Lakimies: Sähköisen allekirjoituksen vastattava paperille kirjoitettua
5.6.2003 14:52 Lakitoimisto Ace Law Oy:n lakimies Matti Karin mukaan sähköiseltä allekirjoitukselta vaaditaan lähtökohtaisesti samojen vaatimusten täyttymistä kuin käsin kirjoitetulta. Kun HST-korttia käytettäessä allekirjoitus varmennetaan PIN-koodilla, käsin tehdyn allekirjoituksen ?vanhanaikainen? varmentaminen autenttisessa tilanteessa esimerkiksi kuvallisen henkilöllisyystodistuksen avulla on tietyllä tavalla varmempaa, hän huomauttaa.
- Tilanne on hieman toinen silloin, kun paperi on jo valmiiksi allekirjoitettu. Väärennöstapauksissa sähköisen allekirjoituksen erottaminen aidosta saattaa olla mahdotonta, käsin tehdyn väärennöksen tunnistaminen sen sijaan on usein mahdollista, Kari huomauttaa.
Direktiivi ja laki säätelevät
Sähköisen allekirjoituksen luotettavuudelle asetettavat perusedellytykset on lausuttu sähköisistä allekirjoituksista annetun direktiivin johdanto-osan kohdassa 20, jossa todetaan: "Varmenteita voidaan käyttää sähköisen allekirjoituksen suorittavat henkilön henkilöllisyyden varmentamiseen. Hyväksyttyihin varmenteihin perustuvilla kehittyneillä sähköisillä allekirjoituksilla pyritään saavuttamaan korkeampi turvallisuustaso."
"Hyväksyttyyn varmenteeseen perustuvia turvallisella allekirjoituksen luomismenetelmällä luotuja kehittyneitä sähköisiä allekirjoituksia voidaan pitää käsin kirjoitettujen allekirjoitusten kanssa oikeudellisesti samanarvoisina ainoastaan, jos käsin kirjoitetuille allekirjoituksilla asetetut vaatimukset täyttyvät."
Direktiivin 3 artiklan 4 kohdassa todetaan, että jäsenvaltioiden asianmukaiset julkiset tai yksityiset laitokset määrittelevät, ovatko turvalliset allekirjoitusten luomismenetelmät direktiivissä vahvistettujen vaatimusten mukaisia. Keskeiset vaatimukset ovat:
a) allekirjoituksen luomiseen käytettäviä tietoja voi käytännössä käyttää vain kerran ja niiden luottamuksellisuus on voitava kohtuudella varmistaa
b) allekirjoituksen luomiseen käytettäviä tietoja ei voi kohtuullisella varmuudella johtaa ja allekirjoitus on suojattu kulloinkin käytössä olevaa tekniikkaa käyttäen suoritettavalta väärentämiseltä
c) laillinen allekirjoittaja voi luotettavasti suojata allekirjoituksen luomiseen käytettävät tiedot muiden käytöltä
Sähköisistä allekirjoituksista annetussa laissa nämä vaatimukset on kirjattu seuraavasti
a) allekirjoituksen luomistiedot ovat käytännössä ainutkertaisia ja ne säilyvät luottamuksellisina
b) allekirjoituksen luomistietoja ei voida päätellä muista tiedoista ja allekirjoitus on suojattu väärentämiseltä
c) allekirjoittaja voi suojata allekirjoituksen luomistiedot muiden käytöltä
- Huomio tulisi kiinnittää direktiivin kohtaan, jonka mukaan allekirjoitus on suojattava kulloinkin käytössä olevalla tekniikalla väärentämistä vastaan, Kari toteaa.
- Erityistä velvollisuutta ottaa huomioon tekniikan kehittymistä ei ole suojaan kirjattu. Sen sijaan sanamuoto ?kulloinkin käytössä oleva? antaisi aiheen ajatella, että myös suojausmenetelmiä tulisi jatkuvasti kehittää ja tehostaa sillä tavalla, että allekirjoituksen väärentäminen käytössä olevalla tekniikalla olisi estetty.
- Suomen lain mukaan "turvallisen allekirjoituksen luomisvälineen on riittävän luotettavasti varmistettava, että allekirjoitus on suojattu väärentämiseltä?. Voidaankin kysyä, pitäisikö allekirjoitusten suojauksen seurata tekniikan kehittymistä siten, että salauksen pitäisi pystyä vastaamaan sekä tämänhetkisen tekniikan luomiin uhkiin, että ottaa huomioon myös tulevaisuuden odotettua kehitystä. Tältä pohjalta voidaan perustellusti kysyä, täyttääkö 1024-bittisen salauksen käyttäminen lain vaatimukset riittävällä tavalla, Kari huomauttaa.
Velkaväärennös vaikea osoittaa
- Velkakirjalainsäädännön nojalla katsotaan yleisesti, että velallinen vastaa allekirjoituksestaan. Jos velkakirja on väärennetty, on velallisella oikeus aina vedota siihen. Velallisen on kuitenkin esitettävä näyttöä väitteensä tueksi, Kari korostaa.
- Jos mahdollinen henkilön HST-kortin ja/tai tunnusten väärinkäyttäminen johtaisi esimerkiksi väärennetyn velkakirjan nojalla oikeudenkäyntiin, olisi velallisen huomattavan vaikeata osoittaa, että velkakirja on väärennetty ja siten hän hyvin suurella todennäköisyydellä joutuisi vastuuseen velasta.
- Yleinen todistustaakka Suomessa on sillä, joka tekee väitteen. Siten se, joka vetoaa esimerkiksi sopimukseen tai velkaan, on velvollinen näyttämään tuon oikeussuhteen toteen. Allekirjoitettu sopimus tai velkakirja on kuitenkin oikeuskäytännössä katsottu vahvaksi näytöksi kyseisen oikeussuhteen olemassaolosta. Muunlainen näkemys ei voisi edes toimia sopimuksiin perustuvassa yhteiskunnassa.
- Siten se, joka vetoaa väärennettyyn allekirjoitukseensa esimerkiksi velkakirjassa tai sopimuksessa on velvollinen näyttämään väitteensä toteen. HST-tunnuksin tehty allekirjoitus on samassa asemassa kuin perinteinen allekirjoituskin, joten lainsäädännön ja/tai oikeuskäytännön perusteella olisi lähtökohtaisesti katsottava, että tässä tapauksessa uhrin olisi osoitettava olevansa väärennöksen uhri!, Kari ihmettelee.
- Sähköisistä allekirjoituksista annetun lain 17 § 2. momentin mukaan kuluttaja on vastuussa allekirjoituksestaan aiheutuneesta vahingosta siihen saakka, kunnes hän pyytää peruuttamaan varmenteen, jos hän on luovuttanut allekirjoitukseen tarvittavat luomistiedot toiselle, jos hän on menettänyt tarvittavat tiedot omaa huolimattomuuttaan ja huolimattomuus on enemmän kuin lievää, tai jos menetettyään huolimattomuuttaan kyseiset tiedot jättää pyytämättä laatuvarmenteen kumoamista.
- Lähtökohtaisesti näyttäisi siltä, että jos joku ulkopuolinen pääsee käyttämään varmennettuja tietoja esimerkiksi sopimusten, velkakirjojen tms. laatimiseen, vastaisi varmentaja näin aiheutuneesta vahingosta. Kokonaan toinen asia on, kuinka kuluttaja pystyy osoittamaan varmenteen tai koko kortin olevan puutteellisesti suojattu ja tietoturvan kannalta vaarallinen, Kari huomauttaa.
Laatuvarmenteen voi perua
Matti Karin mielestä sähköisen henkilökortin käyttäjän tulee erityisesti muistaa vastuunsa siinä tapauksessa, että henkilökortti tai käytettävät varmenteet häviävät tai on muuten syytä epäillä niiden joutuneen vääriin käsiin tai väärinkäytön kohteeksi. Laatuvarmenteen peruuttaminen nimittäin liitetään suoraan allekirjoittajan vastuuseen allekirjoituksen oikeudettomasta käytöstä aiheutuneista vahingoista.
Lain mukaan allekirjoittaja vastaa allekirjoituksen oikeudettomasta käytöstä siihen saakka, kunnes varmenteen peruuttamispyyntö on toimitettu varmentajalle. Näiltä osin vastuu on siis hyvin samantapaista kun pankki- tai luottokorttien osalta.
Lain mukaan:
1. Allekirjoittajan on viipymättä pyydettävä laatuvarmenteen myöntäneeltä varmentajalta laatuvarmenteen peruuttamista, jos hänellä on perusteltu syy epäillä allekirjoituksen luomistietojen oikeudetonta käyttöä.
2. Varmentajan on viipymättä peruutettava laatuvarmenne, jos allekirjoittaja sitä pyytää.
3. Peruuttamispyynnön katsotaan saapuneen varmentajalle silloin, kun se on ollut varmentajan käytettävissä siten, että pyyntöä voidaan käsitellä.
4. Laatuvarmenne voidaan peruuttaa myös, jos siihen muutoin on erityistä syytä.
Varmentajalla vahingonkorvausvastuu
Laatuvarmenteita tarjoavalla varmentajalla on myös vahingonkorvausvastuu.
Sähköisistä allekirjoituksista annetun lain 16 pykälän mukaan varmentaja vapautuu vastuusta, jos se näyttää, että vahinko ei ole aiheutunut sen omasta tai sen apunaan käyttämän henkilön huolimattomuudesta. Varmentaja ei myöskään vastaa vahingosta, joka aiheutuu laatuvarmenteeseen sisältyvän käyttörajoituksen vastaisesta käytöstä.
Vahingonkorvausvastuuta koskee muilta osin vahingonkorvauslaki, mikä edellyttää syy-yhteyden ja vahingon toteennäyttämistä.
- Lähtökohtaisesti sähköisen allekirjoituksen ja henkilökortin käytöstä vastaa siis yksin allekirjoituksen tai kortin omistaja, Kari sanoo.
Laatuvarmenteita tarjoava varmentaja voi vielä rajoittaa vastuutaan liittämällä varmenteeseen käyttörajoituksia. Sähköisistä allekirjoituksista annetun direktiivin 6 artiklan 4 kohdan mukaan varmennepalvelun tarjoaja voi liittää varmenteisiin myös niiden toimien arvoa koskevan rajoituksen, joihin varmennetta voidaan käyttää. Tällaisessa tilanteessa varmennepalvelun tarjoaja ei ole vastuussa vahingosta, joka aiheutuu asetetun enimmäisrajoituksen ylittämisestä.
Käytännössä tämä siis tarkoittaa sitä, että varmentaja voi asettaa itselleen vastuukaton, jonka ylittävät vahingot jäävät pääsääntöisesti allekirjoittajan vahingoksi, jos varmentaja ei ole muuten rikkonut lain mukaisia velvollisuuksiaan.
Muissa kuin lain nimenomaisesti mainitsemissa tapauksissa varmentajan vahingonkorvausvastuu määräytyy vahingonkorvauslain mukaan. Tällöin vahinkoa kärsineen on kyettävä näyttämään toteen sekä varmennepalvelun tarjoajan toimien ja vahingon syntymisen välinen syy-yhteys että aiheutunut vahinko ja sen määrä. Tämä saattaa oikeussuojakeinona olla varsinkin yksittäisen kuluttajan osalta varsin heikko, Kari huomauttaa.
Allekirjoittajalla on paljon vastuuta
Sähköisestä allekirjoituksesta annetun lain 17 pykälän mukaan pääsääntönä on, että allekirjoituksen omistaja vastaa allekirjoituksen oikeudettomasta käytöstä siihen asti, kunnes varmenne on peruttu.
Kuluttajan vastuuta on löyhennetty sen verran, että allekirjoituksen omistaja on vastuussa oikeudettomasta käytöstä vain, jos väärinkäyttöön on myötävaikuttanut tämän lievää suurempi huolimattomuus tai jos hän on luovuttanut luomistiedot toiselle tai laiminlyönyt pyytää laatuvarmenteen peruuttamista sen hävittyä tai jouduttua vääriin käsiin.
Käytännössä ongelmaksi saattaisi muodostua sen todistaminen, että allekirjoitusta on käytetty oikeudettomasti. Jos allekirjoitus pystytään ?varastamaan? ja allekirjoituksen aikamääreitä säätelemään esimerkiksi tietokoneen aika-asetuksia muuttamalla, on tästä ainakin teoriassa mahdollista syntyä vaikeita näyttöongelmia, joissa syytön allekirjoituksen omistaja joutuu todistamaan, ettei ole allekirjoitustaan käyttänyt väitettyyn oikeustoimeen.
Näin sähköisen allekirjoituksen todistustaakka saattaa olla olennaisesti raskaampi kuin perinteisen käsin tehdyn allekirjoituksen, Kari huomauttaa.
Jarmo Mäkelä toimitus@digitoday.fi
- Digitodayn tuoreimmat uutiset.
- 25.5. Robottikäsivarsi hinasi Dragonin asemalle
- 25.5. Googlen Android-kauppa sai uusia rahastuskeinoja
- 25.5. Zuckerberg unohti sulhasen ohjeen - antoi 20 000 euron vihkisormuksen
- 25.5. Diablo III:n julkaisija hekumoi myyntiä ja pahoittelee bugeja
- 25.5. Lumialla voi katsella videoklippejä
- 25.5. Applen Cook kieltäytyy optioiden osingoista
- 25.5. ZTE toimittaa suomalaisella 3d-tekniikalla tehtyjä Android-puhelimia
- 25.5. Tämä käkikello muni Pebblen Kickstarter- pesään
- 25.5. Facebook Camera ottaa ja jakaa kuvia iPhonessa
- 24.5. IPhoneen uusi alihankkija
- 24.5. IBM pitää iPhonen Siriä tietoturvariskinä
- 24.5. Yle siirtää seuraavaksi Pasilan teräväpiirtoon
- 24.5. Nokia luopuu isosta massatapahtumasta
- 24.5. Huhu: Symbianiin ei enää päivityksiä
- 24.5. Blackberryn joukot harvenevat
- 24.5. Adoben flash saa saattohoitoa Windows 8:ssa
- 24.5. HP irtisanoo ja palaa taulutietokoneisiin
- 24.5. Motorola Mobilityn johdossa on nyt myyntimies
- Uusimmat
- 48h luetuimmat kaikista uutisista.
- 24.5. Huhu: Symbianiin ei enää päivityksiä
- 25.5. Zuckerberg unohti sulhasen ohjeen - antoi 20 000 euron vihkisormuksen
- 25.5. Lumialla voi katsella videoklippejä
- 25.5. Googlen Android-kauppa sai uusia rahastuskeinoja
- 24.5. IBM pitää iPhonen Siriä tietoturvariskinä
- 24.5. HP irtisanoo ja palaa taulutietokoneisiin
- 25.5. ZTE toimittaa suomalaisella 3d-tekniikalla tehtyjä Android-puhelimia
- 24.5. Nokia luopuu isosta massatapahtumasta
- 24.5. IPhoneen uusi alihankkija
- 24.5. Adoben flash saa saattohoitoa Windows 8:ssa
- Luetuimmat
- 48h suositelluimmat kaikista uutisista.
- Suositelluimmat
- 48h kommentoiduimmat kaikista uutisista.
- 24.5. Huhu: Symbianiin ei enää päivityksiä
- 25.5. Lumialla voi katsella videoklippejä
- 25.5. Applen Cook kieltäytyy optioiden osingoista
- 25.5. ZTE toimittaa suomalaisella 3d-tekniikalla tehtyjä Android-puhelimia
- 24.5. IBM pitää iPhonen Siriä tietoturvariskinä
- 24.5. IPhoneen uusi alihankkija
- 24.5. Nokia luopuu isosta massatapahtumasta
- 24.5. HP irtisanoo ja palaa taulutietokoneisiin
- 24.5. Adoben flash saa saattohoitoa Windows 8:ssa
- 25.5. Zuckerberg unohti sulhasen ohjeen - antoi 20 000 euron vihkisormuksen
- Kommentoiduimmat
Uutisviikko
Mitä viikolla on tapahtunut, mikä puhuttanut eniten? Koko viikon uutiset.
Palautetta?
Lähetä risut, ruusut ja uutisvinkit toimitukselle.
Uusimmat uutiset
- Zuckerberg unohti sulhasen ohjeen - antoi 20 000 euron vihkisormuksen 15:01
- Diablo III:n julkaisija hekumoi myyntiä ja pahoittelee bugeja 11:49
- Facebook Camera ottaa ja jakaa kuvia iPhonessa 07:00
- Google tarjoaa hakijalle syntetisaattorin 17:11
- Googlen Larry Page: Facebook pitää käyttäjiä panttivankeina 07:00
- Angry Birdsia voi pelata vaikka syömäpuikoilla 16:00
- Korkein oikeus kylmänä tunnetulle piraatille 13:59
- Iron Skyn jälkeen tulee 3d-Hitler 22:01
- Lisää
Poiminnat
Digiyesterday
Kolme vuotta sitten
Mars-mönkijän matkamittarissa 10 mailia
27.05.2009 Nasan yli viisi vuotta Marsia tutkinut mönkijä Opportunity taivalsi maanantaina ohi kymmenen mailin rajapyykin.
Taloussanomat
- Asuntopula ja 24 600 tyhjää asuntoa, mikä kaupunki? 06:01
- Suomikin oli hukkua liian vahvaan valuuttaan 06:09
- Yritysguru: Facebook tappaa Piilaakson 10:17
- Tämäkin vielä: Turistitkin kaihtavat Kreikkaa 15:08
- Muhkean muovinen Nissan Juke 06:05
- Unohda hameenhelmaindeksi – ensitreffit kertovat talouden tilan 16:19
- Yle: Katainen torjuu ajatuksen valtion kaivosyhtiöstä 16:54
- Konkareiden neuvot koulunsa päättäville: Intohimoa ja tasapainoa 17:47
- Jos Kreikka lähtee, Saksa kärsii 11:08
- Yllätys? Aurinkohan säteilee täällä Saksan malliin 06:09
- » Taloussanomat.fi
