Motivering

Grundlagens 124 §

Syftet med lagförslag 1 om stark autentisering och elektroniska signaturer är att ge grundläggande förutsättningar för att tillhandahålla tjänster och skapa en marknad för stark autentisering i Finland. Med stark autentisering avses i lagförslaget identifiering av en person och verifiering av identifikatorns autenticitet och riktighet genom tillämpning av en elektronisk metod som närmare bestäms i lagens 2 § 1 punkten. Tillhandahållande av tjänster för stark autentisering riktar sig till allmänheten och till tjänsteleverantörer som använder identifieringstjänster. Utmärkande för verksamheten är att det finns ett inbördes avtalsförhållande mellan leverantören av identifieringstjänster och tjänsteleverantören som använder identifieringstjänster samt innehavaren av identifieringsverktyg. Leverantörerna av identifieringstjänster registreras utifrån anmälningar i ett offentligt register som förs av Kommunikationsverket. Syftet med anmälningsplikten och registreringen är att göra det lättare att få information om vilka tjänsteleverantörer som i första hand kan anses tillförlitliga. En tjänsteleverantör kan erbjuda motsvarande service också utan att anmäla sin verksamhet men i så fall får tjänsterna inte tillhandahållas som tjänster för stark elektronisk autentisering.

Lagförslaget innehåller också bestämmelser om elektroniska signaturer. Om dessa finns för närvarande bestämmelser i lagen om elektroniska signaturer. Vid användning av elektroniska signaturer är utgångspunkten den att det inte finns något avtalsförhållande mellan certifikatutfärdaren för signaturtjänster och den som förlitar sig på signaturen. När det gäller elektroniska signaturer är det närmast tillhandahållandet av kvalificerade certifikat som är föremål för reglering. Också i denna verksamhet förekommer ett motsvarande anmälningsförfarande som när det gäller identifieringstjänster.

Grundlagsutskottet har i sitt utlåtande GrUU 2/2002 rd prövat tillhandahållandet av kvalificerade certifikat enligt lagen om elektroniska signaturer mot bakgrunden av grundlagens 124 §. Utskottet ansåg då att ett kvalificerat certifikat kan jämställas med ett identitetsbevis utfärdat av en myndighet, eftersom en signatur är ett lagstadgat villkor för en rättshandling. Utskottet underströk också att certifikaten spelar en viktig roll för parterna i elektronisk handel och annan elektronisk kommunikation och för deras rättsliga ställning. På grund av sin rättsverkan måste tillhandahållande av kvalificerade certifikat betraktas som en offentlig förvaltningsuppgift i den mening som 124 § i grundlagen avsåg, menade utskottet.

Det har visat sig att utnyttjandet av sådana elektroniska signaturer och kvalificerade certifikat och tjänster i anslutning till dem som avses i lagen om elektroniska signaturer inte har vunnit särskilt mycket terräng i Finland. Där de elektroniska signaturerna slagit igenom har det viktigaste identifieringsverktyget i stället blivit bankkoder, som enligt regeringens bedömning numera används i 99 % av identifikationerna. Den gällande lagen om elektroniska signaturer tilllämpas inte på dessa identifieringstjänster. Avsikten är att i den föreslagna lagen skapa en ram för denna typ av privat tillhandahållande av tjänster. Utskottet anser att karaktären av de affärsekonomiska tjänster som avses i lagförslaget till den grad har distanserat sig från karakteristika som gäller för offentliga myndighetsuppdrag, att verksamheten inte längre kan betraktas som en offentlig förvaltningsuppgift trots att verktygen för stark elektronisk autentisering och certifiering har betydelse för parternas ställning i olika typer av rättshandlingar. Det är därför inte nödvändigt att pröva lagförslaget om stark autentisering och elektroniska signaturer i skenet av grundlagens 124 §.

Regleringen av tillhandahållande av tjänster

De autentiseringstjänster som regleras i lagförslaget kan numera betraktas som basservice i informationssamhället. Tillhandahållandet av dem hänger ofta samman med för informationssamhällets grundläggande fri- och rättigheter — i synnerhet det skydd för privatlivet och personuppgifter som garanteras i grundlagens 10 § 1 mom. Vid reglering av denna typ av näringsverksamhet är det därför nödvändigt att inte bara tänka på att behandlingen av personuppgifter ska ske på ett korrekt sätt otan också ställa krav på tjänsternas kvalitet, tillförlitlighet, funktionsduglighet och tillgänglighet. En reglering som beaktar detta utgör inget problem med hänsyn till den näringsfrihet som garanteras i grundlagens 18 § 1 mom. Det är inte heller något problem med tanke på näringsfriheten att både leverantörer av identifieringstjänster och utfärdare av kvalificerade certifikat förutsätts uppfylla en anmälningsplikt när de inleder sin verksamhet, i synnerhet som en försummelse i detta avseende inte omedelbart innebär ett förbud att erbjuda identifieringstjänster.

Med tanke på de kvalitetskrav som nämndes ovan är de föreslagna lagbestämmelserna i huvudsak korrekta och tillräckliga. När det gäller stark autentisering innehåller lagförslaget bestämmelser bland annat om krav som gäller identifieringsmetoder (8 §) och krav som gäller leverantörer av identifieringstjänster (9 §), allmänna skyldigheter för leverantörer av identifieringstjänster (13 §), principer för identifiering (14 §), skyldighet för leverantörer av identifieringstjänster att lämna uppgifter innan avtal ingås (15 §), skyldighet för leverantörer av identifieringstjänster att anmäla hot om störningar som riktas mot informationssäkerheten eller skyddet av uppgifter (16 §), utgivning av identifieringsverktyg (20 §), överlåtelse av identifieringsverktyg till sökande (21 §) och förnyande av identifieringsverktyg (22 §), samt registrering och användning av uppgifter om identifieringstransaktioner och om identifieringsverktyg (24 §). När det gäller elektroniska signaturer innehåller lagförslaget bland annat bestämmelser om allmänna skyldigheter för certifikatutfärdare som tillhandahåller kvalificerade certifikat (33 §), tillförlitliga maskinvaror och programvaror (34 §), utgivning av kvalificerade certifikat 35 §), återkallande av kvalificerade certifikat (36 §), register som ska föras av certifiktutfärdare som tillhandahåller kvalificerade certifikat (37 §), förvaring av uppgifterna i certifikatregistret (38 §) och skadeståndsansvar för certifikatutfärdare som tillhandahåller kvalificerade certifikat (41 §). Med tanke på verksamhetens allmänna tillstånd är det viktigt att den myndighetstillsyn som nämns i lagförslagets 12 och 32 § samt i 5 kap.

Det kan anses vara en brist i förslaget att det i första hand är inriktat på att reglera tjänsteleverantörernas verksamhet och därför inte innehåller några nämnvärda bestämmelser om väsentliga rättigheter för den som ansöker om eller innehar ett identifieringsverktyg och som har nära anknytning till hur de grundläggande rättigheterna förverkligas i informationssamhället. Vissa av bestämmelserna, exempelvis den om innehavarens ansvar för identifieringsverktyget (27 §) och bestämmelsen om ansvar för obehörig användning av signaturframställningsdata (40 §), kan ändå i viss utsträckning betraktas som sådana bestämmelser. Med tanke på tjänsternas tillgänglighet är det emellertid enligt utskottets uppfattning relevant att föreskriva om sökandens rätt att få en identifikator eller ett certifikat om sökanden uppfyller de krav som ställs. Utskottet har också lagt märke till att bestämmelserna om tjänsteleverantörens ansvar för skada som orsakats den som förlitat sig på ett identifieringsverktyg är ytterst allmänt hållna. Det är skäl att ännu försöka komplettera regleringen på denna punkt.

Behandlingen av personuppgifter

I 6 § i lagförslaget finns de grundläggande bestämmelserna om behandling av personuppgifter. Bestämmelsen utgår från att den som tillhandahåller autentiseringstjänster och elektroniska signaturer får behandla behövliga personuppgifter vid utgivningen och upprätthållandet av identifieringsverktyg samt vid identifieringstransaktioner bara med samtycke av eller på uppdrag av den som utnyttjar tjänsten eller för att verkställa ett avtal där användaren är part eller för att på begäran av användaren vidta åtgärder som föregår avtalet. I andra än ovan nämnda fall får personuppgifter behandlas endast med användarens samtycke. I förslaget finns bestämmelser om behandling av personuppgifter dessutom i 7, 13, 19, 24, 30, 37 och 38 §. Också personuppgiftslagen är tillämplig på verksamheten.

De ovan nämnda bestämmelserna uppfyller tillsammans de krav som grundlagsutskottet i sin praxis ställt på behandling av personuppgifter när det gäller föremålet för regleringen, beaktande av förutsättningarna för begränsning samt regleringens omfattning och hur detaljerad den är (se exempelvis GrUU 3/2009 rd, s. 2—3 och GrUU 19/2008 rd, s. 2—3).

Övriga omständigheter

Kommunikationsverkets behörighet att utfärda bestämmelser.

Kommunikationsverkets behörighet att utfärda bestämmelser måste bedömas med hänsyn till 80 § 2 mom. i grundlagen. Enligt detta lagrum kan även andra myndigheter än de som nämns i 1 mom. bemyndigas att utfärda rättsnormer i bestämda frågor, om det med hänsyn till föremålet för regleringen finns särskilda skäl och regleringens betydelse i sak inte kräver att den sker genom lag eller förordning. Tillämpningsområdet för ett sådant bemyndigande ska dessutom vara exakt avgränsat.

Kommunikationsverket kan utfärda närmare bestämmelser med stöd av lagens 8 § 3 mom., 10 § 4 mom., 32 § 1 mom. och 42 § 2 mom. I samtliga fall handlar det närmast om tekniska bestämmelser där utfärdandet är motiverat med hänsyn till regleringsobjektets natur, den snabba tekniska utvecklingen och den expertis som regleringen kräver. Bemyndigandet i lagförslagets 42 § att meddela tekniska föreskrifter om kraven på tillförlitlighet och informationssäkerhet i verksamhet som bedrivs av leverantörer av identifieringstjänster och certifikatutfärdare som tillhandahåller kvalificerade certifikat blir ändå något öppet. Grundlagsutskottet påminner i detta sammanhang om att bestämmelserna i grundlagens 80 § 1 och 2 mom. direkt begränsar tolkningen av bemyndigandebestämmelserna och innehållet i de föreskrifter som utfärdas med stöd av bemyndigandet. Det är därför inte möjligt att genom Kommunikationsverkets föreskrifter utfärda allmänna rättsnormer exempelvis om sådana omständigheter som på grund av deras betydelse i sak kräver att det sker genom lag eller förordning (jfr GrUU 9/2004 rd, s. 8/I). Det är därför klart att bemyndigandet i detta fall endast kan gälla föreskrifter av teknisk natur för att precisera innehållet i de krav på tjänsteleverantörernas verksamhet som framgår av enskilda bestämmelser i 3 och 4 kap.

Avgifter som ska betalas till Kommunikationsverket.

I lagförslagets 47 § finns bestämmelser om vilka avgifter de leverantörer av identifieringstjänster och sammanslutningar av tjänsteleverantörer som har gjort en anmälan ska betala till Kommunikationsverket. Det finns likaså bestämmelser om en årlig tillsynsavgift. De avgifter som uppbärs motsvarar Kommunikationsverkets utgifter för skötseln av uppgifter som ålagts verket. Avgiftens belopp bestäms utifrån 47 § 1 och 2 mom.

I konstitutionellt hänseende är registreringsavgiften och tillsynsavgiften skatter (GrUU 9/2004 rd, GrUU 3/2003 rd). Enligt 81 § 1 mom. i grundlagen ska bestämmelser om skatt utfärdas genom lag, som ska innehålla bestämmelser om grunder och för skattskyldigheten och skattens storlek samt om de skattskyldigas rättsskydd. Förslaget uppfyller i detta avseende grundlagens krav.