LiVM 44/2018 vp HE 264/2018 vp

Esityksessä ehdotetaan muutettavaksi vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annettua lakia. Esityksellä selkeytettäisiin vahvan sähköisen tunnistamisen palveluntarjoajien muodostaman luottamusverkoston toimintaa. Luottamusverkostoon kuuluvien palveluntarjoajien sopimuksentekovelvoitetta selkeytettäisiin. Esityksellä säädettäisiin lisäksi nykyistä alemmasta tunnistustapahtuman välittämisen enimmäishinnasta. Niin kutsutun ensitunnistamisen ketjuttamisen enimmäishintasääntely muutettaisiin kahden vuoden määräajaksi vastaamaan tunnistustapahtuman hinnoittelua luottamusverkostossa ja sitä koskevaa vastuusääntelyä selkeytettäisiin.

Luottamusverkoston toiminta perustuu palveluntarjoajien kahdenvälisiin sopimuksiin. Luottamusverkostoa koskeva sääntely on ollut voimassa toukokuusta 2017 lähtien, mutta verkoston toiminta ja sopimusneuvottelut ovat lähteneet hitaasti käyntiin. Esityksen tavoitteena on edistää digitaalisen liiketoiminnan kasvuympäristön luomista pääministeri Juha Sipilän hallituksen kärkihankkeen mukaisesti ja edistää sähköisen tunnistamisen markkinoiden kehittymistä. Turvallisen sähköisen asioinnin edistäminen on keskeisessä asemassa sähköisten palveluiden lisääntyessä yhteiskunnan kaikilla osa-alueilla.

Laki on tarkoitettu tulemaan voimaan mahdollisimman pian.

Vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annettu laki (617/2009, jäljempänä tunnistus- ja luottamuspalvelulaki) tuli voimaan vuonna 2009. Laissa määritellään ne vaatimukset, joita yleisesti tarjottavalle vahvalle sähköiselle tunnistamiselle Suomessa asetetaan. Laissa säädetään vahvasta sähköisestä tunnistamisesta sekä tunnistuspalveluiden tarjoamisesta palveluntarjoajille, yleisölle ja toisille tunnistuspalvelun tarjoajille. Lain tarkoituksena on sääntelyn avulla pyrkiä edistämään sähköisen tunnistamisen markkinaehtoista kehittymistä ja takaamaan vapaan kilpailun pohjalta tapahtuva sähköisen tunnistamisen kustannustason aleneminen.

Suomessa tällä hetkellä käytössä olevia vahvoja sähköisiä tunnistusvälineitä tarjoavat pankit, teleoperaattorit ja Väestörekisterikeskus. Lisäksi markkinoilla toimii muutama yritys, jotka tarjoavat pelkästään sähköisen tunnistamisen välityspalveluita. Vahvan sähköisen tunnistamisen toimijoita ja sääntelyä valvoo Viestintävirasto, joka myös vastaa vahvaa sähköistä tunnistamista tarjoavien toimijoiden rekisteröinnistä.

Finanssisektorin toimijoiden tarjoamat tunnistuspalvelut (pankkitunnisteet eli TUPAS-tunnisteet) ovat selvästi markkinoiden yleisimmin käytettyjä tunnistusvälineitä sähköisessä tunnistamisessa. Pankkitunnisteilla on merkittävin markkinaosuus, yli 90 %, sekä käyttäjä- että tapahtumamäärissä. Teleoperaattoreiden tarjoama mobiilivarmenne ja Väestörekisterikeskuksen tarjoama henkilökorttiin liitetty kansalaisvarmenne eivät ole saavuttaneet sähköisen tunnistamisen markkinoilla merkittävää markkina-asemaa. Mobiilivarmenteella on kuitenkin mahdollista asioida suuressa osassa tarjolla olevista sähköisistä palveluista pankkipalveluita lukuun ottamatta.

Ne tahot, jotka hyödyntävät käyttäjien vahvaa sähköistä tunnistamista palveluissaan, voidaan ryhmitellä kolmeen palvelusektoriin: finanssisektori, jolla tarkoitetaan pankki- ja vakuutuspalveluja, julkisen hallinnon palvelut sekä muut yksityiset palvelut. Näistä volyymeiltään eniten sähköisen tunnistamisen tapahtumia on pankki- ja vakuutussektorin sekä julkisen hallinnon tarjoamiin sähköisiin palveluihin. Odotettavissa on, että sähköisen tunnistamisen käyttö lisääntyy paitsi edellä mainituissa palveluissa niin erityisesti niissä yksityisissä palveluissa, joissa ei vielä laajasti hyödynnetä käyttäjien vahvaa tunnistamista, kuten verkkokaupankäynnissä.

Valtaosa kaikista tunnistustapahtumista tehdään pankkien omilla tunnisteilla pankkien omiin verkkopankkeihin ja palveluihin. Julkisen hallinnon palveluihin kirjaudutaan suomi.fi-palvelun kautta. Syyskuussa 2018 suomi.fi:n kautta kirjauduttiin 622:een eri asiointipalveluun. Vuoden 2018 tammi- ja syyskuun välisenä aikana suomi.fi-palveluun kirjauduttiin verkkopankkitunnuksilla, varmennekortilla ja mobiilivarmenteella yhteensä 59,8 miljoonan tapahtuman verran. Näistä kirjautumisista verkkopankkitunnusten osuus oli 95 % ja mobiilivarmenteiden 4 %. Alkuvuoden tunnistustapahtumien määrän perusteella arvio koko vuoden 2018 tunnistautumisista suomi.fi:n kautta olisi lähes 80 miljoonaa. Kasvu on nopeaa, joten todellinen määrä voi olla arviota suurempi.

Tunnistus- ja luottamuspalvelulakia on sen voimaantulon jälkeen muutettu muutamia kertoja. Vuoden 2016 alusta tuli voimaan laki, joka sisältää säännökset tunnistuspalvelun tarjoajien luottamusverkostosta. Luottamusverkostoa koskevaa 12 a §:ää alettiin soveltaa 1 päivästä toukokuuta 2017 alkaen. Tunnistuspalvelun tarjoaja liittyy automaattisesti osaksi tunnistuspalvelun tarjoajien luottamusverkostoa tehdessään toiminnan aloittamisesta 10 §:n mukaisen pakollisen ilmoituksen Viestintävirastolle. Luottamusverkostossa voidaan erottaa kaksi erityyppistä tunnistuspalvelun tarjoajaa. Lain 12 a §:n säätämisen yhteydessä alettiin käyttää tunnistuspalvelun tarjoajaa yläkäsitteenä tunnistusvälineen tarjoajalle ja tunnistusvälityspalvelun tarjoajalle. Tunnistusvälineen tarjoajalla tarkoitetaan palveluntarjoajaa, joka tarjoaa tai laskee liikkeelle vahvan sähköisen tunnistamisen tunnistusvälineitä yleisölle. Tunnistusvälityspalvelun tarjoajalla tarkoitetaan puolestaan palveluntarjoajaa, joka välittää vahvan sähköisen tunnistamisen tunnistustapahtumia sähköiseen tunnistukseen luottavalle osapuolelle. Sama yritys tai yhteisö voi toimia halutessaan sekä tunnistusvälineen että välityspalvelun tarjoajana.

Luottamusverkostoa koskevat velvoitteet on muotoiltu tuolloin luottamusverkostosta ensimmäistä kertaa säädettäessä väljästi, koska lakia säädettäessä oli tavoitteena tarkentaa hallinnollista mallia ja käytäntöjä tarkoituksenmukaisesti viranomaisten ja toimialan välisellä yhteistyöllä.

Luottamusverkoston hallintomallia valmisteltiin laaja-alaisessa viranomaisten ja toimialan yritysten yhteistyössä liikenne- ja viestintäministeriön ja valtiovarainministeriön työryhmässä vuonna 2015. Työryhmässä käsiteltiin muun muassa keskitetyn sopimusrakenteen tai kahdenvälisten sopimusten mallia, sopimukseen sisällytettävien ehtojen tarpeellisuutta sekä sitä, mille osapuolille luottamusverkostossa syntyy sopimusvelvoite. Valmistelua hyödynnettiin maaliskuussa 2016 säädetyn vahvan sähköisen tunnistuspalvelun tarjoajien luottamusverkostosta annetun valtioneuvoston asetuksen (169/2016) valmistelussa. Myös asetus tuli sovellettavaksi toukokuussa 2017 samanaikaisesti kuin luottamusverkostoa koskevat lainsäädäntömuutokset.

Työryhmässä ja valtioneuvoston asetuksessa muotoutuneen mallin mukaan tunnistusvälineen tarjoajalla on velvoite antaa tunnistusväline välitettäväksi kaikille rekisteröidyille tunnistusvälityspalveluille laissa säädetyllä hinnalla. Toisin sanoen tunnistusvälineen tarjoajan tulee mahdollistaa se, että tunnistusvälityspalvelu tarjoaa luottavalle osapuolelle eli sähköisen asiointipalvelun tarjoajalle mahdollisuuden tunnistaa asiakkaansa vahvalla sähköisellä tunnistusvälineellä. Koska laissa ei säädetä velvollisuutta eriyttää tunnistusvälineitä ja tunnistusvälitystä tarjoavia yhtiöitä, tunnistusvälineen tarjoaja voi harjoittaa myös välitystoimintaa eli tunnistuksen tarjontaa asiointipalveluille. Nykyisellään pankit ja teleoperaattorit toimivatkin laajasti myös itse tunnistuspalvelujen välittäjinä.

Edelleen hallintomallia valmistelleessa työryhmässä ja valtioneuvoston asetuksessa muotoutuneen mallin mukaan tunnistusvälityspalvelulla ei ole velvoitetta ottaa välitettäväksi tunnistusta kaikkien tunnistusvälineen tarjoajien tunnistusvälineillä. Asiasta ei ole nähty tarpeelliseksi säätää velvoittavasti, sillä asiointipalveluiden kysyntä kannustaa laajaan palveluvalikoimaan. Työryhmässä tai asetuksessa ei luotu yhteisen keskitetyn tukkusopimuksen mallia, vaan välitys perustuu kahdenvälisiin sopimuksiin. Tämä ratkaisu perustui mm. siihen, että hinnoista on joka tapauksessa sovittava kahdenvälisesti enimmäishinnan sallimissa rajoissa ja lisäksi esimerkiksi vahingonkorvausvastuiden laatiminen mahdollisiin yhteisiin ehtoihin nähtiin haasteelliseksi ja mahdollisesti myös kilpailua tarpeettomasti rajoittavaksi.

Tunnistus- ja luottamuspalvelulain 12 a §:n 3 momenttiin sisällytettiin myös säännös välitettävästä tunnistetiedosta perittävästä enimmäiskorvauksesta. Sähköisen tunnistuspalvelun tarjoajan lähettäessä sähköiseen tunnistusvälineeseen liittyvää tietoa toiselle sähköisen tunnistuspalvelun tarjoajalle edelleen välitettäväksi, lähettäjälle suoritettava korvaus tunnistetiedosta, jonka tulee sisältää aina vähintään henkilön yksilöivä tieto, saa olla enintään 10 senttiä. Samassa yhteydessä säädettiin myös siitä, että olemassa olevan vahvan sähköisen tunnistusvälineen avulla on voitava hakea vastaavan tasoista sähköistä tunnistusvälinettä, millä tarkoitetaan niin sanottua ensitunnistamisen ketjuttamista (17 §:n 4 momentti).

Viestintävirasto on asettanut valtioneuvoston asetuksen mukaisen luottamusverkoston yhteistyöryhmän ja laatinut ryhmää kuullen suosituksena luottamusverkoston sopimuskäytäntöjen käytännesäännöt (Viestintäviraston suositus 216/2017 S). Luottamusverkoston yhteistyöryhmässä esitettyihin tulkintakysymyksiin Viestintävirasto on myös laatinut neuvontana useita tulkintakannanottoja.

Heinäkuussa 2016 voimaan tulivat tunnistus- ja luottamuspalvelulain muutokset, joilla laki muutettiin yhdenmukaiseksi sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/2014 (eIDAS-asetus) kanssa. Muutoksen myötä luonnollisen henkilön ensitunnistamiseen tuotiin uusia menettelyjä. Ensitunnistamisella tarkoitetaan tunnistusvälineen hakijan henkilöllisyyden todentamista välineen hankkimisen yhteydessä. Ensitunnistamisessa luonnollisen henkilön tunnistaminen tulee tehdä henkilökohtaisesti tai sähköisesti siten, että korotetulle tai korkealle varmuustasolle sähköisen tunnistamisen varmuustasoasetuksella säädetyt vaatimukset täyttyvät. Luonnollisen henkilön henkilöllisyyden varmentaminen voi perustua viranomaisen myöntämään henkilöllisyyttä osoittavaan asiakirjaan tai vahvaan sähköiseen tunnistusvälineeseen. Lisäksi henkilöllisyyden varmentaminen voi perustua julkisen tai yksityisen tahon aiemmin muuhun tarkoitukseen kuin vahvan sähköisen tunnistusvälineen myöntämiseen käyttämään menettelyyn, jonka Viestintävirasto hyväksyy pykälän tarkoittamaa menettelyä noudattaen. Tunnistus- ja luottamuspalvelulain 17 §:ssä säädetään tunnistusvälineen hakijana olevan luonnollisen henkilön ensitunnistamisesta.

Tunnistusvälineen tarjoamiseen liittyy myös eräitä muita laista johtuvia velvoitteita, joita tunnistusvälineen tarjoajan tulee huomioida ensitunnistamisessa. Tunnistusvälineen tarjoajan on tunnistus- ja luottamuspalvelulain 24 §:n 2 momentin mukaan muun muassa tallennettava tarvittavat tiedot ensitunnistamisesta ja siinä käytetystä asiakirjasta tai sähköisestä tunnistamisesta. Lain 16 §:n mukaan tunnistuspalvelun tarjoajan on ilmoitettava tunnistuspalveluunsa luottaville osapuolille, tunnistusvälineiden haltijoille, muille luottamusverkostossa toimiville sopimuspuolilleen sekä Viestintävirastolle palvelun toimivuuteen, tietoturvaan tai sähköisen henkilöllisyyden käyttöön kohdistuvista merkittävistä uhkista tai häiriöistä.

Joulukuussa 2017 tunnistus- ja luottamuspalvelulain 17 §:ään lisättiin väliaikaisesti voimassa olevat 5-7 momentti, joilla asetettiin viiden vuoden määräajaksi enimmäishinta ensitunnistamista koskevan tiedon ketjuttamiselle. Ensitunnistamisen ketjuttamisesta on kyse silloin, kun esimerkiksi olemassa olevalla pankkitunnuksella luodaan sähköisesti uusi mobiilivarmenne. Säännösten nojalla tunnistusvälineen tarjoaja saa periä oikeudenmukaisen ja kohtuullisen korvauksen lähettäessään tiedon tekemästään ensitunnistamisesta toiselle tunnistusvälineen tarjoajalle, jotta tämä voisi myöntää sähköisen tunnistusvälineen. Viestintävirasto antoi keväällä 2018 laissa säädeltyjen vaatimusten mukaisesti päätöksen korvauksen enimmäistasosta, joka laskee portaittain.

1.2.1 Johdanto

Suomessa vahva sähköinen tunnistaminen tarkoittaa sellaisia tunnistuspalveluita, joista säädetään myös EU:n eIDAS-asetuksessa. Asetusta sovelletaan jäsenvaltioiden ilmoittamiin sähköisen tunnistamisen järjestelmiin ja unioniin sijoittuneisiin luottamuspalveluiden tarjoajiin. Luottamuspalveluilla tarkoitetaan asetuksessa esimerkiksi sähköisiä palveluita, jotka koostuvat sähköisistä allekirjoituksista tai sähköisistä leimoista. Asetusta sovelletaan jäsenmaiden rajat ylittävään ja vastavuoroiseen sähköiseen tunnistamiseen. Sitä ei sovelleta yksityisen sektorin tunnistamisratkaisuihin lukuun ottamatta sähköisen tunnistamisen menetelmille asetettavia turvatasoja. Sitä ei myöskään sovelleta puhtaasti kansalliseen tunnistamiseen, eikä se siten vaikuta välittömästi nyt esitettäviin muutoksiin. Esitettävät muutokset eivät näin ollen ole ristiriidassa asetuksen kanssa.

EU:n eIDAS-asetus on suoraan sovellettavaa oikeutta jäsenvaltioissa. Asetus tuli voimaan syyskuussa 2014, mutta sitä on sovellettu 1 päivästä heinäkuuta 2016 lähtien, lukuun ottamatta lukuisia säännöksiä, joiden soveltamisesta on säädetty erinäisin siirtymäsäännöksin, kuten esimerkiksi turvatasojen määrittelystä. Kokonaisuudessaan asetus on tullut voimaan vuonna 2018.

Seuraavassa osiossa tarkastellaan sähköistä tunnistamista kolmessa Euroopan maassa. Tarkastelun kohteeksi on otettu Ruotsi, Norja ja Viro. Viro on valittu mukaan erityisesti siksi, että Virossa valtio on sähköisiin palveluihin tekemällään kehitystyöllä aikaansaanut laajasti käytetyn sähköisen tunnistamisen järjestelmän. Lisäksi suomi.fi-palveluväylä on rakennettu Virossa käytössä olevalle X-Road-tiedonsiirtoprotokollalle. Eri maita käsittelevissä osioissa keskitytään tarkastelemaan sitä, minkälaisia ratkaisuja kohdemaissa esiintyy sähköisissä tunnistusvälineissä, ensitunnistamisessa ja julkisten palveluntarjoajien hankkiessa sähköisiä tunnistusratkaisuja palveluihinsa. Tarkasteluun on lisäksi otettu tunnistustapahtumista saatavilla olevat hintatiedot. Hintojen osalta on huomioitava, että julkisesti saatavilla olevat hinnat ovat tunnistusvälineen tarjoajan sähköisiltä asiointipalveluilta perimiä hintoja, välityspalveluntarjoajan sähköisiltä asiointipalveluilta perimiä hintoja tai julkisen sektorin kilpailutukseen perustuvia hintoja. Nämä hinnat antavat viitteitä vertailumaiden hintatasosta, mutta eivät suoraan vastaa tässä laissa säädettävää tunnistusvälineen tarjoajan ja välityspalvelun välistä hintaa.

Luottamusverkostoa ja ensitunnistamisen rajoituksetonta ketjuttamista koskevat säännökset eivät perustu EU-sääntelyyn, eikä tiedossa ole, että muissa unionin jäsenvaltioissa olisi Suomen järjestelmää täysin vastaavaa järjestelmää. Sähköistä ensitunnistamista ei esimerkkivaltioissa juuri käytetä, vaan sähköisestikin haettavissa olevat tunnistusvälineet edellyttävät yleensä henkilökohtaista fyysistä tunnistautumista ennen käyttöönottoa. Ensitunnistamistietojen ketjuttamisen enimmäishintasääntelyä koskevaa kansainvälistä vertailua tai vertailua unionin muiden jäsenvaltioiden lainsäädäntöön ei sen vuoksi ole voitu tehdä.

1.2.2 Viro

Virossa jokaisella yli 15-vuotiaalla kansalaisella tulee olla henkilökortti, joka sisältää myös sähköisen tunnistamisen mahdollisuuden. Kortti on maksullinen ja sen myöntää poliisi- ja rajavartiolautakunta (Police and Border Guard Board). Henkilökorttia voi käyttää kansallisena sairausvakuutuskorttina, sähköisenä tunnistusvälineenä ja henkilötodistuksena EU:n sisällä matkustettaessa. Henkilökortin lisäksi voi hankkia erillisen vapaaehtoisen sähköisen tunnistekortin, jota voi käyttää ainoastaan sähköiseen tunnistamiseen. Tunnistekorttiin liitetyn varmenteen tuottaa kilpailutuksen perusteella valittu yksityinen yritys.

Valtion sähköinen tunnistekortti on markkinoilla selkeästi käytetyin ratkaisu. Sähköinen tunnistaminen kansallisella tunnistekortilla edellyttää kortinlukijaa, joka löytyy suurimmalta osalta käyttäjistä myös kotoa. Valtion henkilökortin lisäksi markkinoilla on myös mobiilitunnisteita, pankkitunnisteita ja sovelluspohjaisia tunnisteita. Nämä eivät kuitenkaan ole käytettävissä sähköisenä tunnistusvälineenä yhtä laajasti kuin tunnistekortti.

Sähköisten asiointipalvelujen tunnistustapahtumista maksamat hinnat vaihtelevat välineestä riippuen. Kaikilla tunnistusvälineillä tunnistustapahtumakohtainen hinta laskee volyymin kasvaessa. Korkein hinta on 10 senttiä tunnistustapahtumaa kohden sekä henkilökortilla, mobiilitunnisteella että sovelluspohjaisella Smart-ID:llä. Smart-ID:llä tämä hinta pätee alle 2500 kuukausittaiselle tunnistustapahtumalle ja henkilökortilla sekä mobiilitunnisteella alle 400 tunnistustapahtumalle. Tunnistustapahtumien määrän ylittäessä 80 000 henkilökortilla, 750 000 mobiilitunnisteella ja 3 miljoonaa Smart-ID:llä tapahtumakohtainen hinta alittaa 1 sentin.

Kansallinen sähköinen henkilökortti ja tunnistekortti toimivat laajasti yksityisen ja julkisen sektorin eri palveluissa. Yhteinen palveluväylä nimeltään X-tee yhdistää eri toimijat ja palvelut. Palveluväylän tarjoamiin palveluihin kirjaudutaan eesti.ee -verkkoportaalin kautta. Sinne on keskitetty suuri määrä valtion virastojen sähköisiä palveluja, kuten terveyspalveluja, sosiaalipalveluja ja omien rekisteritietojen katselu. Henkilökortin lisäksi tunnistautua voi pankkitunnuksilla, jotka katsotaan yhtä vahvaksi tunnistamiseksi kuin sähköinen tunnistekortti.

1.2.3 Ruotsi

Ruotsissa käytetyin sähköinen tunnistusväline on pankkitunnistaminen (BankID tai Mobilt BankID), joka on toteutettu yhteistyössä suurimpien pankkien välillä. Pankkitunniste hankitaan omalta pankilta pankin menettelyjen mukaisesti ja sitä voi käyttää joko mobiilisovelluksella, sirukortilla tai tietokoneohjelmistolla. Vuoden 2018 aikana pankkitunnisteen käyttäjämäärän arvioidaan nousevan 8 miljoonaan ja tunnistustapahtumien sekä sähköisten allekirjoitusten määrän yli 3 miljardiin.

Viranomaisten palveluihin voi laajasti kirjautua pankkitunnisteella ja puhelinoperaattori Telian varmenteella. Muita tunnistusvälineitä ovat verohallinnolta haettava AB Svenska Pass, jolla tunnistautuminen perustuu henkilökorttiin, jonka käyttö edellyttää kortinlukijaa, sekä uusi mobiililaitteella käytettävä sovellus Freja eID+. Julkisen toimijan kautta haettava AB Svenska Pass on suojatasolla 3 oleva tunniste. Markkinoiden muut tunnisteet ovat korkeammalla tasolla 4.

AB Svenska Pass:n ja Freja eID+:n käyttömahdollisuudet tunnistautumistilanteissa ovat selvästi rajallisemmat kuin BankID:n ja Telian varmenteen. Freja eID+:n käyttö on kuitenkin edullista sekä asiointipalveluille että yksittäisille henkilöille. Freja eID+ -tunnistusväline on ilmainen kuluttajalle. Asiointipalvelu, joka haluaa tunnistaa asiakkaitaan Freja eID+:n avulla puolestaan maksaa 0,015 euroa tunnistustapahtumaa kohden, minkä lisäksi käyttäjää kohden hintaa rajoittaa 0,1 euron kuukausittainen hintakatto.

Ruotsissa viranomaiset hankkivat tunnistuspalvelunsa joko E-legitimationsnämndenin valinnanvapausjärjestelmän, kamarikollegion puitesopimuksen tai oman hankintamenettelyn kautta. Tunnistautumistapahtumien määrän perusteella yleisimpiä ovat valinnanvapausjärjestelmä ja puitesopimus. Valinnanvapausjärjestelmään voivat liittyä kaikki palveluntarjoajat, jotka täyttävät asetetut ehdot. Yksilön tunnistusvälineen valinta määrää, mikä palveluntarjoaja saa korvauksen palvelusta. Vuoden 2018 valinnanvapausjärjestelmässä korvaus on 17 äyriä, eli noin 1,6 senttiä, tunnistustapahtumaa kohden.

Yksityisen sektorin toimijat voivat hankkia sähköisiin palveluihinsa BankID:n suoraan palvelua myyviltä pankeilta tai välityspalvelua tarjoavilta yrityksiltä. Näitä palveluja koskevat hintatiedot eivät ole kaikin osin julkisia. Yhden välityspalveluntarjoajan kautta pankkitunnistamisen saa omaan sähköiseen palveluunsa 1900 kr (182,4 €) kiinteällä kuukausimaksulla ja 50 äyrin (4,8 senttiä) tunnistustapahtumakohtaisella korvauksella. Hinta on välityspalveluntarjoajan asiointipalvelulta perimä hinta, joten tunnistusvälineen tarjoajan hinta välityspalvelulle on lähtökohtaisesti tätä pienempi. Nordea puolestaan tarjoaa BankID:tä asiointipalveluille hinnoittelumallilla, joka on osittain julkinen. Nordealla kuukausimaksu on 500 kr (n. 50 euroa) ja tapahtumakohtainen maksu kirjautumisesta 0,15 kr (1,5 senttiä) tai allekirjoituksesta 0,40 kr (3,9 senttiä). Tämän lisäksi tulee liittymishinta, joka ei ole julkisesti saatavilla.

1.2.4 Norja

Norjassa sähköisiä tunnistusvälineitä tarjoavat valtio, pankit sekä kaksi muuta yksityistä yritystä. Valtion tarjoamaa MinID-tunnistamista voi käyttää ainoastaan julkisen sektorin palveluihin. Pankkitunnuksilla ja muilla yksityisillä tunnistamispalveluilla voi tunnistautua sekä julkisiin että yksityisiin palveluihin.

Sähköinen tunnistautuminen julkisiin palveluihin edellyttää ID-porten -nimisen sisäänkirjautumisratkaisun kanssa yhteensopivaa tunnistamispalvelua. ID-portenin kanssa yhteensopivia ovat tällä hetkellä kaikki markkinoilla olevat tunnistamispalvelut. ID-portenin kautta pääsee kirjautumaan yli tuhanteen julkiseen palveluun. Vuonna 2017 kirjautumisia ID-portenin kautta tehtiin 114 miljoonaa kappaletta. Tunnistamispalvelumarkkinat ovat periaatteessa vapaat kilpailulle, mutta uudelta toimijalta edellytetään eIDAS-asetuksen edellytysten täyttymistä sekä rekisteröitymistä. Toimijat ilmoittautuvat Norjan kansalliselle viestintäviranomaiselle, jonka tarkistusprosessin läpäistyään niille myönnetään kvalifioitu status. Yleisin tunnistusväline on BankID. Sitä käyttää 3,9 miljoonaa norjalaista ja vuonna 2018 kirjautumistapahtumia BankID:llä ID-porteniin arvioidaan tulevan lähes 100 miljoonaa.

Viranomainen hankkii sähköisen tunnistautumisen palveluita yksityisiltä toimijoilta (BankID, Buypass ja Commfides) käytettäviksi kaikissa valtion virastoissa ja kunnissa ID-portenin kautta. Sopimusten hintatiedot eivät ole julkisia, mutta sähköisten tunnistuspalvelujen tarjoajat julkaisevat palveluitaan koskevia hinnastoja. Yleisimmin käytetyn BankID:n osalta hinta laskee volyymin mukaan ja on yli miljoonalle kuukausittaiselle tunnistustapahtumalle 0,46 norjan kruunua, eli noin 4,9 senttiä, tapahtumaa kohden.

Eduskunnan liikenne- ja viestintävaliokunta on viime vuosien aikana korostanut useaan kertaan, että sähköisen tunnistamisen palveluita on pidettävä eräänlaisina tietoyhteiskunnan peruspalveluina, ja että sähköisen tunnistamisen markkinoiden kehittyminen ja luottamusverkoston toiminta täytyy saada viimein etenemään (LiVM 17/2017 vp, LiVM 18/2016 vp, LiVM 33/2014 vp). Eduskunta hyväksyi tunnistus- ja luottamuspalvelulakiin vuonna 2016 tehtyjen muutosten yhteydessä lausuman, jonka mukaan se edellyttää, että valtioneuvosto seuraa sähköisen ensitunnistamisen toimivuutta ja kohtuuhintaisuutta erityisesti tunnistuspalveluiden markkinoiden liikkeellelähdön varmistamiseksi sekä tarvittaessa ryhtyy tunnistuspalveluiden markkinoiden liikkeellelähdön edellyttämiin toimenpiteisiin ennen luottamusverkoston käyttöönottoa (HE 74/2016 vp; EV 103/2016 vp).

Tunnistus- ja luottamuspalvelulain tavoitteena on edistää sähköisten palveluiden tarjontaa ja erityisesti parantaa niiden turvallisuutta lisäämällä vahvan sähköisen tunnistamisen käyttöä palveluissa. Perinteisesti vahvaa sähköistä tunnistamista on totuttu käyttämään julkisen sektorin sähköisissä palveluissa ja pankkipalveluissa. Näiden lisäksi kasvavaa kysyntää ja tarvetta asiakkaiden luotettavalle tunnistamiselle on monissa asiointipalveluissa, kuten terveydenhuollossa, ja ylipäätään palveluissa, joissa on tärkeää varmistua siitä, että henkilön tietoihin pääsee käsiksi vain oikea henkilö, kuten sähköisessä sopimisessa, verkkokaupassa tai yksityisille tarjotuilla vaihdanta-alustoilla. Kysyntä on osittain patoutunut, koska tunnistuspalveluiden helppo hankkiminen ja kilpailuttaminen ei luottamusverkoston tunnistusvälitystoiminnan käynnistymisen hitauden takia ole ollut ongelmatonta.

Tunnistus- ja luottamuspalvelulain aiemmissa esitöissä on säännönmukaisesti korostettu tarvetta sähköisen tunnistamisen markkinoiden avaamiselle ja kehittämiselle. Lakia aiemmin valmisteltaessa arvioitiin, että siinä säädetyt puitteet riittäisivät markkinoiden vahvistumiseen ja helpottaisivat uusien toimijoiden tuloa markkinoille. Näin ei kuitenkaan ole tapahtunut lakiin tähän mennessä toteutettujen muutostenkaan seurauksena. Luottamusverkostoa koskeva sääntely on ollut voimassa jo keväästä 2017 alkaen, eikä luottamusverkoston toiminta ole kehittynyt tavoitteen mukaisesti.

Luottamusverkoston hallintomallia kehitelleen työryhmän ja luottamusverkoston yhteistyöryhmän yhteissääntelyn luonteisesta yhteistoiminnasta ja intensiivisestä viranomaisneuvonnasta huolimatta luottamusverkoston tukkusopimuksia on syntynyt erittäin hitaasti ja erityisesti osa tunnistusvälineen tarjoajista on nähnyt runsaasti esteitä sopimusehtojen aikaansaamiselle. Sopimiseen on liittynyt myös normaalista kaupallisesta toiminnasta merkittävästi poikkeavia viivästyksiä tarjouspyyntöihin vastaamisessa ja sopimusehtojen muodostamisessa. Sopimusneuvottelujen hidas eteneminen ja monet esiin nostetut sopimisen esteet tai hidasteet ja niihin liittyvät kysymykset kuluttavat resursseja ja aiheuttavat hallinnollista taakkaa niin tunnistuspalvelun tarjoajille kuin valvoville viranomaisille.

Olemassa olevaan vahvaan sähköiseen tunnistusvälineeseen perustuvia sähköisiä ensitunnistamisia eli ensitunnistamisen ketjuttamisia tehdään arvion mukaan korkeintaan tuhansia tapahtumia kuukaudessa. Niiltä toimijoilta, jotka haluaisivat hyödyntää ensitunnistamisen ketjuttamista myöntääkseen uuden tunnistusvälineen, saadun palautteen mukaan ensitunnistamistiedoista perityt korkeat hinnat ovat hidastaneet ja hidastavat suhteellisen uudesta enimmäishintasääntelystä huolimatta edelleen uusien sähköisten tunnistusvälineiden tarjoamista ja siten myös kuluttajien mahdollisuuksia hankkia uusia tunnistusvälineitä. Rinnakkaisten sähköisten tunnistusvälineiden välinen kilpailu on siten vähäistä. Nämä seikat hidastavat markkinoiden kehittymistä ja voivat pahimmillaan estää uusien ja rinnakkaisten sähköisten tunnistuspalvelujen yleistymisen ja tunnistusvälineiden tarjonnan laajenemisen.

Sähköisen palvelun käyttäjän tunnistamista hyödynnetään runsaasti sähköisessä asioinnissa, kuten verkkokaupoissa, erilaisilla keskustelupalstoilla ja muissa sosiaalisen median palveluissa. Näissä käytetään yleisesti muuta kuin tunnistus- ja luottamuspalvelulain mukaista vahvaa tunnistamista eli niin sanottua heikkoa sähköistä tunnistamista, jossa käyttäjän tunnistaminen perustuu esimerkiksi käyttäjätunnukseen ja salasanaan sekä käyttäjän itse antamiin henkilötietoihin. Toimivampi kilpailu sähköisten tunnistuspalvelujen markkinoilla ja alemmat tunnistustapahtumakohtaiset hinnat mahdollistaisivat vahvojen sähköisten tunnisteiden laajemman käytön myös näissä palveluissa, millä voitaisiin lisätä asioinnin luottavuutta ja turvallisuutta. Tällä hetkellä tunnistusmarkkinoiden korkea hintataso tukkumarkkinoilla ei kannusta käyttämään vahvaa sähköistä tunnistamista, vaan ohjaa vähemmän turvallisiin ratkaisuihin sellaisissakin tilanteissa, joissa sähköisen palvelun tarjoaja pitäisi vahvaa tunnistautumista palveluunsa tärkeänä.

Toistaiseksi useimpiin julkisen sektorin tuottamiin sähköisiin asiointipalveluihin on ollut mahdollista tunnistautua kaikilla Viestintävirastolle ilmoittautuneiden vahvan sähköisen tunnistuspalvelun tarjoajien tunnistusvälineillä. Tunnistusmarkkinoilla vallitseva korkea hintataso aiheuttaa kuitenkin riskin siitä, että tunnistamisesta aiheutuvat kustannukset nousevat julkiselle sektorille liian korkeiksi.

Esityksen tavoitteena on kilpailun edistäminen sähköisen tunnistamisen markkinoilla ja turvallisten sekä luotettavien sähköisten palvelujen tarjonnan lisääminen. Esityksellä pyritään edistämään sekä uusien tunnistuspalvelujen tuloa markkinoille että tunnistuspalvelujen parempaa saatavuutta sähköisille asiointipalveluille ja kuluttajille. Edistämällä kilpailua sähköisten tunnistuspalvelujen markkinoilla luodaan edellytyksiä uusien sähköisten palvelujen synnylle ja parannetaan kuluttajien mahdollisuuksia kirjautua helposti ja turvallisesti sähköisiin palveluihin haluamillaan tunnistusvälineillä.

Parantamalla edelleen mahdollisuuksia ensitunnistamisen ketjuttamiselle voidaan luoda uusia vahvoja sähköisiä tunnistusvälineitä ja edistää uusien tunnistusvälineiden tarjoajien pääsyä markkinoille ja näin ollen kilpailun lisääntymistä myös tunnistusvälineen tarjoajien tasolla. Sähköisen palvelun tarjoajan ei kuitenkaan olisi jatkossakaan pakko hyväksyä kaikkia eri tunnistuspalveluita, vaan se saa valita, mitkä tunnistusvälineet tai -menetelmät se haluaa markkinoilta hankkia.

Sähköisten tunnistuspalvelujen tarjonnan ja käytön lisääntymisen mahdollistamiseksi tavoitteena on tunnistuspalveluntarjoajien muodostaman luottamusverkoston toiminnan tehostuminen ja tunnistuspalvelun tarjoajien markkinoille pääsyn helpottaminen. Luottamusverkoston toimintaa tehostamalla luodaan edellytykset lisääntyvälle kilpailulle tunnistuspalvelujen markkinoilla ja edistettäisiin sitä, ettei tunnistuspalveluiden tarjonta keskittyisi tietyille tunnistuspalveluiden tarjoajille. Esityksessä tehtävillä muutoksilla pyritään mahdollistamaan toimintaympäristö, joka luo edellytyksiä sille, että markkinoilla voidaan tarjota erilaisiin käyttötarkoituksiin soveltuvia sähköisiä tunnistuspalveluita.

Esityksen tavoitteena on selkeyttää luottamusverkoston sopimusperusteista toimintamallia siten, että selvennettäisiin alalla nykyisin toimivien tunnistuspalvelun tarjoajien, uusien mahdollisten alalle tulevien palveluntarjoajien ja valvontaviranomaisten esiin nostamia epäkohtia, jotka tällä hetkellä nähdään esteenä tai hidasteena sopimusten tekemiselle. Lisäksi esityksellä tavoitellaan tunnistustapahtumien määrien kasvamista ja tunnistusmarkkinoiden nykyisen hintatason laskemista.

Markkinaehtoisten toimijoiden varaan rakentuvalla toiminnalla pyritään myös teknologianeutraaliin tunnistuspalveluiden kehittymiseen.

Valmistelussa harkittiin erilaisia sääntelyvaihtoehtoja hankkeessa asetettujen tavoitteiden edistämiseksi. Ensinnäkin harkittiin vaihtoehtoa, jossa nykyistä lainsäädäntöä ei muutettaisi, vaan jätettäisiin sähköisen tunnistamisen markkinoiden kehittyminen alan toimijoiden välisten sopimusneuvottelujen varaan. Tässä vaihtoehdossa valvovien viranomaisten rooli olisi tukea ja edistää esimerkiksi neuvonnan keinoin sopimusten syntymistä voimassa olevan sääntelyn mukaisesti. Valmistelussa katsottiin, että tämä vaihtoehto on käytännössä jo kokeiltu ja havaittu, ettei sillä yksistään voida edistää markkinoiden toimintaa. Pitkään jatkuneesta ja intensiivisestä viranomaisneuvonnasta huolimatta luottamusverkoston sopimusneuvottelut ovat edistyneet hitaasti, eikä odotettavissa ole kehityksen nopeutumista.

Toiseksi valmistelussa arvioitiin erilaisia vaihtoehtoja luottamusverkoston nykyisen hallintamallin muuttamiseksi sääntelyn keinoin. Näille vaihtoehdoille on yhteistä se, että tavoitteena on mahdollisimman pitkälle yhdistää ne ehdot, joista neuvotteleminen tasapuolisesti on tähänastisessa luottamusverkoston täytäntöönpanossa osoittautunut hankalaksi ja hitaaksi.

Valmistelussa harkittiin ensinnäkin vaihtoehtoa, jossa laissa säädettäisiin yksityiskohtaisesti kaikki tunnistusvälineen tarjoajan vahvan sähköisen tunnistuksen käyttöoikeuden avaamisen kannalta välttämättömät ehdot, jolloin välityksen aloittamiseen riittäisi se, että tunnistusvälityspalvelu ilmoittaa tunnistusvälineen tarjoajalle haluavansa avata käyttöyhteyden. Käyttöoikeuden sisältö ja vastuut säädettäisiin kaikilta tarpeellisilta osin laissa ja tarkennettaisiin tarvittaessa alemmanasteisissa säädöksissä. Tämä malli muistuttaa maksupalvelulain mallia, jossa maksutilin tarjoaja ei voi vaatia rajapinnan ja tunnistuksen käytöstä sopimusta maksutoimeksiantopalvelulta tai tilitietopalvelulta. Perusluonteisena erona maksupalvelusääntelyyn on se, että tunnistusvälityksestä voi periä säädetyn hinnan. Myöskään käyttöoikeuden avaajalla ei olisi tunnistusvälityksen mallissa yhteyttä eikä kontrollia asiointipalveluun, johon tunnistusvälittäjä välittää tunnistuksen. Edelleen tunnistustoiminnan erona maksupalvelusääntelyyn on se, että avattavaa rajapintaa ei välttämättä ole tarkoituksenmukaista tai tarpeen säätää kansallisesti samaan tapaan kuin maksupalvelusääntelyssä on tehty EU:n laajuisesti.

Toisena arvioitiin monenkeskistä sopimusmallia, jossa ehdot säädetään tarvittavilta osin laissa tai viranomainen laatisi ne tarvittavan valtuussäännöksen nojalla. Laissa säädettäisiin siitä, miten sopimus tulisi kaikkia luottamusverkoston jäseniä sitovaksi. Toimijakohtaisia lisätietoja ei voisi sisällyttää sopimukseen. Monenkeskisessä sopimusmallissa voisi periaatteessa olla mahdollista laatia sopimus toimijoiden yhteistyössä, mutta nykyinen sopimusneuvottelujen hidas edistyminen huomioiden tälle ei välttämättä olisi edellytyksiä. Lisäksi muutos olisi nykytilaan nähden merkittävä, joten sen täytäntöönpano veisi aikaa, ja mahdolliset viivästymiset sopimuksen täytäntöönpanossa merkitsisivät uusia hidasteita koko luottamusverkoston toiminnalle. Riskinä olisi myös, että monenkeskiset sopimusehdot eivät ottaisi riittävästi huomioon alalla toimivien palveluntarjoajien erilaisuutta, mikä saattaisi vaikuttaa niiden toimintaedellytyksiin.

Edellä kuvatut molemmat mallit merkitsisivät valittua mallia pidemmälle menevää elinkeinovapauden ja omaisuuden suojan sekä sopimusvapauden rajoittamista, koska ehdot säädettäisiin laissa tai vahvistettaisiin viranomaisen päätöksellä. Toimijan olisi tarjottava palvelua kokonaan ulkopuolelta vahvistetuin ehdoin, mitä on pidettävä poikkeuksellisena ja nykytilaan nähden täysin erilaisena mallina. Pelkästään sääntelyyn perustuva malli saattaisi vaatia runsaasti yksityiskohtaista sääntelyä, jotta kaikki tarvittavat kysymykset tulisivat katetuksi. Monenkeskiseen sopimukseen perustuva malli olisi puolestaan poikkeuksellinen erityisesti siksi, että käytännössä viranomainen laatisi sopimuksen, joka kaikkien toimijoiden olisi pakko hyväksyä, jos ne haluavat toimia tunnistuspalvelun tarjoajina. Tämäkin malli vaatisi tuekseen jonkin verran sääntelyä.

Edellä esitettyjen seikkojen perusteella valmistelussa päädyttiin kehittämään luottamusverkoston nykyistä hallintamallia, joka perustuu kahdenvälisiin sopimuksiin. Tässä mallissa toimijoiden olisi itse julkaistava tunnistuspalvelunsa toimitusehdot, tarjottava niitä syrjimättömästi kaikille ja käytettävä vain niitä tehdessään sopimuksia. Laissa säädettäisiin velvollisuudesta tehdä sopimus määräajassa. Kaikki edellä mainitut seikat huomioiden tätä pidettiin valmistelussa tarkoituksenmukaisimpana vaihtoehtona. Muut luottamusverkoston hallintamallin muuttamista koskevat vaihtoehdot olisivat merkinneet huomattavampaa muutosta nykytilaan ja pidemmälle menevää puuttumista yritysten elinkeino- ja sopimusvapauteen. Nykyisen hallintamallin kehittäminen niin, että se perustuisi edelleen kahdenvälisiin sopimuksiin mutta laissa määriteltäisiin entistä tarkemmin keskeiset sopimusten neuvotteluvelvoitteen täyttämistä edistävät seikat, katsottiin välttämättömäksi markkinoiden toiminnan kannalta.

Luottamusverkoston sopimusmallien lisäksi hankkeessa tarkasteltiin erilaisia toimijoiden välisiä ja kuluttajansuojan vastuukysymyksiä, joista sopiminen on nykyisin osaltaan hidastanut sopimusneuvotteluja tai osoittautunut käytännössä hankalaksi. Vastuukysymykset osoittautuivat laajoiksi ja moniulotteisiksi siitä syystä, että nykyisessä järjestelmässä on useita sopimussuhteita ja sopimuksen ulkoisia suhteita. Tarkoituksenmukaista olisi tarkastella kaikki vastuukysymykset ja niiden vaikutukset myöhemmin erillisessä hankkeessa. Tässä esityksessä tehtäisiin kuitenkin välttämättömiksi katsottavia muutoksia myös vastuukysymysten osalta.

Esityksellä selkeytettäisiin vahvan sähköisen tunnistamisen palveluntarjoajien muodostaman luottamusverkoston toimintaa.

Luottamusverkostoon kuuluvien palveluntarjoajien velvollisuutta tarjota tunnistuspalvelunsa käyttöoikeutta tunnistusvälityspalvelun tarjoajille ja sitä koskevaa sopimuksentekovelvoitetta selkeytettäisiin. Laissa säädettäisiin tunnistusvälineen tarjoajan velvollisuudesta laatia palvelunsa toimitusehdot ja niiden julkaisemisesta sekä siitä, mitä tietoja palveluntarjoajan olisi julkaistava. Ainoastaan näitä ehtoja voisi käyttää kahdenvälisissä sopimuksissa. Samoja ehtoja olisi tarjottava kaikille tunnistusvälityspalvelun tarjoajille ja niiden olisi oltava tämän lain mukaisia sekä kohtuullisia ja syrjimättömiä. Tunnistusvälineen tarjoajan olisi hyväksyttävä tunnistusvälityspalvelun tarjoajan pyyntö toimitusehtojen mukaisen sopimuksen tekemisestä sekä annettava käyttöoikeus tunnistuspalveluun viipymättä ja viimeistään kuukauden kuluessa pyynnön tekemisestä. Tunnistusvälineen tarjoaja voisi kieltäytyä sopimuksen tekemisestä ainoastaan painavasta syystä.

Esityksellä alennettaisiin lisäksi nykyistä tunnistustapahtuman välittämistä koskevaa luottamusverkoston enimmäishintasääntelyä 10 sentistä 3 senttiin. Laissa selkeytettäisiin, ettei tämän hinnan lisäksi käyttöoikeudesta saa periä muita maksuja.

Niin kutsutun ensitunnistamisen ketjuttamisen enimmäishintasääntely muutettaisiin kahden vuoden määräajaksi vastaamaan tunnistustapahtuman hinnoittelua luottamusverkostossa. Samalla enimmäishintasääntelyn voimassaoloa lyhennettäisiin nykyisestä viidestä vuodesta kahteen vuoteen. Hinnanalennus huomioiden ensitunnistamista koskevaa vastuusääntelyä selkeytettäisiin, sillä kohtuullisena ei voida pitää, että mahdolliset vahingot lähtökohtaisesti jäisivät alkuperäisen virheen tehneen tunnistusvälineen tarjoajan vastattavaksi.

Lisäksi selkeytettäisiin yksittäisiä säännöksiä soveltamiskäytännössä havaittujen tarpeiden perusteella.

Yleistä

Viestintäviraston ylläpitämässä vahvaa sähköistä tunnistamista tarjoavien palveluntarjoajien rekisterissä on tällä hetkellä 18 palveluntarjoajaa. Väestörekisterikeskuksen lisäksi rekisterissä on 17 yksityistä yritystä. Näistä 10 toimijaa on pankkeja, 3 teleoperaattoreita ja 4 muita yrityksiä. Palveluntarjoajista neljä ei tarjoa lainkaan omaa sähköisen tunnistamisen välinettä, vaan ne toimivat ainoastaan tunnistuspalveluiden välittäjinä. Esityksellä olisi taloudellisia vaikutuksia kaikkiin näihin toimijoihin. Lisäksi esitys vaikuttaisi mahdollisten uusien markkinoille tulevien tunnistuspalvelun tarjoajien toimintaedellytyksiin.

Yleisesti ottaen vahvan sähköisen tunnistusvälineen palveluntarjoajille syntyy kustannuksia ensitunnistamisesta, tunnistusvälineen jakelusta ja tunnistuspalvelun käytöstä ja ylläpidosta. Tuottamiskustannukset vaihtelevat merkittävästi eri toimijoiden vaihtelevista toimintamalleista johtuen. Kustannuksia syntyy myös sopimusten tekemisestä ja hallinnoinnista sekä tunnistuspalveluiden käyttöön liittyvistä tuki- ja selvityspalveluista. Suuri osa näistä kustannuksista liittyvät pääosin tunnistusvälineen tarjoajan omaan asiakassuhteen ylläpitämiseen, eikä esityksellä olisi niihin välitöntä vaikutusta.

Tunnistuspalvelun tarjoajat saavat tuloja erilaisista sähköisen tunnisteen käyttöön liittyvistä maksuista. Osa tunnistusvälineen tarjoajan tuloista muodostuu kuluttajilta perittävistä kuukausimaksuista koskien verkkopankkitunnusten käyttöä. Verkkopankkitunnusten käyttömaksu on usein sisällytetty pankin tarjoamien muiden palveluiden yhteyteen. Mobiilioperaattoreiden perimät hinnat vaihtelevat nollan ja parin euron välillä kuukaudessa. Osan veloituksista muodostavat sähköisten palvelujen tarjoajilta perittävät tapahtuma- ja kuukausikohtaiset maksut.

Korvaus tunnistuspalvelun käyttöoikeudesta

Taloudellisten vaikutusten arvioinnissa keskeistä on esityksen sisältämät hintasääntelyt. Sääntelyn tarkoituksena on varmistaa, että tunnistuspalvelun käyttöoikeuden hinta tunnistusvälityspalvelulle sekä ensitunnistamisen ketjuttamisesta aiheutuva kustannus toiselle välineen tarjoajalle ei aiheuttaisi liian korkeaa taloudellista kynnystä tarjota ja markkinoida asiakkaille erilaisia sähköisiä tunnistuspalveluja. Sähköisen tunnistamisen käyttämisen kasvaessa koko markkinan koon arvioidaan kasvavan ja hyödyttävän sekä nykyisiä että uusia toimijoita.

Esityksen mukaiset enimmäishintasääntelyn alentamiset vähentäisivät markkinoilla yleisimmin käytettyjen tunnistusvälineiden tarjoajien eli pääosin pankkien tuloja yksittäisten tunnistustapahtumien välittämisestä tunnistusvälityspalvelulle sekä sähköisten ensitunnistamisten ketjuttamisesta. Suurelta osin lainsäätäjän enimmäishinnaksi tarkoittamat sääntelyt ovat käytännössä muodostuneet lähelle vallitsevaa hintatasoa. Yksittäisiä esimerkkejä alemmista hinnoista on esiintynyt, mutta kattavaa aineistoa hintatiedoista ei tietojen liikesalainen luonne huomioiden ole käytettävissä.

Enimmäishintasääntelyn muodostumista vakiintuneeksi hinnaksi ei voida lain aiempien esitöidenkään valossa pitää tavoitteena. Liikenne- ja viestintävaliokunta on voimassa olevan tunnistustapahtuman välittämistä koskevan 10 sentin enimmäishinnan säätämisen yhteydessä katsonut muun muassa, että ehdotetussa sääntelyssä on kyse enimmäishinnasta ja on toivottavaa, että hinta muodostuu markkinoilla asetettavaa hintakattoa alhaisemmaksi (LiVM 33/2014 vp).

Tunnistustapahtuman välittämistä luottamusverkostossa koskevaa enimmäishintaa (lakiehdotuksen 12 c §) ehdotetaan laskettavan nykyisestä 10 sentistä 3 senttiin. Kyseessä on hinta, jonka tunnistusvälineen tarjoaja perii tunnistusvälityspalvelulta tunnistuspalvelunsa käyttöoikeudesta. Tunnistusvälityspalvelu puolestaan välittää tunnistamista edelleen sähköisille asiointipalveluille, jotka käyttävät asiakkaan vahvaa tunnistamista. Tästä perittävää hintaa (eli vähittäishintaa) ei säädellä, vaan se perustuu sopimukseen. Kaupallisessa toiminnassa vähittäishinnan voidaan olettaa olevan korkeampi loppuasiakkaalle kuin mitä tunnistusvälityspalvelu maksaa tunnistuspalvelun käytöstä itse (eli niin sanottua tukkuhintaa korkeampi).

Hintasääntelyn muutoksen tarkoituksena on laskea luottamusverkoston sisällä perittävää hintaa, joka voidaan myös rinnastaa tukkutason hinnoitteluun tai siirtohinnoitteluun. Vähittäishinta loppukäyttäjälle eli sähköiselle asiointipalvelulle voi laskea vain, jos luottamusverkoston sisäinen hinnoittelu laskee. Laskemalla luottamusverkoston sisäistä hintaa voidaan edistää kilpailua välitystoiminnassa, alentaa vähittäishintoja ja siten lisätä vahvan sähköisen tunnistamisen käyttöä ja volyymejä markkinoilla.

Ehdotettavaa 3 sentin hintaa on vertailtu yleisellä tasolla saatavissa oleviin kansainvälisiin vertailutietoihin, jotka on koottu tämän esityksen ”Kansainvälinen kehitys sekä ulkomaiden ja EU:n lainsäädäntö” -otsikon alle. Lisäksi hintaa on vertailtu Väestörekisterikeskuksen suomi.fi-palveluun hankkimista tunnistuspalveluista maksamaan vähittäishintatasoon.

Väestörekisterikeskus on neuvotellut ja hankkinut tunnistamisen julkiselle hallinnolle luottamusverkoston sisäistä enimmäishintaa selvästi alemmilla vähittäishinnoilla. Kuluvaa vuotta 2018 koskien, Väestörekisterikeskuksella on pankkien kanssa toistaiseksi voimassa olevat sopimukset, joissa hinnoittelusta on sovittu määräaikaisesti vuoden 2018 loppuun asti. Tunnistamistapahtuman hinta on 6 senttiä siihen saakka, kunnes pankkitunnistusten kokonaismäärä ylittää kalenterivuonna 40 000 000 tapahtumaa. Sen jälkeen tunnistamistapahtuman hinta on kalenterivuoden loppuun 4,5 senttiä.

Väestörekisterikeskuksen kilpailutuksessa mobiilivarmenteiden välittäjäksi on valittu yksi teleoperaattori vuotta 2018 koskevalle sopimuskaudelle. Muiden tunnistusvälineiden välityksen osalta hankinta keskeytettiin liian korkeiden hintojen johdosta. Kilpailutuksessa valitun teleoperaattorin kanssa on sovittu kiinteästä tunnistusvälinekohtaisesta vuosihinnasta, ja hinnat vaihtelevat välillä 10 876,00 - 48 946,00 euroa. Tämä palvelu ei kuitenkaan ole vielä käytössä, ja siihen saakka noudatetaan aiempaa toisen palveluntarjoajan sopimusta, jossa tunnistustapahtumien hinnoittelu laskee volyymien kasvaessa. Alle 1000 tunnistustapahtumalla kuukaudessa hinta on 5 senttiä / tunnistautuminen. Hinta laskee portaittain siihen asti, kun tunnistustapahtumia on yli 100 000 kuukaudessa, jolloin hinta on 2,5 senttiä / tunnistautuminen.

Tulevaa vuotta 2019 koskeva Väestörekisterikeskuksen kilpailutus osoitti, että kilpailutus jouduttiin keskeyttämään joidenkin tunnistusvälineiden välityksen osalta korkeiden hintojen johdosta. Niiden tunnistusvälineiden osalta, joiden välittämisestä hankintasopimus on tehty, tunnistustapahtumien hinta vaihtelee pyöristettynä välillä 3,4 senttiä ja 6,8 senttiä.

Esitettävä hinta olisi enimmäishinta, kuten se nykyisinkin on. Tunnistusvälineen tarjoajalla saisi olla vain yhdet toimitusehdot, joiden mukaisesti sopimukset luottamusverkostossa tehdään, joten myös hinnoittelun olisi oltava sama kaikille sopimusosapuolille. Tämän sekä laissa säädettävän kohtuullisuuden ja syrjimättömyyden vaatimuksen johdosta riski joitain toimijoita syrjivästä hinnoittelusta poistuisi. Kaikissa sellaisissa sopimusehdoissa, jotka jäävät sopimusvapauden piiriin, on riskinä, että ehdot eivät ole syrjimättömiä ja esimerkiksi markkinavoimaa omaava toimija saattaa saada kilpailuedun toisiin toimijoihin nähden.

Enimmäishinta mahdollistaisi myös sitä matalamman hinnan perimisen ja hintakilpailun. Lisäksi enimmäishinta mahdollistaisi erilaisia hinnoittelumalleja, mikä tukee lain tavoitetta uusien toimijoiden markkinoille pääsyn edistämisestä myös sallimalla toimijoiden niin halutessa erilaisia tapoja hinnoitella palvelunsa.

Tunnistuspalvelun tarjoajien kannalta nyt ehdotettavat tunnistustapahtumien välityssopimusten tekemistä ja sisältöä selkeyttävät lainmuutokset vähentävät välitystoiminnan sopimiseen tarvittavia resursseja yrityksissä, minkä puolestaan voidaan arvioida säästävän kustannuksia. Uudet markkinoille tulevat tunnistuspalvelun tarjoajat eivät myöskään joutuisi neuvottelemaan erikseen jokaisen markkinoilla jo toimivan osapuolen kanssa, koska sopimus tehtäisiin jatkossa tunnistusvälineen tarjoajan julkaisemien toimitusehtojen mukaisesti ja se olisi tehtävä viipymättä.

Hintasääntelyn vaikutusten arvioinnissa voidaan lisäksi ottaa huomioon, että tunnistuspalvelu on tunnistusvälineen tarjoajille tyypillisesti muun liiketoiminnan sivutuotteena tai tueksi luotu toiminto, jonka kokonaistaloudellinen merkitys tarjoajalle ei ole joidenkin toimijoiden esille tuomien näkemysten mukaan merkittävä.

Ottaen huomioon edellä esitetyn ja erityisesti kansainvälisestä vertailusta sekä vähittäishinnoista saadut vertailutiedot, esitettävää hintasääntelyä voidaan pitää kohtuullisena. Kaiken kaikkiaan hintaa on perusteltua arvioida alaspäin vuonna 2015 säädetystä ja vuonna 2017 voimaan tulleesta hinnasta.

Ensitunnistamisen ketjuttamisen enimmäishintasääntely

Ensitunnistamisen ketjuttaminen on mahdollista olemassa olevan vahvan sähköisen tunnistusvälineen perusteella. Markkinoilla selvästi yleisimmin käytetyt välineet ovat pankkitunnuksia, joten ensitunnistamisen ketjuttamisen enimmäishintasääntelyn alentaminen vähentäisi käytännössä eniten pankkien saamia tuloja, mikäli nykyinen enimmäishinta on asettunut myös vallitsevaksi hintatasoksi.

Ensitunnistamisen ketjuttamisen korkean hinnan on pitkään arvioitu olevan este uusien tunnistusvälineen tarjoajien markkinoille pääsylle, mikä johti enimmäishinnan säätämiseen vuonna 2017. Nykyisin ensitunnistamisen ketjuttamisesta perittävä korvaus saa olla enimmillään 2,51 euroa ja korvauksen on määrä laskea 25 %:lla vuosittain vuoteen 2022 saakka.

Ensitunnistamisen ketjuttamisen enimmäishintasääntely muutettaisiin kahden vuoden määräajaksi vastaamaan tunnistustapahtuman hinnoittelua luottamusverkostossa, eli se olisi sama 3 sentin enimmäishinta ketjuttamista kohden (lakiehdotuksen 17 §:n 7 momentti). Teknisesti tunnistetiedon välittäminen ensitunnistamisessa on vastaava toimenpide kuin tunnistetiedon välittäminen tunnistuspalvelujen tarjoajien verkostossa. Näin ollen hinta on perusteltua säätää samaksi. Ensitunnistamisen ketjuttamisen hintaa on lisäksi perusteltua arvioida erillisenä tunnistusvälineen tarjoajalle itselleen varsinaisesta henkilön ensitunnistamisesta aiheutuvista kustannuksista tai muusta lainsäädännöstä aiheutuvista kustannuksista, eikä niitä pidä voida lukea mukaan ensitunnistamisen ketjuttamisen hintaan.

Esimerkiksi finanssipalvelun tarjoajalla on finanssialan lainsäädäntöön perustuva lakisääteinen velvollisuus tunnistaa ja tuntea asiakkaansa (erityisesti rahanpesun ja terrorismin rahoittamisen estämisestä ja selvittämisestä annetun lain (503/2008) 2 luku, luottolaitostoiminnasta annetun lain (610/2014) 15 luvun 18 §). Muita henkilön ensitunnistamisesta aiheutuvia kustannuksia, riippuen sen toteutustavasta, voivat olla esimerkiksi toimitilakustannukset, asiakkaan esittämän henkilöllisyysasiakirjan aitouden ja voimassaolon varmistaminen, turvalaitteiston ja järjestelmien ylläpitokulut, arkistointivelvollisuudet tai ensitunnistamisen suorittavan henkilöstön koulutus. Tunnistusvälineen tarjoajat ovat nykyistä ensitunnistamisen enimmäishintaa koskevan valmistelun yhteydessä arvioineet nämä itselleen aiheutuvat kustannukset hyvin erisuuruisiksi riippuen siitä, mitä kustannuksiin luetaan mukaan. Yhteensä toimijoille aiheutui kustannuksia niiden omien arvioidensa mukaan muutamasta sentistä yli 60 euroon.

Tällaisten kustannusten lähellekään täysimääräistä kattamista ensitunnistamisen ketjuttamisesta perittävällä hinnalla ei voida pitää perusteltuna. Etenkin henkilöstökustannukset koskevat pääasiassa palveluntarjoajan omaan asiakassuhteeseen liittyvien palvelujen tarjoamista ja muusta lainsäädännöstä, kuten rahanpesun estämiseen liittyvästä lainsäädännöstä, aiheutuvien velvoitteiden täyttämistä. Nämä kustannukset syntyisivät palveluntarjoajalle joka tapauksessa siitä huolimatta, vaikka sähköistä tunnistusvälinettä ei ketjutettaisi.

Erityisesti kustannusten jakautumisessa on vielä huomioitava, että ketjuttaminen tarkoittaa uuden, rinnakkaisen tunnistusvälineen luomista, jolloin alkuperäisen ensitunnistamisen tehneen välineen tarjoajan asiakassuhde jatkuu ennallaan. Hinnan alentamisen tavoitteena olisi varmistaa, että ensitunnistamisen ketjuttaminen olisi mahdollista kohtuullisella hinnalla, mikä poistaisi uusien tunnistusvälineiden markkinoille tulon esteitä ja edistäisi kuluttajan mahdollisuuksia valita tarpeensa mukaisia tunnistusvälineitä.

Enimmäishinnan alentamisen vaikutukset rajautuvat ajallisesti vain siihen vaiheeseen, jolla on merkitystä markkinoiden kehityksen tehostamiseksi, eli ehdotettuun kahden vuoden määräaikaan. Myös tämä seikka rajoittaa enimmäishintasääntelyn vaikutuksia toimialalla toimiville yrityksille, koska määräajan jälkeen hinta määräytyisi markkinaehtoisesti. Hinnan alentamista nykyisestä hintatasosta puoltaa myös se, että ehdotuksessa tarkennettaisiin ensitunnistamisen ketjuttamiseen liittyvää vastuusääntelyä. Siinä huomioitaisiin, että koska hintaa alennettaisiin nykyisestä, kohtuullisena ei voida pitää, että mahdolliset vahingot lähtökohtaisesti jäisivät alkuperäisen virheen tehneen tunnistusvälineen tarjoajan vastattavaksi.

Ensitunnistamisen ketjuttamisen hinta alenisi näin ollen suhteessa enemmän kuin edellä esitetty tavallisen tunnistustapahtuman hinta. Ensitunnistamisen ketjuttamisen enimmäishintasääntelyn voimassaoloaikaa kuitenkin lyhennettäisiin nykyisestä viidestä vuodesta kahteen vuoteen. Sähköisen ensitunnistamisen markkinoiden pienen koon, arviolta korkeintaan muutamia tuhansia tapahtumia kuukaudessa, ja muutosten seurauksena odotettavissa olevan volyymien kasvun johdosta enimmäishinnan vaikutusten ei kuitenkaan arvioida olevan finanssitoimijoiden liiketoiminnan kannalta kokonaisuutena arvioiden merkittäviä.

Esityksellä ei olisi vaikutusta viranomaisten välisiin toimivaltuuksiin.

Julkiselle hallinnolle esitettävät muutokset mahdollistaisivat paremmat edellytykset kilpailuttaa sähköiset tunnistuspalvelut. Muutosten voidaan arvioida alentavan tunnistuspalvelujen aiheuttamia kokonaiskustannuksia julkiselle hallinnolle. Valtion talousarviossa tunnistamiselle on vuonna 2018 varattu 5 miljoonaa euroa.

Muutokset vaikuttaisivat Liikenne- ja viestintäviraston tehtäviin, joka valvoo sähköistä tunnistamista koskevan sääntelyn noudattamista. Luottamusverkoston tarjonta- ja sopimusvelvoitteita koskevasta neuvonnasta ja valvonnasta voi aiheutua virastolle jonkin verran lisätyötä. Toisaalta virastolle on jo aiheutunut merkittävästi työtä aiempien lainmuutosten johdosta tehdyistä muutoksista, kuten luottamusverkoston sääntelyä koskevasta tulkinnasta sekä erilaisista neuvonta- ja valvontatapauksista. Ehdotuksen tarkoituksena on selventää luottamusverkoston toimintamallia ja edistää sen jäsenten välisten sopimusneuvotteluiden loppuun saattamista, mikä voisi toisaalta selkeyttää Liikenne- ja viestintäviraston tehtäviä.

Esityksen ei arvioida lisäävän muiden sähköisen tunnistamisen lainsäädäntöön tai alan toimijoiden valvontaan liittyvien viranomaisten, kuten Finanssivalvonnan, Kilpailu- ja kuluttajaviraston tai Tietosuojavaltuutetun, työmäärää nykyisestä.

Esityksen eräänä tavoitteena on sähköisten palveluiden ja sähköisen asioinnin palveluiden tarjonnan ja käytön lisääntyminen. Esitetyillä muutoksilla sähköisen tunnistamisen palvelujen luottamusverkoston toiminta tehostuisi, mikä parantaisi sähköisten palveluiden tarjoajien, kuten yritysten, kuntien ja valtionhallinnon, mahdollisuuksia sopimuksen tekemiseen vain yhden tunnistuspalvelun tarjoajan kanssa ja mahdollistaisi laajan asiakaspohjan saamisen vain yhdellä sopimuksella.

Helposti käyttöönotettava sähköinen tunnistaminen helpottaa uusien palveluiden luomista ja edistää innovaatioita. Esitys edistäisi yleisesti digitaalisen liiketoiminnan kasvuympäristön luomista, mistä hyötyisivät myös alan uudet toimijat ja digitaalisten palvelujen käyttäjät.

Sähköisen tunnistamisen markkinoiden kehittyessä ja kasvaessa tunnistusvälineiden tarjonta lisääntyisi markkinoilla. Tämä parantaa kansalaisten mahdollisuuksia hyötyä digitaalisista palveluista ja tunnistautua sähköisesti. Kilpailun lisääntyessä palvelujen tarjonta lisääntyy sähköisten tunnistuspalvelujen markkinoilla. Tämä luo kuluttajille lisääntyneitä valintamahdollisuuksia markkinoilla. Sähköisen tunnistamisen saatavuus olisi nähtävä ensisijaisesti myös kuluttajan oikeutena, eikä pelkästään palveluntarjoajien asiana. Sähköinen tunnistaminen on väline henkilön omien tunnistetietojen käyttämiseen sähköisessä asioinnissa ja sähköisen identiteetin hallintaan. Sähköisen tunnistamisen tulee olla helppoa ja turvallista käyttäjälle, ja sen tulee olla käytettävissä mahdollisimman laajasti sähköisissä palveluissa, jotta käyttäjällä olisi tosiasiassa mahdollisuus hallinnoida sähköistä identiteettiään. Vahvan sähköisen tunnistamisen käyttäminen on myös yksi keino ehkäistä identiteettivarkauksia.

Yleisesti ottaen sähköisen asioinnin helpottuminen ja siten asioinnin lisääntyminen suhteessa fyysiseen asiointiin voi parantaa palvelujen saatavuutta sekä synnyttää säästöjä. Esimerkiksi Kansaneläkelaitoksen palveluiden pohjalta tehdyn arvion perusteella sähköistämisellä saavutettava säästö on vähintään 5 euroa jokaista sähköistettyä asiointitapahtumaa kohti. Virossa puolestaan on oletettu, että jokainen kansalaisen asiointi sähköisen palveluväylän kautta säästää aikaa 15 minuuttia.

Esitys on valmisteltu liikenne- ja viestintäministeriössä virkatyönä. Valmistelun aikana on kuultu Viestintävirastoa sekä Kilpailu- ja kuluttajavirastoa erityisesti esityksen kilpailuoikeudellisista seikoista. Valmistelua edelsi useiden nykyisten vahvaa sähköistä tunnistusvälinettä tarjoavien toimijoiden sekä valvontaviranomaisten kanssa käydyt keskustelut, joilla pyrittiin selvittämään alalla toimivien tahojen näkemyksiä tarvittavista lainsäädäntö- tai muista toimenpiteistä sähköisen tunnistamisen markkinoiden kehittämiseksi.

Valmistelun tueksi ja tausta-aineiston hankkimiseksi Viestintävirasto teki vahvan sähköisen tunnistuspalvelun tarjoajille kyselyn, jolla pyrittiin keräämään näkemyksiä tunnistus- ja luottamuspalvelulain vastuusääntelystä sekä tietoa luottamusverkoston tukkuhinnoista. Vastauksia saatiin suurelta osalta, ja niissä esitettiin erisuuntaisia näkemyksiä tarvittavista muutoksista. Myös samassa tunnistuspalvelun tarjoajan roolissa olevien yritysten näkemykset olivat osittain keskenään ristiriidassa. Näin ollen vastausten perusteella ei ole todettavissa sellaisia ratkaisuvaihtoehtoja, jotka saisivat eniten kannatusta. Saatuja vastauksia hyödynnettiin valmistelussa salassapitosäännökset huomioiden.

Myös aiemmilla viime vuosina tehdyillä lainsäädäntömuutoksilla on pyritty edistämään sähköisen tunnistamisen markkinoiden kehitystä ja toimivan kilpailun syntymistä. Tämän esityksen valmistelussa on hyödynnetty aiempia lainvalmisteluaineistoja ja niiden yhteydessä tehtyjä selvityksiä (HE 83/2017 vp; HE 272/2014).

Eduskunta hyväksyi tunnistus- ja luottamuspalvelulakiin vuonna 2016 tehtyjen muutosten yhteydessä lausuman, jonka mukaan se edellyttää, että valtioneuvosto seuraa sähköisen ensitunnistamisen toimivuutta ja kohtuuhintaisuutta erityisesti tunnistuspalveluiden markkinoiden liikkeellelähdön varmistamiseksi sekä tarvittaessa ryhtyy tunnistuspalveluiden markkinoiden liikkeellelähdön edellyttämiin toimenpiteisiin ennen luottamusverkoston käyttöönottoa (HE 74/2016 vp; EV 103/2016 vp).

Eduskunnan liikenne- ja viestintävaliokunta on viimeksi vuoden 2017 lopussa kiinnittänyt huomion luottamusverkoston toiminnan hitaaseen käynnistymiseen. Valiokunta painotti, että sähköisen tunnistamisen markkinoiden kehittyminen täytyy saada viimein etenemään. Valiokunta korosti alan toimijoiden omaa vastuuta ja tahtoa sopia kaikista luottamusverkostoa koskevista seikoista, jotta Suomi ei jäisi vielä pahemmin jälkijunaan sähköisen tunnistamisen markkinoiden kehittymisessä. Toimialan ja eri vastuuministeriöiden välisellä yhteistyöllä on valiokunnan mukaan välttämätöntä varmistaa, että luottamusverkosto saadaan toimimaan myös käytännön tasolla tehokkaasti, niin pian kuin mahdollista. Valiokunta painotti myös lain noudattamista valvovan viranomaisen roolia sääntelyn ja sen tavoitteiden toteutumisen varmistamisessa (LiVM 17/2017 vp; HE 83/2017 vp). Valmistelussa on hyödynnetty valvontaviranomaisten tähänastisia kokemuksia sääntelyn toimivuudesta ja tavoitteiden toteutumisesta käytännössä.

Hallituksen esitysluonnoksesta pyydettiin lausuntopalvelu.fi -sivuston kautta lausunnot 53 taholta.

Lausunnon antoivat seuraavat 38 tahoa: oikeusministeriö, opetus- ja kulttuuriministeriö, sosiaali- ja terveysministeriö, työ- ja elinkeinoministeriö, valtiovarainministeriö, ympäristöministeriö, Finanssivalvonta, Kilpailu- ja kuluttajavirasto, Liikenteen turvallisuusvirasto, Valtion tieto- ja viestintätekniikkakeskus Valtori, Verohallinto, Viestintävirasto, Väestörekisterikeskus, Elinkeinoelämän keskusliitto EK, Finanssiala ry, Keskuskauppakamari, Näkövammaisten liitto ry, Open Knowledge Finland, Palvelualojen työnantajat PALTA ry, Suomen Kuntaliitto ry, Suomen Yrittäjät ry, Tietoliikenteen ja tietotekniikan keskusliitto, FiCom ry, Tietoturvaklusteri FISC ry, Teknologiateollisuus ry, Avaintec Oy, CSC-Tieteen tietotekniikan keskus Oy, Danske Bank A/S, Suomen sivuliike, DNA Oyj, Elisa Oyj, Fujitsu Finland Oy, Nets Denmark A/S, Suomen sivuliike, Nordea Bank Oyj, OP Ryhmä, Posti Oy, S-Pankki Oy, Säästöpankkiliitto osk, Telia Finland Oyj ja Tieto Finland Oy.

Sosiaali- ja terveysministeriö, ympäristöministeriö ja Valtion tieto- ja viestintätekniikkakeskus Valtori ilmoittivat, ettei heillä ole lausuttavaa esitysluonnoksesta.

Lausunnoista on laadittu yhteenveto, joka on julkaistu valtioneuvoston hankeikkunassa (hankenumero LVM069:00/2018). Yhteenvedossa on kuvattu lausuntopalautetta alla esitettyä laajemmin.

Lausunnot jakautuivat siten, että suurempi osa lausunnonantajista kannatti esitysluonnoksen tavoitteita ja keskeisiä ehdotuksia pitäen niitä välttämättöminä sähköisen tunnistamisen markkinoiden kehittymisen kannalta. Näissä lausunnoissa katsottiin tunnistuspalvelujen tarjonnan olevan nykyisin muun muassa liian vähäistä, keskittynyttä tai hintatason olevan korkea.

Osa lausunnonantajista puolestaan vastusti esitystä kokonaisuudessaan. Näissä lausunnoissa katsottiin, että uuden sääntelyn sijaan alan toiminta edistyy paremmin markkinaehtoisen kilpailun kautta.

Erityisesti esityksen sisältämät hintasääntelyt jakoivat lausunnonantajien näkemyksiä. Myös osa niistä lausunnonantajista, jotka muilta osin kannattivat ehdotettuja muutoksia, pitivät enimmäishintasääntelyä kiinteää hintasääntelyä parempana.

Lausunnon antaneet ministeriöt kannattivat esityksen tavoitteita ja pitivät keskeisiä ehdotuksia pääosin hyväksyttävinä nykyisessä tilanteessa. Samoin valvontaviranomaisina toimivat virastot kannattivat esitystä ja siinä tunnistettuihin luottamusverkoston ongelmakohtiin puuttumista sääntelyn keinoin. Kilpailu- ja kuluttajavirasto KKV piti esitettyjä muutoksia kiireellisinä luottamusverkoston toiminnan kannalta. KKV katsoo, että luottamusverkoston sopimusneuvottelujen viivyttäminen vaikeuttaa nykyisin verkoston toimintaa. Tunnistuspalvelun tarjoajia valvova Viestintävirasto katsoo, että esityksellä ratkaistaisiin useita luottamusverkoston sopimusneuvotteluja hidastaneita tulkintaongelmia.

Teleoperaattorit sekä FiCom ry kannattavat esitystä ja toivovat sen tulevan voimaan mahdollisimman pian. Teleoperaattoreita edustavat tahot katsovat, että esityksessä on tunnistettu luottamusverkoston keskeiset ongelmakohdat ja että luottamusverkoston sopimusneuvottelut eivät etene ilman ehdotettuja muutoksia.

Esitystä vastustavat kaikki lausunnon antaneet pankit sekä Finanssiala ry. Niiden mukaan esityksestä tulee luopua, ja kaikki tunnistamiseen liittyvät kysymykset, mukaan lukien valtiovarainministeriön käynnistämät selvitykset tunnistamisesta, tulee selvittää kokonaisuutena. Muun muassa Nordea esittää painopisteen siirtämistä yhtenäisen teknisen ratkaisun luomiseen eri toimijoiden yhteistyönä. Finanssialan toimijat näkevät esityksen ongelmallisena kilpailuneutraliteetin sekä perustuslain takaaman omaisuuden suojan kannalta. Lisäksi finanssialan lausunnoissa kritisoitiin lainvalmistelun laatua ja vaikutusten arviointia.

Finanssialan toimijat eivät yhdy käsitykseen luottamusverkoston sopimusneuvotteluiden hitaasta etenemisestä, koska neuvottelut ovat olleet käynnissä luottamusverkostosääntelyn voimaan tulosta lähtien. Nykyisen sääntelyn toimivuudesta olisi niiden mukaan tullut kerätä kokemuksia ennen uusia säädösmuutoksia.

Myöskään FISC ry ja Fujitsu eivät kannata esitystä, koska sillä ei edistetä markkinoiden toimintaa.

Muut lausunnonantajat kannattivat lähtökohtaisesti esitystä. Useissa näistä lausunnoista korostettiin sähköisen tunnistamisen tärkeää merkitystä digitaalisen kehityksen kannalta ja tuotiin esiin tunnistamisen merkitystä lausunnonantajan omien palveluiden kannalta.

Muutamissa lausunnoissa tuotiin esiin tarve seurata huolellisesti markkinoiden kehitystä ja erityisesti esitetyn hintasääntelyn vaikutuksia eri osapuoliin.

Saadun lausuntopalautteen johdosta esitystä muutettiin jatkovalmistelussa siten, että sekä luottamusverkoston hintasääntely että ensitunnistamisen ketjuttamista koskeva hintasääntely muutettiin enimmäishinnaksi kiinteän hinnan sijaan. Lisäksi ensitunnistamisen ketjuttamisen enimmäishinta muutettiin väliaikaisesti voimassa olevaksi säännökseksi, joka olisi voimassa kaksi vuotta.

Jatkovalmistelussa selkeytettiin myös luottamusverkoston sopimuksentekovelvoitetta ja oikeutta kieltäytyä sopimuksen tekemisestä. Lain 12 a §:ään lisättiin säännös, jonka perusteella sopimuksenteosta voi kieltäytyä, jos tunnistusvälityspalvelun tarjoaja toimii lain tai sen nojalla annettujen säännösten vastaisesti tai kieltäytymiselle on muut painavat syyt.

Lisäksi jatkovalmistelussa täydennettiin esityksen yleis- ja yksityiskohtaisia perusteluja useiden lausunnonantajien yksityiskohtaisten huomioiden perusteella.

Hallitus on antanut 3 päivänä toukokuuta 2018 eduskunnalle esityksen (HE 61/2018 vp) laiksi Liikenne- ja viestintäviraston perustamisesta, Liikennevirastosta annetun lain muuttamisesta ja eräiksi niihin liittyviksi laiksi sekä 30 päivänä elokuuta 2018 alkuperäistä hallituksen esitystä täydentävän hallituksen esityksen (HE 104/2018 vp). Eduskunta hyväksyi esityksen lokakuussa 2018 ja antoi vastauksen marraskuussa 2018 (EV 102/2018 vp). Kyseisellä hallituksen esityksellä Liikenteen turvallisuusviraston, Viestintäviraston sekä Liikenneviraston tietyt toiminnot yhdistettäisiin uuteen perustettavaan Liikenne- ja viestintävirastoon. Tämän johdosta tässä hallituksen esityksessä Viestintävirastosta on käytetty 1 päivänä tammikuuta 2019 voimaan tulevaa Liikenne- ja viestintäviraston nimeä. Kuitenkin nykytilaa koskevissa kohdissa on käytetty virastosta sen nykyistä nimeä.

Edellä esitetyn perusteella annetaan eduskunnan hyväksyttäväksi seuraava lakiehdotus:

3 §. Pakottavuus. Pykälään ehdotetaan lisättäväksi toinen momentti, jossa säädettäisiin siitä, että tunnistuspalveluiden luottamusverkostossa tekemien sopimusten ehdoissa on noudatettava kaikilta osin tässä laissa tunnistuspalveluille säädettyjä vaatimuksia. Luottamusverkostossa voidaan erottaa kaksi erityyppistä tunnistuspalvelun tarjoajaa, joita ovat tunnistusvälineen tarjoaja ja tunnistusvälityspalvelun tarjoaja. Nämä on määritelty voimassa olevan lain 2 §:ssä. Sama taho voi myös toimia molemmissa rooleissa.

Ehdotuksen mukaan tunnistuspalvelun tarjoajien välinen sopimusehto, joka poikkeaa lain säännöksistä, on mitätön. Sopimusehdon mitättömyys merkitsee sitä, että ehto on osapuolten välisessä sopimussuhteessa vailla vaikutusta. Kun sopimus on mitätön, sen pätemättömyyteen ei tarvitse erikseen vedota.

Ehdotetun muutoksen tarkoitus on selkeyttää yhdessä luottamusverkoston jäsenten välistä tarjonta- ja sopimisvelvoitetta koskevan 12 a §:n kanssa sitä, että laissa säädetyt vaatimukset tunnistuspalvelun tarjoajien väliselle sopimukselle ovat pakottavia. Palveluntarjoajat eivät siten voisi sopia toisin mistään sellaisesta asiasta, josta tässä laissa säädetään. Siltä osin kuin laissa ei ole säädöksiä, sopiminen olisi lähtökohtaisesti sallittua, mutta silloinkin sopimusehtojen tulee olla 12 a §:ssä tarkoitetulla tavalla kohtuullisia ja syrjimättömiä ja välttämättömiä luottamusverkoston toteuttamisen kannalta. Näin ollen sopijapuolten olisi noudatettava esimerkiksi lain 12 c §:ään ehdotettua tunnistustapahtuman välittämistä koskevaa enimmäishintasääntelyä, eikä siitä voi poiketa toisin sopimalla. Ehdotetulla säännöksellä on merkitystä myös tunnistuspalveluiden keskinäisten vahingonkorvausvastuiden kannalta. Tähän lakiin perustuvan sopimusehdon mitättömyyden arvioinnissa tai mahdollisen vahingonkorvausoikeuden perustavan virheen arvioinnissa käytetään perusteena tässä laissa säädettyjä velvoitteita.

Ehdotettu säännös ei vaikuta siihen lain aiemmissa esitöissä todettuun peruslähtökohtaan, että laissa tunnistuspalvelulle säädetyt vaatimukset ovat pakottavia, ellei yksittäisissä säännöksissä toisin säädetä. Säännöksen tarkoitus on myös vahvistaa tunnistuspalvelun tarjoajien luottamusta siihen, että kaikki lain tarkoittamat 12 §:n mukaisesti rekisteröidyt tunnistuspalvelun tarjoajat eli luottamusverkoston jäsenet noudattavat toiminnassaan tämän lain vähimmäisvaatimuksia (HE 36/2009 vp, 43 s.).

Tunnistuspalvelun tarjoajien välistä sopimussuhdetta koskee myös pykälän 1 momentin säännös, jota ei tässä esityksessä ehdoteta muutettavaksi. Sen perusteella tunnistusvälineen tarjoajan ja tunnistusvälityspalvelun tarjoajan välisessä sopimuksessa ei voi rajoittaa kuluttajan tässä laissa säädettyjä oikeuksia, kuten 27 §:ssä säädettyjä käyttäjän vastuun rajoituksia oikeudettomasta käytöstä.

12 a §. Tunnistuspalvelun tarjoajien luottamusverkosto. Voimassa oleva 12 a § ehdotetaan muutettavaksi siten, että siinä säädettäisiin luottamusverkoston toimijoiden välisistä keskeisistä tarjonta- ja yhteistyövelvoitteista, jotka muodostavat luottamusverkoston perustan. Pykälän otsikko täsmennettäisiin vastaamaan pykälän sisältöä lisäämällä siihen nimenomainen maininta luottamusverkostosta.

Pykälän 1 momentti säilyisi sisällöllisesti ennallaan, ja siihen tehtäisiin ainoastaan säädösteknisiä muutoksia.

Pykälän 2 momentti olisi uusi. Siinä selkeytettäisiin, että luottamusverkostossa on kyseessä sääntely, jolla tunnistusvälineen tarjoajat velvoitetaan luovuttamaan käyttöoikeus tunnistuspalveluun tunnistusvälityspalveluille. Luottamusverkoston perustaminen on ollut tarpeen, jotta tunnistusvälityspalvelut voivat tarjota sähköiseen tunnistukseen luottaville osapuolille eli asiointipalveluille asiakkaiden tunnistusta asiakkaiden käyttämillä eri tunnistusvälineen tarjoajien tunnistusvälineillä. Sähköisiä asiointipalveluja voivat olla esimerkiksi julkishallinnon palvelut, kuten Kela ja verohallinto, tai yksityiset palvelut, esimerkiksi terveydenhuoltoyritykset. Osa asiointipalveluista on lain nojalla velvoitettu tunnistamaan asiakkaansa vahvasti, ja osa puolestaan haluaa käyttää vahvaa tunnistamista lisätäkseen sähköisen palvelun tarjoajan ja käyttäjän luottamusta toisiinsa. Tunnistuspalvelun käyttöoikeuden luovutusvelvollisuudella on pyritty helpottamaan uusien tunnistusvälityspalveluiden pääsyä markkinoille, lisäämään kilpailua ja mahdollistamaan se, että asiointipalvelu voi hankkia asiakkaidensa tunnistuksen mahdollisimman kootusti tarvitsematta tehdä sopimusta asiasta erikseen jokaisen tunnistusvälineen tarjoajan kanssa.

Voimassa olevassa 12 a §:ssä säädetään yleisellä tasolla tunnistuspalveluiden hallinnollisista käytännöistä yhteentoimivuuden mahdollistamiseksi ja sähköiseen tunnistusvälineeseen liittyvästä tiedosta hinnan perusteena. Lain 18 §:ssä säädetään mahdollisuudesta liittää tunnistusvälineeseen rajoituksia. Koska sääntelyssä ei ole määritelty tukkutuotetta, jota olisi tarjottava, käytännössä on esiintynyt tilanteita, joissa tunnistusvälineen tarjoajat ovat pitäneet perusteltuna pyrkiä välityspalvelusopimuksissa rajoittamaan sitä, millaisiin asiointipalveluihin välityspalvelun asiakkaana oleva asiointipalvelu voi hankkia ja käyttää asiakkaiden tunnistusta. Käytännössä on jopa katsottu, että voimassa olevassa laissa säädetty 10 sentin enimmäistukkuhinta ei soveltuisi kaikkiin tunnistustapahtumiin riippuen siitä, mitä asiointipalvelun sisältöön kuuluu. Tällä perusteella on esimerkiksi saatettu vaatia tunnistusvälityspalvelulta laissa säädettyä enimmäismäärää ylittävää korkeampaa tukkuhintaa sellaiseen asiointipalveluun välittämisestä, joka itse luo vahvasti tunnistetulle asiakkaalleen käyttäjätunnuksen ja salasanan omaan verkkopalveluunsa.

Ehdotetun 2 momentin tarkoitus on yhdessä lain 18 §:ään ehdotettujen muutosten kanssa selventää, että tämän lain mukaiset tunnistusmenetelmät ovat lähtökohtaisesti yleiskäyttöisiä. Syrjimättömyys tarkoittaa sitä, että tunnistusvälityspalvelun on pystyttävä tarjoamaan asiointipalvelulle samanlaista tunnistusta kuin tunnistusvälineen tarjoajat itse. Tunnistusvälineen tarjoaja voi siten asettaa tunnistusmenetelmän käytölle välityspalvelulle lain mukaisesti välitettäväksi tarjottaessa ainoastaan sellaisia rajoituksia, joita tunnistusvälineen tarjoaja soveltaa 18 §:n sallimissa rajoissa myös silloin, kun se itse tarjoaa tunnistusvälityspalvelun roolissa tunnistuspalveluita luottaville osapuolille. Asetettujen käyttörajoitusten täytyy olla 18 §:n mukaisia.

Yleiskäyttöisellä tunnistusmenetelmällä tarkoitetaan, että kyseessä voi olla mikä tahansa asiointipalvelu ja asiointitapahtuma, mukaan lukien kertakirjautuminen ja heikkojen tunnisteiden luominen asiointipalvelussa. Tunnistusvälityspalvelun vastuulla on päättää, mille asiointipalvelulle tunnistusta välitetään ja huolehtia sopimussuhteessa asiointipalvelun kanssa, että tunnistusvälineen käyttörajoitukset ja muu sääntely tai velvoitteet huomioidaan (esimerkiksi kansainväliset pakotteet tai henkilötietosääntely).

Lisäksi 2 momentissa olisi keskeistä, että siinä säädettäisiin tunnistusvälineen tarjoajan velvollisuudesta laatia tunnistuspalvelunsa käyttöoikeuden toimitusehdot. Näitä ehtoja olisi käytettävä tehtäessä sopimuksia tunnistusvälityspalveluiden tarjoajien kanssa. Toimitusehdot olisivat siten velvoittavia jokaiselle tunnistusvälityspalvelun kanssa tehtävälle sopimukselle, ja samoja ehtoja pitäisi tarjota kaikille luottamusverkostossa. Käytännössä tämä tarkoittaisi vain yksien ehtojen tekemistä. Myös lain pakottavuutta koskevasta 3 §:stä seuraa, ettei velvollisuudesta tarjota samoja toimitusehtoja kaikille ja tehdä sopimukset niiden mukaisesti voida poiketa toisin sopimalla.

Momentissa vaadittaisiin, että käyttöoikeuden ehtojen on oltava tämän lain mukaisia sekä kohtuullisia ja syrjimättömiä. Ehtojen sisältämistä tiedoista säädettäisiin uudessa 12 b §:ssä. Kohtuullisuutta ja syrjimättömyyttä arvioitaessa olennaista on, että ehtojen on kohdeltava samanlaisessa tilanteessa olevia tunnistusvälityspalvelun tarjoajia tasapuolisesti. Ehtojen pitää olla kohtuulliset kaikkien välityspalvelun tarjoajien kannalta ja ottaa huomioon erilaiset välityspalvelun tarjoajat siten, etteivät ne syrji ketään. Ehtojen syrjimättömyysvaatimus tarkoittaisi sitä, että jos tunnistusvälineen tarjoaja käyttää tunnistusmenetelmää itse tai tarjoaa sitä tytäryhtiölleen tai muulle sellaiselle taholle, sen on tarjottava vastaavaa palvelua vastaavin ehdoin ja samanlaatuisena myös tunnistusvälityspalvelulle. Kilpailevaa tunnistusvälityspalvelua ei tule asettaa palvelun tarjontaa koskevissa ehdoissa erilaiseen asemaan esimerkiksi palvelun toimitusajan tai palvelun tason suhteen. Syrjimättömyysvelvollisuus edellyttää lisäksi, että tunnistusvälineen tarjoaja ilmoittaa välityspalvelulle muutoksista, kuten saatavilla olevien rajapintojen vaihtumisesta tai muuttumisesta, siten että tieto muutoksesta on mahdollisimman samanaikaisesti sekä oman välityspalvelun että toisen välityspalvelun tarjoajan tiedossa.

Toimitusehtojen kohtuullisuutta ja syrjimättömyyttä ei valvottaisi ennakollisesti viranomaisen toimesta. Jos käyttöoikeutta pyytävä tunnistuspalvelun tarjoaja katsoo, että toisen tunnistuspalvelun tarjoajan julkaisemat toimitusehdot tai tunnistuspalvelun tarjoajan muu menettely ei täytä lain vaatimuksia, se voisi saattaa asian toimenpidepyynnöllä Liikenne- ja viestintäviraston käsiteltäväksi. Virasto voisi pyrkiä ratkaisemaan erimielisyydet ensisijaisesti sovittelemalla. Liikenne- ja viestintävirasto voisi todeta lakia valvovana viranomaisena valvontapäätöksellään, onko tunnistusvälineen tarjoajan toimitusehdoissa ristiriitaa sääntelystä johtuvien velvoitteiden kanssa. Hallintopakkokeinoja koskevan 45 §:n nojalla virasto voisi antaa huomautuksen sille, joka rikkoo sääntelyä, sekä velvoittaa tämän korjaamaan virheensä tai laiminlyöntinsä kohtuullisessa määräajassa. Päätöksen tehosteeksi asetettavista keinoista säädetään myös 45 §:ssä. Liikenne- ja viestintäviraston valvontapäätökseen voi hakea muutosta hallinto-oikeudessa.

Liikenne- ja viestintäviraston käsitellessä syrjimättömyyttä koskevaa asiaa tunnistusvälineen tarjoajalla olisi velvollisuus osoittaa, että sen käyttämät ehdot ja sen perimä hinta ovat syrjimättömiä.

Käyttöoikeuden luovutusvelvollisuudesta ja toimitusehtojen laatimisvelvollisuudesta seuraa, että tunnistusvälineen tarjoajan olisi 2 momentin mukaan hyväksyttävä tunnistusvälityspalvelun tarjoajan pyyntö toimitusehtojen mukaisen sopimuksen tekemisestä. Laissa säädettäisiin, että sopimus olisi tehtävä ja käyttöoikeus annettava viipymättä ja viimeistään kuukauden kuluessa pyynnön tekemisestä.

Sopimuksentekovelvollisuus ei olisi kuitenkaan ehdoton, vaikka sääntelyn lähtökohta on, että tunnistusvälineen tarjoajan on tarjottava välineensä kaikille tunnistusvälityspalveluille välitettäväksi näiden niin halutessa. Tunnistusvälineen tarjoaja voisi 2 momentin mukaan kieltäytyä sopimuksen tekemisestä, jos tunnistusvälityspalvelun tarjoaja toimii vastoin tätä lakia tai sen nojalla annettuja säännöksiä tai määräyksiä taikka kieltäytymiselle on muu painava peruste. Säännös vastaisi voimassa olevaa lain tulkintaa ja käytäntöä, joka on kirjattu Viestintäviraston käytännesääntöihin. Muu painava peruste olisi esimerkiksi se, että välityspalvelun tarjoaja toimii olennaisesti vastoin sen tunnistusperiaatteissa (välitysperiaatteet) määrättyä tarkoitusta. Myös muut erittäin painavat ja perustellut syyt, kuten esimerkiksi vakavat rikkeet osapuolten välisissä sopimuksissa tai pakotteet, voivat olla pätevä peruste sopimuksesta kieltäytymiseen. Sopimuksesta kokonaan kieltäytyminen on kuitenkin mahdollista vain viimesijaisena keinona, eli ensin on selvitettävä, voidaanko sopimus tehdä edellyttämällä muita osapuolten oikeudet turvaavia, kohtuullisia mekanismeja. Kieltäytyessään sopimisesta tunnistusvälineen tarjoajan on toimittava syrjimättömästi.

Pykälän 3 momentissa ehdotetaan säädettäväksi voimassa olevan 12 a §:n 2 ja 4 momentissa säädetystä yhteistyöstä. Hallinnollisia käytäntöjä koskevan yhteistyön velvoite ehdotetaan korvattavaksi selkeämmillä sopimis- ja tarjontapakkoa koskevilla velvoitteilla, eikä siitä näin ollen ole tarpeen säätää. Sen sijaan yhteistyö teknisten käytäntöjen yhteensovittamiseksi on välttämätöntä, jotta tekninen yhteentoimivuus voidaan turvata myös tekniikan kehittyessä ja uusien tunnistusmenetelmien osalta. Velvollisuus koskee sekä tunnistusvälineen että tunnistusvälityspalvelun tarjoajia.

Teknisen yhteentoimivuuden edistämiseksi pykälään ehdotetaan lisättäväksi velvoite siitä, että käyttöön otettavien teknisten ratkaisujen tulee mahdollistaa yleisesti tunnettujen standardien mukaisten rajapintojen tarjoamista luottaville osapuolille.

Tunnistusvälityspalvelut voivat valita asiointipalveluille tarjoamansa tekniset ratkaisut, kunhan ne täyttävät säädetyt turvallisuusvaatimukset. Luottamusverkoston sisäisiä tunnistuspalvelujen välisiä rajapintoja koskee vahvan sähköisen tunnistuspalvelun tarjoajien luottamusverkostosta annetun valtioneuvoston asetuksen (169/2016) 1 §:ssä säädetty velvollisuus tarjota vähintään yhtä yleisesti käytetyn standardin mukaista teknistä rajapintaa. Tällä hetkellä käytössä ovat väistymässä oleva Tupas-rajapinta ja SAML- tai OIDC-protokolliin perustuvat rajapinnat, joille Viestintävirasto on laatinut suositusprofiilin. Mobiilivarmenteen tarjoajilla on lisäksi käytössä myös ETSI:n varmennestandardiin pohjautuva rajapinta. Ehdotetun säännöksen tarkoitus on vahvistaa se periaate, että kun luottamusverkoston sisällä syntyy uudenlaisia ratkaisuja, niissä tulee huomioida aina vaikutus asiointipalveluille tarjottaviin teknisiin ratkaisuihin.

Pykälän 4 momentti olisi uusi. Se vastaisi sähköisen viestinnän palveluista annetun lain 248 §:ää, jossa säädetään vähimmän haitan periaatteesta. Tunnistuspalvelut edellyttävät jatkuvaa teknistä yhteentoimivuutta ja häiriöttömyyttä, ja siksi muutostilanteissa on välttämätöntä huomioida vaikutus ketjun muihin toimijoihin. Velvollisuus koskee sekä tunnistusvälineen että tunnistusvälityspalvelun tarjoajia. Tehokkaasti ilmoittaminen tarkoittaa sitä, että ilmoituksessa muille luottamusverkoston toimijoille täytyy huomioida sekä ilmoituskynnyksen että ilmoitusajan kannalta muutoksen tai häiriön laajuus ja vaikutus. Esimerkiksi tietyn protokollan mukaisen rajapinnan tarjonnasta luopumisesta on tarpeen saada tieto paljon aikaisemmassa vaiheessa kuin yksittäisen keskeytyksen aiheuttavasta huoltotyöstä. Luottamusverkoston yhteistyöryhmässä laadittu suositus suunnitellun muutos- tai huoltotyön ilmoittamisesta on viikkoa ennen työtä tai jos työ on tiedossa myöhemmin, viimeistään, kun työ on tiedossa.

Pykälän 5 momentti vastaa pääosin voimassa olevan lain 16 §:n 4 ja 5 momenttia. Tunnistuspalveluntarjoajan tietoon voi tulla toista tunnistuspalveluntarjoajaa koskevaa luottamuksellista tietoa 16 §:ssä säädetyn häiriötiedonvaihdon lisäksi myös käyttöoikeuden luovutuksessa, ja näitä tarjontavelvollisuuden perusteella saatuja tietoja täytyy käsitellä yrityksessä huolellisesti ja vain siihen tarkoitukseen, jonka perusteella ne on saatu. On huomattava, että tunnistuspalvelun tarjoajien keskinäisellä salassapidolla ei saa olla haitallista vaikutusta kuluttajan oikeuteen saada tietoa siitä, kenen toimijan puoleen kuluttaja voi kääntyä vedotakseen laillisiin oikeuksiinsa. Tämä on todettu Viestintäviraston suosituksena laadituissa luottamusverkoston käytännesäännöissä (216/2017 S kohta 4.7.3). Salassapitovelvollisuus ei siis estäisi tunnistuspalvelun tarjoajaa ohjaamasta kuluttajaa kääntymään sen tahon puoleen, joka voi auttaa kuluttajaa häiriön tai muun ongelman ratkaisemisessa tai joka vastaa vahingosta kuluttajalle.

Asetuksenantovaltuutta koskeva 6 momentti vastaa voimassa olevan lain 12 a §:n 5 momenttia. Siirtymäsäännöksen mukaan vahvan sähköisen tunnistuspalvelun tarjoajien luottamusverkostosta vuonna 2016 annettu valtioneuvoston asetus jäisi voimaan.

12 b §. Tunnistuspalvelun käyttöoikeuden toimitusehdot ja tunnistusvälineen tarjoajan tiedonantovelvollisuus. Pykälä olisi uusi. Siinä säädettäisiin tunnistusvälineen tarjoajan velvollisuudesta julkaista tunnistuspalvelunsa käyttöoikeuden toimitusehdot sekä muut käyttöoikeuden luovuttamisen ja tunnistuspalveluiden yhteentoimivuuden kannalta merkitykselliset tiedot. Tiedot olisi julkaistava palveluntarjoajan verkkosivuilla.

Tarkoitus on, että lain vaatimukset täyttävien ehtojen laatiminen ja julkaiseminen mahdollistaisi nopean sopimisen tunnistusvälityspalvelun kanssa. Toimitusehdot olisivat velvoittavia tunnistusvälineen tarjoajan ja tunnistusvälityspalvelun sopimukselle. Säännöksen tarkoituksena on edistää käyttöoikeuden luovutusta koskevia sopimusneuvotteluja sekä helpottaa luovutusehtojen kohtuullisuuden ja syrjimättömyyden valvontaa. Asetettavan avoimuusvelvollisuuden piiriin kuuluvat tiedot on määritelty säännöksessä. Avoimuusvelvollisuus asetetaan niiden tietojen osalta, jotka ovat käyttöoikeuden kannalta merkityksellisiä. Tiedot koskevat siten toimitusehtojen lisäksi teknisiä ominaisuuksia.

Ehdotetut vaatimukset toimitusehdoille olisivat teknologianeutraaleja ja ne soveltuvat verkkopankkitunnusten ja mobiilivarmenteiden lisäksi myös Väestörekisterikeskuksen tarjoamiin tunnistusvarmenteisiin, ellei näitä koskevassa sääntelyssä ole muuta säädetty. Ne soveltuvat myös uusiin tunnistusmenetelmiin, joita tullaan ilmoittamaan Liikenne- ja viestintäviraston rekisteriin vahvoina sähköisinä tunnistusvälineinä.

Selvyyden vuoksi todetaan tässä yhteydessä, että lain 14 §, joka koskee tunnistusperiaatteita, säilyisi ennallaan. Tunnistusperiaatteiden tarkoitus on ensisijaisesti turvata tunnistusvälineen käyttäjien ja niihin luottavien asiointipalveluiden tiedonsaanti. Nyt kyseessä olevat toimitusehdot olisivat luottamusverkoston sisäisiä, tunnistuspalvelun tarjoajien välisiä ehtoja. Ne voisi esimerkiksi sisällyttää tunnistusperiaatteisiin tai viitata niihin tunnistusperiaatteissa, mikä on ollut vallitseva käytäntö.

Ehdotuksen 1 kohdan mukaan toimitusehtojen täytyy sisältää kuvaus tunnistusvälineestä eli tunnistusmenetelmästä. Erona lain 14 §:n mukaisissa tunnistusperiaatteissa edellytettyyn käyttäjille ja asiointipalveluille tarkoitettuun palvelukuvaukseen toimitusehtojen täytyy sisältää tiedot niistä seikoista, jotka ovat tarpeen tunnistusvälityspalvelulle. Erityisesti kuvauksen tulee sisältää tiedot siitä, mitä tunnistetietoja henkilöstä on saatavilla tunnistusvälineen tarjoajalta. Vaatimus soveltuu sekä luonnollisen että oikeushenkilön vahvan sähköisen tunnistusvälineen tarjoamiseen. Vahvoja sähköisiä oikeushenkilön tunnistusvälineitä ei ole vielä tuotu Suomessa tarjolle. Tunnistetiedot jaetaan EU:n eIDAS-asetusta tarkentavassa rajat ylittävää tunnistamista koskevassa komission täytäntöönpanoasetuksessa (EU) 2015/1501 pakollisiin ja valinnaisiin. Samat tunnistetiedot on saatettu yhteentoimivuuden turvaamiseksi kansallisesti voimaan Viestintäviraston määräyksellä 72.

Pykälän 2 kohdan mukaan ilmoitettavista tunnistusvälineen käyttörajoituksista säädetään tarkemmin lain 18 §:ssä (ks. 18 §:n yksityiskohtaiset perustelut). Käyttörajoitusten pitää olla syrjimättömiä. Käyttörajoituksia voi olla esimerkiksi sähköisen allekirjoituksen tekeminen, heikon tunnisteen luominen (käyttäjätunnus-salasana -pari) tai kertakirjautumisen salliminen tai rajoittaminen.

Pykälän 3 kohta koskisi tietoja teknisistä rajapinnoista ja testausjärjestelyistä. Ilmoittaa tulisi ainakin tieto siitä, minkä protokollan mukaisia rajapintoja on tarjolla ja ovatko ne Liikenne- ja viestintäviraston suosituksen mukaisia. Itse tekniset spesifikaatiot ja mahdolliset luottamukselliset tiedot on toimitettava erikseen viipymättä tunnistusvälityspalvelulle, kun tämä pyytää sopimuksen tekemistä. Rajapinnoista säädetään myös 12 a §:n 3 momentissa ja valtioneuvoston asetuksessa 169/2016. Tiedot mahdollisesta testausjärjestelystä, esimerkiksi testausrajapinnasta, riippuvat tarjottavasta palvelusta.

Tunnistustapahtumista perittävä hinta tulisi ilmoittaa toimitusehdoissa pykälän 4 kohdan mukaan. Enimmäishinnasta ehdotetaan säädettäväksi uudessa 12 c §:ssä, joten hinta tulee ilmoittaa tämän enimmäishintasääntelyn sallimissa rajoissa. Käytännössä ehdoissa tulisi ilmoittaa paitsi hinnan suuruus myös hinnan määräytymisen perusteet etenkin silloin, jos hinta määräytyisi muuten kuin tunnistustapahtumakohtaisesti. Enimmäishinta mahdollistaisi muitakin hinnoittelumalleja kuin tunnistustapahtumien määrästä riippumattoman tunnistustapahtumakohtaisen hinnoittelun. Esimerkiksi niin kutsutut määräalennukset, eli tunnistustapahtumien määrästä riippuva hinnoittelu, olisi siten mahdollista. Tunnistustapahtumakohtaisen keskimääräisen hinnan olisi kuitenkin aina oltava enintään laissa säädetyn 3 sentin enimmäishinnan suuruinen. Kohtuullisuuden ja syrjimättömyyden vaatimuksista seuraisi, että hinnoittelun on oltava kaikkien osapuolten kannalta kohtuullista ja samaa hinnoittelua olisi tarjottava kaikille, eikä siitä voisi sopia toisin.

Mitä edellä todetaan hinnan määräytymisen perusteista, vastaisi voimassa olevan lain 12 a §:n 3 momentin perusteluita siltä osin, kun niissä on selvennetty enimmäishinnan osalta, että tunnistuspalvelun tarjoajat voivat sopia myös hinnoittelusta, joka mahdollistaa tapahtumamääristä riippumattoman korvauksen. Keskimääräinen korvaus välitettävästä tunnistetiedosta ei saa nykyisen säännöksen perusteluiden mukaan kuitenkaan ylittää 10 sentin enimmäiskorvausta (HE 272/2014 vp, 20 s.). Nyt ehdotettava enimmäishintasäännös mahdollistaisi myös tapahtumamääristä riippumattoman korvauksen, kunhan sen osalta voidaan varmistua siitä, ettei keskimääräinen korvaus tunnistustapahtumasta ylittäisi lain mukaista enimmäishintaa. Tällaistakin hinnoittelua koskisi kohtuullisuuden ja syrjimättömyyden vaatimus. Toimitusehdoissa tulisi ilmoittaa tällaisenkin hinnoittelumallin perusteet.

Pykälän 5 kohdan mukaan tunnistusvälineen tarjoajan on ilmoitettava tarjottu palvelutaso, jolla tarkoitetaan rajapinnan tai muiden tarvittavien elementtien saatavuutta. Ainoastaan sulkupalvelun saatavuudelle on säädetty vaatimus jatkuvasta saatavuudesta. Syrjimättömyysvaatimuksen takia palvelutason on oltava sama kaikille välityspalveluille, myös tunnistusvälineen tarjoajan omalle välityspalvelulle. Syrjimättömyysvaatimus ei kuitenkaan saisi aiheuttaa sitä, ettei liikennettä voitaisi heikentää tai katkaista häiriötä aiheuttavalle välityspalvelulle esimerkiksi palvelunestohyökkäyksien yhteydessä. Velvollisuus tiedottaa keskeytyksistä ja häiriöistä tukee käytettävyyttä ja ennakoitavuutta.

Kuvaus huolto- ja muutostöiden ilmoittamisesta koskee sitä, millä menettelyillä, kynnyksillä ja missä ajassa huolto- ja muutostöistä informoidaan. Nämä tiedot tulisi 6 kohdan mukaan ilmoittaa toimitusehdoissa.

Tiedot käytettävästä laskutusmenettelystä olisi ilmoitettava 7 kohdan perusteella. Laskutusmenettely tai mahdolliset vaihtoehtoiset menettelyt, joista sopimusosapuoli voisi valita, olisi kuvattava ehdoissa riittävällä tasolla.

Ehdotettava 8 kohta koskee vahingonkorvausvastuuta koskevia ehtoja. Ne voitaisiin sisällyttää toimitusehtoihin lain säännökset huomioiden. Lain pakottavuutta koskevasta 3 §:stä seuraisi, että siltä osin kuin vahingonkorvausvastuusta on säädetty tässä laissa, siitä ei ole mahdollista sopia toisin. Vastuunrajoituksista ja vastuun kohdentumisesta olisi siten mahdollista sopia vain siltä osin kuin se jää sääntelemättä. Ehtojen olisi oltava kohtuullisia ja syrjimättömiä 12 a §:ssä tarkoitetulla tavalla.

Tavaramerkkien ja muiden immateriaalioikeuksien käytön ehdoista tulisi ilmoittaa 9 kohdan nojalla. Syrjimättömyyden vaatimuksesta seuraisi, että tavaramerkkiä pitää pystyä käyttämään siten kuin voimassa olevissa Viestintäviraston suosituksena laadituissa luottamusverkoston käytännesäännöissä todetaan. Käytännesääntöjen mukaan tunnistusvälityspalvelulla on oikeus sopia asiointipalvelun kanssa siitä, että asiointipalvelussa käytettävissä olevien tunnistusvälineiden tavaramerkit näkyvät asiointipalvelussa.

Pykälän 10 kohdan mukaan tunnistusvälineen tarjoajan olisi ilmoitettava henkilötietojen käsittelyn periaatteet EU:n yleisen tietosuoja-asetuksen mukaisena rekisterinpitäjänä. Asetuksessa säädetään rekisterinpitäjän asemasta, velvollisuuksista ja vastuusta. Oletuksena on, että tunnistusvälityspalvelu katsottaisiin tietosuoja-asetuksen mukaiseksi itsenäiseksi rekisterinpitäjäksi, ja tunnistusvälineen tarjoajan ja tunnistusvälityspalvelun tarjoajan sopimuksessa huomioitaisiin rinnakkaisten rekisterinpitäjien välillä oleelliset asiat. Tunnistusvälityspalvelun oletettua asemaa rekisterinpitäjänä tukee se, että tämän lain mukaan tunnistusvälityspalvelu voi päättää ja vastaa itsenäisesti henkilötietojen luovuttamisesta asiointipalvelulle tunnistustapahtuman toteuttamisessa, eikä se voi olla riippuvainen tunnistusvälineen tarjoajan luvasta. Itsenäistä rekisterinpitäjän roolia tukee myös tunnistusvälityspalvelua koskeva lain 24 §:ssä säädetty itsenäinen velvollisuus tallentaa ja säilyttää tiedot tunnistustapahtumista.

Lain 6 § ja 24 § koskevat ainoastaan tunnistustapahtumaan kuuluvia tunnistetietoja. Muiden, niin kutsuttujen rikastamistietojen käsittelyperuste on aina arvioitava erikseen tietosuoja-asetuksen tai muun henkilötietojen käsittelyä koskevan sääntelyn perusteella. Tunnistustapahtumaan kuuluvina tunnistetietoina on pidettävä niitä tietoja, jotka EU:n eIDAS-asetuksen nojalla annetussa EU:n komission täytäntöönpanoasetuksessa (EU) 2015/1501 määritellään EU-tasolla luonnollisen henkilön tai oikeushenkilön pakollisiksi tai valinnaisiksi tunnistetiedoiksi. Myös oikeushenkilön tunnistetietoihin sisältyvät aina pakollisina oikeushenkilön tunnistusvälineeseen kytketyn luonnollisen henkilön tunnistetiedot.

Mahdolliset perusteet muuttaa sopimusehtoja yksipuolisesti tulisi ilmoittaa 11 kohdan nojalla.

Riidanratkaisun menetelmä olisi 12 kohdan mukaan myös ilmoitettava.

Mahdollisuus ilmoittaa muut luottamusverkoston toiminnan kannalta välttämättömät ehdot sisältyisi 13 kohtaan. Mahdollisia muita tällaisia ehtoja voisivat käytännössä olla esimerkiksi sopimuksen voimassaoloaikaan ja irtisanomiseen liittyvät ehdot, sopimukseen liittyvien ilmoitusten tekotapa, laissa erikseen sääntelemättömät salassapitoon liittyvät ehdot tai tarkemmat avustamismenettelyt virhe- ja väärinkäytöstilanteissa.

12 c §. Korvaus tunnistuspalvelun käyttöoikeudesta. Luottamusverkoston hintasääntelystä ehdotetaan säädettäväksi erikseen tässä uudessa pykälässä. Sen 1 momentin mukaan tunnistusvälityspalvelun tarjoajan on suoritettava tunnistuspalvelun käyttöoikeudesta korvaus, joka on enintään kolme senttiä edelleen välitettävältä tunnistustapahtumalta. Käyttöoikeudella tarkoitetaan muutettavaksi ehdotettavan 12 a §:n 2 momentin mukaista käyttöoikeutta.

Ehdotettu korvaus olisi enimmäishinta, kuten nykyisinkin, mutta sen taso laskettaisiin nykyisestä 10 sentistä 3 senttiin. Hintatasoa perustellaan esityksen taloudellisia vaikutuksia koskevassa osassa. Lakiin ehdotetusta 12 a §:n 2 momentissa säädettävästä käyttöoikeuden ehtojen syrjimättömyysvaatimuksesta seuraisi, että hinnan määräytymisen perusteiden tulee olla kaikille osapuolille sama, millä pyritään varmistamaan hinnoittelun syrjimättömyys. Myös lain pakottavuutta koskevasta 3 §:stä seuraa, ettei siitä voisi osapuolten välillä sopia toisin. Käytännössä tämä tarkoittaa, että tunnistusvälineen tarjoajan tulee tarjota tunnistuspalvelunsa käyttöoikeutta samoilla säädetyn enimmäishinnan puitteissa määritellyillä hinnan määräytymisen perusteilla kaikille luottamusverkostossa toimiville tunnistusvälityspalveluille.

Enimmäishinta mahdollistaisi muitakin hinnoittelumalleja kuin tunnistustapahtumien määrästä riippumattoman tunnistustapahtumakohtaisen hinnoittelun. Esimerkiksi niin kutsutut määräalennukset, eli tunnistustapahtumien määrästä riippuva hinnoittelu, olisi siten mahdollista. Tunnistustapahtumakohtaisen hinnan olisi kuitenkin aina oltava enintään laissa säädetyn enimmäishinnan suuruinen. Kohtuullisuuden ja syrjimättömyyden vaatimuksista seuraisi, että hinnoittelun on oltava kaikkien osapuolten kannalta kohtuullista ja samaa hinnoittelua olisi tarjottava kaikille, eikä siitä voisi sopia toisin.

Mitä edellä todetaan hinnan määräytymisen perusteista, vastaisi voimassa olevan lain 12 a §:n 3 momentin perusteluita siltä osin, kun niissä on selvennetty enimmäishinnan osalta, että tunnistuspalvelun tarjoajat voivat sopia myös hinnoittelusta, joka mahdollistaa tapahtumamääristä riippumattoman korvauksen. Keskimääräinen korvaus välitettävästä tunnistetiedosta ei saa nykyisen säännöksen perusteluiden mukaan kuitenkaan ylittää 10 sentin enimmäiskorvausta (HE 272/2014 vp, 20 s.). Nyt ehdotettava enimmäishintasäännös mahdollistaisi myös tapahtumamääristä riippumattoman korvauksen, kunhan sen osalta voidaan varmistua siitä, ettei keskimääräinen korvaus tunnistustapahtumasta ylittäisi lain mukaista enimmäishintaa.

Selkeyttämällä enimmäishintaa koskevaa säännöstä ja muutenkin luottamusverkoston toimintaa pyrittäisiin myös selventämään nykyisessä soveltamiskäytännössä aiheutuneita epäselvyyksiä koskien erityisesti kertakirjautumista ja tunnistusvälityspalvelun omia asiointipalveluja.

Kertakirjautumisessa välityspalvelu toteuttaa yhden tunnistustapahtuman perusteella kertakirjautumisistunnon, jonka sisällä asiakas voi siirtyä tunnistettuna useisiin eri asiointipalveluihin, joihin hänet muuten tunnistettaisiin erikseen. Perusteltuna voidaan pitää sitä, että kertakirjautumisessa jokainen välityspalvelun ylläpitämän kertakirjautumisistunnon sisällä tapahtuva tunnistautuminen eri asiointipalveluihin katsottaisiin hintasääntelyn kannalta erilliseksi korvattavaksi tapahtumaksi, vaikka tunnistusvälineen tarjoaja lähettäisi vain kerran tunnistustiedon välittäjälle. Päinvastainen tulkinta voisi ohjata tarpeettomasti kertakirjautumisen käyttöön sellaisissakin tilanteissa, joissa sitä ei muuten käytettäisi.

Väestörekisterikeskuksen ylläpitämästä suomi.fi -tunnistuspalvelusta säädetään hallinnon yhteisistä sähköisen asioinnin tukipalveluista annetussa laissa (571/2016). Sen esitöissä (HE 59/2016 vp) todetaan suomi.fi -tunnistuspalvelusta, että suhteessa tunnistuslakiin siinä olisi kyse tunnistuksen välityksen tarjoamisesta rajatulle käyttäjäpiirille. Tunnistuspalvelun käyttäjäorganisaatioista säädetään kyseisen lain 5 §:ssä. Lain esitöissä Väestörekisterikeskuksen todetaan olevan palveluja tarjotessaan tunnistuslain näkökulmasta yleisölle tarjottavia tunnistuspalveluja hyödyntävän organisaation roolissa, eikä siten esimerkiksi mukana tunnistuslain mukaisessa luottamusverkostossa.

Käytännössä välityspalvelu voi paitsi välittää tunnistusta luottaville osapuolille, myös tarjota itse sähköisiä asiointipalveluita, joissa se mahdollisesti hyödyntää vahvaa tunnistusta. Välityspalvelun oikeutta hyödyntää välityssopimuksen mukaisella hinnalla hankkimiaan tunnistustapahtumia itse tarjoamassaan asiointipalvelussa voidaan pitää perusteltuna luottamusverkoston toimijoiden tasapuolisten toimintamahdollisuuksien kannalta. Myös tunnistusvälineen tarjoajat voivat toimia välityspalvelun roolissa tai tarjota asiointipalveluita, joissa ne hyödyntävät vahvaa tunnistusta. Tunnistustapahtumien käytön erittely välityspalvelussa edelleenvälitykseen ja omiin asiointipalveluihin olisi hallinnollisesti tarpeettoman raskas ja vaikeasti valvottava vaatimus, joka asettaisi erikokoiset yritykset eri asemaan, koska suuremmat yritykset voisivat organisoida edelleenvälityksen ja oman asiointipalvelun eri yhtiöihin.

Tunnistustapahtumassa välityspalvelu saa teknisen rajapinnan kautta tunnistusvälineen käyttäjään liittyvät yksilöivät tunnistetiedot ja se voi välittää niitä sähköiseen tunnistukseen luottavalle osapuolelle, jotta tämä voi varmistua sähköisen asioijan henkilöllisyydestä. Ehdotetun 1 momentin mukaan korvaus kattaa kaikki sähköiseen tunnistusvälineeseen liittyvät henkilön tunnistetiedot. Tämän on tarkoitus selventää sitä, että kaikki yksittäisessä tunnistustapahtumassa välineen tarjoajalta välityspalvelulle välitetyt tunnistetiedot sisältyvät säädettyyn hintaan.

Toistaiseksi tunnistusvälineen tarjoajat tarjoavat Suomessa vahvoja sähköisiä tunnistusvälineitä ainoastaan luonnollisille henkilöille, mutta vaatimukset pätevät yhtä lailla laissa tarkoitettuihin oikeushenkilöiden tunnistusvälineisiin, jos niitä tulee tarjolle. Viestintäviraston määräyksessä 72A/2018 M on määrätty yhteentoimivuuden varmistamiseksi luonnollisen ja oikeushenkilön pakolliset ja valinnaiset attribuutit. Attribuutit vastaavat komission täytäntöönpanoasetusta (EU) 2015/1501. Tunnistusvälineen tarjoaja päättää, haluaako se tarjota valinnaisia tunnistetietoja. Syrjimättömyysvaatimuksesta seuraisi, että jos tunnistusvälineen tarjoaja omassa toiminnassaan käyttää tiettyjä valinnaisia attribuutteja, on ne tarjottava säädetyn enimmäishinnan puitteissa myös muiden välityspalveluiden käyttöön. Myös tunnistusvälityspalvelu voi rikastaa vähimmäisattribuutteja valinnaisilla attribuuteilla, joita ovat esimerkiksi henkilön osoitetieto ja oikeushenkilöiden kohdalla erilaiset EU:n tasolla harmonisoidut tunnistenumerot. Tunnistusvälityspalvelu voi myös köyhdyttää tietoja ja tarjota asiointipalvelulle vaikkapa vain vahvistusta, että asioija on täysi-ikäinen.

Nykyisen säännöksen soveltamiskäytäntöä vastaavasti hintasääntely soveltuisi tunnistusvälineen tarjoajan ja välityspalvelun välillä riippumatta asiointipalvelussa tapahtuvan asioinnin sisällöstä. Hintasääntely soveltuisi siis myös tilanteessa, jossa vahvaan sähköiseen tunnistusvälineeseen liittyvää tunnistetietoa käytetään ns. heikkojen sähköisten tunnisteiden, kuten käyttäjätunnus-salasana-parien luomiseen siinä asiointipalvelussa, johon välityspalvelu tiedon välittää.

Voimassa olevan lain 12 a §:n 3 momentin mukaan luottamusverkoston hintasääntelyn tasoa tullaan arvioimaan vuosittain. Säännöstä on alettu soveltaa 1 päivänä toukokuuta 2017. Koska hinnasta säädetään jo nykyisin laissa, myös sen muuttaminen on tehtävä lainsäädäntöä muuttamalla. Hintatason arviointia koskeva velvollisuus säilytettäisiin.

Ehdotuksen mukaan Liikenne- ja viestintävirasto arvioisi tässä pykälässä säädetyn korvauksen tasoa vuosittain. Tällä varmistettaisiin, että sääntelyn tarkoituksenmukaisuutta ja toimivuutta arvioitaisiin säännöllisesti suhteessa markkinoilla tapahtuvaan kehitykseen. Koska laissa säädettäisiin enimmäishinnasta, tärkeää olisi seurata erityisesti sitä, millaiseksi hintataso markkinoilla käytännössä muodostuu ja miten hinnoittelumallit kehittyvät. Ehdotettu enimmäishinta sallii esimerkiksi tunnistustapahtumien määrästä riippuvan hinnoittelun, mikä voisi johtaa uudenlaisiin hinnoittelumalleihin. Välityspalveluilta perityt hinnat tulisivat 12 b §:n nojalla julkisiksi. Lisäksi tulisi muutenkin seurata, millaisia tunnistuspalvelun käyttöoikeuden toimitusehtoja markkinoilla käytetään ja esimerkiksi sitä, miten ehdoissa ilmoitetaan hinnasta. Liikenne- ja viestintävirasto, joka muutenkin valvoo tämän lain noudattamista ja tunnistuspalvelun tarjoajia, arvioisi markkinoiden kehitystä vuosittain yhdessä muiden toimivaltaisten viranomaisten ja tunnistuspalvelun tarjoajien kanssa. Arvioinnin tulokset huomioidaan liikenne- ja viestintäministeriön toimesta osana lain täytäntöönpanoa ja vaikutusten toteutumista koskevaa seurantaa. Seurannassa arvioidaan enimmäishintasääntelyn toimivuutta ja mahdollisia muutostarpeita. Mikäli muutostarpeita havaitaan, muutokset on toteutettava muuttamalla nyt kyseessä olevaa sääntelyä.

Pykälän 2 momentissa säädettäisiin, että tunnistuspalvelun käyttöoikeudesta ei saa periä mitään muuta korvausta kuin 1 momentissa säädetty. Säännöksellä selkeytetään sitä, ettei pakottavaa enimmäishintasääntelyä voi kiertää perimällä erillistä korvausta jostain tunnistuspalvelun käyttöoikeuden tarjoamiseen liittyvästä toiminnosta. Momentin luettelo erilaisista käyttöoikeuksista on tarkoitettu kattamaan kaikki sellaiset käyttöoikeudet, joita tarvitaan tunnistuksen välittämiseen luottavalle osapuolelle. Esimerkiksi erillistä kuukausimaksua tai laskutuslisiä ei siten saisi periä.

12 d §. Luottamusverkoston jäsenten välinen vahingonkorvausvelvollisuus. Pykälä olisi uusi. Sen tarkoitus on selventää vahingonkorvausvastuuta luottamusverkoston sopimis- ja tarjontavelvollisuuden rikkomista koskevissa tilanteissa. Pykälän tavoitteena on tehostaa sopimisvelvollisuuden noudattamista. Ehdotettu pykälä vastaa sähköisen viestinnän palveluista annetun lain 81 §:ää.

Pykälä ei koskisi lainkaan varsinaisen tunnistuspalvelun toimivuuteen tai luotettavuuteen liittyvää vahingonkorvausvastuuta.

Vahingonkorvausvelvollisuus voisi tulla kyseeseen esimerkiksi tilanteissa, joissa rikotaan luottamusverkoston yhteentoimivuutta ja ilmoitusvelvollisuutta koskevia säännöksiä. Pykälän 1 momentissa yksilöitäisiin ne lainkohdat, joissa säädettyjen velvollisuuksien vastaisesti toimiminen voisi johtaa vahingonkorvausvastuuseen. Säännös soveltuisi kaikkiin luottamusverkoston toimijoihin.

Pykälän 2 momentissa rajattaisiin korvausvelvollisuus ainoastaan välittömiin vahinkoihin. Momentissa lueteltaisiin tyhjentävästi ne vahinkoryhmät, joista tunnistuspalvelun tarjoaja voisi joutua korvausvelvolliseksi tämän pykälän perusteella.

Korvauksen sovittelusta säädettäisiin 3 momentissa. Sovittelussa huomioon otettavia seikkoja voivat olla esimerkiksi tunnistuspalvelun tarjoajien koko ja niiden liiketoiminnan laajuus, vahingon aiheuttaneen teon tahallisuuden aste ja muut asiaan vaikuttaneet erityiset olosuhteet.

Pykälän 4 momentissa säädettäisiin korvauskanteen vanhentumisesta.

Pykälän 5 momentin mukaan tuomioistuin voisi halutessaan pyytää Liikenne- ja viestintäviraston lausuntoa korvauskannetta koskevassa asiassa. Viraston toimivaltaan kuuluu valvoa tämän lain noudattamista ja tunnistuspalvelun tarjoajia. Säännös ei luonnollisesti sitoisi tuomioistuinta.

16 §. Tunnistuspalvelun tarjoajan ilmoitukset toimintaan ja tietojen suojaamiseen kohdistuvista uhkista tai häiriöistä. Pykälän otsikko muutettaisiin vastaamaan 2 momenttiin ehdotettavaa muutosta, jonka johdosta tässä pykälässä säädettäisiin tunnistuspalvelun tarjoajan ilmoitusvelvollisuuden lisäksi myös vapaaehtoisesta ilmoittamisesta.

Pykälän 1 momentti, jossa säädetään ilmoitusvelvollisuudesta, säilyisi sisällöllisesti ennallaan. Siihen tehtäisiin vain säädösteknisiä muutoksia. Momentin viimeinen lause Liikenne- ja viestintäviraston oikeudesta välittää teknisesti momentissa tarkoitettuja tietoja luottamusverkostossa osapuolten välillä viranomaisten toiminnan julkisuudesta annetun lain estämättä siirrettäisiin uudeksi 3 momentiksi. Sen tilalle pykälän loppuun lisättäisiin voimassa olevan pykälän 3 momentti, joka asiallisesti koskee vain 1 momenttia. Lisäykseen ei tehtäisi sisällöllisiä muutoksia.

Pykälään lisättäisiin uusi 2 momentti, jonka tarkoitus on selventää tunnistuspalveluntarjoajien oikeutta vaihtaa uhka- ja häiriötietoa luottamusverkostossa myös muiden kuin sopimuskumppaneidensa kanssa. Velvollisuus vaihtaa tietoa koskee 1 momentin mukaan vain sopimuskumppaneita. Koko luottamusverkoston kattava tiedonvaihto uhkista ja häiriöistä edistäisi jäsenten kykyä ennaltaehkäistä ja selvittää häiriötilanteita. Muutos turvaisi myös sen, että vapaaehtoisesti koko luottamusverkoston kesken vaihdettuja tietoja koskee sama salassapitovelvollisuus kuin pakollisesti vaihdettuja tietoja sopimuskumppaneiden kanssa. Asian selkeyttämisen arvioidaan vähentävän tulkinnanvaraisuutta ja siten edistävän luottamusverkoston sopimusneuvotteluja.

Muutoksen tarkoitus on lisäksi mahdollistaa tiedonvaihto luottamusverkoston kesken sellaisista palvelun tarjoajista, joiden on syytä epäillä tavoittelevan oikeudetonta taloudellista hyötyä, antavan merkityksellisiä totuudenvastaisia tai harhaanjohtavia tietoja tai käsittelevän henkilötietoja lainvastaisesti. Aiemmin tässä pykälässä tarkoitettuihin uhka- ja häiriötietoihin verrattuna näillä tiedoilla tarkoitettaisiin sellaisia tietoja, jotka eivät välttämättä muodosta suoranaista uhkaa tunnistamisen tekniselle oikeellisuudelle, tietoturvalle tai henkilöllisyyden väärinkäytölle mutta jotka antavat syyn epäillä asiointipalvelun toimivan epäasiallisesti. Tällaiset havainnot voivat perustua esimerkiksi asiointipalvelun harhaanjohtavaan markkinointiin tai muuhun totuudenvastaiseen tietoon, joka johtaa käyttäjiä harhaan.

Tietoja voisi välittää siinä tarkoituksessa, että muut luottamusverkoston jäsenet voivat ottaa sen harkintansa mukaan huomioon omassa riskiarviossaan tehdessään sopimuksia luottavien osapuolten eli asiointipalveluiden kanssa. Oikeus tällaisen tiedon vaihtoon vähentäisi sitä riskiä, että käyttäjien kannalta epäasiallisesti tai petollisesti toimiva asiointipalvelu, jonka kanssa tunnistusvälityspalvelu ei ole riskiarvion perusteella tehnyt sopimusta, voisi pyrkiä sopimaan tunnistuspalvelusta sellaisen tunnistusvälityspalvelun kanssa, joka ei ole toiminnasta tietoinen.

Pykälän 3 momentti vastaisi sisällöltään voimassa olevan 1 momentin viimeistä lausetta. Liikenne- ja viestintäviraston oikeus välittää teknisesti pykälässä tarkoitettuja tietoja koskisi jatkossa sekä pakollisen ilmoitusvelvollisuuden että vapaaehtoisen ilmoittamisen perusteella tehtäviä ilmoituksia.

17 §. Tunnistusvälineen hakijana olevan luonnollisen henkilön tunnistaminen. Esityksessä ehdotettaisiin muutoksia 17 §:ään siltä osin, kun sillä säädetään olemassa olevaan vahvaan sähköiseen tunnistusvälineeseen perustuvasta sähköisestä ensitunnistamisesta uuden tunnistusvälineen myöntämiseksi, eli niin sanotusta ensitunnistamisen ketjuttamisesta. Ensitunnistamisen ketjuttamisesta on kyse silloin, kun esimerkiksi olemassa olevalla pankkitunnuksella luodaan sähköisesti uusi mobiilivarmenne. Ensitunnistaminen määritellään voimassa olevan lain 2 §:n 1 momentin 7 kohdassa.

Pykälän 4 momentissa selvennettäisiin, että niin sanottua ensitunnistamisen ketjuttamista koskeva säännös tarkoittaa sitä, että ensitunnistamista on tarjottava muille palveluntarjoajille, jotka halutessaan voivat myöntää sen perusteella uuden vahvan sähköisen tunnistusvälineen. Kukin tunnistusvälineen tarjoaja päättää itse, kenen tekemää ensitunnistamista se haluaa hyödyntää. Voimassa olevan 4 momentin säännöksen soveltamiskäytännössä on aiheutunut jonkin verran epäselvyyttä ensitunnistamisen ketjuttamiseen liittyvistä oikeuksista ja velvollisuuksista. Kyseessä olisi lakia selkeyttävä muutos, eikä sen tarkoituksena olisi muuttaa nykytilaa tai soveltamiskäytäntöä.

Lisäksi 4 momentissa täsmennettäisiin, että mahdollisuus ketjuttaa ensitunnistaminen tarkoittaisi sitä, että korkean varmuustason välineellä voi ketjuttaa myös korotetun tason välineen, mutta ei toisin päin.

Lain soveltamisala huomioiden selvää on, että säännös koskee vain tilanteita, joissa vahvalla sähköisellä tunnistusvälineellä luodaan toinen vahva sähköinen tunnistusväline. Tunnistusvälineen tarjoajilla tarkoitettaisiin tunnistus- ja luottamuspalvelulain 10 §:n mukaisesti Liikenne- ja viestintävirastoon ilmoituksen tehneitä palveluntarjoajia.

Uutena säännöksenä 4 momenttiin lisättäisiin viittaus siihen, että ensitunnistamisen ketjuttamiseen sovelletaan 12 a ja b §:n säännöksiä tunnistuspalvelun käyttöoikeuden luovutuksesta. Tämä tarkoittaisi, että tunnistusvälineen tarjoaja on velvollinen laatimaan käyttöoikeuden luovuttamista koskevat toimitusehdot ja tekemään niiden mukaisen sopimuksen sen tunnistusvälineen tarjoajan kanssa, joka haluaa käyttää ensitunnistamisen ketjuttamista. Määräaika sopimuksen tekemiselle olisi vastaava kuin 12 a §:n 2 momentissa. Tunnistusvälineen tarjoajan päätettäväksi jäisi, sisällyttääkö se ensitunnistamisen ketjuttamisen samoihin toimitusehtoihin ja sopimukseen kuin 12 a §:n mukaisen tunnistuspalvelunsa käyttöoikeuden luovuttamisen. Mahdollista olisi siten tehdä erillinen sopimus ensitunnistamisen ketjuttamisesta kuin tunnistustapahtumien välittämisestä. Tarkoitus on kuitenkin, että välineen tarjoaja laatisi yhdet toimitusehdot ensitunnistamisen ketjuttamisesta, tarjoaisi niitä kaikille osapuolille, julkaisisi ne ja käyttäisi ainoastaan niitä sopimuksia tehdessään. Ehtojen olisi oltava tämän lain mukaisia sekä kohtuullisia ja syrjimättömiä.

Pykälään ehdotettava uusi 5 momentti korvaisi nykyiseen 17 §:n 4 momenttiin sisältyvän vastuusääntelyn, johon liittyneitä tulkintaongelmia on tarkoitus selventää. Ensitunnistuksen virheellisyydellä tarkoitettaisiin tilanteita, joissa väärä henkilö tunnistetaan tietyksi henkilöksi sen johdosta, että aiempi ensitunnistaminen on tehty väärin toisen tunnistusvälineen tarjoajan toimesta. Jos tunnistusvälineitä on ketjutettu useampia, virhe voi olla tapahtunut minkä tahansa tunnistusvälineen myöntämisen yhteydessä.

Ehdotettava 5 momentti ei koskisi tilannetta, jossa vasta ensitunnistamisen ketjutusta varten välitetyssä tunnistustapahtumassa tunnistusvälineen myöntäjälle välittyy esimerkiksi teknisen virheen takia tai oikeudettoman käytön takia väärä tieto tunnistusvälineen hakijasta. Momentti tulisi kuitenkin tällaisenkin virheellisyyden tapauksessa sovellettavaksi siihen tunnistusvälineen tarjoajaan nähden, joka myöntäisi tällaisen väärän tiedon sisältävän tunnistusvälineen perusteella uuden tunnistusvälineen, johon virheellisyys välittyisi. Oikeudettomalla käytöllä tarkoitetaan tilannetta, jossa ensitunnistamisen ketjuttamisessa käytetty tunnistusväline on joutunut oikeudettomasti toisen haltuun, vaikka kyseinen tunnistusväline on kuitenkin myönnetty oikealle käyttäjälle. Tarkoitus olisi näin ollen selventää nykyistä 17 §:n 4 momenttia siten, että vastuu ei koskisi tilannetta, jossa aiempi ensitunnistus on tehty oikein mutta uuden välineen haku on tehty välinettä oikeudettomasti käyttäen.

Pykälän uusi 6 momentti koskisi ensitunnistamisen ketjuttamisessa ketjuuntuvaan virheeseen liittyvää tunnistusvälineen tarjoajien välistä takautumisoikeutta. Nykyisen 17 §:n 4 momentin osalta soveltamiskäytännössä on katsottu, että se ei sulje pois takautumisoikeutta, vaan se on olemassa ja siitä voidaan sopia tarkemmin toimijoiden kesken. Muun muassa Viestintäviraston teettämässä oikeudellisessa asiantuntijaselvityksessä on katsottu, että nykyisestä 17 §:n 4 momentista ei voida johtaa vastuunrajoitusta aiemman ensitunnistajan hyväksi suhteessa vahingonkärsijään. Selvityksessä on myös katsottu, että tilanteissa, joissa niin kutsuttu toissijainen ensitunnistaja (joka ei ole lain mukainen määritelmä) on vahingosta vastuussa 17 §:n 4 momentin nojalla, ja aiemman ensitunnistuksen tekijä sopimusperusteisen ekskulpaatiovastuun nojalla, vaikuttaa tarkoituksenmukaiselta lähtökohdalta, että vahinko jää vahingonaiheuttajien keskinäisessä suhteessa siitä tuottamuksensa tai oletetun sellaisen perusteella vastaavan kannettavaksi.

Kuten aiempi 4 momentti, ehdotettu 5 momentti ei siis estäisi vahingonkärsijää kääntymästä suoraan alkuperäisen virheen tehneen tunnistusvälineen tarjoajan puoleen, mutta vastuun perusteita tässä tilanteessa ei säänneltäisi erikseen. Siten olisi mahdollista, että tunnistusvälineen tarjoaja ilmoittaisi tällaisissa tilanteissa vastuun rajoitusta ja kohdentumista välineen tarjoajien keskinäisessä suhteessa koskevat ehdot osana julkaistavia toimitusehtoja, kuten ehdotetussa 12 b §:n 8 kohdassa säädetään. Tällaisten sopimusehtojen on muutettavaksi ehdotettavan 12 a §:n mukaisesti oltava tämän lain mukaisia sekä kohtuullisia ja syrjimättömiä. Ehdotuksen 3 §:n mukaisesta selvennyksestä koskien lain pakottavuutta tunnistuspalvelun tarjoajien välillä seuraisi, että siltä osin, kuin vastuukysymyksistä säädetään laissa, niistä ei voida sopia toisin.

Ottaen erityisesti huomioon väliaikaisesti 7 momenttiin lisättävä ensitunnistamisen ketjuttamista koskevan hintasääntelyn muutos, perusteltuna ei voida pitää, että vastuu tällaisissa tilanteissa kohdentuisi alkuperäisen virheen tehneelle kategorisesti. Tunnistusvälineen tarjoajan on sallittava se, että muut tunnistusvälineen tarjoajat voivat hyödyntää sen myöntämää tunnistusvälinettä ensitunnistamisen ketjuttamisessa. Kun ketjutusten lukumäärää ei myöskään ole rajoitettu, eikä ketjuttamisesta suoritettaisi tunnistustapahtuman välitystoimintaa koskevaa hintaa korkeampaa korvausta, kohtuullisena ei voida pitää, että mahdolliset vahingot lähtökohtaisesti jäisivät alkuperäisen virheen tehneen tunnistusvälineen tarjoajan vastattavaksi. Tästä olisivat kuitenkin poikkeuksena kvalifioidun tuottamuksen tilanteet eli vahingot, jotka aiheutuvat alkuperäisen virheen tehneen tunnistusvälineen tarjoajan tahallisuudesta tai törkeästä huolimattomuudesta. Esimerkkinä mahdollisesta kvalifioidun tuottamuksen tilanteesta voisi olla se, että vahinko johtuu siitä, että ensitunnistamisessa virheen tehnyt tunnistusvälineen tarjoaja ei ole tarkastanut ensitunnistamisessa käytetyn passin tai henkilökortin voimassaoloa lain 7 b §:ssä tarkoitetulla tavalla, vaikka tieto olisi ollut saatavissa.

Pykälän 7 momenttiin lisättäisiin kahden vuoden määräajaksi viittaus 12 c §:ään, mikä tarkoittaisi, että luottamusverkoston hintasääntely koskisi väliaikaisesti myös ensitunnistamisen ketjuttamista. Hinta olisi siten sama 3 sentin enimmäishinta kuin tunnistustapahtuman välittämisen hinta tunnistusvälityspalvelulle. Teknisesti tunnistetiedon välittäminen ensitunnistamisessa on vastaava toimenpide kuin tunnistetiedon välittäminen tunnistuspalvelujen tarjoajien verkostossa. Näin ollen hinta on perusteltua säätää samaksi. Hinnan alentamista nykyisestä hintatasosta puoltaisi erityisesti myös se, että pykälän 5 ja 6 momentissa tarkennettaisiin ensitunnistamisen ketjuttamiseen liittyvää vastuusääntelyä. Siinä huomioitaisiin, että koska hintaa alennettaisiin nykyisestä, kohtuullisena ei voida pitää, että vastuu mahdollisesta ensitunnistamisen virheellisyydestä aiheutuvasta vahingosta muutoin kuin poikkeuksellisesti kanavoituisi ketjuttamistilanteessa takautuvan vahingonkorvausvaatimuksen nojalla alkuperäisen virheen tehneen tunnistusvälineen tarjoajan vastattavaksi.

Ketjuttamisen hintaan ei saisi 12 c §:n 2 momentin mukaisesti lisätä mitään muuta korvausta. Ensitunnistamisen ketjuttamisen hintaa on perusteltua arvioida erillisenä tunnistusvälineen tarjoajalle itselleen varsinaisesta henkilön ensitunnistamisesta aiheutuvista kustannuksista, eikä niitä pidä voida lukea mukaan ensitunnistamisen ketjuttamisen hintaan (ks. esityksen taloudelliset vaikutukset).

Ensitunnistamisen ketjuttamisen 3 sentin enimmäishinta on tarkoitus olla voimassa kahden vuoden määräajan. Sen jälkeen hintasääntely poistuisi, ja hinta määräytyisi markkinaehtoisesti. Tavoitteena on, että markkinoiden kehittyessä tunnistusvälineiden tarjonta paranee siten, että enimmäishintasääntelylle ei ole enää tarvetta. Nykyisin väliaikaisesti voimassa olevalla lailla (826/2017) tähän pykälään viiden vuoden määräajaksi lisätyt 5 - 7 momentti ensitunnistamisen ketjuttamisen enimmäishinnasta kumottaisiin. Tämä johtaisi myös Viestintäviraston väliaikaisen lain nojalla antaman korvauksen enimmäistasoa koskevan päätöksen kumoutumiseen.

Liikenne- ja viestintäviraston 12 c §:n 1 momentin mukainen velvollisuus arvioida tunnistustapahtuman välittämisen enimmäishinnan tasoa vuosittain ei koskisi ensitunnistamisen ketjuttamisen enimmäishintaa. Vuosittainen arviointi ei olisi tarpeen, koska säännös on voimassa vain kahden vuoden ajan.

18 §. Oikeustoimen tekemiseen kohdistuvat estot ja rajoitukset. Pykälän 1 momentin loppuun esitetään lisäystä, jolla selvennettäisiin voimassa olevan säännöksen sisältöä. Lisäyksen tarkoituksena ei siten ole muuttaa nykytilaa tai soveltamiskäytäntöä, vaan selventää, että tunnistusvälineen käyttämistä koskevia rajoituksia tai oikeustoimien tekemiseen kohdistuvia estoja ei voi määritellä sopimusehdoissa asiakas- tai asiointipalvelukohtaisesti. Tunnistuspalvelun tulee olla sama yleiskäyttöinen tunnistuspalvelu riippumatta tunnistuksen välittävästä tahosta. Tunnistuspalvelun tulisi siis olla sama riippumatta siitä, tarjoaako tunnistuspalvelun asiointipalvelulle tunnistusvälineen tarjoaja itse tunnistusvälityspalvelun roolissa vai muu tunnistusvälityspalvelun tarjoaja, joka välittää tunnistusvälineen tarjoajan siirtämiä tunnistetietoja.

Tunnistuspalvelun tarjoajan yhteistyövelvoitteeseen kuuluu, että se mahdollistaa yhteentoimivien palveluiden tarjoamisen, eli että välitettävään tunnistukseen ei sisälly niin sanotusti ylimääräisiä, tunnistusvälineeseen muutoin liittymättömiä rajoituksia. Näin ollen esimerkiksi käyttäjätunnus-salasanaparien luomista asiointipalvelussa ei voida rajoittaa siten, että niiden luomisesta olisi sovittava välineen tarjoajan kanssa erikseen. Tunnistusvälineen tarjoajan olisi siis määriteltävä ja sovellettava 18 §:n mukaisia estoja tai käyttörajoituksia siten, että estot ja rajoitukset eivät riipu välityspalvelusta. Esimerkki lain mukaan sallitusta käyttörajoituksesta voisi olla kielto käyttää tunnistuspalvelua apuna sähköisen allekirjoituksen tekemisessä 14 §:n 3 momentissa viitatulla tavalla.

Voimassa olevan 2 momentin nojalla sekä välineen tarjoaja että välityspalvelun tarjoaja ovat jo nykyisin velvollisia huolehtimaan tässä pykälässä tarkoitettujen tunnistusvälineen käyttöön liittyvien estojen ja rajoitusten havaittavuudesta. Tähän momenttiin ehdotettavalla lisäyksellä korostettaisiin, että estot ja rajoitukset on määriteltävä sellaisella tavalla, että kaikki osapuolet ymmärtävät ne, sillä rajoitukset tulevat osaksi tunnistusvälineen haltijan kanssa tehtävää sopimusta, minkä lisäksi asiointipalvelulla on velvollisuus noudattaa niitä. Lisäksi momentissa täsmennettäisiin, että nimenomaan tunnistusvälineen tarjoaja (voimassa olevassa laissa tunnistuspalvelun tarjoaja) voi myös toteuttaa estot tai rajoitukset teknisin toimin.

Pykälän 3 momentin muutoksella täsmennettäisiin, että velvollisuus toteuttaa estojen ja rajoitusten tarkistamisen mahdollisuus kuuluu luontevasti tunnistusvälineen tarjoajalle, joka asettaa välineeseen liittyvät rajoitukset.

Pykälän 4 momenttia ei esitetä muutettavaksi.

Lakiin ei ehdoteta uusia asetuksen- tai määräyksenantovaltuuksia.

Voimassa olevan lain 12 a §:n 5 momentin nojalla annettu valtioneuvoston asetus vahvan sähköisen tunnistuspalvelun tarjoajien luottamusverkostosta (169/2016) jäisi siirtymäsäännöksen mukaan voimaan. Asetuksenantovaltuutta koskeva säännös siirtyisi ehdotuksen mukaan lain 12 a §:n 6 momenttiin, ja se säilyisi sisällöllisesti muuttumattomana.

Sähköisen tunnistamisen markkinoiden kehitys ja luottamusverkoston toiminnan käynnistyminen on ollut hidasta siitä huolimatta, että viime vuosina jo tehdyillä lainsäädäntömuutoksilla on tavoiteltu markkinoiden ja toimivan kilpailun edistämistä. Luottamusverkostoa koskeva sääntely on tullut siirtymäajan jälkeen voimaan jo toukokuussa 2017. Luottamusverkoston sopimusneuvotteluiden hitaan etenemisen arvioidaan haittaavan sähköisten palveluntarjoajien mahdollisuutta kilpailuttaa tarvitsemansa tunnistuspalvelut ja siten hyödyntää mahdollisuutta tunnistaa vahvasti palvelunsa käyttäjät. Nykyisenkaltainen kehitys voi vaikuttaa myös kuluttajien mahdollisuuteen asioida luotettavasti sähköisissä palveluissa, jos palveluntarjoaja katsoo, ettei vahvan sähköisen tunnistamisen käyttöönotto ole kustannustehokas vaihtoehto. Sähköisen tunnistamisen markkinoiden toimimattomuus hidastaa näin olleen sekä julkisen että yksityisen sektorin sähköisten palvelujen kehitystä.

Tämän vuoksi laki ehdotetaan tulemaan voimaan mahdollisimman pian. Sen 17 §:n 7 momentti on voimassa kaksi vuotta lain voimaantulosta.

Esitys sisältää siirtymäsäännöksen, jonka mukaan tunnistusvälineen tarjoajan olisi laadittava ja julkaistava tunnistuspalvelunsa käyttöoikeuden toimitusehdot kahden kuukauden kuluessa lain voimaantulosta. Käytännössä tunnistusvälineen tarjoajilla on jo nykyisin olemassa ehdot, jotka olisi päivitettävä vastaamaan nyt ehdotettuja muutoksia.

Lisäksi esityksessä ehdotetaan, että ennen lain voimaantuloa tehdyt tunnistuspalvelun tarjoajien väliset sopimukset olisi saatettava tämän lain mukaisiksi kolmen kuukauden kuluessa lain voimaantulosta. Esityksellä olisi siten vaikutuksia tämän lain voimaantullessa voimassa oleviin tunnistusvälitystä ja ensitunnistamisen ketjuttamista koskeviin sopimuksiin. Vaikka luottamusverkoston sopimusneuvottelut ovat edenneet hitaasti, osa tunnistuspalvelun tarjoajista on tehnyt sopimuksia.

Perustuslain 15 §:n 1 momentti sisältää omaisuudensuojan yleislausekkeen. Sen perusteella arvioidaan omistajan käyttöoikeuksien ja määräämisvallan erilaisia rajoituksia. Perustuslakivaliokunta on lausunnoissaan todennut, että omaisuus ei ole perustuslain suojaama kaikkia käyttörajoituksia vastaan, ja että omistajan oikeuksia voidaan rajoittaa lailla, joka täyttää perusoikeutta rajoittavalta lailta vaaditut yleiset edellytykset (PeVM 25/1994 vp).

Omaisuuden suojan kannalta merkityksellisiä ovat ensinnäkin tunnistus- ja luottamuspalvelulain voimassa olevien hintasääntelyjen alentamista koskevat ehdotukset, jotka sisältyvät esityksen 12 c §:ään ja 17 §:n 4 momenttiin. Ehdotukset merkitsevät rajoitusta vahvan sähköisen tunnistusvälineen tarjoajan vapauteen hinnoitella palvelunsa koskien sekä henkilön tunnistustietojen välittämistä luottamusverkostossa tunnistusvälityspalvelulle (12 c §) että henkilön ensitunnistamista koskevan tiedon välittämistä toiselle tunnistusvälineen tarjoajalle, jotta tämä voisi luoda henkilölle uuden tunnistusvälineen (17 §:n 4 momentti).

Omaisuudensuojaa turvaavan yleislausekkeen kautta annetaan tietyssä määrin suojaa myös sopimusvapaudelle (PeVL 15/2004 vp, PeVL 33/1998 vp). Esimerkiksi lailla säädettävä sopimuspakko merkitsee rajoitusta henkilön valtaan päättää sopimussuhteistaan (PeVL 24/2002 vp). Perustuslain omaisuudensuojan kautta suojaa saavan sopimusvapauden kannalta merkityksellisiä ovat esityksen luottamusverkostoa koskevat säännökset ja erityisesti 12 a ja b §. Muutettavaksi ehdotetussa 12 a §:n 2 momentissa säädettäisiin jatkossa tunnistusvälineen tarjoajien velvollisuudesta laatia tunnistuspalvelunsa käyttöoikeuden toimitusehdot ja velvollisuudesta käyttää ainoastaan näitä toimitusehtoja tehdessään sopimuksia tunnistusvälityspalveluiden tarjoajien kanssa. Lisäksi siinä säädettäisiin velvollisuudesta tehdä sopimus tunnistusvälityspalvelun pyynnöstä laissa määrätyssä ajassa. Ehdotetussa 12 b §:ssä säädettäisiin siitä, mitä tietoja toimitusehtojen pitäisi vähintään sisältää, sekä velvollisuudesta julkaista ehdot.

Nyt esitettävät hintasääntelyn muutokset ja sopimuksentekovelvollisuutta koskevat ehdotukset vaikuttaisivat myös nykyisin voimassa oleviin tunnistuspalvelun tarjoajien välisiin sopimuksiin, koska ennen lain voimaantuloa tehdyt sopimukset olisi saatettava tämän lain mukaisiksi kolmen kuukauden kuluessa lain voimaantulosta.

Edellä mainitut ehdotukset rajoittavat tunnistusvälineen tarjoajan sopimusvapautta ja oikeutta määrätä omaisuutensa käytöstä sekä siitä perittävästä vastikkeesta. Niitä on perustuslakivaliokunnan vakiintuneen käytännön mukaan siten arvioitava perusoikeuksien yleisten rajoitusedellytysten kannalta.

Ehdotetuista hintasääntelyn muutoksista ja luottamusverkoston sopimuksentekovelvoitteista esitetään säädettävän täsmällisesti lain tasolla. Hintasääntely kohdistuisi erityislaatuiseen omaisuuteen ja rajoittuisi jo voimassa olevan enimmäishintasääntelyn alentamiseen. Nykyisin enimmäishinnoista säädetään voimassa olevan lain 12 a §:n 3 momentissa ja 17 §:n 5–7 momenteissa. Näistä jälkimmäinen, eli niin kutsuttua ensitunnistamisen ketjuttamista koskeva enimmäishinta, on voimassa väliaikaisesti viiden vuoden ajan. Ehdotetussa laissa hintasääntelyä on tarkoitus tiukentaa, koska voimassa olevat enimmäishintasääntelyt ovat osoittautuneet liian korkeiksi tunnistuspalvelumarkkinoiden kehittymiselle. Ehdotetun 12 c §:n mukaan tunnistusvälineen tarjoajalle suoritettava korvaus luottamusverkostossa välitettävästä tunnistustiedosta on enintään 3 senttiä. Samoin ehdotetun 17 §:n 7 momentin sisältämän viittaussäännöksen mukaan ensitunnistamistiedon lähettämisestä toiselle tunnistusvälineen tarjoajalle saa periä enintään 3 senttiä, ja tämä säännös olisi väliaikainen kuten nykyisin. Viiden vuoden sijaan se olisi kuitenkin voimassa ainoastaan kahden vuoden ajan.

Täsmällisyyden ja tarkkarajaisuuden vaatimuksen näkökulmasta on merkitystä sillä, että ehdotetut hintasääntelyt koskisivat kaikkia lain tarkoittamia, Liikenne- ja viestintävirastoon ilmoituksen tehneitä tunnistuspalveluntarjoajia ja tarkasti sitä toimintaa, jonka hinnoittelusta säädetään jo voimassa olevassa laissa. Korkein sallittu enimmäishinta ilmoitettaisiin tarkasti laissa. Myös tunnistusvälineen tarjoajille asetetut velvollisuudet toimitusehtojen laatimisesta sekä sopimusten tekemisestä asetetussa määräajassa ilmaistaan yksityiskohtaisesti ehdotetuissa säännöksissä.

Perustuslakivaliokunnan vakiintuneen käytännön mukaan tavallisessa lainsäädäntöjärjestyksessä voidaan säätää laki, joka ei loukkaa omistajan oikeutta omaisuutensa normaaliin, kohtuulliseen ja järkevään käyttöön (PeVL 1/1996 vp). Huomionarvoista on myös, että lainsäätäjän liikkumavara on omaisuudensuojan näkökulmasta lähtökohtaisesti suurempi velvoitteiden koskiessa pörssiyhtiöitä tai muita varallisuusmassaltaan huomattavia oikeushenkilöitä kuin, jos sääntelyllä on hyvin välittömiä vaikutuksia oikeushenkilön taustalla olevien luonnollisten henkilöiden asemalle (esim. PeVL 10/2007 vp, PeVL 32/2004 vp, PeVL 34/2000 vp). Esitetty sääntely kohdistuisi ensisijaisesti nykyisin finanssi- ja telealalla toimiviin yrityksiin, eli pankkeihin ja teleoperaattoreihin, ja siinä on kyse näiden yritysten välisissä suhteissa noudatettavista hinnoista ja ehdoista. Näitä yrityksiä voidaan pitää varallisuusmassaltaan huomattavina oikeushenkilöinä, mikä tulee huomioida arvioitaessa esitettyä sääntelyä suhteessa omaisuuden suojaan ja erityisesti sen rajoittamisen hyväksyttävyyteen.

Perustuslakivaliokunta on vakiintuneesti pitänyt kilpailun ja palvelujen saatavuuden lisäämistä hyväksyttävänä perusteena omaisuuden suojan rajoittamiselle. Valiokunta on muun muassa arvioinut ehdotuksia, joissa sähkö-, maakaasu- ja teleyritysten omistajille on asetettu omaisuuden käyttöön kohdistuvia velvollisuuksia tai rajoituksia kilpailuedellytysten luomiseksi tai turvaamiseksi. Huomioon on tällöin otettu omaisuuden erityisluonne ja valiokunta on lähtenyt siitä, että velvoitteet ja rajoitukset ovat kulloinkin kysymyksessä olevan omaisuuden erityisluonne huomioon ottaen perustuslainmukaisia, jos ne perustuvat lain täsmällisiin säännöksiin ja ovat omistajan kannalta kohtuullisia (esim. PeVL 1/1996 vp (teletoimintalain muuttaminen), PeVL 47/1996 vp (telemarkkinalaki), PeVL 34/2000 ja PeVL 5/2001 vp (telemarkkinalain muuttaminen), PeVL 36/2004 (sähkömarkkinalain muuttaminen), PeVL 8/2002 vp (viestintämarkkinoita koskevan lainsäädännön muuttaminen) sekä PeVL 61/2002 vp, PeVL 32/2004 vp ja PeVL 45/2005 vp (viestintämarkkinalaki).

Painavan yhteiskunnallisen tarpeen on esimerkiksi katsottu puoltavan teleyrityksille asetettua verkkovierailuvelvoitetta ja korvauksen rajaamista tasapuoliseksi ja kohtuulliseksi aiheutuneisiin kustannuksiin nähden. Kilpailun lisääntymisen arvioitiin alentavan hintoja ja parantavan palvelutasoa ja näin ollen lisäävän kyseessä olevien viestintämenetelmien saatavuutta (PeVL 34/2000 vp). Valiokunnan käytännössä on myös katsottu, että viranomaiselle säädetyllä mahdollisuudella asettaa toimijoille enimmäishinta noudatettavaksi oli perusoikeusjärjestelmän kannalta hyväksyttävät perusteet, kun sääntelyn tavoitteena oli lisätä kilpailua markkinoilla ja edistää palvelujen saatavuutta sekä parantaa käyttäjän asemaa (PeVL 32/2004 vp).

Perustuslakivaliokunnan käytännössä on lisäksi katsottu, että elinkeinotoiminnan sääntely ns. luonnolliseen monopoliin perustuvassa markkinatilanteessa on lähtökohtaisesti tarpeellista ja hyväksyttävää. Tällaisessa tilanteessa on perusteltua pyrkiä edistämään kilpailua ja suojaamaan asiakkaiden varallisuusarvoisia oikeuksia tavanomaista tehokkaammilla sääntelykeinoilla (PeVL 4/2000 vp, PeVL 36/2004 vp). Luonnollisen monopolin tilanteessa rajoitusta voidaan pitää perustuslainmukaisena, jos rajoitus perustuu lain täsmällisiin säännöksiin ja se on omistajan kannalta kohtuullinen (PeVL 36/2004 vp, PeVL 32/2009 vp).

Vaikka nyt esitettävä sääntely ei kohdistu luonnolliseen monopoliin, on huomioitava, ettei sähköistä tunnistamista voi tehdä kuin käyttäjällä olemassa olevalla vahvalla sähköisellä tunnistusvälineellä. Näin ollen tunnistustiedot vastaanottava palveluntarjoaja ei ole voinut valita tietojen toimittajaa hintaperusteisesti, vaan toimittaja määräytyy tunnistettavalla henkilöllä olevan sähköisen tunnistusvälineen mukaisesti. Suurin osa tunnistustapahtumista tehdään pankkien verkkopankkitunnuksilla, joten useimmiten tietojen toimittajana on siten pankki. Uusien tunnistusvälineen tarjoajien on tässä esityksessä kuvatulla tavalla ollut haastavaa päästä markkinoille ja nykyisten tunnistusvälineen ja tunnistusvälityspalvelun tarjoajien väliset sopimusneuvottelut luottamusverkostossa ovat edenneet hitaasti. Tunnistuspalvelun tarjoajien välinen kilpailu on nykyisin vähäistä ja tarjonta keskittynyttä. Näin ollen sähköisten asiointipalvelujen mahdollisuudet hankkia vahvaa tunnistamista tai kuluttajan mahdollisuudet asioida vahvasti tunnistettuna eivät parane ilman, että sähköisen tunnistamisen luottamusverkoston toiminta käynnistyy tavoitellusti.

Ehdotetulla sääntelyllä pyritään lisäämään kilpailua sähköisen tunnistamisen markkinoilla ja edistämään sähköisten palvelujen käyttöä. Tavoitteena on erityisesti se, että kuluttajilla olisi valittavinaan erilaisia tunnistusvälineitä ilman, että palveluntarjoajien keskinäinen hinnoittelu tai sopimuksenteko rajoittaisi kuluttajan mahdollisuutta hankkia yksilöllisiin tarpeisiinsa sopiva, tarvitsemansa tunnistusväline. Tavoitteena on myös, että erilaiset sähköiset asiointipalvelut voisivat hyödyntää vahvaa tunnistamista helposti ja kohtuuhintaisesti, millä puolestaan pyritään lisäämään luotettavien digitaalisten palvelujen syntymistä. Sääntelyllä edistettäisiin siten kansalaisten yhdenvertaisuutta ja mahdollisuuksia sähköiseen asiointiin kunkin käyttötarpeisiin sopivalla luotettavalla tavalla, sekä myös oikeutta hallinnoida omaa sähköistä identiteettiä. Sähköiset tunnistuspalvelut ovat digitaalisen yhteiskunnan peruspalveluita. Tämän vuoksi tulee viime kädessä lainsäädännön keinoin varmistaa kansalaisten mahdollisuudet käyttää monipuolisia ja luotettavia sähköisen tunnistamisen palveluita. Ehdotetulla sääntelyllä on tämän perusteella perusoikeusjärjestelmän kannalta hyväksyttävät perusteet ja sitä puoltaa painava yhteiskunnallinen tarve.

Ehdotettua sääntelyä on tarpeen arvioida myös suhteellisuusvaatimuksen kannalta. Omaisuuden suojaan kohdistuvan rajoituksen tulee olla välttämätön hyväksyttävän tarkoituksen saavuttamiseksi, eikä se saa mennä pidemmälle kuin on perusteltua ottaen huomioon rajoituksen taustalla olevan yhteiskunnallisen intressin painavuus suhteessa rajoitettavaan oikeushyvään. Arvioinnissa tulee huomioida myös se, että sääntely olisi oikeasuhtaista kaikkien luottamusverkoston nykyisten ja mahdollisten uusien toimijoiden kannalta.

Perustuslakivaliokunta on katsonut esimerkiksi pikaluottojen osalta hyväksyttäväksi perusteeksi sen, että aiemmin tehdyt lainsäädäntömuutokset eivät ainakaan riittävästi olleet johtaneet tavoiteltuun hyväksyttävään päämäärään (PeVL 28/2012 vp). Nyt ehdotettavaa sääntelyä pidetään välttämättömänä, sillä jo tehdyt lainsäädännön muutokset eivät ole johtaneet tavoiteltuun lopputulokseen, eli luottamusverkoston jäsenten välisten sopimusten tekemiseen ja siitä seuraavaan tunnistusvälineiden markkinoiden kehittymiseen sekä uusien ja kilpailevien vahvojen sähköisten tunnistuspalvelujen yleistymiseen.

Enimmäishintojen alentamista voidaan pitää perusteltuna siksi, että nykyinen hintasääntely on osoittautunut liian korkeaksi ja siten hidasteeksi sähköisen tunnistamisen markkinoiden kehittymiselle ja sähköisen tunnistamisen käyttämiselle. Ehdotetussa tunnistustapahtuman välittämisen enimmäishinnassa on huomioitu korvauksen oikeudenmukaisuus ja kohtuullisuus kansainvälisen vertailutiedon ja kansallisesti saatavilla olevien tietojen, kuten vähittäishinnoista saatujen vertailutietojen, pohjalta. Laissa säädettäisiin myös Liikenne- ja viestintävirastolle velvollisuus arvioida luottamusverkoston hintasääntelyn tasoa vuosittain, millä varmistettaisiin, että hintasääntelyn tarkoituksenmukaisuutta ja toimivuutta arvioitaisiin säännöllisesti suhteessa markkinoilla tapahtuvaan kehitykseen. Lisäksi ensitunnistamisen ketjuttamisen hintasääntelyn alentaminen huomioiden laissa kohtuullistettaisiin siihen nykyisin sisältyvää vastuusäännöstä, joka koskee ensitunnistuksen virheellisyyttä. Ensitunnistamisen ketjuttamisen alempi hinta olisi voimassa kahden vuoden ajan, jotta se rajoittuisi ainoastaan välttämättömään markkinoiden kehittymisen ja monipuolistumisen käynnistämiseksi. Tämän jälkeen hintasääntely poistuisi ja hinta määräytyisi markkinaehtoisesti. Näin ollen ensitunnistamisen ketjuttamisen enimmäishinnan alentamisen ohella hintasääntelyn voimassaoloa lyhennettäisiin nykyisestä viidestä vuodesta kahteen vuoteen

Koska kyseessä olisi enimmäishinta, se mahdollistaisi palvelun tarjoamisen myös alemmalla hinnalla ja siten yritysten välisen hintakilpailun. Yrityksille sallittaisiin myös erilaisten hinnoittelumallien käyttäminen lain mukaisen enimmäishinnan sallimissa rajoissa, mikä mahdollistaisi yrityksen liiketoimintaan sopivat hinnoittelumallit. Yrityksillä olisi muutenkin oikeus laatia tunnistuspalvelunsa käyttöoikeuden toimitusehdot, mutta laissa säädettäisiin tiedoista, jotka ehdoissa olisi vähintään ilmoitettava, sekä velvollisuudesta noudattaa näitä ehtoja syrjimättömästi kaikkien sopimusosapuolten kanssa.

Perustuslain omaisuudensuojan on katsottu turvaavan jossain määrin myös sopimussuhteiden pysyvyyttä. Varallisuusoikeudellisten oikeustoimien pysyvyyden suojan taustalla on ajatus oikeussubjektien perusteltujen odotusten suojaamisesta taloudellisissa asioissa. Perustuslakivaliokunnan käytännössä perusteltujen odotusten suojaan on katsottu kuuluvan oikeus luottaa sopimussuhteen kannalta olennaisia oikeuksia ja velvollisuuksia sääntelevän lainsäädännön pysyvyyteen niin, että tällaisia seikkoja ei voida säännellä tavalla, joka kohtuuttomasti heikentäisi sopimusosapuolten oikeusasemaa (PeVL 21/2004 vp, PeVL 42/2006 vp). Perustuslakivaliokunta on kuitenkin arvioinut, etteivät vahvasti säännellyillä markkinoilla toimivat yleensä voi perustellusti odottaa lainsäädännön pysyvän kaikissa oloissa muuttumattomana (PeVL 31/2006 vp, PeVL 56/2005 vp). Perustuslakivaliokunta on arvioinut tällaistakin omaisuuden suojaan puuttuvaa sääntelyä perusoikeuksien yleisten rajoitusedellytysten, kuten sääntelyn hyväksyttävyyden ja sääntelyn oikeasuhtaisuuden, kannalta (PeVL 42/2006 vp, PeVL 56/2005 vp).

Jos ehdotettuja luottamusverkoston sopimuksentekovelvollisuutta ja enimmäishintoja koskevia säännöksiä sovellettaisiin vain lain voimaantulon jälkeen tehtäviin sopimuksiin, sääntely saattaisi johtaa siihen, että aiemmin tehtyihin sopimuksiin sidotut tunnistuspalvelun tarjoajat olisivat eriarvoisessa asemassa luottamusverkostossa kuin lain voimaantulon jälkeen sopimuksen tehneet. Sääntelyn kohteena oleva toiminta pysyisi kuitenkin muuttumattomana. Ottaen erityisesti huomioon luottamusverkoston sopimusneuvotteluissa havaitut haasteet, tämä voisi heikentää aiempiin sopimuksiin sidottujen tahojen toiminta- ja kilpailuedellytyksiä ja markkinoilla. Asia on merkityksellinen myös yhdenvertaisuusnäkökulmasta.

Esitetty sopimuksentekovelvollisuus ja hintasääntelyt perustuisivat perustuslakivaliokunnan edellyttämällä tavalla lain täsmällisiin ja tarkkarajaisiin säännöksiin siitä, mitä toimintaa sääntely koskee ja millä tavalla sitä rajoitetaan. Sääntelyn tavoite huomioiden ehdotettu sääntely ei kokonaisuutena arvioituna muodostu sähköisiä tunnistuspalveluja tarjoavien yritysten kannalta kohtuuttomaksi. Lisäksi sääntelyä pidetään välttämättömänä ja oikeasuhtaisena markkinoiden kehittymiseksi ja jotta kansalaiset sekä sähköisten asiointipalvelujen tarjoajat saisivat mahdollisimman kilpailtuja, edullisia ja korkealaatuisia palveluita.

Edellä mainitut ehdotukset ovat merkityksellisiä lisäksi perustuslaissa turvatun elinkeinovapauden kannalta siltä osin, kuin ne vaikuttavat elinkeinotoiminnan harjoittamiseen jatkossa. Perustuslain 18 §:n mukaan jokaisella on lain mukaan oikeus hankkia toimeentulonsa valitsemallaan työllä, ammatilla tai elinkeinolla. Myös elinkeinovapauden rajoituksia arvioidaan perusoikeuksien yleisten rajoitusedellytysten kautta edellä esitetyn mukaisesti.

Tunnistus- ja luottamuspalvelulain 10 §:n mukaan tunnistuspalvelun tarjoajalla on velvollisuus ilmoittaa toiminnan aloittamisesta kirjallisesti Liikenne- ja viestintävirastolle. Sekä voimassaolevan että nyt muutettavaksi ehdotettavan lain 12 a §:n 1 momentin mukaan tunnistuspalvelun tarjoaja liittyy osaksi luottamusverkostoa tehdessään 10 §:n mukaisen ilmoituksen Liikenne- ja viestintävirastoon. Luottamusverkostoon liittyminen itsessään ei vaadi erillistä ilmoitusta virastolle.

Tunnistuspalvelua on mahdollista tarjota myös ilmoittautumatta Liikenne- ja viestintävirastoon, mutta tällöin tunnistuspalvelun tarjoajalla ei ole vahvan sähköisen tunnistuspalvelun tarjoajan asemaa tässä laissa tarkoitetussa merkityksessä. Vahvan tunnistuspalvelun aseman saaminen edellyttää ilmoittautumista virastoon.

Voimassa olevan lain tunnistuspalvelun tarjoajien luottamusverkostoa koskevan 12 a §:n suhdetta perustuslakiin ja erityisesti elinkeinovapauteen on arvioitu hallituksen esityksessä HE 272/2014 vp. Selvyyden vuoksi todetaan, että nyt esitettävillä muutoksilla ei muuteta oikeustilaa luottamusverkostoon liittymisen ja kuulumisen osalta.

Edellä esitetyillä perusteilla lakiehdotus voidaan käsitellä tavallisessa lainsäätämisjärjestyksessä.

Lakiehdotus

Eduskunnan päätöksen mukaisesti

kumotaan vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetun

lain (617/2009) 17 §:n 5–7 momentti, sellaisina kuin ne ovat laissa 816/2017,

muutetaan 12 a ja 16 §, 17 §:n 4 momentti ja 18 §, sellaisina kuin niistä ovat 12 a § laissa 139/2015 ja 16 § laissa 533/2016, sekä

lisätään 3 §:ään uusi 2 momentti, lakiin uusi 12 b–12 d § ja 17 §:ään, sellaisena kuin se on laeissa 139/2015 ja 533/2016, siitä tällä lailla kumotun 5–7 momentin tilalle uusi 5 ja 6 momentti ja väliaikaisesti uusi 7 momentti seuraavasti:

3 §
Pakottavuus

---

Tunnistuspalvelun tarjoajien välinen sopimusehto, joka poikkeaa tämän lain säännöksistä, on mitätön.

12 a §
Tunnistuspalvelun tarjoajien luottamusverkosto

Tunnistuspalvelun tarjoaja liittyy osaksi luottamusverkostoa tehdessään 10 §:n mukaisen ilmoituksen Liikenne- ja viestintävirastolle.

Tunnistusvälineen tarjoajan on tarjottava tunnistuspalvelunsa käyttöoikeutta tunnistusvälityspalvelun tarjoajille siten, että ne voivat välittää tunnistustapahtumia sähköiseen tunnistukseen luottavalle osapuolelle. Tunnistusvälineen tarjoajan on laadittava tunnistuspalvelunsa käyttöoikeuden toimitusehdot ja käytettävä niitä tehdessään sopimuksia tunnistusvälityspalveluiden tarjoajien kanssa. Käyttöoikeuden ehtojen on oltava tämän lain mukaisia sekä kohtuullisia ja syrjimättömiä. Tunnistusvälineen tarjoajan on hyväksyttävä tunnistusvälityspalvelun tarjoajan pyyntö toimitusehtojen mukaisen sopimuksen tekemisestä sekä annettava käyttöoikeus tunnistuspalveluun viipymättä ja viimeistään kuukauden kuluessa pyynnön tekemisestä. Tunnistusvälineen tarjoaja voi kieltäytyä sopimuksen tekemisestä ainoastaan, jos tunnistusvälityspalvelun tarjoaja toimii vastoin tätä lakia tai sen nojalla annettuja säännöksiä tai määräyksiä taikka kieltäytymiselle on muu painava peruste.

Tunnistuspalvelun tarjoajien on tehtävä yhteistyötä sen varmistamiseksi, että luottamusverkoston jäsenten väliset tekniset rajapinnat ovat yhteen toimivia ja että ne mahdollistavat yleisesti tunnettujen standardien mukaisten rajapintojen tarjoamisen luottaville osapuolille.

Tunnistuspalvelun tarjoajan on toteutettava ylläpito-, muutos- ja tietoturvatoimenpiteet muille tunnistuspalvelun tarjoajille, käyttäjille ja luottaville osapuolille mahdollisimman vähän haittaa aiheuttavalla tavalla. Sen lisäksi, mitä 25 ja 26 §:ssä säädetään, tunnistuspalvelun tarjoaja saa tilapäisesti ilman toisen tunnistuspalvelun tarjoajan suostumusta keskeyttää tunnistuspalvelun tarjonnan tai rajoittaa sen käyttöä, jos se on välttämätöntä edellä tarkoitetun toimenpiteen onnistumiseksi. Keskeytyksestä ja muutoksesta on tiedotettava tehokkaasti niille muille tunnistuspalvelun tarjoajille, joiden palveluihin se voi vaikuttaa.

Tunnistuspalvelun tarjoaja saa käyttää käyttöoikeuden luovutuksen tai 16 §:n nojalla saatuja toista tunnistuspalvelun tarjoajaa koskevia tietoja vain siihen tarkoitukseen, jota varten ne on tunnistuspalvelun tarjoajalle annettu. Tietoja saavat tunnistuspalvelun tarjoajan palveluksessa tai sen lukuun käsitellä ainoastaan ne, jotka tarvitsevat tietoja välttämättä työssään. Tietoja on muutoinkin käsiteltävä siten, ettei toisen tunnistuspalvelun tarjoajan liikesalaisuuksia vaaranneta. Tunnistuspalvelun tarjoaja, joka aiheuttaa tämän momentin vastaisella menettelyllä vahinkoa toiselle tunnistuspalvelun tarjoajalle, on velvollinen korvaamaan menettelystään aiheutuvan vahingon.

Luottamusverkoston hallinnollisista käytännöistä, teknisistä rajapinnoista ja hallinnollisista vastuista annetaan tarkempia säännöksiä valtioneuvoston asetuksella.

12 b §
Tunnistuspalvelun käyttöoikeuden toimitusehdot ja tunnistusvälineen tarjoajan tiedonantovelvollisuus

Tunnistusvälineen tarjoajan on julkaistava tunnistuspalvelunsa käyttöoikeuden toimitusehdot sekä muut käyttöoikeuden luovuttamisen ja tunnistuspalveluiden yhteentoimivuuden kannalta merkitykselliset tiedot verkkosivuillaan. Tunnistusvälineen tarjoajan on julkaistava vähintään seuraavat tiedot:

1) kuvaus tunnistusvälineestä mukaan lukien tieto saatavilla olevista yhteentoimivuusjärjestelmän vahvistamisesta sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/2014 12 artiklan 8 kohdan mukaisesti annetun komission täytäntöönpanoasetuksen (EU) 2015/1501 liitteen mukaisista henkilön tunnistetiedoista;

2) tunnistusvälineeseen liittyvät mahdolliset 18 §:ssä tarkoitetut estot ja rajoitukset sekä tieto siitä, miten ne ovat luottavien osapuolten tiedossa tai havaittavissa, taikka tiedot käyttörajoituksen teknisestä toteuttamisesta;

3) kuvaus tunnistustapahtumien välityksen teknisistä rajapinnoista ja testausjärjestelystä siltä osin kuin ne eivät sisällä liikesalaisuuksia tai tietoturvaa vaarantavia tietoja;

4) tunnistustapahtuman hinta;

5) tarjottu palvelutaso;

6) tieto siitä, miten huolto- ja muutostöistä ilmoitetaan;

7) kuvaus laskutusmenettelystä;

8) vahingonkorvausvastuuta koskevat ehdot;

9) tavaramerkkien ja muiden immateriaalioikeuksien käytön ehdot;

10) henkilötietojen käsittelyn periaatteet luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annetun Euroopan parlamentin ja neuvoston asetukseen (EU) 2016/679 (yleinen tietosuoja-asetus) mukaisena rekisterinpitäjänä;

11) mahdolliset perusteet, joilla toimitusehtoja voidaan yksipuolisesti muuttaa;

12) riidanratkaisun menetelmä;

13) mahdolliset muut luottamusverkoston toiminnan kannalta välttämättömät ehdot.

12 c §
Korvaus tunnistuspalvelun käyttöoikeudesta

Tunnistusvälityspalvelun tarjoajan on suoritettava tunnistuspalvelun käyttöoikeudesta korvaus, joka on enintään 3 senttiä edelleen välitettävältä tunnistustapahtumalta. Korvaus kattaa kaikki sähköiseen tunnistusvälineeseen liittyvät henkilön tunnistetiedot. Liikenne- ja viestintävirasto arvioi korvauksen tasoa vuosittain.

Tunnistuspalvelun käyttöoikeudesta ei saa periä muuta korvausta. Laskutuksen sekä kaikkien sellaisten tunnistusvälineen tarjoajan rajapintojen, toimintojen, palvelujen, ohjelmistojen ja tietojärjestelmien käyttöoikeudet, joita tarvitaan tunnistuksen välittämiseen luottavalle osapuolelle, tulee sisältyä 1 momentissa säädettyyn korvaukseen.

12 d §
Luottamusverkoston jäsenten välinen vahingonkorvausvelvollisuus

Tunnistuspalvelun tarjoaja, joka tahallaan tai huolimattomuudesta toimii 12 a §:n 2-3 momentissa tai 6 momentin nojalla annetuissa säännöksissä, 12 b § tai 12 c §:ssä taikka 17 §:n 4 momentissa säädettyjen velvollisuuksien vastaisesti, on velvollinen korvaamaan toiselle tunnistuspalvelun tarjoajalle aiheuttamansa vahingon.

Vahingonkorvaus käsittää korvauksen kuluista, hinnanerosta sekä muusta välittömästä taloudellisesta vahingosta, joka tunnistuspalvelun tarjoajan 1 momentissa tarkoitetusta toiminnasta on aiheutunut.

Korvausta voidaan sovitella, jos täysi korvausvelvollisuus harkitaan kohtuuttoman raskaaksi rikkomuksen laatu, vahingon laajuus, osapuolten olosuhteet ja muut seikat huomioon ottaen.

Oikeus korvaukseen vanhenee, jollei korvauskannetta ole pantu vireille kolmen vuoden kuluessa siitä, kun tunnistuspalvelun tarjoaja sai tiedon tai sen olisi pitänyt saada tieto vahingon ilmenemisestä.

Käsitellessään 1 momentissa tarkoitettua korvauskannetta tuomioistuin voi pyytää Liikenne- ja viestintäviraston lausuntoa asiassa.

16 §
Tunnistuspalvelun tarjoajan ilmoitukset toimintaan ja tietojen suojaamiseen kohdistuvista uhkista tai häiriöistä

Tunnistuspalvelun tarjoajan on salassapitosäännösten estämättä ilmoitettava ilman aiheetonta viivästystä tunnistuspalveluunsa luottaville osapuolille, tunnistusvälineiden haltijoille, muille luottamusverkostossa toimiville sopimuspuolilleen sekä Liikenne- ja viestintävirastolle palvelun toimivuuteen, tietoturvaan tai sähköisen henkilöllisyyden käyttöön kohdistuvista merkittävistä uhkista tai häiriöistä. Ilmoituksessa on kerrottava niistä toimista, joita eri tahoilla on käytettävissään uhkien tai häiriöiden torjumiseksi sekä näistä toimenpiteistä aiheutuvista arvioiduista kustannuksista.

Tunnistuspalvelun tarjoaja voi salassapitosäännösten estämättä ilmoittaa kaikille luottamusverkoston jäsenille 1 momentissa tarkoitetuista uhkista ja häiriöistä sekä palvelun tarjoajista, joiden on syytä epäillä tavoittelevan oikeudetonta taloudellista hyötyä, antavan merkityksellisiä totuudenvastaisia tai harhaanjohtavia tietoja tai käsittelevän henkilötietoja lainvastaisesti.

Liikenne- ja viestintävirasto voi teknisesti välittää tietoja luottamusverkostossa osapuolten välillä ilmoittajan lukuun sen estämättä, mitä viranomaisten toiminnan julkisuudesta annetussa laissa (621/1999) säädetään.

17 §
Tunnistusvälineen hakijana olevan luonnollisen henkilön tunnistaminen

---

Tunnistusvälineen tarjoajan on mahdollistettava se, että toinen tunnistusvälineen tarjoaja voi käyttää sen myöntämää vahvaa sähköistä tunnistusvälinettä ensitunnistamiseen haettaessa vastaavan tai alemman varmuustason vahvaa sähköistä tunnistusvälinettä. Mitä 12 a ja 12 b §:ssä säädetään tunnistuspalvelun käyttöoikeuden luovutuksesta ja toimitusehtojen julkaisemisesta, sovelletaan myös tässä momentissa tarkoitettuun tunnistusvälineen käyttämiseen ensitunnistamisessa.

Aiempaan ensitunnistamiseen luottava tunnistusvälineen tarjoaja vastaa mahdollisesta aiemman ensitunnistamisen virheellisyydestä aiheutuvasta vahingosta suhteessa vahinkoa kärsineeseen.

Jos aiempaan ensitunnistamiseen luottava tunnistusvälineen tarjoaja joutuu vastuuseen vahingosta 5 momentin nojalla, sillä on oikeus saada korvaus vahingostaan ensitunnistamisessa virheen tehneeltä tunnistusvälineen tarjoajalta, ellei tämä osoita, että vahinko ei ole aiheutunut sen tahallisuudesta tai törkeästä huolimattomuudesta.

Mitä 12 c §:ssä säädetään tunnistustapahtuman välittämisestä suoritettavasta korvauksesta, sovelletaan myös 4 momentissa tarkoitettuun tunnistusvälineen käyttämiseen ensitunnistamisessa.

18 §
Oikeustoimen tekemiseen kohdistuvat estot ja rajoitukset

Tunnistuspalvelun tarjoajan, tunnistuspalvelua käyttävän palveluntarjoajan sekä tunnistusvälineen haltijan välisillä sopimuksilla voidaan tunnistusvälineen käyttäminen oikeustoimien tekemiseen estää. Lisäksi oikeustoimien tekemiselle voidaan asettaa sekä käyttötarkoitukseen että tapahtumien rahamääräiseen arvoon liittyviä rajoituksia. Estot tai rajoitukset eivät saa kohdistua yksittäisiin palveluntarjoajiin, eivätkä ne saa riippua siitä, mikä tunnistusvälityspalvelun tarjoaja välittää tunnistustapahtuman.

Tunnistuspalvelun tarjoajan on huolehdittava siitä, että estot tai rajoitukset ovat kaikkien osapuolten tiedossa tai havaittavissa helpolla sekä selvällä ja ymmärrettävällä tavalla. Tunnistusvälineen tarjoaja voi myös toteuttaa estot tai rajoitukset teknisin keinoin. Tunnistuspalvelun tarjoaja ei vastaa niistä toimista, jotka on tehty estojen tai rajoitusten vastaisesti siitä huolimatta, että tunnistuspalvelun tarjoaja on toiminut huolellisesti.

Tunnistusvälineen tarjoajan on järjestettävä tunnistuspalvelua käyttävälle palveluntarjoajalle mahdollisuus tarkastaa tunnistusvälineeseen liittyvät estot tai rajoitukset ympäri vuorokauden. Velvollisuutta ei kuitenkaan ole, jos tunnistusvälineen estojen tai rajoitusten vastainen käyttö on teknisin keinoin estetty.

Tunnistuspalvelua käyttävän palveluntarjoajan on tarkastettava tunnistuspalvelun tarjoajan ylläpitämistä järjestelmistä ja rekistereistä mahdolliset estot tai rajoitukset tunnistusvälineen käytön yhteydessä. Tarkastaminen ei kuitenkaan ole tarpeen, jos tunnistusvälineen estojen tai rajoitusten vastainen käyttö on teknisin keinoin estetty.

---

Tämä laki tulee voimaan päivänä kuuta 20 . Sen 17 §:n 7 momentti on voimassa kaksi vuotta lain voimaantulosta.

Tunnistusvälineen tarjoajan on laadittava ja julkaistava tunnistuspalvelunsa käyttöoikeuden toimitusehdot kahden kuukauden kuluessa tämän lain voimaantulosta.

Tämän lain voimaan tullessa voimassa olleet tunnistuspalvelun tarjoajien väliset sopimukset on saatettava lain mukaisiksi kolmen kuukauden kuluessa tämän lain voimaantulosta.

Tämän lain voimaan tullessa voimassa olleen 12 a §:n 5 momentin nojalla annettu valtioneuvoston asetus jää voimaan.

---

Helsingissä 29 päivänä marraskuuta 2018

Pääministeri
Juha Sipilä

Liikenne- ja viestintäministeri
Anne Berner