KUV/12370/48/2008 4.12.2008 Lausunto liikenne- ja viestintäministeriölle VAHVA SÄHKÖINEN TUNNISTAMINEN JA SÄHKÖISET ALLEKIRJOITUKSET Olette pyytäneet lausuntoa lakiesitysluonnoksesta, joka koskee lakia vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista. Esitämme kunnioittavasti lausuntonamme seuraavaa: Peruslähtökohdat Ehdotetun lain tarkoituksena on edistää vahvan sähköisen tunnistamisen palveluiden tarjontaa ja luoda toiminnalle puitteet perussäännösten avulla. Lailla on tarkoitus edistää sähköisten palveluiden ja sähköisen asioinnin kehitystä, sillä luotettava sähköinen tunnistaminen on näiden palveluiden edellytyksenä olevan luottamuksen kannalta olennainen tekijä. Koska olemme jo lukuisia vuosia korostaneet tunnistamisen merkitystä olennaisena osana sähköisten palveluiden tarjontaa, pidämme lakiesitystä erityisen toivottavana ja kannatettavana. Kyse on paitsi luottamuksen lisääntymisestä myös lainsäännösten noudattamisesta. Kiinnitämme kuitenkin huomiota siihen, ettei perusteluiden sisällössä tuoda miltei lainkaan esille sitä näkökulmaa, että elinkeinonharjoittajilla on myös velvollisuus jo ennen toimintansa aloittamista rakentaa järjestelmät sellaisiksi, jotka mahdollistavat sopijapuolten henkilöllisyyden varmistamisen. Toiminnassa on esimerkiksi pystyttävä varmistamaan, etteivät alaikäiset pysty tekemään muita kuin vain heille mahdollisia ostoksia. Ymmärrämme, että tässä lainsäädännössä on kyse vahvan sähköisen tunnistamisen palveluiden tarjonnasta ja sen perusedellytyksistä sekä sen, ettei Suomessa ei oikeustoimille voida asettaa määrämuotoa, jos lainsäädännössä ei ole niin edellytetty. Vahvan tunnistamisen lainsäädännöstä ei kuitenkaan ole mitään hyötyä, jos tunnistamismenetelmiä ei oteta todellisuudessa käyttöön. Perusteluissa korostetaan useassa kohdassa, että Suomessa harvoin on oikeustoimille muotovaatimuksia, mitään osapuolta ei voida pakottaa oikeustoimen tekemiseen vahvan tunnistamisen välineillä, on olemassa palveluita, joissa tunnistaminen ei ole lainkaan tarpeen, suuri osa sähköisistä palveluista on sellaisia, joissa sähköistä tunnistamista ei lainkaan tarvita jne. Perusteluissa todetaan myös, että palveluntarjoajan on puolestaan voitava luottaa mm. siihen, että etäyhteyden toisessa päässä oleva palvelunkäyttäjä on se, joka väittää olevansa. Olemme samaa mieltä siitä, että on olemassa palveluita, joissa tunnistaminen ei ole lainkaan tarpeen. Kuluttajien rekisteröitymistä tulee vaatia vain silloin, kun se palvelun käytön kannalta on tarpeen. On kuitenkin palveluita, joissa tunnistaminen on välttämätöntä ja tällöin tärkeä näkökulmana on se, että palvelun tarjoajan pitää nimenomaan järjestää kuluttajalle mahdollisuus todistaa oma henkilöllisyys. Ilman tätä mahdollisuutta ei voida viitata siihen, että palvelun tarjoajan on voitava luottaa sopijakumppaninsa henkilöllisyyteen. Palvelun rakentamisen yhteydessä on tietoturvan ja yksityisyyden suojan vaatimusten lisäksi otettava huomioon myös kuluttajansuojan vaatimukset ja muusta lainsäädännöstä aiheutuvat mm. alaikäisten suojelua koskevat edellytykset. Tietoyhteiskuntavaikutuksia käsittelevässä pienessä kappaleessa on onneksi mainittu kokonaisuuden kannalta hyvin keskeinen asia eli se, että tällä lainsäädännöllä voidaan ratkaista joitakin erityisongelmia, kuten esimerkiksi ikärajoituksilla varustettujen sähköisten palveluiden luotettava
2 tarjonta ja käyttö. Sopimusoikeuden perusperiaatteena onkin, että sopijakumppani tunnistetaan. Voimassa olevia lakeja on myös noudatettava käytetystä välineestä riippumatta. Esim. holhoustoimesta annetun lain mukaan alaikäiset voivat tehdä vain ikä- ja kehitystasoonsa nähden tavanomaisia ja vähämerkityksellisiä ostoksia. Samat pelisäännöt ovat voimassa mediasta riippumatta niin matkapuhelinta kuin internetiä käytettäessä. Kyse on myös maksajan oikeusturvasta. Esimerkkinä esiintyvistä ongelmista voidaan mainita ns. pikaluotot, joita on joissakin tapauksissa saatu hankittua toisen henkilön matkapuhelinta ja henkilötietoja käyttäen. Pikaluottoja koskevaa uutta sääntelyä pohtinut työryhmä ehdottikin mietinnössään, että luotonantajalle asetettaisiin velvollisuus todentaa lainanhakijan henkilöllisyys huolellisesti esimerkiksi verkkopankkitunnusten avulla. Ehdotuksen mukaan niissä tapauksissa, joissa todentaminen suoritetaan sähköisesti, kuluttajan henkilöllisyyden todentamisessa tulisi käyttää vahvaa tunnistamismenetelmää. Tunnistamisen tulisikin olla yleinen pääsääntö kaikissa niissä sopimuksentekotilanteissa, joissa maksajan oikeusturvan tai muun suojelutarpeen toteutuminen on turvattava Palveluiden markkinointi ja tiedonantovelvollisuus hakijalle Arjen tietoyhteiskunnan neuvottelukunnan alainen sähköisen tunnistamisryhmä on antanut vahvaa sähköistä tunnistamista koskevat kansalliset linjaukset. Linjausten 5 kohdassa todetaan, että käyttäjien luottamus edellyttää lisäksi, että vahvaa tunnistamista tarjoavat ja käyttävät palveluntarjoajat huolehtivat myös kuluttajansuojaa koskevien säännösten huolellisesta noudattamisesta. Tämä onkin keskeinen luottamuksen edellytys, mutta luonnollisesti jo palveluntarjoajilla oleva itsestään selvä velvollisuus. Kuluttajan suojaamiseksi lakiesitykseen on otettu kielto markkinoida vahvana tunnistamisena sellaista menetelmää, joka ei täytä 3 :n ja sen 2 momentin nojalla mahdollisesti annettujen Viestintäviraston määräysten edellytyksiä vahvasta sähköisestä tunnistamisesta, eikä palveluntarjoaja ole tehnyt edellä ehdotetussa :ssä tarkoitettua ilmoitusta Viestintävirastolle. Perusteluissa todetaan, että ehdotus on tarpeen vahvaa sähköistä tunnistamista käyttävien palveluntarjoajien, mutta erityisesti tunnistamisvälineen hankkimista harkitsevien kuluttajien etujen suojaamiseksi. Se vastaa yleisiä kuluttajansuojaan sisältyviä harhaanjohtavan markkinoinnin kieltoja. Pidämme markkinointisäännöksen ottamista lakiin kannatettavana selvennyksenä, koska vahvan tunnistamisen menetelmään liittyvien vaatimusten ja niiden täyttymisen arvioinnin asiantuntemus on Viestintävirastolla ja tunnistamispalvelun markkinoinnin harhaanjohtavuuden valvonta onkin asetettu Viestintäviraston tehtäväksi. Pidämme kuitenkin hyvänä lisänä ehdotukseen sisältyvää säännöstä siitä, että Viestintäviraston ja tietosuojavaltuutetun on tämän lain mukaisia tehtäviä hoitaessaan toimittava tarvittaessa tarkoituksenmukaisessa yhteistyössä Finanssivalvonnan, Kilpailuviraston ja Kuluttajaviraston kanssa. Markkinoinnin valvonnassa voi em. vaatimusten täyttymisen lisäksi tulla arvioitavaksi muita tekijöitä, jotka keskeisesti liittyvät kuluttajan asemaan palvelun hankkijana ja joissa Kuluttajaviraston asiantuntemusta voidaan tarvita. Kuluttajansuojalain 2 luku sisältää säännökset mm. harhaanjohtavasta ja totuudenvastaisesta markkinoinnista, tiedonantovelvollisuudesta, olennaisten tietojen antamatta jättämisestä ja muusta menettelyn sopimattomuudesta. Yhteistyö Kuluttajaviraston kanssa voi osaltaan liittyä myös esimerkiksi 7 :n mukaiseen vahvan sähköisen tunnistamispalvelun tarjoajan tiedonantovelvollisuuteen ja sitä koskeviin vaatimuksiin. Ehdotetussa 1 momentissa säädettäisiin seikoista, joista vahvan sähköisen tunnistamispalvelun tarjoajan on annettava tieto ennen sopimuksen tekemistä annettava sähköisen tunnistamisen välineen hakijalle. Tiedot on annettava sähköisen tunnistamispalvelun tarjoajasta, tarjottavista palveluista ja
3 niiden hinnoista, 6 :ssä tarkoitetuista tunnistamisperiaatteista, vapaa-ehtoisista akkreditointijärjestelmistä, osa-puolten oikeuksista ja velvollisuuksista sekä valitus- ja riitojenratkaisumenettelyistä. Lisäksi tiedot on annettava vahvan sähköisen tunnistamisvälineen käyttöehdoista, mukaan lukien tiedot mahdollisista käyttörajoituksista. Tiedot palveluntarjoajasta ja tarjottavasta palvelusta on ehdotuksen mukaan annettava yleisellä tasolla. Tunnistamisperiaatteiden osalta tieto on annettava periaatteiden olemassa olosta ja siitä, mistä ne vaivatta löytyvät. Ehdotettu pykälä ei siis edellytä tiedon antamista tunnistamisperiaatteiden sisällöstä. Tunnistamisperiaatteet sisältävät myös tarkemmat tiedot palveluntarjoajasta ja tarjottavasta palvelusta. On hyvä, että esityksen perusteluissa todetaan suoraan, että tiedon antaminen ehdotetussa pykälässä edellyttää palveluntarjoajalta aktiivisia toimenpiteitä. Koska kuluttajan aseman kannalta keskeistä on myös välineen käyttöehdoista ja rajoituksista kertominen, pidämme erittäin hyvänä myös sitä, että palvelun tarjoajan on kiinnitettävä erityistä huomiota siihen, että tunnistamisvälineen hakija saa tiedot välineen käyttöehdoista ja mahdollisista käyttörajoituksista. Mielestämme ehdotuksessa jää kuitenkin epäselväksi se, mitä em. aktiivisilla toimenpiteillä tarkoitetaan ja mitä puolestaan tarkoitetaan sillä, että palvelun tarjoajan on kiinnitettävä erityistä huomiota käyttöehtoihin ja rajoituksiin. Perusteluissa todetaan ainoastaan, että tilanne on toinen kuin tunnistamisperiaatteiden kohdalla, sillä niiden osalta edellytetään ainoastaan tietojen saatavilla pitämistä. Aktiivisuus on siis joka tapauksessa muuta kuin vain tietojen saatavilla pitämistä. Kolmannessa momentissa säädetään lisäksi, että em. 1 momentissa tarkoitetut tiedot on annettava kirjallisesti tai muutoin pysyvällä tavalla. Perusteluiden mukaan tiedot voidaan toimittaa esimerkiksi vahvan sähköisen tunnistamisvälineen hakijalle sähköpostitse, jolloin hakija voi tallentaa se omiin arkistoihinsa. Yleisesti lienee niin, että ehdotetussa 1 momentissa tarkoitetut tiedot sisältyvät palveluntarjoajan yleisiin sopimusehtoihin. Nämä sopimusehdot voivat olla saatavilla myös palveluntarjoajan internet-sivuilla, mutta tiedonantovelvollisuus on edelleen silloinkin aktiivinen. Palveluntarjoajalla on tällöin oltava hallinnassaan katkeamaton ketju yleisiin sopimusehtoihin tehdyistä muutoksista. Epäselväksi jää, miten säännöksen nojalla on tarkoitus toimia esimerkiksi tilanteessa, jossa kuluttaja henkilökohtaisesti asioi tunnistamispalveluntarjoajan luona? Annetaanko kuluttajalle tällöin em. tiedot esimerkiksi paperilla sopimusehtojen muodossa? Mitä aktiivisuudelta tässä tilanteessa edellytetään? Kuluttajansuojalain nojalla kuluttajan on saatava kaikki olennaiset palvelun käyttöön liittyvät ehdot tietoonsa palvelun tarjoajalta ennen sopimuksen tekemistä. Tätä tehtävää ei voida suorittaa esim. vain vakioehtoihin viittaamalla. Kuluttajan huomiota on nimenomaisesti kiinnitettävä esim. taloudellisen turvallisuuden kannalta olennaisiin seikkoihin ja muihin keskeisiin sopimusehtokohtiin. Ensitunnistamisen tulisi ehdotuksen mukaan tapahtua henkilökohtaisesti, paitsi jos vahvan sähköisen tunnistamispalvelun tarjoajat ovat tehneet keskenään sopimuksen mahdollisuudesta luottaa toistensa tekemään tunnistamiseen. Epäselväksi jää, miten maininta tietojen toimittamisesta jälkikäteen sähköpostiin tai internet-sivuilta löytymisestä soveltuvat tilanteisiin, jotka kaiketi ovat yleisempiä eli tilanteet, jossa ensitunnistaminen ja tunnistamisvälineen hakeminen tapahtuvat henkilökohtaisesti. Mitä tällöin tarkoitetaan aktiivisella tiedonantovelvollisuudella? Joka tapauksessa prosessin on kuljettava siten, että tiedonantovelvollisuus täytetään ennen sopimuksen tekemistä. Koska kyse on laajojakin oikeusvaikutuksia synnyttävästä prosessista, on tunnistamispalvelun tarjoajan kiinnitettävä erityistä huomiota mm. käyttöehtoihin ja rajoituksiin ja erityisesti niihin sisältyviin oikeuksiin ja velvollisuuksiin. Jos tunnistamisvälineen hakeminen tapahtuu muulla tavalla kuin henkilökohtaisesti, soveltuu tietojen toimittaminen sähköpostiin tai saaminen internet-sivuilta ymmärrettävästi tähän
4 tilanteeseen. Tällöinkin sopimusehtojen hyväksyminen tulee olla hakijan puolelta aktiivista. Tietenkin kuluttajan niin halutessa on myös henkilökohtaisesti asioidessa mahdollista sopia siitä, että hän voi saada ehdot lisäksi myös sähköpostiinsa tai tallettaa ne itselleen internet-sivuilta. Haluamme kiinnittää huomiota lisäksi siihen, että mikäli kyse on sähköisestä asioinnista tulevat myös etämyyntisäännökset mahdollisesti sovellettavaksi. Koska tunnistamisvälineen hakeminen on mahdollista myös muutoin kuin henkilökohtaisesti, olisi myös mietittävä, onko kirjallisesti ja muutoin pysyvällä tavalla termi riittävän tarkka silloin, jos kyse on tiedonantovelvollisuuden täyttämisestä sähköisesti. Esimerkiksi rahoituspalveluiden etämyyntiä koskevassa kuluttajansuojalain 6 a luvun 11 :ssä säädetään, että ennakkotiedot ja sopimusehdot on hyvissä ajoissa ennen sopimuksen tekemistä toimitettava kuluttajalle henkilökohtaisesti, kirjallisesti tai sähköisesti siten, että kuluttaja voi tallentaa ja toisintaa ne muuttumattomina. Osapuolten oikeuksia ja velvollisuuksia käsittelevät 14 (tunnistamisvälineen luovuttaminen haltijalle), 15 (vahvan sähköisen tunnistamisvälineen haltijan velvollisuudet), 17 ja 18 (tunnistamisvälineen peruuttaminen tai käytön estäminen) ja 19 (tunnistamisvälineen haltijan vastuu välineen oikeudettomasta käytöstä) ovat myös hyvin keskeisiä säännöksiä. Näiden säännösten osalta mallina on osaksi käytetty voimassa olevia lainsäännöksiä sekä EU:n maksupalveludirektiivissä asetettuja vaatimuksia. Ko. direktiiviä ollaan parhaillaan implementoimassa maksupalvelulailla ja tähän ehdotukseen on sisällytetty hyvin samansisältöisiä säännöksiä kuin maksupalvelulakiin on kaavailtu. Myös oma edustajamme on ollut jäsenenä oikeusministeriön työryhmässä, jossa olemme esittäneet kantojamme implementointiin liittyen. Koska tässä esityksessä on käytetty pohjana pitkälti samanlaista säätelyä, emme katso tarpeelliseksi esittää huomioita em. säännösten osalta. Ensitunnistamisen tärkeys Ehdotetussa säännöksessä on ensitunnistamisessa käytettäväksi sallittujen asiakirjojen määrä erittäin rajallinen. Säännöksessä mainitut passit ja henkilökortit on hyväksyttävä ensitunnistamisen pohjana. Lisäksi palveluntarjoaja voisi niin halutessaan hyväksyä tietynlaisen Suomessa myönnetyn ajokortin. Velvollisuutta tähän ei kuitenkaan olisi. Säännöksestä on kuitenkin rajattu pois sellaiset ajokortit, joihin liittyvät suurimmat väärinkäytösriskit. Näitä ovat ajokortit, jotka alun perin on myönnetty muualla kuin Suomessa. Samoin pois on rajattu ennen vuotta 1990 myönnetyt paperiset ajokortit, joiden väärentäminen on hyvin helppoa. Kuten ehdotuksessa todetaan, olennainen tekijä, joka vaikuttaa ihmisten halukkuuteen hankkia itselleen tunnistamisvälineitä, on hankkimisen helppous/vaikeus. Vaatimus siitä, ettei ajokortti kelpaisi ensitunnistamisen välineeksi, vaikeuttaisi mielestämme ehdotuksessakin mainituin tavoin tätä prosessia. Kuten olemme jo edellä todenneet, olennainen asia on se, että tunnistamisen menetelmät otetaan todellisuudessa käyttöön. Pidämme siten kannatettavana ajokortin hyväksymistä mahdolliseksi ensitunnistamisen välineeksi edellä mainituin rajoituksin. Ehdotetussa 5 :n 1 momentissa säädettäisiin vahvan sähköisen tunnistamisen palveluntarjoajan henkilöstöön kohdistuvista vaatimuksista. Ehdotetun momentin mukaan vahvan sähköisen tunnistamispalvelun tarjoajan on huolehdittava siitä, että sen palveluksessa olevalla henkilöstöllä on harjoitetun toiminnan laajuuteen nähden riittävät asiantuntemus, kokemus ja pätevyys. Asiantuntemuksella tarkoitetaan sekä teknistä että oikeudellista asiantuntemusta. Esimerkiksi henkilötietojen käsittelyyn liittyvät voimassa olevan lainsäädännön asettamat vaatimukset ovat huomattavat. Asiantuntemuksen, tarvittavan kokemuksen ja pätevyyden, kuten esimerkiksi koulutuksen vaatimukset määräytyvät kunkin henkilön kohdalla hänen hoitamiensa tehtävien mukaan. Suoraan sähköisen tunnistamisen kanssa tekemisissä olevilla on oltava riittävä asiantuntemus esimerkiksi
5 sähköisen tunnistamisen teknisistä seikoista sekä tieto-turvasta. Ehdotettu momentti vastaa voimassa olevan sähköallekirjoituslain 10 :n 2 momentin 1 kohtaa. Pidämme edellä esitettyä säännöstä hyvänä ja selkeyttävänä, koska kyse on käyttäjän kannalta erityisen tärkeästä oikeustoimesta. Jos esimerkiksi otetaan kehitteillä olevat mobiilivarmenteet ja niiden mahdollinen tarjoaminen operaattorien myymälöistä, voi olla tarkoituksenmukaista korostaa tunnistamispalvelun tarjoajan vastuuta. Käytännössä esimerkiksi liittymien myyntitilanteissa on esiintynyt puutteita kuluttajansuojalain asettamien tiedonantovaatimustenkin täyttämisessä. Lopuksi On hienoa, että tunnistamishanke etenee. Esimerkiksi mobiilivarmenteiden käyttöönotto voi tuoda ratkaisun moneen tämänhetkiseen ongelmatilanteeseen. Palvelujen tarjoamista koskevan lain säätäminen on edellytys toiminalle, mutta tärkeintä on kuitenkin se, että tunnistaminen saadaan vihdoin myös käytännössä kiinteäksi osaksi sähköisiä palveluita aina silloin kuin se osapuolten suojaamiseksi on tarpeen.