FiComin lausunto digitaalista henkilöllisyyttä koskevasta lainsäädännöstä
FiComin keskeiset viestit
- Hankkeen (ja hallitusohjelman) alkuperäiset tavoitteet olisivat olleet ratkaistavissa helpommin ja kustannustehokkaammin yhteistyöllä nykyisten tunnistuspalveluntarjoajien kanssa.
- Esityksen kilpailu- ja valtiontukioikeudellinen arvio on tarkoitushakuinen ja väärä.
- Valtion tunnistusvälineen luomisessa ei ole kyse julkisen vallan käytöstä vaan taloudellisesta toiminnasta, joten toimintaan liittyy merkittävä riski kielletystä valtiontuesta.
- Valtion tunnistusvälineen luominen johtaa määräävän markkina-aseman syntymiseen, ja menettely on omiaan johtamaan väärinkäyttöön.
- Tunnistusvälineen luominen ei täytä yleisiin taloudellisiin tarkoituksiin liittyvän palvelun edellytyksiä.
- Esitysluonnoksen tavoitetilassa kansalaisten identiteetin hallinta siirtyy heille itselleen, jolloin myös vastuu identiteetistä on palveluntarjoajan sijaan kansalaisella. Seurauksena on kansalaisten tietosuojan tosiallinen heikentyminen. Mahdollisuus käyttää rinnakkain useita tunnistusvälineitä edistää turvallista sähköistä asiointia myös häiriö- ja poikkeustilanteissa. Nojaaminen ainoastaan valtion omaan välineeseen aiheuttaa huomattavan kansallisen kyberturvallisuusriskin.
Pääministeri Marinin hallitusohjelmassa on asetettu tavoitteeksi, että Suomi tunnetaan edelläkävijänä, jossa digitalisaation ja teknologisen kehityksen luomia mahdollisuuksia kehitetään ja otetaan käyttöön yli hallinto- ja toimialarajojen. Hallitusohjelman mukaan keinona on edistää Suomen kansalaisille ja kaikille Suomessa asuville mahdollisuutta sähköiseen tunnistautumiseen sekä edistää toimivien tunnistusratkaisujen kehittymistä, mikä mahdollistaa erilaisten välineiden käytön.
Valtiovarainministeriön hankkeen alkuperäiseksi tavoitteeksi asetettiin mm. tuottaa yhdenvertaiset edellytykset ja mahdollisuudet jokaiselle hyödyntää digitaalista henkilöllisyyttä yhteiskunnan palveluissa. Sen tarkoitus oli myös luoda mahdollisuuksia laajentaa viranomaisen vahvistamien henkilötietojen joukkoa, joka asioinnissa voidaan välittää toiselle osapuolelle ja tehdä kaikille mahdolliseksi sähköinen tunnistautuminen julkishallinnon palveluihin myös työtehtävien hoitamista varten. Lisäksi hankkeen tavoitteena oli luoda edellytykset ulkomaalaisen henkilön rekisteröinnille ja sähköiselle tunnistautumiselle Suomeen ja mahdollistaa Suomesta rajat ylittävä sähköinen tunnistaminen ns. eIDAS-asetuksen ((EU) N:o 910/2014) mukaisesti. Hanketta perusteltiin julkisuudessa ja eri tilaisuuksissa erityisesti erityisryhmien (alaikäiset, ulkomaalaiset yms.) tilanteen parantamisella sekä kustannussäästöillä. Valtiovarainministeriön virkamiehet kertoivat ministeriön tilaisuuksissa ja mediassa, kuinka FiCom on tunnistuspalveluja tuottavine jäsenyrityksineen tulkinnut hanketta väärin, sillä valtio ei ole tekemässä uutta tunnistautumisvälinettä vaan se kehittää teknologiaa vahvistettujen henkilöllisyyden tietojen osoittamiseen (Tivi 23.9.2021, ”Valtio kehittää mobiilihenkilökorttia – operaattorit eivät hankkeesta innostu: ”harmillinen väärinymmärrys””).
Esimerkiksi erityisryhmiin tai kustannussäästöön liittyvät perustelut ovat hankkeen aikana vähitellen hävinneet asiakirjoista sekä esityksistä, ja jäljelle on jäänyt ainoastaan valtion tekemä uusi tunnistautumisväline. FiCom ja tunnistuspalveluja tuottavat operaattorit ovat jo vuosia – myös koko valtiovarainministeriön hankkeen ajan – korostaneet jo valtiovarainministeriön 26.6.2020 julkaisemassa ja 2.7.2020 lausunnoille lähettämässä arviomuistiossa digitaalisen henkilöllisyyden kehitykseen vaikuttavasta lainsäädännöstä (VN/16287/2020) esille tuotuja esteitä valtion välineelle. Yhteistyötä sekä konkreettisia ratkaisuehdotuksia esitettyihin ongelmiin on tarjottu lukuisia kertoja, mutta valtiovarainministeriöllä ei ole ollut halua tarttua ehdotuksiin. Valtion oma hanke ja erityisesti oma tunnistautumisväline ovat näyttäytyneet itseisarvona, eikä hankkeella ratkaistavaksi määriteltyjä ongelmia ole haluttu ratkaista muilla tavoin – nyt lausunnolle lähetetyn esitysluonnoksen perusteella lopulta lainkaan. Valtion oman välineen luomisen sijaan tavoitteena olisi tullut olla sähköiseen tunnistamiseen liittyvien ongelmien ratkaiseminen.
Nyt ehdotettu digitaalinen henkilöllisyystodistus edellyttää passia tai henkilökorttia. Vaikka digitaalinen henkilöllisyystodistus on lisäpalveluna käyttäjälle maksuton, sellaisen haluavan on hankittava nykyisin 44–60 euroa – ja jatkossa enemmän -maksava passi tai henkilökortti ja uusittava se viiden vuoden välein. Esimerkiksi nykyinen Mobiilivarmenne edellyttää vain puhelinliittymää sekä mobiililaitetta. Jatkossa digitaalisen henkilöllisyystodistuksen saadakseen kansalaisen on lisäksi hankittava passi tai henkilökortti sekä älypuhelin ja osattava asentaa älypuhelimeensa uusi sovellus. Ehdotetun uudistuksen myötä digikuilu saattaa siis vain kasvaa, ja myös kansalaisten, jotka eivät halua ottaa digitaalista henkilöllisyystodistusta käyttöönsä, on osallistuttava järjestelmän kulujen kustantamiseen passia tai henkilökorttia hankkiessaan. Edellytys passista tai henkilökortista ei ratkaise erityisryhmien ongelmia, ja henkilötunnusjärjestelmän uudistamista koskevat säädösehdotukset olisivat korjanneet asian ulkomaalaisten osalta ilmankin valtion omaa välinettä.
Hanketta on perusteltu myös kustannussäästöillä. FiComin ja sen tunnistuspalveluja tuottavien jäsenyritysten arvioiden mukaan yksittäisen tunnistustransaktion hinta olisi uudella valtion digitaalisella henkilöllisyystodistuksella kuitenkin paljon kalliimpi kuin luottamusverkoston kautta, vaikka uusi valtion väline saavuttaisi edes kolmessa vuodessa samanlaiset käyttäjämäärät kuin Mobiilivarmenne kymmenessä vuodessa.
Hankkeen alkuperäisissä tavoitteissa mainittiin myös työtehtävien hoitamisen edellyttämä tunnistautuminen, koska kaikki eivät halua tunnistautua töissä henkilökohtaisilla tunnuksillaan. Tuleva valtion väline voidaan kuitenkin rekisteröidä vain yhteen laitteeseen, eikä sitä siis voi hyödyntää samanaikaisesti yksityisessä käytössä olevassa puhelimessa ja työpuhelimessa, joten tämäkään ongelma ei hankkeella ratkea.
Valtion oma väline kilpailu- ja valtiontukioikeudellisesti ongelmallinen
Esitysluonnoksen mukaan esitetyn sääntelyn tarkoittamaa toimintaa ei pidetä taloudellisena toimintana, eikä siihen sovellettaisi valtiontuki- tai kilpailuoikeudellista lainsäädäntöä. Vaikka markkinoilla on vastaavaa yksityistä toimintaa, myös tunnistuspalveluiden tarjoaminen julkisen sektorin sähköisiin asiointipalveluihin voisi jäädä esitysluonnoksen mukaan taloudellisen toiminnan käsitteen ulkopuolelle. Esitysluonnos lähtee siitä, että kysymyksessä on julkisen vallan käyttö tai ainakin siihen erottamattomasti liittyvä taloudellinen toiminta, joka jäisi kilpailu- ja valtiontukisääntelyn ulkopuolelle. Kuvaavaa on, että esitysluonnoksessakin todetaan, että valmistelussa on tunnistettu tarve tarkentaa kilpailuvaikutusten analyysia ja vaikutusarviointia vielä jatkovalmistelun aikana sekä lausuntopalautteen pohjalta.
Jo nyt on kuitenkin tunnistettu vaikutus luottamusverkoston toimintaan: ehdotus voi esitysluonnoksen mukaan vähentää lyhyellä aikavälillä pelkästään tunnistuspalvelua tarjoavien toimijoiden liiketoimintamahdollisuuksia (s. 19). Vaikka tunnistustapahtumista maksettaisiin tunnistuslain mukainen korvaus myöhemmin erikseen määriteltävän siirtymäkauden ajan, tavoitteena on, että ehdotettujen muutosten myötä julkisen sektorin tekemien tunnistuspalveluiden ostojen kustannukset laskisivat. Tällä voi olla merkittäviä vaikutuksia luottamusverkoston kautta tapahtuvaan sähköisen tunnistamisen liiketoimintaan ja sen kannattavuuteen sekä mahdollisuuksiin markkinaehtoisen sähköisen tunnistamisen tarjontaan yksityisen sektorin palveluihin (s. 21).
Pykäläehdotuksia on lähdetty tekemään lopputulos edellä, ja kilpailu- ja valtiontukioikeudelliset haasteet on sivuutettu. Myös liikenne- ja viestintävirasto Traficom on todennut omassa lausunnossaan, että esitysluonnoksen vaikutusten arviointi on yleisesti tehty puutteellisesti, vaikka asiasta on huomautettu jo valmistelun yhteydessä.
Digitaalisen henkilöllisyystodistuksen voidaan kiistatta katsoa olevan osa julkisen vallan käyttöä, mutta kuten FiComin aiemman lausunnon liitteenä olleessa Asianajotoimisto Krogerus Oy:n asiantuntijoiden erillisessä selvityksessä on todettu, tunnistusvälinettä koskeva taloudellinen toiminta on joka tapauksessa erotettavissa siihen liittyvästä mahdollisesta julkisen vallan käytöstä. Esitysluonnoksen mukaan luonnollisen henkilön tunnistusväline ei olisi käytettävissä yksityisen sektorin palveluissa, joten kaupallinen toiminta on selvästi tunnistettu sen kohdalla. FiComin mielestä myöskään digitaalisen henkilöllisyystodistuksen käyttö vahvan sähköisen tunnistamisen menetelmänä yksityisen sektorin palvelussa ei täytä SGEI-poikkeuksen kriteereitä.
FiCom on käynyt läpi kilpailu- ja valtiontukioikeudellisia näkökulmia 30.4.2021 päivätyssä lausunnossaan valtiovarainministeriön arviomuistiosta digitaalisen henkilöllisyyden kehittämiseksi ja liittänyt silloisen lausuntonsa liitteeksi myös Asianajotoimisto Krogerus Oy:n asiantuntijoiden erillisen selvityksen. FiCom toistaa tuolloin esille tuodut kilpailu- ja valtiontukioikeudelliset näkökulmat pääpiirteissään myös tässä lausunnossa, koska ne on selvästi jätetty ministeriössä huomiotta.
Valtion tunnistusvälineen luomisessa ei ole kyse julkisen vallan käytöstä vaan taloudellisesta toiminnasta
FiComin ja sen operaattorijäsenten mielestä sekä Asianajotoimisto Krogerus Oy:n toteuttaman arvion mukaan valtion sähköisen tunnistamisvälineen kehittämisessä ja käyttöönotossa ei ole kysymys julkisen hallintotehtävän hoitamisesta, vaan taloudellisesta toiminnasta, johon on sovellettava SEUT 107 artiklan 1 kohtaa. Vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetun lain (617/2009) tavoitteena on ollut luoda puitteet toimiville vahvan sähköisen tunnistamisen palveluiden markkinoille. Toisin sanoen Suomi on sähköisen tunnistamisen osalta jo “ottanut käyttöön markkinamekanismeja” siten kuin komission valtiontuen käsitettä koskevassa tiedonannossa on tarkoitettu. Kyse on taloudellisesta toiminnasta.
Yksi tekijöistä, joiden perusteella toimintaa voidaan luonnehtia yritystoiminnaksi on, että sitä voi harjoittaa yksityinen yritys.[1] Viranomaisen päätös olla sallimatta sitä, että kolmannet osapuolet tuottaisivat tiettyä palvelua esimerkiksi siksi, että viranomainen haluaa tuottaa palvelun itse, ei tarkoita, etteikö kyse voisi olla taloudellisesta toiminnasta. Se, että jokin palvelu tuotetaan itse, ei vaikuta toiminnan taloudelliseen luonteeseen. Kyse on taloudellisesta toiminnasta, kun muut toiminnanharjoittajat olisivat halukkaita ja pystyisivät tuottamaan palvelun kyseessä olevilla markkinoilla.[2]
Luottamusverkoston ja siihen liittyvän sääntelyn kautta on mahdollistettu ja mahdollistetaan vahvan sähköisen tunnistusmarkkinan kilpailua edistävien tunnistusvälityspalvelujen syntyminen.[3] Luottamusverkosto muodostaa sähköisen tunnistamisen säännellyn markkinan, joka on selvästi kilpailtu ja jolla toimii tällä hetkellä useita yksityisiä toiminnanharjoittajia. Vaikka valtion digitaalinen identiteetti tai sähköinen tunnistamisväline ei olisi osa luottamusverkostoa, kuten valtiovarainministeriö nyt esittää, kilpailisi se silti tosiasiassa suoraan luottamusverkostoon kuuluvien toimijoiden kanssa. Esityksessäkin myönnetään, kuinka digitaalisen henkilöllisyystodistuksen ehdotus voi lyhyellä aikavälillä mahdollisesti vähentää pelkästään tunnistuspalvelua tarjoavien toimijoiden liiketoimintamahdollisuuksia (s. 19).
Aiemmassa, 26.6.2020 julkaistussa arviomuistiossaan valtiovarainministeriö on itsekin todennut, että “[a]rvioitaessa suunnitellun toiminnan luonnetta on siis huomioitava, että markkinoilla on yksityisen sektorin toimijoita ja kilpailua näiden toimijoiden kesken. Nämä olosuhteet viittaavat siihen, että kyse olisi taloudellisesta toiminnasta myös silloin, kun julkissektori tuottaisi itse korvaavat palvelut asiakkaidensa tunnistamiseksi“.[4] Samassa arviomuistiossa viitataan perustuslakivaliokunnan vuosien 2009 ja 2018 lausuntoihin, joissa valiokunta katsoi, ettei tunnistusvälineen tarjoamisessa ole kyse julkisesta hallintotehtävästä vaan markkinaehtoisesta toiminnasta. Aiemman arviomuistion mukaan näiden lausuntojen vuoksi valtion toiminta ei voi kevyin perustein jäädä valtiontuki- ja kilpailusääntelyn ulkopuolelle.[5]
Komission ja unionin tuomioistuimen ratkaisukäytäntö
Valtiovarainministeriö on viitannut kahteen komission ratkaisuun, SA.25745 (ZVG Portal) ja SA.34646 (TenderNed), esittäessään, että tunnistuspalveluiden tarjoaminen julkisen sektorin sähköisiin asiointipalveluihin voisi jäädä taloudellisen toiminnan käsitteen ulkopuolelle, vaikka markkinoilla on vastaavaa yksityistä toimintaa. Kummassakin komission ratkaisussa oli kuitenkin kysymys tilanteesta, jossa arvion kohteena oleva toiminta liittyi olennaisesti lakiin perustuvan viranomaisen velvoitteen täyttämiseen. Valtion toimenpide liittyi siis olennaisesti olemassa olevien viranomaisvelvoitteiden täyttämiseen tai joka tapauksessa jo ennen internetpalvelun perustamista voimassaolleisiin, laissa selkeästi määriteltyihin velvoitteisiin.
Digitaalisen identiteetin ja tunnistamisvälineen osalta valtiolle ei ole asetettu lakisääteistä velvoitetta, joka edellyttäisi, että valtio tuottaa ja tarjoaa omaa tunnistamisvälinettä suoraan kansalaisille käytettäväksi julkisen taikka yksityisen sektorin asiointipalvelussa. Nyt lausuttavana olleessa esitysluonnoksessa on lähdetty siitä, että Digi- ja väestötietoviraston toimintaa ydinidentiteetin luomisessa ja varmentamisessa sekä digitaalisen henkilöllisyystodistuksen teknisen alustan tuottamisessa voidaan pitää erottamattomasti henkilöllisyyttä osoittavan asiakirjan myöntämiseen ja sen käytön mahdollistamiseen yhteiskunnassa kuuluvina tehtävinä. Tällainen keinotekoinen menettely ei kuitenkaan poista sähköisen tunnistamisvälineen luonnetta taloudellisena toimintana. Tilanne ei vastaa ministeriön viittaamissa komission ratkaisuissa ollutta tilannetta, jossa lakisääteinen velvollisuus on ollut olemassa jo aiemmin, ennen valtion sähköisen palvelun käyttöönottoa.
Unionin tuomioistuimen tapauksessa Höfner ratkaisevaa taloudelliseksi toiminnaksi katsomisessa oli, että lakisääteisestä velvoitteesta huolimatta tarkasteltava “[t]yönvälitystoiminta ei ole aina ollut eikä välttämättä ole julkisten yksiköiden vastuulla.“[6] Vastaavalla tavalla myös tunnistaminen sähköisissä asiointipalveluissa on luonteeltaan toimintaa, joka ei suinkaan aina ole ollut julkisten yksiköiden vastuulla. Julkisissakin asiointipalveluissa vahva tunnistaminen on perustunut lähes kokonaan yksityisten toiminnanharjoittajien tarjoamiin tunnistusvälineisiin. Lisäksi sähköistä tunnistamista ja tunnistusvälineitä hyödynnetään – ja on jo pitkään hyödynnetty – myös yksityisissä asiointipalveluissa. Se, että tunnistaminen säädettäisiin laissa valtion velvoitteeksi, ei muuta tätä tosiseikkaa. Unionin tuomioistuimen oikeuskäytännössä vahvistetulla tavalla toimintaa ei voida luokitella ei-taloudelliseksi toiminnaksi myöskään yksinomaan sen perusteella, että yksikkö toteuttaa yleistä etua edistävillä ja yhteiskunnallisesti hyödyllisillä aloilla päämääriensä saavuttamisen kannalta tarpeellisia tai hyödyllisiä toimia, sillä yksikkö saattaa tällöinkin tarjota tavaroita tai palveluita markkinoilla kilpaillen muiden toimijoiden kanssa.[7]
Valtiovarainministeriön viittaamissa asioissa SA.25745 (ZVG Portal) ja SA.34646 (TenderNed) oli lisäksi kysymys sellaisesta toiminnasta, jota ei voitu pitää luontaisena taloudellisena toimintana. Kyseessä olevat markkinat ja niillä tuotetut palvelut perustuivat yksinomaan viranomaisen toimintaan, eikä markkinoilla olisi ollut lainkaan kysyntää kyseessä oleville palveluille ilman valtion lakisääteistä toimintaa.[8] Tunnistamispalveluiden markkina ei rinnastu tällaiseen tilanteeseen, koska sähköiset tunnistamispalvelut eivät johdu ainoastaan viranomaisten lakisääteisistä velvollisuuksista, vaan markkina on olemassa riippumatta viranomaisten toiminnasta. Vaikka valtio tarjoaakin suomi.fi-tunnistautumista, yksityisten toimijoiden markkina on olemassa siitä huolimatta. Se, että tunnistamispalveluita hyödynnetään myös julkisen sektorin asiointipalveluissa, ei voi johtaa päätelmään, joka oikeuttaisi luokittelemaan tunnistuspalveluiden tarjoamisen taloudellisen toiminnan käsitteen ulkopuolelle em. komission ratkaisuihin vedoten. Lisäksi kummassakaan näissä ratkaisuissa ei käsitelty sitä, miten yksityisten toimijoiden vähenevät tulot vaikuttavat kyseessä olevan toiminnan valtiontuki- tai kilpailuoikeudelliseen arvioon.
TenderNed-tuomiossa[9] kiinnitettiin huomiota siihen, että markkinoilla oleva yksityinen toiminta ei täyttänyt kaikkia hintaan, objektiivisiin laatukriteereihin sekä palvelujen jatkuvuuteen ja saatavuuteen liittyviä ehtoja, jotka olivat välttämättömiä viranomaisten tavoitteiden kannalta ja viranomaisen velvollisuuden täyttämiseksi. Vastaavalla tavalla esimerkiksi asiassa SA.34402 kiinnitettiin huomiota siihen, että markkinoilla toimivat palveluntarjoajat tarjosivat vain osaa niistä palveluista, joita alalla tarvittiin, minkä vuoksi palvelun katsottiin liittyvän tiiviisti muuhun kuin taloudelliseen toimintaan.
Sähköisen tunnistamisen markkinoilla nykyisin tarjolla olevat palvelut vastaavat Liikenne- ja viestintävirasto Traficomin ja Kilpailu- ja kuluttajaviraston markkinaselvityksen mukaan pääsääntöisesti hyvin kuluttajien tarpeisiin, ja tarjolla oleviin palveluihin ollaan tyytyväisiä. Sähköisen tunnistamisen markkinoilla olevan yksityisen toiminnan voidaan katsoa täyttävän valtiovarainministeriön esittämät tavoitteet kattavasti siten, että toiminnan luokittelemista muuksi kuin taloudelliseksi toiminnaksi ei voida pitää perusteltuna. Markkinaselvityksen mukaan tunnistusvälineiden käyttöön liittyvät, sinänsä hyvin vähäiset, haasteet eivät liity itse tunnistamispalveluihin. Haasteina korostuivat selvityksen perusteella esimerkiksi yhteysongelmat ja -häiriöt ja yleinen tietoteknisten laitteiden käyttämisen hankaluus – eli täysin tunnistusvälineestä riippumattomat tekijät. Kyselytutkimuksen tulosten perusteella vahvojen sähköisten tunnistusvälineiden käyttö ei ole esteenä vahvan sähköisen tunnistusvälineen hankkimiselle ja käyttöhalukkuudelle. Tunnistusvälineiden käytön edistämiseksi tulisi ensisijaisesti tehdä toimenpiteitä, joilla sähköisiä asiointipalveluita ja yleensäkin tietoteknisiä laitteita saataisiin käyttämään myös sellaiset kansalaiset, jotka eivät niitä vielä hyödynnä. Valtion oman tunnistusvälineen käyttöönotolla ei voida parantaa kansalaisten internetyhteyksiä tai esimerkiksi matkapuhelinten käyttöliittymiä.
Toisin kuin valtiovarainministeriö on esitysluonnoksessa komission ratkaisuja ja vallitsevaa oikeuskäytäntöä virheellisesti tulkiten esittänyt, valtion tunnistusvälinettä on pidettävä luonteeltaan taloudellisena toimintana. Merkitystä ei ole sillä, missä valtion määräysvaltaan kuuluvassa yksikössä tunnistusväline kehitetään ja otetaan käyttöön, vaan valtion määräysvaltansa nojalla harjoittamaa taloudellista toimintaa arvioidaan joka tapauksessa julkisena yrityksenä.
Tunnistusvälinettä koskeva taloudellinen toiminta erotettavissa mahdollisesta julkisen vallan käytöstä
Jos valtion tunnistusvälinettä kuitenkin pidettäisiin osittain – esimerkiksi digitaalisen identiteetin muodostamisessa – julkisen vallan käyttönä, tunnistusvälinettä koskeva taloudellinen toiminta voidaan joka tapauksessa erottaa julkisen vallan käytöstä. Yksinään se seikka, että yksiköllä on eräiden toimintojensa harjoittamisen yhteydessä julkiselle vallalle kuuluvia toimivaltuuksia, ei estä luokittelemasta sitä yritykseksi muiden taloudellisten toimintojensa osalta.[10] Unionin oikeuskäytännössä ei ole asetettu mitään rajaa, jonka alittuessa olisi katsottava, että kaikki yksikön toiminta on muuta kuin taloudellista toimintaa sen vuoksi, että se harjoittaa taloudellista toimintaa vähemmän.[11] Keskeinen kriteeri arvioinnissa on sen sijaan se, voidaanko taloudellinen toiminta erottaa julkisen vallan käytöstä. Mikäli taloudellinen toiminta on erotettavissa julkisen vallan käytöstä, yksikkö toimii tämän toiminnan osalta yrityksenä.[12]
Unionin tuomioistuimen vahvistamalla tavalla sen määrittäminen, onko toiminta osa julkisten tehtävien hoitamista, edellyttää sen selvittämistä, liittyykö toiminta luonteeltaan, tavoitteeltaan ja siihen sovellettavilta säännöiltään julkisten tehtävien hoitamiseen.[13] Valtion tunnistamispalvelu ei liity luonteeltaan, tavoitteiltaan ja siihen sovellettavilta säännöiltään valtion muun kuin taloudellisen toiminnan, eli tässä tapauksessa lähinnä digitaalisen identiteetin muodostamisen, toteuttamiseen. Kuten edellä on todettu, valtiolla ei ole lakisääteistä velvollisuutta tarjota valtion tuottamaa sähköistä tunnistusvälinettä. Myöskään se, että tunnistusvälineestä säädettäisiin laissa jälkikäteisesti, kun tunnistamisen markkinat ovat jo syntyneet, ei edellä esitetysti muuttaisi sen luonnetta taloudellisesta toiminnasta julkisen vallan käyttämiseksi.
Tuomioistuin on asiassa MOTOE selventänyt, että arvio toiminnan taloudellisesta luonteesta on tehtävä erikseen kaikkien harjoitettavien toimintojen osalta.[14] Tuomioistuimen mukaan kyseisessä asiassa voitiin erottaa toisistaan yhtäältä moottoripyöräkilpailujen järjestämistä koskeva lupamenettely ja toisaalta itse kilpailujen järjestäminen ja niiden kaupallinen hyödyntäminen. Samalla tavalla nyt kyseessä olevassa asiassa on erotettava toisistaan yhtäältä sähköisen identiteetin ja sen pohjalta tehtävän kredentiaalin luominen ja toisaalta kredentiaalin pohjalta toimivan tunnistusvälineen käyttöönotto ja tarjoaminen – eli välineen hyödyntäminen – kilpaillulla markkinalla. Valtiovarainministeriö on päätynyt samaan tulkintaan aiemmassa, 26.6.2020 päivätyssä arviomuistiossaan, jonka sivulla 53 on todettu, että vaikka digitaalisen henkilöllisyyden infrastruktuuri katsottaisiin julkisen vallan käytöksi siten, että se jää valtiontukisääntelyn ulkopuolelle, infrastruktuuri ja valtion tuottama tunnistusväline eivät oletettavasti ole niin kiinteässä yhteydessä, etteivät ne olisi erotettavissa toisistaan. Jos ja kun myös yksityisen sektorin toimijoiden on mahdollista tuottaa tunnistusvälineitä valtion kredentiaalin pohjalta, erottamaton yhteys on vaikeasti perusteltavissa.
Valtion tunnistamispalvelu ei liity oikeuskäytännössä tarkoitetulla tavalla kiinteästi julkisten tehtävien hoitamiseen, minkä vuoksi sitä tulee pitää luonteeltaan taloudellisena toimintana. Tilanne, jossa valtion tunnistusvälinettä voitaisiin tulevaisuudessa käyttää myös yksityisiin asiointipalveluihin kirjauduttaessa, on kiistatta markkinoilla tapahtuvaa taloudellista toimintaa. Tämä on myös selvästi erotettavissa muusta toiminnasta, joka mahdollisesti voitaisiin luokitella julkisen vallan käytöksi.
Valtion tunnistusvälineen luomiseen sisältyy merkittävä riski kielletystä valtiontuesta
Koska esitysluonnoksessa esitettyjä vaihtoehtoja voidaan pitää taloudellisena toimintana joko kokonaan tai ainakin siltä osin kuin toiminta kattaa tunnistusvälineen luomisen ja sen kautta tapahtuvan tunnistamisen julkisen sektorin asiointipalvelussa, sisältyy vaihtoehtoihin merkittävä riski kielletystä valtiontuesta.
Valtion tunnistusvälineen luominen antaisi sen tuottavalle ja sitä tarjoavalle toimijalle valikoivan taloudellisen edun, joka vääristää tai uhkaa vääristää kilpailua markkinoilla. SEUT 107 artiklan 1 kohdassa tarkoitettuna etuna pidetään mitä tahansa taloudellista hyötyä, jota yritys ei olisi voinut saada tavanomaisissa markkinaolosuhteissa, toisin sanoen ilman valtion toimenpidettä. Etu puolestaan vääristää tai uhkaa vääristää kilpailua markkinoilla silloin, kun se vahvistaa tuensaajan asemaa suhteessa muihin kilpaileviin toimijoihin. Esimerkiksi tunnistusvälineen rahoittamisen valtion varoista voidaan katsoa täyttävän kummatkin kriteerit.
Esitysluonnoksen mukaan hankkeen aikana on katsottu, että jatkossakin julkisen sektorin sähköisiin asiointipalveluihin tulisi olla mahdollista tunnistautua kaikilla niillä tunnistuspalveluilla, joiden kanssa asiasta on sovittu. Tunnistustapahtumista maksettaisiin tunnistuslain mukainen korvaus erikseen määriteltävän siirtymäkauden ajan. Siirtymäkautta ei esityksessä kuitenkaan ole erikseen määritelty, eikä myöskään kerrottu, mitä tapahtuu siirtymäkauden jälkeen. Tämä lisää nykyisten toimijoiden epävarmuutta. Mikäli tarkoitus on, että luottamusverkoston tunnistusvälitystä ei enää siirtymäkauden jälkeen käytettäisi, tarkoittaisi tämä, että kansalaisten olisi pakko siirtyä käyttämään digitaalista henkilöllisyystodistusta markkinaehtoisen tarjonnan sijaan.
Tavoitteena on, että ehdotettujen muutosten myötä julkisen sektorin tekemien tunnistuspalveluiden ostojen kustannukset laskisivat. Esitysluonnoksessakin on tunnistettu, että tällä voi olla merkittäviä vaikutuksia luottamusverkoston kautta tapahtuvaan sähköisen tunnistamisen liiketoimintaan ja sen kannattavuuteen sekä mahdollisuuksiin markkinaehtoisen sähköisen tunnistamisen tarjontaan yksityisen sektorin palveluihin. FiCom kiinnittää huomiota myös siihen, että vahvojen tunnistusvälineiden häviäminen markkinoilta tulee heikentämään kansalaisten tietosuojaa ja tietoturvaa digitaalisessa asioinnissa, koska nykyisellään vahva tunnistus on yleistynyt yksityisellä sektorilla nimenomaan välineiden laajan tarjonnan vuoksi.
On selvää, että valtion varoilla rahoitettu asiointipalveluille lähtökohtaisesti maksuton palvelu olisi omiaan vääristämään merkittävästi kilpailua. Julkiset asiointipalvelut muodostavat huomattavan osan sähköistä tunnistamista koskevasta kysynnästä (Traficomin ja KKV:n markkinaselvityksen mukaan n. 60–75 prosenttia tunnistustapahtumista tehdään julkishallinnon palveluihin suomi.fi-palvelun kautta[15]), ja on selvää, että julkisissa asiointipalveluissa suosittaisiin valtion maksutonta tunnistusvälinettä nykyisten markkinoilla olevien ratkaisujen sijaan. Nykyisten maksullisten tunnistamisvälineiden rinnalle valtion varoilla kehitetty, asiointipalvelulle maksuton tunnistamisväline vääristäisi tai uhkaisi vääristää kilpailua markkinoilla ja heikentäisi merkittävästi yksityisten toiminnanharjoittajien toimintaedellytyksiä.
On todennäköistä, että suunnitellussa mallissa täyttyvät myös muut SEUT 107 artiklan 1 kohdan mukaiset kumulatiiviset edellytykset. Tunnistamispalveluiden markkinoilla toimii myös muihin Euroopan talousalueen jäsenvaltioihin kuin Suomeen sijoittautuneita toimijoita, minkä myötä tuella voisi olla myös vaikutusta jäsenvaltioiden väliseen kauppaan. Esitysluonnoksessa tämä on esitetty ristiriitaisesti sivulla 29, jossa ensin todetaan, että alustavasti voidaan arvioida, että kauppavaikutusta koskeva edellytys ei täyttyisi, ja myöhemmin samalla sivulla, että ehdotuksilla on silti vaikutuksia sisämarkkinoiden toimintaan. Esitysluonnoksen mukaan sisämarkkinanäkökulmasta kansallinen digitaalinen henkilöllisyys sekä ulkomaalaisen digitaalinen asiointiväline ovat keinoja rajat ylittävän sähköisen tunnistamisen mahdollistamiseksi tulevaisuudessa – vaikka kyse on ensimmäisessä vaiheessa kansallisista ratkaisuista, ne pohjustavat tulevaisuutta valmistauduttaessa eIDAS-uudistukseen sekä rajat ylittäviin identiteetin ratkaisuihin. Todellisuudessa tarvetta tällaiselle kansalliselle lyhytaikaiselle väliratkaisulle ei ole, vaan rajat ylittävä sähköinen tunnistaminen voitaisiin mahdollistaa myös vasta eIDAS-uudistuksen muutosten selvittyä.
Valtiovarainministeriön hanketta koskevan julkisen aineiston perusteella voidaan pitää todennäköisenä, että hankkeen tarkoituksena on korvata julkisella sektorilla yksityisten toimijoiden tarjoama luottamusverkostoon perustuva vahva tunnistaminen kokonaan valtion omalla tunnistamispalvelulla. Siltä osin kuin tunnistusvälinettä hyödynnettäisiin myös yksityisissä asiointipalveluissa, on täysin selvää, että toiminta sisältää ilmeisen riskin kielletystä valtiontuesta. Vahvan tunnistautumisen palveluiden tarjoaminen yksityisissä asiointipalveluissa on kiistatta taloudellista toimintaa, ja näillä markkinoilla toimiessaan valtio kilpailisi suoraan yksityisten toimijoiden kanssa.
Valtion tunnistusvälineen luominen johtaa määräävän markkina-aseman syntymiseen, jopa sen väärinkäyttöön
SEUT 106 artiklan 1 momentin mukaan “jäsenvaltiot eivät toteuta eivätkä pidä voimassa mitään toimenpidettä, joka koskee julkisia yrityksiä taikka yrityksiä, joille jäsenvaltiot myöntävät erityisoikeuksia tai yksinoikeuksia ja joka on ristiriidassa tämän sopimuksen, etenkin sen 18 ja 101–109 artiklan määräysten kanssa“. EUT on arvioinut SEUT 106(1) artiklan soveltumista määräävän markkina-aseman väärinkäytön kieltävän 102 artiklan yhteydessä lukuisissa tapauksissa siten, että valtion toimenpide on kielletty silloin, kun julkinen yritys (tai yksin-/erityisoikeuksia omaava yritys) on toimenpiteen johdosta omiaan käyttämään väärin määräävää markkina-asemaansa. Kielto koskee tilannetta, jossa jäsenvaltion toimenpide liittyy yritykseen, joka harjoittaa taloudellista toimintaa
Koska edellä esitetyn mukaisesti valtion tunnistusväline kokonaisuudessaan, tai ainakin tunnistusvälineen etäkäytön mahdollistaminen julkisen sektorin asiointipalveluissa, on luonteeltaan taloudellista toimintaa, esitetyssä on kyse yrityksestä. Merkitystä ei ole sillä, missä valtion määräysvaltaan kuuluvassa yksikössä tunnistusväline kehitetään ja otetaan käyttöön, vaan valtion määräysvaltansa nojalla harjoittamaa taloudellista toimintaa arvioidaan joka tapauksessa julkisena yrityksenä. Kyse on myös mitä ilmeisimmin juuri jäsenvaltion toimenpiteestä, ei yrityksen itsenäisestä toimenpiteestä, sillä tunnistusvälineestä on tarkoitus säätää lain tasolla. Suunniteltu johtaisi siis määräävän markkina-aseman väärinkäytön riskiin.
EUT:n ratkaisukäytännön mukaan määräävän markkina-aseman voidaan olettaa syntyvän jo yli 50 prosentin markkinaosuuden perusteella[16]. Traficomin ja KKV:n laatiman markkinaselvityksen mukaan peräti 60–75 prosenttia kaikista vahvan sähköisen tunnistamisen tapahtumista tehdään tällä hetkellä julkishallinnon palveluihin suomi.fi-palvelun kautta.[17] Hanketta koskevan julkisen aineiston perusteella on selvää, että valtion oman tunnistamisvälineen kehittämisen seurauksena on tarkoitus korvatayksityisten toimijoiden tarjoama luottamusverkostoon perustuva vahva tunnistaminen, sillä esityksessä tuodaan esiin yksityisten tunnistamisen palvelujen kustannukset ja säästötavoitteet sähköisessä tunnistamisessa.
Tilanteessa, jossa julkisia asiointipalveluja tarjoavien virastojen ja muiden yksiköiden saataville tuotaisiin nykyisten yksityisillä markkinoilla kehitettyjen ja maksullisten tunnistamisvälineiden rinnalle uusi, valtion varoilla kehitetty ja asiointipalvelun tarjoajalle täysin maksuton tunnistamisväline, on epäuskottavaa, etteivät valtion sisäiset organisaatiot millään tavalla suosisi ilmaista, ilman kilpailuttamista tarjolla olevaa valtion ratkaisua maksullisten ja kilpailuttamista edellyttävien yksityisten ratkaisujen sijaan. Mikäli välineen käyttöä laajennetaan myös yksityisiin asiointipalveluihin suunnitelmien mukaisesti, on pidettävä todennäköisenä, että kuluttajat käyttävät valtion tunnistusvälinettä myös niissä, kun sama väline on jo käytössä valtaosan kuluttajan tunnistamistapahtumista kattavassa julkisen sektorin asioinnissa. Riski yksityisten toimijoiden poissulkeutumisesta vahvan sähköisen tunnistamisen markkinoilta – myös yksityisissä asiointipalveluissa – on ilmeinen.
Julkista yritystä koskeva menettely on SEUT 106(1) ja 102 artiklojen vastaista, mikäli se on omiaan johtamaan määräävän markkina-aseman väärinkäyttöön. Väärinkäyttöä ei tarvitse tosiasiallisesti tapahtua, vaan sen uhka on riittävä rikkomuksen toteamiseksi. Valtiovarainministeriön suunnitelmassa hinnoittelua koskeva väärinkäytön uhka on ilmeinen. Kun nykyiset yksityiset tunnistamispalvelut ovat asiointipalvelulle maksullisia, maksuttoman valtion tunnistusvälineen tarjoaminen sähköistä asiointipalvelua tarjoavalle julkiselle taholle on omiaan johtamaan SEUT 102 artiklassa kiellettyyn saalistushinnoitteluun. Lisäksi tilanne, jossa valtio suosii omaa toimintaansa tai syrjii kilpailijoita, ei mahdollista valtion kanssa samoilla markkinoilla toimiville yrityksille SEUT 106(1) ja 102 edellyttämiä yhtäläisiä kilpailumahdollisuuksia. Lisäksi kansalaiset, jotka jatkossa uusivat passinsa tai henkilökorttinsa, ovat pakotettuja ottamaan käyttöön tai vähintäänkin maksamaan myös digitaalisesta henkilökortista, jossa on valtion oma tunnistusväline. Kilpailuoikeudellisesti kyse on sitomisesta.
Oikeuskäytännön nojalla jo eturistiriidan olemassaolo valtion kaupallisten intressien ja kilpailevien toimijoiden kaupallisten intressien välillä voi olla omiaan johtamaan SEUT 106(1) ja 102 artiklojen vastaiseen syrjintään.[18] Pelkkä eturistiriitatilanteen luominen on SEUT 106(1) ja 102 artiklojen vastaista, vaikka väärinkäyttöä ei oltaisi osoitettu tapahtuneen.[19] Koska kyse on valtion toimenpiteestä, johon soveltuu SEUT 106(1) artikla, jo väärinkäytön mahdollisuus on luonteeltaan rikkomus, ja siihen tulee puuttua ennakolta. On selvästi EU-oikeuden vastaista säätää laissa menettelystä, jossa väärinkäytön uhka on ilmeinen, ja jäädä odottamaan kilpailua vääristävien vaikutusten syntymistä. Tällaista menettelyä ei voida pitää miltään osin perusteltuna.
Kun otetaan huomioon valtion tunnistusvälineen luonne hyödykkeenä digitaalisilla markkinoilla, lainvalmistelussa tulee selvittää myös, miten valtion tunnistusvälinettä arvioitaisiin tulevassa digimarkkinasäädöksessä (Digital Markets Act, COM/2020/842 final). Valtion tunnistusväline saatettaisiin katsoa suunnitellussa sääntelyssä tarkoitetuksi ns. portinvartijaksi, joiden markkinavoima on nähty siinä määrin ongelmalliseksi, että niiden suitsemiseksi on katsottu tarpeelliseksi luoda uutta sääntelyä.
Tunnistusvälineen luominen ei täytä yleisiin taloudellisiin tarkoituksiin liittyvän palvelun edellytyksiä
SEUT 106(2) artiklan mukaisten yleisiin taloudellisiin tarkoituksiin liittyvien ns. SGEI-palveluiden tuottaminen on mahdollista ilman, että valtiontukisääntöjä loukataan, mutta palvelujen tuotannon on tällöin noudatettava komission SGEI-tiedonantoa[20]. Tiedonannon 48 kohdan mukaan julkisen palvelun velvoitetta ei tule asettaa sellaiselle toiminnalle, jota yritykset jo tarjoavat tai voisivat tarjota “tyydyttävästi ja yleisen edun mukaisilla ehdoilla, jotka valtio määrittää”. Tällaisia ehtoja ovat esimerkiksi hinta, objektiiviset laatuominaisuudet, jatkuvuus ja palvelun saatavuus. Suunniteltu valtion tunnistusväline ei selvästikään täytä näitä komission SGEI-palvelulle asettamia edellytyksiä. Jo kilpailuoikeuden yleisteoksessa ”EU:n ja Suomen kilpailuoikeus” (Leivo et al., 2012, s. 941) todetaan, että kyse ei todennäköisesti ole SGEI-palvelusta, jos markkinaehtoisesti toimivat yritykset jo tarjoavat palvelua tyydyttävästi ja yleisen edun mukaisilla ehdoilla.
Traficomin ja KKV:n markkinaselvityksen mukaan sähköistä tunnistamista tarjotaan markkinoilla hyvin kattavasti jo nyt (99 prosentilla kyselytutkimukseen vastanneista oli käytössään vahva sähköinen tunnistusväline), ja käyttäjät ovat selvityksen mukaan tyytyväisiä nykyisiin sähköisen tunnistamisen palveluihin. Ne marginaaliset ryhmät, joilla ei ole vielä käytössään vahvaa sähköistä tunnistamista, ovat selvityksen perusteella lähinnä iäkkäitä tai muita henkilöitä, joilla ei ole käytössä internetpalveluja. Nämä ryhmät eivät selvityksen mukaan tarvitse sähköistä tunnistusvälinettä eivätkä edes halua käyttää sähköisiä asiointipalveluja tai yleensäkään tietoteknisiä laitteita.[21]
Valtion oma tunnistusväline tuskin lisäisi iäkkäiden, eli 75–80-vuotiaiden, sähköistä asiointia, saati muiden sellaisten henkilöiden, jotka eivät nykyisinkään käytä internetpalveluja. Vaikka ehdotettu luonnollisen henkilön tunnistusväline ei edellytäkään mobiilipäätelaitetta, täytyisi sitäkin käyttää tietokoneen avulla. Myös niiden erityisryhmien haasteet, joilla sähköinen tunnistaminen ei ole käytössä, voitaisiin helposti ratkaista kehittämällä nykyisiä palveluja ja asettamalla niille ehtoja. Traficomin ja KKV:n markkinaselvityksen mukaan huomiota tulisi kiinnittää erityisesti siihen, että tunnistusvälineiden käyttöohjeet ja tunnistustapahtumassa annetut ohjeet ovat selkeitä, helppolukuisia ja ymmärrettäviä, tunnistustapahtumassa ja tunnuslukulistoissa käytetty tekstin fonttikoko on mahdollisimman suuri, tunnuslukulaitteen näppäimet ovat riittävän suuret ja että tunnistusmenetelmät tukevat erilaisia, vähintäänkin yleisiin standardeihin perustuvia apulaitteita. Nämä haasteet eivät ole sellaisia, että niiden voitaisiin katsoa edellyttävän valtion tuloa markkinoille omalla tunnistusvälineellään. Tarvittaessa valtion olisi mahdollista asettaa nykyisille tunnistusvälineille lisävaatimuksia helppokäyttöisyydestä. Tunnistuslaissa säädettyjen tunnistusvälineiden osalta on jo nyt olemassa pakottava velvoite taata palvelun saavutettavuus. Digitaalisten palvelujen tarjoamisesta annetun lain eli ns. saatavuuslain (306/2019) 7 §:n mukaan ”[p]alveluntarjoajan on varmistettava digitaalisten palvelujensa sisältöjen havaittavuus ja ymmärrettävyys sekä käyttöliittymien ja navigoinnin hallittavuus ja toimintavarmuus saavutettavuusvaatimusten mukaisesti”. Myös kansallisesti toimeen pantava Euroopan parlamentin ja neuvoston direktiivi (2019/882) tuotteiden ja palveluiden esteettömyysvaatimuksista, ns. esteettömyysdirektiivi, voi vaikuttaa palveluiden saavutettavuuteen.
Myös hinnoitteluun on mahdollista vaikuttaa yksinkertaisesti asettamalla palveluille ehtoja, kuten tähän mennessä onkin jo toimittu. Luottamusverkostossa välitettävälle tunnistustapahtumalle on asetettu enimmäishintasääntelyä, mutta uusimman sääntelymuutoksen vaikutusta markkinaan ei ole vielä ehditty selvittämään. Näin ollen valtion tuloa markkinoille omalla tuotteellaan ei voida pitää SGEI-sääntelyn mukaisena tilanteessa, jossa on jo tunnistettu, että hinnoittelua koskevien ehtojen käyttäminen tavoitteiden saavuttamiseksi on mahdollista, mutta sääntelyn vaikutusta markkinoihin ei ole ehditty vielä arvioimaan. Lisäksi Traficomin ja KKV:n selvityksessä on todettu, että sopimus- ja hintasääntelyä voidaan edelleen kehittää.[22] Tämäkin osoittaa, että yritykset, jotka jo toimivat markkinoilla, voisivat tarjota palvelua “tyydyttävästi ja yleisen edun mukaisilla ehdoilla, jotka valtio määrittää” SGEI-tiedonannossa määritellyllä tavalla, jos sääntelyä tarpeen mukaan kehitetään.
Kun otetaan huomioon markkinoiden tarjonta ja kilpailullisuus, yleisiin taloudellisiin tarkoituksiin perustuvan palvelun määrittelyä siten, että se edellyttäisi valtion ottavan käyttöön oman tunnistusvälineen, ei näin ollen voida perustella SEUT 106 artiklan 2 momenttiin nojaten.
Lopuksi
Traficomin ja KKV:n selvityksen mukaan 49 prosenttia vastaajista ei nähnyt tarvetta uudelle valtion tarjoamalle tunnistusvälineelle, ja 5 prosenttia ilmoitti, ettei käytä sähköisiä asiointipalveluja, eikä siten tarvitse uutta valtion tunnistusvälinettä. Markkinaselvityksen mukaan kyselytutkimuksen perusteella voidaan todeta, että kansalaiset ovat pääosin tyytyväisiä nykyisin tarjolla oleviin vahvoihin sähköisiin tunnistusvälineisiin, eikä valtion uudelle tunnistusvälineelle sähköisiin asiointipalveluihin tunnistautumiseksi nähdä erityistä tarvetta. Kansalaiset pitivät tärkeänä, että julkisen hallinnon sähköisiin asiointipalveluihin voi jatkossakin tunnistautua nykyisillä verkkopankkitunnuksilla ja/tai Mobiilivarmenteella.[23]
Valtiovarainministeriön aiemman arviomuistion mukaan kuluttajakyselyiden kaikista vastaajista 98 prosentilla on pankin myöntämä verkkopankkitunnus. Mobiilivarmenne on 22 prosentilla, kansalaisvarmenne 6 prosentilla ja työnantajan työntekijälle myöntämä organisaatiovarmenne 7 prosentilla vastaajista. Selvityksen mukaan 99 prosentilla kyselytutkimukseen vastanneista oli siis käytössään vahva sähköinen tunnistusväline. Kaikista kuluttajakyselyiden vastaajista ainoastaan noin yhdellä prosentilla ei ole mitään edellä mainittua tunnistusvälinettä käytössään.
Venäjän hyökättyä Ukrainaan Mobiilivarmenteen käyttö on kolminkertaistunut. F-Securen silloinen tutkimusjohtaja Mikko Hyppönen suositteli Yleisradion uutisjutussa suomalaisille Mobiilivarmenteen käyttöönottoa maaliskuun alussa, kun Nordean palvelut olivat kyberhyökkäyksen seurauksena poissa käytöstä poikkeuksellisen pitkään.[24]
Kuluttajakyselyyn vastanneista, joilla oli käytössään vahva sähköinen tunnistusväline, 95 prosenttia piti sen käyttämistä vähintäänkin helppona. Selvityksen mukaan vastauksissa identifioitujen vahvoihin sähköisiin tunnistusvälineisiin liittyvien ongelmien osalta korostuivat lähinnä muut kuin itse tunnistusvälineeseen liittyvät ongelmat, esimerkiksi sähköisen asiointipalvelun käyttöön liittyvät yhteysongelmat ja -häiriöt sekä yleinen tietoteknisten laitteiden hankala käytettävyys.[25]
Vastaavasti yrityksille tehdyn kyselytutkimuksen mukaan lähes kaikki, 98 prosenttia, näkemyksensä antaneista vastaajista pitää vahvan sähköisen tunnistamisen yhteydessä saatavia tietoja riittävinä.[26] Traficomin ja KKV:n markkinaselvityksestä käy ilmi, että yrityksille suunnatun kyselytutkimuksen perusteella vahvan sähköisen tunnistamisen markkina näyttäisi toimivan: vahvan sähköisen tunnistusvälineen tarjoajien ja pelkästään vahvan sähköisen tunnistusvälityspalvelun tarjoajien mahdollisuus välittää toisten vahvan sähköisen tunnistusvälineen tarjoajien tunnistustapahtumia on lisännyt kilpailua markkinoilla. Lupalompakkoa piti tarpeellisena ainoastaan 16 prosenttia kyselyyn vastanneista.[27]
Traficomin ja KKV:n markkinaselvityksen julkisen sektorin tarpeita koskevan osion mukaan valtiovarainministeriön Digitaalinen henkilöllisyyden kehittäminen -hankkeelle asetetut tavoitteet on mahdollista ratkaista hyvin moninaisin keinoin ja toimenpitein, ja yhteiskunnan kannalta on tärkeintä, että esitetyt tavoitteet saavutetaan ja niihin liittyvät haasteet ratkaistaan yhteiskunnan näkökulmasta mahdollisimman kustannustehokkaasti.[28] Tähän viranomaisten näkemykseen ei voi kuin yhtyä.
Toisin kuin valtiovarainministeriössä tunnutaan ajattelevan, FiComin ja operaattorien mielestä nykyisen mallin kehittäminen on sekä mahdollista että suositeltavaa sen sijaan, että koko tunnistusmarkkina laitetaan valtiojohtoisesti uusiksi. Identiteetinhallinnan kontrollin siirtyminen tunnistuspalveluilta tunnistettavalle henkilölle muuttaa perustavanlatuisesti rakenteita, joille nykyinen lainsäädäntö perustuu. Esitysluonnoksen tavoitetilassa kansalaisten identiteetin hallinta siirtyy heille itselleen, jolloin myös vastuu identiteetistä on palveluntarjoajan sijaan kansalaisella. Käyttäjän vastuulla on arvioida, tarvitseeko jokin asiointipalvelu hänen tietojaan ja päättää, mitä tietoja sille antaa. Verkkosivujen evästekyselyiden tavoin lopputuloksena voi olla, että tietoja luovutetaan tarpeettoman laajasti, mikäli luovuttaminen on edellytys palvelun käyttämiselle. Identiteettiä ja kredentiaaleja käytettäisiin jatkossa kuin käteistä, jonka kerran luovutettuaan kansalainen ei voisi määrätä, mitä sillä tehdään. Nykytilanne taas vastaisi tässä esimerkissä luottokorttia, jossa tunnistuspalvelun tarjoajat ovat vastuussa luovutetuista tiedoista. Hallinnan lisääminen on kannatettava lähtökohta, mutta onko kaikilla kansalaisilla – ja erityisesti niillä, jotka eivät ole pystyneet ottamaan nykyisiä tunnistusvälineitä käyttöönsä – kyky arvioida tietojensa luovuttamisen vaikutuksia jokaisen käyttämänsä palvelun osalta?
Valtion oman välineen luomiseen sisältyy myös huomattavan suuret investoinnit sekä hankinnan ja projektin tuomat riskit. Tarvittavat uudistukset saattavat venyä, eikä ole lainkaan takeita, että kansalaiset ottaisivat uuden välineen käyttöönsä ilman valtiojohtoista pakottamista. Traficomin ja KKV:n markkinaselvityksen mukaan kuluttajat ovat tyytyväisiä nykyisiin, muutaman viime vuoden aikana markkinoille tulleisiin mobiilitunnistusvälineisiin, joten uutta välinettä lähdettäisiin edistämään puhtaasti valtion näkökulmasta. Lisäksi valtion välineessä on myös toiminnallinen riski, jos ainoastaan sillä pääsee kirjautumaan valtion palveluihin. Yksittäinenkin käyttökatkos aiheuttaisi yhteiskunnan halvaantumisen, kun mihinkään palveluun ei pääsisi kirjautumaan. Esimerkiksi tunnistuslain muuttamista koskevassa hallituksen esityksessä 237/2020 vp on nostettu esille, että mahdollisuus käyttää rinnakkain useita tunnistusvälineitä edistää tavoitetta turvalliseen sähköiseen asiointiin myös häiriö- ja poikkeustilanteissa. Nojaaminen ainoastaan valtion omaan välineeseen aiheuttaa huomattavan kansallisen kyberturvallisuusriskin. Kuten Liikenne- ja viestintävirasto Traficomkin omassa lausunnossaan toteaa, ehdotettavassa laissa ei aseteta mitään tietoturvaedellytyksiä henkilöllisyystodistukselle.
Kuten tunnistuslain muuttamista koskevassa hallituksen esityksessä 237/2020 vp on tunnistettu, kilpailua edistämällä voidaan tukea nykyisten tunnistusvälineen tarjoajien toimintaedellytyksiä ja parantaa mahdollisten uusien tunnistusvälineen tarjoajien mahdollisuuksia tulla markkinoille ja sitä kautta parantaa myös tunnistuspalvelujen saatavuutta erilaisille sähköisille asiointipalveluille ja kuluttajille. HE 237/2020 lakimuutoksen tavoitteena oli pyrkiä edistämään mahdollisuuksia uudenlaisten sähköisten palvelujen kehittämiselle ja käytölle sekä edistää kuluttajien mahdollisuuksia tunnistautua turvallisesti ja luotettavasti sähköisiin asiointipalveluihin sellaisilla tunnistusvälineillä, jotka kuluttaja on valinnut.
Markkinoilla vallitsevalla kilpailulla on myös useita muita positiivisia vaikutuksia. Traficomin ja KKV:n selvityksessä on esimerkiksi tunnistettu, että kilpailu kannustaa yrityksiä tarjoamaan parempia vaihtoehtoja, tehostamaan toimintatapojaan sekä innovoimaan asiakkaiden tarpeita vastaavia tuotteita ja palveluja. Selvityksen mukaan kilpailu johtaa asiakkaille edullisempiin hintoihin, parempiin tuotteisiin ja palveluihin sekä laajempaan valikoimaan, minkä lisäksi se on omiaan lisäämään käytettävyydeltään ja turvallisuudeltaan entistä parempia ja laajemmassa käytössä olevia ratkaisuja.[29] Valtion sähköistä tunnistamisvälinettä koskeva hanke vaarantaa kuvatun, kuluttajien kannalta myönteisen, kehityksen markkinoilla
Rehellisintä olisi tässä vaiheessa myöntää tehdyt virheet ja se, että nyt lausunnolle lähetetty esitysluonnos on hyvin kaukana hankkeen alkuperäisistä tavoitteista. Valtion tulisi keskittyä eIDAS-uudistuksen edellyttämään EUID-lompakkoon, ja siinäkin perusmalliin, eikä rakentaa sitä edeltäviä kyseenalaisia kansallisia välineitä kilpailluille markkinoille, joissa sellaisille ei ole tarvetta. Operaattorit ja FiCom ovat edelleen valmiita ratkaisemaan tunnistusmarkkinoilla tunnistettuja haasteita yhdessä. Valtiovarainministeriön on kuitenkin luovuttava selvästi laittomaksi tietämästään valtion oman välineen tavoittelusta, ja valtion on keskityttävä sille kuuluviin tehtäviin.
[1] Asia C-222/04, Aéroports de Paris v. komissio, kohta 82 ja asia C-41/90, Höfner ja Elser v. Macrotron GmbH, kohta 22.
[2] Komission tiedonanto Euroopan unionin toiminnasta tehdyn sopimuksen 107 artiklan 1 kohdassa tarkoitetusta valtiontuen käsitteestä (2016/C 262/01), kohta 14.
[3] Traficomin tutkimuksia ja selvityksiä 2/2021, s. 77.
[4] Arviomuistio digitaalisen henkilöllisyyden kehitykseen vaikuttavasta lainsäädännöstä, VN/16287/2020, s. 89–90.
[5] Ibid., 61.
[6] Asia C-41/90 Höfner & Elser v. Macrotron, kohdat 22–23.
[7] Asia C-222/04, Cassa di Risparmio di Firenze ym., kohta 122.
[8] Ks. SA.25745, kohta 40 ja SA.34646, kohta 68.
[9] Asia T-138/15 ja C‑687/17 P, Aanbestedingskalender ym. v. komissio.
[10] Ks. esim. Aéroports de Paris v. komissio, kohta 74.
[11] Asia T‑747/17, UPF v. komissio, kohta 83.
[12] Ks. esim. asia C-138/11, Compass-Datenbank, kohta 38 ja asia C-113/07 P, SELEX Sistemi Integrati v. komissio, kohdat 72–77.
[13] Asia C‑687/17 P, Aanbestedingskalender ym. v. komissio, kohta 16.
[14] Asia C-49/07, MOTOE, kohdat 25–26.
[15] Traficomin tutkimuksia ja selvityksiä 2/2021 s. 63.
[16] Asia 85/76, Hoffmann-La Roche v komissio, kohta 41; asia T-57/01 Solvay, kohta 278.
[17] Traficomin tutkimuksia ja selvityksiä 2/2021 s. 63.
[18] Asia C-260/89 ERT, kohta 38; asia C-18/93 Corsica Ferries, kohdat 42–43, jotka koskivat kumpikin valtion myöntämää yksinoikeutta. Oikeuskäytännön perusteella ei ole syytä olettaa, että SEUT 106(1) ja 102 artiklaa tulkittaisiin eri tavalla yhtäältä julkisia yrityksiä ja toisaalta yksin- tai erityisoikeuden saaneita yrityksiä koskien.
[19] Asia C-260/89 ERT, kohta 38; asia C-163/96 Raso, kohdat 27–30; asia C-49/07 MOTOE, kohdat 51–52.
[20] Komission tiedonanto Julkisesta palvelusta maksettavana korvauksena myönnettävää valtiontukea koskevat Euroopan unionin puitteet (2011) (2012/C 8/03).
[21] Traficomin tutkimuksia ja selvityksiä 2/2021 s. 40, 42 ja 44.
[22] Ibid., 71–72.
[23] Traficomin tutkimuksia ja selvityksiä 2/2021 s. 41.
[24] ”Nordeaan kohdistunut kyberhyökkäys oli “poikkeuksellisen hyvin toteutettu”, sanoo asiantuntija – hyökkääjän taustoista ei tietoa”, Yleisradio 2.3.2022.
[25] Traficomin tutkimuksia ja selvityksiä 2/2021 s.39.
[26] Ibid., 53.
[27] Ibid., 54.
[28] Ibid., 56.
[29] Traficomin tutkimuksia ja selvityksiä 2/2021, s. 82.