Effin lausunto vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista

Effin lausunto hallituksen esityksestä (HE 272/2014) laiksi vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetun lain muuttamisesta

2.12.2014
Electronic Frontier Finland ry
www.effi.org

Electronic Frontier Finland – Effi ry kiittää mahdollisuudesta lausua eduskunnan liikenne- ja viestintävaliokunnalle hallituksen esityksestä laiksi vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetun lain muuttamisesta.

On hyvä, että valtionhallinto on sitoutunut ihmisten sähköisten palveluiden kehittämiseen, ja nykyinen pankkitunnusvetoinen järjestelmä ei ole paras mahdollinen. Lakiesitys ei kuitenkaan nähdäksemme vieläkään ota riittävästi huomioon yksityisyyden suojaa eikä kansainvälistymiskehitystä.

1. Yksityisyyden suoja

Väestötietojärjestelmän tietojen käyttämisessä jää hieman epäselväksi, mitä tunnistamispalvelussa käytettävien tietojen ajan tasalla pitäminen tarkoittaa. Tärkeää tässä olisi, ettei yksittäisestä tunnistamistapahtumasta välity edes epäsuorasti tietoa väestötietojärjestelmään esimerkiksi varmistamalla tiedot joka tapahtuman yhteydessä. Tällainen reaaliaikainen varmistus olisi ongelmallinen myös toiminnan luotettavuuden kannalta (single point of failure). Jos tietojen säännöllinen massahaku riittää, silloin asia ei ole ongelmallinen, mutta se olisi ollut hyvä mainita lain perusteluissa.

Esitetyn kaltaisessa järjestelmässä piilee myös se vaara, että erilaiset toimijat alkavat käyttää tarpeettoman vahvaa tunnistautumista. Mitä vahvempaa tunnistautumista käytetään, sitä vakavampi on tietovuodon ja identiteettivarkauden vaara. Esimerkiksi verkkokauppojenhan ei yleensä tarvitsisi vahvaa tunnistautumista käyttää, mutta siitä saattaa tulla kilpailutekijä ja silloin on ongelmallista, jos termiä “vahva tunnistautuminen” ei saa käyttää kuin laissa määritellystä palvelusta. Yleensäkin tässä suhteessa on ongelmallista luokitella tunnistautumismenettelyt tasan kahteen luokkaan.

Ihmisten yksityisyyden suojaamiseksi verkkokauppojen asiakasrekisterien yms. ei myöskään pitäisi olla sellaisia, että eri kaupat voivat helposti vertailla asiakkaidensa tietoja ristiin. Sama koskee vielä enemmän erilaisia sosiaalisia medioita. Tässä on positiivista, että henkilöä yksilöivä tieto voi olla muukin kuin henkilötunnus. Henkilötunnuksia ei pääsääntöisesti pitäisi välittää palvelun asiakkaille, mutta mikään pysyvä, palveluntarjoajakohtainenkaan tunnus ei ole olennaisesti parempi, varsinkaan jos se on saatavissa julkisesta hakemistosta. Tässä olisi hyvä selventää, että tunniste voi ja sen mielellään pitäisikin olla sellainen, ettei siitä voi selvittää henkilötunnusta epäsuorastikaan muuten kuin asianomaisen palveluntarjoajan kautta. Ts. saman henkilön tunniste eri asiakkaille olisi erilainen (mahdollisesti muutenkin vaihtuva), vain tunnistepalvelun tarjoaja voisi ne yhdistää.

2. Kansainvälisyys

Henkilötunnuksen käytön vaatiminen rajoittaa tehokkaasti palvelun suomalaisiin ja Suomessa asuviin. Vaikka henkilötunnuksen saaminen tulevaisuudessa helpottuukin, monilla toimijoilla osa asiakkaista on ulkomaalaisia, ja se edellyttäisi joko kahden erillisen järjestelmän ylläpitämistä tai vahvasta tunnistautumisesta luopumista. Vaikka lakia ei tulkittaisikaan niin, että termiä “vahva tunnistautuminen” ei saisi käyttää muusta kuin siinä määritellystä toiminnasta, painetta siihen suuntaan varmasti kuitenkin syntyisi.

Selvää ainakin on, että tällainen tunnistuspalvelu Suomi-keskeisyydessään ei edistäisi Suomen mahdollisuuksia uusien kansainvälisten verkkopalveluiden sijaintipaikoista kilpailtaessa.

Effi ry:n puolesta,

Timo Karjalainen
Puheenjohtaja