Henkilöllisyyden luomista koskeva hanke (identiteettiohjelma)

SM092:00/2008 Kehittäminen

Aikataulu ja resurssit
Hankkeen tarkka aikataulu ja työnjako kuvataan tarkemmin tulevassa projektisuunnitelmassa.

Henkilöllisyyden luomista koskevan hankkeen alustava aikataulu:

Identiteettiohjelman tavoitteet / projektisuunnitelma 31.10.2008
Ohjausryhmä / projektiryhmä
Identiteettiohjelman valmistuminen 30.4.2009
Ohjelman hyväksyminen 30.6.2009
Toimeenpanosuunnitelman toteuttaminen aloitetaan30.6.2009
Hallituksen esityksien valmistuminen 31.12.2009

Henkilöllisyyden luomista koskevassa hankkeessa tuotettava materiaali:
Ensimmäinen vaihe:
- identiteettiohjelma-selvitys
- identiteettiohjelma

Toinen vaihe:
- Identiteettilakia koskeva hallituksen esitys
- Esitys henkilökorttilain muutokseksi
Identiteettiohjelman sekä toimeenpanosuunnitelman laatiminen vaatii noin yhden henkilötyövuoden vuosina 2008 ja 2009.

Hankkeen perustiedot Päättynyt

Hankenumero SM092:00/2008

Asianumerot

Asettaja sisäasiainministeriö

Toimikausi/aikataulu 28.10.2008 – 26.1.2011

Asettamispäivä 28.10.2008

Hankkeen vaiheet

Tavoitteet ja tuotokset

Yhteiskunnan normaalin toiminnan sujuvuuden kannalta viranomaisen luoma henkilöllisyys ja sitä osoittavat luotettavat asiakirjat ovat ensiarvoisen tärkeitä. Toisaalta myös kansalaisen oikeusturvan kannalta oman henkilöllisyyden suojaaminen on yhä tärkeämpää identiteettivarkauksien estämiseksi.

Henkilöllisyyksien luominen ja niitä osoittavien asiakirjojen myöntäminen tulee olla osa viranomaisen ydintehtävää eikä sitä voida siirtää yksityiselle toimijalle. Kyse on merkittävästä julkisen vallan käyttämisestä, jota perustuslain 124 §:n mukaan ei voida siirtää yksityiselle. Tämä tehtävä on viranomaistoimi, joka kuuluu valtion tehtäviin eikä ihmisen perusidentiteetin luomista tulisi edes osittain yksityistää.

Hankkeen tavoitteena on henkilöllisyyden luomista koskevien menettelytapojen määritteleminen. Hankkeen tärkein ja keskeisin tavoite on henkilöllisyyttä koskevan lainsäädäntöesityksen tuottaminen. Sähköisen henkilöllisyyden osalta lainsäädäntötilanne on huomattavan epäselvä. Sähköistä henkilöllisyyttä, sen määritelmää ja vastuuviranomaisia ei ole säädelty laissa. Lisäksi henkilöllisyyden kokonaistarkastelua ei muuttuvassa toimintaympäristössä ole tehty lainkaan.

Nykytilanteessa ei voida kuitenkaan lähteä siitä, ettei valtio vahvistaisi henkilöllisyyttä lainkaan käyttämällä hyväkseen uusia teknologioita. Henkilöllisyyden vahvistaminen ja ihmisen perusidentiteetin luominen ei voi rajoittua vain fyysisiin dokumentteihin, passiin ja henkilökorttiin, vaan valtion vahvistama perusidentiteetti on kyettävä vahvistamaan myös verkossa.

Hanke etenee kaksivaiheisesti. Hankkeen ensimmäisessä vaiheessa tehdään hanketta koskevat selvitykset ja keskeiset linjaukset. Tämän jälkeen laaditaan identiteettiohjelma, jossa muodostetaan kokonaiskuva henkilöllisyyksien käytöstä, tarpeesta, väärinkäytöksistä sekä tulevaisuuden uhista ja hyödyistä. Samalla tulee luoda strategia henkilöllisyyden suojelemiseksi muuttuvassa ja kansainvälistyvässä toimintaympäristössä.

Hankkeen toisessa vaiheessa tavoitteena on henkilöllisyyttä koskevien määräysten kokoaminen yhteen lakiin (ns. identiteettilaki). Hankkeen toinen vaihe sisältäisi samalla myös tarvittavien muutosten valmistelun henkilökorttilakiin (829/1999) ja muihin tarvittaviin lakeihin. Lainvalmistelutyö tehdään tarkoituksenmukaisesti virkatyönä ja/tai erikseen määrätyssä pienessä työryhmässä ohjelman linjausten valmistumisen jälkeen. Lainsäädäntöhankkeen puitteissa tulee laatia tarvittavat hallituksen esitykset.

Hankkeen tavoitteena on laatia kansallinen identiteettiohjelma, jossa selvitetään erilaisten tunnistamistapojen mahdollisuudet, hyödyt, riskit, seuraukset ja vaikutukset koko yhteiskunnalle, kansalaisille, yrityksille, julkiselle hallinnolle sekä sisäiselle turvallisuudelle. Eräänä erityisenä painopistealueena ovat myös identiteettivarkaudet ja niiden ennalta ehkäisy. Hankkeessa määritellään ne asiakirjat, joilla henkilöllisyys voidaan luotettavasti todentaa sekä määritellään tunnistamisprosessien luotettavuus. Myös ulkomaalaisten henkilöllisyyttä koskevat erityiskysymykset otetaan huomioon.

Identiteettiohjelman keskeisiä tavoitteita on määritellä ja kartoittaa:
• Valtion tehtävä henkilöllisyyksien luojana sekä vastuuviranomaiset
• Henkilöllisyyden määrittely
• (Sähköisen) henkilökortin ja biometrisen passin tulevaisuuden käyttömahdollisuudet sekä tulevaisuuden muodot
• Biometriikan käyttömahdollisuudet ja toteuttamistavat
• Henkilöllisyyden turvaaminen ja identiteettivarkauksien ennalta estäminen

Hankkeessa kartoitetaan perinteisen henkilöllisyyden sekä sähköisen henkilöllisyyden tarve ja edellytykset, biometristen tunnisteiden hyödyntämismahdollisuudet, uhkien ja riskien analysointi liittyen erilaisiin hyödyntämistapoihin ja toteutuksen ratkaisuihin sekä identiteettivarkaudet, nykytila ja ennalta estävät toimet.

Hankkeessa selvitetään tavoitteet, konkreettiset toimenpiteet ja niiden vaikutukset, vaikutukset sisäiseen turvallisuuteen, tekniset ratkaisut, lainsäädännölliset muutokset, identiteettivarkaudet ja ennalta ehkäisevät toimenpiteet, kansalliset ja kansainväliset velvoitteet ja niiden vaatimusten täyttäminen, perusoikeuksien turvaaminen sekä vaihtoehtoiset suunnitelmat sekä pakolliset ja valinnaiset suunnitelman elementit.

Hankkeessa selvitetään lisäksi kustannusvaikutukset sekä tiedottamisen keinot kansalaisten tietoisuuden lisäämiseksi henkilöllisyyden käytöstä ja suojelemisesta. Keskeistä on myös selvittää biometrisiin tunnisteisiin liittyvät käyttömahdollisuudet. Lisäksi huomioidaan myös mobiilivarmenteita koskevat erityiskysymykset.

Hankkeessa käsitellään myös identiteettituotepakettia. Poliisin myöntämien henkilöllisyystodistusten osalta henkilön tunnistaminen on prosessin tärkein vaihe ja sähköisessäkin toimintaympäristössä henkilön tunnistaminen tulisi prosessina eriyttää omaksi tapahtumakseen. Kansalainen voisi tässä yhteydessä valita mihin teknisiin tietovälineisiin kerran tehty tunnistamistapahtuma liitettäisiin. Näin suojeltaisiin henkilöllisyyttä, viranomaisten ja yksityisten toimijoiden toiminta tehostuisi ja sähköisen asiointi helpottuisi.

Hankkeen lähtökohtana on, että valtion myöntämän kansalaisvarmenteen asema turvallisena sähköisenä tunnisteena taataan. Valtion takaama sähköinen henkilöllisyys toteutuu siten, että väestötietolaissa määritelty kansalaisvarmenne myönnetään ainoastaan poliisin myöntämällä henkilökortilla (tai muulla vastaavalla poliisin hyväksymällä tietovälineellä) olevat yksityiset avaimet todentavaksi sähköiseksi henkilöllisyystodistukseksi, ja henkilökortin hakemisen yhteydessä henkilö tunnistetaan luotettavasti aina viranomaisen, poliisin, toimesta.

Osana identiteettiohjelmaa laaditaan riskianalyysi, jonka poliisi toteuttaa vuoden 2008 aikana. Tällöin erilaiset sähköisen asioinnin ja tunnistamisen uhkien vaikutukset tulevat ilmi ja niitä vastaan pystytään myös suojautumaan. Analyysissä arvioidaan riskejä erityisesti kansalaisvarmenteeseen, mutta myös muuhun varmenteeseen pohjautuvan henkilöllisyyden kannalta. Identiteettiohjelman laatiminen aloitetaan painopisteenä sisäinen turvallisuus. Identiteettiohjelmassa mahdollisesti sisäistä turvallisuutta koskevat toimenpide-esitykset sisällytetään sisäisen turvallisuuden ohjelmaan.

Identiteettiohjelma yhdessä Valtioneuvoston periaatepäätöstä ja tietoyhteiskuntastrategiaa toteuttavan LVM:n toimiohjelman kanssa muodostaa laajan yhteiskunnallisen kokonaiskuvan henkilöllisyyden käytöstä.

Lähtökohdat

Henkilöllisyyden osoittamisesta eri tilanteissa perinteisen, fyysisen henkilöllisyyden osalta ei ole olemassa lainsäädäntöä, mutta tilanne on kuitenkin vakiintunut. Henkilökortin myöntämisestä säädetään henkilökorttilaissa (829/1999) ja passin myöntämisestä passilaissa (671/2006). Poliisi myöntää henkilöllisyyttä osoittavat asiakirjat, passin ja henkilökortin. Poliisi tunnistaa henkilön luotettavasti ja myöntää turvatasoltaan korkeatasoisen, vaikeasti väärennettävän asiakirjan. Poliisi luo henkilöllisyyden sen perinteisessä merkityksessä ja sama tehtävä on säilytettävä myös sähköisessä toimintaympäristössä.

Fyysisen henkilöllisyyden osalta henkilöllisyyttä osoittavien asiakirjojen passin ja henkilökortin tasoa on kohotettu erilaisin toimenpitein. Kansain-välisesti biometristen tunnisteiden käyttöönottaminen matkustusasiakirjoissa on kohottanut matkustusturvallisuutta sekä toimii tehokkaana väärinkäytöksiä ennalta estävänä tekijänä.

Henkilökorttilaissa säädetään, että poliisin myöntämässä henkilökortissa on tekninen osa, joka sisältää Väestörekisterikeskuksen myöntämän kansalaisvarmenteen (sähköinen henkilökortti). Kansalaisvarmenteesta säädetään väestötietolaissa, ja sähköisestä allekirjoituksesta säädetään sähköisen allekirjoituksen lainsäädännössä.

Henkilöllisyys näyttäytyy yhteiskunnassa hyvin monin eri tavoin ja sen muoto on muuttumassa nopeasti erityisesti teknisen kehityksen vuoksi. Biometriikan tulon myötä henkilöllisyys ja sen käyttömahdollisuudet ovat radikaalisti laajentumassa.

Tulevaisuuden näkymänä voi olla yksi henkilöllisyys, jota voidaan käyttää monissa eri palveluissa ja jonka voi osoittaa monella eri tavalla tai välineellä (henkilökortti, kansalaisvarmenne, sormenjälki). Henkilöllisyyttä on tarkoituksenmukaista säilyttää viranomaisen valvonnassa ja vastuulla olevassa paikassa, luotetussa rekisterissä. Viranomainen siis tarjoaa mahdollisuuden vahvaan henkilöllisyyteen sekä mahdollisuuden käyttää sitä.

Tarkasteltaessa henkilöllisyyttä turvallisuusnäkökohdista identiteettivarkaudet ovat kansainvälisesti vakava ongelma. Identiteettivarkaudet liittyvät usein järjestäytyneeseen rikollisuuteen ja laittomaan maahanmuuttoon. Vääriä identiteettejä käytetään usein taloudellisiin etuihin liittyvissä rikoksissa. Useat maat ovat ryhtyneet mittaviin toimenpiteisiin identiteettivarkauksien estämiseksi. Sähköisten identiteettien osalta painopiste on sisäisessä turvallisuudessa.

Iso kysymys onkin yhteiskunnallinen kokonaisturvallisuus – miten turvallisuusinfrastruktuuri rakennetaan verkkoon, jossa henkilöiden identiteetti koostuu yksittäisistä asiakastunnuksista, joita myönnettäessä ei henkilöllisyyttä ole todennäköisesti voitu varmistaa. Ongelma koskee viranomaispalvelujen lisäksi yhtä lailla kaupallisia palveluita kuin vaikkapa lasten ja nuorten suosimia keskustelufoorumeita. Identiteettivarkaudet ovat nopeasti yleistyvä rikollisuuden muoto. Esimerkiksi pankkitunnisteiden kalastelu ja asiakasrekisterivarkaudet ovat jokapäiväisiä ja entistä paremmin suunniteltuja rikollisia keinoja. Henkilöllisyyttä olisikin tarkasteltava koko yhteiskunnan toimivuuden ja sisäisen turvallisuuden kannalta.

Henkilöllisyyden muodostamiseen liittyvät ratkaisut ovat merkittäviä niin henkilöllisyyden suojaamisen kannalta kuin valtion ydintehtävien määrittelyn kannalta. Turvallisuuden ja henkilön suojaamisen näkökulmasta on perusteltua, että (sähköisen) henkilöllisyyden luominen on valtion perustehtäviin kuuluva toiminto. Jos henkilöllisyyden myöntämiseen liittyvät keskeiset turvallisuusvaatimukset ja osaprosessit heikentyvät, järjestelmän luotettavuus alenee. Tällöin ei enää ole mahdollista puhua valtion takaamasta sähköisestä henkilöllisyydestä. Jotta voidaan toimia aidosti kansalaisyhteiskunnan jäsenenä, on oltava käytännössä luotettava henkilöllisyys. Luotettavan (sähköisen) henkilöllisyyden taustalla onkin kyse viranomaistoiminnan toteuttamisesta ja kansalaisen perustuslaillisten oikeuksien toteutumisesta.

Kansalaisen itsensä ei voida olettaa olevan tietoturvallisuuden asiantuntija, joten hänelle tarjottavan tunnistautumis- ja allekirjoitusmenetelmän on oltava ehdottoman luotettava.

Säädösvalmistelu ja kehittäminen valtioneuvostossa

Ministeriöt toteuttavat hallitusohjelmaa, valmistelevat lakeja ja muita säädöksiä sekä vievät eteenpäin uudistuksia erilaisissa hankkeissa, työryhmissä ja toimielimissä.

Kaikkien ministeriöiden hankkeet löydät valtioneuvoston verkkosivuilta valtioneuvosto.fi/hankkeet Linkki toiselle sivustolleAvautuu uudessa välilehdessä