1
Lakiehdotuksen perustelut
3 §.Pakottavuus. Pykälään ehdotetaan lisättäväksi toinen momentti, jossa säädettäisiin siitä, että tunnistuspalveluiden luottamusverkostossa tekemien sopimusten ehdoissa on noudatettava kaikilta osin tässä laissa tunnistuspalveluille säädettyjä vaatimuksia. Luottamusverkostossa voidaan erottaa kaksi erityyppistä tunnistuspalvelun tarjoajaa, joita ovat tunnistusvälineen tarjoaja ja tunnistusvälityspalvelun tarjoaja. Nämä on määritelty voimassa olevan lain 2 §:ssä. Sama taho voi myös toimia molemmissa rooleissa.
Ehdotuksen mukaan tunnistuspalvelun tarjoajien välinen sopimusehto, joka poikkeaa lain säännöksistä, on mitätön. Sopimusehdon mitättömyys merkitsee sitä, että ehto on osapuolten välisessä sopimussuhteessa vailla vaikutusta. Kun sopimus on mitätön, sen pätemättömyyteen ei tarvitse erikseen vedota.
Ehdotetun muutoksen tarkoitus on selkeyttää yhdessä luottamusverkoston jäsenten välistä tarjonta- ja sopimisvelvoitetta koskevan 12 a §:n kanssa sitä, että laissa säädetyt vaatimukset tunnistuspalvelun tarjoajien väliselle sopimukselle ovat pakottavia. Palveluntarjoajat eivät siten voisi sopia toisin mistään sellaisesta asiasta, josta tässä laissa säädetään. Siltä osin kuin laissa ei ole säädöksiä, sopiminen olisi lähtökohtaisesti sallittua, mutta silloinkin sopimusehtojen tulee olla 12 a §:ssä tarkoitetulla tavalla kohtuullisia ja syrjimättömiä ja välttämättömiä luottamusverkoston toteuttamisen kannalta. Näin ollen sopijapuolten olisi noudatettava esimerkiksi lain 12 c §:ään ehdotettua tunnistustapahtuman välittämistä koskevaa enimmäishintasääntelyä, eikä siitä voi poiketa toisin sopimalla. Ehdotetulla säännöksellä on merkitystä myös tunnistuspalveluiden keskinäisten vahingonkorvausvastuiden kannalta. Tähän lakiin perustuvan sopimusehdon mitättömyyden arvioinnissa tai mahdollisen vahingonkorvausoikeuden perustavan virheen arvioinnissa käytetään perusteena tässä laissa säädettyjä velvoitteita.
Ehdotettu säännös ei vaikuta siihen lain aiemmissa esitöissä todettuun peruslähtökohtaan, että laissa tunnistuspalvelulle säädetyt vaatimukset ovat pakottavia, ellei yksittäisissä säännöksissä toisin säädetä. Säännöksen tarkoitus on myös vahvistaa tunnistuspalvelun tarjoajien luottamusta siihen, että kaikki lain tarkoittamat 12 §:n mukaisesti rekisteröidyt tunnistuspalvelun tarjoajat eli luottamusverkoston jäsenet noudattavat toiminnassaan tämän lain vähimmäisvaatimuksia (HE 36/2009 vp, 43 s.).
Tunnistuspalvelun tarjoajien välistä sopimussuhdetta koskee myös pykälän 1 momentin säännös, jota ei tässä esityksessä ehdoteta muutettavaksi. Sen perusteella tunnistusvälineen tarjoajan ja tunnistusvälityspalvelun tarjoajan välisessä sopimuksessa ei voi rajoittaa kuluttajan tässä laissa säädettyjä oikeuksia, kuten 27 §:ssä säädettyjä käyttäjän vastuun rajoituksia oikeudettomasta käytöstä.
12 a §.Tunnistuspalvelun tarjoajien luottamusverkosto. Voimassa oleva 12 a § ehdotetaan muutettavaksi siten, että siinä säädettäisiin luottamusverkoston toimijoiden välisistä keskeisistä tarjonta- ja yhteistyövelvoitteista, jotka muodostavat luottamusverkoston perustan. Pykälän otsikko täsmennettäisiin vastaamaan pykälän sisältöä lisäämällä siihen nimenomainen maininta luottamusverkostosta.
Pykälän 1 momentti säilyisi sisällöllisesti ennallaan, ja siihen tehtäisiin ainoastaan säädösteknisiä muutoksia.
Pykälän 2 momentti olisi uusi. Siinä selkeytettäisiin, että luottamusverkostossa on kyseessä sääntely, jolla tunnistusvälineen tarjoajat velvoitetaan luovuttamaan käyttöoikeus tunnistuspalveluun tunnistusvälityspalveluille. Luottamusverkoston perustaminen on ollut tarpeen, jotta tunnistusvälityspalvelut voivat tarjota sähköiseen tunnistukseen luottaville osapuolille eli asiointipalveluille asiakkaiden tunnistusta asiakkaiden käyttämillä eri tunnistusvälineen tarjoajien tunnistusvälineillä. Sähköisiä asiointipalveluja voivat olla esimerkiksi julkishallinnon palvelut, kuten Kela ja verohallinto, tai yksityiset palvelut, esimerkiksi terveydenhuoltoyritykset. Osa asiointipalveluista on lain nojalla velvoitettu tunnistamaan asiakkaansa vahvasti, ja osa puolestaan haluaa käyttää vahvaa tunnistamista lisätäkseen sähköisen palvelun tarjoajan ja käyttäjän luottamusta toisiinsa. Tunnistuspalvelun käyttöoikeuden luovutusvelvollisuudella on pyritty helpottamaan uusien tunnistusvälityspalveluiden pääsyä markkinoille, lisäämään kilpailua ja mahdollistamaan se, että asiointipalvelu voi hankkia asiakkaidensa tunnistuksen mahdollisimman kootusti tarvitsematta tehdä sopimusta asiasta erikseen jokaisen tunnistusvälineen tarjoajan kanssa.
Voimassa olevassa 12 a §:ssä säädetään yleisellä tasolla tunnistuspalveluiden hallinnollisista käytännöistä yhteentoimivuuden mahdollistamiseksi ja sähköiseen tunnistusvälineeseen liittyvästä tiedosta hinnan perusteena. Lain 18 §:ssä säädetään mahdollisuudesta liittää tunnistusvälineeseen rajoituksia. Koska sääntelyssä ei ole määritelty tukkutuotetta, jota olisi tarjottava, käytännössä on esiintynyt tilanteita, joissa tunnistusvälineen tarjoajat ovat pitäneet perusteltuna pyrkiä välityspalvelusopimuksissa rajoittamaan sitä, millaisiin asiointipalveluihin välityspalvelun asiakkaana oleva asiointipalvelu voi hankkia ja käyttää asiakkaiden tunnistusta. Käytännössä on jopa katsottu, että voimassa olevassa laissa säädetty 10 sentin enimmäistukkuhinta ei soveltuisi kaikkiin tunnistustapahtumiin riippuen siitä, mitä asiointipalvelun sisältöön kuuluu. Tällä perusteella on esimerkiksi saatettu vaatia tunnistusvälityspalvelulta laissa säädettyä enimmäismäärää ylittävää korkeampaa tukkuhintaa sellaiseen asiointipalveluun välittämisestä, joka itse luo vahvasti tunnistetulle asiakkaalleen käyttäjätunnuksen ja salasanan omaan verkkopalveluunsa.
Ehdotetun 2 momentin tarkoitus on yhdessä lain 18 §:ään ehdotettujen muutosten kanssa selventää, että tämän lain mukaiset tunnistusmenetelmät ovat lähtökohtaisesti yleiskäyttöisiä. Syrjimättömyys tarkoittaa sitä, että tunnistusvälityspalvelun on pystyttävä tarjoamaan asiointipalvelulle samanlaista tunnistusta kuin tunnistusvälineen tarjoajat itse. Tunnistusvälineen tarjoaja voi siten asettaa tunnistusmenetelmän käytölle välityspalvelulle lain mukaisesti välitettäväksi tarjottaessa ainoastaan sellaisia rajoituksia, joita tunnistusvälineen tarjoaja soveltaa 18 §:n sallimissa rajoissa myös silloin, kun se itse tarjoaa tunnistusvälityspalvelun roolissa tunnistuspalveluita luottaville osapuolille. Asetettujen käyttörajoitusten täytyy olla 18 §:n mukaisia.
Yleiskäyttöisellä tunnistusmenetelmällä tarkoitetaan, että kyseessä voi olla mikä tahansa asiointipalvelu ja asiointitapahtuma, mukaan lukien kertakirjautuminen ja heikkojen tunnisteiden luominen asiointipalvelussa. Tunnistusvälityspalvelun vastuulla on päättää, mille asiointipalvelulle tunnistusta välitetään ja huolehtia sopimussuhteessa asiointipalvelun kanssa, että tunnistusvälineen käyttörajoitukset ja muu sääntely tai velvoitteet huomioidaan (esimerkiksi kansainväliset pakotteet tai henkilötietosääntely).
Lisäksi 2 momentissa olisi keskeistä, että siinä säädettäisiin tunnistusvälineen tarjoajan velvollisuudesta laatia tunnistuspalvelunsa käyttöoikeuden toimitusehdot. Näitä ehtoja olisi käytettävä tehtäessä sopimuksia tunnistusvälityspalveluiden tarjoajien kanssa. Toimitusehdot olisivat siten velvoittavia jokaiselle tunnistusvälityspalvelun kanssa tehtävälle sopimukselle, ja samoja ehtoja pitäisi tarjota kaikille luottamusverkostossa. Käytännössä tämä tarkoittaisi vain yksien ehtojen tekemistä. Myös lain pakottavuutta koskevasta 3 §:stä seuraa, ettei velvollisuudesta tarjota samoja toimitusehtoja kaikille ja tehdä sopimukset niiden mukaisesti voida poiketa toisin sopimalla.
Momentissa vaadittaisiin, että käyttöoikeuden ehtojen on oltava tämän lain mukaisia sekä kohtuullisia ja syrjimättömiä. Ehtojen sisältämistä tiedoista säädettäisiin uudessa 12 b §:ssä. Kohtuullisuutta ja syrjimättömyyttä arvioitaessa olennaista on, että ehtojen on kohdeltava samanlaisessa tilanteessa olevia tunnistusvälityspalvelun tarjoajia tasapuolisesti. Ehtojen pitää olla kohtuulliset kaikkien välityspalvelun tarjoajien kannalta ja ottaa huomioon erilaiset välityspalvelun tarjoajat siten, etteivät ne syrji ketään. Ehtojen syrjimättömyysvaatimus tarkoittaisi sitä, että jos tunnistusvälineen tarjoaja käyttää tunnistusmenetelmää itse tai tarjoaa sitä tytäryhtiölleen tai muulle sellaiselle taholle, sen on tarjottava vastaavaa palvelua vastaavin ehdoin ja samanlaatuisena myös tunnistusvälityspalvelulle. Kilpailevaa tunnistusvälityspalvelua ei tule asettaa palvelun tarjontaa koskevissa ehdoissa erilaiseen asemaan esimerkiksi palvelun toimitusajan tai palvelun tason suhteen. Syrjimättömyysvelvollisuus edellyttää lisäksi, että tunnistusvälineen tarjoaja ilmoittaa välityspalvelulle muutoksista, kuten saatavilla olevien rajapintojen vaihtumisesta tai muuttumisesta, siten että tieto muutoksesta on mahdollisimman samanaikaisesti sekä oman välityspalvelun että toisen välityspalvelun tarjoajan tiedossa.
Toimitusehtojen kohtuullisuutta ja syrjimättömyyttä ei valvottaisi ennakollisesti viranomaisen toimesta. Jos käyttöoikeutta pyytävä tunnistuspalvelun tarjoaja katsoo, että toisen tunnistuspalvelun tarjoajan julkaisemat toimitusehdot tai tunnistuspalvelun tarjoajan muu menettely ei täytä lain vaatimuksia, se voisi saattaa asian toimenpidepyynnöllä Liikenne- ja viestintäviraston käsiteltäväksi. Virasto voisi pyrkiä ratkaisemaan erimielisyydet ensisijaisesti sovittelemalla. Liikenne- ja viestintävirasto voisi todeta lakia valvovana viranomaisena valvontapäätöksellään, onko tunnistusvälineen tarjoajan toimitusehdoissa ristiriitaa sääntelystä johtuvien velvoitteiden kanssa. Hallintopakkokeinoja koskevan 45 §:n nojalla virasto voisi antaa huomautuksen sille, joka rikkoo sääntelyä, sekä velvoittaa tämän korjaamaan virheensä tai laiminlyöntinsä kohtuullisessa määräajassa. Päätöksen tehosteeksi asetettavista keinoista säädetään myös 45 §:ssä. Liikenne- ja viestintäviraston valvontapäätökseen voi hakea muutosta hallinto-oikeudessa.
Liikenne- ja viestintäviraston käsitellessä syrjimättömyyttä koskevaa asiaa tunnistusvälineen tarjoajalla olisi velvollisuus osoittaa, että sen käyttämät ehdot ja sen perimä hinta ovat syrjimättömiä.
Käyttöoikeuden luovutusvelvollisuudesta ja toimitusehtojen laatimisvelvollisuudesta seuraa, että tunnistusvälineen tarjoajan olisi 2 momentin mukaan hyväksyttävä tunnistusvälityspalvelun tarjoajan pyyntö toimitusehtojen mukaisen sopimuksen tekemisestä. Laissa säädettäisiin, että sopimus olisi tehtävä ja käyttöoikeus annettava viipymättä ja viimeistään kuukauden kuluessa pyynnön tekemisestä.
Sopimuksentekovelvollisuus ei olisi kuitenkaan ehdoton, vaikka sääntelyn lähtökohta on, että tunnistusvälineen tarjoajan on tarjottava välineensä kaikille tunnistusvälityspalveluille välitettäväksi näiden niin halutessa. Tunnistusvälineen tarjoaja voisi 2 momentin mukaan kieltäytyä sopimuksen tekemisestä, jos tunnistusvälityspalvelun tarjoaja toimii vastoin tätä lakia tai sen nojalla annettuja säännöksiä tai määräyksiä taikka kieltäytymiselle on muu painava peruste. Säännös vastaisi voimassa olevaa lain tulkintaa ja käytäntöä, joka on kirjattu Viestintäviraston käytännesääntöihin. Muu painava peruste olisi esimerkiksi se, että välityspalvelun tarjoaja toimii olennaisesti vastoin sen tunnistusperiaatteissa (välitysperiaatteet) määrättyä tarkoitusta. Myös muut erittäin painavat ja perustellut syyt, kuten esimerkiksi vakavat rikkeet osapuolten välisissä sopimuksissa tai pakotteet, voivat olla pätevä peruste sopimuksesta kieltäytymiseen. Sopimuksesta kokonaan kieltäytyminen on kuitenkin mahdollista vain viimesijaisena keinona, eli ensin on selvitettävä, voidaanko sopimus tehdä edellyttämällä muita osapuolten oikeudet turvaavia, kohtuullisia mekanismeja. Kieltäytyessään sopimisesta tunnistusvälineen tarjoajan on toimittava syrjimättömästi.
Pykälän 3 momentissa ehdotetaan säädettäväksi voimassa olevan 12 a §:n 2 ja 4 momentissa säädetystä yhteistyöstä. Hallinnollisia käytäntöjä koskevan yhteistyön velvoite ehdotetaan korvattavaksi selkeämmillä sopimis- ja tarjontapakkoa koskevilla velvoitteilla, eikä siitä näin ollen ole tarpeen säätää. Sen sijaan yhteistyö teknisten käytäntöjen yhteensovittamiseksi on välttämätöntä, jotta tekninen yhteentoimivuus voidaan turvata myös tekniikan kehittyessä ja uusien tunnistusmenetelmien osalta. Velvollisuus koskee sekä tunnistusvälineen että tunnistusvälityspalvelun tarjoajia.
Teknisen yhteentoimivuuden edistämiseksi pykälään ehdotetaan lisättäväksi velvoite siitä, että käyttöön otettavien teknisten ratkaisujen tulee mahdollistaa yleisesti tunnettujen standardien mukaisten rajapintojen tarjoamista luottaville osapuolille.
Tunnistusvälityspalvelut voivat valita asiointipalveluille tarjoamansa tekniset ratkaisut, kunhan ne täyttävät säädetyt turvallisuusvaatimukset. Luottamusverkoston sisäisiä tunnistuspalvelujen välisiä rajapintoja koskee vahvan sähköisen tunnistuspalvelun tarjoajien luottamusverkostosta annetun valtioneuvoston asetuksen (169/2016) 1 §:ssä säädetty velvollisuus tarjota vähintään yhtä yleisesti käytetyn standardin mukaista teknistä rajapintaa. Tällä hetkellä käytössä ovat väistymässä oleva Tupas-rajapinta ja SAML- tai OIDC-protokolliin perustuvat rajapinnat, joille Viestintävirasto on laatinut suositusprofiilin. Mobiilivarmenteen tarjoajilla on lisäksi käytössä myös ETSI:n varmennestandardiin pohjautuva rajapinta. Ehdotetun säännöksen tarkoitus on vahvistaa se periaate, että kun luottamusverkoston sisällä syntyy uudenlaisia ratkaisuja, niissä tulee huomioida aina vaikutus asiointipalveluille tarjottaviin teknisiin ratkaisuihin.
Pykälän 4 momentti olisi uusi. Se vastaisi sähköisen viestinnän palveluista annetun lain 248 §:ää, jossa säädetään vähimmän haitan periaatteesta. Tunnistuspalvelut edellyttävät jatkuvaa teknistä yhteentoimivuutta ja häiriöttömyyttä, ja siksi muutostilanteissa on välttämätöntä huomioida vaikutus ketjun muihin toimijoihin. Velvollisuus koskee sekä tunnistusvälineen että tunnistusvälityspalvelun tarjoajia. Tehokkaasti ilmoittaminen tarkoittaa sitä, että ilmoituksessa muille luottamusverkoston toimijoille täytyy huomioida sekä ilmoituskynnyksen että ilmoitusajan kannalta muutoksen tai häiriön laajuus ja vaikutus. Esimerkiksi tietyn protokollan mukaisen rajapinnan tarjonnasta luopumisesta on tarpeen saada tieto paljon aikaisemmassa vaiheessa kuin yksittäisen keskeytyksen aiheuttavasta huoltotyöstä. Luottamusverkoston yhteistyöryhmässä laadittu suositus suunnitellun muutos- tai huoltotyön ilmoittamisesta on viikkoa ennen työtä tai jos työ on tiedossa myöhemmin, viimeistään, kun työ on tiedossa.
Pykälän 5 momentti vastaa pääosin voimassa olevan lain 16 §:n 4 ja 5 momenttia. Tunnistuspalveluntarjoajan tietoon voi tulla toista tunnistuspalveluntarjoajaa koskevaa luottamuksellista tietoa 16 §:ssä säädetyn häiriötiedonvaihdon lisäksi myös käyttöoikeuden luovutuksessa, ja näitä tarjontavelvollisuuden perusteella saatuja tietoja täytyy käsitellä yrityksessä huolellisesti ja vain siihen tarkoitukseen, jonka perusteella ne on saatu. On huomattava, että tunnistuspalvelun tarjoajien keskinäisellä salassapidolla ei saa olla haitallista vaikutusta kuluttajan oikeuteen saada tietoa siitä, kenen toimijan puoleen kuluttaja voi kääntyä vedotakseen laillisiin oikeuksiinsa. Tämä on todettu Viestintäviraston suosituksena laadituissa luottamusverkoston käytännesäännöissä (216/2017 S kohta 4.7.3). Salassapitovelvollisuus ei siis estäisi tunnistuspalvelun tarjoajaa ohjaamasta kuluttajaa kääntymään sen tahon puoleen, joka voi auttaa kuluttajaa häiriön tai muun ongelman ratkaisemisessa tai joka vastaa vahingosta kuluttajalle.
Asetuksenantovaltuutta koskeva 6 momentti vastaa voimassa olevan lain 12 a §:n 5 momenttia. Siirtymäsäännöksen mukaan vahvan sähköisen tunnistuspalvelun tarjoajien luottamusverkostosta vuonna 2016 annettu valtioneuvoston asetus jäisi voimaan.
12 b §. Tunnistuspalvelun käyttöoikeuden toimitusehdot ja tunnistusvälineen tarjoajan tiedonantovelvollisuus. Pykälä olisi uusi. Siinä säädettäisiin tunnistusvälineen tarjoajan velvollisuudesta julkaista tunnistuspalvelunsa käyttöoikeuden toimitusehdot sekä muut käyttöoikeuden luovuttamisen ja tunnistuspalveluiden yhteentoimivuuden kannalta merkitykselliset tiedot. Tiedot olisi julkaistava palveluntarjoajan verkkosivuilla.
Tarkoitus on, että lain vaatimukset täyttävien ehtojen laatiminen ja julkaiseminen mahdollistaisi nopean sopimisen tunnistusvälityspalvelun kanssa. Toimitusehdot olisivat velvoittavia tunnistusvälineen tarjoajan ja tunnistusvälityspalvelun sopimukselle. Säännöksen tarkoituksena on edistää käyttöoikeuden luovutusta koskevia sopimusneuvotteluja sekä helpottaa luovutusehtojen kohtuullisuuden ja syrjimättömyyden valvontaa. Asetettavan avoimuusvelvollisuuden piiriin kuuluvat tiedot on määritelty säännöksessä. Avoimuusvelvollisuus asetetaan niiden tietojen osalta, jotka ovat käyttöoikeuden kannalta merkityksellisiä. Tiedot koskevat siten toimitusehtojen lisäksi teknisiä ominaisuuksia.
Ehdotetut vaatimukset toimitusehdoille olisivat teknologianeutraaleja ja ne soveltuvat verkkopankkitunnusten ja mobiilivarmenteiden lisäksi myös Väestörekisterikeskuksen tarjoamiin tunnistusvarmenteisiin, ellei näitä koskevassa sääntelyssä ole muuta säädetty. Ne soveltuvat myös uusiin tunnistusmenetelmiin, joita tullaan ilmoittamaan Liikenne- ja viestintäviraston rekisteriin vahvoina sähköisinä tunnistusvälineinä.
Selvyyden vuoksi todetaan tässä yhteydessä, että lain 14 §, joka koskee tunnistusperiaatteita, säilyisi ennallaan. Tunnistusperiaatteiden tarkoitus on ensisijaisesti turvata tunnistusvälineen käyttäjien ja niihin luottavien asiointipalveluiden tiedonsaanti. Nyt kyseessä olevat toimitusehdot olisivat luottamusverkoston sisäisiä, tunnistuspalvelun tarjoajien välisiä ehtoja. Ne voisi esimerkiksi sisällyttää tunnistusperiaatteisiin tai viitata niihin tunnistusperiaatteissa, mikä on ollut vallitseva käytäntö.
Ehdotuksen 1 kohdan mukaan toimitusehtojen täytyy sisältää kuvaus tunnistusvälineestä eli tunnistusmenetelmästä. Erona lain 14 §:n mukaisissa tunnistusperiaatteissa edellytettyyn käyttäjille ja asiointipalveluille tarkoitettuun palvelukuvaukseen toimitusehtojen täytyy sisältää tiedot niistä seikoista, jotka ovat tarpeen tunnistusvälityspalvelulle. Erityisesti kuvauksen tulee sisältää tiedot siitä, mitä tunnistetietoja henkilöstä on saatavilla tunnistusvälineen tarjoajalta. Vaatimus soveltuu sekä luonnollisen että oikeushenkilön vahvan sähköisen tunnistusvälineen tarjoamiseen. Vahvoja sähköisiä oikeushenkilön tunnistusvälineitä ei ole vielä tuotu Suomessa tarjolle. Tunnistetiedot jaetaan EU:n eIDAS-asetusta tarkentavassa rajat ylittävää tunnistamista koskevassa komission täytäntöönpanoasetuksessa (EU) 2015/1501 pakollisiin ja valinnaisiin. Samat tunnistetiedot on saatettu yhteentoimivuuden turvaamiseksi kansallisesti voimaan Viestintäviraston määräyksellä 72.
Pykälän 2 kohdan mukaan ilmoitettavista tunnistusvälineen käyttörajoituksista säädetään tarkemmin lain 18 §:ssä (ks. 18 §:n yksityiskohtaiset perustelut). Käyttörajoitusten pitää olla syrjimättömiä. Käyttörajoituksia voi olla esimerkiksi sähköisen allekirjoituksen tekeminen, heikon tunnisteen luominen (käyttäjätunnus-salasana -pari) tai kertakirjautumisen salliminen tai rajoittaminen.
Pykälän 3 kohta koskisi tietoja teknisistä rajapinnoista ja testausjärjestelyistä. Ilmoittaa tulisi ainakin tieto siitä, minkä protokollan mukaisia rajapintoja on tarjolla ja ovatko ne Liikenne- ja viestintäviraston suosituksen mukaisia. Itse tekniset spesifikaatiot ja mahdolliset luottamukselliset tiedot on toimitettava erikseen viipymättä tunnistusvälityspalvelulle, kun tämä pyytää sopimuksen tekemistä. Rajapinnoista säädetään myös 12 a §:n 3 momentissa ja valtioneuvoston asetuksessa 169/2016. Tiedot mahdollisesta testausjärjestelystä, esimerkiksi testausrajapinnasta, riippuvat tarjottavasta palvelusta.
Tunnistustapahtumista perittävä hinta tulisi ilmoittaa toimitusehdoissa pykälän 4 kohdan mukaan. Enimmäishinnasta ehdotetaan säädettäväksi uudessa 12 c §:ssä, joten hinta tulee ilmoittaa tämän enimmäishintasääntelyn sallimissa rajoissa. Käytännössä ehdoissa tulisi ilmoittaa paitsi hinnan suuruus myös hinnan määräytymisen perusteet etenkin silloin, jos hinta määräytyisi muuten kuin tunnistustapahtumakohtaisesti. Enimmäishinta mahdollistaisi muitakin hinnoittelumalleja kuin tunnistustapahtumien määrästä riippumattoman tunnistustapahtumakohtaisen hinnoittelun. Esimerkiksi niin kutsutut määräalennukset, eli tunnistustapahtumien määrästä riippuva hinnoittelu, olisi siten mahdollista. Tunnistustapahtumakohtaisen keskimääräisen hinnan olisi kuitenkin aina oltava enintään laissa säädetyn 3 sentin enimmäishinnan suuruinen. Kohtuullisuuden ja syrjimättömyyden vaatimuksista seuraisi, että hinnoittelun on oltava kaikkien osapuolten kannalta kohtuullista ja samaa hinnoittelua olisi tarjottava kaikille, eikä siitä voisi sopia toisin.
Mitä edellä todetaan hinnan määräytymisen perusteista, vastaisi voimassa olevan lain 12 a §:n 3 momentin perusteluita siltä osin, kun niissä on selvennetty enimmäishinnan osalta, että tunnistuspalvelun tarjoajat voivat sopia myös hinnoittelusta, joka mahdollistaa tapahtumamääristä riippumattoman korvauksen. Keskimääräinen korvaus välitettävästä tunnistetiedosta ei saa nykyisen säännöksen perusteluiden mukaan kuitenkaan ylittää 10 sentin enimmäiskorvausta (HE 272/2014 vp, 20 s.). Nyt ehdotettava enimmäishintasäännös mahdollistaisi myös tapahtumamääristä riippumattoman korvauksen, kunhan sen osalta voidaan varmistua siitä, ettei keskimääräinen korvaus tunnistustapahtumasta ylittäisi lain mukaista enimmäishintaa. Tällaistakin hinnoittelua koskisi kohtuullisuuden ja syrjimättömyyden vaatimus. Toimitusehdoissa tulisi ilmoittaa tällaisenkin hinnoittelumallin perusteet.
Pykälän 5 kohdan mukaan tunnistusvälineen tarjoajan on ilmoitettava tarjottu palvelutaso, jolla tarkoitetaan rajapinnan tai muiden tarvittavien elementtien saatavuutta. Ainoastaan sulkupalvelun saatavuudelle on säädetty vaatimus jatkuvasta saatavuudesta. Syrjimättömyysvaatimuksen takia palvelutason on oltava sama kaikille välityspalveluille, myös tunnistusvälineen tarjoajan omalle välityspalvelulle. Syrjimättömyysvaatimus ei kuitenkaan saisi aiheuttaa sitä, ettei liikennettä voitaisi heikentää tai katkaista häiriötä aiheuttavalle välityspalvelulle esimerkiksi palvelunestohyökkäyksien yhteydessä. Velvollisuus tiedottaa keskeytyksistä ja häiriöistä tukee käytettävyyttä ja ennakoitavuutta.
Kuvaus huolto- ja muutostöiden ilmoittamisesta koskee sitä, millä menettelyillä, kynnyksillä ja missä ajassa huolto- ja muutostöistä informoidaan. Nämä tiedot tulisi 6 kohdan mukaan ilmoittaa toimitusehdoissa.
Tiedot käytettävästä laskutusmenettelystä olisi ilmoitettava 7 kohdan perusteella. Laskutusmenettely tai mahdolliset vaihtoehtoiset menettelyt, joista sopimusosapuoli voisi valita, olisi kuvattava ehdoissa riittävällä tasolla.
Ehdotettava 8 kohta koskee vahingonkorvausvastuuta koskevia ehtoja. Ne voitaisiin sisällyttää toimitusehtoihin lain säännökset huomioiden. Lain pakottavuutta koskevasta 3 §:stä seuraisi, että siltä osin kuin vahingonkorvausvastuusta on säädetty tässä laissa, siitä ei ole mahdollista sopia toisin. Vastuunrajoituksista ja vastuun kohdentumisesta olisi siten mahdollista sopia vain siltä osin kuin se jää sääntelemättä. Ehtojen olisi oltava kohtuullisia ja syrjimättömiä 12 a §:ssä tarkoitetulla tavalla.
Tavaramerkkien ja muiden immateriaalioikeuksien käytön ehdoista tulisi ilmoittaa 9 kohdan nojalla. Syrjimättömyyden vaatimuksesta seuraisi, että tavaramerkkiä pitää pystyä käyttämään siten kuin voimassa olevissa Viestintäviraston suosituksena laadituissa luottamusverkoston käytännesäännöissä todetaan. Käytännesääntöjen mukaan tunnistusvälityspalvelulla on oikeus sopia asiointipalvelun kanssa siitä, että asiointipalvelussa käytettävissä olevien tunnistusvälineiden tavaramerkit näkyvät asiointipalvelussa.
Pykälän 10 kohdan mukaan tunnistusvälineen tarjoajan olisi ilmoitettava henkilötietojen käsittelyn periaatteet EU:n yleisen tietosuoja-asetuksen mukaisena rekisterinpitäjänä. Asetuksessa säädetään rekisterinpitäjän asemasta, velvollisuuksista ja vastuusta. Oletuksena on, että tunnistusvälityspalvelu katsottaisiin tietosuoja-asetuksen mukaiseksi itsenäiseksi rekisterinpitäjäksi, ja tunnistusvälineen tarjoajan ja tunnistusvälityspalvelun tarjoajan sopimuksessa huomioitaisiin rinnakkaisten rekisterinpitäjien välillä oleelliset asiat. Tunnistusvälityspalvelun oletettua asemaa rekisterinpitäjänä tukee se, että tämän lain mukaan tunnistusvälityspalvelu voi päättää ja vastaa itsenäisesti henkilötietojen luovuttamisesta asiointipalvelulle tunnistustapahtuman toteuttamisessa, eikä se voi olla riippuvainen tunnistusvälineen tarjoajan luvasta. Itsenäistä rekisterinpitäjän roolia tukee myös tunnistusvälityspalvelua koskeva lain 24 §:ssä säädetty itsenäinen velvollisuus tallentaa ja säilyttää tiedot tunnistustapahtumista.
Lain 6 § ja 24 § koskevat ainoastaan tunnistustapahtumaan kuuluvia tunnistetietoja. Muiden, niin kutsuttujen rikastamistietojen käsittelyperuste on aina arvioitava erikseen tietosuoja-asetuksen tai muun henkilötietojen käsittelyä koskevan sääntelyn perusteella. Tunnistustapahtumaan kuuluvina tunnistetietoina on pidettävä niitä tietoja, jotka EU:n eIDAS-asetuksen nojalla annetussa EU:n komission täytäntöönpanoasetuksessa (EU) 2015/1501 määritellään EU-tasolla luonnollisen henkilön tai oikeushenkilön pakollisiksi tai valinnaisiksi tunnistetiedoiksi. Myös oikeushenkilön tunnistetietoihin sisältyvät aina pakollisina oikeushenkilön tunnistusvälineeseen kytketyn luonnollisen henkilön tunnistetiedot.
Mahdolliset perusteet muuttaa sopimusehtoja yksipuolisesti tulisi ilmoittaa 11 kohdan nojalla.
Riidanratkaisun menetelmä olisi 12 kohdan mukaan myös ilmoitettava.
Mahdollisuus ilmoittaa muut luottamusverkoston toiminnan kannalta välttämättömät ehdot sisältyisi 13 kohtaan. Mahdollisia muita tällaisia ehtoja voisivat käytännössä olla esimerkiksi sopimuksen voimassaoloaikaan ja irtisanomiseen liittyvät ehdot, sopimukseen liittyvien ilmoitusten tekotapa, laissa erikseen sääntelemättömät salassapitoon liittyvät ehdot tai tarkemmat avustamismenettelyt virhe- ja väärinkäytöstilanteissa.
12 c §.Korvaus tunnistuspalvelun käyttöoikeudesta. Luottamusverkoston hintasääntelystä ehdotetaan säädettäväksi erikseen tässä uudessa pykälässä. Sen 1 momentin mukaan tunnistusvälityspalvelun tarjoajan on suoritettava tunnistuspalvelun käyttöoikeudesta korvaus, joka on enintään kolme senttiä edelleen välitettävältä tunnistustapahtumalta. Käyttöoikeudella tarkoitetaan muutettavaksi ehdotettavan 12 a §:n 2 momentin mukaista käyttöoikeutta.
Ehdotettu korvaus olisi enimmäishinta, kuten nykyisinkin, mutta sen taso laskettaisiin nykyisestä 10 sentistä 3 senttiin. Hintatasoa perustellaan esityksen taloudellisia vaikutuksia koskevassa osassa. Lakiin ehdotetusta 12 a §:n 2 momentissa säädettävästä käyttöoikeuden ehtojen syrjimättömyysvaatimuksesta seuraisi, että hinnan määräytymisen perusteiden tulee olla kaikille osapuolille sama, millä pyritään varmistamaan hinnoittelun syrjimättömyys. Myös lain pakottavuutta koskevasta 3 §:stä seuraa, ettei siitä voisi osapuolten välillä sopia toisin. Käytännössä tämä tarkoittaa, että tunnistusvälineen tarjoajan tulee tarjota tunnistuspalvelunsa käyttöoikeutta samoilla säädetyn enimmäishinnan puitteissa määritellyillä hinnan määräytymisen perusteilla kaikille luottamusverkostossa toimiville tunnistusvälityspalveluille.
Enimmäishinta mahdollistaisi muitakin hinnoittelumalleja kuin tunnistustapahtumien määrästä riippumattoman tunnistustapahtumakohtaisen hinnoittelun. Esimerkiksi niin kutsutut määräalennukset, eli tunnistustapahtumien määrästä riippuva hinnoittelu, olisi siten mahdollista. Tunnistustapahtumakohtaisen hinnan olisi kuitenkin aina oltava enintään laissa säädetyn enimmäishinnan suuruinen. Kohtuullisuuden ja syrjimättömyyden vaatimuksista seuraisi, että hinnoittelun on oltava kaikkien osapuolten kannalta kohtuullista ja samaa hinnoittelua olisi tarjottava kaikille, eikä siitä voisi sopia toisin.
Mitä edellä todetaan hinnan määräytymisen perusteista, vastaisi voimassa olevan lain 12 a §:n 3 momentin perusteluita siltä osin, kun niissä on selvennetty enimmäishinnan osalta, että tunnistuspalvelun tarjoajat voivat sopia myös hinnoittelusta, joka mahdollistaa tapahtumamääristä riippumattoman korvauksen. Keskimääräinen korvaus välitettävästä tunnistetiedosta ei saa nykyisen säännöksen perusteluiden mukaan kuitenkaan ylittää 10 sentin enimmäiskorvausta (HE 272/2014 vp, 20 s.). Nyt ehdotettava enimmäishintasäännös mahdollistaisi myös tapahtumamääristä riippumattoman korvauksen, kunhan sen osalta voidaan varmistua siitä, ettei keskimääräinen korvaus tunnistustapahtumasta ylittäisi lain mukaista enimmäishintaa.
Selkeyttämällä enimmäishintaa koskevaa säännöstä ja muutenkin luottamusverkoston toimintaa pyrittäisiin myös selventämään nykyisessä soveltamiskäytännössä aiheutuneita epäselvyyksiä koskien erityisesti kertakirjautumista ja tunnistusvälityspalvelun omia asiointipalveluja.
Kertakirjautumisessa välityspalvelu toteuttaa yhden tunnistustapahtuman perusteella kertakirjautumisistunnon, jonka sisällä asiakas voi siirtyä tunnistettuna useisiin eri asiointipalveluihin, joihin hänet muuten tunnistettaisiin erikseen. Perusteltuna voidaan pitää sitä, että kertakirjautumisessa jokainen välityspalvelun ylläpitämän kertakirjautumisistunnon sisällä tapahtuva tunnistautuminen eri asiointipalveluihin katsottaisiin hintasääntelyn kannalta erilliseksi korvattavaksi tapahtumaksi, vaikka tunnistusvälineen tarjoaja lähettäisi vain kerran tunnistustiedon välittäjälle. Päinvastainen tulkinta voisi ohjata tarpeettomasti kertakirjautumisen käyttöön sellaisissakin tilanteissa, joissa sitä ei muuten käytettäisi.
Väestörekisterikeskuksen ylläpitämästä suomi.fi -tunnistuspalvelusta säädetään hallinnon yhteisistä sähköisen asioinnin tukipalveluista annetussa laissa (571/2016). Sen esitöissä (HE 59/2016 vp) todetaan suomi.fi -tunnistuspalvelusta, että suhteessa tunnistuslakiin siinä olisi kyse tunnistuksen välityksen tarjoamisesta rajatulle käyttäjäpiirille. Tunnistuspalvelun käyttäjäorganisaatioista säädetään kyseisen lain 5 §:ssä. Lain esitöissä Väestörekisterikeskuksen todetaan olevan palveluja tarjotessaan tunnistuslain näkökulmasta yleisölle tarjottavia tunnistuspalveluja hyödyntävän organisaation roolissa, eikä siten esimerkiksi mukana tunnistuslain mukaisessa luottamusverkostossa.
Käytännössä välityspalvelu voi paitsi välittää tunnistusta luottaville osapuolille, myös tarjota itse sähköisiä asiointipalveluita, joissa se mahdollisesti hyödyntää vahvaa tunnistusta. Välityspalvelun oikeutta hyödyntää välityssopimuksen mukaisella hinnalla hankkimiaan tunnistustapahtumia itse tarjoamassaan asiointipalvelussa voidaan pitää perusteltuna luottamusverkoston toimijoiden tasapuolisten toimintamahdollisuuksien kannalta. Myös tunnistusvälineen tarjoajat voivat toimia välityspalvelun roolissa tai tarjota asiointipalveluita, joissa ne hyödyntävät vahvaa tunnistusta. Tunnistustapahtumien käytön erittely välityspalvelussa edelleenvälitykseen ja omiin asiointipalveluihin olisi hallinnollisesti tarpeettoman raskas ja vaikeasti valvottava vaatimus, joka asettaisi erikokoiset yritykset eri asemaan, koska suuremmat yritykset voisivat organisoida edelleenvälityksen ja oman asiointipalvelun eri yhtiöihin.
Tunnistustapahtumassa välityspalvelu saa teknisen rajapinnan kautta tunnistusvälineen käyttäjään liittyvät yksilöivät tunnistetiedot ja se voi välittää niitä sähköiseen tunnistukseen luottavalle osapuolelle, jotta tämä voi varmistua sähköisen asioijan henkilöllisyydestä. Ehdotetun 1 momentin mukaan korvaus kattaa kaikki sähköiseen tunnistusvälineeseen liittyvät henkilön tunnistetiedot. Tämän on tarkoitus selventää sitä, että kaikki yksittäisessä tunnistustapahtumassa välineen tarjoajalta välityspalvelulle välitetyt tunnistetiedot sisältyvät säädettyyn hintaan.
Toistaiseksi tunnistusvälineen tarjoajat tarjoavat Suomessa vahvoja sähköisiä tunnistusvälineitä ainoastaan luonnollisille henkilöille, mutta vaatimukset pätevät yhtä lailla laissa tarkoitettuihin oikeushenkilöiden tunnistusvälineisiin, jos niitä tulee tarjolle. Viestintäviraston määräyksessä 72A/2018 M on määrätty yhteentoimivuuden varmistamiseksi luonnollisen ja oikeushenkilön pakolliset ja valinnaiset attribuutit. Attribuutit vastaavat komission täytäntöönpanoasetusta (EU) 2015/1501. Tunnistusvälineen tarjoaja päättää, haluaako se tarjota valinnaisia tunnistetietoja. Syrjimättömyysvaatimuksesta seuraisi, että jos tunnistusvälineen tarjoaja omassa toiminnassaan käyttää tiettyjä valinnaisia attribuutteja, on ne tarjottava säädetyn enimmäishinnan puitteissa myös muiden välityspalveluiden käyttöön. Myös tunnistusvälityspalvelu voi rikastaa vähimmäisattribuutteja valinnaisilla attribuuteilla, joita ovat esimerkiksi henkilön osoitetieto ja oikeushenkilöiden kohdalla erilaiset EU:n tasolla harmonisoidut tunnistenumerot. Tunnistusvälityspalvelu voi myös köyhdyttää tietoja ja tarjota asiointipalvelulle vaikkapa vain vahvistusta, että asioija on täysi-ikäinen.
Nykyisen säännöksen soveltamiskäytäntöä vastaavasti hintasääntely soveltuisi tunnistusvälineen tarjoajan ja välityspalvelun välillä riippumatta asiointipalvelussa tapahtuvan asioinnin sisällöstä. Hintasääntely soveltuisi siis myös tilanteessa, jossa vahvaan sähköiseen tunnistusvälineeseen liittyvää tunnistetietoa käytetään ns. heikkojen sähköisten tunnisteiden, kuten käyttäjätunnus-salasana-parien luomiseen siinä asiointipalvelussa, johon välityspalvelu tiedon välittää.
Voimassa olevan lain 12 a §:n 3 momentin mukaan luottamusverkoston hintasääntelyn tasoa tullaan arvioimaan vuosittain. Säännöstä on alettu soveltaa 1 päivänä toukokuuta 2017. Koska hinnasta säädetään jo nykyisin laissa, myös sen muuttaminen on tehtävä lainsäädäntöä muuttamalla. Hintatason arviointia koskeva velvollisuus säilytettäisiin.
Ehdotuksen mukaan Liikenne- ja viestintävirasto arvioisi tässä pykälässä säädetyn korvauksen tasoa vuosittain. Tällä varmistettaisiin, että sääntelyn tarkoituksenmukaisuutta ja toimivuutta arvioitaisiin säännöllisesti suhteessa markkinoilla tapahtuvaan kehitykseen. Koska laissa säädettäisiin enimmäishinnasta, tärkeää olisi seurata erityisesti sitä, millaiseksi hintataso markkinoilla käytännössä muodostuu ja miten hinnoittelumallit kehittyvät. Ehdotettu enimmäishinta sallii esimerkiksi tunnistustapahtumien määrästä riippuvan hinnoittelun, mikä voisi johtaa uudenlaisiin hinnoittelumalleihin. Välityspalveluilta perityt hinnat tulisivat 12 b §:n nojalla julkisiksi. Lisäksi tulisi muutenkin seurata, millaisia tunnistuspalvelun käyttöoikeuden toimitusehtoja markkinoilla käytetään ja esimerkiksi sitä, miten ehdoissa ilmoitetaan hinnasta. Liikenne- ja viestintävirasto, joka muutenkin valvoo tämän lain noudattamista ja tunnistuspalvelun tarjoajia, arvioisi markkinoiden kehitystä vuosittain yhdessä muiden toimivaltaisten viranomaisten ja tunnistuspalvelun tarjoajien kanssa. Arvioinnin tulokset huomioidaan liikenne- ja viestintäministeriön toimesta osana lain täytäntöönpanoa ja vaikutusten toteutumista koskevaa seurantaa. Seurannassa arvioidaan enimmäishintasääntelyn toimivuutta ja mahdollisia muutostarpeita. Mikäli muutostarpeita havaitaan, muutokset on toteutettava muuttamalla nyt kyseessä olevaa sääntelyä.
Pykälän 2 momentissa säädettäisiin, että tunnistuspalvelun käyttöoikeudesta ei saa periä mitään muuta korvausta kuin 1 momentissa säädetty. Säännöksellä selkeytetään sitä, ettei pakottavaa enimmäishintasääntelyä voi kiertää perimällä erillistä korvausta jostain tunnistuspalvelun käyttöoikeuden tarjoamiseen liittyvästä toiminnosta. Momentin luettelo erilaisista käyttöoikeuksista on tarkoitettu kattamaan kaikki sellaiset käyttöoikeudet, joita tarvitaan tunnistuksen välittämiseen luottavalle osapuolelle. Esimerkiksi erillistä kuukausimaksua tai laskutuslisiä ei siten saisi periä.
12 d §. Luottamusverkoston jäsenten välinen vahingonkorvausvelvollisuus. Pykälä olisi uusi. Sen tarkoitus on selventää vahingonkorvausvastuuta luottamusverkoston sopimis- ja tarjontavelvollisuuden rikkomista koskevissa tilanteissa. Pykälän tavoitteena on tehostaa sopimisvelvollisuuden noudattamista. Ehdotettu pykälä vastaa sähköisen viestinnän palveluista annetun lain 81 §:ää.
Pykälä ei koskisi lainkaan varsinaisen tunnistuspalvelun toimivuuteen tai luotettavuuteen liittyvää vahingonkorvausvastuuta.
Vahingonkorvausvelvollisuus voisi tulla kyseeseen esimerkiksi tilanteissa, joissa rikotaan luottamusverkoston yhteentoimivuutta ja ilmoitusvelvollisuutta koskevia säännöksiä. Pykälän 1 momentissa yksilöitäisiin ne lainkohdat, joissa säädettyjen velvollisuuksien vastaisesti toimiminen voisi johtaa vahingonkorvausvastuuseen. Säännös soveltuisi kaikkiin luottamusverkoston toimijoihin.
Pykälän 2 momentissa rajattaisiin korvausvelvollisuus ainoastaan välittömiin vahinkoihin. Momentissa lueteltaisiin tyhjentävästi ne vahinkoryhmät, joista tunnistuspalvelun tarjoaja voisi joutua korvausvelvolliseksi tämän pykälän perusteella.
Korvauksen sovittelusta säädettäisiin 3 momentissa. Sovittelussa huomioon otettavia seikkoja voivat olla esimerkiksi tunnistuspalvelun tarjoajien koko ja niiden liiketoiminnan laajuus, vahingon aiheuttaneen teon tahallisuuden aste ja muut asiaan vaikuttaneet erityiset olosuhteet.
Pykälän 4 momentissa säädettäisiin korvauskanteen vanhentumisesta.
Pykälän 5 momentin mukaan tuomioistuin voisi halutessaan pyytää Liikenne- ja viestintäviraston lausuntoa korvauskannetta koskevassa asiassa. Viraston toimivaltaan kuuluu valvoa tämän lain noudattamista ja tunnistuspalvelun tarjoajia. Säännös ei luonnollisesti sitoisi tuomioistuinta.
16 §.Tunnistuspalvelun tarjoajan ilmoitukset toimintaan ja tietojen suojaamiseen kohdistuvista uhkista tai häiriöistä. Pykälän otsikko muutettaisiin vastaamaan 2 momenttiin ehdotettavaa muutosta, jonka johdosta tässä pykälässä säädettäisiin tunnistuspalvelun tarjoajan ilmoitusvelvollisuuden lisäksi myös vapaaehtoisesta ilmoittamisesta.
Pykälän 1 momentti, jossa säädetään ilmoitusvelvollisuudesta, säilyisi sisällöllisesti ennallaan. Siihen tehtäisiin vain säädösteknisiä muutoksia. Momentin viimeinen lause Liikenne- ja viestintäviraston oikeudesta välittää teknisesti momentissa tarkoitettuja tietoja luottamusverkostossa osapuolten välillä viranomaisten toiminnan julkisuudesta annetun lain estämättä siirrettäisiin uudeksi 3 momentiksi. Sen tilalle pykälän loppuun lisättäisiin voimassa olevan pykälän 3 momentti, joka asiallisesti koskee vain 1 momenttia. Lisäykseen ei tehtäisi sisällöllisiä muutoksia.
Pykälään lisättäisiin uusi 2 momentti, jonka tarkoitus on selventää tunnistuspalveluntarjoajien oikeutta vaihtaa uhka- ja häiriötietoa luottamusverkostossa myös muiden kuin sopimuskumppaneidensa kanssa. Velvollisuus vaihtaa tietoa koskee 1 momentin mukaan vain sopimuskumppaneita. Koko luottamusverkoston kattava tiedonvaihto uhkista ja häiriöistä edistäisi jäsenten kykyä ennaltaehkäistä ja selvittää häiriötilanteita. Muutos turvaisi myös sen, että vapaaehtoisesti koko luottamusverkoston kesken vaihdettuja tietoja koskee sama salassapitovelvollisuus kuin pakollisesti vaihdettuja tietoja sopimuskumppaneiden kanssa. Asian selkeyttämisen arvioidaan vähentävän tulkinnanvaraisuutta ja siten edistävän luottamusverkoston sopimusneuvotteluja.
Muutoksen tarkoitus on lisäksi mahdollistaa tiedonvaihto luottamusverkoston kesken sellaisista palvelun tarjoajista, joiden on syytä epäillä tavoittelevan oikeudetonta taloudellista hyötyä, antavan merkityksellisiä totuudenvastaisia tai harhaanjohtavia tietoja tai käsittelevän henkilötietoja lainvastaisesti. Aiemmin tässä pykälässä tarkoitettuihin uhka- ja häiriötietoihin verrattuna näillä tiedoilla tarkoitettaisiin sellaisia tietoja, jotka eivät välttämättä muodosta suoranaista uhkaa tunnistamisen tekniselle oikeellisuudelle, tietoturvalle tai henkilöllisyyden väärinkäytölle mutta jotka antavat syyn epäillä asiointipalvelun toimivan epäasiallisesti. Tällaiset havainnot voivat perustua esimerkiksi asiointipalvelun harhaanjohtavaan markkinointiin tai muuhun totuudenvastaiseen tietoon, joka johtaa käyttäjiä harhaan.
Tietoja voisi välittää siinä tarkoituksessa, että muut luottamusverkoston jäsenet voivat ottaa sen harkintansa mukaan huomioon omassa riskiarviossaan tehdessään sopimuksia luottavien osapuolten eli asiointipalveluiden kanssa. Oikeus tällaisen tiedon vaihtoon vähentäisi sitä riskiä, että käyttäjien kannalta epäasiallisesti tai petollisesti toimiva asiointipalvelu, jonka kanssa tunnistusvälityspalvelu ei ole riskiarvion perusteella tehnyt sopimusta, voisi pyrkiä sopimaan tunnistuspalvelusta sellaisen tunnistusvälityspalvelun kanssa, joka ei ole toiminnasta tietoinen.
Pykälän 3 momentti vastaisi sisällöltään voimassa olevan 1 momentin viimeistä lausetta. Liikenne- ja viestintäviraston oikeus välittää teknisesti pykälässä tarkoitettuja tietoja koskisi jatkossa sekä pakollisen ilmoitusvelvollisuuden että vapaaehtoisen ilmoittamisen perusteella tehtäviä ilmoituksia.
17 §.Tunnistusvälineen hakijana olevan luonnollisen henkilön tunnistaminen. Esityksessä ehdotettaisiin muutoksia 17 §:ään siltä osin, kun sillä säädetään olemassa olevaan vahvaan sähköiseen tunnistusvälineeseen perustuvasta sähköisestä ensitunnistamisesta uuden tunnistusvälineen myöntämiseksi, eli niin sanotusta ensitunnistamisen ketjuttamisesta. Ensitunnistamisen ketjuttamisesta on kyse silloin, kun esimerkiksi olemassa olevalla pankkitunnuksella luodaan sähköisesti uusi mobiilivarmenne. Ensitunnistaminen määritellään voimassa olevan lain 2 §:n 1 momentin 7 kohdassa.
Pykälän 4 momentissa selvennettäisiin, että niin sanottua ensitunnistamisen ketjuttamista koskeva säännös tarkoittaa sitä, että ensitunnistamista on tarjottava muille palveluntarjoajille, jotka halutessaan voivat myöntää sen perusteella uuden vahvan sähköisen tunnistusvälineen. Kukin tunnistusvälineen tarjoaja päättää itse, kenen tekemää ensitunnistamista se haluaa hyödyntää. Voimassa olevan 4 momentin säännöksen soveltamiskäytännössä on aiheutunut jonkin verran epäselvyyttä ensitunnistamisen ketjuttamiseen liittyvistä oikeuksista ja velvollisuuksista. Kyseessä olisi lakia selkeyttävä muutos, eikä sen tarkoituksena olisi muuttaa nykytilaa tai soveltamiskäytäntöä.
Lisäksi 4 momentissa täsmennettäisiin, että mahdollisuus ketjuttaa ensitunnistaminen tarkoittaisi sitä, että korkean varmuustason välineellä voi ketjuttaa myös korotetun tason välineen, mutta ei toisin päin.
Lain soveltamisala huomioiden selvää on, että säännös koskee vain tilanteita, joissa vahvalla sähköisellä tunnistusvälineellä luodaan toinen vahva sähköinen tunnistusväline. Tunnistusvälineen tarjoajilla tarkoitettaisiin tunnistus- ja luottamuspalvelulain 10 §:n mukaisesti Liikenne- ja viestintävirastoon ilmoituksen tehneitä palveluntarjoajia.
Uutena säännöksenä 4 momenttiin lisättäisiin viittaus siihen, että ensitunnistamisen ketjuttamiseen sovelletaan 12 a ja b §:n säännöksiä tunnistuspalvelun käyttöoikeuden luovutuksesta. Tämä tarkoittaisi, että tunnistusvälineen tarjoaja on velvollinen laatimaan käyttöoikeuden luovuttamista koskevat toimitusehdot ja tekemään niiden mukaisen sopimuksen sen tunnistusvälineen tarjoajan kanssa, joka haluaa käyttää ensitunnistamisen ketjuttamista. Määräaika sopimuksen tekemiselle olisi vastaava kuin 12 a §:n 2 momentissa. Tunnistusvälineen tarjoajan päätettäväksi jäisi, sisällyttääkö se ensitunnistamisen ketjuttamisen samoihin toimitusehtoihin ja sopimukseen kuin 12 a §:n mukaisen tunnistuspalvelunsa käyttöoikeuden luovuttamisen. Mahdollista olisi siten tehdä erillinen sopimus ensitunnistamisen ketjuttamisesta kuin tunnistustapahtumien välittämisestä. Tarkoitus on kuitenkin, että välineen tarjoaja laatisi yhdet toimitusehdot ensitunnistamisen ketjuttamisesta, tarjoaisi niitä kaikille osapuolille, julkaisisi ne ja käyttäisi ainoastaan niitä sopimuksia tehdessään. Ehtojen olisi oltava tämän lain mukaisia sekä kohtuullisia ja syrjimättömiä.
Pykälään ehdotettava uusi 5 momentti korvaisi nykyiseen 17 §:n 4 momenttiin sisältyvän vastuusääntelyn, johon liittyneitä tulkintaongelmia on tarkoitus selventää. Ensitunnistuksen virheellisyydellä tarkoitettaisiin tilanteita, joissa väärä henkilö tunnistetaan tietyksi henkilöksi sen johdosta, että aiempi ensitunnistaminen on tehty väärin toisen tunnistusvälineen tarjoajan toimesta. Jos tunnistusvälineitä on ketjutettu useampia, virhe voi olla tapahtunut minkä tahansa tunnistusvälineen myöntämisen yhteydessä.
Ehdotettava 5 momentti ei koskisi tilannetta, jossa vasta ensitunnistamisen ketjutusta varten välitetyssä tunnistustapahtumassa tunnistusvälineen myöntäjälle välittyy esimerkiksi teknisen virheen takia tai oikeudettoman käytön takia väärä tieto tunnistusvälineen hakijasta. Momentti tulisi kuitenkin tällaisenkin virheellisyyden tapauksessa sovellettavaksi siihen tunnistusvälineen tarjoajaan nähden, joka myöntäisi tällaisen väärän tiedon sisältävän tunnistusvälineen perusteella uuden tunnistusvälineen, johon virheellisyys välittyisi. Oikeudettomalla käytöllä tarkoitetaan tilannetta, jossa ensitunnistamisen ketjuttamisessa käytetty tunnistusväline on joutunut oikeudettomasti toisen haltuun, vaikka kyseinen tunnistusväline on kuitenkin myönnetty oikealle käyttäjälle. Tarkoitus olisi näin ollen selventää nykyistä 17 §:n 4 momenttia siten, että vastuu ei koskisi tilannetta, jossa aiempi ensitunnistus on tehty oikein mutta uuden välineen haku on tehty välinettä oikeudettomasti käyttäen.
Pykälän uusi 6 momentti koskisi ensitunnistamisen ketjuttamisessa ketjuuntuvaan virheeseen liittyvää tunnistusvälineen tarjoajien välistä takautumisoikeutta. Nykyisen 17 §:n 4 momentin osalta soveltamiskäytännössä on katsottu, että se ei sulje pois takautumisoikeutta, vaan se on olemassa ja siitä voidaan sopia tarkemmin toimijoiden kesken. Muun muassa Viestintäviraston teettämässä oikeudellisessa asiantuntijaselvityksessä on katsottu, että nykyisestä 17 §:n 4 momentista ei voida johtaa vastuunrajoitusta aiemman ensitunnistajan hyväksi suhteessa vahingonkärsijään. Selvityksessä on myös katsottu, että tilanteissa, joissa niin kutsuttu toissijainen ensitunnistaja (joka ei ole lain mukainen määritelmä) on vahingosta vastuussa 17 §:n 4 momentin nojalla, ja aiemman ensitunnistuksen tekijä sopimusperusteisen ekskulpaatiovastuun nojalla, vaikuttaa tarkoituksenmukaiselta lähtökohdalta, että vahinko jää vahingonaiheuttajien keskinäisessä suhteessa siitä tuottamuksensa tai oletetun sellaisen perusteella vastaavan kannettavaksi.
Kuten aiempi 4 momentti, ehdotettu 5 momentti ei siis estäisi vahingonkärsijää kääntymästä suoraan alkuperäisen virheen tehneen tunnistusvälineen tarjoajan puoleen, mutta vastuun perusteita tässä tilanteessa ei säänneltäisi erikseen. Siten olisi mahdollista, että tunnistusvälineen tarjoaja ilmoittaisi tällaisissa tilanteissa vastuun rajoitusta ja kohdentumista välineen tarjoajien keskinäisessä suhteessa koskevat ehdot osana julkaistavia toimitusehtoja, kuten ehdotetussa 12 b §:n 8 kohdassa säädetään. Tällaisten sopimusehtojen on muutettavaksi ehdotettavan 12 a §:n mukaisesti oltava tämän lain mukaisia sekä kohtuullisia ja syrjimättömiä. Ehdotuksen 3 §:n mukaisesta selvennyksestä koskien lain pakottavuutta tunnistuspalvelun tarjoajien välillä seuraisi, että siltä osin, kuin vastuukysymyksistä säädetään laissa, niistä ei voida sopia toisin.
Ottaen erityisesti huomioon väliaikaisesti 7 momenttiin lisättävä ensitunnistamisen ketjuttamista koskevan hintasääntelyn muutos, perusteltuna ei voida pitää, että vastuu tällaisissa tilanteissa kohdentuisi alkuperäisen virheen tehneelle kategorisesti. Tunnistusvälineen tarjoajan on sallittava se, että muut tunnistusvälineen tarjoajat voivat hyödyntää sen myöntämää tunnistusvälinettä ensitunnistamisen ketjuttamisessa. Kun ketjutusten lukumäärää ei myöskään ole rajoitettu, eikä ketjuttamisesta suoritettaisi tunnistustapahtuman välitystoimintaa koskevaa hintaa korkeampaa korvausta, kohtuullisena ei voida pitää, että mahdolliset vahingot lähtökohtaisesti jäisivät alkuperäisen virheen tehneen tunnistusvälineen tarjoajan vastattavaksi. Tästä olisivat kuitenkin poikkeuksena kvalifioidun tuottamuksen tilanteet eli vahingot, jotka aiheutuvat alkuperäisen virheen tehneen tunnistusvälineen tarjoajan tahallisuudesta tai törkeästä huolimattomuudesta. Esimerkkinä mahdollisesta kvalifioidun tuottamuksen tilanteesta voisi olla se, että vahinko johtuu siitä, että ensitunnistamisessa virheen tehnyt tunnistusvälineen tarjoaja ei ole tarkastanut ensitunnistamisessa käytetyn passin tai henkilökortin voimassaoloa lain 7 b §:ssä tarkoitetulla tavalla, vaikka tieto olisi ollut saatavissa.
Pykälän 7 momenttiin lisättäisiin kahden vuoden määräajaksi viittaus 12 c §:ään, mikä tarkoittaisi, että luottamusverkoston hintasääntely koskisi väliaikaisesti myös ensitunnistamisen ketjuttamista. Hinta olisi siten sama 3 sentin enimmäishinta kuin tunnistustapahtuman välittämisen hinta tunnistusvälityspalvelulle. Teknisesti tunnistetiedon välittäminen ensitunnistamisessa on vastaava toimenpide kuin tunnistetiedon välittäminen tunnistuspalvelujen tarjoajien verkostossa. Näin ollen hinta on perusteltua säätää samaksi. Hinnan alentamista nykyisestä hintatasosta puoltaisi erityisesti myös se, että pykälän 5 ja 6 momentissa tarkennettaisiin ensitunnistamisen ketjuttamiseen liittyvää vastuusääntelyä. Siinä huomioitaisiin, että koska hintaa alennettaisiin nykyisestä, kohtuullisena ei voida pitää, että vastuu mahdollisesta ensitunnistamisen virheellisyydestä aiheutuvasta vahingosta muutoin kuin poikkeuksellisesti kanavoituisi ketjuttamistilanteessa takautuvan vahingonkorvausvaatimuksen nojalla alkuperäisen virheen tehneen tunnistusvälineen tarjoajan vastattavaksi.
Ketjuttamisen hintaan ei saisi 12 c §:n 2 momentin mukaisesti lisätä mitään muuta korvausta. Ensitunnistamisen ketjuttamisen hintaa on perusteltua arvioida erillisenä tunnistusvälineen tarjoajalle itselleen varsinaisesta henkilön ensitunnistamisesta aiheutuvista kustannuksista, eikä niitä pidä voida lukea mukaan ensitunnistamisen ketjuttamisen hintaan (ks. esityksen taloudelliset vaikutukset).
Ensitunnistamisen ketjuttamisen 3 sentin enimmäishinta on tarkoitus olla voimassa kahden vuoden määräajan. Sen jälkeen hintasääntely poistuisi, ja hinta määräytyisi markkinaehtoisesti. Tavoitteena on, että markkinoiden kehittyessä tunnistusvälineiden tarjonta paranee siten, että enimmäishintasääntelylle ei ole enää tarvetta. Nykyisin väliaikaisesti voimassa olevalla lailla (826/2017) tähän pykälään viiden vuoden määräajaksi lisätyt 5 - 7 momentti ensitunnistamisen ketjuttamisen enimmäishinnasta kumottaisiin. Tämä johtaisi myös Viestintäviraston väliaikaisen lain nojalla antaman korvauksen enimmäistasoa koskevan päätöksen kumoutumiseen.
Liikenne- ja viestintäviraston 12 c §:n 1 momentin mukainen velvollisuus arvioida tunnistustapahtuman välittämisen enimmäishinnan tasoa vuosittain ei koskisi ensitunnistamisen ketjuttamisen enimmäishintaa. Vuosittainen arviointi ei olisi tarpeen, koska säännös on voimassa vain kahden vuoden ajan.
18 §.Oikeustoimen tekemiseen kohdistuvat estot ja rajoitukset. Pykälän 1 momentin loppuun esitetään lisäystä, jolla selvennettäisiin voimassa olevan säännöksen sisältöä. Lisäyksen tarkoituksena ei siten ole muuttaa nykytilaa tai soveltamiskäytäntöä, vaan selventää, että tunnistusvälineen käyttämistä koskevia rajoituksia tai oikeustoimien tekemiseen kohdistuvia estoja ei voi määritellä sopimusehdoissa asiakas- tai asiointipalvelukohtaisesti. Tunnistuspalvelun tulee olla sama yleiskäyttöinen tunnistuspalvelu riippumatta tunnistuksen välittävästä tahosta. Tunnistuspalvelun tulisi siis olla sama riippumatta siitä, tarjoaako tunnistuspalvelun asiointipalvelulle tunnistusvälineen tarjoaja itse tunnistusvälityspalvelun roolissa vai muu tunnistusvälityspalvelun tarjoaja, joka välittää tunnistusvälineen tarjoajan siirtämiä tunnistetietoja.
Tunnistuspalvelun tarjoajan yhteistyövelvoitteeseen kuuluu, että se mahdollistaa yhteentoimivien palveluiden tarjoamisen, eli että välitettävään tunnistukseen ei sisälly niin sanotusti ylimääräisiä, tunnistusvälineeseen muutoin liittymättömiä rajoituksia. Näin ollen esimerkiksi käyttäjätunnus-salasanaparien luomista asiointipalvelussa ei voida rajoittaa siten, että niiden luomisesta olisi sovittava välineen tarjoajan kanssa erikseen. Tunnistusvälineen tarjoajan olisi siis määriteltävä ja sovellettava 18 §:n mukaisia estoja tai käyttörajoituksia siten, että estot ja rajoitukset eivät riipu välityspalvelusta. Esimerkki lain mukaan sallitusta käyttörajoituksesta voisi olla kielto käyttää tunnistuspalvelua apuna sähköisen allekirjoituksen tekemisessä 14 §:n 3 momentissa viitatulla tavalla.
Voimassa olevan 2 momentin nojalla sekä välineen tarjoaja että välityspalvelun tarjoaja ovat jo nykyisin velvollisia huolehtimaan tässä pykälässä tarkoitettujen tunnistusvälineen käyttöön liittyvien estojen ja rajoitusten havaittavuudesta. Tähän momenttiin ehdotettavalla lisäyksellä korostettaisiin, että estot ja rajoitukset on määriteltävä sellaisella tavalla, että kaikki osapuolet ymmärtävät ne, sillä rajoitukset tulevat osaksi tunnistusvälineen haltijan kanssa tehtävää sopimusta, minkä lisäksi asiointipalvelulla on velvollisuus noudattaa niitä. Lisäksi momentissa täsmennettäisiin, että nimenomaan tunnistusvälineen tarjoaja (voimassa olevassa laissa tunnistuspalvelun tarjoaja) voi myös toteuttaa estot tai rajoitukset teknisin toimin.
Pykälän 3 momentin muutoksella täsmennettäisiin, että velvollisuus toteuttaa estojen ja rajoitusten tarkistamisen mahdollisuus kuuluu luontevasti tunnistusvälineen tarjoajalle, joka asettaa välineeseen liittyvät rajoitukset.
Pykälän 4 momenttia ei esitetä muutettavaksi.