PSL tiedote 11.4.2022

Pelastetaan Suomen Lapset -lääkärijärjestö on antanut lausunnon Valtiovarainministeriölle.

Lausuntomme aiheesta:
Digitaalista henkilöllisyyttä koskevan lainsäädännön valmistelu

VM092:00/2021 SÄÄDÖSVALMISTELU

Maailmanpankki ja Maailman talousfoorumi ovat todenneet, että jokaisen maailman kansalaisen digitaalinen identiteetti on tärkeä osa kestävän kehityksen tavoitteiden saavuttamista. Oikeus lailliseen henkilöllisyyteen on osa maailmanlaajuista tavoitetta (rauha, oikeus ja vahvat instituutiot), ja ID2020-allianssi on pyrkimys tämän tavoitteen saavuttamiseksi. Se on julkisen ja yksityisen sektorin kumppanuus, jossa ovat mukana YK:n virastot, Maailman talousfoorumi, säätiöt ja suuret teknologiayritykset. Niiden suuri tavoite herättää kuitenkin huolta yksityisyyden menettämisestä, massavalvonnasta ja väestön valvonnasta. Sillä on hintansa, jolla voi olla vakavia vaikutuksia ihmisten vapauteen, myös Suomessa.

Vuonna 2017 YK:n ECOSOC-istuntosalissa pidetyssä vuosittaisessa huippukokouksessa ID2020 hyväksyi ”muutosalustan” ja perusti ID2020-allianssin, jonka merkittäviä rahoittajia olivat Rockefeller-säätiö ja digitaaliteknologian konsulttiyritys Accenture. Muita peruskumppaneita olivat GAVI – The Vaccine Alliance, Microsoft ja IDEO.org (suunnittelu- ja konsulttiyritys, jolla on yhteistyökumppaneita kuten Rockefeller Foundation, Bill & Melinda Gates Foundation ja The Bezos Family Foundation). Osallistujia olivat muun muassa Intel, IBM, Verizon, Samsung, NEC ja SAP. Allianssissa oli hyvin tiivis yhteys suurten teknologiayritysten, säätiöiden sekä rokote- ja terveysalan eturyhmien välillä.

Maailmanpankki on todennut julkaisussaan, että digitaalitekniikat, kuten pilvipalvelut, biometriikka, mobiiliverkot ja -laitteet sekä älykortit, voivat lisätä turvallisuutta, tarkkuutta ja helppoutta yksilöiden tunnistamisessa ja todentamisessa. Kun julkiset ja yksityiset palveluntarjoajat siirtyvät yhä enemmän digitaaliseen maailmaan, kyky todistaa kuka olet, on olennainen edellytys osallistumiselle digitaaliseen ympäristöön.

Tällä hetkellä rakenteilla olevassa utopistisessa älykkäässä yhteiskunnassa digitaalista identiteettiä tarvitaan kaikkien ihmisten peruspalveluiden, kuten terveydenhuollon, sähköisen kaupankäynnin, matkustamisen, rahoituspalveluiden ja sosiaalisten alustojen käyttämiseen. Ilman sitä et voi osallistua. Tämä järjestelmä voidaan sitten liittää lohkoketjupohjaisiin kansalaisten uskollisuus- ja palkitsemisalustoihin, joita Maailman talousfoorumi on ennakoinut tulevan. Heidän mukaansa tämä tuo ”rauhan ja järjestyksen” maailmaan… aivan kuten Social Credit -järjestelmä Kiinassa.

Älypuhelimia, älykortteja ja biometriikkaa on käytetty useimmissa aiemmissa hankkeissa tunnistamiseen, mutta koska älypuhelimet ja -kortit voidaan varastaa tai kadottaa, ei ole kaukaa haettua olettaa, että vaatimukset turvallisemmista tunnistusmenetelmistä, kuten älytatuoinneista ja implanteista, yleistyvät, kun lähestymme vuotta 2030. Tätä kehitystä on ennustanut myös Maailman talousfoorumi neljännestä teollisesta vallankumouksesta laatimassaan visiossa. Tulevan vuosikymmenen aikana älykkäät teknologiavälineet integroidaan kehoomme käyttäytymisen seurantaa, sijaintitietoja, terveystoimintoja ja reaaliaikaista tunnistamista varten (Klaus Schwab, The Fourth Industrial Revolution, Shift 1: Implantable Technologies).

Digitaalisen henkilöllisyystodistuksen tavoittelu uhkaa lopulta muuttaa perusteellisesti ihmisen paikan yhteiskunnassa, ja ihmiskunta on enemmän tai vähemmän pakotettu siirtymään fyysisestä maailmasta digitaaliseen maailmaan. Jos yksilö ei hyväksy digitaalista henkilöllisyystodistusta, hän on vaarassa jäädä ilman peruspalveluja ja ihmisarvoista elämää. Tämä ei ole enää täysivaltaisten vapaiden ihmisten yhteiskunta.

VM:n pyytämät lausunnot valmistelussa olevasta Hallituksen esityksestä eduskunnalle digitaalista henkilöllisyyttä koskevaksi lainsäädännöksi ovat siten äärimmäisen tärkeitä ja tämän lain säätämisprosessissa on päättäjien ymmärrettävä todellinen vastuunsa. Kyse on ihmisille kuuluvien yksityiselämän suojan ja yksityisyyden, sekä henkilötietojen suojelemisesta.

EU:n perusoikeuskirjan 7 artiklassa turvataan yksityiselämän suoja ja 8 artiklassa jokaisen oikeus henkilötietojensa suojaan.

Euroopan ihmisoikeussopimuksen 8 artiklaan sisältyy oikeus yksityis- ja perhe-elämän kunnioittamiseen, mikä on eurooppalaisessa kontekstissa merkittävin digitaaliseen identiteettiin vaikuttava oikeudellinen säännös.

Yksityisyyden suojaan liittyen on hyväksytty oikeudellinen kehys: Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27. huhtikuuta 2016 (ns. yleinen tietosuoja-asetus).

Siinä viitataan ensin Euroopan unionin perusoikeuskirjan 8 artiklan 1 kohtaan, jossa taataan oikeus suojata kaikkia luonnollisia henkilöitä koskevat henkilötiedot ja lisäksi ”oikeus tutustua häntä koskeviin kerättyihin tietoihin ja oikeus saada ne oikaistua”, ja sen jälkeen siinä annetaan täsmälliset tiedot tietojenkäsittelystä ja mainitaan kolme pääperiaatetta:

(i) henkilötietojen suoja on perusoikeus;

(ii) nämä säännöt luovat monitahoisen ja toimivan välineen, jolla kunnioitetaan kaikkia muita yksittäisen ihmisen oikeuksia ja vapauksia;  

(iii) tämän asetuksen tarkoituksena on edistää vapauteen, turvallisuuteen ja oikeuteen perustuvan alueen ja talousliiton toteuttamista, taloudellista ja sosiaalista edistystä, sisämarkkinoiden talouksien vahvistamista ja lähentymistä sekä luonnollisten henkilöiden hyvinvointia.

Yksi tärkeimmistä säännöksistä on, että tietojenkäsittely on laillista vain, jos rekisteröity antaa nimenomaisen, vapaaehtoisen ja erityisen suostumuksensa, jota koskeva esitys hänelle on ilmoitettu etukäteen ja, josta käy ilmi: (i) tarkoitukset, ii) vastaanottajaryhmät, joille tietoja voidaan luovuttaa, iii) käsittelyn ajankohdat, yksityiskohtaiset säännöt ja tekniikat (mukaan lukien profilointi), ja iv) kaikki käytettävissä olevat oikeudet.

Asetuksen (EU) 2016/679 4 artiklan 11 kohdan mukaan rekisteröidyn suostumuksella tarkoitetaan ”rekisteröidyn vapaaehtoista, nimenomaista, tietoista ja yksiselitteistä tahdonilmaisua, jolla rekisteröity ilmaisee suostumuksensa häntä koskevien henkilötietojen käsittelyyn antamalla lausuman tai selkeällä myönteisellä toiminnalla”.

Yleisen tietosuoja-asetuksen mukaan henkilötietojen käsittely on laillista vain tiettyihin tarkoituksiin: pelkkä se, että tiedot ovat saatavilla verkossa, ei oikeuta niiden käsittelyä eri tarkoituksiin (ns. käyttötarkoituksen rajoittaminen), varsinkaan silloin, kun se altistaa rekisteröidyn riskeille tai vapauden ja/tai oikeuden loukkaamiselle tai kun käyttö kuuluu laittomaan toimintaan.

Ongelmakohta 1.

Nyt valmisteilla oleva lainsäädäntöhanke edellyttää erityistä huolellisuutta, sillä huonosti valmisteltu yksityisyyden suojan alueeseen liittyvä lainsäädäntö loukkaa varmuudella suomalaisten perusoikeuksia. Sähköisessä toimintaympäristössä digiaikana tapahtuvat rikokset, tietovarkaudet ja petokset ovat arkipäivää ja käytännössä menossa on alati jatkuva taistelu verkkorikollisuutta vastaan. Salausalgoritmit ovat olleet alusta asti telekommunikaation ja digiviestinnän ytimessä. Ne pyritään suunnittelemaan sellaisiksi, että niitä ei voida murtaa, mutta näin käy vääjäämättä ja jälleen joudutaan päivittämään salausalgoritmeja jne.

Tietosuoja ja sen myötä yksityisyyden suoja ovat siten digitaalisen identiteetin suurin kysymys silloin, kun mietitään tietorekistereihin suuntautuvaa laitonta tunkeutumista. Esimerkiksi huoltoon viedyn matkapuhelimen kaikki tiedot avautuvat huoltajille, jotka siis pääsevät käsiksi digitaaliseen identiteettiin. Lakiesityksessä tätä riskiä ei huomioida, sillä ko. liiketoiminta on täysin kontrolloimatonta.  

Ongelmakohta 2.

Lakiehdotuksessa on eriskummallinen, keinotekoinen järjestely, jossa rekisteriä ylläpitävä viranomaistaho vapauttaisi itsensä vastuista ja vastuu olisi siirretty kansalaiselle, joka ottaisi vastuun rekisterissä olevista tiedoistaan, käyttäessään omaa digi-identiteettiään omalla älypuhelimellaan.

Ehdotettavan sääntelyn mukaisesti tiedot luovutetaan käyttäjän itsensä hallittavaksi sovellukseen. Luovuttamisen jälkeen tiedot eivät olisi enää viranomaisen tietoja eikä niitä koskisi viranomaisen tiedonhallintaan liittyvät vastuut.

Tietoja ei siten luovutettaisi viranomaisen rekisteristä suoraan yksityisille toimijoille esimerkiksi henkilöllisyyden tarkastustilanteessa. Tarkastustilanteessa olisi myös ehdotuksen mukaisesti mahdollista varmistua tietojen ajantasaisuudesta, mutta ajantasaisuuden varmistaminen tapahtuisi Digi- ja väestötietoviraston toimesta eikä henkilötietoja luovutettaisi suoraan viranomaiselta tarkastajalle.

Tietojen luovutus tapahtuu siis kyseessä olevalle henkilölle itselleen siten, että viranomainen luovuttaa varmennetut henkilötiedot hänen hallussaan olevalle laitteelle. Lisäksi ratkaisu eroaa sen osalta, että alustana toimii mobiilisovellus.

Tämä ei voi olla juridisesti kestävä näkemys, vaan se on tuotu lakiin puhtaasti pyrkimyksenä vapauttaa Suomen viranomaiset siitä vastuusta, joka heille kuuluu rakentamistaan henkilötietorekistereistä. Kuten lakiesityksessä avoimesti todetaan, tällaista vastuuvapautta ei viranomaisille ole aikaisemmin annettu. Kun digitaali-identiteetin kokonaisuuteen kuuluu erilaisia palvelutuottajia, jotka osallistuvat ns. luottamusverkostona toimintaan, jossa kansalaisen digitaali-identiteetti tulee heidän tietoonsa, ovat kaikki näiden tahojen vastuisiin liittyvät kysymykset määriteltävä ja säädeltävä riittävällä varmuudella ennen kuin valmisteilla oleva laki voidaan hyväksyä. Kun valtio pyrkii vapautumaan kaikesta vastuusta digitaali-identiteetin osalta, mikä siis ei voi olla oikeus, kohtuus eikä laki, miten on näiden valtion valtuuttamien toimijoiden vastuut määritelty? Yksittäinen kansalainen ei kykene saamaan näitä palvelutuottajia vastuuseen ja tyypillisesti he rajaavat omat vastuunsa omissa palveluehdoissaan kokonaan.

Käykö siis niin, että jos kansalainen joutuu kärsimään vahinkoa joko huolimattomuuden, törkeän huolimattomuuden tai tahallisuuden seurauksena, hän ei voi kääntyä vaatimaan vahingonkorvausta keneltäkään? Ehdotettuun lakiin ei saa jättää tällaista porsaanreikää.

Ongelmakohta 3.

Kansalaisten kohdalla on lisäksi erittäin keskeistä tietää, mitä tietoja hänestä digitaali-identiteetin avulla kerätään ja mihin rekisteriin. Kun lakiesitys lähtee siitä, että kansalainen kytkeytyy omalla mobiilipäätteellään erilaisiin rekistereihin, on kansalaisen oltava tietoinen siitä, mitä kaikkia tietoja tämä mobiililaite välittää eri ympäristössä oleviin digitaalisiin mobiiliverkkoihin, ts. mitä tietoja kansalaisesta kerätään hänen tietämättään eri ympäristöissä.

Kun Suomi on ilmoittanut julkisesti haluavansa olla maailman johtava tekoäly-yhteiskunta ja moni suomalainen on tällä hetkellä EU:n ja globaalin tekoälykehitystoiminnan keskeinen vaikuttaja, me olemme kiivasta vauhtia menossa kohti tekoäly-yhteiskuntaa Suomessa. Mobiililaitteet liittyvät keskeisesti tekoälyverkkojen toimintaan, johon myös tämä digi-identiteetti kytkeytyy olennaisesti.

Mobiililaitteeseen kytketyn digi-identiteetin suuret uhkat liittyvätkin kaikkeen siihen, mitä henkilön digi-identiteetti ja sen seuranta mahdollistavat hänen tietämättään tahoille, jotka haluavat hänestä erilaisia seurantatietoja. Ns. älykkäät verkot lukevat mobiililaitteista koko aika tietoa, josta käyttäjä ei ole tietoinen. Käytännössä digi-identiteetti luo mahdollisuuden yksilötason seurantaan ja kontrolliin. Vapaassa, rehellisessä ja hyvätahtoisessa yhteiskunnassa, tällainen väärinkäytösten riski on kohtuullinen, mutta kontrolliin pyrkivässä, salailevassa ja alistamiseen ja esineellistämiseen pyrkivässä yhteiskunnassa digi-identiteetti ja sen keskeinen rooli yhteiskuntaan ja sen palveluihin ja toimintoihin integroitumisessa, voi luoda maanpäällisen helvetin.

Kansalaiselle tulee laissa varmistaa mahdollisuus selvittää, kuka / ketkä ovat hankkineet hänestä tietoja hänen digi-identiteettinsä avulla, mitä haku on koskenut ja milloin tämä haku on tapahtunut. Kansalaisen on saatava tieto itseään koskevista tietopyynnöistä, tämä koskee myös viranomaisten tekemiä hakuja. Kansalaisten oikeusturvan vuoksi valtion on säilytettävä lokitietoja lakiin lisättävän tarkemmin määritellyn ajan.

Ongelmakohta 4.

Kansalaisten yhdenvertaisuuden kannalta on ehdottoman tärkeää, että digi-identiteetti on vapaaehtoinen, eikä sen puute aiheuta sitä, että kansalaiselta evätään Suomen kansalaiselle myönnettyjä oikeuksia ja hänellä olevia toimintamahdollisuuksia.

Ongelmakohta 5.

Kansalaisten tulee myös voida peruuttaa oma digi-identiteettinsä niin halutessaan ja poistaa omat rekisteritietonsa.

Ongelmakohta 6.

Kansalainen voi menettää digitaalisen identiteettinsä vastoin tahtoaan tai kuollessa

  1. Hakkeroimalla voidaan poistaa kansalaisen digitaalinen identiteetti, jonka seurauksena henkilö käytännössä menettää yhteytensä kaikkiin yhteiskunnan toimintoihin. Tällaisen hakkeroinnin aiheuttaman vahingon korvausvastuu ei lakiesityksen mukaan kuulu valtiolle (Kts. ongelmakohta 2.)
  2. On määriteltävä yksityiskohtaisesti missä tilanteissa viranomainen voi poistaa henkilön digitaalisen identiteetin ja samalla sulkea hänet kokonaan tai osittain yhteiskunnan ulkopuolelle. Kansalaisella tulee olla oikeus saattaa häntä koskeva digitaalisen identiteetin poistaminen tuomioistuinlaitoksen tutkittavaksi ennen poistamispäätöksen toimeenpanoa.
  3. Koska julkishallinnon suuntaus on siirtää omia toimintojaan enenevässä määrin yksityiselle sektorille, tämä tarkoittaa käytännössä sitä, että valtio pakottaa digitaalisen identiteetin omaava kansalaisen riippuvaiseksi näiden tahojen toiminnasta. (kts. ongelmakohta 2.)
  4. Viranomaiselle lakiesityksessä esitetty oikeus poistaa kuolleen henkilön digitaalinen identiteetti vaatii lakiin täsmennystä, jotta kuoleman yhteydessä toteutettava kuolinpesän selvitystyö on mahdollista tehdä häiriöttä ja luotettavasti.

Ongelmakohta 7.

Lakiesityksessä halutaan tehdä mahdolliseksi hankkia alle 18- vuotiaille digitaalinen identiteetti.

Digitaalinen identiteetti avaa täysivaltaisen kansalaisen toimintamahdollisuudet. Koska alaikäiset eivät ole täysivaltaisia kansalaisia, heille myönnettävän digitaalisen identiteetin on oltava vanhempien etukäteisluvan varainen. Vanhemmille on laissa varattava mahdollisuus rajata lapsensa digitaalisen identiteetin myötä aukeavat toimintamahdollisuudet.

Koska lakiesityksessä asetetaan digitaalisen identiteetin hankkineelle kansalaiselle erityinen huolellisuusvelvollisuus hallussaan olevan mobiililaitteen suhteen, joka on digitaali-identiteetin hyödyntämisen väline, on tässäkin asiassa ymmärrettävä lapselle ja nuorelle mahdollisesti syntyvä liian suuri vastuu kehitysikään nähden. Näistä syistä johtuen vanhemmilla tulee olla oikeus perua alaikäisen digitaalinen identiteetti näin harkitessaan.

Yhteenvetona

Lakiesitys on Suomen kansalaisen perusoikeuksien näkökulmasta heikosti valmisteltu ja eritellyt ongelmakohdat 1-7. vaativat ehdottomasti huomiota ja pykäliä on muutettava suojelemaan suomalaisia yllä mainituista syistä.  Näiden lukuisten ja vaikeiden juridisten kysymyksien käsittely vaatii tarkkaa huolellisuutta. Näin ollen tämän lain voimaan saattamisen kiirehtiminen esitetyllä tavalla ei ole perusteltua vaan huolellinen selvitystyö esitetyistä juridisista kysymyksistä on välttämätöntä.  Selvitystyön vastaukset tarvitaan EU:ssa valmisteilla olevan digitaalisen lompakon direktiivin yksityiskohtaisten säännösten kehittämiseen ja kansalliseen soveltamiseen.

Eettiset näkökohdat

Lainsäädännöllisen arvioinnin lisäksi on digitaaliseen identiteettiin liittyvät eettiset kysymykset arvioitava ja käytävä huolella läpi, ennen kuin esitetyn lain vaikutukset voidaan katsoa tutkitun sille kuuluvalla pieteetillä. 

Me suomalaiset olemme kiinnittäneet erityistä huomiota tekoälyyn liittyviin eettisiin kysymyksiin mm. Pekka Ala-Pietilän ollessa EU tasoisen työryhmän puheenjohtajana. Meillä on Suomessa asiantuntijuutta, jolla voimme tutkia tämän lain eettiset vaikutukset huolella ja ottaa ne huomioon säädösten laatimisessa ja päättämisessä.  

Lopuksi

Suomalaiselle on ollut aina äärimmäisen tärkeää saada pitää oma itsenäisyytensä ja yksityisyytensä. Meille se on erityisen korostunut osa kulttuuriamme. Selvisimme itsenäisenä maana ja vältimme Neuvostoliiton kommunistisen yhteiskunnan totalitaristisen seuranta- ja kontrollielämän, jossa ihmisiltä vietiin yksityisyys kokonaan ja he joutuivat elämään jatkuvan totalitaristisen valvonnan ja kontrollin kohteena.

Digi-identiteetti on parhaimmillaan ovi ns. helpompaan elämään, mutta pahimmillaan digi-identiteetti on ensiaskel totalitaristiseen digi-identiteetin avulla rakennettuun ihmisen yksilöllisyyttä, vapautta ja ihmisarvoa polkevaan alistavaan kontrollissysteemiin, jonka me löydämme tänä päivänä Kiinasta.

Suomi on Nokian ja GSM-osaamisen ja historian vuoksi monella tavalla muita maita valveutuneempi ja valmiimpi omaksumaan digitaalipohjaisia yksilön elämää muuttavia ratkaisuja, olimmehan me matkapuhelinten käyttöön ottamisessa maailman ensimmäisiä yhteiskuntia. Siinä oli kuitenkin kyse aivan eri asiasta; matkapuhelimet avasivat ihmisille haluamansa kommunikaatiomahdollisuudet, mutta nyt GSM 5G:n myötä älypuhelimien ominaisuudet on kehitetty sellaisiksi, että nämä älypuhelimet luovat niiden käyttäjille myös uhkakuvia. Alun perin GSM-puhelimet tulivat ja vapauttivat ihmiset elämään ja liikkumaan vapaammin. Nyt kun digi-identiteetti sidotaan älypuhelimeen (5G/6G) on suuri uhka, että älypuhelin luo digi-identiteetin kautta ihmiselle vapaan itsenäisen elämän ja liikkumisen estävän työkalun, jolla ihminen löytää itsensä tekoälyverkkojen ympäristöstä, jossa hän on itselle tuntemattoman reaaliaikaisen valvonnan ja kontrollin kohteena. Pahimmillaan hänet suljetaan digi-identiteetin varaan rakentuneen yhteiskunnan ulkopuolelle, jos hän kieltäytyy jostain viranomaisten esittämästä vaatimuksesta, kuten esim. rokotuksesta. Tämä ei ole pelkästään mielikuvitusta, vaan tämä on arkipäivää Kiinassa, jossa digi-identiteetti on sidottu ns. China Social Credit systeemiin.

Oulu ja Espoo 7.4.2022

LKT Sylvi Silvennoinen -Kassinen (dos. immunologia, el. kliininen mikrobiologia)

LL Rauli Mäkelä (el. korvataudit)

Pelastetaan Suomen Lapset lääkäriryhmän jäseniä

LISÄYS LAUSUNTOON:

LKT Sylvi Silvennoinen-Kassisen lisäys lausuntoon viimeisenä jättöpäivänä tapahtuneen kyberhyökkäyksen johdosta.

Suomen ulko- ja puolustusministeriöiden nettisivujen kaataminen osoitti, kuinka haavoittuvainen yksinomaan digitaaliselle alustalle rakennettu identiteetti voi olla.

Hakkerit voivat ilmeisesti myös poistaa tai luoda uusia henkilöllisyyksiä nykyisissä järjestelmissä.

Sylvi Silvennoinen-Kassinen

Lausunto

08.04.2022

Asia: VN/18505/2021

Palvelunesto hyökkäys kaatoi 8.4.2022 Suomessa kahden tärkeän viranomaisorganisaation

nettisivustot. Tämä on ajankohtainen varoitus siitä, että digitaalinen ympäristö on hyvin haavoittuva

ja siksi turvaton ja epävarma. Ei ole vastuullista rakentaa henkilöiden identiteettiä yksinomaan

tällaisen tekniikan varaan. Rinnalla on tästä syystä pakollista olla varma, nykyisen kaltainen

digimaailmasta riippumaton järjestelmä, jossa henkilön identiteetti ei voi hävitä. Tämä on siksikin

tärkeää, että valtio ei lakiehdotuksen mukaan vastaa digitaalisen identiteetin mahdollisesti yksilölle

tuottamista haitoista. Ne jäävät ihmisen itsensä vastattaviksi. Niille, jotka eivät halua tällaisia riskejä,

on oltava mahdollista toimia edellä mainitulla digitaalisuudesta erillisellä identiteettijärjestelmällä.

Jaa eteenpäin:

Lue myös: