Tulostusversio

2/2009

Tunnistaminen: Vahvalle tunnistukselle säännöt

Teksti: Kirsi Miettinen

Lakiesitys säätäisi vahvan sähköisen tunnistamisen perusedellytyksistä.

Sähköiset palvelut edellyttävät osapuolten välistä luottamusta aivan toisella tapaa kuin perinteinen fyysisessä kontaktissa tapahtuva asioiminen. Käyttäjän on voitava luottaa siihen, että palveluntarjoaja on ottanut huomioon tietoturvan ja yksityisyydensuojan vaatimukset. Palveluntarjoajan on puolestaan voitava luottaa siihen, että etäyhteyden päässä oleva käyttäjä on se, joka hän väittää olevansa.

Näistä syistä moni sähköinen palvelu edellyttää myös sähköistä tunnistamista; sitä todennäköisemmin, mitä kehittyneemmästä palvelusta on kyse.

Vahva sähköinen tunnistaminen - mitä se on?

Jos sähköistä tunnistamista tarvitaan, on erotettava toisistaan vahva ja heikko tunnistaminen.

Vahvan sähköisen tunnistamisen katsotaan koostuvan siitä, mitä käyttäjä tietää (esimerkiksi käyttäjätunnus), mitä hän omistaa (esimerkiksi vaihtuvien salasanojen lista, varmenne tai muu väline) tai mitä hän on (esimerkiksi sormenjälki). Näistä vähintään kahden on toteuduttava samanaikaisesti.

Tällä hetkellä kuluttajille suunnattuja vahvan sähköisen tunnistamisen palveluita ovat pankkien verkkopankkitunnukset ja Väestörekisterikeskuksen kansalaisvarmenne. Heikon sähköisen tunnistamisen tyypillisin esimerkki lienee käyttäjätunnus-salasanapari.

Sähköisestä tunnistamisesta ei ole voimassaolevaa lakia. Sähköisistä allekirjoituksista säädetyn lain laatuvarmenteita koskevista pykälistä on pyritty hakemaan säännöksiä myös sähköiseen tunnistamiseen, mutta ne ovat soveltuneet huonosti tähän tarkoitukseen.

Nyt vahvalle sähköiselle tunnistamiselle halutaan luoda säännöt ja siten lisätä kuluttajien ja yritysten luottamusta vahvan tunnistamisen palveluihin. Samalla pyritään varmistamaan, että palveluiden tarjonnassa huomioidaan tietoturvan ja tietosuojan vaatimukset. Siksi hallitus on antanut esityksen uudeksi laiksi vahvasta sähköisestä tunnistamisesta ja sähköisestä allekirjoituksesta. Lakiesitys on parhaillaan eduskunnan käsiteltävänä.

Suomessa ei ole säännelty sitä, milloin palvelu vaatii vahvaa sähköistä tunnistamista eikä siitä ole säännöksiä lakiesityksessäkään. Yksittäisissä laeissa tästä voi silti olla säännöksiä ja niiden määrä näyttää olevan kasvussa.

Palveluntarjoajat rekisteriin

Luottamuksen syntymisen kannalta keskeinen lakiehdotuksen tavoitteita palveleva säännös on vahvan tunnistuspalvelun tarjoajien rekisteröitymispakko: Esityksen mukaan Suomeen sijoittautuneiden vahvan sähköisen tunnistuspalvelun tarjoajien on tehtävä Viestintävirastolle ilmoitus palveluiden tarjonnasta. Mikäli lain edellytykset eivät täyty, palveluntarjoaja ei saa tarjota palveluaan vahvana sähköisenä tunnistamisena, mutta palveluntarjonta muunlaisena sähköisenä tunnistamisena ei ole estetty.

Viestintävirasto pitää yllä rekisteriä ilmoituksen tehneistä palveluntarjoajista. Rekisterin on tarkoitus olla helpolla tavalla jokaisen saatavilla Viestintäviraston internetsivustolla.

Ensitunnistus passilla tai henkilökortilla

Ehdotettu laki sisältää säännökset yleisesti vahvan sähköisen tunnistamisen kulmakivenä pidetystä henkilön ensitunnistamisesta.

Pääsääntönä on, että vahvan sähköisen tunnistuspalvelun tarjoajan on tunnistettava tunnistusvälineen hakija toteamalla henkilöllisyys voimassa olevasta Euroopan talousalueen jäsenvaltion, Sveitsin tai San Marinon passista tai henkilökortista.

Ensitunnistamisen on tapahduttava henkilökohtaisesti, paitsi jos vahvan sähköisen tunnistuspalvelun tarjoajat ovat tehneet keskenään sopimuksen mahdollisuudesta luottaa toistensa tekemään tunnistukseen.

Oikeustoimi ei edellytä allekirjoitusta

Vahvaa tunnistamista käytetään tyypillisesti palveluissa, jotka edellyttävät taloudellisia tai oikeudellisia sitoumuksia tai joissa käsitellään luottamuksellisia tietoja. Tästä seuraa, että mahdollisuus tehdä oikeustoimia vahvan sähköisen tunnistamisen välineillä kuuluu olennaisesti palveluun.

Oikeustoimien tekemisestä lakiesityksessä todetaan ensinnäkin, että tunnistusvälineillä voidaan tehdä niiden ominaisuuksista riippuen erilaisia sähköisiä allekirjoituksia.

Edelleen todetaan, että riippumatta siitä, voidaanko tunnistusvälineillä tehdä sähköisiä allekirjoituksia, niillä voidaan tehdä joka tapauksessa oikeustoimia, ellei tähän ole estettä muusta lainsäädännöstä tai osapuolten tahdosta johtuen.

Sähköistä allekirjoitusta tarvitaan ainoastaan silloin, kun oikeustoimen muotovaatimuksena on allekirjoitus. Sähköiselle allekirjoitukselle ei kuitenkaan laissa ole asetettu vaatimuksia. On palveluntarjoajan harkinnassa, edellyttääkö hän allekirjoitukselta jotakin erityistä, esimerkiksi laatuvarmenteen käyttöä.

Ehdotetussa laissa todetaan siksi, että jos oikeustoimeen vaaditaan lain mukaan allekirjoitus, vaatimuksen täyttää ainakin sellainen kehittynyt sähköinen allekirjoitus, joka perustuu laatuvarmenteeseen ja on luotu turvallisella allekirjoituksen luomisvälineellä. Sähköiseltä allekirjoitukselta ei kuitenkaan tule evätä oikeusvaikutuksia yksinomaan sen vuoksi, että se on tehty muulla kuin laatuvarmenteella.

------

[KIRJOITTAJA]

Neuvotteleva virkamies Kirsi Miettinen työskentelee liikenne- ja viestintäministeriön viestintäpalveluyksikössä.

Lue myös

Tunnistaminen: Palveluille tarkat vaatimukset »
Tunnistaminen: Työnjako tasaa hankkeita »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi
Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.