden osalta kysymys on useimmissa tapauksissa henkilön yhdenmukaisesti tunnistavasta menetelmästä. Kyseinen ominaisuus merkitsee, että tietojen yhdistämisen mahdollisuus on olemassa ei vain kansallisella tasolla vaan myös kansainvälisesti ja periaatteessa kaikkiin eri järjestelmiin kerättävien henkilötietojen osalta, jos niihin samoja biometrisia tunnisteita kerättäisiin/voitaisiin kerätä. Vaikka henkilötietolaki sääntelee kattavasti yleiset keräämisen, käytön, luovuttamisen ja säilyttämisen edellytykset, biometrisiin tunnisteisiin liittyy siinä määrin uusia ominaisuuksia ja ulottuvuuksia sekä tietosuojariskejä, ettei niiden käyttö ja käsittely ilman käsittelyn edellytyksiä koskevaa tarkentavaa sääntelyä ei ole käsitykseni mukaan perusteltua. Tunnistamisvälineiden käyttöön liittyy yks i- tyisyyden suojan, henkilöiden oikeusturvan sekä myös muiden perusoikeuksia turvaavien oikeuksien kannalta sellaisia ominaisuuksia, että mielestäni myös perustuslaista johtuu, että niiden käytön ja käsittelyin edellytyksistä tulee säätää lailla. 20