Biometrisen tunnistamisen tietoturvallisuus ja yksityisyyden suoja -hankkeen raportti

Transkriptio

1 Biometrisen tunnistamisen tietoturvallisuus ja yksityisyyden suoja -hankkeen raportti

2 2 Tietoturva-asioiden neuvottelukunnalle Biometrisen tunnistamisen tietoturvallisuus ja yksityisyyden suoja -hanke on osa valtioneuvoston 4. syyskuuta 2003 periaatepäätöksellä vahvistaman kansallisen tietoturvastrategian toimeenpanoa. Hankkeessa asetettiin Sertifikaatit -yhteistyöryhmä, jonka toimikausi on Työryhmän tulee raportoida kansalliselle tietoturva-asioiden neuvottelukunnalle. Luottamuksen edistämiseksi hankkeessa pyritään arvioimaan biometrisen tunnistamisen käyttöön liittyviä tietoturvakysymyksiä, keskeisimpiä riskejä ja ongelmia. Tietoturvakysymysten selvittämisellä, analysoinnilla ja ohjeistamisella pyritään edistämään suomalaisten yritysten liiketoimintamahdollisuuksia ja biometrista tunnistamista hyödyntävää palvelukehitystä. Työryhmä kokoontui toimikaudellaan kuusi kertaa. Hankkeeseen osallistuivat: Ailisto Heikki, VTT Karvonen Kaarlo, Finnair Oyj Karppinen Lauri, Tietosuojavaltuutetun toimisto Kivinen Tuomas, Nordea Pankki Suomi Oyj Perttula Juha, Liikenne- ja viestintäministeriö (hankkeen puheenjohtaja) Rakshit Tommi, Sisäasiainministeriö Saapunki Ari, Aldata Solution Finland Oy Päivi Pösö, Väestörekisterikeskus Helvi Salminen, Setec Oy Saatuaan työnsä päätökseen työryhmä kunnioittaen luovuttaa loppuraporttinsa siihen sisältyvine esityksineen tietoturva-asioiden neuvottelukunnalle. Helsingissä 11. päivänä joulukuuta 2005 Juha Perttula työryhmän puheenjohtaja

3 3 Sisällysluettelo Taustaa Hankkeen tavoitteet ja rajaukset Hankkeen käytännön toteutus Työryhmän esitykset Lainsäädännön tarve... 5 Liite 1 Biometrisen tunnistamisen tietoturvallisuus ja yksityisyyden suoja -raportti.. 8 Taustaa Suomen hallitus teki kansainvälistäkin huomiota saavuttaneen periaatepäätöksen kansallisesta tietoturvastrategiasta vuoden 2003 syyskuussa. Tietoturva-strategian yhtenä keskeisimmistä tavoitteista on rakentaa kansalaisten ja yritysten luottamusta tietoyhteiskuntaan. Biometrisen tunnistamisen tietoturvallisuus ja yksityisyyden suoja -hanke on osa kansallisen tietoturvastrategian toimeenpanoa ja se tukee strategian painopistehankkeista hanketta LUOTI Luottamus ja tietoturva sähköisissä palveluissa. Biometrisen tunnistamisen tietoturvallisuus ja yksityisyyden suoja -hankkeen keskeisenä tavoitteena on lisätä luottamusta biometrian käyttöön myös kaupallisissa sovelluksissa ja palveluissa. Luottamus on välttämätön edellytys biometrisen tunnistamisen yleistymisen kannalta. Biometrisessa tunnistamisessa käytettävien järjestelmien tietoturvasta huolehtiminen on olennainen tekijä näitä menetelmiä koskevan luottamuksen rakentamisessa. Palveluntarjoajat ja muut toimijat, jotka biometriaa hyödyntävät, eivät kuitenkaan vielä tällä hetkellä ole kaikilta osin riittävän tietoturvatietoisia. Nämä toimijat tarvitsevat selkeätä ja helposti omaksuttavaa tietoa siitä, mitä tietoturvaan liittyviä seikkoja niiden tulisi ottaa huomioon biometriaa hyödyntävissä palveluissaan ja järjestelmissään. Luottamuksen edistämiseksi hankkeessa pyritään arvioimaan biometrisen tunnistamisen käyttöön liittyviä tietoturvakysymyksiä, keskeisimpiä riskejä ja ongelmia. Tietoturvakysymysten selvittämisellä ja analysoinnilla pyritään edistämään suomalaisten yritysten liiketoimintamahdollisuuksia ja biometrista tunnistamista hyödyntävää palvelukehitystä. Hankkeen toteuttamisella pyritään omalta osaltaan vaikuttamaan myös siihen, että biometrisessa tunnistamisessa otetaan Suomessa huomioon perustuslain turvaamat tietoturvaan ja yksityisyyden suojaan liittyvät oikeudet ja varmistetaan biometriaan liittyvien tietoturvariskien riittävä hallinta. Työryhmä kokoontui vuoden 2005 aikana yhteensä kuusi kertaa.

4 4 1 Hankkeen tavoitteet ja rajaukset Hankkeen keskeisenä tavoitteena on lisätä luottamusta biometrian käyttöön myös yksityisen sektorin kaupallisissa sovelluksissa ja palveluissa. Tavoitteena on lisätä tietoisuutta biometriaan liittyvistä tietoturva- ja yksityisyydensuojakysymyksistä ja edistää suomalaisten yritysten liiketoimintamahdollisuuksia sekä biometrista tunnistamista hyödyntävää palvelukehitystä. Tavoitteena on myös yksityisyydensuojaystävällisen biometrisen tunnistamisen edistäminen. Edellä mainittuja tavoitteiden saavuttamiseksi työryhmän tuli: 1. Arvioida ja määritellä yksityisyyden suojan toteutumiseksi keskeisimmät tietoturvavaatimukset, ja esittää tältä osin suosituksia järjestelmien toteuttamisesta palvelujen kehittäjille. 2. Ottaa kantaa siihen, tulisiko joistakin edellä mainituista vaatimuksista säännellä lailla. 3. Ottaa kantaa siihen, tulisiko muilla keinoin edistää tai kannustaa kyseisten vaatimusten huomioon ottamista, ja edistää yksityisyydensuojaystävällisten ratkaisujen käyttöä biometrisessa tunnistamisessa. Tavoitteena oli tuottaa työryhmän suositusten ja näkemysten kautta helposti omaksuttavaa, käytännön läheistä ja riittävän yleisen tason tietoa biometrisen tunnistamisen edellyttämästä tietoturvasta alan toimijoille, ja toisaalta muodostaa selkeä näkemys jatkotoimenpiteiden tarpeesta ja sisällöstä voimassa olevan lainsäädännön kehittämistarpeiden arviointia varten. Hankkeessa keskityttiin käytännön kannalta merkittävimpiin biometrisen tunnistamisen menetelmiin eli sormenjälkitunnistukseen, kasvotunnistukseen, iiristunnistukseen ja puhujantunnistukseen. Tietoturvavaatimusten osalta arvioinnin kohteena ovat kaikki ne laitteet, välineet, ohjelmistot, järjestelmät, tietokannat jne., joita tarvitaan biometriaa hyödyntävän palvelun tai sovelluksen käyttöönottamiseksi ja käyttämiseksi. Hankkeen näkökulmana tietoturvaan oli yksityisyyden suojan turvaaminen. Hankkeessa ei siten keskitytty ensisijaisesti esimerkiksi käytettävyyteen, performance arviointiin (FAR, FRR) tai esimerkiksi yhteentoimivuuteen eri palvelujen ja sovellusten välillä liittyviin kysymyksiin. Näihin näkökulmiin keskityttiin vain siinä määrin, kuin niiden varmistaminen on tarpeen yksityisyyden suojan toteutumisen kannalta. Hankkeen näkökulmana oli yksityisen sektorin kaupalliset palvelut ja sovellukset. Viranomaistarpeisiin käytettävät sovellukset eivät siten kuuluneet hankkeen piiriin. Yksityisyyden suoja saattaa pidemmällä tähtäimellä olla suurempi ongelma ns. large scale -sovellusten kohdalla. Oma ongelmakenttänsä ovat kuitenkin myös pienemmät palvelukehittäjät ja muut toimijat, jotka eivät resurssien puutteesta johtuen välttämättä osaa menetellä kaikilta osin oikein tietoturvan suhteen.

5 5 Arvioinnin kohteena olevan toimintaympäristön oikeudellisena kehyksenä on erityisesti Suomen perustuslaki, henkilötietolaki, sähköisen viestinnän tietosuojalaki, työelämän tietosuojalaki sekä laki sähköisistä allekirjoituksista. 2 Hankkeen käytännön toteutus Hankkeen keskeisenä toimintamuotona olivat yhteistyöryhmän kokoukset. Hankkeessa pyrittiin hyödyntämään kokousten ulkopuolella sähköpostia työvälineenä niin paljon kuin tarpeen ja mahdollista. Hankkeessa toteutettiin konsulttityönä selvitys, jossa arvioitiin ja koottiin yhteen yksityisyyden suojan toteutumiseksi keskeisimmät tekniset ja menettelytason tietoturvavaatimukset. Selvityksessä pyrittiin arvioimaan vaatimuksia lähtien muutamasta erilaisesta case tyyppisestä palvelutyyppikuvauksesta, ns. järjestelmätason tietoturvavaatimuksista sekä eri biometrisen tunnistamisen menetelmien ominaispiirteistä yksityisyyden suojan ja tietoturvan osalta, ja pyrittiin näiden pohjalta muodostamaan kokonaisuus biometrisen tunnistamisen tietoturvavaatimuksista yksityisyyden suojan näkökulmasta. Tietoturvavaatimusten arvioinnissa pidettiin lähtökohtana voimassa olevan lainsäädännön asettamia vaatimuksia tietoturvan toteuttamisen osalta. Selvityksen loppuun laadittiin oheistus biometrista tunnistamista hyödyntäville palveluntarjoajille tietoturvan ja yksityisyyden suojan osalta. Laadittu selvitys: Biometrisen tunnistamisen tietoturvallisuus ja yksityisyyden suoja on tämän raportin liitteenä. Lainsäädännön tarpeen arvioinnin osalta työryhmä pyrki arvioimaan voimassa olevan sääntelyn ja biometrisen tunnistamisen tietoturvavaatimusten pohjalta nykyisen sääntelyn riittävyyttä ja mahdollista uuden sääntelyn tarvetta. Työryhmän esitykset tältä osin sisältyvät raportin kappaleeseen 3.1. Hankkeessa syntyvän tiedon ja ymmärryksen levittämisessä pyritään hyödyntämään mahdollisimman pitkälle kansallisen tietoturvastrategian ja Luoti hankkeen resursseja. Molemmilla hankkeilla on erilliset verkkosivut ja mm. Luoti hankkeen tiedotteet ja seminaarit tavoittavat varsin laajan joukon sähköisten palvelujen kehittäjiä. 3 Työryhmän esitykset 3.1 Lainsäädännön tarve Nykyinen henkilötietojen käsittelyä koskeva sääntely on joustavaa ja ei estä biometriaa hyödyntävien palvelujen kehittämistä ja käyttöönottoa. Voimassa oleva sääntely on toisaalta yleisluonteista ja perustuu pitkälti erilaisten periaatteiden soveltamiseen, mikä vaikeuttaa lainsäädännön käytännön soveltamista ja tulkintaa. Nimenomaista biometriaa koskevaa sääntelyä ei ole.

6 6 Biometria tarjoaa mahdollisuuksia, mutta siihen liittyy sen kaltaisia yksityisyyden suojaan liittyviä riskejä, että voimassa oleva sääntely ei tarjoa riittäviä eväitä palvelujen toteuttamiseen ja biometrian hyödyntämiseen. Palvelujen kehittäjien on käytännössä hyvin vaikeaa päätellä voimassa olevasta sääntelystä, miten ja mihin biometriaa saa käyttää ja miten biometriaa hyödyntävät palvelut tulisi toteuttaa. Tästä syystä lainsäädäntö ei biometrian kohdalla kykene täyttämään myöskään tehtäväänsä biometria -tietojen kohteiden yksityisyyden suojaamiseksi riittävällä tavalla. Työryhmä on työssään arvioinut biometrisen tunnistamisen edellyttämiä tietoturvavaatimuksia, jota koskevat johtopäätökset sisältyvät tämän raportin liitteenä olevaan erilliseen raporttiin. Raportissa on tuotu esille ne tietoturvavaatimukset, jotka palvelujen kehittäjien tulee ottaa huomioon hyödyntäessään biometriasta tunnistamista palveluissaan. Koska nimenomaista biometriaa koskevaa sääntelyä ei ole, voimassa oleva lainsäädäntö kohtelee biometria tietoa lähinnä tavallisena henkilötietona. Tästä seuraa, että esimerkiksi henkilötietolain tietoturvasäännöksen määrittämä tietoturvan taso määräytyy sen tason mukaan, jota on noudatettava tavallisen henkilötiedon käsittelyssä. Tämä tietoturvan taso on täysin riittämätön biometrian kohdalla, mikä tulee hyvin selkeästi ilmi liitteenä olevasta tietoturvavaatimuksia koskevasta raportista. Biometrian käytön osalta tarvitaan selkeää ohjeistusta, mutta työryhmän näkemyksen mukaan myös nimenomaista oikeudellista sääntelyä. Biometriassa on kysymys jostain aivan muusta kuin tavanomaisista henkilötiedoista. Biometrinen tieto liittyy poikkeuksellisen kiinteästi yksilön ainutlaatuiseen ominaisuuteen. Jos tämänkaltaista tietoa käytetään sähköisissä palveluissa tunnistamiseen, biometria -tieto ei ole ensisijaisesti henkilötietoa, vaan ennen kaikkea sähköisen identiteetin määrittävä henkilön ainutlaatuinen ominaisuus. Ainutlaatuisuus korostaa osaltaan myös sääntelyn tarvetta, koska biometrian laaja-alaisessa käytössä, biometria tiedon menettäminen esimerkiksi identiteettivarkauden yhteydessä voi saada aikaan käyttäjälle hyvin haitallisia vaikutuksia, koska uutta vastaavaa tunnistetta ei voida luoda menetetyn tunnisteen tilalle. Kysymys on biometriaa hyödyntävissä järjestelmissä ja palveluissa hyvin pitkälle ns. varmenteisiin rinnastettavasta ilmiöstä, jota voidaan käyttää ja käytetään hyvin samanlaisiin tarkoituksiin. Yhteistä näille kahdelle ilmiölle on se, että sekä varmenteet että biometria ovat teknologian rakentamia ilmiöitä. Biometrisen -tiedon olemassaolo tietynlaisena tietotyyppinä ei olekaan enää keskeisin sen sääntelyn tarvetta määrittävä tekijä, vaan paljon olennaisempaa on se teknologia, jonka avulla kyseisenlaisia tietoja voidaan käyttää yhä monipuolisemmin erilaisiin tarkoituksiin. Tässä on olennainen syy, miksi pelkkä henkilötietoja koskeva yleissääntely ei ole riittävää eikä toimi tyydyttävästi biometrian kohdalla. Samasta syystä biometrista tunnistamista koskeva sääntely tulisi sijoittaa erityislainsäädäntöön, henkilötietoja koskevan yleissääntelyn sijasta. Biometrian osalta myös tarvittava sääntely liittyy hyvin kiinteästi teknologian erilaisiin osin yksityiskohtaisiinkin käyttötapoihin. Tämän kaltainen sääntely ei kuulu yleislakiin vaan erityislakeihin. Luonteva paikka kyseisenlaiselle sääntelylle olisi sähköisistä allekirjoituksista annettu laki 14/2003, jossa säädellään sähköisen identiteetin hallintaan liittyvien varmenteiden käyttöä allekirjoitus ja tunnistamistarkoituksiin. Allekirjoituksilla on hyvinkin monenlaisia funktioita, mutta keskeisin näistä lienee tahdonilmaisu, johon myös biometrisia tunnisteita voidaan käyttää. Keskeinen asia sähköallekirjoituslain osalta on huomata, että sen soveltamisalaan kuuluu myös kaikki ns. sähköiset allekirjoitukset, ei suinkaan pelkästään

7 7 varmenteisiin perustuva ns. kehittynyt PKI pohjainen allekirjoitus. Tässä mielessä myös biometria kuuluu siten jo nyt sähköallekirjoituslain soveltamisalaan. Biometria sopii myös sähköallekirjoituslain tavoitteisiin sähköisen kaupankäynnin ja sähköisen asioinnin tietoturvan ja tietosuojan edistämisessä. Sääntely ei kuitenkaan saisi olla liian rajoittavaa. Lisäksi biometriaa koskevan sääntelyn lähestymistapojen tulisi olla mahdollisimman pitkälle yhtenäiset ainakin Eutasolla. Yksityisyyden suojaa koskevien tarkempien säännösten valmistelu Eu tasolla alkaa todennäköisesti suhteellisen pian. Komissio on mm. raportissaan: Biometrics at the Frontiers: Assessing the Impact on Society todennut hyvin yksiselitteisesti, että biometrian osalta tarvitaan uutta yksityisyyden suojaa koskevaa sääntelyä nykyisen henkilötietojen käsittelyä koskevien säännösten lisäksi. Työryhmän näkemyksen mukaan biometriaa koskeva sääntely voisi koskea esimerkiksi velvollisuutta ilmoittaa biometrisen järjestelmän/rekisterin käyttöönotosta ja keskeisistä palvelun/järjestelmän toteutuksessa omaksutuista ratkaisuista tietosuojavaltuutetulle. Tietosuojavaltuutetulla olisi tällöin mahdollisuus puuttua yksityisyyden suojan kannalta huonoihin toteutuksiin. Tietoturvan osalta sääntely voisi koskea esimerkiksi erityistä tietoturvasta huolehtimista koskevaa velvollisuutta. Tämän kaltaisella sääntelyllä voitaisiin antaa viesti, että tietoturvasta tulee huolehtia, ja suojan taso määrittyy suojattavan tiedon luonteesta johtuen korkeammalle tasolle, kuin esim. tavanomaisten henkilötietojen kohdalla. Tämä saattaisi edellyttää esimerkiksi salauksen käyttöä. Tietoturvaa koskevan sääntelyn lisäksi tarvitaan selkeästi myös ohjeistusta tietoturvan toteuttamisesta ja yksityisyyden suojan huomioonottamisesta, mitä on pyritty laatimaan tämän hankkeen yhteydessä. Vastaavasti sääntely voisi koskea esimerkiksi velvollisuutta ilmoittaa biometrisen järjestelmän/rekisterin käytön lopettamisesta ja tässä yhteydessä toteutettavista menettelyistä tietosuojavaltuutetulle. Tietosuojavaltuutetulla olisi tällöin mahdollisuus puuttua tilanteeseen, jos esimerkiksi suurissa biometriakeskusrekistereissä olevia tietoja ei tuhottaisi käytön lopettamisen yhteydessä asianmukaisesti. Biometriaa koskevan sääntelyn tarkempi toteuttamistapa ja sisältö tulisi kuitenkin arvioida erikseen. Biometriaa koskevan sääntelyn osalta tulisi etsiä sellainen minimitaso, jolla turvattaisiin yksityisyyden suojan huomioon ottaminen biometrisen tunnistamisen kohdalla Suomessa. Sääntelyn avulla voitaisiin karsia pahimmat epäkohdat, jotka saattaisivat ilman esitetyn kaltaista kontrollia viedä biometriaa hyödyntäviä palveluja ja ylipäätään näitä menetelmiä koskevan luottamuksen pahimmassa tapauksessa peruuttamattomasti. Sääntelystä olisi hyötyä suomalaisille palvelukehittäjille, koska se lisäisi selkeiden pelisääntöjen ja mahdollisen viranomaisvalvonnan kautta luottamusta palveluihin, rajoittamatta kuitenkaan uusien innovaatioiden ja palvelumallien kehittämistä. Tietoturvastrategian biometriahankkeen kantavana ajatuksena on ollut nimenomaan biometriaa hyödyntävän palvelukehityksen edistäminen. Yksityisyyden suojaaminen ja palveluntarjoajien intressit eivät ole vastakkaisia, vaan päinvastoin palvelujen menestyminen edellyttää välttämättä riittävän määrän luottamusta, ja tässä tarkoituksessa nimenomaan tietoturvasta huolehtimista mm. yksityisyyden suojaamiseksi. Tietoturvan ja yksityisyyden suojaaminen on tiettyyn rajaan asti nimenomaan biometriaa hyödyntävien tahojen etujen mukaista ja intressissä.

8 8 Sääntelyllä annettaisiin selkeä viesti palvelukehittäjille, että biometriaa saa käyttää, mutta sitä tulee käyttää harkiten ja suunnitelmallisesti sekä riittävät tietoturvaratkaisut huomioonottaen. Pelisääntöjen selkeys edistäisi suomalaisten palvelukehittäjien toimintamahdollisuuksia verrattuna muiden maiden yrityksiin ja antaisi kotimaisille toimijoille selkeän ajallisen etumatkan. Biometrisen tunnistamisen tietoturvallisuus ja yksityisyyden suoja työryhmä esittää, että liikenne- ja viestintäministeriö käynnistäisi mahdollisimman pian erillisen hankkeen biometrisen tunnistamisen sääntelyntarpeen arvioimiseksi ja tarvittavien oikeudellisten säännösten laatimiseksi sähköisistä allekirjoituksista annettuun lakiin. Hankkeen tulisi keskittyä yksityisen sektorin palveluihin ja laadittava sääntely tulisi rajata siten, että viranomaisten käyttötarpeet jäisivät sääntelyn ulkopuolelle. Biometriaa koskevan sääntelyn selkeänä haasteena on tämän poikkeuksellisen moninaisen ilmiön määritteleminen tarkoituksenmukaisella tavalla ja siten, että ei-olennainen aines ja aidosti ongelmattomat käyttötilanteet rajattaisiin sääntelyn ulkopuolelle. Erityissääntelyssä tulisi todennäköisesti rajata myös luonnollisten henkilöiden henkilökohtaiset tarkoitukset sääntelyn ulkopuolelle siten, että sääntely ei koskisi biometrian yksityisluonteista käyttöä. Hankkeessa tulisi yllämainittujen kysymysten lisäksi arvioida, miltä osin ns. passiivisesta biometrisestä tunnistamisesta, eli ilman tunnistettavan eri toimenpiteitä tapahtuvasta tunnistamisesta, joka voi tapahtua myös tunnistettavien kohteiden tietämättä, tulisi laatia erillistä oikeudellista sääntelyä. Biometriseen tunnistamiseen liittyvän monenlaisen kameravalvonnan ja erilaisen teknisen valvonnan lisääntyminen sekä tähän käytettävien teknisten ratkaisujen kehittyminen edellyttää myös näiden asioiden arviointia oikeudelliselta kannalta. Arvioinnissa tulisi ottaa huomioon tunnistettavien itsemääräämisoikeuden toteutuminen ja arvioida esimerkiksi informointivelvollisuuden ja suostumuksen merkitystä tämänkaltaisissa sovelluksissa. Liite 1 Biometrisen tunnistamisen tietoturvallisuus ja yksityisyyden suoja -raportti