Effin lausunto vahvasta sähköisestä tunnistamisesta | EFFI.org

Effin lausunto: Ehdotus hallituksen esitykseksi eduskunnalle vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetun lain muuttamisesta

3.11.2014
Electronic Frontier Finland ry
www.effi.org

Electronic Frontier Finland ry (Effi) kiittää mahdollisuudesta lausua valtiovarainministeriön ja liikenne- ja viestintäministeriön yhteistyönä valmistelemasta muutoskokonaisuudesta vahvasta sähköisestä tunnistamisesta annettuun lakiin ja tähän liittyvästä valtioneuvoston asetuksesta.

Ottaen huomioon, että

  • on positiivista, että valtionhallinto on sitoutunut ihmisten sähköisten palveluiden kehittämiseen;
  • on tunnettu tosiasia, että nykyinen pankkitunnusvetoinen "maan tapa" ei ole optimaalinen palveluiden tarjoajille, vaikkakin käyttäjille se toimii kohtuullisen hyvin;
  • Euroopan Unionin lisäsääntelyä on odotettavista aiheesta; ja että
  • Kaupankäynti ja tunnistamistapahtumat ovat yhä globalisoituvassa maailmassa yhä vähemmän kansallispoliittisen sääntelyn piirissä,

Effi ry lausuu seuraavaa nyt tehdystä esityksestä:

1. Kansainvälisyys

Ehdotus lähtee valitettavan kunnianhimottomasta lähtökohdasta tunnistautumisen potentiaalisen käyttäjäkunnan suhteen. Sen sijaan, että Viron tyyliin mietittäisiin, miten Suomesta voisi tulla sähköisen tunnistautumisen globaali valtatekijä, ehdotuksessa käperrytään sisäänpäin sitomalla tunnistautuminen suomalaisiin hallinnollisiin (henkilötunnus) ja teknisiin ratkaisuihin (Väestörekisterin tarkistus). Tämä on todella lyhytnäköistä ja todennäköisesti äärimmäisen tehokkaasti tuhoaa Suomen mahdollisuuden nousta kärkeen kilpailussa uusien verkkopalveluiden sijoituspaikasta.

2. Yksityisyys

Ehdotuksessa edellytettäisiin jokaisen tunnistautumistapahtuman verifiointia keskitetystä Väestörekisterikeskuksen ylläpitämästä tietokannasta. Effi vastustaa tätä ehdotusta jyrkästi, koska se tarkoittaisi, että vahvaa tunnistautumista ei voitaisi käyttää ilman, että tästä menee tieto valtiolle. Ehdotuksessa ei esitetä mitään niin merkittäviä uhkakuvia, joiden vuoksi tämä tulisi toteuttaa. Identiteettien revokaatio tulee hoitaa joka tapauksessa palveluntarjoajan toimesta.

Effi myös ihmettelee ehdotuksen perustelua tarpeesta sulkea kuolleen henkilön sähköinen identiteetti - eikö henkilön sähköisen identiteetin tulisi jatkossa siirtyä kuolinpesän käyttöön? Muuten esimerkiksi henkilön sähköisestä omaisuudesta disponointi voi muuttua jatkossa äärimmäisen hankalaksi.

Effi on myös huolissaan, että ehdotuksessa ei selkeästi oteta huomioon, ettei vahvaa tunnistautumista tulisi käyttää kuin rajoitetusti, vain niissä tilanteissa, joissa henkilön identiteetti oikeasti tarvitaan palvelun tarjoamiseen. Esimerkiksi verkkokaupassa vahvaa tunnistautumista ei yleensä tarvita.

3. Identiteettien saatavuus ja kansalaisten tasa-arvoisuus

Ehdotuksessa ei oteta mitenkään kantaa siihen, että tällä hetkellä huomattavan iso ihmisjoukko ei saa Suomessa itselleen sähköistä identiteettiä esimerkiksi pankkiasiointiin johtuen luottotietomerkinnöistä yms. Ehdotuksella ei myöskään edelleenkään pakoteta palveluntarjoajia hyväksymään kattavasti toisten palveluntarjoajien identiteettejä palveluissaan. Näin mahdollisen "sosiaaliperusteisen vahvan identiteetin" tarjoava palvelu ei välttämättä tulisi hyväksytyksi ja ratkaisisi ongelmaa. On myös epäselvää, auttaisiko nyt tehty ehdotus mitenkään alaikäisten henkilöiden tunnistautumisen järjestämiseen.

4. Kyberresilienssi

Ehdotuksella luotaisiin "single point of failure" (Väestörekisterikeskuksen tarkistus), johon hyökkäämällä Suomen sähköinen asiointi saataisiin ajettua alas. Kuten mainittua, ehdotuksessa ei esitetä mitään merkittäviä konkreettisia syitä muutoksen perusteluksi.

Yhteenvetona:

Yhteenvetona Effi ry ei pidä nykyistä esitystä vielä valmiina vaan sen suhteen olisi järkevämpää ottaa aikalisä, ja valmistella uusi, huomattavasti kunnianhimoisempi ja kansalaisten yksityisyyttä kunnioittavampi esitys. Järkevä ajankohta tälle olisi, kun EU:n sääntelyn täsmälliset edellytykset ovat tiedossa.

Effi ry:n puolesta,

Ville Oksanen
Effi ry:n varapuheenjohtaja
FT (teknologiaoikeus), OTK

AttachmentKoko
EFFI-FI-VM-031114.pdf124.4 KB