FÖRVALTNINGSUTSKOTTETS UTLÅTANDE 9/2009 rd

FvUU 9/2009 rd - RP 36/2009 rd

Granskad version 2.0

Regeringens proposition med förslag till lag om stark autentisering och elektroniska signaturer samt till vissa lagar som har samband med den

Till kommunikationsutskottet

INLEDNING

Remiss

Riksdagen remitterade den 1 april 2009 en proposition med förslag till lag om stark autentisering och elektroniska signaturer samt till vissa lagar som har samband med den (RP 36/2009 rd) till kommunikationsutskottet för beredning och bestämde samtidigt att förvaltningsutskottet ska lämna utlåtande i ärendet till kommunikationsutskottet.

Sakkunniga

Utskottet har hört

konsultativ tjänsteman Kirsi Miettinen, kommunikationsministeriet

lagstiftningsråd Tuomo Antila och specialmedarbetare Leena Vettenranta, justitieministeriet

överinspektör Johanna Kari, inrikesministeriet

konsultativ tjänsteman Seppo Kurkinen, finansministeriet

dataombudsman Reijo Aarnio

jurist Eeva Lantto, Kommunikationsverket

chef för certifieringsförvaltningen Katja Häkkinen, befolkningsregistercentralen

verkställande direktör Reijo Svento, FiCom ry

jurist Essi Ruokanen, Finansbranschens Centralförbund

professor Olli Mäenpää

professor Kaarlo Tuori

Skriftligt utlåtande har lämnats av

  • Statens revisionsverk.

PROPOSITIONEN

I propositionen föreslås det att det stiftas en lag om stark autentisering och elektroniska signaturer. Samtidigt föreslås det att lagen om elektroniska signaturer upphävs.

I största delen av elektroniska tjänster behövs varken elektronisk identifiering eller elektroniska signaturer. I en del elektroniska tjänster kan man ändå bl.a. företa olika rättshandlingar. Sådana elektroniska tjänster förutsätter att parterna har förtroende för varandra. Den som använder tjänsterna ska bl.a. kunna lita på att tjänsteleverantören har byggt upp sin service med hänsyn till kraven på informationssäkerhet och integritetsskydd. Tjänsteleverantören ska å sin sida bl.a. kunna lita på att den som använder tjänsterna via en fjärranslutning är den som han eller hon ger sig ut för att vara. För att de elektroniska tjänsterna och den elektroniska kommunikationen ska kunna utvecklas förutsätts det att det framöver finns välfungerande tjänster för elektronisk identifiering.

Syftet med bestämmelserna är att ge grundläggande förutsättningar för att tillhandahålla tjänster för stark autentisering i Finland. Ett annat syfte är att skapa en ram för en fungerande marknad för stark autentisering.

Den föreslagna lagen gäller stark autentisering. Svag autentisering omfattas således inte av bestämmelserna. Stark autentisering tillämpas vid identifiering av fysiska personer. Utanför regleringen faller metoder för sådan stark autentisering som används i slutna miljöer, såsom metoder för ett företags egna behov av identifiering.

Den föreslagna lagen innehåller bestämmelser om de krav som en elektronisk identifiering ska uppfylla för att vara stark autentisering. I lagen föreslås också bestämmelser om de krav som gäller leverantörer av tjänster för stark autentisering och leverantörernas tjänster. Tillhandahållandet av tjänster för stark autentisering övervakas av Kommunikationsverket.

Den föreslagna lagens bestämmelser om elektroniska signaturer motsvarar den gällande lagen om elektroniska signaturer.

Genom de övriga lagarna i propositionen ändras hänvisningarna till lagen om elektroniska signaturer till hänvisningar till lagen om stark autentisering och elektroniska signaturer. De föreslagna lagarna avses träda i kraft den 1 september 2009.

UTSKOTTETS ÖVERVÄGANDEN

Motivering

Allmänt

Regeringen föreslår att det stiftas en helt ny lag om stark autentisering och elektroniska signaturer. Samtidigt föreslås det att den gällande lagen om elektroniska signaturer upphävs.

Syftet med lagen är att främja tillhandahållandet av tjänster som gäller stark autentisering och dessutom skapa grundläggande bestämmelser för marknaden för tillhandahållande av tjänster. Samtidigt vill man försäkra sig om att kraven på informationssäkerhet och integritetsskydd beaktas. Avsikten är att skapa en fungerande marknad för elektronisk identifiering och samtidigt ge aktörerna vissa grundläggande regler. Kännetecknande för marknaden är att identifieringsverktygen ska vara allmänt tillämpliga och konkurrensen fri.

Lagen ska också göra det möjligt att använda elektroniska signaturer och öka utbudet på anknytande produkter och tjänster. Den del av lagen som gäller elektroniska signaturer innebär att EU:s direktiv om ett gemenskapsramverk för elektroniska signaturer sätts i kraft.

Förvaltningsutskottet ställer sig bakom regeringens proposition. Det behövs grundläggande bestämmelser om tillhandahållande av tjänster för stark autentisering i Finland. De kan utnyttjas när det inom olika branscher blir nödvändigt att föreskriva om hur en person ska identifieras exempelvis när han eller hon med en mobiltelefon eller via datorkontakt vidtar signifikanta rättshandlingar eller lämnar sitt samtycke till behandling av konfidentiella personuppgifter. Enligt utskottet är det motiverat att följa lagens tilllämpning och funktion för att få en uppfattning om en sådan marknad som lagen syftar till verkligen uppkommer. Särskild uppmärksamhet bör ägnas säkerställandet av tjänster i offentlig sektor.

Stark elektronisk autentisering

Lagen avser att reglera tillhandahållande av tjänster för stark elektronisk autentisering. Svag autentisering lämnas helt utanför de föreslagna bestämmelserna. Metoderna för svag autentisering är de som för närvarande används mest allmänt. I praktiken är det fråga om kombinationer av användaridentifikation och lösenord.

Det anses allmänt att stark autentisering består av en kombination av tre olika förutsättningar av vilka minst två måste förverkligas samtidigt för att identifieringen ska uppfylla definitionen av stark elektronisk autentisering. Stark elektronisk autentisering förutsätter 1) någonting som en innehavare vet, exempelvis ett lösenord, 2) någonting som en innehavare har, såsom en ordlista eller ett verkstyg som genererar engångslösenord, ett certifikat eller något annat verktyg, 3) något som en innehavare är, såsom ett fingertryck.

Den offentligrättsliga aspekten på att utfärda certifikat

I propositionen utgår man från att utfärdande av kvalificerade certifikat inte längre är en sådan offentlig förvaltningsuppgift som omfattas av grundlagens 124 §. Förvaltningsutskottet har tidigare (FvUB 10/1999 rd) fört fram den tolkningen att det är en offentligrättslig handling att tillhandahålla certifikat. Tanken var då att en individ inte kunde sköta förvaltningsärenden på elektronisk väg med myndigheterna utan ett certifikat. Man ansåg att det att någon beviljas eller inte beviljas ett certifikat därmed påverkar individens processuella behörighet i förvaltningsförfarandet.

Förvaltningsutskottet anser att även om tillhandahållandet av identifikations- och certifikatstjänster med hänsyn till deras karaktär av affärsekonomisk service numera kan anses som näringsverksamhet, är tjänsterna ändå förenade med samma slags kvalitetskrav som gäller för förvaltningsuppgifter. Kraven har närmast att göra med servicens kvalitet, tillförlitlighet, funktionsduglighet och tillgänglighet.

Behandling av personuppgifter och myndighetstillsyn

När det gäller behandling av personuppgifter har grundlagsutskottet och förvaltningsutskottet i sina ställningstaganden traditionellt ansett att det är viktigt att reglera syftet med registreringen, innehållet i de registrerades personuppgifter, tillåtna användningsändamål, informationens tillförlitlighet, tiden för lagring av uppgifter och den registrerades rättssäkerhet. Man har ansett att regleringen ska ske på lagnivå, vara täckande och detaljerad.

Förvaltningsutskottet konstaterar att det i 6 § i lagförslag 1 ingår grundläggande bestämmelser om behandling av personuppgifter. Bestämmelser om detta finns också i lagförslagets 7, 13, 19, 24, 30, 37 och 38 §. Också personuppgiftslagen () ska tillämpas på behandling av personuppgifter.

Vidare innehåller lagförslaget bestämmelser om krav som gäller identifieringsmetoden (8 §), krav som gäller leverantörer av identifieringstjänster (9 §) samt allmänna skyldigheter för leverantörer av identifieringstjänster (13 §). Det föreskrivs också om principer för identifiering (14 §), skyldighet för leverantörer av identifieringstjänster att lämna uppgifter innan avtal ingås (15 §) och skyldighet för leverantörer av identifieringstjänster att anmäla hot och störningar som riktas mot informationssäkerheten eller skyddet av uppgifter (16 §). Dessutom föreskrivs det om utgivning av identifieringsverktyg (20 §), överlåtelse av identifieringsverktyg till sökande (21 §) och förnyande av identifieringsverktyg (22 §) samt om registrering och användning av uppgifter om identifieringstransaktioner och om identifieringsverktyg (24 §).

När det gäller elektroniska signaturer innehåller lagförslag 1 bestämmelser bland annat om allmänna skyldigheter för certifikatutfärdare som behandlar kvalificerade certifikat (33 §), om tillförlitliga maskinvaror och programvaror (34 §), om utgivning av kvalificerade certifikat (35 §) och om återkallande av kvalificerade certifikat (36 §), om register som ska föras av certifikatutfärdare som tillhandahåller kvalificerade certifikat (37 §), om förvaring av uppgifterna i certifikatregister (38 §) och om skadeståndsansvar för certifikatutfärdare som tillhandahåller kvalificerade certifikat (41 §).

De sakkunniga som utskottet har hört har uttryckt sin oro för hur man definierar rättigheterna för dem som använder tjänsterna och deras ställning. Det har ansetts att användarna behöver ett starkare rättsskydd och att de bör ha möjlighet att framställa anmärkningar mot tjänsteleverantörerna hos exempelvis Kommunikationsverket, vars beslut ska vara överklagbart.

Förvaltningsutskottet anser att de som använder tjänsterna också utan en uttrycklig lagbestämmelse har möjlighet att vända sig till Kommunikationsverket med en anmärkning mot tjänsteleverantörerna. Kommunikationsverket kan i förekommande fall rikta sådana administrativa tvångsmedel mot tjänsteleverantören som nämns i 45 §.

Vid expertutfrågningen har det också föreslagits att Kommunikationsverket bör ha behörighet att förbjuda en tillhandahållare av identifikationstjänster att fortsätta sin verksamhet om verket i annat fall än utifrån en anmälan konstaterar att tjänsteleverantören inte uppfyller lagens krav. Det har ansetts behövas i fråga om beviljande av sådana kvalificerade certifikat som avses i 4 kap.

Förvaltningsutskottet menar att även om lagförslag 1 inte direkt ger Kommunikationsverket behörighet att förbjuda en tjänsteleverantör att fortsätta sin verksamhet finns det ändå i lagförslagets 45 § bestämmelser om administrativa tvångsmedel genom vilka Kommunikationsverket kan ålägga den som bryter mot lagen eller mot föreskrifter som utfärdats med stöd av lagen att avhjälpa felet eller försummelsen. Beslutet kan förenas med hot om att verksamheten avbryts helt eller delvis. Utskottet anser att den behörighet som framgår av 45 § i lagförslag 1 är tillräcklig.

Avslutningsvis konstaterar förvaltningsutskottet att bestämmelserna i lagförslag 1 om kraven på och förpliktelserna för tjänsteleverantörerna och de tillhandahållna tjänsterna är tillräckliga. Likaså uppfyller bestämmelserna om myndighetsövervakning i lagförslaget de krav som följer av principen om god förvaltning. Kommunikationsverket har tillsyn över tillhandahållare av identifikationstjänster och utbudet av kvalificerade certifikat. Dataombudsmannen övervakar att bestämmelserna om behandling av personuppgifter följs och verksamhet som faller utanför lagens tillämpningsområde men som ändå berörs i vissa bestämmelser i lagen utifrån från en konsumentskyddsaspekt övervakas av konsumentombudsmannen.

Inledande identifiering med hjälp av körkort

Enligt 51 § 5 mom. i lagförslag 1 kan leverantörer av identifieringstjänster och certifikatutfärdare till och med den 31 december 2012 vid inledande identifiering använda ett giltigt körkort som har utfärdats efter den 1 oktober 1990 av en myndighet i en medlemsstat inom Europeiska ekonomiska samarbetsområdet. Statsrådet gav 2006 en förordning om identitetshandlingar som utfärdas av polisen. På grundval av förordningen kan körkort inte anses som en sådan handling. Enligt motiven till propositionen hänger de största problemen med körkorten samman med svagheterna i processen för att bevilja körkort och med säkerhetsfaktorerna. Därför tillåter lagförslaget användning av körkort vid inledande identifiering endast under en övergångstid fram till 2012.

Utskottet konstaterar att läget för närvarande är det att körkort allmänt accepteras som identifikation i Finland och att det inte finns någon anledning att ändra ett rättsläge som medborgarna har vant sig vid. Enligt den föreslagna övergångsbestämmelsen har tjänsteleverantören inte någon skyldighet — utan rättighet, om den så önskar — att godkänna körkortet som ett verktyg för inledande identifiering. Förvaltningsutskottet anser att lagförslag 1 bör ändras så att leverantörer av identifieringstjänst och certifikatutfärdare också efter 2012 ska kunna använda giltiga körkort som har utfärdats efter den 1 oktober 1990 av en myndighet i en medlemsstat inom Europeiska ekonomiska samarbetsområdet, oavsett vad som föreskrivs i 17 § 1 mom. och 35 § 1 mom.

Övriga lagförslag

I propositionen ingår tio andra lagförslag. Ändringarna i dem dikteras närmast av att man i denna proposition föreslår att den tidigare lagen om elektroniska signaturer upphävs.

Förvaltningsutskottet noterar att lagförslag 3 gäller ändring av 19 och 20 § i befolkningsdatalagen. Befolkningsdatalagen () har med senare ändringar upphävts genom lagen om befolkningsdatasystemet och Befolkningsregistercentralens certifikattjänster (RP 89/2008 rd och FvUB 4/2009 rd).

Utlåtande

Förvaltningsutskottet föreslår

att kommunikationsutskottet beaktar det som sagts ovan.

Helsingfors den 29 maj 2009

I den avgörande behandlingen deltog

  • ordf. Tapani Tölli /cent
  • medl. Thomas Blomqvist /sv
  • Maarit Feldt-Ranta /sd
  • Rakel Hiltunen /sd
  • Heli Järvinen /gröna
  • Anne Kalmari /cent
  • Oiva Kaltiokumpu /cent
  • Ilkka Kantola /sd
  • Timo V. Korhonen /cent
  • Outi Mäkelä /saml
  • Petri Pihlajaniemi /saml
  • Pirkko Ruohonen-Lerner /saf
  • Unto Valpas /vänst
  • ers. Johanna Ojala-Niemelä /sd
  • Veijo Puhjo /vänst

Sekreterare var

utskottsråd Tuula Sivonen