Tulostusversio

4/2009

Tunnistaminen: Diskoon sormenjäljellä?

Teksti: Kirsi Castrén

Roskikseen joutavat VIP-passit, eikä portsarin tunteminenkaan enää auta siellä, missä oikea paikka jonossa selviää sormenjälkitunnisteesta. Viranomaiskäyttöön alun perin tarkoitut biometriset tunnisteet yleistyvät yrityksissäkin. Lainsäädäntö asiasta on miltei olematonta.

Toistaiseksi diskoon pääsee vielä perinteisin keinoin, mutta kuntosaleilla sormenjälkitunnistaminen on jo arkipäivää. Lähivuosina biometrisen tunnistamisen odotetaan yleistyvän muissakin palveluissa.

Viranomaisen näkökulmasta kehityksessä on riskinsä. Biometriikan viranomaiskäyttöä koordinoivan hankkeen kehittämispäällikkö Mika Hansson suhtautuu varauksellisesti vahvojen biometristen tunnisteiden käytön laajenemiseen yrityksissä.

"Yleisesti ottaen biometristen tunnisteiden yksityinen käyttö pitää sisällään riskin, että tiedot päätyvät vääriin käsiin, etenkin, kun tilanne on oikeudellisesti sääntelemätön."

Hanssonin mielestä biometristen tunnisteiden käytön leviämisen riskejä ei vielä riittävästi tiedosteta.

Biometrinen tunniste kuten sormenjälki on rekistereissä yleisimmin muunnettuna koodiriviksi, jota on helppo teknisesti säilyttää, kopioida ja siirtää. Hansson muistuttaa, että tunnistekoodi voidaan sekä säilyttää että siirtää salatussa muodossa.

Pelisäännöt puuttuvat

Hanssonin mukaan biometriikan riskeistä tulisi tiedottaa enemmän. Lisäksi tarvittaisiin yhteisiä pelisääntöjä. Pitäisi esimerkiksi säätää edellytykset biometrisiä tunnisteita sisältävien rekisterien perustamiselle ja määritellä niille tarkat turvatasot.

"Järjestelmät, joissa biometristen tunnisteiden rekistereitä ei tarvita, voitaisiin ottaa käyttöön vapaammin, koska niiden riskit ovat paljon pienemmät, joissakin tapauksissa lähes olemattomat."

Miten todennäköistä on, että koko laaja ja monimuotoinen yksitynen sektori saadaan sekä omaksumaan biometristen tunnisteiden käytön edellyttämät tietoturvakäytännöt että panostamaan niihin riittävästi?

"Asiaa on tietysti vaikea ennakoida, mutta sen lisäksi, että biometristen tunnisteiden käyttöä olisi hyvä säädellä, tulisi saada ns. hyvät käytännöt myös yksityissektorille houkutteleviksi käyttää," Hansson pohtii.

Sormenjälki helppo väärentää

Biometriaa hyödynnetään myös viranomaistoiminnassa entistä enemmän, kun kasvokuvan lisäksi myös passinhakijan sormenjäljet tallennetaan sirulle ja rekisteriin.

Passien sormenjälkitunnistusmenetelmä etenee teknisesti yhä tarkempaan sormen ja kämmenen verisuonikuvion tunnistukseen. Toistaiseksi verisuonitunnistusta ei kuitenkaan tunneta EU:n passivaatimusten pohjalla olevissa standardeissa.

"Sormenjäljen heikko puoli on, että jätämme niitä jälkeemme jatkuvasti, eikä sormenjälkien väärentäminen ole teknisesti mitenkään ylitsepääsemätön asia”, Hansson toteaa.

Väärennösriskin takia sormenjälkitunnistaminen sopii hänen mukaansa parhaiten rajavalvonnan kaltaisiin tilanteisiin, joissa jälki annetaan valvotusti ja muiden biometristen tunnisteiden yhteydessä.

Kenelle jälki kuuluu?

Toisin kuin esimerkiksi Isossa-Britanniassa, Suomessa ei vielä ole käyty paljonkaan julkista keskustelua siitä, mitä vahvojen biometristen tunnisteiden yhä laajeneva viranomaiskäyttö merkitsee yksityisyydensuojan ja muiden perusoikeuksien kannalta.

"Suomen laissa rajataan hyvin tiukasti ns. tavallisten ihmisten sormenjälkien käyttöä. Tällä hetkellä niiden tallentaminen esimerkiksi passirekisteriin on ihmisen omaksi eduksi: Näin pyritään varmistamaan, ettei henkilöllisyyttä varasteta," Hansson huomauttaa.

Poliisityö kansainvälistyy, ja rajat ylittävä tietojenvaihto on tehokkaan rikostutkinnan ehto. Jos joskus myös vahvat biometriset tunnisteet alkavat siirtyä maasta toiseen, onko takeita, etteivät ne joudu vääriin käsiin?

Hanssonin mielestä biometristen tunnisteiden siirtoon muiden maiden viranomaisille tulisi suhtautua varovaisesti.

”Riskejä ei voi koskaan täysin poistaa, mutta ne tulee pyrkiä minimoimaan. Esimerkiksi passijärjestelmä on mielestäni hyvin tehty siinäkin mielessä, ettei se tarvitse toimiakseen rekisteriä, vaan matkustaja kantaa omaa sormenjälkeään passillaan. Teknisellä kryptografialla varmistetaan, että jälki on aito. Näin rekisterinpito rajoittuu kansalliseen rekisteriin, jonka nimenomainen tarkoitus on pyrkiä suojaamaan omia kansalaisia."

Käyttötarkoitussidos höltyy

Taannoin keskustelua herätti poliisin toive passirekisterin sormenjälkitunnisteiden saamisesta käyttöön rikostutkinnassa.

"Oikeusministeriön suhtautuminen tähän on ollut kriittinen. Laissa on vanhastaan ollut tarkat säännöt siitä, miten henkilötuntomerkkejä saa ottaa, käyttää ja säilyttää", lainsäädäntöneuvos Anna-Riitta Wallin muistuttaa.

"Käyttötarkoitussidonnaisuuden periaate on nähdäkseni menettänyt jonkin verran voimaansa. Siihen on tehty paljon poikkeuksia ja koverruksia. Esimerkiksi edellä mainittu ehdotus johtaisi lopulta siihen, että kaikki, joilla on passi olisivat lopulta potentiaalisia rikoksentekijöitä poliisin rekistereissä − asiaa ei teknisesti muuta, että rekisteriä sanotaan passirekisteriksi."

Pykäliä tulossa

Biometriset tunnisteet yleistyvät mutta niistä ei ole yleistason sääntelyä − vielä.

Henkilötietojen käyttöä sääntelevän yleislain eli henkilötietolain muutostarpeita arvioidaan paraikaa oikeusministeriössä. Lakiin tulee melko varmasti säännöksiä myös biometrisistä tunnisteista, Anna-Riitta Wallin lupaa.

Siihen, että yksityiset tahot käyttävät samaa biometristä tunnistetta kuin viranomaiset, liittyy Wallinin mukaan myös oikeudellisia ongelmia.

"Tietojen rekisteröinti perustuu suostumukseen. Onko liiallista holhoamista, jos biometrisiä tunnisteita vaaditaan suojattaviksi ja ruvetaan rajoittamaan niiden käyttöä? Pidän kuitenkin selvänä, että asiasta tulee erityissäännöksiä."

Wallin arvioi, että biometriset tunnisteet tulevat henkilötietolaissa omaksi erityissääntelyä vaativaksi ryhmäkseen arkaluonteisten tietojen tavoin.

Säännöt yleislakiin

Henkilötietojen käsittelyä koskevat säännökset ovat lainsäädännössä hajallaan.

"Lainsäädäntö on pirstaloitunut pahan kerran ja tämä johtuu osaksi myös henkilötietolaista − siinähän ei ole mitään tilannemäärittelyä esimerkiksi siitä, milloin henkilötietoja voidaan luovuttaa teknisen käyttöyhteyden avulla”, Wallin huomauttaa.

Tuoreessa laissa sähköisestä tunnistamisesta ja allekirjoituksista ei biometriikkaa juuri käsitellä. Wallinin mukaan asiasta käytiin paljon keskustelua liikenne- ja viestintäministeriön ja oikeusministeriön välillä.

”Lainsäädäntökokonaisuuden kannalta olisi ollut outoa, jos biometrisiä tunnisteita koskevat yleissäännökset olisivat laissa sähköisistä allekirjoituksista. Henkilötietoja koskevien yleisten säännösten tulee olla henkilötietolaissa. Kysymys ei ollut vain lainsäädäntötekniikasta, vaan siitä, että kansalaisen pitää voida tietää, mitkä ovat henkilötietojen käsittelyä koskevat yleiset pelisäännöt. Tämän vuoksi niistä ei voinut säätää erityislaissa."

Tekniikan nopea kehitys on johtanut Wallinin mielestä yleisestikin siihen, että tietoturvallisuussääntelyn tarve on kasvamassa.

"Olisi mietittävä kokonaisuutena sitä, onko henkilötietolainsäädännössä riittävästi tietoturvallisuussääntelyä, esimerkiksi tietoaineistojen käytön kirjaamisen ja muiden tietoturvaelementtien muodossa."

Lue myös

Tunnistaminen: Tekniikka vähentää riskejä »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.