Lausunto luonnoksesta hallituksen esitykseksi tunnistus- ja luottamuspalvelulain muuttamiseksi

FiComin keskeiset viestit

• Lausunnolle annettu luonnos on hyvin laadittu, ja sillä selkeytetään luottamusjärjestelmän keskeisiä ongelmakohtia.
• Luottamusverkoston toimintaa tulee kehittää siten, että se on kaikille osapuolille avoin ja helppokäyttöinen.
• Sopimusehtojen ja hallinnointikäytäntöjen pitää olla läpinäkyviä.
• Järjestelmän kilpailukyky varmistetaan muutamalla hintasääntelyä siten, että ensitunnistamisen hinta lasketaan samalle tasolle kuin muidenkin tunnistustapahtumien, ja myös yksittäisen tunnistamistapahtuman hintaa lasketaan.

Yleiset huomiot esitysluonnoksesta

Kaikkien lainsäädännöllisten ratkaisujen tulee tukea toimivan sähköisen tunnistamisen markkinan syntymistä. Luottamusverkoston toimintaa tulee kehittää siten, että se on kaikille osapuolille avoin ja helppokäyttöinen. Sopimusehtojen ja hallinnointikäytäntöjen pitää olla läpinäkyviä, eikä tunnistautumispalveluaan pitäisi edes päästä tarjoamaan ilman vakioehtoihin perustuvaa sopimusta. Järjestelmän kilpailukyky varmistetaan muuttamalla hintasääntelyä siten, että ensitunnistamisen hinta lasketaan samalle tasolle kuin muidenkin tunnistamistapahtumien, ja myös yksittäisen tunnistamistapahtuman hintaa lasketaan.

Lausunnolle annettu luonnos on hyvin laadittu, ja sillä selkeytetään luottamusjärjestelmän keskeisiä ongelmakohtia. FiCom pitää oleellisena, että ehdotettu, keskeisen tärkeä lakimuutos tulee voimaan suunnitellusti mahdollisimman pian. FiComin jäsenillä on tähän tekniset ja toiminnalliset valmiudet.

3 § Pakottavuus

Pykälään on ehdotettu lisättäväksi toinen momentti, jonka mukaan tunnistuspalvelun tarjoajien välinen sopimisehto, joka poikkeaa lain säännöksistä, on mitätön. FiCom kannattaa ehdotusta. Lisäys parantaa luottamusverkoston toimintaa tukemalla tunnistusvälineeseen ja tunnistusvälityspalvelun tarjoajaan kohdistuvaa pakottava sääntelyä sekä lisää ennakoitavuutta.

12 a § Tunnistuspalvelun tarjoajien luottamusverkosto

Uuden ehdotettavan pykälän toisessa momentissa asetetaan tunnistusvälineen tarjoajalle velvollisuus laatia tunnistuspalvelunsa käyttöoikeiden toimitusehdot, jotka muodostavat velvoittavan pohjan tunnistusvälityspalvelun kanssa tehtävälle sopimukselle. Samoja ehtoja pitää tarjota kaikille luottamusverkostossa oleville. Tunnistusvälityspalvelun tarjoajan pyyntö toimitusehtojen mukaisen sopimuksen tekemiseen on myös hyväksyttävä siten, että sopimus on tehtävä ja käyttöoikeus annettava viipymättä ja viimeistään kuukauden kuluessa pyynnön tekemisestä.

FiCom kannattaa ehdotettua sopimis- ja tarjontapakkoa.  Tunnistusvälineen tarjoajan velvollisuuksien laiminlyömisestä voi aiheutua ehdotetun 12 d §:n mukainen vahingonkorvausvelvollisuus, mutta luottamusverkoston toimivuuden varmistamiseksi sellaiselle tunnistusvälineen tarjoajalle, joka kieltäytyy tekemästä sopimusta tunnistusvälityspalvelun tarjoajan kanssa, tulisi harkita ankarampia seuraamuksia. Mikäli tunnistusvälineen tarjoaja ei hyväksy ilmoittamiensa toimitusehtojen mukaisia sopimuksia luottamusverkoston jäsenten kanssa, tulee sen irtautua luottamusverkostosta.

12 b § Tunnistuspalvelun käyttöoikeuden toimitusehdot

Ehdotettavassa uudessa pykälässä säädettäisiin tunnistusvälineen tarjoajan velvollisuudesta julkaista tunnistuspalvelunsa käyttöoikeuden toimitusehdot sekä muut käyttöoikeuden luovuttamisen ja tunnistuspalveluiden yhteentoimivuuden kannalta merkitykselliset tiedot verkkosivuillaan. Säännöksen tarkoituksena on edistää käyttöoikeuden luovutusta koskevia sopimusneuvotteluja sekä helpottaa luovutusehtojen kohtuullisuuden ja syrjimättömyyden valvontaa. Lain pakottavuutta koskevasta 3 §:stä seuraa, että vastuunrajoituksista ja vastuun kohdentumisesta on mahdollista sopia vain siltä osin kuin se jää sääntelemättä, ja tällöin ehtojen tulee olla 12 a §:ssä tarkoitetulla tavalla kohtuullisia ja syrjimättömiä. Luonnoksessa esitetty uusi pykälä tukee muuta ehdotettavaa sääntelyä, ja FiCom pitää tätä kannatettavana. Lain valmistelussa tulee kuitenkin kiinnittää erityistä huomiota siihen, että käyttöoikeuden toimitusehdot soveltuvat yleisiin sopimusperiaatteisiin sekä toiminnan markkinaehtoiseen luonteeseen. Lisäksi toimintasopimusten ehtojen kohtuullisuudesta tulisi olla mahdollisuus pyytää tulkintoja joltain viranomaistaholta siten, että kyseisellä viranomaisella olisi lakiin perustuva velvollisuus niitä antaa.

12 c § Luottamusverkoston hintasääntely

Uudessa pykälässä ehdotetaan säädettäväksi luottamusverkoston hintasääntelystä siten, että tunnistusvälityspalvelun tarjoajan on suoritettava tunnistuspalvelun käyttöoikeudesta korvausta kolme senttiä välitettävältä tunnistustapahtumalta. FiComin näkemyksen mukaan lainsäätäjän on perusteltua edistää markkinan toimintaa ehdotetulla hintasääntelyllä, koska markkinan liian hidas kehittyminen vaarantaa Suomen digitalisaatiokehityksen ja sähköisen asioinnin turvallisuuden.

Yksityiset palveluntarjoajat käyttävät tällä hetkellä omia, käyttäjätunnukseen ja salasanaan perustuvia tunnistustapojaan, koska oman järjestelmän rakentaminen tulee usein huokeammaksi ja helpommaksi kuin vahvan sähköisen tunnisteen käyttäminen. Kansalaisilla on eri palveluihin lukuisia erilaisia salasanoja, mikä on ongelma sekä tietoturvan että käytettävyyden kannalta. Jokaisella kansalaisella tulisi olla omaan käyttöön parhaiten soveltuva vahva tunnistautumistapa, jolloin erilaisiin salasanoihin perustuvia järjestelmiä ei tarvitsisi enää luoda.

Vahvan tunnistuksen tulee olla kilpailukykyinen ratkaisu myös kertatunnistamisessa hyötypalveluihin, joten kiinteä hinta voi olla ehdotettua kolmea senttiä alempikin. Tunnistuspalvelujen hintaeroon ja saatavuuteen liittyvät ongelmat ovat pahoin kärjistyneitä verrokkimaiden vastaavien toimijoiden toimintamahdollisuuksiin sekä kustannuksiin verrattaessa. Esimerkiksi Virossa tunnistustapahtumien hinta on alimmillaan alle yhden sentin ja Ruotsissa noin 1,6 senttiä tunnistustapahtumaa kohden. FiCom kannattaa ehdotettua menettelyä, jossa Viestintävirasto arvioisi säädetyn korvauksen tason vuosittain. Hintaa arvioitaessa tulee kuitenkin ehdottomasti ottaa huomioon se, missä määrin toimijoille aiheutuvat kustannukset johtuvat muista kuin vahvaa sähköistä tunnistamista koskevista velvoitteista. Muusta kuin tunnistamisen sääntelystä aiheutuvia kustannuksia ei tule ottaa huomioon ensitunnistamisen hintaa määritettäessä. Ehdotettu pykälän toisen momentin sääntely, jossa selkeytetään sitä, ettei pakottavaa hintasääntelyä voi kiertää perimällä erillistä korvausta jostain tunnistuspalvelun käyttöoikeuden tarjoamiseen liittyvästä toiminnosta, tukee FiComin mielestä tätä lähtökohtaa.

12 d § Luottamusverkoston jäsenen vahingonkorvausvelvollisuus

Ehdotettavalla uudella pykälällä selvennettäisiin vahingonkorvausvastuuta luottamusverkoston sopimis- ja tarjontavelvollisuuden rikkomista koskevissa tilanteissa. Luonnoksen mukaan vahingonkorvausvelvollisuus voisi tulla kyseeseen esimerkiksi tilanteissa, joissa rikotaan luottamusverkoston yhteentoimivuutta tai ilmoitusvelvollisuutta koskevia säännöksiä, ja vahingonkorvaus käsittäisi korvauksen kuluista, hintaerosta sekä muusta välittömästä taloudellisesta vahingosta, jota tunnistuspalvelun tarjoajan toiminnasta on aiheutunut. Ehdotettu muotoilu on kannatettava.

16 § Tunnistuspalvelun tarjoajan ilmoitukset toimintaan ja tietojen suojaamiseen kohdistuvista uhkista tai häiriöistä

Pykälään ehdotetaan säädettäväksi ilmoitusvelvollisuuden lisäksi myös vapaaehtoisesta ilmoittamisesta, jolloin tunnistuspalveluntarjoajilla olisi oikeus vaihtaa uhka- ja häiriötietoa luottamusverkostossa myös muiden kuin sopimuskumppaneidensa kanssa.

Uhkista ja häiriöistä tiedottaminen on luottamusverkoston toiminnan kannalta ensiarvoisen tärkeää. Häiriötilanteiden ennaltaehkäisemiseksi ja selvittämiseksi on lisäksi hyödyllistä jakaa tietoa palvelun tarjoajista, joiden on syytä epäillä tavoittelevan oikeudetonta taloudellista hyötyä, antavan merkityksellisiä, totuudenvastaisia tai harhaanjohtavia tietoja tai käsittelevän henkilötietoja lainvastaisesti, vaikkei toiminta välttämättä muodostaisi suoranaista uhkaa tunnistamisen tekniselle oikeellisuudelle, tietoturvalle tai henkilöllisyyden väärinkäytölle. Tältä osin tulee huomioida yrityksillä jo olevat käytännöt, jotta tunnistuspalveluiden uhka- ja häiriötietoihin liittyvä tiedottaminen voitaisiin hoitaa yrityksillä jo käytössä olevilla prosesseilla tai niitä tarkistamalla. Koko luottamusverkoston kattavaa tiedonvaihtoa voisi myös edistää vapaaehtoisten ilmoitusten kokoaminen jollekin viranomaistaholle, kuten Viestintäviraston Kyberturvallisuuskeskukselle, jonka tehtävänä olisi välittää ilmoitukset eteenpäin kaikille luottamusverkoston jäsenille.

17 § Tunnistusvälineen hakijana olevan luonnollisen henkilön tunnistaminen

Keskeisin yksittäinen tekijä markkinan toiminnan parantamisessa on toimiva sähköisen ensitunnistamisen markkina, eli käyttäjän mahdollisuus rekisteröidä itselleen jo olemassa olevalla tunnistusvälineellä uusi väline. Toimiva kilpailu edellyttää, että käyttäjällä on mahdollisuus ottaa käyttöön haluamansa tunnistusväline, mutta korkea ensitunnistamisen hinta on merkittävä markkinalle tulon este.

Pykälään esitetään 4 momenttiin selkeyttävää muutosta siitä, että ensitunnistamista on tarjottava muille palveluntarjoajille, jotka halutessaan voivat myöntää sen perusteella uuden vahvan sähköisen tunnistusvälineen. Korkean varmuustason välineellä voisi ketjuttaa myös korotetun tason välineen, mutta ei toisin päin.

Tunnistusvälineen tarjoaja olisi velvollinen 12 a-c §:n mukaisesti laatimaan käyttöoikeuden luovuttamista koskevat toimitusehdot ja tekemään määräajassa niiden mukaisen sopimuksen sen tunnistusvälineen tarjoajan kanssa, joka haluaa käyttää ensitunnistamisen ketjuttamista. Tunnistusvälineen tarjoaja saisi itse päättää, sisällyttääkö se ensitunnistamisen ketjuttamisen samoihin toimitusehtoihin ja sopimukseen kuin 12 a §:n mukaisen tunnistuspalvelun käyttöoikeuden luovuttamisen. Tämä on kannatettavaa.

Koska tunnistetiedon välittäminen ensitunnistamisessa on teknisesti vastaava toimenpide kuin tunnistetiedon välittäminen tunnistuspalvelujen tarjoajien verkostossa, ensitunnistamisen hinta tulee vastaavasti säädellä samalle tasolle kuin muidenkin tunnistustapahtumien. Ehdotettu pykälän 4 momentin viittaus 12 c §:ään tarkoittaisi, että ensitunnistamisen ketjuttamista koskisi sama kiinteä kolmen sentin hinta kuin tunnistustapahtuman välittämistä tunnistusvälityspalvelulle, eikä siihen saisi lisätä mitään muuta korvausta. Hinta voisi olla ehdotettua kolmea senttiä alempikin, mutta ehdotettu tasokin parantaa jo merkittävästi sähköisen ensitunnistamisen markkinan toimivuutta.

Ehdotettu uusi viides momentti on tarkoitettu selventämään vastuusääntelyn tulkintaongelmia. Esityksen tavoitteissa on todettu, että esityksessä tehdään välttämättömiksi katsottavia muutoksia vastuukysymysten osalta, mutta samalla on myös katsottu tarkoituksenmukaiseksi, että kaikkia vastuukysymyksiä ja niiden vaikutuksia tarkasteltaisiin myöhemmin erillisessä hankkeessa (s. 10). Kaikkien vastuukysymysten sekä niiden vaikutusten uudelleen tarkastelua ei voi pitää tarkoituksenmukaisena. Mikäli vastuukysymyksissä ilmenee vielä luonnoksessa ehdotettujen lainsäädäntötoimien jälkeen ongelmia, tulee niihin tietenkin puuttua, mutta luottamusverkoston vastuukysymyksiä kokonaisuutena ei tule jatkuvasti muuttaa.

18 § Oikeustoimen tekemiseen kohdistuvat estot ja rajoitukset

Ehdotettu muutos selventää, että tunnistusvälineen käyttämistä koskevia rajoituksia tai oikeustoimien tekemiseen kohdistuvia estoja ei voi määritellä sopimusehdoissa asiakas- tai asiointipalvelukohtaisesti. Tällöin tunnistuspalvelu on sama riippumatta siitä, tarjoaako tunnistuspalvelun asiointipalvelulle tunnistusvälineen tarjoaja itse tunnistusvälityspalvelun roolissa vai muu tunnistusvälityspalvelun tarjoaja, joka välittää tunnistusvälineen tarjoajan siirtämiä tunnistetietoja. Tämä on kannatettava muutos. Käyttörajoituksista tulee viestiä selkeästi tunnistusvälineen käyttäjälle, tunnistuspalvelun tarjoajille sekä tunnistuspalveluun luottaville asiointipalveluille.